積極主動型配置管理體系建設探析

【摘 要】關于基礎設施的配置管理是現行各個管理體系標準共同關注的內容，也是整體化管理體系建設過程中必不可少的重要環節?！胺e極主動型”與“消極被動型”二種管理體系模式是組織在建立管理體系初期需要首先確定的方針，以ISO9001為代表的、以“滿足要求”為目標的消極被動型管理體系標準也許是一種無奈的選擇，它將“全員參與”的質量管理原則異化為“全員服從”；建立以“超越期望”為目標的積極主動型管理體系將有效地激發組織的創新精神，從而最大限度地實踐“持續改進”的管理原則。最后，筆者基于整體化管理體系建設的角度對建立積極主動型的配置管理體系提出了初步的設想。

【關鍵詞】積極主動型；消極被動型；配置管理；管理體系

基礎設施等資產的管理是組織資源管理工作中一項非常重要的內容，部分設施如監視和測量設備、特種設備等還涉及到相關的法律法規要求，現行各管理體系標準對此也各有不同程度的重視，分別從不同的方面對組織基礎設施的管理提出了不同的管理要求。然而，一方面，由于現行管理體系的垂直性特點，即：各個管理體系只是考慮本身從基礎性管理到專業性管理的單方面要求，從而將組織基礎設施的管理割裂為若干個不同的方面，不但增加了管理的復雜性，而且也不能滿足組織對于其基礎設施的整體管理要求；另一方面，我國依然有很多單位的基礎設施管理目前還停留在計劃經濟時期的固定資產管理階段，使得組織的基礎設施管理不能滿足當前信息化時代的管理要求，因此，探尋信息化時代組織基礎設施的整體化管理模式具有十分重要的意義。

一、現行管理體系標準對于基礎設施的管理要求分析

雖然基礎設施等資源管理是組織實現其產品與價值的必要條件與根本保障，但是現行各管理體系標準對于組織基礎設施管理的要求和重視程度是各不相同的。以質量管理體系標準GB/T19001—2008/ISO9001：2008為例，該標準“6.3基礎設施”條款僅要求：“組織應確定、提供并維護為達到符合產品要求所需的基礎設施”，但是并沒有告訴我們怎樣去實現這一目標。該標準7.5.1c條款要求“使用適宜的設備”，但是也沒有告訴我們怎樣去判定設備是否適宜、又怎樣去保證設備的適宜性？然而該標準在“7.6監視和測量設備的控制”條款中為我們提供了一種關于基礎設施管理的思路，主要包括：確定基準和檢定、調整、標識、防止失效、日常管理（搬運、維護和貯存）五個方面的內容。該標準7.5.1c條款關于設備的適宜性要求、7.5.2b條款關于設備的認可要求、7.6條款對于計量器具的檢定和調整要求可以看作都是對于設備能力的確認。

GB/T19022—2003/ISO10012：2003《測量管理體系 測量過程和測量設備的要求》標準“6.2.2軟件”、“6.3.1測量設備”二個條款關于測量設施的管理要求與質量管理體系GB/T19001—2008/ISO9001：2008標準7.6條款的相關要求基本一致。

如果說GB/T19001—2008/ISO9001：2008標準對于組織基礎設施的管理要求比較簡略，那么GB/T24001—2004/ISO14001：2004環境管理體系標準、GB/T28001—2011/OHSAS18001：2007職業健康安全管理體系標準對于基礎設施的管理要求就顯得有點“簡單”了：這二個管理體系標準僅要求組織“提供必要的資源”，均是通過注解的方式說明資源包括基礎設施，但是絲毫沒有提及對于基礎設施的管理要求。

如果說作為基本要求的GB/T19001—2008/ISO9001：2008標準對于基礎設施的管理要求當然也是“基本”的，那么作為較高要求的GB/T19004—2011/ISO9004：2009《追求組織的持續成功 質量管理方法》標準關于基礎設施的管理要求又是怎樣的呢？該標準“6.5基礎設施”條款提出了基礎設施管理的五個方面要求：

1、基礎設施的可信性（包括考慮可用性、可靠性、維修性以及保障性等）；2、安全性和保密性；3、與產品和過程相關的基礎設施要素；4、效率、成本能力和工作環境；5、基礎設施對工作環境的影響。

標準同時還要求：“組織應識別和評估與基礎設施相關的風險，并應采取措施降低風險，包括制定適宜的應急計劃?！?/p>

由此可見：GB/T19004—2011/ISO9004：2009標準依然只是單方面地考慮基礎設施是否能滿足使用要求這個目標，只是要求的內容更加明確而已，但是也沒有提供實現這些目標的方法。其中對于基礎設施“可信性”的要求可以認為與GB/T19001—2008/ISO9001：2008標準7.6條款對于計量器具的基準與檢定的要求相一致。

但是并非所有的ISO標準都不重視基礎設施的管理。在《信息技術 服務管理 第1部分：規范》（GB/T24405.1—2009/ISO/IEC20000-1：2005）這個標準中提出了“配置管理”的概念，該標準通過注釋的方式對配置管理的對象------配置項進行了說明：“配置項在復雜性、規模和類型方面變化可能很大，配置項可以是整個系統，包括所有的硬件、軟件和文檔，也可以是單個模塊或很小的硬件部件”；在標準“9.1配置管理”條款中明確了配置管理的具體要求，包括建立配置管理的策略、配置項的基線與標識、配置控制規程、配置審核規程等，標準明確要求配置管理“控制的程度應足以滿足業務需求、失效的風險和服務的關鍵性”，標準同時還要求“定義財務資產核算過程的接口”，并要求建立配置管理數據庫（CMDB）。在《信息技術 服務管理 第2部分：實踐規則》（GB/T24405.2—2010/ISO/IEC20000-2：2005）標準中對以上要求進行了進一步詳細的說明，例如該標準要求“在適當的時候”應整合“顧客與供方”的配置信息、應明確重要資產和配置的管理者、制定配置管理計劃、配置項應通過描述“功能和物理特性的屬性”進行定義等，并給出了配置項10個方面要求的內容。雖然在最新的ISO/IEC20000-1：2011標準中對配置管理的內容和要求有所調整，似乎更傾向于配置管理數據庫CMDB的管理，反而不再強調配置策略、配置控制規程、配置審核規程等管理要求，但是標準從業務需求的角度給我們提供了一個相對比較全面的配置管理框架。

GB/T22081—2008/ISO/IEC27002：2005《信息技術 安全技術 信息安全管理實用規則》標準從信息安全的角度給我們展示了組織基礎設施管理的另一方面要求。由于該標準的管理要求是面向組織所有資產的，所以嚴格而言該標準的所有要求對于基礎設施管理均適用，其中與基礎設施管理直接相關的內容主要有：A.7.1對資產負責、A.9.2設備安全、A.10.1操作規程和職責、A.10.7介質處置等條款，其中某些要求可以與其它標準的相關要求互相參照，例如： “A.7.1.2資產責任人”條款可以認為與GB/T24405.2—2010/ISO/IEC20000-2：2005標準所要求的關于重要資產和配置的“管理者”相一致，“A.7.1.3資產的可接受使用”條款可以認為與GB/T19004—2011/ISO9004：2009標準所要求的“基礎設施的可信性”互相補充等等，標準只是從不同的方面指出了基礎設施管理的共同要求。

從以上不同標準對于組織基礎設施的管理要求可以看出：

（一）無論是對于組織的產品和業務，還是對于組織的安全性和經濟性而言，關于基礎設施的配置管理都非常重要；

（二）我們目前還沒有一個完善的、關于組織基礎設施管理的全面的、有效的配置管理標準。

二、積極主動與消極被動：二種管理體系方針的選擇

一個組織中需要建立哪些管理體系、以及如何建立這些管理體系，這一定是由組織的根本利益、也就是組織的戰略和方針決定的。GB/T19004—2011/ISO9004：2009標準“5戰略和方針”條款明確指出：“最高管理者應建立和保持組織的使命、愿景和價值觀”，然而現實工作中我們非常遺憾地發現：很多組織依據GB/T19001—2008/ISO9001：2008等標準建立管理體系的時候，不但我們組織的管理者對于組織的戰略和方針往往并不十分清晰，存在著比較普遍的“摸著石頭過河”的現象，而且現行的標準本身也似乎刻意回避了這樣的問題、并且為組織的管理體系建設做好了“巧妙”的安排。

組織中存在若干方面不同的管理要求，因此可以分別建立若干個不同的管理體系。從整體化組織管理的角度考慮，如果我們希望建立某個管理體系，那么我們首先必須確定這個管理體系在組織整體管理中的作用與地位，為此需要解決二個方面的問題：一、這個管理體系在組織整體管理中的定位，或者說：組織中建立這個管理體系的目的與作用是什么？這將決定我們建立管理體系的策略；二、這個管理體系與組織的方針宗旨及其他各個管理體系的相互關系如何？

關于管理體系在組織中的定位與作用，現行各管理體系標準中均有明確的說明，我們可以從管理體系的方針中加以確認。以GB/T19001—2008/ISO9001：2008質量管理體系為例，該標準的“5.3質量方針”條款提出了“滿足要求”、“適宜性”等五項要求，這就告訴我們：這樣的質量管理體系是以單方面被動地“滿足要求”為目的的，所以質量方針的首要任務是“與組織的宗旨相適應”，至于如何更好地確認與改進組織的宗旨、如何更加恰當地發現產品與服務的要求等等，似乎不是我們質量管理體系的目的，由此可以看出這樣的質量管理體系的消極防守性特點。在國際標準化組織（ISO）頒布的其他管理體系標準中，例如：在信息安全管理體系標準GB/T22081—2008/ISO/IEC27001：2005中提出了“在組織的戰略性風險管理環境下，建立和保持ISMS”的方針要求，對組織ISMS的要求同樣是消極被動的。最新版本的標準ISO/IEC20000-1：2011中同樣體現了管理體系的這種特點，均沒有要求管理體系為組織的戰略框架提供支持與幫助。

這種以單方面的“滿足要求”為目的的消極被動型管理體系與中華文化“天人合一”的整體化理念是不一致的。中華文化認為：個體與整體的關系并非只是簡單的單方面的服從，更應該有積極的互動，即：個體不僅要服從主體的要求，更應該為主體的健康發展提供積極的支持；主體也不能僅僅要求個體服從主體的利益，同時也應該為個體的成長提供幫助，所以中國人天生具有“天下興亡，匹夫有責”、“以天下為己任”的家國情懷，中國人從來不認為“各人自掃門前雪”是正確的。《孫子兵法·謀攻第三》說：“故善用兵者……必以全爭于天下”，同樣是強調全局觀念的重要性。片面以“滿足要求”為目的的管理體系必將傷害組織的創新精神，這與GB/T19000—2008/ISO9000：2005標準關于“持續改進”的質量管理原則也是不一致的，它無形中還將“全員參與”的質量管理原則異化為“全員服從”，這必然會嚴重傷害員工的工作積極性和主動性，所以應該引起我們深刻的反思。

現代企業管理的系統整體性觀點認為，系統整體性包括兩個方面的內容：一是要素對系統整體效益的不可分割性，二是系統整體功能對要素功能的非加和性，即系統整體功能大于各要素功能之和，這種觀點與中華文化“天人合一”的整體化理念才是一致的。

那么這種單純以“滿足要求”為目的的被動型管理體系模式是不是ISO的本意呢？還是讓我們從ISO的標準中來尋求問題的答案吧。GB/T19000—2008/ISO9000：2005標準在闡述“以顧客為關注焦點”的質量管理原則時指出：“組織依存于顧客，因此，組織應當理解顧客當前和未來的需求，滿足顧客要求并爭取超越顧客期望”，我相信這個觀點代表了ISO真正的本意。但是GB/T19001—2008/ISO9001：2008標準“5.2以顧客為關注焦點”條款的要求卻是：“最高管理者應以增強顧客滿意為目的，確保顧客的要求得到確定并予以滿足”，很顯然這樣的要求比前面管理原則中的要求降低了：僅僅保留了“滿足要求”的內容、而取消了“超越期望”的要求，這就是我們前面所說ISO對于管理體系建設“巧妙”安排的原因。

在ISO目前的管理體系模式中只能建立這種消極被動型的管理體系是可以理解的，也是非常無奈的。因為ISO目前所頒布的管理體系標準都是各自獨立的，一個管理體系既不需要向上考慮如何建立組織的戰略與宗旨，也不需要向前后左右考慮其與組織中其他管理體系的相互關系，他們只需要從組織現有的管理環境中擠出一個空間來安身立命即可。這樣一個沒有全局觀念的管理體系就必然是服從型的，只能“知其然”（接受要求）、而不能“知其所以然”（為什么這樣要求），所以就只能做到“各人自掃門前雪，莫管他人瓦上霜”。這樣的管理體系無論其自身是多么的完善，由于缺少了各個管理體系之間的相互關聯，所以組織的整體管理依然無法形成“體系”。

根據GB/T19000—2008/ISO9000：2005標準關于“體系”的定義：“相互關聯或相互作用的一組要素”，一個管理體系內部各要素的相互關聯與相互作用只能實現組織某一方面管理的體系化，只有實現組織內部各管理體系之間的相互關聯和相互作用，才能實現組織整體管理的“體系化”，這是任何以“滿足要求”為目的的消極被動型管理體系無法實現的，因為“相互關聯”與“相互作用”的各方都必須是積極主動的。

我們期望的積極主動型管理體系不僅僅能夠“滿足要求”，而且要爭取“超越期望”、“給顧客以驚喜”，以真正實踐“以顧客為關注焦點”的管理原則，整體化管理體系結構模型（詳見拙作《基于過程方法的結構式整體化智能性管理體系建設探析》）的建立將使組織建立這種積極主動型管理體系成為可能。

在整體化管理體系結構模型中需要首先確定的是一個管理體系在組織整體化管理系統中的地位與作用，從而也就確定了該管理體系與組織中其他管理體系之間的相互關系，而各個管理體系與組織的中央控制系統緊密相聯，不但接受中央控制系統的統一指揮，同時也負責向中央控制系統及時反饋各項有價值的信息。由于各方面對組織的戰略宗旨與發展方向都有清晰的了解，對于工作要求不僅“知其然”、而且“知其所以然”，能夠及時發現并致力于與相關方協同合作以解決組織所面臨的各項內、外部挑戰，并且積極開拓探索未知領域的可能性，所以不僅能保障滿足相關方的需求，而且能夠努力爭取超越相關方的期望，從而做到引導和創造需求的現實效果。

我們認為積極主動型管理體系應該具備這樣三個特點：一、空間上面向組織、過程、甚至相關方和外部環境的整體利益，能夠向組織或過程的其他管理體系提供主動的支持與服務，必要時能夠自動與相關方和外部環境的要求相適應；二、時間上涵蓋整個生命周期，面向組織、過程以及相關方和環境未來的發展要求，不僅能夠迅速適應、并且能夠為組織或過程的快速更新提供幫助；三、方法上化被動為主動，變消極為積極，不僅僅以“滿足要求”為目標，而且要爭取“超越期望”。

“人無遠慮，必有近憂”，管理體系建設也是同樣的道理，只有讓組織的各個管理體系都積極主動地參與到組織的發展中來，才能最大限度地實踐“持續改進”的管理原則。

建立這樣一種以“超越期望”為目標的積極主動型管理體系必將對組織中其他各管理體系的建設與改進提供有力的支持與幫助。

三、建立積極主動型的配置管理體系

縱觀現時國內各單位對于基礎設施的配置管理現狀，基本上也是處于單方面的“滿足要求”這樣一個消極被動的處境之中，甚至連“滿足要求”這樣的基本目標也難以達到。無論是那些傳統企業的“設備科”、還是新興IT公司的“運維部”，他們的職責基本上就是“維修”與“保障”，只是稱呼不同而已，很少具備為組織、過程及其產品的持續改進主動提供支持與引導的職責與能力，這種狀況顯然是不能令人滿意的。

標準GB/T24405.1—2009/ISO/IEC20000-1：2005不僅提出了配置項的管理要求，還提出了配置管理的策略、配置控制規程、配置審核規程等要求，讓我們看到了一個配置管理體系的雛形，體現了標準對于配置管理的重視。雖然在最新版本的標準ISO/IEC20000-1：2011中僅僅保留了配置項管理的內容，而取消了配置管理的策略、配置控制規程和配置審核規程方面的要求，我相信這是一種可以理解的無奈選擇：畢竟ISO/IEC20000-1是一個面向服務的專業性管理體系標準，而配置管理只是組織的一項基礎性管理工作，不應該在專業性體系中占有太重的比例。

《基于過程方法的結構式整體化智能性管理體系建設探析》一文已經在其“整體化智能性管理體系結構圖”中展示了配置管理體系在組織整體化管理體系中的地位，基于這樣的認識，我們認為組織的配置管理體系需要重點關注以下幾個方面的內容：

1.與組織整體化管理體系中其他各個管理體系的關系 在組織的整體化管理體系建設過程中，組織的各個管理體系均要服從其中央控制系統的統一指揮，配置管理體系當然也不能例外；不僅如此，一個管理體系在組織整體化管理體系結構中的地位也同時決定了這個管理體系與組織中其他各個管理體系之間的相互關系，這主要是由其優先級確定的，對于配置管理體系而言：它不但需要服從其上級管理體系（信息管理體系、財務管理體系、測量管理體系）的領導、需要與其同級的人員管理體系和能源管理體系保持良好的協同配合，同時還要為組織責任層和業務層的其他管理體系（如環境管理體系、職業健康安全管理體系、質量管理體系等）提供建設框架。

2.配置管理體系應面向組織、過程的容量和能力管理要求 根據組織的整體化管理體系建設策略，組織需要首先確定其建立的管理體系是以“滿足要求”為目的的消極被動型管理體系、還是以“超越期望”為目的的積極主動型管理體系。如果組織希望其配置管理體系是以“超越期望”為目的的積極主動型管理體系，這樣的管理體系就必須具備為組織、過程當前甚至將來的容量和能力管理提供積極的支持和指引的功能，這將極大地增加管理體系的復雜性，并且對相關人員的能力提出了更高的要求，例如：可能要求組織的配置管理負責人參與到組織對于過程能力計劃的制定過程之中。

3.在正式的配置管理體系標準沒有頒布之前，現行有關管理體系標準如前文所介紹的GB/T24405.1—2009/ISO/IEC20000-1：2005及其最新標準ISO/IEC20000-1：2011、GB/T24405.2—2010/ISO/IEC20000-2：2005、 GB/T19004—2011/ISO9004：2009等標準可以為組織建設配置管理體系提供非常有價值的指導。配置管理策略需要依據組織的產品與服務、業務特點、管理要求等進行精心策劃，配置管理的范圍是否需要包括供方（甚至包括分供方）與顧客的配置信息、配置管理與變更管理的關系、怎樣通過功能與物理特性來定義配置項、配置項的基線與標桿等等都是需要優先考慮的問題。

4.將GB/T22080—2008/ISO/IEC27001：2005、GB/T22081—2008/ISO/IEC27002：2005信息安全管理體系關于物理資產、軟件資產和服務三類資產及其風險的管理納入配置管理體系是一種較好的選擇?；趯M織整體化管理體系的認識，我認為現行信息安全管理體系對于其六類資產的風險管理應該分解到三個管理體系中分別實施：信息管理體系只關注信息資產和無形資產的風險管理，人員資產的風險管理由人員管理體系負責，物理資產、軟件資產和服務三類資產的風險管理由配置管理體系負責。當然，將與配置管理體系三類資產相關的操作規程、培訓手冊等信息資產作為其配置項的一部分納入配置管理數據庫（CMDB）中進行管理也是必須的，這就要求將組織的配置管理數據庫與組織的其他數據庫相關聯，例如：考慮到以上資產的責任人，則需要與人員數據庫相關聯；考慮到以上資產的檢測報告等，則需要與信息資產數據庫相關聯；考慮到資產的財務核算要求，則需要與組織的財務數據庫相關聯等等，所以組織在以上數據庫的策劃和建設過程中也需要統一考慮。

5.對于存在動植物、微生物等生物類資產的組織而言，生物類資產的管理也是配置管理體系需要關注的內容之一，應該根據這類資產的特點進行必要而有效的管理。

6.GB/T22080—2008/ISO/IEC27001：2005標準關于控制措施及其有效性測量的思想是對管理體系建設的巨大貢獻，應該被引入配置管理體系的建設中來，前提是需要服從組織整體化管理體系中測量管理體系的相關要求。

7.與以上三類資產相關的服務連續性和可用性管理、應急準備和響應管理、必要時還包括保密性、可信性管理等等也是配置管理體系需要關注的重要內容之一，同樣需要組織根據自身的管理要求進行認真策劃和實施，必要時還需要兼顧顧客和供方的服務連續性和可用性、保密性等管理要求。

8.配置管理數據庫（CMDB）還可以包含與配置項相關的環境因素、職業健康安全危險源辨識及其管理要求等信息，或者與這樣的信息數據庫相關聯，這需要為組織的配置管理體系與其下層環境管理體系、職業健康安全管理體系的接口做好精心的策劃和安排。

作為組織整體化管理體系建設的一部分，我們希望通過以配置管理體系的建設為例來說明如何在組織的整體化管理體系框架下建設某個具體的管理體系。由于組織的整體化管理體系建設是一個全新的概念，所以本文的疏漏和不當之處是不可避免的，在此僅希望能夠起到拋磚引玉的作用，歡迎各位對組織的整體化管理體系建設感興趣的同仁一起加入到這個嶄新的研究領域中來，從而為組織的整體化管理體系研究貢獻我們的才智與心力！