GB/T 36074.2-2018 信息技術服務 服務管理 第2部分:實施指南6.1風險和機遇的應對措施
6.1.1策劃應對風險和機遇的措施
組織應建立風險和機遇管理方法,以:
a)確保服務管理體系實現期望的結果;
b)確保組織能穩定地提供符合要求和顧客滿意的服務;
c)預防或減少非預期的影響;
d)實現持續改進。
組織在風險管理過程中宜采用基于風險的思維,關注提升正面效果,預防和降低不良效應。宜建立主動預防的企業文化,關注更好地完成工作,以及改進工作方式。
組織宜通過評價客戶需求以識別機遇,例如提供新的或變更的服務、使用新技術提高服務效率等。宜對信息技術服務管理體系過程進行績效分析,識別減少浪費或提高績效的機遇,以保持服務管理體系持續改進。
本部分的第5章和第8章提到的風險管理應采用與本部分相同的風險管理方法,風險的管理方法宜參考 ISO 31000 。
6.1.2整合和實施風險和機遇的應對措施
組織應策劃在信息技術服務管理體系中整合和實施風險和機遇的應對措施。應對風險和機遇的措施應與其對于服務符合性的潛在影響相適應,如:
a)通過決定不開展或停止產生風險的活動,來規避風險;
b)為尋求機會,接受或提高風險;
c)消除風險源;
d)改變可能性,如:建立應急管理程序;
e)改變后果;
f)與另一方或多方共擔風險(包括合約和風險融資);
g)通過有事實依據的決策,保留風險;
h)為信息技術服務管理體系過程建立合適的控制;
i)針對機遇建立新的過程等。
6.1.3評估措施的有效性
組織應對所實施的風險和機遇的應對措施進行有效性評估。組織宜制定評估方案,將評估結果融入組織整體績效管理中,并保留形成文件的信息。評估方案包括:
a)評估對象;
b)評估指標;
c)測量方法;
d)評估責任人;
e)評估數據來源;
f)評估時機、頻次等。
推薦文章: