黑盒子概念

黑盒子(Black Box)概念﹝28﹞，係由西方學者提出之觀點，將 欲研究的重點視為一個黑盒子，暫不理會其內部的架構與原理，而 將注意力著重於輸入(Input)，依照轉換法則(Laws of Transformation) 之運作，產生對應輸出(Output)。

本研究之輸入項目包括ISO 9001、ISO 2700、ISO 20000、CMMI 等條文以及考量環境、文化、法律規範等輸入特性，運用條文比較

29

四四四

四、、、分析結果、分析結果分析結果 分析結果 4.1 ISO 9001、ISO 2700、ISO 20000 差異分析

根據前述探討，由於 ISO 9001 早於 1987 年頒佈，多數企業多已 具備 ISO 9001 證照。近年來，隨著國際標準組織陸續頒布 CMMI (1991 年)、ISO 27001(2000 年)、ISO 20000(2005 年)。故多數之資訊服務業 多以 ISO 9001 為基礎，之後依業務需求加入 CMMI 或 ISO 27001 或 ISO 20000。另，由於 ISO 系列與 CMMI 分屬不同國際標準組織所有，

故企業於導入以上四類標準時，通常以 ISO 自成一體系，之後再加入 CMMI 相關規定。四類標準之間關聯性及比較分析順序如圖 13 與 14 所示：

圖 13：資訊服務業之管理系統與各標準之關聯 資料來源：本研究整理

圖 14：ISO 9001、ISO 2700、ISO 20000 與 CMMI 分析 參考資料來源：Sys. Process Improvement Using ISO 9001:2000 and CMMI

ISO 9001 ISO

27001

ISO 20000

資訊服務業之管理系統

CMMI +

相同項目 CMMI

ISO 系列 CMMI

ISO 系列 差異分析

差異分析

30

4.1.1 共同項目

(1) 彈性選擇標準之適用範圍

企業經過評估後，可以依需要，選擇業務導入範圍。例如：某研 發機構其導入範圍如下：

表 17：標準適用範圍之範例說明

標準 ISO 9001 標準 ISO 27001 標準 ISO 20000 標準 CMMI L3

適用

範圍 部份業務適用 部份業務適用 部份業務適用 部份業務適用

規模註 55.7% 8.6% 8.6% 35.7%

適用 業務

1. 智庫幕僚 與產業推 動

2. 人才培育

3. 國際合作

4. 資訊建設

1. 資訊建設-資 安業務

2. 該機構之資訊 中心

1. 資訊建設-資 安業務

2. 該機構之資訊 中心

資訊技術研發

參考資料來源：本研究整理

註：規模計算方式：(業務人數/機構總人數)%

31

32

(3) PDCA 管理循環

PDCA 管理循環是 ISO 系列共同特點，目的即便於整合。

(4) 著重持續改善精神

只要是人，都會犯錯，ISO 的精神不在懲罰錯誤，著重持續改 善及預防在先的精神。

圖 16：矯正、預防、持續改善

(5) 具備「風險管理」的觀念

風險管理在於預防災害的發生，例如：富士康半年內陸續發生 員工跳樓事件，富士康經由這次事件，以正面積極態度改善內 部管理工作。

(6) 重視管理階層承諾

品質是企業策略管理整體績效中的一環﹝47﹞，需全員參與，

故高階主管的支持，是推動品質管理系統成功的關鍵因素。

(7) 定期辦理管理審查

均要求定期辦理管理審查，以確保品質政策符合企業營運目 標。

(8) 文件化觀念相同

都要求不能流於口頭形式，應予書面化，以避免認知造成的差 異。執行的成效必須提出具體紀錄。文件的層級畫分以 5 個 W、

1 個 H 原理設計。

Process 過程 一系列相關或互動性的活動

輸入 輸出

矯正、預防、持續改善 規劃

過程進行的前、中、後進行監控與測量以確保品質符合要求

33 Who What When Where 為何 Why

34

Step1

ISO Registration

Step2 = PDCA Model

Step1

CMMI Maturity Level

Step2 = IDEAL

ISO 系列導入過程

CMMI 導入過程

次外部定期稽核。而 CMMI 是沒有證照的，僅於 SEI 網站中 登錄，有效期也是 3 年，不過 3 年期間不做外部稽核，企業需 有內部稽核工作之相關紀錄。

(4) ISO 20000 有成本預算觀念，及每項流程均規定量化之績效指 標。

(5) 通過認證後結果不同

通過 ISO 認證，由 ISO 國際組織頒發證書，通過 CMMI 認證為 評定軟體能力成熟度(L1-L5)，成熟度愈高，代表軟體工程管理 能力愈好。

圖 18：ISO 系列與 CMMI 通過認證後結果

參考資料來源：Systematic Process Improvement Using ISO 9001:2000 and CMMI，2003

35

4.2 建構管理系統模型

為達簡潔不繁瑣目的，本研究採用 David Brewer(2005)﹝10﹞提 出管理系統整合架構，內容分述如後：

圖 19：管理系統之整體架構

參考資料來源： David Brewer，Exploitation an Integrated Management System

﹝10﹞

CHKCHKCHK CHK

36

4.2.1 Plan 階段 (1) 願景(vision)

企業得以永續經營，是因為有明確的「願景」，並且建立實現願景 的「結構」，然後每天專注執行願景的「事件」﹝20﹞。Google「願景」

是「整理全世界的資訊」，為此建立的「結構」是獨特的搜尋公式和全 球最大的伺服器中心，而專注的「事件」是資訊的產品：搜尋引擎、

Google 地圖、Google 圖書、YouTube 等。管理系統是協助專注執行「事 件」的工具，故在設計時應符合企業願景。

(2) 目標(Object)

目標需依據遠景而設定，且為明確可達。最常用 SMART 表示；

S(Specific) ， 具 體 明 確 。 M(Measurable) ， 可 衡 量 及 以 數 據 表 達 。 A(Achievable)，可具體達到。R(Realistic)，合乎實際考量，T(Time-Based)，

有時效性﹝47﹞。以國際標準而言；ISO 外，尚有美國卡隆大學的 CMMI、

英國標準學會(BSI; British Standards Institution)等單位。組織在作長、中、

短期目標規劃時，最好應考量用同一國際組織的產品，以避免因屬性不 同，造成整合的困難。

(3) 商業機會(Business Opportunities)

沒有優良品質的產品/服務，就無法獲得顧客的信任。沒有顧客就沒有 企業。擁有國際品質證書在 SWOT 分析具有 S(Strength)優勢，許多國際 標案的企業，會要參與求廠商具備某類領域的國際品質證書，例如：食品 安全領域的 HACCP、CAS、CMP、HALAL、軟體工程領域的 CMMI 等，

不但提供顧客安心使用又具行銷能量優勢，及提升海外競爭能力。

(4) 品質政策

品質政策是管理系統的核心，必需與組織的遠景與目標契合，通常組 織的品質政策都會以易記、易懂且易量化為制定的方向。例如：中油的品 質政策：「中油為大家加油，大家為台灣加油」。連續蟬連臺北市優良公車 第一名的首都客運的品質政策：「首都用心，乘客放心」。

並不是所有的國際標準都要求要有品質政策，以 ISO 9001、ISO 27001、ISO 20000 及 CMMI 為例。其中僅 ISO 9001、ISO 27001 於條文 中明確規範應有品質政策。品質政策應每年檢討其合適性，尤其當組織之 營運目標有變更時或新增國際標準時，都應重新做檢視。

37

都可與 ISO 27001、ISO 20000、CMMI 共用，儘量由 ISO 9001 的文件化 架構發展，有特殊需求再個別發展，以避免規範過多，造成執行困難。

1、 Introduction to CMMI

2、 Intermediate Concepts of CMMI

38

ISO 9001 稽核

ISO 27001 稽核 ISO 20000 稽核 CMMI 稽核

可考量共同執行

4.2.3 Check階段 (1) 管理審查

依據 ISO 之規定由高階主管成立管理審查委員會議，以檢視管理 系統的執行情形，CMMI 也有同樣的要求。審查重點：

a. 品質政策與品質目標之達成狀況與變更需求

b. 品質制度與辦法之適切性（包括品質手冊、政策、目標、作業制度）

c. 品質管理系統運作之有效性（包括過程績效及產品符合性、以及資 源使用之合理性）

d. 品質管理系統之組織與權責檢討 e. 品質稽核結果檢討

f. 客戶回饋與檢討(如：客戶滿意度調查結果報告抱怨) g. 矯正預防措施之執行有效審查

h. 影響品質管理系統變更(法令, 組織…)相關議題及改善建議 (2) 客戶回饋

一般企業以客戶滿意度調查作為業瞭解客戶回饋意見的管道，重點 在於客戶意見妥適處理，共同辦理較佳。

(3) 內部稽核

無論 ISO 或 CMMI 均明確規定要內部稽核，ISO 的部份可考慮整 合一起做，並以流程稽核方法，較易檢查出整體系統問題。CMMI 也 是流程導向，以軟體工程為主，稽核的內容與重點與 ISO 不同相，無法 與 ISO 整合。

圖 20：稽核整合 資料來源：本研究整理

39

4.2.4 Act階段

矯正、預防是管理系統持續改善重要工作，ISO 系列與 CMMI 由於差 異性大，無法共同辦理。

(1) 矯正行動

不符合的作業補正，採取措施消除根因，以防止再發生。

(2) 預防行動

採取措施，防止潛在原因及異常發生。

(3) 持續改善

已符合要求，採取措施讓績效更好

40

五 五 五

五、、、、結論結論結論結論

5.1 經營困難

經由以上的分析結果可以得知，當企業同時導入 ISO 系列 (ISO9001、ISO 27001、ISO 20000)與 CMMI 時，主要會面臨以下困難：

(1)專注不同，影響管理

CMMI 專注在階段(Staged)，ISO 則是持續改善(Continuous)。

也因為專注不同，兩者存在共同項目與不同項目。詳見第 4.1.1 及 4.1.2 節及附件一與二。在研究個案中，就曾出現在管理上有取捨的 現象。

(2)企業文化影響整體成效

資訊服務業是一個專業知識及技術密集的產業，過於用流程規 範管理員工，會限制員工的想像空間，對創意不利。

(3)不要勉強一定要整合

依據本研究 4.1.1 與 4.1.2 章節所述，ISO 系列與 CMMI 許多的 工作可以共同執行。但是管理系統是否要整合，需視企業的組織文 化而定。整合的優點是化繁為簡，省去許多重覆的工作，而最大的 困難是跨部門間的溝通，事情好解決，人的問題難處理，所以不要 勉強一定要整合。

雖然如此，但是企業若能將其困難引導或衍生為綜效(Synergy)，

可確實提昇整體企業品質之改善。亦即，同時導入可衍生出品質管理 的綜合效益。因此，專注不同與企業文化即變成品質改善的助力。下 一節即針對這綜效，提報在管理上的對應策略。

41

5.2 管理對策

本研究藉由實證研究，探討企業同時導入 ISO 系列(ISO9001、ISO 27001、ISO 20000)與 CMMI 之比較分析與管理，研究發現整理如下：

1. 建立明確、直接、一貫的管理系統

提昇品質是企業管理重要工作，其精髓就在流程管理，讓流程 充份發揮功能，時時找尋改進流程的機會，然後把機會化為事實。

企業導入品質管理系統，最大的功能，就明確、直接、一貫，泰勒 (Frederick Taylor)所提倡的「科學化管理」就是把員工的每個動作，

變成標準的工作習慣。

2. 流程規範與企業文化

無論 ISO 或 CMMI 均有文件化的要求，以文字敍述每項工作流 程規範，避免造成員工認知差異。惟資訊服務業是一個專業知識及 技術密集的產業，過於用流程規範管理員工，會限制員工的想像空 間，對創意不利。在流程規範與實務之間，一方面企業管理要夠鬆，

好讓同仁發展自已的新知識，另一方面管理要夠嚴謹，以使這些知 識能夠沿著流程規範而保留下來。

3. 重品質也要重利潤

企業要獲得 ISO 或 CMMI 國際證照，常是商業上的考量。惟國 際標準規範繁多而嚴謹，事前需要投入大量人力與時間，再加上顧 問輔導費用、外部稽核費用、國際證照維護費用等，投資金額不菲。

所以，為何說管理系統第一強調的重點是：高階主管的支持。企業

所以，為何說管理系統第一強調的重點是：高階主管的支持。企業

在文檔中 探討企業同時導入ISO系列(ISO9001、ISO 27001、ISO 20000)與CMMI之比較分析與管理─以台灣資訊服務業為例 (頁 37-0)