2026年1月29日，PeopleCert正式发布了ITIL 第5版。作为ITIL官方中国区产品大使，我将会推出系列文章帮大家解读ITIL 第5版到底有哪些重大的更新。

ITIL v5（中文语境下通常称为ITIL 第5版）已经正式发布。很多人看到“AI治理”被强调，会本能以为这是框架在追热点：市场热什么，就把什么塞进来。但真正站在合规、风控与IT治理视角看，你会得到完全相反的结论：AI治理被抬到台前，不是因为AI很炫，而是因为AI正在改变组织的决策链路，改变问责结构，改变风险的传播速度。

过去，自动化更多停留在“辅助层”：提升效率、减少重复劳动、加快响应。即便出错，人还能在关键步骤兜底。现在，AI越来越多地进入“执行层”：生成方案、建议变更、触发自动动作、影响优先级与资源分配。一旦AI开始参与执行，风险不再是“偶尔出错”，而是“规模化传播偏差”。没有治理的AI，不是省成本，而是在以复利的方式欠下管理债务。

所以，ITIL 第5版把AI治理从“可以讨论”推进到“必须具备”，逻辑非常清晰：组织要在可接受风险之内获得收益，必须先把风险边界、责任归属与可审计性补齐。你管的不是模型参数，你管的是组织的风险边界。

一、ITIL 第5版升级内容全景

理解AI治理的必然性，必须先完整理解ITIL 第5版的更新主轴。因为AI治理不是独立模块，它与管理对象、生命周期、体验与实践组合紧密耦合。

1）定位升级：从服务管理走向数字产品与服务管理

ITIL 第5版把管理对象扩展为数字产品与服务的整体，强调端到端价值交付。这意味着AI不再只是运维或服务台的局部工具，而可能贯穿从发现到支持的整个生命周期，影响更大，边界也必须更清晰。

2）生命周期模型升级：八个阶段覆盖从想法到退役

ITIL 第5版提出产品与服务生命周期的八个阶段：发现、设计、获取、构建、转换、运营、交付、支持。AI能力可能出现在任何阶段：发现阶段用于洞察，构建阶段用于生成代码，转换阶段用于风险评估，运营阶段用于自动补救，支持阶段用于知识生成。阶段越多，风险触点越多，治理也必须能覆盖全链路。

3）体验进入核心：价值不只看达标，更看旅程摩擦与结果

AI若介入触点，会直接影响体验：回复更快不等于体验更好，建议更“像人”不等于更可信。体验成为核心之后，AI治理必须把“体验损耗”纳入风险视角，否则组织会出现指标漂亮但满意度下降的反常现象。

4）AI进入框架中心：从工具话题走向治理与能力边界

ITIL 第5版强调AI带来效率机会，也带来治理挑战。数据质量、责任边界、授权与问责、可审计性与风险控制，是AI进入生产体系的前置条件。否则自动化只会加速偏差与风险。

5）实践使用方式变化：从清单背诵走向情境化组合

AI治理不是一条流程能解决的，而是多实践组合：风险管理、信息安全、度量与报告、知识管理、变更实施、事件管理等都要按环境组合，并嵌入价值流。治理的落地方式因此更强调“组合与闭环”，而不是“写一份政策文件”。

这五点决定了一个事实：AI治理不是附加选项，而是端到端数字产品与服务管理的核心能力之一。

二、AI治理为何必修：风险的本质变化，是“传播速度”与“责任结构”变了

要理解AI治理为何从选修变必修，必须承认AI带来的风险不是“多了一类风险”，而是风险的结构发生变化。

1）风险传播速度指数级上升

传统错误往往是局部的、线性的：某个流程做错，影响某个范围。AI进入自动化闭环后，错误可能被规模化复制：

• 错误分类导致错误分派，进而导致处理延误

• 错误建议导致错误变更，进而导致事故

• 错误生成内容进入知识库，进而长期污染决策

• 错误判断被固化为规则，进而成为系统性偏差

这类风险的可怕之处在于：它不是“发生一次”，而是“发生一次、复制无数次”。

2）责任结构更容易出现真空

当AI参与决策链路，组织如果没有明确授权与问责，很容易出现三种责任真空：

• 人以为AI只是建议，所以不承担问责

• 管理者以为AI是工具，所以不承担问责

• 供应方以为交付的是模型能力，所以不承担问责

最后的结果是：风险发生时找不到负责的人，治理失效；风险未发生时也无法证明合规与可审计性。

3）风险不再只影响“系统”，还影响“信任”

AI输出具有“拟人化”特征，极易影响用户与员工的信任结构。一旦出现偏见（bias，偏见）、幻觉或不一致输出，损失的不只是一次事故处理时间，而是组织的信誉与用户信任。这类损失往往不可逆，也难以用传统指标捕捉。

因此，AI治理的必修性并不是被迫，而是一种现实：风险传播速度变了、责任结构变了、信任成本变了。ITIL 第5版把治理推到中心，是因为它看见了这三点的叠加效应。

三、你管的不是模型，是风险边界：AI治理需要先把边界讲清楚

治理工作的第一步不是写政策，而是定义边界。没有边界，所有治理动作都会被“效率优先”的惯性冲垮；有了边界，效率才有可能在可控范围内释放。

AI治理边界至少要回答四个问题：

AI的角色是什么

• 是洞察与建议，还是自动执行

• 是辅助决策，还是替代决策

• 是面向内部员工，还是面向外部客户

哪些决策可自动化，哪些必须人工把关

• 影响生产环境的动作是否允许自动执行

• 影响资金、合规、客户权益的动作是否允许自动执行

• 高风险变更是否必须由授权人批准

数据质量门槛是什么

• 数据准确性、完整性、一致性是否达标

• 关键记录是否可追溯、可审计

• 知识来源是否可验证，是否存在污染风险

出现偏差时如何止损与追责

• 触发什么条件自动降级为人工接管

• 发生事故时如何定位责任链路

• 如何保留证据以支撑审计与复盘

这些问题的答案本质上不是技术答案，而是治理答案。它们定义了组织愿意承担的风险边界，也定义了谁拥有授权，谁承担问责。

四、AI治理的最小闭环：四件事不做，治理就只是口号

很多组织一提治理就想到“制度很重”。但真正有效的AI治理，恰恰不是重，而是闭环。一个最小闭环只需要四件事：可见、可控、可追溯、可改进。

1）可见：让AI参与的链路被识别出来

治理的前提是知道AI在哪里产生影响。建议至少做到：

• 明确哪些价值流环节使用了AI

• 明确AI输出影响了哪些决策点

• 明确AI输出进入了哪些数据与知识资产

如果连AI影响范围都不清楚，任何风险评估都是虚的。

2）可控：把授权与触发器写清楚

可控不是靠审批堆叠，而是靠明确的授权机制与触发条件：

• 哪些动作需要授权人批准

• 哪些动作满足条件可自动执行

• 哪些异常触发必须升级与停止自动化

这里最容易欠的账，是授权不清，导致“没人敢用”或“乱用没人管”。治理要做的，是把可用边界画出来。

3）可追溯：可审计性是AI治理的硬底座

没有可审计性，治理就无法证明自己有效。需要关注三类证据：

• 输入证据：数据来源、版本、口径、是否经验证

• 决策证据：AI输出、关键参数或提示词、决策链路记录

• 执行证据：谁批准、何时执行、执行后结果与影响

可追溯不是为了“追责”，而是为了复盘与改进。没有证据，组织只能靠猜，猜不出系统性风险。

4）可改进：持续改进必须嵌入治理节奏

治理不是一次性文件，而是一种运行机制。建议把持续改进嵌入固定节奏：

• 定期复盘AI输出的偏差类型与频次

• 定期评估风险边界是否需要调整

• 定期检查数据质量是否满足门槛

• 定期更新授权机制与控制点

只有把持续改进变成BAU，AI治理才不会在热度过去后失效。

这四件事连起来，就是AI治理的最小闭环：可见、可控、可追溯、可改进。它不依赖宏大口号，但能真实降低风险。

五、把治理落到生命周期与价值流：AI风险最容易在三个节点集中爆发

ITIL 第5版强调生命周期八个阶段与价值流视角，AI治理也必须落在关键节点上，否则就会“写在制度里，死在执行里”。从实践经验看，AI风险最容易在三个节点集中爆发：

1）转换阶段：发布与变更的风险曲线

转换不是一瞬间，而是一段风险曲线。AI若参与变更建议、风险评估或自动部署触发，治理要特别明确：

• 高风险变更必须由授权人批准

• 自动执行必须满足预置条件与回滚机制

• 异常触发必须能自动停止并升级

2）运营与支持：自动化闭环最容易放大偏差

运营与支持场景常见AI用法包括告警聚合、工单分类、自动分派、知识生成。风险在于：

• 错误分类导致延误与升级失败

• 生成内容污染知识库，形成长期偏差

• 自动触发补救导致误操作扩大影响

治理要在这里特别强调数据质量、可追溯证据与异常降级机制。

3）发现与设计：验收标准与边界定义决定后续风险上限

很多组织只在执行阶段谈治理，但真正决定风险上限的，往往在上游：

• 用例边界定义是否清晰

• 验收标准是否可验证

• 风险评估是否覆盖偏见与幻觉带来的影响

• 数据来源与合规要求是否明确

上游边界不清，后面再堆控制点也只能止血，无法治本。

六、最容易欠的三笔“治理债”：不补齐，AI越用越危险

AI治理从选修变必修，本质上是因为组织最容易欠下三笔治理债务：

• 债一：把AI当工具，不定义责任边界

最后出现事故时，问责失效，组织对AI失去信心，规模化落地被迫中止。

• 债二：把数据质量当后续再补

AI输出不稳、自动化反复误判，团队用更多人工去纠错，效率收益被抵消，还制造更多混乱。

• 债三：没有可审计性与证据链

无法证明合规，无法复盘改进，治理只能靠口头承诺，风险一旦被监管或客户质疑就会陷入被动。

这三笔债务不是抽象问题，它们会在组织推进AI的过程中以非常具体的形式出现：投诉、事故、返工、内耗、合规压力。ITIL 第5版强调AI治理，就是在提醒组织别等到债务利息变高才开始偿还。

ITIL v5把AI治理从选修变必修，并不是要组织去管模型细节，而是要把AI带来的风险传播速度与责任结构变化纳入治理体系：先定义风险边界，再明确授权与问责，再用可审计性建立证据链，最后把持续改进固化为日常经营；只有这样，组织才能在可接受风险之内获得AI与自动化的收益，而不是用更快的速度把偏差与风险规模化扩散。

我是AI+ITIL教练长河achotsao，欢迎交流。关注我，即可第一时间获得ITIL 第5版最新动态及官方特邀中国区大使的深度解析，全网同名。