商业银行信息系统变更管理分析范文

《中国金融电脑杂志》2015年第一期

一、变更管理的标准流程

商业银行在不断发展中，不可避免地会存在各种各样的变更活动，无论是自行开发的软件版本投产，还是修改供应商提供的软硬件参数，或是改变系统、网络部署模式、搬迁机房等操作，如何对以上各类变更活动进行有效管理？一般情况下，建议通过规范化、标准化变更管理流程的方式，对变更申请、审批、准备、实施等全流程进行精细化管理以减小变更可能引发的生产事件及对业务连续性产生的影响。具体流程如图1所示。（1）变更申请变更申请作为变更流程的第一步，应由需求方向实施方提出正式的变更申请，通常要填写统一的变更申请表并注明申请人、申请时间、详细的变更需求、原因及内容、期望变更完成时间等。对于中高风险变更，需求方还应评估该变更可能产生的影响。最后，变更申请表经由需求方的负责人审核后提交给实施方。（2）变更准备实施方接收到变更申请后，根据变更需求制定详细的实施方案，内容应包括：实施过程的详细步骤、实施完成的验证方案、实施不成功的回退方案等。实施方案应由技术部门负责人进行审批。对于中高风险变更，还应由技术专家对实施方案进行评审后提交给管理人员进行审批。（3）变更实施实施部门应安排有经验的技术人员实施变更，实施人员应严格按照实施方案实施，并保障双人操作，一人实施，一人复核。实施完成后，必须认真审核结果并进行技术验证。（4）变更反馈变更实施完成后，由需求方进行需求验证，验证通过后，应反馈给实施人。对于未成功实施的变更，应及时联系实施人，分析变更失败原因，准备进行下次变更。

对于以上标准流程，还应重点关注以下几点：（1）准确定义变更风险度不同的变更风险引起的关注程度是不一样的，对于高风险变更需要各方面的业务骨干、技术专家，甚至高层领导一同研究实施方案，确认实施步骤。但是对于低风险变更，一个技术人员即可确定如何进行操作。因此，准确定义变更风险度对于提供所需的技术及人力资源极其重要。同时，如果一个高风险变更被定义成了低风险，并未引起大家的足够重视，则可能会引起重大的生产事故。（2）变更实施时间的选择对于有计划的变更，应充分考虑时间安排的合理性，应选择在基本不影响业务的情况下实施，例如一些重要柜面业务系统的变更，为保障不影响正常业务的开展，应选择在周末的夜间进行。对于紧急变更，也应尽可能的在满足时间要求的情况下，选择在对系统影响最小的时候实施，例如在正常工作日要实施紧急变更以解决某个业务系统的bug，此时，应在该业务系统交易量最小的时刻进行操作，以防止由于高峰时段业务的突然中断而产生巨大影响。（3）高度重视变更审批变更审批决定着做不做变更，以及怎样做。在变更申请中，需求的审批应在进行了充分的业务影响分析的情况下完成，以保障变更确实能在风险可控的情况下达到预期目标。在变更准备中，审批者需尽职尽责，严格审核实施方案，以保障实施结果的正确性并保障在产生问题时能及时回馈。对于由方案不完善、不准确这类原因所导致的变更失败等问题，变更审批人员甚至应承担比实施方案制定人员及实施人员更多的责任。（4）紧急变更应参照标准流程执行对于紧急变更，可通过邮件或电话先进行审批，实施完成后可再按照正式流程进行加补申请。但是对于变更方案的制定、实施及反馈仍需按照标准流程进行，并需要有资质的人员进行把关审核，保障紧急变更能以对业务影响程度最小的形式进行。

二、变更管理中应关注的其他方面

1.建立一套全面完善的制度规范体系为提高变更管理的有效性，规范变更的处理流程，合理有效地调配资源，防范变更风险，建立一套广泛适用于全行的变更制度规范体系是不可或缺的。其中，应包括以下强制规定：（1）各个变更相关部门及岗位的职责；（2）变更各个阶段的活动内容及相关要求，并细化到针对不同类型、不同风险程度的变更管理，采用不同流程；（3）变更实施方案的编写要求与具体步骤，比如实施方案中不能含有客户敏感信息，网络类实施方案应精确到指令级等；（4）应明确各种例外情况的处理方法，特别是对紧急变更要给出一套行之有效的流程方案。通常，变更管理作为一个单独完整的制度被提出，但有时可能也与问题管理、事件管理等IT服务共同组成一套体系规范。

2.培训的重要性在变更管理的过程中，加强人员培训是必不可少的关键环节。不论是对制度规范的理解，还是技术水平的提高，都应该有规划、有组织地进行系统化的培训。同时，还应进行安全意识的培训，重点关注变更管理中的安全方面，例如保护客户信息敏感性的重要性，关注生产环境与测试环境的网络隔离、防止变更人员的客户端感染病毒等。

3.对变更的审计为保障变更管理按照制度流程执行的规范性，需要指定专人定期对变更进行审计。审计主要关注以下方面：（1）变更申请、准备、审批、实施、验证、反馈等各环节的合规性；（2）变更实施方案的质量，包括生产变更方案是否细化到指令级，应急方案和回退方案是否具有可操作性，变更内容是否符合变更需求，变更实施方案是否审批到位等；（3）紧急变更流程，重点审计变更实施未经任何形式的审批，也就是未经变更流程实施变更，这种情况极易产生生产事件，对于这种情况，审计程序应先找到发生变更的事实，可通过信息系统日志记录，然后从中去寻找是否有变更申请，是否有未经过变更审批就进行操作实施的不符合项。需要注意的是，变更审计人员应保持独立性，不能执行自己所参与变更的审计任务。此外，变更审计结果应引起各级领导的高度重视并积极加以整改。

综上所述不难看出，制定一套标准的变更流程对于商业银行来说至关重要。同时，为保障该流程的有效执行，在建立变更管理制度规范体系的同时，还应强化领导与变更相关人员的意识及技术培训，并对变更是否规范执行进行定期审计。

作者：金雯婷刘家猛单位：中国工商银行股份有限公司数据中心