随着我国银行业IT系统数据的大集中,IT风险越来越不容忽视。来自银监会的最新通报,2007年我国银行业发生数起IT系统服务中断事故:3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时;8月15日,工商银行对计算机系统进行升级,但由于未避开业务高峰期,导致个人业务系统运行不畅;10月18日,建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行;12月21日,招商银行因运行中心核心网络设备出现故障,业务无法正常进行。有关专家认为,IT治理和系统管理粗放是银行业面临的主要问题。合理利用IT资源、有效控制IT风险,已引起银行业CIO的高度关注。信息技术基础架构库(ITIL)作为全球公认的IT服务管理及治理的最佳实践标准,倡导IT服务管理的流程化,是提升IT服务质量、规避银行业IT风险的有效手段。
一、ITIL的框架模型
目前,广泛认可、应用较成熟的版本是ITIL 2.0。ITIL 3.0在国内处于起步认识阶段。
ITIL 2.0以流程为导向、以客户为中心,通过整合IT服务与企业业务,提高企业的IT服务提供和服务支持能力及水平。ITIL服务管理标准库框架主要包括6个模块,业务管理、服务管理、IT基础架构管理、IT服务管理规划与实施、应用管理和安全管理(如图1示)。
其核心模块是服务管理,这个模块包括两大流程组,服务支持和服务提供。服务支持主要规范IT服务日常工作中对各种场景的处理方法,归纳了与IT管理相关的5个运营级流程,即事故管理、问题管理、配置管理、变更管理和发布管理。服务提供主要规范IT服务应达到的工作目标,侧重于对客户的服务承诺和质量水平,归纳了与IT管理相关的5个战术级流程,即服务级别管理、IT服务财务管理、能力管理、IT服务持续性管理和可用性管理。各流程相互贯穿和作用,共同建立起一个完整的服务管理体系。服务台(Service
Desk)是服务支持中的一项管理职能,在服务支持中扮演着极其重要的角色,是IT部门和IT服务用户之间的联系点。
ITIL 3.0是ITIL 2.0的继承和发展,是IT技术和IT服务管理实践的进一步结合。ITIL3.0的核心框架包括5块,即服务策略、服务设计、服务转换、服务运维、持续服务改进。与ITIL
2.0相比,有3个主要的变化。一是基于服务生命周期;二是引入很多行业案例,提供了实施参考;三是增加了和业界其他标准的接口,如CMMI、COBIT、6∑等。
二、ITIL的内控原理
1.流程控制原理
流程是通过其行为将输入转化为输出的活动,根据既定的服务策略定义出服务质量或标准,衡量行为执行的结果,控制行为的输入和执行(如图2示)。ITIL中定义了IT服务的一系列流程,通过流程的有效建立和控制,提高IT服务质量。
2.持续改进原理
持续改进的思想源于戴明的质量管理循环,即PDCA循环。P代表“计划”,确定方针、目标和活动计划;D代表“实施”,实现计划中的内容;C代表“检查”,跟踪和监控执行情况,找出问题;A代表“行动”,对找出的问题进行处理,并不断总结和改进。ITIL
3.0中的服务策略、服务设计、服务转换、服务运维、服务改进形成了PDCA的循环,同时也是IT服务生命周期。通过对服务质量和成本的持续监控,改进目标,提高服务效果。
三、ITIL在我国银行业的应用
20世纪90年代后期,ITIL被相关企业引入中国。近10年的时间,在企业、研究组织的推动下,越来越多的中国企业开始用ITIL管理自己的IT服务。我国银行业在进行数据大集中后,IT系统的规模不断扩大、日趋复杂,成立了专业运维IT系统的数据中心、运行中心、服务中心。信息化建设的重心已不再偏重于基础设施投资,IT服务管理被提上日程。为了提升自身的IT服务管理水平与国际标准接轨,银行业引入了ITIL、ISO/IEC20000。在流程控制和持续改进思想的熏陶下,IT服务水平和业务目标紧密捆绑,ITIL在银行业生根发芽。
中国银行广东省分行2000年就运用IT服务管理的思想,对业务流程实行有效管理,利用其共享企业知识、管理关键IT资产,提高生产效率、减少客户流失,增加银行收益。
中国工商银行2004年完成信息系统全国数据大集中。面对日益庞大的集中式IT系统,工商银行感受到运维管理的压力。2003年,开始引入ITIL理念,结合ITIL的问题管理、变更管理、事件管理、容量管理等流程,开发出具有自身特色的企业总控中心管理平台ECC,IT系统运维实现了分级管理、全网监控。
中国建设银行山西省分行开发了以业务为主线的IT服务管理系统。从业务管理、服务管理和架构管理3个体系架构层次,建立了一套以ITIL为基础适应业务发展需求的IT服务管理流程,以及支持该流程的电子化服务平台。
交通银行数据中心2007年1月启动以ITIL为基础的ISO20000 认证的工作,全面梳理IT服务管理的各个流程。在11月2日以“零缺陷”的优秀成绩通过认证审核,在国内金融业首家获得ISO20000认证。
如上所述,各银行在IT服务管理上都取得了显著效果:设立了服务台,提供统一的服务接口,引入集中监控软件,实施了对基础设施的全面监控;规范了IT服务流程,实现了知识共享等。ITIL的基本内容在应用中已经全部涵盖,但用ITIL所管理的IT服务是否有效或是否长期有效,值得深入思考。ITGov中国IT治理研究中心主任孙强认为,国内ITIL理念导入的阶段已经完成,如今国内企业迫切需要量身订做、贴合自身需求的ITIL。ITIL在国内银行的应用还属于基础应用,IT服务管理的各个环节还需要继续深入。
(1)ITIL实施要与企业文化结合
ITIL作为西方国家IT服务管理领域的最佳实践,值得国内的企业拿来效仿,但不是全盘的拿来主义,全盘的拿来主义最终结果只能导致水土不服。毕竟西方的企业文化与中国的企业文化有着明显的差别,包括思考问题和行事的习惯。ITIL实施中关键的一点就是需要考虑到企业的IT工作方式、组织架构、IT认识、考核机制、IT资源和预算,这些都属于企业文化包含的内容。一些企业在ITIL实施中没有注意自身的企业文化特色以及组织架构、部门划分、IT资源的合理调整,结果使ITIL实施成为了面子工程。
(2)ITIL实施要注重人的因素
Gartner的一项调查显示,在导致IT基础设施出现故障的原因中,源自技术或产品方面的原因只占20%,管理方面的原因则占到80%。IT服务管理由初始的救火式、被动式到主动式、服务式、价值式,人在渐进地IT服务转变过程中起着积极的推动作用。ITIL的3P原则,即流程(Process)、人员(Person)和技术(Product),其中人的因素最终关系到服务质量的高低。
(3)ITIL要面向服务、与业务融合
IBM将用户IT 服务管理方式的成熟度由低到高划分为5个层级,依次是面向基础架构的管理方式、面向应用的管理方式、基于流程的管理方式、面向服务的管理方式、IT
作为一项业务的管理方式。后两级是IT服务管理较成熟的标志。目前国内大部分企业处于一级和二级,ITIL要面向服务,与业务融合是ITIL的发展趋势。IT技术与业务的关联关系日益紧密,利润链条不可分割。在ITIL服务级别管理中,服务级别协议是IT提供方与客户就服务提供与支持过程中关键的服务目标问题所达成的协议,旨在明确客户的业务需求及相应的IT服务需求,使业务目标与服务目标相一致。
(4)ITIL要不断完善、持续改进
ITIL在国外有较成功的应用案例和斐然的实施效果。而在国内企业实施后效果却不明显。ITIL自身正在不断完善、持续改进,从2.0到3.0,一直在吸收先进的技术和实践经验。ITIL实施后,更需要贯穿持续改进的思想。
|