以变更评审为核心的变更管理方法

应用系统变更管理作为运维管理的重要内容，是IT连续性管理的重要组成部分，能否有效防控变更风险将直接影响银行业务连续性管理的有效性。对信息系统投产变更风险，国家金融监管部门的要求日益严格。银监会于2009年先后发布《商业银行信息科技风险管理指引》和《银行业金融机构重要信息系统投产及变更管理办法》，要求银行业建立变更管理流程，落实重要信息系统投产及变更管理责任，加强投产及变更的组织管理。

        本文在对国内外相关监管制度、理论成果及标准体系的研究基础上，结合应用系统特点，对变更管理方法进行了深入研究。从变更风险管理的角度出发，结合变更的管理要点，通过扩展变更评审定义，实现变更风险管理和流程管理的有机融合，形成以变更评审为核心的变更管理方法，旨在对投产变更管理过程进行优化，提高投产变更管理科学化和规范化水平，保障商业银行生产安全。

一、变更管理的风险过程

        商业银行应用系统变更管理的主要目标是对应用系统投产及变更带来的风险进行管理。变更管理的现有理论研究和标准体系侧重于对变更流程的管理。而变更风险作为信息科技风险的一部分，具有风险专业性强、复杂度高、隐蔽性强等特点，仅从流程方面对变更进行管理，对变更活动潜在的风险难以进行全面管控。因此从风险管理的角度对变更管理进行研究是十分必要的。

        在风险管理方面，国内相关研究机构及学者进行了大量的研究，形成了较为成熟的风险管理体系。而在银行业信息科技风险管理领域，相关研究认为银行业信息科技风险管理流程一般包括信息科技风险识别与评估、风险监测、风险控制和风险报告。其中风险识别与评估过程主要是识别潜在的风险和威胁，并对潜在的信息技术风险进行评估；风险监测过程基于风险识别和评估的结果，对信息科技风险进行监控，及时识别风险并进行分析，以规避、分担和降低风险；风险控制和风险报告过程主要是通过相关措施有效管控信息科技风险，并通过管理策略评估、有效性评价、问题整改等手段实现信息科技风险管理的持续改进。

        变更风险的管理也遵循上述管理流程，但在国内银行业信息科技管理体系下，投产变更的风险管理有其相应特点，在风险管理流程中，各个风险管理过程的工作侧重点有所不同，主要体现在以下方面。

        首先，变更风险具有专业性强、复杂度高、隐蔽性强等特点，变更风险识别过程需要大量的风险分析和评估工作，因此在进行风险识别的同时也完成了变更风险的评估工作。

        其次，在变更风险监测过程中，更侧重于主动发现变更相关活动存在的风险，根据风险监测情况执行相应的风险计划，有效规避、分担、降低和接受风险，因此在该管理过程中，相关活动更侧重于风险应对。

        最后，根据国内商业银行现有信息科技管理体系现状，变更风险控制过程和变更风险报告过程由不同职能部门完成，因此在变更风险管理流程中，应该拆分为两个管理过程。其中风险控制主要通过执行预先制定的风险控制措施及相关管理制度，有效地控制风险，该管理过程主要由应用系统变更实施人员或运行维护人员执行，而风险报告主要是关注变更管理实施情况，实现信息科技风险管理的持续改进，而该过程则需要管理部门执行。

        通过对变更风险管理过程的梳理，并结合银行业信息科技风险管理流程，总结得出变更管理应包括以下四个风险过程：风险识别、风险应对、风险控制及持续改进。其中，风险识别过程包括识别风险、评估风险等活动；风险应对过程则是制定风险防范计划以规避、承受、降低或者分担风险；风险控制过程是指采取各种措施和方法减少风险事件发生的各种可能性，或者减少风险事件发生时造成的各种损失；持续改进过程则是关注变更管理实施情况，优化变更风险管理。变更管理的四个风险过程紧密衔接，相互促进，保证变更风险管理的有效性。

二、变更管理的管理要点

        在变更管理流程方面，国内外相关标准体系对变更管理流程及要求进行了规范。lSO20000指出变更管理目标是“确保以受控的方式评估、批准、实施和评审所有变更”，评估是评估变更对应用可用性和服务连续性的影响，要求对变更的范围和分级进行明确，并分析变更存在的风险；批准需相关管理团队、技术专家对变更的内容进行审查，对审查通过的变更予以批准实施，要求针对变更存在的风险制定相应的补救措施；实施是指实施人员实施变更的过程，要求变更实施人员做好版本控制，并对实施结果的正确性进行验证；评审是指变更实施后的分析和总结，要求有定期风险变更的历史记录并记录相应的改进措施。由此可以总结得出变更管理应该包括风险分析、变更分级、变更审查、变更实施、变更验证、变更评价等管理方面。

        鉴于商业银行对软件运维阶段的变更实施要求必须确保银行业务的连续性，变更风险分析应由各相关系统的专家会同评估，因此应该在变更审查过程中完成，可以称之为变更评审；为避免或降低变更对业务连续性的影响，通过增加变更特护、变更回退及应急环境等管理内容实现有效的应对和控制变更风险。

        通过上述对变更管理关键要素、执行流程、标准化规范、商业银行软件运维阶段对应用系统变更的要求梳理、分析银监会《商业银行信息科技风险管理指引》（简称为“指引”）、《银行业金融机构重要信息系统投产及变更管理办法》（简称为“办法”）、《银行业金融机构信息科技风险非现场监管报表》（简称为“报表”）、《银行业重要信息系统突发事件应急管理规范》（简称为“规范”）等相关监管政策的基础上，总结得到变更管理的9个管理要点，如图1所示。

三、变更管理方法

        变更风险管理关注变更风险防控，而变更流程管理关注于变更流程合乎规范，从不同的角度实现对变更的有效管理。在变更流程管理中对变更风险点有所关注，但没有形成体系，而变更风险管理在风险防控方面没有注重具体管理要点的落实。因此，将变更风险管理和变更流程管理进行有效融合，可以构建一个体系化、流程化的变更管理方法，从而实现同时从风险管控和流程合规两方面做好变更管理工作。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文