浅谈G行变更风险控制

开发 项目管理
变更管理机制不是一成不变的,而是不断演化改进的,随着系统规模的扩大和复杂度的不断提升,在变更管理实践过程中,需要不断总结变更过程发现的问题,结合业务实际情况和技术发展,逐步优化变更管理方式,助力企业高质量发展。

引言 | Introduction

随着企业规模的扩大,系统规模也逐年扩大,技术日趋复杂,变更需求的数量也随之增加,变更管理也越来越受到重视。有效的变更管理对于长期发展和竞争力至关重要,提升变更管理水平是企业高质量发展不可忽视的领域。如何做好变更管理,保持日常工作的稳定和高效,是企业重点关注的问题。本文主要从变更管理的流程机制为出发点浅谈变更管理。

变更管理目的

变更管理的主要目标是能够进行有效的变更,确保在变更实施过程中使用的方法和步骤安全可靠,有序地实施变更,以将由变更所可能引发的潜在风险隐患减小到最低。通过有效的变更管理保证变更准确性、有效性和安全性,降低变更操作的风险,减少变更影响,提升运维服务水平。

变更风险控制

在明确变更管理目的前提下,总结变更管理方面存在的问题,制定有效的解决方案,建立常态化变更管理机制和规范,从制度、组织、实施要求、工具、检查等方面做好变更的风险控制。

明确变更管理范围

变更管理的范围包含所有生产环境变更。生产环境变更主要指在生产环境下对生产对象运行状态、程序版本、参数配置等产生变化的相关操作,包括运维对象本身及其关联的软硬件环境,也包含关联的各类客户端运行环境。

企业应明确变更管理的归口管理部门和变更评审决策机制。归口管理部门负责制定变更管理规范,推动变更规范落地、根据制度执行效果优化变更管理规范。各管理部门对各自管理范围内的投产变更负责,通过定期开展投产评审活动对各自管理范围内的投产进行评审,涉及到重大架构改造的、有重大业务影响的或与生产系统密切相关的投产均需要报归口管理部门进行对应层级的投产评审,归口管理部门定期受理各部门、各领域上报的重要投产变更评审。归口管理部门应设置多级评审机制,投产变更需通过与投产风险等级相适应的评审级别后方可进行投产。

制定变更管理规范

变更管理,制度先行。变更的执行需要按照变更管理制度执行。建立完善变更管理制度是变更管理常态化开展的基石,变更管理制度应根据行业监管要求,结合企业实际管理情况制定,统筹考虑变更类型和变更风险、组织机构和职责分工,以及变更流程要求,为企业进行变更管理起到规范和指导作用。

确立变更评审机制

应根据企业的规模、变更影响程度、变更对象重要程度、变更复杂程度等设置二级或三级等多级评审管理层级,定义各层级的评审委员会职责,明确各层级的评审准入标准,通过不同层级的评审机制实现变更的风险控制,降低变更实施隐患。变更评审应以不产生或降低业务影响为最终的变更评审要素,并以此为目标开展变更评审工作。所有变更实施均需要评审通过后才可以实施,严把变更管理扎口作用,通过明确变更实施准入要求、强化多级评审风控机制,降低变更的风险。按照G行的实践,G行设置三级评审机制:

一级评审委员会由基层管理者、专家架构师组成。主要评审标准化的变更,从操作风险、业务影响、变更实施步骤、变更测试情况、变更验证方案、变更回退方案等方面进行评审。主要强化对投产变更控制表的评审,重点评估变更实施命令和输出结果,并结合历史评审意见给出审批意见,评审结果为通过、条件通过或不通过。将其中风险、影响较大的变更升级到二级评审委员会。

二级变更评审委员会由中层管理者、基层管理者、技术专家、架构师组成。主要对本领域内产品、技术发生变化或新系统新功能应用等开展评审,重点在新增领域引入风险、业务影响、变更协同、变更验证、变更回退等方面进行评审。对于需要进一步跨领域协同评审或可能存在对外关键业务服务影响的变更需要上报到三级评审委员会评审。

三级变更评审委员会:由高层管理者、中层管理者、技术专家、架构师组成。评审范围包括新产品、新技术、新系统首次投产及系统重大架构改造;存储、网络、机房等基础设施类重要变更;影响应用系统对外服务等变更。重点评审跨领域的风险、变更时间的合理性等,从整体把控变更风险。评审会要充分发挥运维与研发的专家力量,加强专家架构师专业性作用,通过运维与研发联合评审提升评审的质量,降低变更的风险。

明确变更实施要求

变更必须通过评审后方可安排实施,审批意见为条件通过的变更要在满足实施条件后方可安排实施。对变更实施过程进行管理。

(1)明确变更前报备要求

对可能存在潜在业务影响或确定存在业务影响的生产变更,应及时向监管机构、第三方服务机构或服务部门进行变更报备,提前告知相关各方,做好配合验证并做好应急预案准备。

(2)规范变更实施时间

为避免不同领域间变更相互影响,降低交叉影响。应合理化规范各专业领域变更窗口,不同专业领域原则上应在各自集中变更窗口进行变更实施操作,如需在特殊时间段实施,需要充分评估变更必要性和操作风险,得到授权后实施。重要信息系统投产应按照业务影响最小原则,避开业务高峰期和敏感时段,合理安排时间窗。

(3)明确变更实施地点

变更实施应在固定的地点实施,保障安全运营。企业应规范变更访问要求,并设立独立的变更操作间,严格控制变更操作地点,除必须到机房实施的设备、网络及基础设施工作外,其他变更应在变更操作间实施。经审批通过的变更实施人和复核人可以进入变更操作间,其他未授权人员不得进入变更操作间。因紧急投产等需临时进入变更操作间人员,需要经过审批授权后进入。在变更间实施变更操作,须通过堡垒机进行变更操作,记录变更操作。

(4)明确变更实施人员要求

变更操作时应进行双人复核以降低变更操作风险。变更实施均应由变更实施人和变更复核人双人操作和复核,变更实施人和变更复核人共同验证变更结果。变更实施人实施过程中不得更改变更方案内容,必须按照审批通过的变更实施计划并参考变更审批意见进行变更操作,当遇到计划外情况时,应及时进行汇报,并优先考虑进行回退操作。变更复核人需保证实施人严格按照已通过评审的变更方案进行操作,并对关键步骤、关键命令和参数进行复核。

(5)控制变更交叉影响,统筹协调基础设施变更与业务系统持续性运行关系

为避免基础设施类变更与重要信息系统类变更存在相互影响的潜在风险,重要基础设施类重要变更和重要信息系统的重要变更需要分开进行,减少交叉影响。对于存储、网络、云等基础设施类变更,应对要变更的基础设施上运行的所有信息系统进行影响评估,并协同安排相关人员做好变更保障。

(6)变更后通知通报

以终为始,强化通知通报要求,实现变更闭环管理。固化变更完成情况通报模板,变更完成后,变更负责人应按照通报模板向相关干系人及时通报变更完成情况,报告内容包含变更实施阶段、系统资源使用率、交易量变化等运行情况。

工具化变更管理流程

变更管理流程主要包括变更创建、变更评审、变更实施、变更关闭及归档环节。需要将变更管理流程与变更管理工具平台联动,通过流程和工具相结合,将变更管理流程线上化,通过工具流程控制变更风险,落实审批、双人复核、访问控制等要求。可视化变更管理,便于分析多维度变更统计数据,提升运维效率。

(1)通过变更管理工具平台实现变更管理流程线上化

将制度管理要求无形于日常操作流程中,变更流程的提出、审批、实施、关闭等环节通过变更管理流程工具实现线上操作、记录和跟踪,实现变更管理流程的可视化。变更管理相关要求融入到变更管理流程工具,通过变更的线上评审流程、实施任务的双人复核要求及流程工具设置内嵌校验规则等方式,起到流程风险把控的作用,降低变更的操作风险。

(2)通过变更管理工具平台控制出入变更操作间权限

通过变更管理工具平台与门禁系统联动,在变更工单的实施任务填写变更的实施人员和实施地点,待变更工单审批并完成授权后,触发门禁系统自动授权相关人员出入变更操作间权限。实现变更人员的授权控制,以保障安全运营。

(3)通过变更管理工具平台提升运维效率

通过变更管理和平台工具支撑,依据变更管理目录,基于电子化工具平台支持变更工单内容、流程记录和相关报表查询、导出和下载。便于对变更管理过程中生成的多维度多层次数据开展统计分析,便于运维人员查看每日的变更任务和每日的重点关注,便于事件处置分析,极大的提升了运维效率。

制定变更评价指标

变更实施完成后,应通过变更评价衡量变更执行结果。变更评价的维度包括变更实施操作的标准化和自动化程度,变更实施过程的合规性,变更实施结果的正确性。变更管理的重要指标主要有变更自动化比率、变更合规率、变更差错率等。自动化率指标是用来衡量变更实施工艺的重要指标;变更合规率指标是用来衡量变更过程流程合规性的重要指标;变更差错率是用来衡量变更质量的重要指标。应制定合理的评价指标范围,合理的变更评价指标可以促进变更管理水平提升。

为规范变更操作,防范变更操作潜在隐患,筑牢风险防控意识,管理者应制定变更考核指标用来规范和指导变更操作。除变更合规性、变更差错率等常用指标外,为进一步强化变更风险管理,明确变更操作底线要求,提升变更管理严肃性和震慑力,管理者可依据管理领域特性,制定变更红线要求强化提升管理目标,加固变更相关人员敬畏生产的风险意识。对违反变更红线行为人员应从严考核,通过正向引导和考核评价等多种方式,促进从业人员安全意识提升,夯实生产运行基础。禁止性条款包括但不限于:

(1)禁止无审批变更;

(2)禁止无测试变更;

(3)禁止无回退方案变更;

(4)禁止工作时间段、业务高峰期变更;

(5)禁止不在变更地点变更;

(6)禁止未授权人员变更;

(7)禁止无复核变更;

(8)禁止擅自更改变更方案;

(9)禁止变更后不验证;

(10)禁止发现问题不报告、有业务影响变更不升级。

变更回顾

加强变更事后审计,提升变更合规管控效力。应定期组织各领域人员对已实施的变更进行回顾,包括变更工单的回顾和变更缺陷的分析:

定期组织各领域人员对变更工单进行回顾,可每个季度对已实施的变更工单进行回顾。回顾内容包括变更工单的质量、变更操作的正确性、变更流程的合理性,如可进行变更工单填写的内容合理性检查、进行变更方案及实施步骤与变更计划的一致性检查、进行变更流程审批及授权的合规性检查,确认与变更相关的各项工作都已经按要求执行。

定期组织各领域人员对变更缺陷事件进行分析,可月度进行总结。通过分析变更缺陷,推动技术方案改进,弥补流程缺陷,进一步推进变更经验的总结和推广,不断的提升变更质量。

变更管理设想

加强技术复核支撑和控制手段

变更管理流程要求变更双人复核。推动变更实施工具平台具备技术手段支持双人复核功能。实现变更实施人下发命令后不真实执行,待变更复核人确认后提交并生效变更操作,从技术上实现双人复核功能。加强技术复核支撑和控制手段,可减少因变更实施人执行变更方案错误,缺少变更复核环节,导致变更缺陷事件的问题数量。

加强变更管理工具平台

和变更实施工具平台联动

加强变更管理平台和变更实施平台的联动,使管理要求自动化落位到实施平台中,一方面强化了管理要求的落地效果,另一方面防范了实施人员的操作风险。例如在变更实施工具平台中自动记录变更开始和结束时间,变更完成后将变更完成情况和变更实施开始及结束时间推送到变更管理工具平台进行回填,可以保证流程记录中变更实施结果的正确性及工单处理的及时性,既能避免人工误填问题,也能提升工单处置效率,同时也可以借助联动效果,对变更实施平台做出操作限制,对于未能达到变更实施条件的变更操作限制操作行为,规避变更实施风险。

加强变更管理数字化能力

在数字化转型的背景下,要进一步加强变更管理数字化挖掘能力,加强对数据的分析和洞察,分析数据之间的潜在逻辑关系。通过数字化展示变更管理各类指标数据,丰富和完善变更管理评价维度,挖掘数据潜在规律,支持和促进变更流程的数字化变革和创新再造。如按变更领域分布、按实施时间分布、按变更执行结果、按变更缺陷事件和变更实施类型及时间关联关系等多维度分析变更运行数据,形成多源分析能力,借助数字化手段反溯管理侧建议,持续化基于一线运行数据循环促进管理能力提升,发掘出良性管理策略,促进一线生产能力稳步提升,降低变更风险影响。

结语

科技以服务业务发展为首要目标,优质的变更管理是保障银行业务高水平发展、促进业务连续性水平稳固提升的必要基础。变更管理机制不是一成不变的,而是不断演化改进的,随着系统规模的扩大和复杂度的不断提升,在变更管理实践过程中,需要不断总结变更过程发现的问题,结合业务实际情况和技术发展,逐步优化变更管理方式,助力企业高质量发展。

责任编辑:武晓燕 来源: 匠心独运维妙维效
相关推荐

2024-04-02 07:59:06

G行科技客服

2023-03-28 07:42:03

2021-08-05 07:28:25

虚拟化超融合架构

2023-06-27 07:12:52

2014-10-27 09:41:48

2022-05-12 12:03:02

卫星互联网安全

2011-03-10 15:22:08

访问控制机制Java

2019-04-16 11:02:10

TCPIPLinux

2009-08-26 13:15:38

C#选择控制

2023-12-06 21:50:40

2011-08-09 09:37:57

风险管理策略

2014-08-07 09:24:08

Process

2020-02-20 16:34:31

大数据安全防护

2012-05-15 19:13:40

Insight Con

2020-10-22 10:21:21

风险

2010-03-26 11:23:59

无线嵌入式控制技术

2010-04-19 09:52:24

Oracle行级锁

2009-06-22 10:22:57

SQL Server

2021-07-09 13:54:31

零信任网络安全网络攻击

2023-07-04 14:53:16

点赞
收藏

51CTO技术栈公众号