ITIL在银行最佳实践的探讨

ITIL在银行最佳实践的探讨
中国农业发展银行李小庆
（专注、专业、专长。

作者为金融信息化专家，管理学博士）
在市场竞争日益激烈的今天，IT 支持的质量直接影响到银行的经营业务的质量，进而影响到银行的市场声誉和客户满意度。

因此对IT 的有效管理已经成为银行发展必需的一种新的核心竞争力，IT 组织需要新的理念和工具以便从面向业务的角度管理IT 环境，面对技术和市场的挑战。

IT 服务管理(IT Service Management)通过定义IT 管理流程，帮助IT 机构以提供“服务”的方式进行IT 管理，较好地解决了流程、人、技术之间的关系，帮助客户理顺和改善IT 机构与业务客户之间的关系，整合和管理外部服务供应商，确保业务目标的实现，实现更高水平的控制和报告，实现所提供服务的质量与成本的平衡。

一些专业公司基于IT 管理标准－ITIL(IT Infrastructure Library)的最佳实务规范(best practice)，并结合多年来对全球各行业顶尖公司IT 部门的支持经验，建立了IT 服务管理参考模型，为IT 机构提供了一套可操作性很强的包含计划、研发、实施、运维等高质量IT 服务的方法论。

IT 服务管理的理念能规范IT 管理流程，帮助IT 机构实现管理思想从“管理IT 基础设施”向“为业务部门提供IT 服务”转，管理模式从“面向职能的管理”向“面向流程的管理”转变，运作模式从“被动式服务”向“主动式服务”转变，理顺和改善IT 组织与业务部门之间的关系，提高IT 服务的可用性和服务质量，提高客户满意度。

一、流程驱动的IT 管理
传统的IT 管理模式是面向职能的管理，IT 组织机构往往按照地域划块管理，每一块又按照工作性质（如开发、运维等）和技术领域（如网络、主机、数据库、应用系统等）垂直划分，各部门以及个人只关注所在区域或技术领域的问题，彼此之间缺乏有效的沟通，具体表现为“块大于条”（上级IT 部门对下级IT 部门的管理权限不如下级IT 部门所在业务单元的行政领导）和“点大于线”（各级IT 部门缺乏内部的横向沟通），从而形成一个个缺乏整合的“功能孤岛”。

但是发生的问题常常是跨越技术领域的或是难以简单确定根本原因的，由于责权区分不清，碰到问题时IT 人员总是相互推诿，知识无法积累，问题一再重复发生，IT 部门的价值难以受到认可。

IT 管理不能无章可依，无规范可循，必须有定义清楚而且可衡量成效的管理流程。

通过“IT 再造工程” (IT Reengineering)，可以把流程、人员、技术三位一体整合起来，将最好的IT 服务提交给用户。

这种IT 再造工程的结果就是建立了一个基于流程化管理(Process management)的IT 管理模式，流程化管理具有以下几个特征：
●一个流程通常涉及到多个部门的员工
●每个流程都有一个且只有一个流程负责人(process owner)
●每个流程都必须经过定义和设计，并文档化
●流程的绩效是可衡量的
●流程必须持续地改善，以达到最佳化
对于以上特征，“流程驱动”的思想是最为关键的，它可以突破实际工作中遇到的来自各“功能孤岛”的阻碍、打通部门之间的界限，实现“end-to-end”的流程化管理。

二、ITIL参考模型：ITSM
ITSM 是HP公司基于ITILI建立的服务管理参考模型，在业界具有广泛的影响，目前银行实践ITIL项目主要参考ITSM模型，其参考模型如图1，具体内容介绍如下：
服务规划
IT 战略与架构规划
客户管理
IT 业务评估
运营管理问题管理
突发事件和服务请求管理
安全管理连续性管理可用性管理规模管理IT 财务管理服务开发和测试发布管理
服务级别管理
变更管理配置管理图1 ITIL 参考模型：ITSM
IT 服务管理参考模型将IT 管理生命周期中的所有工作内容划分为五个高度整合、环环相扣的流程组，分别是：
1、 业务与IT 整合
该组管理流程专注于将IT 作为“商务”来运作，决定服务的市场潜力、在IT 和客户之间就业务需求和IT 的规模能力寻求并达成共识，阐明IT 策略。

• IT 业务评估－以市场角度评估IT 为银行的核心业务带来哪些商机和促进；
• 客户管理－如何使IT 成为值得信赖的业务顾问；
• IT 战略与架构规划－整合客户业务计划和IT 计划，根据客户的业务需求和IT 现状制定IT 策略和IT 系统架构，确定业务主题；
• IT 服务规划－分析目前和未来的那些IT 服务可更好地实现IT 价值及现在的差距；
2、服务设计和管理
该组管理流程通过详细的设计规格说明书将IT 策略转变为具体的计划。

主要工作包括服务级别的定义、服务级别协议的创建／协商／签署，设计基础设施架构和数据安全、服务可用性、服务的容量和性能、IT 服务的成本核算等方案。

• 安全管理－制定银行的安全标准、实施、维护、跟踪和控制银行信息和服务的安全； • 可用性管理－如何最大限度地实现IT 服务高可用性，涉及到服务提供商管理、应急计划等；
• 连续性管理－当业务发生严重的中断时IT 部门如何继续向客户提供预定的服务级
别，这个流程是银行业务连续性流程的一个组成部分；
• 规模管理－如何使IT 服务的容量和性能适应客户需求的不断变化；
• IT 财务管理－定义IT 成本结构和收费标准、跟踪和控制实际的成本；
3、 服务开发和部署
该组管理流程帮助IT 机构更新现有的服务，或者开发新的服务及其相关的基础设施部件。

当一项IT 服务和它的部件测试通过后，它们被部署和集成到生产环境中进行一组测试，然后才上线投入使用。

• 服务开发和测试－IT 新增服务的开发、测试及试运行；
•发布管理－新系统的上线，其本意是要提升银行服务的水平，但也可能是灾难的开始，因此在软硬件、应用系统各方面都需要严谨的计划（也包括应急计划），来进行测试、版本控制、分派部署、上线和推广。

4、服务运行
创业艰难，守业也不易。

只有服务上线后的永续运行才能向用户有效地证明IT 的价值。

该组管理流程提供对银行IT 环境的运行维护、监控、操作、支持，也用来管理客户满意度，重点是维持IT 服务的正常运行。

•运营管理（operation management）－管理IT 生产环境的日常运行维护，保持IT 基础设施的正常运转，提高服务的可用性；
•突发事件和服务请求管理－快速响应客户服务申请及故障的定位和排除，其使命是提高IT 服务的可用性和客户满意度。

该流程还包括帮助台(Service Desk)的建立和运行；
•问题管理－如果说突发事件管理的目标是“治标”，那问题管理就是要达到“治本”的效果。

问题管理是要找到故障的根本原因、设计解决方案、排除隐患，其使命是保持IT 环境的稳定；
5、服务交付保障
该组管理流程处在IT 服务管理参考模型的中心位置，这是因为它们与模型中所有其他管理流程都有直接的关系，是其他IT 流程有效运作的基础。

•服务级别管理－评估不同客户对IT 服务的需求、定义和签署服务级别协议、衡量服务是否令用户满意；
•变更管理－使变更平稳进行，最大限度地减少对生产环境的影响；
•配置管理－管理银行IT 资产配置及关联信息，为其他管理流程提供参考数据。

三、IT服务管理在银行最佳实践思路
IT服务管理的实践，是一个结合理论与具体问题、制定有效方案、以达到ITIL标准为目标的管理优化过程，这个过程是一个循序渐进、不断优化的过程，在这个过程中，应该全面衡权，重点考虑，着重要考虑技术、管理和法规方法的要求。

技术要求：当前IT系统涉及的层面多、范围广、复杂度高。

跨越存储、网络、硬件、系统软件、应用软件、维护流程等层面；涉及各个厂家的各类产品及各业务部门的不同服务、维护需求；各层面及组件之间关系复杂，难于控制；
管理要求：做为IT部门，必须能够及时获取关键信息、有效管理人员及资产、精确控制流程，才能保证IT系统的安全稳定运行，这也是明确相关人员责任的必由之路。

法规要求：无论是国际准则（塞班斯法案、巴塞尔协议），还是国内法规（银监会的相关管理规定）都明确要求，对关键操作必须控制与审计，同时对关键IT系统必须建立有效的监控与灾难备份体系。

管理制度、配套工具、人员行为是IT服务管理的实践三个关键环节，控制这三个环节，才能在先进管理、信息获取、精确控制这三方面的工作上取得实效，才能达到IT服务管理的目标。

1、先进管理
这里主要是指IT资产及配置管理、各人员角色的工作配合、管理部门间的信息流转，解决这些问题，才能奠定IT服务管理体系有效运转的人员基础。

功能要求完成对IT配置及资产的有效管理（CMDB），实现对事件管理、配置管理、变更管理、问题管理等环节的控制。

工具要求能够完整记录并展现IT配置项本身的属性及相互关系，能够灵活的配置人员角色组及其相关权限，能够灵活定义配置项，能够灵活的根据情况增加自定义字段，此工具的修改与配置必须很灵活，无需复杂的二次开发。

人员配置是指参与先进管理工作的人员，包括一线值班人员、系统管理员、监控管理员、应用开发人员、IT部门管理层。

同时需要开发的配套管理制度，如故障处理规定、监控系统管理规定、系统变更投产管理规定等。

2、信息获取
及时有效的获取IT系统运行中的各类关键信息，是IT服务管理建设的重要环节，这里信息细分为标准IT信息、特定IT信息和特定行为信息。

标准IT信息是指，IT系统的硬件、网络、OS、数据库、中间件等的运行信息，如：数据库中各类资源的利用情况、各类事件的发生情况等，这类故障只约占系统故障的30－40％；这类信息的获取与监视所依托的工具是OVO等IT标准组件监控工具；
特定IT信息是指，在每个IT应用系统架构中，都存在具有其自身特点的配置环节（如：在某个日期的某个时刻，特定的数据文件必须传输到指定位置）与检查环节（如：某类侦听端口的就绪数量等），这些环节是IT应用有效服务的关键，对这些环节信息的及时获取非常关键，这类信息的获取与监视需要依托IT投产规范与工具。

特定行为是指在IT系统运行中，各类维护、检查、控制等行为是否正常，这些行为的详细记录等，这些信息是IT系统有效运行的灵魂，所以这些信息必须完整监控与记录，这也是遵循各类法规的基础，同时，这些行为的控制与记录，也是实现各角色人员绩效考评的基础。

3、精确控制
精确控制就是对IT服务管理中的关键操作进行控制，这些关键细分为日常运维流程、系统可用检查流程和应急处理流程：
日常运维流程完成对日常系统批作业、日常巡检、技术人员调度等的流程控制。

系统可用检查流程是指对于IT部门管理的任何一套IT应用系统，必须建立一套完整的可用状态检查档案，在这个档案中明确N个检查点，这些检查点要依托变更管理、事故管理等逐步建立，只要确认这N个检查点正常，那么IT应用系统就可以正常提供服务，以此来保障IT服务的质量。

应急处理流程是指在发生紧急事件的情况下如灾难性事故、技术性事故等，IT部门必须要遵照事先定义的应急预案流程来处理，这个流程要以工具精确控制实现，才能保证预案的落实，才能明确各管理层的责任。

四、实践IT服务管理的收益
实践IT服务管理的最终目标是为了收益，衡量收益是一项比较有意义的工作，能够加快IT服务管理建设的速度，增强IT服务管理实践的信心，可从如下几个方面予以考虑。

1、系统服务质量的收益
通过完备的监控体系，及时获取IT运行环节的关键信息，同时通过系统可用状态检查等手段，就能够保障系统的稳定与安全，这样IT系统的服务质量会得到明显提高，举例来说：任何一个IT环节无论是OS、数据库还是应用系统都存在缺陷，这些缺陷通常很难在短期内解决，如果没有一套完备的监控与检查体系，这些缺陷对IT服务造成的影响很难及时发现，更无法临时解决，但是如果有完备监控与检查体系，及时发现并采用临时办法解决，如REBOOT应用进程等，这样在缺陷存在的情况下，同样能够保证较高的IT服务质量。

2、系统资源利用效率的收益
通过配置、变更、性能等管理环节，可以有效的利用IT资源，在保证IT服务质量的前提下，使得IT投资最少，同时通过完备的操作流程控制，建立完整有效的知识库，也使得能过用最少的人员完整最多的复杂工作。

3、人员管理的收益
通过完整的管理、信息获取、控制，能够清晰划分人员角色，做到横向与纵向分工明确，
能够制定具有操作性的管理规章制度，这样，对人员的培养与评估就奠定了良好的基础，同时，优秀的人员又能够促进IT管理工作的进步。

IT服务管理项目的要想成功实施，是项目实施方与项目用户的精诚合作、密切配合分不开的，用户方除了进行需求确认、实施环境安排、实施工作配合以外，还要积极参与系统的二次开发、整体功能测试和有效接受知识转移培训。

这里的用户方，除了银行运行中心的工作人员以外，还应该包括参与建设银行的IT系统和业务系统的外包服务商，他们对系统的详细配置、运行现状和业务应用的开发接口是非常熟悉的，能够在很大程度上帮助系统管理项目的建设者更快更好地完成实施工作和二次开发工作。

从项目实施方的角度来看，做好一个系统管理的实施项目，需要周密的计划、完善的组织和严格的制度作为保证，项目管理需要标准化和项目的相关文档也需要标准化。