刘剑， 董 春

(1.西南石油大学经济管理学院，四川成都610500；2.四川无声信息技术有限公司，四川成都610081；3.自贡市商业银行，四川自贡643000)

基于ITIL的中小商业银行IT服务管理研究＊

刘剑1，2， 董 春3

(1.西南石油大学经济管理学院，四川成都610500；2.四川无声信息技术有限公司，四川成都610081；3.自贡市商业银行，四川自贡643000)

本文在分析中小商业银行的业务发展趋势、信息化特点和科技部门管理现状的基础上,构建了一套“基于ITIL的中小商业银行IT服务管理体系”。通过建立流程化的服务体系,极大的改进了银行内部支持运作效率,可以大大降低银行IT运营成本,而通过寻求ISO20000国际认证,证明银行IT服务能力符合国际标准的同时,也反应出银行对承载业务的IT系统的管理是高效、有序和稳定的。该体系在笔者所在银行的成功实践,检验并证明了其实用性和价值,对同类中小商业银行的科技服务转型提供了较强的借鉴意义。

中小商业银行;IT服务管理;ITIL;ISO20000

0 引言

近年来,受益于信息化发展,以城市商业银行为代表的我国中小商业银行业务发展相对于国内大型商业银行表现出了更积极、更迅猛的发展势头。中小商业银行与国内大型商业银行相比,由于规模小、起步晚、资金投入不足等原因,在竞争和发展中一直存在劣势,而信息化的不断深入,科技对业务的有效支持,使得中小商业银行在发展上获得了与大型商业银行同等的机会。在过去的几年中,中小商业银行科技部门的组织结构、人数,部门所管理的IT资产、IT系统的数量都呈倍数增长,这对中小商业银行的科技管理水平提出了较高的要求,传统的专注于IT基础设施的管理方式已经不能满足中小商业银行业务发展的要求,如何合理地利用IT资源、有效地控制IT风险和提高IT服务质量已经成为中小商业银行科技部门高度关注的课题[1]。

信息技术基础架构库(ITIL)的引入和应用,可以提高中小商业银行IT服务管理水平、提升IT服务质量;同时,中小商业银行还可以通过国际标准ISO20000的认证,一方面证明自身的IT服务水平,另一方面通过ISO标准所倡导的“P－D－C－A”持续改进思想,使银行的IT服务管理持续不断的进步,为银行的业务发展提供可靠的、持续的科技保障。

1 中小商业银行IT服务的需求分析

中小商业银行在引入ITIL建立标准化IT服务管理体系的过程中,应充分考虑中小商业银行的IT现状和行业特殊性,包括中小商业银行的业务发展趋势和特点、当前信息化发展现状以及中小商业银行科技部门本身存在的问题。

1.1 中小商业银行的业务发展现状

第一,跨区域经营为大势所趋,城市商业银行努力寻求在异地开设网点,开展跨区经营,这一变化迫使银行科技部门在IT服务规范化、标准化程度上与之相一致;第二,金融创新产品不断增多,近几年,中小商业银行的产品逐步从传统的“存、贷、汇”业务向更专业、更细分市场的金融产品转变,这一变革源于IT技术的发展,具有变化快的特点,因此对银行科技部门的变更管理、容量管理都提出了较高要求;第三,网上银行业务的特点及优势有效解决了中小银行对大型银行竞争上资产规模、机构网点数量、地域优势三个方面的弱势,使网上银行(含手机银行)成为中小商业银行拓展业务的重点,但因此银行科技部门保障的网络环境也较过去呈现出多样化、复杂化的特点,这对银行科技部门的技术能力、外包管理水平等提出了更高要求。

1.2 中小商业银行的信息化发展现状

第一,中小商业银行的信息化建设大多缺乏统一规划,在银行发展过程中孤立建设的应用系统较多,这就造成IT基础架构之间的协调性差,技术纷繁复杂、管理难度大;第二,“信息孤岛”在中小商业银行还大量存在,这些系统信息关联性不强,不利于信息共享、整合和利用,也不利于IT部门的集中管理;第三,重业务轻管理,中小商业银行往往忽略科技部门自身管理系统的建设,多数中小商业银行没有流程管理系统、没有办公自动化、也没有风险管理系统等等用于内控的管理工具,科技部门的管理大多还处于传统的手工管理阶段。

1.3 中小商业银行科技部门管理现状

第一,科技部门作为重要的业务支撑部门,需要响应大量的来自各支行、各业务部门、客户、内部人员等的问题反映,响应人员涉及运维、开发、网络等各层面,缺乏统一的服务台入口;第二,缺少预警能力,系统有问题不能及时发现,往往造成灾难才进行处理,而不能在提前预知的情况下积极采取预防行动;第三,系统问题很难发现,由于很多系统在一起,没有完备的配置库,即便发生问题也很难判断和定位,以致效率很低;第四,没有流程管理,事件处理随意,造成了要么没有经验的工程师随便修改或不敢修改,导致延误或更大的问题,要么所有问题的处置都落到有经验的某位工程师身上,存在个人英雄主义,不利于科技部门整体服务水平的提高,也无法适应中小商业银行快速发展的需要;第五,信息不透明,IT最重要的过程管理无法把握,主要依赖一些口头语书面的汇报,在事情烦杂的情况下不免执行力降低;第六,无绩效考核或是无可量化的绩效考核,多数中小商业银行的科技部门的考核办法缺乏数据支撑,没有说服力[2]。

2 构建基于ITIL的中小商业银行IT服务管理体系

2.1 总体架构

构建基于ITIL的中小商业银行IT服务管理体系,将同时满足中小商业银行科技部门在业务支撑和内部管理上所有的要求[3],如图1所示:

图1 中小商业银行IT服务管理体系

1)建议统一的服务台,服务台是IT服务管理体系的总控平台。作为用户与银行科技部门的唯一连接点,服务台除负责管理、协调解决IT服务运营中发生的请求,确保客户的每个请求不会被丢失、忘记或忽略;服务台不仅负责处理要在“IT服务管理平台”中流转的事件、问题和变更,还为其他活动和流程提供接口。

2)以“流程”为核心,实现服务支持过程组的规范化、流程化,通过“IT服务管理平台”的建立,从事件发生到妥善处理并达到客户协议的服务水平,形成了一套完整的可进行计量的闭环服务体系;

3)完善相应的管理制度,充分利用人工管理的灵活性特点,推动服务交付过程组在中小商业银行的实现;同时充分利用监控中心的监控数据,确保容量管理的数据准确性和及时性。

4)在充分满足人民银行安全等级保护规定和银监局等级达标∗的相关要求的同时,借鉴国际标准ISO27001的管理思想,建立统一的信息安全管理体系;

5)满足ISO20000的要求,建立业务关系管理程序,对客户和供应商进行管理;

6)建立完备的监控中心,实现对主机、网络、业务和机房环境的监控,监控数据应通过接口实现7∗24小时的监控预警,数据直接传递到IT服务管理平台,并自动生成告警和服务请求。

2.2 流程设计

(1)服务交付管理

服务交付管理包括服务级别管理、服务报告、连续性和可用性、信息安全管理、容量管理、服务核算与预算六个流程。除容量管理外,其余五个流程都采用人工方式,通过银行发布的管理制度的严格执行,保证服务交付各流程的设计得到有效的贯彻。

服务交付的核心是服务级别协议(SLAs)。服务级别协议是指提供服务的组织与客户之间就服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约;对于中小商业银行实施服务级别管理,客户的选定要注意客户组织层级的确定,层级太高、客户太少不能体现不同客户(部门)对IT服务需求的差异性;层级太低、客户太多,中小商业银行的IT部门又不具备实施差异化服务的能力。经过协商、讨论和分析,我行IT部门最终选定八个客户签订了SLA,包括电子银行部、会计结算部、计划财务部、客户服务和远程监控中心、票据中心、小企业金融服务中心、信贷管理部、业务拓展部。

针对不同客户协商并签订S L A的过程中,我们设计了两类指标:一类是服务交付过程所含的指标,来自服务交付的其他五个流程,此类指标既有标准服务水平目标中的指标,如连续性管理要求的RTO、RPO等,还有部分是签约客户的某些特色需求指标;另一类指标即为服务响应及处理及时性方面的指标,主要来至IT服务管理平台,也是服务支持中服务请求、事件处理、问题处理等流程的指标,主要的指标为协议达标率;计算公式为:

达标率＝实际SLA范围内服务数/应服务数×100%(按月统计,数据来源于业务支持各流程输出的“服务报告”)

服务交付过程组的功能结构如图2所示,从图上我们可以看到SLM流程自身还包括服务(目录)的识别、服务定义、SLA签约、服务监控、定期报告、服务评审六项主要活动[4]。从这些活动可以看出,基于SLA的服务交付流程管理的实质就是要求组织以“客户需求拉动”而不是“科技技术推动”的方式来提供IT服务[5],在不陷入技术细节的情况下,客户的真实需求得以充分讨论,IT服务部门随后才将这些业务需求转化成具体的技术说明和活动,这本是ITIL的精髓,却也是中小商业银行实施ITIL中最容易忽略和被应付的流程。

图2 以SLA为核心的服务交付过程组

(2)服务支持管理

服务支持管理包括服务台(ITIL)和事件管理、问题管理、配置管理、变更管理、发布管理五个管理流程,加上服务交付的容量管理流程都采用平台工具辅助管理的方式,通过“IT服务管理平台”的设计、开发和部署,实现ITIL流程要求和系统工具的流程控制的结合,使服务支持各流程得到有效的贯彻执行。

服务支持的核心是配置管理。以配置为核心,贯穿IT服务的请求、服务台派单派工、事件升级与管理、紧急事件的处理、问题规划与分析、变更和发布的协同办公的过程,具体如图3所示。

图3 以配置管理为核心的服务支持过程组

(1)服务台

服务台是银行IT部门对用户及其他部门提供IT服务的唯一接口,所有客户服务请求无论是通过电话、电子邮件还是自助式服务界面发起均在服务台汇集,服务台是IT服务的单一联系点。通过监控中心的接口,围绕事件、问题、配置、变更和发布管理等,构造出统一的IT服务工作界面。

结合中小商业银行IT部门的特点,除服务台的标准功能之外,我们还要求①服务处理流程的可选择性;②支持在线聊天并能记录聊天内容,使沟通更方便更快捷;③具备短信及邮件通知功能;④由于本行没有协同办公系统,要求服务台具备基本的文件管理功能,支持附件上传,对上传的附件可设置浏览权限;⑤支持无流程处理,用于处理应急和新的、临时性的工作任务。

(2)配置管理

在配置管理中,最基本的信息单元是配置项(CI),所有软件、硬件和各种文档,比如变更请求、服务、服务器、环境等都是配置项。

通过监控或NOC工具自动获取环境中的配置信息,再结合人工输入信息的补充,构建完备的配置库(CMDB),通过对CMDB的管理,智能化地维护配置管理信息,为整个IT管理的其他流程提供坚实的基础[6]。

(3)事件管理

事件管理是指通过采取临时措施或永久解决方案消除事件的症状,尽快恢复服务的管理流程。事件管理的目的就是争取在最短的时间内解决事件,尽可能地将对业务的影响降低到最低,其特点是重速度。

事件管理流程采用事件驱动模式,所关心的是对事件的响应速度和尽快恢复业务的运作,事件的等级划分根据联系人、事件类别、配置项、影响范围、紧急程度分成三级,一至三级事件的解决时限根据业务要求分别界定。

(4)问题管理

问题是指原因不明的严重事件或重复发生的事件。问题管理强调的是找出事故产生的根源,从而制定恰当的解决方案或防止其再次发生的预防措施。

问题可分为三类:一是指频繁出现,每次都可以通过手段解决,但始终无法找到原因和根治的办法的问题;二是指在事件处理流程中无法解决的事件;三是指在日常监控管理活动中发现的系统存在的潜在问题,需要经过研究解决。

(5)变更与发布

尽管在ITIL和ISO20000中这两个流程都是分开的独立流程,但在中小商业银行现有的环境和业务流程中这两个环节是由一个部门 (组)先后顺序执行的,没有在部门这个角度上再区分。

变更发布管理中最重要的是涉及配置库相关的变更,同时还有发布的版本控制问题和变更时间点控制问题等等。因为变更管理的核心并不是执行变更,而是保证变更需要在一定的授权和控制下执行,同样,发布的核心也是在一定授权的情况下实施发布,以保证最新制定的变更能及时有效正确的部署到实际流程中,如果僵化的分开执行,不但加长了流程部门间的沟通协调工作,还可能导致事件流程的延长,因此只要在授权上和控制上设计的合适就没必要一定要两个流程来分别处理。但所有的变更都要保留历史和痕迹,这样有利于跟踪和职责管理。

2.3 平台设计

IT服务管理平台采用B/S架构,基于J2EE构建,同时本行监控中心的各监控系统也采用B/S架构,监控中心的各类系统可以通过Webservice接口实现事件的自动报警和关联,IT服务管理平台的设计采用模块化、分层次的结构,其系统组成如图4:

图4 IT服务管理平台系统逻辑结构

1)监控中心是银行内部已存在的各种监控管理工具,他们采集IT基础架构中各种管理对象的配置、性能、事件信息,将这些信息按统一的格式处理并分类,统一后的信息被发送给业务转换管理平台。

2)问题事件接口对来自IT基础架构平台的信息进行分析、过滤、筛选,并转发成IT服务的业务信息,这些信息又被发送给流程管理平台。服务台接收来自用户或客户的事件报告信息,这类信息被自动转化为业务信息,与来自IT基础架构的业务信息一起传送给上一级请求处理。

3)IT服务管理平台将判别业务信息类别,根据不同类别转入相应的流程管理。流程管理平台提供ITIL服务支持管理中的主要流程模块的功能。他们包括事件管理、问题管理、配置管理、变更管理、发布管理。每个流程管理实现的功能遵照了ITIL服务支持管理的要求。

4)统计管理模块负责生成不同平台、不同阶段、不同格式的报表信息。

5)IT服务管理平台的功能模块按科技部门人员组织结构划分不同的管理角色。不同的管理角色拥有不同的权限和不同的界面,各流程管理采用统一的数据库设计原则,使信息的组织、存储、调用效率更高。

6)IT服务管理平台设计采用了分层次和模块化体系架构。各层次和各模块之间采用统一的信息交换模式,系统部署具有良好的可扩展性。

3 中小商业银行IT服务管理体系的应用与实践

中小银行在引入ITIL,建立IT服务管理体系的过程中,应充分做好内部沟通并对本行的现状进行分析,这是项目成功最基础、最至关重要的环节,因为除本文所述中小商业银行的一些通用特点外,每个银行都有自身的一些特殊性,在引入外部机构包括咨询之前在银行内部充分的沟通和分析至关重要,这一过程要解决的主要问题就是明确本行实施ITIL的“目标”。

我行 “基于ITIL的科技服务转型实践”项目的立项之初,行内就确定了目标—— “通过ISO20000的认证,获得国际认可的证书。”在此目标指引下,通过寻求与咨询机构、认证机构、软件开发商的合作,通过图5所示的项目实施框架,分五个步骤逐步展开。

图5 基于ITIL的科技服务转型实践项目实施框架

3.1 确立ISO20000认证目标

ITIL项目的实施,目的是提升IT服务水平,但ITIL不针对组织提供认证,也没有统一的检验标准,所以ITIL项目很容易演变为“形象工程”——启动轰轰烈烈、推进慢慢悠悠、结果不了了之!

为避免出现这样的结果,我行选择了ISO20000认证这样一个目标,实践证明这一目标的选择,在我行的ITIL实施中,至少起到了如下两方面的作用:

(1)促进全行对ITIL的认知

ISO组织是全球领先的标准组织,鉴于ISO自身较高的认知度,ISO20000已成为全球广泛接受的IT标准,获得ISO20000认证证书,证明我行IT服务能力符合国际标准的要求,这大大提高了我行对ITIL的认知度和采纳ITIL的热情,有效的避免了实施ITIL的两个问题:1)获得了高层管理者的关注和支持[7];2)确保组织内部员工都能接受IT服务方式上的改变。

(2)推动我行对相关标准的遵从

ISO标准在设计时就考虑了与其他相关标准及最佳实践的互通和互用,如QMS(ISO90000)是通向卓越管理的一个良好的起点,ISMS(ISO27001)是国际认可的信息安全领域的唯一标准。因为我行之前未实施过类似ISO认证项目,所以本次ISO20000的认证不仅可以推动对基于ITIL的ITSM理念的理解,也可以促使我行对相关的标准的快速认识并遵从。

3.2 项目启动

项目启动阶段需要完成的工作。

1)确定范围:这个阶段需要进行信息搜集和资产调研,明确IT服务的业务范围、边界、功能、以及重要性等,编制《服务目录》。

2)细化目标:在总体目标基础上,明确科技部门下各服务小组的工作目标,以及明确科技部门和行内各兄弟部门(客户)之间的服务要求,并进一步明确为细化的目标,为下一步的SLA协商和签订打下基础。

3)课题申报:编写申报材料,采用银监会通用模版来编写,内容包含了课题的目标、意义、拟解决的关键问题和采用的方法等。

3.3 流程设计

流程设计阶段的主要工作就是在差距分析基础上进行ITIL各流程的设计。

(1)服务支持:流程设计规划

服务支持流程主要采用“IT服务管理平台”工具来实现,因此设计规划的重点就遵照软件开发管理规范,从现状调研、需求分析、功能设计等出发,形成完整的“IT服务管理平台”规划说明文档,为软件开发商的引入,软件平台的开发打下坚实的基础。

(2)服务交付:管理制度设计

服务交付主要采用人工方式进行管理,管理工具为各流程相关的管理制度,根据我行现行的管理办法,结合咨询方提供的制度模版,我行完成了全套管理制度的拟定和发布。

(3)信息安全:管理制度整理

我行在过去的3年中已多次接受银监的等级达标检查,有大量针对各安全管理要求点的制度和规范,另外,部分系统还通过了人民银行的等级保护备案,也有针对不同系统的专门的管理要求和制度,因此,信息安全的重点就是对现有制度的整理,再结合ISO27001的要求对安全管理的制度进行结构化的梳理(ISO20000安全管理部分要求遵从ISO27001),确保梳理之后的制度体系满足人行、银监和ISO国际标准三方面的要求。

(4)业务关系管理制度设计

结合银监等级达标中关于服务外包管理的要求和ISO20000中业务关系管理的要求,从供应商管理和客户管理两个方面制定了相关的管理制度。

3.4 实施部署

实施部署阶段需要按照流程设计阶段的设计进行实施,重点是IT服务平台的开发、测试和上线部署。

1)培训与宣贯:按照设计的体系对银行相关科室信息人员进行意识培训和操作培训。

2)体系实施与检查、改进:按照新发布的各项制度严格的进行检查,发现不符合的地方要求整改,确保制度得到有效的执行。

3)开发、测试和上线部署:按照开发规范组织平台的开发、测试和部署。

3.5 体系认证

根据ISO2000－1:2011《信息技术－服务管理 第一部分:服务管理体系要求》,选择具有资质的第三方认证机构进行认证审核,一般从中国国家认证认可监督管理委员会认定的具备ISO20000认证资格的认证机构中选择。实际上做了咨询服务之后,认证审核的工作就变的非常简单,因为咨询方会在规划与设计阶段就与认证机构取得联系,确保其设计方案和整改实施方案得到审核老师的认可,保障其顺利实施。

3.6 持续改进

不仅ISO20000标准本身要求持续性服务改进,在持续的IT服务过程中ITIL各流程,包括IT服务管理平台中的流程、科技部门的业务支持范围与知识库等都需要根据IT服务的变化不断地进行调整。

1)咨询长期服务、追踪改进:通过长期伙伴关系的咨询服务的跟进,促进流程的持续改进。原流程设计很大程度上考虑了我行现有科技管理的实际情况,因此在未来的发展过程中必须不断的调整方能满足ITIL和我行的科技管理水平的提高。

2)认证机构定期监督审核:认证机构的定期监督审核不仅是ISO国际认证标准的要求,也是确保银行持续对ISO20000和ITIL保持关注的重要原因之一。

3)开发商版本升级服务:在流程的调整和改进过程中,涉及IT服务管理平台流程和功能的改变,需要软件开发商的持续版本升级服务。

4 结语

通过建立流程化的IT服务体系,极大的改进银行内部支持运作效率,可以大大降低银行IT运营成本,而通过寻求ISO20000的认证并获得国际机构认可的认证证书,证明银行IT服务能力符合国际标准要求的同时,也反应出银行对承载业务的IT系统的管理是高效、有序和稳定的,这是这一体系的内涵和实质。该体系在笔者所在银行的成功实践,检验并证明了其实用性和价值,对同类中小商业银行的科技服务转型提供了较强的借鉴意义。

[1] 冀松杨.ITIL在银行IT服务管理中的应用[J].中国金融电脑,2009(3):45－49.

[2] 冯星.ITIL在金融信息管理中实践探讨[J].大众科技,2009(2):15－16.

[3] 夏西平,龙朝阳.基于ITIL的电子政务运维管理研究[J].图书情报工作,2009(10):117－120.

[4] 张娟,何积泰.IT服务水平管理在大型商业银行的实践[J].中国金融电脑,2012(2):69－73.

[5] 郭宁.提升IT服务企业管理能力的思考与对策[J].山西财经大学学报,2010(4):111－112.

[6] 卑风.基于ITIL体系的银行数据中心配置管理工具的分析与设计[J].微型电脑应用,2013(3):38－42.

[7] 张亚军,张金隆,陈江涛.IT服务管理研究述评及未来展望[J].情报杂志,2013(6):95－99.

IT Service Management System for Small and Medium－Sized Commercial bank based on ITIL

LIU Jian1,2,DONG Chun3
(1.School of Economics and Management,Southwest Petroleum University,Chengdu Sichuan 610500,China;2.Sichuan Silence Information Technology Co.,Ltd.Chengdu Sichuan 610500,China;3.Zigong Commercial Bank,Zigong Sichuan 643000,China)

Based on its business and IT features,a set of ITSMS(IT Services management system)for small and medium－sized commercial bank is established.This paper discusses in detail how to integrate the theoretical system of ITIL＆ISO20000 into practical work.Moreover,the paper also sums up the effect of IT service management and describes the necessity of IT service management in small and medium－sized commercial bank.

small and medium－sized commercial bank;IT service management;ITIL;ISO20000

C931

A

1009－8054(2015)01－0103－06

2014－10－21

中国银监会2014年度银行业信息科技风险管理课题资助项目(2014＿4＿062)

刘 剑(1975—),男,博士研究生,主要研究方向为项目管理、风险管理、信息安全管理、IT服务管理;

董 春(1980—),男,本科,工程师,自贡市商业银行科技部副主任,主要研究方向为银行IT运维管理。■