《让IT人员不再当“救火队员”》由会员分享,可在线阅读,更多相关《让IT人员不再当“救火队员”(11页珍藏版)》请在金锄头文库上搜索。
1、让让 ITIT 人员不再当人员不再当“救火队员救火队员”让 IT 人员不再当“救火队员”,ITSM 咨询顾问常用此话来解释 ITSM 的 作用。事实上,不仅如此,ITSM 还能从本质上提升 IT 部门的服务水平。不 过,大多数人对 ITSM 知之不多。下面的案例以某跨国公司中国分公司遵循 时下在美国备受关注的萨班斯-奥克斯利(SOX)法规为线索,详细剖析如何 通过实施 ITSM 来提升 IT 部门的服务能力。其中不仅有对 ITSM、ITIL 的探 讨,还有对 SOX 的研究,希望对读者有所帮助。 1 1 准备出发准备出发 X 公司是一国际知名制造业集团,荣登美国财富杂志 100 强,其中国分公
2、司的 IT 部门设在北京,所 承担的主要任务是在公司总部 IT 部门的技术支持下,实现技术的本地化,提供符合中国本土业务需求的 IT 服务。目前,中国 IT 部门提供的服务包括: IT 应用系统(Application)的运维管理,包括 SAP 系统、Oracle 财务系统、库存管理系统、邮件系统 等; IT 基础设施的运维管理,包括机房和服务器管理、桌面系统、LAN、网络监控系统等。 2002 年 7 月,美国国会正式通过了 SarbanesOxley 法案(简称 SOX 法案),明确要求管理层对公司财 务信息披露和内部控制效力负有直接责任,公司的内控措施应由管理层声明有效,并由独立审计机构
3、出具内 控审计意见提交给美国证监会(SEC)。作为一家在美国上市的公司,X 公司全球各分支机构都将面对严格的 SOX 审计,SOX 法案中的第 404 条款要求公司在财务报告方面加强内控,考虑到 IT 和财务报告的关联性,IT 也需要加强控制以达到和 SOX 合规。另一方面,随着业务和用户需求的提高,公司管理层对 IT 部门提高工作 效率,降低运营成本的要求也越来越明确。他们认为 IT 部门做事没有可循的流程规范,IT 人员的角色和职 责定义不清晰。面对来自内外两方面的压力,X 公司中国 IT 部门决定改变被动的局面,建立起基于流程的 IT 管控体系,从根本上提高 IT 管理和控制能力。 选择
4、选择 ITSMITSM 长期以来,X 公司的中国 IT 部门与 IT 服务供应商以及第三方咨询一直保持着良好的合作关系。当科索路 咨询公司参与到项目中后,开展有效和高效的 IT 服务管理成为它为 X 公司开出的首张药方。咨询人员认为, IT 的 SOX 合规审计需要落实到企业对 IT 的有效管理控制上来,而参照 ITIL(IT Infrastructure Library,IT 基础架构最佳实践库)实践模型建立 IT 服务管理流程是最好的解决方法之一。首先,ITIL 是行 业的最佳实践,是被无数实例证明了的行之有效的 IT 服务管理事实上的标准,ITIL 已经得到 X 公司总部的 认可; 其次
5、,SOX 合规审计过程中,IT 控制目标重点集中在 IT 的运维管理,依照 ITIL 建立 IT 服务管理流程 能够很大程度地满足合规要求; 再者,ITIL 是一套通用的交流语言,它基于流程、面向业务、规范但不死板, 可以很好地发挥企业 IT 管理的灵活性和能动性。 考虑到以上几点,X 公司 IT 部门决定在参考 ITIL 模型的基础上,结合自身管理经验,在咨询人员的帮助 下进行 IT 服务管理流程的建设和改造,为即将到来的 SOX 合规审计做好充分准备。 制定规划制定规划 ITIL 的流程涉及面广,关系复杂,“一拥而上”有很大风险。同时企业希望 IT 服务管理体系的建设能够 首先考虑如何帮助
6、其通过 SOX 的合规审计。因此,本着“针对需求,分步实施,快速见效”的原则,企业在 咨询人员的帮助下建立起信息系统质量管理体系,从流程建设着手,引进先进的管理控制方法理念,以确保 IT 部门按时通过 SOX 合规审计,并以此为契机,提高 IT 部门的工作效率和服务质量。根据方案规划,X 公司 IT 部门 SOX 合规项目分为三个阶段。 第一阶段分析客户现有的 IT 管理模式,评价分析现有 IT 服务管理流程的成熟度,对照 SOX 要求,参照 ITIL 最佳实践进行 IT 服务管理流程改善规划。 第二阶段结合业务需求、管理经验和 IT 控制目标,针对突发事件管理、变更管理、服务级别管理、IT
7、服 务连续性管理、安全管理等流程管理模块,从管理策略、规范、流程、操作到组织、文档、工具等多个角度 建立全方位的信息系统质量管理体系,实现对 IT 的有效管理控制。 第三阶段则是根据 SOX 的审计要求,分析 X 公司的 IT 风险,制定风险控制矩阵,分析现有控制和目标的 差距,并提出合理可行的改进步骤。帮助客户制定定期测试方案,为最终通过 SOX 合规审计做好准备。 按照 SOX 的要求,企业仅“存在”内控机制是远远不够的。企业必须进行定期的有效性审计,连同内控 措施的缺陷以及改进计划一起向美国证券交易委员会做出汇报。因此,在项目过程中必须始终强调服务管理 流程的合理性,持续改进的可能性以及
8、审计监控的有效性,并采取措施保证项目结果能够收获预期的效果 达到 SOX 合规要求,提高 IT 服务管控能力。 2 2 突发事件管理和问题管理突发事件管理和问题管理 突发事件管理与问题管理直接影响 IT 服务对业务的支持程度和客户满意度,它们常常是 IT 部门提高 IT 服务质量的着手点。 对于 IT 服务中出现的非正常情况,突发事件管理治标,问题管理治本。标本兼治正是 IT 服务的立身之 本。 企业现状企业现状 X 公司 IT 部门在项目开展前已设立了服务台。其主要服务是对突发事件进行记录,并能解决常见的突发 事件和服务请求,将大多数事件升级给二线、三线。由于这些服务都是随机地设立起来的,并
9、没有进行规划 和优化,所以服务台的一线解决率较低; 突发事件在一线与二、三线之间的升级途径不明确,在突发事件数 量高峰时,人员调配出现困难。 同时由于没有对突发事件处理的经验进行分类归纳,有些事件一而再、再而三地发生,导致 IT 部门员工 效率较低,专业技术人员无暇顾及寻找导致突发事件的根本原因。 这些情况是日积月累造成的,IT 部门管理者虽然感觉到这些问题的存在,也承受着来自客户方面要求改 进压力,但短时间内也不知该如何下手。 图图 1 1 突发事件管理与问题管理的主要内容突发事件管理与问题管理的主要内容SOXSOX 合规要求合规要求 SOX 要求 X 企业提供可靠及时的财务报告。IT 服务
10、中的突发事件和问题处理可能对生产、采购、销售、 财务产生重大影响,并进而影响最终的财务报告。所以 IT 部门需要对所有的突发事件和问题进行有效的内部 控制,包括: 突发事件处理: 记录、分析、及时解决所有突发事件,即非常规事件; 问题处理: 通过细致的分析调查,发现引起突发事件的根本原因,并找到解决方案; 特殊突发事件处理: 建立紧急响应流程,处理与安全有关的突发事件,比如非法的系统登录。 ITILITIL 的建议的建议 ITIL 描述的突发事件管理和问题管理能够满足 SOX 合规要求,并且能帮助公司摆脱面临的上述困境。突 发事件管理的主要目标是缩短事件处理时间,合理调配人员与提高客户满意度,
11、尽快恢复正常服务,而问题 管理的重点在于找到突发事件的根本原因,并彻底解决。通过建立知识库,突发事件和问题解决中所得到的 经验被固化下来,使服务质量得以持续地提高。 项目经验项目经验 理论指导实践,实践创新理论,开展 ITIL 项目的成功秘诀就是灵活地实施。但是这个人人皆知的秘密常 常最难实现。究其主要原因,并不是因为照搬“教条”,而是不懂“教条”。如果不理解 ITIL 为什么会采用 这样的定义、流程、接口、关键成功因素,又怎么能根据现实情况,知道 ITIL 哪里该取,哪里该舍呢? 以下几点是在 X 公司的 IT 服务项目中被实践了的,其综合效果也得到了公司管理层与 IT 服务部门员工 的肯定
12、: 1. 定义突发事件的分类。突发事件的分类直接影响事件的升级途径、影响程度和重要性分析。比如与安 全有关的突发事件,即使优先级不是非常高,根据 SOX 法案的要求,也应该尽快地被处理。 2. 定义突发事件的优先级。突发事件的优先级可以根据影响范围、严重程度和时间期限来确定,预先确 定事件优先级可以反映出业务对该类事件的要求。X 公司的 IT 部门通过定义事件优先级解决了资源的分配问 题。 3. 定义事件升级途径,包括人员的角色和责任。事件升级可以是横向的,即事件通过一线向二线、三线 升级获得技术支持,也可以是纵向的,即将事件升级到管理层以获得更多支持。定义事件升级的过程必须由相 关人员协商决
13、定,达成相互间的理解和共识。 4. 定义问题触发机制。问题管理与突发事件管理中的流程、关键成功因素是不同的,问题管理的资源不 能被挪用。在规定时间内得不到解决的,对业务影响特别严重的,或者经常发生的突发事件都会升级到问题 管理流程。 5. 主动地问题管理。IT 部门需要制定流程来定期对突发事件进行回顾,通过趋势分析发现系统中隐藏的 问题。解决这些问题有助于减少突发事件的数量,为知识库增加有用的解决方案,提高服务质量。 6. 二、三线知识的转移。通过建立知识库,将突发事件与相应的问题相联系,二、三线及时为一线提供 更有效的解决方案和变通方案。X 公司通过突发事件定义的关键字进行方案的匹配和查询。
14、知识的转移提高 了一线的效率。 7. 绩效考核标准。根据公司实际情况和最佳实践的建议,制定与 IT 服务目标相一致的考核标准。比如 对服务台,将突发事件数量、突发事件解决率、平均响应时间、平均解决突发事件的成本等因素作为考核标 准。 8. 人员培训与教育。培训可使 IT 部门的员工和业务部门代表具备所需技能,明确他们各自的责任和流 程之间接口。另一方面,员工常对新流程抱有抵触情绪,不能理解定期检查的必要性,这些问题也可以通过 培训得到沟通。 3 3 变更管理变更管理 为了适应不断变化的用户需求,为了纠正 IT 服务提供过程中出现的问题,企业的 IT 应用和 IT 基础设施 经常需要进行变更。但
15、是变更并不一定往好的方向发展,失控的变更往往会导致新的突发事件和问题。因此, 企业需要实施有效的变更管理对所有变更加以控制,尽可能降低变更带来的风险和对公司业务造成的损失。 客户现状客户现状 就 X 公司中国 IT 部门变更管理的现状来看,不仅是使用者,包括 IT 部门自身也觉得不太满意。首先, 由于变更管理规范考虑不周全,以及部分 IT 员工对变更控制的认识不足,个别已经实施的变更请求没有审批 者的签字,还有一些变更没有被记录,导致这些变更产生的新问题不能快速地定位。另外,由于缺乏良好的 变更评估、协调和控制机制,导致有一定数量的变更以“back-out”结束。总的来说,X 公司中国 IT
16、部门现有变更管理还有改进的空间。 SOXSOX 的要求的要求 SOX 的 IT 合规要求企业 IT 控制能够合理地保证财务相关的 IT 系统的升级和变更得到授权和测试。为了 做到这一点,IT 部门必须确保对变更的有效管理和控制,主要包括: 变革请求的发起和控制: 保证所有变更请求服从规范并遵守变更管理的标准程序。 变更影响分析: 分析变更请求可能对 IT 基础设施及其功能带来的影响。 变更的控制: 对变更进行记录和跟踪,尤其是关系到大型复杂系统的变更。 紧急变更管理: 预先定义紧急变更,建立紧急变更处理流程来控制这些变更,紧急变更也需要得到 IT 管理人员的授权并做好相应的记录。 ITILITIL 的建议的建议 ITIL 要求变更管理能够做到以标准的方法和步骤高效快捷地处理所有变更,将变更对 IT 服务质量和连续 性的影响降至最低。因此 ITIL 的变更管理流程对变更请求、变更影响、变更批准等进行了管理和控制。 一般而言,典型的 ITIL 变更管理流程模块包括如下几项活动: 提交变更请求,评估变更的影响和风险, 变更请求的审批,制定
