關于加強變更管理的思考分析

安媛媛 張曉艷 高樂

摘 要：變更作為安全生產主要風險之一，是山西農行重點管理內容。隨著我行業務高速發展，變更管理持續面臨實施效率需提高、方案可行性需保障、過程版本需控制的挑戰。為此，我行從管、做、查、改四方面加強變更管理，強化風險管控。

關鍵詞：變更;風險管控

一、變更管理現狀

變更作為安全生產風險的主要誘因，一直是銀行業生產運維重點管理內容，山西農行充分認識變更重要性，始終嚴格遵照業界及行內相關規章制度，在變更申請評審、風險評估、方案審核、有權審批、測試發布、實施驗證等環節采取多項措施強化變更管理，嚴控變更風險，實現變更過程全面控制，強化信息系統連續服務能力，保持生產運行安全穩定良好態勢。現如今，隨著我行數字化轉型步伐加快，系統數量激增、產品快速創新，引起信息系統投產上線和功能優化頻繁，2018年變更數量較2017年同比增長49.2%，較2016年環比增長84.5%，窗口期變更數量大幅增長對安全生產構成一定威脅。

二、變更管理難點分析

面對變更數量大幅增長，安全生產面臨嚴峻考驗的現狀，我行就如何加強變更管理展開深入分析，發現存在以下三方面難點：

（一）變更實施效率有待提高

以2018年為例，變更數量為819起，其中應用類304起，窗口期為每周四、周六，理論上共104個變更實施窗口，平均每個窗口需實施變更8起，其中應用類3起。加之國家法定節假日、“兩會”等特殊時期變更須暫停實施，導致窗口期變更實際實施平均數更大。我行應用類變更實施主體為一線生產運維團隊，窗口期當班人員需在完成既定運行操作的前提下準確實施變更任務，時間緊、任務重，如何提高變更實施效率很重要。

（二）變更方案可操作性缺乏保障

變更方案由變更承辦人編寫，變更實施人遵照方案內容操作執行。由于承辦人一般是應用系統的主要技術支持人員或研發人員，對系統架構、模塊、代碼等都掌握得十分透徹，這就使得他們在編寫變更方案時，可能會對某些認為“理所應當”的要素簡寫或略寫，而這些“理所應當”在變更實施人操作執行時，往往會變成疑惑和不可操作，需要多次電話溝通指導，可能造成變更無法按計劃實施的后果。

（三）變更版本缺乏控制工具

應用類變更大多為數據、程序、文件的更新，變更實施人在備份后手工執行命令完成替換。如變更驗證失敗時，則需將備份版本再次手工覆蓋實現回退。此過程較大程度依賴實施人的主觀操作，操作失誤可能造成版本混亂，進而影響信息系統正常運行。

三、變更管理優化改進措施

當前第三方支付平臺涉獵金融范圍不斷拓展延伸，加之同業產品同質化日益嚴重，使得銀行業服務的高連續性和可用性成為贏得客戶的關鍵。為此，我行針對上述難點，多措并舉、多策并用，從管、做、查、改四方面重點加強變更管理以保障信息系統持續穩定對外服務。

（一）多元管理，強調流程管控

我行從制度、機制、人員等維度出發，強化變更風險管控。一是基于變更發布相關流程制度，編制《山西農行變更發布操作手冊》，詳細描述約束要求、準確指導變更操作。二是強化“回頭看”機制，以召開生產運行分析周例會為契機，回顧上周變更發布情況，分析問題，討論措施，統籌安排。三是加強團隊分工合作，各科室職責清晰、通力協作，變更承辦與實施分離，強化二次審查。

（二）實施保障，強調過程控制

風險管控須貫穿整個變更實施過程，我行主要從內容審核、工具應用、流程優化等方面采取措施，確保變更實施的可行性、準確性、合規性和安全性，同時提升操作自動化率。

1、組建變更委員會，加強變更審核

運維團隊作為應用類變更實施主體，牽頭組建信息系統變更委員會，在變更任務受理前，組織變更相關人員以電話會議形式，對實施方案、回退方案、驗證方法等變更要素進行審查，討論變更的風險點以及方案的可操作性，變更承辦人及時補充完善方案中存在異議和欠缺部分，確保變更順利實施。

2、推行版本庫管理，加強過程控制

引入"生產運行版本庫"概念，摒棄生產環境手動覆蓋文件、更新程序等變更方式，通過業界先進版本控制工具，將應用系統的開發測試和變更發布有效分離，發布過程操作簡潔，回退過程安全準確，降低變更發布誤操作，提高變更應急處置效率，確保變更風險可控。

3、優化變更流程，提高實施效率

加強變更質量管控的同時，我行主要做好以下工作，不斷提高變更實施效率。一是以批量腳本為基礎的變更發布模式，替代傳統的人工操作模式。我行通過搭建測試環境，檢驗腳本語句的有效性，驗證批量腳本變更發布模式的可行性，不斷提升主要應用系統的變更實施自動化率，并將構建功能模塊，實現變更的一鍵化操作，減輕實施人員負擔，提高變更效率。二是將日常頻繁發生的、變更操作不會對服務產生較大中斷風險的變更進行歸納分析，制定詳盡變更方案，包括變更內容、變更風險、發布預案和應對措施等內容，經評審形成標準變更列表并及時更新，實現變更任務預審批，簡化變更流程。

4、結合平臺應用，加強變更管控

我行結合IT服務管理平臺加強制度與規范建設，遵照行內變更管理相關制度及《生產運維操作指南》的要求，制定了《山西分行IT服務管理平臺變更管理操作手冊》，強調變更任務平臺流轉、要素齊全、格式正確，做到“逐級審批”、“操作留痕”、“風險可控”，加強變更管控。

（三）審查回溯，強調及時發現

以總行各項審計檢查為契機，并積極組織自律監管自查，對變更全流程、多環節展開周期性檢查，及時發現問題并落實整改。同時深化督促整改職能，跟蹤復查整改進度及情況，確保問題得到根治，堅決杜絕出現類似問題多次、反復發生并長期存在的情況，持續加大變更管理力度。

（四）整改優化，強調持續改進

借鑒ITIL質量管理體系PDCA機制，周期性分析變更管理中的難點、痛點，提出優化建議，并堅持該過程不斷循環、周而復始，從而實現變更管理工作的不斷改進。

參考文獻：

[1]章斌.基于ITIL的IT服務管理基礎篇[M].北京：清華大學出版社，2007