第 4 章 华融湘江银行 IT 治理方案的实施
4.1 实施中可能面临的问题
4.1.1 IT 人力资源匮乏
由于华融湘江银行组建之初人力资源十分匮乏,至今,虽然从外部引进了很多人才,但是依然呈现不足的问题,前期成立的信息科技管理委员会就没有专门的工作人员,均是各个部门的人员参与进来而成立,而且信息科技部本身人员就十分不足,许多地方是一人兼多个岗位,目前行内没有更多的人才进行信息科技管理委员会(IT 治理委员会)独立人才的培养和选择,靠外部人才引进又不是一蹴而就的事,而且,外部人员对我行内情况了解不够。
人力资源依赖于其数量与质量,此外就是结构问题。人力资源丰富是说人口众多的基础上提供出来的人力资源总量以及人力资源潜力非常大,特别是各个学历以及专业人才非常丰富,并不缺少。而人力资源匮乏可以理解成结构性的匮乏(比如说某专业方面过多而另一专业方面又太少),也可以理解成单个人所含资源的匮乏(比如说所具知识结构不完整或者其他方面的技能不足以弥补体能方面的劣势),最后一种解释就是管理、教育方式有问题,导致人力资源潜力不能够得到有效开发或者资源得不到合理搭配。
通过以上分析,我们认为华融湘江银行信息科技人力资源匮乏程度非常严重,首先,信息科技部人员本身存在不足,存在信息科技开发、运维人员等专业人才的匮乏;再次,华融湘江银行信息科技管理委员会(IT 治理委员会),IT 风险管理部门,IT 风险审计部门均没有任何专设的独立的 IT 治理人员,信息科技人员存在结构性匮乏。
4.1.2 员工意识跟不上新模式的变化
现有原始模式下 IT 运维的处理,经常是只要一个邮件或电话,就能解决一些数据的查询,进行数据修改只要进行数据维护单填写,人们已经习惯这种模式,IT 系统建设业务部门虽然也要年初报计划,但是基本上是业务人员随意报,宁可多报绝不少报,报多了也不需要承担责任。模式改变后,各个部门和员工的所有行为都有记录在系统内,而且所有事项按流程审查,难以避免部分部门或员工不遵守流程。
制度虽然明确了,但是执行时间长了,有些内容难免流于形式,流程的起始端开始就登记或者申请信息,长此以往,难免信息填写简化,审查环节不把关,造成很好的制度和流程落实下来执行力不高,流程流于形式。对制度执行过程中,合意的就“用足用活”,不合意的就不理不睬,束之高阁。“上有政策,下有对策”,管理者与被管理者之间天生就存在利益博弈,所以在执行上级政策时,我们常常看到一些下级机关通过各种“对策”阻挠执行、虚假执行甚至扭曲执行。
制定工作流程的目的无外乎有三:岗位明确、岗位责任制、岗位工作量化。
人的惰性是不可能借由感情化的元素来戒除的,所以工作流程必须给个人强制的任务,明确了岗位的责任,会有两个好处:一是方便追究责任,如果可以,让每个责任人都在任务完成报表上签字确认,这样一旦产生问题,具体责任人就有无可推卸的责任,这是解决问题和减少问题再发生的最佳途径;二是减少感情化因素,个人感情化因素是很不稳定的,往往负面情绪会直接导致工作交接出现问题,将个人责任固定后,可以避免这样的影响,方便同层之间交接工作,也方便上层布置工作。无论什么工作,都必须要有量产指标,包括后勤。这点身为管理者必须明确了解,如果没有,就在流程里明确它!按照具体量产周期,详细规定个人的产量,这样才能保证公司整体产品的供给底线,保证公司的收入。这三点中前两点一般受到抵触的情况和程度会少些,但是这部分工作可能会受到众多业务部门的人员抵触,在使用流程之前,业务人员往往将工作不到位的责任推给科技人员,这样领导便不再追究过多的责任,如今责任明确了,业务人员需要承担更多的责任。工作量化是最容易让员工产生负面情绪的东西,这是无可避免的,对于如何降低这样的负面情绪,就在于科学的制定量化量,必须让员工产生差别意识,可以大胆的故意向产量水平线上的员工放宽政策,充分刺激低产量的员工。
4.1.3 内部监督力度不足
华融湘江银行作为一个以金融业务为主业的商业银行,在内部管理部门设置上,总行层面设置稽核管理部,负责全行的稽核工作,主要行领导直接对其进行考评,权力设置较大,其对业务的检查监督力度不容置疑,在各分行、各业务条线起到了“揭示风险、纠正违规、健全内容”的作用,但是在 IT 审计监督上确难以发挥作用,力度微弱,这个问题即使 IT 治理实施要面临的问题,也是 IT 治理工作本身应该要解决的问题。
当前国内多数商业银行的 IT 内部监督与国际相比尚有较大差距,华融湘江银行尤其是在以下几个方面还存在明显不足。
1. 专业人力资源匮乏经验不足
虽然华融湘江银行引入了一些 IT 人员。但受各种因素的的影响,内控人员绝大多数都是财会、经济专业出身,IT 技术专业出身的审计人员数量很少,即使是IT 专业出身大多是也没有较为深入的 IT 专业工作经验和素养,与需要承担的 IT审计工作量和工作难度相比,数量和专业能力差距较大。多年来我们对财会、信贷等传统业务内部监督已积累了丰富经验,基本有成例可循,而 IT 审计刚刚起步,处处都需要研究、探索。而且,作为被审计对象的财会、信贷等传统业务本身已经相对成熟稳定,而 IT 技术进步日新月异,新产品层出不穷,银行应用系统更迭频繁,即便是已有的审计经验也往往不过两年就会过时。
2.工作负荷和工作难度大
华融湘江银行应用系统多大达几十个,而且新系统持续不断上线,加之应用系统规模庞大、技术架构复杂,IT 专业分工又日趋细致,要对其实施全面、深入、定期的审计困难极大。
3.审计规范体系有待建立和深化
由于内部监督部门人力资源结构问题和工作侧重点等原因案,IT 审计方案或者比较粗略,或者尚不够全面,完备、细致的 IT 审计规范体系有待建立。而且IT 审计不能仅仅局限于系统开发、系统运行的操作控制和流程控制层面,缺少从IT 治理高度针对银行 IT 组织架构、运行机制的高层次的审计,不能起到促进 IT治理本身的持续改进和良性循环的作用。
4.2 主要保障措施
4.2.1 加强人力资源建设
专业科技人才队伍的建设是华融湘江银行信息科技工作能够获得长期发展的基础,为了提高人员整体素质,积极引进和培养专业人才,使信息科技人员从数量、质量上都较大的提升,建立各种专项发展的架构管理师、项目管理师、需求服务分析师、研发人员、测试人员、基础设施管理人员、风险管理人员、风险审计人员等专业团队成为当前最紧迫的需求。对关键岗位人员进行专门的培养和培训,拓展岗位知识、技能及综合素质,按岗位要求完成架构设计师、需求服务分析师、项目管理师和运行管理专家等关键岗位的基础培训工作。以人为本,促进人才健康成长和充分发挥各类人才的作用并重,使用优秀人才不拘一格,大胆启用青年才俊,在工作中发现、挖掘人才,为人才的迅速成长创造很好的内部和外部环境,吸引更多的人才加入华融湘江银行。
1. 人才储备
以人才储备计划为主线,加强对现有人力资源的开发管理,以绩效考评管理为手段,盘活现有资源,逐步实现全行人力资源的结构性调整,提升人力资源的综合能力,以满足业务发展对人才的需求。
2.IT 专业人才培养
建立正确评价员工价值、体现优胜劣汰原则的绩效考评制度,真正留住人才。
比如,对于员工个人实现的问题,可以制定领域专家培养计划,给员工创造各种学习机会提高个体素质;将学习目标引入到绩效考核指标中,以外部压力力督促员工不断进步,不断成长;定期组织技术与业务学习,鼓励员工不但要学习好 IT技术只是,同时要学习各种业务知识,同时不阻碍技术人才的正常流动,给技术员工创造更多向其他业务部门发展的空间和机会,形成 IT 技术人才的业务交流机制;在 IT 部门内部建立基于技术专业序列的晋升制度,鼓励技术专家型人才的出现,为优秀的技术人员走技术道路发展路线打好基础,给予不低于管理岗位相应的待遇。大力开发自由、开放、便利的网络远程培训平台,创造随时学习、方便学习的网络培训功能;定期与国内外知名院校、行业内优秀机构举办各类学习班,探索建立与国内外知名金融机构的人员交流互访机制,使人才的学习意识和潜力得到最大程度的开发和应用,构建网络和实际相结合,境内和境外相结合,专业素质和综合素质相结合的全面人才培训体系。
千里马难遇,伯乐更难求。金融 IT 人才的发现与培养,需要银行高层从制度建设到人性管理的全方位重视。而有了人才,华融湘江银行所希求的一切,市场也好,客户也好,企业形象也好,必将如探囊取物,无所不得。
3. 合理调整 IT 人才结构华融湘江银行 IT 人才结构存在信息科技部内部人才梯度结构不合理,信息科技部外 IT 相关部门缺乏 IT 人才等结构性短缺。因此,人力资源部门在配备 IT 人才方面,要注意适当调整 IT 人才的梯队建设和结构性培养,既要招聘高端 IT 人才也要使用基础 IT 人才,既要培养 IT 部门本身 IT 人才也要注重 IT 治理人才储备,同时,IT 风险管理部门和审计部门同样要培养从 IT 风险管理和风险审计角度来审视 IT 工作的人才。
4.2.2 IT 专业人才激励机制
为拓宽专业技术人才职业发展通道,促进华融湘江银行业务发展,借鉴同业专业技术序列管理先进经验, 针对市场紧缺、具有较强的不可替代性 IT 专业技术人才进行 IT 专业技术序列设计。专业技术序列设置原则要符合惯例。依照同业惯例,借鉴同业专业技术序列管理的先进经验,从专业技术序列的划分、选聘程序等方面规范本行的专业技术管理。吸引人才原则。通过专业技术序列的设置,为专业技术人才打开专业发展通道,吸引本行业务发展和经营管理急需的专业技术人才。动态管理原则。专业技术职务评定后,实行聘任制。根据专业技术人员自身能力的提升和工作业绩情况,实行动态调整。
参考国家软件水平与资格考试相应序列,结合信息科技部实际工作需要进行设计。其中初、中、高级分为软件开发工程师序列、数据库工程师序列、测试工程师序列、需求分析工程师序列、主机管理工程师序列、网络工程师序列、安全管理工程师序列等七个序列种类;资深工程师分为系统分析工程师、需求与项目管理工程师、系统架构工程师、网络工程师四个序列种类(如表 4.1 所示)。每年进行一次评定,全面满足 IT 专业人才的专业化发展和激励手段,使专业技术人员的薪酬待遇不逊色于行政序列人员的待遇水平,彻底改变当前信息科技人员待遇偏低的现状,吸引优秀的人才加入我行。
4.2.3 形成华融湘江特色的 IT 文化
1.五大 IT 文化
按照现在大多数人比较认同的观点,企业管理的发展经历了经验管理、科学管理和文化管理三个阶段。在知识经济时代,在一个要想做大的企业里,文化管理至少必须具备以下五大特征: 一是速度文化,二是学习文化,三是创新文化,四是融合文化,五是适应性文化。
速度文化。由于互联网的普及,人才流动速度越来越快,强度越来越大,产品的推陈出新周期越来越短,新产品的研制时间越来越短,而客户不但需要产品具有良好的性价比和多样性而且期望通过互联网得到瞬时服务,满足业务办理需要。这就要求企业的业务和 IT 技术人员都要树立良好的时间观念,不但在自我时间管理上训练有素,而且在服务客户的产品包含的时间上响应迅速。
学习文化。近十年来,知识总量在以爆炸式的速度急剧增长,人类的知识大约是以每 3 年增加一倍的速度向上提升。老知识很快过时,知识更新换代就像产品一样频繁,使企业信息系统和业务产品运行生命周期受到最极大的挑战。培训和学习是企业生存和持续发展的主要动力源泉。
创新文化。“人无我有,人有我优,人优我转”和“穷则变,变则通,让企业的所有业务和技术人员都深刻理解这些理念,企业在激烈的市场竞争中才能立于不败之地。在商业银行 IT 部门即使技术创新部门更是业务创新基础部门,培养创新文化更是重中之重。
融合文化。IT 与业务的融合是 IT 治理的一个重要目标,融合的基础是文化,形成文化才能彻底改变当前 IT 部门与业务部门的“敌对”形式。
适应性文化。适应性文化是可以改变公司核心能力的一种文化。IT 部门常常有自己独特的价值观、信念和目标。员工不但熟悉这些目标,而且为目标的实现身体力行,积极努力,这就是适应性文化。为有效发挥员工的主观能动性,有两种方法可以采取,一是把员工的绩效与企业目标联系在一起进行考评;另一种是IT 部门负责人使 IT 部门的目标和价值内在化,形成适应性文化,并通过员工自己的行动促发工作能力的改变。
2. 稳健合规文化
严格执行红、黄、蓝牌制度。为保障各项规章制度的执行,华融湘江银行根据国务院《金融违法行为处罚办法》制定了“红、黄、蓝”牌处罚制度,对于员工违规违纪事实给本行造成的不良后果或不良影响程度,分别给予“红、黄、蓝牌”警示,并进行相应问责处罚的责任约束。员工违规违纪行为处罚遵循实事求是原则、公平公正原则、处罚与教育并重原则、依法合规原则。这项制度的有效执行,是行内执行力推行的重要保障。
4.2.4 加强内部监督控制力度
1.加强监督考核
不断完善监督考核机制和激励机制,是华融湘江银行一切工作得以开展的手段。制度执行不力的原因有两种可能,一是监督机制尚未建立,二是监督机制不合理。加强内部监管首先要建立一系列开放、透明、合理的管理制度,建立起通畅的内部沟通渠道,形成规范的、有章可循制度,形成“以制度管人,而非人管人”良好局面,增加内部监管的效益性和公平性。除此之外还可以采用听觉、视觉、物质等各种方面的激励刺激、进行不定期的考核与检查等措施,加强调动员工的工作积极性,使其能为企业创造绩效,另一方面对员工进行引导教育,鼓励员工做正确的事,把事情做正确,提高员工素质,增强企业执行力。所以搞好内部监督管理工作,只有内部监督工作搞好了,各项制度才能落实到位,良好的机制才能运行,否则一切都是流于形式。
2.加强内部控制
对于企业内部的 IT 建设与控制而言,企业内部控制规范的实施会带来怎样的影响呢?CIO 们如何系统考虑从企业 IT 的内部控制建设来保障企业内部控制。下面从 IT 内部控制与 IT 风险管理的角度,阐述企业 IT 控制与企业内部控制之间的关系。
(1) 企业内控环境:企业内控环境是企业 IT 内部控制实施的基础。主要包括IT 治理架构、职权划分、决策机制,IT 合规与审计等方面的内容。
(2) IT 风险评估:伴随企业对信息科技技术的应用而生的信息科技风险已经成为风险管理的重要方面。风险评估的内容包括:目标的设定、风险的识别、风险的分析和应对几方面。IT 目标的设定可以理解为 IT 战略与规划,IT 风险的识别、分析与应对包括对信息系统设备本身的风险、IT 管理控制流程的风险以及应用系统软件的风险识别、分析与应对等方面。
(3) IT 控制措施:针对具体的风险评估的结果和业务相关经验,在信息系统建设和运维管理方面需要实施具体的 IT 技术手段和控制措施以加强管理,包括各种 IT 技术类控制措施,如网络防火墙、防病毒控制、防入侵检测、身份验证管理、用户权限管理等,以及各种 IT 管理类控制措施和流程,包括各类 IT 管控制度与流程,如开发管理制度、项目管理制度、变更管理制度、安全管理制度、运营管理制度、以及职责分离和授权审批等原则。
(4) 信息与沟通:在 IT 领域通常需要明确具体的 IT 建设开发、生产运行管理制度和良好的沟通机制,建立服务台与事件管理程序,及时接收、处理、跟踪、统计企业内部层级之间和与企业外部相关的信息,为信息系统的改进,建立一个良好的信息基础。
(5) 监督检查:为评价 IT 控制是否有效,应当建立 IT 内部控制体系的审核机制。通过各种技术手段如信息系统日志分析、监控系统主动监控、综合分析平台报告等,和严密的管理手段如内部 IT 审核机制、管理制度评审、专项深入检查等措施,不断改进和完善企业的 IT 内部控制机制。
4.2.5 赢取最高层领导对 IT 治理工作的支持
一直以来,在金融行业,因为 IT 非核心业务,更多的被定义为为业务部门服务的工具,很难引起领导的重视。领导不重视 IT,但不可能不重视业务,可以联合业务部门一起推动。但是又不能过于迁就业务层具体职能,而无法全盘考虑 IT在企业中的总体作用。IT 治理工作重要的目标之一就是达到 IT 与业务的完美融合,体现 IT 价值,IT 治理是高层应该关注的范畴,是对 IT 管理的管理,更多的体现的行内的 IT 政策方针路线上。为解决这种矛盾,必须得到高层的果断支持,合理评价 IT 建设的价值,充分结合企业整体战略和业务增值的理解并在企业内部达成共识的角度,需要让高层理解三方面的关系:
首先,企业高层应该认识到利用 IT 提供信息,对上层决策有多大的价值。这类价值一般体现在信息的真实性、及时性上,同时 IT 工具也提供多个维度察看数据的技术手段。另外,企业高层也应该理解数据依赖于一线操作,如果数据产生于一线操作人员在信息系统帮助下完成任务的过程中,则获取的信息是最准确和最及时的。而如果数据采集依靠一线对数据进行专门录入,则 IT 仅仅扮演了数据采集的工作,这一概念大大有别于企业业务系统的概念。
其次,企业高层要看到 IT 的另一个价值在于对一线操作的规范作用。而一线操作的规范性,不仅能够使信息系统记录的信息更为完整,更可以保持企业整体形象的统一,并保持企业文化发展的高度一致性。若企业高层充分支持 IT 的这项作用,则 IT 建设在一线遭遇的障碍能够降至最小。
最后,企业高层必须了解,IT 建设的过程中,还需要不断使业务操作人员和管理人员达成关于信息系统建设的共识。不仅仅最高层需要了解前面提到的两点,企业上下更需要在方案讨论过程中,就矛盾的平衡达成共识,这正是企业 IT 规划的工作重点之一。
重视 IT 治理应从 CIO 入手,CIO 是企业 IT 建设与领导间的主要沟通者,同时也是 IT 建设的主要实施者,建立长效 CIO 机制,是 IT 治理顺利实施的开始。
因此,CIO 的工作决定了 IT 治理实施的成败,CIO 在进行 IT 治理规划时必须建立清晰的企业信息化治理发展愿景,做好企业的 IT 治理规划,并对领导说明 IT治理的重要性,得到领导的实施支持。需要从几个方面来考虑:第一,认识上,进一步普及 IT 的概念、内涵,增强企业领导对 IT 的认识,让他们明白 IT 所代表的真正含义,使他们意识到,IT 可以促进公司治理架构设计,在制度设计和建设中发挥更大效力。第二,战略上,企业领导应当对 IT 规划有一个明晰的概念。IT规划需要与公司战略计划融合,促进战略规划的实施。IT 战略可以与公司战略整合而成为公司战略的中心,保证公司战略从制订之初就具备竞争力。第三,实施上,在企业领导的支持下,通过建立信息化部门,规范 CIO 的工作来促进 IT 建设的顺利实施。可以通过对 IT 行为进行集中控制,对 IT 业务进行重构,推进 IT服务业务导向,推行使用者为顾客的观点,强化团队的跨部门管理。
4.3 预期效果分析
IT 治理就是要解决要做出什么样的决策?谁来决策?如何决策?等问题。通过华融湘江银行的 IT 治理实施,能够使华融湘江银行 IT 决策机制高效运行,项目计划由 IT 治理委员会统一决策制定,IT 需求管理部门和 IT 技术管理部门按计划提出需求,进行项目建设开发,避免了不必要的部门矛盾,所有工作按计划执行,责任清晰。IT 系统建设,按信息科技管理委员会(IT 治理委员会)技术小组制定的技术标准和规范实施,不满足行内 IT 建设标准的供应商被排除在外,避免了华融湘江银行 IT 技术使用混乱,标准不一,难以管理的现象。
4.3.1 IT 规划符合业务的发展要求
在企业信息化的过程中,如何做好 IT 规划,成为企业信息化持续建设的关键。
于是一些 IT 咨询公司大肆渲染 IT 规划,但是有很多企业在请 IT 咨询公司做 IT规划中存在各种各样的问题。第一,IT 规划脱离了企业的业务需求。第二,咨询顾问缺乏 IT 实践。第三,咨询公司缺乏务实和客观。无论是请外部来做 IT 规划,还是我们自己思考 IT 规划,总之我们要清楚,通过 IT 规划是不是我们可以确定了企业自身 IT 规划建设的一个方向,而这个方向是不是符合企业发展的需要,如果这点还没有搞清楚,那么我们应先搞清楚企业发展的管理需求。
华融湘江银行 IT 规划,通过信息科技管理委员会(IT 治理委员会)来制定,其成员董事会成员、行长、CIO 以及信息科技部和业务管理部门,主要工作由委员会专职工作人员协调各个部门意见而制定 IT 规划,可以说是符合全行经营战略方针、IT 实际情况和业务发展需要的规划,长期规划和每年工作计划相结合,确保 IT 规划的实施与业务发展齐头并进,互相促进。
4.3.2 IT 运维体系标准化流程化
通过 IT 治理的实施,IT 运维服务不再是突击式、救火式的管理,而是实现IT 服务受理,事件处理,问题管理,变更发布管理等一系列 IT 运维的标准化管理。除以上关键管理流程之外,数据管理、机房管理等制度标准建设与执行。管理流程整合,完善信息交互机制,形成闭环管理。对事件分级,有效的事件升级及响应机制;对事件后续分析与处理,不断优化管理流程;建立变更分类标准和变更分级审批流程,完善变更窗口管理制度,有效降低变更对生产运行的负面影响;制定配置参数移植、修改、备份、存储、更新、销毁等方面的管理制度,控制配置操作引发的风险。完善数据存储、使用、传输以及备份管理,进一步制定标准、规范,重点强化客户信息和经营分析数据等敏感数据访问控制、清理、销毁以及数据变形使用管理;进一步加强机房人员、供电、空调、防火管理。
总之,通过 IT 运维的流程梳理和标准化,使以往繁杂无序的运服管理工作变成标准有序。实现可预期的管理,从被动管理向主动服务的转化。实现自动化的管理,使事事皆有人响应,不断总结经验,增加系统自动化处理能力。
4.3.3 项目建设稳步实施
标准化建设作为信息科技管理委员会(IT 治理委员会)一项重要工作,可以得到信息科技部大力的推行,IT 计划的共同制定,有利于 IT 计划的有序实施。
结合 IT 项目管理水平的提升,提升公司 IT 项目建设的整体管理水平。项目、设备、财务、人力资源,全方位管理,细化任务节点,严把各阶段、各环节的质量关,及时解决项目建设中出现的困难,确保项目建设稳步推进。为把他行的先进管理模式和管理理念融入公司员工的日常工作中,信息科技应用技能教育培训,做到全员参与、全方位带动。结合标准化建设,扎实开展流程梳理,项目实施与标准化建设结合起来,按照全行统一要求,全面梳理、优化各项管理制度和工作流程。结合绩效考核,细致开展执行力建设,公司按照“组织健全、职责到位、归口管理、统一协调”的原则,制订了 KPI 关键指标考核办法。项目人员的绩效与项目建设挂钩,提高员工工作积极性和员工配合融洽度。通过一系列工作的开展确保全年 IT 项目建设成功,最终保证 IT 规划落实。
4.3.4 IT 风险可见可控
企业的 IT 建设是“三分建设,七分管理”,随着 IT 项目建设管理的到位,IT运维体系的健全,逐步增强了 IT 部门自我风险管控能力。通过 IT 风险管理部门和审计部门的进一步检查,企业可以进行进行 IT 的全面风险管理。然而,对安全风险进行的这一系列控制都是建立在风险可见的基础上。因此,全面的 IT 风险排查工作和 IT 风险发现机制成为 IT 风险管控的重点。据统计,IT 风险 80%的体现在运行维护阶段。信息科技效益提升的关键是如何将 IT 运维的风险降低至我们的可控范围内,这也是我们在企业信息化运维过程中的重中之重。
1. IT 运维风险防控手段
通常 IT 运维的风险主要包括:人员管理的风险:越权访问,违规操作等;无序变更的风险:对于运维过程中频繁的变更操作、重大变更的审批和授权等,缺乏有效的管理;定位故障事件的风险:复杂的的 IT 信息系统一旦出现故障,无法准确定位故障点,恢复系统时间较长,严重影响业务正常运行的风险等。IT 运维服务治理通过管理架构及运维职责的不同,对访问、操作权限进行合理分配,避免越级操作、非法操作等风险发生,规避了系统性风险的发生,通过对访问权限的控制,减少了因权限问题导致的风险;通过制定应急预案,减少重大故障的影响。“IT 运维”将变得可管可控,降低了信息化带来的风险。
2.IT 运维风险发现手段
当庞大的 IT 信息系统出现了故障,管理人员常常不知从哪里查起,耽误了业务系统的正常运行,这将给客户带来很大的损失,通过业务服务管理系统,数据中心运维工作人员可以实时监控各个信息系统的运行工作状态。当系统监测到某一个信息系统数据超过在监控系统中设定的阀值时自动报警,工作人员通过系统间的关联分析,主动发现并解决故障;并通过信息状态发展趋势分析,寻找潜在隐患,提早解决,变“被动救火”为“主动防御”,更加有效地防范系统故障、提高工作效率,有效地支持业务的顺利开展。
