关于加强变更管理的思考分析

安媛媛 张晓艳 高乐

摘 要：变更作为安全生产主要风险之一，是山西农行重点管理内容。随着我行业务高速发展，变更管理持续面临实施效率需提高、方案可行性需保障、过程版本需控制的挑战。为此，我行从管、做、查、改四方面加强变更管理，强化风险管控。

关键词：变更;风险管控

一、变更管理现状

变更作为安全生产风险的主要诱因，一直是银行业生产运维重点管理内容，山西农行充分认识变更重要性，始终严格遵照业界及行内相关规章制度，在变更申请评审、风险评估、方案审核、有权审批、测试发布、实施验证等环节采取多项措施强化变更管理，严控变更风险，实现变更过程全面控制，强化信息系统连续服务能力，保持生产运行安全稳定良好态势。现如今，随着我行数字化转型步伐加快，系统数量激增、产品快速创新，引起信息系统投产上线和功能优化频繁，2018年变更数量较2017年同比增长49.2%，较2016年环比增长84.5%，窗口期变更数量大幅增长对安全生产构成一定威胁。

二、变更管理难点分析

面对变更数量大幅增长，安全生产面临严峻考验的现状，我行就如何加强变更管理展开深入分析，发现存在以下三方面难点：

（一）变更实施效率有待提高

以2018年为例，变更数量为819起，其中应用类304起，窗口期为每周四、周六，理论上共104个变更实施窗口，平均每个窗口需实施变更8起，其中应用类3起。加之国家法定节假日、“两会”等特殊时期变更须暂停实施，导致窗口期变更实际实施平均数更大。我行应用类变更实施主体为一线生产运维团队，窗口期当班人员需在完成既定运行操作的前提下准确实施变更任务，时间紧、任务重，如何提高变更实施效率很重要。

（二）变更方案可操作性缺乏保障

变更方案由变更承办人编写，变更实施人遵照方案内容操作执行。由于承办人一般是应用系统的主要技术支持人员或研发人员，对系统架构、模块、代码等都掌握得十分透彻，这就使得他们在编写变更方案时，可能会对某些认为“理所应当”的要素简写或略写，而这些“理所应当”在变更实施人操作执行时，往往会变成疑惑和不可操作，需要多次电话沟通指导，可能造成变更无法按计划实施的后果。

（三）变更版本缺乏控制工具

应用类变更大多为数据、程序、文件的更新，变更实施人在备份后手工执行命令完成替换。如变更验证失败时，则需将备份版本再次手工覆盖实现回退。此过程较大程度依赖实施人的主观操作，操作失误可能造成版本混乱，进而影响信息系统正常运行。

三、变更管理优化改进措施

当前第三方支付平台涉猎金融范围不断拓展延伸，加之同业产品同质化日益严重，使得银行业服务的高连续性和可用性成为赢得客户的关键。为此，我行针对上述难点，多措并举、多策并用，从管、做、查、改四方面重点加强变更管理以保障信息系统持续稳定对外服务。

（一）多元管理，强调流程管控

我行从制度、机制、人员等维度出发，强化变更风险管控。一是基于变更发布相关流程制度，编制《山西农行变更发布操作手册》，详细描述约束要求、准确指导变更操作。二是强化“回头看”机制，以召开生产运行分析周例会为契机，回顾上周变更发布情况，分析问题，讨论措施，统筹安排。三是加强团队分工合作，各科室职责清晰、通力协作，变更承办与实施分离，强化二次审查。

（二）实施保障，强调过程控制

风险管控须贯穿整个变更实施过程，我行主要从内容审核、工具应用、流程优化等方面采取措施，确保变更实施的可行性、准确性、合规性和安全性，同时提升操作自动化率。

1、组建变更委员会，加强变更审核

运维团队作为应用类变更实施主体，牵头组建信息系统变更委员会，在变更任务受理前，组织变更相关人员以电话会议形式，对实施方案、回退方案、验证方法等变更要素进行审查，讨论变更的风险点以及方案的可操作性，变更承办人及时补充完善方案中存在异议和欠缺部分，确保变更顺利实施。

2、推行版本库管理，加强过程控制

引入"生产运行版本库"概念，摒弃生产环境手动覆盖文件、更新程序等变更方式，通过业界先进版本控制工具，将应用系统的开发测试和变更发布有效分离，发布过程操作简洁，回退过程安全准确，降低变更发布误操作，提高变更应急处置效率，确保变更风险可控。

3、优化变更流程，提高实施效率

加强变更质量管控的同时，我行主要做好以下工作，不断提高变更实施效率。一是以批量脚本为基础的变更发布模式，替代传统的人工操作模式。我行通过搭建测试环境，检验脚本语句的有效性，验证批量脚本变更发布模式的可行性，不断提升主要应用系统的变更实施自动化率，并将构建功能模块，实现变更的一键化操作，减轻实施人员负担，提高变更效率。二是将日常频繁发生的、变更操作不会对服务产生较大中断风险的变更进行归纳分析，制定详尽变更方案，包括变更内容、变更风险、发布预案和应对措施等内容，经评审形成标准变更列表并及时更新，实现变更任务预审批，简化变更流程。

4、结合平台应用，加强变更管控

我行结合IT服务管理平台加强制度与规范建设，遵照行内变更管理相关制度及《生产运维操作指南》的要求，制定了《山西分行IT服务管理平台变更管理操作手册》，强调变更任务平台流转、要素齐全、格式正确，做到“逐级审批”、“操作留痕”、“风险可控”，加强变更管控。

（三）审查回溯，强调及时发现

以总行各项审计检查为契机，并积极组织自律监管自查，对变更全流程、多环节展开周期性检查，及时发现问题并落实整改。同时深化督促整改职能，跟踪复查整改进度及情况，确保问题得到根治，坚决杜绝出现类似问题多次、反复发生并长期存在的情况，持续加大变更管理力度。

（四）整改优化，强调持续改进

借鉴ITIL质量管理体系PDCA机制，周期性分析变更管理中的难点、痛点，提出優化建议，并坚持该过程不断循环、周而复始，从而实现变更管理工作的不断改进。

参考文献：

[1]章斌.基于ITIL的IT服务管理基础篇[M].北京：清华大学出版社，2007