论IT服务风险管理
【摘要】
2021年8月,我公司中标南方某市农商银行互联网核心系统“芝米BANK”整体上云的系统规划与建设项目,我作为本项目的系统规划与管理师负责从系统规划设计、上云部署实施、业务运营及持续改进等全流程管理工作。该项目是基于银行互联网核心,将涉及到网贷系统、手机银行、互联网收单业务,以及消费信贷、投资理财、资产证券化等金融产品全部迁移上云,并探索全行各级机构数据中心整合模式,实现全行大数据的共享与协调。此项目时间紧,任务重,实施过程中,我们特别注意IT风险管理,从风险管理计划编制、风险识别、风险定性分析、风险定量分析、风险处置计划、风险监控与跟踪等方面进行了详细的安排和工作实施,经过我们团队的不懈努力,“芝米BANK”整体迁移上云于2021年12月顺利完成,截止到2022年4月,对私客户数量已达到30万,超过原系统客户数量的5倍之多,得到行方的高度评价。
【正文】
2021年7月,银监会发布《中国银行业信息科技“十三五”发展规划监管指导意见》,要求银行业金融机构积极探索云计算架构模式,制订去计算标准,联合建立行业云平台,逐步实施架构迁移,到“十三五”末期,面向互联网场景的主要信息系统尽可能迁移到云计算平台。为了贯彻文件的精神,该市农商银行以高度前沿的战略规划、为提高IT基层实施保障能力,适应本行业务发展的连续性要求,启动了互联网那个核心系统“芝米BANK”整体迁移上云项目。通过邀请招标,我公司作为同业云服务提供方最终有幸中标,我作为本项目的系统规划与管理师,全流程参与了该项目建设。“芝米BANK”是银行核心系统的重要组成部分,是一款银行运用“互联网+”的理念,将传统线下信贷、存款、投资理财、票据、收单支付等产品进行深度融合,通过银行账户+金融服务双重优势提供业务服务。
风险是在实现服务目标过程中所带来的不确定性和可能发生的危险,风险一旦发生,会对服务产生影响。为该项目提供IT服务的过程中会遇到各种风险,这些风险通常包括人员、技术、资源、过程和其他方面。例如,在人员方面,会出现服务人员流动导致服务质量波动大、人员误操作导致业务数据丢失的风险;在技术方面,会存在采用发现问题的技术和服务对象不匹配的风险;在资源方面,会发生备品备件失效、服务工具失效等方面的风险;在过程方面,会出现过程规定不完善的风险;在其他方面,会出现服务范围蔓延的风险等。
为此,在工作启动后,我除了严格按照ITSS的要求,努力做好运维服务生命周期阶段的IT服务工作,加强团队建设和管理之外,还特别注重对整个过程的监督管理,特别是对IT服务风险的监控,主要从风险管理计划编制、风险识别、风险定性分析、风险定量分析、风险处置计划、风险监控与跟踪等方面加强了风险管理。
1、风险管理计划编制
风险管理计划是在服务正式启动前或启动初期,基于风险角度对服务的一个纵观全局的考虑、分析和规划。作为一名合格的系统规划与管理师,做任何事之前都应该先做好计划,因此在该项目中,我非常重视风险计划的制定。在“芝米BANK”项目启动之初,我召集需方代表以及我方IT服务团队参加风险规划会议,根据服务范围说明书、服务级别、进度管理计划、以往服务项目的组织过程资产,并结合项目实际情况,共同制定了风险管理计划和风险模板。我们采用多次会议的方式,充分考虑了每个干系人提出的建议,同时我还额外邀请了我公司在金融领域的专家,全民地分析风险对各阶段的影响,进行了责任分工,并要求每两周召开一次风险评估会。
2、风险识别
风险识别是识别并确定IT服务有哪些潜在风险,引起这些风险的主要因素及风险可能引起的后果及严重程度。我通过一种在线文档编辑软件“石墨文档”发布了风险管理计划、风险模板和公司项目风险库,将项目所有成员配置可读权限,使其有所准备地参加风险识别的头脑风暴会议。会议根据项目的实际情况,通过RBS的形式,把IT服务中的风险划分为技术风险、需求风险及沟通风险三类,最终形成了详细的《风险登记册》。比如:(1)在系统部署阶段,考虑互联网收单业务中支付交易在高并发情况下,如果没有提供高可用的消息队列,很可能出现系统掉单风险。(2)在整个部署阶段,作为金融机构的银行由于其特殊性,会受到来自人行、银监等监管机构对其业务开展、系统上云等进行监管,故存在项目的不确定性及SLB变更的风险。(3)由于项目涉及的干系人众多,涉及需方8个部门、设备供应商、若干第三方IT公司以及监管机构,则存在于干系人之间信息不对称导致沟通风险。
3、风险定性分析
在风险定性分析阶段,我们逐个确定每一个风险发生的可能性和优先级并记录下来。我通过会议的方式,组织IT服务团队并额外邀请两名金融行业技术专家,对识别出来的风险进行认真细致的概率评估和影响分析,通过建立概率影响矩阵,确定各风险的优先级,并将定性分析的结果更新到《风险登记册》。
4、风险定量分析
风险定量分析使我们在面对很多不确定因素时提供了一种量化的方法,以尽可能做出恰当的决策。为了更准确地定量分析,我们时常采用决策树的方法,进一步从量化的角度确定了不同风险对项目各个阶段的影响程度,并将定量分析结果记录到《量化风险优先级清单》。通过使用决策树方法,在整个过程中我们有效降低了服务的成本,比如在前述引起风险的事件(掉单情况)中,我们同时考虑了需方自由开源的消息总线ActiveMQ以及使用云消息队列Ckafka服务,但在实际分析后发现,如果选择开源ActiveMQ的话,在高性能、高扩展性、业务安全和统一运维等方面会直接影响项目的可靠度,并会增加IT服务成本,故通过决策树评分后的结果我们最终采取云服务Ckafka。
5、风险处置计划
风险处置计划就是对经过定性、定量分析后所更新的《风险登记册》进行分析,把应对风险所需成本和措施加入IT服务预算和进度中。比如针对高并发情况下的掉单风险,我们选择云消息队列Ckafka来解决。针对监管政策导致业务需求和SLB变更的风险,我们除了制定完善的变更控制流程,还会协调我方政策研究发展部负责人积极协助银行方提供相关汇报文件。针对项目各干系人之间的沟通风险,我邀请其都下载一款即时通讯软件(钉钉)并建立沟通群。相较于微信、QQ等通讯软件其最大的有限在于信息反馈的高时效性,即发出的消息能让我知道哪些人已读,哪些人未读,对于未读的干系人还可以采用DING电话或短信通知的方式提醒干系人尽早阅读,确保信息准确传达并提高了沟通的效率。
6、风险监控与跟踪
风险监控就是在整个IT服务过程中,监视残余风险,识别新风险,执行应对计划并评估有效性。此次项目各阶段的风险监控中,我们主要采取风险审计、差异分析和技术绩效测量等方法,通过每两周召开的风险会议,及时发现IT服务过程中的潜在风险,从某种程度上将风险意识灌输到团队的每个人,客观上提高了团队小组的凝聚力。
经过我们团队的不懈努力,历时5个月的“芝米BANK”整体迁移上云于2022年1月顺利完成,截止2022年4月,对私客户数量已达30万,超过原系统客户数量的5倍之多,得到了行方的高度评价。回顾此次“芝米BANK”上云项目,我对IT服务风险管理在整个项目运维过程中的重要性有了更加深刻的认识,同时也深刻认识到自己的一些不足之处,在实施过程中,也暴露了一些问题,比如资源分配不合理、风险清单不够充分、沟通不足,信息收集不足等,不过通过应急处理和协调,这些问题都得到了妥善解决,没有影响到项目进度。我们已经把这些经验和教训总结到了项目小结里面,为今后项目实施提供帮助。
2109
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
