爲了有效地解決行業用戶在IT運維管理方面的困惑,並推介ITIL在IT運維管理中的價值和意義,我刊策劃了“IT運維診斷面對面系列活動”,活動特別邀請IBM、HP、CA、BMC等IT服務廠商的資深運營管理專家,深入瞭解行業用戶的IT運維管理現狀,切實爲用戶解疑答惑,並共同探討IT運維管理方法和經驗。
本期以某知名製造業集團X公司爲例,詳細講述了X公司的IT部門應對SOX挑戰的方法和步驟,並請科索路諮詢公司進行了詳細闡述。
您有IT運維方面的困惑嗎?您想與專家面對面交流嗎?您想發表看法嗎?請與我們聯繫,我們期待您的參與和支持。
SOX,一個看似與IT不相關的會計審計法案,一夜之間將公司的IT管理控制推到了風頭浪尖之上。調查表明,主要針對SOX的IT合規管理已經成爲全球CIO們2005年最爲關心的話題。IT的SOX合規審計需要落實到企業對IT的有效管理控制上來,而參照ITIL實踐模型建立IT服務管理流程是最好的解決方法之一。
X公司是一國際知名製造業集團,榮登美國《財富》雜誌100強,其中國分公司的IT部門設在北京。雖然中國IT部門可以得到來自公司國際IT部門的技術支持,但也承擔着將技術本地化,提供的IT服務需符合中國本土業務需求的壓力。目前,中國IT部門提供的服務包括:
◆ IT應用系統(Application)的運維管理,包括SAP系統、Oracle財務系統、庫存管理系統、郵件系統等;
◆ IT基礎設施(Infrastructure)的運維管理,包括機房和服務器管理、桌面系統、LAN、網絡監控系統等。
SOX法案挑戰IT運維
2002年7月,美國國會正式通過了Sarbanes-Oxley法案(簡稱SOX法案),明確要求管理層對公司財務信息披露和內部控制效力負有直接責任,公司的內控措施應由管理層聲明有效並由獨立審計機構出具內控審計意見提交給美國證監會(SEC)。
作爲一家在美國上市的公司,X公司全球各分支機構都將面對嚴格的SOX合規審計,SOX法案中的404條款要求公司在財務報告方面加強內控,考慮到IT和財務報告的關聯性,IT也需要加強控制以達到和SOX合規。
另一方面,隨着業務和用戶需求的提高,公司管理層對IT部門提高工作效率,降低運營成本的要求也越來越明確。他們認爲IT部門做事沒有可循的流程規範,IT人員的角色和職責定義不清晰。
面對來自內外兩方面的壓力,X公司中國IT部門決定改變被動的局面,建立起基於流程的IT管控體系,從根本上提高IT管理和控制能力。
SOX促進IT管控體系建設
SOX,一個看似與IT不相關的會計審計法案,一夜之間將公司的IT管理控制推到了風頭浪尖之上。調查表明,主要針對SOX的IT合規管理已經成爲全球CIO們2005年最爲關心的話題。SOX法案在強制企業提高IT管控水平的同時,從客觀上提高IT部門和CIO在企業內的地位,對企業的信息化建設大有裨益。
雖然PACOB(公衆公司會計監督委員會,SOX審計的監督管理機構)沒有就SOX合規審計的具體操作和評價指標做出強制統一規定,但是,第三方諮詢公司都建議企業利用COBIT(IT治理框架)制定IT管控目標,並實施ITIL/IT服務管理流程提高IT管理能力和IT服務水平,在滿足SOX合規要求的同時,提高IT部門工作效力和客戶滿意度。
COBIT從IT的規劃和組織、獲得和實施、交付和支持以及監控四大管理領域(Domain)出發,定義了34個高級IT控制目標和318個詳細控制目標。一般而言,企業在結合自身實際的情況下,只要實施其中的部分內容,就能夠很好地滿足SOX合規要求。控制的持續有效,離不開流程的支持,因此基於流程的ITIL/IT服務管理模型爲企業提供了實踐指導。這樣,SOX(業務需求)、COBIT(管理目標)和ITIL(管理措施)一起便構成了企業的IT管控體系。
選擇ITSM
基於以上理解,開展有效和高效的IT服務管理是科索路諮詢公司爲X公司開出的首張藥方。IT的SOX合規審計需要落實到企業對IT的有效管理控制上來,而參照ITIL(IT Infrastructure Library“IT基礎架構最佳實踐庫”)實踐模型建立IT服務管理流程是最好的解決方法之一。
首先,ITIL是行業的最佳實踐,是被實例證明的行之有效的IT服務管理事實上的標準,ITIL已經得到X公司總部的認可;其次,在SOX合規審計過程中,IT控制目標重點集中在IT的運維管理,依照ITIL建立IT服務管理流程能夠很大程度的滿足合規要求;再者,ITIL是一套通用的交流語言,它基於流程,面向業務,規範但不死板,可以很好地發揮企業IT管理的靈活性和能動性。
考慮到以上幾點,X公司IT部門決定在參考ITIL模型的基礎上,結合自身管理經驗,在科索路諮詢的協助下進行IT服務管理流程的建設和改造,爲即將到來的SOX合規審計做好充分準備。
分階段實施
ITIL的流程涉及面廣,關係複雜,“一擁而上”具有很大風險。同時客戶希望IT服務管理體系的建設能夠首先考慮如何幫助其通過SOX的合規審計。因此,本着“針對需求,分步實施,快速見效”的原則,X企業首先需要建立“IS質量管理體系(Information Systems Quality Management System)”,從流程建設着手,引進管理控制方法理念,以確保X公司中國IT部門按時通過SOX合規審計,並以此爲契機,提高IT部門的工作效率和服務質量。
根據方案規劃,X公司IT部門SOX合規項目分爲三個階段:
第一階段,分析客戶現有的IT管理模式,評價分析現有IT服務管理流程管理的成熟度,對照SOX要求,參照ITIL最佳實踐進行IT服務管理流程提升規劃。
第二階段,結合業務需求、管理經驗和IT控制目標,針對突發事件管理、變更管理、服務級別管理、IT服務連續性管理、安全管理等流程管理模塊,從管理策略、規範、流程、操作,到組織、文檔、工具等多個角度建立全方位的IS質量管理體系,實現對IT的有效管理控制。
第三階段,根據SOX的審計要求,分析X公司的IT風險,制定RCM(Risk & Control Matrix)風險控制矩陣,分析現有控制和目標的差距,並提出合理可行的改進步驟,爲客戶制定定期測試方案,爲最終通過SOX合規審計作好準備。
按照SOX的要求,企業必須進行定期的有效性審計,連同內控措施的缺陷以及改進計劃一起向SEC (Securities and Exchange Commission,安全與變更管理委員會) 做出彙報。因此,在項目過程中,始終強調服務管理流程的合理性,持續改進的可能性以及審計監控的有效性,並採取措施保證項目結果能夠收穫預期的效果—達到SOX合規要求,提高IT服務管控能力。
在項目啓動實施半年之後,X公司中國IT部門終於迎來了一次期中考試——公司全球SOX合規IT內部審計。X公司中國IT部門的此次項目受到了X公司全球總部的認可。
對 話
記者:X公司實施的SOX合規審計項目具有哪些特點?
科索路諮詢公司:此次SOX合規項目是隻是科索路衆多IT管理和控制諮詢項目中的一個案例,它的實施表明了SOX合規審計浪潮是企業開展IT服務管理、實施ITIL/IT服務管理流程的新機遇。X公司案例給了我們很多啓示:
首先,開展IT服務管理需要明確的管理目標。X公司實施服務管理的目標很明確:通過SOX合規審計。這爲項目持續有力的推動並指明瞭重點。所以,X公司目前實施的服務管理流程都是以提高IT控制能力、加強IT服務可靠性和連續性爲目的而有針對性地開展的。
其次,分析現狀從最薄弱、最迫切的地方起步。成熟度評估得到的結果,表明X公司目前對突發事件/問題、變更的管理與SOX合規要求存在較大差距,於是,科索路建議首先從突發事件管理、問題管理和變更管理入手,解決主要矛盾,使項目達到“快速制勝”的效果。一般實施ITIL管理流程有三個切入點:突發時間管理、變更管理和服務級別管理,該項目再次證明了這一觀點的正確性。此外,企業在開展IT服務管理項目時,應該制定出ITIL流程的分階段實施規劃。
關於突發事件管理和問題管理
記者:突發事件管理與問題管理直接影響IT服務對業務的支持程度和客戶滿意度,它們常常是IT部門提高IT服務質量的着手點。X公司的突發事件管理與問題管理如何滿足SOX合規要求?
科索路諮詢公司:X公司IT部門在項目開展前已設立了服務檯。其主要服務是對突發事件進行記錄,並能解決常見的突發事件和服務請求,將大多數事件升級給二線、三線。由於這些服務都是隨機地設立起來的,沒有進行規劃和優化,所以服務檯的一線解決率較低;突發事件在一線與二線、三線之間的升級途徑不明確,在突發事件數量高峯時,人員調配出現困難。
同時,由於沒有對突發事件處理的經驗進行分類歸納,有些事件一而再、再而三地發生,導致IT部門員工效率較低,專業技術人員無暇顧及尋找導致突發事件的根本原因。
這些情況是日積月累造成的,IT部門管理者雖然感覺到這些問題的存在,也承受着來自客戶方面要求改進的壓力,但短時間內也不知該如何下手。
SOX要求X企業提供可靠及時的財務報告。IT服務中的突發事件和問題處理可能對生產、採財、銷售、財務產生重大影響,並進而影響最終的財務報告,所以IT部門需要對所有的突發事件和問題的進行有效的內部控制。
ITIL描述的突發事件管理和問題管理能夠滿足SOX合規要求,並且能幫助公司擺脫所面臨的上述困境。典型的ITIL突發事件管理模塊與問題管理模塊可用圖1表示:
以下幾點是X公司此項目中比較成功的經驗:
定義突發事件的分類。突發事件的分類直接影響事件的升級途徑、影響程度和重要性分析。比如與安全有關的突發事件,即使優先級不是非常高,根據SOX法案的要求,也應該儘快地被處理。
定義突發事件的優先級。突發事件的優先級可以根據影響範圍、嚴重程度和時間期限來確定,預先確定事件優先級可以反映出業務對該類事件的要求。X公司的IT部門通過定義事件優先級解決了資源的分配問題。
定義事件升級途徑,包括人員的角色和責任。事件升級可以是橫向的,即事件通過一線向二線、三線升級獲得技術支持,也可以是縱向的,即將事件升級到管理層以獲得更多支持。定義事件升級的過程必須由各關係人員協商決定,達成相互間的理解和共識。
定義問題觸發機制。問題管理與突發事件管理中的流程、關鍵成功因素是不同的,問題管理的資源不能被挪用。在規定時間內得不到解決的,對業務影響特別嚴重的,或者經常發生的突發事件都會升級到問題管理流程。
主動地問題管理。IT部門需要制定流程來定期對突發事件進行回顧,通過趨勢分析發現系統中隱藏的問題。解決這些問題有助於減少突發事件的數量,爲知識庫增加有用的解決方案,提高服務質量。
二線三線知識的轉移。通過建立知識庫,將突發事件與相應的問題相聯繫,二線三線及時爲一線提供更有效的解決方案和變通方案。X公司通過突發事件定義的關鍵字進行方案的匹配和查詢。知識的轉移提高了一線的效率。
績效考覈標準。根據公司實際情況和最佳實踐的建議,制定與IT服務目標相一致的考覈標準。比如對服務檯,將突發事件數量、突發事件解決率、平均響應時間、平均解決突發事件的成本等因素作爲考覈標準。
人員培訓與教育。培訓可使IT部門的員工和業務部門代表具備所需技能;明確他們各自的責任和流程之間接口。另一方面,員工常會對新流程抱有牴觸情緒,不能理解定期檢查的必要性,這些問題也可以通過培訓得到溝通。
圖1 突發事件管理與總是問題管理
關於變更管理
記者:發生失控的變更往往會導致新的突發事件和問題。因此,企業需要實施有效的變更管理對所有變更加以控制,儘可能降低變更帶來的風險和對公司業務造成的損失。變更管理如何滿足X公司的SOX合規要求?
科索路諮詢公司:就X公司中國IT部門目前變更管理的現狀來看,不僅是用戶,IT部門自身也覺得不太滿意。首先,由於變更管理規範存在考慮不周全的方面,以及部分IT員工對變更控制的認識不夠,個別已經實施的變更請求(RFC)上漏了審批者的簽字,還有一些變更沒有被記錄,由於這些變更產生的新問題不能快速地被定位;另外,由於缺乏良好的變更評估、協調和控制機制,導致有一定數量的變更以back-out結束。總的來說,X公司中國IT部門現有變更管理還有改進的空間。
SOX的IT合規要求企業IT控制能夠合理的保證財務相關的IT系統的升級和變更得到授權和測試。爲了做到這一點,IT部門必須確保對變更的有效管理和控制。
ITIL要求變更管理能夠做到以標準的方法高效處理所有變更,將變更對IT服務質量和連續性的影響降至最低,因此ITIL的變更管理流程對變更請求、變更影響、變更批准等進行了管理和控制。
一般而言,典型的ITIL變更管理流程模塊包括如下幾項活動:提交變更請求,評估變更的影響和風險,變更請求的審批,制定變更進度計劃,協調變更的開發、測試和實施,變更實施後進行評估。
在參照ITIL爲X公司改進變更管理流程的過程中,科索路諮詢認爲X公司的問題具有一定的典型意義,因此在總結項目經驗的基礎上爲企業落實變更流程提出瞭如下幾點建議:
不同類型的變更有不同的工作流程。企業應該預先按照緊急程度和影響大小將變更劃分爲若干個等級(比如預先批准的變更-作爲標準變更可由服務檯負責完成,普通變更-可以根據變更的影響再細分成若干等級,以及緊急變更等);然後爲每一類型的定義標準處理流程,並加以記錄。這樣可以提高變更管理的靈活性,避免單一流程妨礙變更效率的現象。
建立完善嚴謹的變更批准程序。可以考慮建立企業的變更建議委員會(CAB),根據變更影響分析、變更的代價、變更的時機等因素對變更的批准給予建議,提高IT對變更風險的控制,降低變更可能帶來的損失。其次,改變“變更批准是走程序”的看法,嚴格遵照流程辦事。
在變更實施之後對變更進行評估。在變更之後,要及時評估變更是否達到預期的效果,有無副作用。並將相關的RFC文檔和CMDB中的相關配置項信息進行更新,反映出變更的效果。這種實施後的評估可以獲得經驗,便於今後變更管理質量的提升。
在變更管理最好能和配置管理協調工作。變更管理和配置管理是兩個關係緊密的流程,它們可以有效地整合在一起。配置管理的實施可以很好的支持變更管理的運作(例如CMDB能夠爲變更影響的評估提供充分的信息)。
關於服務級別管理(SLM)
記者:面對“服務質量得不到保證,用戶抱怨不斷”等問題,開展服務級別管理已經刻不容緩。服務級別管理如何化解這種困惑以及SOX的壓力?
科索路諮詢公司:X公司長期以來一直將其部分的IT業務進行了外包,因此擁有較爲豐富的外包管理經驗和健全的外包管理體系。不過,儘管公司IT部門與外包商和外部服務提供商簽訂了服務合同,他們對企業內部的IT用戶卻沒有任何的服務質量承諾,來自用戶和高層的壓力很大。如何開展SLM成爲困擾她的一個大問題。
由於公司的財務信息處理和披露基本上全賴IT的支持,SOX對公司財務信息披露效率和質量的要求,很自然地就將壓力轉嫁到了IT之上:信息系統必須能夠滿足財務信息處理和披露的要求,必須能夠協助公司的內控措施發揮效率等。另一方面,SOX要求定期評估內控的效力,企業必須擁有一套科學客觀的評價體系才能對IT服務水平進行評價。
因此,開展服務級別管理是企業進行內部控制的一個重要手段。首先,它能夠保證IT提供的服務是符合SOX規定和業務需求的;其次,它在協議的基礎上定義了服務的績效指標,方便了對IT服務進行管理和控制。
在ITIL模型中,服務級別管理被給予十分重要的地位(見圖2)。可以說,服務級別管理是IT部門與用戶聯繫的紐帶,也是不斷推動IT服務過程進行整體提升的引擎。
圖2 ITIL各流程/職能關係圖
科索路的諮詢顧問給予如下建議:
(1)認真對待服務目錄的編制
編制服務目錄(Service Catalog)是開展服務級別管理必要的準備工作,它定義了服務提供者所提供服務的全部種類以及服務目標。
(2)正確制定並簽署服務級別協議
服務級別協議(SLA)是服務級別管理的核心,因此SLA的制定和簽署需要格外謹慎。
對於像X公司這樣對自身實際的IT服務能力還沒有把握的企業,不必急於對服務級別水平進行規定。IT部門可以綜合考慮基線水平與用戶需求,定義初步的服務級別計劃。然後在於客戶達成協議的前提下,在一段試運行中考察實際的服務能力,然後對服務級別進行修正。
(3)服務水平的持續改進
簽訂SLA僅僅是一個開始,後續還需要大量的管理和監控工作。合格的服務級別管理應該是動態提升的,它通過“明確需求-實施協議-過程控制-績效檢查”的管理循環(見圖3)縮短業務需求與實際服務之間的差距,達到IT服務水平的持續改進。
圖3 服務級別管理過程循環
關於業務連續性管理
記者:業務連續性管理BCM(Business Continuity Management)是,指在重大的事故或災難發生時,公司所採取的應對措施以保證核心業務的連續性,將公司的人員、財產、利益損失降至最小。業務連續性管理對X公司跨過SOX挑戰有何幫助?
科索路諮詢公司:IT業務連續性是公司業務連續性的重要組成部分,主要關注於那些支持企業核心業務運作的關鍵IT服務的連續性,從而爲公司總體的業務持續性提供支持。X公司正在制定整體的業務連續性計劃BCP(Business Continuity Plan),要求各業務部門(包括IT部門)提交本部門的業務連續性計劃。
X公司的IT部門對於某些關鍵IT系統,在其項目實施時已經制定了相應的災備計劃,並對數據有定期的備份和保管機制,對機房環境、網絡通訊、主要設備等也採取了一定的安全保護措施。同時IT部門擁有自己的備件庫,其中設備可供災難發生時使用。
但是,IT部門的這些努力都是分散孤立的,難以評判它們對IT業務持續性的貢獻,也無法確定是否所有的關鍵系統都得到了足夠保護,是否滿足各業務部門在災難時對IT服務的需要?另外一些細節的卻非常重要的問題也沒有得到定義。比如由誰來宣佈災難發生?在災難發生時,優先恢復哪些IT資源?如何調配IT人員?如何通知受影響的業務部門? 這些問題都需要通過全面的業務連續性計劃來定義和實現。
SOX法案要求上市公司具有完善的安全策略和措施以保證業務的連續性,但並沒有具體指明以哪種形式來實現。通常,內部和外部審計人員都會通過尋找以下證據來證明IT部門已經採取了有效可靠的業務連續性管理:
◆ IT部門擁有業務連續性管理框架。業務連續性計劃、操作手冊、配置文件等文檔和備份數據被放置在安全的地方並能夠在災難發生時被獲得。
◆ 連續性計劃能根據業務或資源的改變做到及時的更新,通過制度化的演習和評估不斷完善,從而保證其持續有效。
◆ 員工具有執行業務連續性計劃的能力,明確自己在災難發生時的職責。
IT業務連續性管理是ITIL模型的十個流程之一。IT服務持續性管理的目標就是保證特定的IT設施和IT服務在災難發生後的規定時間內得到恢復,從而支持業務持續性管理。IT服務持續性管理流程如圖4所示:
圖4 IT業務連續性管理
科索路對X公司持續性計劃的建議如下:
(1) 業務持續計劃(BCP)與災難恢復計劃(DRP)的關係。一般來說,BCP着重於根據業務影響分析(BIA)和風險評估的結果,制定相應的策略使系統和服務的持續性滿足業務要求,而DRP着重從技術角度解決系統恢復問題,將流程和策略細節具體化到操作層面,以滿足BCP對系統和服務的定義。DRP可視爲BCP的附件,也可單獨存在。
(2) 範圍定義。並不是所有的IT資源和應用都會被包含在IT服務持續性計劃中,比如由業務部門自行維護的系統,存放在公司電腦上的私人數據,整體外包的IT服務等。IT連續性計劃中所定義的範圍需要經過管理層和其他業務部門的同意。
(3) 災難定義。災難不僅包括火災,水災,雷擊等自然災害,恐怖活動、******、暴力、搶劫、綁架等犯罪活動,也包括嚴重的硬件錯誤或突然停電等無法預測的,對服務造成重大威脅的事件。災難可以通過情景定義,預先制定好量化的標準,從而使管理層在判斷是否發生災難及其影響程度時有所依據。
(4) 業務影響分析(BIA)。進行業務影響分析的目的是幫助IT持續性管理人員瞭解哪些屬於關鍵業務流程及其發生中斷可能對組織產生的損害或損失、理解業務對具體的IT服務依賴程度和要求,從而爲IT服務恢復的優先級的確定、方案的選擇提供依據。
(5) 業務要求與預算的平衡。IT服務持續計劃受限於公司的業務持續性計劃,需要根據業務影響分析的結果,做到業務部門對IT服務持續性要求和公司預算之間的平衡。
(6) 規避方案、應急方案與恢復方案。在制定業務持續性計劃時,這三種方案都必須被包括。規避方案可以與IT服務的日常管理相結合,比如添置防水防火設備,安裝監控設備;應急方案強調在短時間內恢復關鍵服務,比如租借設備、在臨時辦公地點開展服務;恢復方案關注於整個系統在一段較長的時間內逐步恢復。
(7) 測試與教育。持續性計劃的測試非常重要,有兩種進行方式。一種是假定情景,對相關文檔和流程進行檢查,確認持續性計劃是否支持從災難前,災難發生,緊急應對到服務恢復的一系列活動。另一種是模擬演習,這種方式能使IT人員更明確他們在災難發生時所負的責任,更新和完善在計劃中任何可能存在的漏洞。
(8) 計劃維護。一個BCP必須週期性地加以檢查和維護。一旦有新的系統、新的業務流程、加入企業的生產系統或者信息系統,就應該啓動這種程序。
征程無盡頭
項目的成功給IT部門全體員工帶來了極大的自信和高漲的工作熱情。隨後,科索路協助X公司中國IT部門設計了IT服務持續改進計劃(CSIP),爲其服務管理的改進指明瞭方向。
CSIP過程包括如下步驟:辨別企業願景以及業務和用戶需求;現狀分析,尋找差距和管控的重點;定義改進目標;實施流程改進向目標前進;建立評價體系監控實施效果;從制度、流程以及文化等方面着手維持持續改進的趨勢。圖5描述了服務持續改進計劃。
圖5 持續服務改進計劃
在CSIP的開展過程中,企業可以藉助多種管理方法和工具,如平衡計分卡(BSC);IT成熟度模型和標杆管理;ITIL模型等。