责任外包这一原则,并通过选择战略合作伙伴、合同约束、访问控制/安全管理、违规事件报告和跟踪、服务变化控制和检测以及绩效管理/评价等措施防范外包风险。
三、项目建设方面的误区
技术部门从参与者变为协调和组织者,项目建设是科技部门的事;项目建设采用技术外包,业务部门测试通过就可加载上线;项目加载上线能够顺利运行就好;科技引领业务,必须无条件满足业务发展需要,项目建设速度要快。
现象:一是项目开发更重要的是技术人员、软件工程师的技能和水平,忽略了业务需求的重要性;二是测试注重功能性测试,对于系统间的关联性测试往往被忽略,系统压力测试成为技术部门理论上应该实现的愿景,而不是项目建设应考虑的问题;三是项目验收上线关键是程序加载顺利与否,往往忽略了上线后的业务操作反馈和跟踪;四是项目建设时间在项目立项时以项目组预估的工作量来核定,往往忽略了商务谈判时间,一旦商务谈判时间超出原定计划,则往往压缩开发、测试时间来保进度,进而影响项目质量;五是由于业务创新的提速,各行社对金融产品创新的需求强烈,因此立项建设项目也越来越多,往往忽略了项目的后评价,即使用率、使用效果、成本核算、IT负载和运行压力。
分析:如果项目建设过程中,业务需求不能确定的话,就好比一个盲人走路一样,只能摸索着前进,开发过程中不断变更需求,在历经 “磨难”后才最终确立需求,甚至在项目完成后需
5
求才真正定稿,试想 IT技术人员、软件工程师一知半解开发的系统模型是啥样,这是一个多大的风险和成本的浪费呀。现实中,需求蓝本欠缺,需求细化程度未定,就要求技术部门凭业务需求的初框直接进入开发编程,对于需求的确认和变更方面也未能严格走流程化管理。这种情况在中小金融机构还普遍存在的,尤其是一些时间较紧的开发项目,往往直接将文件转交科技部门,简单沟通后就直接进入开发,造成项目建设质量不高。
测试作为项目建设周期中产品质量检验的重要阶段,由于开发的系统越来越多,关联性也越紧密,测试人员的技能、责任心决定着测试的成败,但中小金融机构人员紧张,在项目建设过程中缺少足够、稳定的业务测试人员,难以保证测试质量。加上立项多、时间紧、人员少、急于加载上线,项目建设质量得不到有效保证,上线加载的风险加大。
上线加载工作往往又由科技部门“单干单产”,业务配合和沟通不及时,后续跟踪不力,造成项目建设风险转嫁到运行风险,业务的准确性、业务连续性受到影响。
后评价工作往往涉及部门多,且需要收集大量的数据、评价工作量大,很难落到实处。而针对单个项目的验收及后评价工作,则更多局限于项目建设过程中形成的纸质材料分析,后评价有效性得到质疑。
建议:按IT建设的生命周期合理确定需求、测试、上线各阶段的工作重心,以及业务部门与科技部门的职责。为确保项目
6
建设的质量,要在正确面对本机构技术、业务实力的前提下,评估并确认需求的优先顺序和组织的能力,确定需求的优先级,明确哪些需求是必须做的,哪些是可以暂缓做的,哪些是可以完成的,哪些是可能完不成的,从而合理制订建设计划,并确定长远建设规划和近期建设目标。
在项目建设要严格流程管理,需求必须按规定的蓝本设计,并得到相应的确认后方可进入开发编程,涉及到重要需求变更必须按规定流程操作,不是简单由某人说了算;测试阶段要明确技术测试和业务测试的目的、责任,通过测试识别不可接受的缺陷,并确认每个缺陷都得到了解决。只有通过严格的测试流程并确认测试通过后,才能提交相关审批流程,并按计划实施。在加载上线阶段,要明确应急预案、回退程序的每个步骤以及每个步骤的启动流程和责任人,要强化保持应用系统业务连续性的理念和风险意识。加载上线的同时,要加强跟踪和沟通,毕竟因为系统的复杂性和资源限制,测试阶段还很难对IT应用系统进行穷尽测试,系统的关联性、业务的发展变化很容易引发系统运行中出现新缺陷,此时必须确保系统从故障状态尽快恢复正常并运行。项目加载上线一段时间后,要通过收集相应的数据和业务推广部门的反映情况进行综合分析,做出后评价,并与建设部门的绩效考评结合,达到激励目标。
四、运行管理方面的误区
运行与开发是独立、分割的两块,开发部门更关注上线的数
7
量,往往忽略或不重视上线运行中的风险管理和维护;项目未加载上线前,与运行人员无关。
现象:开发人员与运行人员未有效沟通和主动交流;项目未加载上线前,运行人员不关注项目建设,也不主动参与或提出学习和培训需求,仅仅是系统上线才被动学习文档。由于运行人员未提前介入项目建设,对上线的系统认识不够,在上线初期缺乏足够的维护能力,对项目组依赖较大。
分析:系统风险贯穿于项目的整个生命周期中,因而风险管理是个持续的过程,不能单纯地将系统的生命周期除一分割管理,必须建立良好的风险管理机制以及基于风险的决策机制。业务连续性不仅是运行部门,也是开发部门必须共同关注的事。
建议:关注系统运行中风险的管理和维护同时,更要关注系统启动前、开发和退出后的潜在风险,将风险管理集成到应用系统生命全周期管理。项目加载上线前,项目组不仅要完成业务操作手册,还必须有完整的技术文档以供查询和学习,要对运行维护人员做必要的培训和交接工作,以确保运行维护人员具备对上线系统的维护和管理能力。应用系统退出和废弃阶段还应关注信息的安全性以及硬件和软件的处置能力。
五、内部审计方面的误区
审计只停留在科技安全细节或表面上的问题,未能深挖管理、内控层面的根源问题;审计部门关注于各分支机构自查面,对于总运行的核心、数据集中部分的审计所花费的精力、时间不
8
相关推荐:
loading