让IT人员不再当“救火队员”.doc

让IT人员不再当“救火队员” 让IT人员不再当“救火队员”，ITSM咨询顾问常用此话来解释ITSM的作用。事实上，不仅如此，ITSM还能从本质上提升IT部门的服务水平。不过，大多数人对ITSM知之不多。下面的案例以某跨国公司中国分公司遵循时下在美国备受关注的萨班斯-奥克斯利（SOX）法规为线索，详细剖析如何通过实施ITSM来提升IT部门的服务能力。其中不仅有对ITSM、ITIL的探讨，还有对SOX的研究，希望对读者有所帮助。 1准备出发 X公司是一国际知名制造业集团，荣登美国《财富》杂志100强，其中国分公司的IT部门设在北京，所承担的主要任务是在公司总部IT部门的技术支持下，实现技术的本地化，提供符合中国本土业务需求的IT服务。目前，中国IT部门提供的服务包括: ● IT应用系统(Application)的运维管理，包括SAP系统、Oracle财务系统、库存管理系统、邮件系统等; ● IT基础设施的运维管理，包括机房和服务器管理、桌面系统、LAN、网络监控系统等。 2002年7月，美国国会正式通过了Sarbanes－Oxley法案（简称SOX法案），明确要求管理层对公司财务信息披露和内部控制效力负有直接责任，公司的内控措施应由管理层声明有效，并由独立审计机构出具内控审计意见提交给美国证监会（SEC）。作为一家在美国上市的公司，X公司全球各分支机构都将面对严格的SOX审计，SOX法案中的第404条款要求公司在财务报告方面加强内控，考虑到IT和财务报告的关联性，IT也需要加强控制以达到和SOX合规。另一方面，随着业务和用户需求的提高，公司管理层对IT部门提高工作效率，降低运营成本的要求也越来越明确。他们认为IT部门做事没有可循的流程规范，IT人员的角色和职责定义不清晰。面对来自内外两方面的压力，X公司中国IT部门决定改变被动的局面，建立起基于流程的IT管控体系，从根本上提高IT管理和控制能力。 选择ITSM 长期以来，X公司的中国IT部门与IT服务供应商以及第三方咨询一直保持着良好的合作关系。当科索路咨询公司参与到项目中后，开展有效和高效的IT服务管理成为它为X公司开出的首张药方。咨询人员认为，IT的SOX合规审计需要落实到企业对IT的有效管理控制上来，而参照ITIL（IT Infrastructure Library，IT基础架构最佳实践库）实践模型建立IT服务管理流程是最好的解决方法之一。首先，ITIL是行业的最佳实践，是被无数实例证明了的行之有效的IT服务管理事实上的标准，ITIL已经得到X公司总部的认可; 其次，SOX合规审计过程中，IT控制目标重点集中在IT的运维管理，依照ITIL建立IT服务管理流程能够很大程度地满足合规要求; 再者，ITIL是一套通用的交流语言，它基于流程、面向业务、规范但不死板，可以很好地发挥企业IT管理的灵活性和能动性。 考虑到以上几点，X公司IT部门决定在参考ITIL模型的基础上，结合自身管理经验，在咨询人员的帮助下进行IT服务管理流程的建设和改造，为即将到来的SOX合规审计做好充分准备。 制定规划 ITIL的流程涉及面广，关系复杂，“一拥而上”有很大风险。同时企业希望IT服务管理体系的建设能够首先考虑如何帮助其通过SOX的合规审计。因此，本着“针对需求，分步实施，快速见效”的原则，企业在咨询人员的帮助下建立起信息系统质量管理体系，从流程建设着手，引进先进的管理控制方法理念，以确保IT部门按时通过SOX合规审计，并以此为契机，提高IT部门的工作效率和服务质量。根据方案规划，X公司IT部门SOX合规项目分为三个阶段。 第一阶段分析客户现有的IT管理模式，评价分析现有IT服务管理流程的成熟度，对照SOX要求，参照ITIL最佳实践进行IT服务管理流程改善规划。 第二阶段结合业务需求、管理经验和IT控制目标，针对突发事件管理、变更管理、服务级别管理、IT服务连续性管理、安全管理等流程管理模块，从管理策略、规范、流程、操作到组织、文档、工具等多个角度建立全方位的信息系统质量管理体系，实现对IT的有效管理控制。 第三阶段则是根据SOX的审计要求，分析X公司的IT风险，制定风险控制矩阵，分析现有控制和目标的差距，并提出合理可行的改进步骤。帮助客户制定定期测试方案，为最终通过SOX合规审计做好准备。 按照SOX的要求，企业仅“存在”内控机制是远远不够的。企业必须进行定期的有效性审计，连同内控措施的缺陷以及改进计划一起向美国证券交易委员会做出汇报。因此，在项目过程中必须始终强调服务管理流程的合理性，持续改进的可能性以及审计监控的有效性，并采取措施保证项目结果能够收获预期的效果——达到SOX合规要求，提高IT服务管控能力。 2突发事件管理和问题管理 突发事件管理与问题管理直接影