商业银行的应用系统变更验证的研究.docVIP

商业银行的应用系统变更验证的研究 　　摘 要： 在有关国内外应用系统变更验证研究成果的基础上，结合国内某大型国有商业银行应用系统的特点，对变更验证关键点、分类及有效性评价进行了研究，形成一种对应用系统变更验证管理机制，并在大型商业银行进行实践。 　　关键词： 银行应用系统； 变更验证； 管理机制； 有效性评价 　　中图分类号：TP399 文献标志码：A 文章编号：1006-8228（2013）11-15-03 　　0 引言 　　信息化建设是我国商业银行的一个重要经营战略，二十年来取得了巨大成绩，在我国商业银行经营管理和业务运营中发挥重要作用。信息科技创造价值，同时衍生风险[1]。商业银行信息化建设具有“双刃剑”的作用，在大幅度提高银行经营绩效的同时，也在一定程度上引发了商业银行的技术风险，增大了商业银行业务运行的不确定性[2]。因此，信息系统内部控制在商业银行内部控制体系中的地位日益重要，逐渐变为商业银行内部控制的首要内容。 　　应用系统变更是指应用系统由于需求响应、资源变化、缺陷修复、系统升级等各种不确定因素导致应用系统进行各种变化或修改，这些变化或修改称为变更。变更可能导致项目范围变化，涉及进度、质量、费用、风险和人力资源等方面，各个方面具有相关性，应采取措施对应用系统变更进行有效管理控制。 　　应用系统变更管理涵盖变更申请、审批、实施和验证等环节，变更验证是指在变更实施结束后，为确保系统正常运行进行的验证相关工作，而银行系统规模庞大框架复杂，金融交易较之其他常见活动失败成本高，一套严谨有效的验证方法对于保证系统稳定运行和维护银行形象有重要意义[3]。 　　本文在对国内外应用系统变更验证工作相关成果研究基础上，结合国内某大型国有商业银行的应用系统特点，对变更管理中的变更验证的关键点、变更验证的要素以及变更验证后的有效性评价进行了深入的研究与实践，形成了一种对应用系统变更验证的管理机制，保障应用系统进行变更后及时发现变更实施隐患，减小变更引起的风险，确保生产系统安全稳定运行。 　　1 变更验证 　　1.1 变更验证分类 　　变更验证可以按照维度、场景和方法进行分类，其中，按照维度可以分为完整性、正确性和可用性等，按照场景可以分为内部验证和外部验证，按照方法可以分为全部验证、抽样验证、重点交易验证等。 　　银行应用系统规模庞大，各个应用系统之间关系错综复杂，在变更过程中会出现程序部署不全或者考虑不周全等情况，进而对应用系统稳定运行产生影响，为确保变更成功，验证变更需从完整性、正确性及可用性等三个维度进行考虑。完整性验证就是校验变更是否完整，确认程序版本及文件和配置变动是否完全，保证每个所涉及到的系统都在合理的时间点完成完备变更；正确性是变更成功与否的基本标准，是变更后系统每个文件都要与程序开发者设想内容和功能完全一致，在整版部署和增量部署两种常见变更实施中，整版部署是将发布版本整体替换原程序，增量部署需版本管理软件控制变更文件列表；可用性通常要考虑系统变更之后能否正确对外提供服务及服务质量（如响应时间、交易并发量等），并验证交易逻辑是否满足业务要求。 　　在变更流程符合计划的情况下，仍然较难确保变更已成功实施，通过交易验证是确保系统对外服务的关键一步，变更验证过程按照变更实施场景分为内部验证和外部验证两类（见表1）。 　　常用的变更验证方法有全面验证、抽样验证、重点交易验证、高频交易验证、历史问题交易验证等。抽样验证与全面验证区别在于全面验证需对整个变更内容逐个验证，把不合格变更内容筛选出来，而抽样验证则按一定规则抽取变更内容检验结果，并推断变更正确性（见表2）。 　　1.2 组织形式 　　应用系统变更验证涉及申请部门、审核部门和实施部门，其中申请部门是应用系统变更制定部门，针对变更特点对验证环境和验证方法做出明确计划，按时点顺序制定明确验证步骤，为各验证步骤确定验证部门和责任人，并将验证计划形成计划表提交审核部门审核；变更验证审核部门是变更管理部门，负责受理应用系统变更申请，负责变更和变更计划的审核工作；变更验证实施部门是验证计划实施部门，负责实施工作并将验证实施情况反馈表反馈给审核部门。 　　1.3 管理流程 　　变更验证首先应由变更申请部门制定变更验证计划，由变更验证审核部门对验证计划进行审核，审核通过后进入实施阶段，若审核未通过则中断，变更实施完成后，变更验证实施部门进行变更验证，若验证结果正确则反馈验证登记表给审核部门进行归档，若验证结果不正确则变更实施失败，引发变更应急回退流程，确保生产系统不受或少受影响（如图1）。 　　2 有效性评价 　　2.1 评价指标 　　为体现系统变更质量，需对应用系统变更验证进行有效性评价并将所得评价作为提升质量依据，核实验证计划风险评估并深入