某证券公司ITIL4实践案例分享

某证券公司在2009年开始引入ITIL管理思想，并进行运维管理的工作，但当时该公司只是采用了ITIL中的事件管理、服务台、变更管理等流程，并借助一个国际知名运维管理软件平台进行了核心运维管理流程的落地。2014年开始，该证券公司随着一系列并购、重组的行动，全国各地的运维管理工作也进入到一个新的时期。与此同时、交易系统的复杂程度日益提升，互联网应用与手机应用开始普及，运维管理与信息安全管理工作变得非常严峻。同年，在北宙咨询的帮助下，该证券公司建立了完备的IT服务管理和信息安全管理体系，并获得了ISO20000和ISO27001的国际标准认证。

进入到2018年后，传统的IT服务管理体系遇到了来自新时代的挑战。一方面，移动应用普及，证券公司面临和数十个外部APP对接的情况，无论哪个应用出了问题，都会直接影响到股民的股票交易，并纷纷把矛头指向券商；另一方面，从股民进行交易请求开始，信息数据先后经历了APP应用、手机站点或PC站点（证券行业特有的外部应用与内部交易的数据转换节点）、继而进入交易系统（其中包括XP、BP、DP等多个环节），数据交换完成后，还需要通过STG与交易所进行数据交互。这期间，信息流经历多个供应商、多个单位，一旦遇到问题，极难追踪问题点。且加上券商的核心交易系统对为数不多的供应商过于依赖，即便已经建立了完备的ITIL流程，但依然无法摆脱忙碌于各种沟通与修复的困境。

在这种情况下，北宙咨询顾问为此提出了包括工具革新在内的整体解决方案。

首先，北宙咨询顾问采用自主研发的V-PODAT（Value、Process，Organiaztion，Data，Application，Technology）模型结合ITIL 4的四个维度：组织和人员、信息和技术、供应商和合作伙伴、价值流和流程，进行一次全面的评估，通过定量和定性的分析发现该证券公司存在的问题主要包括：

一、组织文化偏向于唯上论，面对必要的变革，各部门都不愿意承担责任，但上层领导又无法了解不同团队的实际想法，故而在一些沟通方式上，依然保留了落后的方式。

二、面对证监会的许多要求，大家普遍是被动应对，没有结合自身的业务特征进行有机融合，导致繁琐的流程过多。但每次实际遇到紧急事件和快速请求的时候，反而手忙脚乱，并不遵守流程。

三、ITIL里的许多流程，如事件管理、问题管理、变更管理没有形成很好的业务场景，在不同团队各自执行，流程负责人之间出现了一些本位主义思想，本应该通畅的流程与流程之间，出现了壁垒。

四、已有的IT服务工具平台比较沉重，过度依赖国外厂商，导致工具使用不便，影响IT运维服务的效率。

五、供应商和厂商没有被纳入到管理体系中，与该证券公司的信息中心没有默契，也没有明确的职责分工。(www.xing528.com)

针对这些棘手的问题，北宙咨询采用的主要方法包括：

一、进行全员培训，目前有不少核心人员已经获得ITIL V3/2011的Foundation证书，少数骨干甚至获得了ITIL V3 Expert证书，但本次培训加强了全员对ITIL 4的学习，对价值链的思想和DevOps敏捷思想与方法做了深入的宣导。培训中也给各部门领导做了一定的宣贯，并建议至少在某些场景上，要以业务为导向，开发思路，提倡变革。

二、建立场景化的价值链系统，将交易系统故障等典型场景形成价值链的设计依据，同时考虑到券商的特有特征，把客户经理、服务台、系统负责人形成一个整体，以此替代以往的链条方式，正如ITIL 4所叙述，一旦产生了触发，那么将通过“契动（Engage）”的方式对所有的事件、请求或需求进行接洽，而后将“客户经理、IT服务台、基础设施运维、应用运维、核心交易系统厂商”共同纳入一个场景化的价值流当中，明确每个环节相应角色的工作重点、时限要求等。对于紧急环节，采用事件管理实践中的优先级划分方法、管理升级方法，对于变更环节采用变更控制实践中的评估策略、变更分类授权，最终实现场景化的过程，打通了业务、技术、供应商的桥梁。（暂时没有打通与交易所的最终关联，但这也是未来所期望的。）

三、考虑到传统的工具和流程很难立刻被取代，所以北宙咨询与该证券公司共同决定采用“并轨制”，除了特定的场景外，其他故障与请求的管理暂时不做变革。但针对设计好的价值流，一方面采用已有平台的工作流引擎进行配置，另一方面加强了移动端的设计，让价值流在相关人员当中的流转效率得到提升。但同时对新的IT服务管理工具进行规划，设计技术蓝图，期望支持灵活的价值流设计、更灵活的看板与沟通模块、充分考虑CMDB与自动化运维的接口。与此同时，是否采用iTop开源管理软件来进行价值流的管理，也放到了管理层讨论的议程上。

通过以上的几个改变，该证券公司的业务部门普遍感觉与IT服务团队关系更紧密了，业务响应也更及时，团队也开始慢慢接受了敏捷的文化。不过考虑到证监会的要求，并且作为金融行业企业，不得不重视风险管控的问题，加上现有工具逐渐无法满足未来的价值链需求，所以在北宙咨询与该证券公司的共同探讨下，形成了未来五年的规划方案，其中主要包括：

一、按照ITIL 4的服务价值系统，结合证监会发布的《证券基金经营机构信息技术管理办法》，建立治理框架，成立由CIO直接领导的治理小组，建立以安全合规为核心的一体化运营服务体系的核心价值观。并建立了矩阵模型区分不同的业务系统（SoR，SoE，SoI），根据不同的业务系统采用更适合的管理文化。

二、对价值流框架进行全面规划，首先梳理了约二十余个场景，并与场景中涉及的团队、公司、人员进行访谈研讨，安排了分步实施的计划。再与新版的ISO20000:2018进行对应分析，建立体系、场景、组织三维一体的框架蓝图。

三、重构IT服务管理工具平台的架构，将实践进行模块化设计，建立了：事件矩阵、问题分析树、变更控制矩阵、配置管理、知识管理、服务目录管理、持续改进、风险管理、部署管理（与发布管理做了合并）、事态管理（Event）作为基本实践模块，与场景化的价值流进行匹配。提倡采用开源工具（ITSM工具提议采用iTop、监控工具提议采用Zabbix、自动化工具则可考虑Ansible和Puppet），同时也加强对DevOps工程师（专职进行自动化运维脚本编写）的团队组建。