购物车(0) 期刊中心 科普订阅 范文中心
400-808-1731期刊服务 在线咨询7X16小时在线
公务员期刊网 精选范文 it运维述职报告范文

it运维述职报告精选(九篇)

it运维述职报告

第1篇:it运维述职报告范文

【关键词】 财务报告内部控制; IT内部控制; 评价与审计

一、引言

安然、世通等财务舞弊和会计造假案件的发生,严重冲击了资本市场的正常秩序。结果表明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此,许多国家通过立法强化企业内部控制,2002年7月美国总统布什签署了《萨班斯-奥克斯利法案》,日本在2006年6月出台了《金融商品交易法》,而我国也在2008年6月了《企业内部控制基本规范》,这标志着强化内部控制在全球范围内将达到新的高潮。这些法律法规的核心内容是要求所有上市公司的管理层必须对财务报告内部控制进行评估并编制和提交内部控制报告。审计人员对管理层评估的财务报告内部控制进行审核后发表恰当的审计意见。

目前企业的业务内容对IT的依赖越来越大,组织的信息系统与IT高度结合,使得在业务的处理过程中对企业内外IT采取适当的应对成为企业实现内部控制目标必不可少的内容。作为《金融商品交易法》中内部控制的具体操作指南,2007年2月日本企业会计审议会了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意见书)》(简称意见书)。主要包括内部控制的基本框架,财务报告内部控制评价与审计准则(准则)以及财务报告内部控制评价与审计实施准则(实施准则)三部分内容。其核心是要求所有上市公司的管理层从2008年4月1日开始或以后的会计年度必须对财务报告内部控制进行评估并编制和提交内部控制报告,并由审计人员进行审核。意见书中,将IT的对应作为内部控制的一个基本要素,要求对组织内外IT环境和IT的使用和控制与内部控制的其他要素作为一个整体进行评价。这是日本评估和审计财务报告内部控制的一个重要特征。本文在阐述内部控制与会计信息质量关系的基础上,介绍内部控制框架中的IT内部控制,管理层评价和审计人员审计内部控制中对IT内部控制的处理方法。

二、内部控制与会计信息质量的关系

国际公认的内部控制框架是美国的COSO(Committee of Sponsoring Organizations of the Treadway Commission)委员会于1992年的内部控制整体框架(COSO框架)。COSO认为内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。它由控制环境、风险评估、控制活动、信息与沟通和监控五个要素组成。近年来,以安然、世通为代表的一系列特大财务舞弊事件在全球范围内蔓延,给投资者和债权人造成了巨大的损失,这表明以确保信息披露制度可靠性为目的的企业内部控制制度并没有发挥有效的作用。美国Treadway委员会(1985年成立的反虚假财务报告委员会)在调查中发现,内部控制存在缺陷和内部控制的缺失是影响会计信息质量,产生财务报告舞弊的重要原因,而且将近50%的财务舞弊事件可以全部或部分归咎于公司内部控制失败。因此,内部控制对于降低舞弊行为,保障会计信息质量具有重要的意义。

在日本的意见书中,将内部控制定义为为实现四个目标(经营的有效性和效率性;财务报告的可靠性;与经营活动相关的法律法规的遵守;资产的保全),由组织内部所有人员执行的程序。内部控制由控制环境、风险的评价与应对、控制活动、信息与沟通、监控以及IT的应对六项基本要素构成。其中,将为确保财务报告的可靠性的内部控制定义为财务报告内部控制,将财务报告内部控制的有效性定义为某一内部控制根据合理的内部控制框架予以构建和运行,且该内部控制不存在重大缺陷。与COSO框架相比,日本的内部控制定义在内部控制的目的中加上了“资产的保全”,在基本要素中加入了“IT的应对”。将资产的保全列为企业的目标之一,重在强调资产的取得、使用和处置必须通过正当的程序和授权,这将大大有利于会计信息质量的提高。考虑到自从COSO框架以后,随着IT环境的迅速发展,IT已经广泛和深入地渗透到企业的组织中的实际情况,日本将IT的对应作为内部控制的一个基本要素。相对于COSO框架,日本内部控制框架表述更加严密,更能适应经济环境的发展变化以及日本企业的实际。在信息系统中使用IT的情况下,信息通常由各种业务系统进行处理和提供,这些信息反映于会计系统之中。因此,管理层有必要对确保这些业务系统和会计系统所生成财务信息的可靠性的内部控制进行评价。审计人员也有必要对管理层评价的内部控制进行审核。

三、内部控制框架中与IT相关的内部控制

在前述意见书中,IT的应对作为内部控制的一个基本要素而出现。意见书中将IT的应对定义为为实现组织的目标事先规定合理的政策及程序,根据这些政策和程序,在业务实施中对组织内外的信息技术进行合理的应对。IT的应对,由IT环境的应对和IT的使用与控制组成。所谓IT环境的应对,是指组织活动中必然相关的组织内外的信息技术利用状况,社会和市场中信息技术使用情况、组织进行交易中信息技术使用情况,以及组织选择依存的一系列信息技术的状况等。这主要是强调为实现目标,组织有必要对其所处的IT环境进行了解,在组织范围内制定合理的政策和手续,并为落实这些规定和手续进行合理的应对。而IT的使用与控制是指在组织内部,对为确保内部控制的其他基本要素的有效性且高效地利用信息技术,以及在组织内系统地包含于业务之中的以各种形式利用的信息技术,事先制定合理的政策和手续,使内部控制的其他基本要素更有效地发挥功能。作为内部控制的一个基本要素,意见书指出,IT的应对不是独立于内部控制的其他要素而存在的,但组织的业务内容在较大程度上依赖于信息技术的情况或在组织的信息系统高度运用信息技术等情况下,作为实现内部控制目标来说是不可缺少的要素,它是内部控制有效性相关的判断标尺。但无论是IT环境的应对还是IT的使用与控制,都与内部控制的其他基本要素存在着密不可分的关系,都应将它们与内部控制的其他基本要素作为一个整体进行评价。因此,IT的应对在内部控制框架中的体现是日本信息技术的飞跃发展对组织产生深刻影响的产物,IT内部控制是日本内部控制框架的一个重要特征。

四、管理层对IT内部控制的评价

在管理层评估内部控制有效性时,与美国相似,日本也采用自上而下的以风险为基础的方法。即首先评估对财务报告可信性有实质性影响的公司层内部控制,同时充分评估企业内外的风险并考虑整体上可能对财务报告有重大影响的所有事件。在此基础上再评估业务层的控制,主要侧重可能导致财务报告中重大错报的风险的评估。与美国不同的是,意见书的实施准则部分明确规定由管理层评估使用IT的控制是评估业务水平控制的一项重要内容。实施准则从以下四个方面对使用IT的内部控制进行评价:一是使用IT的内部控制的评价。在这一内部控制中,既包括计算机程序之中的自动化的内部控制,也包括手工操作与计算机处理为一体发挥职能的内部控制。二是评价范围的决定。三是评价单位的认定。四是使用IT的内部控制的构建状况和运行状况有效性的评价。具体地说,IT的控制评价分为IT总体控制的评价和IT业务处理控制的评价。其中,IT总体控制是为确保业务处理控制有效地发挥职能的环境而进行的控制活动,通常是指与多数业务过程控制有关的政策和程序。IT业务处理控制是指为确保所有经过授权的经济活动在企业业务管理系统中正确的处理、记录的控制活动。实施准则列举了评估IT总体控制的设计和运行有效性的具体实例,如系统的开发和维护、系统的运用和管理、系统安全性的确保、委托加工物资的契约管理等。关于评估IT业务处理控制的设计和运行的有效性,实施准则也列示了考虑的要点,包括关于录入信息的完整性、正确性、正当性等确保的控制,错误的修正和再处理,主要数据的维护和管理等。

在管理层对内部控制有效性的判断中,实施准则对IT相关的内部控制有效性的判断专门作出规定。在IT相关的总体控制存在缺陷的情况下,应当检查采用替代的或补充的其他内部控制是否能达到财务报告可靠性的目的。而且IT相关的总体控制的缺陷,由于并不是与财务报告重要事项发生虚假记载风险直接相联系的,不能立即被评价为重大缺陷。但如果IT相关的总体控制存在缺陷,即使IT相关的业务处理控制的构建能有效地发挥功能,也存在不能连续维持其有效运行的可能性,虚假记载发生的风险很高。在IT相关的业务处理控制存在缺陷的情况下,与业务层的内部控制存在的情况相同,应当对其影响程度和发生的可能性进行评价。当手工操作与信息技术成为一体发挥功能的内部控制存在缺陷时,管理层应具体认定缺陷是由手工操作部分产生的还是由IT相关部分产生的。应当注意,在由IT相关的部分产生缺陷的情况下存在着相同种类错误重复发生的可能性。

五、审计人员对IT内部控制的审计

在对内部控制审计时,美国采用直接报告的方式,即由审计人员直接审计和报告财务报告内部控制的有效性。在这种方式下,为审计管理层评估的财务报告内部控制的有效性取得审计证据,审计人员必须计划和实施特定审计程序审计上市公司的内部控制。因此,审计人员和被审单位都要承受过度的负担。然而日本采用只审计管理层对内部控制有效性评估结果的间接报告方式,从而解决了直接审计被审单位内部控制有效性的过度负担的难题。这是日本对财务报告内部控制审计的特点之一。审计人员对管理层进行的内部控制评价的审核也是先审核公司层内部控制的评价,在此基础上再对管理层进行的业务流程相关的内部控制的评价的合理性进行审核。实施准则详细规定了对使用IT的内部控制的评价的审核。主要包括:一是对IT的内部控制的把握。审计人员对于使用手工操作进行控制的部分实施业务流程相关的内部控制评价的审核;对于使用IT进行控制的部分,通过以下对IT相关的总体控制和业务处理控制评价的审核进行验证。二是IT相关的总体控制评价的审核。实施准则详细规定了对系统的开发和维护、系统的运用和管理,系统安全性的确保、委托加工物资的契约管理等各方面审核时应当关注的要点。三是IT相关的业务处理控制评价的审核。实施准则规定了审计人员应当遵循以下手续进行审核:首先通过阅读系统设计书等对企业所期望的会计处理系统的设计进行确认;同时列示了具体的评价项目,包括是否采取为确保录入信息的安全性、准确性、正当性等的措施;是否对错误数据进行合理修订和再修订等。四是利用IT专家。利用专家时,审计人员不仅要对专家是否拥有IT方面的知识进行考虑,而且要对其是否拥有信息系统相关的财务报告产生重要影响的风险评估所必需的知识等进行考虑,同时对该专家的业务是否具有充分的客观性也应进行考虑。在发现使用IT的内部控制相关的IT总体控制的缺陷时,要求立即对其进行完善。因为IT的总体控制是为了保证IT相关的业务处理控制有效地发挥功能的环境而进行的控制活动,如果总体控制存在缺陷,即使为使业务处理控制有效的发挥功能而进行构建,也存在着不能连续维持其有效运行的可能性。但是,由于IT总体控制的缺陷本身并不一定是直接与财务报告重要事项虚假记载发生风险相联系的,如果能够验证业务处理控制现在能有效地发挥功能,就不能因总体控制的缺陷而立即将其评价为重大缺陷。这与管理层评价IT相关的内部控制的有效性的原则相同。

六、结论与建议

近年来,我国证券市场的财务欺诈事件愈演愈烈,这使内部控制的有效性问题得到空前的重视。1997年1月开始实行的《独立审计准则第9号 内部控制与审计准则》、1999年10月通过的《中华人民共和国会计法》、2002年中注协颁布的《内部控制审核指导意见》等,无不证明了我国在评估和审计内部控制的有效性方面取得了重大成就。特别是2008年6月28日财政部、证监会、审计署、银监会、保监会联合了我国第一部《企业内部控制基本规范》,这标志着中国版的“萨奥法案”已正式启动。在基本规范中提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督五项,并没有包括IT内部控制要素。随着信息技术的高度发展,组织的业务内容在很大程度上依赖于信息技术,组织的信息系统与IT高度结合,使很多组织离开信息技术就不能进行业务活动。因此,在业务的处理过程中对企业内外IT采取适当的应对理应成为企业实现内部控制目标必不可少的内容。而日本率先顺应了这种趋势,以准则的形式将IT的应对作为内部控制的一个基本要素,并制订了与IT内部控制相关的管理层评估和审计人员审计财务报告内部控制的具体措施,可供我国完善企业内部控制基本规范借鉴。

【主要参考文献】

[1] 日本金融厅企业会计审议会.关于财务报告内部控制评估与审计准则以及财务报告内部控制评估与审计实施准则的制定(意见书)[D].2007.(日语).

[2] 财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范[D].2008.

第2篇:it运维述职报告范文

关键词:安全生产;IT服务管理;服务台

中图分类号:TP311 文献标识码:A DoI: 10.3969/j.issn.1003-6970.2012.03.035

Enhancing Operation and Maintenance Capability of Work Safety Info System Via ITIL

LI tian-le

(Communication & Information Center of State Administration of Work Safety, Beijing 100013)

【Abstract】With the development of work safety information system, the governance of work safety depends more and more on the support of information system .It is critical for enhancing service quality of work safety governance to strengthen and improve IT service management, maximize the usage rate of IT resources. The thesis describes the author’s practice in work safety information system support service management based on ITIL best practice, which improves service quality of information system operation and maintenance ,and provides strong support for work safety governance and management.

【Key words】Work safety; ITSM; Helpdesk

0 引 言

安全生产信息化是贯彻“科技兴安”战略、提高政府安全监管监察保障能力的重要手段,随着安全生产信息化建设的不断深入,信息技术已全面深入地支撑着安全生产监管监察日常业务,同时也面临着长期系统运维的问题。笔者所在的软件研发部门主要是进行安全生产领域的软件研发和维护工作,经过多年的发展,投入运营维护的信息系统越来越多,其复杂度和规模也不断加大,为了保证各个信息系统正常运行,为全国各级安全生产监管监察机构的用户提供良好的服务,需要通过日常化、标准化的IT服务管理,提高运维服务质量。目前,在基于流程的服务管理模式上,IT基础设施库(ITIL,信息技术基础设施库 Information Technology Infrastructure Library),被业界普遍认为是信息服务管理领域的最佳实践,它提供了一套基于流程的实践管理指南,为组织的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。本文主要阐述IT服务管理的先进理念ITIL在安全生产领域信息系统运营管理中的应用。

1 ITIL研究综述

ITIL是英国政府中央计算机与电信管理中心(CCTA)在 20世纪90年代初期的一套IT服务管理最佳实践指南。当前世界知名企业如IBM,CA,HP等都根据ITIL,结合自身经验和理解,提出自己的实现方案,ITIL是一套被广泛承认的用于有效IT服务管理的实践准则。

ITIL主体框架中,服务管理模块处于核心地位。从宏观上讲,服务管理提供了过程定义和规范了服务水平级别(SLA),为IT服务管理实践提供了一个客观、严谨、可量化的标准和规范,IT部门和最终用户可以根据自己的能力和需求定义自己所要求的不同服务水平,参考ITIL来规划和制定其IT基础架构及服务管理,从而确保IT服务管理能为业务运作提供更好的支持。

服务管理的核心流程是从复杂的IT管理活动中梳理出的最佳实践企业所共有的关键流程,如服务水平管理、可用性管理和配置管理等,然后将这些流程规范化、标准化,明确定义各个流程的目标、范围、职能、责任、成本和效益、规划和实施过程、主要活动、主要角色、关键成功因素、绩效评价指标以及与其他流程的相互关系。

2 当前安全生产领域信息系统运维面临的问题

从服务管理生命周期的观点来看,系统的设计、开发(购买)和实施只占整个周期20%的时间,而系统的运维却占了整个生命周期的80%的时间。[1]国际著名咨询机构Gartner集团的调查发现,在诸多导致IT基础设施常常出现故障的原因中,来源于技术或产品(包括硬件、软件、电力失常、网络及天灾等)方面的因素其实只占了20%,而管理方面的原因却占到了80%。并且传统的运营方式也逐渐难以符合快速变化的市场需求。

随着安全生产信息化不断深入,安全生产领域信息化发展已经进入了一个比较高的阶段,安全生产监管监察业务也越来越依赖于信息系统的支撑。目前,笔者所在的软件研发部门承担着安全生产行政执法管理系统、煤矿许可证管理系统、政务报送系统、非药品类易制毒化学品监管系统、行政办公等近30个应用系统的日常运维工作,其工作质量直接影响着安全生产监管监察日常业务的正常运转。目前,为用户提供的IT服务还不是很成熟,主要是在组织结构、管理规范、管理流程和技术支撑方面,还没有构建一个综合的IT服务管理体系,没有实现数据、信息和知识库的共享,没有实现规范化和流程化,IT技术人员职责不清晰,在信息系统运维管理过程中仍处于热线服务阶段,受理故障申告后,临时安排工程师处理,跟踪故障处理过程并反馈最终客户,服务效率和质量不稳定,不能快速响应用户问题,因此,这种管理模式将越来越难以适应安全生产信息化的发展要求,需要以ITIL为标准重建运维管理体制。

3 基于ITIL的安全生产领域的信息系统运维管理

从本质上说,运维管理就是为用户提供的服务,服务管理的核心是质量[2],规划、实施、检查、持续改进(PDCA)的流程保障了服务质量,而ITIL是IT服务管理的最佳实践。笔者所在的软件研发部门正在实施的安全生产领域的IT 服务管理,是按照PDCA的现代管理思想,同时,结合IT服务过程的各阶段及安全生产信息化发展的实际情况,以客户为中心、以流程为导向,通过整合IT服务下的组织业务,建立一个高效运作的IT服务团队。通过目前已建成的服务台、问题知识库及部分的标准服务管理流程,极大地提高了组织的IT服务提供及运营管理的水平和能力,为用户提供了更好的IT服务质量,同时也提高了安全监管监察工作效率,降低了组织运营成本。PDCA循环生命周期模型各阶段的主要活动如图1所示。

图1 PDCA循环生命周期模型各阶段的主要活动图

计划活动主要是在梳理了安全生产监管监察业务之后,根据用户的需求,在服务提供的框架之下,对IT 服务进行详细的设计,包括:服务环境设计、产品与服务设计、服务制度设计、服务组织设计和服务手段设计。

执行活动是在明确了安全生产监管监察业务的需求后,按照既定的IT服务计划,根据用户服务复杂性的不同,确定IT服务水平协议,为用户提供标准的、日常化的IT服务,最终保障业务的持续运营[1]。

检查活动是一个控制、监督、测量和改进的不断循环的过程。通过不断的服务评价和改进,定期或不定期调查客户的满意度,调整服务过程,服务才能适应安全生产监管监察业务需求的变化,不断地提高服务质量。

行动活动是对前面三项活动作综合分析和评价,一方面是总结经验教训,巩固取得的成绩;另外一方面是明确尚未解决或者新发现的问题,反馈给相关部门和人员,并转入下一个PDCA循环。

IT服务由基础设施运维和信息系统运维组成。基础设施运维负责计算机硬件、网络、安全等日常管理;信息系统运维负责软件运营维护及升级。在安全生产领域的信息系统的IT服务管理中分为三线支持:一线职能体现为服务台,直接为用户提供服务;二线职能体现为专业化的IT技术人员,间接为用户提供服务;三线体现为第三方产品和服务提供商。在ITIL中,服务台是关键的一个组织功能设置,是IT服务部门的统一接口,而且还是接受用户服务请求的一线支持组织,为全国安全监管监察机构提供了一个统一的服务平台。IT服务部门通过服务台响应用户日常需求,采用标准化的流程规范,为用户提供及时、满意的服务。服务台职能如图2所示。

在安全生产领域信息系统运维服务管理的ITIL实践中,服务台是为用户提供服务的统一窗口。当用户使用IT系统遇到问题时,向服务台发出服务请求,一线人员及时受理,接收并记录对所有投入运维的信息系统使用者的服务请求,提供直接帮助,或将不能直接解决的问题升级给二线、三线支持,同时,跟踪问题解决状态,提供问题状态报告,并将二、三线支持的解决方案反馈给用户,因此,服务台形成了面向用户的起点和终点重合的服务流程闭环;其次,一线人员需要定期监控应用系统运行情况,包括数据库、网络、应用程序、中间件等运行状况,若出现异常情况,及时填写服务请求单,通知相关人员;最后,一线人员需要将问题解决方案录入到共享的知识库中,为技术人员及用户提供问题查询服务。

综上所述,安全生产领域的信息系统运维管理,通过服务台这个交通枢纽,完成了IT服务管理的主要职能,包括问题接受、分发、处理、跟踪、反馈,使每一个基于ITIL流程的活动能够形成一个良性循环,确保用户的请求得到有效、及时的处理,保障了安全生产领域的信息系统正常运行,为安全生产监管监察业务提供信息化支持。

4 结论

国内外实践证明,实施基于ITIL的IT服务管理为行业带来极大的价值[3],近几年来ITIL的很多最佳实践在安全生产领域的IT运维管理中逐渐得到了应用,将IT信息服务管理流程化、标准化,减少了应用系统的故障时间,提高了IT资源的利用率,为安全生产监管监察业务运营提供更好的信息技术保障。

参考文献

[1] (美)彼得・维尔著,杨波译.IT治理:一流绩效企业的IT治理之道 商务印书馆,2005:7-30

[2] Jan van Bon,孙振鹏等译.IT服务管理国际标准体系:ISO/ IEC 20000[M].清华大学出版社,2009,11

第3篇:it运维述职报告范文

关键词:银行外包应用服务提供商

一、银行IT外包服务概述

随着我国银行改制的深化和发展,银行间的竞争日益加剧,银行的信息基础设施和业务系统不断进行升级和发展,银行内部信息技术部门对这些系统管理也越来越困难。而银行IT外包服务的出现能够很好地解决上述问题。银行IT外包服务是指银行以合同的方式委托IT服务商来为其提供信息系统或信息技术服务的一种实践或管理策略,它也引申为雇佣外部组织或个人来发展企业内部的信息系统的行为,使银行能够以更富有效率、低成本、低风险的方式完成某项信息技术任务。常见的银行IT外包涉及银行通信网络管理、银行信息系统运作和管理、应用系统开发和维护、备份和灾难恢复等。IT外包在构建银行核心竞争力、节约项目成本费用、加速信息化建设的进程中发挥着不容忽视的作用。

二、银行IT系统外包服务的特点

银行系统IT外包运行操作服务具有如下特点:

1.专业性与复杂性,银行信息技术融合了目前世界上各种先进的信息理论和技术,信息设备包含多家厂商的高、中、低端产品,IT系统结构设计、技术运用和生产配置均采用IT技术领域先进模式。

2.影响范围,银行IT外包服务范围涉及银行总行及各级分支机构,影响多种重要业务与应用系统的生产运行。

3.实时性,银行信息系统所承载的许多银行业务与应用系统直接面对客户,提供实时服务与交易功能,因此必须保证系统的连续稳定运行。

4.服务不间断性,根据银行业务的特点和需求,必须全年365天每天24小时不间断对项目进行实时运行操作服务。

5.流程管理,银行IT外包服务要严格按照相应的日常操作手册、日常监控流程、故障处理流程、系统变更流程等工作流程与规范进行。

6.报告机制,在运行操作服务中要有完善的报告机制,对银行IT系统日常运行状况、投诉与响应、故障处理与分析、系统变更与备份、数据分析与统计、综合评价等相关信息与数据均要按照合理的流程与科学的形式进行报告。

7、安全与保密性,银行IT系统支撑了从内部的办公自动化系统到核心的交易系统,这些系统是银行的命脉,对其数据的安全是非常高的。除此外,涉及到这些系统的相关文档、资料都属于非常机密的内容,需要分级使用。

三、银行IT外包服务的成功保障因素

根据IT服务的理论,结合IT服务的经验,从以下四个方面为IT外包服务提供保障:

1.从技术上提供保障

在ITIL(ITinfrastructurelibrary)有关IT服务的最佳实践理论中,技术是IT服务的三大要素之一。没有强有力的技术支持,就无法进行运行维护的正常开展。技术的支持能力包括对技术本身的支持服务能力和服务的技术能力两个层面。前者是对各种IT技术的掌握程度,后者是能多大程度上把IT服务理论贯彻到实践中去,产生符合用户实际情况的最佳运行和维护操作。2.从管理层次上提供保障

未实施银行IT外包服务之前,系统运行维护的风险主要是技术上的风险,管理上的风险较小。实施IT服务外包后,由于维护人员不是银行内部职员,从本质上讲是将技术服务的风险直接转化成服务管理上的风险。因此,在IT服务商和客户之间建立有效的管理界面,是IT外包服务之核心所在。

3.从技术过渡上提供保障

成功的银行IT外包服务需要对系统的全面掌握和对服务管理流程的明确制定。对服务提供商来说,这些要求的实现均需要一定的时间。(1)接手外包服务的过渡磨合期,服务提供商在接手任何一项外包服务前,需要首先深入项目各个环节,详细调研和理解现有项目的服务内涵,包括服务的内容和指标、人员、流程和系统架构,为后期与用户一起制定服务的接收、整合和管理提供基础。(2)循序渐进的管理过渡,围绕保障服务持续性的要求,服务提供商需要对服务管理过程中出现的新情况、新问题、和新的建议及时做出相应的调整,优化整个服务项目的流程、管理、人员等内容。

4.从对外包项目的可控性上提供保障

银行对外包项目的控制力度是通过管理流程来实现的。管理流程明确规定双方的责任点、工作汇报机制等。服务商必需做到两个方面:服务的透明性和伴随知识(知识库)为用户所有。服务透明是指服务商不能为外包服务项目设置壁垒,银行通过工作汇报、文档记录、服务流程很容易的掌握服务项目。伴随知识是在服务的过程中形成的各种知识库。知识库是非常重要的技术资源,服务商在服务过程中建立的知识库产权应该归银行而不是服务商。这样将降低银行更换服务商的风险。

银行的IT系统对安全性要求非常高,一旦将某个系统包给服务商,需要特别重视保证银行的数据安全。可通过三种途径来达到这个目的:(1)通过法律手段签署用户、公司和个人三方保密协议,运用法律手段约束服务商对用户数据进行保密,在保密协议中需要明确规定对于因泄密而造成损失的赔偿方式;(2)通过管理手段:需要通过管理手段实现对用户数据进行保护;(3)通过技术手段:结合业界的先进技术工具,做到对关键配置更改的审计和跟踪。

四、结论

目前,银行IT外包服务的内容和规模越来越大。由于我国IT外包服务发展较晚,银行IT外包市场还未发展成熟,因而银行IT外包服务还存在许多问题和困难。如何正确全面地考察分析有关的复杂因素,做出正确的IT外包决策,提高银行IT服务的水平,降低IT运行维护的成本,达到提高银行核心竞争力的战略目标,是需要我国银行界和IT界共同深入研究的重要课题。

参考文献:

[1]张旭:金融服务外包发展浅析.WTO经济导刊,2006年10月

[2]瑞琴邱伟华:金融服务外包的利益与风险分析.商业时代,2007年5月

第4篇:it运维述职报告范文

【关键词】运维系统 运维服务 IT技术

一、背景说明

随着IT技术在企业的应用,许多企业已经建立了核心业务系统,如ERP、OA、数据仓库等,业务策略驱动IT策略的建立,IT策略支持业务策略,由此,许多企业的运作已经离不开IT系统了,因此任何一个故障造成的损失,影响面是比较大,甚至影响整个企业的业务。而传统的运行维护管理模式比较被动, 即只有当系统出问题时, 才会引起注意和得到解决, 或者当业务受影响, 并被业务部门汇报投诉,才发现问题。 这种管理模式已经不能适应目前环境下业务的需求。

其次,从生命周期的角度看,无论是硬件还是软件,大致可分为规划和设计、开发和测试、实施、运营和终止等5个阶段。前面3阶段从时间的角度看,只占生命周期的20%,其余80%的时间基本上是运维服务,如果整个IT的运维做得不好,那么这些花费大笔投资建立起来的系统,无法带来预期的效益,甚至于无法使用,因为使用者无法顺利使用他们。

根据Gartner Group调查发现,在经常出现的问题中,源自技术和产品方面的其实只占了20%,流程失误占40%,人员疏失占40%。流程失误包括变更管理没有做好、超载、没有测试等流程上的失误或不完整,人员疏失包括遗忘、训练不足、备份错误及安全疏忽等。这就说明IT运维方面的问题,更多的不是技术问题,而是来自管理方面,因此对IT系统需要一套管理系统来支撑,这就是运行维护系统。

二、信息系统运行维护面临的挑战

一般信息系统架构的层次如下:

由此,我们可以看到,为了保证应用系统的可用性,不但要保证应用程序本身的正确性和健壮性,同时还要保证从网络到应用程序端到端的可用性,为此,从运行维护的角度来看,必须从整体的角度来规划,对与应用系统相关的IT基础设施、支撑平台进行集中监控,并与应用系统进行关联,一旦出现故障,可以迅速定位并解决;同时定义相关的流程保证一个应用的变更不会对其他应用产生影响,对出现的问题从根源上找出原因,并进行解决,从而保证系统的高可用性。基于本人对IT服务管理的理解,基于ITIL的框架,提出运行维护系统建立的一些想法。

三、运行维护系统的设计

那么如何设计IT运行维护系统呢?主要从两方面着手,一是管理流程的设计,二是系统监控的设计。在管理流程方面,目前ITIL(IT Infrastruct Library)基本上成为事实上的标准,它是最佳实践的结晶;在系统监控方面包括从IT基础设施应用系统进行监控,并实现事件的关联,以实现主动的监控,实现故障的快速定位和预警,下面具体说明。

(一)运维系统的设计理念

运维系统的设计理念基于ITIL-IT服务管理框架,ITIL 将IT 服务管理分为:

信息和通信基础框架管理,这部份将更侧重于技术视角。

服务管理,包括“提供IT 服务” 和“支持IT ”服务两部分,关注在提供IT 服务过程中,监控,管理,处理解决问题的整个过程。

面向业务的管理,将从业务的视角来看管理,将管理IT 服务与IT 服务所支撑的业务关联。

1. 信息和通信基础框架管理

IT 基础框架的智能管理是服务保障的基础,应该是一个可以全面管理IT 基础框架中所有产品和技术的平台,并通过提供以下能力达到真正的业务价值、真正的投资回报、保障安全生产,提高服务水平。

IT 基础框架的智能管理将覆盖企业IT环境,提供包括广域网,局域网,主机接入网络,网络安全设备,Internet 服务的全方位的IT 从网络到系统,应用,业务的监控管理,以及面向IT运维的事件压缩,事件相关性分析,故障诊断,根源故障分析,自动化的故障处理等一系列功能和工具。

2. 服务管理

今天,正进行着服务管理的革命。几乎所有企业的IT 部门都正在向面向业务的服务提供者的转变。IT部门就像一个合作伙伴一样参与到企业的业务过程,主动的提供服务职能,并向它的客户-业务部门负责。

ITIL 将企业的IT 服务管理分为:

提供IT服务,关注在提供IT 服务过程中和管理行为和手段;

支持IT 服务, 关注在支持IT 服务过程中,处理问题,变更等的动作和流程。

(1)提供IT 服务

提供IT 服务包括:制定规划,为业务部门按计划和服务质量提供服务

保障提供服务的持续性。

在服务提供体系实现的主要任务是:

■服务水平管理

■可用性管理

■容量管理

■成本管理

■应急方案

(2)支持IT 服务

支持IT 服务包括:为达到服务目标提供相关管理信息。为实现服务目标提供相应的支撑机制。

服务支持体系实现的主要任务是:

■配置管理

■帮助台管理

■问题管理

■变更管理

■软件控制和分发管理

3. 面向业务的管理

面向业务的IT 管理是从客户视角的端到端服务监控管理,它的特点是:

提供直观的监控视图,能够实时判断通信和IT 基础框架故障对业务的影响;

在发生影响业务的故障时,IT服务保障部门能够最快的获知问题的发生,并迅速采取行动;

根据故障对业务的影响情况,决定处理的优先级;

当业务服务发生问题时能够确定故障所在的基础框架层次;

通知相关客户服务系统或大客户,告知问题的状况和解决进展;

面向客户业务服务,提供基于Web 的多种视图,包括端到端服务监控层次模型,和监控构成服务系统的各个组件;

面向业务管理的宗旨是通过全面的业务系统和IT 框架系统监控,增强管理,提高管理水平,并最终保障业务的成功运行。实现IT基础框架端到端的监控和与业务的关联。

(二)运维系统的设计目标

确保IT流程支撑业务流程, 整体提高业务运营的质量。

提高用户的满意度, 提升企业的社会效益和经济效益。

实时实现对从IT的基础架构到应用系统的端到端的运行情况进行监控。

提供从业务角度分析IT基础设施(包括系统、网络、数据库、应用服务器)的能力。

建立完善的支持服务流程和支持模式。

建立满足服务水平要求的服务水平管理。

(三)基于ITIL的理念建立规范的处理流程

在ITIL中要建立许多管理流程,在实际应用中,我觉得至少需要建立下面几个流程:

(1)问题管理

建立并应用问题处理程序,以实现对问题诊断和确定解决问题的方案, 并将解决方案记录在配置数据库中,针对服务水平管理确定并实现内部的问题升级时间标准。

(2)资产管理

对于每天发生的事件, 问题, 变更处理, 新服务的配置, 各个组件的信息,资产管理的职责就是提供和维护这些信息, 它是与服务管理相关的最重要的任务之一。

(3)Help Desk管理

担当服务中与业务部门和客户的主要接触点(point-of-contac)。存储事件, 确定问题严重级别, 综合支持团队的努力, 确保及时准确地解决问题, 并提供SLA统计, 证明能够达到预期的服务级别。

(4)变更管理

保证清楚的了解变更针对一个服务中任何组件的影响, 并保证对服务水平的影响最小, 变更管理包括SLA文档和服务目录的变更, 以及组织变更和针对软件和硬件的变更。

(5)故障管理

故障管理的主要目标是尽可能快地恢复服务至服务级别协议(SLA)要求的水准,尽可能减少故障对服务运营的不利影响,以确保最好的服务质量和可用性级别。

(四)运维系统的组成

在一般的运维系统中,需要一个大房间,在大房间中分成以下几个部分,每个部分都扮演相应的角色:

第一层:大屏幕分别显示有,基于业务的视图,基于IT基础架构的视图,基于网络的视图,当故障出现时能够以特定的颜色显示出来,同时可以显示一些公司需要直观显示的数据。

第二层:服务台(Help Desk),主要提供:

接受客户的请求

提供客户使用上的问题咨询

提供客户业务咨询

记录并跟踪故障和客户意见

根据知识库,尽快解决问题

及时通知客户其请求的当前状况和最新进展

根据服务级别协议,初步评估请求,经历解决它们或安排给一线工程师解决

对客户的故障从提出到验证及终止的整个过程进行管理

协调一线工程师和值班工程师

第三层:一线支持工程师

根据提供的监控界面迅速定位问题并解决

对于临时的解决办法,还要把故障提交给问题处理流程

根据服务级别,在问题未能及时解决时及时把问题提交给值班经理

第四层:值班经理个人

协调技术专家,根据服务协议的时间要求,解决问题

协调供应商,根据维护协议要求,解决问题

(五)运维系统的功能设计

基于ITIL设计理念,我们把ECC的实时监控部分设计成层次架构,如下图:

1. 事件采集层

在最基本的层次上,需要从被管理的IT基础设施中获取广泛的,实时的数据,能够从网络、系统和应用层中捕获、汇聚并处理大量数据的能力,我们通常称之为事件管理。

事件管理是整个面向服务管理系统的核心,在数据采集阶段(包括网络、系统和应用层)采集的信息,只有经过事件管理服务器,转变为统一的格式,再流入智能化的管理层,实现事件的相关性分析。

数据采集层是整个管理系统进行信息处理和智能化分析的基础,因此需要充分获得准确、实时、完整的管理数据。在数据采集层,应该进行原始数据的过滤、分类、分级等预处理操作,从中提炼出重要的管理信息。数据采集层获取信息的实时和准确性,以及对原始信息的预处理能力,将在很大程度上影响整个管理系统的管理能力和效率。

2.事件处理层

数据收集仅仅是实现业务和通信及IT基础框架管理的基础,需求最简单的先决条件。实现真正的基础框架智能化意味着能够从整个基础框架产生的大量数据中,通过采用一系列先进的过滤,事件压缩,关联和诊断的技术进行处理,抽取管理人员需要关注的重要信息。好的基础框架监控管理系统能够将网络以至IT系统的专业化知识融入在管理系统中,根据基础框架层各组成资源的特点,从原始的管理数据中智能分析系统的真实状况,判断资源实际的运行状态,分析故障发生的根源并提出解决建议,使运维人员解决问题更加准确和有效。一般包含以下功能:

(1)事件的存储

将运行维护数据与历史数据分开存储, 以确保管理的效率. 一般管理信息需要保留6个月甚至更长的数据, 以进行统计分析和存档, 而在日常运行管理中, 一般只需要查看最近一周甚至更短的信息, 一般采用运行数据与实时数据分开存储, 运行数据采用高速的内存数据库保证事件处理的实时性, 历史数据采用稳定的关系型数据库保证事件存储的可靠性和容量,这种结构使事件的处理更加合理。

(2)事件压缩

IT资源事件中有很多重复事件, 尤其在系统组件不稳定时, 有可能会产生事件风暴。过多的事件会使管理员的桌面上罗列大量事件条目,管理员无法获取真正需要关注的重要事件,因此对重复事件进行合并使事件条目清晰, 帮助管理员快速找到需要处理的故障是非常重要的。重复事件压缩就是这样的一个过程: 通过将从下层数据源所报告的相似事件加以汇总,合并成一条事件,该事件的内容包含了该事件重复的次数以及发生的起止时间。

(3)事件自动化处理

可以对各类事件信息进行逻辑判断, 并做出相应的动作, 如及时删除不必要的信息、完成不同事件之间的关联、对严重事件采用明显的声音报警、自动升级警告级别如果严重事件在一段时间内没有人响应、发送邮件进行自动通知等等。

(4)可用性的计算方法

根据故障树分析FTA(Fault Tree Analysis)方法,结合可用性的计算方法,来计算服务的可用性。

组件可用率的计算方法:组件可用率 = (AST-DT)/AST*100%

AST——约定服务时间(Agreed service time)

DT——在约定时间内的实际停机时间(Actual downtime)

(5)可用性的评估指标

通常我们采用下面几个指标来对可用性进行评估:

①平均无故障时间(MTBF-Mean Time Between Falures),它指的是从某次事故修复到下次事故发生之间的平均间隔时间,又称为正常运营时间(Uptime),它是用来描述服务的可靠性。

②平均修复时间(MTTR-Mean Time To Repair),它指的是事故发生到服务恢复之间的平均间隔时间,又称为停机时间(Downtime),它是用来描述服务的可维护性和适用性。

3.业务关联层

业务影响分析, 基于CFIA等分析法,定义事件和业务系统的关联关系, 自动找到故障所影响的业务和服务, 并根据关联结果创建新的服务事件报警。

4.呈现层

提供基于Web方式的监控视图, 可以为不同的管理人员提供不同的监控窗口, 以实时监控相关的事件信息, 事件窗口可以通过分组显示不同类型、级别、源、时间段内的事件信息, 管理员可以一目了然的看到目前是否有事件发生, 级别如何, 并对事件进行一系列的处理工作。

5.报表处理层

各种监控信息存储在关系数据库中,可以利用报表工具进行信息统计分析,生成各种格式的报表。

报表应用可以与实时故障监视环境实现无缝集成,为运维提供一种长期的综合视图。报表应用帮助管理人员了解其各种基础设施在各种不同期间的行为特点,从不同设备、系统和服务的层次上对各种基础架构的长期行为特点进行查看和分析。

(六)运维系统的设计要求

1.基于ITIL框架设计, 结构先进

运维系统的设计要求基于ITIL的框架, ITIL的框架是最佳实践的结晶。

2.可扩展性

如果需要一个新的展示层或者事件关联,必须能够无缝扩充或集成到现有的管理框架中。为了保证随着系统架构的延伸扩展而产生的越来越多的事件信息的处理性能,在任意一个层次增加都不会影响整体框架结构。

3.集成性

集成企业现有以及未来可能要扩充的设备和管理系统。如果需要增加新的监控对象,则最多只需简单地增加一个探针,或增加一个新的关联层 。

4.集中化

已经处理的事件(重复压缩和事件关联)集中在一个地方。因此管理员可以共享整个系统的事件信息。

5.关联

因为事件关联功能在整个系统管理中是分布的,因此为一个新服务增加新的事件关联是非常容易的。

6.冗余

第5篇:it运维述职报告范文

【关键词】 IT治理;IT内部控制;对策研究

2008年6月,堪称我国SOX法案的《企业内部控制基本规范》正式出台;2010年,《企业内部控制配套指引》全面推出,我国企业内部控制规范体系正式形成,对内部控制的重视达到了前所未有的高度。而探讨企业内部控制就必须注意到,随着IT应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑。IT的发展在给企业带来收益的同时,也给企业带来了越来越大的风险。没有正确的IT治理机制,就无法确保IT决策的正确性,无法控制信息化进程给企业带来的各种风险。而我国企业目前仍处于IT内控与风险管理的萌芽期,在基于IT治理的IT内部控制制度建设方面较为薄弱,文章主要针对此问题提出一些对策。

一、IT治理与IT内部控制的相关概念

(一)IT治理

关于IT治理的概念,不同学者有着不同的定义,以下为有代表性的几种:

ISACA(信息系统审计和控制协会)定义IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心 ;

全球IT治理协会(ITGI)认为IT治理主要是董事会和执行层的责任,是企业治理的重要组成部分,通过领导、组织和过程来保证IT实现和推动企业战略目标的发展;

Robert S . Roussey (美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于企业能否实现愿景、使命、战略目标至关重要 ;

Peter Weill 认为IT治理是在IT应用过程中,为鼓励期望行为而明确的IT决策权和责任框架 ;

Gartner集团(著名IT分析公司)认为,IT治理是一种新的商业范式。这种新范式的形成是由战略竞争力、全球化、业务流程共享网络和实时性的企业新需求所驱动的;

德勤咨询公司认为IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题;

国内学者胡克瑾(同济大学博士生导师)认为:IT治理是一个关系和过程的结构,用来指导和控制企业,通过平衡在IT及其过程中的风险和回报来增加企业价值从而达到企业的目标。

(二)IT治理的相关标准

目前在IT治理领域公认的国际标准主要有以下几种:

1.COBIT(信息及相关技术的控制目标)模型。它是ISACA制定的面向过程的信息系统审计和评价的标准,是基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。其侧重点在于IT过程控制和IT度量评价,从战略、战术、运营层面给出了对IT的评测、量度和审计方法,它的应用较为广泛,其目标对象是信息系统审计人员,企业高级IT管理人员。

2.ITIL(IT基础架构库)。ITIL是一套IT管理指南,列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,主要关注IT的战术和运营层面,对IT服务的提供和支持定义了更为详细和更易理解的过程集。

3.ISO/IEC 17799/27001,是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,侧重于强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,涵盖内容非常广泛。

4.COSO委员会《企业风险管理――整合框架》和SOX法案(《2002年萨班斯-奥克斯利法案》)。前者是美国COSO委员会提出的内部控制理论框架和操作框架,关注企业风险管理。从IT角度看,该框架关于IT对内部控制影响的规范主要体现在“控制活动”和“信息与沟通”要素中。后者对企业的公司治理、IT治理和IT控制提出了更严格的要求。

此外还有PRINCE2(受控环境下的项目)、CMM1(能力成熟度集成模型)和PMPOK等。PRINCE2重点强调项目的可控性,明确项目管理中人员、角色的具体职责,同时实现项目管理质量的不断改进。CMM1是一种用于评价软件组织能力并帮助改善软件质量的方法,已经成为评价软件组织开发过程的标准,成为软件组织过程改进的参考依据。PMPOK主要适用于所有类型的工程项目管理。这些模型从不同的角度对IT治理进行了规范。

(三)IT内部控制

当前对IT控制并没有较为权威和统一的定义,处于不同角度(例如外部审计人员和企业管理人员)对IT控制有着不同的理解,对其应当包含的内容和控制目标等的认识也不尽相同。总体来说,早期的IT控制概念来源于审计领域的EDP(电子数据处理系统)控制,主要指的是EDP环境下的会计控制,包括一般控制和应用控制两个类别。其目标主要是为保证计算机系统处理的数据质量。这种控制包含两个层面:一是对信息系统处理数据的控制;二是在信息系统中设计某些内部控制措施。随着IT在企业中的应用越来越普及,IT控制的概念也逐渐变得更为宽泛,包括了IT在企业中多种形式的应用,IT控制包含的范围已超过了EDP控制对会计信息质量目标的单纯追求,是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成,有效的IT控制设计与实施指明了一个组织将IT条件下的风险降至可接受水平的途径(孟秀转,2007),IT控制实质上是企业运作过程中涉及IT这部分资产的购入、使用及维护等不同阶段的相关内部控制过程(余瑾,2006)。

从上述概念中可以看出,对IT治理不管用何种界定,其内容都包括通过有关责任与权利的划分对企业战略起到支持作用,从而确保企业价值最大化的目标。IT控制则是在现有的IT治理环境下企业所采取的一列政策、程序和措施的总称 。IT治理相对IT控制来讲,处于基础地位,是IT控制发挥作用的先决条件,而IT治理目标的实现又需要IT控制发挥作用。

二、IT内部控制主要内容及存在的主要问题

从内容上来划分,IT控制分为一般控制和应用控制,贯穿于整个信息化生命周期内,涉及信息化各个领域。

(一)IT内部控制的主要内容

我国《企业内部控制基本规范》对信息系统的控制重点体现在组织控制、系统开发控制、系统操作控制、系统运维控制和会计系统控制等几方面。

1.组织控制。就IT角度而言,组织控制主要是指职责分离。职责分离包含两个方面,一是业务部门与IT部门关于IT职责的分工,二是IT部门内部职责的分工。业务部门与IT部门的职责分工较为规范,但IT部门内部职责分工则在实际工作中普遍存在一个人同时有好几个不同权限的问题,在人手不足的情况下,每个人要参与多项工作,相应的权限也就较多。

2.系统开发、变更与运维控制。包括职责分离,确保系统的合规合法性和可行性,开发过程的人员控制、系统设计控制、系统的日常维护和系统功能的改进与扩充等。

3.操作控制。信息系统操作控制的主要内容包括操作权限控制和操作规程控制两个方面。

4.硬件管理控制。计算机系统对工作环境的要求比较高,对系统的自然环境、作业环境都应有严格的控制措施,主要应包括计算机系统硬件管理制度。

5.会计信息化及其控制。主要指企业实现会计信息化后给企业内部控制带来的新的风险。包括数据存储介质变换带来的风险、操作人员权限控制不当带来的错误和舞弊的风险、对软件质量过于依赖带来的风险等。

(二)IT内部控制中存在的主要风险

首先,我国企业和西方企业所处的政治经济环境不同,人文背景不同,在信息化建设上仍然属于“人治时代”,信息化的随意性较大。有些企业虽然已经制定了信息化的相关制度,但整体而言仍然缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于企业高层和董事会对信息化的理解和影响,一旦管理者的个人影响力发生变化,IT规划建设就会失控,从而导致组织的信息化风险,这是IT治理风险的宏观体现。

其次,在具体实践中,企业信息化水平越来越高,其业务与财务报告流程对IT的依赖程度也随之越来越高。一方面财务报告的内部控制几乎离不开IT控制,另一方面即使业务层面的管理控制也是IT支撑环境下的控制。但信息技术是一把双刃剑,随着不安全因素的增多,信息安全的潜在风险也越来越大。从技术层面讲,系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险逐渐增多;从信息安全架构层面讲,没有一个系统化、程序化和文件化的管理体系,就不可能有效防范信息安全风险。企业在建立安全有效的IT控制方面正面临着巨大的挑战,需要重视起来。

三、基于IT治理加强IT内部控制的相关对策

IT系统已经不仅仅是企业日常运营的重要支撑,它同时还是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制,直接关系到日常运营活动的实施效果。事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径①。因而,在企业IT治理机制下加强IT内部控制应当是突破口。

(一)从理论层面看,要构建企业IT内部控制体系

科学合理的IT控制体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相匹配,促进IT为组织持续地创造价值,以实现有效益的信息化。应当在充分考虑我国信息化建设的实际情况下,确定信息系统控制目标,将信息系统项目运作的全部过程置于有效的管理与控制之下,建立适用的、协同的IT治理标准模式,制定相关管理指南,提供集成的IT管理,指导我们建立起相应的机制,对处理过程进行有效监控,保证有关企业信息处理过程的高效、有序。

(二)从企业信息化建设角度看,应当由整个企业来进行IT内部控制组织体系的构建

企业应当组建科学合理的多层次内部控制组织机构,在《企业内部控制规范》和《企业内部控制配套指引》的规定下,参照上述第一点理论建设的国内外研究成果,选取适合自身特点的控制流程,建立自己的IT内部控制框架并组织实施。

(三)从用户实践层面看,针对本文第二部分所提到的几大内容进行具体控制

信息工具的变革带来了内部控制手段的创新,严格的职责分离可以有效地避免错误和舞弊行为的发生,如IT部门与业务部门之间、IT部门内部之间、系统开发部门内部等都应有明确的岗位责任。系统开发环节应当注重成本与效益原则,判断是否具有可行性;加强开发过程的人员控制、系统设计控制和文档控制等。在操作控制方面主要集中在操作权限控制和操作规程控制上两方面。每个岗位的人员只能按照所授予权限进行作业,不得越权接触系统。权限控制不仅仅通过规章制度来执行,更重要的是要由系统制定全县标准体系,使之不被越权操作,例如用户身份鉴定、口令设置、密码保护、电子签章等。应用控制方面主要重视输入控制、处理过程控制、输出控制等。

建立合理的IT治理架构是实现有效IT控制的基础,IT治理为IT控制提供了制度环境;而IT控制的有效性又直接反映了IT治理的成效。企业只有在建立了完整的IT规范、有了明确的方向基础上,IT控制才能达到高层管理者的要求。反之,没有企业IT控制体系的畅通,单纯的IT治理模式也只能是一个美好的蓝图,而缺乏实际的内容。

内部控制体系建设是一个长期的过程,其中IT内部控制更是由于对硬件环境、软件环境、工作人员素质等方面有较高要求而面临很多困难,还需要董事会、高管层和企业全体员工共同努力,才能真正落实和贯彻。

【主要参考文献】

[1] ITGI. Control Objective for Information and Related Technology (COBIT) 3rd Edition [Z]. America, 2000.

[2] ROBERT SROUSSEY. Challenges Facing the Profession Information Technology[J]. Enterprise Innovation& Risk, 2003(5): 26-27.

[3] PETER WEILL, JEANNE W ROSS. IT Governance on One Page. CISR Working Paper, ssrn. com, 2004.

[4] 陶黎娟.IT环境下我国财务报告内部控制研究[D].厦门大学博士论文,2009:68.

第6篇:it运维述职报告范文

长期以来,CFO与CIO之间的关系一直被看作相互对立相互矛盾的,这种对立关系自从他们担当程序员与初级会计时就隐然存在了。然而,如果人们现在找CFO或CIO谈话,就会发现他们的这种对立观早已灰飞烟灭。当他们面临急巨上升的财务软件及网络系统需求时,他们深刻的意识到财务及IT部门紧密合作以降低成本的重要性。

“很明显,CFO与CIO需要更紧密的合作,”帕瑞芒特图片公司的首席信息官Ed Trainor说:“我们双方都有进一步合作的愿望,况且我们还可以合作得更好。”CFO与CIO之间的关系发生这种变化的时间并不久远,直到最近几年,只有很少的公司任命了自己的CIO,更具可能性的是,那时候的技术总监恐怕整天呆在公司的数据中心或者其他后台支持系统办公室内,根本不可能像现在那样频繁的与CFO、COO、CEO们打交道,如果我们将回溯的时间停留在10年前,那时办公自动化和财务还是两个完全分离的世界。

当前,对企业开支和IT预算的控制正日趋严苛,如果说这些问题正成为企业面临的当务之急的话,那么,人们就很容易会联想到,首席财务官(CFO)与首席信息官(CIO)之间是不是更加对立呢?透过这些纷繁的假象,我们发现真相并非如此。实际上,受各种因素影响,CFO和CIO之间更愿意相互合作,而且,他们的合作还引领着财务部门和IT部门之间也形成更为紧密的合作关系,两个部门同舟共济,共同为增加股东价值而努力。

事实上,CFO和CIO两个部门之间的大门正越敞越开,双方管理层也在努力营造部门之间的正常交流气氛。这样一来,IT部门在工作中就获得了一定的自:只要出于满足企业的业务需要,他们在工作中就可以拥有一定的灵活性,而不是简单受制于企业的规章制度和预算资金的制约。这种变化是体制层面上的一种转变,在企业的日常管理中,这种转变在基层也有所体现:财务和IT两部门员工之间交流的频率、深度和广度都明显加强了。

CFO和CIO紧密合作的因素分析

究竟是什么因素导致了CPO和CIO之间会更紧密地合作呢?我们把这些动因分为两类:一是对企业所有职能部门都会产生影响的因素,二是只对财务和IT部门产生影响的因素。

事实上,越来越激烈的市场竞争给各企业带来了一系列连锁反应:各企业纷纷削减开支,并把关注的焦点从简单的收入增长转移到利润增长上来,同时这些因素又加大了企业对产品和服务进行创新的压力,这也促使企业向扩展型企业模式转化。也就是说,企业开始注重与供应商和客户进行更为密切的合作,并将业务/IT运营的部分工作外包出去,或者是与其他企业共同加强业务/IT运营资源的合理调配等等。

对于很多大企业来讲,最重要的是将上述措施同企业的整体绩效考核计划结合起来。这种方法是一种先进的管理方法,它通过为小业务单元制订运营计划、业绩目标和操作方法,把他们同整个企业的战略、目标、产能等有机地连接起来。这些变化导致了企业需要更多的技术投资来支撑企业运营流程。IT方面的投资越大,运营与IT维护所面临的风险就越大,就越需要在CFO和CIO之间保持一种定期的沟通来对企业的业务运营进行共同管理。

有两个因素直接关系到财务部门和IT部门之间合作的程度。首先,由于有关部门对财务报表的审查越来越严格,2004年有不少公司不得不重新公布了收入报表。休伦咨询集团所做的题为“2004年财务报告重大事件年度回顾”报告展示,2004年美国有414家公司重新公布了收入情况,而在2001年,这一数据仅为270家。这些事实都进一步说明,企业内部确实需要建立起一套财务与IT部门之间的协调体系。这个问题CIO们已经呼吁多年,而如今也已经成为CFO们需要关注的问题。其次,与企业经营密切相关的法律法规日趋严格,这就要求CFO和CIO之间必须加强合作,共同应付法律的要求。《萨班斯―奥克雷法案》(Sarbanes-Oxley”,简称“Sarbox”或“萨班斯法案”)和一些针对行业的管理条例,比如银行业最新出台的《巴塞尔新资本协议》(Basel Ⅱ),就是一系列典型的对企业财务进行约束的新规定。上述两个因素,都使得企业提高了对风险的认识能力和管理水平。因为企业每年所从事的交易量达数百万之多,当企业试图准确地记录这些交易时,IT工具就成为提高报告精确度的有效手段,而且财务和IT部门通过密切合作,还能够找出有效的解决办法,减少企业面临的各种经营风险。无论风险来自哪里――IT、财务或运营,合作都能使风险降至最低。

IT支出所占的比例日益增大,也是导致财务和IT部门加强合作的原因之一。信诺公司服务运营部高级副总裁兼CIO斯科特・斯托尔(Scott Storrer)指出:“传统上,企业80%的IT预算都是为企业运营铺路的,只有20%才被用在提高企业效益的具体项目上。随着企业运营效率的提高,以及将低价值的工作外包出去,我们就会发现将有高达50%的IT预算用在企业创新项目上。”斯托尔认为,“随着投资金额的增加,CIO必须同财务部门展开更密切的合作,以确保所做的投资决策准确无误,并使这些投资能发挥出最高效用。”外包业务的复杂性,也促使IT和财务部门之间展开了更深入的合作。正如斯托尔所说的:“如果你想完成一项复杂的外包业务,那么处理好财务方面和管理方面的问题就显得至关重要。”

也许,使合作变得深入的最重要动因在于财务部门本身希望得到更真实更准确的财务数据。也就是说,利用一种可行的办法,进行数据的汇总、整理、分析和报告,同时还能保证数据的准确、有效、高质和及时 ,合作程度越深,数据量也会越多,数据特征变化的程度也越高,IT的作用就是保证数据的采集以及企业内部和企业之间的数据交换更为方便。

传统意义上,对企业内部的信息和技术进行管理是IT部门的份内之事,但随着财务部门对数据准确性和控制度要求的提高,他们也开始插手这部分业务。实际上,财务部门已经从汀部门最大的内部客户演变成了最强势的盟友之一,他们正共同努力来实现企业管理的标准化和一体化。

CFO和CIO之间如何有效地开展合作

当企业的CFO和CIO之间的合作趋势越来越明显时,CFO和CIO应该如何重新打造这种组织上的联系以提高效率、降低成本?我们认为以下几点值得借鉴。

1、在CFO和CIO之间,保持更为频繁的沟通。这种沟通不仅仅涉及业务运营绩效,同时还包括IT部门的各项要求,在Andersen Windows公司,财务和IT部门一起研究IT部门提出的要求,而且还把这些要求拿出来,跟业务领导一起探讨。正如该公司CIO杰克・尤维特(JackJuvette)所说的那样:“IT和财务部门都能总揽全局,底线是使我们的企业能赚钱。我们并肩作战,共同找到解决问题的办法,共同分享业务经验,以确保我们的项目能够为整个企业降低成本、创造利润。”

2、在IT和财务资本支持方面建立更密切的联系。多年前适用的方法,已经被单一的、公司范畴内的资本运营流程所替代,该流程设有一个投资董事会,所有的投资支出,不管是IT方面还是非IT方面的,都由董事会(由CFO、CIO等高管组成)做出决定。

3、在企业运营的改善、在业务流程和控制的安排、风险管理以及业务绩效管理等方面,尤维特总结说:“财务部门从IT部门学到‘需要使各种流程在各个职能部门都真正发挥作用’,而IT部门也从财务部门学到‘投资必须有所回报’。我们面对的世界是一个职能交叉的世界,它需要把一群人聚在一起来探讨问题,以此确保我们能够做出正确的决定。”

第7篇:it运维述职报告范文

打造符合中国国情的IT GRC

从合规角度来看,近年来,公安部、国资委、银监会、证监会、保监会都曾专门过针对信息安全或科技风险管理的具有行业特色的法规或指引要求,体现出企业应对IT风险管理及合规要求的紧迫性和特殊性。同时,企业内部管理规范(被称为中国版“萨班斯法案”)对企业内部管理和风险防范提出了更加明确的要求,这极大推动了企业风险管理、合规管理类工具(IT GRC)的发展。针对这一市场,包括IBM、SAP、Oracle 、CA等在内的国外GRC解决方案提供商,包括德勤、普华永道等在内的咨询公司,以及慧点、用友、金蝶、浪潮等国内ERP厂商们都开始积极布局,GRC产业在国内迅速崛起。

实际上,IT GRC的概念并不新颖,作为一个早被业界认可的通用术语,GRC代表一种思想和理念,是企业逐渐从分散管理模式向跨业务单位、跨IT平台的集中模式发展,从而全面而高效地应对治理、风险管理和合规三个方面挑战的解决方案。而事实上,国外绝大多数IT GRC软件都不适合中国的管理模式与法律规范要求,国内企业亟待一款真正符合中国国情、技术管理方面都适合中国企业特点的全新产品。

上海安言信息技术有限公司是国内最早从事信息安全管理咨询的机构,由一批具有信息安全专业技能与管理实践经验的专家构成,在国内最早开展ISO27001、ISO20000、PCI等国际信息安全标准的咨询工作,先后完成了交通银行、农业银行、国家电网等大型企业的信息安全管理体系建设。

安言信息一直关注相关领域厂商和用户单位的市场动向。长期服务企业的过程中,安言发现企业迫切地需要将管理制度、流程等要求切实落实到日常工作中去,需要IT GRC工具进行支持。其决策层认为:国内IT GRC应用市场存在巨大的潜在,国内应有理由挺进这一蓝海、向“洋品牌”叫板。基于此,安言信息于2011年设计并实现了一套用于支撑企业、特别是银行金融企业的IT治理、合规与风险管理落地的平台化软件系统ITRMS。

IT GRC需求分析

在设计ITRMS之初,上海安言信息技术有限公司从技术层面、应用层面和合规角度对国内产品进行了周密分析,提出产品一定要有自己的特色,要有创新的风格,这是该产品开发的出发点和落脚点。

通常意义上,GRC应用或解决方案大都具备以下功能:定义企业风险与控制框架;设计风险管理流程;与ERP、SCM、CRM等系统对接,实现应用控制的自动监控;提供数据自动采集和智能分析;自动化系统审计测试;提供报表信息;提供其他附加功能,如身份管理、访问控制、流程控制、数据安全等控制措施。这些功能体现了GRC作为一种集中管理模式,对企业运营过程中各类风险进行集中监测、预警和控制,并与法律合规及审计进行紧密关联以提供管理层决策的设计思想。

尽管以各类GRC软件或解决方案为代表的产业发展已经风生水起,但作为其中非常重要的一支――IT GRC,却并不显山露水。

一方面,传统GRC应用更多是从企业EPM、ERP、CRM、SCM等管理模式中抽取、延伸并集成,侧重企业运营和财务,并不特别针对IT,其无论是管理模式、操作方式、结果展示还是知识系统,都没有考虑IT的特殊性。

另一方面,企业IT又面临极大的合规压力和操作风险,特别是一些极度依赖信息系统的行业或领域,如金融、电力、通信等,层出不穷的监管要求、屡屡发生的信息科技事故、“救火队员”一样尴尬的角色扮演,都使得企业IT急需在IT GRC方面找到更有针对性也更具实效的答案。

就风险管理来说,以银行金融业为例,无论《新巴塞尔资本协议》还是银监会《商业银行信息科技风险管理指引》,都强调对以信息科技风险为主体的操作风险的管理。信息科技风险,无论是从来源、范围、形态、特点还是影响上,都与战略风险、声誉风险、国家风险、法律风险、信用风险、市场风险、流动性风险等传统风险有着很大区别。

首先,信息科技风险存在于企业各个领域和层面,只要有信息或信息系统的存在,都涉及信息科技风险。

其次,信息科技风险有着明显的时间性,从信息系统规划、设计、运行、更新到报废,信息科技风险存在于信息系统的全生命周期。

另外,信息科技风险有人为和自然因素,也有管理和技术之别,从起因上表现出多源性。

此外,信息科技风险覆盖IT战略、IT治理、IT绩效、IT规划和架构、项目管理、系统开发、运营流程、基础设施、信息安全、业务连续性、外包管理等各个领域,具有形态的多样性。

最后,信息科技风险影响广泛,除信息系统外,还会对员工个人、业务运营、法律合规以及企业声誉造成直接影响。

近年来,公安部颁布的等级保护相关系列标准、银监会的《商业银行信息科技风险管理指引》、证监会的《证券期货业信息安全保障管理办法》、保监会的《保险公司信息系统安全管理指引》,都纷纷体现出企业应对IT风险管理及合规要求方面的特殊性。

IT GRC规划设计实施

通常来讲,IT GRC会出现两类情况:其一是以IT支持GRC,即基于IT来实施企业GRC,将GRC作为一个电子化的整合平台,这还是传统GRC概念;其二是针对IT实施GRC,即针对IT或在IT领域实施治理、风险管理和合规。我们在产品设计时特别强调后一种情况。

IT GRC作为针对企业IT治理、风险管理和合规管理的一整套解决方案,在规划设计和实施操作中必须要考虑以下三方面问题。

首先,IT GRC必须考虑到自上而下的治理问题。IT治理是企业治理在信息时代的重要发展,是描述企业是否采用有效机制,使得信息系统及IT应用能够完成企业赋予它的使命,同时平衡信息化过程中的风险,确保实现企业战略目标的过程。IT治理的使命在于:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,并适当管理与IT相关的各类风险。

其次,在统一的IT治理框架下,IT GRC必须建立起完备的IT风险管控机制,这是IT GRC最为核心的内容,具体包括:1)明确IT风险管理范围,构建IT风险库;2)建立IT风险管理流程,包括风险识别、风险评价、风险控制、风险监测等关键活动,同时确定识别时机和监测途径,确定风险偏好和可接受水平;3)参考监管要求和国际规范(如COSO-ERM、CobiT、ISO27001、ISO31000、RISK IT等)建立风险控制框架和基线;4)对风险进行持续监测;5)制定信息与沟通策略,建立风险报告机制。

另外,IT GRC在展示和报告方面需充分考虑IT法律合规方面的要求,一方面应建立合规管理框架,包括识别合规要求,评估合规现状,建立合规映射,落实合规责任,推动合规检查,提供合规报告等活动。另一方面,还应形成风险与合规的联动机制,确保任何风险监测或事故报告都能追溯到相关管理对象和合规要求,并能提供合规证据。

除上述三个大的方面,IT GRC还应建立支撑相关工作的流程操作和运行保障机制,并尽可能与企业信息系统和应用进行关联,最终实现信息科技风险和合规的全过程与实时性管理。

先进的IT GRC管理理念要想在企业中得到实践,并有针对性地为企业服务,咨询是其中的重要一环;企业信息安全与IT治理咨询服务是GRC理念在实际企业中的个性化实践。

安言ITRMS助力企业实现IT GRC

安言ITRMS是一个集合规管理、人员管理、风险管理、制度(体系文件)管理、流程管理、意识提升、安全检查、绩效评价、报告管理、知识管理等功能的全面的、可扩展的IT GRC应用平台。其面向包括高级管理层、风控部门、合规部门、审计部门、IT部门、安全管理部门等在内的企业各个领域,以IT风险库为基础,通过持续的IT风险监测和联动机制,实现IT全生命周期的风险管理,并将人员职责、制度规范、操作流程、意识培训等日常控制工作融入其中。

借助该平台,企业围绕IT规范化管理开展的各项工作,特别是之前被广泛接受的基于ISO20000标准的IT服务管理体系、基于ISO27001标准的信息安全管理体系、基于CMMI的软件开发过程管理,以及基于BS25999标准的业务持续性管理体系,都可以进行有效整合并嵌入其中,从而改变以往各自为政分散式的管理模式,基于信息科技风险管理与合规这一核心思想,形成集中化的管理模式。

管理对象:ITRMS支持全面的IT风险库,各类IT风险就成为平台管理的对象。作为信息科技风险管理的配置基础,据此可呈现基于系统、运营业务、岗位或IT基础设施的风险视图。

驱动机制:ITRMS覆盖业务相关的信息全生命周期,从需求分析到系统开发、系统上线、运维支持,涵盖开发和运维部门,涉及企业内部管理和供应商管理,通过风险监测及预警来驱动整个风险管理过程。

控制功能:信息科技风险管理落实到位,体现在各种流程化的日常工作当中,如信息安全事件管理、日志集中管理、访问控制和权限管理、业务连续性预案演练等,所有这些可能嵌入在其他专用系统和应用中的控制流程,都可以与ITRMS进行接口,以便与风险联动。

支持保障:通过制度文件场所化、人员职责明确化、检查工作常态化、绩效评价可量化、培训推广多样化以及有效的知识管理,为信息科技风险管理提供支持保障,这也是传统信息安全及信息科技管理最事务性的日常工作。

内外呈现:信息科技风险管理需要对外合规、对内追责。一方面,通过即时呈现,提供合规报告,从容应对合规检查。另一方面,落实责任,追溯到人,可随时展示工作业绩。

具体实现上,ITRMS采用层次化的软件架构,各层之间关系松耦合,下层通过接口为上层提供服务,如下图所示。其中,基础设施层为平台提供支撑,驱动层控制业务逻辑的流转,业务层为平台提供管理所需要的基本功能,展示层提供各种对外视图。

ITRMS采用层次化的软件架构

实际上,通过ITRMS的规划设计和部署实施,企业可借此构建一个较为完整的信息科技风险和信息安全管理的工作流平台和知识管理系统,并形成企业内部一个专业化的PORTAL。

第8篇:it运维述职报告范文

关键词:ITIL,通信企业,IT系统维护

 

随着国内企业信息化进程的发展, 各类企业业务对IT 系统依赖越来越强, 企业内、外部用户都要求IT 部门提供稳定、高效地支持和服务, 这对IT 部门内部的协调和管理也提出了更高的要求。

由于电信企业的IT系统的规模不断扩大,种类不断庞杂,电信企业自身的IT运维部门自身人力技术有限,对系统的日常维护和管理造成相当大的困难。集中体现在以下几个方面:

1.缺乏服务意识和标准化流程

运营商的运维部门服务于整个企业,虽然处于企业内部,也应将其他部门视为客户,所

谓服务,远不只是改进服务态度,更主要是的是树立服务观念和对服务进行流程化管理。运维部门同样需要以产品技术为核心转向以顾客、服务为中心,接受其他部门的投诉、故障报告和服务请求,一切以满足客户的原则为中心,利用先进的技术,遵循标准流程,从根本上改善网络的服务质量,提高工作效率,降低运营成本,从而使企业获得利益,虽然目前运维部门在部分管理系统中也设置了各种管理流程,但这些流程多半固化在特定系统中,灵活性不高,且只满足某一类业务或者某一套系统,无法推广使用。

2.缺乏运维管理手段

目前各大运营商在网络资源管理、调度、故障处理协调、任务分发等运维工作方面,主要采取电话、邮件、传真的方式进行沟通,没有实现流程管理的电子化、自动化,导致无法跟踪故障情况,不能有效利用历史故障的发生频率、发生类型、处理情况、解决办法等知识的经验,对于故障的处理无法进行效率评估和考核。技术人员人忙于应付突发事件和处理同问题,工作效率很低。

3.缺乏统一的资源管理

由于竞争的压力,各运营商在网络建设初期都不太重视成本管理,或在建设业务支撑系统时没有做好整体规划,所以在不同业务阶段、不同业务、不同省份分散建设了支撑管理系统,导致在不同时期选用了来自不同厂商的管理工具或软件。这些管理工具或软件往往只面向单点功能,而没有直接面向业务,因而不能对资产和资源进行有效的管理。由于数据资料不全或者在不同系统中存储的定义不一致,对这些管理工具的整合也非常困难,只是无法统一管理和调度资源,决策领导层无法及时把握网络资源的情况,难以有效的分析资产成本效益和资源使用情况。为实现集中化的管理模式,电信运营商必须加强完善网管中心指挥调度、监控维护的手段,必须大力发展电子运营维护管理系统。电子运营管理系统应当成文网络维护部门指挥、调度门管理日常生产任务的主要手段,并将各级网络维护部门有机的连接起来,实现运维工作的电子化,流程化。

4.IT产品的运维极大依赖开发厂家

由于各大运营商运维部门技术资源的有限,整个企业的IT产品过分依赖软件产品开发方,造成厂商需要长期留守技术人员在各大运营商的计费部门,客观上提高了运营成本。

为此,电信运营商需要引入以流程为导向,以客户满意和服务平直为核心的IT服务管理(ITSM)理念来对其网络、主机和数据库系统进行全面、集中、有效的监控和管理。为了保证现代电信企业IT 系统正常、可靠、高效、安全运行,为业务部门提供优质服务。

IT 服务管理( ITService Management, 简称ITSM) 是国际上公认的解决目前IT 管理问题的有效方法。ITIL 称为IT 基础架构库( Information Technology InfrastructureLibrary) 是英国国家计算机和电信局于80 年代中期开发的一套针对IT 行业的服务管理标准库, 是以基础架构支持IT 服务管理的管理方案。它以流程为导向,以客户为中心,通过整合IT服务与企业业务,提高企业的IT服务提供和服务支持的能力和水平.ITIL可引导组织高效和有效地使用技术,让既有的信息化资源发挥更大的效能.目前业界所广泛使用的是ITIL2.0版本,它的核心是所包含的七个模块,图1是ITIL 的框架,图中清楚地显示了六个模块以及模块同业务和技术的关系。

它由业务管理、服务管理、信息通信技术、IT基础架构管理、IT服务管理实施规划、应用管理和安全管理六个模块组成。其中服务管理是ITIL的核心部分,ITIL把IT管理活动归纳为十个核心流程和一些辅助流程,然后利用这些流程进行有关IT管理工作,服务管理模块包括十大流程和一项服务台职能,它描述了IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系。ITIL中关于服务管理的内容由服务支持(Service Support)和服务提供(Service Delivery)两部分组成,描述了IT部门应该包含的各个工作流程以及各个工作流程之间的相互关系前者侧重在IT服务的日常运作任务上,属于执行层的工作,而后者则更关注IT服务的规划和实现,属于战术层的工作。服务提供包含服务级别管理、成本管理、持续性管理、可用性管理、容量管理五个流程。服务支持包含事件管理、问题管理、变更管理、管理、配置管理五个流程和一个服务台管理职能。

选用符合ITIL标准的平台进行电信运维管理可为电信企业带来以下好处:

从业务角度看不但能够完全实现用户的需求,而且还能优化目前的流程和任务,避免系统重覆建设;从技术层面看ITIL中成熟的商业软件在可用性、可靠性、可扩展性以及用户界面方面极具优势。从项目建设看无需编程,开发周期短,项目风险低,灵活性和可定制性高。

因此对于构建这样一个大型的运维系统,建议分阶段建设,比如首先实现对支撑系统的管理,再考虑全网运维系统的建设,在服务流程上分阶段实施,如先实施配置管理、事件管理、问题管理和变更管理,后实施管理、服务等级协议管理。

第9篇:it运维述职报告范文

最近几年,IT圈有一个越来越值得人们关注的现象,很多知名国内外IT厂商都纷纷聘请国内行业、企业中的CIO和CTO在其服务、行业或技术部门担任要职,虽然这种人才流动现象在国外已经相当普遍,但是对于长期被国际IT厂商当做技术和服务理念培训对象的国内CIO们来讲,这种变化可以被认为是“革命性”的“翻身”。

然而,在席卷而来的全球化大潮中,中国CIO应如何应对瞬息万变的市场竞争,他们的处境又如何呢?

近日,IBM公司携手清华大学了首次针对中国CIO群体进行的《中国CIO调研》报告,并为每一位准备进行战略转型的中国CIO归纳出五大制胜纲领。

战略型CIO将产生

中国CIO的生存状况一直是业内的关注焦点。在《中国CIO调研》报告中,IBM将“战略型CIO”的内涵首次植入了中国的CIO群体。

该报告的调研结果显示,当前中国企业对于IT的引入还处于发展阶段。不管是CIO在战略决策中的地位、战略性运用IT的领域,还是IT战略议程设置,《中国CIO调研》的结果与全球调研结果相比都有显著差异。中国CIO调研结果表明,CIO在企业中承担战略决策任务的还不占多数,特别是有接近1/3的CIO不认为自己是高级领导团队中的重要角色,56%的CIO表示他们正在参与战略决策。相比而言,在国外80%的CIO是高级管理团队中受到信赖的成员,而69%的CIO表示他们正在大量参与战略决策。(见图1、图2)。虽然与全球的状况相差不大,但是只有5%的CIO认为他们在极大程度上参与了企业的战略决策。

对此,CIO领导力中心执行总监Harvey Koeppel表示: “近两年来,在全球范围内,企业的高级管理层开始日益认识到技术是创新和竞争优势的核心,因此,越来越多的CIO已经加入到战略决策团队中。IT的影响力和价值正在得到体现。”

“新的时代赋予了CIO领导企业进行战略转型的历史使命,这也是CIO价值的终极体现。”IBM大中华区副总裁、全球信息科技服务部总经理张烈生说。为此,《中国CIO调研》从三个维度提出了针对性的发展建议: 首先,中国的CIO需要把更多的精力放在利用IT提高企业业绩上面,而非一味追求降低运营成本; 其次,CIO应策动和领导企业的业务转型计划,从而改善IT与业务部门之间的有效互动性; 第三,中国CIO还需要进一步磨砺,增强客户体验、促进外部合作与开拓新市场的能力。

靠能力争取决策权

据记者了解,在本次调查中,多处涉及到CIO在企业中的话语权和决策权的讨论,而随着企业对于IT重要性认知程度的不断提高,CIO们要求提高地位的呼声也越来越强烈。

然而,分析人士认为,CIO们在参与决策之前,必须具备较高的管理能力和决策判断能力。因为,“大型企业聘请企业CIO担任要职,他们看中的一定不是这个CIO所具备的技术背景和技能(不管他的背景或技能有多强),他们看中的应该是这个CIO在IT技能背后,多年积累起来的对企业信息化管理、运营以及市场策略方面的经验。”

值得注意的是,在《中国CIO调研》的整个报告中,没有一条涉及到对如何提高CIO IT技能的描述,这说明IT技能应该是CIO的生存基础,也是必备的基本条件。

如果说IT是一把“利剑”,那么CIO就应该是一个“剑客”,而“剑客”不仅要有一把锋利的“剑”,更应该有一套炉火纯青的“剑术”,也就是CIO要精通企业运营和管理,知道如何利用自己手中的剑。另外,更重要的是,中国的CIO思考问题的角度应该有所改变,应该站在整个企业的高度甚至是整个行业的高度来规划企业内、外部的同步发展。

作为此次调研的主要负责人,清华大学经济管理学院副教授朱岩博士认为: “事实证明,从企业业务部门中成长起来的CIO,往往要比IT技术人员具有更强的洞察和解决实际问题的能力。”这实际上就说明了,“运营管理能力”是一个CIO成功的关键增值砝码。

机遇与挑战并存

从来没有一个时代像今天这样,IT在企业运营中的地位受到如此重视。举一个国内汽车企业的例子,在5年前,该企业的IT人员在公司里非常分散,总部的信息化部门也只有20多人,整个企业的信息系统没有一个整合的平台。

然而在信息部门整合之后,企业派来了高管作为企业的CIO,新的CIO具有深厚的企业部门工作经验,对企业业务和管理流程都非常熟悉,他深知如果要充分发挥技术的能量,一定要得到高层的充分重视。因此,在他的推动之下,该企业成立了一个信息化委员会,并要求公司的副总裁和每个部门的高管都成为委员,每季度开会讨论业务创新、投资,以及业务创新所需要的技术和支持等。

这是一个很成功的例子,它证明了一个有决策能力的CIO在一个企业里可以发挥至关重要的作用,当然,现在中国的大多数企业还没有实现这样的情况。但是,在全球化与经济飞速发展的历史背景下,中国CIO正面临着前所未有的大好机遇。在这样的形势下,中国CIO调研的受访者也开始意识到,信息技术的转型力量已经真正渗透到企业活动的许多领域(见图3)。

精选范文推荐
相关期刊推荐