信息系统变更风险评估量化模型设计与应用

作者：中国农业银行数据中心 黄更生

本文从商业银行信息系统变更管理风险控制的实际需求出发，综合考虑变更实施及特护期间各项因素，提出由一级指标、二级指标组成的变更风险评估与定级量化模型。以某国有商业银行开展落地实施为例，通过试算、试运行不断优化量化指标，并最终在实际变更管理活动中运用该模型进行变更分级管理，对变更管理流程进行了优化调整，提升了精细化管理程度，加强了变更风险识别与管控，对商业银行信息系统的变更分级管理具有一定的借鉴意义。

当前，随着商业银行信息系统规模的日趋庞大、系统架构的日益复杂，系统变更的数量增多，复杂度大幅提升。同时，监管机构和社会大众对银行业务连续性的要求也愈加严苛。相对于越来越成熟的基础环境高可用技术，系统变更可能带来的生产风险已成为商业银行信息系统运维过程中的关注焦点，而为了有效控制变更风险，急需构建一个科学合理的变更风险量化评估模型。对此，本文从银行信息系统变更风险防控的实际需求出发，综合考虑变更实施及特护期间的各项因素，创新提出了一种由一、二级指标组成的变更风险评估量化模型，并以某国有商业银行在变更分级管理活动中的实践为例进行简要说明。

一、变更风险评估量化模型设计思路

变更风险评估量化模型主要涉及指标设定、指标量化、风险定级、模型试算等四个方面，其具体设计思路如下：首先是归纳出与变更风险评估密切相关的五个一级指标和细化派生出相应的二级指标，在此基础上枚举各二级指标的评价对照域，并进行量化取值，之后再计算总体变更风险评估值，匹配变更预设的风险值区间得到相应变更级别，最后则是要进行多轮试算以便于对模型调优。

1.设定指标

根据数据中心长期变更管理的经验，本文将五个一级指标分别设定为变更基线、变更影响、异常可能性、异常控制和异常影响，其中前面4个指标均有细分的二级指标，评估指标概览见表1。

表1 评估指标概览

变更基线

变更基线是指评估变更风险大小的基础信息，可细分为变更层级、信息系统重要等级2个二级指标。其中，变更层级是指变更部署地点和影响范围，分为总行层级(指部署在总行，影响多家分行)和分行层级(指部署在分行，影响一家分行)。信息系统重要等级是指发生变更的信息系统的重要性等级(商业银行用于标识信息系统重要程度的关键指标，如信息系统等保级别或灾备等级)，等级越高，取值越大。

变更影响

变更影响是指变更实施过程中以及实施后运行过程中对生产运行带来的影响，影响越大，变更风险越高。变更影响下设3个二级指标，即计划停机、性能与容量、其他影响。其中，计划停机用于量化评估变更实施过程中对业务连续性造成的影响，可以根据监管部门以及商业银行内部对于计划停机管理的不同要求，对变更实施过程中对业务服务造成的停机影响大小进行量化取值。性能与容量用于量化评估变更实施后对信息系统性能与容量造成的影响。其他影响是指变更实施过程中以及实施后运行过程中对生产运行带来的除业务连续性及性能以外的其他影响。

异常可能性

异常可能性是指评估变更实施及运行过程中出现异常的可能性，可能性越高，变更风险越高。异常可能性下设两组4个二级指标，即产品复杂度与产品成熟度、操作复杂度与操作成熟度。其中，产品复杂度是指变更过程中发布产品的复杂程度，产品复杂程度越高，变更风险越大。产品成熟度是指变更过程中发布产品的成熟度，产品成熟度越高，变更风险越小。操作复杂度是指变更过程中发布操作的复杂度，操作复杂度越高，变更风险越大。操作成熟度是指变更过程中发布操作的成熟度，操作成熟度越高，变更风险越小。

异常控制

异常控制是指评估对变更实施或运行过程中的变更异常风险进行控制的有效性，有效性越高，变更风险越低。异常控制下设2个二级指标，即验证有效性与应急有效性。其中，验证有效性用来衡量通过变更验证发现问题的有效性。应急有效性用来衡量变更应急方案的可操作性。

异常影响

异常影响是指变更出现异常时对生产系统造成的影响程度，影响越大，变更风险越高。由于该指标是对变更实施后可能出现的异常事件进行预判和分析，所以该指标的主观性比较强，这也是进行变更风险评估时往往带有主观性的主要原因。同时，该指标对变更风险的评估和定级具备很强的约束性，即如果变更出现异常会造成重大生产事件(变更出现异常的可能性大小，由其他指标综合确定)，那么该变更的风险评估计算值则相对较高。此外，鉴于该指标的主观性相对较强，能对变更级别的最终结果产生直接影响，因此也可以在进行变更评估时根据实际管理需要进行弹性操作。

2.指标量化

指标量化主要指针对各个末端指标(细化后的二级指标或未细化的一级指标)，根据管理要求通过枚举方式设置风险评价对照域，并对每条评价对照域分别进行量化赋值。一般而言，风险评价对照域的合理设置及赋值，直接决定了该变更风险评估量化模型的精准性和可操作性，而对照域的设置需要从完整度、契合度、颗粒度三个方面来进行综合考虑。

其中，完整度是指该末端指标的风险从小到大，应尽量设置相应的对照域，尤其要完整覆盖该末端指标的风险主要形式；契合度是指对照域的设置应保持相对准确且易辨识，能够匹配该末端指标的实际风险评估需求；颗粒度是指对照域的设置应满足监管要求的精细化程度。在为每个对照域进行量化赋值时，应仔细权衡、推测该对照域对应的变更场景对变更整体风险值的影响程度，影响越大，其赋值越大。同时，各个对照域的赋值应具备一定的识别度，能够将该对照域所反映的变更风险，通过模型计算得出的变更风险值体现出来，以便于后续通过试算对各个对照域的赋值不断进行修正、调优，以更好地满足管理需要。

除此之外，为了提高某些对照域的契合度，还需考虑变更类型的不同，即按照应用类变更和基础类变更来设置对照域。其中，应用类变更是指应用开发或应用运维部门提交的应用程序、应用参数、应用数据等变更，基础类变更是指生产运行单位提交的基础环境、设备、系统、网络等变更。

举例来说，一级指标变更影响B包含3个二级指标，即计划停机B1、性能与容量B2、其他影响B3。根据停机管理的相关要求，对变更实施过程中的计划性停机B1，可从影响时间、交易损失率等角度构建对照域及其赋值(见表2)。性能与容量影响B2用于量化评估变更实施后对信息系统性能与容量造成的影响，可按照应用类变更和基础类变更来划分对照域(见表3)。其他影响B3是指变更实施过程中以及实施后，对生产运行带来的除业务连续性以及性能以外的其他影响，其对照域及赋值见表4。

表2 计划停机B1对照域和赋值

表3 性能与容量B2的对照域和赋值

表4 其他影响B3的对照域和赋值

在此基础上，一级指标变更影响B的取值则可以通过公式B=B1+B2+B3获取。考虑变更风险评估值具备一定的弹性(即按照风险值区间进行定级)和主观性，模型在设计公式时采用了相对简单的计算规则，即相加和相乘。如果指标间相对独立，彼此间基本不干涉，对共同作用后的结果仅仅产生叠加效果，则采用相加的计算规则;如果指标间相互关联、彼此作用，对共同作用后的结果产生类似基线或者倍数效果，则采用相乘的计算规则。根据前述原则，模型共设计了五类一级指标的计算公式(见表5)。

表5 一级指标计算公式

3.风险定级

综合变更风险各个一级指标，构建出总体变更风险评估值S的计算公式：S=A×(B+C×D×E)。其中，异常可能性C、异常控制D、异常影响E三个指标间相互关联、彼此作用，使用C×D×E能够量化反映出该变更的异常风险大小。变更影响B则主要反映了该变更的影响大小，与变更异常风险相对独立，构成了变更风险评估的两个主要方面，因此使用公式B+C×D×E能够单纯就变更本身(指脱离基线)得出风险评估值。变更基线A则是对变更风险评估的作用对象和作用范围等基础信息进行量化的结果，是整个风险评估的基线，因此使用公式A×(B+C×D×E)即可得出变更风险评估的整体值。各级指标及风险值计算方法如图1所示。在此基础上，结合变更风险值与变更级别(见表6)，模型即可自动匹配出与变更相对应的变更级别。

表6 变更风险值与变更级别对照

图1 各级指标及风险值计算方法

4.模型试算

在变更风险评估与定级模型初步设计完成后，可能还存在指标设计缺乏针对性、量化取值不合理、可操作性不强的情况。因此，为确保模型科学合理可落地操作，需要组织各专业部门对定级模型开展多轮次的变更试算，即通过使用该模型对本专业的变更场景进行风险评估，分析和评价试算过程和结果，最后再对模型进行调优。在此过程中，试算变更的覆盖面应满足以下要求：一是覆盖本部门各个应用系统的典型变更；二是覆盖本部门所有类型的标准变更；三是覆盖最近1～2年内本部门实施的重大变更；四是试算变更数量不低于规定数量。如此，通过各变更申请、变更实施部门的变更定级试算，即可加强定级模型的可操作性，并通过变更定级模型的优化，提高定级模型的精确性和适用性，为其在变更管理活动中的实际应用打下坚实的基础。

二、模型在变更管理中的应用

以某国有商业银行为例，生产运行部门平均每周评审变更90余个，在投产当周则数量更多，最多时单周达到200余个变更。由于变更数量较多、频率较高，且变更分级不够准确，变更实施后易引发生产事件处置解决不及时，或造成业务连续性影响与变更级别不匹配的情况发生。为加强变更风险识别与管控，切实推进变更分级精细化管理，该行从生产运行的实际需求出发，将风险评估量化模型应用到变更管理中，并以此为契机深入开展了一系列精细化管理活动。

1.增设变更分级评估表

变更申请部门组织填报变更风险评估表，通过模型计算变更风险值，确定变更级别，并将其作为对该变更进行分级管理的基础和依据。《变更分级评估表》界面如图2所示，该表格中包含了定级模型的所有5项一级指标、11项二级指标。其中，白色底纹的单元格为待选单元格，均采用了下拉菜单形式，变更申请人需根据变更实际情况选取合适的备选项。在选取完所有待选单元格内容后，表格将自动计算得出变更风险值S和对应的变更级别。除了在“变更风险评估补充信息”栏注明其他需注意的变更信息，变更申请人还可通过切换其他标签页，查看变更分级标准及变更定级指标的具体取值与含义，进而计算得到风险评估值及变更级别。

图2 《变更分级评估表》界面

2.强化变更分级分类审批

在审批环节，变更管理重点落实强化了变更专业线审批和管理线审核两条评审线。其中，专业线审批负责审核变更方案的技术可行性，评估实施操作风险与影响的准确性，提出专业审批意见与建议。管理线审批负责审核变更申请材料的完整性与合规性，审核专业线审批意见与建议，对变更窗口、信息发布、资源保障等进行协调、统筹与决策。同时，严格落实管理线分级审批，对于三级或三级以上变更，则需统一提交变更评审会评审。

3.加强技术支持和保障

对于重大变更，重点强调根据变更级别做好实施过程中的支持保障工作。例如，一级变更由变更牵头单位分管总经理现场指挥，相关部门负责人、相关专业线审批人现场支持；二级变更由变更牵头部门负责人现场指挥，相关专业线审批人现场支持；三级变更由变更专业线审批人现场指挥。在此基础上，该行以量化定级为基础，进一步调整了变更审批流程，如在专业审批方面，专业部门负责专业线审批，提高了各专业部门对自身提交申请变更的风险意识与责任心；在管理审核方面，管理线初审加强了变更管理部门对变更完备性、合规性审核，变更评审会对重点变更的针对性评审显著增加；在变更的特护保障方面，加大了重点变更的特护保障力度，有效降低重点变更的实施风险，大幅提高应急处置效率。

综上，本文提出了一种信息系统变更风险评估量化模型，在变更管理中实际应用该模型开展了变更分级管理实践，并对管理流程进行了相应优化调整。就成效而言，该模型的应用切实推进了变更分级精细化管理，加强了对变更风险的识别与管控，对同业有较强的借鉴意义。同时，该模型的设计及应用方面仍存在进一步提升的空间。例如，在模型设计方面，针对指标分类、对照域的赋值和风险指标的计算等，如果引入更多的业内标准，将能够更好地提高模型的适用性；又如在变更分级管理与配置管理协同方面，则有待持续完善切实可行的配置管理流程与变更分级相衔接。

本文刊于《中国金融电脑》2022年第3期

声明：本文来自FCC30+，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。