传统被动的、孤立的、分散的“救火队”式IT运维管理模式，已经让IT部门疲惫不堪。如何简化IT管理，更好地满足业务需求，已经成为IT部门的一个重大挑战。

为了有效地解决行业用户在IT运维管理方面的困惑，并推介ITIL在IT运维管理中的价值和意义，我刊策划了“IT运维诊断面对面系列活动”，活动特别邀请IBM、HP、CA、BMC等IT服务厂商的资深运营管理专家，深入了解行业用户的IT运维管理现状，切实为用户解疑答惑，并共同探讨IT运维管理方法和经验。

本期以某知名制造业集团X公司为例，详细讲述了X公司的IT部门应对SOX挑战的方法和步骤，并请科索路咨询公司进行了详细阐述。

您有IT运维方面的困惑吗？您想与专家面对面交流吗？您想发表看法吗？请与我们联系，我们期待您的参与和支持。

SOX，一个看似与IT不相关的会计审计法案，一夜之间将公司的IT管理控制推到了风头浪尖之上。调查表明，主要针对SOX的IT合规管理已经成为全球CIO们2005年最为关心的话题。IT的SOX合规审计需要落实到企业对IT的有效管理控制上来，而参照ITIL实践模型建立IT服务管理流程是最好的解决方法之一。

X公司是一国际知名制造业集团，荣登美国《财富》杂志100强，其中国分公司的IT部门设在北京。虽然中国IT部门可以得到来自公司国际IT部门的技术支持，但也承担着将技术本地化，提供的IT服务需符合中国本土业务需求的压力。目前，中国IT部门提供的服务包括：

◆ IT应用系统(Application)的运维管理，包括SAP系统、Oracle财务系统、库存管理系统、邮件系统等；

◆ IT基础设施(Infrastructure)的运维管理，包括机房和服务器管理、桌面系统、LAN、网络监控系统等。

SOX法案挑战IT运维

2002年7月，美国国会正式通过了Sarbanes－Oxley法案（简称SOX法案），明确要求管理层对公司财务信息披露和内部控制效力负有直接责任，公司的内控措施应由管理层声明有效并由独立审计机构出具内控审计意见提交给美国证监会（SEC）。

作为一家在美国上市的公司，X公司全球各分支机构都将面对严格的SOX合规审计，SOX法案中的404条款要求公司在财务报告方面加强内控，考虑到IT和财务报告的关联性，IT也需要加强控制以达到和SOX合规。

另一方面，随着业务和用户需求的提高，公司管理层对IT部门提高工作效率，降低运营成本的要求也越来越明确。他们认为IT部门做事没有可循的流程规范，IT人员的角色和职责定义不清晰。

面对来自内外两方面的压力，X公司中国IT部门决定改变被动的局面，建立起基于流程的IT管控体系，从根本上提高IT管理和控制能力。

SOX促进IT管控体系建设

SOX，一个看似与IT不相关的会计审计法案，一夜之间将公司的IT管理控制推到了风头浪尖之上。调查表明，主要针对SOX的IT合规管理已经成为全球CIO们2005年最为关心的话题。SOX法案在强制企业提高IT管控水平的同时，从客观上提高IT部门和CIO在企业内的地位，对企业的信息化建设大有裨益。

虽然PACOB（公众公司会计监督委员会，SOX审计的监督管理机构）没有就SOX合规审计的具体操作和评价指标做出强制统一规定，但是，第三方咨询公司都建议企业利用COBIT（IT治理框架）制定IT管控目标，并实施ITIL/IT服务管理流程提高IT管理能力和IT服务水平，在满足SOX合规要求的同时，提高IT部门工作效力和客户满意度。

COBIT从IT的规划和组织、获得和实施、交付和支持以及监控四大管理领域(Domain)出发，定义了34个高级IT控制目标和318个详细控制目标。一般而言，企业在结合自身实际的情况下，只要实施其中的部分内容，就能够很好地满足SOX合规要求。控制的持续有效，离不开流程的支持，因此基于流程的ITIL/IT服务管理模型为企业提供了实践指导。这样，SOX（业务需求）、COBIT（管理目标）和ITIL（管理措施）一起便构成了企业的IT管控体系。

选择ITSM

基于以上理解，开展有效和高效的IT服务管理是科索路咨询公司为X公司开出的首张药方。IT的SOX合规审计需要落实到企业对IT的有效管理控制上来，而参照ITIL（IT Infrastructure Library“IT基础架构最佳实践库”）实践模型建立IT服务管理流程是最好的解决方法之一。

首先，ITIL是行业的最佳实践，是被实例证明的行之有效的IT服务管理事实上的标准，ITIL已经得到X公司总部的认可；其次，在SOX合规审计过程中，IT控制目标重点集中在IT的运维管理，依照ITIL建立IT服务管理流程能够很大程度的满足合规要求；再者，ITIL是一套通用的交流语言，它基于流程，面向业务，规范但不死板，可以很好地发挥企业IT管理的灵活性和能动性。

考虑到以上几点，X公司IT部门决定在参考ITIL模型的基础上，结合自身管理经验，在科索路咨询的协助下进行IT服务管理流程的建设和改造，为即将到来的SOX合规审计做好充分准备。

分阶段实施

ITIL的流程涉及面广，关系复杂，“一拥而上”具有很大风险。同时客户希望IT服务管理体系的建设能够首先考虑如何帮助其通过SOX的合规审计。因此，本着“针对需求，分步实施，快速见效”的原则，X企业首先需要建立“IS质量管理体系（Information Systems Quality Management System）”，从流程建设着手，引进管理控制方法理念，以确保X公司中国IT部门按时通过SOX合规审计，并以此为契机，提高IT部门的工作效率和服务质量。

根据方案规划，X公司IT部门SOX合规项目分为三个阶段：

第一阶段，分析客户现有的IT管理模式，评价分析现有IT服务管理流程管理的成熟度，对照SOX要求，参照ITIL最佳实践进行IT服务管理流程提升规划。

第二阶段，结合业务需求、管理经验和IT控制目标，针对突发事件管理、变更管理、服务级别管理、IT服务连续性管理、安全管理等流程管理模块，从管理策略、规范、流程、操作，到组织、文档、工具等多个角度建立全方位的IS质量管理体系，实现对IT的有效管理控制。

第三阶段，根据SOX的审计要求，分析X公司的IT风险，制定RCM（Risk & Control Matrix）风险控制矩阵，分析现有控制和目标的差距，并提出合理可行的改进步骤，为客户制定定期测试方案，为最终通过SOX合规审计作好准备。

按照SOX的要求，企业必须进行定期的有效性审计，连同内控措施的缺陷以及改进计划一起向SEC (Securities and Exchange Commission，安全与变更管理委员会) 做出汇报。因此，在项目过程中，始终强调服务管理流程的合理性，持续改进的可能性以及审计监控的有效性，并采取措施保证项目结果能够收获预期的效果—达到SOX合规要求，提高IT服务管控能力。

在项目启动实施半年之后，X公司中国IT部门终于迎来了一次期中考试——公司全球SOX合规IT内部审计。X公司中国IT部门的此次项目受到了X公司全球总部的认可。

对 话

记者：X公司实施的SOX合规审计项目具有哪些特点？

科索路咨询公司：此次SOX合规项目是只是科索路众多IT管理和控制咨询项目中的一个案例，它的实施表明了SOX合规审计浪潮是企业开展IT服务管理、实施ITIL/IT服务管理流程的新机遇。X公司案例给了我们很多启示：

首先，开展IT服务管理需要明确的管理目标。X公司实施服务管理的目标很明确：通过SOX合规审计。这为项目持续有力的推动并指明了重点。所以，X公司目前实施的服务管理流程都是以提高IT控制能力、加强IT服务可靠性和连续性为目的而有针对性地开展的。

其次，分析现状从最薄弱、最迫切的地方起步。成熟度评估得到的结果，表明X公司目前对突发事件/问题、变更的管理与SOX合规要求存在较大差距，于是，科索路建议首先从突发事件管理、问题管理和变更管理入手，解决主要矛盾，使项目达到“快速制胜”的效果。一般实施ITIL管理流程有三个切入点：突发时间管理、变更管理和服务级别管理，该项目再次证明了这一观点的正确性。此外，企业在开展IT服务管理项目时，应该制定出ITIL流程的分阶段实施规划。

关于突发事件管理和问题管理

记者：突发事件管理与问题管理直接影响IT服务对业务的支持程度和客户满意度，它们常常是IT部门提高IT服务质量的着手点。X公司的突发事件管理与问题管理如何满足SOX合规要求？

科索路咨询公司：X公司IT部门在项目开展前已设立了服务台。其主要服务是对突发事件进行记录，并能解决常见的突发事件和服务请求，将大多数事件升级给二线、三线。由于这些服务都是随机地设立起来的，没有进行规划和优化，所以服务台的一线解决率较低；突发事件在一线与二线、三线之间的升级途径不明确，在突发事件数量高峰时，人员调配出现困难。

同时，由于没有对突发事件处理的经验进行分类归纳，有些事件一而再、再而三地发生，导致IT部门员工效率较低，专业技术人员无暇顾及寻找导致突发事件的根本原因。

这些情况是日积月累造成的，IT部门管理者虽然感觉到这些问题的存在，也承受着来自客户方面要求改进的压力，但短时间内也不知该如何下手。

SOX要求X企业提供可靠及时的财务报告。IT服务中的突发事件和问题处理可能对生产、采财、销售、财务产生重大影响，并进而影响最终的财务报告，所以IT部门需要对所有的突发事件和问题的进行有效的内部控制。

ITIL描述的突发事件管理和问题管理能够满足SOX合规要求，并且能帮助公司摆脱所面临的上述困境。典型的ITIL突发事件管理模块与问题管理模块可用图1表示：

以下几点是X公司此项目中比较成功的经验：

定义突发事件的分类。突发事件的分类直接影响事件的升级途径、影响程度和重要性分析。比如与安全有关的突发事件，即使优先级不是非常高，根据SOX法案的要求，也应该尽快地被处理。

定义突发事件的优先级。突发事件的优先级可以根据影响范围、严重程度和时间期限来确定，预先确定事件优先级可以反映出业务对该类事件的要求。X公司的IT部门通过定义事件优先级解决了资源的分配问题。

定义事件升级途径，包括人员的角色和责任。事件升级可以是横向的，即事件通过一线向二线、三线升级获得技术支持，也可以是纵向的,即将事件升级到管理层以获得更多支持。定义事件升级的过程必须由各关系人员协商决定，达成相互间的理解和共识。

定义问题触发机制。问题管理与突发事件管理中的流程、关键成功因素是不同的，问题管理的资源不能被挪用。在规定时间内得不到解决的，对业务影响特别严重的，或者经常发生的突发事件都会升级到问题管理流程。

主动地问题管理。IT部门需要制定流程来定期对突发事件进行回顾，通过趋势分析发现系统中隐藏的问题。解决这些问题有助于减少突发事件的数量，为知识库增加有用的解决方案，提高服务质量。

二线三线知识的转移。通过建立知识库，将突发事件与相应的问题相联系，二线三线及时为一线提供更有效的解决方案和变通方案。X公司通过突发事件定义的关键字进行方案的匹配和查询。知识的转移提高了一线的效率。

绩效考核标准。根据公司实际情况和最佳实践的建议，制定与IT服务目标相一致的考核标准。比如对服务台，将突发事件数量、突发事件解决率、平均响应时间、平均解决突发事件的成本等因素作为考核标准。

人员培训与教育。培训可使IT部门的员工和业务部门代表具备所需技能；明确他们各自的责任和流程之间接口。另一方面，员工常会对新流程抱有抵触情绪，不能理解定期检查的必要性，这些问题也可以通过培训得到沟通。

图1 突发事件管理与总是问题管理

关于变更管理

记者：发生失控的变更往往会导致新的突发事件和问题。因此，企业需要实施有效的变更管理对所有变更加以控制，尽可能降低变更带来的风险和对公司业务造成的损失。变更管理如何满足X公司的SOX合规要求？

科索路咨询公司：就X公司中国IT部门目前变更管理的现状来看，不仅是用户，IT部门自身也觉得不太满意。首先，由于变更管理规范存在考虑不周全的方面，以及部分IT员工对变更控制的认识不够，个别已经实施的变更请求(RFC)上漏了审批者的签字，还有一些变更没有被记录，由于这些变更产生的新问题不能快速地被定位；另外，由于缺乏良好的变更评估、协调和控制机制，导致有一定数量的变更以back-out结束。总的来说，X公司中国IT部门现有变更管理还有改进的空间。

SOX的IT合规要求企业IT控制能够合理的保证财务相关的IT系统的升级和变更得到授权和测试。为了做到这一点，IT部门必须确保对变更的有效管理和控制。

ITIL要求变更管理能够做到以标准的方法高效处理所有变更，将变更对IT服务质量和连续性的影响降至最低,因此ITIL的变更管理流程对变更请求、变更影响、变更批准等进行了管理和控制。

一般而言，典型的ITIL变更管理流程模块包括如下几项活动：提交变更请求，评估变更的影响和风险，变更请求的审批，制定变更进度计划，协调变更的开发、测试和实施，变更实施后进行评估。

在参照ITIL为X公司改进变更管理流程的过程中，科索路咨询认为X公司的问题具有一定的典型意义，因此在总结项目经验的基础上为企业落实变更流程提出了如下几点建议：

不同类型的变更有不同的工作流程。企业应该预先按照紧急程度和影响大小将变更划分为若干个等级（比如预先批准的变更－作为标准变更可由服务台负责完成，普通变更－可以根据变更的影响再细分成若干等级，以及紧急变更等）；然后为每一类型的定义标准处理流程，并加以记录。这样可以提高变更管理的灵活性，避免单一流程妨碍变更效率的现象。

建立完善严谨的变更批准程序。可以考虑建立企业的变更建议委员会（CAB），根据变更影响分析、变更的代价、变更的时机等因素对变更的批准给予建议，提高IT对变更风险的控制，降低变更可能带来的损失。其次，改变“变更批准是走程序”的看法，严格遵照流程办事。

在变更实施之后对变更进行评估。在变更之后，要及时评估变更是否达到预期的效果，有无副作用。并将相关的RFC文档和CMDB中的相关配置项信息进行更新，反映出变更的效果。这种实施后的评估可以获得经验，便于今后变更管理质量的提升。

在变更管理最好能和配置管理协调工作。变更管理和配置管理是两个关系紧密的流程，它们可以有效地整合在一起。配置管理的实施可以很好的支持变更管理的运作（例如CMDB能够为变更影响的评估提供充分的信息）。

关于服务级别管理（SLM）

记者：面对“服务质量得不到保证，用户抱怨不断”等问题，开展服务级别管理已经刻不容缓。服务级别管理如何化解这种困惑以及SOX的压力？

科索路咨询公司：X公司长期以来一直将其部分的IT业务进行了外包，因此拥有较为丰富的外包管理经验和健全的外包管理体系。不过，尽管公司IT部门与外包商和外部服务提供商签订了服务合同，他们对企业内部的IT用户却没有任何的服务质量承诺，来自用户和高层的压力很大。如何开展SLM成为困扰她的一个大问题。

由于公司的财务信息处理和披露基本上全赖IT的支持,SOX对公司财务信息披露效率和质量的要求，很自然地就将压力转嫁到了IT之上：信息系统必须能够满足财务信息处理和披露的要求，必须能够协助公司的内控措施发挥效率等。另一方面，SOX要求定期评估内控的效力，企业必须拥有一套科学客观的评价体系才能对IT服务水平进行评价。

因此，开展服务级别管理是企业进行内部控制的一个重要手段。首先，它能够保证IT提供的服务是符合SOX规定和业务需求的；其次，它在协议的基础上定义了服务的绩效指标，方便了对IT服务进行管理和控制。

在ITIL模型中，服务级别管理被给予十分重要的地位（见图2）。可以说，服务级别管理是IT部门与用户联系的纽带，也是不断推动IT服务过程进行整体提升的引擎。

图2 ITIL各流程/职能关系图

科索路的咨询顾问给予如下建议：

（1）认真对待服务目录的编制

编制服务目录(Service Catalog)是开展服务级别管理必要的准备工作，它定义了服务提供者所提供服务的全部种类以及服务目标。

（2）正确制定并签署服务级别协议

服务级别协议(SLA)是服务级别管理的核心，因此SLA的制定和签署需要格外谨慎。

对于像X公司这样对自身实际的IT服务能力还没有把握的企业，不必急于对服务级别水平进行规定。IT部门可以综合考虑基线水平与用户需求，定义初步的服务级别计划。然后在于客户达成协议的前提下，在一段试运行中考察实际的服务能力，然后对服务级别进行修正。

（3）服务水平的持续改进

签订SLA仅仅是一个开始，后续还需要大量的管理和监控工作。合格的服务级别管理应该是动态提升的，它通过“明确需求－实施协议－过程控制－绩效检查”的管理循环（见图3）缩短业务需求与实际服务之间的差距，达到IT服务水平的持续改进。

图3 服务级别管理过程循环

关于业务连续性管理

记者：业务连续性管理BCM（Business Continuity Management）是，指在重大的事故或灾难发生时，公司所采取的应对措施以保证核心业务的连续性，将公司的人员、财产、利益损失降至最小。业务连续性管理对X公司跨过SOX挑战有何帮助？

科索路咨询公司：IT业务连续性是公司业务连续性的重要组成部分，主要关注于那些支持企业核心业务运作的关键IT服务的连续性，从而为公司总体的业务持续性提供支持。X公司正在制定整体的业务连续性计划BCP（Business Continuity Plan），要求各业务部门（包括IT部门）提交本部门的业务连续性计划。

X公司的IT部门对于某些关键IT系统，在其项目实施时已经制定了相应的灾备计划，并对数据有定期的备份和保管机制，对机房环境、网络通讯、主要设备等也采取了一定的安全保护措施。同时IT部门拥有自己的备件库，其中设备可供灾难发生时使用。

但是，IT部门的这些努力都是分散孤立的，难以评判它们对IT业务持续性的贡献，也无法确定是否所有的关键系统都得到了足够保护，是否满足各业务部门在灾难时对IT服务的需要？另外一些细节的却非常重要的问题也没有得到定义。比如由谁来宣布灾难发生？在灾难发生时，优先恢复哪些IT资源？如何调配IT人员？如何通知受影响的业务部门？ 这些问题都需要通过全面的业务连续性计划来定义和实现。

SOX法案要求上市公司具有完善的安全策略和措施以保证业务的连续性，但并没有具体指明以哪种形式来实现。通常，内部和外部审计人员都会通过寻找以下证据来证明IT部门已经采取了有效可靠的业务连续性管理：

◆ IT部门拥有业务连续性管理框架。业务连续性计划、操作手册、配置文件等文档和备份数据被放置在安全的地方并能够在灾难发生时被获得。

◆ 连续性计划能根据业务或资源的改变做到及时的更新，通过制度化的演习和评估不断完善，从而保证其持续有效。

◆ 员工具有执行业务连续性计划的能力，明确自己在灾难发生时的职责。

IT业务连续性管理是ITIL模型的十个流程之一。IT服务持续性管理的目标就是保证特定的IT设施和IT服务在灾难发生后的规定时间内得到恢复，从而支持业务持续性管理。IT服务持续性管理流程如图4所示:

图4 IT业务连续性管理

科索路对X公司持续性计划的建议如下：

(1) 业务持续计划(BCP)与灾难恢复计划(DRP)的关系。一般来说，BCP着重于根据业务影响分析（BIA）和风险评估的结果，制定相应的策略使系统和服务的持续性满足业务要求，而DRP着重从技术角度解决系统恢复问题，将流程和策略细节具体化到操作层面，以满足BCP对系统和服务的定义。DRP可视为BCP的附件，也可单独存在。

(2) 范围定义。并不是所有的IT资源和应用都会被包含在IT服务持续性计划中，比如由业务部门自行维护的系统，存放在公司电脑上的私人数据，整体外包的IT服务等。IT连续性计划中所定义的范围需要经过管理层和其他业务部门的同意。

(3) 灾难定义。灾难不仅包括火灾，水灾，雷击等自然灾害，恐怖活动、******、暴力、抢劫、绑架等犯罪活动，也包括严重的硬件错误或突然停电等无法预测的，对服务造成重大威胁的事件。灾难可以通过情景定义，预先制定好量化的标准，从而使管理层在判断是否发生灾难及其影响程度时有所依据。

(4) 业务影响分析(BIA)。进行业务影响分析的目的是帮助IT持续性管理人员了解哪些属于关键业务流程及其发生中断可能对组织产生的损害或损失、理解业务对具体的IT服务依赖程度和要求，从而为IT服务恢复的优先级的确定、方案的选择提供依据。

(5) 业务要求与预算的平衡。IT服务持续计划受限于公司的业务持续性计划，需要根据业务影响分析的结果，做到业务部门对IT服务持续性要求和公司预算之间的平衡。

(6) 规避方案、应急方案与恢复方案。在制定业务持续性计划时，这三种方案都必须被包括。规避方案可以与IT服务的日常管理相结合，比如添置防水防火设备，安装监控设备；应急方案强调在短时间内恢复关键服务，比如租借设备、在临时办公地点开展服务；恢复方案关注于整个系统在一段较长的时间内逐步恢复。

(7) 测试与教育。持续性计划的测试非常重要，有两种进行方式。一种是假定情景，对相关文档和流程进行检查，确认持续性计划是否支持从灾难前，灾难发生，紧急应对到服务恢复的一系列活动。另一种是模拟演习，这种方式能使IT人员更明确他们在灾难发生时所负的责任，更新和完善在计划中任何可能存在的漏洞。

(8) 计划维护。一个BCP必须周期性地加以检查和维护。一旦有新的系统、新的业务流程、加入企业的生产系统或者信息系统，就应该启动这种程序。

征程无尽头

项目的成功给IT部门全体员工带来了极大的自信和高涨的工作热情。随后，科索路协助X公司中国IT部门设计了IT服务持续改进计划(CSIP)，为其服务管理的改进指明了方向。

CSIP过程包括如下步骤：辨别企业愿景以及业务和用户需求；现状分析，寻找差距和管控的重点；定义改进目标；实施流程改进向目标前进；建立评价体系监控实施效果；从制度、流程以及文化等方面着手维持持续改进的趋势。图5描述了服务持续改进计划。

图5 持续服务改进计划

在CSIP的开展过程中，企业可以借助多种管理方法和工具，如平衡计分卡(BSC)；IT成熟度模型和标杆管理；ITIL模型等。