华夏银行股份有限公司科技开发中心 黄挺 邓冰冰

　　当前，商业银行信息系统数据高度集中，系统复杂程度越来越高。同时，随着业务需求对信息系统响应时间要求的不断提高，系统变更日趋频繁。此外，银行业务连续性的要求和监管要求都进一步加大了商业银行对信息系统升级变更风险控制的难度。商业银行必须严控升级变更风险，提升系统安全运行水平。

　　本文从商业银行信息系统升级变更面临的法律风险、管理风险、业务风险、技术风险、测试风险、版本风险、投产风险等角度，探讨商业银行信息系统从开发到升级变更的风险管理模型建设，实现全方位、多层次控制升级变更风险，提升信息系统安全运行水平。

　　一、升级变更风险类型

　　在商业银行信息系统规划、开发与建设、投产与维护过程中因各种技术和管理不足产生的风险，具有技术性高、涉及范围广、隐蔽性强等特征。风险管理应贯穿整个商业银行信息系统的生命周期。

　　①法律风险：新投产产品或原有产品变更与金融法规或监管部门要求不一致导致的风险。

　　②管理风险：由于系统开发和投产变更管理方面的原因导致的风险，如计划不合理、范围扩大、进度延后和人员变更等。

　　③业务风险：由于业务需求不明确、业务制度流程不完备、柜员和客户操作流程变更、培训不到位等引起的业务中断、客户投诉、影响银行声誉等的风险。

　　④技术风险：由于技术更新、系统架构变更、数据库或操作系统升级、硬件设备升级、系统限流、高可用改造、网络设备升级、大数据移植等导致的技术风险。

　　⑤测试风险：在功能验证或性能验证的过程中，产生的联调环境、测试覆盖率、系统稳定性、性能瓶颈等方面的风险。

　　⑥版本风险：因代码变更管理、投产范围变化、集中投产或分批次投产引起的版本不一致的风险。

　　⑦投产风险：由于投产策略、回退方案、分时计划、投产操作、版本控制等方面安排不当导致的风险。

　　二、风险评估策略

　　华夏银行根据项目风险管理理论，结合商业银行信息系统升级变更的特点，建立了适用于商业银行升级变更的风险控制模型(如图1所示)。

　　模型包括风险准备、风险识别与分析、风险应对和风险监控等流程。其中风险准备包括建立风险管理组织，确定风险来源、类型和参数，规划风险管理活动等。风险管理活动分为项目开发过程风险评估和变更投产风险评估等。每个风险管理活动都包括风险识别、风险分析、风险应对、风险监控过程。风险识别的风险项和应对措施形成风险知识库，风险应对和监控的结果形成风险评估报告。风险知识库又可作为组织过程资产，指导后续的风险准备和风险识别工作，从而形成整个风险控制模型的闭环管理。

　　1.开发过程风险控制

　　根据风险控制模型，需求分析阶段、开发阶段、测试阶段的风险评估以项目为评估对象，在执行过程中按照风险控制表中涉及的风险分类进行风险识别、风险影响程度等级判断等，并制定应对措施。评估内容包括项目管理风险、业务风险、技术风险、测试风险、版本风险、投产风险等(参照表1)。

　　开发过程的风险控制还需按照系统维度进行风险评估，从系统涉及的需求范围、主要变更点、技术风险点、技术手册评审、测试缺陷数量及分布等方面进行风险识别、风险影响程度等级判断等，并制定应对措施(参照表2)。

　　2.投产变更风险控制

　　系统投产前的风险识别主要针对计划执行情况、测试情况、业务与技术差异分析、版本控制、投产方案准备情况等环节的落实情况为评估对象，进行风险识别与分析，并制定应对措施(参照表3)。

　　三、风险应对手段

　　1.风险应对的技术手段

　　(1)加强各环节测试。组织系统内和系统间集成测试，安排多轮用户验收、回归测试，进行性能和可恢复性测试等。为提高效率，在回归测试方面，可引入自动化测试的技术手段。

　　(2)投产演练。在准生产环境组织投产演练，提高任务熟练度，验证投产方案和投产操作手册。

　　(3)预投产验证。预投产就是在专用测试环境完成版本投产过程，将生产环境的实际交易数据在测试环境仿真自动执行，并自动核对交易执行结果。通过预投产结果和生产结果比较，分析造成差异的原因，验证版本正确性。

　　(4)投产自动化部署。采用投产自动化部署，可减少人为操作错误带来的风险，同时提高部署效率，确保系统安全稳定投产。

　　(5)制定数据移植方案。评估数据移植的软硬件平台，根据数据库版本升级情况或业务数据的数据量，选择数据迁移方法，选择数据备份和恢复策略，设计数据移植的时间点，验证移植数据和移植脚本的准确性。

　　(6)数据生命周期管理。规范应用系统数据生命周期管理，优化应用存储结构，有效控制在线数据规模，提高生产数据访问效率，减少系统资源浪费，提高应用系统运行的整体效率和效果，保障应用系统健康高效运行。

　　2.风险应对的管理手段

　　(1)成立专门变更管理小组。针对系统上线和变更制定投产方案和应急预案，其中应急预案包括业务、技术和公共关系应急等。在总行、分行不同层级进行监管报备，并在营业网点、网银、微信和手机银行等渠道进行客户告知等。

　　(2)组织培训。针对系统新业务、新功能等，组织柜员培训;针对客户操作变更，组织客服人员培训。同时设计好应急话术等。

　　(3)制定投产变更回退策略。预设回退场景、回退决策条件、回退方法、回退验证等。明确是整体版本回退还是单一项目回退。

　　(4)建立风险控制模型支持平台。根据风险控制模型，建设系统管理平台，并按照评估、审核、跟踪的流程在平台自动流转。对风险知识进行积累，根据历史数据、行业内发生的生产事件等，分析风险发生的概率，形成风险热图等。

　　商业银行信息系统升级变更风险管理的目标是通过建立有效的机制，实现风险的识别、监测和控制，推动业务创新，提高信息技术使用水平，促进商业银行信息系统安全、持续、稳健运行，增强核心竞争力和可持续发展能力。华夏银行在实践中，通过风险管理活动与风险应对实践经验的总结，形成商业银行升级变更风险管理知识库。通过对风险知识库中风险类型与系统之间关系的分析，建立风险控制矩阵，实现有针对性的系统变更风险管理。同时，风险知识库的积累也可作为组织过程资产为后续项目提供借鉴与指导。FCC