《证券业IT治理现状及落地实施分析》由会员分享,可在线阅读,更多相关《证券业IT治理现状及落地实施分析(6页珍藏版)》请在金锄头文库上搜索。
1、证券业证券业 IT 治理现状及落地实施分析治理现状及落地实施分析 1. 证券行业证券行业 IT 治理现状治理现状 如何提高核心竞争力, 在新一轮的竞争中获得优势, 已经成为当前券商的不得不面临的 重要问题。国内许多券商已经在考虑综合利用市场、营销、人才及新技术等策略,在竞争中 做大做强。其中“新技术”占有越来越重要的地位,主要是指利用 IT 技术,提高证券公司的 竞争力。 为了适应新技术的变化, 2008 年, 中国证券行业协会与期货业协会(以下简称“证监会” ) 发布了证券期货经营机构信息技术治理工作指引(试行)(以下简称“指引”),强调证 券期货业经营机构信息技术管理与规范,以及在提高 I
2、T 治理水平提出了指导意见。目前, 证券公司公司普遍意识到加强 IT 治理工作的重要性。 但 IT 治理具体如何实施才具有成效? 如何防止 IT 治理仅仅是一本放在书架上的理论书?也就是通常所称的“理论好,落地难”, 成为计划开展 IT 治理的证券公司所必须解决的重要问题。 GooAnn 与证监会一起曾对券商实行 IT 治理的情况进行过调研。 发现调研的 30 家证券 公司、9 家基金公司中,只有 40%的公司已经设立了 IT 治理组织和机制。特别是在对“贵公 司 IT 治理如何建设”的问题回答上,经过统计发现对该问题的回答可以归类如下:(1)IT 治 理需要的明确责任与职能不清晰,IT 治理
3、太宏观;(2)缺乏 IT 治理明确的概念描述和参数指 标;(3)IT 治理就是按照指引要求建立一个 IT 治理组。(4)IT 治理就是指定 IT 部门中层 干部负责 IT 治理工作。 而以 100 分为满分计算,国内的证券行业 IT 治理建设情况的评估统计很少超过 80 分, 绝大部分在 60 分和 70 分之间,有 1/3 小于 45 分。1 从数据及调研结果上看来,国内相当一部分证券机构在制订明确的 IT 治理原则和如何 正确实施 IT 治理方面仍然非常欠缺。证券行业仍然处于 IT 治理的知识普及阶段,特别是对 于如何把“IT 治理”这个概念转化为实际可操作的动作, 仍需要进一步深入研究和
4、探索。 本文 以理论结合证券行业实际情况,提出了基于 COBIT 及 VAL IT 的 IT 治理框架,并结合实际 案例来研究证券行业如何解决 IT 治理实施落地这一难题。 2. IT 治理如何落地治理如何落地 IT 治理是在 IT 应用过程中,为鼓励期望行为而明确的决策权归属和责任担当框架。 【1】具体体现在五个 IT 决策上: (1)IT 原则:阐述 IT 的商业作用; (2)IT 架构:定义集成和标准化的要求; (3)IT 基础设施:决定共享和可提供的服务; (4)业务应用需求:确定购买或内部开发应用的业务需求; (5)IT 投资和优先权:选择资助哪一个立项以及投入多少资金。 这五个决策
5、是彼此相关的,一般来说,原则约束架构,架构决定基础设施,基础设施约 束着业务需求,IT 投资必须为 IT 原则、整体架构、基础设施和应用需求所驱动。 要真正的落实 IT 治理,必须从如何建立理论框架、有效利用应用工具集、长期规划及 建设三方面来考虑,才能真正发挥 IT 治理在对 IT 资源的有效配置,资金分配、与业务融合 等方面发挥作用。下面将从这三方面的分别阐述如何实现 IT 治理落地实施问题。 2.1 IT 治理理论框架治理理论框架 IT 治理的框架正确与否直接决定了 IT 治理的成败。 IT 治理理论框架采用建议国际上通 用的最佳实践 CoBIT 及 VAL IT 作为基础框架, 以 I
6、T 治理实施指南-使用 CoBIT 和 Val IT 为实践指南,结合 ISO17799、ITIL、PRINCE2、BCM 等国际标准及行内最佳实施,建立适 合客户的战术层 IT 治理框架,设计相关 IT 流程,并识别其中的关键控制点。在明确可以参 考的 IT 治理理论框架后,则首先需要解决 IT 原则与决策机制问题。 2.1.1 IT 原则原则 目前国际上采用较多的 IT 治理决策机制为 IT 双寡头制、IT 君主制、联邦制、双寡头 制、封建制、业务君主制。至于使用何种决策机制要根据各公司的组织架构的实际情况并结 合决策矩阵来设计 IT 治理决策机制。 IT 原则不应当是高不可及,应当是公司
7、对 IT 在公司发展中所起作用的期望。也就是说 业务发展目标决定 IT 原则。不同类型的公司其 IT 治理原则侧重点应当不一致。GooAnn 曾 抽样对规模分别为大、中、小的券商 IT 原则制定情况进行调研,发现不同规模的券商业务 发展的目标不一样,决定了其 IT 原则也有所不同。可见调研结果也证实了这一点。 IT 原则和决策机制的制定,并不能保证 IT 治理的方向是正确的。需要一个定期审核与 回顾的方法来保证。为此,建议以制度化的形式来实现 IT 原则与决策。如在战略层面上, IT 治理应当是公司治理结构、 企业战略规划的一部分, 在治理结构上体现 IT 的位置与作用。 另外建立有效确定 I
8、T 决策权归属和责任分配的框架。通过一系列的结构、流程和沟通来实 施 IT 治理计划,设计周详、容易理解和清晰的制度和机制,促进 IT 原则落实的可执行度。 2.1.2 IT 治理实施路线路治理实施路线路 IT 治理在确定 IT 治理的决策权与职责担当体系,并初步建立确定 IT 原则后,应在 IT 架构、IT 基础设施、业务需求、IT 投资及优先权四个领域形成制度与流程,并最终规划为 IT 治理实施路线图,为 IT 治理的可实施性提供强有力的支持。 IT 治理的实施路线图可以参考下图的方式进行规划,在识别需求和预期阶段建议参考 CoBIT 及 VAL IT 框架以获得全局观,在每个具体不同的流
9、程和项目可具体参考 ISO17799(ISO27001)、ITIL、PRINCE2、BCM、CMMI、ITAF 等最佳实践。 图 1 IT 治理实施路线路图 IT 架构架构 在如何提高核心竞争力方面,“新技术”占有越来越重要的地位。在证券行业主要是指利 用 IT 技术,提高证券公司的竞争力。IT 投资不再仅关注在 IT 的解决方案方面投资,而是 在 IT 技术转变方面投资。因此 IT 架构是否满足当前业务需求并具有适当的前瞻性很重要。 为了保证 IT 架构的正确方向,建议配合 IT 治理实施路线图,以流程化的观点来规划 IT 架 构。IT 架构的设计与规划需要关注对现有系统的支持、对成本控制的
10、支持、对新业务的支 持以及对新领域的推动和引导。并进行中长期信息化规划,和形成短期的可执行计划。 以下给出一个评估 IT 架构成熟度流程化的参考示例。 表 1 成熟度分析表 IT 基础设施基础设施 IT 基础设施更加关注的是 IT 运行维护的稳定性、IT 风险控制以及绩效评价。建议参考 ISO17799、ITIL、CMMI、BCM 等标准,建立综合的 IT 流程控制框架,明确各流程的 KPI、 KGI 及成熟度等级,形成完备的 IT 风险控制体系与 IT 精细化绩效管理体系,通过制度、流 程及技术手段进行监测与管理。 对于 IT 基础设施最基本的任务维护 IT 系统,则可参考 ITIL(IT
11、Infrastructure Library)对于在对整个 IT 运维体系进行了梳理,提高 IT 服务整体水平和完善 IT 服务流程, 以提高运行绩效和客户满意度。 ITIL 是 IT 服务管理的最佳实践总结 ITIL 列出了各个 IT 服务管理流程的最佳目标、活 动、输入和输出,以及各个流程之间的关系。ITIL V2 曾被视为提供 IT 服务最有效的方法。 2007 年后,ITIL V3 发布。它涵盖了 IT 服务的 5 个生命周期、共 17 个流程、共 4 个职能。 ITIL 在 IT 维护过程当中所提出的服务台、变更管理、事件管理等重要流程都是经过了全球 众多的 IT 企业或 IT 部门
12、所证明的最佳实践。 在 IT 风险控制方面:如何保护组织信息资产的机密性、完整性及可用性。ISO17799: 2005 提供了很好的最佳实践。 ISO17799 标准其中包含 11 个主题, 定义了 133 个安全控制。 其中 133 个安全控制可以作为指导信息安全管理工作的最佳实践参考。通过 IT 风险控制, 可以保护信息不受广泛威胁的损害,确保业务的连续性,将商业损失降至最小,使投资收益 最大并创造新的战略机遇。而 ISACA 最近提出的 RISK IT 也可以作为一个有用的最佳实践 参考。 在 IT 服务绩效考核方面:COBIT 为每个过程提供了关键目标指标(KGIs)、关键绩效指 标(
13、KPIs),关键成功要素(CSFs),这些指标与 ITIL 过程结合,可以建立 ITIL 过程管理的基 准。在实际应用中,综合两个指标提出更容易理解的适用于本企业环境的 IT 治理和运行架 构。 当然,以上仅列举了 IT 基础设施所涉及的部分内容,在具体过程当中,可以参考其他 最佳实践帮助公司做出正确的管理和决策,如项目管理方面,PRINCE2(项目管理体系)是一 个很好的关于项目管理的方法论。 它集中于项目管理的战略层次, 同时他是一种通用的架构。 对于每个过程,PRINCE 并有提供具体实现技术和工具,拥护可根据实际需要,使用有益的 任何工具,如甘特图,关键路径、项目管理软件等。 业务应用
14、需求业务应用需求 业务应用需求关注的是 IT 如何满足业务需求。更进一步来说,是如何做到 IT 与业务融 合的关键阶段。目前国内证券行业在 IT 与业务的融合方面普遍不理想:券商的主营收入仍 依靠经纪业务,核心开发团队缺乏,IT 在产品研发、信息挖掘、风险管理方面的应用未能 充分发挥价值等问题。 解决 IT 与业务之间的支持与需求的矛盾,建立恰当的创新激励机制是关键。重点是加 强各部门之间沟通与协调,以达到平衡利益与责任的关系,要加强流程融合,推动 IT 与业 务在流程层面的融合,在整个公司层面来关注促进 IT 与业务的融合。而激励机制的最重要 的客观参考数据, 可以来自平衡计分卡、 VAL
15、IT 的投资回报率, ITIL 的客户满意度、 ISO27004 信息安全有效性测量等工具化的平台或报表. 除了建立激励机制,人力资源则是解决 IT 与业务融合的另一重要因素。应在公司形成 适时而变、保持活力的 IT 组织结构;保持在管理、规划、工程、设计、开发、运维方面的人 员合理配比,通过内部培养与外部引入结合的方式,完善 IT 人员的业务与技术知识结构, 提高 IT 创新能力。 IT 投资和优先权投资和优先权 IT 投资不再仅关注在 IT 的解决方案方面投资,还需要关注 IT 技术转变方面投资,这 就意味着比过去的投资更复杂、更具有风险。很显然,IT 投资能带来高回报,但前提是必 须有正
16、确的 IT 治理和管理模式,以及各级管理层的支持和约定。平衡风险和回报,这是摆 在所有董事会成员和主管人员面前的首要问题。VAL IT 可以为公司在解决 IT 投资和优先权 方面提供最佳实践参考。 Val IT 着眼于投资决定以及收益的实现, 而信息系统和技术控制目标关注的是实行。 Val IT 支持实现来源于技术投资的真实商业价值。Val IT 与所有的管理层都有联系,包括商业 和 IT,包括首席执行官、主管和那些直接参与挑选、采购、开发、实施、部署及实现收益 的部门员工。Val IT 标识所有潜在的问题、成本、风险,以及一个平衡由 IT 驱动的业务投 资部门,它同时提供了部门能力基准并允许企业之间交换关于价值管理最佳实践的经验。 Val IT 框架的相关指导原则可应用到管理流程当中,包括价值治理、部门管理和投资管 理等,Val IT 框架能够通过工具来实现具体的 IT 投资治理。 2.2 IT
