《商业银行IT治理结构建设实践研究》由会员分享,可在线阅读,更多相关《商业银行IT治理结构建设实践研究(11页珍藏版)》请在金锄头文库上搜索。
1、商业银行 IT 治理结构建设实践研究摘 要:提出一种通过 IT 战略制定、CISR 模型、COBIT 实施、IT 项目管理流程、CMM、ITIL 和 ISO27001 等国际标准的融合运用来指导商业银行 IT 治理实施的新模式,该模式解决了中国商业银行现阶段关于 IT 治理实施研究所面临的模式混乱和范围不清等问题。关键词:公司治理;IT 治理;治理模型;信息技术发展战略; IT 标准构建社会主义和谐社会,是目前从全面建设小康社会、开创中国特色社会主义事业新局面的全局出发,提出的一项重大任务,而银行业更因其特殊功能而成为构建和谐社会的关键角色,负有历史使命。为了在现有国际金融危机下更好地发展中国
2、银行业,中国银监会提出“以存款为基础,以风险管理立行,以金融服务兴行”的理念,公司治理在国际金融危机这个大环境下再次被提出并需给予足够重视。 IT 治理是公司治理的重要组成部分,良好的 IT 治理能提高公司治理的水平, 商业银行 IT 治理在协助商业银行企业朝良性的整体运营发展方面发挥着重要作用, 同时也帮助提高银行的信息管理水平、加强公司治理环节的信息披露和内部控制,为股东和客户提供更多信息等方面来提高公司整体治理水平。1 IT 治理的国内、国际研究与发展情况国际信息系统审计与控制协会(ISACA)认为,IT 治理是一个内涵丰富的术语,包括信息系统、技术及连通性、商业活动、法律相关事宜以及所
3、有利益相关者-公司董事、高级管理人员、业务流程的执行者、IT 供应商、IT 的使用者以及审计人员等。为推动 IT 治理的理论与实践,ISACA 于 1998 年成立了 IT 治理协会(ITGI),强调 IT 治理是董事会和高级管理层的责任,是企业治理的一部分。Patel 认为应该将产品和服务质量包含进来,IT 治理能提高组织的IT 投资回报,像 COBIT 和 ITIL 这些 IT 治理框架在国际范围内被广泛接受并可帮助实现这些利益。WESSELS E 和 VAN L J 提出公司董事会成员、高级管理人员和 IT 管理人员希望通过采用 IT 治理来保证企业的效率、降低成本并提高对 IT 环境的
4、控制 1。 几年前 IT 治理的概念被引入到国内,在媒体、IT 业及金融等 IT 应用水平较高的行业一度炒得很热,专家学者也在不断呼吁 IT 治理的重要性,但真正将 IT 治理实践到公司运营层面的案例在国内还不是很多,目前我国的 IT 治理仍处于起步阶段。根据 IT 治理协会(ITGI)2006 年发布的2006 年全球 IT 治理调查报告,通信和金融服务行业明显比零售和制造业等行业要好,COBIT 的认知度在逐渐增加。据中国 IT 治理论坛的数据表明国内企业 IT 治理的有效性能达到 60%的企业比例仍然很低,约为 15%左右,目前绝大多数企业的 IT 治理的有效性在 30%60%。2 我国
5、商业银行 IT 治理现状目前,我国的商业银行可简单分为 3 大类,分别为国有大型商业银行、中资背景中小商业银行和外商独资商业银行。根据调查,目前外资商业银行在 IT 治理方面一般是参照其母行的公司治理及 IT 治理模式并结合自身情况进行定制和调优 2,一般情况下是符合国际通用的 IT 治理模式,与其公司治理一起构成一个相对完善和协调的整体,利用其在公司治理和 IT 治理方面的理念和实践经验并结合公司自身的发展和认知摸索出一条相对可行的 IT 治理实施方案。简单归结为如下的 IT 治理路线图:(1)识别企业业务模式 ;(2)分析现有 IT 治理状况; (3)制定 IT 治理规划及实施计划 ;(4
6、)实施改善计划;(5)定期回顾并改善。部分企业在实践中参考上述策略完成公司 IT 治理规划与实施模型、确定 IT 治理的决策范围和实施优先级,而具体的日常工作内容则通过 CISR 模型、COBIT、Prince2、CMM、ITIL 和 ISO27001 等行业标准的融合运用来实施。实施过程中发现,按照此种路线图来实施 IT 治理可以按部就班,结合公司发展状况,清楚地确定 IT 治理的实施范围,并且实施也会符合公司的业务、IT 发展需求和整个行业的发展要求。对于国有大型商业银行,以工商银行、中国银行等为代表的居于领导地位的银行经过股份制改造或境内外上市建立起了较好的 IT 治理结构。但对于年轻的
7、中资背景中小商业银行来说大多数 IT 治理仍处于起步阶段。由于行业的趋同性和国际化程度的提高,绝大多数的新兴中资银行开始采用 ITIL 和 COBIT 作为实施策略,但目前只是简单的导入,而非真正建立 IT 治理架构,同时对于除 ITIL 和 COBIT 之外的其他标准的导入还很少。本文将探讨借鉴国外和国内外资银行的先进经验进行我国商业银行的 IT 治理规划与实施模型,以提出一种适用于我国商业银行建立 IT 治理实施模式并清楚定义 IT 治理范围的新模式。 3 商业银行 IT 治理实施模型与最佳实践在此,以某中型商业银行为例分析我国商业银行进行公司 IT 治理规划与其实施模型的建立方法,根据分
8、析该行处于一个变化不快并以产品服务的差异化为竞争基础的商业环境,这就决定了消费者的需求、竞争格局、政府监管、技术及供应商等方面的变化都不是快速的,另一方面因为对产品服务差异化的要求又力求先于竞争对手提供新的业务和服务能力以此获得竞争优势 3。期望利用信息技术来提高运营水平和决策能力,并开发新的产品和服务,以高投资回报率来抵消不断增长的 IT 支出 4。在此基础上该银行对公司 IT 治理做出了一个比较清晰的定位:IT治理作为公司治理的一部分,需要充分保证 IT 战略与公司战略的匹配及其执行,体现现有及未来信息技术与企业组织的战略集成;指导公司通过对业界标准和股东方最佳实践的实施合理配置并有效利用
9、 IT 资源、加强信息风险控制和满足公司内控需求。根据上述分析和定位并结合 IT 治理最佳实践,笔者提出适合我国商业银行的 IT 治理规划与实施模型如图 1 所示,通过 IT 战略制定、CISR 模型、COBIT、IT 项目管理流程、CMM、ITIL 和 ISO27000 等标准的融合运用来指导公司 IT 治理和 IT 管理的工作。目前,业界通常认为 CISR 模型和 COBIT 为 2 大主要的 IT 治理模型,笔者研究认为这 2 种模型均不能涵盖决策权和合规遵从两大问题,CISR 模型更多的是侧重决策权及决策制定过程,COBIT 则停留在 IT管理的一些具体过程,根据经验和研究,建议将 I
10、T 战略制定、CISR模型、COBIT、IT 项目管理流程、CMM、ITIL 和 BS7799 等标准的融合运用,力图通过标准化的方法论和实践将商业银行的 IT 治理和管理水平提升到一个新的高度。IT 治理框架可能在各银行各不相同,但是他们基本的目标是一致的,即提高银行 IT 的效能,寻求 IT 资源的最大化。下面从实践的角度对上述模型进行阐述。3.1 商业银行 CISR 模型及 IT 治理的决策范围参照业界实践,银行 IT 治理的决策范围可由以下 5 个方面组成,分别为组织模式、投资、架构、标准、资源。 (1)组织模式根据对公司业务模式的分析,IT 治理的组织模式通常可采取集权模式、分权模式
11、或集权与分权混合的模式,不同模式下 IT 对于预算和IT 决策负有相应的责任,对于采用分权模式或混合模式的公司通常设有一个虚拟的集权部门 IT 指导委员会来对公司 IT 行为进行重要决策。 (2)投资针对 IT 战略和使命,IT 投资应主要集中在支持现有业务运行、优先发展新业务以及进行 IT 安全和风险管控活动;按照公司要求和业界最佳实践,整体 IT 运营费用占公司全部运行费用的比例一般会设定一个经验值,以衡量公司 IT 投资是否在一个正常状态。 (3)架构根据商业银行现实情况及其行业特点,一般认为稳定性与灵活性都很重要。结合各公司情况实践,建议选择一种可适应的 IT 架构作为公司的参考架构模
12、型,根据此模型及其规则,制定出商业银行相应的解决方案架构、业务架构、系统架构和技术架构,通过这些架构指导银行的 IT 行为。(4)标准商业银行希望在整体上加强其 IT 架构,遵从行业技术和运营的标准化,但是在有正常的业务需求下可以有所背离。目前商业银行一般开始实施的标准包括ITIL、COBIT、ISO27000、Prince2/PMP、CMM、银行业业务模型等。(5)资源在资源方面,商业银行可综合利用银行内外部资源的组合,结合相应的专业外部顾问服务,同时公司需要注重 IT 治理方面人力资源的培养。3.2 商业银行 COBIT 实践我国商业银行 COBIT 的实施相对较晚,现阶段商业银行主要集中
13、在COBIT 上层中对 IT 运行内部控制和内、外部审计,确保 IT 资源管理的安全性、可靠性和有效性,以期实现对 IT 持续不断的应用和改进 5。商业银行大多在实际工作中利用 COBIT 的一些常用工具如平衡记分卡等来帮助提高管理的水平。部分外资银行开始结合 COBIT 模型制定多道风险如图 2 所示防线的治理模型 6,综合利用一线用户/经理人员、信息风险管理/危机管理、内部审计和外部审计来对公司 IT 风险进行管理和防范。三道防线模型如图 2 所示。COBIT 通常能成为商业银行业企业战略目标和信息技术战略目标的桥梁,使得信息技术目标和企业战略目标之间实现互动,之后通过采用 COBIT 成
14、熟度模型,可以定位自己企业的 IT 管理目前在业界所处的位置,以及未来努力的方向 7。3.3 商业银行项目管理实践商业银行可根据公司实际情况及项目管理经验推出自己公司的基于Prince2 的精简版本作为项目管理的方法论来标准化公司的项目管理工作,将 Prince2 中的项目周期具体化,并结合不同阶段提供相应的标准的交付物。通过实践可以证明 Prince2 在界定琐碎的业务需求及选择最适合最节约成本的解决方案方面具有有效的方法.Prince2 和 PMP 是当今最流行的 2 种项目管理方法论,推荐 Prince2而不是 PMP,主要是因为 Prince2 更加关注提高组织的项目管理能力,而 PM
15、P 则更侧重于提高个人的项目管理能力。3.4 商业银行 IT 服务管理实践不同规模的外资银行可以根据公司规模进行不同的 ITIL 流程实施。现在大多数实施是参照 ITIL v2 的,ITIL v2 包括服务支持和服务提供 2 个方面,ITIL v3 是由英国商务部于 2007 年 5 月份出版发布,其中规定了管理 IT 组织以及整合 IT 和业务的方法论。ITIL v3 官方评论家 KEN T 指出“ITIL v3 以 v2 为基础,旨在推动 IT 专业人员实现 IT 和业务的整合,而不仅是关注于 IT 与业务的一致性。ITIL v3 与以往单一从技术角度或企业经营角度出发的思考模式不同,它不
16、仅帮助企业建立业务服务管理的合理目标,还帮助企业由关注 IT 基础架构转变为关注 IT 资产和服务的关系,最终将 IT 基础架构的事件和业务成果联系起来。IT 管理人员需要完成从一种静态、垂直的思维模式,转换成一种生命周期的模式”。建议对于各个正在进行 ITIL v2 实施的商业银行集中精力继续进行未尽流程的实施,对于已经完成实施并熟练掌握此工具和方法论的商业银行可以逐步考虑参照 ITIL v3 进行优化和持续改进管理。3.5 商业银行信息安全管理ISO27000 即国际信息安全管理标准体系的实施在我国商业银行相对来说是比较早的,商业银行大多在实际工作中利用 ISO27000 的一些常用工具等来帮助提高信息风险管理的水平。建议商业银行对 ISO27000 的实施从 ISO27002 的实施和内部认证开始,期望通过这一标准的引入建立一个完整的信息安全管理体系,对信息安全进行动态的、以分析机构及企业面临的安全风险为起点,对企业的信息安全风险进行动态的、全面的、有效的、不断改进的
