风险管理专家:证券行业IT治理落地实施分析二
证监会曾对券商实行IT治理的情况进行过调研。发现调研的30家证券公司、9家基金公司中,只有40%的公司已经设立了IT治理组织和机制。而以100分为满分计算,国内的证券行业IT治理建设情况的评估统计很少超过80分,绝大部分在60分和70分之间。表1 成熟度分析表
IT基础设施
IT基础设施更加关注的是IT运行维护的稳定性、IT风险控制以及绩效评价。建议参考ISO17799、ITIL、CMMI、BCM等标准,建立综合的IT流程控制框架,明确各流程的KPI、KGI及成熟度等级,形成完备的IT风险控制体系与IT精细化绩效管理体系,通过制度、流程及技术手段进行监测与管理。
对于IT基础设施最基本的任务——维护IT系统,则可参考ITIL(IT InfrastructureLibrary)对于在对整个IT运维体系进行了梳理,提高IT服务整体水平和完善IT服务流程,以提高运行绩效和客户满意度。
ITIL是IT服务管理的最佳实践总结ITIL 列出了各个IT服务管理流程的最佳目标、活动、输入和输出,以及各个流程之间的关系。ITILV2曾被视为提供IT服务最有效的方法。2007年后,ITILV3发布。它涵盖了IT服务的5个生命周期、共17个流程、共4个职能。ITIL在IT维护过程当中所提出的服务台、变更管理、事件管理等重要流程都是经过了全球众多的IT企业或IT部门所证明的最佳实践。
在IT风险控制方面:如何保护组织信息资产的机密性、完整性及可用性。ISO17799:2005提供了很好的最佳实践。ISO17799标准其中包含11个主题,定义了133个安全控制。其中133个安全控制可以作为指导信息安全管理工作的最佳实践参考。通过IT风险控制,可以保护信息不受广泛威胁的损害,确保业务的连续性,将商业损失降至最小,使投资收益最大并创造新的战略机遇。而ISACA最近提出的RISKIT也可以作为一个有用的最佳实践参考。
在IT服务绩效考核方面:COBIT为每个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs),关键成功要素(CSFs),这些指标与ITIL过程结合,可以建立ITIL过程管理的基准。在实际应用中,综合两个指标提出更容易理解的适用于本企业环境的IT治理和运行架构。
当然,以上仅列举了IT基础设施所涉及的部分内容,在具体过程当中,可以参考其他最佳实践帮助公司做出正确的管理和决策,如项目管理方面,PRINCE2(项目管理体系)是一个很好的关于项目管理的方法论。它集中于项目管理的战略层次,同时他是一种通用的架构。对于每个过程,PRINCE并有提供具体实现技术和工具,拥护可根据实际需要,使用有益的任何工具,如甘特图,关键路径、项目管理软件等。
业务应用需求
业务应用需求关注的是IT如何满足业务需求。更进一步来说,是如何做到IT与业务融合的关键阶段。目前国内证券行业在IT与业务的融合方面普遍不理想:券商的主营收入仍依靠经纪业务,核心开发团队缺乏,IT在产品研发、信息挖掘、风险管理方面的应用未能充分发挥价值等问题。
解决IT与业务之间的支持与需求的矛盾,建立恰当的创新激励机制是关键。重点是加强各部门之间沟通与协调,以达到平衡利益与责任的关系,要加强流程融合,推动IT与业务在流程层面的融合,在整个公司层面来关注促进IT与业务的融合。而激励机制的最重要的客观参考数据,可以来自平衡计分卡、VALIT的投资回报率,ITIL的客户满意度、ISO27004信息安全有效性测量等工具化的平台或报表.
除了建立激励机制,人力资源则是解决IT与业务融合的另一重要因素。应在公司形成适时而变、保持活力的IT组织结构;保持在管理、规划、工程、设计、开发、运维方面的人员合理配比,通过内部培养与外部引入结合的方式,完善IT人员的业务与技术知识结构,提高IT创新能力。
IT投资和优先权
IT投资不再仅关注在IT的解决方案方面投资,还需要关注IT技术转变方面投资,这就意味着比过去的投资更复杂、更具有风险。很显然,IT投资能带来高回报,但前提是必须有正确的IT治理和管理模式,以及各级管理层的支持和约定。平衡风险和回报,这是摆在所有董事会成员和主管人员面前的首要问题。VALIT可以为公司在解决IT投资和优先权方面提供最佳实践参考。
Val IT着眼于投资决定以及收益的实现,而信息系统和技术控制目标关注的是实行。Val IT支持实现来源于技术投资的真实商业价值。ValIT与所有的管理层都有联系,包括商业和IT,包括首席执行官、主管和那些直接参与挑选、采购、开发、实施、部署及实现收益的部门员工。ValIT标识所有潜在的问题、成本、风险,以及一个平衡由IT驱动的业务投资部门,它同时提供了部门能力基准并允许企业之间交换关于价值管理最佳实践的经验。
Val IT框架的相关指导原则可应用到管理流程当中,包括价值治理、部门管理和投资管理等,Val IT框架能够通过工具来实现具体的IT投资治理。
2.2 IT治理是长期过程
IT治理是一项涉及面广、规范性强、实施难度大、有一定风险的系统工程。另外,建立IT治理机制是一个动态的过程。公司的业务战略转变与技术发展以及IT治理理论的发展都要求不断改进、完善IT治理的目标、策略、方法、手段。另外,环境的动态性也决定了IT治理的动态性。这表明对于IT治理的完善,是个循序渐进的过程,需要通过阶段性的实施,没有良好的IT治理结构和持之以恒的评估反馈机制。
因此建立完整的IT治理机制是一项长期的工作,不能一蹴而就,应当从基础到高级,从容易到复杂、从规范化到差异化一步步分阶段实现,最终使IT成为组织的核心竞争力。建议按以下步骤分阶段地实施IT治理,以控制IT风险和提高IT绩效。
2.3 常见应用工具集
许多券商也曾提出在提升IT治理能力上,哪些工具比较适合这样一个问题。为此特举了业界中比较常见的工具以供参考。如管理意识、IT控制诊断、应用指导、访谈列表等。这些工具的设计让IT治理的应用更容易,让公司能够快速且成功的从IT治理理论具体落实到可执行的工作当中,而通过采用平台化的工具可以提高工作效率,如:IT风险控制方面:ITIL方面:HPOpenview、CA Unicenter、BMC Remedy 、IBMTivoli等IT管理产品;项目管理及投资管理方面:HP PPM、CAClarity,同时还有各类的专业培训机构,各类IT控制诊断工具都是作为辅助手段提升IT治理能力。
页:
[1]