yaohui326 发表于 2011-11-3 11:17:08

转:风险管理专家:证券行业IT治理落地实施分析

证监会曾对券商实行IT治理的情况进行过调研。发现调研的30家证券公司、9家基金公司中,只有40%的公司已经设立了IT治理组织和机制。而以100分为满分计算,国内的证券行业IT治理建设情况的评估统计很少超过80分,绝大部分在60分和70分之间。

1. 证券行业IT治理现状
如何提高核心竞争力,在新一轮的竞争中获得优势,已经成为当前券商的不得不面临的重要问题。国内许多券商已经在考虑综合利用市场、营销、人才及新技术等策略,在竞争中做大做强。其中“新技术”占有越来越重要的地位,主要是指利用IT技术,提高证券公司的竞争力。
为了适应新技术的变化,2008年,中国证券行业协会与期货业协会(以下简称“证监会” )发布了《证券期货经营机构信息技术治理工作指引(试行)》(以下简称“《指引》”),强调证券期货业经营机构信息技术管理与规范,以及在提高IT治理水平提出了指导意见。目前,证券公司公司普遍意识到加强IT治理工作的重要性。但IT治理具体如何实施才具有成效?如何防止IT治理仅仅是一本放在书架上的理论书?也就是通常所称的“理论好,落地难”,成为计划开展IT治理的证券公司所必须解决的重要问题。
证监会曾对券商实行IT治理的情况进行过调研。发现调研的30家证券公司、9家基金公司中,只有40%的公司已经设立了IT治理组织和机制。特别是在对“贵公司IT治理如何建设”的问题回答上,经过统计发现对该问题的回答可以归类如下:(1)IT治理需要的明确责任与职能不清晰,IT治理太宏观;(2)缺乏IT治理明确的概念描述和参数指标;(3)IT治理就是按照《指引》要求建立一个IT治理组。(4)IT治理就是指定IT部门中层干部负责IT治理工作。
而以100分为满分计算,国内的证券行业IT治理建设情况的评估统计很少超过80分,绝大部分在60分和70分之间,有1/3小于45分。
从数据及调研结果上看来,国内相当一部分证券机构在制订明确的IT治理原则和如何正确实施IT治理方面仍然非常欠缺。证券行业仍然处于IT治理的知识普及阶段,特别是对于如何把“IT治理”这个概念转化为实际可操作的动作,仍需要进一步深入研究和探索。本文以理论结合证券行业实际情况,提出了基于COBIT及VAL IT的IT治理框架,并结合实际案例来研究证券行业如何解决IT治理实施落地这一难题。
2. IT治理如何落地
IT治理是在IT应用过程中,为鼓励期望行为而明确的决策权归属和责任担当框架。【1】具体体现在五个IT决策上:
(1)IT原则:阐述IT的商业作用;
(2)IT架构:定义集成和标准化的要求;
(3)IT基础设施:决定共享和可提供的服务;
(4)业务应用需求:确定购买或内部开发应用的业务需求;
(5)IT投资和优先权:选择资助哪一个立项以及投入多少资金。
这五个决策是彼此相关的,一般来说,原则约束架构,架构决定基础设施,基础设施约束着业务需求,IT投资必须为IT原则、整体架构、基础设施和应用需求所驱动。
要真正的落实IT治理,必须从如何建立理论框架、有效利用应用工具集、长期规划及建设三方面来考虑,才能真正发挥IT治理在对IT资源的有效配置,资金分配、与业务融合等方面发挥作用。下面将从这三方面的分别阐述如何实现IT治理落地实施问题。
2.1 IT治理理论框架
IT治理的框架正确与否直接决定了IT治理的成败。IT治理理论框架采用建议国际上通用的最佳实践CoBIT及VAL IT 作为基础框架,以《IT治理实施指南-使用CoBIT 和Val IT》为实践指南,结合ISO17799、ITIL、PRINCE2、BCM 等国际标准及行内最佳实施,建立适合客户的战术层IT治理框架,设计相关IT流程,并识别其中的关键控制点。在明确可以参考的IT治理理论框架后,则首先需要解决IT原则与决策机制问题。
2.1.1 IT原则
目前国际上采用较多的IT治理决策机制为IT双寡头制、IT君主制、联邦制、双寡头制、封建制、业务君主制。至于使用何种决策机制要根据各公司的组织架构的实际情况并结合决策矩阵来设计IT治理决策机制。
IT原则不应当是高不可及,应当是公司对IT在公司发展中所起作用的期望。也就是说业务发展目标决定IT原则。不同类型的公司其IT治理原则侧重点应当不一致。曾抽样对规模分别为大、中、小的券商IT原则制定情况进行调研,发现不同规模的券商业务发展的目标不一样,决定了其IT原则也有所不同。可见调研结果也证实了这一点。
IT原则和决策机制的制定,并不能保证IT治理的方向是正确的。需要一个定期审核与回顾的方法来保证。为此,建议以制度化的形式来实现IT原则与决策。如在战略层面上,IT治理应当是公司治理结构、企业战略规划的一部分,在治理结构上体现IT 的位置与作用。另外建立有效确定IT决策权归属和责任分配的框架。通过一系列的结构、流程和沟通来实施IT治理计划,设计周详、容易理解和清晰的制度和机制,促进IT原则落实的可执行度。
2.1.2 IT治理实施路线路
IT治理在确定IT治理的决策权与职责担当体系,并初步建立确定IT原则后,应在IT架构、IT 基础设施、业务需求、IT投资及优先权四个领域形成制度与流程,并最终规划为IT治理实施路线图,为IT治理的可实施性提供强有力的支持。
IT治理的实施路线图可以参考下图的方式进行规划,在识别需求和预期阶段建议参考CoBIT及VAL IT框架以获得全局观,在每个具体不同的流程和项目可具体参考 ISO17799(ISO27001)、ITIL、PRINCE2、BCM、CMMI、ITAF等最佳实践。
图1 IT治理实施路线路图
riskit/UploadFiles_4491/201011/2010111914154281.jpg
IT架构
在如何提高核心竞争力方面,“新技术”占有越来越重要的地位。在证券行业主要是指利用IT技术,提高证券公司的竞争力。IT投资不再仅关注在IT的解决方案方面投资,而是在IT技术转变方面投资。因此IT架构是否满足当前业务需求并具有适当的前瞻性很重要。为了保证IT架构的正确方向,建议配合IT治理实施路线图,以流程化的观点来规划IT架构。IT架构的设计与规划需要关注对现有系统的支持、对成本控制的支持、对新业务的支持以及对新领域的推动和引导。并进行中长期信息化规划,和形成短期的可执行计划。
以下给出一个评估IT架构成熟度流程化的参考示例。
证监会曾对券商实行IT治理的情况进行过调研。发现调研的30家证券公司、9家基金公司中,只有40%的公司已经设立了IT治理组织和机制。而以100分为满分计算,国内的证券行业IT治理建设情况的评估统计很少超过80分,绝大部分在60分和70分之间。


表1 成熟度分析表
riskit/UploadFiles_4491/201011/20101119141709801.jpg
IT基础设施
IT基础设施更加关注的是IT运行维护的稳定性、IT风险控制以及绩效评价。建议参考ISO17799、ITIL、CMMI、BCM等标准,建立综合的IT流程控制框架,明确各流程的KPI、KGI及成熟度等级,形成完备的IT风险控制体系与IT精细化绩效管理体系,通过制度、流程及技术手段进行监测与管理。
对于IT基础设施最基本的任务——维护IT系统,则可参考ITIL(IT Infrastructure Library)对于在对整个IT运维体系进行了梳理,提高IT服务整体水平和完善IT服务流程,以提高运行绩效和客户满意度。
ITIL是IT服务管理的最佳实践总结ITIL 列出了各个IT服务管理流程的最佳目标、活动、输入和输出,以及各个流程之间的关系。ITIL V2曾被视为提供IT服务最有效的方法。2007年后,ITIL V3发布。它涵盖了IT服务的5个生命周期、共17个流程、共4个职能。ITIL在IT维护过程当中所提出的服务台、变更管理、事件管理等重要流程都是经过了全球众多的IT企业或IT部门所证明的最佳实践。
在IT风险控制方面:如何保护组织信息资产的机密性、完整性及可用性。ISO17799:2005提供了很好的最佳实践。ISO17799标准其中包含11个主题,定义了133个安全控制。其中133个安全控制可以作为指导信息安全管理工作的最佳实践参考。通过IT风险控制,可以保护信息不受广泛威胁的损害,确保业务的连续性,将商业损失降至最小,使投资收益最大并创造新的战略机遇。而ISACA最近提出的RISK IT也可以作为一个有用的最佳实践参考。
在IT服务绩效考核方面:COBIT为每个过程提供了关键目标指标(KGIs)、关键绩效指标(KPIs),关键成功要素(CSFs),这些指标与ITIL过程结合,可以建立ITIL过程管理的基准。在实际应用中,综合两个指标提出更容易理解的适用于本企业环境的IT治理和运行架构。
当然,以上仅列举了IT基础设施所涉及的部分内容,在具体过程当中,可以参考其他最佳实践帮助公司做出正确的管理和决策,如项目管理方面,PRINCE2(项目管理体系)是一个很好的关于项目管理的方法论。它集中于项目管理的战略层次,同时他是一种通用的架构。对于每个过程,PRINCE并有提供具体实现技术和工具,拥护可根据实际需要,使用有益的任何工具,如甘特图,关键路径、项目管理软件等。
业务应用需求
业务应用需求关注的是IT如何满足业务需求。更进一步来说,是如何做到IT与业务融合的关键阶段。目前国内证券行业在IT与业务的融合方面普遍不理想:券商的主营收入仍依靠经纪业务,核心开发团队缺乏,IT在产品研发、信息挖掘、风险管理方面的应用未能充分发挥价值等问题。
解决IT与业务之间的支持与需求的矛盾,建立恰当的创新激励机制是关键。重点是加强各部门之间沟通与协调,以达到平衡利益与责任的关系,要加强流程融合,推动IT与业务在流程层面的融合,在整个公司层面来关注促进IT与业务的融合。而激励机制的最重要的客观参考数据,可以来自平衡计分卡、VAL IT的投资回报率,ITIL的客户满意度、ISO27004信息安全有效性测量等工具化的平台或报表.
除了建立激励机制,人力资源则是解决IT与业务融合的另一重要因素。应在公司形成适时而变、保持活力的IT组织结构;保持在管理、规划、工程、设计、开发、运维方面的人员合理配比,通过内部培养与外部引入结合的方式,完善IT人员的业务与技术知识结构,提高IT创新能力。
IT投资和优先权
IT投资不再仅关注在IT的解决方案方面投资,还需要关注IT技术转变方面投资,这就意味着比过去的投资更复杂、更具有风险。很显然,IT投资能带来高回报,但前提是必须有正确的IT治理和管理模式,以及各级管理层的支持和约定。平衡风险和回报,这是摆在所有董事会成员和主管人员面前的首要问题。VAL IT可以为公司在解决IT投资和优先权方面提供最佳实践参考。
Val IT着眼于投资决定以及收益的实现,而信息系统和技术控制目标关注的是实行。Val IT支持实现来源于技术投资的真实商业价值。Val IT与所有的管理层都有联系,包括商业和IT,包括首席执行官、主管和那些直接参与挑选、采购、开发、实施、部署及实现收益的部门员工。Val IT标识所有潜在的问题、成本、风险,以及一个平衡由IT驱动的业务投资部门,它同时提供了部门能力基准并允许企业之间交换关于价值管理最佳实践的经验。
Val IT框架的相关指导原则可应用到管理流程当中,包括价值治理、部门管理和投资管理等,Val IT框架能够通过工具来实现具体的IT投资治理。
2.2 IT治理是长期过程
IT治理是一项涉及面广、规范性强、实施难度大、有一定风险的系统工程。另外,建立IT治理机制是一个动态的过程。公司的业务战略转变与技术发展以及IT治理理论的发展都要求不断改进、完善IT治理的目标、策略、方法、手段。另外,环境的动态性也决定了IT治理的动态性。这表明对于IT治理的完善,是个循序渐进的过程,需要通过阶段性的实施,没有良好的IT治理结构和持之以恒的评估反馈机制。
因此建立完整的IT治理机制是一项长期的工作,不能一蹴而就,应当从基础到高级,从容易到复杂、从规范化到差异化一步步分阶段实现,最终使IT成为组织的核心竞争力。建议按以下步骤分阶段地实施IT治理,以控制IT风险和提高IT绩效。
2.3 常见应用工具集
许多券商也曾提出在提升IT治理能力上,哪些工具比较适合这样一个问题。为此特举了业界中比较常见的工具以供参考。如管理意识、IT控制诊断、应用指导、访谈列表等。这些工具的设计让IT治理的应用更容易,让公司能够快速且成功的从IT治理理论具体落实到可执行的工作当中,而通过采用平台化的工具可以提高工作效率,如:IT风险控制方面:ITIL方面:HP Openview、CA Unicenter、BMC Remedy 、IBMTivoli等IT管理产品;项目管理及投资管理方面:HP PPM、CA Clarity,同时还有各类的专业培训机构,各类IT控制诊断工具都是作为辅助手段提升IT治理能力。
来源:riskit/ShowArticle.asp?ArticleID=538&Page=2


yanyan86617 发表于 2012-4-18 08:57:41

yanyan86617 发表于 2012-4-18 08:57:42

页: [1]
查看完整版本: 转:风险管理专家:证券行业IT治理落地实施分析