【51CTO.com 綜合消息】1. 證券行業(yè)IT治理現(xiàn)狀

如何提高核心競(jìng)爭(zhēng)力，在新一輪的競(jìng)爭(zhēng)中獲得優(yōu)勢(shì)，已經(jīng)成為當(dāng)前券商的不得不面臨的重要問(wèn)題。國(guó)內(nèi)許多券商已經(jīng)在考慮綜合利用市場(chǎng)、營(yíng)銷、人才及新技術(shù)等策略，在競(jìng)爭(zhēng)中做大做強(qiáng)。其中“新技術(shù)”占有越來(lái)越重要的地位，主要是指利用IT技術(shù)，提高證券公司的競(jìng)爭(zhēng)力。

為了適應(yīng)新技術(shù)的變化，2008年，中國(guó)證券行業(yè)協(xié)會(huì)與期貨業(yè)協(xié)會(huì)（以下簡(jiǎn)稱“證監(jiān)會(huì)” ）發(fā)布了《證券期貨經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)治理工作指引（試行）》（以下簡(jiǎn)稱“《指引》”），強(qiáng)調(diào)證券期貨業(yè)經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理與規(guī)范，以及在提高IT治理水平提出了指導(dǎo)意見(jiàn)。目前，證券公司公司普遍意識(shí)到加強(qiáng)IT治理工作的重要性。但I(xiàn)T治理具體如何實(shí)施才具有成效？如何防止IT治理僅僅是一本放在書(shū)架上的理論書(shū)？也就是通常所稱的“理論好，落地難”，成為計(jì)劃開(kāi)展IT治理的證券公司所必須解決的重要問(wèn)題。

GooAnn與證監(jiān)會(huì)一起曾對(duì)券商實(shí)行IT治理的情況進(jìn)行過(guò)調(diào)研。發(fā)現(xiàn)調(diào)研的30家證券公司、9家基金公司中，只有40%的公司已經(jīng)設(shè)立了IT治理組織和機(jī)制。特別是在對(duì)“貴公司IT治理如何建設(shè)”的問(wèn)題回答上，經(jīng)過(guò)統(tǒng)計(jì)發(fā)現(xiàn)對(duì)該問(wèn)題的回答可以歸類如下：

（1）IT治理需要的明確責(zé)任與職能不清晰，IT治理太宏觀；

（2）缺乏IT治理明確的概念描述和參數(shù)指標(biāo)；

（3）IT治理就是按照《指引》要求建立一個(gè)IT治理組。

（4）IT治理就是指定IT部門(mén)中層干部負(fù)責(zé)IT治理工作。

而以100分為滿分計(jì)算，國(guó)內(nèi)的證券行業(yè)IT治理建設(shè)情況的評(píng)估統(tǒng)計(jì)很少超過(guò)80分，絕大部分在60分和70分之間，有1/3小于45分。[1]

從數(shù)據(jù)及調(diào)研結(jié)果上看來(lái)，國(guó)內(nèi)相當(dāng)一部分證券機(jī)構(gòu)在制訂明確的IT治理原則和如何正確實(shí)施IT治理方面仍然非常欠缺。證券行業(yè)仍然處于IT治理的知識(shí)普及階段，特別是對(duì)于如何把“IT治理”這個(gè)概念轉(zhuǎn)化為實(shí)際可操作的動(dòng)作，仍需要進(jìn)一步深入研究和探索。本文以理論結(jié)合證券行業(yè)實(shí)際情況，提出了基于COBIT及VAL IT的IT治理框架，并結(jié)合實(shí)際案例來(lái)研究證券行業(yè)如何解決IT治理實(shí)施落地這一難題。#p#

2. IT治理如何落地

IT治理是在IT應(yīng)用過(guò)程中，為鼓勵(lì)期望行為而明確的決策權(quán)歸屬和責(zé)任擔(dān)當(dāng)框架。

【1】具體體現(xiàn)在五個(gè)IT決策上：

（1）IT原則：闡述IT的商業(yè)作用；

（2）IT架構(gòu)：定義集成和標(biāo)準(zhǔn)化的要求；

（3）IT基礎(chǔ)設(shè)施：決定共享和可提供的服務(wù)；

（4）業(yè)務(wù)應(yīng)用需求：確定購(gòu)買或內(nèi)部開(kāi)發(fā)應(yīng)用的業(yè)務(wù)需求；

（5）IT投資和優(yōu)先權(quán)：選擇資助哪一個(gè)立項(xiàng)以及投入多少資金。

這五個(gè)決策是彼此相關(guān)的，一般來(lái)說(shuō)，原則約束架構(gòu)，架構(gòu)決定基礎(chǔ)設(shè)施，基礎(chǔ)設(shè)施約束著業(yè)務(wù)需求，IT投資必須為IT原則、整體架構(gòu)、基礎(chǔ)設(shè)施和應(yīng)用需求所驅(qū)動(dòng)。

要真正的落實(shí)IT治理，必須從如何建立理論框架、有效利用應(yīng)用工具集、長(zhǎng)期規(guī)劃及建設(shè)三方面來(lái)考慮，才能真正發(fā)揮IT治理在對(duì)IT資源的有效配置，資金分配、與業(yè)務(wù)融合等方面發(fā)揮作用。下面將從這三方面的分別闡述如何實(shí)現(xiàn)IT治理落地實(shí)施問(wèn)題。

2.1  IT治理理論框架

IT治理的框架正確與否直接決定了IT治理的成敗。IT治理理論框架采用建議國(guó)際上通用的最佳實(shí)踐CoBIT及VAL IT 作為基礎(chǔ)框架，以《IT治理實(shí)施指南－使用CoBIT 和Val IT》為實(shí)踐指南，結(jié)合ISO17799、ITIL、PRINCE2、BCM 等國(guó)際標(biāo)準(zhǔn)及行內(nèi)最佳實(shí)施，建立適合客戶的戰(zhàn)術(shù)層IT治理框架，設(shè)計(jì)相關(guān)IT流程，并識(shí)別其中的關(guān)鍵控制點(diǎn)。在明確可以參考的IT治理理論框架后，則首先需要解決IT原則與決策機(jī)制問(wèn)題。

2.1.1 IT原則

目前國(guó)際上采用較多的IT治理決策機(jī)制為IT雙寡頭制、IT君主制、聯(lián)邦制、雙寡頭制、封建制、業(yè)務(wù)君主制。至于使用何種決策機(jī)制要根據(jù)各公司的組織架構(gòu)的實(shí)際情況并結(jié)合決策矩陣來(lái)設(shè)計(jì)IT治理決策機(jī)制。

IT原則不應(yīng)當(dāng)是高不可及，應(yīng)當(dāng)是公司對(duì)IT在公司發(fā)展中所起作用的期望。也就是說(shuō)業(yè)務(wù)發(fā)展目標(biāo)決定IT原則。不同類型的公司其IT治理原則側(cè)重點(diǎn)應(yīng)當(dāng)不一致。GooAnn曾抽樣對(duì)規(guī)模分別為大、中、小的券商IT原則制定情況進(jìn)行調(diào)研，發(fā)現(xiàn)不同規(guī)模的券商業(yè)務(wù)發(fā)展的目標(biāo)不一樣，決定了其IT原則也有所不同?？梢?jiàn)調(diào)研結(jié)果也證實(shí)了這一點(diǎn)。

IT原則和決策機(jī)制的制定，并不能保證IT治理的方向是正確的。需要一個(gè)定期審核與回顧的方法來(lái)保證。為此，建議以制度化的形式來(lái)實(shí)現(xiàn)IT原則與決策。如在戰(zhàn)略層面上，IT治理應(yīng)當(dāng)是公司治理結(jié)構(gòu)、企業(yè)戰(zhàn)略規(guī)劃的一部分，在治理結(jié)構(gòu)上體現(xiàn)IT 的位置與作用。另外建立有效確定IT決策權(quán)歸屬和責(zé)任分配的框架。通過(guò)一系列的結(jié)構(gòu)、流程和溝通來(lái)實(shí)施IT治理計(jì)劃，設(shè)計(jì)周詳、容易理解和清晰的制度和機(jī)制，促進(jìn)IT原則落實(shí)的可執(zhí)行度。#p#

2.1.2 IT治理實(shí)施路線路

IT治理在確定IT治理的決策權(quán)與職責(zé)擔(dān)當(dāng)體系，并初步建立確定IT原則后，應(yīng)在IT架構(gòu)、IT 基礎(chǔ)設(shè)施、業(yè)務(wù)需求、IT投資及優(yōu)先權(quán)四個(gè)領(lǐng)域形成制度與流程，并最終規(guī)劃為IT治理實(shí)施路線圖，為IT治理的可實(shí)施性提供強(qiáng)有力的支持。

IT治理的實(shí)施路線圖可以參考下圖的方式進(jìn)行規(guī)劃，在識(shí)別需求和預(yù)期階段建議參考CoBIT及VAL IT框架以獲得全局觀，在每個(gè)具體不同的流程和項(xiàng)目可具體參考 ISO17799（ISO27001）、ITIL、PRINCE2、BCM、CMMI、ITAF等最佳實(shí)踐。

圖1 IT治理實(shí)施路線路圖

◆IT架構(gòu)

在如何提高核心競(jìng)爭(zhēng)力方面，“新技術(shù)”占有越來(lái)越重要的地位。在證券行業(yè)主要是指利用IT技術(shù)，提高證券公司的競(jìng)爭(zhēng)力。IT投資不再僅關(guān)注在IT的解決方案方面投資，而是在IT技術(shù)轉(zhuǎn)變方面投資。因此IT架構(gòu)是否滿足當(dāng)前業(yè)務(wù)需求并具有適當(dāng)?shù)那罢靶院苤匾?。為了保證IT架構(gòu)的正確方向，建議配合IT治理實(shí)施路線圖，以流程化的觀點(diǎn)來(lái)規(guī)劃IT架構(gòu)。IT架構(gòu)的設(shè)計(jì)與規(guī)劃需要關(guān)注對(duì)現(xiàn)有系統(tǒng)的支持、對(duì)成本控制的支持、對(duì)新業(yè)務(wù)的支持以及對(duì)新領(lǐng)域的推動(dòng)和引導(dǎo)。并進(jìn)行中長(zhǎng)期信息化規(guī)劃，和形成短期的可執(zhí)行計(jì)劃。

以下給出一個(gè)評(píng)估IT架構(gòu)成熟度流程化的參考示例。

表1 成熟度分析表

◆IT基礎(chǔ)設(shè)施

IT基礎(chǔ)設(shè)施更加關(guān)注的是IT運(yùn)行維護(hù)的穩(wěn)定性、IT風(fēng)險(xiǎn)控制以及績(jī)效評(píng)價(jià)。建議參考ISO17799、ITIL、CMMI、BCM等標(biāo)準(zhǔn)，建立綜合的IT流程控制框架，明確各流程的KPI、KGI及成熟度等級(jí)，形成完備的IT風(fēng)險(xiǎn)控制體系與IT精細(xì)化績(jī)效管理體系，通過(guò)制度、流程及技術(shù)手段進(jìn)行監(jiān)測(cè)與管理。

對(duì)于IT基礎(chǔ)設(shè)施最基本的任務(wù)——維護(hù)IT系統(tǒng)，則可參考ITIL（IT Infrastructure Library）對(duì)于在對(duì)整個(gè)IT運(yùn)維體系進(jìn)行了梳理，提高IT服務(wù)整體水平和完善IT服務(wù)流程，以提高運(yùn)行績(jī)效和客戶滿意度。

ITIL是IT服務(wù)管理的最佳實(shí)踐總結(jié)ITIL 列出了各個(gè)IT服務(wù)管理流程的最佳目標(biāo)、活動(dòng)、輸入和輸出，以及各個(gè)流程之間的關(guān)系。ITIL V2曾被視為提供IT服務(wù)最有效的方法。2007年后，ITIL V3發(fā)布。它涵蓋了IT服務(wù)的5個(gè)生命周期、共17個(gè)流程、共4個(gè)職能。ITIL在IT維護(hù)過(guò)程當(dāng)中所提出的服務(wù)臺(tái)、變更管理、事件管理等重要流程都是經(jīng)過(guò)了全球眾多的IT企業(yè)或IT部門(mén)所證明的最佳實(shí)踐。

在IT風(fēng)險(xiǎn)控制方面：如何保護(hù)組織信息資產(chǎn)的機(jī)密性、完整性及可用性。ISO17799：2005提供了很好的最佳實(shí)踐。ISO17799標(biāo)準(zhǔn)其中包含11個(gè)主題，定義了133個(gè)安全控制。其中133個(gè)安全控制可以作為指導(dǎo)信息安全管理工作的最佳實(shí)踐參考。通過(guò)IT風(fēng)險(xiǎn)控制，可以保護(hù)信息不受廣泛威脅的損害，確保業(yè)務(wù)的連續(xù)性，將商業(yè)損失降至最小，使投資收益最大并創(chuàng)造新的戰(zhàn)略機(jī)遇。而ISACA最近提出的RISK IT也可以作為一個(gè)有用的最佳實(shí)踐參考。

在IT服務(wù)績(jī)效考核方面：COBIT為每個(gè)過(guò)程提供了關(guān)鍵目標(biāo)指標(biāo)（KGIs）、關(guān)鍵績(jī)效指標(biāo)（KPIs），關(guān)鍵成功要素(CSFs)，這些指標(biāo)與ITIL過(guò)程結(jié)合，可以建立ITIL過(guò)程管理的基準(zhǔn)。在實(shí)際應(yīng)用中，綜合兩個(gè)指標(biāo)提出更容易理解的適用于本企業(yè)環(huán)境的IT治理和運(yùn)行架構(gòu)。

當(dāng)然，以上僅列舉了IT基礎(chǔ)設(shè)施所涉及的部分內(nèi)容，在具體過(guò)程當(dāng)中，可以參考其他最佳實(shí)踐幫助公司做出正確的管理和決策，如項(xiàng)目管理方面，PRINCE2（項(xiàng)目管理體系）是一個(gè)很好的關(guān)于項(xiàng)目管理的方法論。它集中于項(xiàng)目管理的戰(zhàn)略層次，同時(shí)他是一種通用的架構(gòu)。對(duì)于每個(gè)過(guò)程，PRINCE并有提供具體實(shí)現(xiàn)技術(shù)和工具，擁護(hù)可根據(jù)實(shí)際需要，使用有益的任何工具，如甘特圖，關(guān)鍵路徑、項(xiàng)目管理軟件等。 

◆業(yè)務(wù)應(yīng)用需求

業(yè)務(wù)應(yīng)用需求關(guān)注的是IT如何滿足業(yè)務(wù)需求。更進(jìn)一步來(lái)說(shuō)，是如何做到IT與業(yè)務(wù)融合的關(guān)鍵階段。目前國(guó)內(nèi)證券行業(yè)在IT與業(yè)務(wù)的融合方面普遍不理想：券商的主營(yíng)收入仍依靠經(jīng)紀(jì)業(yè)務(wù)，核心開(kāi)發(fā)團(tuán)隊(duì)缺乏，IT在產(chǎn)品研發(fā)、信息挖掘、風(fēng)險(xiǎn)管理方面的應(yīng)用未能充分發(fā)揮價(jià)值等問(wèn)題。

解決IT與業(yè)務(wù)之間的支持與需求的矛盾，建立恰當(dāng)?shù)膭?chuàng)新激勵(lì)機(jī)制是關(guān)鍵。重點(diǎn)是加強(qiáng)各部門(mén)之間溝通與協(xié)調(diào)，以達(dá)到平衡利益與責(zé)任的關(guān)系，要加強(qiáng)流程融合，推動(dòng)IT與業(yè)務(wù)在流程層面的融合，在整個(gè)公司層面來(lái)關(guān)注促進(jìn)IT與業(yè)務(wù)的融合。而激勵(lì)機(jī)制的最重要的客觀參考數(shù)據(jù)，可以來(lái)自平衡計(jì)分卡、VAL IT的投資回報(bào)率，ITIL的客戶滿意度、ISO27004信息安全有效性測(cè)量等工具化的平臺(tái)或報(bào)表.

除了建立激勵(lì)機(jī)制，人力資源則是解決IT與業(yè)務(wù)融合的另一重要因素。應(yīng)在公司形成適時(shí)而變、保持活力的IT組織結(jié)構(gòu)；保持在管理、規(guī)劃、工程、設(shè)計(jì)、開(kāi)發(fā)、運(yùn)維方面的人員合理配比，通過(guò)內(nèi)部培養(yǎng)與外部引入結(jié)合的方式，完善IT人員的業(yè)務(wù)與技術(shù)知識(shí)結(jié)構(gòu)，提高IT創(chuàng)新能力。 

◆IT投資和優(yōu)先權(quán)

IT投資不再僅關(guān)注在IT的解決方案方面投資，還需要關(guān)注IT技術(shù)轉(zhuǎn)變方面投資，這就意味著比過(guò)去的投資更復(fù)雜、更具有風(fēng)險(xiǎn)。很顯然，IT投資能帶來(lái)高回報(bào)，但前提是必須有正確的IT治理和管理模式，以及各級(jí)管理層的支持和約定。平衡風(fēng)險(xiǎn)和回報(bào)，這是擺在所有董事會(huì)成員和主管人員面前的首要問(wèn)題。VAL IT可以為公司在解決IT投資和優(yōu)先權(quán)方面提供最佳實(shí)踐參考。

Val IT著眼于投資決定以及收益的實(shí)現(xiàn)，而信息系統(tǒng)和技術(shù)控制目標(biāo)關(guān)注的是實(shí)行。Val IT支持實(shí)現(xiàn)來(lái)源于技術(shù)投資的真實(shí)商業(yè)價(jià)值。Val IT與所有的管理層都有聯(lián)系，包括商業(yè)和IT，包括首席執(zhí)行官、主管和那些直接參與挑選、采購(gòu)、開(kāi)發(fā)、實(shí)施、部署及實(shí)現(xiàn)收益的部門(mén)員工。Val IT標(biāo)識(shí)所有潛在的問(wèn)題、成本、風(fēng)險(xiǎn)，以及一個(gè)平衡由IT驅(qū)動(dòng)的業(yè)務(wù)投資部門(mén)，它同時(shí)提供了部門(mén)能力基準(zhǔn)并允許企業(yè)之間交換關(guān)于價(jià)值管理最佳實(shí)踐的經(jīng)驗(yàn)。

Val IT框架的相關(guān)指導(dǎo)原則可應(yīng)用到管理流程當(dāng)中，包括價(jià)值治理、部門(mén)管理和投資管理等，Val IT框架能夠通過(guò)工具來(lái)實(shí)現(xiàn)具體的IT投資治理。#p#

2.2 IT治理是長(zhǎng)期過(guò)程

IT治理是一項(xiàng)涉及面廣、規(guī)范性強(qiáng)、實(shí)施難度大、有一定風(fēng)險(xiǎn)的系統(tǒng)工程。另外，建立IT治理機(jī)制是一個(gè)動(dòng)態(tài)的過(guò)程。公司的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)變與技術(shù)發(fā)展以及IT治理理論的發(fā)展都要求不斷改進(jìn)、完善IT治理的目標(biāo)、策略、方法、手段。另外，環(huán)境的動(dòng)態(tài)性也決定了IT治理的動(dòng)態(tài)性。這表明對(duì)于IT治理的完善，是個(gè)循序漸進(jìn)的過(guò)程，需要通過(guò)階段性的實(shí)施，沒(méi)有良好的IT治理結(jié)構(gòu)和持之以恒的評(píng)估反饋機(jī)制。

因此建立完整的IT治理機(jī)制是一項(xiàng)長(zhǎng)期的工作，不能一蹴而就，應(yīng)當(dāng)從基礎(chǔ)到高級(jí)，從容易到復(fù)雜、從規(guī)范化到差異化一步步分階段實(shí)現(xiàn)，最終使IT成為組織的核心競(jìng)爭(zhēng)力。建議按以下步驟分階段地實(shí)施IT治理，以控制IT風(fēng)險(xiǎn)和提高IT績(jī)效。

2.3 常見(jiàn)應(yīng)用工具集

許多券商也曾提出在提升IT治理能力上，哪些工具比較適合這樣一個(gè)問(wèn)題。為此特舉了業(yè)界中比較常見(jiàn)的工具以供參考。如管理意識(shí)、IT控制診斷、應(yīng)用指導(dǎo)、訪談列表等。這些工具的設(shè)計(jì)讓IT治理的應(yīng)用更容易，讓公司能夠快速且成功的從IT治理理論具體落實(shí)到可執(zhí)行的工作當(dāng)中，而通過(guò)采用平臺(tái)化的工具可以提高工作效率，如：IT風(fēng)險(xiǎn)控制方面：GooAnn的ITRM風(fēng)險(xiǎn)管理工具；ITIL 方面：HP Openview、CA Unicenter、BMC Remedy 、IBM Tivoli等IT管理產(chǎn)品；項(xiàng)目管理及投資管理方面：HP PPM、CA Clarity，同時(shí)還有各類的專業(yè)培訓(xùn)機(jī)構(gòu)，各類IT控制診斷工具都是作為輔助手段提升IT治理能力。