heitiane 发表于 2011-8-17 10:09:00

风险管理专家:证券行业IT治理落地实施分析一

作者:佚名    来源:比特网
class=news_Intro>证监会曾对券商实行IT治理的情况进行过调研。发现调研的30家证券公司、9家基金公司中,只有40%的公司已经设立了IT治理组织和机制。而以100分为满分计算,国内的证券行业IT治理建设情况的评估统计很少超过80分,绝大部分在60分和70分之间。
1. 证券行业IT治理现状
如何提高核心竞争力,在新一轮的竞争中获得优势,已经成为当前券商的不得不面临的重要问题。国内许多券商已经在考虑综合利用市场、营销、人才及新技术等策略,在竞争中做大做强。其中“新技术”占有越来越重要的地位,主要是指利用IT技术,提高证券公司的竞争力。
为了适应新技术的变化,2008年,中国证券行业协会与期货业协会(以下简称“证监会”)发布了《证券期货经营机构信息技术治理工作指引(试行)》(以下简称“《指引》”),强调证券期货业经营机构信息技术管理与规范,以及在提高IT治理水平提出了指导意见。目前,证券公司公司普遍意识到加强IT治理工作的重要性。但IT治理具体如何实施才具有成效?如何防止IT治理仅仅是一本放在书架上的理论书?也就是通常所称的“理论好,落地难”,成为计划开展IT治理的证券公司所必须解决的重要问题。
证监会曾对券商实行IT治理的情况进行过调研。发现调研的30家证券公司、9家基金公司中,只有40%的公司已经设立了IT治理组织和机制。特别是在对“贵公司IT治理如何建设”的问题回答上,经过统计发现对该问题的回答可以归类如下:(1)IT治理需要的明确责任与职能不清晰,IT治理太宏观;(2)缺乏IT治理明确的概念描述和参数指标;(3)IT治理就是按照《指引》要求建立一个IT治理组。(4)IT治理就是指定IT部门中层干部负责IT治理工作。
而以100分为满分计算,国内的证券行业IT治理建设情况的评估统计很少超过80分,绝大部分在60分和70分之间,有1/3小于45分。
从数据及调研结果上看来,国内相当一部分证券机构在制订明确的IT治理原则和如何正确实施IT治理方面仍然非常欠缺。证券行业仍然处于IT治理的知识普及阶段,特别是对于如何把“IT治理”这个概念转化为实际可操作的动作,仍需要进一步深入研究和探索。本文以理论结合证券行业实际情况,提出了基于COBIT及VALIT的IT治理框架,并结合实际案例来研究证券行业如何解决IT治理实施落地这一难题。
2. IT治理如何落地
IT治理是在IT应用过程中,为鼓励期望行为而明确的决策权归属和责任担当框架。【1】具体体现在五个IT决策上:
(1)IT原则:阐述IT的商业作用;
(2)IT架构:定义集成和标准化的要求;
(3)IT基础设施:决定共享和可提供的服务;
(4)业务应用需求:确定购买或内部开发应用的业务需求;
(5)IT投资和优先权:选择资助哪一个立项以及投入多少资金。
这五个决策是彼此相关的,一般来说,原则约束架构,架构决定基础设施,基础设施约束着业务需求,IT投资必须为IT原则、整体架构、基础设施和应用需求所驱动。
要真正的落实IT治理,必须从如何建立理论框架、有效利用应用工具集、长期规划及建设三方面来考虑,才能真正发挥IT治理在对IT资源的有效配置,资金分配、与业务融合等方面发挥作用。下面将从这三方面的分别阐述如何实现IT治理落地实施问题。
2.1 IT治理理论框架
IT治理的框架正确与否直接决定了IT治理的成败。IT治理理论框架采用建议国际上通用的最佳实践CoBIT及VAL IT作为基础框架,以《IT治理实施指南-使用CoBIT 和Val IT》为实践指南,结合ISO17799、ITIL、PRINCE2、BCM等国际标准及行内最佳实施,建立适合客户的战术层IT治理框架,设计相关IT流程,并识别其中的关键控制点。在明确可以参考的IT治理理论框架后,则首先需要解决IT原则与决策机制问题。
2.1.1 IT原则
目前国际上采用较多的IT治理决策机制为IT双寡头制、IT君主制、联邦制、双寡头制、封建制、业务君主制。至于使用何种决策机制要根据各公司的组织架构的实际情况并结合决策矩阵来设计IT治理决策机制。
IT原则不应当是高不可及,应当是公司对IT在公司发展中所起作用的期望。也就是说业务发展目标决定IT原则。不同类型的公司其IT治理原则侧重点应当不一致。曾抽样对规模分别为大、中、小的券商IT原则制定情况进行调研,发现不同规模的券商业务发展的目标不一样,决定了其IT原则也有所不同。可见调研结果也证实了这一点。
IT原则和决策机制的制定,并不能保证IT治理的方向是正确的。需要一个定期审核与回顾的方法来保证。为此,建议以制度化的形式来实现IT原则与决策。如在战略层面上,IT治理应当是公司治理结构、企业战略规划的一部分,在治理结构上体现IT的位置与作用。另外建立有效确定IT决策权归属和责任分配的框架。通过一系列的结构、流程和沟通来实施IT治理计划,设计周详、容易理解和清晰的制度和机制,促进IT原则落实的可执行度。
2.1.2 IT治理实施路线路
IT治理在确定IT治理的决策权与职责担当体系,并初步建立确定IT原则后,应在IT架构、IT基础设施、业务需求、IT投资及优先权四个领域形成制度与流程,并最终规划为IT治理实施路线图,为IT治理的可实施性提供强有力的支持。
IT治理的实施路线图可以参考下图的方式进行规划,在识别需求和预期阶段建议参考CoBIT及VAL IT框架以获得全局观,在每个具体不同的流程和项目可具体参考ISO17799(ISO27001)、ITIL、PRINCE2、BCM、CMMI、ITAF等最佳实践。
图1 IT治理实施路线路图

IT架构
在如何提高核心竞争力方面,“新技术”占有越来越重要的地位。在证券行业主要是指利用IT技术,提高证券公司的竞争力。IT投资不再仅关注在IT的解决方案方面投资,而是在IT技术转变方面投资。因此IT架构是否满足当前业务需求并具有适当的前瞻性很重要。为了保证IT架构的正确方向,建议配合IT治理实施路线图,以流程化的观点来规划IT架构。IT架构的设计与规划需要关注对现有系统的支持、对成本控制的支持、对新业务的支持以及对新领域的推动和引导。并进行中长期信息化规划,和形成短期的可执行计划。
页: [1]
查看完整版本: 风险管理专家:证券行业IT治理落地实施分析一