??? 摘 要:提出一種通過IT戰(zhàn)略制定、CISR模型、COBIT實(shí)施、IT項(xiàng)目管理流程、CMM、ITIL和ISO27001等國際標(biāo)準(zhǔn)的融合運(yùn)用來指導(dǎo)商業(yè)銀行IT治理實(shí)施的新模式,該模式解決了中國商業(yè)銀行現(xiàn)階段關(guān)于IT治理實(shí)施研究所面臨的模式混亂和范圍不清等問題。
??? 關(guān)鍵詞:公司治理；IT治理；治理模型；信息技術(shù)發(fā)展戰(zhàn)略； IT標(biāo)準(zhǔn)

?

??? 構(gòu)建社會主義和諧社會，是目前從全面建設(shè)小康社會、開創(chuàng)中國特色社會主義事業(yè)新局面的全局出發(fā)，提出的一項(xiàng)重大任務(wù)，而銀行業(yè)更因其特殊功能而成為構(gòu)建和諧社會的關(guān)鍵角色，負(fù)有歷史使命。為了在現(xiàn)有國際金融危機(jī)下更好地發(fā)展中國銀行業(yè)，中國銀監(jiān)會提出“以存款為基礎(chǔ)，以風(fēng)險(xiǎn)管理立行，以金融服務(wù)興行”的理念，公司治理在國際金融危機(jī)這個(gè)大環(huán)境下再次被提出并需給予足夠重視。 IT治理是公司治理的重要組成部分，良好的IT 治理能提高公司治理的水平, 商業(yè)銀行IT治理在協(xié)助商業(yè)銀行企業(yè)朝良性的整體運(yùn)營發(fā)展方面發(fā)揮著重要作用, 同時(shí)也幫助提高銀行的信息管理水平、加強(qiáng)公司治理環(huán)節(jié)的信息披露和內(nèi)部控制，為股東和客戶提供更多信息等方面來提高公司整體治理水平。
1 IT治理的國內(nèi)、國際研究與發(fā)展情況
??? 國際信息系統(tǒng)審計(jì)與控制協(xié)會(ISACA)認(rèn)為，IT 治理是一個(gè)內(nèi)涵豐富的術(shù)語,包括信息系統(tǒng)、技術(shù)及連通性、商業(yè)活動、法律相關(guān)事宜以及所有利益相關(guān)者-公司董事、高級管理人員、業(yè)務(wù)流程的執(zhí)行者、IT 供應(yīng)商、IT 的使用者以及審計(jì)人員等。為推動IT 治理的理論與實(shí)踐,ISACA 于1998 年成立了IT治理協(xié)會(ITGI),強(qiáng)調(diào)IT 治理是董事會和高級管理層的責(zé)任,是企業(yè)治理的一部分。
??? Patel認(rèn)為應(yīng)該將產(chǎn)品和服務(wù)質(zhì)量包含進(jìn)來，IT治理能提高組織的IT投資回報(bào)，像COBIT和ITIL這些IT治理框架在國際范圍內(nèi)被廣泛接受并可幫助實(shí)現(xiàn)這些利益。WESSELS E和VAN L J提出公司董事會成員、高級管理人員和IT管理人員希望通過采用IT治理來保證企業(yè)的效率、降低成本并提高對IT環(huán)境的控制^[1]。
??? 幾年前IT治理的概念被引入到國內(nèi)，在媒體、IT業(yè)及金融等IT應(yīng)用水平較高的行業(yè)一度炒得很熱，專家學(xué)者也在不斷呼吁IT治理的重要性，但真正將IT治理實(shí)踐到公司運(yùn)營層面的案例在國內(nèi)還不是很多，目前我國的IT治理仍處于起步階段。
??? 根據(jù)IT治理協(xié)會（ITGI）2006年發(fā)布的《2006年全球IT治理調(diào)查報(bào)告》，通信和金融服務(wù)行業(yè)明顯比零售和制造業(yè)等行業(yè)要好，COBIT 的認(rèn)知度在逐漸增加。據(jù)中國IT治理論壇的數(shù)據(jù)表明國內(nèi)企業(yè)IT治理的有效性能達(dá)到60%的企業(yè)比例仍然很低，約為15%左右，目前絕大多數(shù)企業(yè)的IT治理的有效性在30%～60%。
2 我國商業(yè)銀行IT治理現(xiàn)狀
??? 目前，我國的商業(yè)銀行可簡單分為3大類，分別為國有大型商業(yè)銀行、中資背景中小商業(yè)銀行和外商獨(dú)資商業(yè)銀行。
??? 根據(jù)調(diào)查,目前外資商業(yè)銀行在IT治理方面一般是參照其母行的公司治理及IT治理模式并結(jié)合自身情況進(jìn)行定制和調(diào)優(yōu)^[2]，一般情況下是符合國際通用的IT治理模式，與其公司治理一起構(gòu)成一個(gè)相對完善和協(xié)調(diào)的整體，利用其在公司治理和IT治理方面的理念和實(shí)踐經(jīng)驗(yàn)并結(jié)合公司自身的發(fā)展和認(rèn)知摸索出一條相對可行的IT治理實(shí)施方案。簡單歸結(jié)為如下的IT治理路線圖：
??? （1）識別企業(yè)業(yè)務(wù)模式 ；
??? （2）分析現(xiàn)有IT治理狀況；
??? （3）制定IT治理規(guī)劃及實(shí)施計(jì)劃 ；
??? （4）實(shí)施改善計(jì)劃；
??? （5）定期回顧并改善。
??? 部分企業(yè)在實(shí)踐中參考上述策略完成公司IT治理規(guī)劃與實(shí)施模型、確定IT治理的決策范圍和實(shí)施優(yōu)先級，而具體的日常工作內(nèi)容則通過CISR模型、COBIT、Prince2、CMM、ITIL和ISO27001等行業(yè)標(biāo)準(zhǔn)的融合運(yùn)用來實(shí)施。
??? 實(shí)施過程中發(fā)現(xiàn)，按照此種路線圖來實(shí)施IT治理可以按部就班，結(jié)合公司發(fā)展?fàn)顩r，清楚地確定IT治理的實(shí)施范圍，并且實(shí)施也會符合公司的業(yè)務(wù)、IT發(fā)展需求和整個(gè)行業(yè)的發(fā)展要求。
??? 對于國有大型商業(yè)銀行，以工商銀行、中國銀行等為代表的居于領(lǐng)導(dǎo)地位的銀行經(jīng)過股份制改造或境內(nèi)外上市建立起了較好的IT治理結(jié)構(gòu)。
??? 但對于年輕的中資背景中小商業(yè)銀行來說大多數(shù)IT治理仍處于起步階段。由于行業(yè)的趨同性和國際化程度的提高，絕大多數(shù)的新興中資銀行開始采用ITIL和COBIT作為實(shí)施策略，但目前只是簡單的導(dǎo)入，而非真正建立IT治理架構(gòu)，同時(shí)對于除ITIL和COBIT之外的其他標(biāo)準(zhǔn)的導(dǎo)入還很少。本文將探討借鑒國外和國內(nèi)外資銀行的先進(jìn)經(jīng)驗(yàn)進(jìn)行我國商業(yè)銀行的IT治理規(guī)劃與實(shí)施模型，以提出一種適用于我國商業(yè)銀行建立IT治理實(shí)施模式并清楚定義IT治理范圍的新模式。
3 商業(yè)銀行IT治理實(shí)施模型與最佳實(shí)踐
??? 在此，以某中型商業(yè)銀行為例分析我國商業(yè)銀行進(jìn)行公司IT治理規(guī)劃與其實(shí)施模型的建立方法，根據(jù)分析該行處于一個(gè)變化不快并以產(chǎn)品服務(wù)的差異化為競爭基礎(chǔ)的商業(yè)環(huán)境，這就決定了消費(fèi)者的需求、競爭格局、政府監(jiān)管、技術(shù)及供應(yīng)商等方面的變化都不是快速的，另一方面因?yàn)閷Ξa(chǎn)品服務(wù)差異化的要求又力求先于競爭對手提供新的業(yè)務(wù)和服務(wù)能力以此獲得競爭優(yōu)勢^[3]。期望利用信息技術(shù)來提高運(yùn)營水平和決策能力，并開發(fā)新的產(chǎn)品和服務(wù)，以高投資回報(bào)率來抵消不斷增長的IT支出^[4]。
在此基礎(chǔ)上該銀行對公司IT治理做出了一個(gè)比較清晰的定位：IT治理作為公司治理的一部分，需要充分保證IT戰(zhàn)略與公司戰(zhàn)略的匹配及其執(zhí)行，體現(xiàn)現(xiàn)有及未來信息技術(shù)與企業(yè)組織的戰(zhàn)略集成；指導(dǎo)公司通過對業(yè)界標(biāo)準(zhǔn)和股東方最佳實(shí)踐的實(shí)施合理配置并有效利用IT資源、加強(qiáng)信息風(fēng)險(xiǎn)控制和滿足公司內(nèi)控需求。
??? 根據(jù)上述分析和定位并結(jié)合IT治理最佳實(shí)踐，筆者提出適合我國商業(yè)銀行的IT治理規(guī)劃與實(shí)施模型如圖1所示，通過IT戰(zhàn)略制定、CISR模型、COBIT、IT項(xiàng)目管理流程、CMM、ITIL和ISO27000等標(biāo)準(zhǔn)的融合運(yùn)用來指導(dǎo)公司IT治理和IT管理的工作。

?

?

??? 目前，業(yè)界通常認(rèn)為CISR模型和COBIT為2大主要的IT治理模型，筆者研究認(rèn)為這2種模型均不能涵蓋決策權(quán)和合規(guī)遵從兩大問題，CISR模型更多的是側(cè)重決策權(quán)及決策制定過程，COBIT則停留在IT管理的一些具體過程，根據(jù)經(jīng)驗(yàn)和研究，建議將IT戰(zhàn)略制定、CISR模型、COBIT、IT項(xiàng)目管理流程、CMM、ITIL和BS7799等標(biāo)準(zhǔn)的融合運(yùn)用，力圖通過標(biāo)準(zhǔn)化的方法論和實(shí)踐將商業(yè)銀行的IT治理和管理水平提升到一個(gè)新的高度。IT治理框架可能在各銀行各不相同，但是他們基本的目標(biāo)是一致的，即提高銀行IT的效能，尋求IT資源的最大化。下面從實(shí)踐的角度對上述模型進(jìn)行闡述。
3.1 商業(yè)銀行CISR模型及IT治理的決策范圍
??? 參照業(yè)界實(shí)踐，銀行IT治理的決策范圍可由以下5個(gè)方面組成，分別為組織模式、投資、架構(gòu)、標(biāo)準(zhǔn)、資源。
??? （1）組織模式
??? 根據(jù)對公司業(yè)務(wù)模式的分析，IT治理的組織模式通?？刹扇〖瘷?quán)模式、分權(quán)模式或集權(quán)與分權(quán)混合的模式，不同模式下IT對于預(yù)算和IT決策負(fù)有相應(yīng)的責(zé)任，對于采用分權(quán)模式或混合模式的公司通常設(shè)有一個(gè)虛擬的集權(quán)部門IT指導(dǎo)委員會來對公司IT行為進(jìn)行重要決策。
??? （2）投資
??? 針對IT戰(zhàn)略和使命，IT投資應(yīng)主要集中在支持現(xiàn)有業(yè)務(wù)運(yùn)行、優(yōu)先發(fā)展新業(yè)務(wù)以及進(jìn)行IT安全和風(fēng)險(xiǎn)管控活動；按照公司要求和業(yè)界最佳實(shí)踐，整體IT運(yùn)營費(fèi)用占公司全部運(yùn)行費(fèi)用的比例一般會設(shè)定一個(gè)經(jīng)驗(yàn)值，以衡量公司IT投資是否在一個(gè)正常狀態(tài)。
??? （3）架構(gòu)
??? 根據(jù)商業(yè)銀行現(xiàn)實(shí)情況及其行業(yè)特點(diǎn)，一般認(rèn)為穩(wěn)定性與靈活性都很重要。結(jié)合各公司情況實(shí)踐，建議選擇一種可適應(yīng)的IT架構(gòu)作為公司的參考架構(gòu)模型，根據(jù)此模型及其規(guī)則，制定出商業(yè)銀行相應(yīng)的解決方案架構(gòu)、業(yè)務(wù)架構(gòu)、系統(tǒng)架構(gòu)和技術(shù)架構(gòu)，通過這些架構(gòu)指導(dǎo)銀行的IT行為。
??? （4）標(biāo)準(zhǔn)
??? 商業(yè)銀行希望在整體上加強(qiáng)其IT架構(gòu)，遵從行業(yè)技術(shù)和運(yùn)營的標(biāo)準(zhǔn)化，但是在有正常的業(yè)務(wù)需求下可以有所背離。目前商業(yè)銀行一般開始實(shí)施的標(biāo)準(zhǔn)包括ITIL、COBIT、ISO27000、Prince2/PMP、CMM、銀行業(yè)業(yè)務(wù)模型等。
??? （5）資源
??? 在資源方面，商業(yè)銀行可綜合利用銀行內(nèi)外部資源的組合，結(jié)合相應(yīng)的專業(yè)外部顧問服務(wù)，同時(shí)公司需要注重IT治理方面人力資源的培養(yǎng)。
3.2 商業(yè)銀行COBIT實(shí)踐
??? 我國商業(yè)銀行COBIT的實(shí)施相對較晚，現(xiàn)階段商業(yè)銀行主要集中在COBIT上層中對IT運(yùn)行內(nèi)部控制和內(nèi)、外部審計(jì)，確保IT資源管理的安全性、可靠性和有效性，以期實(shí)現(xiàn)對IT持續(xù)不斷的應(yīng)用和改進(jìn)^[5]。
??? 商業(yè)銀行大多在實(shí)際工作中利用COBIT的一些常用工具如平衡記分卡等來幫助提高管理的水平。
??? 部分外資銀行開始結(jié)合COBIT模型制定多道風(fēng)險(xiǎn)如圖2所示防線的治理模型^[6]，綜合利用一線用戶/經(jīng)理人員、信息風(fēng)險(xiǎn)管理/危機(jī)管理、內(nèi)部審計(jì)和外部審計(jì)來對公司IT風(fēng)險(xiǎn)進(jìn)行管理和防范。三道防線模型如圖2所示。

?

??? COBIT通常能成為商業(yè)銀行業(yè)企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的橋梁，使得信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動，之后通過采用COBIT成熟度模型，可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置，以及未來努力的方向^[7]。
3.3 商業(yè)銀行項(xiàng)目管理實(shí)踐
??? 商業(yè)銀行可根據(jù)公司實(shí)際情況及項(xiàng)目管理經(jīng)驗(yàn)推出自己公司的基于Prince2的精簡版本作為項(xiàng)目管理的方法論來標(biāo)準(zhǔn)化公司的項(xiàng)目管理工作，將Prince2中的項(xiàng)目周期具體化，并結(jié)合不同階段提供相應(yīng)的標(biāo)準(zhǔn)的交付物。通過實(shí)踐可以證明Prince2在界定瑣碎的業(yè)務(wù)需求及選擇最適合最節(jié)約成本的解決方案方面具有有效的方法.
??? Prince2和PMP是當(dāng)今最流行的2種項(xiàng)目管理方法論，推薦Prince2而不是PMP，主要是因?yàn)镻rince2更加關(guān)注提高組織的項(xiàng)目管理能力，而PMP則更側(cè)重于提高個(gè)人的項(xiàng)目管理能力。
3.4 商業(yè)銀行IT服務(wù)管理實(shí)踐
??? 不同規(guī)模的外資銀行可以根據(jù)公司規(guī)模進(jìn)行不同的ITIL流程實(shí)施。現(xiàn)在大多數(shù)實(shí)施是參照ITIL v2的，ITIL v2包括服務(wù)支持和服務(wù)提供2個(gè)方面，ITIL v3 是由英國商務(wù)部于2007年5月份出版發(fā)布，其中規(guī)定了管理IT組織以及整合IT 和業(yè)務(wù)的方法論。ITIL v3官方評論家KEN T指出“ITIL v3以v2為基礎(chǔ)，旨在推動IT專業(yè)人員實(shí)現(xiàn)IT和業(yè)務(wù)的整合，而不僅是關(guān)注于IT與業(yè)務(wù)的一致性。ITIL v3與以往單一從技術(shù)角度或企業(yè)經(jīng)營角度出發(fā)的思考模式不同，它不僅幫助企業(yè)建立業(yè)務(wù)服務(wù)管理的合理目標(biāo)，還幫助企業(yè)由關(guān)注IT基礎(chǔ)架構(gòu)轉(zhuǎn)變?yōu)殛P(guān)注IT資產(chǎn)和服務(wù)的關(guān)系，最終將IT基礎(chǔ)架構(gòu)的事件和業(yè)務(wù)成果聯(lián)系起來。IT管理人員需要完成從一種靜態(tài)、垂直的思維模式，轉(zhuǎn)換成一種生命周期的模式”。
??? 建議對于各個(gè)正在進(jìn)行ITIL v2實(shí)施的商業(yè)銀行集中精力繼續(xù)進(jìn)行未盡流程的實(shí)施，對于已經(jīng)完成實(shí)施并熟練掌握此工具和方法論的商業(yè)銀行可以逐步考慮參照ITIL v3進(jìn)行優(yōu)化和持續(xù)改進(jìn)管理。
3.5 商業(yè)銀行信息安全管理
??? ISO27000即國際信息安全管理標(biāo)準(zhǔn)體系的實(shí)施在我國商業(yè)銀行相對來說是比較早的，商業(yè)銀行大多在實(shí)際工作中利用ISO27000的一些常用工具等來幫助提高信息風(fēng)險(xiǎn)管理的水平。
??? 建議商業(yè)銀行對ISO27000的實(shí)施從ISO27002的實(shí)施和內(nèi)部認(rèn)證開始，期望通過這一標(biāo)準(zhǔn)的引入建立一個(gè)完整的信息安全管理體系，對信息安全進(jìn)行動態(tài)的、以分析機(jī)構(gòu)及企業(yè)面臨的安全風(fēng)險(xiǎn)為起點(diǎn)，對企業(yè)的信息安全風(fēng)險(xiǎn)進(jìn)行動態(tài)的、全面的、有效的、不斷改進(jìn)的管理，并強(qiáng)調(diào)信息安全管理的目的是保持機(jī)構(gòu)及企業(yè)業(yè)務(wù)的連續(xù)性不受信息安全事件的破壞，要從機(jī)構(gòu)或企業(yè)現(xiàn)有的資源和管理基礎(chǔ)為出發(fā)點(diǎn)，建立信息安全管理體系，不斷改進(jìn)信息安全管理的水平，使機(jī)構(gòu)或企業(yè)的信息安全以最小代價(jià)達(dá)到需要的水準(zhǔn)。根據(jù)公司的發(fā)展情況判斷是否進(jìn)行外部的認(rèn)證。
??? 對于ISO27001，建議結(jié)合PDCA循環(huán)模式=“計(jì)劃（Plan）、實(shí)施（Do）、檢查（Check）、行動（Action）”模式進(jìn)一步規(guī)范公司IT管理，以達(dá)到“持續(xù)改進(jìn)”的目的。雖然實(shí)施 ISO27000體系并不能使商業(yè)銀行徹底遠(yuǎn)離信息安全破壞，但實(shí)施該標(biāo)準(zhǔn)可以降低信息安全被破壞的可能性，因此降低IT投資損失和信息安全事件的影響程度。
4 發(fā)展方向及進(jìn)一步研究
??? 在確定上述IT治理規(guī)劃及實(shí)施模型后，將模型中涉及的相應(yīng)子模型和標(biāo)準(zhǔn)融合運(yùn)用進(jìn)行對商業(yè)銀行的IT治理建設(shè)，它可以幫助銀行更好達(dá)成IT治理目標(biāo)。這些標(biāo)準(zhǔn)需要逐步地貫徹到工作實(shí)際中，這主要是通過有選擇性地階段性實(shí)施來進(jìn)行，實(shí)踐表明，針對這些活動的實(shí)施可以很好地幫助達(dá)成分階段IT治理的目標(biāo)。未來對IT治理的實(shí)施可以利用IT治理成熟度模型來進(jìn)行評估。
??? 關(guān)于此模式仍需進(jìn)一步研究，重點(diǎn)應(yīng)該放在如下幾點(diǎn)：
??? （1）對于模型中涉及的幾個(gè)復(fù)雜標(biāo)準(zhǔn)如何能有效地融合運(yùn)用；
??? （2）考慮開發(fā)通過此模型進(jìn)行IT治理實(shí)施的標(biāo)準(zhǔn)化工具；
??? （3）模型實(shí)施步驟如何，如何結(jié)合公司實(shí)際進(jìn)行相應(yīng)的選擇；
??? （4）IT治理實(shí)施的效果及其成熟度評估；
??? （5）如何在實(shí)施過程中平衡并最大化利用現(xiàn)有IT資源，保證最大的投資回報(bào)。
??? 本文通過國內(nèi)商業(yè)銀行IT治理存在的問題和最佳實(shí)踐進(jìn)行分析，提出通過融合運(yùn)行IT戰(zhàn)略、CISR模型、COBIT實(shí)施、Prince2、CMM、ITIL和ISO20000等國際標(biāo)準(zhǔn)建立IT規(guī)劃與實(shí)施模型的創(chuàng)新模式，在協(xié)助商業(yè)銀行企業(yè)改善運(yùn)營提高公司甚至整個(gè)行業(yè)的競爭力方面發(fā)揮重要作用,通過加強(qiáng)和完善商業(yè)銀行IT治理可以提高銀行業(yè)的信息管理水平,提高信息披露和內(nèi)部控制質(zhì)量，為中國銀行業(yè)順利渡過金融危機(jī)并全面建設(shè)有中國特色的銀行業(yè)保障體系和現(xiàn)代銀行業(yè)監(jiān)管體系服務(wù)。
參考文獻(xiàn)
[1] WESSELS E, VAN L J. IT governance: theory and practice[C] .Pretoria, South Africa: 2006.
[2] Marianne B, PETER W, ? Gartner EXP premier report,Effective IT Governance. January 2003.
[3] PETERSON R. Crafting information technology governance [J].Information Systems Management. 2004, 21(4): 7- 22.
[4] 李維安,曹廷求. 保險(xiǎn)治理:理論模式與我國的改革[J] . 保險(xiǎn)研究 , 2005(4):4-8.
[5] 相關(guān)商業(yè)銀行網(wǎng)站:http://www.icbc.com.cn? 中國工商銀行http://www.boc.cn? 中國銀行http://www.cmbchina.com? 招商銀行http://www.socgen.com.cn 法國興業(yè)銀行（中國）有限公司http://www.citibank.com.cn 花旗銀行（中國）有限公司http://www.hsbc.com.cn 匯豐銀行（中國）有限公司.
[6] 孫曉琳，王刊良. IT 治理相關(guān)工具的對比分析[J] . 情報(bào)科學(xué),2008,26(9):1402-1407.
[7] 中國人民銀行武夷山支行課題組. 我國央行IT審計(jì)和IT治理的現(xiàn)狀與思考[J]. 上海金融, 2007(12): 88-89.