??? 摘 要:提出一種通過IT戰(zhàn)略制定、CISR模型、COBIT實施、IT項目管理流程、CMM、ITIL和ISO27001等國際標準的融合運用來指導(dǎo)商業(yè)銀行IT治理實施的新模式,該模式解決了中國商業(yè)銀行現(xiàn)階段關(guān)于IT治理實施研究所面臨的模式混亂和范圍不清等問題。
??? 關(guān)鍵詞:公司治理;IT治理;治理模型;信息技術(shù)發(fā)展戰(zhàn)略; IT標準
?
??? 構(gòu)建社會主義和諧社會,是目前從全面建設(shè)小康社會、開創(chuàng)中國特色社會主義事業(yè)新局面的全局出發(fā),提出的一項重大任務(wù),而銀行業(yè)更因其特殊功能而成為構(gòu)建和諧社會的關(guān)鍵角色,負有歷史使命。為了在現(xiàn)有國際金融危機下更好地發(fā)展中國銀行業(yè),中國銀監(jiān)會提出“以存款為基礎(chǔ),以風險管理立行,以金融服務(wù)興行”的理念,公司治理在國際金融危機這個大環(huán)境下再次被提出并需給予足夠重視。 IT治理是公司治理的重要組成部分,良好的IT 治理能提高公司治理的水平, 商業(yè)銀行IT治理在協(xié)助商業(yè)銀行企業(yè)朝良性的整體運營發(fā)展方面發(fā)揮著重要作用, 同時也幫助提高銀行的信息管理水平、加強公司治理環(huán)節(jié)的信息披露和內(nèi)部控制,為股東和客戶提供更多信息等方面來提高公司整體治理水平。
1 IT治理的國內(nèi)、國際研究與發(fā)展情況
??? 國際信息系統(tǒng)審計與控制協(xié)會(ISACA)認為,IT 治理是一個內(nèi)涵豐富的術(shù)語,包括信息系統(tǒng)、技術(shù)及連通性、商業(yè)活動、法律相關(guān)事宜以及所有利益相關(guān)者-公司董事、高級管理人員、業(yè)務(wù)流程的執(zhí)行者、IT 供應(yīng)商、IT 的使用者以及審計人員等。為推動IT 治理的理論與實踐,ISACA 于1998 年成立了IT治理協(xié)會(ITGI),強調(diào)IT 治理是董事會和高級管理層的責任,是企業(yè)治理的一部分。
??? Patel認為應(yīng)該將產(chǎn)品和服務(wù)質(zhì)量包含進來,IT治理能提高組織的IT投資回報,像COBIT和ITIL這些IT治理框架在國際范圍內(nèi)被廣泛接受并可幫助實現(xiàn)這些利益。WESSELS E和VAN L J提出公司董事會成員、高級管理人員和IT管理人員希望通過采用IT治理來保證企業(yè)的效率、降低成本并提高對IT環(huán)境的控制[1]。
??? 幾年前IT治理的概念被引入到國內(nèi),在媒體、IT業(yè)及金融等IT應(yīng)用水平較高的行業(yè)一度炒得很熱,專家學(xué)者也在不斷呼吁IT治理的重要性,但真正將IT治理實踐到公司運營層面的案例在國內(nèi)還不是很多,目前我國的IT治理仍處于起步階段。
??? 根據(jù)IT治理協(xié)會(ITGI)2006年發(fā)布的《2006年全球IT治理調(diào)查報告》,通信和金融服務(wù)行業(yè)明顯比零售和制造業(yè)等行業(yè)要好,COBIT 的認知度在逐漸增加。據(jù)中國IT治理論壇的數(shù)據(jù)表明國內(nèi)企業(yè)IT治理的有效性能達到60%的企業(yè)比例仍然很低,約為15%左右,目前絕大多數(shù)企業(yè)的IT治理的有效性在30%~60%。
2 我國商業(yè)銀行IT治理現(xiàn)狀
??? 目前,我國的商業(yè)銀行可簡單分為3大類,分別為國有大型商業(yè)銀行、中資背景中小商業(yè)銀行和外商獨資商業(yè)銀行。
??? 根據(jù)調(diào)查,目前外資商業(yè)銀行在IT治理方面一般是參照其母行的公司治理及IT治理模式并結(jié)合自身情況進行定制和調(diào)優(yōu)[2],一般情況下是符合國際通用的IT治理模式,與其公司治理一起構(gòu)成一個相對完善和協(xié)調(diào)的整體,利用其在公司治理和IT治理方面的理念和實踐經(jīng)驗并結(jié)合公司自身的發(fā)展和認知摸索出一條相對可行的IT治理實施方案。簡單歸結(jié)為如下的IT治理路線圖:
??? (1)識別企業(yè)業(yè)務(wù)模式 ;
??? (2)分析現(xiàn)有IT治理狀況;
??? (3)制定IT治理規(guī)劃及實施計劃 ;
??? (4)實施改善計劃;
??? (5)定期回顧并改善。
??? 部分企業(yè)在實踐中參考上述策略完成公司IT治理規(guī)劃與實施模型、確定IT治理的決策范圍和實施優(yōu)先級,而具體的日常工作內(nèi)容則通過CISR模型、COBIT、Prince2、CMM、ITIL和ISO27001等行業(yè)標準的融合運用來實施。
??? 實施過程中發(fā)現(xiàn),按照此種路線圖來實施IT治理可以按部就班,結(jié)合公司發(fā)展狀況,清楚地確定IT治理的實施范圍,并且實施也會符合公司的業(yè)務(wù)、IT發(fā)展需求和整個行業(yè)的發(fā)展要求。
??? 對于國有大型商業(yè)銀行,以工商銀行、中國銀行等為代表的居于領(lǐng)導(dǎo)地位的銀行經(jīng)過股份制改造或境內(nèi)外上市建立起了較好的IT治理結(jié)構(gòu)。
??? 但對于年輕的中資背景中小商業(yè)銀行來說大多數(shù)IT治理仍處于起步階段。由于行業(yè)的趨同性和國際化程度的提高,絕大多數(shù)的新興中資銀行開始采用ITIL和COBIT作為實施策略,但目前只是簡單的導(dǎo)入,而非真正建立IT治理架構(gòu),同時對于除ITIL和COBIT之外的其他標準的導(dǎo)入還很少。本文將探討借鑒國外和國內(nèi)外資銀行的先進經(jīng)驗進行我國商業(yè)銀行的IT治理規(guī)劃與實施模型,以提出一種適用于我國商業(yè)銀行建立IT治理實施模式并清楚定義IT治理范圍的新模式。
3 商業(yè)銀行IT治理實施模型與最佳實踐
??? 在此,以某中型商業(yè)銀行為例分析我國商業(yè)銀行進行公司IT治理規(guī)劃與其實施模型的建立方法,根據(jù)分析該行處于一個變化不快并以產(chǎn)品服務(wù)的差異化為競爭基礎(chǔ)的商業(yè)環(huán)境,這就決定了消費者的需求、競爭格局、政府監(jiān)管、技術(shù)及供應(yīng)商等方面的變化都不是快速的,另一方面因為對產(chǎn)品服務(wù)差異化的要求又力求先于競爭對手提供新的業(yè)務(wù)和服務(wù)能力以此獲得競爭優(yōu)勢[3]。期望利用信息技術(shù)來提高運營水平和決策能力,并開發(fā)新的產(chǎn)品和服務(wù),以高投資回報率來抵消不斷增長的IT支出[4]。
在此基礎(chǔ)上該銀行對公司IT治理做出了一個比較清晰的定位:IT治理作為公司治理的一部分,需要充分保證IT戰(zhàn)略與公司戰(zhàn)略的匹配及其執(zhí)行,體現(xiàn)現(xiàn)有及未來信息技術(shù)與企業(yè)組織的戰(zhàn)略集成;指導(dǎo)公司通過對業(yè)界標準和股東方最佳實踐的實施合理配置并有效利用IT資源、加強信息風險控制和滿足公司內(nèi)控需求。
??? 根據(jù)上述分析和定位并結(jié)合IT治理最佳實踐,筆者提出適合我國商業(yè)銀行的IT治理規(guī)劃與實施模型如圖1所示,通過IT戰(zhàn)略制定、CISR模型、COBIT、IT項目管理流程、CMM、ITIL和ISO27000等標準的融合運用來指導(dǎo)公司IT治理和IT管理的工作。
?
?
??? 目前,業(yè)界通常認為CISR模型和COBIT為2大主要的IT治理模型,筆者研究認為這2種模型均不能涵蓋決策權(quán)和合規(guī)遵從兩大問題,CISR模型更多的是側(cè)重決策權(quán)及決策制定過程,COBIT則停留在IT管理的一些具體過程,根據(jù)經(jīng)驗和研究,建議將IT戰(zhàn)略制定、CISR模型、COBIT、IT項目管理流程、CMM、ITIL和BS7799等標準的融合運用,力圖通過標準化的方法論和實踐將商業(yè)銀行的IT治理和管理水平提升到一個新的高度。IT治理框架可能在各銀行各不相同,但是他們基本的目標是一致的,即提高銀行IT的效能,尋求IT資源的最大化。下面從實踐的角度對上述模型進行闡述。
3.1 商業(yè)銀行CISR模型及IT治理的決策范圍
??? 參照業(yè)界實踐,銀行IT治理的決策范圍可由以下5個方面組成,分別為組織模式、投資、架構(gòu)、標準、資源。
??? (1)組織模式
??? 根據(jù)對公司業(yè)務(wù)模式的分析,IT治理的組織模式通??刹扇〖瘷?quán)模式、分權(quán)模式或集權(quán)與分權(quán)混合的模式,不同模式下IT對于預(yù)算和IT決策負有相應(yīng)的責任,對于采用分權(quán)模式或混合模式的公司通常設(shè)有一個虛擬的集權(quán)部門IT指導(dǎo)委員會來對公司IT行為進行重要決策。
??? (2)投資
??? 針對IT戰(zhàn)略和使命,IT投資應(yīng)主要集中在支持現(xiàn)有業(yè)務(wù)運行、優(yōu)先發(fā)展新業(yè)務(wù)以及進行IT安全和風險管控活動;按照公司要求和業(yè)界最佳實踐,整體IT運營費用占公司全部運行費用的比例一般會設(shè)定一個經(jīng)驗值,以衡量公司IT投資是否在一個正常狀態(tài)。
??? (3)架構(gòu)
??? 根據(jù)商業(yè)銀行現(xiàn)實情況及其行業(yè)特點,一般認為穩(wěn)定性與靈活性都很重要。結(jié)合各公司情況實踐,建議選擇一種可適應(yīng)的IT架構(gòu)作為公司的參考架構(gòu)模型,根據(jù)此模型及其規(guī)則,制定出商業(yè)銀行相應(yīng)的解決方案架構(gòu)、業(yè)務(wù)架構(gòu)、系統(tǒng)架構(gòu)和技術(shù)架構(gòu),通過這些架構(gòu)指導(dǎo)銀行的IT行為。
??? (4)標準
??? 商業(yè)銀行希望在整體上加強其IT架構(gòu),遵從行業(yè)技術(shù)和運營的標準化,但是在有正常的業(yè)務(wù)需求下可以有所背離。目前商業(yè)銀行一般開始實施的標準包括ITIL、COBIT、ISO27000、Prince2/PMP、CMM、銀行業(yè)業(yè)務(wù)模型等。
??? (5)資源
??? 在資源方面,商業(yè)銀行可綜合利用銀行內(nèi)外部資源的組合,結(jié)合相應(yīng)的專業(yè)外部顧問服務(wù),同時公司需要注重IT治理方面人力資源的培養(yǎng)。
3.2 商業(yè)銀行COBIT實踐
??? 我國商業(yè)銀行COBIT的實施相對較晚,現(xiàn)階段商業(yè)銀行主要集中在COBIT上層中對IT運行內(nèi)部控制和內(nèi)、外部審計,確保IT資源管理的安全性、可靠性和有效性,以期實現(xiàn)對IT持續(xù)不斷的應(yīng)用和改進[5]。
??? 商業(yè)銀行大多在實際工作中利用COBIT的一些常用工具如平衡記分卡等來幫助提高管理的水平。
??? 部分外資銀行開始結(jié)合COBIT模型制定多道風險如圖2所示防線的治理模型[6],綜合利用一線用戶/經(jīng)理人員、信息風險管理/危機管理、內(nèi)部審計和外部審計來對公司IT風險進行管理和防范。三道防線模型如圖2所示。
?
??? COBIT通常能成為商業(yè)銀行業(yè)企業(yè)戰(zhàn)略目標和信息技術(shù)戰(zhàn)略目標的橋梁,使得信息技術(shù)目標和企業(yè)戰(zhàn)略目標之間實現(xiàn)互動,之后通過采用COBIT成熟度模型,可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置,以及未來努力的方向[7]。
3.3 商業(yè)銀行項目管理實踐
??? 商業(yè)銀行可根據(jù)公司實際情況及項目管理經(jīng)驗推出自己公司的基于Prince2的精簡版本作為項目管理的方法論來標準化公司的項目管理工作,將Prince2中的項目周期具體化,并結(jié)合不同階段提供相應(yīng)的標準的交付物。通過實踐可以證明Prince2在界定瑣碎的業(yè)務(wù)需求及選擇最適合最節(jié)約成本的解決方案方面具有有效的方法.
??? Prince2和PMP是當今最流行的2種項目管理方法論,推薦Prince2而不是PMP,主要是因為Prince2更加關(guān)注提高組織的項目管理能力,而PMP則更側(cè)重于提高個人的項目管理能力。
3.4 商業(yè)銀行IT服務(wù)管理實踐
??? 不同規(guī)模的外資銀行可以根據(jù)公司規(guī)模進行不同的ITIL流程實施。現(xiàn)在大多數(shù)實施是參照ITIL v2的,ITIL v2包括服務(wù)支持和服務(wù)提供2個方面,ITIL v3 是由英國商務(wù)部于2007年5月份出版發(fā)布,其中規(guī)定了管理IT組織以及整合IT 和業(yè)務(wù)的方法論。ITIL v3官方評論家KEN T指出“ITIL v3以v2為基礎(chǔ),旨在推動IT專業(yè)人員實現(xiàn)IT和業(yè)務(wù)的整合,而不僅是關(guān)注于IT與業(yè)務(wù)的一致性。ITIL v3與以往單一從技術(shù)角度或企業(yè)經(jīng)營角度出發(fā)的思考模式不同,它不僅幫助企業(yè)建立業(yè)務(wù)服務(wù)管理的合理目標,還幫助企業(yè)由關(guān)注IT基礎(chǔ)架構(gòu)轉(zhuǎn)變?yōu)殛P(guān)注IT資產(chǎn)和服務(wù)的關(guān)系,最終將IT基礎(chǔ)架構(gòu)的事件和業(yè)務(wù)成果聯(lián)系起來。IT管理人員需要完成從一種靜態(tài)、垂直的思維模式,轉(zhuǎn)換成一種生命周期的模式”。
??? 建議對于各個正在進行ITIL v2實施的商業(yè)銀行集中精力繼續(xù)進行未盡流程的實施,對于已經(jīng)完成實施并熟練掌握此工具和方法論的商業(yè)銀行可以逐步考慮參照ITIL v3進行優(yōu)化和持續(xù)改進管理。
3.5 商業(yè)銀行信息安全管理
??? ISO27000即國際信息安全管理標準體系的實施在我國商業(yè)銀行相對來說是比較早的,商業(yè)銀行大多在實際工作中利用ISO27000的一些常用工具等來幫助提高信息風險管理的水平。
??? 建議商業(yè)銀行對ISO27000的實施從ISO27002的實施和內(nèi)部認證開始,期望通過這一標準的引入建立一個完整的信息安全管理體系,對信息安全進行動態(tài)的、以分析機構(gòu)及企業(yè)面臨的安全風險為起點,對企業(yè)的信息安全風險進行動態(tài)的、全面的、有效的、不斷改進的管理,并強調(diào)信息安全管理的目的是保持機構(gòu)及企業(yè)業(yè)務(wù)的連續(xù)性不受信息安全事件的破壞,要從機構(gòu)或企業(yè)現(xiàn)有的資源和管理基礎(chǔ)為出發(fā)點,建立信息安全管理體系,不斷改進信息安全管理的水平,使機構(gòu)或企業(yè)的信息安全以最小代價達到需要的水準。根據(jù)公司的發(fā)展情況判斷是否進行外部的認證。
??? 對于ISO27001,建議結(jié)合PDCA循環(huán)模式=“計劃(Plan)、實施(Do)、檢查(Check)、行動(Action)”模式進一步規(guī)范公司IT管理,以達到“持續(xù)改進”的目的。雖然實施 ISO27000體系并不能使商業(yè)銀行徹底遠離信息安全破壞,但實施該標準可以降低信息安全被破壞的可能性,因此降低IT投資損失和信息安全事件的影響程度。
4 發(fā)展方向及進一步研究
??? 在確定上述IT治理規(guī)劃及實施模型后,將模型中涉及的相應(yīng)子模型和標準融合運用進行對商業(yè)銀行的IT治理建設(shè),它可以幫助銀行更好達成IT治理目標。這些標準需要逐步地貫徹到工作實際中,這主要是通過有選擇性地階段性實施來進行,實踐表明,針對這些活動的實施可以很好地幫助達成分階段IT治理的目標。未來對IT治理的實施可以利用IT治理成熟度模型來進行評估。
??? 關(guān)于此模式仍需進一步研究,重點應(yīng)該放在如下幾點:
??? (1)對于模型中涉及的幾個復(fù)雜標準如何能有效地融合運用;
??? (2)考慮開發(fā)通過此模型進行IT治理實施的標準化工具;
??? (3)模型實施步驟如何,如何結(jié)合公司實際進行相應(yīng)的選擇;
??? (4)IT治理實施的效果及其成熟度評估;
??? (5)如何在實施過程中平衡并最大化利用現(xiàn)有IT資源,保證最大的投資回報。
??? 本文通過國內(nèi)商業(yè)銀行IT治理存在的問題和最佳實踐進行分析,提出通過融合運行IT戰(zhàn)略、CISR模型、COBIT實施、Prince2、CMM、ITIL和ISO20000等國際標準建立IT規(guī)劃與實施模型的創(chuàng)新模式,在協(xié)助商業(yè)銀行企業(yè)改善運營提高公司甚至整個行業(yè)的競爭力方面發(fā)揮重要作用,通過加強和完善商業(yè)銀行IT治理可以提高銀行業(yè)的信息管理水平,提高信息披露和內(nèi)部控制質(zhì)量,為中國銀行業(yè)順利渡過金融危機并全面建設(shè)有中國特色的銀行業(yè)保障體系和現(xiàn)代銀行業(yè)監(jiān)管體系服務(wù)。
參考文獻
[1] WESSELS E, VAN L J. IT governance: theory and practice[C] .Pretoria, South Africa: 2006.
[2] Marianne B, PETER W, ? Gartner EXP premier report,Effective IT Governance. January 2003.
[3] PETERSON R. Crafting information technology governance [J].Information Systems Management. 2004, 21(4): 7- 22.
[4] 李維安,曹廷求. 保險治理:理論模式與我國的改革[J] . 保險研究 , 2005(4):4-8.
[5] 相關(guān)商業(yè)銀行網(wǎng)站:http://www.icbc.com.cn? 中國工商銀行http://www.boc.cn? 中國銀行http://www.cmbchina.com? 招商銀行http://www.socgen.com.cn 法國興業(yè)銀行(中國)有限公司http://www.citibank.com.cn 花旗銀行(中國)有限公司http://www.hsbc.com.cn 匯豐銀行(中國)有限公司.
[6] 孫曉琳,王刊良. IT 治理相關(guān)工具的對比分析[J] . 情報科學(xué),2008,26(9):1402-1407.
[7] 中國人民銀行武夷山支行課題組. 我國央行IT審計和IT治理的現(xiàn)狀與思考[J]. 上海金融, 2007(12): 88-89.