1. 證券行業IT治理現狀
如何提高核心競爭力,在新一輪的競爭中獲得優勢,已經成為當前券商的不得不面臨的重要問題。國內許多券商已經在考慮綜合利用市場、行銷、人才及新技術等策略,在競爭中做大做強。其中“新技術”佔有越來越重要的地位,主要是指利用IT技術,提高證券公司的競爭力。
為了適應新技術的變化,2008年,中國證券行業協會與期貨業協會(以下簡稱“證監會” )發佈了《證券期貨經營機構資訊技術治理工作指引(試行)》(以下簡稱“《指引》”),強調證券期貨業經營機構資訊技術管理與規範,以及在提高IT治理水準提出了指導意見。目前,證券公司公司普遍意識到加強IT治理工作的重要性。但IT治理具體如何實施才具有成效?如何防止IT治理僅僅是一本放在書架上的理論書?也就是通常所稱的“理論好,落地難”,成為計畫開展IT治理的證券公司所必須解決的重要問題。
GooAnn與證監會一起曾對券商實行IT治理的情況進行過調研。發現調研的30家證券公司、9家基金公司中,只有40%的公司已經設立了IT治理組織和機制。特別是在對“貴公司IT治理如何建設”的問題回答上,經過統計發現對該問題的回答可以歸類如下:(1)IT治理需要的明確責任與職能不清晰,IT治理太宏觀;(2)缺乏IT治理明確的概念描述和參數指標;(3)IT治理就是按照《指引》要求建立一個IT治理組。(4)IT治理就是指定IT部門中層幹部負責IT治理工作。
而以100分為滿分計算,國內的證券行業IT治理建設情況的評估統計很少超過80分,絕大部分在60分和70分之間,有1/3小於45分。[1]
從資料及調研結果上看來,國內相當一部分證券機構在制訂明確的IT治理原則和如何正確實施IT治理方面仍然非常欠缺。證券行業仍然處於IT治理的知識普及階段,特別是對於如何把“IT治理”這個概念轉化為實際可操作的動作,仍需要進一步深入研究和探索。本文以理論結合證券行業實際情況,提出了基於COBIT及VAL IT的IT治理框架,並結合實際案例來研究證券行業如何解決IT治理實施落地這一難題。
2. IT治理如何落地
IT治理是在IT應用過程中,為鼓勵期望行為而明確的決策權歸屬和責任擔當框架。【1】具體體現在五個IT決策上:
(1)IT原則:闡述IT的商業作用;
(2)IT架構:定義集成和標準化的要求;
(3)IT基礎設施:決定共用和可提供的服務;
(4)業務應用需求:確定購買或內部開發應用的業務需求;
(5)IT投資和優先權:選擇資助哪一個立項以及投入多少資金。
這五個決策是彼此相關的,一般來說,原則約束架構,架構決定基礎設施,基礎設施約束著業務需求,IT投資必須為IT原則、整體架構、基礎設施和應用需求所驅動。
要真正的落實IT治理,必須從如何建立理論框架、有效利用應用工具集、長期規劃及建設三方面來考慮,才能真正發揮IT治理在對IT資源的有效配置,資金分配、與業務融合等方面發揮作用。下面將從這三方面的分別闡述如何實現IT治理落地實施問題。
2.1 IT治理理論框架
IT治理的框架正確與否直接決定了IT治理的成敗。IT治理理論框架採用建議國際上通用的最佳實踐CoBIT及VAL IT 作為基礎框架,以《IT治理實施指南-使用CoBIT 和Val IT》為實踐指南,結合ISO17799、ITIL、PRINCE2、BCM 等國際標準及行內最佳實施,建立適合客戶的戰術層IT治理框架,設計相關IT流程,並識別其中的關鍵控制點。在明確可以參考的IT治理理論框架後,則首先需要解決IT原則與決策機制問題。
2.1.1 IT原則
目前國際上採用較多的IT治理決策機制為IT雙寡頭制、IT君主制、聯邦制、雙寡頭制、封建制、業務君主制。至於使用何種決策機制要根據各公司的組織架構的實際情況並結合決策矩陣來設計IT治理決策機制。
IT原則不應當是高不可及,應當是公司對IT在公司發展中所起作用的期望。也就是說業務發展目標決定IT原則。不同類型的公司其IT治理原則側重點應當不一致。GooAnn曾抽樣對規模分別為大、中、小的券商IT原則制定情況進行調研,發現不同規模的券商業務發展的目標不一樣,決定了其IT原則也有所不同。可見調研結果也證實了這一點。
IT原則和決策機制的制定,並不能保證IT治理的方向是正確的。需要一個定期審核與回顧的方法來保證。為此,建議以制度化的形式來實現IT原則與決策。如在戰略層面上,IT治理應當是公司治理結構、企業戰略規劃的一部分,在治理結構上體現IT 的位置與作用。另外建立有效確定IT決策權歸屬和責任分配的框架。通過一系列的結構、流程和溝通來實施IT治理計畫,設計周詳、容易理解和清晰的制度和機制,促進IT原則落實的可執行度。
2.1.2 IT治理實施路線路
IT治理在確定IT治理的決策權與職責擔當體系,並初步建立確定IT原則後,應在IT架構、IT 基礎設施、業務需求、IT投資及優先權四個領域形成制度與流程,並最終規劃為IT治理實施路線圖,為IT治理的可實施性提供強有力的支援。
IT治理的實施路線圖可以參考下圖的方式進行規劃,在識別需求和預期階段建議參考CoBIT及VAL IT框架以獲得全域觀,在每個具體不同的流程和專案可具體參考 ISO17799(ISO27001)、ITIL、PRINCE2、BCM、CMMI、ITAF等最佳實踐。
圖1 IT治理實施路線路圖
IT架構
在如何提高核心競爭力方面,“新技術”佔有越來越重要的地位。在證券行業主要是指利用IT技術,提高證券公司的競爭力。IT投資不再僅關注在IT的解決方案方面投資,而是在IT技術轉變方面投資。因此IT架構是否滿足當前業務需求並具有適當的前瞻性很重要。為了保證IT架構的正確方向,建議配合IT治理實施路線圖,以流程化的觀點來規劃IT架構。IT架構的設計與規劃需要關注對現有系統的支援、對成本控制的支援、對新業務的支持以及對新領域的推動和引導。並進行中長期資訊化規劃,和形成短期的可執行計畫。
以下給出一個評估IT架構成熟度流程化的參考示例。
表1 成熟度分析表
IT基礎設施
IT基礎設施更加關注的是IT運行維護的穩定性、IT風險控制以及績效評價。建議參考ISO17799、ITIL、CMMI、BCM等標準,建立綜合的IT流程控制框架,明確各流程的KPI、KGI及成熟度等級,形成完備的IT風險控制體系與IT精細化績效管理體系,通過制度、流程及技術手段進行監測與管理。
對於IT基礎設施最基本的任務——維護IT系統,則可參考ITIL(IT Infrastructure Library)對於在對整個IT運維體系進行了梳理,提高IT服務整體水準和完善IT服務流程,以提高運行績效和客戶滿意度。
ITIL是IT服務管理的最佳實踐總結ITIL 列出了各個IT服務管理流程的最佳目標、活動、輸入和輸出,以及各個流程之間的關係。ITIL V2曾被視為提供IT服務最有效的方法。2007年後,ITIL V3發佈。它涵蓋了IT服務的5個生命週期、共17個流程、共4個職能。ITIL在IT維護過程當中所提出的服務台、變更管理、事件管理等重要流程都是經過了全球眾多的IT企業或IT部門所證明的最佳實踐。
在IT風險控制方面:如何保護組織資訊資產的機密性、完整性及可用性。ISO17799:2005提供了很好的最佳實踐。ISO17799標準其中包含11個主題,定義了133個安全控制。其中133個安全控制可以作為指導資訊安全管理工作的最佳實踐參考。通過IT風險控制,可以保護資訊不受廣泛威脅的損害,確保業務的連續性,將商業損失降至最小,使投資收益最大並創造新的戰略機遇。而ISACA最近提出的RISK IT也可以作為一個有用的最佳實踐參考。
在IT服務績效考核方面:COBIT為每個過程提供了關鍵目標指標(KGIs)、關鍵績效指標(KPIs),關鍵成功要素(CSFs),這些指標與ITIL過程結合,可以建立ITIL過程管理的基準。在實際應用中,綜合兩個指標提出更容易理解的適用於本企業環境的IT治理和運行架構。
當然,以上僅列舉了IT基礎設施所涉及的部分內容,在具體過程當中,可以參考其他最佳實踐幫助公司做出正確的管理和決策,如專案管理方面,PRINCE2(專案管理體系)是一個很好的關於專案管理的方法論。它集中於專案管理的戰略層次,同時他是一種通用的架構。對於每個過程,PRINCE並有提供具體實現技術和工具,擁護可根據實際需要,使用有益的任何工具,如甘特圖,關鍵路徑、專案管理軟體等。
業務應用需求
業務應用需求關注的是IT如何滿足業務需求。更進一步來說,是如何做到IT與業務融合的關鍵階段。目前國內證券行業在IT與業務的融合方面普遍不理想:券商的主營收入仍依靠經紀業務,核心開發團隊缺乏,IT在產品研發、資訊挖掘、風險管理方面的應用未能充分發揮價值等問題。
解決IT與業務之間的支持與需求的矛盾,建立恰當的創新激勵機制是關鍵。重點是加強各部門之間溝通與協調,以達到平衡利益與責任的關係,要加強流程融合,推動IT與業務在流程層面的融合,在整個公司層面來關注促進IT與業務的融合。而激勵機制的最重要的客觀參考資料,可以來自平衡計分卡、VAL IT的投資回報率,ITIL的客戶滿意度、ISO27004資訊安全有效性測量等工具化的平臺或報表.
除了建立激勵機制,人力資源則是解決IT與業務融合的另一重要因素。應在公司形成適時而變、保持活力的IT組織結構;保持在管理、規劃、工程、設計、開發、運維方面的人員合理配比,通過內部培養與外部引入結合的方式,完善IT人員的業務與技術知識結構,提高IT創新能力。
IT投資和優先權
IT投資不再僅關注在IT的解決方案方面投資,還需要關注IT技術轉變方面投資,這就意味著比過去的投資更複雜、更具有風險。很顯然,IT投資能帶來高回報,但前提是必須有正確的IT治理和管理模式,以及各級管理層的支援和約定。平衡風險和回報,這是擺在所有董事會成員和主管人員面前的首要問題。VAL IT可以為公司在解決IT投資和優先權方面提供最佳實踐參考。
Val IT著眼於投資決定以及收益的實現,而資訊系統和技術控制目標關注的是實行。Val IT支持實現來源於技術投資的真實商業價值。Val IT與所有的管理層都有聯繫,包括商業和IT,包括首席執行官、主管和那些直接參與挑選、採購、開發、實施、部署及實現收益的部門員工。Val IT標識所有潛在的問題、成本、風險,以及一個平衡由IT驅動的業務投資部門,它同時提供了部門能力基準並允許企業之間交換關於價值管理最佳實踐的經驗。
Val IT框架的相關指導原則可應用到管理流程當中,包括價值治理、部門管理和投資管理等,Val IT框架能夠通過工具來實現具體的IT投資治理。
2.2 IT治理是長期過程
IT治理是一項涉及面廣、規範性強、實施難度大、有一定風險的系統工程。另外,建立IT治理機制是一個動態的過程。公司的業務戰略轉變與技術發展以及IT治理理論的發展都要求不斷改進、完善IT治理的目標、策略、方法、手段。另外,環境的動態性也決定了IT治理的動態性。這表明對於IT治理的完善,是個循序漸進的過程,需要通過階段性的實施,沒有良好的IT治理結構和持之以恆的評估回饋機制。
因此建立完整的IT治理機制是一項長期的工作,不能一蹴而就,應當從基礎到高級,從容易到複雜、從規範化到差異化一步步分階段實現,最終使IT成為組織的核心競爭力。建議按以下步驟分階段地實施IT治理,以控制IT風險和提高IT績效。
2.3 常見應用工具集
許多券商也曾提出在提升IT治理能力上,哪些工具比較適合這樣一個問題。為此特舉了業界中比較常見的工具以供參考。如管理意識、IT控制診斷、應用指導、訪談列表等。這些工具的設計讓IT治理的應用更容易,讓公司能夠快速且成功的從IT治理理論具體落實到可執行的工作當中,而通過採用平臺化的工具可以提高工作效率,如:IT風險控制方面:GooAnn的ITRM風險管理工具;ITIL方面:HP Openview、CA Unicenter、BMC Remedy 、IBMTivoli等IT管理產品;專案管理及投資管理方面:HP PPM、CA Clarity,同時還有各類的專業培訓機構,各類IT控制診斷工具都是作為輔助手段提升IT治理能力。
