中國證券公司IT治理

導讀:證券公司的IT治理是一項涉及面廣、規範性強、實施難度大、有一定風險的系統工程。觀念的改變最前提，組織保障是要害。 IT治理是機制的集合，更是治理主體間互動的過程。公司的業務戰略轉變與技術發展以及IT治理理論的發展都要求不斷改進、完善IT治理的目標、策略、方法、手段。

一、引言

    中國證券市場從創建到現在已經有15年的歷史了。在這十幾年裡，證券市場從無到有，從小到大，取得了舉世矚目的成就。在這期間，IT的廣泛應用為證券市場的發展起到了巨大的推動作用。從股票的簡易電子化資料處理、統計，到實現股票無紙化、再到實現多種委託方式的證券交易全程電子化，每前進一步，都因為資訊技術的應用而顯著提高了市場運做效率、提升了市場交易能力，滿意了市場不斷擴容的需求。

    證券公司作為證券市場的參與主體之一，是聯繫投資者與交易所、登記結算公司、銀行等單位的重要環節。隨著證券市場的發展，證券公司的經營環境發生了很大變化，一方面，市場競爭日趨激烈、監管力度不斷加強，使證券公司面臨嚴重的挑戰；另一方面，由於市場規模不斷擴大，交易品種日益增多，上市公司治理結構不斷完善，整個市場的運作越來越規範等，也使得證券公司面臨許多新的發展機遇。在這樣的背景下，證券公司的業務戰略發生了根本轉變，主要體現以下幾方面：

    1、業務方式的轉變：由以營業部為營運中央的分散化經營向以總部為營運中央的集約化、規模化經營轉變；
    2、治理方式的轉變：由對營業部的粗放式治理向集中規範化管理的轉變，實現從垂直型管理向扁平化管理轉變；
    3、服務方式的轉變：由以交易為中心“坐商”（被動服務）向以客戶為中心、以市場為導向的“行商”（主動服務）轉變；
    4、服務內容的轉變：從單一經營股票為主逐步發展成為股票、基金、債券、期貨、期權、外匯、保險等多種金融產品的綜合性金融服務。

    上述轉變離不開IT系統的支撐。從整個IT架構體系來看，IT支持業務主要體現在以下四個方面：

·            基礎環境（網路、機房、標準、安全等）建設；

·            核心業務系統（證券交易系統）建設；

·            管理資訊化（財務管理、人力資源、OA等）建設

·            以及以資料中心為依託的決策支援相關系統（行銷、客服、風控、審計、決策支持等）建設。

    證券公司沒有上述IT應用的支持是難以想像的。因此，證券IT戰略對業務戰略至關重要。但是，就目前而言，由於技術管理機制的問題，證券IT戰略對業務戰略的支持和融合還有待進一步加強，在證券公司IT建設和運行過程中仍舊存在一些根本性問題沒有系統地加以解決，其中最大的問題是IT治理缺失，導致的不良結果主要體現在：
    1、 缺乏整體IT規劃或執行規劃隨意性較強，標準化、規範化等基礎工作不到位，導致出現大量資訊孤島，使證券公司面臨繁重的系統整合工作；
    2、 業務部門與技術部門“兩張皮”，溝通交流困難；
    3、 事故責任不清，技術部門承擔責任過大；
    4、 一些系統建成後沒人進行後續跟蹤研究、推廣使用；
    5、 預算缺乏完整性，計畫外專案過多；
    6、 專案投資出現失誤或投資回報不高；
    7、 專案管理缺乏控制手段，專案延期交付時有發生；
    8、 缺少IT審計環節；
    9、 不清晰IT價值何在，認為IT只是工具；
    10、缺乏IT人才的培養、激勵和約束機制。
    隨著證券公司資訊化的不斷深入，上述問題逐漸制約了證券公司IT建設的有效性，直接影響了業務戰略目標的實現。因此，如何從根本上解決上述問題，加強IT治理，已經成為證券公司面臨的重要課題。

二、證券公司IT治理的目標

    證券公司IT治理是一個較新的概念。IT治理不同於IT管理，治理是規則、制度、機制、責權利的確定，管理是制度的執行。多年來，證券行業內IT從業人員為保障系統安全可靠運行不斷地進行探索和總結，積累了大量的系統規劃、建設和運行管理經驗。其中有治理的內容，也有管理的內容。這些成果為進一步開展IT 治理工作奠定了重要基礎。IT治理作為一個明確的概念提出，能夠使證券公司對IT系統安全和IT投資風險等有新的熟悉，促使證券公司不僅從技術上控制技術風險，更要從機制上來控制IT風險，它是證券公司資訊化發展到一定階段的必然產物。
    那麼，證券公司的IT治理到底能夠為企業帶來什麼益處，其目標何在？結合海內外專家學者對IT治理的研究，我認為證券公司IT治理至少要實現以下目標：

    1、引導證券IT戰略，保證IT戰略目標與證券公司戰略目標一致
    引導證券IT戰略包括兩方面的內容，首先是在制定IT戰略規劃時貫徹業務目標主導，技術與業務互動創新的規劃理念。其次是在規劃實施過程中，能夠控制專案的預算投資、時間進度及功能符合業務要求；能夠保證IT系統安全運維目標的實現。同時，隨著業務戰略目標的調整，IT戰略也能夠得到及時調整。

    2、建立證券公司標準的資訊基礎架構，進一步提高IT建設的規範性、科學性和有效性，有力支援業務增長
    由於歷史的原因，我國證券公司起初基本上是以營業部為單位分散經營的，交易系統是以營業部為單位建立起來的。證券公司在進行交易系統建設時，一般都沒有建立相對穩定的標準和規範。加之證券公司不斷進行整合、重組，使得公司下屬各營業部的交易系統千差萬別。即使同一家廠商的櫃檯交易產品，在不同營業部安裝的版本也不盡一致。其他執行資訊系統，如財務、人力資源、固定資產、OA等管理系統更有可能是五花八門，造成證券公司內部大量的資訊孤島，難以進行資訊資源分享、挖掘和利用。
    隨著證券公司市場競爭的加劇，證券公司需要進一步重視IT應用的作用，調整IT資源配置，構建適合業務戰略發展的資訊基礎架構。詳細應以安全體系建設和資訊資源標準化作為基礎工程，把新一代、集中管控式交易系統及其災備系統的建設作為核心工作，把資料中心及相關應用系統的建設作為提高經營管理水準的重要技術手段，把IT基礎設施建設如基礎網路環境建設、機房建設、管理資訊化建設作為提高公司IT能力的基本保障。通過構建標準的資訊基礎架構，進一步提高IT 決策和建設的規範性、科學性和有效性，有力地支持業務增長。

    3、對證券公司核心IT資源做出合理的制度安排，成為證券公司開拓新業務、進行有效競爭、實現總收入增長、改善客戶滿意度及維繫客戶關係的制度保障
    業務高度資訊化的證券公司在經營過程中積累了的大量業務和管理資料，如客戶基本資訊、證券交易資訊、系統使用資訊等。這些資料是證券公司的核心IT資源。作為IT治理的目標之一，需要對證券公司核心IT資源的整合、利用做出合理的制度安排。要構建公司級的資料倉庫，首先把分散的資料進行邏輯集中、整合，為資料分析打下資料基礎；其次是針對業務運作和管理的需求，運用商業智慧（BI）技術對資料進行分析、挖掘，結合證券公司的實際情況開發出不同的應用主題，如市場行銷、風險管理、產品研發、管道整合、客戶關係管理、財務分析、績效管理等，並以查詢、報表、統計/多維分析等方式提供應最終相關使用者。對核心IT 資訊資源的採集、清洗、分析、利用等作好制度安排，是證券公司提高核心競爭力的必要舉措。

    4、指導和控制證券公司的IT投資、機遇、收益及風險
    證券公司過去主要面對的是市場不斷擴容的壓力，現在主要面對的是市場競爭的壓力。這種轉變使證券公司對資訊技術系統建設的要求也發生了深刻變化。證券公司已經開始分析、研究IT投資的回報問題。通過IT治理能夠明確IT決策流程以及相關責任人的職責、權利與義務，以便按照規範的操作流程進行科學決策。例如，對於成本高、收益低或風險較大的項目有可能選擇不上或緩上，而對於投入產出高、風險相對較小的專案或創新業務系統專案建設，又能夠提前作好技術預備、有效地抓住投資機遇，搶佔市場先機。

    5、使證券公司的風險透明化，從而保護利益相關者的權益
    IT治理是公司治理的組成部分。通過規範、公開的操作流程進行IT預算、投資決策、系統規劃、專案管理、運行維護等，可以使IT建設的風險透明化。便於及時調整策略、規避各種風險，從而保護利益相關者的權益。

三、證券公司IT治理的主要內容

    為了實現證券公司IT治理的目標，證券公司的IT治理應涉及與證券公司IT建設相關的所有要害環節和內容。結合IT治理缺失導致的各種問題，並參考海內外IT治理的相關經驗，我認為證券公司IT治理主要包括以下幾方面內容：

    1、組建IT治理委員會

    組織保障是成功進行IT治理的關鍵。IT治理委員會可由證券公司的最高管理層（董事會）及管理執行層包括IT管理和業務管理有關部門負責人、管理技術人員組成。
    證券公司治理委員會的主要職責是：
    （1）全面負責IT治理工作；
    （2）確定IT治理的原則；
    （3）組織制定IT治理架構；
    （4）審定IT戰略規劃；
    （5）全面指導和支援IT建設，加強全域的管理與流程執行的紀律；
    （6）把IT治理的相關規範融入到公司的內部控制中；
    （7）協調公司內部資源，能夠高效處理IT系統突發事件；
    （8）組織IT審計、績效評估工作。
    在工作機制方面，針對不同的工作內容，可以採用會議、函件、訪談等方式進行。例如可以定期召開會議，就公司業務戰略與IT戰略的驅動與設置等議題進行討論並做出決策；在處理證券交易系統故障時，迅速啟動事故應急流程，控制問題的蔓延，查清問題所在並進行妥善處理，把損失降到最低。

    2、確定IT治理的原則
    IT治理的原則是主導IT治理工作的指導思想，由公司IT治理委員會最終確定。可從以下幾個方面考慮：
    （1）統一熟悉。IT治理首先是認識、觀念問題，要解決證券公司決策層、管理層、業務等相關部門對IT價值的認識問題；
    （2）提高全體員工的IT素質，全員參與IT治理。證券公司較高的資訊化水準要求全體員工應具備相應的IT素質；全員參與是解決業務與技術“兩張皮”的關鍵。
    （3）貫徹標準化、規範化理念。把IT資源規劃作為IT建設的先導性基礎工作，把貫徹標準化、規範化作為IT治理的一項長期工作；
    （4）強化安全意識，不對現有系統運行造成負面影響；
    （5）充分利用、共用國內外成熟的經驗，降低管理創新的成本和風險；
    （6）對國際標準和最佳實踐的運用必須結合證券公司的實際情況進行裁減；
    （7）內外治理相結合。除了做好內部IT治理外，還要對不斷改進證券公司外部的IT治理環境作出必要的制度安排；
    （8）總體規劃，由易到難分佈實施，持續改進。必須認識到IT治理的複雜性，需要有足夠的耐心和合理的時間安排。

    3、構建IT治理架構

    構建IT治理架構是證券公司IT治理的核心工作。需要對IT建設的全過程進行認真梳理。證券公司的IT建設主要包括以下過程：第一，制定IT戰略規劃；第二，按規劃進行資訊系統建設；第三，系統安全運維；第四，總結改進。IT治理就是要針對上述過程進行監督、管控，制定一系列治理流程，如制定IT戰略規劃、IT預算、IT決策、IT基礎設施建設、核心業務系統建設、管理資訊化、IT資源整合利用、安全運維管理、風險管理、創新管理、專案管理、外包管理等的治理流程。同時，還要明確IT治理流程中各角色的責任、權利和義務。

    近幾年，國際上已經形成一些較為完整的IT服務流程的管理規範和治理規範，如COBIT（資訊和相關技術的控制目標）、ITIL（資訊技術基礎結構庫）、 ISO/IEC17799——資訊安全管理的國際標準、PRINCE2——受控環境下的專案管理等。其中，COBIT是資訊系統審計與控制協會（ISACA）提出的IT治理的控制框架，已經被業界公認為標準的IT治理方法論。

    證券公司的IT治理雖然具有證券行業的特別性，但在基本原理和方法上完全可以參照國際上的最佳實踐和相關標準開展工作。按照COBIT理論，被控制的IT 服務流程分為四個領域，包括系統規劃與組織、系統獲取和實施、系統交付和維護、系統監控。每個領域中又包含多個IT流程，共34個IT流程，即：

    ●規劃與組織：定義IT戰略規劃；確定資訊架構；確定技術方向；定義IT組織及其關係；管理IT投資；溝通目標和方向；管理人力資源；確保與外部標準的相容；評估風險；管理專案；管理品質；
    ●獲取和實施:識別自動化的解決方案；開發和維護IT程式；安裝和授予系統許可權；選型和維護應用軟體；管理變革；選型和維護技術基礎結構；
    ●交付與支持：定義和管理服務級別；管理協力廠商服務；管理績效和能力；確保持續服務；確保系統安全；識別和分配成本；管理運營；教育和培訓用戶；説明和指導IT客戶；管理配置；管理問題和突發事件；管理資料；管理設備；
    ●監控：監控流程；評估內部控制的充分性；獲得獨立的保障；提供獨立審計
    COBIT對已經定義的每個IT服務流程都設定一個高層次的控制目標，並以7個資訊準則（效果、效率、可用性、完整性、保密性、可靠性和相容性準則）進行監控，監控過程中做到：
    ●找出在這個IT流程中哪條資訊準則最重要？
    ●闡明流程運作中，通常哪些資源需要被均衡？
    ●考慮什麼是控制那個IT流程最重要的因素？
    在COBIT中，34個IT流程中每一個流程都有類似的一套控制目標。針對管理層和IT參與者總共34個流程形成了34個高層控制目標和318個詳細控制目標。同時還提供了建立在這些控制目標上的IT流程的審計指南、管理指南和實施工具集。其中：
    ●COBIT審計指南描述和提出了對應於每個IT流程的高層控制目標所應實際執行的審計活動，同時闡述了控制目標不被滿足的風險；
    ●COBIT實施工具集包含了管理意識、IT控制診斷書、實施指南、FAQ、COBIT案例和COBIT幻燈片。工具集用於輔助COBIT的實施，並能吸取成功組織的應用經驗。
    ●COBIT管理指南描述了每個IT流程的控制目標在企業中的具體運用的標準，包括關鍵成功要素（CSF）、成熟度模型(MM)、關鍵目標指標(KGI) 和關鍵績效指標(KPI)四個方面有機的作用：CSF——對於每個IT流程，COBIT給出了一些關鍵成功因素，這些因素保證IT流程始終在控制之中；MM——每個IT流程的成熟度模型把流程在組織中的運行狀況劃分為不同等級，即：0－沒有級別、1－初始級、2－可重複級、3－已定義級、4－已管理級、5－優化級，組織通過MM可以評估IT流程的運行程度，找出IT流程控制的差距，並採取措施有效改進；KGI和KPI——給出每個流程運行的目標指標和績效指標，通過這些指標，企業能夠衡量IT流程控制的績效。

    因此，COBIT是一個完整的、系統的、可操作的IT治理的方法論，並且是一個在業界公開的並為眾多政府和企業所接受的IT治理方法論的標準。在證券公司進行IT治理的過程中，引入和應用COBIT，必將帶動整個證券行業IT治理水準的整體提升。

    4、建立IT建設的激勵機制和約束機制

    證券公司IT建設的另一個重要問題是人才培養和團隊建設問題。由於證券行業的特別性，只有在閉市期間才能進行系統升級、改造、測試，因此，多年來證券IT 人員常常利用週末和平時下班後時間進行升級、測試、系統安全加固等工作。加之安全責任的壓力過大，迫使一些優秀的IT人才離開了鍾愛的證券IT事業。沒有穩定的人才隊伍，對證券公司的IT建設和系統運營十分不利，存在很大的安全隱患。而解決人的問題，短時間也許可以靠個人的責任心、敬業精神和企業文化吸引，但最終還要靠科學的機制實現。應該針對證券IT的特點，給予IT人員以相對于IT人才市場和公司其他部門更高的獎勵待遇。當然，作為完整的制度系統，也必須制訂對IT人員的約束機制或事故懲罰制度。另外，針對非IT部門的人員（如管理層、業務部門的人員）在IT治理體系中承擔的責任也要制定相應的激勵機制和約束機制。

    5、建立IT審計、評估機制

    評估證券公司的IT系統如核心交易系統是否具備了業務功能的完整性及運行的安全性與可靠性，核心業務資料如客戶資料等資訊是否保護嚴密等都要求證券公司必須加強IT審計，並把風險評估和內部控制擴展到IT系統的各個方面，包括公司內部網路環境、機房、網際網路、業務系統、管理系統等在內的任何直接或間接影響公司財務報表或企業競爭力的重要資料資源和處理系統。與此同時，還必須對與其互通業務資料的合作夥伴如交易所、登記結算公司、相關銀行、外包廠商等的內部控制系統有信心。因此，建立IT審計和評估機制很有必要。

    IT審計可以根據情況採用內部審計或外部審計的方式進行。證券公司的IT審計主要由以下部分組成：
   （1）IT系統的管理、規劃與組織：評價資訊系統的管理、計畫與組織方面的策略、政策、標準、程式和相關實務；
   （2）IT基礎設施與操作實務：評價證券公司在技術與操作基礎設施的管理和實施方面的有效性及效率，以確保其充分支援公司的業務目標；
   （3）應用系統開發、獲得、實施與維護：對公司應用系統的開發、獲得、實施與維護方面所採用的方法和流程進行評價，以確保其滿足公司的業務目標；
   （4）災害恢復與業務持續計畫：評價計畫的建立和維護流程能夠在發生災害時，達到持續進行業務的目標；
   （5）資產的保護：對環境與IT基礎設施的安全性進行評價，確保其能支援公司保護資訊資產的需要 防止資訊資產在未經授權的情況下被使用、披露、修改、損壞或丟失；
   （6）業務流程評價與風險管理：評估業務系統與處理流程，確保根據公司的業務目標對相應風險實施管理。

四、總結

    證券公司的IT治理是一項涉及面廣、規範性強、實施難度大、有一定風險的系統工程。觀念的改變最前提，組織保障是關鍵。另外，建立IT治理機制是一個動態的過程。IT治理是機制的集合，更是治理主體間互動的過程。聯合國全球治理委員會指出：“治理不是一整套規則，也不是一種活動，而是一個過程”。證券公司 IT治理是公司與所有利益相關者的互動過程，也是技術與業務的互動過程。公司的業務戰略轉變與技術發展以及IT治理理論的發展都要求不斷改進、完善IT治理的目標、策略、方法、手段。另外，環境的動態性也決定了IT治理的動態性。

    隨著證券公司對IT治理的不斷加強和完善，相信未來證券公司的IT系統將更加健壯、安全、可靠，系統的功能將更加完善，IT的價值會得到更好地挖掘，IT對業務和管理的支持將更加有效。IT將成為證券公司實現總體戰略目標的發動機和助推器。