金融业IT治理和风险管理的计划

　　我国金融业IT治理和风险管理现状具体体现在以下三个方面：一、金融机构的信息安全与风险问题成为利益相关者关注的焦点，所有各方都在公司治理、IT治理和内控方面寻求更大的保证。因此，政府和监管机构正在不遗余力地出台大量的合规要求。自1999年至今国内外内关于金融业IT治理和风险管理的法律法规的演进历程来看，金融业IT治理和风险管理要“在法规遵从上不存在折衷与妥协。”

 

 

　　二、我国金融企业信息化正在从大规模的建设阶段进入以IT与业务深度融合和加强IT风险管理为主要特征的“融合发展”阶段。基于ITGov的研究分析，治理型IT运维服务管理体系将成为有中国特色的IT服务管理的发展趋势；IT治理体制、IT控制能力、IT商业价值、风险管理和绩效评价等五个方面将成为金融业IT治理领域关注的焦点。

 

 

　　三、IT治理体制和机制不健全成为制约信息化快速发展的主要障碍之一，主要体现在：首先是职责不明确。其次是履职要求不明确。再者是决策规则和程序不明确，沟通渠道不畅。如采用何种信息架构，是怎样做出决策的。最后是缺乏有效的激励和监督机制。

 

 

　　我国金融业IT治理和风险管理面临的的挑战

 

 

　　挑战之一集中在董事会与高管层面，其在金融业IT治理上面的压力和对金融业IT治理工作的职责越来越凸显。但目前国内外对IT的监管尚无标准可循。ITGov认为董事会不对IT进行监管，好比企业不对财务进行审计，这是非常危险的。

 

 

　　挑战之二体现在价值观和文化层面，基于中国国情、符合金融机构和政府监管部门需求的金融业IT治理标准、知识体系和管理规范远远滞后于发展的需求。公司治理、IT治理、内部控制、全面风险管理等等，其根本成功因素最终取决于公司最基本的价值观和企业文化。

 

 

　　挑战之三表现为信息化管理体制和机制层面的障碍，这在以下三个方面带来了极大的挑战：IT与业务战略融合、IT控制能力与业务价值相协调、IT投资获得最大成效。CIO们迫切需要强化自身的IT控制理论水平，成为金融业IT治理与风险管理方面的专家。

 

 

　　ITGov关于金融业IT治理和风险管理的对策建议和金融业IT治理框架

 

 

　　基于金融业IT治理与风险管理现状与挑战的分析，ITGov关于金融业IT治理和风险管理的对策建议是：需要建立健全符合其文化的金融业IT治理与风险管理机制和框架；需要一位具有IT领导力的领导者，来统驭金融业IT治理与风险管理工作；企业需要大力培育“IT控制能力”，这才是成功信息化的“基因”；企业需要通过事先设计的组合管理方法来综合治理IT风险；企业需要建立基于标准化流程的IT管控体系。风险管理的本质与最终目标是塑造具备良好风险管理意识的企业文化，这也是一个具备卓越IT控制能力、创新型与学习型企业所应具备的基本特征。

 

 

　　ITGov自主创新的中国企业IT治理框架，该框架有七要素组成：科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、IT控制能力。高水平的、可持续的IT治理，需要考虑同时到这七个要素：

 

 

　　1、科学的信息化发展观是IT治理框架构建的理论指导方针；

 

 

　　2、国外公认的IT治理方法和中国国内自主创新的IT治理方法是IT治理框架构建的工具，二者的结合是正确构建IT治理框架的前提基础；

 

 

　　3、科学的发展离不开科学决策，科学决策是科学发展的重要环节，IT治理首当其冲的就是建立什么样的决策模式。IT治理必须要树立科学决策意识、并健全决策机制，完善决策方式、规范决策程序、强化决策责任，保证决策的正确有效；

 

 

　　4、IT治理决策的实施是要靠规范化、精细化和主动式的IT全生命周期风险管控流程来实现，同时对IT全生命周期风险管理控制过程与结果进行评价，并持续改进过程与度量方法；

 

 

　　5、具有持续竞争优势的动态的IT控制能力是IT治理水平背后的决定性因素，IT治理水平是IT控制能力的表现；ITGov认为金融企业IT控制能力的基因分为三层：文化、人力资源和信息与沟通构成IT控制能力基因的基本要素，组织形成的IT控制惯例是基因的功能层要素，包括IT战略、制度与技术；金融企业对环境的适应机制构成基因的适应演化层要素。不同金融企业这些基因要素的组合不同，表现出金融企业IT控制能力的异质性。不同层次的基因功能不同，他们组合在一起决定了企业IT控制能力的各种外在表现和演化机制。

 

 

　　6、IT治理的最终目的是实现IT商业价值。IT商业价值是指IT对金融企业绩效或竞争优势的贡献。IT商业价值既包括对最终财务的贡献、也包括对价值创造过程的贡献以及对未来竞争优势的贡献。

 

 

　　金融业IT治理和风险管理是需要持续的、制度化的方法来实现的长期工作。我们一定要以全球最佳实践为出发点，走有中国特色的IT治理之路。如果金融机构都遵循这样一种管理控制流程，该管理控制流程的目的在于改进其内部控制系统，进而最终达成合法合规，那么将会为企业带来持久的收益。一旦中国金融企业形成了与企业文化相适应的良好治理结构，这就是中国金融企业的核心竞争力。

 

 

　　近年来，银监会、证券和期货业协会等政府监管部门和行业协会陆续发布了关于IT治理的指引，理论界和实务界也有关于IT治理的大量的探讨，但在IT治理的若干基本概念上，却各有各的理解和定义，在执行中也莫衷一是，这显然不利于IT治理的交流、推广和发展。为此，ITGov中国IT治理研究中心在多年理论研究和实践的基础上，提出IT治理的基本概念定义，以期抛砖引玉，最终形成符合中国国情和企业实际需要的IT治理基本定义。

 

 

　　IT治理的定义

 

 

　　IT治理是指设计并实施信息化过程中各方利益最大化的制度安排，包括业务与信息化战略融合的机制，权责对等的责任担当框架和问责机制，资源配置的决策机制，组织保障机制，IT控制能力发展机制，绩效管理机制以及覆盖信息化全生命周期的风险管控机制。该制度安排的目的是实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，建立信息化可持续发展的长效机制，最终实现IT商业价值。（ITGov，2008）

 

 

　　IT治理的目标

 

 

　　ITGov中国IT治理研究中心归纳总结IT治理有四大目标：IT与组织战略目标融合互动、有效利用信息资源、管理风险、构建信息化可持续发展的长效机制。具体内容如下：

 

 

　　1、 IT治理的目标之一——IT与组织战略目标融合互动

 

 

　　目前，大多数组织的信息化战略规划是在组织战略规划的驱动下进行的。首先在充分、深入研究组织的发展远景、内外部环境、业务策略和管理基础上，形成信息化的远景、信息系统的组成架构、信息系统各部分的逻辑关系，以支撑战略规划目标的达成，其次对各信息系统的支撑硬件、软件、技术等进行计划与安排。但是，IT治理理论与实践告诉我们，信息化战略与组织战略的关系是双向的，具有业务运营、技术变革、竞争优势和服务四种视角，组织战略与信息化战略是一种动态的平衡。由组织战略驱动的信息化战略还没有达成与组织战略高度整合，不利于信息化战略的可持续发展。

 

 

　　2、 IT治理的目标之二——有效利用信息资源

 

 

　　目前，宏观层面信息化投资规模大、绩效不佳是不争的事实；微观层面上信息孤岛、信息化工程超期、 业务需求得不到满足、IT平台不支持业务发展等问题较为突出。信息资源的开发和利用是信息化建设的核心任务，是信息化取得实效的关键，是衡量信息化水平的一个重要标志。通过IT治理可以对信息资源的管理职责进行有效的制度设计，保证投资的回收，并支持业务战略的发展。

 

 

　　3、 IT治理的目标之三——管理风险

 

 

　　由于企业越来越依赖于信息技术和网络，新的风险不断涌现，例如，新出现的技术缺乏适当管理，不符合现有法律和规章制度、没有识别对IT资产的威胁等。IT治理强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施监控，事故处理。IT治理使企业适应外部环境变化，为企业内部实现对业务流程中资源的有效利用，从而达到改善管理效率和水平的重要手段。

 

 

　　4、IT治理的目标之四——构建信息化可持续发展的长效机制

 

 

　　当前，我国的信息化发展主要依靠合规的强制要求、上级领导部门和“一把手”的重视，缺乏内生的动力机制。根据ITGov中国IT治理研究中心的理论研究和实践，充分发挥好信息化绩效评估的“指挥棒”作用，就可以构建信息化可持续发展的长效机制。即在IT治理框架和信息化全流程风险管理控制体系的基础上，通过严格的绩效评估和评估结果的透明披露，靠“问责”的制度化来实现信息化可持续发展的长效机制。

 

 

　　总之，IT治理的目标将帮助管理层建立以组织战略为导向，以外界环境为依据，以业务与IT整合为中心的观念，正确定位IT部门在整个组织中的作用。