当前位置:IT信息 > 正文
如何全面构建银行IT治理体系?

  一、前言

  近年来,随着信息技术革命的浪潮,国内商业银行也在不断推进银行信息化建设。今天,银行信息化正进入到一个关键阶段,在获得新的机遇的同时,银行也面临前所未有的挑战。具体表现在:

  银行的经营与管理已经完全建立在信息系统上,二者密不可分;

  银行的经营状况,与银行IT能力、信息系统的可靠与高效运行、信息的安全,以及信息的共享与挖掘、利用,有着密切关系;

  不断涌现的新信息技术,包括基于网络的服务、移动技术、大数据技术等,为银行带来了新市场、新客户。与此同时,如何让银行成为信息化银行,为新老客户提供新服务渠道、新产品,让银行的服务扩展并嵌入到客户衣食住行的各种场景里,让客户有更好的体验,则是相伴而生的新挑战。谁能抓住IT新机遇,谁就可能是明天的 “苹果”、“谷歌”;谁不能跟上IT的新潮流,谁就可能是明天的“柯达”、“黑莓”,不管你今天如何辉煌;

  IT建设需要巨大投入,但银行的董事会、管理层未必都能真正做到对IT有深刻的理解。IT战略决策一旦有偏差,效果与预期将相去甚远,带来的不仅只是几年的岁月蹉跎与成千上万人年的资源消耗,还有算不出来的资金开销;

  此外,IT还隐含了巨大的风险,如何能控制IT风险,发挥IT效益,是每个银行面临的一个新问题。

  以上问题不但银行业要面对,几乎所有与IT密切相关的行业都会碰到;不但在中国存在,国外企业比中国更早就意识到。为解决上述问题,IT治理的概念应运而生。

  二、IT治理定义

  构建全面的IT治理体系,首先要搞清楚IT治理是什么,它的起源和发展历史,这对我们理解IT治理十分必要。

  1、IT治理与IT管理的区别

  治理和管理分属不同层面,打个比方来说:火车行驶中管理仅仅是执行,是开火车,解决如何让火车跑得更快的问题;而治理则是谁来做决策,在哪修轨道,约束火车必须在轨道上行驶的问题。但同时治理和管理又是一个硬币的两面,缺了谁也不行。简单的说管理解决的是如何把事情做好,治理决定的是要做哪些事,谁来做这些事,以及决策机制如何建立、监控的问题。

  2、公司治理与IT治理

  IT治理的提出,一方面是因为信息已经成为我们企业最为宝贵的资产,IT在组织中已经扮演一个影响到组织全局、影响到治理层面的角色,另外一方面与全球瞩目的焦点难题—— 公司治理亦有着深刻的渊源。那么IT治理和公司治理到底是什么关系呢?

  公司治理问题一直是企业制度与组织的核心问题。近年来, 因上市公司频频“惊曝黑幕”,“公司治理”成为全球性的问题。公司治理是一种对公司管理和运营进行监督和控制的体系。它的核心是在所有权和经营权分离的条件下,解决好所有者和经营者的利益不一致而产生的委托—代理关系。其目标是降低代理成本,使所有者不干预公司的日常经营,同时又保证经理层维护股东的利益,实现公司价值和利益的最大化。

  IT治理就是公司治理的一部分。来自国际信息系统审计与控制协会 (ISACA)对IT治理的定义:IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。IT治理必须与企业战略目标一致。IT治理和其它治理主体一样,是管理执行人员和利益相关者的责任。研究IT治理,须将其放在组织背景中,将其看作是必须通过治理而产生价值地六种关键资产(人力、财务、实物、知识产权、IT、关系)之一。

  在公司治理的大框架下,有许多和IT治理相关的概念。图1清晰地说明了公司治理、IT治理、IT内控、IT审计之间的关系。

  3、IT治理和IT管理

  提到I T治理,很多人难以区别IT治理和IT管理。IT管理是公司的信息及信息系统的运营,确定IT目标以及实现此目标所采取的行动;而IT治理是指最高管理层(董事会)利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。可见,IT管理就是在既定的IT治理模式下,管理层为实现公司的目标而采取的行动。

  IT治理规定了整个企业IT运作的基本框架,IT管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好IT治理模式的公司,即使有“很好”的IT管理体系(而这实际上是不可能的),就像一座地基不牢固的大厦;同样,没有公司IT管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,而缺乏实际的内容。

  4、IT治理的起源、发展历程

  为了更好理解IT治理的内涵,需要追溯IT治理的起源,搞清楚IT治理的发展历程。我们将IT治理的发展划分为三个阶段,从1980年-1999年我们称为准备阶段,这一阶段诞生了许多相关的IT治理框架模型、但是并没有一个全面清晰的IT治理概念的提出,还停留在对IT管理和控制框架的摸索中;1999年BIS的报告将IT管理和控制提高到了IT治理的层面,这个时候IT治理真正进入了起步阶段;2006年SOX404条款的生效,促使企业将IT治理提高到了一个前所未有的高度。

  最后用一句话来概括IT治理的发展历程:企业管理的信息化和亟待改善的公司治理状况共同促成了IT治理的诞生、融合和发展。

  三、为什么要做IT治理

  为什么要做IT治理,为什么IT治理对于组织的持续成功至关重要?对于IT治理的重要性,经过大量企业的调研归纳总结出7个原因:

  1、良好的IT治理得大于失

  对于我们研究的盈利企业而言,从3年期的行业调整资产回报率来看,那些有着高于IT治理绩效平均水平的企业在实施特定战略(例如:客户至上或卓越运营等)时会得到更丰厚的利润。实际结果因公司采取的具体战略不同而有所不同,但这些治理水平超出平均水平的企业的资产回报率,比那些采取相同战略但治理薄弱的企业要高出20个百分点。

  2、IT是昂贵的,且无处不在

  目前,企业在IT方面的平均投资已经超过了营业额的4.2%,并且还在不断上升。这样的投资力度导致了许多企业的IT投资额占企业年度总投资额的一半还要多。鉴于IT已经变得更加重要和普遍,如何管理和控制IT以确保其为企业创造价值,是高层管理团队面临的日益严峻的挑战。

  在很多企业,集中管理IT既不可能,也不必要。以前IT支出的要求仅仅来自于IT团队。但是今天,IT方面的支出可能产生于企业的任何一个部分。一些估算显示,IT预算只占IT相关支出的20%,而余下的部分则包含在业务流程预算、产品开发预算,以及其他各种各样的预算之中。良好规划的IT治理安排会将IT决策制订的权力分配给那些对结果承担责任的人员。

  3、新信息技术为企业提供新业务机会

  不断涌现的新技术,包括基于网络的服务、移动技术以及企业系统,使企业同时面临战略威胁和机遇。比如大规模定制化服务的出现和“一对一”营销的兴起,而这源于我们能够以更具成本效益的、实时的方式获取客户信息的技术能力。

  4、在组织理解IT价值过程中,IT治理至关重要

  企业力求理解IT相关活动的价值,因为这种价值难以通过传统的现金流折算分析说清楚。价值的产生不仅源于流程的不断完善,而且也源于企业应对竞争压力能力的增强。有效的治理创造出一系列机制,企业可以使用这些机制更好的探讨本公司潜在的价值是什么,并使组织学习正规化。

  由于IT的实施不断地推动业务流程的标准化和一体化,技术专家和业务领导作用的相互交叉也越来越紧密。IT决策必须成为联合的决策。当高层主管人员忽视了决定IT成功的IT实施责任时,巨大的灾难往往会接踵而来。成功的企业不仅有着更好的IT决策,也有着更好的IT决策流程。

  四、IT治理的范围与内容

  通常认为,IT治理的对象包括:IT战略、IT组织、IT系统架构、IT基础设施、IT风险、信息安全、IT运营等各方面。其中,IT运营又包含IT决策流程、IT项目管理、IT运维管理、IT采购管理、IT绩效管理等。

  上述IT治理范围中,针对中国银行业,具体内容有哪些呢?

  中国银行业的IT建设从上世纪70年代末开始,经过了几十年的发展,当前已经取得了非常大的成绩。无论是对外的业务与服务还是对内的管理,银行都已经离不开IT支撑。对于维持银行日常经营管理的需要,银行IT已经能基本满足,但是,银行业务部门对IT的普遍反映是:

  银行IT的建设还是跟不上银行业务的发展,满足不了银行内部管理要求越来越高的需要;

  IT总体能力不足,人员数量与素质有待提升;

  要减少对IT外包的依赖,提高自主研发或主导研发的能力;

  IT项目建设周期长,项目质量不理想;

  IT整体规划不足,各IT产品之间的信息不能共享,存在各种的IT风险;等等诸多意见。

  可见,银行IT现状远没有达到理想状态,IT治理还是有很大空间。

  在中国的银行业,IT治理最主要的目标是,确立IT的战略目标与定位,理顺IT的各种关系,提升IT的核心竞争力,让IT能围绕银行的战略,更好地为银行的业务与管理提供支持与服务。其中,核心目标是提升IT的能力,提升IT的核心竞争力。银行IT的核心竞争力具体内容体现在:银行的IT架构、IT团队、IT系统、IT基础设施和IT企业文化。

  (一) IT架构

  银行IT架构治理包括明确架构的层次,各层架构的内涵,以及各层之间的关系。

  银行IT架构通常可以分为五个层次:战略架构、业务架构、组织架构、信息系统架构、IT基础设施架构

  (二) IT团队

  银行IT团队是银行IT最重要的核心竞争力,也是IT治理要关注的一个非常重要的对象。

  (三) IT系统

  银行IT系统的治理包含了非常广泛的内容。治理的目标要针对信息系统存在的各种问题。这些问题主要表现在信息系统的可靠性、安全性、运行效率、开发效率、产品创新、信息共享等方面。要解决上述问题,最主要的是信息系统的架构治理。信息系统架构属于IT架构的一个重要组成部分,要兼顾效率与灵活、安全与方便、集中与分布的平衡。信息系统架构细分可以包括:应用架构、程序架构、数据架构、数据治理(含信息标准与规范)、流程架构、信息安全架构等。

  (四) 基础设施架构

  银行IT基础设施指的是为了银行信息系统能安全、高效运行所需要的一系列硬、软件设施,包括机房、动力、空调、各种计算机和网络通信设备;各种操作系统、数据库、中间件、应用工具等。

  基础设施架构治理指的是如何根据IT运行需要,满足性能、容量与安全要求,结合技术发展,配备与配置这些硬软件。

  (五) 企业文化

  IT企业文化是银行企业文化的一部分。企业文化包括无形文化与有形文化,无形文化主要是指企业的精神文化,而有形文化包括企业的制度文化和企业的文化设施。企业文化的治理目标主要是为企业建立起优良文化,并发扬光大。

  五、IT治理的核心思想

  为了达到IT治理的三大目标,IT治理需要处理哪些问题,IT治理的核心思想是什么?IT治理的核心思想,就是有效的IT治理必须解决的三个问题:

  1)为了保证有效地管理和使用IT,应当做出怎样的决策?

  2)由谁做出这样的决策?

  3)如何做出这些决策以及如何监控这些决策?

  对于这三个问题我们一一做出探讨。

  1、IT治理要做出哪些决策

  我们给出IT治理的5大决策方向(见下图):

  这五个决策是彼此相关的,有效的治理必须关注它们之间的关联性。举例来说,IT原则驱动着整体架构的形成,而整体架构又决定了基础设施。这种基础设施所确定的能力又决定着基于业务需求(通常由业务流程的管理者确定)的应用的构建。最后,IT投资必须为IT原则、整体架构、基础设施和应用需求所驱动。IT治理需要确定每一个决策该由谁来负责输入,以及由谁来负责做出决策。由谁做出这样的决策可以通过治理设计框架来解决:

  在此我们给出的是IT治理设计框架最基本的架构,可以在任何一个企业进行实施。这个架构勾画出了企业的战略和组织、IT治理安排以及业务实施目标的协调一致性(水平箭头)。战略和组织、IT治理安排以及业务实施目标这三者分别通过IT组织和期望行为、治理机制、以及度量指标得以确定。这个框架也同时阐明了IT治理与其他关键资产治理保持协调一致的重要性。

  2、如何监控和评估这些决策

  可以通过关键成功因素、成熟度模型、关键目标指标、关键绩效指标四个方面的有机作用,确保决策及IT治理的成功。

  ·关键成功因素

  关键成功因素为管理部门控制信息技术及其处理过程提供了实施指南。它们是信息技术处理过程中的最关键的要素,是战略性的、技术性的过程或活动,勾画出了IT的控制轮廓。

  关键成功因素是为提高处理过程的成功可能性所做的最重要的事,通常与组织的目标保持一致,是组织和处理过程的可观察可测量的特征,分布于企业的战略层、战术层、应用层及组织的各个方面,可以通过目标分解与识别的方法选择关键成功因素。

  ·关键目标指标

  关键目标指标是指通过创建和维护一套处理和控制适当业务绩效的系统,来指导并监督IT传递的商业价值。

  关键目标指标是处理目标的一种表达,明确要取得什么目标,并描绘处理的结果,进行事后评判,直接体现处理过程的完成成功与否,间接体现处理带给经营活动的价值。

  ·关键绩效指标

  关键绩效指标对关键成功因素进行评价,通过监测某IT处理过程的执行情况,告诉管理层该处理是否满足其经营需求。关键绩效指标是IT处理过程的性能指标,表现为IT的实际业绩。通过有效性、保密性、完整性、可用性、一致性、可靠性等指标来测定IT的绩效。下表列出对企业具有普遍性意义的关键绩效指标。

  ·成熟度模型

  IT成熟度模型制定了一个基准,组织可能根据上面的指标确定自己的等级,从而了解自身目前的境界。

  六、IT治理体系理论模型

  明确了企业各个层面在IT治理体系中的任务和使命的基础上,我们提出了IT治理体系的理论模型。这个理论模型是基于对现行的各种IT治理体系结构和国际标准的基础上建立的。企业IT面临的变化和问题,体现在IT体系的核心三要素技术、人员、流程上,通过建立全面的IT治理体系可以解决企业IT面临的所有问题。

  全面的IT治理体系分为三层,底层有ISO/IEC27001支撑的IT基础架构、IT安全,负责IT架构管理、统一的监控与性能管理、安全管理、端到端的应用管理。中层由ITIL3.0 ISO/IEC 20000为支撑的IT服务管理,关注IT服务,运营层面,包括服务设计及管理、服务交付保障、实施测试与发布、服务运维管理。

  建立全面的IT治理体系统一IT技术、IT人员、IT流程,除了可以满足合规要求之外,真正的使企业的IT和业务保持一致,发挥出IT的最大价值,管理好企业的IT体系。

相关链接:

作者: 来源:网络 发布时间:2017-12-01 08:26:28
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任