银行IT治理

银行IT治理（精选8篇）

银行IT治理 篇1

0 引言

我国商业银行频繁发生的IT风险事件, 使商业银行的投资方、经营方、监控方和国家、企事业单位及公民个人等利益相关者都强烈地意识到, 信息技术已经成为影响我国商业银行经营稳健、业务安全和客户及公众正常经济活动的重要风险因素。

银行IT风险是银行在运用信息技术的过程中产生的对企业目标实现的负面影响。银行IT风险不仅具有突发性强和影响面广的特点, 还具有一些与业务相关联或与银行这种组织相关的其他特点。IT风险与传统的风险有何区别, 在面对IT风险时, 我们应该怎样去降低风险损失到可接受的水平, 这些问题都在信息化的过程中不断展现出来。

本文在梳理了之前研究银行IT风险的相关文章的基础上, 对银行IT风险的管理现状进一步分析, 提出了基于IT治理的银行IT风险管理的建议。

1 目前银行IT风险管理的研究现状

风险是“一个事项将会发生并给目标实现带来负面影响的可能性”。杨峰将商业银行IT风险的概念概括为:信息科技在商业银行运用过程中, 由于自然因素、人为因素、技术漏洞和管理缺陷引发的信息技术失效以及该失效对银行业务造成的负面影响的可能性和影响程度。它除了具有一般风险的特征之外, 还具有如下的特征:IT风险的诱发因素多、发生的偶然性、影响的广泛性、后果的多样性、传播的瞬时性和评估的难度大。IT风险已经成为影响当今企业效益的重要因素, 对IT风险的研究也在快速的发展着。

近几年来, 国家有关部委、监管机构和其他金融、证券机构不断加强和重视对商业银行等金融机构的业务风险、经营风险、市场风险、信誉风险等等的监管, 对商业银行IT风险管理也提出了更为严厉的监管和要求, 颁布了一系列的商业银行管理, 特别是风险管理 (包括IT风险管理) 方面的法律、法规、条令和指引。

虽然, IT风险的巨大危害性已引起相关部门的重视, 但从我们银行的实际状况来看, 我们的风险管理工作和银行与监管部门的要求相比, 还存在很大差距。具体的表现如下。

1.1 信息科技风险仍然存在

目前, 针对于信息科技风险的问题, 银行通常已经做出了很多可执行的管理办法、指引、制度, 并制定了相应的流程, 能够基本支撑日常业务的运营, 但这些制度并没有按照一定的合理的框架去梳理归纳。针对于信息科技风险, 大多数银行还未从银行整体的角度去把握, 更多的处在治标不治本的阶段。

1.2 IT风险与信息安全的关系未理清

IT的应用是为了支持银行的业务运营的, 与业务联系紧密, 因此, 对于IT风险的研究更多的体现在对业务运营的影响上, 但IT本身的风险却没有得到应有的重视。2006年的《银行业金融机构信息系统风险管理指引》中的“信息系统风险管理”已经为“信息科技风险管理”打下了一定的基础。到2009年的《商业银行信息科技风险管理指引》, 已经将“信息科技风险”的概念清晰化了, 将“信息科技风险”作为银行整体风险的一部分来看待。但是, 在银行IT风险管理实践中, 信息安全还是信息安全问题, 归IT部门管;风险管理还是风险管理问题, 归风险管理部门管。两个部门工作上没有交互, 这说明在管理实践中, 没有真正认清IT风险与信息安全的涵义及其之间的关系。

1.3 缺乏具有实际指导意义的标准

国外对于IT风险管理的相关研究比较早且较为深入, 至今为之, 已经出台了多种IT风险管理国际标准。主要有如下几种:COBIT (Control Objectives for Information and related Technology, 信息及相关技术的控制标准) 、ITIL (Information Technology Infrastructure Library, IT基础架构库) 、ISO/IEC17799 (信息安全管理的国际标准) 、PRINCE2 (Projects IN Controlled Environments, 受控环境下的项目) 、ITBSC (Information Technology Balanced Scorecard, IT平衡记分卡) 等。目前, 国内针对于IT风险管理的标准还比较少, 而且现有的也更多的关注于权责的界定。

1.4 缺乏具体的IT风险管理基础技术手段

国内对IT风险管理相关理论研究仍侧重在IT风险概念的定义分类、原因及特点分析上, 而识别评估的研究缺乏, 风险控制主要以应用研究为主。目前, 银行的IT风险管理手段基本停留在制度检查层面, 没有相应的技术手段支撑。更多的问题都是在事后发现, 事前预防的能力有限, 事中控制更是薄弱。

1.5 缺乏相应的风险文化和IT人员

IT风险具有突发性和影响面广的特征, 同时, 信息技术模糊化了地域界限, 从而使得危机的传递更加广阔并且难以隔离开来。IT风险贯穿于企业的战略、策略和操作层面, 所以, IT风险在企业内部的扩散会从纵向和横向两个方向同时进行, 加大了处理危机时的难度。在一定程度上, IT风险未引起银行相关人士的足够重视, 不严谨的工作态度导致危机的发生。同时, 信息技术的应用, 需要更加专业的人才进行实际的操作。

IT风险的突发性及其破坏性之大, 决定了IT风险控制的必要, 同时, 也决定对其的控制不能只停留在某一个环节, 要从整体的角度去把握。就目前国内的银行IT风险管理现状来看, 还存在着种种问题。所以, 在此基础上引入了IT治理的概念, 从IT治理的角度来把握IT风险的管理问题。

2 基于IT治理的角度看银行IT风险

20世纪90年代兴起的IT治理理论, 是一种将信息技术与公司治理理论相融合的理论, 一方面强调引入公司治理理论提升IT投资决策绩效、控制风险, 另一方面强调借助IT提升公司治理绩效。IT治理是控制、指导、协调组织战略目标和IT目标的系统;是IT治理主体、客体、IT治理结构、IT治理机制的总称;是内部IT治理、外部IT治理的融合, 是IT治理方法、过程、目标与结果的统称, 是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化, 决策过程的协调交互性和决策结果的创新性。IT治理, 不仅要在企业内部建立IT管理控制架构, 完善企业对信息的内部控制, 还要在更深层面上解决体制和机制问题, 减小信息化和透明化所导致的不一致利益冲突所造成的成本。

本文从治理的角度来探讨银行IT风险管理的问题, 将IT风险管理提升到一个宏观的概念。本文在此提出了从IT治理的视角, 旨在形成一种合理的机制和架构, 能够在组织运营的全过程中对风险进行实时监控, 而不是只在风险发生之后采取挽救措施, 通过合理机制的构建, 更能在一定程度上在风险发生之前降低风险发生的可能性。所以, 本文基于IT治理的角度, 针对银行IT风险管理提出以下建议。

2.1 需要建立合理的IT治理架构

IT治理架构主要包括三部分的内容:IT组织, IT治理流程, IT制度。IT组织:一个成功的IT治理首先要有一个清晰的IT治理组织架构, 并且组织架构中的各个部门 (包括人员) 都有明确的角色和相关职责的定义。银行董事会、监事会和管理执行层都必须要对整个信息科技风险负责, 其责任必须覆盖系统自上而下的信息科技风险管理体系。出了问题, 董事会、监事会和管理执行层必须负责。IT治理流程:IT治理流程是保证企业的相关部门采用合理的步骤进行IT治理活动, 本部分的流程可分为了项目管理流程 (属于不定期流程) 和日常维护流程两大类进行描述;IT制度:IT制度是将日常的流程进行固化并形成针对企业的规范, 需要每个员工都加以遵循的一种措施。

IT治理要从组织目标和信息化战略中抽取信息需求和功能需求, 形成总体的IT治理框架和系统整体模型, 为进一步系统设计和实施奠定基础, 保证信息技术跟上持续变化的业务目标。所以说, 合理的IT治理架可以使信息技术的应用和银行的业务目标保持一致性。

2.2 重视IT本身的风险

IT是为了支持银行业务而运用的, 而且与业务紧密联系, 因此, IT风险主要体现在对业务的影响上。在实施IT治理的基础上, 可以保证IT和业务目标的一致性。我们将因信息技术与业务目标不一致导致的风险归为IT风险, 可我们忽略了IT本身存在的风险。我们在保证业务与IT目标一致的基础上要相应的重视IT本身的风险。比如说:信息系统本身的风险, 操作风险, 信息资产的风险等等。

2.3 加强IT风险合规性管理

IT治理的IT架构中有一部分内容是IT制度。IT制度:IT制度是将日常的流程进行固化并形成针对企业的规范, 需要每个员工都加以遵循的一种措施。同时, 针对于银行业, 银监会等管理组织会发布相关的标准或规章制度进行约束。如2009年, 银监会发布《商业银行信息科技风险治理指引》, 从诸多方面对信息科技风险进行限定。制度的建立可以在一定程度上有效的约束风险的发生, 让那些明显的不符合操作程度, 不满足需求的会对组织造成影响的风险扼杀在摇篮中。

2.4 建立风险度量制度, 实施实时监控

在组织内部, 建立相应的风险度量制度, 对IT流程或IT项目进行评估, 设立一定的标准, 当越过标准的时候, 应及时的对流程进行改造或终止项目的进行。我们知道在银行中, 随着业务的持续进行, 风险随时都可能发生, 并没有一劳永逸的方式阻止风险的发生。所以, 我们只能实时对我们所进行的工作进行监控, 才能降低风险发生的可能性, 尽量在风险发生前阻止风险的发生, 降低组织的损失。对于IT投资风险, 可以从投资项目的初始就进行测评, 在项目的实施过程中也一直进行测控, 并对照标准, 及时发现问题, 及时阻止风险的发生。

2.5 注重人员的培养与管理, 形成重视IT风险的文化

在信息化程度越来越高的银行中, 需要更多的懂得信息技术的人员。对于高层的管理人员, 需要了解信息技术的各个方面, 同时要对IT治理的概念有清晰的理解, 在运用IT治理去管理IT风险时, 能有清晰的思路, 并能很好的向下层领导及员工诠释IT治理的理念。对于中层管理者, 要能清晰的理解上层领导下达的关于IT治理的任务, 并能制定出相应的措施, 分解工作, 将其继续传达给下层工作人员。针对于在一线工作的操作人员。一定要熟练操作流程, 同时对相应的规章制度有明确的概念, 降低操作的风险。在整个企业当中, 各个岗位都应配备具有相应技能的工作人员, 同时, 在组织中, 应形成风险意识, 要明确风险管理不是某个人或某个部门的责任, 而是靠企业整体的工作人员共同努力的, 也不是一时的治理就一劳永逸, 而是要时刻关注的问题。

3 结论

针对于IT风险的突发性和影响面广的特点以及其对银行的重大影响, 银行IT风险管理对银行的重要性和必要性不容忽视。IT风险的产生是伴随着银行的运营持续存在的, 并不能一次性解决, 所以, 要想实时监控着银行IT风险发生的可能性, 必须设立一定的机制, 在此, 提出基于IT治理的银行IT风险管理。从宏观整体的角度实施监控, 在整个组织中形成风险意识, 在过程中持续监控, 努力将IT风险降低到可接受水平。

摘要：随着信息化的发展, 出现了许多信息技术支撑型的企业, 其中银行就是一个对IT最为依赖的行业。信息技术是一把双刃剑, 在给银行提高工作效率创造巨大利润的同时, 也有可能对银行的正常运营造成巨大的威胁。IT风险具有突发性和影响面广的特点, 所以, 银行面临着IT风险管理的迫切性和必要性。在分析银行IT风险的内涵及特点的基础上, 针对于银行IT风险管理的现状, 提出从IT治理的角度对银行IT风险进行管理, 并给出相应的策略。

关键词：IT治理,IT风险,IT风险管理

参考文献

[1]周颖, 周明.IT治理:管控IT风险的治本之策[J].中国金融电脑, 2008, (10) :20-26.

[2]徐刚, 高静, 梁淑静.基于公司治理的IT治理研究概述[J].财会月刊, 2012, (30) :85-86.

[3]杨峰.商业银行IT风险识别与评估研究[D].电子科技大学, 2012.

[4]周常兰, 陈宝峰.IT风险管理研究的新发展——ISACA的IT风险管理框架解读与启示[J].管理现代化, 2010, (05) :6-8.

[5]应里孟, 郑煦平.信息技术对企业内部控制影响分析[J].财会通讯, 2013, (05) :85-86.

[6]韩玲, 郭宗文.基于IT治理的信息系统内部控制对策研究[J].会计之友, 2011, (21) :118-120.

[7]杨涛.商业银行的信息科技风险及其防范[J].金融论坛, 2010, (11) :55-60.

基于企业架构的IT治理 篇2

企业架构的概念

企业架构是在信息化发展到一定程度提炼出来的信息化管理方法，起源于20世纪80年代，由John Zachman提出。此后，在各方学者、研究机构、政府和企业的推动下，企业架构得到广泛传播和蓬勃发展。在欧美发达国家，企业架构已经成为大中型企业、政府、军队普遍采用的管理工具。当前成熟的企业架构理论框架包括：Zachman、TOGAF、FEAF、DODAF、Gartner EA 和IAF等。

关于企业架构的定义，有不少专家和组织从不同角度进行了描述。

John Zachman：企业架构是构成组织的所有关键元素和关系的综合描述。

美国Clinger-Cohen法案：企业架构是一个集成的框架，用于演进或维护已有的信息技术和引入新的信息技术，从而实现组织的战略和信息资源管理目标。

OPEN GROUP：企业架构是指所有构成企业的不同元素，以及这些元素之间的关联关系。

Gartner：企业架构将企业战略转化为企业变革的需求、原则及蓝图，并通过持续的更新流程和管控流程推动企业变革，促进企业战略的实现。

各个组织和机构对企业架构的定义不尽相同，但对企业架构核心价值的理解是一致的，即企业架构是从企业全局的角度建立战略、业务与信息化的关系。

以企业架构为中心的IT治理框架

很多研究机构、学者对企业架构和IT治理的关系进行了研究， Gartner在其研究报告中提出企业架构能够有效提升IT规划和IT管理，提升IT和业务一致性，改善公司信息化的规划能力；欧洲共同体IT协会Open Group在其白皮书中提出通过EA在战略层、项目层和运维层为信息化与业务目标一致性提供保障，是卓越IT治理的重要组成部分；MIT 信息系统研究中心JEANNE W.ROSS 提出企业架构是IT治理关键决策依据，这些研究成果都一致认为企业架构与IT治理各项工作紧密相关。基于这些研究成果，进一步分析企业架构与IT治理的关系，提出以企业架构为中心的IT治理框架，如图1所示：

在该框架下，通过企业架构承载公司战略，为信息化规划提供重要输入，指导信息化项目的立项、设计、开发和上线，并与IT服务管理协同增效，以下做详细分析。

企业架构与信息化规划

信息化规划是在企业发展战略目标的指导下，在理解企业发展战略目标与业务规划的基础上，诊断、分析、评估企业管理和IT现状，结合所属行业信息化方面的实践经验和对最新信息技术发展趋势，提出企业信息化建设的远景、目标和战略。传统的信息化规划方法，如信息化战略规划（ITSP）、企业系统规划法（BSP）等，帮助企业步入IT建设正轨化道路，提升企业整体协作能力、整体竞争能力，但由于其仅从某个侧面捕捉信息化需求，缺少整体考虑，企业仍面临着IT规划和公司战略脱节、缺乏企业信息架构的总体布局等问题。因此有必要在信息化规划阶段引入企业架构，站在公司整体视角承接战略，布局总体信息架构。

关于企业架构与信息化规划的关系，有两种主流观点：①企业架构是信息化规划的一种方法，企业架构设计与信息化规划同步进行；②企业架构是信息化建设的蓝图，企业架构设计先于信息化规划，企业架构的结果是信息化规划的重要输入。两种观点虽有差别，但是对企业架构在信息化规划中重要性的理解是一致的，即通过企业架构明确企业信息化蓝图。国内外很多学者、研究机构和咨询公司提出了利用企业架构进行信息化规划的方法和模型，综合这些研究成果，基于企业架构的信息化规划方法如图2所示：

基于企业架构的信息化规划方法将公司业务战略、业务需求、IT战略和愿景转化为企业架构的架构蓝图，并分析架构现状和蓝图的差距，根据差距的内在关联性，打包形成IT解决方案和实施路线图，对年度实施计划提供统一的指导。

企业架构与信息化项目建设

在信息化规划阶段，通过企业架构设计明确了企业架构蓝图和解决方案。在信息化建设过程中，需要考虑如何落实企业架构蓝图。

荷兰国家统计局及乌得勒支大学计算机和信息研究所提出了依据企业架构设计系统架构的原则、框架和流程。基于这些研究成果，将企业架构与信息化项目建设紧密结合，提出信息化项目企业架构遵从模型，保障管控工作更具可行性和可操作性，如图3所示：

根据国内大型企业信息化项目建设的特点，分为三个大的阶段：项目前期、系统设计和系统开发实施阶段。企业架构遵从管控包括项目可研遵从管控、系统架构设计遵从管控、系统实现遵从管控，分别在项目可行性研究、系统设计和系统测试三个节点进行架构遵从管控。

nlc202309031958

各个阶段架构遵从管控要点如下。

项目可研遵从管控：

（1）在可行性研究报告编制过程中，信息化项目可研编制方依据企业架构明确该项目所要实现的业务架构、应用架构、数据架构和技术架构范围。

（2）企业架构管控方依据企业架构对可行性研究报告进行架构遵从性审查，审查项目内容与企业架构是否匹配、是否重复建设、技术路线是否符合架构要求等。

（3）审查通过后，可行性研究报告中的明确架构范围将作为项目起始架构（Project Start Architecture PSA）指导后续系统架构设计。

系统设计遵从管控：

（1）在概要设计过程中，信息化项目组根据企业架构和PSA，进行系统架构设计。

（2）企业架构管控方对系统架构设计成果的完整性、准确性及合规性进行审查。完整性指系统架构对企业架构的承接是否完整，系统架构设计是否齐全；准确性指系统架构设计是否合理，架构间的依赖关系是否正确；合规性审查指系统架构设计是否符合企业各项业务、技术标准与规范。

（3）审查通过后，系统架构设计指导后续详细设计和系统开发实施。

系统实现遵从管控：

（1）在信息系统测试过程中，企业架构管控方从架构遵从角度提出架构测试需求包括：功能测试需求、性能测试需求、集成测试需求等。

（2）架构测试方依据测试需求进行测试。

（3）企业架构管控方对测试结果进行架构遵从审查。

（4）审查通过后，将实现的企业架构蓝图更新为企业架构现状。

企业架构与IT服务管理

企业通过IT服务管理对IT系统的研发、实施和运营进行有效管理，ITIL（Information Technology Infrastructure Library，ITIL）是IT服务管理常用的标准和规范。企业架构和IT服务管理都是长期持续的工作，企业架构将业务战略、业务架构、应用架构、数据架构和IT解决方案有机结合；IT服务管理将应用架构、数据架构、技术架构、IT解决方案和IT服务有机结合，其关系如图4所示：

Open Group、Forrester、Garter等研究结构都对EA和IT服务管理的关系进行了研究，一致认为两者的结合与协作能够解决IT服务与业务需求的鸿沟，促进信息化在运维环节与公司业务战略保持一致。根据Open Group的TOGAF和ITIL关系，提出企业架构与IT服务管理协作模型，如图5所示：

企业架构与IT运维和服务协作模型中，在以下几个方面建立协作关系：

（1）在信息化方面：通过企业架构形成信息化建设蓝图和IT解决方案；IT服务管理则依据解决方案，设置IT服务目录，通过财务管理、变更管理、配置管理对IT解决方案的执行提供服务支撑。

（2）在流程协作方面：企业架构的变更需要与IT服务管理的变更管理、配置管理和发布管理密切结合。同时，在IT运维过程中涉及企业架构资产的变更需要与企业架构设计流程相结合。

（3）在成果共享方面：建立企业架构资产库与CMDB的集成共享关系，企业架构形成的应用架构、数据架构、技术架构和解决方案是共享给IT服务管理。同时，IT运维服务过程中，对架构资产的调整也同步至架构资产库。

企业架构通过一套系统的理论、流程、工具、模板和管理方法，将业务战略愿景、业务流程和IT技术有机地汇集到一起。因此，以企业架构为中心的IT治理框架，能够将信息化建设的各个阶段有效地衔接起来，保障信息化规划、信息化项目建设与信息化运维与公司战略一致，促进企业向战略驱动型信息化建设转型。

（责任编辑：胡 正）

银行IT治理 篇3

中国银行业信息化建设经过近几年的高速发展, IT应用已成为商业银行生存竞争、获取市场价值、实现商业目标的重要因素, 但目前商业银行的IT战略、IT投资、IT风险及绩效管理却始终是银行信息化建设中的薄弱环节。随着银行信息化建设的进一步深入, 如何制定与业务战略相匹配的IT战略, 如何管理和监控银行IT建设、保护IT投资、防范IT风险、评价IT 建设的成效等, 成为银行管理层必须面对的关键问题, 而IT治理正是解决这些问题的重要途径。从根本上讲, 商业银行IT治理关心的是IT服务价值的交付和IT风险的降低, 两者都需要有足够的资源和测量评价措施确保预期结果的实现, IT服务价值交付的实现还依赖于IT战略与银行整体战略的协调。一个有效的IT治理需要同时考虑五个方面的因素, 即IT价值交付、IT风险管理、IT战略部署、IT资源管理和IT绩效测量评价, 其中前两个为IT治理的结果, 其余为IT治理的驱动条件。IT治理是一个持续循环的过程, IT资源的管理和优化分配贯穿于每个环节的始终, 因此, 商业银行每年都应该对本行所实施的IT治理策略进行重新评估和分配。

1 商业银行IT治理的价值评价指标体系

本文结合商业银行IT治理特点, 根据上述对商业银行IT治理的归结和论证, 提出商业银行IT治理可以从IT战略规划、IT价值交付、IT业务持续性管理、IT资源管理、IT信息安全管理等几个方面为商业银行带来价值。实际上, 这五个方面的综合就是商业银行IT治理的实施为商业银行所产生的价值放大效应。按照系统性、可行性、定量和定性相结合, 全面性和独立性相结合的原则, 本人将商业银行IT治理的价值评价指标体系进行分级评定, 商业银行IT治理的价值评价指标体系采用分级评定的方法, 一级大类指标有五个, 包括IT战略规划、IT价值交付、IT风险管理、IT资源管理、IT信息安全管理等方面, 二级指标有二十个, 包括财务指标、满意度、流程制度、学习与成长、竞争优势、服务时间、盈利能力、客户满意度、业务处理能力、IT风险管理、业务持续性计划、外包服务、应急演练、SLA协议、基础设施、流程制度、人员管理、机密性、完整性、可用性等。

2 评价指标体系的无量纲化处理

由于商业银行IT治理的评价指标中很多因素是灰色、模糊、难以量化的, 商业银行IT治理的评价工作变得异常复杂。为了更有效地展开商业银行IT治理的综合评价工作, 进行评价指标的处理是必要的, 在深入学习研究灰色理论和模糊数的基础上, 进行了评价指标的优化, 本文的优化处理主要从无量纲化方面进行讨论, 将Delphi法改进为匿名问卷与分组讨论相结合, 通过咨询与统计收集信息、分析专家的意见, 确定商业银行IT治理评价的指标集:

O={O1, O2…, On} (1)

评价指标按其取值类型可分为成本型指标、效益型指标和区间型指标三类。所谓成本型指标是指评价值越小越好的指标, 如电子设备运转费、差旅费等指标;效益型指标是指评价值越大越好的指标, 如全辖净利润、投资回报等指标;区间型指标则是指以落在某个固定区间内为最佳的一类指标, 如技术优势、流程优势、服务优势等指标就属于这一类, 在商业银行IT治理评价必须要有一定的先进性才能适应当前管理和今后发展的需要, 但是由于资金投入和用户水平等方面的限制又不能一味地追求“领先”。根据上述的指标分类情况可以将指标集O进一步划分为三个子集, 即令:

${\rm O}={\displaystyle \underset{i=1}{\overset{3}{\cup }}Q}{}_i$并且 Qi∩Qj=Ø (i, j=1, 2, 3) (2)

其中Qi (i=1, 2, 3) 分别代表成本型、效益型和区间型指标集;Ø为空集。

设dij是评价对象关于指标的评价值, 则评价对象集关于指标集的评价矩阵为:

D= (dij) m×n (i=1, 2, …, m; j=1, 2, …, n) (3)

多指标综合评价与单指标评价问题的一个本质区别在于指标的不可公度性, 由于各种指标的量纲不一致, 因而无法直接进行比较分析。为此, 预先进行无量化处理, 把各个指标变换到[0, 1]范围内。对于不同类型的指标, 应采取不同的无量纲化方法。

(1) 对于成本型指标, 无量纲化变换公式为:

$b{}_{ij}=\frac{d{}_j^{\max }-d{}_{ij}}{d{}_j^{\max }-d{}_j^{\min }}(i=1,2,\cdots ,m$; j∈Q1) (4)

式中:d${}_j^{\max }$和d${}_j^{\min }$分别是对指标Oj诸评价值中的最大和最小值, 即:

d${}_j^{\max }$=max{d1j, d2j, …, dmj} (5)

d${}_j^{\min }$=min{d1j, d2j, …, dmj} (6)

(2) 对于效益型指标, 变换公式为:

(3) 对于区间型指标, 则有:

其中[S1, S2]为指标O的最佳区间。

在上述无量纲变换中, 自变量dij可以是定量指标的评价值, 也可以是定性指标中的以数量形式表示的评价值。通过上述处理, 可以得到无量纲变化后的评价矩阵:

B= (bij) m×n (i=1, 2, …, m; j=1, 2, …, n) (9)

3 商业银行IT治理价值的集成综合算法评价简例

(1) 确定评价对象的层次结构及指标集

这里将评价商业银行IT治理评价体系进行简化处理, 得到商业银行IT治理A的评价指标体系, 其结构为递阶层次结构如表1, 底层20个元素即为评价A的指标:

O={O1, O2, …, O20} (10)

(2) 计算评价指标元素的组合权重

将专家填写的对上下层之间元素的关系抽象整理成判断矩阵:重赋值如表2所示。

下面采用了层次分析法, 由于篇幅问题, 简化了有关的权重赋值计算:

① O1, O2, O3, O4对A1的权重计算;② O5, O6, O7, O8, O9对A2的权重计算;③ O10, O11, O12, O13, O14对A3的权重计算;④ O15, O16, O17对A4的权重计算;⑤ O18, O19, O20对A5的权重计算。将专家填写的对上下层之间元素抽象整理成判断矩阵, 则O层对于A的组合权重为:

W= (w1, w2, …, w20)

= (0.01, 0.01, 0.06, 0.02, 0.01, 0.01, 0.01, 0.05, 0.02, 0.03, 0.06, 0.09, 0.03, 0.09, 0.075, 0.075, 0.1, 0.05, 0.075, 0.125) (11)

(3) 取得评价样本量矩阵

请了10位相关专家。为了便于专家评定, 考虑到人们思维最大可能分辨力, 本文将评价指标O的优劣程度划分为四级, 并分别赋值 (10, 7, 5, 2) , 若指标等级介于两相邻等级之间, 其相应的评分为8.5, 6, 3.5, 1分。规定打分范围为1-10分, 得到专家评价样本矩阵如表4所示。

(4) 确定评估灰类, 设评价灰类为N类

根据上文的评分等级标准, 本文决定选取n=4, 即设灰类为j=1, 2, 3, 4。分别代表四个评价灰类, 相应的灰数及白化权函数如下所示:

第一类 (j=1) :“优”, 评分在9分或9分以上, 白化权函数为f1:

第二类 (j=2) :“良”, 评分在7分左右, 白化权函数为f2:

第三类 (j=3) :“中”, 评分在5分左右, 白化权函数为f3:

第四类 (j=4) :“差”, 评分在2分或2分以下, 白化权函数为f4:

(5) 计算灰色统计数 (灰色评价系数)

由确定灰数的白化函数, 求出dli属于第j类评价标准的权fj (dli) , 据此求出评判矩阵的灰色统计数 (记为nij) 和总灰色统计数 (记为ni) :

$n{}_{ij}={\displaystyle \sum _{l=1}^{r}f}{}_j(d{}_{ij})n{}_i={\displaystyle \sum _{j=1}^{m}n}{}_{ij}$ (16)

i=1, 2, …, 20;j=1, 2, …, 4

(6) 计算灰色评估权值及模糊权矩阵

综合r位专家对第i个评价因素主张第j种评价标准的灰色权值为:$r{}_{ij}=\frac{n{}_{ij}}{n{}_i}$, 由rij构成多因素模糊权矩阵:

(7) 算出模糊综合评判矩阵

由模糊加权矩阵和多因素模糊评判矩阵复合运算得模糊综合评判矩阵:

其中:$b{}_j={\displaystyle \sum _{j=1}^{n}w}{}_i\cdot r{}_{ij}(j=1,2,\cdots ,m)$, 通过归一化处理, 可使${\displaystyle \sum _{j=1}^{m}b}{}_j=1$。

(8) 计算评价结果设将商业银行IT治理的评价结果分为优、良、中、差四级。

按10分制打分, C为各评价灰类相对应的等级值化向量, C= (V1, V2, …, Vm) ={10, 7, 5, 2}, 后求出综合评价结果Z:

Z=B·CT=8.71 (20)

按照我们拟定的商业银行IT治理综合评价等级衡量计算结果, 该商业银行IT治理属于优秀项目。

4 结束语

商业银行IT治理的综合评价由于自身存在着众多的不完备、不确定的模糊因素, 因此评价结果的可靠性是一个相对的概念。采用一些方法AHP、模糊评判、DEA等, 可以得到较为可靠的结论, 但是由于这些方法的欠完备性, 评价的结果还不够理想。例如, 直接使用模糊综合评判对于贫信息的评价对象难以把握和控制, 难免影响评价结果。融入灰色关联分析之后, 这个问题就迎刃而解了。集成综合算法为认识和研究目前还不十分清晰的事物提供了数量化概念和计算方法, 不仅适用于商业银行IT治理这样含有模糊因素的系统, 而且适宜处理宏观大系统的预测、决策和评价问题, 使各种方法的优点得以充分发挥, 弱点得到控制和弥补, 适合于解决商业银行IT治理的系统评价问题。

摘要：为了更有效地展开商业银行IT治理的综合评价工作, 进行评价指标的处理是必要的。在深入学习研究灰色理论和模糊数学的基础上, 进行了评价指标的优化, 优化处理主要从无量纲化方面进行讨论, 运用改进的Delph i法匿名讨论及统计, 优化待评商业银行IT治理的评价指标, 拟定出IT治理的综合评价指标体系;依据模糊数学理论形成评判矩阵;进行模糊运算, 得出商业银行IT治理综合评价结果, 形成了商业银行IT治理评价的新方法。

关键词：商业银行,IT治理,综合评价

参考文献

[1]郝晓玲, 孙强.信息化绩效评价框架、实施与案例分析[M].北京:清华大学出版社, 2005.

[2]魏权龄, 胡显佑, 严颖.运筹学通论[M].北京:中国人民大学出版社, 2001.

[3]汪莹.商业银行信息化的效应理论与评价方法研究[M].北京:中国经济出版社, 2006.

[4]李长征.IT治理及其架构模型研究[D].首都经贸大学, 2004.

[5]李长征, 孙强.项目管理发展的新阶段—PRINCE2项目管理方法[J].中国计算机用户, 2003 (38) .

[6]任嘉篙.基于贝叶斯网络的银行操作风险管理研究[D].哈尔滨工程大学, 2006.

[7]霍建生, 周隆慧.商业银行IT治理[J].中国金融电脑, 2004 (2) :18-19.

[8]徐维祥, 张全寿.一种基于灰色理论和模糊数学的综合集成算法[J].系统工程理论与实践, 2004 (4) :114-117.

[9]邓聚龙.灰色预测与决策[M].武汉:华中工学院出版社, 1986.

[10]楼世博.模糊数学[M].北京:科学出版社, 1985.

IT治理需求分析 篇4

IT治理是公司治理在信息时代的重要发展, 是公司治理的一部分, 关于IT治理, 国外给出了侧重点有所不同的概念定义, 见表1。

综合这些定义可以得出, IT治理就是要明确有关IT决策权的归属机制和有关IT责任的承担机制, 以鼓励IT应用的期望行为的产生, 以连接战略目标、业务目标和IT目标, 从而使企业从IT应用中获得最大的价值。这些定义可以说包容了不同的观点, 然而中国有着不同于西方的国情与管理思想, 如果只是机械地将其照搬移植至中国, 将会出现在组织中越深入就越难以实施的情况, 将会抑制IT治理的创新性与完善性。

综上所述, IT治理的使命可以认为:保持IT与业务目标一致, 推动业务发展, 促使收益最大化, 合理利用IT资源, 适当管理与IT相关的风险。

2 国内IT治理的现状

IT治理在我国仍处于初级阶段, 主要表现在如下方面:

(1) 对IT治理的认识和理解不一致。IT治理的理念引入我国的时间并不长, 成功的IT治理案例比较少见。

(2) 没有IT治理机构或者IT治理机构定位不明确。当前, 我国在IT治理方面尚处于起步阶段。

(3) 缺少与我国现阶段发展相适应的IT治理标准。

(4) IT治理是一项涉及面广、规范性强、实施难度大、有一定风险的系统工程。IT治理解决方案的缺失, 提升了实施的难度。

3 IT治理的需求

3.1 IT的重要性

现在由于IT内在的和普遍的存在于企业, 因而治理需要特别注意IT。企业现在强烈依靠IT, IT对企业战略的实施非常重要:

(1) IT是支持和达成企业目标的关键;

(2) IT对企业 (增长和创新) 是战略性的;

(3) 尽职调查的要求会受到IT的兼并和收购的影响。

3.2 IT被忽视的原因

董事会通常关注企业战略和战略风险, 很少有董事会成员关心IT, 尽管IT涉及大量的投资和巨大的风险。这其中原因有以下几点:

(1) 关注IT需要比其他专业有更多的洞察力, 才能了解它是如何对企业造成风险和带来机遇;

(2) IT历来被视为与企业业务分离的实体 (部门) ;

(3) IT是复杂的, 在扩展的企业网络经济中运行更为复杂。

3.3 IT治理的重要性

IT治理之所以重要的根本原因是期望与现实常常不一致。董事会通常期望管理层:

(1) 提供高质量、适时和有效预算的IT解决方案;

(2) 设置和利用IT来回报商业价值;

(3) 利用IT提高效率和生产力的同时, 管理IT风险。

而IT治理正是将董事会的期望变成现实的有效途径。

3.4 IT失败的原因

很多董事会对IT有负面经验的原因有:

(1) 业务损失、名誉受损或削弱竞争地位;

(2) 项目没有按期交付, 成本高于预期, 质量低于预期;

(3) 企业的效率和核心流程由于IT交付质量差的成果而受负面影响;

(4) IT带来创新或履行承诺举措的失败。

作为利益相关者的问题, 企业社会责任、企业风险管理和联盟成为企业成功的一个越来越关键的组成部分, 许多精明的企业领导人意识到需要切实有效的治理来解决这些问题。

3.5 企业对于IT治理的内在需求

企业的复杂性、企业责任、透明度——所有这些方面为当前的商业环境带来的挑战, 都可以用治理来解决。企业需要IT治理基于以下几点:

(1) 提高透明度:利益相关者希望知道他们感兴趣的企业的决定、机制和结果;

(2) 企业需要在实践中展示企业责任;

(3) 创建扩展的企业:企业越来越认识到协作的好处已导致日益庞大而复杂的关系网络和日益增多的战略合作伙伴 (合资、合作伙伴等) , 其中必须完成问责的委托和决策权;

(4) 多个利益相关者对价值和风险的理解和接受程度不同;

(5) 企业增加对战略资产的依赖 (例如人员、知识、通信基础设施、能源基础设施、知识资本、信息技术、信息) 或外部各方 (如外包、战略联盟) 访问它们的需要。

(6) 数据和信息是特别重要的资产, 因为它们是构成明智的业务决策的基础;错误的数据会导致糟糕的决定。

4 IT治理的效益

IT治理侧重于宏观决策方面的指导, 告诉人们:要做哪些事, 由谁来做, 以及如何建立决策机制、如何进行有效监控等。IT治理为组织建立一个长效均衡的治理结构, 在风险可控的环境下保证组织获益。均衡的环境在满足组织外部约束的同时需要考虑如何降低成本、提高股东收益、满足客户要求以及建立良好的社会形象等条件。

IT治理的目标是, 帮助管理层建立以组织战略为导向、以外界环境为依据、以业务与IT整合为中心的观念, 正确定位IT部门在整个组织中的作用。最终能够针对不同业务发展要求, 整合信息资源、制定、执行并推动组织发展的IT战略。具体是:

通过建立机制, 实现结构与角色、人员、度量、控制、流程、技术六大方面的融合, 确保IT治理与业务目标一致、有效利用信息资源、加强风险管理, 最终使得IT与组织战略目标高度统一, 如图1所示。其实现了以下效益:

(1) IT治理从组织目标和信息化战略中抽取信息需求和功能需求, 形成总体的IT治理框架和系统整体模型, 为进一步系统设计和实施奠定基础, 保证信息技术跟上持续变化的业务目标。

(2) 由于目前有些信息化工程经常超期, IT客户的需求没有得到较好的满足, IT平台不支持业务应用等问题较为突出, 通过IT治理可以对信息资源的管理职责进行有效管理, 保证投资的回收, 并支持决策。

(3) 通过制定信息资源的保护级别, 强调关键的信息技术资源, 有效实施监控和做好事故处理, 能使企业适应外部环境变化, 使企业内部实现对业务流程中资源的有效利用, 从而改善管理效率和经营水平, 最大限度地降低了风险。

5 结语

在IT治理中, 最高管理层 (董事会) 的主要职责是证实IT战略与企业战略一致;指导IT战略, 平衡投资。具体包括:衡量业绩, 定义和检查衡量手段以及管理, 证实目标已经达到, 减少不确定性。

管理者的焦点主要是成本—效益比, 增加收入, 构建竞争力。其职责是将IT风险管理的责任和控制落实到企业中, 制定明确的政策和全面的控制框架, 并使信息技术的组织与企业目标一致;提供治理结构支持IT战略的实施, 制定IT基础设施加快商业信息的创造与共享;通过衡量公司业绩和竞争优势来测度信息技术的效果 (KPI、KGI) ;使用平衡计分卡, 弥补行政管理的不足;关注IT必须支持的商业竞争力, 如通过多产品和服务产生增值;关注重要的增值的信息技术过程;关注与规划和管理IT资产、风险、工程项目、客户和供应商相关的核心竞争能力。

IT治理体系保证企业总体战略目标能够从上而下贯彻执行。IT治理和其他治理活动一样, 集中在最高管理层 (董事会) 和执行管理层。由于IT治理的复杂性和专业性, 治理层必须强烈依赖企业的下层提供决策和评估活动所需要的信息。为保证有效地进行IT治理, 下层应用要与企业总体目标具有相同的原则, 提供一致的业绩评估方法。

摘要：首先分析IT治理的定义及我国IT治理的现状, 以企业的需求为切入点, 详细地分析了IT治理的重要性、IT失败的原因、企业IT需求的具体内容及IT治理的效益, 提出了IT治理的目标, 并且总结了IT治理的需求。

基于公司治理的IT治理研究概述 篇5

一、基于公司治理的IT治理研究

1. IT治理的概念。

IT治理是一个较为宽泛的概念, 针对不同的研究目的, 其强调的重点有所不同。IT治理协会 (ITGI) 定义的IT治理包括使用领导权、组织结构和流程, 确保组织的IT活动支持和扩展组织的战略目标。Weill和Ross (2005) 认为IT治理的本质问题就是IT集权和分权的问题, 强调的主要内容是组织的IT权力和责任的分配。张运生 (2007) 认为, IT治理就是通过对IT资源控制权的优化配置实现各利益相关者的利益均衡, 从而达到企业所期望的行为。李维安和王德禄 (2005) 认为信息技术在治理方面作为企业的重要资源既是IT治理的对象, 也是IT治理的手段和工具。以上研究观点在以下方面达成了共识:IT治理的主体是管理者及其利益相关者, 其目的是通过各种方式促进和实现企业战略目标, 以保证各利益相关体的利益。

2. 基于公司治理的IT治理理论。

IT治理研究逐步形成了两个重点方向。Mclane (2003) 将这两个重点方向划分为“基于治理概念和基于IT标准”的两条研究路径, 前者强调IT治理是公司治理的组成部分, 这就形成了基于治理概念的IT治理研究;后者则强调IT治理对保证信息技术投资回报和降低信息技术投资风险是必要的, 即IT治理提供价值和风险规避, 重点在战略的一致性方面。Webb (2006) 等研究了IT治理理论演变的过程, 他们提出影响IT治理理论演变的主要学科包括公司治理理论和战略信息系统理论。因此, IT治理包含作为公司治理组成部分的IT治理和以治理框架保障所有者的IT投资利益的IT治理这样两个研究方向。通过文献检索发现, 2005年以来国内外有关IT治理研究成果中, 只有10%左右的成果是基于公司治理概念的IT治理的研究路径, 而检索出的我国国家自然科学基金资助的18篇文献成果中, 只有2项成果是基于公司治理概念的IT治理研究。

二、IT治理机制与有效性研究

1. IT治理机制。

Weill (2002) , Peterson (2004) , Brown (2005) 以及Wessels (2006) 等国外学者对IT治理机制进行了研究, 他们都认为IT治理机制包括治理结构、治理流程与关系沟通三个层次的机制并体现出一个多层次的横向集成关系 (详见下表) 。高皓 (2010) 等提出中国企业的IT治理机制“结构—流程—关系”三层次模型, 并通过实证研究确认了中国企业应用的6项组织结构机制、5项流程机制和5项关系机制等16种IT治理机制要素。但是, 上述IT治理机制包含着基于公司治理概念的机制和作为IT治理标准的两个层次意义上的IT治理机制概念。

沿着基于公司治理概念的研究路径, 学者们进一步对IT治理机制要素进行了研究。Ali (2006) 在研究中构建了IT战略委员会、IT控制委员会、高管参与IT活动、公司绩效测度系统、文化和理论的服从、公司沟通系统6个维度与IT治理绩效的关系模型。因此, IT治理机制主要包含公司治理层面上治理结构以及与此相关联的治理流程与关系沟通。王德禄 (2008) 认为, 从公司治理角度研究IT治理既是IT治理目标的需要, 也是美国萨班斯法案 (2002) 公布后从法律角度对公司及董事会的要求。特别是公司内IT治理是公司治理的一部分是理论界和实务界广泛接受的观点, 主要体现在董事会 (包括CIO的作用) 以及利益相关者问题的研究。但是, 对各种利益相关者参与IT治理的方式与机制等缺乏深入的研究。唐志豪 (2007) 认为, IT治理的结构机制是指IT治理决策制定的组织结构, IT治理的流程机制是指IT决策制定和监控的过程, IT治理的沟通机制是指正式和非正式的沟通反馈手段与方法。综上所述, 基于公司治理的IT治理机制的一个重点就是股东、董事会和监事会治理权力与责任体系, 包括治理结构、治理流程和关系沟通的三层次机制体系。

2. IT治理机制有效性研究。

Argyres (1995) 通过IBM和通用汽车 (General Motors) 实例研究了如何通过利用信息技术来支持公司内部的协调, 同时也验证了运用信息技术还有助于划清权力和责任。Kim (2006) 等分析了信息技术的使用对治理问题的影响, 认为信息技术的使用具有替代和补充效应, 信息技术的使用能降低外部协调成本。Ali (2006) 在研究中建立了IT治理绩效与其他六个维度的关系模型, 发现IT战略委员会、高管参与IT活动、文化伦理服从与公司沟通系统与IT治理绩效正相关。而IT控制委员会和公司绩效系统与IT治理的整体绩效相关性不大。Tanriverdi (2006) 基于资源观研究了在多元化企业中IT相关因素对组织绩效的影响, 提出了影响两者关系的调节变量———组织多元化水平和IT治理模式。Weill (2004) 在文章中也对这一问题进行了探讨, 指出IT治理的绩效提升要通过IT治理结构、流程和沟通关系与IT治理模式共同起作用才能实现。

国内学者中, 彭禄斌和刘仲英 (2010) 以信息平台为研究对象, 引入治理能力为中间变量, 建立信息平台治理机制一治理能力一治理绩效的分析模型, 采用结构方程方法进行实证研究, 得出信息平台在组织治理中具有举足轻重的作用, 从而提高平台的治理绩效。高皓 (2010) 等通过大样本问卷调研, 对16种IT治理机制的有效性和实施难易程度进行了实证研究发现, 董事会在中国企业的IT治理中发挥的作用仍然有限, IT治理流程是中国企业的薄弱环节。

3. IT治理机制与治理绩效关系研究。

国外学者Wang (2003) 通过模型实证研究法研究了IT决策模式与组织绩效的关系, 将信息处理、信息能力配置作为解释变量, 发现两者与企业绩效正相关。Huang (2006) 设定的研究路线为IT投资—IT能力—财务绩效, 他认为IT投资必然转化为相应的IT能力, 而这种能力就能带来绩效的变化, 其数据来自公用数据库。国内有不少学者也进行过不同侧重点的研究, 如许宝山 (2007) 将IT业务运营、战略绩效、财务绩效、治理安排绩效和治理认知绩效作为被解释变量来进行研究。程新生 (2007) 选择“因财务失信受处罚、盈余管理程度 (DA) 、财务预警值 (Z) ”作为治理绩效的指标。李延喜 (2007、2009) 等则直接以上市公司盈余程度作为公司治理绩效的被解释变量。因此, 直接用治理行为和治理信息数据作为公司治理绩效的被解释变量是可行的。王晓霞 (2010) 研究认为, 是否由国家资本控股、流通股比例、独立董事持股比例、高管是否持股等变量, 目前还没有成为制约和影响我国上市公司IT治理效能的主要原因。关于IT治理机制与治理绩效的实证研究, 大部分都是用公司绩效作为治理绩效的被解释变量, 将治理绩效直接作为治理机制的被解释变量相对较少。而且因为研究的目的不同, 选取指标的标准也不同, 所以形成了不同的解释与被解释变量。

4. IT治理机制绩效研究方法。

张群洪 (2009) 等人用结构方程方法进行了信息技术特性与企业治理间关系的实证检验。高皓 (2010) 认为, 由于我国企业IT治理机制的学术研究仍处于早期阶段, 理论模型非常有限, 因此研究的方法仍为探索性研究, 如案例研究法。刘军 (2008) 则指出, 与其他以描述性和解释性为主的管理研究方法 (如观察法和调查法) 相比, 管理实验是一种具有很强探索性特点的科学研究方法。谢刚 (2003) 认为管理实验研究有两种方式:实验室实验, 和现场实验, 即在日常工作环境下进行。郝晓玲和李明 (2005) 指出通过平衡计分卡等综合方法来测度IT效果。

三、结论与未来研究动向

综上所述, 我们可以得出以下结论: (1) 国内外IT治理研究还处于理论探索研究阶段, 绝大多数的研究都是采取基于公司治理概念与基础IT治理标准两种研究路径的结合, 而研究的方法大多采用实证调查方法和案例研究法。 (2) 文献检索结果表明, IT治理研究主要有两种研究路径。基于公司治理概念的IT治理机制有效性研究既是IT治理与公司治理研究的结合点, 也可以为公司治理研究提供新的研究视角。 (3) 我国有关IT治理机制的研究还处于起步阶段, 基于公司治理的IT治理如何与公司治理相融合、基于公司治理的IT治理机制的有效性、IT治理机制受哪些因素影响、三层次机制的完善、企业是否还存在其他IT治理机制以及这些机制的效果如何等问题, 都是IT治理研究今后的重点方向。 (4) 由于IT治理机制大多属于实务性治理机制, 传统的有关公司治理研究采取公用数据库信息来源的方法难以获取系统、客观和针对性强的信息。因此, 运用系统仿真方法、管理实验和案例研究等方法研究IT治理机制有效性成为当前的一种可行的和必然的选择。 (5) 目前的应用中如何对定性绩效评价进行离散化处理分析, 是该经济学仿真方法应用到有效性检验过程中的难点及关键技术。

参考文献

[1].李维安.中国公司治理原则与国际比较.北京:中国财政经济出版社, 2003

[2].高皓, 朱涛, 张晶, 宋少博.中国企业IT治理机制的实证研究.科学学与科学技术管理, 2010;4

银行IT治理 篇6

随着信息化进程的不断深化,上海市防汛、水务信息化建设在推动和促进自身建设,提高服务水平,深化管理能力等方面正日益彰显其价值和贡献,高质量信息技术已成为防汛、水务事业发展中的一项重要资产。随着各种业务系统不断进入应用与维护阶段,“设备灯亮,系统在转”的粗放型管理对系统、服务和信息安全构成严重威胁。认识运维管理在IT价值链中的作用,重视IT基础环境治理,增强IT对核心业务支持的有效性和可信性,是信息中心承担的一项重要任务[1]。

本文介绍的水务IT服务管理平台(以下简称平台),是上海市水务信息中心在理论建设、管理实践、总结提炼所形成的IT基础环境治理结构的基础上,自主设计、主导开发的水务IT服务管理系统。

1 平台的建设思想

1.1 不断提高的信息化应用水平

上海市水务信息化历经十多年快速发展,信息化应用环境特别是以网络为主体的基础设施已具相当规模,200余台网络、网络安全设备,70余根SDH光缆,支撑起市水务专网、水务大厦办公局域网,以及市政务外网、公务网、中国水利信息网、因特网接入网等6张网络。网络接入率和接入多样性、承载的信息系统、人均电脑数等方面都达到较高的建设和应用水平。以电子政务、水务公共信息平台为代表的一系列核心应用在网络支撑下,应用覆盖的广度、业务支撑的深度、数据资源的整合度获得重大突破,信息化建设在深化应用、突出效能、全面支撑服务型政府建设等方面上升到一个新的阶段。水务信息化水平已形成应用层次多、集约化程度高、业务流程优化和支持能力强等特点。水务IT基础环境如图1所示。

1.2 运维已成为水务IT价值实现的重要基础

随着水务信息化发展战略的部署和实施,信息中心IT基础环境的技术和管理形态也在同步发生深刻的变化,IT支持环境从规模、技术、管理等多方面呈现的复合型和复杂性日趋增强。运维管理不仅成为整个水务IT价值链的重要组成部分,也是水务IT价值实现的重要基础。实现从“单纯的技术思维”转向“管理思维”,“单纯的运行维护工作”转变为“为业务提供高质量的IT服务”,将IT运维认识从战术性思维上升到战略性思维,是政府部门信息化进程中的一项重要任务。

1.3 IT基础环境治理是实现IT价值的客观需要

专家研究和大量应用实践表明,IT项目生命周期中,大约80%的时间与IT项目运维有关。源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题通常只占20%,而流程失误问题占40%,人员疏失问题占40%[2]。传统的IT服务管理完全依靠个体,质量、业务活动不受控,制度规范落地难等一系列问题和现象,不可避免地影响到IT对业务支持的有效性和可靠性。因此,引入IT治理IT的技术实现方法,按照人、流程、技术、资源4个关键因素为后台特点的运维活动建立一条规范、有序、透明的管理轨道,为IT支持下的业务活动提供流程清晰、风险可控的运行保障,是确保和提升信息化建设在水务事业发展中的价值量及贡献度的客观需要。

1.4 面向水务的IT基础环境治理结构

信息中心在长期的运维管理实践中,高度重视IT基础环境治理结构的研究、探索和科学构建,逐步形成了能较好反映人、技术、过程、资源在IT基础环境中的作用,切合实际运维管理需求的IT基础环境治理结构。并以此为方法论,指导信息中心IT基础环境的服务与管理活动,同时为设计、开发、建设服务管理平台提供指导依据。水务IT基础环境治理结构如图2所示。

1.5 依托IT实现IT治理构想

发挥信息技术优势,开发建设融入IT治理构想的水务IT服务管理平台,是实现IT治理IT的生动案例。通过平台建设,能够有效克服传统管理活动中信息分散和过于依赖个体的不确定性,将所有与运维相关的活动纳入统一、规范、透明的轨道上,实现台帐信息、业务流程和技术标准的统一。此外,在当今普遍采用IT服务外包的背景下,平台作为一系列标准规范的承载体,不仅有利于“制度落地”,还为合作双方构建了明晰权责,互动有序的桥梁。

2 平台的基本架构

以实现IT治理结构为目标,围绕治理结构的核心层次,即IT设施设备系统、监控层、操作层、管理层、全景展示层,对平台架构进行创新型设计,构建1套集信息监控、规范作业、运维管理、服务受理、信息发布、交流互动、新手领航等功能为一体的平台化管理系统,着力使平台在服务和管理能力上形成良好的渗透性和穿透力,平台总体框架如图3所示。

平台实现的功能主要有:

1)参考ITIL(IT基础架构库)理论,研究ITSS(信息技术服务标准),引入ISO20000,27001,27002质量控制方法,为后台特点的运维活动建立规范、有序、透明的管理轨道。

2)成为管理思想和制度、标准规范、基础信息的承载体,依托平台实现“制度落地”,突破传统管理模式下,质量受控差,规范落地难,潜在风险大,应急效率低,过于依赖个体等的管理瓶颈。

3)为服务外包的委托与服务双方提供1个标准化程序和识别一致的参考框架,依托IT基础环境治理结构,构建业务和服务驱动,明晰服务外包的范围、内容和边界,规范各种常规或定制的服务活动,有利于提高服务质量和改善合作关系。

4)服务管理平台为信息中心在服务外包过程中生成的各类统计信息,既为管理部门发现问题、事前干预、风险控制、排除隐患提供预警和抓手,也为预算编制、物资采购、工作安排、业绩考核等提供信息和依据;

5)作为应用、服务和管理3者间的桥梁,服务外包人员依托平台提供的服务受理窗口,可为所有的网络用户提供一体化、一站式服务,整个服务过程在平台中以流程方式接受监督、评价和记录,使每个服务申请者都能感受良好的IT服务体验。

6)利用平台为业务传承建立前台化和可视化的培训模板,缓解新员工面对全新、复杂环境时的心理落差和压力,缩短入职适应期。

3 平台的功能模块

平台的研究、设计和开发中,始终遵循模块化、可扩展、易维护的技术路线,在实现各种应用功能的同时突出舒适度和便捷性。以可视化方式为所有与IT环境关联的不同对象提供多视角、大纵深浏览IT运维中技术与管理活动的全景。

3.1 全景展示模块

在平台首页面,重点构建反映所有运维对象和信息、重要实时参数,系统可用状况、网络安全态势、基础环境支持、一线服务等信息的全景平台。以前台化方式解析和展示各种静态与动态信息,查阅当前各种信息设施、设备和系统的运行状况,以及基础服务的有效性和满意度等实时信息。同时,也起到应用、服务和管理3者间的桥梁作用。全景展示模块如图4所示。

3.2 监控模块

用IT治理IT,充分利用各种专业监控软件对网络、网络安全、重要应用系统,以及重要环境进行实时监控,并通过监控软件(或设备)提供的数据接口,利用XML数据交换技术,将应用和管理部门关注的各种实时、统计和告警信息共享到运维管理平台,并基于Fusion Charts,Grid++Report和e Web Editor等工具组件,进行二次开发,使各种专业化、后台性的参数信息以通俗易懂的图表方式转向前台,为各种不同用户提供各自关心的基础运维信息,实现专业软件的专业化功能向服务和应用方向拓展。

3.3 操作模块

参考ITSS引入ISO20000,27001,27002质量控制方法,规范各项运维活动的范围和内容,将实际运维涉及到的技术要求、质量控制、作业权限等一系列岗位职责在平台中予以“固化”,使一线的运维活动全部在规范化、流程化、可追索、可评估、易管理的轨道上运行。依托流程设计,在为作业者提供工作便利的同时,实现与一线操作相关标准、规范及质量要求的“制度落地”。该平台既是每个运维岗位的办公桌面,也是承接具体岗位任务、记载岗位绩效的载体,在流程设计中,每个岗位的任务完成情况都将自动上传至管理者桌面,接受监督和管理。

3.4 管理模块

将ITIL,ITSS,SL444-2009《水利信息网络运行管理规程》等相关标准规范及管理理念融入平台设计之中,依托平台实现运维管理的规范化和标准化。平台中包含了各种运维项目实施所需的岗位设置、技术要求、管理内容和目标等一系列技术及管理要素,接受并审查操作平台负责人以数据、图形或报告等方式提交的任务完成情况,能够基于平台对数据和信息的汇集、统计功能,实现IT运维保障从人、技术、过程的综合性和全方位的目标化管理。

3.5 服务受理模块

根据信息中心与水务局机关同址办公,需承担整个水务大厦内网络、网络安全,所有办公计算机技术服务,以及视频会议、会务支持的业务特点,在平台建设中,构建跨部门、层级的服务整合,通过服务受理窗口,为所有网络用户提供一体化、一站式服务,网络中的任何1个用户,都可从平台受理窗口,通过鼠标点击提出服务请求,平台自动对申请者的部门、个人、电话和IP地址完成信息匹配,按照服务规范,申请者在5 min内会收到服务部门的服务确认,整个服务过程在平台中以流程方式接受监督、评价和记录,使每个服务申请者都能感受良好的IT服务体验。

3.6 互动交流模块

基于信息技术的快速发展,信息化应用的不断深化,针对业务和管理需要的各种技术与管理知识和要求也在不断地推陈出新,并已成为信息化大背景下所有信息技术应用者所面临的长期性挑战。对此,平台专门在首页面开辟了用于互动交流的“学习园地”。不仅方便所有网络用户开展信息交流,同时,也为各种与信息化相关的应用、服务、管理、培训等活动提供1个常态化的信息平台。

3.7 应急管理模块

平台从当前与业务支持关联度最强的4大板块(网络系统、信息安全、应用服务、运行环境)入手,从技术和管理2个方面进行风险梳理,确立运维保障控制点,在人、技术、过程、资源4个方面对应急管理流程进行针对性设计,将应急处置涉及的各种支持性信息贯穿全流程,为提高应急处置的实战效能提供支持和帮助。

4 结语

信息化对事业发展的作用越来越重要的同时,事业对信息技术的依存度也随之增强,运维管理的专业化水平决定了信息化对业务的保障水平。运维管理已逐步成为政府IT部门中所涉知识最广,技术应用最密集,管理要求最复杂,综合管理要求最复合的区域之一。依托先进、适用的IT治理工具是保持和发挥既有信息化建设成果在水务事业发展中的作用和贡献的重要手段[3],是有效提高信息化对业务支持有效性和可信性的重要基础,针对传统管理,平台完成了一定的突破:

1)以信息化管理方式开展现代IT治理,及时发现运维活动中的问题和风险,为风险管理提供信息,提升信息化对水务事业的服务水平和支持能力。

2)优化外包管理模式,使服务采购更具针对性,服务管理更具有效性,提升了服务外包的价值和效用。

3)平台的统计分析功能,可有效提高管理部门在运维活动中的预算、合同、资金、人员、计划等方面的管理水平和能力,有效提高预算的科学性和资金使用的合理性。

相比过去的传统管理,平台为实现IT运维的信息化、前台化管理奠定了重要基础。但是,对照即将推出并实施的国家标准ITSS完成部分,平台在分类与代码、质量评价指标体系、数据中心运维服务规范等多个方面还需要完成规范化和标准化,在今后的发展中,还需要进一步加强平台在流程梳理、事件管理、信息安全及信息资产等方面的预控能力和管理力度,继续拓展平台应用在IT服务管理中的广度和深度,为水务事业的可持续发展提供更好的支撑和保障。

参考文献

[1](荷)Jan van Bon.IT服务管理——基于ITIL的全球最佳实践[M].章斌,译.北京:清华大学出版社,2006:58-60.

[2]侯维栋.ISO20000认证与实践[M].北京:清华大学出版社,2010:26-27.

保险行业的IT治理 篇7

保险业是信息密集型产业, 从最初的投保、服务、理赔到最后的服务支持等各个环节, 都需要依赖IT。近年来, 保险信息化在支持业务快速发展、提高管理水平、拓展服务、防范各类风险、增强行业整体实力等方面都发挥了突出作用, 保险信息化已经成为支撑和促进保险业发展的一个重要力量。

保险信息化发展现状

(一) IT治理结构不断优化

IT治理结构不断优化。保险信息化管理和决策水平决定着各个公司对信息化活动和资源管理利用的能力。保监会在“十一五”的时候专门出台了保险行业的“十一五”信息化专项规划, 在这个规划当中首先提到了IT治理这方面的一些要求。随着保险公司对IT治理认识的进一步深化, 信息化工作的效率和效果都得到有效的加强。

IT治理的意识得到增强。近年来我们在保险公司的一些管理层当中加强了组织建设, 信息化引导机构建设以来, 各个公司都建立了高管层次负责信息化工作的责任制。已有五分之一的公司建立了CL制度, CL直接参与公司业务的发展与决策, 从而促进了信息化与业务发展的规划相融合。从公司战略层面统筹推进信息化工作, 这样有利于提升信息化工作的地位和管理水平。

强化了集团管控能力和信息化标准建设。金融集团化的运作下, 各公司按照集团化发展的战略在信息化领域统一规划, 资源共享, 协同发展, 有力推进了各子公司信息化和业务的发展。集团优势非常明显, 这方面国内几大保险集团做得都很不错, 比如平安等, 在信息化方面加强了管控力度。

信息化建设规划进一步与业务的规划相融合。为了统筹信息化工作, 保险公司结合业务发展战略开展制定和实施信息化战略规划工作, 明确信息化工作的现状、步骤和目标, 使信息化建设更加协调、统一, 从而解决了IT与业务相脱离的现状。

IT绩效研究与考核机制逐步开展。2010年, 我们利用保险标准化机会, 专门对IT绩效进行了课题研究, 许多公司也针对信息化工作开展了绩效考评机制, 进一步提高了信息化工作的质量及其科学性、规范性。此外, 信息化投入也逐年增加, 投入结构也趋于合理, 2008年全行业信息化直接投入近60亿, 比2007年增加了30%。软件、服务、硬件各方面趋于合理, 同时也加快了复合型人才的培养。

(二) 信息化基础设施逐步完善

一方面是网络平台覆盖面不断增大。随着网络技术的不断发展, 公司网络平台逐步延伸, 从总公司到分公司, 再到营销服务部, 都有网络覆盖。同时三农保险也都纳入了网络平台当中, 这是纵向覆盖面。横向覆盖包括支持保险机构、银行、证券等的连接, 而且行业信息平台的信息交换也发生了很大变化。此外, 保标委也出台了标准, 这些标准出台会对我们行业之间的数据交换起到更好的推动作用。

另一方面集中建设统一高效的数据中心和后连中心。近年来一批新的后台处理基地已经开始启动。同时, 我们也要求各保险公司在今后几年做好信息系统的灾难恢复工作, 现在又有一批新的备份中心正在建设之中。

(三) IT与业务的融合度增强

首先是体现在系统的覆盖面, 由于保险业务非常复杂, 产品众多, 各保险公司紧跟多元化的发展趋势, 信息技术与保险业务融合度进一步提高, 覆盖面进一步拓宽, 信息化在业务流程和整合再造方面发挥了积极作用。其次是保险公司逐步从以保单为中心向以客户为中心的经营转变, 提高了管理和服务的水平。再次, 数据综合利用水平有所加强, 各保险公司不断提高数据质量, 加强了对数据的整合分析和利用, 这些应用在科学审计、保险产品、加强核保、核赔等方面发挥了很大作用, IT成为推动保险企业科学发展、业务创新和管理创新的强大动力。信息技术的发展也为保险业务服务创新创造了条件, 保险服务业务的拓展也带来了保险信息化的深入开展, 各个公司依托统一集中的数据中心, 加强了客户服务系统的建设。

(四) 监管信息化体系初具规模

近年来保险电子商务和网上保险发生了迅猛变化, 2008年实现保费收入248亿, 比上一年增长了57%。监管信息化体系初具规模, 保监会非常重视监管信息化的建设, 到目前为止已经完成了覆盖现场和非现场两大体系的监管信息化的工作, 包括行政审批、机构高管、人员管理一直到偿付能力的监管、统计信息报送等环节。在现场与非现场的信息系统之外, 还开发了现场集合软件, 这个软件从2004年开始开发, 今年进行了第2次升级, 对公司的监管信息化发展起到了促进作用。此外, 在政务公开方面, 加快了服务型机关的建设, 保监会利用几年时间加强了销售管理, 人们可以网上查询和电话查询销售情况。

保险信息化面临的形势

当前, 技术发展非常快, 这给我们进一步支持保险业务系统和业务应用提供了很好的技术条件。另外, 国家信息化发展战略深入实施, 经济发展和保障需求进一步推动保险业的发展, 也推动了保险信息化的发展。

保险发展从粗放式发展迈向节约化发展, 这要求保险信息化工作能够支持业务的发展和改革。一是竞争主体的增加, 竞争更加激烈, 增长方式从原来粗放式规模化到速度、质量、效益的统一化。二是保险的功能、覆盖面向纵深发展, 品种越来越多, 要根据客户的需求来设计产品。

此外, 国际化程度加深, 外部关联性增强也都为保险信息化的发展提出新的要求, 要求信息化在为企业的管理扁平化、产品的创新、服务创新方面, 做出更多的贡献。

保险信息化发展今后的特点

(一) 进一步优化企业信息化应用架构和基础架构。在保险行业完成数据大集中之后, 管理业务和流程变化进一步优化, 这就要求保险企业在战略协同、业务协同方面进一步加强营销渠道和营销资源的整合, 客户后台支持体系也需要大力提升。

(二) 强化战略管理, 推进资源整合。信息技术的发展, 以及在此基础上的金融创新对保险集团强化战略管理, 推进资源整合, 加强业务协作, 实现战略协同, 建设大型保险集团提供了可能。

(三) 迎合网络时代发展趋势, 各级构建安全高效的保险电子商务平台和服务平台。随着网络的发展, 新的产品、新的营销渠道都将为客户提供更好的服务。保监会在这方面也提出了要求, 比如, 参保的话可以在保险公司网站上查询自己投保的情况。网络技术发展给人们提供了服务的平台。

企业IT治理机制构建研究 篇8

关键词：IT治理,公司治理,治理机制

随着信息服务技术和电子商务的迅猛发展, 21世纪已经进入到信息经济时代, 对于企业来说, 挑战与机遇并存。“网络泡沫”的破灭和上市公司财务造假丑闻使西方发达国家的监管机构和企业更加注重公司治理。经过几十年的发展, 学者们总结了企业信息化建设的经验, 将“公司治理”的概念引入到信息化领域, 提出了“IT治理”的概念, 将信息化管理提升到了一个新的高度, 信息化建设过程实质上就是一个对IT进行治理的过程。今天的企业信息化建设已不仅仅是很多企业业务流程运行的核心支柱, 通过IT治理将IT战略和企业的使命和战略目标有机地结合起来, 把信息技术资源转化成一种优势资源, 已被视为其提升竞争力的法宝。

一、企业实施IT治理的动因

一个企业要做大做强, 必须走规模经济之路, 而要实现规模化经营, 要求企业必须要实施标准化、工业化、流程化和体系化的管理体制, 实现规模化最重要的手段就是应用信息技术。一份来自国外的调查报告显示, IT治理出色的企业可以获得比竞争对手高出40%的IT投资回报;IT治理处于平均水平的企业在采用相同业务战略的情况下, 能够比IT治理效率低下的企业多获得20%的利润。

IT治理是公司治理的重要组成部分, 有效的IT治理可以持续巩固和提升企业IT能力, 合理利用IT资源, 有效的IT治理对于业务流程的改进, 确保IT对各项商业目标的支持, 使IT与业务目标保持一致, 实现IT投资利益的最大化, 正确地控制和把握与IT相关的风险和机会, 增强企业的核心竞争力。但在现实中, 不少企业的高管层对IT建设的认识程度和管控程度还不够, 大部分企业还是把IT单纯看成技术手段。

2008年6月28日, 国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》, 并要求自2009年7月1日起先在上市公司范围内施行。同时鼓励非上市的其他大中型企业执行。《企业内部控制基本规范》中与企业IT治理相关的条款是第四十一条。该条款中规定:“企业应当利用信息技术促进信息的集成与共享, 充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制, 保证信息系统安全稳定运行。”《企业内部控制基本规范》作为上市公司必须遵循的法律, 要求企业必须建立一个有效的安全性信息管理平台, 尤其要体现在数据的安全性、保密性、完整性等方面。

从企业实践看, 企业更加注重IT投入与最终价值获得过程的有效性。许多上市公司为了融资的需要, 从法规遵从的视角开展IT治理活动成为了最主要动力。投资者不但需要上市公司有良好的业绩, 还需要上市公司有严格的内部控制管理规范。如为了应对美国的塞班斯法案, 在美国上市的企业就必须保证所披露信息的真实与准确, 保证信息处理与传递的效率。因此, 企业必须按照发展战略的总体要求, 对信息化建设过程进行统一规划、统一竞争力的要求。

二、企业IT治理机制构建

COBIT (Control Objectives for Information and related Technology) 即信息系统和技术控制目标。该框架模型的意义在于:COBIT实现了企业目标与IT治理目标之间的桥梁作用。它被许多企业和咨询公司认为是实施IT治理的最佳实务。借鉴COBIT的IT治理思想和框架, 科学、系统地对信息及相关技术进行管理, 逐步建立IT治理机制, 对提高我国企业信息技术的水平具有十分重要的现实意义。

COBIT包括规划与组织、采集与实施、交付与支持、监控等4个域、34个流程、318个控制目标。COBIT实现可跟踪的业绩衡量, 通过平衡记分卡可以在财务 (企业资源管理) 、客户 (客户关系管理) 、过程 (内部网, 工作流工具) 、学习 (知识管理) 等方面维持平衡, 评价企业目标的实现情况以及IT绩效, 并调整业务目标和IT战略, 进行持续的IT管理。COBIT使IT管理工作简易并量化, 减轻对复杂信息系统管理工作的难度。对于那些不具有广博IT知识的人来讲, 是一个认清信息技术的有价值的工具。COBIT框架模型是企业战略目标和信息技术战略目标的桥梁, 使得信息技术目标和企业战略目标之间实现互动。

IT治理是一个系统的过程。IT治理是控制、指导、协调组织战略目标和IT目标的系统, 是IT治理主体、客体、IT治理结构、IT治理机制的总称, 是内部IT治理、外部IT治理的融合, 是IT治理方法、过程、目标与结果的统称, 是为了实现IT治理目标所有制度安排与机制的集合。IT治理系统的目标是提供IT决策机制的科学化、决策过程的协调交互性和决策结果的创新性。组织的战略定位为IT的结构和期望行为提供了方向 (Peter, 2004) , 而IT治理作为一套关系和过程所构成的机制, 主要通过平衡IT与IT过程的风险和回报, 增加企业价值, 实现企业目标 (ISACA, 2001, V.Sambamurthy, R.W.Zmud, 1999) 。

IT治理的内容包括五个关键领域, 即价值传递、风险管理、战略协同、资源管理和绩效评估, 他们都受利益相关者价值的驱动。其中, 价值传递和风险管理是结果, 战略协同、资源管理和绩效评估是过程。一个有效的IT治理架构需要真正理解企业的核心竞争力所在, 并且在商业目标, 治理原型, 业务绩效目标之间维持平衡, 进而由企业的CIO提出IT治理框架以及如何在关键的信息技术领域中确定实施方案, 并经过高层管理者决策。在IT治理的实施过程中, 首先使信息化战略与企业发展战略同步前进, IT职责划分、绩效评估、职能监控只是实施IT治理初始内容。其次是建立CIO制度, 让CIO真正参与到企业的业务决策中来, 这是信息化建设成功的关键一步, 在此基础上, 才能保障的IT治理高效率的顺利开展。

三、企业实施IT治理机制的对策

从公司治理的层面看, 加强IT治理实质上是一个政府相关管理部门和企业必须携手面对的问题。政府应扮演一个重要的推动角色和监管角色, 并且采取有效措施解决所制定规则的充分合法性、可执行问题。这样才能使企业充分认识到IT治理的重要性。

从企业提高竞争力的视角看, IT治理应置于整个公司治理的框架内予以考虑, 涉及企业经理层、治理层、所有者以及其他的利益相关者。它能为企业战略目标的设置和实现为相应的绩效评估提供结构化的解决方案。正如美国麻省理工学院的学者彼得·维尔和珍妮·罗斯在其所撰写的《IT治理》一书中所说的那样, IT治理就是为鼓励IT应用的期望行为, 和明确的决策权归属和责任担当框架, 是行为而不是战略创造价值。因此, 企业的任何战略都要落实到具体实施方案上。

然而, 每个行业的IT治理实践都有其显著的行业特征。不同的企业处在不同的商业环境, 加之企业文化和管理方式上的差异也使得各企业的IT治理实践各有特点。但关键成功因素可以从标准控制模型和IT管理框架的目标与审计指南中获取。这些标准要求:信息技术要与企业的运营情况相符;信息技术使营运业务可行, 并使其收益最大化;合理使用信息技术资源;适当管理IT的有关风险。关键成功因素平衡所有的IT资源, 它由关键绩效指标评价。实施IT治理的平衡记分卡与通用的企业平衡记分卡框架基本一致, IT平衡记分卡中也包括组织的财务评估、顾客满意度计量、内部处理过程以及创新能力四个部分。

参考文献

[1]张静思.IT治理——公司治理的重要环节[J].企业导报, 2010 (3) :106-106.

[2]王芳.IT治理解析[J].审计与理财, 2010 (3) :56-57.