证券信息化发展的新趋势
来源:中国证券报 更新时间:2012-04-15

 

  □国泰君安 俞枫

  中国证券市场的发展是一个高度信息化的过程,目前信息化成为证券业运作和创造价值的核心,IT已成为证券业不可或缺的核心竞争力之一。在现阶段,如何将IT战略与企业发展战略相融合?如何从企业治理的高度,对信息化工作做出制度安排?如何从战略投资、企业管理变革的角度降低IT 风险等问题,已越来越受到行业的重视,IT 治理在证券业的信息化进程中已变得越来越重要。
 
 
 
协会适时发布了IT治理指引,为行业IT工作奠定基础。

  一、IT治理是公司治理的组成部分

  IT 治理是从上世纪90 年代中期开始受到广泛关注的研究热点, 它部分继承了公司治理的思想,发展到现在已经逐渐形成了相对完整的学术及行业体系。IT治理是指公司在运用IT过程中,制定的有关IT决策权分配和责任承担的框架,主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入五个方面制定相关制度并建立有效的工作机制,实现IT决策的责任和权力的有效分配与控制,提高IT资源的有效性、可用性和安全性。彼得?维尔和珍妮?罗斯的研究指出:现实中太多公司的IT项目以失败而告终,它们甚至达不到公司投资所期望的底线。其研究表明:在采用相同战略目标的情况下,具有良好IT治理的企业,其利润要比那些治理低下的企业高出20%。

  二、IT治理与IT管理的关系

  IT治理与IT管理是两个相互联系、相互区别的概念。正如彼得?维尔所指出的:治理是决定由谁来进行决策,而管理则是制定和执行这些决策的过程。治理是回答哪些事情必须要做,管理是决定这些事情怎么做。治理是创造一个管理者能有效工作的环境,而管理是做出运营方面的决策。IT治理决定了由谁来掌握企业在IT投资额度上的决策权,管理则决定某年投入的实际资金数的资金所投向的范围。IT治理是一系列有关谁做出IT管理决策的决策。

  IT治理与IT管理间的关系是一种指导关系,即先与后、上与下的关系。IT治理强调构建良好的管理环境, 而IT管理强调对IT资源的运营。IT治理是公司治理的一部分,是董事会在确定组织的战略时要考虑的问题,IT治理要做到有效果、透明和责任明确。与之相对应地,IT管理是公司管理中的一部分,是各级管理者在执行组织战略时要做到的部分,IT管理更强调效率。IT治理通过定义明确的角色和责任,对IT管理中各方的进行影响和监督。同时,IT治理通过确定谁批准IT 战略、谁批准IT标准、谁对项目监管负有责任等问题,对IT管理提供支持。公司如果没有IT 治理的框架和机制,就无法对IT 管理进行有效控制,极端的例子是IT外包,这时IT治理与IT管理是相对分离的。

  IT治理与IT管理最大的区别在于IT管理的目标是为了实现企业运营效率的最大化, 因此,主要解决的是效率问题,侧重于技术的应用。而IT治理的目标是为了实现各利益相关者利益的均衡。因此,其解决的不只是效率问题,而更加关注公平问题,不是技术的简单应用,而在于信息技术方面的制度建设,是对新的利益格局的平衡。治理是战略导向, 管理是任务导向。

  由此可见,IT 治理与IT 管理相互联系、相互区别的,IT 治理是IT 管理的基础,IT 管理对IT 治理有促进作用,而两者都与组织的大环境相关,也都需要组织的高层加以重视和推动。

  三、IT治理指引的实施有助于在证券业建立IT治理机制

  建立IT 治理机制是一个动态的过程。IT治理是机制的集合,更是治理主体间互动的过程。治理不是一整套规则,也不是一种活动,而是一个过程。IT治理是企业与所有利益相关者的互动过程,其中包括在制订企业长远IT 发展战略决策上的互动。IT治理系统的目标是提供IT 决策机制的科学化、决策过程的协调交互性和决策结果的创新性。我们认为,建立证券业IT治理机制,就要积极贯彻落实IT治理指引:

  1.加强公司发展战略与IT战略互动

  在最高管理层中,树立和强化IT战略地位,建立企业战略与IT战略的互动观念,阐明IT应担当的角色。从业务的视角,建立信息技术指导原则,如信息化规划本质上可以定位为从业务战略到信息战略的实现。IT战略的建立,应从组织战略出发而不是从系统需求出发,可以避免脱离目标而进行建设的困境。应从业务变革出发而不是从技术变革出发,有利于充分利用现有资源满足关键需求,从而避免建设的信息系统无法有效地支持组织的决策。

  2.建立健全IT治理委员会

  设立IT治理委员会是IT治理的重要环节。IT治理委员会由企业的最高管理层及管理执行层(包括IT管理和业务管理有关部门的负责人、管理技术人员)组成。IT治理委员会定期召开会议,就企业战略与IT战略的驱动和设置等议题进行讨论并做出决策,为组织IT管理提供导向与支持,将IT治理的相关规范融入到企业的内部控制中。

  3.推行信息系统审计

  信息系统审计是一个获取并评价证据,以判断信息系统是否能够保证资产安全、数据完整及有效率利用组织资源并实现组织目标的过程。它综合运用IT技术与审计理论及方法,为信息的使用者提供合理的保证。信息时代,企业为防范风险,必须将其内控机制扩展到信息处理系统的各个方面,包括企业内部网与因特网在内的直接或间接影响财务报表或其他重要资料的数据或处理系统。此外,这些企业还必须信任与其互通业务数据合作伙伴的内控系统。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内控实施评估和风险管理方面,可以通过内部审计或外部审计解决上述问题。

  4.研究建立标准化的运行管理流程

  参照业界IT服务管理标准建立运行管理流程,采用运行管理工具辅助管理,提高运行管理效率、降低运营成本、保障安全运行。企业需建立符合业界运行维护服务标准的管理流程,提出运行维护服务的量化标准,营造IT运行管理文化,推动运行维护服务标准在证券业中的施行。可借助目前成熟完善的管理工具辅助运行维护管理,构建较为完备的系统管理架构,提高系统的可管理性及可用性,使运行维护工作流程化、标准化、自动化、体系化。