银行IT治理

一、前言

近年来，随着信息技术革命的浪潮，国内商业银行也在不断推进银行信息化建设。今天，银行信息化正进入到一个关键阶段，在获得新的机遇的同时，银行也面临前所未有的挑战。具体表现在：

银行的经营与管理已经完全建立在信息系统上，二者密不可分；
银行的经营状况，与银行IT能力、信息系统的可靠与高效运行、信息的安全，以及信息的共享与挖掘、利用，有着密切关系；
不断涌现的新信息技术，包括基于网络的服务、移动技术、大数据技术等，为银行带来了新市场、新客户。与此同时，如何让银行成为信息化银行，为新老客户提供新服务渠道、新产品，让银行的服务扩展并嵌入到客户衣食住行的各种场景里，让客户有更好的体验，则是相伴而生的新挑战。谁能抓住IT新机遇，谁就可能是明天的 “苹果”、“谷歌”；谁不能跟上IT的新潮流，谁就可能是明天的“柯达”、“黑莓”，不管你今天如何辉煌；
IT建设需要巨大投入，但银行的董事会、管理层未必都能真正做到对IT有深刻的理解。IT战略决策一旦有偏差，效果与预期将相去甚远，带来的不仅只是几年的岁月蹉跎与成千上万人年的资源消耗，还有算不出来的资金开销；

此外，IT还隐含了巨大的风险，如何能控制IT风险，发挥IT效益，是每个银行面临的一个新问题。

以上问题不但银行业要面对，几乎所有与IT密切相关的行业都会碰到；不但在中国存在，国外企业比中国更早就意识到。为解决上述问题，IT治理的概念应运而生。

二、IT治理的概念

IT治理是公司治理的一部分。要了解IT治理的概念，要先知道什么是公司治理，公司治理与IT治理的关系，治理与管理的区别与联系。

（一）公司治理

所谓公司治理，指的是：

制定一种架构，明确与平衡公司诸多利益相关者包括各大小股东、董事会、公司管理层、公司员工的责、权、利关系；
建立起相应的监督与激励机制，提高公司管理者的战略决策能力，使之能充分利用资本供给者提供的资产及公司的各种可利用资源，为公司顾客与潜在客户贡献和创造他们最为关注的、核心的、根本的价值，使公司能持续发展；
同时，为股东创造最大的投资回报，并承担起相关社会责任。

（二）公司治理与IT治理

IT治理是公司治理在信息时代的重要发展，是公司治理的一部分。IT治理指的是：

企业采用有效的机制，确保IT的发展方向与企业的业务目标一致，提升企业IT的核心竞争力；
通过治理，充分利用信息技术，掌控IT风险，发挥IT的最大作用，推动业务发展，使企业经营管理效益最大化，实现企业的战略目标。

（三）治理与管理

治理和管理是两个不同的概念。它们之间的区别和联系在于：

“治理”决定什么是高阶规则并制定这些高阶规则，最根本的是要决定由谁来进行哪些决策并制定决策流程；
“管理”是在高阶规则框架下制定具体实施规则，并按照所有的规则进行具体决策。

下面，针对中国银行业，就IT治理相关问题进行研讨。

三、IT治理的组织架构

在当前的社会发展历史时期，IT无疑是银行最重要的核心竞争力，银行拥有的IT资源无疑是银行的战略资源。对于战略资源，银行最高管理层（董事会）的直接监管至关重要。同时，当前银行信息化过程也带来了新的商业模式和业务流程的重组，这些改变会引起银行内部责权与利益的再分配。在这种情况下，IT治理已经远远超出信息化部门的职责和权力范围，银行必须建立起强有力的IT治理架构，才能有效地推进IT的发展，实现业务战略目标。

IT治理组织架构主要包括：

（一）IT治理委员会/信息科技管理委员会

IT治理的组织架构要求在董事会下设立一个由相关董事、高级管理层、IT部门和主要业务部门的代表组成的IT治理委员会/信息科技管理委员会，具体承担董事会在IT治理方面的工作。同时，在董事会和高管层需要做IT决策时，委员会提供所需支持，保证投资巨大的IT项目处于可控状态，以使银行通过其IT能力，获得更大的竞争优势。

IT治理委员会/信息技术管理委员会的职责包括：

遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，贯彻各监管部门相关监管要求；
审查批准银行信息化战略，确保其与银行战略和重大业务策略相一致；
确保信息化治理工作所需资源的充分配备与合理配置，主要包括资金资源与人力资源；
在建立良好的公司治理的基础上进行信息化治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织结构，并负责监督各项职责的落实；
定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息化管理的整体状况；
评估信息技术及其风险管理工作的总体效果和效率，掌握主要的信息技术风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制；
确保内部审计部门进行独立有效的信息技术风险管理审计，对审计报告进行确认并落实整改；
配合监管部门做好信息科技风险监督检查工作，及时向监管部门报告本机构发生的重大信息技术事故或突发事件。每年审阅并向监管部门报送信息化治理的年度报告，并按照监管意见进行整改；
加强信息化专业队伍的建设，建立人才激励机制；
确保本法人机构涉及客户信息、账务信息以及产品信息等核心信息资产的安全；
审理重大的IT工程与研发项目；
履行信息化治理其他相关工作。

IT治理委员会/信息科技管理委员会成员构成通常包括主任委员、主管科技行领导、各科技部门主要负责人，及与科技密切相关部门负责人。主任委员通常可由独立董事担任。

委员会应该至少每季度有一次全体委员的会议。

（二）CIO

银行IT治理要求银行设立首席信息官（CIO），作为银行高管，参加信息科技委员会，直接参与IT决策。银监会在中国银行业信息科技“十二五”、“十三五”发展规划监管指导意见中，也提出银行设立CIO的要求。

首席信息官的职责包括：

确保本行信息科技战略，及信息系统开发战略，符合本银行的总体业务战略和信息科技风险管理策略；
参与本银行与信息科技密切相关的业务发展决策；
参与构建银行信息科技组织架构的决策，代表银行管理层，具体管理本银行信息科技所有技术相关工作。确保银行信息科技按要求履行：信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目研发和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责；
确保信息科技风险管理的有效性，并使有关管理措施落实到相关每一个内设机构和分支机构；
组织专业培训，提高人才队伍的专业技能。

（三）其他IT治理架构

银行应该设立IT风险管理架构，负责协调制定有关信息科技风险管理策略。尤其是在涉及信息安全、业务连续性计划和合规性风险等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估，跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。

银行还应该设立IT审计架构，负责制订信息科技审计制度和信息科技审计计划，对信息科技整个生命周期和重大事件实施审计。

四、IT治理的范围与内容

通常认为，IT治理的对象包括：IT战略、IT组织、IT系统架构、IT基础设施、IT风险、信息安全、IT运营等各方面。其中，IT运营又包含IT决策流程、IT项目管理、IT运维管理、IT采购管理、IT绩效管理等。

上述IT治理范围中，针对中国银行业，具体内容有哪些呢？

中国银行业的IT建设从上世纪70年代末开始，经过了几十年的发展，当前已经取得了非常大的成绩。无论是对外的业务与服务还是对内的管理，银行都已经离不开IT支撑。对于维持银行日常经营管理的需要，银行IT已经能基本满足，但是，银行业务部门对IT的普遍反映是：

银行IT的建设还是跟不上银行业务的发展，满足不了银行内部管理要求越来越高的需要；
IT总体能力不足，人员数量与素质有待提升；
要减少对IT外包的依赖，提高自主研发或主导研发的能力；
IT项目建设周期长，项目质量不理想；
IT整体规划不足，各IT产品之间的信息不能共享，存在各种的IT风险；等等诸多意见。

可见，银行IT现状远没有达到理想状态，IT治理还是有很大空间。

在中国的银行业，IT治理最主要的目标是，确立IT的战略目标与定位，理顺IT的各种关系，提升IT的核心竞争力，让IT能围绕银行的战略，更好地为银行的业务与管理提供支持与服务。其中，核心目标是提升IT的能力，提升IT的核心竞争力。银行IT的核心竞争力具体内容体现在：银行的IT架构、IT团队、IT系统、IT基础设施和IT企业文化。

（一） IT架构

银行IT架构治理包括明确架构的层次，各层架构的内涵，以及各层之间的关系。

银行IT架构通常可以分为五个层次：

1、战略架构

IT战略架构主要包括：银行IT的战略目标、IT定位、IT资源的配备与配置等。

2、业务架构

IT业务架构主要包括：明晰银行IT的客户（参见《企业级客户信息系统》），梳理IT的产品线（参见《银行产品的概念明晰》、《银行产品体系》），确立信息系统研发方式、测试模式、运维方式（参见《信息系统的建设模式》），理顺银行产品开发与IT产品研发的流程及关系（参见《银行产品管理架构》）等。

3、组织架构

组织架构包括：IT的组织架构模式——集权、分权还是混合的模式，各IT机构间的责权划分，以及IT机构与业务部门之间的关系。

4、信息系统架构

5、IT基础设施架构

这两层次的架构下文会再论述。

（二） IT团队

银行IT团队是银行IT最重要的核心竞争力，也是IT治理要关注的一个非常重要的对象。IT团队治理需要解决的问题有：

1、数量

IT团队的数量是IT能力的最基本要素，没有数量，一切都是空谈。现实中，团队数量不足的问题困扰着大多数中小银行。IT团队的数量与银行IT战略定位、对IT的期望有密切的关系，是其直观体现。

2、人员配置

解决了人员数量的问题，还要解决人员配置问题。对于大多数信息系统已经集中的银行，人员配置有两个维度：一是总行与分行的人员如何配置，二是在IT管理、研发、测试、维护等不同职能间，人员如何配置。

3、人员质量

IT团队的质量，或说IT人员的职业素质，是IT团队治理的另一个重要的问题。许多银行IT建设起步较晚，IT人员普遍比较年轻，岗位资历短，专业技能与业务知识不能完全满足岗位的需要。要解决这个问题，关键是要落实人员的培养与教育问题。

4、岗位与职业生涯

要建立一支过硬的IT团队，一个合理完善的IT岗位设计与职业生涯发展图谱必不可少。只有这样，才能使各IT人员各司其职，与银行共同发展。

5、绩效考核

公司治理强调监管与激励。在IT治理中，监管与激励体现在IT的绩效考核中。只有通过合理与完善的考核，才能发挥每个IT人员的积极性，保证IT团队的整体战斗力。

（三） IT系统

银行IT系统的治理包含了非常广泛的内容。治理的目标要针对信息系统存在的各种问题。这些问题主要表现在信息系统的可靠性、安全性、运行效率、开发效率、产品创新、信息共享等方面。要解决上述问题，最主要的是信息系统的架构治理。信息系统架构属于IT架构的一个重要组成部分，要兼顾效率与灵活、安全与方便、集中与分布的平衡。信息系统架构细分可以包括：应用架构、程序架构、数据架构、数据治理（含信息标准与规范）、流程架构、信息安全架构等。（关于这些细分架构，《金语梁言》第一季第7期至第15期分别进行过详细论述，感兴趣的读者可以回溯。）

（四）基础设施架构

银行IT基础设施指的是为了银行信息系统能安全、高效运行所需要的一系列硬、软件设施，包括机房、动力、空调、各种计算机和网络通信设备；各种操作系统、数据库、中间件、应用工具等。

基础设施架构治理指的是如何根据IT运行需要，满足性能、容量与安全要求，结合技术发展，配备与配置这些硬软件。（《金语梁言》第一季最后一期《基础设施架构》对银行基础设施架构的设计思路有全面讨论。）

（五）企业文化

IT企业文化是银行企业文化的一部分。企业文化包括无形文化与有形文化，无形文化主要是指企业的精神文化，而有形文化包括企业的制度文化和企业的文化设施。企业文化的治理目标主要是为企业建立起优良文化，并发扬光大。

1、精神文化

企业的精神文化是企业用以指导开展生产经营活动的各种目标、群体意识和价值观念，其核心是企业的价值观念体系。银行IT应该拥有怎样的价值观念，如何树立起正确的价值观念，是IT治理的一个重要任务。

2、制度文化

银行IT制度包括：各种IT标准与规范，各种IT运营制度，IT服务管理制度，IT安全与风险管理制度，IT审计制度等。

3、文化设施

银行IT文化设施包括：形象设施、文化环境、文娱设施，及各种文化支撑系统。这些系统包括如：内部门户、内部论坛，以及各种办公系统、生产管理与支撑系统。

五、IT治理的标准

IT治理是信息科技体系控制领域中一个相对较新的理念，到21世纪初才形成相对完整的概念并引入我国。而怎么样才算达到IT治理的目标，目前国内还没有形成完整而权威的说法。不过，根据国际上IT治理的实践，在一些方面，我们可以参照相关国际标准：

目前国际上最佳实践通行的IT治理标准，就是基于各个对象治理成熟的方法论和工具，包括ITIL、COBIT、ISO/IEC17799、PRINCE2等。

1、ITIL

ITIL（InformationTechnology Infrastructure Library）：即信息技术基础构架库。ITIL提出了一整套对IT服务的质量进行评估的方法体系，为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。ITIL主要包括：业务管理、服务管理、ICT基础架构管理、IT服务管理规划与实施、应用管理和安全管理等模块。其中，服务管理是其最核心的模块，主要涉及：服务级别管理、IT服务财务管理、能力管理、IT服务连续性管理、可用性管理、事件管理、问题管理、变更管理、发布管理、配置管理等流程管理。

2、COBIT

COBIT（ControlObjectives for Information and related Technology）：即信息和相关技术的控制目标。COBIT为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。作为IT治理的核心模型，COBIT架构归集为几个控制域：IT规划和组织（Planning and Organization）、系统获得和实施（Acquisition and Implementation）、交付与支持（Deliveryand Support）以及监控（Monitoring），并由数十个信息技术过程控制和数百个细节控制目标组成。对这些目标进行定义，可以帮助企业业务维持对IT的有效控制。

3、ISO17799

ISO17799，即信息安全管理体系标准，其前身为英国标准协会（BSI）的BS7799标准。BS7799分为两部分：BS 7799-1《信息安全管理实施细则》及BS 7799-2《信息安全管理体系规范》。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系的要求，规定了根据独立组织的需要应实施安全控制的要求。

信息安全管理体系标准为各企业进行信息安全管理提供了一个完整的管理框架，引导企业建立一个完整的信息安全管理体系。