??? 摘 要:提出一種通過IT戰(zhàn)略制定,、CISR模型,、COBIT實(shí)施,、IT項(xiàng)目管理流程、CMM,、ITIL和ISO27001等國際標(biāo)準(zhǔn)的融合運(yùn)用來指導(dǎo)商業(yè)銀行IT治理實(shí)施的新模式,該模式解決了中國商業(yè)銀行現(xiàn)階段關(guān)于IT治理實(shí)施研究所面臨的模式混亂和范圍不清等問題,。
??? 關(guān)鍵詞:公司治理；IT治理,；治理模型,；信息技術(shù)發(fā)展戰(zhàn)略； IT標(biāo)準(zhǔn)

?

??? 構(gòu)建社會主義和諧社會,，是目前從全面建設(shè)小康社會,、開創(chuàng)中國特色社會主義事業(yè)新局面的全局出發(fā)，提出的一項(xiàng)重大任務(wù),，而銀行業(yè)更因其特殊功能而成為構(gòu)建和諧社會的關(guān)鍵角色,，負(fù)有歷史使命。為了在現(xiàn)有國際金融危機(jī)下更好地發(fā)展中國銀行業(yè),，中國銀監(jiān)會提出“以存款為基礎(chǔ),，以風(fēng)險管理立行，以金融服務(wù)興行”的理念,，公司治理在國際金融危機(jī)這個大環(huán)境下再次被提出并需給予足夠重視,。 IT治理是公司治理的重要組成部分，良好的IT 治理能提高公司治理的水平, 商業(yè)銀行IT治理在協(xié)助商業(yè)銀行企業(yè)朝良性的整體運(yùn)營發(fā)展方面發(fā)揮著重要作用, 同時也幫助提高銀行的信息管理水平,、加強(qiáng)公司治理環(huán)節(jié)的信息披露和內(nèi)部控制,，為股東和客戶提供更多信息等方面來提高公司整體治理水平。
1 IT治理的國內(nèi),、國際研究與發(fā)展情況
??? 國際信息系統(tǒng)審計(jì)與控制協(xié)會(ISACA)認(rèn)為,，IT 治理是一個內(nèi)涵豐富的術(shù)語,包括信息系統(tǒng),、技術(shù)及連通性、商業(yè)活動,、法律相關(guān)事宜以及所有利益相關(guān)者-公司董事,、高級管理人員、業(yè)務(wù)流程的執(zhí)行者,、IT 供應(yīng)商、IT 的使用者以及審計(jì)人員等,。為推動IT 治理的理論與實(shí)踐,ISACA 于1998 年成立了IT治理協(xié)會(ITGI),強(qiáng)調(diào)IT 治理是董事會和高級管理層的責(zé)任,是企業(yè)治理的一部分,。
??? Patel認(rèn)為應(yīng)該將產(chǎn)品和服務(wù)質(zhì)量包含進(jìn)來，IT治理能提高組織的IT投資回報(bào),，像COBIT和ITIL這些IT治理框架在國際范圍內(nèi)被廣泛接受并可幫助實(shí)現(xiàn)這些利益,。WESSELS E和VAN L J提出公司董事會成員、高級管理人員和IT管理人員希望通過采用IT治理來保證企業(yè)的效率,、降低成本并提高對IT環(huán)境的控制^[1],。
??? 幾年前IT治理的概念被引入到國內(nèi)，在媒體,、IT業(yè)及金融等IT應(yīng)用水平較高的行業(yè)一度炒得很熱,，專家學(xué)者也在不斷呼吁IT治理的重要性，但真正將IT治理實(shí)踐到公司運(yùn)營層面的案例在國內(nèi)還不是很多,，目前我國的IT治理仍處于起步階段,。
??? 根據(jù)IT治理協(xié)會（ITGI）2006年發(fā)布的《2006年全球IT治理調(diào)查報(bào)告》，通信和金融服務(wù)行業(yè)明顯比零售和制造業(yè)等行業(yè)要好,，COBIT 的認(rèn)知度在逐漸增加,。據(jù)中國IT治理論壇的數(shù)據(jù)表明國內(nèi)企業(yè)IT治理的有效性能達(dá)到60%的企業(yè)比例仍然很低，約為15%左右,，目前絕大多數(shù)企業(yè)的IT治理的有效性在30%～60%,。
2 我國商業(yè)銀行IT治理現(xiàn)狀
??? 目前，我國的商業(yè)銀行可簡單分為3大類,，分別為國有大型商業(yè)銀行,、中資背景中小商業(yè)銀行和外商獨(dú)資商業(yè)銀行。
??? 根據(jù)調(diào)查,目前外資商業(yè)銀行在IT治理方面一般是參照其母行的公司治理及IT治理模式并結(jié)合自身情況進(jìn)行定制和調(diào)優(yōu)^[2],，一般情況下是符合國際通用的IT治理模式,，與其公司治理一起構(gòu)成一個相對完善和協(xié)調(diào)的整體，利用其在公司治理和IT治理方面的理念和實(shí)踐經(jīng)驗(yàn)并結(jié)合公司自身的發(fā)展和認(rèn)知摸索出一條相對可行的IT治理實(shí)施方案,。簡單歸結(jié)為如下的IT治理路線圖：
??? （1）識別企業(yè)業(yè)務(wù)模式 ,；
??? （2）分析現(xiàn)有IT治理狀況；
??? （3）制定IT治理規(guī)劃及實(shí)施計(jì)劃 ,；
??? （4）實(shí)施改善計(jì)劃,；
??? （5）定期回顧并改善,。
??? 部分企業(yè)在實(shí)踐中參考上述策略完成公司IT治理規(guī)劃與實(shí)施模型、確定IT治理的決策范圍和實(shí)施優(yōu)先級,，而具體的日常工作內(nèi)容則通過CISR模型,、COBIT、Prince2,、CMM,、ITIL和ISO27001等行業(yè)標(biāo)準(zhǔn)的融合運(yùn)用來實(shí)施。
??? 實(shí)施過程中發(fā)現(xiàn),，按照此種路線圖來實(shí)施IT治理可以按部就班,，結(jié)合公司發(fā)展?fàn)顩r，清楚地確定IT治理的實(shí)施范圍,，并且實(shí)施也會符合公司的業(yè)務(wù),、IT發(fā)展需求和整個行業(yè)的發(fā)展要求。
??? 對于國有大型商業(yè)銀行,，以工商銀行,、中國銀行等為代表的居于領(lǐng)導(dǎo)地位的銀行經(jīng)過股份制改造或境內(nèi)外上市建立起了較好的IT治理結(jié)構(gòu)。
??? 但對于年輕的中資背景中小商業(yè)銀行來說大多數(shù)IT治理仍處于起步階段,。由于行業(yè)的趨同性和國際化程度的提高,，絕大多數(shù)的新興中資銀行開始采用ITIL和COBIT作為實(shí)施策略，但目前只是簡單的導(dǎo)入,，而非真正建立IT治理架構(gòu),，同時對于除ITIL和COBIT之外的其他標(biāo)準(zhǔn)的導(dǎo)入還很少。本文將探討借鑒國外和國內(nèi)外資銀行的先進(jìn)經(jīng)驗(yàn)進(jìn)行我國商業(yè)銀行的IT治理規(guī)劃與實(shí)施模型,，以提出一種適用于我國商業(yè)銀行建立IT治理實(shí)施模式并清楚定義IT治理范圍的新模式,。
3 商業(yè)銀行IT治理實(shí)施模型與最佳實(shí)踐
??? 在此，以某中型商業(yè)銀行為例分析我國商業(yè)銀行進(jìn)行公司IT治理規(guī)劃與其實(shí)施模型的建立方法,，根據(jù)分析該行處于一個變化不快并以產(chǎn)品服務(wù)的差異化為競爭基礎(chǔ)的商業(yè)環(huán)境,，這就決定了消費(fèi)者的需求、競爭格局,、政府監(jiān)管,、技術(shù)及供應(yīng)商等方面的變化都不是快速的，另一方面因?yàn)閷Ξa(chǎn)品服務(wù)差異化的要求又力求先于競爭對手提供新的業(yè)務(wù)和服務(wù)能力以此獲得競爭優(yōu)勢^[3],。期望利用信息技術(shù)來提高運(yùn)營水平和決策能力,，并開發(fā)新的產(chǎn)品和服務(wù)，以高投資回報(bào)率來抵消不斷增長的IT支出^[4],。
在此基礎(chǔ)上該銀行對公司IT治理做出了一個比較清晰的定位：IT治理作為公司治理的一部分,，需要充分保證IT戰(zhàn)略與公司戰(zhàn)略的匹配及其執(zhí)行，體現(xiàn)現(xiàn)有及未來信息技術(shù)與企業(yè)組織的戰(zhàn)略集成；指導(dǎo)公司通過對業(yè)界標(biāo)準(zhǔn)和股東方最佳實(shí)踐的實(shí)施合理配置并有效利用IT資源,、加強(qiáng)信息風(fēng)險控制和滿足公司內(nèi)控需求,。
??? 根據(jù)上述分析和定位并結(jié)合IT治理最佳實(shí)踐，筆者提出適合我國商業(yè)銀行的IT治理規(guī)劃與實(shí)施模型如圖1所示,，通過IT戰(zhàn)略制定,、CISR模型、COBIT,、IT項(xiàng)目管理流程,、CMM、ITIL和ISO27000等標(biāo)準(zhǔn)的融合運(yùn)用來指導(dǎo)公司IT治理和IT管理的工作,。

?

?

??? 目前,，業(yè)界通常認(rèn)為CISR模型和COBIT為2大主要的IT治理模型，筆者研究認(rèn)為這2種模型均不能涵蓋決策權(quán)和合規(guī)遵從兩大問題,，CISR模型更多的是側(cè)重決策權(quán)及決策制定過程，COBIT則停留在IT管理的一些具體過程,，根據(jù)經(jīng)驗(yàn)和研究,，建議將IT戰(zhàn)略制定、CISR模型,、COBIT,、IT項(xiàng)目管理流程、CMM,、ITIL和BS7799等標(biāo)準(zhǔn)的融合運(yùn)用,，力圖通過標(biāo)準(zhǔn)化的方法論和實(shí)踐將商業(yè)銀行的IT治理和管理水平提升到一個新的高度。IT治理框架可能在各銀行各不相同,，但是他們基本的目標(biāo)是一致的,，即提高銀行IT的效能，尋求IT資源的最大化,。下面從實(shí)踐的角度對上述模型進(jìn)行闡述,。
3.1 商業(yè)銀行CISR模型及IT治理的決策范圍
??? 參照業(yè)界實(shí)踐，銀行IT治理的決策范圍可由以下5個方面組成,，分別為組織模式,、投資、架構(gòu),、標(biāo)準(zhǔn),、資源。
??? （1）組織模式
??? 根據(jù)對公司業(yè)務(wù)模式的分析,，IT治理的組織模式通?？刹扇〖瘷?quán)模式、分權(quán)模式或集權(quán)與分權(quán)混合的模式，不同模式下IT對于預(yù)算和IT決策負(fù)有相應(yīng)的責(zé)任,，對于采用分權(quán)模式或混合模式的公司通常設(shè)有一個虛擬的集權(quán)部門IT指導(dǎo)委員會來對公司IT行為進(jìn)行重要決策,。
??? （2）投資
??? 針對IT戰(zhàn)略和使命，IT投資應(yīng)主要集中在支持現(xiàn)有業(yè)務(wù)運(yùn)行,、優(yōu)先發(fā)展新業(yè)務(wù)以及進(jìn)行IT安全和風(fēng)險管控活動,；按照公司要求和業(yè)界最佳實(shí)踐，整體IT運(yùn)營費(fèi)用占公司全部運(yùn)行費(fèi)用的比例一般會設(shè)定一個經(jīng)驗(yàn)值,，以衡量公司IT投資是否在一個正常狀態(tài),。
??? （3）架構(gòu)
??? 根據(jù)商業(yè)銀行現(xiàn)實(shí)情況及其行業(yè)特點(diǎn)，一般認(rèn)為穩(wěn)定性與靈活性都很重要,。結(jié)合各公司情況實(shí)踐,，建議選擇一種可適應(yīng)的IT架構(gòu)作為公司的參考架構(gòu)模型，根據(jù)此模型及其規(guī)則,，制定出商業(yè)銀行相應(yīng)的解決方案架構(gòu),、業(yè)務(wù)架構(gòu)、系統(tǒng)架構(gòu)和技術(shù)架構(gòu),，通過這些架構(gòu)指導(dǎo)銀行的IT行為,。
??? （4）標(biāo)準(zhǔn)
??? 商業(yè)銀行希望在整體上加強(qiáng)其IT架構(gòu)，遵從行業(yè)技術(shù)和運(yùn)營的標(biāo)準(zhǔn)化,，但是在有正常的業(yè)務(wù)需求下可以有所背離,。目前商業(yè)銀行一般開始實(shí)施的標(biāo)準(zhǔn)包括ITIL、COBIT,、ISO27000,、Prince2/PMP、CMM,、銀行業(yè)業(yè)務(wù)模型等,。
??? （5）資源
??? 在資源方面，商業(yè)銀行可綜合利用銀行內(nèi)外部資源的組合,，結(jié)合相應(yīng)的專業(yè)外部顧問服務(wù),，同時公司需要注重IT治理方面人力資源的培養(yǎng)。
3.2 商業(yè)銀行COBIT實(shí)踐
??? 我國商業(yè)銀行COBIT的實(shí)施相對較晚,，現(xiàn)階段商業(yè)銀行主要集中在COBIT上層中對IT運(yùn)行內(nèi)部控制和內(nèi),、外部審計(jì)，確保IT資源管理的安全性,、可靠性和有效性,，以期實(shí)現(xiàn)對IT持續(xù)不斷的應(yīng)用和改進(jìn)^[5]。
??? 商業(yè)銀行大多在實(shí)際工作中利用COBIT的一些常用工具如平衡記分卡等來幫助提高管理的水平,。
??? 部分外資銀行開始結(jié)合COBIT模型制定多道風(fēng)險如圖2所示防線的治理模型^[6],，綜合利用一線用戶/經(jīng)理人員,、信息風(fēng)險管理/危機(jī)管理、內(nèi)部審計(jì)和外部審計(jì)來對公司IT風(fēng)險進(jìn)行管理和防范,。三道防線模型如圖2所示,。

?

??? COBIT通常能成為商業(yè)銀行業(yè)企業(yè)戰(zhàn)略目標(biāo)和信息技術(shù)戰(zhàn)略目標(biāo)的橋梁，使得信息技術(shù)目標(biāo)和企業(yè)戰(zhàn)略目標(biāo)之間實(shí)現(xiàn)互動,，之后通過采用COBIT成熟度模型,，可以定位自己企業(yè)的IT管理目前在業(yè)界所處的位置，以及未來努力的方向^[7],。
3.3 商業(yè)銀行項(xiàng)目管理實(shí)踐
??? 商業(yè)銀行可根據(jù)公司實(shí)際情況及項(xiàng)目管理經(jīng)驗(yàn)推出自己公司的基于Prince2的精簡版本作為項(xiàng)目管理的方法論來標(biāo)準(zhǔn)化公司的項(xiàng)目管理工作,，將Prince2中的項(xiàng)目周期具體化，并結(jié)合不同階段提供相應(yīng)的標(biāo)準(zhǔn)的交付物,。通過實(shí)踐可以證明Prince2在界定瑣碎的業(yè)務(wù)需求及選擇最適合最節(jié)約成本的解決方案方面具有有效的方法.
??? Prince2和PMP是當(dāng)今最流行的2種項(xiàng)目管理方法論,，推薦Prince2而不是PMP，主要是因?yàn)镻rince2更加關(guān)注提高組織的項(xiàng)目管理能力,，而PMP則更側(cè)重于提高個人的項(xiàng)目管理能力,。
3.4 商業(yè)銀行IT服務(wù)管理實(shí)踐
??? 不同規(guī)模的外資銀行可以根據(jù)公司規(guī)模進(jìn)行不同的ITIL流程實(shí)施。現(xiàn)在大多數(shù)實(shí)施是參照ITIL v2的,，ITIL v2包括服務(wù)支持和服務(wù)提供2個方面,，ITIL v3 是由英國商務(wù)部于2007年5月份出版發(fā)布，其中規(guī)定了管理IT組織以及整合IT 和業(yè)務(wù)的方法論,。ITIL v3官方評論家KEN T指出“ITIL v3以v2為基礎(chǔ)，旨在推動IT專業(yè)人員實(shí)現(xiàn)IT和業(yè)務(wù)的整合,，而不僅是關(guān)注于IT與業(yè)務(wù)的一致性,。ITIL v3與以往單一從技術(shù)角度或企業(yè)經(jīng)營角度出發(fā)的思考模式不同，它不僅幫助企業(yè)建立業(yè)務(wù)服務(wù)管理的合理目標(biāo),，還幫助企業(yè)由關(guān)注IT基礎(chǔ)架構(gòu)轉(zhuǎn)變?yōu)殛P(guān)注IT資產(chǎn)和服務(wù)的關(guān)系,，最終將IT基礎(chǔ)架構(gòu)的事件和業(yè)務(wù)成果聯(lián)系起來。IT管理人員需要完成從一種靜態(tài),、垂直的思維模式,，轉(zhuǎn)換成一種生命周期的模式”。
??? 建議對于各個正在進(jìn)行ITIL v2實(shí)施的商業(yè)銀行集中精力繼續(xù)進(jìn)行未盡流程的實(shí)施,，對于已經(jīng)完成實(shí)施并熟練掌握此工具和方法論的商業(yè)銀行可以逐步考慮參照ITIL v3進(jìn)行優(yōu)化和持續(xù)改進(jìn)管理,。
3.5 商業(yè)銀行信息安全管理
??? ISO27000即國際信息安全管理標(biāo)準(zhǔn)體系的實(shí)施在我國商業(yè)銀行相對來說是比較早的，商業(yè)銀行大多在實(shí)際工作中利用ISO27000的一些常用工具等來幫助提高信息風(fēng)險管理的水平,。
??? 建議商業(yè)銀行對ISO27000的實(shí)施從ISO27002的實(shí)施和內(nèi)部認(rèn)證開始,，期望通過這一標(biāo)準(zhǔn)的引入建立一個完整的信息安全管理體系，對信息安全進(jìn)行動態(tài)的,、以分析機(jī)構(gòu)及企業(yè)面臨的安全風(fēng)險為起點(diǎn),，對企業(yè)的信息安全風(fēng)險進(jìn)行動態(tài)的、全面的、有效的,、不斷改進(jìn)的管理,，并強(qiáng)調(diào)信息安全管理的目的是保持機(jī)構(gòu)及企業(yè)業(yè)務(wù)的連續(xù)性不受信息安全事件的破壞，要從機(jī)構(gòu)或企業(yè)現(xiàn)有的資源和管理基礎(chǔ)為出發(fā)點(diǎn),，建立信息安全管理體系,，不斷改進(jìn)信息安全管理的水平，使機(jī)構(gòu)或企業(yè)的信息安全以最小代價達(dá)到需要的水準(zhǔn),。根據(jù)公司的發(fā)展情況判斷是否進(jìn)行外部的認(rèn)證,。
??? 對于ISO27001，建議結(jié)合PDCA循環(huán)模式=“計(jì)劃（Plan）,、實(shí)施（Do）,、檢查（Check）、行動（Action）”模式進(jìn)一步規(guī)范公司IT管理,，以達(dá)到“持續(xù)改進(jìn)”的目的,。雖然實(shí)施 ISO27000體系并不能使商業(yè)銀行徹底遠(yuǎn)離信息安全破壞，但實(shí)施該標(biāo)準(zhǔn)可以降低信息安全被破壞的可能性,，因此降低IT投資損失和信息安全事件的影響程度,。
4 發(fā)展方向及進(jìn)一步研究
??? 在確定上述IT治理規(guī)劃及實(shí)施模型后，將模型中涉及的相應(yīng)子模型和標(biāo)準(zhǔn)融合運(yùn)用進(jìn)行對商業(yè)銀行的IT治理建設(shè),，它可以幫助銀行更好達(dá)成IT治理目標(biāo),。這些標(biāo)準(zhǔn)需要逐步地貫徹到工作實(shí)際中，這主要是通過有選擇性地階段性實(shí)施來進(jìn)行,，實(shí)踐表明,，針對這些活動的實(shí)施可以很好地幫助達(dá)成分階段IT治理的目標(biāo)。未來對IT治理的實(shí)施可以利用IT治理成熟度模型來進(jìn)行評估,。
??? 關(guān)于此模式仍需進(jìn)一步研究,，重點(diǎn)應(yīng)該放在如下幾點(diǎn)：
??? （1）對于模型中涉及的幾個復(fù)雜標(biāo)準(zhǔn)如何能有效地融合運(yùn)用；
??? （2）考慮開發(fā)通過此模型進(jìn)行IT治理實(shí)施的標(biāo)準(zhǔn)化工具,；
??? （3）模型實(shí)施步驟如何,，如何結(jié)合公司實(shí)際進(jìn)行相應(yīng)的選擇；
??? （4）IT治理實(shí)施的效果及其成熟度評估,；
??? （5）如何在實(shí)施過程中平衡并最大化利用現(xiàn)有IT資源,，保證最大的投資回報(bào)。
??? 本文通過國內(nèi)商業(yè)銀行IT治理存在的問題和最佳實(shí)踐進(jìn)行分析,，提出通過融合運(yùn)行IT戰(zhàn)略,、CISR模型、COBIT實(shí)施,、Prince2,、CMM,、ITIL和ISO20000等國際標(biāo)準(zhǔn)建立IT規(guī)劃與實(shí)施模型的創(chuàng)新模式，在協(xié)助商業(yè)銀行企業(yè)改善運(yùn)營提高公司甚至整個行業(yè)的競爭力方面發(fā)揮重要作用,通過加強(qiáng)和完善商業(yè)銀行IT治理可以提高銀行業(yè)的信息管理水平,提高信息披露和內(nèi)部控制質(zhì)量,，為中國銀行業(yè)順利渡過金融危機(jī)并全面建設(shè)有中國特色的銀行業(yè)保障體系和現(xiàn)代銀行業(yè)監(jiān)管體系服務(wù),。
參考文獻(xiàn)
[1] WESSELS E, VAN L J. IT governance: theory and practice[C] .Pretoria, South Africa: 2006.
[2] Marianne B, PETER W, ? Gartner EXP premier report,Effective IT Governance. January 2003.
[3] PETERSON R. Crafting information technology governance [J].Information Systems Management. 2004, 21(4): 7- 22.
[4] 李維安,曹廷求. 保險治理:理論模式與我國的改革[J] . 保險研究 , 2005(4):4-8.
[5] 相關(guān)商業(yè)銀行網(wǎng)站:http://www.icbc.com.cn? 中國工商銀行http://www.boc.cn? 中國銀行http://www.cmbchina.com? 招商銀行http://www.socgen.com.cn 法國興業(yè)銀行（中國）有限公司http://www.citibank.com.cn 花旗銀行（中國）有限公司http://www.hsbc.com.cn 匯豐銀行（中國）有限公司.
[6] 孫曉琳，王刊良. IT 治理相關(guān)工具的對比分析[J] . 情報(bào)科學(xué),2008,26(9):1402-1407.
[7] 中國人民銀行武夷山支行課題組. 我國央行IT審計(jì)和IT治理的現(xiàn)狀與思考[J]. 上海金融, 2007(12): 88-89.