??? 摘 要:提出一種通過IT戰略制定、CISR模型、COBIT實施、IT項目管理流程、CMM、ITIL和ISO27001等國際標準的融合運用來指導商業銀行IT治理實施的新模式,該模式解決了中國商業銀行現階段關于IT治理實施研究所面臨的模式混亂和范圍不清等問題。
??? 關鍵詞:公司治理；IT治理；治理模型；信息技術發展戰略； IT標準

?

??? 構建社會主義和諧社會，是目前從全面建設小康社會、開創中國特色社會主義事業新局面的全局出發，提出的一項重大任務，而銀行業更因其特殊功能而成為構建和諧社會的關鍵角色，負有歷史使命。為了在現有國際金融危機下更好地發展中國銀行業，中國銀監會提出“以存款為基礎，以風險管理立行，以金融服務興行”的理念，公司治理在國際金融危機這個大環境下再次被提出并需給予足夠重視。 IT治理是公司治理的重要組成部分，良好的IT 治理能提高公司治理的水平, 商業銀行IT治理在協助商業銀行企業朝良性的整體運營發展方面發揮著重要作用, 同時也幫助提高銀行的信息管理水平、加強公司治理環節的信息披露和內部控制，為股東和客戶提供更多信息等方面來提高公司整體治理水平。
1 IT治理的國內、國際研究與發展情況
??? 國際信息系統審計與控制協會(ISACA)認為，IT 治理是一個內涵豐富的術語,包括信息系統、技術及連通性、商業活動、法律相關事宜以及所有利益相關者-公司董事、高級管理人員、業務流程的執行者、IT 供應商、IT 的使用者以及審計人員等。為推動IT 治理的理論與實踐,ISACA 于1998 年成立了IT治理協會(ITGI),強調IT 治理是董事會和高級管理層的責任,是企業治理的一部分。
??? Patel認為應該將產品和服務質量包含進來，IT治理能提高組織的IT投資回報，像COBIT和ITIL這些IT治理框架在國際范圍內被廣泛接受并可幫助實現這些利益。WESSELS E和VAN L J提出公司董事會成員、高級管理人員和IT管理人員希望通過采用IT治理來保證企業的效率、降低成本并提高對IT環境的控制^[1]。
??? 幾年前IT治理的概念被引入到國內，在媒體、IT業及金融等IT應用水平較高的行業一度炒得很熱，專家學者也在不斷呼吁IT治理的重要性，但真正將IT治理實踐到公司運營層面的案例在國內還不是很多，目前我國的IT治理仍處于起步階段。
??? 根據IT治理協會（ITGI）2006年發布的《2006年全球IT治理調查報告》，通信和金融服務行業明顯比零售和制造業等行業要好，COBIT 的認知度在逐漸增加。據中國IT治理論壇的數據表明國內企業IT治理的有效性能達到60%的企業比例仍然很低，約為15%左右，目前絕大多數企業的IT治理的有效性在30%～60%。
2 我國商業銀行IT治理現狀
??? 目前，我國的商業銀行可簡單分為3大類，分別為國有大型商業銀行、中資背景中小商業銀行和外商獨資商業銀行。
??? 根據調查,目前外資商業銀行在IT治理方面一般是參照其母行的公司治理及IT治理模式并結合自身情況進行定制和調優^[2]，一般情況下是符合國際通用的IT治理模式，與其公司治理一起構成一個相對完善和協調的整體，利用其在公司治理和IT治理方面的理念和實踐經驗并結合公司自身的發展和認知摸索出一條相對可行的IT治理實施方案。簡單歸結為如下的IT治理路線圖：
??? （1）識別企業業務模式 ；
??? （2）分析現有IT治理狀況；
??? （3）制定IT治理規劃及實施計劃 ；
??? （4）實施改善計劃；
??? （5）定期回顧并改善。
??? 部分企業在實踐中參考上述策略完成公司IT治理規劃與實施模型、確定IT治理的決策范圍和實施優先級，而具體的日常工作內容則通過CISR模型、COBIT、Prince2、CMM、ITIL和ISO27001等行業標準的融合運用來實施。
??? 實施過程中發現，按照此種路線圖來實施IT治理可以按部就班，結合公司發展狀況，清楚地確定IT治理的實施范圍，并且實施也會符合公司的業務、IT發展需求和整個行業的發展要求。
??? 對于國有大型商業銀行，以工商銀行、中國銀行等為代表的居于領導地位的銀行經過股份制改造或境內外上市建立起了較好的IT治理結構。
??? 但對于年輕的中資背景中小商業銀行來說大多數IT治理仍處于起步階段。由于行業的趨同性和國際化程度的提高，絕大多數的新興中資銀行開始采用ITIL和COBIT作為實施策略，但目前只是簡單的導入，而非真正建立IT治理架構，同時對于除ITIL和COBIT之外的其他標準的導入還很少。本文將探討借鑒國外和國內外資銀行的先進經驗進行我國商業銀行的IT治理規劃與實施模型，以提出一種適用于我國商業銀行建立IT治理實施模式并清楚定義IT治理范圍的新模式。
3 商業銀行IT治理實施模型與最佳實踐
??? 在此，以某中型商業銀行為例分析我國商業銀行進行公司IT治理規劃與其實施模型的建立方法，根據分析該行處于一個變化不快并以產品服務的差異化為競爭基礎的商業環境，這就決定了消費者的需求、競爭格局、政府監管、技術及供應商等方面的變化都不是快速的，另一方面因為對產品服務差異化的要求又力求先于競爭對手提供新的業務和服務能力以此獲得競爭優勢^[3]。期望利用信息技術來提高運營水平和決策能力，并開發新的產品和服務，以高投資回報率來抵消不斷增長的IT支出^[4]。
在此基礎上該銀行對公司IT治理做出了一個比較清晰的定位：IT治理作為公司治理的一部分，需要充分保證IT戰略與公司戰略的匹配及其執行，體現現有及未來信息技術與企業組織的戰略集成；指導公司通過對業界標準和股東方最佳實踐的實施合理配置并有效利用IT資源、加強信息風險控制和滿足公司內控需求。
??? 根據上述分析和定位并結合IT治理最佳實踐，筆者提出適合我國商業銀行的IT治理規劃與實施模型如圖1所示，通過IT戰略制定、CISR模型、COBIT、IT項目管理流程、CMM、ITIL和ISO27000等標準的融合運用來指導公司IT治理和IT管理的工作。

?

?

??? 目前，業界通常認為CISR模型和COBIT為2大主要的IT治理模型，筆者研究認為這2種模型均不能涵蓋決策權和合規遵從兩大問題，CISR模型更多的是側重決策權及決策制定過程，COBIT則停留在IT管理的一些具體過程，根據經驗和研究，建議將IT戰略制定、CISR模型、COBIT、IT項目管理流程、CMM、ITIL和BS7799等標準的融合運用，力圖通過標準化的方法論和實踐將商業銀行的IT治理和管理水平提升到一個新的高度。IT治理框架可能在各銀行各不相同，但是他們基本的目標是一致的，即提高銀行IT的效能，尋求IT資源的最大化。下面從實踐的角度對上述模型進行闡述。
3.1 商業銀行CISR模型及IT治理的決策范圍
??? 參照業界實踐，銀行IT治理的決策范圍可由以下5個方面組成，分別為組織模式、投資、架構、標準、資源。
??? （1）組織模式
??? 根據對公司業務模式的分析，IT治理的組織模式通常可采取集權模式、分權模式或集權與分權混合的模式，不同模式下IT對于預算和IT決策負有相應的責任，對于采用分權模式或混合模式的公司通常設有一個虛擬的集權部門IT指導委員會來對公司IT行為進行重要決策。
??? （2）投資
??? 針對IT戰略和使命，IT投資應主要集中在支持現有業務運行、優先發展新業務以及進行IT安全和風險管控活動；按照公司要求和業界最佳實踐，整體IT運營費用占公司全部運行費用的比例一般會設定一個經驗值，以衡量公司IT投資是否在一個正常狀態。
??? （3）架構
??? 根據商業銀行現實情況及其行業特點，一般認為穩定性與靈活性都很重要。結合各公司情況實踐，建議選擇一種可適應的IT架構作為公司的參考架構模型，根據此模型及其規則，制定出商業銀行相應的解決方案架構、業務架構、系統架構和技術架構，通過這些架構指導銀行的IT行為。
??? （4）標準
??? 商業銀行希望在整體上加強其IT架構，遵從行業技術和運營的標準化，但是在有正常的業務需求下可以有所背離。目前商業銀行一般開始實施的標準包括ITIL、COBIT、ISO27000、Prince2/PMP、CMM、銀行業業務模型等。
??? （5）資源
??? 在資源方面，商業銀行可綜合利用銀行內外部資源的組合，結合相應的專業外部顧問服務，同時公司需要注重IT治理方面人力資源的培養。
3.2 商業銀行COBIT實踐
??? 我國商業銀行COBIT的實施相對較晚，現階段商業銀行主要集中在COBIT上層中對IT運行內部控制和內、外部審計，確保IT資源管理的安全性、可靠性和有效性，以期實現對IT持續不斷的應用和改進^[5]。
??? 商業銀行大多在實際工作中利用COBIT的一些常用工具如平衡記分卡等來幫助提高管理的水平。
??? 部分外資銀行開始結合COBIT模型制定多道風險如圖2所示防線的治理模型^[6]，綜合利用一線用戶/經理人員、信息風險管理/危機管理、內部審計和外部審計來對公司IT風險進行管理和防范。三道防線模型如圖2所示。

?

??? COBIT通常能成為商業銀行業企業戰略目標和信息技術戰略目標的橋梁，使得信息技術目標和企業戰略目標之間實現互動，之后通過采用COBIT成熟度模型，可以定位自己企業的IT管理目前在業界所處的位置，以及未來努力的方向^[7]。
3.3 商業銀行項目管理實踐
??? 商業銀行可根據公司實際情況及項目管理經驗推出自己公司的基于Prince2的精簡版本作為項目管理的方法論來標準化公司的項目管理工作，將Prince2中的項目周期具體化，并結合不同階段提供相應的標準的交付物。通過實踐可以證明Prince2在界定瑣碎的業務需求及選擇最適合最節約成本的解決方案方面具有有效的方法.
??? Prince2和PMP是當今最流行的2種項目管理方法論，推薦Prince2而不是PMP，主要是因為Prince2更加關注提高組織的項目管理能力，而PMP則更側重于提高個人的項目管理能力。
3.4 商業銀行IT服務管理實踐
??? 不同規模的外資銀行可以根據公司規模進行不同的ITIL流程實施。現在大多數實施是參照ITIL v2的，ITIL v2包括服務支持和服務提供2個方面，ITIL v3 是由英國商務部于2007年5月份出版發布，其中規定了管理IT組織以及整合IT 和業務的方法論。ITIL v3官方評論家KEN T指出“ITIL v3以v2為基礎，旨在推動IT專業人員實現IT和業務的整合，而不僅是關注于IT與業務的一致性。ITIL v3與以往單一從技術角度或企業經營角度出發的思考模式不同，它不僅幫助企業建立業務服務管理的合理目標，還幫助企業由關注IT基礎架構轉變為關注IT資產和服務的關系，最終將IT基礎架構的事件和業務成果聯系起來。IT管理人員需要完成從一種靜態、垂直的思維模式，轉換成一種生命周期的模式”。
??? 建議對于各個正在進行ITIL v2實施的商業銀行集中精力繼續進行未盡流程的實施，對于已經完成實施并熟練掌握此工具和方法論的商業銀行可以逐步考慮參照ITIL v3進行優化和持續改進管理。
3.5 商業銀行信息安全管理
??? ISO27000即國際信息安全管理標準體系的實施在我國商業銀行相對來說是比較早的，商業銀行大多在實際工作中利用ISO27000的一些常用工具等來幫助提高信息風險管理的水平。
??? 建議商業銀行對ISO27000的實施從ISO27002的實施和內部認證開始，期望通過這一標準的引入建立一個完整的信息安全管理體系，對信息安全進行動態的、以分析機構及企業面臨的安全風險為起點，對企業的信息安全風險進行動態的、全面的、有效的、不斷改進的管理，并強調信息安全管理的目的是保持機構及企業業務的連續性不受信息安全事件的破壞，要從機構或企業現有的資源和管理基礎為出發點，建立信息安全管理體系，不斷改進信息安全管理的水平，使機構或企業的信息安全以最小代價達到需要的水準。根據公司的發展情況判斷是否進行外部的認證。
??? 對于ISO27001，建議結合PDCA循環模式=“計劃（Plan）、實施（Do）、檢查（Check）、行動（Action）”模式進一步規范公司IT管理，以達到“持續改進”的目的。雖然實施 ISO27000體系并不能使商業銀行徹底遠離信息安全破壞，但實施該標準可以降低信息安全被破壞的可能性，因此降低IT投資損失和信息安全事件的影響程度。
4 發展方向及進一步研究
??? 在確定上述IT治理規劃及實施模型后，將模型中涉及的相應子模型和標準融合運用進行對商業銀行的IT治理建設，它可以幫助銀行更好達成IT治理目標。這些標準需要逐步地貫徹到工作實際中，這主要是通過有選擇性地階段性實施來進行，實踐表明，針對這些活動的實施可以很好地幫助達成分階段IT治理的目標。未來對IT治理的實施可以利用IT治理成熟度模型來進行評估。
??? 關于此模式仍需進一步研究，重點應該放在如下幾點：
??? （1）對于模型中涉及的幾個復雜標準如何能有效地融合運用；
??? （2）考慮開發通過此模型進行IT治理實施的標準化工具；
??? （3）模型實施步驟如何，如何結合公司實際進行相應的選擇；
??? （4）IT治理實施的效果及其成熟度評估；
??? （5）如何在實施過程中平衡并最大化利用現有IT資源，保證最大的投資回報。
??? 本文通過國內商業銀行IT治理存在的問題和最佳實踐進行分析，提出通過融合運行IT戰略、CISR模型、COBIT實施、Prince2、CMM、ITIL和ISO20000等國際標準建立IT規劃與實施模型的創新模式，在協助商業銀行企業改善運營提高公司甚至整個行業的競爭力方面發揮重要作用,通過加強和完善商業銀行IT治理可以提高銀行業的信息管理水平,提高信息披露和內部控制質量，為中國銀行業順利渡過金融危機并全面建設有中國特色的銀行業保障體系和現代銀行業監管體系服務。
參考文獻
[1] WESSELS E, VAN L J. IT governance: theory and practice[C] .Pretoria, South Africa: 2006.
[2] Marianne B, PETER W, ? Gartner EXP premier report,Effective IT Governance. January 2003.
[3] PETERSON R. Crafting information technology governance [J].Information Systems Management. 2004, 21(4): 7- 22.
[4] 李維安,曹廷求. 保險治理:理論模式與我國的改革[J] . 保險研究 , 2005(4):4-8.
[5] 相關商業銀行網站:http://www.icbc.com.cn? 中國工商銀行http://www.boc.cn? 中國銀行http://www.cmbchina.com? 招商銀行http://www.socgen.com.cn 法國興業銀行（中國）有限公司http://www.citibank.com.cn 花旗銀行（中國）有限公司http://www.hsbc.com.cn 匯豐銀行（中國）有限公司.
[6] 孫曉琳，王刊良. IT 治理相關工具的對比分析[J] . 情報科學,2008,26(9):1402-1407.
[7] 中國人民銀行武夷山支行課題組. 我國央行IT審計和IT治理的現狀與思考[J]. 上海金融, 2007(12): 88-89.