我国金融业IT治理和风险管理现状具体体现在以下三个方面:
第一, 金融机构的信息安全与风险问题成为利益相关者关注的焦点,所有各方都在公司治理、IT治理和内控方面寻求更大的保证。因此,政府和监管机构正在不遗余力地出台大量的合规要求。从自1999年至今国内外关于金融业IT治理和风险管理的法律法规的演进历程来看,金融业IT治理和风险管理要“在法规遵从上不存在折衷与妥协”。
第二, 我国金融企业信息化正在从大规模的建设阶段进入以IT与业务深度融合和加强IT风险管理为主要特征的“融合发展”阶段。基于ITGov的研究分析,治理型IT运维服务管理体系将成为有中国特色的IT服务管理的发展趋势:IT治理体制、IT控制能力、IT商业价值、风险管理和绩效评价等五个方面将成为金融业IT治理领域关注的焦点。
第三, IT治理体制和机制不健全 成为制约信息化快速发展的主要障碍之一,主要体现在:首先是职责不明确。其次是履职要求不明确。再者是决策规则和程序不明确,沟通渠道不畅。如采用何种信息架构,是怎样做出决策的。最后是缺乏有效的激励和监督机制。
我国金融业IT治理和风险管理面临的挑战
挑战之一集中在董事会与高管层面,其在金融业IT治理上面的压力和对金融业IT治理工作的职责越来越凸显。但目前国内外对IT的监管尚无标准可循。ITGov认为董事会不对IT进行监管,好比企业不对财务进行审计,这是非常危险的。
挑战之二体现在价值观和文化层面,基于中国国情、符合金融机构和政府监管部门需求的金融业IT治理标准、知识体系和管理规范远远滞后于发展的需求。公司治理、IT治理、内部控制、全面风险管理等等,其根本成功因素最终取决于公司最基本的价值观和企业文化。
挑战之三表现为信息化管理体制和机制层面的障碍,这在以下三个方面带来了极大的挑战:IT与业务战略融合、IT控制能力与业务价值相协调、IT投资获得最大成效。CIO们迫切需要强化自身的IT控制理论水平,成为金融业IT治理与风险管理方面的专家。
我国金融业IT治理和风险管理的对策建议
基于金融业IT治理与风险管理现状与挑战的分析,ITGov关于金融业IT治理和风险管理的对策建议是:需要建立、健全符合其文化的金融业IT治理与风险管理机制和框架;需要一位具有IT领导力的领导者,来统驭金融业IT治理与风险管理工作;企业需要大力培育“IT控制能力”,这才是信息化成功的“基因”;企业需要通过事先设计的组合管理方法来综合治理IT风险;企业需要建立基于标准化流程的IT管控体系。风险管理的本质与最终目标是塑造具备良好风险管理意识的企业文化,这也是一个具备卓越IT控制能力、创新型与学习型企业所应具备的基本特征。
ITGov自主创新的中国企业IT治理框架由七要素组成:科学的信息化发展观、IT商业价值、IT治理方法、IT治理绩效、IT治理决策模式、IT风险管理控制体系、IT控制能力。高水平的、可持续的IT治理,需要同时考虑到以下七个要素:
1、 科学的信息化发展观是IT治理框架构建的理论指导方针;
2、 国外公认的IT治理方法和中国国内自主创新的IT治理方法是IT治理框架构建的工具,二者的结合是正确构建IT治理框架的前提基础;
3、 科学的发展离不开科学决策,科学决策是科学发展的重要环节,IT治理首当其冲的就是树立什么样的决策模式。IT治理必须要树立科学决策意识、并健全决策机制,完善决策方式、规范决策程序、强化决策责任,保证决策的正确有效;
4、 IT治理决策的实施要靠规范化、精细化和主动式的IT全生命周期风险管理流程来实现,同时对IT全生命周期风险管理控制过程与结果进行评价,并持续改进过程与度量方法;
5、 具有持续竞争优势的动态的IT控制能力是治理水平背后的决策性因素,IT治理水平是IT控制能力的表现;ITGov认为金融企业IT控制能力的基因分为三层:文化、人力资源和信息与沟通构成IT控制能力基因的基本要素,组织形成的IT控制惯例是基因的功能层要素,包括IT战略、制度与技术; 金融企业对环境的适应机制构成基因的适应演化层要素。不同金融企业这些因基要素的组合不同,表现出金融企业IT控制能力的异质性。不同层次的基因功能不同,它们组合在一起决定了企业IT控制能力的各种外在表现和演化机制。
6、 IT治理的最终目的是实现IT商业价值。IT商业价值是指IT对金融企业绩效或竞争优势的贡献。IT商业价值既包括对最终财务的贡献、也包括对价值创造过程的贡献,以及对未来竞争优势的贡献。
金融业IT治理和风险管理是需要持续的、制度化的方法来实现的长期工作。我们一定要以全球最佳实践为出发点,走有中国特色的IT治理之路。如果金融机构都遵循这样一种管理控制流程,该管理控制流程的目的在于改进其内部控制系统,进而最终达成合法合规,那么将会为企业带来持久的收益。一旦中国金融企业形成了与企业文化相适应的良好治理结构,这将成为中国金融企业的核心竞争力。
(文章来源:新金融世界)
