IT治理之实

　　IT治理是信息系统审计和控制领域中的一个相当新的理念。根据国际信息系统审计和控制协会下的IT治理研究所的定义，IT治理是一个由关系和过程所组成的机制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。通过这种机制和架构，IT的决策、实施、服务、监督等流程，IT的各类资源和信息与企业战略和目标紧密关联。同时，把在IT各个方面的最佳实践从公司战略的角度加以有机的融合，从而使企业能够最大化IT在企业中的价值，并能够抓住IT赋予的机遇和竞争优势。对金融信息化而言，IT治理是围绕着信息化建设发展的一系列制度或政策的安排，IT治理和IT管理不同，前者强调内外不同主体的关系以及降低交易成本的一种制度或政策安排，后者是做好IT服务与管理的一系列方法、流程。随着信息化程度的日益提高，IT治理势必成为促进金融信息化建设向有序化方向发展的必经之道。

　　金融信息化之缺

　　我国银行业信息化建设迫切需要解决的既不是技术问题，也不是资金问题，而是IT管理理念和方法论。概括来说，当前金融信息化建设尚存在以下问题：
　　错位问题：信息化建设领导者身份错位，IT应用方案和业务需求之间逻辑错位。信息化工程如果是技术专家或技术厂商主导，而不是经济专家或管理专家主导，那么，由于技术专家或技术厂商从技术的视角去关注信息技术和设备的先进性，较少聚焦在IT战略和组织战略目标的互动上，和管理层沟通缺少通用的语言，很容易和企业的经营环境、经营目的脱节。

　　信息资源没有得到合理应用：信息处理环境建设滞后于物理环境建设，一些金融机构的数据库混乱状况与其先进的计算机环境和网络环境极不相称，使信息化建设无法取得实效。由于没有统筹规划，目标不明确，标准不统一，一些地方处在混乱无序的状态，形成了很多信息孤岛，缺乏共享的、网络化的信息资源。此外，重硬件购买，轻软件和咨询服务，基本是自建、自用、自我服务，不愿花钱买专业化咨询、专业化软件开发、专业化服务，从而也造成信息化建设效率低下。

　　决策的技术经济论证不足：信息化建设项目的高风险和高失败率要求银行在信息化建设决策之前，要进行充分的技术经济论证，综合论证项目技术上的先进性和可行性，财务上的实施可能性，经济上的合理性和有效性。

　　IT安全治理和风险管理缺位：重视安全技术，轻视安全管理，没有形成合理的信息安全方针来指导组织的信息安全管理工作，总是等出现了问题才去想补救的办法，是一种就事论事、静态的管理，是建立在安全治理基础上的动态的全局管理方法。

　　金融IT之治

　　IT治理直接影响到金融机构实现目标的可能性，良好的IT治理有助于增强银行业的灵活性和学习能力，避开管理风险，辨别发展机遇。建立IT治理机制是一个动态的过程。IT治理是企业与所有利益相关者的互动过程，其中包括在制定企业长远IT发展战略决策上的互动。

　　建立完善的IT治理机制，需要从以下几方面入手：
　　企业发展战略与IT战略互动：在最高管理层中，树立和强化IT战略地位，建立企业战略与IT战略的互动观念，阐明IT应担当的角色。从业务的视角，建立信息技术指导原则，如信息化规划本质上可以定位成从业务战略到信息战略的实现。IT 战略的建立，从组织的战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境；从业务的变革出发而不是从技术的变革出发，有利于充分利用现有的资源来满足关键需求，从而避免建设的信息系统无法有效地支持组织的决策。

　　政府推动：加强IT治理实质上是一个政府和企业机构必须携手面对的问题。政府必须扮演一个重要的推动角色，尤其需要强调的是，政府制定规则比较合理的方法是通过听证会或知情会上下协商、交互式地制定规则，这样才能解决规则的充分合法性、可执行性问题。企业应该采用合乎国际标准的IT治理方法，以促进公司治理、IT治理和经营管理的协调发展。

　　建立IT治理委员会：设立IT治理委员会与IT审计师是IT治理最重要的环节。IT治理委员会由企业的最高管理层及管理执行层包括IT管理和业务管理有关部门的负责人、管理技术人员组成。IT治理委员会应定期召开会议，就企业战略与IT战略的驱动与设置等议题进行讨论并作出决策，为组织IT管理提供导向与支持，把IT治理的相关规范融入到企业的内部控制中。

　　信息系统审计：信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产安全、数据完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它综合运用IT技术与审计理论及方法，为信息的使用者提供合理的保证。

　　在信息时代，企业为预防不良事件的发生，必须将其内部控制扩展到信息处理系统的各个方面，包括企业内部网与因特网在内的任何直接或间接影响财务报表或其他至关重要资料的数据或处理系统，因为该系统与包括合作伙伴在内的其他系统有着密切的联系。此外，这些企业还必须信任与其互通业务数据的合作伙伴的内部控制系统。在对于经营惯例、交易处理的完整性、信息保护和如何对信息系统的内部控制实施评估和风险管理方面，组织可以通过内部审计或外部审计达到上述目的。

　　总之，我国银行业信息化建设向着纵深发展，必然将在更深层面上解决体制和机制问题。善治的IT治理机制，应将由信息化和透明化导致的利益冲突所造成的制度面成本最小化。IT治理不仅仅是动态的管理控制架构，还需要落实在企业内部控制及政府与市场监督体系机制的制衡过程中。