凤凰官网

数字观察二十三:银行业信息技术治理的最佳实践

科学技术是第一生产力,信息时代更需要信息技术。

随着移动互联、云计算、大数据等新技术与企业管理的有机融合,信息技术已经从支持转向领导,成为现代企业的核心竞争力。

银行业也是如此。

影响信息技术的因素很多。银行要应用信息技术,促进业务的可持续创新和发展,就必须建立良好的信息技术治理体系,确保信息技术“做正确的事”。从战略、制度、流程、规范和标准等方面,必须构建适合企业的信息技术治理框架,提高信息技术治理水平。

为此,ISACA(国际信息系统审计与控制协会)和中国建设银行协作发布了《银行业IT治理最佳实践》(以下简称《实践》)白皮书,通过研究中国建设银行的IT治理经验,总结在IT组织、IT制度、业务架构、IT架构及科技内控等方面的良好实践。为此,国际信息系统审计与控制协会(ISACA)和中国建设银行联合发布了《银行业信息技术治理最佳实践》(以下简称“实践”)白皮书。通过研究中国建设银行的信息技术治理经验,总结了信息技术组织、信息技术系统、业务架构、信息技术架构和科技内部控制方面的良好做法。

信息技术组织信息技术组织在企业的战略规划和日常信息技术运营中发挥着重要作用。

一个好的信息技术组织体系应该在支持企业实现其业务目标的前提下,通过优化资源、优化风险和实现效益来创造价值,实现信息技术目标,并监控信息技术方向和目标的绩效和合规性。

在构建企业信息技术组织体系时,信息技术经常会遇到这样的问题,如信息技术治理如何与企业治理相一致,信息技术组织结构如何形成,如何确保有效的沟通和报告,如何在企业内部建立信息技术风险防线和明确的责任界限,如何建立专门的团队来实施企业信息技术风险管理策略等。

《实践》介绍了如何为企业建立一个良好的信息技术组织体系。

在决策层,明确规定了董事会、监事会、高级管理层和下属委员会在确定信息技术战略和方向方面的责任。在执行层面,明确了信息技术部门、业务部门和分支机构在具体实施企业信息技术决策过程中的职责,以及企业信息技术风险三道防线的构成和工作机制。建立专门团队来实施与信息技术相关的治理活动;建立培训知识体系和教育机制,不断增强员工的信息安全和风险防范意识。

信息技术系统企业的信息技术系统是管理方法、实施细则、操作程序、技术标准、手册等规范性文件的总称。企业根据自身生产活动的管理需要和监管部门的要求,结合信息技术工作的实际情况制定。

企业信息技术系统通常存在一些问题,如如何根据企业治理和管理的要求制定信息技术系统结构,如何覆盖信息技术管理生命周期的全过程,如何将系统划分为不同的层次,如何保证系统的合理性和有效实施,如何保证系统符合内外环境的变化等。

《实践》(Practice)以COBIT5为指南,建立贯穿信息技术活动整个生命周期的信息技术系统框架,定义信息技术系统层次划分的原则、每一层次包含的系统风格和应用范围、系统制定过程中的重要控制环节和关键点,并通过使用信息技术法规库、行业标准库、信息技术系统库等不断优化信息技术系统。

业务架构企业级业务架构是确保业务创新和运营以及实现价值交付的核心。信息技术也是企业级信息技术系统建设模式的关键。任何企业都应该建立自己的业务架构。要构建业务架构,必须使用有效的业务建模方法。

传统的业务建模更注重特定业务模型的分解和设计,这种模式无法提升到企业的整个价值链层面,很难形成企业层面的业务框架。

《实践》介绍了如何遵循业务统一观、标准化和建模的原则。通过企业级业务建模方法,承担企业战略和发展规划,从企业级角度构建端到端流程模型,自上而下设计,形成企业级业务架构。

信息技术架构基于企业的发展愿景和战略规划。企业信息技术应该有相应的顶层设计。企业信息技术架构表达了企业信息技术概要层或顶层的具体结构,并在资源优化和风险控制的前提下实现了信息技术的价值。

工业信息技术架构通常由业务架构、数据架构、应用架构和技术架构组成。

实践认为,安全性作为信息技术的一个重要属性,贯穿于数据、应用程序和系统的所有级别。因此,安全体系结构是单独提出的,统称为具有数据体系结构、应用体系结构和技术体系结构的信息技术体系结构。

在数据架构方面,存在着如何构建企业级数据架构,保证数据的一致性、完整性和准确性的问题。

在应用程序架构方面,存在一些问题,例如如何支持业务产品的快速部署和支持市场扩展。

在技术架构方面,存在诸如如何适应企业架构的变化、确保快速的资源分配、灵活的应用程序扩展和一致的客户体验等问题。

在安全架构方面,存在如何有效应对企业面临的攻击和威胁、新技术带来的挑战以及支持多样化的安全风险防范需求等问题。

“实践”描述了如何遵循面向服务的原则来构建企业信息技术架构。

使用结构化和非结构化数据建模方法建立企业级数据的统一视图;遵循层次和组件化的概念,构建了一个典型的七层十二平台的企业级应用架构。设计支持数据和应用的技术框架,创建灵活、松散耦合的基础技术平台和组件;提出“安全即服务”的概念,构建由服务访问层、应用安全服务层、基础设施安全服务层和安全策略管理中心组成的安全架构,提供集中、统一、灵活、智能的信息安全服务。

随着信息技术的作用逐渐从业务支持转向与业务的整合,信息技术风险带来的挑战日益严峻,信息技术监管要求更加严格,内部控制要求更加严格,企业需要更加完善的科技内部控制机制。

完善科技内部控制体系是保证企业健康发展的生命线,也是企业提升核心竞争力的内在要求。

在科技内部控制方面,通常存在的问题有:如何有效保持内部科技政策与监管要求相一致,如何确保科技政策能够动态适应行业监管要求和行业标准的变化情况,如何建立科技监督检查机制及时发现信息技术违规行为,如何科学合理地评价企业科技合规管理的实施情况,如何提高企业信息技术合规问题的整改能力。

实践介绍了如何建立完善的合规制度。

对监管要求进行跟踪,提高企业实施监管要求的水平和学习行业标准的能力;实施信息技术检查和监督,明确信息技术检查的内容、范围、计划和实施。建立信息技术评估和运行水平管理机制,客观评价企业的信息技术管理;跟踪信息技术审计检查问题,利用信息技术审计检查数据库加强风险控制。

《实践》还提供了易于操作的工具描述和方法,为银行业的信息技术治理提供了实践指导,对其他行业的信息技术治理实践具有很强的借鉴意义。

作者:中国建设银行、财政部、科技部、银行移动化、智能化、数字化为客户带来更便捷的服务、更低的价格和更友好的体验,同时更有效地获得客户、活客户和留住客户。

“数字转型观察”栏目分享数字转型的实际案例,分析和衡量转型效果,讨论数字银行的发展等。

请分享你的精彩案例和观点。

You may also like...

发表评论