2009年9月,国内知名证券公司(以下简称“某证券公司”)成功举办了为期两天的基于COBIT的IT治理培训。公司主要领导、各部门主管及相关人员、信息技术中心全体员工参加了培训。ITGov中国IT治理研究中心主任孙强受邀结合《证券期货经营机构信息技术治理工作指引(试行)》,就证券行业如何开展IT治理做了专题授课。现将有关情况总结如下。
2009年9月,国内知名证券公司(以下简称“某证券公司”)成功举办了为期两天的基于COBIT的IT治理培训。公司主要领导、各部门主管及相关人员、信息技术中心全体员工参加了培训。ITGov中国IT治理研究中心主任孙强受邀结合《证券期货经营机构信息技术治理工作指引(试行)》,就证券行业如何开展IT治理做了专题授课。现将有关情况总结如下。
一、全员参加,旨在统一思想认识。IT治理水平是某证券公司“软实力”的综合体现,是差异化竞争优势的源泉。
自《指引》颁布以来,各证券期货经营机构都在不同程度加快了治理的脚步。《指引》的目的是为加强本行业经营机构信息技术管理与规范,完善治理结构,提高IT治理水平,保障信息系统安全稳定运行。根据以往的经验总结,大干快上会付出许多无谓的代价。某证券公司的IT治理工作要在想清楚、看明白,明确定位和方向,明确达成目标的前提下有序开展。在没有想清楚的时候,不盲目追风,而是希望静下心来,把IT治理的基础理论、总体框架、方法论等,在公司内部展开学习,借助专家力量,为大家建立共同的理论起点,分享国内、外实践经验,在专家指导下,结合本单位情况和行业特点,总结出具体实施步骤。此次培训,正是依此策略执行的第一步。
本次培训受到公司领导的高度重视,领导率先垂范,给了大家极大的鼓舞,增强了内部员工的信心。信息技术中心积极配合,多方面了解全国开展IT治理的情况,期望为公司找到最好的培训机构协助本单位有效开展IT治理工作。
培训的执行方——ITGov中国IT治理研究中心籍多年从事IT治理领域研究、培训、咨询之经验,为了提供高水准有针对性的培训,前期做了不同层面的调研工作,并组织内部专家,集中时间和精力,针对证券行业开发了此次培训课件,希望为某证券公司提供有价值培训,为证券期货行业的IT治理发展助力。
为了既高效培训,又不影响各部工作,培训安排在周末时间。虽然大家很辛苦,但很有收获。在培训中,各位学员自始至终专心投入,积极参与,上下互动,表现出了对IT治理主题的浓厚兴趣;下课时间,学员仍与老师结合内部工作一起交流,甚至饭桌上大家仍在咨询讨论。此情此景,也令ITGov的孙强主任非常感动。
此次培训反馈问卷共回收38份,包括信息技术中心、稽核审计部、法律合规部、财务管理部、营销中心、人力资源部、清算部、机构管理部、总办会等部门。大家在培训后仍表现出了强烈的继续学习愿望和要求。统计情况详见下表:
各项期望继续学习人员占总回收问卷比例 |
|||||||
IT领导力 |
VALUE IT |
CISA |
ITSM |
PRINCE2 |
绩效评价 |
ITIL |
运维外包 |
39.50% |
21% |
34.20% |
28.90% |
7.90% |
50% |
28.90% |
42.10% |
在课间交流和问卷反馈中,大家对2天的培训学习意犹未尽,感觉时间太短,并在反馈问卷中表达了如下期望:
1、希望继续做IT审计方面的培训,加强对公司IT控制架构建立的指导和实施IT审计工作方法的指导;了解IT审计的知识架构和要求,参加相关资格认证考试;
2、 进一步了解国内IT审计或评估机构的数量、费用,审计或评估内容,产生的法律效应、资信等;
3、 学习如何简化和突出各个关键点的控制,降低效率与合规之间的矛盾;了解成本与收益的平衡点在哪里,以及提高执行力有哪些好方法;
4、 学习怎样建立完整的服务管理体系,管理好运维与外包以及服务产品提供商,如何实施流程控制,缓解业务需求不断变化的现状,如何科学制定计划,保障项目顺利实施;
5、 学习如何进行项目管理和质量管理,了解项目管理的过程控制和如何进行绩效评价,以及对IT服务如何进行评价。
二、将“后培训”与工作可持续有机结合
IT治理,是我国信息化发展到今天,我们必然要经历的历程。IT治理是全员参与的行动,离不开“一把手”的支持与关注,但归根结底, “一把手”只有一双手。“一把手”为公司的IT治理确定好方向,建立好保障机制,员工们为IT治理在组织内部的成功实施恪尽职守,贡献自己应尽的义务和职责。这样的上下配合,是IT治理成功的保证。
找到水源,却发现没有盛水的容器,以至造成资源的浪费,这是以往很容易犯的错误。经验使某证券公司变得越来越明智和理性。培训后有人会不免担心,培训时所表现出来的热情能够持续多久,能否在公司内部实施IT治理的过程中,特别是遇到困难的时候,保持这种热情,迸发战胜困难的激情。目前所拥有的资源能否给予各部门足够的支持,在进行资源整合、信息分配、部门协调时这种热情是否还在。是否在经历一段时间的紧张忙碌之后,一切又归于从前。
对上述问题的思考,体现出对培训总结的必要。这即是对前期工作的检验,也是下一阶段工作的起点。通过培训提高认识、统一认识的目标已初步达成。从培训的结果来看,大家对各自的本职工作具有很高的热情和积极性、使命感,期待能够通过学习掌握更多知识和技能,做好本职工作。这是一个可喜可贺的局面。打铁要趁三分热,这正是调动全员主动性,开展IT治理的良好基础和开端。对于大家渴望得到的知识补充,在需要的时候及时提供,才能使学习达到最好的效果,也为全员素质的提升、为IT治理工作的开展做好了铺垫。更可以让员工们体会到,在某证券公司工作可以学有所得、做有所获、获有所丰,加强员工对公司的归属感和敬业精神。
三、对某证券公司IT治理工作的思考与建议
本次培训获得大家一致好评,普遍认为培训开阔了视角,了解了先进的治理理念,也了解了一定的方法论。基于培训交流,结合本公司的实际情况,对即将展开的IT治理工作有如下思考和建议:
(一)深入总结,建立科学的IT治理机制
《指引》强调在IT 原则、IT 架构、IT 基础设施、IT 应用和IT 投入5 个方面制定相关制度并建立有效的工作机制,实现IT 决策的责任和权力的有效分配与控制,提高IT 资源的有效性、可用性和安全性。
从逻辑的角度,IT治理机制需要首先解决“Who”、“What”、“How”等问题。目前某证券公司已经基本明确了“Who”,并在以往的工作中逐步建立了相关的制度措施,但总体来说不够系统。因而,完善管理制度,健全体系化管理规范,确立监督执行机制是非常必要的工作。还包括理顺业务部门与信息化部门的关系、建立信息化工作的权责对等责任担当机制、建立以服务为导向以流程为驱动的集中管理模式。“What”是指信息化治理的内容,也是要具体实施的工作。按照PDCA的管理思路,包括制定规划、确立目标、明确任务、绩效考核和体系优化,确保具有重大影响的信息化内容的科学决策。“How”是指治理的流程,需要确定参与各方的职责分工界面,保证流程间的平滑衔接。
(二)理顺IT与业务的关系,从流程导向服务导向过渡。
从ITGov自主创新的IT治理模型可以看出,在强调IT对业务的支持与融合中,业务管理模式决定了管理策略,管理策略决定了管理体系,管理体系决定着技术体系。善治的IT治理,是以流程驱动的,对IT全生命周期进行规范化、精细化和主动式的严格管理与控制,使输入与输出保持稳定,也使服务质量得到保证,并通过对流程的监控降低了运营的风险。
IT全流程风险管控体系正是实现上述目的、覆盖信息化全生命周期的一组管控流程。规划并实施IT风险管理控制流程,可以:
1、通过组织管控手段,保障系统、流程、数据均衡发展;
2、明确企业信息化部门和业务部门之间的关系和责任;
3、清晰定义分工界面和管控流程;
4、正确划分信息系统的所有者、建设者和管理者;
5、加强对流程执行的管理,明确流程交接的边界和流程的责任者;
6、充分发挥企业信息化建设工作的价值,确保信息化战略和业务战略相吻合,从而实现善治的IT治理。
随着业务与技术的融合,流程导向将成为服务导向的前端基础,在日益强调服务可视化、柔性化和人性化的时代,我们终将向着服务导向转化,并将IT治理的内涵延伸,铸造真正的核心IT能力。
摆在面前的目标是明确的,但实现目标的选择是多样的。IT治理需要一个渐进的过程,不会一就而僦,因此要稳扎稳打,步步为营,把IT治理每一步都踏得坚实。好的IT治理能够哺育好的IT能力,产生好的IT商业价值,这种相辅相承的关系,对于高度依赖信息化的金融行业尤为如此。
(三)加强信息系统审计,尤其是信息化项目的绩效审计.
今天的信息化系统越来越复杂化,在提高企业效率的同时,也带来了种种困惑与担忧。建造一个信息系统不是难题,让这个系统稳定有效地运转起来则是现实的难题。我们身边发生了太多因信息系统故障导致的损失,网络掉线、服务器宕机、邮件发不出去、病毒肆虐、客户资料被盗、黑客非法入侵等等。如何更好地加强内部控制,包含信息资产的安全、完整、真实,保证信息系统有效地实现企业目标,是我们必须面对的问题。
在培训期间,关于信息系统审计的话题也是大家所关注的。但因培训时间短,难以每个话题面面俱到。然而,无论从专家的视角,还是某证券公司员工及相关部门的角度,都希望对信息系统审计话题进一步探讨下去。信息系统审计是信息化过程中必不可少的制度保证和手段。因此,迫切需要掌握这些手段,为公司的信息系统保驾护航。
目前,国内即懂信息化又懂审计的专家还很匮乏,但出于对工作影响度与重要程度考虑,需要有信息系统审计专家。这一点,国内银行业已走在了前面,特别是工行、建行,为整个行业树立了典范。如有可能,希望能向兄弟单位学习取经。
(四)领导重视并理解信息化,将支持工作落在实处
许多机构的领导不是信息化专业出身,因而能否使用服务语言而非IT语言与领导沟通成了关键。只有让领导明白信息化在哪些方面给予了业务支撑,在哪些方面对企业的发展提供了支持,为增加核心竞争力需要做哪些工作之后,才能明确该给怎样的政策倾斜和机制保障。否则,就会出现“说起来重要、干起来次要、忙起来不要”的现象,在实际工作时困难重重。为此,我们需要从以下几个方面做工作:
第一、培训先行。通过培训,让领导了解信息化发展的客观规律,清醒认识和定位信息化,并对信息化及信息化过程可能出现的问题有正确的评估。在与大家共同就信息化问题研讨的过程中,彼此了解期望值,向着同一个方向共同努力。
第二、要用业务和管理等角度总结和汇报信息化。过去对信息化工作的总结往往停留在技术层面,这样的总结,技术占了80%以上,领导们很难看懂,也就很难让领导从实际行动上重视信息化工作。
第三、通过建立信息化管理控制体系,让领导“在合适的时机”参与信息化。明确哪些控制点需要领导何时以何种方式参与,将领导参与信息化形成制度。
(五)建立信息化绩效考核体系,实现信息化闭环管理
证券行业是高度依赖信息化开展业务的,每年对信息化项目的投入也不断追加。但是这些项目的建设成果如何,存在哪些问题,以及如何改进等是否有清晰的答案。一个科学的体系不仅能够指出整个工作流程的工作重心和关键环节,使资金使用倾向性更加明显,重点更加突出,而且更能为后续的改进和完善工作提供指导和依据。有了完善的评估体系,才能真正确保服务理念的落地实施。
加强对公司信息化的绩效评价,不只是来发现信息系统运行好坏,而且是从好坏的评价结果中提出针对性的改进意见,以进一步提高信息化的绩效,换句话说,绩效评价不仅是结果的显示,也是信息化战略实施的巡航系统和仪表盘。
有效防范信息化“黑箱”、“黑洞”和“泥潭”,让领导“放心信息化”。建立从立项、建设到应用,从事前、事中到事后的“一条龙”绩效评估模式,引入引导和激励机制,从领导关心和业务关注的角度度量和汇报信息化,实现过程的动态监控与工作的闭环管理,完善信息化建设与管理的持续发展机制。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 信息系统运维预算定额参考标准…[04-09]
- 构建IT治理架构,提升企业信息…[10-08]
- 电子政务系统运维费预算定额标…[03-14]
- IT治理的基本概念释疑[07-25]
- 政府部门信息化运维费预算标准…[09-19]
- 对话海航X平台产品团队成员[05-19]
- IT治理国际标准: ISO 38500 …[07-17]
- 信息化绩效评估方法论[08-28]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]