构建IT治理架构是证券公司IT治理的核心工作

　　构建IT治理架构是证券公司IT治理的核心工作。需要对IT建设的全过程进行认真梳理。证券公司的IT建设主要包括以下过程：第一，制定IT战略规划;第二，按规划进行信息系统建设;第三，系统安全运维;第四，总结改进。IT治理就是要针对上述过程进行监督、管控，制定一系列治理流程，如制定IT战略规划、IT预算、IT决策、IT基础设施建设、核心业务系统建设、管理信息化、IT资源整合利用、安全运维管理、风险管理、创新管理、项目管理、外包管理等的治理流程。同时，还要明确IT治理流程中各角色的责任、权利和义务。

　　近几年，国际上已经形成一些较为完整的IT服务流程的管理规范和治理规范，如COBIT(信息和相关技术的控制目标)、ITIL(信息技术基础结构库)、ISO/IEC17799--信息安全管理的国际标准、PRINCE2--受控环境下的项目管理等。其中，COBIT是信息系统审计与控制协会(ISACA)提出的IT治理的控制框架，已经被业界公认为标准的IT治理方法论。

　　证券公司的IT治理虽然具有证券行业的特殊性，但在基本原理和方法上完全可以参照国际上的最佳实践和相关标准开展工作。按照COBIT理论，被控制的IT服务流程分为四个领域，包括系统规划与组织、系统获取和实施、系统交付和维护、系统监控。每个领域中又包含多个IT流程，共34个IT流程，即：

　　规划与组织：定义IT战略规划;确定信息架构;确定技术方向;定义IT组织及其关系;管理IT投资;沟通目标和方向;管理人力资源;确保与外部标准的兼容;评估风险;管理项目;管理质量;

　　获取和实施:识别自动化的解决方案;开发和维护IT程序;安装和授予系统权限;选型和维护应用软件;管理变革;选型和维护技术基础结构;

　　交付与支持：定义和管理服务级别;管理第三方服务;管理绩效和能力;确保持续服务;确保系统安全;识别和分配成本;管理运营;教育和培训用户;帮助和指导IT客户;管理配置;管理问题和突发事件;管理数据;管理设备;

　　监控：监控流程;评估内部控制的充分性;获得独立的保障;提供独立审计

　　COBIT对已经定义的每个IT服务流程都设定一个高层次的控制目标，并以7个信息准则(效果、效率、可用性、完整性、保密性、可靠性和兼容性准则)进行监控，监控过程中做到：

　　找出在这个IT流程中哪条信息准则最重要?

　　阐明流程运作中，通常哪些资源需要被均衡?

　　考虑什么是控制那个IT流程最重要的因素?

　　在COBIT中，34个IT流程中每一个流程都有类似的一套控制目标。针对管理层和IT参与者总共34个流程形成了34个高层控制目标和318个详细控制目标。同时还提供了建立在这些控制目标上的IT流程的审计指南、管理指南和实施工具集。其中：

　　COBIT审计指南描述和提出了对应于每个IT流程的高层控制目标所应实际执行的审计活动，同时阐述了控制目标不被满足的风险;

　　COBIT实施工具集包含了管理意识、IT控制诊断书、实施指南、FAQ、COBIT案例和COBIT幻灯片。工具集用于辅助COBIT的实施，并能吸取成功组织的应用经验。

　　COBIT管理指南描述了每个IT流程的控制目标在企业中的具体运用的标准，包括关键成功要素(CSF)、成熟度模型(MM)、关键目标指标(KGI)和关键绩效指标(KPI)四个方面有机的作用：CSF--对于每个IT流程，COBIT给出了一些关键成功因素，这些因素保证IT流程始终在控制之中;MM--每个IT流程的成熟度模型把流程在组织中的运行状况划分为不同等级，即：0-没有级别、1-初始级、2-可重复级、3-已定义级、4-已管理级、5-优化级，组织通过MM可以评估IT流程的运行程度，找出IT流程控制的差距，并采取措施有效改进;KGI和KPI--给出每个流程运行的目标指标和绩效指标，通过这些指标，企业能够衡量IT流程控制的绩效。

　　因此，COBIT是一个完整的、系统的、可操作的IT治理的方法论，并且是一个在业界公开的并为众多政府和企业所接受的IT治理方法论的标准。在证券公司进行IT治理的过程中，引入和应用COBIT，必将带动整个证券行业IT治理水平的整体提升。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。