中国证券公司IT治理研究

一、引言

中国证券市场从创建到现在已经有15年的历史了。在这十几年里，证券市场从无到有，从小到大，取得了举世瞩目的成就。在这期间，IT的广泛应用为证券市场的发展起到了巨大的推动作用。从股票的简易电子化数据处理、统计，到实现股票无纸化、再到实现多种委托方式的证券交易全程电子化，每前进一步，都因为信息技术的应用而显著提高了市场运做效率、提升了市场交易能力，满足了市场不断扩容的需求。

证券公司作为证券市场的参与主体之一，是联系投资者与交易所、登记结算公司、银行等单位的重要环节。随着证券市场的发展，证券公司的经营环境发生了很大变化，一方面，市场竞争日趋激烈、监管力度不断加强，使证券公司面临严峻的挑战；另一方面，由于市场规模不断扩大，交易品种日益增多，上市公司治理结构不断完善，整个市场的运作越来越规范等，也使得证券公司面临许多新的发展机遇。在这样的背景下，证券公司的业务战略发生了根本转变，主要体现以下几方面：

1、业务方式的转变：由以营业部为营运中心的分散化经营向以总部为营运中心的集约化、规模化经营转变；

2、管理方式的转变：由对营业部的粗放式管理向集中规范化管理的转变，实现从垂直型管理向扁平化管理转变；

3、服务方式的转变：由以交易为中心“坐商”（被动服务）向以客户为中心、以市场为导向的“行商”（主动服务）转变；

4、服务内容的转变：从单一经营股票为主逐步发展成为股票、基金、债券、期货、期权、外汇、保险等多种金融产品的综合性金融服务。

上述转变离不开IT系统的支撑。从整个IT架构体系来看，IT支持业务主要体现在以下四个方面：基础环境（网络、机房、标准、安全等）建设、核心业务系统（证券交易系统）建设、管理信息化（财务管理、人力资源、OA等）建设以及以数据中心为依托的决策支持相关系统（营销、客服、风控、审计、决策支持等）建设。证券公司没有上述IT应用的支持是难以想象的。因此，证券IT战略对业务战略至关重要。

但是，就目前而言，由于技术管理机制的问题，证券IT战略对业务战略的支持和融合还有待进一步加强，在证券公司IT建设和运行过程中仍然存在一些根本性问题没有系统地加以解决，其中最大的问题是IT治理缺失，导致的不良结果主要体现在：

1、缺乏整体IT规划或执行规划随意性较强，标准化、规范化等基础工作不到位，导致出现大量信息孤岛，使证券公司面临繁重的系统整合工作；

2、业务部门与技术部门“两张皮”，沟通交流困难；

3、事故责任不清，技术部门承担责任过大；

4、一些系统建成后没人进行后续跟踪研究、推广使用；

5、预算缺乏完整性，计划外项目过多；

6、项目投资出现失误或投资回报不高；

7、项目管理缺乏控制手段，项目延期交付时有发生；

8、缺少IT审计环节；

9、不清楚IT价值何在，认为IT只是工具；

10、缺乏IT人才的培养、激励和约束机制。

随着证券公司信息化的不断深入，上述问题逐渐制约了证券公司IT建设的有效性，直接影响了业务战略目标的实现。因此，如何从根本上解决上述问题，加强IT治理，已经成为证券公司面临的重要课题。

二、证券公司IT治理的目标

证券公司IT治理是一个较新的概念。IT治理不同于IT管理，治理是规则、制度、机制、责权利的确定，管理是制度的执行。多年来，证券行业内IT从业人员为保障系统安全可靠运行不断地进行探索和总结，积累了大量的系统规划、建设和运行管理经验。其中有治理的内容，也有管理的内容。这些成果为进一步开展IT治理工作奠定了重要基础。IT治理作为一个明确的概念提出，能够使证券公司对IT系统安全和IT投资风险等有新的认识，促使证券公司不仅从技术上控制技术风险，更要从机制上来控制IT风险，它是证券公司信息化发展到一定阶段的必然产物。

那么，证券公司的IT治理到底能够为企业带来什么益处，其目标何在？结合国内外专家学者对IT治理的研究，我认为证券公司IT治理至少要实现以下目标：

1、引导证券IT战略，保证IT战略目标与证券公司战略目标一致

引导证券IT战略包括两方面的内容，首先是在制定IT战略规划时贯彻业务目标主导，技术与业务互动创新的规划理念。其次是在规划实施过程中，能够控制项目的预算投资、时间进度及功能符合业务要求；能够保证IT系统安全运维目标的实现。同时，随着业务战略目标的调整，IT战略也能够得到及时调整。

2、建立证券公司标准的信息基础架构，进一步提高IT建设的规范性、科学性和有效性，有力支持业务增长

由于历史的原因，我国证券公司起初基本上是以营业部为单位分散经营的，交易系统是以营业部为单位建立起来的。证券公司在进行交易系统建设时，一般都没有建立相对稳定的标准和规范。加之证券公司不断进行整合、重组，使得公司下属各营业部的交易系统千差万别。即使同一家厂商的柜台交易产品，在不同营业部安装的版本也不尽一致。其他管理信息系统，如财务、人力资源、固定资产、OA等管理系统更有可能是五花八门，造成证券公司内部大量的信息孤岛，难以进行信息资源共享、挖掘和利用。

随着证券公司市场竞争的加剧，证券公司需要进一步重视IT应用的作用，调整IT资源分配，构建适合业务战略发展的信息基础架构。具体应以安全体系建设和信息资源标准化作为基础工程，把新一代、集中管控式交易系统及其灾备系统的建设作为核心工作，把数据中心及相关应用系统的建设作为提高经营管理水平的重要技术手段，把IT基础设施建设如基础网络环境建设、机房建设、管理信息化建设作为提高公司IT能力的基本保障。通过构建标准的信息基础架构，进一步提高IT决策和建设的规范性、科学性和有效性，有力地支持业务增长。

3、对证券公司核心IT资源做出合理的制度安排，成为证券公司开拓新业务、进行有效竞争、实现总收入增长、改善客户满意度及维系客户关系的制度保障

业务高度信息化的证券公司在经营过程中积累了的大量业务和管理数据，如客户基本信息、证券交易信息、系统使用信息等。这些数据是证券公司的核心IT资源。作为IT治理的目标之一，需要对证券公司核心IT资源的整合、利用做出合理的制度安排。要构建公司级的数据仓库，首先把分散的数据进行逻辑集中、整合，为数据分析打下数据基础；其次是针对业务运作和管理的需求，运用商业智能（BI）技术对数据进行分析、挖掘，结合证券公司的实际情况开发出不同的应用主题，如市场营销、风险管理、产品研发、渠道整合、客户关系管理、财务分析、绩效管理等，并以查询、报表、统计/多维分析等方式提供给最终相关用户。对核心IT信息资源的采集、清洗、分析、利用等作好制度安排，是证券公司提高核心竞争力的必要举措。

4、指导和控制证券公司的IT投资、机遇、收益及风险

证券公司过去主要面对的是市场不断扩容的压力，现在主要面对的是市场竞争的压力。这种转变使证券公司对信息技术系统建设的要求也发生了深刻变化。证券公司已经开始分析、研究IT投资的回报问题。通过IT治理能够明确IT决策流程以及相关责任人的职责、权利与义务，以便按照规范的操作流程进行科学决策。例如，对于成本高、收益低或风险较大的项目有可能选择不上或缓上，而对于投入产出高、风险相对较小的项目或创新业务系统项目建设，又能够提前作好技术准备、有效地抓住投资机遇，抢占市场先机。

5、使证券公司的风险透明化，从而保护利益相关者的权益

IT治理是公司治理的组成部分。通过规范、公开的操作流程进行IT预算、投资决策、系统规划、项目管理、运行维护等，可以使IT建设的风险透明化。便于及时调整策略、规避各种风险，从而保护利益相关者的权益。

三、证券公司IT治理的主要内容

为了实现证券公司IT治理的目标，证券公司的IT治理应涉及与证券公司IT建设相关的所有关键环节和内容。结合IT治理缺失导致的各种问题，并参考国内外IT治理的相关经验，我认为证券公司IT治理主要包括以下几方面内容：

1、组建IT治理委员会

组织保障是成功进行IT治理的关键。IT治理委员会可由证券公司的最高管理层（董事会）及管理执行层包括IT管理和业务管理有关部门负责人、管理技术人员组成。

证券公司治理委员会的主要职责是：

（1）全面负责IT治理工作；

（2）确定IT治理的原则；

（3）组织制定IT治理架构；

（4）审定IT战略规划；

（5）全面指导和支持IT建设，加强全局的管理与流程执行的纪律；

（6）把IT治理的相关规范融入到公司的内部控制中；

（7）协调公司内部资源，能够高效处理IT系统突发事件；

（8）组织IT审计、绩效评估工作。

在工作机制方面，针对不同的工作内容，可以采用会议、函件、访谈等方式进行。例如可以定期召开会议，就公司业务战略与IT战略的驱动与设置等议题进行讨论并做出决策；在处理证券交易系统故障时，迅速启动事故应急流程，控制问题的蔓延，查清问题所在并进行妥善处理，把损失降到最低。

2、确定IT治理的原则

IT治理的原则是主导IT治理工作的指导思想，由公司IT治理委员会最终确定。可从以下几个方面考虑：

（1）统一认识。IT治理首先是认识、观念问题，要解决证券公司决策层、管理层、业务等相关部门对IT价值的认识问题；

（2）提高全体员工的IT素质，全员参与IT治理。证券公司较高的信息化水平要求全体员工应具备相应的IT素质；全员参与是解决业务与技术“两张皮”的关键。

（3）贯彻标准化、规范化理念。把IT资源规划作为IT建设的先导性基础工作，把贯彻标准化、规范化作为IT治理的一项长期工作；

（4）强化安全意识，不对现有系统运行造成负面影响；

（5）充分利用、共享国内外成熟的经验，降低管理创新的成本和风险；

（6）对国际标准和最佳实践的运用必须结合证券公司的实际情况进行裁减；

（7）内外治理相结合。除了做好内部IT治理外，还要对不断改进证券公司外部的IT治理环境作出必要的制度安排；

（8）总体规划，由易到难分布实施，持续改进。必须认识到IT治理的复杂性，需要有足够的耐心和合理的时间安排。

3、构建IT治理架构

构建IT治理架构是证券公司IT治理的核心工作。需要对IT建设的全过程进行认真梳理。证券公司的IT建设主要包括以下过程：第一，制定IT战略规划；第二，按规划进行信息系统建设；第三，系统安全运维；第四，总结改进。IT治理就是要针对上述过程进行监督、管控，制定一系列治理流程，如制定IT战略规划、IT预算、IT决策、IT基础设施建设、核心业务系统建设、管理信息化、IT资源整合利用、安全运维管理、风险管理、创新管理、项目管理、外包管理等的治理流程。同时，还要明确IT治理流程中各角色的责任、权利和义务。

近几年，国际上已经形成一些较为完整的IT服务流程的管理规范和治理规范，如COBIT（信息和相关技术的控制目标）、ITIL（信息技术基础结构库）、ISO/IEC17799——信息安全管理的国际标准、PRINCE2——受控环境下的项目管理等。其中，COBIT是信息系统审计与控制协会（ISACA）提出的IT治理的控制框架，已经被业界公认为标准的IT治理方法论。

证券公司的IT治理虽然具有证券行业的特殊性，但在基本原理和方法上完全可以参照国际上的最佳实践和相关标准开展工作。按照COBIT理论，被控制的IT服务流程分为四个领域，包括系统规划与组织、系统获取和实施、系统交付和维护、系统监控。每个领域中又包含多个IT流程，共34个IT流程，即：

●规划与组织：定义IT战略规划；确定信息架构；确定技术方向；定义IT组织及其关系；管理IT投资；沟通目标和方向；管理人力资源；确保与外部标准的兼容；评估风险；管理项目；管理质量；

●获取和实施:识别自动化的解决方案；开发和维护IT程序；安装和授予系统权限；选型和维护应用软件；管理变革；选型和维护技术基础结构；

●交付与支持：定义和管理服务级别；管理第三方服务；管理绩效和能力；确保持续服务；确保系统安全；识别和分配成本；管理运营；教育和培训用户；帮助和指导IT客户；管理配置；管理问题和突发事件；管理数据；管理设备；

●监控：监控流程；评估内部控制的充分性；获得独立的保障；提供独立审计

COBIT对已经定义的每个IT服务流程都设定一个高层次的控制目标，并以7个信息准则（效果、效率、可用性、完整性、保密性、可靠性和兼容性准则）进行监控，监控过程中做到：

●找出在这个IT流程中哪条信息准则最重要？

●阐明流程运作中，通常哪些资源需要被均衡？

●考虑什么是控制那个IT流程最重要的因素？

在COBIT中，34个IT流程中每一个流程都有类似的一套控制目标。针对管理层和IT参与者总共34个流程形成了34个高层控制目标和318个详细控制目标。同时还提供了建立在这些控制目标上的IT流程的审计指南、管理指南和实施工具集。其中：

●COBIT审计指南描述和提出了对应于每个IT流程的高层控制目标所应实际执行的审计活动，同时阐述了控制目标不被满足的风险；

●COBIT实施工具集包含了管理意识、IT控制诊断书、实施指南、FAQ、COBIT案例和COBIT幻灯片。工具集用于辅助COBIT的实施，并能吸取成功组织的应用经验。

●COBIT管理指南描述了每个IT流程的控制目标在企业中的具体运用的标准，包括关键成功要素（CSF）、成熟度模型(MM)、关键目标指标(KGI)和关键绩效指标(KPI)四个方面有机的作用：CSF——对于每个IT流程，COBIT给出了一些关键成功因素，这些因素保证IT流程始终在控制之中；MM——每个IT流程的成熟度模型把流程在组织中的运行状况划分为不同等级，即：0－没有级别、1－初始级、2－可重复级、3－已定义级、4－已管理级、5－优化级，组织通过MM可以评估IT流程的运行程度，找出IT流程控制的差距，并采取措施有效改进；KGI和KPI——给出每个流程运行的目标指标和绩效指标，通过这些指标，企业能够衡量IT流程控制的绩效。

因此，COBIT是一个完整的、系统的、可操作的IT治理的方法论，并且是一个在业界公开的并为众多政府和企业所接受的IT治理方法论的标准。在证券公司进行IT治理的过程中，引入和应用COBIT，必将带动整个证券行业IT治理水平的整体提升。

4、建立IT建设的激励机制和约束机制

证券公司IT建设的另一个重要问题是人才培养和团队建设问题。由于证券行业的特殊性，只有在闭市期间才能进行系统升级、改造、测试，因此，多年来证券IT人员经常利用周末和平时下班后时间进行升级、测试、系统安全加固等工作。加之安全责任的压力过大，迫使一些优秀的IT人才离开了钟爱的证券IT事业。没有稳定的人才队伍，对证券公司的IT建设和系统运营十分不利，存在很大的安全隐患。而解决人的问题，短时间也许可以靠个人的责任心、敬业精神和企业文化吸引，但最终还要靠科学的机制实现。应该针对证券IT的特点，给予IT人员以相对于IT人才市场和公司其他部门更高的奖励待遇。当然，作为完整的制度系统，也必须制订对IT人员的约束机制或事故惩罚制度。另外，针对非IT部门的人员（如管理层、业务部门的人员）在IT治理体系中承担的责任也要制定相应的激励机制和约束机制。

5、建立IT审计、评估机制

评估证券公司的IT系统如核心交易系统是否具备了业务功能的完整性及运行的安全性与可靠性，核心业务数据如客户资料等信息是否保护严密等都要求证券公司必须加强IT审计，并把风险评估和内部控制扩展到IT系统的各个方面，包括公司内部网络环境、机房、因特网、业务系统、管理系统等在内的任何直接或间接影响公司财务报表或企业竞争力的重要数据资源和处理系统。与此同时，还必须对与其互通业务数据的合作伙伴如交易所、登记结算公司、相关银行、外包厂商等的内部控制系统有信心。因此，建立IT审计和评估机制很有必要。

IT审计可以根据情况采用内部审计或外部审计的方式进行。证券公司的IT审计主要由以下部分组成：

（1）IT系统的管理、规划与组织：评价信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务；

（2）IT基础设施与操作实务：评价证券公司在技术与操作基础设施的管理和实施方面的有效性及效率，以确保其充分支持公司的业务目标；

（3）应用系统开发、获得、实施与维护：对公司应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足公司的业务目标；

（4）灾难恢复与业务持续计划：评价计划的建立和维护流程能够在发生灾难时，达到持续进行业务的目标；

（5）资产的保护：对环境与IT基础设施的安全性进行评价，确保其能支持公司保护信息资产的需要,防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失；

（6）业务流程评价与风险管理：评估业务系统与处理流程，确保根据公司的业务目标对相应风险实施管理。

四、总结

证券公司的IT治理是一项涉及面广、规范性强、实施难度大、有一定风险的系统工程。观念的改变最前提，组织保障是关键。另外，建立IT治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程。联合国全球治理委员会指出：“治理不是一整套规则，也不是一种活动，而是一个过程”。证券公司IT治理是公司与所有利益相关者的互动过程，也是技术与业务的互动过程。公司的业务战略转变与技术发展以及IT治理理论的发展都要求不断改进、完善IT治理的目标、策略、方法、手段。另外，环境的动态性也决定了IT治理的动态性。

随着证券公司对IT治理的不断加强和完善，相信未来证券公司的IT系统将更加健壮、安全、可靠，系统的功能将更加完善，IT的价值会得到更好地挖掘，IT对业务和管理的支持将更加有效。IT将成为证券公司实现总体战略目标的发动机和助推器。

(本文不涉密)
责任编辑：

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。