华融湘江银行信息化管理研究绪论

　　第 1 章 绪 论

　　1.1 选题背景及意义

　　1.1.1 研究背景

　　近年来，我国银行业竞争非常激烈，近乎白热化程度，随着信息科技技术的高速发展和运用，商业银行业务对信息技术的依赖程度也不断加深，信息科技技术是把双刃剑，能否与银行业务完美融合成为商业银行在未来竞争中立于不败之地的关键。

　　信息科技的有效运用使一些银行的发展突飞猛进。我国受大众欢迎的股份制商业银行招商银行的崛起源于 IT 的发展带来的机遇，上世纪末的互联网风潮给招商很好的机会。在互联网面前大家同时起步，而互联网对中国来说，又是变革的重大机遇，IT 的革命每次都带来银行的变革，看到了这一点，招商银行就开始了银行 IT 化。借助互联网，虽然招商银行仅有 700 个网点，但网上替代率将近 80%。

　　伴随着信息科技技术的运用，信息科技风险[1-2]成为商业银行必须面临和控制的重大风险之一。信息科技风险与其它领域的风险相比,破坏性大、影响面广、隐蔽性高、专业性强,其风险管控的难度更大。正因如此,《巴塞尔新资本协议》将其作为操作风险[3]中的重点进行防控。国外在信息科技风险监管防控方面积累了丰富经验,值得我国学习借鉴。

　　显然，现代银行业的发展和生存已经离不开信息科技技术，信息科技运用中的产生的信息科技风险必须得到有效的防范，提高银行系统的可靠性和有效性，那么必须思考一系列提高信息科技系统的管理水平的机制与方法。管理水平的提升依赖于治理水平的提升，必须依靠 IT 治理[4-7]。IT 治理也称为 IT 治理安排(ITGovernance Arrangement)或 IT 治理结构(IT Governance Structure)[8]。目前国内外对这一概念的理解还缺乏统一的认识,但其对企业发展的重要性却是众所公认的。

　　成立于 1969 年的国际信息系统审计与控制协会(ISACA)认为:IT 治理是一个内涵丰富的术语,包括信息系统、信息技术、系统连通性、相关商业活动、相关法律事宜、以及所有利益相关者(公司董事、高级管理人员、业务流程的执行者、IT 供应商、IT 的使用者以及审计人员等)[9]。

　　然而，围绕 IT 治理这一领域，银行业还存在不少问题。同时，银监会非常重视银行业信息治理问题。人民银行于 2006 年 4 月下发了《银行业金融机构信息系统风险管理指引》，也就是 313 号文件。其目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。同时还下发了中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见，提出要实施流程化管理，借鉴信息技术基础框架库(ITIL)[10-12]等国际管理规范，建立标准统一的服务管理流程[13-14]，严格过程控制和操作规程，完善内控机制。在 2009 年发布的《商业银行信息科技风险管理指引》中，就明确提出了 IT 治理要求，明确了董事会的信息科技治理职责，要求董事会对银行信息科技战略负有最终责任，要清楚了解银行承担多大的信息科技风险，确保银行的信息化建设走在正确的方向上。

　　1.1.2 研究意义

　　本人目前供职于华融湘江银行总行信息科技部，华融湘江银行作为引进央企为战略投资者进行了“四行一社”重组合并的新银行，制定了“五年三步走”上市的宏伟战略规划目标。为达到上市公司相关审计要求，对华融湘江银行 IT 治理组织架构、IT 管理规范和信息科技风险管理也是一个挑战。为了有效支持华融湘江银行未来几年的发展战略和经营目标，符合监管当局对华融湘江银行信息系统风险管理的要求，追赶国内先进银行信息化的发展水平，华融湘江银行迫切需要全面加强其 IT 治理现状，优化 IT 管理现状，在组织架构、制度规范、操作流程和风险控制等方面，建立一套比较先进、合理、全面的 IT 治理体系。

　　通过本课题研究，给国内有区域性城商行发展起来的商业银行 IT 治理工作提供了理论指导和参考依据，对华融湘江银行本身来说，更是具有实际的指导和借鉴意义，华融湘江银行 IT 治理工作的实施，将会使华融湘江银行的信息科技工作上升到一个新台阶，由 IT 服务业务，IT 引领业务最终走出一条 IT 与业务融合之路。

　　1.2 文献综述

　　1．国外相关研究综述

　　Grembergen（2004）认为,IT 治理包括全部由利益相关者驱动的四个主要方面的内容,两个收益方面的内容即价值贡献度和规避风险；另外来源于战略的一致性和绩效评估考核两个方面的驱动力[15]。

　　Ian Harris（2001）等人认为，IT 治理是指组织中信息系统应用、开发和运维管理的控制系统，IT 治理应与组织的整体治理相融合，信息技术仅仅是组织治理的一部分。公司治理中对经营责任的规范同样适用于 IT 治理，IT 治理的主要目标是通过一系列治理手段增加企业价值,规避企业风险[16]。

　　V·Sambamurthy（2003）等人认为,IT 治理安排是指企业中关键信息技术活动的权力模式,关键信息技术活动包括 IT 基础设施、IT 的使用及项目管理[17]。

　　多维权变理论认为权变环境因素之间相互作用并发挥作用，而非是单一因素独自发挥作用。V·Sambamurthy(1999)使用多维权变环境理论研究了 IT 治理模式的选择是如何受到环境因素影响的,重点研究了信息技术的应用和开发能力和 IT组织架构设计这一根本性问题上[18]。

　　Peter Weill (2004)等人使用资源基础理论、行为理论以及战略理论对组织信息技术活动中的权力和责任的配置以及如何产生所希望的行为进行了更为深入的分析。在信息技术活动的权力分配方面,认为 IT 治理的关键在于合理授权严格控制两手抓，两手都要硬。在信息技术作为组织重要资源的基础上,认为应该做如下五个互相关联的信息技术决策:(1)信息技术在企业中的角色的确定；(2)信息技术间的关系、整合及标准要求的确定；(3)信息技术提供的服务的确定；(4)按信息技术平台外购或自主研发的确定；(5)信息技术项目投资及优先次序的确定而关于决策的决策方法包括:(1)企业君主式决策:高级管理层拥有决策权；(2)IT 部门君主式决策,信息技术部门、专家拥有决策权；(3)事业部领地式决策:每个事业部拥有独立的决策权；(4)联邦式决策:公司、部门(包括或不包括信息技术部门)共同拥有决策权；(5)无政府状态:个体或小的群体拥有决策权。在解决了应做出哪些决策、谁来做的问题后,就要解决如何做出决策和实施监督的问题——即设计和实施 IT 治理机制[19]。

　　Mathisa Salle（2004）从信息技术在组织中所发挥的作用在不同时间阶段而不同的角度对 IT 治理进行分析。他认为,信息技术随时间的推移在企业中经历了技术支持 、服务支持、战略支持三种角色,与之相适应的是信息技术基础设施管理、信息技术服务管理和信息技术企业价值管理,即 IT 治理。在信息技术基础设施管理阶段,强调有效的基础设施的管理意味着资源收益的最大化。在信息技术服务阶段,强调提供的服务应满足客户的需求，并且要有效而安全。在 IT 治理阶段,则要实现信息技术流程、企业业务需求和企业战略目标的全面融合[20]。

　　2．国内相关研究综述

　　IT 治理的概念引入到国内已经有三年多的时间了，媒体、IT 企业及一些专家学者在不断呼吁 IT 治理的重要性，国内学者们并不停留于对于 IT 治理概念的玩味和寻究，一直在为 IT 治理寻找一条切实可行的操作路径。目前，国内对上述领域的研究、交流和应用还十分薄弱，但是，从媒体报道中已经可以看出，一些行业和企业，比如金融行业、电信领域的信息安全问题，航空航天领域、国家安全领域，对此已经产生了浓厚兴趣，并给予了高度的重视。

　　人民银行清算中心的技术管理部领导结合了中国现在化支付系统的建设、运维等的管理经验和体会，认为 IT 治理不只是买设备，更重要的是管理，如果管理缺位，最终会造成资金和人力等浪费。而 IT 治理最终还是要以人为主体这样才能从根本上治理 IT 问题。南开大学李维安教授在演讲中明确指出，应该将 IT 治理纳入公司治理的范畴(2005)[21]。

　　王仰富和刘继承(2010)在《中国企业的 IT 治理之道》一书中构建了一套以企业架构（EA）为核心的 IT 治理框架，提出了 IT 治理的三大支柱：决策、激励、控制，并进一步梳理了 IT 治理内部控制、信息安全、供应商治理等十大基本流程体系[22]。

　　唐志豪、计春阳认为信息技术(IT)的普及使得企业对 IT 的投资快速增长,企业董事会和高层管理者比较关注如何从 IT 投资中获取相应的价值回报的问题。针对IT 投资,进而延伸出 IT 投资治理的新概念,推崇有效的 IT 治理框架,认为通过有效的治理结构、流程和沟通评估机制可以保障 IT 投资的正确性,并使投资成本合理、透明，进而在较低风险水平下实现 IT 投资价值、提高 IT 投资价值。为保证 IT 投资治理的有效性,需要遵循以下原则:一是合适的权力责任分配。二是 IT 投资合理组合。三是定义和监测 IT 投资关键指标。四是保持持续改进[23]。

　　涂伟（2007）认为 IT 治理是公司治理的一部分,是以股东为中心的企业利益相关者为了让 IT 产生最大收益并解决 IT 决策中的信息不对称问题而设计的与 IT有关的决策、激励和约束机制。提出股东应重视激励员工参与 IT 治理。员工有参与 IT 治理的动力,他们就可以通过“监督”管理者和在 IT 治理体系中承担更多责任的方式来减少 IT 治理中的信息不对称[24]。

　　李长征（2004）围绕的一个中心就是“IT 与业务的充分融合”，通过国际上IT 治理的最新研究成果，深度挖掘国内企业信息科技建设中出现的问题，初步界定了 IT 治理的概念、目标、范围与公司治理的关系等内容，构造了适用于中国国情的 IT 治理基本模型[25]。

　　王江涛、周泓(2010)对 IT 治理的综合评价指标的处理进行了研究，以更加有效的对商业银行 IT 治理工作进行综合评价。在深入研究灰色理论和模糊数学的基础上,进行了评价指标的优化处理,得出商业银行 IT 治理综合评价结果,形成了商业银行 IT 治理评价的新方法[26]。

　　李翔（2006）站在 IT 治理角度，从我国商业银行 IT 资源的分配问题、IT 资源的融合问题两个方面进行剖析，研究如何使 IT 应用效果最优。其中, 商业银行IT 资源的分配问题着重阐述了 IT 应用的战略目标要与银行整体的战略目标一致、IT 应用的价值评估要充分考虑长期性； IT 资源的融合问题阐述了基于 IT平台的商业银行管理模式的再造、IT 应用对管理模式的动态体现[27]。

　　相比国外的研究理论而言，国内的 IT 治理理论更多的在于操作层面，在当今中国国情下更具有现实意义，上述研究学者中有的致力于研究 IT 治理的决策、控制与激励机制，有的致力于研究 IT 投资效益、IT 资源整合和 IT 治理之于股东利益，也有学者深入研究了 IT 治理评价机制的必要性。本文比较认可的一种研究是“IT 与业务融合”的 IT 治理观点，这种观点不仅给出了 IT 治理的目标，更能体现 IT 治理的最终效用，而这一观点也囊括了所有 IT 管理与 IT 治理有利于公司价值体现的方法改进。本研究即超着这个目标，迈出了第一步。

　　3．相关概念界定

　　IT 管理是公司的信息系统的运营管理，即确定 IT 运营目标和为实现该目标而采取的一系列的行动；IT 治理则是指最高管理层--董事会，利用合理的管控机制来监控、督促管理层在 IT 战略实施和执行上的过程和联系，以确保 IT 在正确的轨道之上运行[28]。IT 治理规定了整个企业 IT 运作的基本框架，是对 IT 管理的管理，IT 管理则是在这个既定的框架下按规则运行。缺乏良好 IT 治理模式的公司，不可能有很好的 IT 管理体系，就像一座地基不牢固的大厦。公司治理结构是一种据以对工商公司进行管理和控制的体系。公司治理结构明确规定了公司的各个参与者的责任和权利分布，诸如董事会、经理层、股东和其他利益相关者。

　　通过几个概念的分析，我们知道 IT 治理更受高层关注，是公司董事会、高级管理层关注的层面，但是其包括公司各个层面的与 IT 相关人员的组织，共同构筑完善的 IT 治理架构，是一种制度和机制，其强调企业信息化目标与企业战略目标的一致性。IT 管理是 IT 治理的基础和实现手段，重点是 IT 与业务融合即 IT 服务业务管理，IT 服务业务管理是以 IT 治理为指导，以推动 IT 与业务的动态融合为出发点和归宿，以流程为导向、以客户为中心、以绩效评估为改进 IT 管理动力、以保障 IT 基础设施整体可用和为业务提供可靠服务为目标的管理体系。

　　对于一个企业，领导关心的问题是采用哪种体系来对公司进行管理，这属于公司的治理结构的内容。企业领导对 IT 建设常常不信任，有一个原因就是领导未充分意识到 IT 对公司治理所带来的影响，不了解 IT 建设对公司治理结构的推动和促进作用。当 IT 与公司治理相结合时，就形成了 IT 治理的概念，在企业中形成了一种引导和控制企业各种关系和流程的结构，这种结构旨在通过平衡信息技术及流程中的风险和收益，增加价值以实现企业目标。IT 与公司治理的结合，可以增强组织控制 IT 战略的制定与实施的能力，保证组织获得优势。

　　文献综述中已经了解到，IT 治理是公司治理的一部分，IT 治理应由董事会设计并执行，要让管理层设计 IT 治理框架[29]。但是在中国现行国情下，许多公司并不重视 IT，更不用说 IT 治理，关键是企业高层没有认识到 IT 治理与公司治理的关系，进而认识不到 IT 对于公司治理的重要性。因而，把 IT 的重要性和 IT 价值有效的传递给公司最高层成为企业 CIO 的重大使命，只有公司最高决策层都能够认识到 IT 之于公司治理的重要性，才能谈到 IT 治理。缺乏 IT 治理的公司治理是不完整和不科学的[30]。

　　1.4 研究方法与内容
　　
　　1.4.1 主要研究方法

　　1．文献研究法

　　主要指搜集、鉴别、整理文献，并通过对文献的研究，形成对事实科学认识的方法。文献研究就是以过去为中心的探究，它通过对已存在资料的深入研究，寻找规律，得出结论。只要是追根求源，追溯事物发展的轨迹，探究发展轨迹中某些规律性的东西，就不可避免地采用文献研究法。

　　本文在华融湘江银行 IT 治理设计研究中，搜集了华融湘江银行大量的文献资料，正是通过对这些资料的研究，总结了大量的规律提出了许多有用的观点。

　　2．定性分析法

　　定性分析法就是对研究对象进行“质”的方面的分析。具体地说是运用归纳和演绎、分析与综合以及抽象与概括等方法，对获得的各种材料进行思维加工，从而能由表及里、由此及彼、去粗取精、去伪存真，达到认识事物及现象发生的本质，揭示客观内在规律的目的。

　　本文在研究过程中使用了大量归纳和逻辑推理的定性分析方法，得出了许多正反方面结论，从而在 IT 治理制度设计中使用了正面结论，避免了反面问题的再次出现。

　　3．经验总结法

　　经验总结法是通过对实践活动过程中的具体实际情况，进行归纳、分析，使之形成系统化和理论化的经验方法。总结并推广先进经验是所有智能产生的最基础的方法之一，也是人类长期运用的行之有效的领导方法之一。

　　从文献研究法和定性分析法研究方法的使用我们可以看出，所有的研究方法都离不开经验总结法，即便是 ITIL 这种国际上受到热捧的服务框架也是在总结经验的基础上不断完善，最终形成一整套理论体系的，可以说此方法将自始至终贯穿于文中。

　　1.4.2 研究内容与框架

　　本文以华融湘江银行为研究对象，在相关理论与文献分析的基础上，阐述了华融湘江银行的历史演变、战略定位、IT 演变过程，并对华融湘江银行 IT 治理现况进行分析，进而设计了华融湘江银行的 IT 治理架构，进行了 IT 运维服务体系设计，初步探索了 IT 项目管理和风险管理思路方案，最后提出设计方案的预期效果、问题分析和实施保障措施。

　　全文共分为五个部分，具体内容如下：

　　第 1 章为绪论部分。重点阐述研究的选题背景和研究意义，对 IT 治理的相关理论和文献进行了综述，在界定 IT 治理相关概念的基础上，提出了本研究的主要内容，阐述了主要研究方法和研究思路。

　　第 2 章为华融湘江银行 IT 治理现状分析。首先对华融湘江银行的发展概况、IT 治理历史演变过程和治理现状等情况进行了介绍，接着从 IT 决策体系、系统功能差异、人员配备、IT 系统风险等方面对华融湘江银行 IT 治理中存在的主要问题进行了叙述。最后，对华融湘江银行 IT 治理中存在问题的原因进行了分析。

　　第 3 章为华融湘江银行 IT 治理设计方案的构建。首先介绍了 IT 治理架构设计的总体思路，包括指导原则、主要目标和主要原则等方面。然后，从 IT 治理组织架构设计、IT 运维服务治理、IT 项目与服务整合治理、IT 风险治理等几方面进行华融湘江银行 IT 治理研究设计。

　　第 4 章进行了华融湘江银行 IT 治理设计方案的实施的预期效果分析，对可能遇到的问题提出了一系列的保障措施。

　　最后为结论部分。本部分主要对全文研究进行了总结，并指出研究的创新点与不足。具体研究思路框架如图 1.1 所示：