证券公司构建IT治理制度探索

2008年9月，中国证券业协会《证券期货经营机构信息技术治理工作指引(试行)》，从治理的高度制订了IT建设的指导性原则，这对证券期货行业信息技术的健康发展起到了极大的推动作用，是一个里程碑式的进步。本文将对证券公司进行IT治理的原因、目标以及如何建立完善IT治理机制进行探讨。

一、IT治理的内涵

IT治理是在IT应用过程中，为实现公司总体战略目标而制定的有关IT决策权分配和责任承担的框架，主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入5个关键的IT决策方面制定相关制度并建立有效的工作机制，实现IT决策的责任与权力有效分配与控制，提高IT资源的有效性、可用性和安全性。

五个关键IT决策的基本含义是：IT原则决策——阐述IT的商业作用；IT架构决策——定义集成和标准化的要求；IT基础设施决策——决定共享和可提供的服务；商业应用需求决策——确定购买或内部开发应用的商业需求；IT投资和优先权决策——选择资助哪一个立项以及投入多少资金。如何确定以上五个关键决策是一个与公司治理结构密切相关的问题，对公司的最高管理层至关重要。

二、证券行业推行IT治理的原因

（一）IT关系到证券市场运行的安全问题。

证券公司IT一旦出现故障，小而言之是影响一个公司的投资者，大而言之其影响范围几乎就是全国性的。尤其是在行情异常火爆的时候，如果因IT系统的处理能力不足导致堵单、交易中断甚至系统垮掉，会给证券公司带来致命性的灾难。如果IT系统故障影响了证券市场的正常运营，如“三方存管”系统的大型银行出现故障，将影响大半个市场的安全运行。此外，侵入IT系统盗取资料、修改交易数据、网上盗买盗卖等刑事安全事故也将危机证券市场运行的安全稳定。

（二）IT关系到证券市场运行的效率问题。

从证券市场发展的历史看，从人工白板交易到自动撮合，从纸质股票存托到电子存托的无纸化，从人工报单和有形席位到电脑自助下单、无形席位直至网上交易，无一不是依赖IT技术的进步。IT不仅为市场参与者提供了无比便捷的市场参与方式，更是极大提高了交易效率。比如，深交所1995年9月上线的内存撮合系统，把整个市场的交易处理效率提高了6倍，并大大提高了系统的响应速度和处理容量。

（三）IT关系到证券市场规范发展的问题。

证券柜台系统的不完善主要表现在三个方面：一是少数个人或法人利用柜台系统恶意窜改数据，甚至要求开发商开发专门的功能或模块以便于违规操作；二是缺乏可稽核历史数据的存储与管理，数据修改或删除无存证记录，数据恢复与核查的难度很大；三是IT人力资源管理不善，开发与管理人员频繁变动，导致系统运作混乱。这些问题极大助长了证券公司各类违法违规行为，最后导致相当大比例的证券公司走向被接管和倒闭的不归路。

近年来，证券行业IT应用取得的成绩是有目共睹的，但问题和不足也是不容回避的，一些事故更是为行业的决策者们鸣响了警钟，警示决策者们去探寻解决这些问题的根源和对策，寻找今后更好地驾驭IT的启示和经验教训。其实，证券公司IT在某些方面出现的“乱象”，已非IT本身的问题。在探究这些问题、破解其中的迷局时，除了寻找IT本身的原因之外，更需要探索发现更高、更深层次的东西，这就是关于IT决策方面的制度和责任承担机制，其中包含的关于IT的战略决策、资源调配和资金投入等需要高层决策考虑的重大问题正是IT治理所要探讨和解决的问题，实质上也是公司治理的问题。可以说，IT“乱象”背后的根源就是IT治理缺失。三、证券公司IT治理的目标

（一）保证信息系统与业务目标的一致性。IT治理应根据公司发展战略目标制定信息化战略，根据公司发展战略所需的信息和功能需求形成完善的IT治理框架，保证信息系统建设与运营跟上持续变化的业务目标。

（二）促进信息资源的整合和有效利用。针对信息系统资源分散、资源滥用、信息系统不能完美支持业务应用、信息系统性能瓶颈等问题，IT治理应对信息资源进行整合和有效管理，明确管理职责和资源使用权限，保证IT投资的回收。

（三）完善信息系统相关的风险管理。伴随着信息技术的快速发展，对新技术缺乏有效的管理、新技术可能不符合现有法律和监管要求等新风险不断涌现。IT治理应强调风险管理，通过制定信息资源的保护级别，对关键的信息技术资源实施有效监控和事故处理，实现公司内部业务流程中资源的有效利用，从而达到改善管理水平和效率的效果。

总之，证券公司IT治理的目标是推动管理层建立以公司发展战略为导向，促进业务与IT的整合，合理平衡公司发展与IT投入的关系，正确定位IT部门在公司的作用，针对不同业务发展要求整合信息资源，制定并执行推动公司发展的IT战略，有效控制风险，使信息系统始终成为公司各项业务发展的支撑和驱动平台。

四、建设与完善证券公司IT治理机制的有效措施

（一）提高IT治理意识。证券公司总是许多IT应用的最先使用者，其最高管理层（董事会）在树立IT战略地位的同时，应意识到建设完善IT治理机制的重要性，树立公司战略与IT战略的互动观念；准确定位IT的角色，从业务的角度制定信息技术指导原则。从公司的发展战略出发而不是从系统的需求出发，可以避免脱离目标而进行建设的困境；从业务的角度出发而不是从技术的角度出发，有利于充分利用公司的现有资源来满足关键需求。

（二）加强行业环境建设。缺乏优良的公司治理和IT治理机制是前些年许多证券公司无法抵御市场低靡和适应市场环境快速变化的重要原因之一。目前我国证券市场的监控机制不断健全，行业对证券公司治理结构中缺陷的关注程度逐步提高，证券公司的信息风险管理意识也逐步增强。在证券公司建设完善IT治理机制过程中，证券监管机构必须扮演一个重要的推动角色，通过上下协商、交互式地制定规则和标准，解决规则的充分合法性、可执行性问题，为证券公司建设完善IT治理提供一个具有约束力和指导性的外部环境。

（三）借鉴COBIT控制框架建立IT委员会。COBIT提供了一种国际通用的IT管理及问题解决方案，可以进行基于角色的IT管理、定义流程措施、改善IT服务质量、提高IT治理水平。借鉴COBIT框架建立治理机制委员会是IT治理中最重要的环节。IT委员会应由证券公司最高管理层（董事会）、管理执行层及IT管理和业务管理有关部门负责人、技术管理人员组成，定期召开会议，就公司战略与IT战略的互动与设置等议题进行讨论并做出决策，为公司IT管理提供导向与支持，把IT治理的相关规范融入到公司的内部控制中。

（四）利用ITSM规范IT管理流程。ITSM是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织IT服务提供和服务支持的能力及水平。利用ITSM对公司信息管理流程进行梳理，以书面文件的形式明确各个流程的环节、人员与职责，可以使信息系统控制得以有效实施，最大限度地降低管理风险。

（五）对信息系统进行独立审计。信息系统独立审计是一个获取并评价证据的过程。它综合运用信息技术与审计理论及方法，可以判断信息系统是否能够保证公司信息资产安全、数据完整，是否能够有效利用公司的资源并有效实现公司目标，为信息的使用者提供合理的保证。