银行业 IT 治理最佳实践
第4页
本实践通过研究中国建设银行的 IT 治理经验,总结在 IT 组织、IT 制度、业务架构、IT 架构及科
技内控等方面的良好实践,提供企业解决上述 IT 治理问题的有效方法和措施。
在 IT 组织方面,构建一个良好的企业 IT 组织体系。在决策层面,明确董事会、监事会、高级管
理层以及下设委员会在确定 IT 战略与方向中的职责;在执行层面,明确 IT 部门、业务部门和分支机
构在具体落实企业 IT 决策过程中的职责,以及企业 IT 风险三道防线的构成和工作机制;组建专业化
团队实现 IT 相关的治理活动;建立培训知识体系和教育机制,持续提升员工信息安全与风险防范意识。
在 IT 制度方面,以 COBIT 5 为指导建立贯穿 IT 活动全生命周期的 IT 制度框架;明确 IT 制度层
级划分原则、各层级所包含的制度体例和适用范围、制度制定流程中的重要控制环节和控制要点;
运用 IT 监管库、业界标准库、IT 制度库等持续优化 IT 制度。
在业务架构方面,遵循业务统一视图、标准化、模型化等原则,通过企业级业务建模方法,承
接企业战略和发展规划,从企业级视角构建端到端流程模型,自顶向下进行设计,形成企业级业务
架构。
在 IT 架构方面,遵循面向服务的原则构建企业级 IT 架构。运用结构化和非结构化数据建模方法,
建立企业级数据统一视图;遵循层次化、组件化理念,搭建典型的七层十二个平台的企业级应用架构;
设计支撑数据和应用的技术架构,创建灵活、松耦合的基础技术平台和组件;提出“安全即服务”理念,
建设由服务接入层、应用安全服务层、基础设施安全服务层和安全策略管理中心构成的安全架构,
提供集中、统一、灵活、智能的信息安全服务。
在科技内控方面,建立完善的监管合规体系。传导跟踪监管要求,提升企业执行监管要求的水
平和学习业界标准的能力;落实 IT 检查监督,明确 IT 检查内容、范围、计划和实施等要素;建立 IT
考核和操作水平管理机制,客观评价企业 IT 管理工作;开展 IT 审计检查问题的跟踪,运用 IT 审计检
查库,强化风险管控。
第 2 章 IT 组织
一个良好的 IT 组织需要考虑组织的构成和各方的利益、职责、权限及汇报路径,应与企业整体
发展目标保持一致。在支持企业实现业务目标的前提下,通过优化资源、优化风险、实现收益进而
创造价值,实现 IT 目标,并监控 IT 方向与目标的绩效与合规性。因此,企业 IT 组织体系的合理与否
将直接影响企业 IT 战略的实施,影响到整个企业业务发展战略的实现。
随着企业信息技术的广泛应用,IT 与业务的关系越来越紧密,IT 工作不仅与 IT 部门相关,与企
业内各个部门都有关联。在构建企业 IT 组织时,通常会面临以下问题:
> IT 组织体系怎样更有效?
> 如何设立 IT 组织的汇报路径?
> 如何在企业内部构建 IT 风险防线?如何清晰定义各道防线之间的职责界线?