信息科技治理是企业公司治理的重要组成部分,企业信息科技治理结构和组织建设的成功与否是企业信息化成功的基础之一,它将深刻影响企业未来科技和业务的发展方向和发展速度。良好的信息科技治理,可以帮助企业健全信息科技治理组织架构和技术架构,明确决策和管理职责,优化资源配置,有效控制信息科技风险,确保信息科技战略与业务发展目标相适应,增强企业核心竞争力和可持续发展能力。如果对于信息科技治理重视不足,往往会面临信息技术不能有效支持业务发展或者支持不到位,IT资源无法成为企业的有效战略资产,信息科技风险不能得到有效控制等问题。信息科技治理,是企业信息化建设发展到一定阶段的客观要求,也是企业信息化建设持续健康发展的根本保障。
华夏银行积极发挥IT治理作为IT能力提升“发动机”和科技创新“引擎”作用,通过治理,促进了业务和科技的深度融合,有力推进了信息化建设。全行信息科技逐步形成了一整套支持业务发展的技术基础架构和一整套科学的技术管理体系,构建了较为完备的创新研发和安全生产管理机制,信息系统运行平稳,打造了一体化运维、第二银行等多个科技创新亮点,有力支撑了业务发展。
一、加强顶层设计,提升信息科技治理现代化水平
华夏银行按照《中国银行业信息科技“十二五”发展规划》和本行业务发展战略规划,制定了信息科技战略规划。按照“稳中求进”的工作总要求,遵循科技工作“以保障安全运营为基础,以服务业务发展为目标”的原则,紧紧围绕实施“中小企业金融服务商”战略,打造“华夏服务”品牌,建设具有鲜明品牌特色的现代化商业银行,不断提高科技创新与信息应用水平,为提升客户服务能力、产品创新能力和精细化管理水平提供有效的技术支撑和保障。经过多年不懈努力与积极探索,走出了一条“开发与运维并重、创新与风控并重、技术与管理并重”的可持续的信息科技发展之路。
华夏银行IT治理体系以信息科技管理委员会为核心,以首席信息官制度为重点,构建了由总行信息技术部、科技开发中心、数据中心组成的“一部两中心”组织架构。总行信息科技管理委员会下设信息科技项目审定委员会,发挥项目全过程管理作用,科学统筹项目资金,优先实施国家主管、监管部门要求和安全生产、市场营销急需的信息科技项目,实现资源最优配置。同时,各分行设立信息技术部,负责本行辖内信息科技管理、运维和服务工作。
华夏银行较早设立了首席信息官,负责组织制定和实施全行信息科技战略规划和年度工作计划,组织建立健全信息科技工作制度、流程,推动信息科技人才队伍建设,组织构建全行层面的应用、数据和技术架构,参与业务战略规划等重大经营管理活动,参与和信息科技运用有关的业务发展决策,协助对信息科技重大事务进行决策。
按照“合规为先、流程简洁、风险可控”的原则,建立了较为完善的信息科技制度和标准体系。按照监管指引等文件要求,制定了信息科技治理、建设、运维、风险和安全、综合管理等5大类共40项科技管理制度,通过一整套完备的管理办法、实施细则和操作规程,明确了信息科技开发建设、运营管理等关键领域全生命周期管理过程,并形成了常态化的制度后评价机制,全行信息科技管理基础进一步夯实。积极推进国家标准和行业标准的采标论证工作,初步建成涵盖42项企业标准、38项国家和行业标准的信息技术标准体系,产品研发、技术应用、信息化建设的规范化、标准化工作初见成效。
二、完善流程和机制建设,提升信息科技管理规范化水平
加强科技与业务部门的沟通与合作,发挥业务部门作为需求牵头部门的主导作用,建立了端到端的项目管理全流程。在项目计划编制环节,由业务部门提出信息科技项目需求,信息科技部门组织初步论证项目可行性,汇总编制年度项目需求计划,并提交信息科技项目审定委员会审议。在项目立项环节,业务部门牵头组织开展项目可行性分析、工作量评估、需求评审和技术方案评审等工作,并提交信息科技项目审定委员会审批立项。在开发环节,业务和科技部门共同对功能规格说明进行确认,作为设计、编码及测试工作的依据。在测试环节,由科技部门统一组织,业务部门负责用户验收测试,测试通过后由业务部门出具测试报告。在项目投产环节,业务和科技部门共同组织风险评估,针对发现的风险点落实应对措施,确保投产后的安全稳定运行。需求投产并稳定运行后,业务部门牵头,科技部门配合共同完成项目的验收和后评价,实现了端到端的项目全流程管理。
开展基于ITIL标准的科技运维体系建设,规范了事件、问题、变更、配置、发布、服务请求、能力建设、服务连续性等关键运维流程。明确了系统上线变更评审、投产排期机制和实施操作规范;明确了生产事件的处置流程和分析要求;明确了生产问题的整改和跟踪督导机制;明确了科技、业务共同参与的系统容量及运行风险的评估机制。加强业务、服务和资源能力建设,优化IT资源配置,提升IT服务效率,满足不断增长的业务需求。制定并维护IT服务连续性计划,确保技术和管理资源充足,有效支持整体业务连续运营。通过一体化运维管理体系建设和落地,有效控制了技术和操作风险、提升了事件处置效率、确保了生产问题能及时处理和有效跟踪、加强了生产隐患和运行风险的提前预判,全面推动了全行科技运维规范化和科技运维质量的提升。
完善架构管理体系,加大架构管控力度。建立了多层次的信息技术架构评审工作机制,在架构的规划、设计、实施等环节,对涉及全行性总体架构的论证、重大项目技术方案及信息技术标准规范等内容进行审议,推动全行信息系统需求整合,确保系统建设符合整体架构规划和业务需求。实施数据治理,建立了企业级数据模型,完善数据质量管理机制,提升数据管理和数据运用综合水平。加强技术架构规划和管控,以“小核心、双前置、大外围”技术架构为基础,通过负载均衡、应用集群、数据库集群和虚拟化等技术,全面推进核心、综合前置、网银等重要信息系统的高可用性改造,实施“全方位、立体化、自动化”的系统限流措施,有效防范单一系统异常造成大范围交易阻塞风险。建立了能够灵活支持业务创新发展的层次化、平台化和标准化的技术架构体系,促进系统架构把控程度和安全运行水平不断提升。
进一步有效发挥信息科技部门、信息科技风险管理部门、信息科技审计部门为主体的“三道防线”作用。实施关键系统风险总包责任制,对信息科技的关键流程、关键环节和重要信息系统等进行风险梳理,按照“谁主管、谁负责,谁运行、谁负责,谁使用、谁负责”的原则,落实总包责任人。研究确定业务创新、技术升级、风险管控三个方面的重点工作,明确工作目标、责任范围、措施计划和完成时限,由责任人与首席信息官签订工作责任状,确保按计划完成,同时对各分行提出要求,由分管信息科技的副行长与首席信息官签订工作责任状。制定信息科技风险监测指标和全年信息科技审计工作计划,持续开展信息科技风险监测、分析和专项审计。
信息科技部门、业务部门、分支行、第三方合作单位共同参与,建立了“周、月、季”多层次应急演练体系。采取不公开演练场景、不提前通知的方式开展演练,充分体现“生产环境真实演练、技术场景随机抽取、业务技术紧密联动、应急预案贴近实战”的应急演练特点,切实提升了各部门之间、总分行之间、行内外之间的协调沟通和分级处置能力。
三、激励与约束相结合,提升绩效管理精细化水平
建立了完整的信息科技工作过程评价指标体系,并将信息科技100余项年度重点工作分解,落实到具体单位和责任人,采用项目管理的方式,定期追踪、督导、评价,将阶段性工作完成情况与绩效管理目标挂钩,确保各项工作有序推进。
在“主动服务”方面下功夫,开展服务水平管理。总行信息技术部、科技开发中心和各分行信息技术部作为信息技术服务提供方,主动与总分行各业务部门签订服务级别协议,从服务内容、服务标准、服务方式、服务约束等方面制定明确标准和要求,促进信息科技更好的为总分行提供更好的信息技术支撑和保障。通过签署服务级别协议,使得总分行业务部门更好地了解信息技术服务内容,促进信息科技部门进一步规范各项信息技术服务流程,明确信息技术服务目标,为业务部门提供更加安全稳定、高效快捷的信息技术服务。
设立“科技进步奖”,充分调动科技人员的积极性和主动性。为进一步推动科技创新发展,确保系统安全稳定运行,设立了“安全生产先进个人奖”、“安全生产先进集体奖”、“科技创新开发项目奖”和“重大工程实施奖”等多个覆盖个人、分行、项目、工程的“科技进步奖”奖项,有效推动全行科技工作在IT治理、技术架构、风险掌控、管理创新等方面得到显著提升。
建立了分行科技评价体系,明确了分行科技评价的指标构成、评价数据的采集与发布、评价过程的沟通与确认、评价结果运用等评价管理机制。每年从系统运维、开发管理、信息安全、应急管理、商务外包、基础设施等9大领域对分行进行检查评价,通过下达整改建议书、组织合规讲座、召开经验交流会、搭建合规学习平台等多种方式,使总行能够更加及时、客观、真实地了解分行科技管理的情况,促进分行信息科技管理水平和风险防控能力不断提升。
开展对主要外包服务商的合同履约分级评价,加大合同履约管控及违约处置,促使外包服务水平不断提升。针对重要外包项目,从制度执行、服务提供商管理等方面开展风险排查,并向监管部门报告。定期对外包商进行过程考核评价和服务期结束后评价,补充完善外包商信息库,细化外包商信息库版本控制方法和黑名单解禁流程。
四、华夏银行IT治理成效
(一)安全运营水平提升
通过对组织架构、流程和系统的持续优化整合,构建了规范高效的一体化运维管理体系。运用大数据理念,建设了一体化运维监控平台,实现了全行生产系统操作系统、数据库和中间件、网络设备、通讯线路的集中监控,以及核心等重要信息系统的应用交易监控。通过IT运维流程管理系统,实现了ITIL、ISO 20000标准的运维管理流程落地;建立IT服务台,形成事件受理、处置、跟踪、分析的良性管理机制,建立关键系统健康档案,掌握系统运行规律。建立综合性运行风险预警系统、应急指挥平台和灾备“一键式”切换平台。信息系统流程化、标准化、规范化、自动化管理水平不断提高,保障了全行信息系统的安全稳定运行,2014年重要信息系统整体可用率达99.9984%。
(二)业务支撑能力提升
领先同业引进具备现代管理理念的核心业务处理系统,进行流程再造,促进技术与业务的深度融合。2011年底华夏银行核心系统完成全行推广上线,实现了全行系统和数据的大集中,并且引入了“产品工厂”概念,为作业中心集中奠定了基础。较好地保持了核心系统参数化配置灵活的优越性,应对利率市场化,提升了灵活适应市场需求的能力。同时,建成了业务处理、渠道接入、决策支持与管理等5大应用系统群,共计150余套信息系统,形成了集约化、现代化的金融科技服务平台,有力保障了各项业务迅速发展。近年来,华夏银行自主研发的25个系统获得《计算机软件著作权登记证书》,9个系统申报了发明专利。
(三)科技创新能力提升
应对互联网金融挑战,通过建立灵活的科技项目建设与管理机制,着力打造“第二银行”。推进“三个专属”建设,加强适应互联网发展特点的电子银行专属产品研发,建立以客户为中心的电子银行专属渠道,培养和配备电子银行专属队伍。相继推出手机银行、微信银行、PAD银行和智慧网银,实现客户服务的智能化、个性化,多渠道服务的一体化,提升客户体验。在打造“第二银行”的过程中,我行重点提出了打造“智慧网银”的建设理念,上线了一系列智慧网银服务功能,客户通过“智慧搜索”可以越过菜单层级直接快速搜索到最底层交易菜单;通过“智慧匹配”自动为客户匹配收款人信息,缩短客户查找时间;通过“智慧提醒”对客户重要交易信息进行短信提醒,帮助客户防范风险。领先同业推出“智慧导航”服务,客户可通过与语音导航对话,快速定位交易节点。此外,我行还独家引入了界面显示比例对不同显示器的自适应性技术、针对老年用户的文字放大专用屏无障碍服务和电子地图等先进功能。同时,积极探索“平台金融”业务模式,通过我行支付融资系统与平台客户的销售系统、ERP系统、供货管理系统直接对接,有效整合客户的信息流、物流、资金流,提升小企业融资效率,缓解小企业融资困难。目前,我行平台金融已与300余个平台客户对接,涉及钢铁、建筑材料、教育培训、医药连锁、酒店旅游等30余类主要行业,12,000余个平台体系内的小企业客户从中享受到便捷、高效的金融服务。
(四)业务连续性管理水平提升
风险管理部门充分发挥“第二道防线”作用,牵头组织,通过深化业务技术部门联动、总分协同、行内外协作的长效机制,形成业务连续性管理工作合力。成立了由高级管理层和相关部门负责人组成的业务连续性管理委员会,统筹协调、落实业务连续性管理各项工作。制定《华夏银行业务连续性总体应急预案》,强化业务、信息科技和保障三种类型应急预案之间的相互衔接。开展全面业务影响分析,从经济损失、流动性影响等方面对全行300多项业务逐一进行业务运营中断影响分析,确定全行重要业务和支撑信息系统。在制定全行业务连续性计划基础上,组织总行部门和各分行编写本条线和分行业务连续性计划,形成了多层级、多维度的业务连续性计划管理体系。