IT治理纳入证券期货经营机构公司治理范畴

2010-12-21 09:43:40 来源：sina抢沙发

2010-12-21 09:43:40 来源：sina

摘要：深圳证券交易所副总经理、中国证券业协会信息技术委员会主任戴文华认为，《指引》是解决证券期货行业信息技术(简称IT)系统水平提升的基础性建设，其有效贯彻实施对证券期货行业发布
关键词： IT治理

　　深交所：

确保信息系统安全高效稳定运行

深圳证券交易所副总经理、中国证券业协会信息技术委员会主任戴文华认为，《指引》是解决证券期货行业信息技术(简称IT)系统水平提升的基础性建设，其有效贯彻实施对证券期货行业发布实施对证券期货市场发展既有现实意义和长远意义。

戴文华表示，《指引》将在如下三方面对行业发挥指导作用：一是在行业机构中倡导IT治理理念，使IT治理被纳入公司治理范畴，提升机构驾驭IT的能力，保障行业的信息系统安全运行；二是明确IT治理的主要内容，为机构的IT治理实践提供具体的指导，如其中对IT治理组织、岗位和机制建设的指导性条款；三是提出了确保行业信息系统安全运行的一些基本指标和要求，如第三十五条对资金投入和第四十一条对人力资源投入方面的具体要求。

“IT治理是公司治理的重要组成部分，有效的IT治理可以持续巩固和提升IT能力，合理利用IT资源，确保IT对各项商业目标的支持，使IT与业务目标保持一致，实现IT投资利益的最大化，正确地控制和把握与IT相关的风险和机会，增强公司的核心竞争力。”戴文华表示，对于证券期货行业，有效的IT治理可以为信息系统的建设和运行安全、高效、稳定提供保障。

戴文华认为，《指引》发布实施，是行业基础性建设的一个重要方面，相信随着IT指引的贯彻和落实，行业IT治理水平一定会迈向一个新的台阶。两协会IT委员会将与全行业IT从业人员一道，认真学习IT治理指引，充分认识IT治理在公司治理中的重要作用和意义，建立健全有效的IT治理机制；促进业内各机构制定和完善公开、可行的IT治理工作方案和IT治理流程，明确IT治理目标，实现IT决策权力和责任明确，技术和业务有效匹配，IT资源的最优配置，IT风险的可管可控，确保信息系统的建设和运行安全、高效、稳定。

华夏基金：

积极实践IT治理指引

华夏基金管理公司信息技术部总监刘乃若表示，IT治理工作指引的制订，是IT从业人员翘首以盼的大事。IT治理指引对更好的开展IT工作，为IT从业人员的职业定位，第一提供了清晰的战略和措施指导。

刘乃若认为，对于基金管理公司来说，IT治理重要的是提高公司对IT治理的认识，积极贯彻IT治理指引。

IT治理要领会并落实三个内容：公司的管理思想和发展战略；公司业务的内容和实质，并获得严格而精确的处理流程；快速的有技术预见的系统实现。

IT治理首先提供了确保实现这些目标的组织框架，不仅定义了IT治理委员会的职责，也清晰定义了IT总监的职责以及与IT委员会的关系。在具体的管理上，明确提出的IT直接责任人是公司高管，并把IT上升为公司管理的具体内容。这些内容，为IT人员很好的工作，提供了可靠的组织支持。

刘乃若指出，对应协会新发布的IT治理指引，公司应建立技术部门和业务部门之间有效的沟通协调机制，制定IT应用需求、立项决策、系统建设、系统验收和上线运行等完整的制度与工作流程，通过IT应用实现公司的经营目标。

在IT人员与指引的落实方面，刘乃若认为，IT治理是一个长期的艰巨的任务，指引的落实更要靠IT人员的推动和刻苦工作。因此积极贯彻指引是提高IT水平的基础性工作。

治理指引的推出，并不是一个终点，更多的是IT工作的一个新的起点，新的任务，它给我们带来的不仅是工作的指导，更是对IT工作的进一步思考和提升。

IT治理指引拓展了IT人的发展空间，IT人的奋斗目标不仅仅是一个CIO，更重要的是可以去争取更加高的职业价值。

联合证券：

证券公司做大作强的重要保证

“信息技术治理是证券公司做大作强的重要保证，信息技术治理是公司合规经营与风险管理的迫切要求。”联合证券副总经理朱永强表示。

朱永强指出，信息技术为证券公司的经营和证券市场的发展做出了巨大贡献，但随着证券市场向纵深发展，一些问题也逐渐显现出来：一是技术与业务的契合；二是信息技术规划；三是信息系统项目建设与运维管理；四是信息技术决策论证机制的建设；五是证券行业信息技术人才发展。上述问题已严重制约了证券公司的安全稳定生产和进一步发展，因此信息技术治理势在必行。

据朱永强介绍，证券业务的集中度近年来一直呈上升趋势，集约化、规模化是证券行业发展的趋势。在过去的几年里，随着证券公司集中交易普遍实施，证券公司的业务重心完成了从分散营业部各自为战的模式，转变为集约式统筹经营模式。在未来行业的兼并重组趋势下，竞争会更加激烈，证券公司的数量会减少，而规模会更大。

因此，朱永强认为，证券公司要做大做强，必须走规模经济的道路，而规模化经营要求标准化、工业化、流程化和体系化，实现规模化最重要的手段就是信息技术。

实际上，各证券公司已开始逐步建立统一的后台支持体系、营销体系和客户服务体系，同时信息技术还是证券公司创新的重要手段。

证券行业的信息化正在进入以整合应用和加强IT运维服务管理为主要的阶段，信息技术成为证券公司发展的重要驱动力。

朱永强还表示，公司治理是一种对公司进行管理和控制的体系。它不仅规定了公司的各个参与者的责任和权利，而且明确了决策公司事务时所应遵循的规则和程序。公司的关键资产包括六块：人力资产、金融资产、实物资产、知识产权资产、信息资产和关系资产，公司依赖这些关键资产完成其战略计划并获得商业价值。从众多公司的调研数据可以看到，这六个关键资产的治理成熟度具有显著差别，其中信息资产的治理最为落后。

而信息技术治理的核心就是“组织性和系统性”。组织性指组织架构的设计、角色定位、权责划分和资源分配。系统性指配套的流程、规章制度、方法论和工具。证券行业大张旗鼓地开展信息技术治理是证券市场不断发展的必然产物，而信息技术治理的结果又将进一步推动证券市场的健康发展。

国泰君安：

加强公司发展战略与IT战略互动

国泰君安技术部总经理俞枫认为，当前IT 治理在证券业的信息化进程中已变得越来越重要。协会适时发布了IT治理指引，为行业IT工作奠定基础。IT治理是公司治理的组成部分，IT治理指引的实施有助于在证券业建立IT治理机制。

俞枫指出，在整个证券业处于高度信息化的背景下，IT治理已直接影响到行业各公司实现战略目标的可能性，良好的IT治理有助于增强公司灵活性和创新能力，规避IT风险。通过建立IT治理机制，可以帮助最高管理层发现信息技术本身的问题，帮助管理者处理IT问题，自我评估IT管理效果，可以加强对信息化工程的有效管理，保证信息化工程建设的质量和应用效果，使有限的投入取得更大的绩效。我国证券业信息化建设的纵深发展，必然要求在更深层面上解决体制和机制问题。

俞枫认为，建立IT 治理机制是一个动态的过程。IT治理是机制的集合，更是治理主体间互动的过程。治理不是一整套规则，也不是一种活动，而是一个过程。IT治理是企业与所有利益相关者的互动过程，其中包括在制订企业长远IT 发展战略决策上的互动。IT治理系统的目标是提供IT 决策机制的科学化、决策过程的协调交互性和决策结果的创新性。建立证券业IT治理机制，就要积极贯彻落实IT治理指引，加强公司发展战略与IT战略互动，建立健全IT治理委员会，推行信息系统审计，研究建立标准化的运行管理流程。

俞枫还表示，公司治理应包括IT治理，良好的IT治理能提高公司治理的水平。公司治理中的激励与约束机制，也应包括对IT相关人员的激励和约束；公司治理确定的企业竞争战略，也应包括IT的发展战略及与其他资产协同的机制；公司治理确定的风险控制和价值创造模式，也应包括对IT的业绩衡量和评价框架。IT治理是在公司治理整体框架下的一个组成部分，它不仅在协助企业业务开展和提高企业竞争力方面发挥重要作用，同时也通过提高公司的信息质量，加强公司治理环节的信息披露和内部控制，为企业的利益所有者(股东)提供更多信息，最终将提高整个公司的治理水平。缺乏IT治理的公司治理是不完整和不科学的。[page]
证券期货经营机构信息技术治理工作指引(试行)

第一章总则

第一条为加强证券期货经营机构信息技术管理与规范，完善各机构的治理结构，提高证券期货经营机构信息技术治理水平，保障信息系统安全运行，特制定本指引。

第二条信息技术治理(IT 治理)是指公司在运用信息技术(以下简称IT)过程中,制定的有关IT决策权分配和责任承担的框架，主要包括在IT原则、IT架构、IT基础设施、IT应用和IT投入5 个方面制定相关制度并建立有效的工作机制，实现IT决策的责任和权力的有效分配与控制，提高IT资源的有效性、可用性和安全性。

第三条 IT治理是公司治理的重要组成部分，IT能力是证券期货经营机构的核心竞争力之一，有效的IT治理可以持续巩固和提升IT能力。各证券期货经营机构应建立有效的IT治理机制，保持IT与业务目标一致，合理利用IT资源，有效管理IT风险，确保信息系统的建设和运行安全、高效、稳定。

第四条本指引适用于各证券期货经营机构，包括证券公司、基金管理公司和期货公司(以下简称公司)。全资子公司的IT治理工作可纳入母公司统筹实施。

第二章 IT原则和治理目标

第五条公司应制定明确的IT原则。IT原则是指公司为实现经营目标而运用IT的基本思路，对IT在公司运营中所起的作用和IT投入等主要方面做出明确的规定。

第六条公司应根据其经营规划制定IT治理目标，利用IT增强公司的核心竞争力,使公司从IT投入中获得更大收益。IT治理目标应包括：

(一)明确IT决策的权力和责任；

(二)实现技术和业务的有效匹配；

(三)实现IT资源的最优配置；

(四)实现IT风险的可管可控。

第七条公司应制定公开、可行的IT治理流程，建立公司业务与IT之间清晰的联系框架，采取有效措施，使公司管理层和各相关部门的人员了解并认同公司的IT原则和治理目标。

第八条公司应根据其发展需要制定IT规划。IT规划应与公司发展保持一致，符合公司经营对IT的要求，并使技术和业务部门能正确地理解和把握公司对IT的要求。

第九条公司在制定IT规划时，应征求相关业务部门、财务管理部门和内部控制部门的意见，并报公司管理层批准实施。

第十条 IT规划在有效性、可用性和安全性方面应满足行业和公司可预见的业务发展要求，在容量、性能和安全保障方面做出规定。

第三章 IT治理组织和工作机制

第十一条公司是IT系统建设、管理及安全运营的责任主体，公司应建立有效的IT治理组织和工作机制，实现IT决策的有效授权和控制，通过制定相关制度来建立IT的决

策、执行和监督的责任机制。

第十二条公司应在总公司、分支机构和全资子公司建立统一协调的IT治理机制，较低层级服从于较高层级。

第十三条公司总经理对IT治理的有效性及IT安全负有最终责任，公司应指定具有IT专业工作经验的高级管理人员作为公司IT治理的直接责任人，并设立IT总监或其它类似职位的IT专职负责人。

第十四条公司应设立IT治理委员会或类似机构，负责公司IT治理工作。IT治理委员会向公司管理层负责，公司管理层应为IT治理委员会履行职责和行使职权提供必要的

制度和机制保障。

第十五条 IT治理委员会应由公司IT治理直接责任人、

IT总监、IT部门负责人、相关业务负责人、财务负责人、内部控制负责人以及部分技术骨干等人员组成，其中IT人员的比例应在30%以上。公司可聘请外部专业人士担任委员

或顾问。

第十六条 IT治理委员会应建立明确的工作制度，应至少每季度召开一次例会或根据需要召开临时委员会会议。

第十七条 IT治理委员会应履行以下职责：

(一)拟订公司IT治理目标和IT治理工作计划;

(二)审议公司IT发展规划；

(三)审议公司年度IT工作计划和IT预算；

(四)审议公司重大IT项目立项、投入和优先级；

(五)审议公司IT管理制度和重要流程；

(六)制订与IT治理相关的培训和教育工作计划；

(七)检查所拟订和审议事项的落实和执行情况；

(八)组织评估公司IT重大事项并提出处置意见；

(九)向公司管理层报告IT治理状况。

第十八条 IT总监的职责包括但不限于：

(一)组织拟定公司中长期IT发展规划；

(二)组织拟定公司年度IT工作计划及预算；

(三)组织拟定公司信息系统安全目标、策略、方针及实施计划；

(四)组织对公司IT的风险进行评估及控制；

(五)组织并协调公司信息化建设工作；

(六)组织拟定IT管理制度、IT建设标准；

(七)组织落实IT治理委员会所制定和审议的有关事项；

(八)向公司管理层和IT治理委员会报告IT重大事项，并对上报事项的真实性、准确性、完整性、及时性负责；

(九)对公司信息系统的安全管理体系的有效性负技术责任。

第十九条公司应建立对IT管理和IT运行维护的考核机制。

第四章 IT架构与IT基础设施

第二十条公司应根据IT原则和治理目标制定相应的IT架构，确定IT基础设施、IT应用系统的整体框架。

第二十一条公司IT架构应包括业务应用架构、系统平台架构、数据信息架构等，不同架构的范围和边界应明确定义。

第二十二条 IT架构应遵循全局、开放、共享的原则，通过数据、流程、技术的标准化和一体化工作，建立业务应用、系统平台、数据信息等完整、清晰的组织关系。

第二十三条 IT架构在保证数据和基础设施相对稳定的前提下，应具备良好的可扩展性和灵活性以支持不断变化的业务需求和应用。

第二十四条公司应定期或在有重大变化时对IT架构进行评估，保证IT架构的适应性和合理性。

第二十五条 IT基础设施应包括技术标准、基础组织、基础数据、基础软件、技术设备、通信网络、安全系统、机房物理环境等，其中每一项都包含一系列整合的服务。

第二十六条 IT基础设施建设应遵循可靠、安全、共享和可管理的原则，能为多种IT应用提供支持和服务，并根据成本效益与安全控制等要求确定IT资源的集中度。

第二十七条 IT基础设施应具有统一、安全、可靠、灵活、可扩展的特点，应科学地设计和管理IT基础设施的容量，以适应业务增长和创新的需要，有利于业务扩展和创新应用的快速、高效的实施和部署。公司应定期评估IT基础设施的容量和适应能力。

第五章 IT应用

第二十八条公司应建立技术部门和业务部门之间有效的沟通协调机制，制定IT应用贯穿需求分析、立项决策、系统建设、系统验收和上线运行等阶段完整的工作制度与工作流程，通过IT应用实现公司的经营目标。

第二十九条 IT应用需求应充分考虑业务与技术之间协同发展的互动关系。重大IT应用需求应由相应的使用部门或IT部门在需求调研的基础上提出，由内部控制部门、财务管理部门和IT部门会商后报公司IT治理委员会审议立项，由使用部门、运维部门和内部控制部门参与验收工作。

第三十条 IT应用建设应在确保安全的前提下平衡技术创新和IT架构完整性；IT应用应促进和改善IT架构，尽可能保证IT架构的完整性和稳定性。

第三十一条公司应为IT应用实现提供必需的财力和人力资源，并在制定工作计划时充分考虑软件开发、测试及部署实施所需要的时间周期。

第三十二条重要IT应用系统包括但不限于核心交易系统、结算系统、风险控制系统、财务系统、安全系统、灾难备份系统。

第三十三条公司重要IT应用系统和基础设施的建设、管理和运行维护应满足行业的有关规范并达到安全技术标准要求，没有行业规范和标准的应尽可能参照已有的国家或国际相关技术规范和标准。

第六章 IT投入

第三十四条公司在制定IT年度预算时应保障公司业务正常运转所需IT投入，并确定IT项目投入的优先顺序以及投入的金额。

第三十五条公司最近三个财政年度IT投入平均数额原则上应不少于最近三个财政年度平均净利润的6%或不少于最近三个财政年度平均营业收入的3%。

第三十六条 IT建设应有前瞻性，同时要避免盲目超前的IT规划带来过大的IT投入。公司应从财务风险、市场风险、组织风险和技术风险上对IT投入风险进行评估，并做出分析和权衡。

第三十七条公司应建立可量化的指标体系对IT投入进行管理，加强IT项目的成本核算。

第三十八条 IT投入应优先保证为投资者提供安全、可靠的交易服务。

第三十九条公司应将IT基础设施作为一种重要资产进行管理，并逐年对各项基础设施进行审慎投入。

第七章 IT人力资源

第四十条公司应设立IT部门具体负责IT系统的开发、运维和管理工作，公司分支机构应当设立相应的IT部门或岗位负责分支机构的IT工作。

第四十一条公司应根据实际情况配备足够的IT工作人员，并满足安全和岗位设置的有关要求。公司的IT工作人员总数原则上应不少于公司员工总人数的6%，并且期货公司IT工作人员总数应不少于3 人。

第四十二条公司应为IT部门提供足够的资金支持，为IT人员提供履行其岗位职责所需要的岗位技能培训及业务培训，制定合理的激励机制和奖惩措施。

第四十三条鼓励公司设立IT专业职级体系，建立公平、公开、公正的晋升机制，为IT人员提供相应的发展空间。

第四十四条公司宜配备适当IT研发人员增强公司重要IT应用系统的自主研发能力。

第八章 IT安全和风险控制

第四十五条公司应通过管理机制和技术手段确保公司的IT系统安全与信息安全，保障业务活动的连续性，保证重要信息的保密、完整及可用，确保信息内容符合法律法规的要求。

第四十六条公司的系统开发、系统运维管理、系统的合规检查原则上应实现相互分离。

第四十七条公司应建立有效的灾难备份系统和应急预案，明确应急预案的激活条件、紧急事件处理流程、报告流程、撤销流程、恢复流程以及人员责任等。灾难备份系统的各项技术指标应符合监管机构的要求。

第四十八条公司应充分重视客户资料等公司商业信息安全问题，制定相关制度、采取相应措施确保在开放的市场环境中公司的商业机密和投资者信息安全。

第四十九条公司应对全体员工开展必要的信息安全培训、教育和考核，对合作方服务人员提出明确的信息安全要求。公司与合作方签订合同应包含保密和诚信协议，明确各自承担的安全义务和责任，并要求合作方在提供产品或服务的同时承诺产品不存在恶意代码或未授权的连接功能(软件后门)，不提供违反法律法规的操作模块、功能和手段。

第五十条公司应规范IT外包服务管理，对重要的外包服务要明确服务商资质要求、服务等级、服务流程、责任义务和服务质量标准。

第五十一条公司应制定IT风险管理的策略和相关制度，对信息系统的合规性进行检查,对IT风险进行评估。

第五十二条公司应建立内部IT审计制度，至少每两年进行一次IT审计。建议对重要IT项目的建设和运行进行专项审计，鼓励公司聘请外部有资质的机构对公司进行IT审计和IT风险评估。

第九章附则

第五十三条本指引由中国证券业协会和中国期货业协会负责解释。

第五十四条本指引自发布之日起实施。

关于发布《证券期货经营机构信息技术治理

工作指引(试行)》的通知

各证券公司、基金管理公司、期货经纪公司：

为加强证券期货经营机构信息技术管理与规范，完善各机构的治理结构，提高证券期货经营机构信息技术(简称IT)治理水平，保障信息系统安全运行。中国证券业协会和中国期货业协会联合制定了《证券期货经营机构信息技术治理工作指引(试行)》，经向中国证监会备案后，予以发布。现就有关事项通知如下：

一、各证券期货经营机构应充分重视《指引》发布实施的重要性,认真学习掌握《指引》的指导精神和相关要求。

IT 治理是公司治理的重要组成部分，是证券期货行业信息系统的基础性建设，其主要目的是解决在高度信息化的时代，如何将企业的IT 资产转化为企业的重要战略资产，通过设计和实施IT 决策权系统，妥善处理好企业的IT 决策内容、IT 决策部门和责任人以及如何制定和监控这些IT 决策的问题。IT 能力是证券期货经营机构的核心竞争力之一，有效的IT 治理可以持续巩固和提升IT 能力。各证券期货经营机构应通过IT 治理工作，增强驾驭IT 的能力，合理利用IT 资源，有效管理IT 风险，确保信息系统的建设和运行安全、高效、稳定。

二、各证券期货经营机构应结合本单位的实际情况，制定落实《指引》的工作方案。按照《指引》的要求，建立并完善公司IT 治理组织、相关制度和工作机制，检查单位在IT 原则、IT 架构、IT 基础设施、IT 应用和IT 投入5 个方面的工作情况，查找问题和不足，并制定改进措施。通过落实《指引》工作，推进和加强信息技术管理与规范，切实提高信息技术建设和安全运维、管理水平。

三、各证券期货经营机构应及时向中国证券业协会、中国期货业协会反馈贯彻落实《指引》的实际工作情况、效果和存在的问题，以利于总结和交流行业学习贯彻情况，不断改进和提升IT 治理水平。

中国证券业协会

二OO八年九月三日

第三十五届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

责编：Lui

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。