《财务公司行业信息化发展最佳实践研究(1028).docx》由会员分享,可在线阅读,更多相关《财务公司行业信息化发展最佳实践研究(1028).docx(39页珍藏版)》请在三一办公上搜索。
1、财务公司行业信息化发展最佳实践研究第一章 课题综述一、 课题研究的背景在财务公司业务高速发展过程中,信息化建设起了重要支撑作用,随着财务公司业务经营的不断深化和客户服务要求的不断提高,对信息化建设提出了更高、更多的需求。近年来各财务公司根据所处行业及环境特点,走出一条符合自身发展规律的信息化之路,2010年财务公司协会信息技术委员会课题组完成了财务公司行业信息系统建设调研分析报告,对财务公司信息化建设和发展情况进行分析,根据报告调查分析结果,并以行业信息系统性质、信息化建设的规律特点、小型商业银行系统建设特点等为主要参考依据,初步归纳了财务公司行业信息化建设中需关注的以下问题,如:大多数财务公
2、司没有指定明确信息化发展建设规划,信息化没有为公司战略发展提供有效支撑;财务公司信息化管理组织结构需要明确,专业技术队伍力量需要不断加强,管理制度需要落实到位;部分财务公司机房灾备配套建设不足,数据备份没有形成机制,基础网络配套建设水平较弱;绝大多数财务公司信息系统应用水平需要不断提高,应用数据需要深入挖掘和利用等。在此基础上我们期望借鉴行业优秀财务公司的经验及发展模式,从财务公司自身发展角度来思考开展信息化建设的现实意义,总结符合财务公司行业特点的信息化实现模式,发现财务公司信息化建设的共性特点,探索一条适合于财务公司信息化发展最佳实践道路,从而借助信息化手段更好的推动财务公司发展。 二、
3、财务公司开展信息化建设的意义随着现代信息技术在我国财务公司的广泛应用,依托信息技术支撑财务公司业务发展并提升管理效率的理念已形成共识,信息技术推动财务公司的服务范围和服务内容不断扩大,改变了传统的业务经营模式,一些财务公司逐步完成新一代综合业务系统与数据集中以后,业务自动化处理程度与管理水平进一步提高,金融服务质量进一步改进。信息化综合应用水平的巨大进步,大大提高了财务公司行业的整体竞争能力和现代化水平,信息化在财务公司战略转型中的作用愈发明显,已成为支撑和促进财务公司行业稳定快速发展的重要基础保障,是财务公司核心力竞争力的构成要素之一。(一)信息技术是金融机构业务发展的核心竞争力信息技术应用
4、水平改变了财务公司支付与结算、资金融通与转移、投融资方式、风险管理、信息查询等财务公司基本功能的实现方式。信息化在财务公司实现为集团提供资金管理服务功能的过程中,能够起到固化业务流程、实现以客户为中心流程优化,同时也支撑了财务公司业务的创新,根据统计95%的金融创新实现都来自于信息技术。其中电子货币、网络货币等数字化货币的应用使得以支票和现金为主的支付结算、资金转移方式正在趋向快速化、个性化、无现金化的方式转化;在传统融资业务的基础上,电子票据、融资租赁、银团贷款、股权债权投资等业务需要信息化有效支撑;电话银行、网上银行、通信移动服务得到了广泛应用;实时在线的网络服务系统能为客户提供全时空、个
5、性化、安全快捷的金融服务。借助现代信息技术,从根本上重新思考并设计优化业务流程,变传统的“银行中心”为“客户至上”,从而推动财务公司在组织结构、分工格局、产品设计、激励机制、权力配置等方面变革,实现“银行再造”。随着数据的高度集中,也带来了海量客户信息的高度集中,特别是“以客户为中心”的指导思想下设计的核心业务系统和客户关系管理系统,可以提供并存储丰富的客户基本信息和原始交易信息,在此基础上应充分利用商业智能的技术挖掘客户资源,利用数据库营销和微观细分市场,就能对市场挖掘提供最直接的帮助。(二)信息技术是实现风险管控的有效手段财务公司风险主要包括政策风险、金融风险(市场风险)经营风险、,信息化
6、能够有效支撑风险管理过程,量化风险模型指标,度量风险偏好,为决策支持提供有力帮助。利用信息技术,一是可以在系统中固化业务流程和规则,并提供适当的参数化功能,从而提高业务流程的操作风险控制能力。二是提供专门的信用风险分析、额度管理功能,并将其与业务流程处理相结合,提供客户化的报表、分析工具,客户可以根据自身业务需求通过客户化的报表和分析工具监控风险。三是完整记录业务处理、决策的过程,便于事后分析和监督。四是提供符合监管要求的报表,提升合规性管理效率。五是提供风险监控和响应处理功能,可以根据设定的参数让系统自动监控部分风险,并进行预警。提升对信用风险控制的能力。(三)信息技术是提高客户服务能力的载
7、体为适应企业集团内部资金管理和财务管控的发展,财务公司需要利用信息技术实现客户服务能力的提升和转变。内部成员单位需要财务公司提供更有效的金融服务手段、更安全的结算支付保障、更及时的结算效率和更丰富的投融资产品。利用信息技术能够有效整合资源,使资金使用效果和收益最大化,结算和投融资的整合管理能够有效降低集团企业资金风险,统一的标准化服务能够提升内部服务水平。三、 课题研究的目标及内容结合财务公司信息化建设意义及现状的分析,本课题研究的目标是:通过分析财务公司行业信息化建设与管理过程中的共性特点,探索实现行业信息化最佳实践的模式,从信息化的战略规划体系、应用系统建设、基础建设、信息安全建设、信息科
8、技治理等方面,为财务公司信息化的发展提供参考和依据,使信息化成为推动财务公司战略发展的重要力量。第二章 财务公司信息化战略规划体系信息化战略规划的制定对于信息化建设的实施具有重要意义,它是信息化建设的起点。5信息化战略就是以企业发展战略为基础,针对企业发展战略中提出的使命、目标和任务要求,通过对公司各项业务经营需求与管理需求的功能分解,从中总结、梳理和优化业务流程,分析信息化的支持与促进作用,进而确定信息化建设的总体目标和框架,形成公司战略目标指导下的信息化建设内容。作为一般意义上的企业,财务公司的信息化战略规划显然应该遵循上述规划方法与步骤。但考虑到财务公司作为附属于企业集团的非银行金融机构
9、的独特性质,在财务公司的信息化战略规划中又应考虑到如下因素:“立足集团,服务产业”是财务公司的核心使命与存在价值,所以财务公司的信息化战略需要紧扣集团信息化规划发展主题;作为中国金融体系中日益重要的成员机构,财务公司的信息化规划需要紧密把握金融行业信息化发展方向;从业务准入到日常经营,财务公司都受到人民银行、中国银监会等多部门的严格监管,所以财务公司信息化规划要以相应的法律法规作为建设标准。一、 紧扣集团信息化规划发展主题(一)应用系统规划应切合集团资金管控发展趋势按照监管部门“以加强企业集团资金集中管理和提高企业集团资金使用效率为目的”的定义,资金集中管理已成为财务公司的核心职能。事实上,也
10、正是遵照这一要求,财务公司开展了资金归集、资金结算、信贷、票据等现金业务,财务公司信息系统也因此应运而生并在其中发挥了重要作用。但考察近年来方兴未艾的司库模式这一发展趋势,我们发现:集中的司库管理职能,是以资金的流动与管理为核心,实现集中的现金管理、风险管理与投融资管理职能(见下图)。财务公司业务目前主要集中于资金管理部分。即使在这一部分,由于要依托整个集团预算管理的实施水平,多数财务公司的资金计划/预测、流动性管理等仍很薄弱。这就要求财务公司在业务及信息化规划中,将未来集团财务管控的发展模式、财务公司可能承担的职能、集团ERP系统相关建设内容一并考虑,并在信息化规划中有所准备。集中的司库管理
11、职能框架(二)信息化规划要兼顾和集团信息系统的整合 多数企业集团已普遍建立了统一的财务系统、ERP系统、人力资源管理系统、OA系统、邮件系统等,并通过门户网站进行了统一的整合。在此背景下,财务公司是否还应建立自己的相应系统?如何处理好财务公司核心业务系统与上述系统的关系,将对财务公司内部业务的运行方式、运行效率产生重要影响;这就要求财务公司需要将“和集团整体信息系统的整合”问题纳入信息化规划的思考范畴。(三)信息化建设要充分利用集团信息化资源信息化建设本身就是一项复杂的系统工程,涉及到应用、存储、网络、安全、治理等方方面面;而财务公司的金融机构属性对数据安全及连续性运行的要求又极大地强化了这种
12、复杂性。相对于系统建设及运维的复杂性,财务公司信息化资金及人员方面普遍反映出投入不足的特点。由于这种矛盾,就要求财务公司在信息化规划和建设中应充分考虑如何最大程度地利用集团或外部的信息化力量。基础设施建设方面。企业集团普遍建立了高水平的数据中心以保障集团ERP系统的稳定运行,不管是机房建设规格、技术及安全体系,还是运维保障体系,一般都采用了业内的最高标准。财务公司如能充分利用集团公司信息化建设基础设施方面的良好平台,将能起到事半功倍的作用。技术队伍。相对于公司信息化建设中涉及到的各项专业技术而言,不管是从技术广度和技术深度上,财务公司的自身技术力量都仍很薄弱。这就决定了财务公司信息化保障工作仍
13、需要来自外部的强力支持。除依托于厂商外包等方式外,来自于集团公司技术队伍的支持也是一个重要选择。二、 紧密把握金融行业信息化发展方向正如中国人民银行参事、国家信息化专家咨询委员会委员陈静曾经指出的:“没有信息化,就没有金融的现代化”,信息化已经成为当代金融业发展的必由之路。在这个从传统到现代的转换过程中,现代金融业从组织结构、业务流程、业务开拓到客户服务等诸多方面,均日益显现出以知识和信息为基础的显著特征。(一)以金融业业务发展方向指引应用系统建设1、信息化应用全面提高客户服务效率目前,商业银行普遍建立了完善的电子银行体系,搭建了包括网上银行、电话银行、企业银行、自助银行、手机银行等多种形式的
14、业务应用平台;“在任何时间、任何地点,以任何方式为客户提供全功能、个性化、全天候的金融服务”使“以客户需求为中心的经营理念”不再是一句空话。在未来网点建设方面,招商银行提出了“凡是能够电子化解决的渠道都要电子化,凡是可以远程解决的绝不到柜台”的发展思路。网点电子化、服务渠道多元化已成为现代金融业的重要发展方向。成员单位是财务公司服务的对象,财务公司作为集团内部的结算中心、融资中心、投资中心,和成员单位的各项金融服务需要发生着千丝万缕的联系,成员单位的业务发展,对财务公司的工作提出了广泛、快捷、高效的服务要求。2、数据挖掘及分析技术助推企业经营发展在业务体系建设基础上,银行业金融机构已普遍开始采
15、用数据仓库、数据分析等技术,开展了客户定向营销和个性化营销服务上的大量创新和实践,以通过差异化服务创造竞争优势。客户关系管理系统已日渐成为金融业信息系统建设的重要组成部分,通过对客户信息的深度挖掘,信息系统已成为客户营销工作的重要基础。客户关系管理系统首先对客户进行分层,从最基本的客户属性分类,然后到客户行为,再到客户价值,再往上到客户的潜在需求与深层次的服务需求,最后到客户态度的分类及分析,营销部门量化地掌握了客户的活跃度、产品偏好、渠道偏好等衡量指标,为进一步降低成本、提升客户价值、制定差异化的市场策略和服务策略,奠定了科学基础。财务公司可以很好的借鉴和把握银行业发展方向,为企业集团深入开
16、展资金使用分析提供有力支撑,为企业经营发展提供数据支持。3、信息化创新引领金融业未来近年,互联网技术、虚拟现实技术、三维动画技术以及远程会话技术的迅猛发展,为金融业通过科技创新,提供与传统业务完全不同的业务模式与用户体验提供了现实基础。交通银将要推出3D网银就是其中的典型代表。3D网银实际上是在网上建立一个虚拟的银行环境,给客户提供与现实的网点可以相媲美的网络银行体验。在3D网银里面客户可以进行业务查询、转账、理财以及贵金属购买等等,客户在登录3D网银以后,可以创建个性化的虚拟人物,这些虚拟人物不仅可以跟交通银行专家在网上进行沟通,也可以与登录3D网银的其他客户进行虚拟的交流。我们完全有理由认
17、为,未来的信息化发展与科技创新将会引领金融业未来。(二)以金融业技术发展方向指引基础设施建设一家优秀的银行首先必须是一家安全的银行,一家安全的银行首先必须保障信息系统的安全,安全的观念已在金融业深入人心。1、高度重视业务连续运营:灾难备份成为信息化建设重点内容风险防范是金融企业面临的首要问题。国内外实践表明,信息技术的广泛、深入应用已成为金融机构进行风险管理强有力工具。但与此同时,某些金融机构、服务商等由于信息系统故障,导致业务异常中断,严重影响了银行等金融机构信誉。为此,进一步加强对信息技术风险的重视程度,进一步重视业务的连续性管理,切实采取措施防范技术风险,已在金融业信息化建设中获得高度共
18、识,其中,灾难备份成为信息化建设重点内容。2、完善外包管理:系统运行的重要保障信息技术业务外包是指金融业专注于自己的核心业务而把信息技术的相关业务承包给外部的信息技术服务商的做法。符合客户需求和管理模式的专业信息化外包服务,可以把金融机构从长远的固定信息化成本上解放出来,使金融机构聚焦于核心业务的创新;从信息化运营模式看,信息技术及服务外包一直是金融企业采用的重要方式之一。但是,由于金融业业务运行特点的特殊性和社会影响的广泛性,外包业务同时存在着极大的风险隐患。要保障外包业务的健康稳定运转,明确的外包管理制度、标准流程、完善的监督审计机制等,已成为金融业信息化风险管理的重要内容。(三)以金融业
19、监管发展方向指引信息化建设标准早在2006年,中国银监会刘明康主席就做过“构筑安全平台,维护金融稳定,全面推进信息科技风险监管工作”的专门讲话,显示出监管部门对信息化建设及其风险的高度重视。正如其指示中所说:“当前,银行业对信息科技的高度依赖,使得信息技术系统的安全性、可靠性和有效性直接关系到整个银行业的安全和金融体系的稳定。我们必须高度关注信息科技安全对银行业的影响,适时将信息科技风险监管列入重要工作范畴,认真进行研究和部署,居安思危,未雨绸缪。” 可以看出,监管层正在逐渐加大对金融机构信息化应用的监督、规划和指引力度,近年来的相关文件更是层出不穷,并且越来越细致具体。如央行编制的金融信息化
20、十二五规划、2010年4月银监会发布的商业银行数据中心监管指引、2009年12月保监会发布的保险公司信息化工作管理指引(试行)、正在审验的证券期货业信息系统备份能力标准等等,都将对金融业信息化发展具有指导意义。监管层对金融机构在信息化建设方面的日益重视除将起到重要指导作用外,也必将影响到金融行业信息化应用的方向。第三章 应用系统建设目前财务公司行业信息化建设模式大致分为3类,一是基于软件厂商的应用产品,结合自身集团资金管理模式和业务开展进行客户化开发;二是与银行合作,使用商业银行针对集团财资管理推出的产品;三是基于软件厂商的技术平台,根据自身的管理和业务特点自主开发应用系统。以上3种模式是财务
21、公司根据自身的规模、行业及业务需求、信息化力量而选择并形成了自身信息化建设的特点,得到很好的应用,对集团资金管理和业务支撑发挥了作用。一、 充分应用软件厂商的产品目前绝大多数财务公司使用软件厂商的应用产品,充分利用软件厂商带来的产品、咨询和运维服务。财务公司行业使用的产品主要集中在以下软件商如:软通动力、九恒星、中联、浪潮、用友等。由于财务公司依托于集团的资金管理和业务需求的不同,个性化开发量较大,使得目前软件商很难形成一套成型的标准产品。同时受制于财务公司自身信息化开发和运维力量,使得从产品、客户化开发、系统运维依赖于软件开发商。(1)财务公司目前使用的产品架构主要功能客户服务层:作为服务客
22、户的平台,财务公司通过这个平台为客户提供包括业务提交、查询打印、预算申报、预算控制等功能。客户还可以通过财企接口与网银互连,提高工作效率。业务运营层:是财务公司总部及分支机构的业务操作平台,包括财务公司提供的主要的业务,结算、存款、贷款、资金、证券及中间业务等。与商业银行、银监会、外管局等的数据接口也属于本层。业务管理层:是财务公司管理人员了解公司运营状况,进行管理层次的计划、分析、报表。主要的业务包括财务管理、预算、票据、风险、客户关系和稽核审计。决策支持层:作为公司高层进行公司整体的分析、决策工具。主要的包括风险、财务、和收益等方面的分析。报表工具和BI工具是本层的基础。(2)面临的问题及
23、建议目前软件商的产品能够满足财务公司业务和管理的基本需求,特别对于新成立的财务公司,能够在最短时间内搭建完成支撑业务开展的信息化平台,共享信息化软件带来的业务流程及管理的理念。对于已经使用并进行了多年客户化开发的财务公司,软件商提供的应用产品还存在以下问题:一是由于个性化的开发,使得产品的统一升级很困难,无法共享其他财务公司的好的做法。最终导致系统开发升级的成本不断增加。二是目前的软件商没有根据财务公司的共性业务和管理模式推出产品化、可配置的应用产品,产品升级服务不到位。三是目前的应用系统没有一个成熟、开放、完善的技术平台对财务公司的业务开展进行支撑,增加了系统开发及维护的成本。四是存在单一软
24、件提供商和运维商的风险。针对以上问题,有些软件商和财务公司已经在开始合作进行系统的升级换代,采用的方式有如下几点:一是在现有系统架构下,根据管理和业务发展需要进行功能的扩充,但并没有从技术架构的安全、效率、开放性进行统一规划。二是通过引入成熟的技术开发和运行平台,规范各开发商的软件开发标准。使各个系统能有效沟通、数据交互,提高运行效率,使在一个平台上引入不同软件商的产品成为可能。但带来了新、旧平台系统的迁移和开发风险,要充分考虑新平台引入后,在安全稳定运行的前提下,老系统迁移的风险。目前经多家财务公司认可并提出的全方位的信息系统规划架构: 未来在业务架构方面,应该坚持以客户为中心、产品为主题、
25、核算为基础,是一个高度整合的综合业务体系。形成以运营平台、渠道服务平台、基础平台、接口平台、决策支持平台和风险与合规管理平台等六大部分组成的业务应用系统。二、 利用商业银行的信息技术资源商业银行利用其在金融业务知识和信息技术平台的优势推出了针对财务公司的信息系统。招商银行的“集团财资管理平台”是针对集团财务公司资金管理设计的应用平台,在TCL财务公司、中远财务公司、兵器装备财务公司、天津渤海财务公司等得到较好的应用。招商银行凭借其先进的网银平台和实力雄厚的信息化队伍,为企业财务公司量身定做资金管理平台。其优势一是拥有了解金融业务、实力雄厚的信息化队伍,二是系统的安全性高,完全按照商业银行的安全
26、级别。三是系统及维护完全托管在招行机房,并拥有招行提供的灾备系统,短期投入成本较低。四是对财务公司的信息技术力量要求较低。此模式也存在着一些缺点,一是客户的资金数据信息安全。二是无法满足业务复杂度高、个性化强,集团资金管控要求高的财务公司。三是不能及时响应用户的管理及业务需求变化。四是资金支付的渠道受限制。此模式较适合于新成立的或规模较小、业务开展不复杂的财务公司,能较快的依托于商业银行的技术力量和资源,快速的开展业务。 招商银行“集团财资管理平台”架构 交通银行联合中联公司推出的信息化平台三、 自主研发具有自身特色的应用系统近几年来,随着应用系统开发技术平台的不断成熟和推出,使得具有一定研发
27、和运维技术力量的集团和财务公司开始走向自主研发应用系统的道路。其中多数为已有多年应用系统使用经验和想法的财务公司,随着集团的不断扩张和对资金管理力度的加强,由于需求的前瞻性和先进性,软件厂商已无法及时满足财务公司在管理和业务发展上的需要,一部分集团和财务公司已不满足于软件厂商提供的应用软件,提出开发和运维“主业化”。相继成立了自身的信息化开发、运维队伍,如中国电力财务公司、中油财务公司。中国电力财务公司在2008年进行了整体技术架构的规划和升级,目前其新系统的运行平台为ORACLE的ESB (ESB全称为Enterprise Service Bus,即企业服务总线),ESB运行平台为接纳各个平
28、台开发的软件提供了技术可行,借此统一了各个系统开发标准,实现了不同服务之间的通信和整合,大大提高了各系统的沟通和数据交互的效率。中油财务公司自2009年开始进行整个集团司库的研究和系统搭建。重新梳理和构建了基于司库管理理念的系统应用架构和技术架构,司库管理的引入对财务公司应用系统结算账户管理及架构带来比较大的改变,配合此自上而下的管理要求,重新梳理组织结构、业务系统、业务流程、管理控制、管理制度、合理衡量,从业务、数据、应用系统和基础架构四个纬度分析和搭建一个安全、可靠并且具有易用性和可扩展性的系统。四、 应用系统实践的特点和建议(一)充分重视信息化建设过程中不断暴露出的问题通过了解并总结目前
29、财务公司信息化实践的现状,随着业务开展的深入和管理规格的提升,财务公司在信息化建设中也暴露出一些普遍存在的问题:1、系统建设在管理上缺乏明确的长期规划,在技术上缺乏统一的基础平台建设,不利于系统的集成、升级以及扩展后的稳定运行。现有应用系统建设完全由业务部门驱动,为满足业务的不断发展,需要对系统进行持续改造优化,而这种改造和优化只是基于系统功能上的,当系统基础平台无法承担庞大甚至臃肿的业务功能时,整个系统实际就处于一种高风险的运行状态。目前财务公司在进行业务系统建设的时候,普遍存在对基础平台建设关注不足,对系统的稳定运行以及长期发展支持不足等弊端。2、 系统的扩展性需要加强,系统的灵活性、可配
30、置性不足。在业务需求快速变化、要求不断升级的冲击下,遇到了诸如系统可配置程度低,灵活性不足,新型业务二次开发迟缓等方面的困难,当增加新业务类型时,即使两个功能比较类似也很难在原有功能基础上配置完成。当财务公司增加新业务时,除非该业务跟之前的所有业务有根本性的差异,否则,都应可以通过适量的配置完成。信息系统可以灵活配置,可以快速满足业务创新需求,甚至可以引导业务创新。3、 决策分析和风险控制等管理需求支持不足业务部门数据之间存在孤立情况,业务部门及领导所掌握的信息不全面,展现形式不够直观明确,大量的历史数据没有很好的得以利用,对管理的决策支持不足。应用系统目前主要以业务处理为核心,缺少决策分析和
31、风险控制模块,无论是从信息量,还是信息的组织、展现方式等方面,都存在很大的提升空间。财务公司应利用已经积累多年的业务数据,形成研究决策指标体系,更好的支持管理层的决策并且对金融风险进行全面的预警和控制,同时为客户与集团领导提供针对性更强,更具价值的金融服务。(4 ) 与外联系统的接口需要统一规划随着整个行业信息化建设的不断提升,不同企业或机构的信息系统之间对数据传递提出了更高的要求,而且,随着时间的推移,这种需求将越来越多、越来越苛刻。财务公司在系统建设之初,普遍没能够在与外联系统的接口方面进行统一的、具有前瞻性的规划,随着接口日益复杂、数据传递的多样性、数据传递的及时性等方面要求的逐步提高,
32、财务公司核心业务系统在安全性与稳定性方面必然会存在较大隐患。(二)探索应用系统最佳实践的特点财务公司目前信息化建设的模式和成功得以应用是有其必然的内在因素,集团公司不同的资金管理模式、不同的规模、业务特点和复杂度的不同直接导致了不同的建设模式,适合自己的才是最好的。但什么样的系统,才是真正适合自己的?想要将系统尽可能的做到适合财务公司的当前与未来的业务发展,又需要哪些必备条件呢?综合以上模式,探索应用系统的最佳模式,应该具有以下特点:l 具有指导性、可操作性的系统建设规划建议在系统建设初期,应该首先对财务公司本身的管理和业务发展进行科学、客观的规划,只有在财务公司出台业务管理和发展规划的基础上
33、,辅助管理和业务的系统建设才能做出与之相匹配的解决方案。避免出现系统刚上线即无法满足业务发展和业务量的要求,同时也避免了盲目投资造成浪费。l 满足财务公司业务发展的系统基础架构由于业务的发展、科技的进步,想在系统建设上实现一步到位几乎是不可能的,但是以现有的业务种类、技术程度,完全可以形成一套能够支持财务公司未来5-10年业务发展需要的软件产品。该产品在技术架构上能够支持财务公司未来5-10年的业务发展所带来的接口扩展、功能新增、功能修改、访问量增加,并在上述条件下保证系统的运行效率、运行稳定。l 充分考虑并满足集团资金管控的分析需求。业务系统能够从深层次提取数据,并且按照财务公司、集团的要求
34、,将数据进行重新整理和展现,最终为管理层提供业务分析和决策支持。l 借鉴商业银行金融业务流程和风险管理模式。由于财务公司的定位就是集团的内部银行,因此在业务开展和风险防范上,商业银行的模式对财务公司具有很强的参考性和借鉴性。在构建应用系统的业务流程和风险管理上充分借鉴商业银行模式,将便于财务公司的业务梳理和内部管理,减小由于业务发展而对系统造成颠覆性改变的风险;将风险管理提高到一个新的高度,形成功能完备、数据统一、权限划分明确的风险管理模块。以最终达到高度监控同时又高度契合财务公司自身情况的目标。l 应用系统具有较好的可配置性。通过对已有的应用系统的使用和总结,我们发现很多新增业务与原有业务在
35、业务操作界面上、业务逻辑转换上存在较多类似的地方。一套优质的应用系统应该在此类新增业务出现时,能够实现可配置性,以最小的工作量、最少的成本、最低的风险、最快的速度实现管理和业务流程变化的需求。l 由统一平台实现财务公司与外部监管、客户、银行等衔接。在财务公司业务发展的过程中,我们不能忽视应用系统与其它外部系统的接口问题。目前比较常见的有诸如:银财接口、财企接口、1104接口、人行接口、账务系统接口、OA系统接口等等。如果说每接入一个系统,就需要动用到财务公司的核心业务应用系统的话,这样做的风险将非常大。一套好的应用系统将提供给财务公司一个统一的接口管理平台,所有涉及到接口的新增、修改、删除的操
36、作,均在该接口管理平台上完成,既提高了处理效率,又从根本上保证了应用系统的安全,降低了系统运行的风险。l 充分考虑系统的安全性、灵活性和可扩展性。通过一个成熟的运行平台,提高系统的故障定位和运行监控能力。通过一个成熟、先进的技术开发平台,提高开发效率和质量,规范各开发商的软件开发标准。使各个系统能有效的沟通、数据交互,提高运行效率,提高维护能力。统一的软件开发标准和成熟开放式的架构平台,将保证财务公司在业务发展过程中,可以及时的选择能够提供更加符合自身业务需要的软件开发商,从根本上保证了财务公司的利益,使得财务公司不会被某一家软件商所绑定。实现强强联合,走精品组合路线。l 具有自身核心信息技术
37、力量应用系统的最佳实践永远离不开技术力量的保障,好的开发平台、运行平台仅仅提供了一个技术实现的技术基础,要想用好、管好它,必须依靠自身的技术力量,必须培养自身全面掌握、管理平台的技术人员,才能真正发挥信息化平台的优势。 第四章 基础配套建设1.2.3.4.一、 基础配套建设现状在目前100多家财务公司中,各家的业务规模、技术人员规模有着较大的跨度,导致IT基础配套建设现状比较复杂。归纳起来大致有三种模式:一是自建完全独立IT基础配套设施,以中国电力财务有限公司为例。这类财务公司自建完全独立信息机房、备份机房,公司内部有完整的网络,网络的对外出口统一管理。二是自建相对独立IT基础配套设施,以国电
38、电力财务公司为例。这类财务公司自建相对独立信息机房、备份机房,公司机房、网络与集团公司有着一定的关联,如共用集团的网络资源,共用集团备份机房资源,甚至共用集团机房的空调、电源。三是对外托管IT基础配套设施,以TCL财务公司为例。这类财务公司对外托管IT基础配套设施,如系统及维护完全托管在招行机房,并使用招行提供的灾备系统。如上三种模式是与各财务公司的现状相关的。在公司规模发生变化的情况下,基础配套建设现状在几种模式中切换。下面就其中自建IT基础配套设施部分提出最佳实践要求。二、 基础网络建设根据财务公司行业特点,财务公司基础配套建设应该参照B级及以上机房的要求进行,主要考虑网络布线、带宽、安全
39、性、可靠性几个方面。(一) 网络布线与带宽机房内网络布缆的设计应考虑布线系统与当地信息通信部门的公用通信网络接口的连接,以便建立与集团公司、监管机构、商业银行等的网络连接。 网络带宽方面应考虑办公局域网、机房服务器局域网、市内专线、长途专线等的不同带宽。如果考虑到视屏会议应用,那么网络带宽需另有考虑。网络带宽要根据信息系统的带宽需求量来具体测算,以3-5年规划量来实施。从目前的技术及市场情况看,办公局域网桌面带宽应达到100M及以上,服务器区与楼层交换区的带宽建议达到1000M及以上,市内专线2M-100M,长途专线2-10M。如果网络带宽方面的花费较大,建议依托集团公司的网络资源来建立财务公
40、司的网络。(二) 安全性与可靠性应划分合理的网络安全区域并实现有效安全控制,应提供多种有效的安全控制机制,进行内部网络各个部门之间的访问控制。在骨干网应具备线路冗余备用方式,并有应急预案。核心网络设备必须提供冗余引擎和电源,消除单点故障。应实现网络流量,协议的安全监控,确保网络的正常运行和对非法数据的有效控制。应拥有局域网、广域网接入管理、操作管理、故障处理规定,并严格执行。三、 基础硬件建设(一) 空调系统信息系统机房中的机房、支持区和辅助房间的空气调节系统应 根据信息系统机房的等级,按照标准执行。与其它功能用房共建于同建筑内的信息系统机房,宜设置独立的空调系统。分体式空调机的室内机组可安装
41、于空调机房内,也可根据机房布置要求,安装于机房内。大型机房空调系统宜采用冷水机组空调系统,冷源采用水冷方式。 (二) 电气技术信息系统机房内的业务主设备应由不间断电源系统供电。不间断电源系统应有自动和手动旁路装置,避免系统故障或维修时中断电源。选择UPS容量时应留有裕度,以保证UPS的正常工作。 信息系统机房的接地设施应满足人身安全及信息系统正常运行的要求。(三) 消防 信息系统机房应设置气体灭火系统;其它部位或存放有大量可燃物的区域,应设置自动喷水灭火系统。自动喷水灭火系统应采用预作用系统。(四) 机房监控与安全防范信息系统机房应设置环境监控系统、设备监控系统和安全防范系统,各系统的设计应根
42、据机房的等级,按照标准执行,并应符合国家现行有关标准的规定。 四、 数据备份与容灾建设(一) 数据备份容灾应对信息系统数据采取备份措施,包括执行备份的设备、存储备份的介质、控制备份的软件。根据自身的实际情况,选择合适的备份措施,包括磁盘镜像、磁盘阵列、双机容错、数据拷贝等。应根据监管要求和自身情况,综合考虑建立容灾机制,在火灾、盗窃和地震等发生时,全面、及时地恢复整个系统。在建立容灾备份系统时会涉及到多种技术,如:SAN或NAS技术、远程镜像技术、快照技术、基于IP的SAN的互连技术等。(二) 备份及容灾的运行应建立日常备份制度和灾难恢复措施。应根据自身业务的需求,考虑数据备份的频度和数据保管
43、的位置。要加强备份数据的保密性的管理。要根据灾难恢复措施,定期或不定期组织数据恢复的演练。各财务公司要根据自身业务需求,在满足行业监管要求的条件下,必要时应考虑共享集团资源来建立来完善备份及容灾机制。第五章 信息安全建设1.2.3.4.5.一、 信息安全建设重要性和现状财务公司是各大企业财务运营的核心,在企业的发展战略中,起到举足轻重的作用,财务信息的清晰明了、运转得当,将为企业的运营发展提供有效有保障和有力的推动。财务公司为企业及用户提供结算业务、融资业务、外汇业务、同业拆借存放业务、有价证券投资业务等多种服务,并存储了整个企业资金及财务信息数据。这些服务业务及数据信息全面承载于财务公司的信
44、息系统运营环境, 数据信息及业务系统的暴露、破坏及不可用,会直接影响企业的资金运作,这将给企业造成很大的资产损失,甚至将威胁企业的生存并造成大范围的社会不良影响。因此,财务公司业务系统有承载业务系统的基础环境的安全状态将直接影响财务公司及至整个企业的安全势态。根据目前财务公司基础配套建设的现状,如采用完全托管IT基础设施的公司,应将托管方纳入信息安全建设体系,信息安全技术体系可以依托托管方进行建设,安全保障体系、安全策略体系、安全管理体系、安全运维体系、安全事件管理与应急响应、信息安全服等于有独立机房或相对对立机房同样标准进行建设。其信息安全建设均应该按照国家信息安全等级保护三级的要来进行建设
45、。信息安全建设应进行整体的信息安全规划,分批分步骤进行实施。5.5.1.二、 财务公司信息安全建设思路123455.15.2(一) 搭建信息安全保障体系框架财务公司安全保障体系框架的搭建,应将财务公司信息系统及承载信息系统的基础环境作为安全保护对象的基础,制定了标准的安全方针和总体策略,采用“结构化”的分析和控制方法,把控制体系分成安全管理、安全技术、安全服务的控制体系框架。财务公司安全保障体系框架搭建的一种方法示例如下:(二) 安全策略体系安全策略体系是指导财务公司信息系统安全设计、建设和维护管理工作的基本依据,所有相关人员应根据工作实际情况履行相关安全策略,制定并遵守相应的安全标准、流程和
46、安全制度实施细则,做好安全标准体系相关工作。安全策略体系由安全方针和总体安全策略两部分构成,安全方针是结合企业信息安全方针、信息安全政策要求、行业标准规范及财务公司实际情况制定的纲领性文件。总体安全策略是执行安全方针的解析与体现,可以根据工作的内容根据财务公司的实际情况,分解为信息安全技术策略、信息安全管理策略等不同的维度安全策略,通过总体策略的制度,可以有效指导下一步的信息安全设计。(三) 信息安全技术体系建设信息安全技术体系建设应通过物理安全、网络安全、主机安全、应用安全及数据安全五个维度进行设计,安全技术体系建设可以参照信息安全等级保护要求执行,财务公司根据行业特点具体可按等级保护三级的
47、要求来进行建设。1、物理层安全物理层安全主要涉及的范畴包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃防破坏等方面。2、网络层安全网络层安全主要设计的方面包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护几大类安全控制。(四) 信息安全管理体系建设信息安全管理体系建设应通过安全组织梳理、安全管理制度梳理、人员安全管理、系统建设管理等几个维护进行设计。1、安全组织梳理开展信息安全建设与管理工作,必需有明确的信息安全组织和清晰的信息安全责任,才能有效的推动信息安全工作的执行。针对财务公司,应结合企业的整体组织架构,针对财务公司的实际情况,制定信息安全组织
48、。公司信息技术部应作为信息安全工作的日常执行机构,设立系统管理员、网络管理员、安全管理员、安全审计员、数据库管理员、机房管理员、业务系统管理员、信息资产管理员岗位。公司应配备专职安全管理员,安全管理员不能兼任系统管理员和网络管理员。业务系统管理员和网络管理员应配置多人共同管理。2、安全管理制度梳理财务公司一般都具有一整套的管理制度,管理制度大多与业务管理与人员管理为主,为保障信息安全方面的管理工作,需要通过安全的角度审视现有管理制度,对与信息安全相关的内容进行重新的解读与梳理。并建立覆盖安全管理方针策略、安全管理制度、安全管理流程、安全管理表单的四层安全管理体系,以保证安全管理制度与方针、政策的符合性及安全管理制度的可执行性。3、人员安全管理在人员安全管理方面,可以通过对于人员录用、调动、离岗、考核、培训教育和第三方人员安全几个方面,落实国家信息安全政策要求,其中内部人员的管理归纳形成人力资源安全管理的具体安全要求,外部人员的管理归纳形成第三方人员安全管理的具体安全要求。4、系统建设管理
