证券it治理
❶ 有关IT审计师的几个问题,,,,请知道的同志们说一下,谢谢谢........
我回答一下,
1.专科生可以报考,考试组织机构(信息系统审计与控制协会ISACA)对这个并没有苛刻的要求。
2.费用不会低,报名费用是500美元,可以自学。当时我在学校时,报名费用、考试费用一共是不到10000人民币。 CISA考试大纲包括七部分内容,各自所占比例如下:信息系统的管理、规划和组织(占11%),技术构架和运营实务(占13%),信息资产的保护(占25%),灾难恢复和持续运营(占10%),商业应用系统开发、获得、实施和维护(占16%),商业运营评估和风险管理(占15%),信息系统审计程序(占10%)。从这可以看出,内容侧重信息技术和信息管理。
3.你是说准备时间么?那得看自己了,一年考试两次6月和12月,我认识一个准备了不到4半年就过了。
要想了解再多,可以交流。
❷ 国内券商(证券行业)IT发展现状及问题分析
1992年—年,国内诞生了柜台系统和电话委托系统,股民可以通过电话进行股票交易。1998年,诞生了网上委托业务,有条件的股民可以通过网络进行交易。2003年,诞生了集中交易系统,所有交易不必在营业部进行,直接在券商总部集中进行交易。2005年可以通过手机进行炒股,在手机普及的中国,广大股民又多了一条方便炒股的途径。
2006年,为了保证客户资金安全,在监管要求下诞生了三方存管系统,券商接受的客户资金必须保存在银行,这样避免了券商挪用客户资金的情况发生。2004年—2008年,随着证券业务种类多样化,诞生了集合理财系统、投行系统、固定收益系统、以及目前正在建设当中的股指期货系统和融资融券系统。短短20年时间,伴随着券商业务模式的变革,国内券商的IT系统发生了巨大的变化。目前很多券商90%以上的收益来自于经纪业务,而经纪业务中超过70%的收益来自于网上交易,而不是传统的营业部终端交易或电话委托交易,网上交易系统的重要性不言而喻。由此可见,核心IT系统能否安全稳定运行直接决定券商业务是否能够正常开展,直接关系到广大股民的利益。
虽然券商的IT建设在短时间内取得了巨大发展,但是当前仍然存在着一些重要的不足制约券商业务的创新和发展,主要表现在以下几个方面。
一、国内券商的IT侧重在IT运维,主要精力投入在保障系统安全稳定运行方面,而忽略了自主开发的能力的培养,在支持业务创新方面能力明显不足,某种程度上限制了业务发展;
二、重要业务系统建设如集中交易系统、行情系统等被几家供应商垄断,券商选择的余地不大。券商缺乏对于供应商的掌控能力;
三、管理层更多关心业务发展,对IT了解较少,对IT在公司发展中的作用认识不够充分,缺乏IT治理的能力,没有有效的利用IT的价值;
四、IT发展战略不明确,缺少IT规划。IT架构相对落后;
五、IT与业务沟通存在障碍,互相不能理解对方的语言;
六、IT缺乏精细化管理;
七、IT员工的能力有待进一步提高。
相比而言,台湾的证券公司IT应用发展水平明显高于大陆。以CRM为例,在国内很多证券公司建立了CRM系统,其仅仅是作为解答客户疑问的帮助平台;而在台湾,富邦证券也建立了CRM系统,但其发挥作用远不仅是一个回答客户问题的帮助台。富邦证券成立之初,面临的情况和现在大陆券商类似:建立了CRM系统,仅用于解答客户问题。当时大部分业务部门均以各自产品为导向,独立发展,缺乏跨业务部门的公司层面的CRM策略。客户信息分散在各个子公司的客户数据库中,他们在进行客户分析和营销活动计划时无法对客户进行整体性评价,缺乏对客户的研究,客户服务水平一般。各子公司进行客户管理和客户营销时,各自为战,对一个客户多次进行产品营销,甚至出现各子公司争抢客户,导致内部资源的浪费和客户忠诚度降低。富邦证券意识到了这个问题,建立了公司统一的数据仓库,整合所有子公司的客户资料,并在此基础上建设CRM系统将客户信息、营销流程以及销售渠道进行整合以支持公司的交叉销售策略。
CRM系统建设过程中,将营销系统与Call Center、个人理财和客户经理系统等销售渠道进行整合,以形成端到端的CRM环路,如直邮(Direct Mail)、Call Center(包括Auto-dialer、SMS、FAX、E-mail)、Internet、客户经理系统等。经过前端渠道处理过的信息(客户反馈信息),再通过整合的信息交互渠道,传回CRM系统进行进一步的分析和决策,达到分析型CRM系统与操作型CRM系统的无缝整合。使得客户感受到了无缝隙的服务,展现在客户面前的是一个整合的富邦证券,而不是以前的富邦证券的经纪业务部门、投资咨询部门等等独立的个体,真正实现了IT引领业务发展。
通过整合销售渠道,将数据分析、营销管理人员与销售渠道联结起来,不仅提高了营销的效率,缩短了反馈周期,而且真正利用CRM系统主动服务于客户,大大优化了客户体验,赢得了良好的口碑,也为公司带来了巨大的经济效益。
证券公司应该根据自己在行业内的定位,结合公司发展战略,选择适合自己的发展道路。如果要成为行业的领先者,要以更好的为客户提供服务为中心,要制定清晰务实的战略方向,根据业务战略制定出IT发展目标和IT实施规划,通过提高自主研发能力增强对IT系统供应商的控制力和谈判筹码,深度挖掘IT的价值,促进IT与业务的融合,将IT这个战略工具牢牢把握在自己手里。另外由于监管部门在对券商评级时对信息安全和IT治理方面提出了明确的要求,因此各券商在这两个方面也要给予足够的重视和投入。
当前国内券商无论是业务还是IT都到了一个转型的时期,中登公司最新的数据,截止2009年06月19日,沪深两市共有A股账户12,773.72万户,B股账户242.74万户;有效账户10,974.49万户。这个数字对于证券公司来讲不一定是好事,说明市场可能已经接近饱和,虽然股民开户数已经突破一亿户,但是活动账户大概只有3000万户,这意味各券商只能从现有的这些交易活跃股民中去和其他券商争抢客户,才能保证公司效益,彼此竞争将更加激烈。国内证券公司的交易系统,行情系统,CRM系统都大同小异,如果要吸引客户来本公司开户,必须通过提供差异化的增值服务,形成公司的品牌和特色。在这个过程中,IT起到至关重要的作用。目前国信证券和招商证券在这方面走在前列。
从去年开始,国内一些证券公司组织中层以上公司的骨干去台湾、美国和欧洲的金融机构学习其先进的经验,其中也包括如何更有效的利用IT为公司创造更多价值。这表明一些先知先觉的人已经意识到现在到了必须做出变革的时候,不能像以前一样靠天吃饭,否则被淘汰只是早晚的事情。
伴随着创业板的上市,股指期货以及融资融券业务的推出,未来国内资本市场将会愈加繁荣。各种新的业务产品及衍生品将会层出不穷。国内券商的IT能否跟上业务发展的脚步,这对广大券商的CIO们来说是一个需要思考的现实问题。
❸ CIO如何面对企业信息安全架构与IT治理问题
在IT系统给企业带来活力、利润和竞争力的同时,也给企业增加了因此而带来的风险——日益依赖IT系统的企业面临着因IT系统故障导致的业务灾难。不难看出,如何最大限度地降低IT对业务的负面影响,IT系统如何充分为企业战略目标服务,如何获得IT价值最大化,这便是每个企业都必须要真接面对的信息安全与IT治理的问题。 一问理念:如何理解信息安全架构与IT治理的关系? 2007年在上海举办的“IT治理与安全大会”上,微软公司大中华区信息安全总监何迪生先生表示,假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构。它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 事实上,建立完善的信息安全架构对于整个IT治理来说至关重要。没有了信息安全架构,IT治理根本无从谈起。 据Hillstone安全专家介绍,IT治理需要遵从特定的原则,并在企业统一、完善及健全的安全架构中去实现,这是一个系统工程,需要从信息安全本身直至企业内部的每个员工共同来实现。每个期望通过信息化来达到快速发展的企业都需要将应用安全架构以及IT治理作为工作重心之一。 任何事物都有它的两面性。正确、恰当地使用IT系统能为企业带来飞速的发展,但由于系统缺陷、人为误操作、系统攻击等不可预料的各种风险也同样使得企业面临着巨大的灾难。因此,企业用户更应该建立统一、完善、健全的信息安全架构来规范IT系统行为,通过建立冗余机制、灾备机制、详尽的策略遵从机制等各种风险控制机制来降低整个企业的IT系统风险。 事实上,IT系统诞生之初就决定了它不可能“坚如磐石”,系统问题在所难免,但“因噎废食”的做法和思路绝不可取,用户需要的是在问题出现的时候能够迅速获得有效的解决办法来避免中断造成的影响。 此前深信服的安全产品经理邬迪举例说,早在2005年,国务院信息化办公室携手电子政务、银行、电力、铁路、民航、证券、保险、海关、税务等行业,联合起草的《重要信息系统灾难恢复指南》就正式出台了,灾备的作法将是解决IT系统故障的一方良药,但很可惜因国内广域网的缓慢传输速度,灾备至今还未得到普遍推广和应用,如何大幅提升广域网的传输速度将是这方良药能否发挥作用的前提。 另外,数据传输的安全性也是必须考虑的问题。员工利用企业网络访问一些不良网站,同时一些员工在上班时间在论坛博客上发表一些不负责任的言论……这些行为无疑给企业带来一系列的法律风险和商业灾难。 其实解决此类问题非常简单,只需在企业网络部署一台专用的内容管理设备就可以了。此类设备通过强大的数据中心,很方便地控制审计企业内网流向外网的每一个数据,防止机密的泄露和引起法律风险,即使问题出现也可以做到有据可查。而类似的处理方式都预示着一个问题:IT系统风险随时存在,但是任何风险都可以降低,甚至是可以完全避免的。IT系统问题导致业务灾难的风险,IT监管问题导致法律灾难的风险,都可以利用IT自身的安全架构与技术设计来应对。 二问风险:如何才能平衡IT架构中的风险? 有业内人士指出,风险控制是一门系统科学,风险降得越低需要的支出就越多。所有的企业都在寻找一个合适的平衡点来保障企业能够在可接受的风险范围内支出尽量少的钱。设备级别的冗余机制是企业用户选择最多、也是见效最快的一种降低设备故障风险的方法。 当然,不可否认,利用先进的信息系统架构确实能够帮助企业很好地完成一部分风险管理和企业治理的工作。但是Hillstone的安全专家认为,风险管理和企业治理中有很大一部分工作是针对自然人的,这就为风险管理和企业治理工作带来了很大的不确定性以及不统一性。 无疑,这就要求IT经理在进行信息系统架构设计与治理的同时,必须了解到安全架构设计应该和企业的安全策略相吻合,否则就不能实现企业的安全目标。换句话说,只有在充分考虑人的因素的前提下,用IT治理IT才能发挥出更大的积极作用。 因此一些用户反映,在进行一个信息系统的设计时,需要对目标系统的众多需求进行平衡,这些需求包括功能、灵活性、性能、易用性、成本、业务需求和安全。需要强调的是,安全应该在系统设计中的开始阶段就作为一个要害因素进行考虑。 此前新华人寿的IT经理杜大军表示说,如果在信息架构的开发过程中使用了超过业务需求的安全性能,就会导致用户体验的恶化,但降低安全性能也会导致系统的部署和运行维护成本大增。 不难看出,想要平衡IT架构中的安全风险,就必须在IT系统设计的过程中平衡多种需求,这些需求可能是来自业务部门,或者来自企业的方方面面。安全架构的设计者通常需要根据组成构架的每个元素的重要性来确定如何进行取舍和开发。 在设计阶段考虑安全性并不会增加太多的工作量,恰恰相反,这种安全思路贯穿始终的做法可以平滑地嵌入到架构设计的各个阶段,这样就可以保证安全性随着架构设计逐渐的完成而完成。 基于此,不少安全专家认为安全架构从概念上说,就是从安全角度审阅整个系统架构,它主要提供系统架构所需要的安全服务、机制、技术和功能,不仅可以平衡架构设计与应用中的安全风险,而且可以提供如何进行安全设施部署的建议。 但无论如何,信息系统架构安全仍然是一个相对的概念,安全威胁无时无刻不在增加,只有不断地加固才能获得更加有效的安全。整个IT系统的安全涉及方方面面,任何一个地方的疏漏都会成为整个系统的致命短板。因此对用户来说,目前情况下在整体信息安全架构的基础上搭建安全防护设备能够确保企业IT安全的最大化。 三问出路:如何解决信息安全架构与IT治理实现中的技术与管理挑战? 首先,从技术方面看,目前随着网络应用的快速发展,基于数据应用层的安全防护以及风险控制得到越来越多企业用户的关注。然而为了实现整个信息系统的安全架构,核心网关设备的应用层性能成为了各个企业实现统一安全架构的拦路虎。据Hillstone的安全专家介绍,基于应用处理的高性能安全网关是推动安全架构发展的技术因素之一,只有越来越多的高速设备出炉,才能从技术上确保网关层面的安全。 前面说了,高度集中的应用层安全网关还只是技术环境中的一方面。据何迪生透露,企业如果希望获得完整的信息系统架构安全并在此基础上获得IT治理的效益,那么部署一套全方位的安全系统方案是不可避免的。 比如,对现代企业来说,确保其信息基础架构的安全性已经成为主要任务。在这个过程中,信息与各种协作工具对大多数企业的日常运营来说都至关重要。不幸的是,这些工具常常成为攻击者的目标。因此,企业的CIO必须确保信息和协作基础架构不受外部威胁的干扰,避免企业的工作效率受到影响,从而导致内部问题或者泄露机密信息。 面对种类繁多且不断变化的安全威胁,信息和协作基础架构应具备多层保护机制,在攻击影响到企业网络之前就要解决问题。对此,他的看法是,多个保护层能够减少因单一威胁而导致的网络瘫痪问题。目前的焦点在于,所有的安全厂商都有各自独特的需求,他们提供不同的安全产品和服务。因此,如果要实现全架构的安全防护,安全技术本身也要具有适应性。 以微软的技术方案为例:Microsoft Exchange Hosted Services可在垃圾邮件和病毒渗透到网络之前就进行过滤;Microsoft Forefront内部部署软件可以保护关键应用服务器免受内部威胁侵害,并能执行内容规则;Microsoft Internet and Security Acceleration(ISA)Server 2006可实现协议层和应用层的检查,以确保安全地实现Exchange Server、Live Communication Server和SharePoint Portal Server的远程访问;而Microsoft Windows Rights Management Services(RMS)与Microsoft Office Outlook 2003客户端应用配合工作,可以确保敏感的电子邮件和文档不致泄漏出公司之外。 其实,类似的技术方案有很多,无怪乎都是从多层次、大纵深为出发点。换句话说,一个有效的技术方案,除了为企业整个基础架构提供防御之外,还必须采用纵深防御策略,通过多种技术来发现并防御安全威胁。事实上,依靠多种技术低于攻击或误操作,有助于消除整体安全架构中的单个故障点。 文章作者:赵晓涛
❹ IT应该如何遵从SOX法案
为遵从SOX法案,保证会计帐务、财务报告、流程、财务应用和底层IT基础结构的完整性、可用性和准确性,要求IT在三方面有所准备:
一是优化财务流程完善财务应用系统在财务应用的基础上要实现财务数据整合和统计分析,引进全面预算管理、KPI绩效管理、财务预警等模块,保证企业提供准确、完整、实时、真实、有价值的财务报告。
二是建立内部控制体系并引入内控管理信息系统。SOX要求企业高管加强对内控程序和内控报告的责任,要求CEO和CFO能够证明年度和季度财务报告没有差错和遗漏现象,要求企业记录并检查企业的内部控制情况,揭露任何“严重弱点”,要求企业高层能够判断与业务过程相关的风险,以及这些风险对公司财务报告可能产生的影响。达到上述要求的核心内容首先是建立公司内部控制体系,美国“反对虚假财务报告委员会”的COSO是SEC(美国证券交易委员会)及PCAOB(美国上市公司会计监督委员会)推荐的框架,COSO包括控制环境、风险评估、控制活动、信息与沟通和监督五个要素,强调建立一系列的管理体制,加强公司的内部控制。IT是COSO实施的关键,应建立起遵从SOX的企业内控管理信息系统。
内控管理信息系统至少应实现下述功能:能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行。一旦系统发现任何违反行为,将向适当人员自动报警。能够收集并监视控制信息,使管理人员快速查看流程、组织、控制和风险的实时状态,提示管理人员注意控制目标是否实现。为了帮助企业更好地了解和跟踪风险,内控管理信息系统为企业建立一个能够与企业的每项业务过程相关联的风险库。一旦认识出潜在风险,内部控制管理系统能够允许企业设计控制以降低风险。Oracle、IBM等公司的内部控制管理系统的开发旨在帮助企业有效地执行SOX法案的要求。
三是加强IT控制。SOX法案要求企业的内控活动,不论是人还是信息系统的操作流程都必须明白地定义并保存相关记录,对审计过程也有存档的要求。因此,对影响财务报告的信息系统的IT控制也是SOX内部控制的核心组部分成之一。这就要求IT完善治理机制,进行IT内部控制和信息系统审计,以保证达到SOX对IT的基本要求。国际上已经形成一些较为完整的IT治理的规范,如ITIL(信息技术基础结构库)、COBIT(信息和相关技术的控制目标)、BS7799(信息安全管理标准)等。其中,COBIT是信息系统审计与控制协会(ISACA)提出的IT治理的控制框架。IT服务管理(ITSM)的标准ITIL则与COBIT紧密一致,通过IT服务管理流程与产品,能够实现IT的规范化管理,记录和控制IT的基本信息,包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息,保证财务报告的底层IT基础结构的业务持续,帮助公司更有效监督和管理IT风险。
❺ IT治理的委员会
ITGov中国IT治理研究中心认为:IT治理委员会和CIO制度的缺失,是当前我国信息化建设制度安排上的“致命性”缺陷。
治理层面对IT的关注,需要从组织保障上设立IT治理委员会,实现最高管理层(董事会)对IT的监管。ING、梅隆金融等发达国家先进企业都是在董事会设立的IT治理委员会。
当董事会和高管层需要做IT决策时,该委员会能够提供支持,从而使投资巨大的IT项目处于可控状态,并使企业获得更大的竞争优势。尤其对于转型模式下的中国证券企业,董事会的监管至关重要。
从另外一个角度来看,当前的信息化过程已经演变成为“流程的重组和利益的再分配”,势必触及到一些部门和个人的利益,势必遭到他们的反对(并且是种种冠冕堂皇的理由的反对),这种情况下的指导和协调工作,已经远远超出信息化部门领导的职责和权力范围,必须在治理层面建立IT治理的体制和机制,才能有效地推进信息化工作,规避IT风险,实现业务战略目标。
在设立IT治理委员会时,我们要考虑三个问题 根据ITGov中国IT治理研究中心的研究成果,IT治理委员会的职责包括但不限于:
n 遵守并贯彻执行国家有关信息化治理(管理)的法律、法规和技术标准,落实政府监管部门相关监管要求,负责开展信息化相关的合规工作。
n 审查批准信息化战略,确保其与业务战略和重大策略相一致。评估信息技术及其风险管理工作的总体效果和效率。
n 分析信息技术风险成因,掌握主要的信息技术风险,确定可接受的风险级别,确保相关风险能够合理管理。
n 规范职业道德行为和廉洁标准,增强组织文化建设。
n 统一全体人员对信息化治理的思想、认识和意识养成。
n 设立一个由来自高级管理层、信息化部门和主要业务部门的代表组成的专门信息技术管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息化战略规划的执行、信息化预算和实际支出、信息化管理的整体状况。
n 在建立良好的公司治理的基础上进行信息化治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息化治理组织结构。加强信息化专业队伍的建设,建立人才激励机制。
n 确保内部审计部门进行独立有效的信息技术风险管理审计,对审计报告进行确认并落实整改。
n 每年审阅并向政府监管部门报送信息化治理的年度报告。
n 确保信息化治理工作所需资金。
n 确保所有员工充分理解和遵守经其批准的信息化治理制度和流程,并安排相关培训。
n 确保本法人机构涉及客户信息、账务信息以及产品信息等核心信息资产的安全。
n 及时向政府监管部门报告本机构发生的重大信息技术事故或突发事件,按相关预案快速响应。
n 配合政府监管部门做好信息科技风险监督检查工作,并按照监管意见进行整改。
履行信息化治理其他相关工作。
❻ IT人员如何管理知识
当然,你会不服气,说自己已经研究过这些资料,并且转化成了自己的知识,而知识是无价的。 可是残酷的现实告诉你,知识既不会带来“颜如玉”,也不会带来“黄金屋”。自认为饱学之士的你,为何反而不被重用?不被运用的知识是死知识,你可能成为别人的“网络全书”/“智力提款机”,但偏偏你自己不知道该做些什么。 而且IT领域知识的更新换代很快,一不小心,花费大量精力掌握的知识就成了“废品”,其价值不如一枚“茶叶蛋”, 这让身为IT“专业人士”的你,情何以堪?如果经历过风雨的你仍然执着于技术,本文将与你探讨IT技术人员进化之路,探讨如何更有效的管理知识,如何让知识变成能力,运用知识解决问题。Table of Contents1 缘起2 资料,知识,智慧,思想,精神3 知识的条理3.1 业务领域3.2 行业划分3.3 类别3.4 掌握程度4 知识地图4.1 知识地图的作用4.2 如何表述知识地图5 小结1 缘起加入某证券公司已经2年了,最近发现自己的知识体系有有些混乱。其实这是好事,说明知识的领域变宽了, 带来的问题是需要抽出时间进行专门的梳理,这是一项比较繁重的体力劳动,尤其对于奔4的人来说。在十余年的IT生涯中,这样的事情发生过几次,其中比较重大的有以下几次:第一次是解散自己的创业团队,加入某软件服务商(ASP)并担任项目经理。 之前的创业团队规模较小管理简单,个人关注的领域主要在开发技术;到了新公司拓展了项目管理、需求分析、政府行业知识(主要是区域政府一站式审批,新农村合作医疗)、协同办公解决方案 等知识领域, 也涉及到一些软件开发平台、CMS、以及BI产品。第二次是到一家外企的解决方案部门,主要工作内容是Consulting,即分析问题并提出解决方案。期间积累了企业管理(尤其是IT管理)、电信行业、民航行业、电视媒体行业的业务知识,知识管理(KM)解决方案,以及BPM、ESB、Portal等平台软件,了解了SUN和IBM的服务器,同时客串了一些Flash/Flex和M$ WPF的研究及培训工作。第三次也就是现在,加入证券公司。从乙方变成了甲方,工作内容又有了比较大的变化。首先是扩充证券行业的业务知识,接下来的工作重点放在企业架构(EA)、IT运维(主要是应用系统管理、配置管理、问题管理)、甲方的项目管理等。为了做好这些工作,又额外关注了IT规划、企业IT治理、IT组织架构等领域;在技术方面包括ESB实施和webservice规划、服务器虚拟化、HP服务器及一些网络和存储设备、Linux、Oracle、网络规划设计(学习)、数据仓库和数据挖掘(了解)、消息中间件、集中交易系统架构、规则引擎、CEP、性能测试、应用开发平台等等。出于兴趣和爱好还在学习python和emacs。相信你已经明白我为什么会写这篇文章了——这些急速扩充的知识迫切需要条理化,否则短期内知识领域的急剧扩充必然导致大脑崩溃。学习的过程可能是在某个领域的不断深入,也可能是对更多领域的扩展。在知识爆炸和渴求复合型人才的今天,后者应该更加重要。知识领域的扩展,必然会带来某种“混乱”,即新的领域知识打破了你原来的知识框架,对知识的主观定位及知识之间的关联变得模糊不清。所以过一段时间(2-3年)就需要对你掌握的知识进行重新梳理,这是一个痛苦的“破而后立”的过程,但完成它,你就会看到一片新天地展现在你面前。这也就是写出本文的原因。2 资料,知识,智慧,思想,精神在着手梳理之前,还是要搞清楚一些基本概念。前面所谓的”知识“其实并不确切,那么,到底什么是知识,以及知识与其他的概念有什么关系呢?正如每个孩子都珍藏过小石头,每个IT人士都收集资料。我手头也有多年积累的大量文档。但这些文档仅仅是资料,时效性很低(尽管我在技术上不是很追求时髦),可能1-2年的时间就变成了硬盘上的垃圾,需要经常清理。要让这些资料发挥作用,就必需及时进行归纳、整理、沉淀,将其中有价值的内容纳入自己已有的知识体系。只有这样,资料才能转化为知识,并在需要的时候发挥作用。世上从来不缺少这种人,才高八斗学富五车却四体不勤五谷不分,此谓“懒”;满腹经纶却不通世故,谓之“呆”。 “懒”者,懒得去解决问题。毕竟学习知识是一种输入,解决问题是一种输出,后者的难度更大,需要的思考更多,于是乎懒得去做。 ”呆“者,知识的奴隶,空有满腹学识却根本不知如何运用,知识成了死知识,而人成了书呆子。 究其根本,就是知识没有转化为“生产力”。如果能够运用知识解决问题,这就叫做智慧。知识之间有很多共通之处,有些人能够发现知识之间的规律,并运用这些规律产生出新的知识为别人所用,这叫做”有思想“。思想需要领悟,只靠学习是没有用的。要做到所有这一切,需要研究并务实,合作且独立,并经常自省;需要内心的强大,这叫做精神。精神才是一切行动的源动力。简言之:信息的管理产生知识知识的运用产生智慧知识的积累产生思想一切的根本在于精神3 知识的条理知识的条理可以有很多,但够用就好。过多的线索反而会让知识丛林变得扑朔迷离,难以形成全貌。对于IT人员来说,可能以下几方面的线索就够用了。3.1 业务领域如果你在从事企业级应用相关的工作,对于业务领域(Business Domain)的划分是非常重要的,这可以使你明确当前的主题能够解决企业哪方面的问题。业务领域的知识解决“是什么”的问题。根据不同的业务分析和表示方法论,有不同的描述方式,但大体来说总要包含以下几个部分:领域模型业务服务业务流程业务角色对于一些比较成熟的领域,会有相应的参考模型,如供应链的scor模型,研发领域的pace或ipd,项目管理的pmbok,软件工程的cmmi等。 这些模型都会包含上述的基本内容,而且适用范围比较广泛。对于业务领域的划分,可以参考企业管理中的层次及方面两个维度,如下表: 企业管理销售与市场生产财务人力资源IT决策层 管理层 操作层 随着对某个领域的不断深入,该领域会越来越细分,比如对于IT管理这个方面,可能会划分为:IT管理 决策层 企业架构 IT策略IT组织及治理策略IT规划管理层 IT资产管理IT绩效IT项目管理安全管理采购管理操作层 应用管理IT基础设施管理3.2 行业划分有些知识可能是某个或某类行业专属的,并不适用于所有行业,所以还需要划分一个”行业“的维度。这个维度与业务领域进行正交。 行业划分不一定精确,完全可以按照你自己的知识结构进行划分。可以在一定程度上使用树。比如我自己的行业划分如下:IT服务 硬件维护和支持软件维护和支持咨询服务 管理咨询 IT咨询开发和集成 定制开发 应用集成应用部署IT外包服务 应用外包 平台外包基础设施外包金融行业 证券银行保险基金媒体行业 电视台网站电子商务 B2BB2CC2C支付服务电信行业政府行业 区域政府国家部委制造业零售业3.3 类别很多东西都可以成为知识,但知识确实有很多种。不同种类的知识,其适用范围也各不相同。 比如“产品生命周期管理”是制造业产品管理领域的知识,但是其对应的“生命周期理论”又是一种理论类的知识。 再比如敏捷开发、面向对象都属于方法论的范畴,而emacs是一种开发工具。对于IT人员,下面的类别都是比较常用的:理论方法论解决方案 技术解决方案业务解决方案行业解决方案技术应用开发技术网络技术工具模板 都涉及到标准规范,指导书,培训教材,模板,检查单这些核心内容,这相当独立来看是完整的一套体系。其中需要专门说明的是解决方案类。解决方案是对知识的一种运用,但针对运用的结果和经验进行总结,就会形成新的知识。 解决方案根据运用的范围不同,可以分为技术解决方案、业务解决方案和行业解决方案。显然,他们会分别知识类别中的技术、业务领域中的层次和方面、行业划分相交叉。3.4 掌握程度对于学习来说,认识到自己对于某项知识的掌握程度非常重要,可以使学习的目的性更强。一般我们喜欢用知道,了解,熟悉和精通来表示掌握的程度。知道 知道有这么一类知识,知道其定位及能够解决的问题,但是对细节不清楚。了解 掌握此类知识大体包含哪些部分的内容(即细分),在需要时可以通过参考资料进行使用。熟悉 掌握60%以上的要点,并具备实际解决问题的经验。精通 掌握80%以上的要点,具备多次运用的经验,能够指导别人如何学习或运用。4 知识地图前面介绍了对于IT人员比较实用的对知识进行条理化的一些维度,包括领域(层次+方面)、行业、类别、掌握程度等。 综合运用这些条理,对知识进行定位和标识,梳理知识之间的关系与关联,就能够使知识以有序的面貌呈现处理,极大提高知识的利用率。 这就是知识地图, Knowledge Map,简称K-Map.4.1 知识地图的作用导航 对知识的导航是知识地图最根本的功能,通过知识地图能够通过多种方式和线索找到需要的知识。关联 知识之间存在各种关系,如上述每个维度内的层级关系,维度之间的正交关系和关联关系等等。知识之间的关联形成一个网状结构。盘点 构建了知识地图,也就有了关于知识的清册(Category)。可以随时盘点自己已经掌握了哪些知识,掌握到何种程度,以及还有哪些知识需要扩充。4.2 如何表述知识地图到这里,你可能已经迫不及待要建立自己的知识地图了。表述知识地图主要有两种方法:一种是显式表达,可以用文字,或图形化的工具(如xmind,visio等)专门进行描述。另一种是隐式表达,没有专门的知识地图说明,但是将知识地图运用在各种工具中,比如文件和目录结构,gmail,evernote,emacs org-mode, 以及blog中。5 小结本文从自身的经历出发,说明了个人知识管理的必要性。探讨知识和文档资料的区别与联系,以及如何对知识进行条理化。 最后引出了知识地图这一工具,描述了其作用以及如何使用知识地图。希望能够对读者构建自己的知识体系架构带来帮助。
❼ 证券行业IT治理落地分析
IT治理是在IT应用过程中,为鼓励期望行为而明确的决策权归属和责任担当框架。【版1】具体体现在五权个IT决策上:
(1)IT原则:阐述IT的商业作用;
(2)IT架构:定义集成和标准化的要求;
(3)IT基础设施:决定共享和可提供的服务;
(4)业务应用需求:确定购买或内部开发应用的业务需求;
(5)IT投资和优先权:选择资助哪一个立项以及投入多少资金。
这五个决策是彼此相关的,一般来说,原则约束架构,架构决定基础设施,基础设施约束着业务需求,IT投资必须为IT原则、整体架构、基础设施和应用需求所驱动。
要真正的落实IT治理,必须从如何建立理论框架、有效利用应用工具集、长期规划及建设三方面来考虑,才能真正发挥IT治理在对IT资源的有效配置,资金分配、与业务融合等方面发挥作用。下面将从这三方面的分别阐述如何实现IT治理落地实施问题。