基层央行信息系统绩效评价指标体系构建
2014-04-11熊平兴
熊平兴
信息系统绩效审计是指审计机构对一个单位利用信息技术资源的经济性、效率性和效果性的审查和评价。开发系统目的是通过信息技术应用,规范业务操作,降低管理成本,提高工作效率,获得经济和社会效益。然而,由于缺乏信息系统绩效评价指标和标准,系统运行后的应用效果和获得的收益却很难有效评价,制约了信息系统绩效审计的开展。本文将从国内外信息系统绩效审计现状出发,从当前绩效评价成熟模型中,提出适合基层央行的绩效评价指标体系,为基层央行信息系统绩效审计提供参考。
一、信息系统绩效评价的现状
(一)信息系统绩效评价的角度
1.宏观层面。根据信息化建设总体目标确定绩效评价指标体系,作为不同行业、不同规模的组织进行绩效评价的依据。国际上流行的网络化准备指数评估体系、信息社会指数评估体系均属宏观层面的评价指标。
2.微观层面。是以信息系统作为主要对象进行评价。系统根据其生命周期分为战略层、控制层、执行层,分别对应于IT治理结构、系统运维管理和项目开发。因此,从微观层面将信息系统评价分解为以信息化战略为基础的绩效评价,以信息部门管理控制为基础的绩效评价,以项目开发管理为基础绩效评价三个层面。
(二)信息系统绩效评价存在的问题
国内外有代表的绩效审计评价模型有基于活动的成本核算方法、企业关键业绩指标法(KPI)、信息及相关技术的控制目标(COBIT)、平衡计分卡法(BSC)等。但这些成熟的评价模型更适用于对整个企业评价,而对信息系统的绩效评价相对较弱,主要是由于信息系统的特殊性、技术的复杂性、收益的不易度量性,导致其用于信息系统绩效评价时难免存在一些问题。
1.以财务收益为主对信息系统评价不能全面反映其绩效。从信息系统资源开发利用、投资回收期、投资收益率、净现值等方法进行绩效评价,没有考虑他的社会效益及无形收益等。实际上对信息系统的高投入并不一定能得到高收效,以投入为主的绩效评价难以全面衡量信息系统的绩效。
2.评价仅仅停留在理论层面,没有考虑技术与业务的融合。由于信息技术处于不断的变化发展过程,会不断产生机会风险,并且信息技术本身需要与业务进行融合才能发挥作用。信息技术具有的价值潜力,必须与业务整合后,才能显现出来。
(三)央行信息系统绩效审计现状
近年来,央行先后开展了系统开发、运行管理、内部控制、科技综合管理等审计项目,均以合规审计为主,基于系统的绩效审计还处于探索阶段。央行与其它金融机构、其它行业的信息系统有着很大的区别,若从宏观层面进行评价缺乏操作性,故笔者认为应从微观层面进行。本文将从信息部门管理控制角度,开展构建信息系统绩效评价指标体系的探索。
二、信息系统绩效评价指标体系构建
(一)信息系统绩效评价指标体系构建原则
1.以应用系统为评价的基本对象。
基层央行信息部门工作的主要对象是各类应用系统,计算机基础设施、系统维护等都是围绕应用系统进行的,因此以应用系统作为评价的基本对象,相对简单、好操作。
2.以合规性为评价的基础。
信息系统绩效评价应建立在系统开发、管理、运维是否符合法律、法规、规章等原则之上,若不以系统真实、合规性作为评价的基础,评价则无意义。
3.以适合的评价标准为前提。
对相同的评价指标采用不同的评价标准,其结论可能截然不同。科学、合理、适度的绩效评价标准,是开展信息系统绩效审计的前提,也是信息系统绩效审计成败的关键。如在对计算机基础设施评价标准选取方面,应根据人民银行计算机安全等级保护规定,为不同的分支行、不同安全等级的应用系统选择适合的评价标准。
4.以定量定性分析为评价手段。
定量分析是用具体的数据来分析评价事物的好与不好、高与低、优与劣;用定性分析来分析信息系统符合法律、法规及规章制度情况,评价合规与不合规。两者要结合使用,以保证绩效评价的健全。
(二)信息系统绩效评价指标选择
目前,绩效评价成熟模型较多,综合比较以平衡计分卡(BSC)模型为基础,更适合对信息系统绩效评价。
BSC通过分析企业的绩效形成原因,总结出一套能够囊括整个企业组织活动的绩效指标的计分卡,从而构建了一种全新的绩效评价方法。BSC在保留了主要财务指标的同时,引入了未来绩效的理念,使财务评价指标与未来绩效指标相辅相成,将企业绩效评价有序地分为财务、顾客、内部业务流程、学习与成长4个相互之间具有因果关系的维度,各维度之间相互作用,实现企业战略目标。笔者参考BSC模型,将基层央行信息系统绩效评价指标分解为资源配置、履行职责、客户评价、综合效益四个方面,并分解若干具体指标,资源配置为履行职责提供资金、物质、人力支持,履行职责为客户提供优质的服务,并得到客户的认可,最终取得各项综合效益,实现其总体目标。这些指标中既有结果指标又有过程指标,既有内部指标又有外部指标,既有短期指标也有未来指标。分述如下:
1.资源配置。
从信息化重视程度、人员基本素质、系统维护能力三个核心指标评价信息资源配置经济性。
(1)信息化重视程度。
信息化管理最高领导者的地位。指信息化管理最高领导者在单位的位置。
电子设备资产总额。当年电子设备资产总额与上年度电子设备资产总额之比。该指标反映一个单位信息化投入状况。
信息化经费开支额度。指每年运行经费、维护经费、购买设备和软件等支出与上年支出的比率。该指标反映单位在信息化方面的投入强度。
(2)信息技术人员基本素质。
信息技术人员数量。指信息部门技术人员配备数量占单位员工比率。该指标反映单位信息化人力资源支持力度。
信息技术人员受教育程度。指单位大专学历以上的从事信息技术工作的员工占员工总数的比例。该指标反映单位信息化人力资源支持力度。
信息技术人员接受培训频率。指从事信息工作的员工每年接受职业培训的次数。该指标反映一个单位对信息技术人员后续教育的重视程度。
培训效果。指应用培训(系统管理员、系统操作员接受业务系统管理、操作培训)和岗位培训(信息安全员、机房管理员、网络管理员等接受任职资格培训)合格结果。
(3)系统维护能力。
岗位人员胜任率。是否实行A、B岗位责任制,A岗是否称职,B岗是否具有独立运维能力。
自我维护量比率。本部门信息人员维护系统数量与全部维护系统数量之比,该指标反映可持续发展能力。
2.履行职责。
从计算机基础设施状况、信息系统应用情况、信息系统性能、内部控制等方面评价其履职质量、对客户需求的反应速度以及工作效率。
(1)计算机基础设施状况。
机房标准化建设情况。标准化机房是指符合计算机安全等级保护要求的按照机房建设指引要求建设的机房。央行每个分支机构必须拥有一个标准化机房。该指标评价机房分区、装修、门禁、配电、空调、防雷、防火、防水、防震、环境监控、机房管理等是否合规。
人均计算机数量。计算机包括大中小型机、服务器、工作站、台式机、笔记本电脑等。该指标反映计算机硬件配置水平。基层央行人均计算机在1.4至1.7台均正常。
网络性能水平。网络性能可从网络结构、网络冗余容错、网络安全管理、VLAN划分、QOS保障、网络出口带宽进行综合评价。
计算机联网率。指接入内联网的计算机的比例。该指标反映一个单位信息资源配置协同应用的条件。
(2)信息系统应用情况。
重要业务活动信息化水平。指主要业务活动(如支付清算、央行会计核算、国库、货币发行、账户管理、外汇管理、征信、反洗钱监测)信息化的覆盖面及应用的质量水平。该指标反映一个单位重要业务活动信息化的深度广度。
办公自动化应用程度。是否实现了公文收发文管理、公文内部流转、电子邮件、视频会议等自动化。该指标反映一个单位网络办公自动化程度。
管理信息化水平。指一个单位管理信息化应用覆盖率及数据共享水平(如财务管理、固定资产管理、档案管理、人力资源管理等),以及信息资源管理的协调度。
网站建设水平。网站整合一个单位网络宣传、信息发布、政务公开、业务讨论、经验交流、学习培训等内容。该指标反映单位信息资源整合、信息共享状况。
(3)应用系统性能。
服务器性能指标。指服务器CPU占用率、内存占用率、网络宽带占用率、存储空间等性能指标。
数据库服务器性能。除服务器性能指标外,还包括数据库系统是属于大型数据库还是小型数据库,数据库最大用户连接数等指标。
数据安全性指标。指系统输入、处理和输出数据的保密、完整、可用和抗抵赖性。该指标属系统应用控制指标之一。
系统可重构性。指系统的适应性、可调整性,可升级、可迁移。反映信息系统对外界变化的反应速度和敏捷性。
(4)内部控制。
主要考核信息系统一般控制情况。
授权审批管理。信息系统运行维护、系统变更、系统升级、网络变更等,须经信息部门负责人和业务部门负责人审批后进行。
不相兼容岗位控制。如系统开发与系统运行,系统管理员与业务操作员是不相兼容岗位。
系统监控。包括系统、网络、机房环境日常监控技术措施及执行情况。该指标反映信息系统预警状况。
业务连续性管理。指机房、供电、网络设备及配置、计算机硬件、业务系统及数据等遇到威胁并发生安全事件时的恢复计划,系统容灾备份管理等。该指标反映一个单位信息化条件下的业务连续性能力。
防病毒软件安装率。指计算机安装上级行统一规定的防病毒软件数量、病毒定义码更新率。该指标反映信息安全措施应用情况。
3.客户评价。
央行信息系统的客户包括内部机构、金融机构及其社会各界法人和自然人,与企业客户相比有很大不同,一是央行是中央银行,具有政府行政特性,不以盈利为目的,为客户提供的服务客户只能被动接受,所以市场占有率、客户保有率、客户创利能力等指标可不取;另一方面,央行是金融经济的枢纽,其信息系统的安全可靠运行关系到国计民生,对申请加入央行网络服务、银行卡联网服务的,必须经过严格技术和安全认证。因此,客户评价指标可包括客户满意度、认证审批二个核心指标,即从客户角度评价央行信息系统的优劣,又从认证审批方面考核对客户的安全控制水平。
(1)客户满意度。
系统性能满意度。指客户对系统功能、界面、报错频度、易操作性、易维护性、流程简洁性满意度。
技术服务满意度。指客户对提供系统支持的信息技术人员服务态度、服务质量满意程度。
系统响应速度满意度。指从指令的发出到反馈结果所需的最短时间,如点击一个超级链接到打开网页所用时间。该指标可综合反映一个系统软件、硬件和网络的性能。
(2)认证审批。
接入内联网审批率。指审批接入内联网计算机数量与全部联网计算机数量的比例。该指标反映一个单位对网络接入访问控制水平。
接入城市金融网控制率。指对辖区内金融机构接入城市金融网进行技术和安全性认证的数量。该指标反映省会中心支行对金融机构接入城市金融网网络控制程度。
银行卡系统安全和技术认证率。指对辖区内商业银行新增银行卡系统进行技术和安全性认证的数量。该指标反映省会中心支行对辖内地方性商业银行银行卡系统信息安全控制程度。
4.综合效益。
从直接收益和非经济收益两方面评价,反映收入增长、成本下降、投资回报率、资产回报率、创新能力及社会效益等。
(1)直接经济收益。
系统固定收益率。指由于系统的运行需要,每年获得的上级行拨款与上年度拨款之比。上级拨款没有明确款项用途的,该指标不用。
系统应用收益率。指系统提供服务所获得的净收入与信息化经费支出之比。没有直接收入的该指标不用。
(2)非经济收益。
工作创新情况。指年度内信息部门创新工作得到上级行认可情况。
目标考评结果。指年度内信息部门业务工作目标考评排名。
获奖情况。指年度内信息部门获得单项奖励情况。
社会影响力。信息服务对社会行为的影响能力。
(三)信息系统绩效评价方法。
信息系统绩效评价指标体系由一级指标、二级指标、三级指标、指标描述、评价方法组成,如《信息系统绩效评价指标体系表》所示。
信息系统绩效评价指标体系表
一级指标是绩效评价的主要要素,包括:资源配置、履行职责、客户评价、综合效益四个指标;二级指标是过渡指标,包括信息化重视度、信息技术人员基本素质等11个指标;三级指标是具体评价指标,包括信息化管理最高领导者的地位等38个指标,采用层次分析法设定一、二级指标权重,采用专家法设定三级指标权重,二级指标权重×三级指标权重等于“综合权重”,“综合权重”加权总值为100%。表中每个“评价方法”满分为100分,具体评价时采用审阅、观察、询问、问卷、计算等检查方法,进行定性、定量评价打分,“评价得分”ד综合权重”的积为“实得分”,“实得分”逐项加权等于“总分”,以“总分”确定绩效档次,90分以上为优秀、80~89分为良好、60~79分为合格、60分以下为不合格。在审计报告中应指出绩效方面存在的问题,通过横向纵向比较,分析影响绩效的因素,从而提出有针对性的改进建议。
(作者单位:人民银行景德镇市中心支行)