金融机构IT治理的基本框架问题
2017-05-30朱大鹏
朱大鹏
在移动互联时代,IT对于金融机构的关键价值得到进一步强化。无IT,则无金融。根据1995年全球治理委员会的研究成果,治理是“使相互冲突或不同利益得以调和并且采取联合行动的持续的过程”,因此IT治理就是指企业内围绕IT所进行的过程、协调和持续的互动。对于金融机构而言,从整体上把握IT治理的框架,而不是纠缠于具体细节,具有重要意义。
IT治理的首要目标是什么
IT治理的目标是一个集合,但首要目标应是唯一的。多数的观点认为首要目标是与企业战略或业务融合,发挥支撑作用;或者是为了获取更大的商业价值。笔者认为IT治理的首要目标是控制风险,包括企业的战略风险、操作风险、市场风险和IT风险。金融机构可持续经营的基础是在控制风险前提下获取利润,控制风险是前提;IT作为金融机构运营基础,自然要与金融机构存续的前提有机融合。这样的首要目标,既有利于金融机构稳健经营,也有利于把握战略和业务机会。
IT治理与公司治理的关系
一般认为,IT治理是公司治理的一个组成部分。笔者认为,IT治理是公司治理的重要组成部分,对于银行类金融机构而言,可以说是公司治理中的关键组成部分。原因在于,IT治理是由组织机构、流程和关系机制三部分构成,这三部分能否健康高效运行,最终都受公司治理情况的显著影响。比如,流程中的IT投资决策,如果公司治理结构不健全,大额的IT投资决策很难做到科学、民主和公平。现实中,个别公司治理严重缺失的金融機构,曾花重金外包开发了计算机系统,但三年后开发商已经人去楼空。因此,IT治理是一个金融机构公司治理情况的典型反映。
IT治理与公司战略的关系
一般认为,IT治理是从属于公司战略的,包括企业战略和业务战略。笔者认为,IT治理与公司战略是平等且相互交融的,不存在从属关系。在公司治理的组织结构中,IT治理委员会与战略委员会都是董事会下属的专业委员会。在现实中,任何业务战略没有IT的相应工作,几乎都是水中捞月。因此,这就要求上述两个委员会的人员较高比例的重合,至少30%以上的委员均在两个委员会之中。在流程方面,企业战略和业务战略在规划、研究、拟定阶段,相应的IT部门和人员应深度参与,避免在后续工作中的合作不畅。
IT治理与内部控制的关系
根据银监会《商业银行内部控制指引》的规定,内部控制是指“对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制”。从以上表述可以看出,IT治理与内部控制也是紧密交融的,但内部控制的范围要大于IT治理。金融机构的几乎所有业务,都是通过IT系统来运行的,内部控制自然要融入到IT系统之中。此外,内部控制还要对IT系统之外发挥作用,在IT系统失灵的情况下,仍然要发挥控制作用。因此,内部控制在组织机构、流程和关系机制三个方面,要能够全面覆盖IT治理。这就要求内部控制的牵头部门,与IT治理的牵头部门,要形成良好的协同和互动关系,这也需要一个良好的公司治理环境。
处理好了上述问题,金融机构IT治理的基本框架就是健康、可持续的。至于是科技引领还是科技支撑等问题,就变得无足轻重了。
(作者系华融国际信托副总经理)