金融机构IT治理的基本框架问题

在移动互联时代，IT对于金融机构的关键价值得到进一步强化。无IT，则无金融。根据1995年全球治理委员会的研究成果，治理是“使相互冲突或不同利益得以调和并且采取联合行动的持续的过程”，因此IT治理就是指企业内围绕IT所进行的过程、协调和持续的互动。对于金融机构而言，从整体上把握IT治理的框架，而不是纠缠于具体细节，具有重要意义。

IT治理的首要目标是什么

        IT治理的目标是一个集合，但首要目标应是唯一的。多数的观点认为首要目标是与企业战略或业务融合，发挥支撑作用；或者是为了获取更大的商业价值。笔者认为IT治理的首要目标是控制风险，包括企业的战略风险、操作风险、市场风险和IT风险。金融机构可持续经营的基础是在控制风险前提下获取利润，控制风险是前提；IT作为金融机构运营基础，自然要与金融机构存续的前提有机融合。这样的首要目标，既有利于金融机构稳健经营，也有利于把握战略和业务机会。

IT治理与公司治理的关系

        一般认为，IT治理是公司治理的一个组成部分。笔者认为，IT治理是公司治理的重要组成部分，对于银行类金融机构而言，可以说是公司治理中的关键组成部分。原因在于，IT治理是由组织机构、流程和关系机制三部分构成，这三部分能否健康高效运行，最终都受公司治理情况显著影响。比如，流程中的IT投资决策，如果公司治理结构不健全，大额的IT投资决策很难做到科学、民主和公平。现实中，个别公司治理严重缺失的金融机构，曾花重金外包开发了计算机系统，但三年后开发商已经人去楼空。因此，IT治理是一个金融机构公司治理情况的典型反映。

IT治理与公司战略的关系

        一般认为，IT治理是从属于公司战略的，包括企业战略和业务战略。笔者认为，IT治理与公司战略是平等且相互交融的，不存在从属关系。在公司治理的组织结构中，IT治理委员会与战略委员会都是董事会下属的专业委员会。在现实中，任何业务战略没有IT的相应工作，几乎都是水中捞月。因此，这就要求上述两个委员会的人员较高比例的重合，至少30%以上的委员均在两个委员会之中。在流程方面，企业战略和业务战略在规划、研究、拟定阶段，相应的IT部门和人员应深度参与，避免在后续工作中的合作不畅。

IT治理与内部控制的关系

        根据银监会《商业银行内部控制指引》的规定，内部控制是指“对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制”。从以上表述可以看出，IT治理与内部控制也是紧密交融的，但内部控制的范围要大于IT治理。金融机构的几乎所有业务，都是通过IT系统来运行的，内部控制自然要融入到IT系统之中。此外，内部控制还要对IT系统之外发挥作用，在IT系统失灵的情况下，仍然要发挥控制作用。因此，内部控制在组织机构、流程和关系机制三个方面，要能够全面覆盖IT治理。这就要求内部控制的牵头部门，与IT治理的牵头部门，要形成良好的协同和互动关系，这也需要一个良好的公司治理环境。

        处理好了上述问题，金融机构的IT治理的基本框架就是健康、可持续的。至于是科技引领还是科技支撑等问题，就变得无足轻重了。（作者系华融国际信托副总经理）

（文章来源：新金融世界杂志） 

扫码即可手机
阅读转发此文