電子支付系統(tǒng)的IT治理（上）

ByAMT陳景璉編譯

1.簡介

國際結(jié)算銀行在2001年1月發(fā)布了一份名為《重要支付系統(tǒng)的核心原則》（CPSS43）的報告，在這份報告中強烈認為進行系統(tǒng)治理的舉措對于為市場以及標準制訂者提供信任而言極端重要。而同時國際計算銀行說明盡管高效、責(zé)任清晰同時透明化的治理對于任何私人以及公眾機構(gòu)和組織而言都是很重要的，但是對于系統(tǒng)中極端重要的支付系統(tǒng)而言治理有著更加特殊的意義，因為一般在一個國家中只有幾個這樣的系統(tǒng)，因此這些系統(tǒng)提供的服務(wù)涉及的量很大，而且使得相關(guān)參與方的依賴程度越來越高。治理的措施通常在各個國家中區(qū)別很大，但是好的措施能夠幫助系統(tǒng)的擁有者滿足相關(guān)的需求，不論這些系統(tǒng)是被中央銀行擁有還是私人擁有或者共同擁有，治理都能夠幫助這些支付系統(tǒng)應(yīng)付自己面臨的特殊問題。

高效、責(zé)任清晰同時透明化的治理多很多技術(shù)其實對于各種形式的系統(tǒng)擁有者而言都是很普通的。但是，對于IT治理所使用的資源以及監(jiān)管和控制的級別要與支付系統(tǒng)以及其市場的重要性以及復(fù)雜性相適應(yīng)。在一些情況下，1到2個人員就能完成風(fēng)險管理或者審計職能，但是在一些更加復(fù)雜的系統(tǒng)中，這些都非常重要，因此對于風(fēng)險管理和審計的監(jiān)控可能由負責(zé)管理組織的人員組成的委員會來進行管理更加適宜。而最終好的治理的結(jié)果都是類似的，這與所有權(quán)的形式以及系統(tǒng)的復(fù)雜程度無關(guān)，同時應(yīng)該采用相類似的指標來衡量系統(tǒng)治理方面的績效。

由于電子支付系統(tǒng)功能上的要求，這些系統(tǒng)都是依賴與信息技術(shù)的。因此國際結(jié)算銀行對于電子支付系統(tǒng)重要性的強調(diào)也就隱含了對于IT治理的強調(diào)。而這種隱含也就產(chǎn)生了一些問題：什么是IT治理？為什么IT治理如此重要？確保有效的IT治理的工具有哪些？在IT治理中董事會以及高層管理人員應(yīng)該扮演什么樣的角色？

2.什么是IT治理

當信息技術(shù)已經(jīng)成為企業(yè)成功的一個重要驅(qū)動因素的時候，董事會還沒有跟上這個步伐。信息技術(shù)需要來自董事會的全面而又徹底的治理，但是目前對于IT的監(jiān)管事實上還是不足的，因為IT通常被認為是運作層面上的事務(wù)，管理層對這類的技術(shù)問題缺乏興趣或者專業(yè)知識。而當董事會考察企業(yè)戰(zhàn)略以及戰(zhàn)略風(fēng)險時，IT經(jīng)常被忽視，盡管IT中可能包含高額投資和巨大的風(fēng)險。

而這其中包括的原因有：

2理解技術(shù)能賦予企業(yè)什么樣的能力以及裝造了怎樣的風(fēng)險與機遇需要具有一種對技術(shù)的洞察力；

2對于IT的傳統(tǒng)做法是將其作為與業(yè)務(wù)相分離的事務(wù)；

2IT的復(fù)雜程度很高，對于在網(wǎng)絡(luò)經(jīng)濟中運作的企業(yè)更加如此。

由于從企業(yè)的總體戰(zhàn)略目標中分離出保障目標實現(xiàn)的底層IT戰(zhàn)略變得越來越困難，因此跨越IT治理這道鴻溝也就變得越來越重要。IT治理是非常重要的，因為期望和現(xiàn)實通常是有差距的。董事會希望管理層承擔(dān)各種更重責(zé)任：根據(jù)計劃和預(yù)算實現(xiàn)高質(zhì)量的IT解決方案、利用IT來獲取企業(yè)價值、在管理IT風(fēng)險的同時利用IT提供效率和產(chǎn)出能力。然后，董事會經(jīng)?？吹降氖菢I(yè)務(wù)損失、聲譽受損、競爭地位弱化、未能滿足截止時間要求、遠高于期望水平的成本、原低于期望水平的質(zhì)量以及其他類型的IT措施的失敗。

IT治理擴展了董事會在確定戰(zhàn)略方向，確保滿足目標、管理風(fēng)險以及有效利用資源方面的使命。對于IT的廣泛使用已經(jīng)產(chǎn)生了對信息技術(shù)的依賴性，而這種依賴性使得對于IT治理需要引起足夠重視。

這樣的治理必須確保企業(yè)的IT維持并拓展了企業(yè)戰(zhàn)略與目標。

3.董事會和管理層能做什么？

董事會的職責(zé)包括評價并監(jiān)管企業(yè)戰(zhàn)略，設(shè)定并監(jiān)管管理層績效目標以及實現(xiàn)情況，同時確保組織系統(tǒng)的完備性。

3.1董事會如何理解這些挑戰(zhàn)？

董事會必須集中于下列領(lǐng)域來理解這些挑戰(zhàn)（見表2）：

3.2行政管理人員如何理解期望？

行政人員關(guān)注的重點通常都是成本效率、提高收入以及建立能力，而這些都是要依賴于信息、知識和內(nèi)部架構(gòu)來實現(xiàn)。因為IT是企業(yè)的一個組成部分，而且隨著IT解決方案變得越來越復(fù)雜（外包、第三方合同、網(wǎng)絡(luò)化等等），所以適當?shù)闹卫砭统蔀槠髽I(yè)成功的一個重要因素。從這一點出發(fā)，管理層必須做到以下幾點：

2以一個清晰的風(fēng)險政策和成熟的控制框架為基礎(chǔ)，在組織內(nèi)部牢牢建立起一套責(zé)任明確的風(fēng)險管理機制和IT方面的控制。這個目標也反映在CPSS43中，在這份報告中國際結(jié)算銀行宣稱需要在組織內(nèi)建立明確的責(zé)任以及適當?shù)墓芾韺涌刂?，以及這些相關(guān)的措施。

2在企業(yè)內(nèi)建立各個層次的戰(zhàn)略、政策以及目標，將IT組織與企業(yè)目標相協(xié)調(diào)。

2提供一種組織化的結(jié)構(gòu)來為IT戰(zhàn)略的實施提供支持，同時提供IT架構(gòu)來方便創(chuàng)建和共享。

2借助對IT給企業(yè)帶來的價值和競爭優(yōu)勢的評價來衡量績效，以此來評價IT的運作水平。

2集中于IT必須支持的核心業(yè)務(wù)能力上來，這些核心業(yè)務(wù)能力也就是那些能夠增加客戶價值、使企業(yè)的產(chǎn)品和服務(wù)在市場中歧異化以及在各類產(chǎn)品和服務(wù)中共同增加價值的流程。

2集中于那些能夠增加業(yè)務(wù)價值的重要IT流程中來，例如變革和應(yīng)用管理等。管理層必須在明確這些流程以及相應(yīng)的責(zé)任方面保持積極主動。

2集中于那些規(guī)劃與監(jiān)管IT資產(chǎn)、風(fēng)險、項目、客戶及管理相關(guān)的IT能力上來。國際結(jié)算銀行在CPSS43報告中就闡述了管理層在各個級別上有效地獲取監(jiān)管系統(tǒng)以及運作所必須能力的重要性。

具備清晰地外部采購戰(zhàn)略。拓展的企業(yè)以及獲取外部IT資源和服務(wù)的需求說明了對于第三方合同以及相關(guān)服務(wù)協(xié)議的管理在為企業(yè)提供所需要信息方面的重要性。這同時也需要在組織之間建立一種信任關(guān)系，需要建立聯(lián)系和信息共享，以此建立一種成熟的IT控制和治理實踐。

作者聯(lián)系方式：[email protected]