电子支付系统的IT治理（上）

ByAMT陈景琏编译

1.简介

国际结算银行在2001年1月发布了一份名为《重要支付系统的核心原则》（CPSS43）的报告，在这份报告中强烈认为进行系统治理的举措对于为市场以及标准制订者提供信任而言极端重要。而同时国际计算银行说明尽管高效、责任清晰同时透明化的治理对于任何私人以及公众机构和组织而言都是很重要的，但是对于系统中极端重要的支付系统而言治理有着更加特殊的意义，因为一般在一个国家中只有几个这样的系统，因此这些系统提供的服务涉及的量很大，而且使得相关参与方的依赖程度越来越高。治理的措施通常在各个国家中区别很大，但是好的措施能够帮助系统的拥有者满足相关的需求，不论这些系统是被中央银行拥有还是私人拥有或者共同拥有，治理都能够帮助这些支付系统应付自己面临的特殊问题。

高效、责任清晰同时透明化的治理多很多技术其实对于各种形式的系统拥有者而言都是很普通的。但是，对于IT治理所使用的资源以及监管和控制的级别要与支付系统以及其市场的重要性以及复杂性相适应。在一些情况下，1到2个人员就能完成风险管理或者审计职能，但是在一些更加复杂的系统中，这些都非常重要，因此对于风险管理和审计的监控可能由负责管理组织的人员组成的委员会来进行管理更加适宜。而最终好的治理的结果都是类似的，这与所有权的形式以及系统的复杂程度无关，同时应该采用相类似的指标来衡量系统治理方面的绩效。

由于电子支付系统功能上的要求，这些系统都是依赖与信息技术的。因此国际结算银行对于电子支付系统重要性的强调也就隐含了对于IT治理的强调。而这种隐含也就产生了一些问题：什么是IT治理？为什么IT治理如此重要？确保有效的IT治理的工具有哪些？在IT治理中董事会以及高层管理人员应该扮演什么样的角色？

2.什么是IT治理

当信息技术已经成为企业成功的一个重要驱动因素的时候，董事会还没有跟上这个步伐。信息技术需要来自董事会的全面而又彻底的治理，但是目前对于IT的监管事实上还是不足的，因为IT通常被认为是运作层面上的事务，管理层对这类的技术问题缺乏兴趣或者专业知识。而当董事会考察企业战略以及战略风险时，IT经常被忽视，尽管IT中可能包含高额投资和巨大的风险。

而这其中包括的原因有：

2理解技术能赋予企业什么样的能力以及装造了怎样的风险与机遇需要具有一种对技术的洞察力；

2对于IT的传统做法是将其作为与业务相分离的事务；

2IT的复杂程度很高，对于在网络经济中运作的企业更加如此。

由于从企业的总体战略目标中分离出保障目标实现的底层IT战略变得越来越困难，因此跨越IT治理这道鸿沟也就变得越来越重要。IT治理是非常重要的，因为期望和现实通常是有差距的。董事会希望管理层承担各种更重责任：根据计划和预算实现高质量的IT解决方案、利用IT来获取企业价值、在管理IT风险的同时利用IT提供效率和产出能力。然后，董事会经常看到的是业务损失、声誉受损、竞争地位弱化、未能满足截止时间要求、远高于期望水平的成本、原低于期望水平的质量以及其他类型的IT措施的失败。

IT治理扩展了董事会在确定战略方向，确保满足目标、管理风险以及有效利用资源方面的使命。对于IT的广泛使用已经产生了对信息技术的依赖性，而这种依赖性使得对于IT治理需要引起足够重视。

这样的治理必须确保企业的IT维持并拓展了企业战略与目标。

3.董事会和管理层能做什么？

董事会的职责包括评价并监管企业战略，设定并监管管理层绩效目标以及实现情况，同时确保组织系统的完备性。

3.1董事会如何理解这些挑战？

董事会必须集中于下列领域来理解这些挑战（见表2）：

3.2行政管理人员如何理解期望？

行政人员关注的重点通常都是成本效率、提高收入以及建立能力，而这些都是要依赖于信息、知识和内部架构来实现。因为IT是企业的一个组成部分，而且随着IT解决方案变得越来越复杂（外包、第三方合同、网络化等等），所以适当的治理就成为企业成功的一个重要因素。从这一点出发，管理层必须做到以下几点：

2以一个清晰的风险政策和成熟的控制框架为基础，在组织内部牢牢建立起一套责任明确的风险管理机制和IT方面的控制。这个目标也反映在CPSS43中，在这份报告中国际结算银行宣称需要在组织内建立明确的责任以及适当的管理层控制，以及这些相关的措施。

2在企业内建立各个层次的战略、政策以及目标，将IT组织与企业目标相协调。

2提供一种组织化的结构来为IT战略的实施提供支持，同时提供IT架构来方便创建和共享。

2借助对IT给企业带来的价值和竞争优势的评价来衡量绩效，以此来评价IT的运作水平。

2集中于IT必须支持的核心业务能力上来，这些核心业务能力也就是那些能够增加客户价值、使企业的产品和服务在市场中歧异化以及在各类产品和服务中共同增加价值的流程。

2集中于那些能够增加业务价值的重要IT流程中来，例如变革和应用管理等。管理层必须在明确这些流程以及相应的责任方面保持积极主动。

2集中于那些规划与监管IT资产、风险、项目、客户及管理相关的IT能力上来。国际结算银行在CPSS43报告中就阐述了管理层在各个级别上有效地获取监管系统以及运作所必须能力的重要性。

具备清晰地外部采购战略。拓展的企业以及获取外部IT资源和服务的需求说明了对于第三方合同以及相关服务协议的管理在为企业提供所需要信息方面的重要性。这同时也需要在组织之间建立一种信任关系，需要建立联系和信息共享，以此建立一种成熟的IT控制和治理实践。

作者联系方式：jinglian.chen@amteam.org