| 进入2007年,随着北京银行、南京银行、宁波银行等业绩领先的城市商业银行(以下简称“城商行”)的率先改制上市并在全国各地开设分行,城商行跨区域经营问题再次引起高度关注。在跨区域经营的背后,隐藏的巨大挑战则是业务经营模式及城商行发展战略的改变。而在此过程中,作为支撑银行各项业务发展乃至在提升核心竞争力中扮演关键角色的信息技术应用所面临的机遇和挑战亦成为各城商行高级管理层关切的焦点之一。
全面IT战略规划迫在眉睫
可以说,在城商行成立至今的这短短十数年间,不管依赖于内部的IT资源或外部的专家顾问,极少有城商行在IT系统的投资建设过程中做过真正意义上的全面IT战略规划工作。大部分的所谓IT规划或简单称之计划是建立在系统集成商或软硬件厂商的综合解决方案之上,在相当程度上缺乏独立性和自主性。从而也造成了目前城商行IT系统前瞻性不足及相互间无差异化的普遍现状。
从城商行IT发展的角度而言,跨区域经营将是全面开展IT战略规划的一个契机和最佳推动力。跨区域经营意味着城商行将放弃以往单一区域经营的模式,而将业务触角向外延伸。业务发展战略的改变对IT战略调整的影响显而易见。包括信息科技部门的组织结构、人力资源配备、核心银行系统的设计架构、信息安全策略、网络结构与搭建、运行维护支持、灾备与业务延续计划、系统开发与变更管理、设备采购与标准运用、外包策略的运用,数据中心的建设,甚至日常的监控与审计活动都将不同程度地受到跨区域经营的影响。进而言之,在跨区域经营的途径和方式上,尚有很多模式可供选择,既可以通过设立分支机构的形式,也可以通过兼并、收购的形式;既可以通过参股、控股的形式,也可以通过业务战略联盟、组织机构联合的途径达到跨区域发展的目的。而以上种种性质不同的业务决策又无一不对IT战略规划提出多种灵活的选项要求。
出色的IT战略规划是一个持续运作的闭环过程,毕马威的IT战略规划方法论把具体工作划分为“评估现状”和“规划未来”两大领域并定义了若干阶段里程碑。
该方法论指导执行者从以下六个阶段入手开展IT战略规划工作:
1.理解业务发展方向
首先必须了解银行的业务发展现状和环境以及理解业务战略及发展目标,就跨区域经营而言,该事件本身是业务战略的重大方向调整,而其具体实现方式如上文所述也具有多种选择。因此全面理解银行未来至少3~5年的业务发展方向和选项是IT战略规划不至迷失方向的必要条件。当然跨区域经营只是事务的一个方面,全面关注对IT发展有影响的具体业务发展需求并形成综合的业务发展需求分析报告亦相当重要。
2.评估现有IT能力
跨区域经营对银行信息科技工作的要求和挑战是全方面的,我们可以利用以下平衡计分轮的方法(见图2),对银行的IT能力现状进行充分评估,以识别一旦走向跨区域经营所存在的IT能力差距。平衡计分轮的理论是把IT能力评估划分为架构、治理和交付三个界限明确的独立组成部分同时综合考虑IT战略规划中三者间的平衡发展和资源分配。
3.萃炼业务需求
原则上跨区域经营大部分是将现有的业务模式和产品向异地延伸,但实际工作中也不能排除由于地域差异或者在某些特定区域推行的创新产品对IT应用的新需求。通常讲我们在进行这一步骤时需考虑:评估银行能否将各业务发展目标的潜在利益具体化;比较之前所理解的业务发展需求与业务战略目标是否相一致;召开专题讨论会,确定各种业务发展需求萃炼和优先标准,以及明确IT在整个业务发展战略中的定位;基于萃炼后的业务需求和对IT的发展要求,对现有IT能力进行进一步差距分析;形成萃炼后的业务需求分析报告。
4.识别选择IT可行方案
如果在现状评估阶段已经对包括银行的跨区域经营等业务战略需求进行了充分分析并对现有IT能力进行了全面评估,银行可以按以下步骤识别和选择配套的IT可行方案:结合对IT发展存在的潜在影响和对萃炼后的业务需求的支持程度,考虑现有IT能力的主要特征;为每一个萃炼后的业务需求,设计一套可行方案;评估每一套可行方案;召开专题讨论会,选择可行方案。
值得注意的是,由于城商行目前面临的经营环境尚有很大不确定性,在规划IT可行方案时必须保持相当的灵活性和调整空间以应对业务发展方向的变化。
5.设计IT战略方案
IT战略规划是在综合考虑IT可行方案和IT能力现状及发展空间的基础上形成的。具体步骤:对各个可行性战略方案进行详细分析,考虑它们对未来银行管理架构、IT服务能力和IT管理能力存在的潜在影响;设计未来的银行管理架构,包括信息架构、应用架构和基础设施架构、安全管理、日常服务管理、绩效管理、投资管理和风险管理等流程和制度等;制定战略方案。
6.制订IT战略实施路线图
最后,一个可具操作性的IT战略规划必须有明确的实施路线图及时间表。我们可以通过确定任务的优先级别及定义每一阶段的里程碑和成果来实现有效的进程控制。
理论必须联系实际,现实环境下笔者接触的很多IT管理者往往抱怨全行缺乏明确的业务战略规划而导致IT战略规划落入无的放矢的尴尬境地。笔者也非常赞同IT战略规划应服务于业务战略规划的总体原则,即所谓业务战略规划驱动IT战略规划。当然在此基础上也不排除在个别创新产品领域IT应用手段对业务经营模式的反向拉动作用。在跨区域经营问题上,业务战略规划的主导地位毋庸置疑。IT作为重要的配套手段,要摆正位置视业务之动而动全力服务于全行的业务战略目标,但也要保持一定的主观能动性。
举例而言,目前尚有相当数量的城商行未开展或难以开展全面的3年、5年或更长期业务战略规划工作,跨区域经营甚至也仅仅停留在设想阶段,在未来实现途径和方式也远未有定论。诚然,在上述情况下开展IT战略规划具有相当难度及不确定性。但这并不意味着城商行的IT管理者必须回到走一步看一步,修修补补往前走的老路上。特别是在对待跨区域经营的问题上,IT管理者必须制定具有相当灵活性的战略规划方案以应对银行管理层在业务战略上的多重选项。另外,任何完美的IT战略规划都必须应对业务及IT技术本身的动态变化,持续的更新和修正必不可少。一成不变和缺乏适应性的IT战略规划很难应对城商行面临的国内现实环境的多种不确定性。如何通过跨区域经营的契机,启动并完善IT战略规划,让 IT 竞争力加速形成为现实的业务竞争力至关重要,也具有相当的现实意义。
IT风险管理面临新挑战
所谓风险是指影响预期目标实现的不确定事件。这种不确定事件可以是影响目标实现的危害,也可以是积极机会。风险的属性包括:自身的弱点和外部的威胁;基于这些威胁和弱点,对资产可能产生的影响;风险事件发生的可能性。
自身弱点和外部的威胁构成了特定的风险事件,而某一风险事件的风险等级高低又取决于风险事件发生的可能性及一旦发生所产生影响的大小,换言之,风险等级=产生的影响×发生的可能性。当城商行决定迈向跨区域经营这一预期目标时,就IT风险管理而言,会产生各种不确定事件或称之为风险事件,或者会改变原有风险事件的属性,从而对现有的IT风险等级产生影响。城商行的信息技术管理层在调整IT战略以支持跨区域经营业务战略目标的实现时,必须积极应对由此产生的IT风险等级的潜在变化,并在风险评估的基础上实施有效的内部控制及风险管理手段以避免银行面临过高的IT风险暴露。
毕马威采用的信息科技风险及管制状况评估方法论(ITRMB),把IT风险划分为8个具体的风险领域进行分析。以下笔者以跨区域经营为银行的预期目标,来具体阐述如何分析这一事件对各个IT风险领域的影响。
1.业务关注度
所谓业务关注度是指银行的信息技术战略对整体发展战略和规划的契合度以及信息技术对业务和用户需求的支持度。这里的风险存在于信息技术可能没有满足业务和用户的需求或者信息技术没有恰当地和银行的业务战略及未来的发展计划结合在一起。该风险的影响大小一般与依赖于信息系统的业务流程的重要程度成正比。跨区域经营很大程度上必须依赖于强大高效的信息技术支撑。毋庸置疑,业务关注度的风险影响度将随之增加。而反观其发生可能性,城商行亦要评估由于IT部门的扩大和服务范围的延伸带来的独立性增强是否会加大IT与业务目标脱节的可能性。
2.信息资产
信息资产重要性和安全性的风险主要存在于银行持有的数据和信息(“信息资产”)可能导致的损失。这种损失可能是直接的财务损失或来自于银行声誉受损等非直接损失。通常而言,跨区域经营将使银行得到更多的敏感客户信息和使得银行的财务数据更为机密,一旦发生信息资产安全事件,银行的损失将更大。而由于银行规模扩大带来的声誉和公众形象提升又从另一角度增加了该风险事件发生的概率。
3.对信息技术的依赖程度
银行对信息技术系统的依赖程度越高,可能产生的直接财务损失或名誉损失就会越大。跨区域经营通常会带来更为集中复杂的信息技术应用,如采用高度整合的核心业务系统,对网络容量及传输能力的依赖更高,采用集中的数据中心等等,而大量的银行业务流程及内部控制也将依赖于自动控制实现。银行对信息系统的依赖水平,如可容忍的最大宕机时间可能从以前的小时级上升为分钟级甚至秒级。从风险要素的另外一个方面分析,该风险的发生可能性又通常取决于基于IT支撑的业务流程的数量,信息系统的数量及复杂程度。因此,城商行必须根据自身上述风险因素的不同做出合适的风险重估。
4.对IT部门员工的依赖程度
这里的风险在于银行对其自身IT部员工的依赖程度可能引起的损失。这可能是由于掌握特定的技术和知识的人员流失而产生的损失,也可能是由于IT部员工所掌握的技术不充分而引起的损失。该风险发生的影响程度通常取决于掌握关键技术和知识的人员集中度。集中度越高,银行所承担的由于人员流失而带来损失的风险也越大。同样,如果跨区域经营后,IT部门采用相对集中的组织架构来支持异地分行的运作,该项风险因素就会上升。另外银行亦要关注在走向跨区域经营中由于信息系统升级改造而造成的IT部门员工技术水平脱节的问题,如果新的IT发展战略大量采用新技术、新系统,员工掌握的技术能力的合适性和及时性就会受到挑战。在评估该项风险发生可能性大小时可重点留意IT部门员工的流动率。近期流动率越高通常也意味着该风险发生的概率越高。
5.对外部信息技术服务的依赖程度
此处的风险存在于银行由于对第三方的依赖(如外包商/合作伙伴、供应商、承包商和顾问 )而可能因此承担的损失。第三方对关键技能的遗漏或缩减,或者对业务流程的误解,以及与自行开发相比额外的成本都可能造成已签订合约以外的损失。城商行在评估该项风险时要充分考虑跨区域经营所带来的银行外包策略的改变、异地的供应商情况及可能的核心业务系统改造中的咨询顾问的运用。通常而言,第三方的数目、声望、规模及对城商行信息技术项目或日常运作的参与广度与深度都会对相关风险要素产生影响。
6.信息系统的可靠性
该项风险存在于银行由于缺乏可靠的信息系统而可能承受的损失。损失可能产生于业务信息被不一致或不正确的操作、为纠正问题所做的补救工作和由于对信息系统缺乏信心而采用低效或重复的操作等。信息系统所支持的业务流程、业务活动越多,该风险一旦发生产生的影响也越大。
在重估由于跨区域经营带来的这项风险发生可能性的变化时,可以从四个方面考虑:新上线系统的复杂性,如果跨区域经营后采用的信息系统的复杂程度很高,不论它是一个完整的应用还是一个多接口的最佳方案,系统的可靠性通常都会降低;极端IT技术的运用,尤其是最先使用者,所面临的可靠性更受到质疑;终端用户电脑运作的程度和重复度,如果新的核心业务系统上线后,用户仍大量依赖基于PC的数据处理,如电子表格的应用等,来取代或重复系统处理过程,这足以证明对信息系统的可靠性缺乏信心;实际运行时的出错频率,信息系统实际运行中出现错误和问题的频率直接显示了信息系统的可靠程度。
7.信息技术变更
这里的风险是指由于信息技术环境的变更而产生损失的可能性。风险可能来自于不能满足业务需求的低效或失控的项目;由于持续的维护和变动影响了应有的系统可靠性,从而产生的错误和损失;或者变更的影响没有被充分认识。跨区域经营本身是业务战略上的重大变更,从而可能带来一系列的信息系统变更项目。在重估该项风险时,需要评估牵涉的信息系统变更项目的性质、规模以及影响业务流程的程度。
从发生可能性的角度分析,可以关注以下几点:系统的调整如果带来持续不断的维护工作通常预示着较大的变更风险产生可能;变更的属性预示了将来是否可能会产生错误。一个小改动带来损失的可能性比重新设计项目带来损失的可能性要小得多;复杂程度,变更越复杂所产生的后果越难以被充分了解,变更本身也越难以测试,因此产生损失的可能性扩大。
8.法律规范环境
法律规范环境的风险是由于与信息处理、存储和使用相关的法律规范不一致而导致银行遭到财务上或声望上的损失。这可能表现为相关监管机构的责难、罚款或通报批评。银行业是受到高度监管的行业,银监会及其地方派出机构、地方政府等都会使城商行在迈入异地经营时可能面临截然不同的监管要求和法律法规环境。在重估这方面的IT风险大小时,要充分考虑当地的监管要求、银行的公众形象、系统中持有数据的性质、本地财务报告要求及使用信息系统的特殊规定等因素。
实务工作中,我们可以利用一个二维的风险矩阵来展示跨区域经营这一战略调整事件对银行面临IT风险的影响(见图3:此图仅为示意图,实际IT风险的变动情况应以城商行的具体IT风险评估结果为依据)。在示意图上可以清楚地了解到在预先定义的银行高、中、低风险象限中特定IT风险事件的位置变动情况。
当然,风险重估的目的不仅是为了确定固有的IT风险级别的高低,而是以此为基础最终制定适当的风险管理计划和措施,从而把银行跨区域经营后面临的IT风险控制在管理层的可接受范围内。因此城商行必须结合信息技术管制现状,充分评估当前控制手段下的剩余风险等级。并进一步根据自身的风险接受程度制定合适的风险管理计划和内部控制调整措施。举例而言,即使某两家银行A和B具有同样的如上图所示的IT风险级别,管制能力较强的银行A相对管制能力较弱的银行B而言所面临的剩余风险则较低。再者如果银行A和B所面临的IT剩余风险级别相同,而银行A的管理层对IT剩余风险可接受程度较低,如仅为上图中的绿色区域,而银行B的管理层对IT剩余风险的可接受领域相对较高,如包括上图中黄色和绿色领域,则银行A相对银行B就必须增加更多的相关信息技术控制或更大程度地加大现有控制的力度,以把所有风险事件的剩余风险都控制在绿色象限中。
另外,值得提出的是,银行面临的IT风险始终处于动态变化的环境中,跨区域经营是其中的重要影响因素之一但并非全部。实务中定期IT风险评估或在特殊情况下的专项IT风险评估对城商行及时调整IT管控手段和力度具有十分重要的意义。 |
