世界快报:夯实金融集团信息化治理基础

□石兴

信息化治理架构是金融集团上层决策机制，决定着信息化管理模式；而信息化管理模式是实现治理目标的主要载体。笔者认为，当前信息化治理的关键问题是没有理清金融集团内信息化服务集中和以共享为前提的分层集中之逻辑。

信息化管理模式变革

(资料图片仅供参考)

金融集团有三种类型：一是以保险起家的金融集团，二是以银行起家的金融集团，三是非金融企业、自然人等控股或实际控制的金融集团。

集团信息化治理架构因政策法规、战略规划、经营范围等因素及其变化而在不断探索，集中反映在信息化管理模式的不断变革。以保险业为例，2000年前后，我国保险集团陆续成立，纷纷将信息化工作全部集中于集团作为其加强对保险子公司管理的重要载体，以期共享信息技术和服务，实现降本增效提质之初心，于是信息化由保险子公司集中管理转变为保险集团统一集中管理。2005年前后，保险集团兴起后援中心、共享中心的建设，随后将信息化所有职能部门移至建成的后援中心。痛点和难点及其衍生的问题在实践中时有暴露，有的得到了磨合优化，有的仍无法解决。2015年开始，一些保险集团开始反思，信息化管理模式及其组织形态不断优化演进，乃至剧烈的变革或调整，旨在促进信息技术与保险业深度融合，实现创新发展、共享发展、转型发展。

目前我国保险集团信息化管理模式各异：有的全部回归保险子公司；有的部分集中在集团，部分回归保险子公司；有的依然全部集中于集团；有的采用IT“双模”（信息化建设的交付模式，一种侧重于传统和稳态的系统开发模式，强调安全和稳定，另一种侧重于创新的系统开发模式，强调敏捷性和速度）方式来优化集团和子公司之间的信息化工作的分工与协同。

信息化治理架构和管理模式存在的问题是一个表象，不断地变革说明在探索，至今没有成熟模式说明尚未找到可循的规律，究其原因关键是没有建立集团内信息化服务共享集中的内在逻辑。为此，信息化治理架构优化还得从集团内信息化服务共享谈起。

集团内信息化服务共享

集团信息化服务统指其信息科技部和信息中心为其内部单位所提供的各类信息化工作，包括信息化战略规划、信息技术、资源管理、设施设备、运行管理、风险管理等方面的专业技术服务。信息化服务最为重要的支撑是各类专业人才和设备资产与费用等方面的投入。

集团内信息化服务可分为两类：一类是专属的，即信息化服务仅仅为集团内某家子公司提供或为其所有，没有共享可言；另一类则是同一信息化服务可在集团内全部或部分机构之间可以共享。

集团内信息化服务共享是指同一信息技术产品、软件系统、设施设备或专业服务等，能为集团系统所有单位或部分单位，乃至两个单位所共享。信息化服务共享主要有两种分类：一是按照层级分类，可以分为集团级、板块级（乃至特定公司之间的共享）和子公司（银行、保险一般拥有众多分公司）的三级共享。二是按照对象分类，可分为资源类、技术类和服务类共享；资源类共享又可细分为基础设施、设备资源和人力资源等；技术类共享可进一步分为专利技术、知识产权和标准组件等较为成熟的信息技术等，信息技术可以分为外购和自建两种；专业服务共享包括系统建设、测试运维、运行管理、数据管理、风险管理、信息安全、质量管理、规划咨询、标准化管理等。自建信息技术和专业服务共享的背后主要是人才资源的共享。集团内信息化服务共享的基本逻辑是以共享为前提的分层集中，共享为前提，分层是基础，集中是实现共享的管理手段。

集团内信息化服务共享通过内设相关组织、媒介或交易平台，让集团内相关单位可以更加主动、比较透明地自我掌握哪些信息技术、资产设备和专业服务能为己共享使用，并且愿意为之支付费用，以分摊供方之前投入的研发费用或采购成本。譬如寿险、产险、健康险和养老四家公司都可经营大病医疗、健康险和意外险业务，都可能要开发或采购大病医疗保险、意外健康险业务系统，集团统一集中采购可提高议价能力；如果自己开发建设，只要一家开发完成，可以稍作修改，共享给其他公司使用。

集团内信息化服务共享的目的是挖掘利用集团内的信息技术、资产设备和专业服务等闲置或未被充分利用的资源，通过市场化配置供内部共享使用，也可采取分摊方法、行政干预等机制实施共享，降低集团内重复投资，以促进共同发展，实现供需双方的共同获益，集团利益最大化。

重构信息化风险管理防线

信息化治理架构较为重要的方面是信息化风险管理防线建设，结合信息化风险管理的实际，应针对性重构信息化风险管理防线。

一道防线

根据风险管理第一道防线的定义，信息化风险管理的第一道防线包括信息技术的业务部门及其用户部门。信息技术业务部门是指一个组织直接承担信息化规划预算、系统建设，运行管理、技术创新等信息技术管理与业务部门。信息技术的用户部门是指该组织应用信息系统开展工作的所有部门。

从风险管理防线设立之目的来说，这里的用户部门更多的是指金融机构的前台业务部门和高度依赖信息技术的一些业务支持部门。它们与信息技术业务部门共同承担信息化风险管理第一道防线职能。

一点五道防线

随着信息化风险挑战日益严峻，信息安全管理日益被重视，原先融合在信息技术业务部门的信息安全职能纷纷独立出来，在风险管理部之外再增设信息安全部门，该部门并不直接从事信息化建设工作，而是独立于信息技术业务部门，统筹协调信息安全管理职能，负责信息安全、基础设施安全、资产设备安全、网络安全和数据安全等工作。信息安全管理本质是风险管理，但由于信息安全管理的信息技术专业特性较强，基本自成体系，且与一道防线的关系更为密切，所以不能简单地将信息安全划到通常的一道防线或者二道防线，金融机构的信息安全极端重要，故将介于一二道防线之间的信息安全另列为一点五道防线，使其更能体现自身的工作性质。

二道防线

风险管理部门应该牵头开展、督促风险管理及其每一个流程环节的落实，负责风险管理专业技术、工具和输出，以及负责一些年度重大的、需跨部门沟通协调的，以及无明确主责部门风险的管理职能。风险管理部虽然熟悉风险管理理论和工具的使用，但却不一定精通业务或信息化工作。所以第二道防线的职能并不是都体现在风险管理部的职能上，更多地体现在一种组织、协调、支持、配合方面，帮助业务部门一起管控好信息化风险。

三道防线

三道防线的职能由独立的审计部门承担，由于信息技术专业性较强，有的信息化审计项目委托外部机构开展。

四道防线

信息化运营管理、采购与决策较多，可能会存在腐败、丢失、盘亏和决策浪费等风险。信息化是金融机构创新的重要载体，有创新必有失败。为此要按照创新容错机制和追责问责机制，这是防范信息化风险最为有效的管理举措之一。所以，纪检和监察合并构成信息化风险的第四道防线（信息化风险管理五道防线之间的关系见上图)。

信息化治理需要与之相应的信息化管理模式，以及规章制度、安全指标体系、内部控制工具和方法等来配套。信息化管理是在既定的信息化治理模式下，管理层为实现公司的目标而采取的行动。缺乏良好信息化治理模式，即使有“很好”的信息化管理体系，也会像一座地基不牢固的大厦；同样，如无有效的信息化管理模式，单纯的治理模式也只能是一个美好的蓝图。

（作者系北京师范大学理学博士，现供职于太平金融运营有限公司）

关键词： 信息技术 风险管理 信息安全