本篇是“金融科技”方面的第二篇,主要内容来自于51CTO的FintechCTO私塾上期的课程以及个人的一点发散。
IT治理,听上去很土,但金融科技依托于信息技术,必须要承袭几十年来行业中已经成形的治理方法和体系。在金融、电信、税务的传统软件集成三驾马车里,金融行业信息化走在前列。电信系统本身属于通讯技术,主要是信息的载体和通道,并不进行计算加工。金融的一种定义是资金融通,自从货币成了一般等价物,在银行系统里多数财富只是一串数字记录。这样借假修真脱实向虚之后,对于金融系统的稳定性、准确性、一致性、可追溯等方面要求无疑是更高的,信息流、资金流不容差池。差一分钱和差一百万也许在根因上会有不同,但在客户感知上的风险是一样的,毕竟金融重要的是信用。
对于技术人员来说,IT治理这个词儿不太好理解,本身这就是管理领域的内容。简单来讲,是指IT体系建设中各方利益大化的制度安排,包括业务战略的落地机制、权责对等的职责框架和问责机制,以及资源分配的决策、组织保障、能力发展和绩效管理、风险管控等机制,目标是通过构建可持续发展机制,实现IT商业价值。IT治理注重顶层设计,自上而下,平衡各方利益,构建组织架构、关键流程,确定核心指标,特别强调计划性可控性。IT治理也有成熟度的概念,类似于CMMI。目前业界有一些实践的标准,比如COBIT(专注风控)、ITIL(规则)、ISO/IEC17199(实践探索)、PRINCE2(实践探索)。
对于IT治理,感受直观的就是“萨班斯法案”,我在亚信和当当都经历过内部审计。作为美国对上市公司的合规性要求,会有内外部审计人员对系统数据和工作流程进行梳理和抽查。简单来讲,就是要求一切都有记录可追溯,并且遵守流程和规范。虽然从软件工程角度来说,这是一种理想状态,但实际工作中往往难以面面俱到。比如解决线上问题,可能口头审批,但未必事后会补记录,有的管理系统也不支持后补只能补邮件,邮件多了也不好管理还不如有人拿Excel记个账,也可能很多人都有比较的操作权限,或者掌握统一的用户名密码,搞不清谁是谁。
IT治理是管理的一部分,想要做到位需要企业的整体组织能力和人员素质达到一定水平,并持续付出成本。在传统金融机构中,因为很多核心系统都是采购或者由乙方集成实施的,IT体系的管理难度更大,需要内部有专人负责,于是就有了CIO,不强调技术专业能力,强调的是技术应用、规划和管理。主打技术特色的公司则会设置CTO,强调自己掌握核心技术。无论是I还是T,大概都是指IT技术,都是为业务服务,在商业价值角度是一致的。有的公司会既有CIO又有CTO,CIO偏重内部信息系统,CTO偏重业务系统,会上演一些角色的对立统一戏码,相爱相杀,跟哪吒和敖丙、小鱼儿与花无缺一样。
有意思的是,一般做业务系统的同学会鄙视做内部信息系统的,认为没有啥技术含量,偏偏他们自己也认。的确许多公司的业务系统运转不错,内部系统却一团糟,真的是是因为技术不行?系统是传统软件公司提供的?非也非也,内部系统是一个很特殊的领域,要想做好相当不易。记得当年饿厂CTO雪峰就说过,难做的就是E-HR和OA系统。企业时时刻刻在调整变化,系统很难提前设计好,尤其涉及到组织架构,职能定义,流程、角色、权限、打通各厂商异构系统,内部系统会一直处于被动调整中的状态,怎样才能及时响应,进一步记录下来可追溯,想想都头疼。一个很常见的工作流问题就是如果一个人离职,他作为审批节点的流程如何处理?内部系统做不好,规模较大的公司,整体的运转效率就上不去,成本降不下来,在这个维度上相对弱势。可见无论企业里有CIO还是CTO或者二者并存,IT治理都不可忽视。
对不可或缺的金融监管来说,IT是金融行业的核心基础设施,必须%可控,而在很多新业务开展的场景中,IT已经成为直接的驱动力。有些公司一把手会作为IT治理的高负责人,能够体现出对于IT的重视。IT治理模式受到企业管理模式影响,也会分为专制式、分散式和联邦式。终形成有效的治理水平,解决内外部的矛盾。IT治理水平在某种程度上体现了公司的管理能力,这是一种系统化能力,不是某种高精尖技术点,请个首席科学家就能搞定。公司在发展进步,IT治理也需要不断完善,IT已经是内部管理和业务运营支撑的底层基础,就像是大规模复杂系统的运维平台,乃是重中之重。