金融科技：绕不过去的IT治理

IT 治理，听上去很土，但金融科技依托于信息技术，必须要承袭几十年来行业中已经成形的治理方法和体系。在金融、电信、税务的传统软件集成三驾马车里，金融行业信息化走在前列。电信系统本身属于通讯技术，主要是信息的载体和通道，并不进行计算加工。金融的一种定义是资金融通，自从货币成了一般等价物，在银行系统里多数财富只是一串数字记录。这样借假修真脱实向虚之后，对于金融系统的稳定性、准确性、一致性、可追溯等方面要求无疑是更高的，信息流、资金流不容差池。差一分钱和差一百万也许在根因上会有不同，但在客户感知上的风险是一样的，毕竟金融最重要的是信用。

对于技术人员来说，IT 治理这个词儿不太好理解，本身这就是管理领域的内容。简单来讲，是指 IT 体系建设中各方利益最大化的制度安排，包括业务战略的落地机制、权责对等的职责框架和问责机制，以及资源分配的决策、组织保障、能力发展和绩效管理、风险管控等机制，目标是通过构建可持续发展机制，实现 IT 商业价值。IT 治理注重顶层设计，自上而下，平衡各方利益，构建组织架构、关键流程，确定核心指标，特别强调计划性可控性。IT 治理也有成熟度的概念，类似于 CMMI。目前业界有一些实践的标准，比如 COBIT（专注风控）、ITIL（规则）、ISO/IEC17199（实践探索）、PRINCE2（实践探索）。

对于 IT 治理，感受最直观的就是“萨班斯法案”，我在亚信和当当都经历过内部审计。作为美国对上市公司的合规性要求，会有内外部审计人员对系统数据和工作流程进行梳理和抽查。简单来讲，就是要求一切都有记录可追溯，并且遵守流程和规范。虽然从软件工程角度来说，这是一种理想状态，但实际工作中往往难以面面俱到。比如解决线上问题，可能口头审批，但未必事后会补记录，有的管理系统也不支持后补只能补邮件，邮件多了也不好管理还不如有人拿 Excel 记个账，也可能很多人都有比较高级的操作权限，或者掌握统一的用户名密码，搞不清谁是谁。

IT 治理是管理的一部分，想要做到位需要企业的整体组织能力和人员素质达到一定水平，并持续付出成本。在传统金融机构中，因为很多核心系统都是采购或者由乙方集成实施的，IT 体系的管理难度更大，需要内部有专人负责，于是就有了 CIO，不强调技术专业能力，强调的是技术应用、规划和管理。主打技术特色的公司则会设置 CTO，强调自己掌握核心技术。无论是 I 还是 T，大概都是指 IT 技术，都是为业务服务，在商业价值角度是一致的。有的公司会既有 CIO 又有 CTO，CIO 偏重内部信息系统，CTO 偏重业务系统，会上演一些角色的对立统一戏码，相爱相杀，跟哪吒和敖丙、小鱼儿与花无缺一样。

有意思的是，一般做业务系统的同学会鄙视做内部信息系统的，认为没有啥技术含量，偏偏他们自己也认。的确许多公司的业务系统运转不错，内部系统却一团糟，真的是是因为技术不行？系统是传统软件公司提供的？非也非也，内部系统是一个很特殊的领域，要想做好相当不易。记得当年饿厂 CTO 雪峰就说过，最难做的就是 E-HR 和 OA 系统。企业时时刻刻在调整变化，系统很难提前设计好，尤其涉及到组织架构，职能定义，流程、角色、权限、打通各厂商异构系统，内部系统会一直处于被动调整中的状态，怎样才能及时响应，进一步记录下来可追溯，想想都头疼。一个很常见的工作流问题就是如果一个人离职，他作为审批节点的流程如何处理？内部系统做不好，规模较大的公司，整体的运转效率就上不去，成本降不下来，在这个维度上相对弱势。可见无论企业里有 CIO 还是 CTO 或者二者并存，IT 治理都不可忽视。

对不可或缺的金融监管来说，IT 是金融行业的核心基础设施，必须 100%可控，而在很多新业务开展的场景中，IT 已经成为直接的驱动力。有些公司一把手会作为 IT 治理的最高负责人，能够体现出对于 IT 的重视。IT 治理模式受到企业管理模式影响，也会分为专制式、分散式和联邦式。最终形成有效的治理水平，解决内外部的矛盾。IT 治理水平在某种程度上体现了公司的管理能力，这是一种系统化能力，不是某种高精尖技术点，请个首席科学家就能搞定。公司在发展进步，IT 治理也需要不断完善，IT 已经是内部管理和业务运营支撑的底层基础，就像是大规模复杂系统的运维平台，乃是重中之重。

本文转载自 IT 民工闲话 公众号。

原文链接：https://mp.weixin.qq.com/s/w_PZXHGlQAXzMHhD9LKijw