浅析跨国区域银行信息科技治理点范文

信息科技治理是通过建立完整的管理组织架构、完备的制度和流程，确保组织的信息科技投资和信息化实施，在控制风险并满足合规性要求的前提下，支持业务目标，支撑业务发展，最终实现信息科技的商业价值。根据集中化经营、集约化管理和可复制的特点和要求，跨国区域银行以子公司牌照和身份对下辖跨国二级分行进行集中管理和运营。

一、跨国区域银行信息科技治理的特点

跨国区域银行由于组织架构和经营模式的特殊性，信息科技治理工作从组织、制度、流程、标准到绩效等维度也相应具有自身的特点。作为一家跨国区域银行，其所辖跨国二级分行可能在财税政策和监管规定上各不相同，诸如分布在美洲和亚太地区国家；也包括同处监管环境类似、甚至使用相同货币但又各自存在一定差异的欧盟地区国家。不同地区、不同国家的金融监管要求各异、会计核算准则和税收政策不尽相同，结合当地实际的政经环境，兼顾经营规模和前瞻性考虑，合理布局、进行有针对性的信息科技体系建设是必然的选择。构建具有跨国区域银行自身特色的治理框架，是一项颇具挑战性的工作。

二、跨国区域银行信息科技治理的难点

笔者曾任职于某一地处美洲地区的商业银行，由于其特殊的监管和财税政策，无法部署和使用集团总公司标准的全球化系统，而只能是和当地其他大多数中小规模外资商业银行类似，通过租赁使用当地的系统开展银行主营业务。由于系统和业务对标集团总公司存在较大的脱节情况，以及本地人员对于系统的可操作范围过大、权限过高和管控颗粒度不够，再加上操作流程规范的缺失，曾出现过由于网银前端没有并发处理机制导致重复扣账，后台业务人员不通过反向冲正交易进行修正，而是直接篡改删除后台数据库记录的情况；还出现过由于重要生产系统版本管理不规范，导致系统版本更新错误，随后发生重大生产事故险些造成银行金融资产严重损失的情况；业务连续性计划（BCP），本应包含和涉及多个部门，却一度仅单独由IT部门制定和牵头实施，而其本质仅是一个网络和系统级别的灾难恢复计划（DRP）而已。类似独立使用本地业务系统、严重依赖当地IT厂商的跨国二级分行，在信息科技治理方面有可能存在诸多问题，例如组织不合理、制度不规范、流程不严谨、标准不到位以及绩效不落实等。对于部署和使用了集团总公司标准全球化系统的跨国区域银行或者二级分行来说，虽然可以通过参照集团内信息科技体系的组织架构、制度流程规范和绩效考核标准，制定和建设自己的信息科技治理框架，但依然存在一些问题。跨国区域银行（以下简称“管辖行”）突出集中管理和运营职能，对所辖跨国二级分行（以下简称“二级行”）的业务发展负责，同时开展自营业务。虽然管辖行以及包括二级行在内的各机构在业务范围上可以保持一致，并且业务模式也是分级管理，但受制于统一系统架构以及出于安全机制方面考虑的限制，各二级行同管辖行在系统架构中均为平级机构，管辖行对于本部和二级行的机构管理、用户管理在日常系统操作中流程复杂繁琐，业务模式的分级管理未在系统中有相应体现，带来诸多问题：管辖行团队在同一系统中不断通过频繁切换多个用户以实现针对不同二级行的授权和审核等管理职能；针对业务管理范围内各二级行的业务数据无法直观有效地查看和监控，只能通过被动接受分行上报或者总部下传方式获取，准确性和有效性大打折扣，从而影响真正通过科技手段实现集约化管理和风险控制。此外还存在但不限于信息科技体系的不健全、信息科技人员的多岗兼职甚至缺失以及信科队伍建设的不稳定性等问题，对管辖行的信息科技治理工作也造成一定的困难。

三、相关建议

结合以上特点与难点，笔者针对如何构建具有跨国区域银行自身特色的治理框架，有效提升信息科技治理能力，结合具体实践提出以下几点建议。

1.打造自上而下金融科技重要性认知的价值体系信息科技治理相较信息科技管理所产生作用的不同在于信息科技管理要“做正确的事”，而信息科技治理要“正确地做事”。因此，部署在海外的商业银行除具备必要的国际化视野，还需要具备与时俱进的金融科技素养和观念，否则科技引领、创新驱动就是伪命题，更谈不上如何正确地做事。引用蚂蚁金服总裁胡晓明在某次媒体采访时所说的话，在这里不一定十分恰当，但现实确实如此：“很多银行都在标榜自己是科技金融机构，我去他们行里和他们开会，他们所有的排序就是行长、副行长、办公室、公司业务部、零售业务部、风险管理部、机构投资部，科技部排在最底下。号称自己是科技创新的银行，科技部门都没有声音，而且被定义为二级部门，有时候甚至是三级部门……”除了有别于总部集团规模和级别，分支机构的信息科技治理工作往往不尽如人意，很大程度还取决于上级机构决策治理的传导和穿透力、本级机构决策层的认知和重视程度等因素，此为信息科技治理的根本和前提。

2.完善细化覆盖全生命周期的IT制度和流程体系信息科技治理本身具有“控制”和“引导”两层含义，制度建设既是这两层含义的具体体现方式，也是信息科技治理的侧重点和规范管理的依据。如何“正确地做事”，需要有清晰明确的界定，什么可以做，什么不可以做。相应的，依据制度建设的管理流程，越是缺乏透明度，就越少有人会遵循它；特殊化的处理越多，对于治理能够成功的信心就越少；信心越少，按照规则去执行的意愿也就会越弱化；特殊化处理和不透明的治理会在信息科技治理的有效性上产生一个向下的螺旋。因此，对于项目管理、信息安全管理、数据管理、运维管理和供应商管理等方面，需着力构建和完善相应的IT制度流程体系，覆盖全生命周期，助力精细化管理。

3.建立科学有效并切实可行的IT风险量化指标体系安全生产无小事，生产事故作为“一票否决权”的关键考核指标，属于不可触碰的红线，因此风险控制是信息科技治理的基本任务。除了用制度和流程管理代替“人治”，针对具体和关键的信息科技风险指标，还需要建立包括全面的计量指标范围、合理的指标阈值设定和完善的监测机制在内的信息科技风险量化指标体系，确保风险可识别、可量化和可监控，以便配合及时的风险报告、处置机制，有效缓释信息科技风险影响，提高信息科技运维治理和管控能力。

4.落实可度量并且可操作的绩效评估体系绩效无法度量也就无从管理,信息科技的激励和约束治理必不可少。从成本与效益、人才与创新以及业务服务与客户服务等维度出发，通过采取定性和定量的指标结合、阶段性定期绩效考核反馈和双向考核机制，使得信息科技人员在定位清晰、守土有责的前提下，鼓励全面下沉支持业务发展，同时配套设计符合信息技术专业特点的职业发展规划，拓展职业发展空间和上升通道，充分调动信息科技人员的创新力和积极性，在确保科技队伍稳定的同时，全面提升IT管理能力，实现信息科技的商业价值。

5.引入区块链技术，打造准“去中心化”概念的信任体系利用区块链技术的分布式数据存储、共识机制和不可逆等特点，可以探索在管辖行与二级行以用私有链方式、在管辖行间用联盟链方式，构建点对点的准“去中心化”信任体系平台，解决管辖行与二级行、管辖行与管辖行之间的关键保密级文件、数据、资金结算交易和清算交易的安全传输，进一步提升效率、加大操作风险和系统风险的管控力度，并且更好地满足合规、实时性等要求。此外，还可以结合智能合约等技术，做好外包供应商的治理与管控，合规有效地处理内外部交易，提升交易的安全性，减轻内外部交易合规检查和监管的压力。

6.优化系统架构，建设区域银行级别的层级管理体系在现行系统架构和运维模式下，尝试构建集团总部标准系统平台与管辖行之间的区域管理平台。以点带面，在完备的机构、用户以及角色管理建设的基础上，引入“单点登录+区域银行管理和业务协作”的大数据平台和云平台，实现一点接入，访问多个业务和管理系统平台数据，并配合前文所述的区块链技术，进行授权审核类交易、贷款额度动态管控交易，尝试解决管辖行代做、一套人马多个用户在不同业务系统中频繁切换的业务痛点，切实保障业务管理的信息科技支撑和引领作用。此外，针对其他具体的IT投资决策、数据信息安全和IT审计等相关的治理工作在此不逐一论述，但仍需作为信息科技治理工作内容的重要组成部分加以重点关注。综上所述，管辖行信息科技治理工作有其自身的特点与难点，利用科学的方法论并结合切实可行的管理和技术手段，治理工作的落地以及所带来的显著效果，必将在当前数字化大变革的时代背景下，实现可持续、跨越式发展的目标。

作者：魏来 单位：中国银行有限公司