保险行业IT风险治理:CIO要有业务价值概念

“对于CIO来说,不是只有IT系统宕机、网络病毒、数据中心机房遭遇地震等等才叫IT风险,这只是一小部分,还有很大部分是IT系统和IT支援没有达到公司领导和业务部门的要求,这才是日常非常常见的大量的IT风险”。在日前举办的“Future-S第七届风险管理双城年会”上,来自正德人寿保险股份有限公司的总裁助理兼首席信息官裴兆旭先生这样告诉51CTO记者。

基于业务价值做好IT战略规划

IT部门本质上是为了支援公司业务,解决公司业务IT需求而存在的,所以,能否满足业务要求,是CIO必须面对的问题。然而,实际的情况是,“你所面临的业务需求永远大于你所拥有的资源”。

在时间、人员、资源不足的情况下,CIO要如何做好IT战略规划?

“你一定要抓住业务需求的重点,为了业务重点去配置IT部门的人力的资源、配置IT预算、配置相应的开发项目等等”,裴兆旭说。

而对这个“重点”的判断,裴兆旭有一个原则:衡量业务价值。

比如,业务部门同时提出三个业务需求,其中每个业务需求都有一系列的IT开发投入要求,但拘于资源限制,只能保“重点”,选择其中一个重点项目来实施。应该选哪个业务需求?

答案是要依据业务价值来选择,应该选择业务价值最大的那个业务需求:“不要单看IT本身的成本,而是要看它创造的业绩”,裴兆旭以正德人寿本身情况举例:正德人寿的IT系统包括核心业务系统、财务系统、银保通系统、查询报表系统等等,其中业绩产出最大的是核心业务系统和银保通系统,每天能生产2000多万元的保费业务,而对银保通系统的IT投入只花了几十万元,“所以如果银保通要增加扩充,公司领导会非常愿意。但如果是其他对于业务绩效帮助不大的IT系统开发需求,即便只花几十万元,公司领导可能也会不同意”。

CIO应重点关注项目的可实现度

对于项目价值的衡量最直观的方法是该项目能产出多少业绩、多少钱,但是裴兆旭建议CIO不需要在计算绩效产出上面花费太多的精力,因为公司领导和财务长会关注这些数据。他说CIO所要重点关注的是业务需求开发项目的隐含价值。“比如业务部门说这个新产品的销售目标是几十亿的销售额,你要花点功夫看看他说的这个新产品销售目标可实现度。如果这个销售目标是某些业务部门缺乏经验的人拍脑袋吹牛订出的销售目标,你要是跟着去做,花了很多IT开发资源,以后它失败了你也失败了。开发任何一个新产品不论其销售绩效大小,开发的功夫一点都不能省。所以,既为了公司也为了自己,你一定要提前判断开发需求的业务价值”。

裴兆旭说,这种判断力更多是依靠CIO的日常积累经验。分析软件的作用只是辅助,因为市场环境是随时变化的,而“放到软件里东西都是固化的”,这就好比炒股,有那么多分析软件,最后决策还是得靠人的判断力。

“IT业务化”是做出正确判断的前提

与项目价值判断一样,IT项目的投入也分为显性部分和隐性部分。显性部分包括设备的购入,人员的薪资等等,而隐性投入则包括时间成本、政治影响成本、品牌影响成本、监管风险、市场风险等等——这部分正是IT风险所在。

在对该风险的衡量上,裴兆旭说,“第一要分析,要具体情况具体分析,用分析的方法、分析的态度来判断问题和风险。不要乱猜。”因为市场是变化的,每个公司“体质”也不一样,所以“不要一概而论,一概而论会有误差,这个误差是失败的关键”裴兆旭说。

此外,“IT业务化”是做出正确分析的前提:“你要熟悉你的业务形态,熟悉你的业务流程,熟悉你的市场环境……这个没有什么偏方药”。

裴兆旭总结道:隐性的成本、隐性的风险,都是属于信息不对称,经验不够,判断力不准确,被误导,不清楚自己的条件,或者对于技术成熟度掌控不好等原因造成的。他说,“CIO做IT治理需要分析IT风险,需要采用业务价值来分析IT风险。就像保险公司经营风险一样,CIO需要用业务价值杠杆来经营IT风险,才能为公司的业务发展做好IT 支援。”