保险业的信息化与IT治理研究

程惠霞

（北京师范大学管理学院，北京 100875）

    ［摘要］在信息化条件下，单纯依靠公司治理机制并不能保证公司的IT战略与整体战略相匹配，这就需要引入IT治理机制。我国保险业加速信息化对引入IT治理机制提出了现实需求。为因应这种需求，保险企业需要制定适宜的IT治理战略，其主要内容包括：完善公司治理结构、树立IT战略思维、明确IT治理的责任、设立IT治理委员会等。
    ［关键词］保险业；信息化；IT治理；公司治理
    ［中图分类号］ F840.32 ［文献标识码］ A ［文章编号］1004-3306（2007）09-0060-03
    Abstract： Under the environment of informatization, it is not sufficient to ensure that a company′s IT strategy is consistent with its general development strategy relying only on the corporate governance mechanism. This is where the IT governance mechanism comes in. The accelerating pace of informatization in Chinese insurance industry makes IT governance mechanism increasingly a necessity. In response to these needs, insurance companies should decide on their IT governance strategies accordingly. The main content of such a strategy include perfecting corporate governance, establishing an IT strategic mindset, specifying responsibilities of IT governance and setting up IT governance committee, etc.
    Key words：insurance industry, informatization, IT governance, corporate governance

一、从信息化到IT治理
（一）信息化条件下传统公司治理理论缺陷分析
20世纪90年代以来，我国市场经济体制确立并不断完善，建立现代企业制度的改革日益深化，由现代企业制度下所有权与经营权分离所产生的公司治理问题也日趋重要。公司治理关注的重点是公司权利的配置与制衡，目的是激励和约束经营者，保护所有者及其他利益相关者的利益。但随着信息技术的发展与广泛应用，公司呈现出信息化趋势，即使在公司治理结构完善的条件下，仍然不能有效地解决公司治理期望解决的问题。在信息化条件下，传统的公司治理理论显现出某种局限性，主要表现在：
1.信息技术投资失配风险
信息化过程必然是一个大规模的IT投资过程。比如，美国保险业的IT投资约占当年保费收入总额的6%左右。如此庞大的IT投资，仅仅作为技术层面的决策问题处理，即使在治理机制完善的公司里，很多时候也不能得到预期的效果。以企业资源管理系统（Enterprise Resource Planning，ERP）为例，据调查，全球ERP实施失败率高达70％以上，国内虽未有权威的统计，但20％的成功率几乎是业界的共识。许多IT企业倾向于给客户推荐最先进的IT方案和设备，而不考虑其是否适合该企业；企业亦缺乏清晰的、与整体战略相契合的IT战略，管理架构不明。快速变化的技术使企业在IT投资方面的决策十分困难，在“求新”的心理下导入ERP系统，在实践中遭遇诸多障碍，收效甚微。
2.现代信息技术在大大提高公司效率的同时，其携带的风险因素也逐步暴露
企业信息日益走向集成化，集中处理和存储的信息一旦因外部或者系统本身的原因造成损失，就可能带来巨大灾难。2006年4月20日，中国唯一的跨行支付清算系统——中国银联系统主机发生故障，造成跨行交易中断9小时。企业力图通过“不把所有鸡蛋放到一个篮子里”来规避业务风险的同时，信息风险却呈现出相反的趋势。近年来兴起的信息异地备份虽然可以避免来自外界的冲击，但源于系统本身的风险似乎有增无减。外界攻击、信息失密、系统瘫痪时有发生。公司越是依赖信息系统，公司的信息风险越大①。
上述风险看似技术风险，实际上蕴涵着治理层面的危机。它说明，在信息化条件下，IT的价值、风险、控制和绩效已经不是一个技术层面、管理层面可以解决的了，而是一个特征鲜明的“治理问题”，由此就出现了“IT治理”问题。
［作者简介］程惠霞，清华大学管理学博士，现供职于北京师范大学管理学院。
（二）IT治理的概念及其与公司治理的关系
IT治理是一个由关系和过程组成的机制，用于指导和控制企业，通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。通过这种机制和架构，IT的决策、实施、服务、监督等流程，IT的各类资源和信息与企业战略和目标紧密关联。同时，把在IT各个方面的最佳实践从公司战略的角度加以有机融合，从而使企业能够最大化IT的价值，并能够抓住IT赋予的机遇和竞争优势。实质上，IT治理是股东和其他利益相关主体对IT经营者的监督和制衡机制，确保IT战略和公司战略的一致和匹配。
最先将IT治理作为一种公司管理理论来研究的，是1998年成立于美国的一个非赢利组织——“IT治理协会”（ITGI，IT Governance Institute）。IT治理的理论框架就是该协会借鉴公司治理的框架和内涵，将信息系统的应用以及由此对企业发展各方面产生的影响上升到治理的高度而提出的。
公司治理与IT治理是紧密相关的。公司治理的核心是通过权力制衡，监督管理者的绩效，保证股东和其他利益相关者的权益。IT治理的核心是确保IT投资与公司战略目标相一致，从而提升核心竞争力。可见，IT治理是公司治理的一个有机组成部分（参见图1）。
图1公司治理与IT治理的关系
公司治理与IT治理又有显著的区别。公司治理侧重战略目标的制定，而IT治理侧重与目标相匹配的过程实现；公司治理侧重创新能力的鼓励和保障，而IT治理侧重对知识资产、智力资产在有效的机制下予以管理和实现；公司治理侧重企业整体规划，IT治理侧重于企业中信息资源的有效利用和管理。
二、保险业的信息化与IT治理需求
在信息化背景下，信息资源的重要性与日俱增，一些行业和企业已经成长为 “信息依赖型”企业和“数字资产密集型”企业。保险业作为重要的服务业，是典型的信息依赖型企业，承保、理赔、业务及财务统计、风险监控、资金运用等经营的主要环节一刻也离不开信息系统。目前，我国保险业正经历一场信息化热潮，新的保险经营主体普遍投巨资来建立信息集中管理模式，一些历史较长的大公司也正加紧信息集中的进程。保险业的信息化对IT治理提出了现实需求。
（一）IT技术的发展及其在保险业的应用，促使企业竞争优势的源泉发生变化
“广铺网点，零距离为客户服务”的传统模式不仅成本高昂、效率低下，而且信息兼容性、可靠性均很差，已不能适应信息化、知识化发展趋势。而IT却能够以更为经济的方式实现对传统模式的某种替代，以更高的效率、更低的风险获得竞争优势。近年来兴起的网上营销、网上核保就是典型的例子。英国保险巨头保诚集团已经率先把保险营销的重点转向了网上营销。20世纪80年代后期以来，我国直接保险市场主体迅速增加，他们在机构网点、客户资源等方面与老牌的保险企业无法相比，但其中很多都能够成功地在夹缝中成长起来，除了其机制灵活以外，IT所致的“后发优势”也是重要原因。实际上，很多新保险主体都把IT作为塑造其竞争优势的战略选择之一。“未来企业的成功与否，将直接取决于企业运用IT加强其实现商业目标的能力。在那样一个环境中，对于IT的治理完全可以等同于董事会与管理原则之于公司治理或企业治理的重要性。有效的IT治理将帮助提升IT对于各项业务目标的支持能力，实现IT投资利益的最大化，正确地管理与IT相关的风险和机会。”②
（二）伴随着我国保险业的信息化，在IT上的投资将越来越大
据计世资讯公司提供的数字，2000年~2004年，我国保险业IT投入年均增长率高达12.9%，2004和2005年分别达到13.6亿元和15.1亿元。该公司还预测，2005年~2008年，国内保险业的IT投入年均增长率仍将高达9.7%③。而联想智软公司的预测更为乐观：未来几年，国内保险公司在IT建设上的投入，将会以每年30%的速度递增。保险企业在IT上的投资巨大，投资的风险也随之加大。如果IT投资与整体发展战略不相匹配，不仅会造成公司财力的巨大浪费，更严重的是可能阻滞公司实现战略目标。实施IT治理有助于契合公司发展战略和IT战略，实现相互促进，可持续发展。
（三）充分有效地发挥IT系统的功能
作为工具的IT系统本身既不能提升优势，也不能降低风险，关键是要充分有效地发挥其功能。决定系统能否有效运转的因素不是技术，而是制度、组织、规则与标准。正如知识管理大师保罗?斯特斯曼指出的那样：“信息系统在企业中从根本上来说已经是一种政治，其次才是一门技术。”这里
①1999年英国BIS发布的Internal Control: Guidance for Directors on the Combined Code（ Turnbull Report，1999）报告认为：“企业风险来自于许多活动，不只是财务风险，因为事实说明，在金融界所有过去的风险问题都是由内部控制疏忽、信息技术失败引起的，而且所有企业最终依靠对信息技术基础设施的依赖和新技术风险的脆弱性，并呼吁高层领导树立风险意识。”
②引自IT治理协会网站（www.ITGI.org）。
③北京时代计世资讯有限公司，《2005年中国保险行业信息化建设及IT应用趋势报告》。的“政治”就是指，无论是资金的投入还是对信息系统的使用和管理，企业首要关注点应该是使用技术的环境而不是技术本身。这个环境可以理解为业务、商业风险、组织能力、运作能力和竞争能力等。只有与这些“政治”要素相匹配和融合才能实现IT投资的最终目的。因此，要使信息系统有效运作，就需要一整套规则和制度安排，比如信息部门的组织架构及职责划分，使用者的分级授权，数据安全规范等，也就是IT内部治理机制。但这恰恰是保险企业IT建设最薄弱的环节。
顺应这些需求，我国保险业应引入IT治理机制以监控、审计和管理信息化进程。
三、我国保险业的IT治理战略
（一）我国保险业开展IT治理环境分析
目前，我国保险业开展IT治理的基础比较薄弱，突出表现在公司治理机制的不健全上。三大国有保险公司虽初步完成了股份制改革，但均采用了业务分拆成立股份制子公司，由集团公司控股的模式。股份制子公司成立时间不久，自身的公司治理结构尚待完善，而且在实际运作中，其与控股的集团公司之间的关系并非规范的股东关系，中间还掺杂着一些行政因素，在很多方面还需理顺。比如子公司的管理者基本上是控股公司从自己内部的干部中推荐的，董事会的聘任仅具程序化的意义。虽然其他多数市场主体采取了股份公司的组织形式，设立了董事会、监事会、股东大会等机构，但就公司治理结构实质而言，还存在诸多有待解决的问题：很多公司股权结构不合理；董事会对高层管理者只是形式上的聘任或解聘，其制约和监督职能相对弱化；监督机构虚设使得内部监督力量薄弱。良好的公司治理是信息化建设成功的必要条件，在公司治理机制十分薄弱的基础上，IT治理的目标很难得到有效保证。
（二）我国保险业的IT治理战略
1.着力完善保险企业的公司治理结构
公司的治理结构和治理水平决定了IT的治理结构和治理水平。引入IT治理战略的首要任务是建立规范的公司治理机制，真正划分所有者、经营者和监督者的责权，在三者之间形成相互分权、相互制衡的机制；正确处理股东之间、股东与公司之间的关系，保证股东的平等权利，避免大股东侵害中小股东利益的行为；积极培育职业经理人市场，使保险企业的高层管理者真正成为职业经理人；强化信息披露机制，提高公司运作的公正性和透明度，保证所有股东和利益相关者具有公平的知情权，使企业切实处于他们的监督之中。
2.公司的决策层和管理层应树立IT战略思维
对IT战略的认同是实施IT治理的先决条件。以往我国保险企业习惯于把IT决策作为一种技术决策来对待，几乎没有多少企业认识到制定IT战略的目的与意义。若在一家企业里，IT的作用只是战术性、辅助性的，那么IT治理至多只是锦上添花而已。相反的极端情况是，许多企业的领导，对于信息化有一种常识性的误区，认为一上信息化，企业内部的管理、营销、财务等等问题都可迎刃而解。在这种观念的引导下，往往不切实际地上了一些IT项目。所以，专家指出，在很多企业里，所欠缺的并非是先进的技术和设备，而是正确的IT管理理念和方法论。要实现有效的IT治理，企业的决策及管理层必须树立IT战略思维，制定清晰的、与公司整体战略匹配的IT战略。同时，必须认识到实施IT战略并非空中楼阁，而要受到企业某些实际条件的约束，IT战略只有充分尊重这些约束条件，符合实际，才可能取得预期的效果。
3.明确IT治理是董事会和经营者的共同责任
由于信息技术的使用涉及到组织的所有层次和部门，因此单纯由董事会或高管层决策是不科学的。为使董事会和高层管理者协同一致，共同承担起IT治理的责任，就要形成明确的授权和有效的监控机制。IT治理是对信息技术投入和使用的权力划分和责任分配，并形成组织所希望的行为。IT治理的核心任务是：确定组织应在信息技术的哪些方面决策，并将决策权力划分给相应的管理层次或部门。但是，要使公司IT建设始终保持正确方向，还必须建立并实施一套有效的监控措施。正因如此，Peter.Weill等人从权力配置角度，认为IT治理的关键在于授权与控制并举。
4.设立公司IT治理委员会
公司施行IT治理是一项纵向涉及从最高层对普通员工、横向覆盖所有部门的系统工程，工作要扎实，成效要实在，必须有一定的组织保障。因此，应该设立IT治理委员会。IT治理委员会应由董事会成员、高层管理者和该领域的专家学者共同组成。
保险企业属典型的信息依赖型服务行业，在行业信息化条件下，保险企业未来的成功与否将直接取决于其运用IT实现战略目标的能力。在此情况下，把IT决策仅仅作为一种技术层面的决策来处理的传统做法必将被舍弃，代之以战略思维与战略决策方法。要保证IT战略与公司的整体战略相一致，就应该引入IT治理机制。从我国保险业的实际出发，我国保险业的IT治理战略应该包括完善公司治理结构、树立IT战略思维、设立IT治理委员会等内容。
［参考文献］
［1］（英）E．乔丹，L．赛尔库克，著.汤大马译．IT风险：基于IT治理的风险管理之道［M］．清华大学出版社，2006.
［2］ITGI. IT governance Domain Practices and Competencies: Measuring and Demonstrating the Value of IT，2005.
［3］ITGI. IT governance Global Status Repot，2004.
［4］ITGI. IT governance Executive Summary ，2003，2004.
［5］杨永燕,刘磊．IT治理之道．CIO Insight．2007,（7）.
［6］李维安，王德禄．IT治理的两个模型及其比较分析．中国计算机用户，2005-08-16.
［编辑：施敏］保险研究2007年第9期精算专栏INSURANCE STUDIESNo.92007