“對于CIO來說，不是只有IT系統宕機、網絡病毒、數據中心機房遭遇地震等等才叫IT風險，這只是一小部分，還有很大部分是IT系統和IT支援沒有達到公司領導和業務部門的要求，這才是日常非常常見的大量的IT風險”。在日前舉辦的“Future-S第七屆風險管理雙城年會”上，來自正德人壽保險股份有限公司的總裁助理兼首席信息官裴兆旭先生這樣告訴51CTO記者。

基于業務價值做好IT戰略規劃

IT部門本質上是為了支援公司業務，解決公司業務IT需求而存在的，所以，能否滿足業務要求，是CIO必須面對的問題。然而，實際的情況是，“你所面臨的業務需求永遠大于你所擁有的資源”。

在時間、人員、資源不足的情況下，CIO要如何做好IT戰略規劃?

“你一定要抓住業務需求的重點，為了業務重點去配置IT部門的人力的資源、配置IT預算、配置相應的開發項目等等”，裴兆旭說。

而對這個“重點”的判斷，裴兆旭有一個原則：衡量業務價值。

比如，業務部門同時提出三個業務需求，其中每個業務需求都有一系列的IT開發投入要求，但拘于資源限制，只能保“重點”，選擇其中一個重點項目來實施。應該選哪個業務需求?

答案是要依據業務價值來選擇，應該選擇業務價值最大的那個業務需求：“不要單看IT本身的成本，而是要看它創造的業績”，裴兆旭以正德人壽本身情況舉例：正德人壽的IT系統包括核心業務系統、財務系統、銀保通系統、查詢報表系統等等，其中業績產出最大的是核心業務系統和銀保通系統，每天能生產2000多萬元的保費業務，而對銀保通系統的IT投入只花了幾十萬元，“所以如果銀保通要增加擴充，公司領導會非常愿意。但如果是其他對于業務績效幫助不大的IT系統開發需求，即便只花幾十萬元，公司領導可能也會不同意”。

#p#

CIO應重點關注項目的可實現度

對于項目價值的衡量最直觀的方法是該項目能產出多少業績、多少錢，但是裴兆旭建議CIO不需要在計算績效產出上面花費太多的精力，因為公司領導和財務長會關注這些數據。他說CIO所要重點關注的是業務需求開發項目的隱含價值。“比如業務部門說這個新產品的銷售目標是幾十億的銷售額，你要花點功夫看看他說的這個新產品銷售目標可實現度。如果這個銷售目標是某些業務部門缺乏經驗的人拍腦袋吹牛訂出的銷售目標，你要是跟著去做，花了很多IT開發資源，以后它失敗了你也失敗了。開發任何一個新產品不論其銷售績效大小，開發的功夫一點都不能省。所以，既為了公司也為了自己，你一定要提前判斷開發需求的業務價值”。

裴兆旭說，這種判斷力更多是依靠CIO的日常積累經驗。分析軟件的作用只是輔助，因為市場環境是隨時變化的，而“放到軟件里東西都是固化的”，這就好比炒股，有那么多分析軟件，最后決策還是得靠人的判斷力。

#p#

“IT業務化”是做出正確判斷的前提

與項目價值判斷一樣，IT項目的投入也分為顯性部分和隱性部分。顯性部分包括設備的購入，人員的薪資等等，而隱性投入則包括時間成本、政治影響成本、品牌影響成本、監管風險、市場風險等等——這部分正是IT風險所在。

在對該風險的衡量上，裴兆旭說，“第一要分析，要具體情況具體分析，用分析的方法、分析的態度來判斷問題和風險。不要亂猜。”因為市場是變化的，每個公司“體質”也不一樣，所以“不要一概而論，一概而論會有誤差，這個誤差是失敗的關鍵”裴兆旭說。

此外，“IT業務化”是做出正確分析的前提：“你要熟悉你的業務形態，熟悉你的業務流程，熟悉你的市場環境……這個沒有什么偏方藥”。

裴兆旭總結道：隱性的成本、隱性的風險，都是屬于信息不對稱，經驗不夠，判斷力不準確，被誤導，不清楚自己的條件，或者對于技術成熟度掌控不好等原因造成的。他說，“CIO做IT治理需要分析IT風險，需要采用業務價值來分析IT風險。就像保險公司經營風險一樣，CIO需要用業務價值杠桿來經營IT風險，才能為公司的業務發展做好IT 支援。”