董事會怎樣監管IT

董事會怎樣監管IT[@more@]專　　題——《董事會怎樣監管IT》

摘自哈佛

作者： 理查德·諾蘭（Richard Nolan）
沃倫·麥克法倫（F. Warren McFarlan）

　　當今的企業對資訊科技的依賴越來越大，可董事會對IT的監管還停留在非常基礎的層面上，甚至對IT事務放任自流。這種做法非常危險，就好比公司不對財務進行審計。
　　那麼，董事會究竟要如何對IT進行監管？作者在考察數百家公司40多年間的IT戰略後得出結論：如果把IT當做一項例行事務，最好交由原有的審計委員會負責；如果把它當成一項重要的資產，就需要董事會給予密切關注和幫助。
　　按照公司在多大程度上依賴技術系統來保障基本服務，以及公司在多大程度上依靠各種系統來獲得核心競爭力，作者把公司的IT戰略分成四種模式，並就IT監管提出了相應的建議：
　　支援模式（防守型） 這類公司對可靠性和戰略性IT的要求較低，主要把技術用於支援員工的活動，核心業務系統通常以批處理模式進行資料處理，內部系統也不對客戶和供應商開放。所以，這種公司能夠容許IT服務的頻繁中斷。
　　這類公司可以讓審計委員會兼任IT監管工作，確保公司“不浪費一個子兒”。董事會要回答的最關鍵問題是：要不要為了趕超競爭對手改變當前的IT戰略？
　　工廠模式（防守型） 這類公司對系統可靠性要求很高，但並不一定需要最先進的技術。它們就好像製造工廠，如果傳送帶斷裂，生產就會停止。
　　IT的業務延續性對這些公司至關重要，所以董事會要按“別想省事兒”的原則，確保公司有完善的災難恢復和安全措施。
　　轉型模式（進攻型） 這類公司常常在新技術上孤注一擲，希望它們能大幅改進流程與服務、降低成本以及帶來競爭優勢；它們的技術投資通常佔到資本投資的50%以上和總成本的15%以上。
　　在這種模式下，董事會要按“別把事情搞砸了”的原則，確保公司的戰略性IT計劃按時間表推進，並且開支不能超過預算。
　　戰略模式（進攻型） 這類公司也要求高可靠性，但同時也強烈希望改進流程與服務、降低成本以及獲得競爭優勢。它們的IT開支也相當可觀。
　　這類公司應該成立IT監管委員會，把相關人員都包括進來，而且至少要有一名IT專家。“錢該花就花，但結果要盯牢”。
　　公司在確定自己當前處於何種模式之後，就要判斷董事會需要具備哪些IT專業知識。要求高可靠性的公司需要關注IT風險管理，企業董事會的工作就是針對現有支援日常業務流程的IT資產，確保它們的完整性、質量、安全、可靠性和維護。這類公司可以讓審計委員會行使IT監管委員會的責任，全面監管公司的IT活動。
　　超出防守模式範圍的公司，則需要一個獨立的IT監管委員會，而不僅僅是在審計委員會安插一名IT專家。對於IT監管委員會的建設，必須做好三件事（尤其是前兩件）：選擇合適的成員和主席、確定該委員會與審計委員會的關係，以及制定章程。
　　考慮到技術世界令人頭暈目眩的變革速度，以及IT能夠給商業帶來的改變，企業董事會應該對IT進行適當的監管，幫助公司避免無謂的風險，取得更大的競爭優勢。