公司董事會不對IT活動進行監(jiān)管，就好比公司不對財務(wù)進行審計

最近幾日，一條不足百字的消息榮登各大媒體榜首——工行假網(wǎng)站手法升級，騙取信息后鏈接真工行網(wǎng)頁。據(jù)悉中國工商銀行的許多客戶接到一封題為《電子銀行系統(tǒng)升級通告》的電子郵件稱：工行將于某日對電子銀行系統(tǒng)進行升級，“系統(tǒng)升級后，網(wǎng)上銀行的注冊用戶需自行登錄網(wǎng)上銀行一次，以便認證您的網(wǎng)上支付資格?！庇脩酎c擊后就會被帶到一個域名為mybank．iclc．com，cn的網(wǎng)頁，該網(wǎng)頁界面與工行網(wǎng)上銀行十分相似。當記者編造了一組號碼輸入后，網(wǎng)站顯示“你的網(wǎng)上銀行賬戶已驗證成功，請登錄個人網(wǎng)上銀行或企業(yè)網(wǎng)上銀行普及版。”隨后自動切換到真正的工行網(wǎng)銀登錄頁面。不過，該網(wǎng)站在工行和公安部門的參與下，很快即被關(guān)閉。

雖然工行假網(wǎng)站因被及時發(fā)現(xiàn)關(guān)閉，可還是激起了許多人的冷汗——董事長在這天一早就接到公司風(fēng)險管理委員會的臨時報告，很詳細地評估了此事若發(fā)生在本公司的結(jié)果。報告看完，董事長有些疑惑，想想公司的IT建設(shè)、管理一向做得不錯，不太可能出現(xiàn)報告中假設(shè)的那種結(jié)果吧。但是，凡是防患于未然總是沒有錯的，不妨將此事拿到例行的碰頭會上和大家一起議議。他又囑咐董秘小王，通知公司幾位與lT密切相關(guān)的主管如首席信息官(CIO)蔣先生、首席財務(wù)官范先生等一并參加周末的聚會。

董事會為何監(jiān)管IT

董事長：各位都聽說工商銀行的假網(wǎng)站事件了吧?？磥磉@lT技術(shù)不僅提高我們的工作效率，也存在著諸多的潛在風(fēng)險啊，而且這些風(fēng)險一旦成為現(xiàn)實后果讓人不可想象。所以，我們今天就討論討論這個話題，看看各位都有什么想法。

張顧問：董事長兩日前告知我這個話題，我即進行了一番準備。我還特意請來了我的兩位好友來此給諸位增加一些專業(yè)知識。我介紹一下，這位是哈佛商業(yè)院的榮譽教授、華盛頓大學(xué)商學(xué)院管理與組織教授理查德·諾蘭(Richard Nolan)先生，那位是哈佛商學(xué)院Baker Foundation教授，AlbertH，Gordon工商管理學(xué)院榮譽教授沃倫·麥克法倫(F，Warren McFarlan)先生，他們在IT監(jiān)管方面已有數(shù)年的研究，都是這方面的著名專家。

諾蘭教授：先生們好，非常榮幸能在這里和各位交流我掌握的知識。我先給諸位講講董事會為什么要監(jiān)管lT吧。在座的各位可能都知道，lT已經(jīng)滲透到我們現(xiàn)代社會的方方面面，大到國家，小到單個企業(yè)無不如此，現(xiàn)在我們根本離不開IT了，因此，一旦IT出現(xiàn)問題，像世紀之交時候的千年蟲、計算機系統(tǒng)崩潰、系統(tǒng)拒絕服務(wù)攻擊，以及需要自動符合政府法規(guī)等事項，都會讓各家企業(yè)的董事會對JT風(fēng)險越來越擔心。

然而，不幸的是，談到lT開支和戰(zhàn)略，大部分董事會成員幾乎一無所知。雖然企業(yè)的lT投資可能占到資本投資的一半以上，但大部分企業(yè)的董事會奉行的只是非?；镜墓芾砟Ｊ剑蛘哌\用其他公司成功經(jīng)驗拼湊而成的規(guī)則。很少有人能意識到自己企業(yè)的日常運營在多大程度上依賴計算機系統(tǒng)，或者lT對于制度公司戰(zhàn)略有多大的作用。

事實上，這種狀況又幾乎是情有可原的，因為董事會對于IT的監(jiān)管至今尚無標準可循。盡管公司治理理論已經(jīng)盛行多年，實際的操作經(jīng)驗也非常之多，特別是董事會的各個專門委員會都很清楚自己的職責，可是關(guān)于IT監(jiān)管，卻一直缺乏相關(guān)的理論基礎(chǔ)和最佳實踐。當然，我們也就不可能看到真正意義上的董事會對lT的監(jiān)管。

但是，現(xiàn)實中又要求董事會不僅要關(guān)注IT風(fēng)險和開支，還應(yīng)該注意lT方面的競爭風(fēng)險。然而，董事會的先生們又有幾位能具有這方面的基本知識呢？所以，他們也不可能提出什么有分量的問題，甚至對lT事務(wù)放任自流。這就讓管理公司重要信息資產(chǎn)的CIO基本是想怎么著就怎么著。這種做法是非常危險的，公司董事會不對lT活動進行監(jiān)管，就好比公司不對財務(wù)進行審計。

麥克法倫教授：諾蘭教授并非危言聳聽?，F(xiàn)在，美國很多大公司意識到了這一點，主動成立了IT監(jiān)管委員會。像梅隆金融、家得寶、寶潔、沃爾瑪和聯(lián)邦快遞等公司都在董事會中設(shè)立了IT監(jiān)管委員會，其級別與審計、薪酬和治理委員會相當。當公司的CEO、CIO等高管協(xié)同董事會做IT技術(shù)方面的決策，或抵御lT可能產(chǎn)生的風(fēng)險時，lT委員會就能提供支持，從而使投資巨大的項目處于可控狀態(tài)，保持對lT風(fēng)險的應(yīng)對狀態(tài)，使得公司獲得更大的競爭優(yōu)勢。 楊總：兩位教授講得好?，F(xiàn)在我們已經(jīng)知道，董事會應(yīng)該參與、監(jiān)管lT決策是毋庸置疑的。那么，我的問題是，董事會該如何參與呢?

麥克法倫教授：楊先生，在回答你的問題之前，我們必須補充一些lT監(jiān)管方面的基本知識。我們考察數(shù)百家公司在40多年間的IT戰(zhàn)略，并沒有發(fā)現(xiàn)一種普適的模式。正確的IT策略取決于很多因素，包括企業(yè)歷史、所處行業(yè)、競爭環(huán)境、財務(wù)狀況，還有IT管理質(zhì)量等。此外，在董事會中設(shè)立IT委員會，也并非是適合所有企業(yè)的一種選擇。下面，我們還是請諾蘭教授給各位列舉一下lT戰(zhàn)略的常見四種模式，以便各位能確定自己的公司當前處于何種模式，采取相應(yīng)的措施。毫無疑問，在幫助企業(yè)避免不必要的風(fēng)險和提高競爭力方面，董事會對IT的監(jiān)管大有可為。

IT監(jiān)管的四種模式

諾蘭教授：我們發(fā)現(xiàn)，可以用兩個戰(zhàn)略問題來確定董事會對lT監(jiān)管的介入程度：第一，公司在多大程度上依賴成本效率高、不間斷、安全、運行通暢的技術(shù)系統(tǒng)來保障基本服務(wù)，我們稱之為“防守型”IT：第，公司在多大程度上依靠各種系統(tǒng)來提供新的增值服務(wù)和產(chǎn)品，或是快速響應(yīng)客戶的需求，從而獲得核心競爭力，我們稱之為“進攻型”lT。從這兩個戰(zhàn)略問題，我們把公司的IT戰(zhàn)略分成四種模式，并對其IT監(jiān)管提出了相應(yīng)的建議。

支持模式(防守型)。這類公司對可靠性和戰(zhàn)略性lT的要求較低，主要把技術(shù)用于支持員工的活動，核心業(yè)務(wù)系統(tǒng)通常以批處理模式進行數(shù)據(jù)處理，內(nèi)部系統(tǒng)也不對客戶和供應(yīng)商開放。所以，這種公司能夠容許IT服務(wù)的頻繁中斷。比如，西班牙服裝商Zara，它最初只是一家服裝零售的小店，發(fā)展后雖然它在供應(yīng)鏈的各個環(huán)節(jié)都用到了IT技術(shù)，但即使整個系統(tǒng)崩潰，該公司的業(yè)務(wù)也不會嚴重受損。

因此這類公司可以讓審計委員會兼任lT監(jiān)管工作確保公司“不浪費一個子兒”。董事會要回答的最關(guān)鍵問題是：我們要不要為了趕超競爭對手改變當前的lT戰(zhàn)略?

工廠模式(防守型)。這類公司對系統(tǒng)可靠性要求很高，但并不一定需要最先進的技術(shù)。它們就好像制造工廠，如果傳送帶斷裂，生產(chǎn)就會停止。因此它們的高管層和董事會需要了解那些領(lǐng)先的IT應(yīng)用，并且監(jiān)測整個環(huán)境中是否正在發(fā)生某些改變，以確定自己是否需要采用更先進的IT技術(shù)。IT的業(yè)務(wù)延續(xù)性對這些公司至關(guān)重要，所以董事會要按“別想省事兒”的原則，確保公司有完善的災(zāi)難恢復(fù)和安全措施。

轉(zhuǎn)型模式(進攻型)。這類公司常常在新技術(shù)上孤注一擲，希望它們能大幅改進流程與服務(wù)、降低成本以及帶來競爭優(yōu)勢，它們的技術(shù)投資通常占到資本投資的50％以上或總成本的15％以上。比如美國航空公司在創(chuàng)建SABRE系統(tǒng)時，就處于這種模式。

對于這種模式下的企業(yè)，董事會的監(jiān)管至關(guān)重要，因為公司的戰(zhàn)略性IT計劃必須按照時間表推進，并且開支不能超過預(yù)算。因此董事會的花錢原則就是“別把事情搞砸了”。

戰(zhàn)略模式(進攻型)。對某些公司而言，目標就是實現(xiàn)全面革新。因此，這類公司也要求高可靠性，但同時也強烈希望改進流程與服務(wù)、降低成本以及獲得競爭優(yōu)勢。它們的IT開支也相當可觀。這里最好的案例就是波音公司。波音為了搶回被空中客車取代的民用客機制造的領(lǐng)袖地位，計劃推出波音787客機。而波音787能否獲得預(yù)計的成功，就取決于波音公司在運營和戰(zhàn)略方面的IT技術(shù)。

這類公司非常需要董事會來監(jiān)管IT，它應(yīng)該成立lT監(jiān)管委員會，把相關(guān)人員都包括進來，而且至少要有一名IT專家?！板X該花就花，但結(jié)果要盯牢”，是這類公司董事會的行事原則。

其實，各個公司在IT監(jiān)管方面應(yīng)該采取什么措施，取決于該公司處在何種模式下。企業(yè)需要從lT的角度對自己的業(yè)務(wù)進行深入剖析，才可能更深入地理解IT監(jiān)管的意義。

如何進行IT監(jiān)管

麥克法倫教授：楊先生，現(xiàn)在我可以回答你剛才的提問了。董事會在確定公司當前處于何種模式之后，就要判斷董事會需要進行哪些基本的IT監(jiān)管，換句話說，就是董事會如何參與lT監(jiān)管。

要求高可靠性的公司需要關(guān)注IT風(fēng)險管理，企業(yè)董事會的工作就是針對現(xiàn)有支持日常業(yè)務(wù)流程的lT資產(chǎn)確保它們的完整性、質(zhì)量、安全、可靠性和維護。這類企業(yè)基本不太需要專門組建一個lT治理委員會，而且可以讓審計委員會行使lT監(jiān)管委員會的責任，全面監(jiān)管公司的lT活動。

超出防守模式范圍的公司，則需要一個獨立的lT監(jiān)管委員會，就不僅僅是在審計委員會安插一名lT專家那么簡單了。lT監(jiān)管委員會的工作需要讓董事會了解其他公司，特別是競爭對手的IT技術(shù)動向。

董事長：麥教授，我打斷一下，您可否把lT監(jiān)管委員會說得再詳細一些?

麥克法倫教授：當然可以。如果你的公司認為它需要在董事會中設(shè)立IT監(jiān)管委員會，那么它必須做好三件事：選擇合適的成員和主席、確定該委員會與審計委員會的關(guān)系，以及制定章程。我要特別強調(diào)前兩件事。

主席人選很重要，主席至少是一位深諳IT的業(yè)務(wù)高管，同時他意志堅強而又善于溝通，其地位應(yīng)該等同于董事或公司其他高管。誰都知道，一位勝任的領(lǐng)導(dǎo)者對一個團隊的完美合作是多么至關(guān)重要。此外，lT監(jiān)管委員會在討論lT戰(zhàn)略時應(yīng)該關(guān)注大局，而不是陷入技術(shù)細節(jié)。

至于IT監(jiān)管委員會與審計委員會之間的關(guān)系，我建議二者應(yīng)該保持密切的聯(lián)系，因為IT事務(wù)也會影響公司的審計和監(jiān)管事務(wù)的。比如，如果公司期待能很好地遵從《薩班斯一奧克斯利法案》，還真需要這兩個委員會的通力配合。因此讓一名審計委員同時在lT監(jiān)管委員會任職是個不錯的選擇。

此外，我們還有一些不同模式下董事會的總體職責建議：清點資產(chǎn)(所有模式)：確保安全與可靠性(工廠和戰(zhàn)略模式)：避免意外事故(工廠、轉(zhuǎn)型和戰(zhàn)略模式)：提防法律糾紛(轉(zhuǎn)型和戰(zhàn)略模式)：關(guān)注新威脅和新機會(轉(zhuǎn)型和戰(zhàn)略模式)。

董事長：想不到IT監(jiān)管還有這么多理論，看來這公司治理確實不是一日之功，還需我們慢慢錘煉啊。不過考慮到lT技術(shù)世界令人頭暈?zāi)垦５淖兏锼俣龋约癐T能夠給商業(yè)帶來的改變，董事會確實應(yīng)該對IT進行適當?shù)谋O(jiān)管，幫助公司避免無謂的風(fēng)險，以取得更大的競爭優(yōu)勢。