引:当今的企业董事会对IT的监管还停留在非常基础的层面上,这种做法就好比公司不对财务进行审计。
当今的企业对信息技术的依赖越来越大,可董事会对IT的监管还停留在非常基础的层面上,甚至对IT事务放任自流。这种做法非常危险,就好比公司不对财务进行审计。
那么,董事会究竟要如何对IT进行监管?作者在考察数百家公司40多年间的IT战略后得出结论:如果把IT当做一项例行事务,最好交由原有的审计委员会负责;如果把它当成一项重要的资产,就需要董事会给予密切关注和帮助。
按照公司在多大程度上依赖技术系统来保障基本服务,以及公司在多大程度上依靠各种系统来获得核心竞争力,作者把公司的IT战略分成四种模式,并就IT监管提出了相应的建议:
支持模式(防守型) 这类公司对可靠性和战略性IT的要求较低,主要把技术用于支持员工的活动,核心业务系统通常以批处理模式进行数据处理,内部系统也不对客户和供应商开放。所以,这种公司能够容许IT服务的频繁中断。这类公司可以让审计委员会兼任IT监管工作,确保公司“不浪费一个子儿”。董事会要回答的最关键问题是:要不要为了赶超竞争对手改变当前的IT战略?
工厂模式(防守型) 这类公司对系统可靠性要求很高,但并不一定需要最先进的技术。它们就好像制造工厂,如果传送带断裂,生产就会停止。IT的业务延续性对这些公司至关重要,所以董事会要按“别想省事儿”的原则,确保公司有完善的灾难恢复和安全措施。
转型模式(进攻型) 这类公司常常在新技术上孤注一掷,希望它们能大幅改进流程与服务、降低成本以及带来竞争优势;它们的技术投资通常占到资本投资的50%以上和总成本的15%以上。在这种模式下,董事会要按“别把事情搞砸了”的原则,确保公司的战略性IT计划按时间表推进,并且开支不能超过预算。战略模式(进攻型) 这类公司也要求高可靠性,但同时也强烈希望改进流程与服务、降低成本以及获得竞争优势。它们的IT开支也相当可观。这类公司应该成立IT监管委员会,把相关人员都包括进来,而且至少要有一名IT专家。“钱该花就花,但结果要盯牢”。
公司在确定自己当前处于何种模式之后,就要判断董事会需要具备哪些IT专业知识。要求高可靠性的公司需要关注IT风险管理,企业董事会的工作就是针对现有支持日常业务流程的IT资产,确保它们的完整性、质量、安全、可靠性和维护。这类公司可以让审计委员会行使IT监管委员会的责任,全面监管公司的IT活动。
超出防守模式范围的公司,则需要一个独立的IT监管委员会,而不仅仅是在审计委员会安插一名IT专家。对于IT监管委员会的建设,必须做好三件事(尤其是前两件):选择合适的成员和主席、确定该委员会与审计委员会的关系,以及制定章程。考虑到技术世界令人头晕目眩的变革速度,以及IT能够给商业带来的改变,企业董事会应该对IT进行适当的监管,帮助公司避免无谓的风险,取得更大的竞争优势。(hbrchina) |
