监管IT-董事会别想“省事儿”

那么，董事会究竟要如何对IT进行监管？作者在考察数百家公司40多年间的IT战略后得出结论：如果把IT当做一项例行事务，最好交由原有的审计委员会负责；如果把它当成一项重要的资产，就需要董事会给予密切关注和帮助。

按照公司在多大程度上依赖技术系统来保障基本服务，以及公司在多大程度上依靠各种系统来获得核心竞争力，作者把公司的IT战略分成四种模式，并就IT监管提出了相应的建议：

支持模式（防守型） 这类公司对可靠性和战略性IT的要求较低，主要把技术用于支持员工的活动，核心业务系统通常以批处理模式进行数据处理，内部系统也不对客户和供应商开放。所以，这种公司能够容许IT服务的频繁中断。这类公司可以让审计委员会兼任IT监管工作，确保公司“不浪费一个子儿”。董事会要回答的最关键问题是：要不要为了赶超竞争对手改变当前的IT战略？

工厂模式（防守型） 这类公司对系统可靠性要求很高，但并不一定需要最先进的技术。它们就好像制造工厂，如果传送带断裂，生产就会停止。IT的业务延续性对这些公司至关重要，所以董事会要按“别想省事儿”的原则，确保公司有完善的灾难恢复和安全措施。

转型模式（进攻型） 这类公司常常在新技术上孤注一掷，希望它们能大幅改进流程与服务、降低成本以及带来竞争优势；它们的技术投资通常占到资本投资的50%以上和总成本的15%以上。在这种模式下，董事会要按“别把事情搞砸了”的原则，确保公司的战略性IT计划按时间表推进，并且开支不能超过预算。战略模式（进攻型） 这类公司也要求高可靠性，但同时也强烈希望改进流程与服务、降低成本以及获得竞争优势。它们的IT开支也相当可观。这类公司应该成立IT监管委员会，把相关人员都包括进来，而且至少要有一名IT专家。“钱该花就花，但结果要盯牢”。

公司在确定自己当前处于何种模式之后，就要判断董事会需要具备哪些IT专业知识。要求高可靠性的公司需要关注IT风险管理，企业董事会的工作就是针对现有支持日常业务流程的IT资产，确保它们的完整性、质量、安全、可靠性和维护。这类公司可以让审计委员会行使IT监管委员会的责任，全面监管公司的IT活动。

超出防守模式范围的公司，则需要一个独立的IT监管委员会，而不仅仅是在审计委员会安插一名IT专家。对于IT监管委员会的建设，必须做好三件事（尤其是前两件）：选择合适的成员和主席、确定该委员会与审计委员会的关系，以及制定章程。考虑到技术世界令人头晕目眩的变革速度，以及IT能够给商业带来的改变，企业董事会应该对IT进行适当的监管，帮助公司避免无谓的风险，取得更大的竞争优势。(hbrchina)