公司董事会不对IT活动进行监管,就好比公司不对财务进行审计
最近几日,一条不足百字的消息荣登各大媒体榜首――工行假网站手法升级,骗取信息后链接真工行网页。据悉中国工商银行的许多客户接到一封题为《电子银行系统升级通告》的电子邮件称:工行将于某日对电子银行系统进行升级,“系统升级后,网上银行的注册用户需自行登录网上银行一次,以便认证您的网上支付资格。”用户点击后就会被带到一个域名为mybank.iclc.com,cn的网页,该网页界面与工行网上银行十分相似。当记者编造了一组号码输入后,网站显示“你的网上银行账户已验证成功,请登录个人网上银行或企业网上银行普及版。”随后自动切换到真正的工行网银登录页面。不过,该网站在工行和公安部门的参与下,很快即被关闭。
虽然工行假网站因被及时发现关闭,可还是激起了许多人的冷汗――董事长在这天一早就接到公司风险管理委员会的临时报告,很详细地评估了此事若发生在本公司的结果。报告看完,董事长有些疑惑,想想公司的IT建设、管理一向做得不错,不太可能出现报告中假设的那种结果吧。但是,凡是防患于未然总是没有错的,不妨将此事拿到例行的碰头会上和大家一起议议。他又嘱咐董秘小王,通知公司几位与lT密切相关的主管如首席信息官(CIO)蒋先生、首席财务官范先生等一并参加周末的聚会。
董事会为何监管IT
董事长:各位都听说工商银行的假网站事件了吧。看来这lT技术不仅提高我们的工作效率,也存在着诸多的潜在风险啊,而且这些风险一旦成为现实后果让人不可想象。所以,我们今天就讨论讨论这个话题,看看各位都有什么想法。
张顾问:董事长两日前告知我这个话题,我即进行了一番准备。我还特意请来了我的两位好友来此给诸位增加一些专业知识。我介绍一下,这位是哈佛商业院的荣誉教授、华盛顿大学商学院管理与组织教授理查德・诺兰(Richard Nolan)先生,那位是哈佛商学院Baker Foundation教授,AlbertH,Gordon工商管理学院荣誉教授沃伦・麦克法伦(F,Warren McFarlan)先生,他们在IT监管方面已有数年的研究,都是这方面的著名专家。
诺兰教授:先生们好,非常荣幸能在这里和各位交流我掌握的知识。我先给诸位讲讲董事会为什么要监管lT吧。在座的各位可能都知道,lT已经渗透到我们现代社会的方方面面,大到国家,小到单个企业无不如此,现在我们根本离不开IT了,因此,一旦IT出现问题,像世纪之交时候的千年虫、计算机系统崩溃、系统拒绝服务攻击,以及需要自动符合政府法规等事项,都会让各家企业的董事会对JT风险越来越担心。
然而,不幸的是,谈到lT开支和战略,大部分董事会成员几乎一无所知。虽然企业的lT投资可能占到资本投资的一半以上,但大部分企业的董事会奉行的只是非常基本的管理模式,或者运用其他公司成功经验拼凑而成的规则。很少有人能意识到自己企业的日常运营在多大程度上依赖计算机系统,或者lT对于制度公司战略有多大的作用。
事实上,这种状况又几乎是情有可原的,因为董事会对于IT的监管至今尚无标准可循。尽管公司治理理论已经盛行多年,实际的操作经验也非常之多,特别是董事会的各个专门委员会都很清楚自己的职责,可是关于IT监管,却一直缺乏相关的理论基础和最佳实践。当然,我们也就不可能看到真正意义上的董事会对lT的监管。
但是,现实中又要求董事会不仅要关注IT风险和开支,还应该注意lT方面的竞争风险。然而,董事会的先生们又有几位能具有这方面的基本知识呢?所以,他们也不可能提出什么有分量的问题,甚至对lT事务放任自流。这就让管理公司重要信息资产的CIO基本是想怎么着就怎么着。这种做法是非常危险的,公司董事会不对lT活动进行监管,就好比公司不对财务进行审计。
麦克法伦教授:诺兰教授并非危言耸听。现在,美国很多大公司意识到了这一点,主动成立了IT监管委员会。像梅隆金融、家得宝、宝洁、沃尔玛和联邦快递等公司都在董事会中设立了IT监管委员会,其级别与审计、薪酬和治理委员会相当。当公司的CEO、CIO等高管协同董事会做IT技术方面的决策,或抵御lT可能产生的风险时,lT委员会就能提供支持,从而使投资巨大的项目处于可控状态,保持对lT风险的应对状态,使得公司获得更大的竞争优势。 杨总:两位教授讲得好。现在我们已经知道,董事会应该参与、监管lT决策是毋庸置疑的。那么,我的问题是,董事会该如何参与呢?
麦克法伦教授:杨先生,在回答你的问题之前,我们必须补充一些lT监管方面的基本知识。我们考察数百家公司在40多年间的IT战略,并没有发现一种普适的模式。正确的IT策略取决于很多因素,包括企业历史、所处行业、竞争环境、财务状况,还有IT管理质量等。此外,在董事会中设立IT委员会,也并非是适合所有企业的一种选择。下面,我们还是请诺兰教授给各位列举一下lT战略的常见四种模式,以便各位能确定自己的公司当前处于何种模式,采取相应的措施。毫无疑问,在帮助企业避免不必要的风险和提高竞争力方面,董事会对IT的监管大有可为。
IT监管的四种模式
诺兰教授:我们发现,可以用两个战略问题来确定董事会对lT监管的介入程度:第一,公司在多大程度上依赖成本效率高、不间断、安全、运行通畅的技术系统来保障基本服务,我们称之为“防守型”IT:第,公司在多大程度上依靠各种系统来提供新的增值服务和产品,或是快速响应客户的需求,从而获得核心竞争力,我们称之为“进攻型”lT。从这两个战略问题,我们把公司的IT战略分成四种模式,并对其IT监管提出了相应的建议。
支持模式(防守型)。这类公司对可靠性和战略性lT的要求较低,主要把技术用于支持员工的活动,核心业务系统通常以批处理模式进行数据处理,内部系统也不对客户和供应商开放。所以,这种公司能够容许IT服务的频繁中断。比如,西班牙服装商Zara,它最初只是一家服装零售的小店,发展后虽然它在供应链的各个环节都用到了IT技术,但即使整个系统崩溃,该公司的业务也不会严重受损。
因此这类公司可以让审计委员会兼任lT监管工作确保公司“不浪费一个子儿”。董事会要回答的最关键问题是:我们要不要为了赶超竞争对手改变当前的lT战略?
工厂模式(防守型)。这类公司对系统可靠性要求很高,但并不一定需要最先进的技术。它们就好像制造工厂,如果传送带断裂,生产就会停止。因此它们的高管层和董事会需要了解那些领先的IT应用,并且监测整个环境中是否正在发生某些改变,以确定自己是否需要采用更先进的IT技术。IT的业务延续性对这些公司至关重要,所
以董事会要按“别想省事儿”的原则,确保公司有完善的灾难恢复和安全措施。
转型模式(进攻型)。这类公司常常在新技术上孤注一掷,希望它们能大幅改进流程与服务、降低成本以及带来竞争优势,它们的技术投资通常占到资本投资的50%以上或总成本的15%以上。比如美国航空公司在创建SABRE系统时,就处于这种模式。
对于这种模式下的企业,董事会的监管至关重要,因为公司的战略性IT计划必须按照时间表推进,并且开支不能超过预算。因此董事会的花钱原则就是“别把事情搞砸了”。
战略模式(进攻型)。对某些公司而言,目标就是实现全面革新。因此,这类公司也要求高可靠性,但同时也强烈希望改进流程与服务、降低成本以及获得竞争优势。它们的IT开支也相当可观。这里最好的案例就是波音公司。波音为了抢回被空中客车取代的民用客机制造的领袖地位,计划推出波音787客机。而波音787能否获得预计的成功,就取决于波音公司在运营和战略方面的IT技术。
这类公司非常需要董事会来监管IT,它应该成立lT监管委员会,把相关人员都包括进来,而且至少要有一名IT专家。“钱该花就花,但结果要盯牢”,是这类公司董事会的行事原则。
其实,各个公司在IT监管方面应该采取什么措施,取决于该公司处在何种模式下。企业需要从lT的角度对自己的业务进行深入剖析,才可能更深入地理解IT监管的意义。
如何进行IT监管
麦克法伦教授:杨先生,现在我可以回答你刚才的提问了。董事会在确定公司当前处于何种模式之后,就要判断董事会需要进行哪些基本的IT监管,换句话说,就是董事会如何参与lT监管。
要求高可靠性的公司需要关注IT风险管理,企业董事会的工作就是针对现有支持日常业务流程的lT资产确保它们的完整性、质量、安全、可靠性和维护。这类企业基本不太需要专门组建一个lT治理委员会,而且可以让审计委员会行使lT监管委员会的责任,全面监管公司的lT活动。
超出防守模式范围的公司,则需要一个独立的lT监管委员会,就不仅仅是在审计委员会安插一名lT专家那么简单了。lT监管委员会的工作需要让董事会了解其他公司,特别是竞争对手的IT技术动向。
董事长:麦教授,我打断一下,您可否把lT监管委员会说得再详细一些?
麦克法伦教授:当然可以。如果你的公司认为它需要在董事会中设立IT监管委员会,那么它必须做好三件事:选择合适的成员和主席、确定该委员会与审计委员会的关系,以及制定章程。我要特别强调前两件事。
主席人选很重要,主席至少是一位深谙IT的业务高管,同时他意志坚强而又善于沟通,其地位应该等同于董事或公司其他高管。谁都知道,一位胜任的领导者对一个团队的完美合作是多么至关重要。此外,lT监管委员会在讨论lT战略时应该关注大局,而不是陷入技术细节。
至于IT监管委员会与审计委员会之间的关系,我建议二者应该保持密切的联系,因为IT事务也会影响公司的审计和监管事务的。比如,如果公司期待能很好地遵从《萨班斯一奥克斯利法案》,还真需要这两个委员会的通力配合。因此让一名审计委员同时在lT监管委员会任职是个不错的选择。
此外,我们还有一些不同模式下董事会的总体职责建议:清点资产(所有模式):确保安全与可靠性(工厂和战略模式):避免意外事故(工厂、转型和战略模式):提防法律纠纷(转型和战略模式):关注新威胁和新机会(转型和战略模式)。
董事长:想不到IT监管还有这么多理论,看来这公司治理确实不是一日之功,还需我们慢慢锤炼啊。不过考虑到lT技术世界令人头晕目眩的变革速度,以及IT能够给商业带来的改变,董事会确实应该对IT进行适当的监管,帮助公司避免无谓的风险,以取得更大的竞争优势。
公司董事会不对IT活动进行监管,就好比公司不对财务进行审计
最近几日,一条不足百字的消息荣登各大媒体榜首――工行假网站手法升级,骗取信息后链接真工行网页。据悉中国工商银行的许多客户接到一封题为《电子银行系统升级通告》的电子邮件称:工行将于某日对电子银行系统进行升级,“系统升级后,网上银行的注册用户需自行登录网上银行一次,以便认证您的网上支付资格。”用户点击后就会被带到一个域名为mybank.iclc.com,cn的网页,该网页界面与工行网上银行十分相似。当记者编造了一组号码输入后,网站显示“你的网上银行账户已验证成功,请登录个人网上银行或企业网上银行普及版。”随后自动切换到真正的工行网银登录页面。不过,该网站在工行和公安部门的参与下,很快即被关闭。
虽然工行假网站因被及时发现关闭,可还是激起了许多人的冷汗――董事长在这天一早就接到公司风险管理委员会的临时报告,很详细地评估了此事若发生在本公司的结果。报告看完,董事长有些疑惑,想想公司的IT建设、管理一向做得不错,不太可能出现报告中假设的那种结果吧。但是,凡是防患于未然总是没有错的,不妨将此事拿到例行的碰头会上和大家一起议议。他又嘱咐董秘小王,通知公司几位与lT密切相关的主管如首席信息官(CIO)蒋先生、首席财务官范先生等一并参加周末的聚会。
董事会为何监管IT
董事长:各位都听说工商银行的假网站事件了吧。看来这lT技术不仅提高我们的工作效率,也存在着诸多的潜在风险啊,而且这些风险一旦成为现实后果让人不可想象。所以,我们今天就讨论讨论这个话题,看看各位都有什么想法。
张顾问:董事长两日前告知我这个话题,我即进行了一番准备。我还特意请来了我的两位好友来此给诸位增加一些专业知识。我介绍一下,这位是哈佛商业院的荣誉教授、华盛顿大学商学院管理与组织教授理查德・诺兰(Richard Nolan)先生,那位是哈佛商学院Baker Foundation教授,AlbertH,Gordon工商管理学院荣誉教授沃伦・麦克法伦(F,Warren McFarlan)先生,他们在IT监管方面已有数年的研究,都是这方面的著名专家。
诺兰教授:先生们好,非常荣幸能在这里和各位交流我掌握的知识。我先给诸位讲讲董事会为什么要监管lT吧。在座的各位可能都知道,lT已经渗透到我们现代社会的方方面面,大到国家,小到单个企业无不如此,现在我们根本离不开IT了,因此,一旦IT出现问题,像世纪之交时候的千年虫、计算机系统崩溃、系统拒绝服务攻击,以及需要自动符合政府法规等事项,都会让各家企业的董事会对JT风险越来越担心。
然而,不幸的是,谈到lT开支和战略,大部分董事会成员几乎一无所知。虽然企业的lT投资可能占到资本投资的一半以上,但大部分企业的董事会奉行的只是非常基本的管理模式,或者运用其他公司成功经验拼凑而成的规则。很少有人能意识到自己企业的日常运营在多大程度上依赖计算机系统,或者lT对于制度公司战略有多大的作用。
事实上,这种状况又几乎是情有可原的,因为董事会对于IT的监管至今尚无标准可循。尽管公司治理理论已经盛行多年,实际的操作经验也非常之多,特别是董事会的各个专门委员会都很清楚自己的职责,可是关于IT监管,却一直缺乏相关的理论基础和最佳实践。当然,我们也就不可能看到真正意义上的董事会对lT的监管。
但是,现实中又要求董事会不仅要关注IT风险和开支,还应该注意lT方面的竞争风险。然而,董事会的先生们又有几位能具有这方面的基本知识呢?所以,他们也不可能提出什么有分量的问题,甚至对lT事务放任自流。这就让管理公司重要信息资产的CIO基本是想怎么着就怎么着。这种做法是非常危险的,公司董事会不对lT活动进行监管,就好比公司不对财务进行审计。
麦克法伦教授:诺兰教授并非危言耸听。现在,美国很多大公司意识到了这一点,主动成立了IT监管委员会。像梅隆金融、家得宝、宝洁、沃尔玛和联邦快递等公司都在董事会中设立了IT监管委员会,其级别与审计、薪酬和治理委员会相当。当公司的CEO、CIO等高管协同董事会做IT技术方面的决策,或抵御lT可能产生的风险时,lT委员会就能提供支持,从而使投资巨大的项目处于可控状态,保持对lT风险的应对状态,使得公司获得更大的竞争优势。 杨总:两位教授讲得好。现在我们已经知道,董事会应该参与、监管lT决策是毋庸置疑的。那么,我的问题是,董事会该如何参与呢?
麦克法伦教授:杨先生,在回答你的问题之前,我们必须补充一些lT监管方面的基本知识。我们考察数百家公司在40多年间的IT战略,并没有发现一种普适的模式。正确的IT策略取决于很多因素,包括企业历史、所处行业、竞争环境、财务状况,还有IT管理质量等。此外,在董事会中设立IT委员会,也并非是适合所有企业的一种选择。下面,我们还是请诺兰教授给各位列举一下lT战略的常见四种模式,以便各位能确定自己的公司当前处于何种模式,采取相应的措施。毫无疑问,在帮助企业避免不必要的风险和提高竞争力方面,董事会对IT的监管大有可为。
IT监管的四种模式
诺兰教授:我们发现,可以用两个战略问题来确定董事会对lT监管的介入程度:第一,公司在多大程度上依赖成本效率高、不间断、安全、运行通畅的技术系统来保障基本服务,我们称之为“防守型”IT:第,公司在多大程度上依靠各种系统来提供新的增值服务和产品,或是快速响应客户的需求,从而获得核心竞争力,我们称之为“进攻型”lT。从这两个战略问题,我们把公司的IT战略分成四种模式,并对其IT监管提出了相应的建议。
支持模式(防守型)。这类公司对可靠性和战略性lT的要求较低,主要把技术用于支持员工的活动,核心业务系统通常以批处理模式进行数据处理,内部系统也不对客户和供应商开放。所以,这种公司能够容许IT服务的频繁中断。比如,西班牙服装商Zara,它最初只是一家服装零售的小店,发展后虽然它在供应链的各个环节都用到了IT技术,但即使整个系统崩溃,该公司的业务也不会严重受损。
因此这类公司可以让审计委员会兼任lT监管工作确保公司“不浪费一个子儿”。董事会要回答的最关键问题是:我们要不要为了赶超竞争对手改变当前的lT战略?
工厂模式(防守型)。这类公司对系统可靠性要求很高,但并不一定需要最先进的技术。它们就好像制造工厂,如果传送带断裂,生产就会停止。因此它们的高管层和董事会需要了解那些领先的IT应用,并且监测整个环境中是否正在发生某些改变,以确定自己是否需要采用更先进的IT技术。IT的业务延续性对这些公司至关重要,所
以董事会要按“别想省事儿”的原则,确保公司有完善的灾难恢复和安全措施。
转型模式(进攻型)。这类公司常常在新技术上孤注一掷,希望它们能大幅改进流程与服务、降低成本以及带来竞争优势,它们的技术投资通常占到资本投资的50%以上或总成本的15%以上。比如美国航空公司在创建SABRE系统时,就处于这种模式。
对于这种模式下的企业,董事会的监管至关重要,因为公司的战略性IT计划必须按照时间表推进,并且开支不能超过预算。因此董事会的花钱原则就是“别把事情搞砸了”。
战略模式(进攻型)。对某些公司而言,目标就是实现全面革新。因此,这类公司也要求高可靠性,但同时也强烈希望改进流程与服务、降低成本以及获得竞争优势。它们的IT开支也相当可观。这里最好的案例就是波音公司。波音为了抢回被空中客车取代的民用客机制造的领袖地位,计划推出波音787客机。而波音787能否获得预计的成功,就取决于波音公司在运营和战略方面的IT技术。
这类公司非常需要董事会来监管IT,它应该成立lT监管委员会,把相关人员都包括进来,而且至少要有一名IT专家。“钱该花就花,但结果要盯牢”,是这类公司董事会的行事原则。
其实,各个公司在IT监管方面应该采取什么措施,取决于该公司处在何种模式下。企业需要从lT的角度对自己的业务进行深入剖析,才可能更深入地理解IT监管的意义。
如何进行IT监管
麦克法伦教授:杨先生,现在我可以回答你刚才的提问了。董事会在确定公司当前处于何种模式之后,就要判断董事会需要进行哪些基本的IT监管,换句话说,就是董事会如何参与lT监管。
要求高可靠性的公司需要关注IT风险管理,企业董事会的工作就是针对现有支持日常业务流程的lT资产确保它们的完整性、质量、安全、可靠性和维护。这类企业基本不太需要专门组建一个lT治理委员会,而且可以让审计委员会行使lT监管委员会的责任,全面监管公司的lT活动。
超出防守模式范围的公司,则需要一个独立的lT监管委员会,就不仅仅是在审计委员会安插一名lT专家那么简单了。lT监管委员会的工作需要让董事会了解其他公司,特别是竞争对手的IT技术动向。
董事长:麦教授,我打断一下,您可否把lT监管委员会说得再详细一些?
麦克法伦教授:当然可以。如果你的公司认为它需要在董事会中设立IT监管委员会,那么它必须做好三件事:选择合适的成员和主席、确定该委员会与审计委员会的关系,以及制定章程。我要特别强调前两件事。
主席人选很重要,主席至少是一位深谙IT的业务高管,同时他意志坚强而又善于沟通,其地位应该等同于董事或公司其他高管。谁都知道,一位胜任的领导者对一个团队的完美合作是多么至关重要。此外,lT监管委员会在讨论lT战略时应该关注大局,而不是陷入技术细节。
至于IT监管委员会与审计委员会之间的关系,我建议二者应该保持密切的联系,因为IT事务也会影响公司的审计和监管事务的。比如,如果公司期待能很好地遵从《萨班斯一奥克斯利法案》,还真需要这两个委员会的通力配合。因此让一名审计委员同时在lT监管委员会任职是个不错的选择。
此外,我们还有一些不同模式下董事会的总体职责建议:清点资产(所有模式):确保安全与可靠性(工厂和战略模式):避免意外事故(工厂、转型和战略模式):提防法律纠纷(转型和战略模式):关注新威胁和新机会(转型和战略模式)。
董事长:想不到IT监管还有这么多理论,看来这公司治理确实不是一日之功,还需我们慢慢锤炼啊。不过考虑到lT技术世界令人头晕目眩的变革速度,以及IT能够给商业带来的改变,董事会确实应该对IT进行适当的监管,帮助公司避免无谓的风险,以取得更大的竞争优势。