董事会新职责――监管IT.docVIP

董事会新职责――监管IT公司董事会不对IT活动进行监管，就好比公司不对财务进行审计 最近几日，一条不足百字的消息荣登各大媒体榜首――工行假网站手法升级，骗取信息后链接真工行网页。据悉中国工商银行的许多客户接到一封题为《电子银行系统升级通告》的电子邮件称：工行将于某日对电子银行系统进行升级，“系统升级后，网上银行的注册用户需自行登录网上银行一次，以便认证您的网上支付资格。”用户点击后就会被带到一个域名为mybank．iclc．com，cn的网页，该网页界面与工行网上银行十分相似。当记者编造了一组号码输入后，网站显示“你的网上银行账户已验证成功，请登录个人网上银行或企业网上银行普及版。”随后自动切换到真正的工行网银登录页面。不过，该网站在工行和公安部门的参与下，很快即被关闭。 虽然工行假网站因被及时发现关闭，可还是激起了许多人的冷汗――董事长在这天一早就接到公司风险管理委员会的临时报告，很详细地评估了此事若发生在本公司的结果。报告看完，董事长有些疑惑，想想公司的IT建设、管理一向做得不错，不太可能出现报告中假设的那种结果吧。但是，凡是防患于未然总是没有错的，不妨将此事拿到例行的碰头会上和大家一起议议。他又嘱咐董秘小王，通知公司几位与lT密切相关的主管如首席信息官(CIO)蒋先生、首席财务官范先生等一并参加周末的聚会。 董事会为何监管IT 董事长：各位都听说工商银行的假网站事件了吧。看来这lT技术不仅提高我们的工作效率，也存在着诸多的潜在风险啊，而且这些风险一旦成为现实后果让人不可想象。所以，我们今天就讨论讨论这个话题，看看各位都有什么想法。 张顾问：董事长两日前告知我这个话题，我即进行了一番准备。我还特意请来了我的两位好友来此给诸位增加一些专业知识。我介绍一下，这位是哈佛商业院的荣誉教授、华盛顿大学商学院管理与组织教授理查德(Richard Nolan)先生，那位是哈佛商学院Baker Foundation教授,AlbertH，Gordon工商管理学院荣誉教授沃伦(F，Warren McFarlan)先生，他们在IT监管方面已有数年的研究，都是这方面的著名专家。 诺兰教授：先生们好，非常荣幸能在这里和各位交流我掌握的知识。我先给诸位讲讲董事会为什么要监管lT吧。在座的各位可能都知道，lT已经渗透到我们现代社会的方方面面，大到国家，小到单个企业无不如此，现在我们根本离不开IT了，因此，一旦IT出现问题，像世纪之交时候的千年虫、计算机系统崩溃、系统拒绝服务攻击，以及需要自动符合政府法规等事项，都会让各家企业的董事会对JT风险越来越担心。 然而，不幸的是，谈到lT开支和战略，大部分董事会成员几乎一无所知。虽然企业的lT投资可能占到资本投资的一半以上，但大部分企业的董事会奉行的只是非常基本的管理模式，或者运用其他公司成功经验拼凑而成的规则。很少有人能意识到自己企业的日常运营在多大程度上依赖计算机系统，或者lT对于制度公司战略有多大的作用。 事实上，这种状况又几乎是情有可原的，因为董事会对于IT的监管至今尚无标准可循。尽管公司治理理论已经盛行多年，实际的操作经验也非常之多，特别是董事会的各个专门委员会都很清楚自己的职责，可是关于IT监管，却一直缺乏相关的理论基础和最佳实践。当然，我们也就不可能看到真正意义上的董事会对lT的监管。 但是，现实中又要求董事会不仅要关注IT风险和开支，还应该注意lT方面的竞争风险。然而，董事会的先生们又有几位能具有这方面的基本知识呢？所以，他们也不可能提出什么有分量的问题，甚至对lT事务放任自流。这就让管理公司重要信息资产的CIO基本是想怎么着就怎么着。这种做法是非常危险的，公司董事会不对lT活动进行监管，就好比公司不对财务进行审计。 麦克法伦教授：诺兰教授并非危言耸听。现在，美国很多大公司意识到了这一点，主动成立了IT监管委员会。像梅隆金融、家得宝、宝洁、沃尔玛和联邦快递等公司都在董事会中设立了IT监管委员会，其级别与审计、薪酬和治理委员会相当。当公司的CEO、CIO等高管协同董事会做IT技术方面的决策，或抵御lT可能产生的风险时，lT委员会就能提供支持，从而使投资巨大的项目处于可控状态，保持对lT风险的应对状态，使得公司获得更大的竞争优势。 杨总：两位教授讲得好。现在我们已经知道，董事会应该参与、监管lT决策是毋庸置疑的。那么，我的问题是，董事会该如何参与呢? 麦克法伦教授：杨先生，在回答你的问题之前，我们必须补充一些lT监管方面的基本知识。我们考察数百家公司在40多年间的IT战略，并没有发现一种普适的模式。正确的IT策略取决于很多因素，包括企业历史、所处行业、竞争环境、财务状况，还有IT管理质量等。此外，在董事会中设立IT委员会，也并非是适合