摘要：对于CIO和CISO来说，向董事会报告工作很有挑战性。明智的做法是检查他们的报告内容，了解他们的受众，预测在董事会议程之外的问题，并避开恐吓策略。

  对于CIO和CISO来说，向董事会报告工作很有挑战性。明智的做法是检查他们的报告内容，了解他们的受众，预测在董事会议程之外的问题，并避开恐吓策略。
　　
　　董事会会议的最佳实践比比皆是。IT领导者在董事会会议上进行演讲时，需要通过做好准备、采用商务语言交流以及练习演讲来获得董事会成员的支持。当展示重要的创新和数字化转型投资时，需要向董事会预览和演示，说明需要客户反馈的地方，并期待董事会提供完美的路线图。IT领导者需要准备好回答董事会常见的问题，例如网络准备、技术路线图，以及招聘和留住多元化团队的计划。
　　
　　数字化转型咨询机构StarCIO公司的总裁IsaacSacolik表示，当他回想起自己在董事会会议上进行演讲时，记得最清楚的是出现了一些简单的错误。许多IT领导者都遇到过这种情况。考虑到这一点，他例举了IT领导者在参加董事会会议时常犯的五个错误。
　　
　　(1)IT领导者认为董事会成员缺乏技术专长
　　
　　根据麻省理工学院在2019年发布的一份调查报告，在年收入超过10亿美元的美国公司中，只有24%的董事会精通数字技术。最近的一项调查表明，只有51%的财富100强企业和9%财富200至500强企业拥有相关网络安全经验的主管。
　　
　　虽然这些数字表明大型企业的董事会在技术和安全方面存在重大差距，但如果CIO和CISO认为他们的董事会缺乏数字、数据、安全或其他技术敏锐度，那就错了。
　　
　　斯巴鲁公司加拿大分公司CIOManojTiwary表示:“在过去几年，董事会的结构发生了变化，许多技术人员加入了董事会，在很多情况下还包括前CIO。所以IT领导者需要确定这样的董事会成员作为支持者，确保在董事会之外与他们合作，以确保IT领导者的技术战略保持一致并得到采纳。”
　　
　　(2)IT领导者喜欢采用专业术语和令人费解的答案
　　
　　在所著的《数字开拓者》一书中，Sacolik讲述了早期互联网时代发生的一个故事。当时一位董事会成员问他:“cookie是什么?”他的第一反应是提供技术方面的答案，但很快意识到，如果以这种方式回答这个问题，那么这位董事会成员可能感到困惑。
　　
　　JoePuglisi曾经是一名CIO，现在是一名投资者、顾问和董事会成员，他说:“CIO无法通过无意或有意的混淆来回答关键问题或IT问题，采用专业术语进行解释可能更让董事会成员感到困惑。”
　　
　　避免使用专业术语是很重要的，但有时IT领导者会被要求定义一个技术术语或解释一项技术。Puglisi推荐的一种方法是，用其所在行业的类比来回答技术问题。例如，可以通过将Scrum与设计和构建敏捷项目的方法进行比较来帮助董事会成员理解软件开发中的Scrum。
　　
　　(3)IT领导者采取恐吓战术或夸大安全风险
　　
　　人们都知道“永远不要浪费一场危机”这一名言，这是一种工具，可以引起人们对没人愿意进行投资的关注。
　　
　　IT领导者有时候需要制造一种紧迫感，但不要过火。Sacolik曾经听一位CISO说:“如果我们不能说服董事会，那就吓唬他们。”虽然采取恐吓战术可能会让董事会同意投资，但随着时间的推移，那么这位CISO将会失去可信度。
　　
　　天生擅长演讲和讲故事的CISO可以使用这些技能与董事会建立紧密的联系，但前提是要有足够的时间来使用这种方法。
　　
　　如果陈述不是IT领导者的最佳技能，或者只有几分钟的时间来陈述，那么IT领导者所讲的故事可能会让董事会成员感到困惑。AgileBlue公司总裁兼联合创始人TonyPietrocola说，“董事会在了解企业是否防范了网络威胁的问题时，他们通常不是技术人员，因此CIO或CISO可能会用一种令人困惑的叙述来回答这个问题。”
　　
　　Clario公司执行副总裁兼首席信息技术和产品官JayFerro是Allata公司董事会成员，他分享了一些不应回答董事会有关安全风险问题的例子。他说，“IT领导者不要说，‘我们正在尽最大努力保证安全。’没有人能保证绝对安全。所以，很难说企业是否完全不受威胁。此外，IT领导者不要夸大其辞，表示做好了安全准备，不要说‘我们的安全态势是强大的，已经实施的对策完全保护我们的企业免受任何威胁。’这样的话。”
　　
　　那么，CISO应该做些什么来确保董事会了解安全风险，而不讲故事或使用恐吓策略呢?
　　
　　Pietrocola建议使用安全基准来帮助董事了解风险，他说:“评分算法可以对网络安全和企业关键运营的最关键方面进行评分。”与此同时，Ferro建议讨论高风险地区的商业影响，并审查其补救计划。
　　
　　(4)IT领导者的回答含糊不清或不符合董事会的期待
　　
　　CIO和CISO需要了解哪些信息对董事会来说是重要的。展示太多的幻灯片可能会让董事会失去兴趣。采用太少的幻灯片进行总结可能会遗漏陈述的问题、增长机会、市场趋势以及其他将业务和客户需求与技术战略联系起来的细节。
　　
　　Tiwary表示:“IT领导者最不应该做的就是在董事会会议上提出一个孤立的技术战略，这与业务目标不一致，或者不符合董事会的期望。”
　　
　　Ferro表示，以下是董事会成员就数字化转型计划提出的其他问题，以及IT领导者有哪些糟糕的回答。
　　
　　·一名董事会成员询问一名CIO有关一项启动的计划的时间表，CIO回答说:“我们才开始，所以没有太多可以分享的内容，我们仍在努力弄清楚这一切，所以我们还没有任何重大进展或见解。”Ferro指出，CIO应该首先回答问题，然后提供细节。一个很好的回答是，“我们还没有制定时间表，但我们正在进行客户研究，并围绕这项技术进行概念验证。我们将在30天内得出调查结果，之后很快就会提供一个时间表草案。”
　　
　　·一名董事会成员询问IT部门在生成式人工智能方面做了什么，一名CIO回答说:“人工智能和所有这些流行语听起来令人兴奋，但事实上，我不确定它们会带来什么不同。它们仍然很新，所以我们只是采取观望的态度。”这个答案的问题在于，董事会希望CIO对新兴技术、商业机会和风险有更实质性的建议，即使董事会没有优先考虑这项技术的工作。
　　
　　对于CIO和CISO来说，关键是要充分了解影响其业务和行业的积极举措、商业机会和新兴技术。即使不在董事会会议议程上的一个话题，董事会成员也可能问这个问题。
　　
　　(5)IT领导者没有与同事达成一致意见
　　
　　Sacolick的最后一个建议来自#CIOChatLive活动，他在活动中问了一位董事会成员一个有关CIO和董事会关系的问题。Sacolick说，“如果你在一项关键的安全或运营投资上没有得到首席执行官的支持，你是否应该在董事会上提出这个问题?”那位董事会成员瞪了他一眼，然后响亮地回答:“不。”
　　
　　IT领导者不希望在董事会上表达不同意见，也不希望因为提出议程之外的问题而让同事感到意外。这是一个影响其职业生涯的举动。
　　
　　即使是经验最丰富的CIO和CISO也很少与董事会接触，所以在会议上发言是一种学习经历。IT领导者需要学习最佳实践，与同事协商，避免容易犯的错误。
　　
　　编辑：Harris