對于CIO和CISO來說，向董事會報告工作很有挑戰(zhàn)性。明智的做法是檢查他們的報告內容，了解他們的受眾，預測在董事會議程之外的問題，并避開恐嚇策略。

董事會會議的最佳實踐比比皆是。IT領導者在董事會會議上進行演講時，需要通過做好準備、采用商務語言交流以及練習演講來獲得董事會成員的支持。當展示重要的創(chuàng)新和數(shù)字化轉型投資時，需要向董事會預覽和演示，說明需要客戶反饋的地方，并期待董事會提供完美的路線圖。IT領導者需要準備好回答董事會常見的問題，例如網(wǎng)絡準備、技術路線圖，以及招聘和留住多元化團隊的計劃。

數(shù)字化轉型咨詢機構StarCIO公司的總裁Isaac Sacolik表示，當他回想起自己在董事會會議上進行演講時，記得最清楚的是出現(xiàn)了一些簡單的錯誤。許多IT領導者都遇到過這種情況?？紤]到這一點，他例舉了IT領導者在參加董事會會議時常犯的五個錯誤。

(1)IT領導者認為董事會成員缺乏技術專長

根據(jù)麻省理工學院在2019年發(fā)布的一份調查報告，在年收入超過10億美元的美國公司中，只有24%的董事會精通數(shù)字技術。最近的一項調查表明，只有51%的財富100強企業(yè)和9%財富200至500強企業(yè)擁有相關網(wǎng)絡安全經(jīng)驗的主管。

雖然這些數(shù)字表明大型企業(yè)的董事會在技術和安全方面存在重大差距，但如果CIO和CISO認為他們的董事會缺乏數(shù)字、數(shù)據(jù)、安全或其他技術敏銳度，那就錯了。

斯巴魯公司加拿大分公司CIO Manoj Tiwary表示:“在過去幾年，董事會的結構發(fā)生了變化，許多技術人員加入了董事會，在很多情況下還包括前CIO。所以IT領導者需要確定這樣的董事會成員作為支持者，確保在董事會之外與他們合作，以確保IT領導者的技術戰(zhàn)略保持一致并得到采納?！?/p>

(2)IT領導者喜歡采用專業(yè)術語和令人費解的答案

在所著的《數(shù)字開拓者》一書中，Sacolik講述了早期互聯(lián)網(wǎng)時代發(fā)生的一個故事。當時一位董事會成員問他:“cookie是什么?”他的第一反應是提供技術方面的答案，但很快意識到，如果以這種方式回答這個問題，那么這位董事會成員可能感到困惑。

Joe Puglisi曾經(jīng)是一名CIO，現(xiàn)在是一名投資者、顧問和董事會成員，他說:“CIO無法通過無意或有意的混淆來回答關鍵問題或IT問題，采用專業(yè)術語進行解釋可能更讓董事會成員感到困惑。”

避免使用專業(yè)術語是很重要的，但有時IT領導者會被要求定義一個技術術語或解釋一項技術。Puglisi推薦的一種方法是，用其所在行業(yè)的類比來回答技術問題。例如，可以通過將Scrum與設計和構建敏捷項目的方法進行比較來幫助董事會成員理解軟件開發(fā)中的Scrum。

(3)IT領導者采取恐嚇戰(zhàn)術或夸大安全風險

人們都知道“永遠不要浪費一場危機”這一名言，這是一種工具，可以引起人們對沒人愿意進行投資的關注。

IT領導者有時候需要制造一種緊迫感，但不要過火。Sacolik曾經(jīng)聽一位CISO說:“如果我們不能說服董事會，那就嚇唬他們?！彪m然采取恐嚇戰(zhàn)術可能會讓董事會同意投資，但隨著時間的推移，那么這位CISO將會失去可信度。

天生擅長演講和講故事的CISO可以使用這些技能與董事會建立緊密的聯(lián)系，但前提是要有足夠的時間來使用這種方法。

如果陳述不是IT領導者的最佳技能，或者只有幾分鐘的時間來陳述，那么IT領導者所講的故事可能會讓董事會成員感到困惑。Agile Blue公司總裁兼聯(lián)合創(chuàng)始人Tony Pietrocola說，“董事會在了解企業(yè)是否防范了網(wǎng)絡威脅的問題時，他們通常不是技術人員，因此CIO或CISO可能會用一種令人困惑的敘述來回答這個問題?！?/p>

Clario公司執(zhí)行副總裁兼首席信息技術和產(chǎn)品官Jay Ferro是Allata公司董事會成員，他分享了一些不應回答董事會有關安全風險問題的例子。他說，“IT領導者不要說，‘我們正在盡最大努力保證安全。’沒有人能保證絕對安全。所以，很難說企業(yè)是否完全不受威脅。此外，IT領導者不要夸大其辭，表示做好了安全準備，不要說‘我們的安全態(tài)勢是強大的，已經(jīng)實施的對策完全保護我們的企業(yè)免受任何威脅。’這樣的話?！?/p>

那么，CISO應該做些什么來確保董事會了解安全風險，而不講故事或使用恐嚇策略呢?

Pietrocola建議使用安全基準來幫助董事了解風險，他說:“評分算法可以對網(wǎng)絡安全和企業(yè)關鍵運營的最關鍵方面進行評分?！迸c此同時，F(xiàn)erro建議討論高風險地區(qū)的商業(yè)影響，并審查其補救計劃。

(4)IT領導者的回答含糊不清或不符合董事會的期待

CIO和CISO需要了解哪些信息對董事會來說是重要的。展示太多的幻燈片可能會讓董事會失去興趣。采用太少的幻燈片進行總結可能會遺漏陳述的問題、增長機會、市場趨勢以及其他將業(yè)務和客戶需求與技術戰(zhàn)略聯(lián)系起來的細節(jié)。

Tiwary表示:“IT領導者最不應該做的就是在董事會會議上提出一個孤立的技術戰(zhàn)略，這與業(yè)務目標不一致，或者不符合董事會的期望?！?/p>

Ferro表示，以下是董事會成員就數(shù)字化轉型計劃提出的其他問題，以及IT領導者有哪些糟糕的回答。

• 一名董事會成員詢問一名CIO有關一項啟動的計劃的時間表，CIO回答說:“我們才開始，所以沒有太多可以分享的內容，我們仍在努力弄清楚這一切，所以我們還沒有任何重大進展或見解?！盕erro指出，CIO應該首先回答問題，然后提供細節(jié)。一個很好的回答是，“我們還沒有制定時間表，但我們正在進行客戶研究，并圍繞這項技術進行概念驗證。我們將在30天內得出調查結果，之后很快就會提供一個時間表草案。”
• 一名董事會成員詢問IT部門在生成式人工智能方面做了什么，一名CIO回答說:“人工智能和所有這些流行語聽起來令人興奮，但事實上，我不確定它們會帶來什么不同。它們仍然很新，所以我們只是采取觀望的態(tài)度?！边@個答案的問題在于，董事會希望CIO對新興技術、商業(yè)機會和風險有更實質性的建議，即使董事會沒有優(yōu)先考慮這項技術的工作。

對于CIO和CISO來說，關鍵是要充分了解影響其業(yè)務和行業(yè)的積極舉措、商業(yè)機會和新興技術。即使不在董事會會議議程上的一個話題，董事會成員也可能問這個問題。

(5)IT領導者沒有與同事達成一致意見

Sacolick的最后一個建議來自#CIOChatLive活動，他在活動中問了一位董事會成員一個有關CIO和董事會關系的問題。Sacolick說，“如果你在一項關鍵的安全或運營投資上沒有得到首席執(zhí)行官的支持，你是否應該在董事會上提出這個問題?”那位董事會成員瞪了他一眼，然后響亮地回答:“不。”

IT領導者不希望在董事會上表達不同意見，也不希望因為提出議程之外的問題而讓同事感到意外。這是一個影響其職業(yè)生涯的舉動。

即使是經(jīng)驗最豐富的CIO和CISO也很少與董事會接觸，所以在會議上發(fā)言是一種學習經(jīng)歷。IT領導者需要學習最佳實踐，與同事協(xié)商，避免容易犯的錯誤。