董事會IT治理

董事會IT治理（Board IT Governance）是公司治理中專注於資訊科技（IT）的最高層級監督機制，其責任主體為董事會。此概念源於企業對IT的依賴日深，相關風險（如網路攻擊、資料外洩）已成為重大營運威脅。其核心定義根據國際標準ISO/IEC 38500:2015，董事會應透過「評估（Evaluate）、指導（Direct）、監控（Monitor）」的EDM模型，來履行其治理職責。這包括評估當前與未來的IT使用、指導管理層制定與執行IT策略及政策、監控IT績效與法規遵循性。它在企業風險管理（ERM）體系中，定位於策略風險層級，確保技術風險被納入全盤考量。與IT管理不同，治理著重於「做對的事」（策略方向與目標設定），而管理則著重於「把事情做對」（資源的有效執行與運營）。

在企業風險管理中，董事會IT治理的應用旨在將技術風險與企業策略目標對齊。具體導入步驟如下：第一步，建立治理架構，董事會可成立專責的「技術委員會」或「風險委員會」，明確定義其在IT決策中的角色與職責，並要求管理層依據COBIT等框架建立IT控制環境。第二步，進行策略性風險評估，董事會應指導管理層採用NIST網路安全框架（CSF）等工具，識別關鍵IT資產與潛在威脅，並將IT風險胃納整合至企業整體的風險胃納聲明書中。第三步，實施績效與風險監控，董事會需核准關鍵績效指標（KPIs）與關鍵風險指標（KRIs），並要求資訊長（CIO）或資安長（CISO）定期（如每季）提交IT治理報告，內容涵蓋重大專案進度、資安事件、法規遵循狀況等。透過此機制，一家台灣金控公司在導入後，其重大資訊系統的非預期停機時間年減20%，並成功通過金融監督管理委員會的專案金融檢查。

台灣企業導入董事會IT治理主要面臨三大挑戰：一、董事會成員普遍缺乏IT專業背景，導致將IT視為成本中心而非策略驅動者。對策是任命至少一名具備科技或資安背景的獨立董事，並定期為董事會安排數位轉型與網路風險的教育訓練，預計6個月內可提升董事會的共同認知。二、中小企業資源有限，難以負擔專職的資安長或導入昂貴的治理工具。對策是採用「治理即服務（GaaS）」的委外顧問模式，並善用雲端平台提供的可擴展資安服務，優先將資源投入在鑑別與保護關鍵核心系統上，預計3個月內可建立基礎防護與監控能力。三、法規變動快速且複雜，例如《資通安全管理法》對關鍵基礎設施提供者的要求，或《個人資料保護法》的更新，使合規難度增高。對策是建立由法務、IT與風險管理部門組成的跨職能工作小組，利用GRC（治理、風險與合規）軟體工具，將法規要求對應到內部控制措施，並每季進行合規審查，以確保動態遵循。

積穗科研股份有限公司專注台灣企業Board IT Governance相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact