廠商的系統補丁，管理員不經測試就打補丁，業務人員偶爾不按系統規定的流程處理業務……對這些，CIO是該做老好人、睜只眼閉只眼，還是公事公辦、按制度要求相關人等？

對與IT系統相關的制度和規定是否強制執行，不少CIO都感到很為難。且不說哪種做法有道理，不妨先看一個叫做“破窗理論”的故事。多年前，美國斯坦福大學心理學家詹巴斗進行了一項試驗。他找了兩輛一模一樣的汽車，把其中一輛擺在一個中產階級社區，而另一輛擺在相對雜亂的一個社區。他把后一輛車的車牌摘掉，并且把頂打開。結果不到一天，這輛車就被人偷走了。而前一輛車擺了一個星期也安然無事。后來，詹巴斗用錘子把那輛車的玻璃砸了個大洞。結果僅僅幾個小時后車就不見了。

以這項試驗為基礎，政治學家威爾遜和犯罪學家凱琳提出了一個“破窗理論”：如果有人打破了一個建筑物的窗戶玻璃，而這扇窗戶又得不到及時的維修，別人就可能受到某些暗示性的縱容去打爛更多的窗戶玻璃。久而久之，這些破窗戶就給人造成一種無序的感覺。

后來，人們將這個“破窗理論”用于公共場所管理和企業管理等領域。如果看到大家都在排隊上車，本來不想排隊的人也會不自覺地排隊；如果看到都在擠著上公交車，本來想排隊的人都不會排隊了。粗魯的人去了整齊有序的五星級酒店也會有所收斂，文明的人去了嘈雜不堪的地下游戲廳也會粗魯。在公共領域，環境會對人的行為有所暗示，進而影響人們的行為。

在企業管理領域，“破窗理論”告訴我們，對犯錯的暗示性縱容會導致更多人跟進，進而對事件的結果產生不容忽視的影響。在一些人看來，與IT系統相關的制度都是一些看似無關大局的制度，有些員工可能懷著惴惴不安的心情偶爾違反了一次。如果第一次沒有被警告，那么違規很容易成為大多數員工的工作習慣。

第一個不經測試就打補丁的人一定要被處罰，否則別人會認為補丁測試不重要；第一次不經允許就在公司內部網絡里接入私人電腦沒有被制止，不少人就會養成把私人電腦接入內部網絡的習慣；制度要求定期更改密碼，如果沒更改密碼的人沒有被要求改正，那么大家會慢慢忘記這個制度。銷售人員第一次違反ERP系統的要求，在產品出庫時沒有被處理，那么更多的人會這么做……

IT制度就像一個窗戶，違反制度就像窗戶被打破。如果第一個被打破的窗戶沒有被修補好，就有更多的窗戶被打破。

CIO一定要勇于做IT制度的補窗人，敢于維護IT制度的權威性。只有違規行為被嚴肅處理，類似的行為才不會重復發生。對此，也許CIO還不太習慣，因為人們會說你小題大做。但第一塊被打破的窗戶沒有被修復，一定有更多的窗戶被打破。

值得注意的是，IT制度的制定人也要有督促制度執行的辦法。比如，很多公司規定IT系統的密碼要定期更改，但是包括CEO在內的一些高管人員，卻從來不會更改管理員設定的初始密碼。CIO的一個可行的辦法就是，讓這些高管用上密碼管理器，這樣定期更改密碼的制度就更容易執行。此外，CIO要考慮制度可行性，CIO要對意外事件的處理有預定程序，要確定制度有效的范圍。考慮到市場環境的復雜性，一些和業務有關的IT制度要考慮例外事件的處理程序。比如，很多ERP系統規定，產品出庫要錄入ERP系統，經批準后再出庫，可有時銷售會因客戶要求而不錄入系統就出庫。明確制度有效的范圍，也有利于CIO的補窗，比如在制定員工不能在辦公時間登錄QQ的制度時，CIO最好把需要上QQ的論壇管理員排除在外。

CIO要培養尊重制度的企業文化，要鼓勵、獎勵補窗行為，讓員工不以破窗為理由而同流合污，反以補窗為善舉而亡羊補牢。公司要提倡這種善舉，通過表揚、獎勵措施使之發揚光大。