【作者】 Tom Reeve
【資料來源】 SC Magazine UK
【發佈日期】 2017年 2月 6日
【介紹者】 閻書孝研究員/本篇由何佩諸委員審訂
【簡介】
在FTSE 100的公司裡,只有少數公司的董事會有科技或網絡安全經驗的專家。
根據Deloitte分析了FTSE 100公司的年度報酬及其董事會成員經歷後發現,僅二十分之一(5%)的公司,其董事會成員具備網絡安全的經驗。
同時,他們發現大多數公司列出網絡為重大風險,但僅11%的公司表示,他們有設置新的職務或單位來負責網絡風險事宜。
10%的公司表示有對其董事會成員進行網絡風險訓練。
英國Deloitte的網絡風險服務部主管Phill Everson說,在科技普及與網絡風險受到關注之下,僅二十分之一的董事會公開揭露其現任成員具備科技專業或網絡背景,以及少數的公司表示他們為董事會設有這個領域的顧問,這著實是一個警訊。董事有經驗與設有顧問,不只可以強化永續性,還可以強化向投資人揭露相關資訊的重要性。
英國金融行為監理局(Financial Conduct Authority)是負責監督銀行業的主管機關,其所監管的銀行很多也是FTSE 100的上市公司。在去年11月,遭下議院議員Steve Baker譴責,因為他們的董事會裡沒有任何一人具備網絡安全經驗。英國金融行為監理局主席John Griffith-Jones說,董事會的確沒有很多的科技專家,但是為了因應這方面新增的威脅,他們已聘僱一位特別顧問。
Deloitte在其調查中發現,很多董事會都常意識到問題,但是一直未有證據顯示,他們有在處理問題。比如,超過半數的公司在其年報裡面有提到網絡偶發事件、危機管理或災難復原計畫,但是僅58%的公司有揭露,在過去一年對這些計畫做過測試情境的模擬。
英國Deloitte公司治理中心的主管William Touche說,網絡攻擊的潛在損害,是一個重大威脅,因此年報揭露網絡風險、以及像是規劃、訓練與測試等降低風險的措施,甚至是年報中報導網絡入侵,對股東而言都是重要資訊,因為這都是在強調風險並且讓股東知道,公司是如何的認真以待。在年報中揭露,也顯示公司瞭解到他們所面對的網絡風險。Deloitte的調查顯現了在揭露品質上,公司彼此之間存在很大的差異。有些公司做得很好,但是大多數公司仍有改進的空間。
Deloitte的分析提出以下七個原則,可供公司在報告書最後確認以前改善網絡揭露的參考:
- 每個部門都定義網絡安全為一項重大風險,雖然不是每家公司都這麼做,但如果你還沒做,就要謹慎考量一下。
- 網絡風險對公司價值的破壞力非常高,有可能會影響需求訂單、也可能會造成重大的商譽損害。因此作詳細的揭露是很值得的,可藉此向股東強調風險所在,並讓他們知道公司正認真看待。
- 更好的是依據個別公司及各年度的特性來揭露,這樣才能向投資人和其他利害關係人提供足夠而有意義的資訊內容。
- 董事會及功能性委員會一直在增加有關網絡威脅的自我教育,同時也持續挑戰管理階層有關他們是如何處理風險的。
- 公司應該要把所做的事說出來,包括定義誰負責執行、董事會層級的責任、政策架構、內部控制以及災難復原計畫。
- 董事會應該思考他們的揭露會少了什麼,比如公司所面臨重大威脅的明確指示、誰造成這些威脅、可能性多大、可能造成的衝擊,以及公司(和董事會)如何處理或降低這些特殊風險的細節。
- 最後,如果公司做的都已經說了,但揭露看起來還是不夠詳盡的話,那就需要探討公司在管理網絡風險上是否做得真正足夠。
【網址連結】
https://www.scmagazineuk.com/only-5-of-ftse-companies-have-cyber-security-expertise-on-the-board/article/636252/