隨著資訊時代的來臨,現代人的工作與生活已與網際網路密不可分。對企業經營而言,網路帶來新的機會(比如社群網路經營對企業銷售之幫助),也帶來新的風險(比如駭客入侵造成公司商譽損害)。有鑑於此,美國公司董事協會(NACD)發佈的<董事監督網絡風險手冊>(Director’s Handbook on Cyber-Risk Oversight),建議企業與主管機關要正視網絡風險問題,並且將層級提升到董事會,列為公司重大風險。
台灣以科技與貿易立國,企業對網絡風險與資安議題是否有充足準備?董事會是否規劃及適當管理相關風險,並建立良好通報機制?這些問題迄今似乎未見明確的分析。因此,中華公司治理協會在2017年的年度調查中,以「董事會網絡治理機制之探討」為名,透過台灣證券交易所和證券櫃檯買賣中心,向1,923家上市、上櫃及興櫃公司發送問卷,最後收得934份有效問卷(回收率達48.57%),瞭解三個面向的公司實況:
- 董事會網絡安全治理現況
- 公司對網絡安全的治理機制
- 在網絡安全方面關於董事會提名、進修及其他相關狀況
一、 公司基本資訊
本調查受訪公司在市場別方面,有58.57%上市公司回覆、33.94%上櫃公司回覆、7.49%興櫃公司回覆。資本額方面,受訪公司平均資本額是49億元(資本額最小是1.35億元、最多是1,949億元)。產業別方面以「電子零組件業」公司回覆最多(11.67%)。成立年數方面,受訪公司平均成立30年,而成立20年的公司是數量最多的。
關於董事會成員年齡,基本上董事長年齡略高於總經理:董事長以「61至70歲」(占比為42.51%)一組最多、而總經理以「51至60歲」(占比為45.64%)一組最多。在董事會方面,最年輕董事以「41至50歲」(占比為46.16%)一組最多、而最年長以「61至70歲」(占比為46.99%)一組最多。綜合來看,受訪公司董事年齡層約在40至60歲之間,董事長年齡層約與最年長董事相近,而總經理年齡層則高於最年輕董事。
由於新科技的崛起,產業結構與營業模式有大幅度的改變,經營條件也與網際網路興起以前完全不同,自然所面對的風險和機會也不同。在網路時代,像臉書、谷歌等新興的國際大型企業,是20年前想不到的經營模式,而其創辦人迄今都未滿50歲 。今年2月紐約時報的報導,董事會更新與年齡,也是董事會多元性的趨勢之一,甚至標準普爾500公司有73%已設有董事年齡限制 。未來面對產業轉型和經濟挑戰,董事會的多元化、更新與董事年齡,將會是一個熱門話題,尤其,在網際網路的時代裡,較過去更需要年輕、有創新思想並能掌握潮流的董事,才能面對網絡風險並尋找新的機會。
另外,本調查也詢問了董事長與總經理的性別,結果來看,兩個職位均以男性為大多數(男董事長比例為94.07%、男總經理為91.79%)。最近德勤一份名為” Women in the Boardroom: A Global Perspective”的研究表示,女董事長所領導的董事會,所聘僱的女性董事比例較男董事長領導的多出一倍。而且董事會多元性越高,越可能任命女執行長或女董事長 。近幾年各國在討論,對董事會多元性是否要實施強制配額制?還是由企業自願地施行?各國目的不同,作法也不一。以提升女性董事來說,除了注意在董事會的「比例門檻」以外,如何從企業文化、領導風格來加速董事會的多元性,董事長或總經理的性別及其後續的影響,或許也是值得關注的一個面向。
二、董事會的網絡安全治理
在董事會監督網絡風險議題方面,有正式列案討論的董事會僅5.15%,半數以上董事會(50.21%)沒有任何形式討論。在要求經理部門網絡風險議題方面,有七成的受訪公司(70.75%)表示未以任何形式向董事會報告,以及,在2016年有近七成(69.09%)董事會未以任何形式(無論定期或不定期)檢視網絡風險議題。綜而觀之,目前公司董事會在運作上,普遍未將網絡風險及資訊安全,列為重大議題進行督導。類似現象也可見於:近三成的受訪公司(29.45%)表示,董事會內無任何特定成員檢視網絡風險議題。
在向董事會報告的負責人方面,近三成(28.32%)公司表示有專人向董事會報告網絡風險相關議題,換言之超過七成公司並未設有專人。在報告者最高職務方面,以「總經理下一層負責資訊之經理人」比例最高(32.65%),另外一個是「其他」(31.84%),即以內部稽核主管或人員占大多數。由於國內有將資安議題納作內部稽核事項,故以經理部門層級以下來說,受訪公司幾乎都會進行年度性或定期性的檢核與報告(或也可能將之歸為資訊部門之業務)。
然而,從香港的經驗來看 ,雖然經理部門以下有檢視機制,但董事會層級並未重視網絡安全議題,往往只由基層、只具技術背景的資安人員負責,很難向董事會溝通相關風險對營運的衝擊。
在董事會對網絡風險或資訊安全檢視工作方面,有超過四成(41.59%)的公司表示董事會未曾檢視相關議題,比例不低。在有進行檢視的董事會中,最多的工作是「檢視公司保護重大資料的現行方法」(38.76%)與「檢視公司保護重大資料的科技設備」(27.95%),基本上,這些工作較屬於技術層面,對於較具究責性(比如指定明確對象向董事會報告網絡風險事宜,比例為4.15%)、利害關係人層面(比如評估外部供應商對網絡風險的影響,比例為8.19%)以及法律風險因應(比如討論受網絡風險侵襲的法律影響,比例為7.53%)等這些項目的比例相對不高。
美國公司董事協會在<董事監督網絡風險手冊>裡認為,企業存在著一個誤解:以為自己規模小、不知名就不會被攻擊,事實上,網絡入侵是連結性的,可以透過外部的合作者與供應者,入侵標的企業,所以他們建議以生態系統(ecosystem)的觀念來思考,而國內企業亦可參考此觀念並落實推動。
三、公司對網絡安全的治理機制
國內由於將資安議題納為稽核項目,故經理部門以下會定期執行相關檢核工作。從受訪公司回答來看,有七成以上公司(72.56%)表示有定期檢視,且其為「常規性的稽核項目」最多。
不過就委託外部顧問協助方面,近半企業(48.06%)表示「無委託,但董事會對此議題無專業或經驗」。可以推論,現在關於網絡風險與資安的議題,主要是由內部稽核部門或人員處理,而委託外部機構檢視的公司還算少數,且董事會對此的經驗與專業也尚不夠成熟。另外,對外部顧問協助後的檢視,七成以上公司(73.13%)回覆以「資訊部門」為主。
四、董事會提名、進修及其他
對於下屆董事會提名具有網絡安全與治理專長者擔任董事,不到三成(26.78%)的企業表示會參考此要素提名,意味該資格尚未普遍成為企業提名董事之參考。但是在進修方面,仍有近三成的企業(29.61%)認為無需求,可能是因為公司認為自身產業屬性,董事無須再進修相關議題,然而從企業生態系統的角度看,網絡風險與資訊安全是所有企業都會面對的課題,故建議所有董事會與企業領導人,都應該要注意相關的進修資訊。
在目前董事對網絡風險及資訊安全進修的充足度方面,有63.42%的公司表示不充足(包含「非常不充足)與「不太充足」兩個選項),也有公司回覆,希望能多召開相關課程與說明會,啟迪董事意識與知識,而且重要的是,現在的董事大多擅長於法律、財會或所屬產業,對網絡風險並不熟悉,因此董事會對相關議題大多屬於背書性質,未必能做出正確判斷,這是後續企業主與主管機關需要注意到的問題。