【作者】    Kim S. Nash    
【資料來源】Wall Street Journal 
【發佈日期】2023年 8月 30日
【介紹者】    閻書孝研究員
【審訂者】    邱明志委員
【簡介】    

公司開始把執行長和其他高階主管的紅利連結至網路安全指標，治理專家說此舉會讓他們在抵禦駭客時更安全。

該實務做法在美國最大公司間正微幅增加，根據會計與顧問機構EY的新研究，2022年財星美國100強(Fortune 100)的公司中有9家公司把特定經理人的部分短期紅利連結於網路目標。EY說，這高於2018年的0家。

委託投票顧問機構Institutional Shareholder Services分支的數據機構ISS ESG發現，在它所追蹤的全球超過1萬5千家公開發行公司中，有86家在去年這麼做。其中包括美國製藥公司嬌生(Johnson & Johnson)、英國倫敦證交所集團(London Stock Exchange Group)以及Paragon Banking Group。這些公司並未對評論的要求做出回應。

治理顧問機構Advanced Cyber 
Security Center(ACSC)的執行主席William Guenther說，網路安全通常由技術與安全部門負責。但他說，網路安全目標應該提高位階並且綁入高階經理人的薪酬包裹。此有助於把安全要素納入公司決策，他還說：「這是一步，而且是有價值的一步。」

自從2017年發生了大規模資料外洩事件且最終導致消費者訴訟以14億美元和解，外加超過10億美元的各州和解金與技術支出，評等機構Equifax已將經理人紅利部分連結於網路目標。2018年，該公司曾勾勒一份數年計畫，欲解決導致1.479億筆消費者個資外洩的事件，內容包括若未達成網路指標，經理人就可能有領不到短期現金紅利的風險。

Equifax的董事此後將安全納入環境、社會與公司治理的部分目標，做為每年對經理人的支出以及符合領取年度激勵計畫紅利資格的員工。

根據Equifax最新的委託投票說明書，員工需達成一個或多個安全目標，此由網路安全部門制定且適合他們角色。該公司並未立即評論。

許多公司，比如Equifax，並沒有在公開檔案中詳述其網路指標，但有些公司這麼做。2022年的委託投票檔案中所列舉的指標，比如特定網路安全準備措施的分數進步，以及定義三年網路計畫。

美國EY的審計委員會論壇負責人Patrick Niemann說，雖然數字不多，這類揭露顯示董事會更為注意網路安全的上升趨勢。

Niemann說，再者，定義連結於薪酬的公平網路目標具有挑戰性。他說，並非特定年度沒發生駭客攻擊就代表可拿到紅利，而被駭就取消這麼簡單。指標還在發展中。

他說：「公司還在嘗試。我們的確看到網路安全實際上是所有董事會之首要任務。」

有時候網路安全與紅利之間的關係更像棒子而非紅蘿蔔。澳洲健康保險巨擘Medibank Private在2022年遇到網路攻擊從而付出超過4600萬美元的代價以前，並沒有具體的網路安全目標與高階經理人薪酬綁在一起。

上週Medibank的董事會取消給執行長、財務長及另外兩位首長的短期獎
勵紅利，因為這次攻擊外洩了近1000萬筆個資，某些是就醫資訊。這些高階經理人不得不放棄總共360萬美元的紅利獎勵。

Medibank的董事在公司2023年的年報中寫著：「在網路犯罪事件後，考量客戶、股東及社區的期待，董事會做了這個裁量。」

Medibank的發言人說：「在網路犯罪事件的時代，我們董事長表示總有一天會產生後果，上週你們已經從我們的公告中看到。這是一起嚴重的事件，代表有嚴重後果。」

ACSC的Guenther說，公司應事先清楚說明對經理人的期待。他說，網路攻擊後的處罰一般來說不會帶來持續的轉變，他補充說，制定指標需要支持—「否則無效」。

【網址連結】
https://www.wsj.com/articles/cybersecurity-enters-conversation-about-executive-pay-488d702e