【作者】    Ed Magee, Alberto Gonzales與Randy Bradley
【資料來源】    Directors and Boards 
【發佈日期】    2026年 2月 24日
【介紹者】    閻書孝研究員
【審訂者】    謝靜慧/本協會前秘書長
【簡介】    

過去五年我們所看到的董事會動態，代表著董事的監督職責出現了根本性的變化。作為經驗豐富的從業者，我們經常與董事會合作，協助因應複雜的治理挑戰，我們觀察到傳統的Caremark監督義務，正與前所未見的商業衝擊產生碰撞，因而產生了新的董事責任類型，同時需要更細膩與成熟的治理架構。

傳統的Caremark原則

1996年德拉瓦州衡平法院的判決說明了，公司董事在何種狀況下，可能因為沒有善盡監督法律遵循的職責而被追究責任。該訴訟案是一位股東控告Caremark董事會，未能防範員工違反聯邦與該州法律，導致公司面臨刑事指控。衡平法院主張，董事不像律師或醫師般的專業人員，但是他們有義務要本著善意努力履行職責，主動瞭解狀況並做出適當的判斷。此判決確立了董事未能履行監督法律遵循責任的範圍相當有限—除非證明董事明知違法，或者刻意地未採取善意措施預防違法行為發生。在In re Caremark International Inc.的股東代表訴訟案中，法院主張：董事會已設置遵循計畫這個事實顯示，董事已盡善意努力來監督公司的業務。

新現實：從遵循到積極監督

我們所見到的演變不是漸進的，而是具變革性的改變。德拉瓦州法院已明確超越傳統的：「董事會是否設置遵循計畫？」的分析方式，轉而探究董事是否積極因應與公司使命攸關的核心關鍵風險。過去，類似Caremark的訴訟申請案，通過初期程序審查的比例，從過去不到30％提升至今日的35至40％，顯示法院對董事監督的失職狀況採取更嚴格的看法。

這一個轉變在2019年德拉瓦州最高法院的Marchand v. Barnhill一案判決中變得具體，其確立了：董事會必須就對於營運有「重大及關鍵」的風險，建立「合理的資訊與報告系統」。在後續涉及網路資訊安全、臨床試驗申報失敗，和安全監督缺口的案件中，我們看到法院對這個標準的適用日益嚴格。

這個訊息對董事而言很清楚：消極的遵循監督不再足夠。法院期望董事會要透過有紀錄的討論、向管理階層適當提問，以及出現警訊時採取因應作為，展現出積極投入對核心業務風險的監督。

監管整合帶來了新的治理要求

美國證券交易委員會（SEC）擴大的監理措施，直接影響了Caremark遵循義務的方式，而重塑董事會的責任範圍。2023年七月實施的網路安全揭露規則，是自沙賓法案（Sarbanes-Oxley）以來，要求董事會層級針對揭露義務最重要的一次擴張，並在監理遵循和受託義務之間建立了明確的連結。

在財富100強（Fortune 100）公司裡，有81％的公司表示網路安全監督由審計委員會負責，較五年前的61％大幅增加。同樣的，有71％的公司現在將資安視為董事會專業能力的一部分，先前則為極低的比例。這些統計數據反映的不只是監理遵循，而是一項對根本性事實的認知—網路風險已經成為幾乎所有企業的核心關鍵風險，尤其是公開發行公司。

SEC的執法模式顯示，對於董事監督揭露流程的期待升高。最近牽涉SolarWinds事件公司的執法行動，因為在公開揭露裡「疏忽地淡化」網路安全事件，處以99萬至400萬美元之間的民事罰款。SEC強調，公司不能將已實際發生的風險，描述為假設性風險，這一個標準要求董事會要掌握持續演變的風險局勢。

人工智慧（AI）治理已成為另一個關鍵領域。雖然還沒有正式的AI揭露規定，但是從2021年起，SEC已對56家公司發出超過92封與AI相關揭露的意見函。SEC對「AI漂洗」案件的執法行動中，對於涉及具誤導性AI能力聲明的案件中，則達到最高40萬美元的和解協議，顯示董事會必須以等同財務報導的嚴謹度，來審查管理階層對新技術所做的陳述。

商業顛覆加速治理複雜性

現代商業顛覆正在創造新的核心關鍵風險類型，這類型的風險需要董事會層級的監督。標準普爾500（S&P 500）公司揭露董事會監督AI的比例，在2023至2024年間增加超過84％，反映了董事會在因應技術轉型的同時，並要維持適當治理角色所面臨的挑戰。

對ESG的考量，正透過多重管道重塑董事會的監督職責。雖然全面性的聯邦層級的氣候資訊揭露要求仍存在不確定性，但是董事會面臨著機構投資人、委託投票顧問機構，以及新興的各州和國際監管規範的更嚴格審查。針對埃克森美孚，由Engine No. 1發動並成功的委託書爭奪戰，顯示了如果不能充份地監督氣候轉型，可能會引發治理方面的挑戰。

當全球供應網絡面臨地緣政治緊張、氣候風險及網路安全漏洞等多重壓力下，供應鏈中斷已帶來特別複雜的治理挑戰。公司如今提供更詳細的供應鏈揭露，包括關鍵供應商集中風險與ESG盡職調查流程，這些都需要董事會層級的監控。

董事會運作的實務轉型

隨著不斷演進的Caremark原則，與逐漸擴大的資訊揭露要求的相互影響，董事會的有效運作方式正發生根本性的改變。建議董事應超越傳統的委員會結構，並建立整合性的監督架構，以兼顧法律遵循和實務風險的管理需求。

資訊系統設計已成為Caremark遵循的關鍵要素。董事會必須確保：關於遵循風險的報告系統，必須提供及時、正確的資訊，同時對於重大問題有向上通報的程序。過去由管理階層定期報告的方法，已不足以因應快速變化的風險，例如網路威脅與AI部署所帶來的挑戰。領導性公司正在實施即時的風險監督儀表板、自動警示系統，以及持續的遵循追蹤機制。

文件紀錄要求也有顯著的提高。董事會會議紀錄必須呈現對揭露流程的實際討論和監督狀況，而委員會章程必須明確分配監督責任，另董事們要保存其因應已辨識紅旗警訊所採取行動之紀錄。德拉瓦州法院的強化審查意味：紀錄不充分，法院可能會對董事是否已盡善意努力作出不利推論。

隨著審計委員會的職責超越財務報導，納入了網路資訊安全監督、AI治理及ESG風險，委員會的演進已成為必要。研究顯示，標準普爾500有73％的公司，現在將網路安全監督納入審計委員會的職責，高於2019年的25％。然而，此擴張引發了對因應能力的挑戰—董事會必須透過提升董事專業知識，和強化支援性資源來迎向這些挑戰。

給董事會領導人的策略性建議

1.施行整合性的風險管理系統，將傳統的財務監督和新興的風險領域相連結，包括資安、AI治理、氣候轉型及供應鏈韌性。這些系統必須即時呈現核心關鍵風險，並具備明確的向上報告程序，和可供查證的董事會監督紀錄。

2.強化董事會組成與專業知識，以因應演變中的風險樣貌。這包括聘請具相關技術專業知識的董事、實行全面性持續的進修計畫，以及針對董事會專業能力可能不足的特殊風險領域，建立取得外部專家支援的管道。

3.發展具適應性的治理架構，以快速因應監理變動與新興的風險類型。AI治理要求、網路安全法規，和ESG揭露期待的快速演變，需要設計能夠持續因應的治理系統，而不是一成不變的遵循。

4.建立全面的文件紀錄機制，以展現董事會積極履行其監督職責。這包括呈現風險討論的詳盡會議紀錄、監督系統有效性的定期評估，以及清楚記載董事會對於已辨識的遵循疑慮所做的回應。

展望未來：因應顛覆時代的治理

Caremark原則的演進，顯示了自安隆案改革以來公司治理最重大的發展之一。德拉瓦州法院對於監督核心關鍵風險，正要求董事承擔更高的標準，同時，逐漸擴大的資訊揭露要求也創造了新的治理義務，要求董事會積極、更具專業且熟練地參與。

要在此環境取得成功，必需整合Caremark遵循與揭露治理，並視為策略要務，而非彼此獨立的法律要求。積極發展全面性監督系統、投資持續教育和提升專業知識，並導入科技支援監控機制的董事會，將最能因應由法律義務與業務中斷的複雜交織所帶來的挑戰。

未來屬於這樣的董事會：願意承擔擴大的監督責任，同時建立成熟的治理架構，以因應快速的科技變革、不斷演進的監理要求，以及超出傳統財務績效指標的利害關係人期待。能夠適應此新現實的董事，不僅能最有效地保護公司和自己免於法律責任，也能夠在這個前所未見的商業轉型和風險的時代中，提供更具成效的監督。

【網址連結】
https://www.directorsandboards.com/board-duties/strategic-oversight/board-oversight-in-the-digital-age/