You are using an outdated browser. For a faster, safer browsing experience, upgrade for free today.

【ESG】「資訊揭露」從何做起?

【ESG】「資訊揭露」從何做起?

依據〈Morrow Sodali 2020 機構投資者調查〉指出〈非財務資訊揭露〉受關注程度,排名前三位的分別是:
 
一、氣候變遷 (Climate change)
二、⼈⼒資本管理 (Human capital management) 
三、企業宗旨與⽂化 (Corporate purpose & culture) 
 
前⼀年的調查, 83% 的受訪者指出 ESG 主題中,與〈⼈⼒資本管理〉相關的揭露品質是最需要改善的。
 
今年則有 95% 指出最需要改善的在董事會參與(Board involvement),包括⾼層基調(Tone at the Top)以及⼈才培育管理,有 71% 則認為是在健康與安全指標。
 
那麼有關網路安全(Cyber security)與數據隠私(Data privacy)相關的〈非財務資訊揭露〉在機構投資者眼中⼜是如何看待呢?
 
改善網路安全揭露由前⼀年的 39% 降到 18% ,改善數據穩私揭露則由 11% 降為 5% 。 主要的原因是因為在過去⼀年,機構投資⼈已經得到充分的資訊而且建立了良好的溝通管道。
  
但台灣的企業在網路安全與數據穏私的資訊揭露真的做得夠好了嗎?恐怕未必。
 
⽬前有三⼤國際 ESG 指數,其中道瓊永續指數(Dow Jones Sustainability Index, DJSI),2020 年台灣有 26 家企業入選 DJSI。2019 年 DJSI 在評估問卷中增加了 1.9 項:“Information Security, Cybersecurity & System Availability ” ⼜細分為:
 
.1.9.1、Information Security / Cybersecurity Governance: 
董事會是否參與網路安全相關策略擬定與流程檢視?董事會相關權責⼈員是否具有 IT 或網路安全景?
 
.1.9.2、Security Measure:
是否針對有接觸重要資訊權限之員⼯實施以下政策與措施以確保了解如何安全風險及危害:內部政策公告、風險意識教育、資安通報流程及納入績效考評。
  
.1.9.3 、Process and Infrastructure:

針對事件回應(Incident Reponse)是否有營運持續及應變計(Business continuity / contingency plans)與流程以及多久執⾏演練測試?網路安全管理框架是否取得第三⽅驗證?例如 ISO 27001, NIST 等等。網路安全管理流程是否經過外部稽核並且執行弱點分析?例如模擬駭客攻擊。
  
.1.9.4 、Information Security / Cybersecurity:
過去三年網路安全事件數量?造成客⼾個資外洩數量?這些事件的合計賠償⾦額或罰款?1.9.4 的另⼀個揭露重點在於如何評估藉由保險降低財務風險?企業是否藉由資安保險轉嫁資料外洩的損失?投保資安保險的最⾼保額(Maximum coverage)多少?
  
根據我的實際觀察,其中 1.9.4 項正是台灣企業真正⾯臨的挑戰,因為低弱的「風險識別與量化」(Risk Quantification),沒有「風險量化」不可能討論「風險轉移」(Risk transferred),也就無法確
定「最⾼保額」,將導致無法決定「淨財務風險」(Net Financial Risk),淨財務風險的高低最終將影響企業的EPS的⾼低。
 
焦點回到台灣有沒有類似的網路安全資訊揭露要求?
 
證交所 2019 新版公司治理評鑑納入網路安全項⽬並增訂於編號 2.24,其中包含:「公司是否建置資訊安全風險管理架構?」、「是否訂定資訊安全政策及具體管理⽅案?並揭露於公司網站或年報?」2019台灣證券交易所頒布,公開發⾏公司年報應⾏記載事項準則,第⼆⼗條第⼀項第六款第十三目則規定:風險事項應分析評估最近度及截⽌年報刊印曰止之下列事項:(⼗三)其他重要風險及因應措施。

其他重要風險有七項,例如勞⼯安衞、食品安全、⾶航安全、天然災害等等,資訊安全風險僅是其中之⼀。

換句話說,證交所對年報加強資安風險揭露其實佔整體「權重」並不⾼,然⽽外資機構投資⼈卻將「網路安全揭露」視為關鍵。⾄於資通安全管理法中針對「特定非公務機關」也提出多項要求,主要針對關鍵基礎設施提供者、公營事業機及政府捐贈的財團法人,由於不是針對⼀般上市櫃公司本文先略過。

因此我高度推薦企業不妨參考 DJSI 的詢問表,重新調整資安防護作為,同時董事會也以資安治理層級看待網路安全資訊揭露,才能快速提升到國際⽔平!

本文的⽬的在於提醒台灣企業,雖然 ESG 浪潮高漲,導致機構投資⼈對〈非財務資訊揭露〉的高度重視,有關網路安全資訊揭露看似沒有排名前三位,也不在必須⼤幅改善的項⽬,卻是台灣企業必須立即改善並强化的⼀項,因為西方國際級企業其實早就把「網路安全之資訊揭露」提升至另⼀個⽔平,我們必須急起直追!

 

 

 

倍安保險董事長 黃志明

  • 分享此貼文!