資安治理在ESG浪潮下的定位
ESG可能是目前企業最關注的趨勢之一,分別代表著環保(Environmental)、社會(Social)與公司治理(Governance)。
ESG中首當其衝的“E”即所謂的“環境保護”正是全球暖化、極端氣候的問題,氣候異常與環境污染是人人可見的景象,企業是否有不符合社會責任的做法也是大眾所關注的議題。
近年來,這樣的風潮也已從歐美吹到亞洲,「2050淨零排放(Net Zero by 2050)」成為全球性行動,愈來愈多的政府、企業與個人知道本身必須採取行動,保護所有生物的生存環境,促進地球的永續發展。
緊接“E”之後的另一個值得企業關注的議題應該是資安議題了,其實資安議題同時橫跨了ESG的“S”與“G”二個領域;
不妨先從“S”所謂的“社會”來談資安問題。與其直接相關的至少有以下幾項:
一、對消費者的責任
直接相關的就是企業應保護客戶的個資,客戶個資外洩絕對是重大的資安事件,因此企業是否制定明確且不低於法令規範要求的隱私政策,同時確保遵守其公告之穩私政策;其次應確實暸解何人掌有哪些管制數據,且有明確數據保留與銷毁的流程規定。
二、勞工準則
如何公平對待勞工,除了安全的工作環境之外,也與隱私高度有關,最明顯的例子莫過於德國資料保護與信息自由委員會引用歐盟的「一般資料保護規範」(General Data Protection Regulation, GDPR)對時尚品牌H&M開罰3,530萬歐元,起因就是H&M德國分公司嚴密監控員工私人生活,違反隱私保護規定。
今年七月初,貝佐斯卸下Amazon CEO身份,在給股東的最後一封信中誓言:「Amazon將成為地球上的最佳雇主」。
因為雇用超過百萬勞工的Amazon不僅在「勞工準則」甚至是「人權與社區」、「健康與安全」等“S”之重要指標皆令人失望。
三、供應鏈社會責任
例如明確理解供應商、合作夥伴及其他第三方之間共同維護的資訊數據適合的法律規定,存取使用權限等等。
簡單來說,強化網路安全的確可以創造長期價值但不能傷害客戶及利害關係人的信任。
接下來從G,所謂的”治理”層面來談資安問題:
首先必須指出資安議題並非IT議題,而是董監事層級議題,包括美國國家技術與標準協會(National Institute of Standard and Technology, NIST),聯邦金融機構監管委員會(Federal Financial Institute of Exam Counsel, FFIEC)及美國全國企業董監事協會(National Association of Corporate Directors, NACD)皆持一致的看法。
其次在金管會新版公司治理藍圖中,計劃項目之二「有效發揮董事職能」,企業應導入「風險管理委員會」機制,而資安風險必然屬於「風險管理」的範疇之內,況且資安風險是近期重大且新興之風險,世界各國均將資安列為重大議題,相關法令規範亦如雨後春筍般通過,妥善保護數據資訊並符合法令規範,成為各大企業之首要議題。
只是過去企業習慣以財務營收或會計盈虧的角度看待企業風險,董事會大都將「風險管理」之職責歸屬於「審計委員會」,或雖設有風險管理委員會,卻不見風險管理專業人士參與其中。
依據Sustainalytics公司指出,ESG的評等有二大關鍵因素:
一、清楚企業面臨的風險
二、面對企業風險的表現
因此企業在追求ESG潮流中絕對不能忽略了「風險管理」之重要,尤其是資安風險。
2020年美國全國企業董監事協會NACD針對資安治理(Cybersecurity governance)提出了五大原則給董事會成員,分別如下:
一、應將網路安全定位為戰略性企業風險而不僅僅是IT風險。
二、應了解與公司特定情況相關的網路風險之法令規定與含義。
三、擁有足夠的網絡安全專業知識並在董事會議程中定期且充分的討論風險管理。
四、董事應期望管理階層應建立網路風險管理框架具有足夠之人員配置和預算。
五、管理層對網路風險的討論應包括對網路風險的「識別和量化」(Identification and Quantification),以及接受、減輕或轉移哪些風險的個性別計劃?(例如:藉由保險安排)
以國外的經驗其中三、五,兩項原則建議藉由外部獨立顧問的協助會更具成效,原因如下:
依據我個人近三十年的風險管理經驗,風險的識別有賴正確的風險意識,一般而言大多數的人風險意識是不足的,甚至是偏差的,一旦沒有識別風險就不可能進一步去面對它、處理它。
其次是風險量化,有了妥善的「風險量化」才能討論「風險轉移」,當這二件事確定了,也就決定了企業的「淨財務風險」(Net Financial Risk),最終淨財務風險反應在公司的財務報表上,因此建議,由外部獨立顧問協助CFO決定風險轉移部位,進而決定企業之淨財務風險。
再者資安風險並非資安長或風險長一人可獨自承擔責任,包括法遵長、首席法律顧問、企業溝通部門、客戶服務主管甚至人資長應該共同參與,為什麼人資長應該參與資安風險預防,原因很簡單,實際經驗顯示”Human Firewall”是真正的關鍵。
因此藉由獨立顧問建議並協調各部門的職責分配,可以避免發生互踢皮球的現象。
當今所有企業追求在ESG領域領先同業,看似千頭萬緒不知如何著手,其實董事會只要做好資安治理,在“S”與“G”就立於不敗之地了,若是進一步籍由外部獨立顧問協助做好企業風險管理,除了提升公司治理的水平,在ESG評比表現上必將具有一個絕佳的優勢。
倍安保險董事長 黃志明