這篇是2024年 5月 23日刊載於Corporate Board Member 網站,分享Corporate Board Member、BDO 與Diligent Institute合作進行的2024年《董事在想什麼調查》(What Directors Think Survey)之調查。該調查發現:人工智慧(AI)與網絡安全被視為董事們最大的兩個挑戰領域,分別占36%與35%。當董事會成員對美國經營環境持中立的展望之際,這兩個領域對短期與長期成功的重要性日益增加。
新的AI風險突顯了需要提高監督
生成式AI的科技,具有改變我們工作方式的潛力,而許多董事會對組織準備不足的落差感到擔憂。當對AI的實施和使用缺乏適當的治理時,組織可能無意中使自己暴露於新風險之中。
根據《董事在想什麼調查》,股東對此也有同樣的擔心。當問及最在意的問題時,大多數董事(88%)指出,股東對AI及生成式AI發展的詢問不斷增加。
根據BDO的2024年《財務長展望調查》(CFO Outlook Survey),財務主管視AI為可協助強化遵循與報導、安全監控、決定價格、客戶服務、契約管理、後台自動化、現場服務等的工具。然而,資訊安全仍是一個關注點,比如人們對於開源AI平台及大型語言模型(LLMs)的使用與資料儲存仍抱持質疑。AI工具的潛在效益,必須在保護敏感資訊的需求與能力下予以衡量。
這些憂慮對企業意味著甚麼?當公司將AI納入其營運時,領導人必須持續預測、監控、回應不斷演變的風險。這表示需要維持適當的治理,道德使用的政策與程序,並提供目前及未來員工適當的AI技能訓練及持續的進修。董事會需要瞭解管理階層如何優先處理風險,以及減少在數據集或使用有缺陷的演算法時,可能存在的潛在偏見。
隨著AI,特別是生成式AI,快速成為日常營運的一部分時,近半(49%)的組織正全力制定其AI政策(2024年《財務長展望調查》)。此外,39%有建立其內部解決方案,以保障敏感的客戶資訊和專有數據,並量身訂做工具來達成他們的需求。
因應新的法規:美國證券交易委員會(SEC)提高網絡安全要求
似乎目前會影響企業的網絡事件威脅還不夠,公司現在又面臨新形式的網絡風險,也就是提高揭露及事件報導的法規要求。最近生效的SEC網絡安全揭露法規,增加了年度報導要求,強制要求上市公司揭露其風險管理、策略與治理流程,並且需要及時向公眾報告重大網絡事件。這些法規要求公開發行公司及其供應鏈上的「第三方」,要審視他們組織如何管理網絡風險,同樣重要的是,他們的董事會如何監督這個流程。
整體來說,董事會對於他們監督網絡風險的能力,以及管理團隊有效管理網絡安全的能力,看來都沒有過度的自信。比如根據《董事在想什麼調查》,當問到他們的董事會及經營團隊,對於遵守SEC新的網絡風險揭露法規的準備狀況時,以總分10分來看,董事評價其董事會的準備程度為6.75分,而管理階層是7.28分。
在發生網絡攻擊的狀況下,公司必須快速決定該事件是否對組織有重大影響。這是有挑戰性的,因為網絡攻擊事件可能有很多種形式、會影響到許多系統,並可能長期沒有被偵測到。為了確保能及時做出決定,董事會與經營團隊需要有評估流程,以便在評估重大性時考慮質性與量化兩方面的因素。為減少網絡攻擊而來的傷害,董事會和經營團隊應具備最新的事件回應(IR)計畫,以便在懷疑有網絡攻擊事件時,能引導公司盡快採取行動,並應顧及SEC的新規定,被視為重大的網絡攻擊事件,需在四個工作天內進行報導。IR計畫也必須包含建立報導和溝通流程,讓公司能遵守當地、聯邦和國際的相關法律規範。
為遵守SEC新法規內,關於管理階層和董事會對於網絡安全風險監督的揭露要求,則需要檢視目前的政策、程序與協議,以判斷是否需要調整。這也應該進行更廣泛的評估,包含對於將揭露的內容是否與其他治理文件一致,而所謂治理文件比如公司的委託書、董事會功能性委員會章程,以及其他討論公司數據和網絡安全協議的公開或內部文件。這或許會辨識出進一步增加教育,以及促進董事和高階經理人合作的需求。
違規事件常源自於人為錯誤,比如當員工落入網路釣魚攻擊時,以及透過第三方而暴露,因此所有利害關係人都需要瞭解他們在強化及保護企業網絡安全措施上的角色。董事會成員應授予相關主管權力,不僅是投資員工和利害關係人的進修,也包括鼓勵跨團隊合作,如此企業就能在網絡攻擊事件發生時減輕風險,並快速和有效地因應。
從被動轉為主動:董事會需要知道的事
數位化,包括利用先進科技如AI,雖然都為強化企業營運提供了龐大的機會,但是組織必須要具備功能性與基礎性的數據和使用的保護措施,以及企業專屬的網絡安全計畫。為強化這些領域的監督,董事會應安排其會議議程,來優先監督重大風險、對公司網絡IR計畫和治理監督作壓力測試,並強調道德使用科技的文化的重要性。另外也應該要考慮,對所有員工包括董事,就風險的發展狀態持續進修。
治理結構必須包含保護與實行的機制、進修以及強化控制環境,以因應新興風險。作為其中的一部分,在適當的狀況下,董事會應該與管理階層、資訊科技、內部稽核、法務及其他組織內外的相關專業人士,包括顧問與執法機關定期合作。為保護公司的利害關係人免受AI和網絡風險影響,董事會應建立當責性機制,並確認經營團隊會定期監控及更新其數據和網絡安全計畫。
資料來源:https://boardmember.com/cybersecurity-artificial-intelligence-cited-as-top-board-priorities-in-2024/
.jpg)
沒有留言:
張貼留言