這一篇由Joel Lanz所寫、2023年4月11日刊出的"The Audit Committee’s Oversight for Cybersecurity",探討這個不常被討論的問題。審計委員會對ESG的監督能注意到的人就不多了,更何況對更新的問題—網路安全。以下針對董事會、審計委員會的部分來分享一些內容。
有一些值得注意的近期發展,正在影響公開發行公司,比如美國SEC提出的“Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure”規範,或像紐約州金融服務部提出的網路安全規範,都是要加強董事會和長字輩主管在網路安全上的責任。
某些公司會在董事會下設立網路安全委員會。而像審計委員會所參照的章程,是溝通關鍵責任與期待的;當監理機關加強監督要求時,這些規定就變得越來越重要。
董事典型上要深具經營和財務敏銳性;不幸的是,他們的專長並未延伸到網路安全問題。某些公司才開始要增加網路安全專家到審計或網路委員會。許多董事成員仰賴知名會計與顧問機構的指引,讓他們可提出該問的問題。不過,僅有是非題的問卷、加上董事會成員有限的網路知識,可能無法應付。
時間與資源對尋求解答的董事而言,是另一項挑戰。董事的目標應該挑選提供給他們的資訊,以判斷風險是否有適當地管理,以及是否需要進一步調查。
網路安全報導若採最低標準,可能會導致不準確、不完全或不可靠。當管理階層過濾報告資訊、預先對控制弱點或不佳的網路安全控制活動類型篩選報告資訊,問題就會發生。雖然內稽部門可協助降低此風險,但在資源、獲取專業知識及影響力不足下,從事這項工作的效力可能就會打折扣。
以下是一些針對性的考量,應該可讓董事對於管理階層如何處理網路風險、是否需要採取進一步行動,獲得初步的理解。
盤點與分類所有資產
一份完整、正確與即時的全資產清單,應該依需求製作。這份清單包括了公司內部與外部(外包、雲端)資產。每個資產都要按風險分類,以便排出控制的優先順序。最主要的監督問題是:若管理階層無法辨識出需負責的資產,那該如何保護呢?
深思熟慮的網路安全風險評估
某些公司遵循的是「法律字面意思」,以最基本的是非題來辨識潛在問題。他們很少會測試回應作法以確認瞭解程度;有時候,他們或許未意識到這些問卷會引起威脅。縱使有正確表現,但管理階層可能只向董事會報告已知的風險、提議的補救方法。從監督角度看,未適當考慮所有風險及測試關鍵假設,可能會導致不正確地依賴錯誤風險管理陳述。若他們只報告高風險事項,董事會可能無法辨識出需要額外資源或關注的風險,成員也就無法適當地考慮變化中的威脅。
內部稽核評論的品質
董事可透過內稽報告瞭解許多組織的資訊及問題。從監督的角度看,這份報告有獨立的審視、適當的範圍以及可為組織加值的建議。由於科技的複雜性及持續的變化,引發了管理上關於控制的挑戰。即使是優先的安全問題已被修復,但科技進展還是需要落實新的控制。
確保組織的韌性
組織持續經營的能力,是董事會和審計委員會的基本問題。組織應該要發展韌性及事故回應計畫,以便強化事故發生的回應與復原。此計畫的品質與內容差異性很大。變動之處包括了定義所涵蓋的事故、個人責任、測試要求以及董事會的報導。測試計畫的有效性、並確保對經理人和董事有適當的溝通(特別是在監理上強制通知方面),也是監督的優先事項。
確認滲透測試的保證
董事通常在科技漏洞上收到的報告是彙整性結果。從監督的角度看,董事應確保測試範圍是清楚的。這包含的應該不只有受測試的資產,還要有範圍限制、假設,以及在審視測試結果時可能會誤解安全感的其他要素。
在許多組織裡,管理階層會負責設計和指導:供董事會或審計委員會討論的網路安全報告。這些報告偏向關注管理階層的成果,或討論最近媒體上關於入侵的報告。但是這種方法可能會把重大的監督問題推到日後的會議上,甚至可能當緊急事故發生時才想起來。對此,許多網路安全委員會會發展、明定一個行事曆,藉此管理階層就可報告關鍵主題,且以風險基礎定期討論。從監督的角度看,這會協助確保所有重大領域都有被考量到,而非只靠管理階層篩選。
資料來源:https://www.cpajournal.com/2023/04/11/the-audit-committees-oversight-for-cybersecurity/
沒有留言:
張貼留言