Deloitte的審計委員會監督責任(B)：網路風險、人工智慧、併購、永續性-2025/08/02

“Audit committee oversight responsibilities”是在Deloitte網站刊載的文章，對審計委員會之功能有相當全面的陳述，部分內容還提供應考慮的問題，十分豐富。其主要項目包括財務報導、財務報導的內部控制、關係人交易、代理投票揭露、費用揭露、風險、企業風險管理、舞弊風險、網路風險、人工智慧、併購、永續性、審計（獨立會計師）、監督內部稽核、道德與遵循、熱線等。由於篇幅頗長，故挑選部分內容，再分為三次介紹。本部分為第二次，含網路風險、人工智慧、併購、永續性。

網路風險

在審計委員會監督網路風險責任的公司裡，委員會要清楚瞭解被期待監督的具體領域。在審計委員會監督財務風險、監控管理階層政策與流程的能力裡，或許會具備相關專長，並在監控管理階層準備和因應網路威脅、協調網路風險管理措施與政策及確認其效率上，扮演策略角色。這些審計委員會可能會領導監督網路威脅趨勢、監理發展以及公司重大威脅。其他責任或許還包括：制定管理階層的期待與責任，以及評估資源、資金的適當性，並聚焦於網路風險管理活動。

雖然許多董事會會將網路風險主要責任授權給稽核或其他相關委員會，但有鑑於網路風險的普遍性，應該考慮整個董事會在瞭解此風險上的責任。至少，整個董事會應該決定，採取適當的節奏討論會影響公司的威脅局勢和網路風險（只要網路風險仍在其共識下的風險容忍度裡），並評估網路計畫的整體績效。

網路風險上要考慮的問題：

1.董事會將網路風險監督的主要責任交給誰？若責任是授權給審計委員會，則董事會會考慮將此風險具體定義在審計委員會組織規程內嗎？

2.管理階層與董事會瞭解、並同意網路風險的胃納或容忍度嗎，以及決定構成重大網路事件的條件？

3.董事會與管理階層瞭解公司最敏感且「重中之重」資訊保存在哪、如何儲存、使用及保存這些事宜的程度為何？

4.是否考慮依SEC規定更新事件因應計畫，以及，管理階層與董事會利用網路事件模擬評估公司網路因應計畫之有效性、進行改善的程度為何？

5.如何對公司營運技術執行網路評估？評估有突顯出營運技術漏洞對企業的影響嗎？

6.網路事件是如何擴大的，以及重新評估過哪些控制，包括持續發展的人才模型相關控制（比如遠端或混合員工）嗎？

7.公司如何評估內外部的網路風險概況，以確定在數位金融轉型、永續以及其他新或快速變動要求與倡議方面可能帶來風險的領域嗎？

8.領導、結構、能力與資源如何支持全面聚焦於網路風險？

9.企業因應計畫及勒索劇本或確認清單實行的有效性如何？

10. 管理階層在辨識和遵循—治理資料取得、使用、保存、安全及處置相關法規上有多積極，以及向監理機關或公眾報告網路事件上有多積極？

11.內部稽核會在發展內部稽核計畫時會考慮網路風險嗎？

12.管理階層與董事會瞭解公司在網路事件方面有保險政策嗎？此瞭解不限於公司是否有網路保險或相關關鍵條款，還有考慮將哪些IT與安全主管納入董事與高階主管保險裡。

人工智慧(AI)

Deloitte的Audit Committee Practices Report表示，AI的主要責任典型上不在審計委員會範圍內。然而審計委員應該要瞭解—公司是如何使用AI的，尤其是財務部門。這可能包括強化或改進財報流程的機會。審計委員會也應該瞭解，如何確認與處理重大AI流程相關的風險，以及誰負責監督這些風險。除此之外，審計委員會應該要瞭解，財報內關於AI揭露了什麼。

AI上要考慮的問題：

1.公司如何採用AI、以及公司如何將其AI措施和整體任務和策略連結起來？

2.若公司有AI使用案例或應用程式，管理階層對AI措施及使用案例有落實治理架構嗎？對AI措施和使用案例，主要負責人是誰？

3.公司有辨識與評估風險、進行檢測以及監控AI使用案例/應用程式的成效（包括那些由第三方發展的）嗎？

4.公司如何評估AI使用案例或應用程式對財報與內部控制之影響（比如包括評估其他部門對AI案例之依賴性，像營運、網路、資料管理）？

併購

併購上要考慮的問題：

1.該交易如何影響未來的股權、資產報酬率，以及交易後新實體預期的成長軌跡？

2.交易前的盡職調查如何考量：與環境、健康、安全、法律、監理標準相關的風險與遵循，這些因素有可能會影響到合併後新實體履行交易的財報嗎？

3.管理階層在交易過程中，如何仰賴資格充足的特定領域專家與其他顧問？

4.管理階層執行合併後計畫以整合新合併業務單位與流程之程度為何？

5.管理階層將文化與控制環境之重要性視為其整合計畫一部份之程度為何？

永續性

審計委員會越來越投入永續議題，原因是投資人和其他利害關係人對永續揭露的依賴性越來越高。除此之外，審計委員會或許在監督永續相關活動與指標上，有越來越重要的角色。審計委員會應該關心—公司所揭露的永續資訊和指標是否有適當的內部控制、是否存在揭露控制與程序(DCP)、審計委員會是否審視揭露、管理階層如何考慮永續策略及其對財報的影響，以及公司是否對其報導取得保證。

永續性上要考慮的問題：

1.董事會對永續監督的主要責任為何，這包括整體以及各種要素的（比如氣候、人才、網路）？對於這些要素在董事會和委員會層級的哪裡、何時討論，具有一致的瞭解嗎？

2.公司對於其營運所在司法管轄區的重大永續立法和規定發展，如何保持關注？

3.管理階層如何考量組織向SEC報告的氣候風險、目標及相關活動（比如在SEC檔案裡關於業務、風險因素及營運結果的部分）？

4.現在蒐集與報告了哪些氣候相關資訊？對此資訊目前獲得確信的程度為何？還需要發展或蒐集哪些的額外資訊（包括在已審計的財報裡）？

5.公司如何評估氣候相關揭露的重大性？在蒐集必要資訊以判斷此類揭露是否重大上，有什麼系統與流程？

6.若公司的提出了永續報告，審計委員會在提出先行審視的程度為何，以及管理階層如何闡述關鍵假設，以及其揭露的指標與目標基礎？

7.若公司在年報（其包含或伴有財報）裡揭露氣候相關資訊，則這些揭露和已審計的財報之間一致性如何？財報內的內部控制有哪些部分可處理已審計財報所要求的揭露？

資料來源：https://www.deloitte.com/us/en/programs/center-for-board-effectiveness/articles/audit-committee-responsibilities.html