這篇是由Pat Niemann所寫的"Cyber and AI Oversight Disclosures: What Companies Shared in 2025",2025年10月28日在EY網站刊出。以下分享一些要點。
在今日快速變動及高風險的數位環境裡,董事會正升高其監督方法。關於AI及網路安全的自願性揭露不只常見,在很多關鍵領域更是越來越健全且數量倍增。
過去一年,根據公司揭露,網路攻擊的複雜度升高,推升公司強化其網路安全防禦,同時對手也提升了其攻擊的方法。
本文就是要探討:技術監督揭露與相關治理實務會如何演進,以克服這些挑戰。作者的目的是:協助董事會及經營團隊瞭解揭露局勢,以及其所對應的可能治理實務,並找出機會以強化和更能夠溝通—利害關係人關注領域的治理方法的嚴謹性。
2025年的AI監督趨勢:四個關鍵發現
1.AI出現在董事會對企業風險監督的揭露裡。近半(48%)會特別說明AI風險是其董事會風險監督的一部分—較去年的16%增加三倍。這些揭露的深度差異頗大。某些會稱其為董事會監督的眾多風險之一,也有的會針對董事會AI風險監督實務提供更詳細的見解。比如,少數公司會在其股東委託書裡安排專門的章節處理AI治理。這些章節會強調董事會監督AI策略、發展及運用相關的風險和機會之重要性。
2.更多董事的簡歷與技能指標有列舉AI。近半(44%)現在會在董事資格裡提及AI,較2024年的26%明顯增加,董事的AI經驗範圍從發展AI軟體,到獲得AI道德方面的認證。大多數更新其董事簡歷且納入AI經驗的公司,在過去一年間會對其現任董事會成員這麼做。具AI背景的新董事像:專門從事AI公司的執行長、投資AI公司的創投基金合夥人,以及AI產品發展和運算設計的領導人。值得注意的是,有幾間公司會在「董事會與董事評估」章節裡揭露AI教育,顯示了最近的意見推動了關於AI的討論及深入瞭解。
3.AI監督責任會指派給一些委員會。約有四成的揭露顯示,至少會把AI監督責任交給某一個董事會層級的委員會(通常是審計委員會),比起2024年的11%幾乎是四倍。董事會偏好將AI監督指派給審計委員會。然而,關於委員會焦點的揭露,若放在非審計的委員會(比如技術或提名與治理委員會)更為健全。此外相較於負責監督AI的審計委員會,更多非審計的委員會將此責任正式納入其章程裡。
4.AI越來越成為風險因素。有超過三分之一(36%)現在會揭露AI風險因素是一項單獨的10-K風險因素,較去年的14%多。新的風險因素涵蓋的主題類似於去年的比如監理挑戰、網路威脅、營運顛覆、聲譽風險、消費者預期,以及技術阻礙。
董事會要考慮的AI監督問題
*AI應如何整合進董事會整體風險管理監督流程?
*應該由現行董事會的功能性委員會監督AI風險,還是須建立一個全新、技術為主的委員會?
*董事會可以建立臨時或工作小組,確保AI獲得充足的注意嗎?還是強化委員會與全董事會的互補作用,確保AI解決方案所有關鍵面向都有效監督?
*董事會熟悉技術與AI,以及和企業有關的相關風險與機會嗎?如何定期強化這些知識(比如接觸AI專家)?
*在提供利害關係人瞭解董事會AI治理方法之嚴謹性,以及展現董事會對此主題之經驗與投入的深度上,公司揭露如何有效?
*關於董事會持續AI教育如何揭露更多,以提升投資人對其AI監督之信心?
2025年網路安全監督揭露趨勢:四個關鍵發現:
1.審計委員會仍是網路安全監督的主角。大多數公司(78%)說,網路安全監督會由審計委員會進行,過去三年間這麼說的公司也差不多。像生成式AI的新科技,會改變營運模式並影響網路安全。董事會或許需要處理更廣的網路風險問題,包括風險文化及風險胃納。這會推動重新評估:如何在董事會層級進行網路風險監督,讓揭露維持重要性。
2.大多數公司現在會說,有遵守外部架構。...許多公司認為,明述用來評估及增進其因應網路事件能力的外部架構,是有價值的。這會協助向監理機關、投資人及其他利害關係人展現結構化和積極的方法。
3.大多數公司說,會做網路準備度演習。超過一半(58%)說,他們的網路安全準備度包括模擬、桌上演習或因應準備測試,高於2019年的3%。幾乎每間公司(99%)都會參照某種因應準備措施,比如規劃、災難復原或業務延續。此演習重要之處不僅是針對特定事件規劃,亦可發揮更全面性的技能,協助公司有效因應未預期到的事件。
4.董事會持續需要網路方面的專長。大多數公司(86%)揭露說,網路安全是董事具備、或董事會追求的專長領域—自2019年以來增加了62%。公司或許會透過各種不同方式在董事會上納入網路專長。比如,藉由參加內外部專家的簡報提升現任董事的網路知識、出席產業會議,或者獲取專業認證。此外,公司或許會建立正式或非正式的諮詢委員會,以便在董事會及其委員會有需要時,提供持續的資源和指引。某些公司有網路安全專家,向董事會提供具體的見解。
供董事會考量的網路安全監督問題
*董事會如何確保其結構能支持變動中的網路安全需求?
*監督網路風險的委員會,有足夠的時間及資源嗎?
*管理階層提供什麼資訊,以辨明脆弱的企業資產與伙伴,包含第三方?
*當前的董事會網路技能,符合現在與未來的公司需求嗎?
*若需要專家知識,董事會如何取得?
*對於有某位網路專家或多元技能組合,董事會有什麼看法?
*使用哪項外部網路安全架構、為何選這個,以及管理階層還會再選它嗎?
*董事會如何確認危機因應計畫是符合現況且有效的?
*董事會與管理階層在危機時扮演什麼角色?
*在平衡保密需求以及向利害關係人展現嚴謹、結構化監督之需求上,公司網路安全揭露有效性如何?
資料來源:https://www.ey.com/en_us/board-matters/cyber-disclosure-trends
沒有留言:
張貼留言