這篇是2026年1月14日在Harvard Law School Forum on Corporate Governance網站刊出、John Rodi、Anne Zavarella與Patrick A. Lee與合寫的KPMG報告。其中有幾個大項目:
1.重新評估董事策略上的投入—尤其是情境規劃、敏捷性、風險規劃以及韌性。其下有:
*對可能的未來情境發展切實的樣貌
*情境規劃仍十分重要
*讓風險、危機規劃以及韌性成為董事會討論的一部份
*平衡短期敏捷與長期願景
2.瞭解公司AI策略及相關風險和機會,並密切監控此技術部署和使用之治理結構與人才/勞動力需求。其下有:
*生成式AI及AI代理帶來的風險
*完全實行生成式AI
*分階段部署AI代理
*ROI以及獲利
*人員
3.考慮公司資料治理架構與流程之適當性
4.評估公司網路安全治理架構與流程是否與時俱進
5.將重大永續問題納入風險與策略討論,並監控管理階層對永續報導要求及股東期待之準備
6.維持健全的董事會與執行長關係
7.重新審視董事會與委員會的風險管理責任,以及各委員會之配置
以下介紹第3至第7點的內容。
考慮公司資料治理架構與流程之適當性
使用AI指數性的成長,推升了更嚴格評估公司資料治理架構及流程。公司通常使用的資料治理架構,使符合其產業與特殊需求的,但是有幾個既有的架構,還是可以考慮。架構在很多面向上雖彼此不同,但一般來說,關注資料隱私及安全、資料盡職治理,以及資料管理。
在資料治理之監督上,董事會應該要堅持健全的資料治理架構:
*釐清資料是怎麼收集的,以及如何儲存、管理和使用的,還有關於這些問題是怎麼決定的
*確認哪些企業領導人負責全公司的資料治理,包括資訊長、資訊安全長以及遵循長(或履行類似功能者)
*決定哪些承包商與第三方能取得公司資料,以及其保護的義務。
董事會也應該考慮:公司資料治理架構是否支持公司策略,以及該架構是否適當地與公司自身、但又彼此相關的AI治理架構與流程一致。
評估公司網路安全治理架構與流程是否與時俱進
雖然經營團隊與董事會會花很多時間與精力處理日益複雜的網路威脅,公司必須持續升高及防禦措施,面對快速變動的AI推動及量子運算的威脅。
資料外洩和惡意軟體的風險還持續增加,而AI會讓網路罪犯擴大其攻擊的速度、數量、多樣性與複雜性。量子運算可能會帶來更大的威脅,因為其突破性的運算能力,可能會破解保護今日數位資訊的加密方法。
為評估公司對這些威脅的準備度,董事會應要求定期簡報下述事項:
*管理階層如何確認公司網路防禦走在AI攻擊趨勢之前,比如深偽、自動產生的釣魚程式
*公司對量子運算風險的準備度。應該要特別注意「先收割後解密」的攻擊狀況,以及公司計畫在量子運算到達極限之前的對抗量子加密技術
對很多公司而言,董事會設置一個具所需技能、專業知識的委員會監督網路安全,或許會有幫助。更重要的是,有鑒於AI和量子運算風險升級,故董事會應確保他們獲得相關專業知識、透過外部顧問而取得專業知識,以及考慮使用諮詢委員會以便更深入和管理階層一起檢視這些問題。
將重大永續問題納入風險與策略討論,並監控管理階層對永續報導要求及股東期待之準備
有幾個基本問題,對於董事會討論永續而言十分重要:
*對公司而言哪些永續問題的重大、或策略重大性的?永續問題之重要性,各公司、各產業都不一樣。相關問題或許包括—與氣候變遷有關的實體風險、與能源轉型有關的經營模型風險和機會,另外還有與勞動力及供應鏈有關的勞工、多元性以及安全問題。在歐盟做生意、並受Corporate Sustainability Reporting Directive規範的公司,都需要做「雙重重大性」評估,比如對公司的重大風險,以及公司營運中對社區和地球的重大風險。Sustainability Accounting Standards Board辨明了各產業的重大問題,而International Sustainability Standards Board提議修訂SASB標準是一個好的開始。每間公司都應該經常執行自身的重大性評估,以便維持最新狀態與相關性。
*公司如何策略性地處理永續問題,將之納入核心營運活動(策略、營運、風險管理、激勵以及公司價值)以推動長期績效?
*長字輩主管有明確的承諾嗎,整個公司有接納嗎?
*內外部溝通之中,公司會說明為何永續問題是重大,或具策略重要性嗎?
維持健全的董事會與執行長關係
董事會上達成「健康的緊張關係」並不容易,也就是董事會既建議執行長與經營團隊,又維持其客觀性與獨立性與懷疑。由於要董事會與執行長展現成果的壓力越來越大,故達成這個平衡的挑戰越來越高、也越來越重要。作者與董事討論維持健全董事會-執行長關係的關鍵,顯示出3個焦點領域:
1.堅持坦誠與透明,以協助建立信任與信心的文化
有效且高價值的執行長-董事會關係,起點是雙方都有完整、開放與透明的溝通。執行長向董事會、委員會領導人呈現管理階層的看法。董事會應該期待管理階層不讓他們驚訝,而管理階層應該期待董事會不讓他們驚訝。
2.設定明確的期待—董事會角色包含持續地投入策略,並作為執行長與管理階層的資源
設定期待—董事會的工作不只是遵循與監控,這件事很重要。董事會唯有由具多元經驗、背景者組成,且有處理危機、顛覆、技術變動和行動主義的經驗時,才能最佳地扮演這個角色。
3.健全的執行長繼任規劃流程很重要
執行長更替,尤其是出現未預期狀況時,會對公司帶來重大的顛覆風險。董事會的關鍵問題是—執行長繼任規劃流程是否健全,可以應對各式執行長離任狀況,同時也能不斷進步,而辨識出執行長的技能、特性、特質以及經驗,藉此能夠領導今日的公司,還有公司是否維持著健全的人才管道。
重新審視董事會與委員會的風險管理責任,以及各委員會之配置
強化董事會與委員會風險監督責任,需要盡職調查。隨風險日益複雜及統合,對風險管理及監督需要全面性的方法。投資人、監理機關、評等機構以及其他利害關係人都期待著:針對董事會及其委員會如何監督風險管理有高品質的揭露,尤其是關於氣候、網路安全、AI、人力資本、消費者趨勢以及永續風險。
對董事會的挑戰有:
*持續監控管理階層對企業風險管理流程之適當性。管理階層針對公司關鍵風險,應維持最新的清單及分析,還有這些風險要如何管理及舒緩,另外管理階層與董事會,對公司關鍵風險應該有共識。
*明確區分董事會與各常設委員會之間的風險監督責任、辨明所有重疊之處,以及落實一個委員會與治理流程—促進各委員會、委員會與董事會之間的資訊分享和協調合作。
對於有效管理公司風險而言,基本就是對策略、目標、風險、內部控制、績效指標與激勵維持一致性。整個董事會及常設委員會,應協助確保下述事項:管理階層策略、目標、激勵有適當的一致性,以及有嚴格監控績效,另外就是企業目前的文化符合其所追求。
資料來源:https://corpgov.law.harvard.edu/2026/01/14/on-the-2026-board-agenda/
報告來源:https://kpmg.com/uk/en/blc/board-agenda.html
沒有留言:
張貼留言