這篇"Cyber Board Governance: The Role of Board Technology Committees for Financial Services Companies"是2026年2月2日在Bank Policy Institute網站刊載的文章,探討十分時興的問題,且有相當的調查基礎。
為了瞭解董事會如何演進,以達成相關責任,BPI/BITS執行了一份調查,讓其成員機構評估董事會層級科技委員會(technology committees)的常見狀態與趨勢。該調查受訪者包含大型、複雜的金融機構,像有全球重要銀行、美國跨區域性銀行、信託與資產服務公司以及保險公司。整體來說,這些公司跨越零售與商業銀行、資本市場、託管與資產管理、財富管理與保險,並且要遵守複雜的監理、營運與治理期待。
調查結果顯示,產業變化朝向專屬的科技委員會,其不只聚焦於網路安全與韌性,也要評估重大措施、新興技術,並提供策略指引。不管是透過專屬的委員會、或者全董事會的投入,金融機構正在擴大其現行的結構,以確保董事會有必要的時間、專業知識及能見度,以審視策略性的科技決定,並且監督複雜的數位轉型計畫,同時還保障營運韌性和優先重視網路安全。
此報告總整了作者的調查發現,並就金融機構董事會如何架構其科技監督提供基準見解,其包含三個主要領域:
*科技委員會的組成與使用,確定科技委員會之普遍性、主要焦點領域,以及和策略、風險、創新與韌性有關的趨勢;
*章程、結構及委員會會議之頻率,包括與風險、審計委員會,還有整個董事會之間的互動;
*董事會與委員會成員可使用的教育計畫,以持續發展廣泛的科技專業知識。
這些公司有一個共通的主題:對於科技策略、新科技與AI要有更聚焦的監督,更關切網路威脅與第三方依賴性、日益期待董事會教育並認識到:科技現代化對長期競爭與安全、健全性十分重要。
科技委員會的組成
64%的受訪者已經組成或規劃要組成科技委員會。反映實務的轉變—科技監督更常被納入審計或風險委員會,或者是這些委員會下的子委員會。
在這些公司裡已組成、或規劃要組成(有一家公司)科技委員會,除一家以外,其他公司都有董事會下屬的委員會。
較前幾次分析不同的是,幾乎所有科技委員會是董事會常設委員會,有94%受訪者如此。在沒有直屬董事會科技委員會的公司裡,有一家是設計成風險委員會的科技子委員會,還有一家則是科技顧問小組,由兩位具豐富科技專長的董事組成。此顧問小組每季都會與高階經理人開會,更深入討論策略與風險,並向董事會報告。
不管科技問題是由專屬委員會、還是由董事會處理,受訪者指出,公司花更多時間討論科技並調整科技監督,同時讓現行委員會架構更成熟。
建立科技委員會的理由
跨機構來看,建立科技委員會的動機是:高度強調創新以及科技策略與投資之監督、數位轉型以及高度關注新科技(包括採行AI與雲端轉移)。這些焦點領域也包括越來越理解業務和IT之間的一致性與合作,還有轉型計畫。
設立科技委員會最主要的理由有:
1.著重監督科技策略、投資與重大措施(81%)
2.支持數位轉型、創新以及新技術(包括AI)(56%)
3.強化監督網路安全、技術風險以及營運韌性(38%)
4.增進業務與科技之間的一致性及董事會的投入(31%)
科技委員會章程
公司指出,章程包含對科技規劃與策略作策略監督,領域包括營運、技術現代化、評估新技術趨勢,以及消費者導向的科技策略。
章程也包括AI、資料與新科技,並監督AI採行、控制、道德以及風險管理,包括提及資料策略、資料治理以及分析。
除此之外,有兩家公司(佔具科技委員會受訪者的13%)提到,章程中的重點領域也包括舞弊—證據顯示,針對消費者、大型公司高階經理人舞弊與詐騙風險日漸增加,以及科技在舞弊風險管理上的地位。
組織領導參與與報告結構
董事會與科技委員會將其觸角延伸到了組織層面,在企業利用雲端與第三方服務、並採用新技術(比如AI)時,這是很自然的轉型。一如預期的,資訊長、資安長都持續與董事會就這些領域互動,幾乎所有受訪者都指出,越來越會接觸更多營運面的高階經理人,而且會提高與這些主管的接觸:
*技術長與數位長
*風險長與營運長
*資料、資料管理及分析長
科技委員會組成
調查受訪者指出,這些公司為結構較小、聚焦性的委員會,並有針對性的專業知識、明確連結到其他委員會—包括與風險與審計委員會有共同的成員,以便支持有效的決定、協調的整體治理。
科技委員會成員的專長
董事會關注委員會的組成,並優先重視有深入科技、網路及轉型經驗的董事。很多公司會刻意安排特殊背景的董事擔任委員會成員,包括科技、網路安全、數位創新以及風險管理方面的經驗。委員會成員有IT營運、資料分析或複雜系統發展的背景,可帶來廣泛的產業經驗,比如金融服務與金融科技、國家安全與防衛。其他技術也包括審計、控制與風險管理專業知識,有幾個機構強調,至少有一位是前資訊長、技術長或網路主管擔任主席是很重要的。
會議頻率
董事會的時間是有限的,且技術複雜性挑戰著董事會議程的配置。調查顯示,正在發生改變,在委員會和董事會層級會花更多時間作科技討論。每位受訪者都指出,科技委員會至少每一年會開4次,很多是一年開5至6次會,而且大多數會開額外的年度會議。會議時間也在增加,每次會議在75至150分鐘。有一個機構在各次會議召開之間,會再就特定主題安排深入研討會,以此補強。
與審計、風險與其他委員會之間的互動
受訪公司都說,各委員會之間十分需要協調一致,尤其是科技與風險委員會。除了定期向董事會報告,最常見的互動是科技與風險委員會,比與審計委員會還多。調查還看到這些趨勢:
*跨委員會聯席會議:44%受訪者指出他們會舉辦科技、風險與審計的聯席會議,至少每年一次,或者當需要時討論相關主題。
*委員會成員重疊:有幾個公司說,風險與科技委員會之間的成員會重疊,召集人或者其他董事兩個委員會都擔任。委員會成員也會受邀請參加彼此委員會的會議。
*與風險委員會合作:受訪者指出,科技委員會通常會與風險委員會互動。比如「科技委員會會定期收到風險委員會提供的科技風險更新資訊」,另外一位受訪者說,監督科技風險(將網路納入營運風險內)的風險委員會,會與科技委員會分享風險見解,並建議修改風險胃納聲明。
董事會教育
整個調查看來,公司正跳脫一次性的簡報,朝向持續性的計畫前進—結合桌上演習、持續性科技風險更新,以及就新興議題針對性的深入研討會議。
無論是否設立了正式的科技委員會,80%的受訪者會為董事會針對科技風險,提供定期更新或舉辦教育課程。公司通常會針對相關議題(比如創新與營運等)舉行臨時會議,並為其董事會提供關於科技風險方面所需的進修與教育資料。有幾家公司指出,他們會舉行董事會層級的網路安全與營運/科技韌性演習、每季向董事會的風險委員會更新網路事宜、提供年度科技風險更新,以及為整體董事會舉辦年度性的網路風險進修。這些計畫裡很多會包括特定主題的額外教育課程,這些課程通常會搭配外部教育機會、或贊助個人學習,比如由NACD或其他公認機構所提供的課程。
2025年的焦點領域
2025年,董事會最在意的是AI與新科技,包括將AI採用視為策略要務、監督生成式AI與代理AI控制、道德與風險管理架構,以處理模型風險和演變中的監理期待。
網路安全與營運韌性仍是基本事項,這邊會注意網路防禦的成熟性、事件回應與向上報告的協議,以及董事會層級的桌上演習以檢測準備程度。
科技基礎設施及第三方的生態系統,是另一個董事會聚焦的重大領域。董事正在監控雲端轉移、資料中心策略以及傳統核心系統之現代化,同時也在詳審第三方與第四方的暴險,包括集中化風險、SaaS的漏洞以及AI相關的供應商風險。
綜上所述,該調查顯示了在領導性金融機構,科技治理進入了更成熟的階段。董事會從臨時性監督邁進持續、委員會導向的參與,其將科技策略、業務線需求、風險管理以及投資,整合進核心平台,並持續聚焦於監督與治理。調查發現突顯了一個明確的趨勢:
*科技監督現在更是核心的董事會功能,而非營運上外加的。
*對與有科技委員會的公司而言,焦點已轉進至:增強關注科技策略、經營與科技一致性、策略性投資、現代化以及轉型措施。
*董事會透過強化評估安全能力、風險減緩與韌性的治理結構,持續升高對網路威脅與監理期待之重視。
*常設的科技委員會涵蓋更全面性的議程、具備深入的科技專業知識,並且更頻繁地與其他委員會或整個董事會開會。
*公司提供董事更結構性的教育計畫,利用內部資源與教育還有外部資料。持續性教育已成為各金融機構的標準。
沒有留言:
張貼留言