這篇"Delivering an impactful 15-minute board briefing"是2026年4月24日刊載在CIO的文章。本文是從作者與可口可樂、晨星、Semrush與NiCE董事Caroline Tsay訪談中所擷取的洞見。以下分享一些內容。
在審計委員會會議上,網路被加進與財務報導、內部控制、外部審計、遵循與揭露義務一起並列為議程。議程中的網路部分,很少會是長時段的策略會議,而是10至15分鐘,而且每季才一次。
但現實上應該要調整—資訊長與資安長如何思考向董事會的簡報:目標不是無所不包,而是給董事他們治理所需的部分。
常見的失靈是:資訊更新太多,沒有可行方案。資安長太常報告儀表板、指標以及專案列表。董事會聽到活動,但是無法表示哪些是最重要的、哪些變好或變糟,以及管理階層需要他們做什麼。簡單說,這種報告沒有效果。如果委員會無法採取行動,討論就只是進度報告而已。
很多審計委員會成員擅長於財務、風險與控制,但是不一定知道如何詮釋安全方面的訊號。如果報告一項指標,就要解釋其為何是重要的、良好意指為何,以及要做什麼決定。
在典型的季報裡,董事期待三種資訊:
*對企業重要的事務。這包括事件和差點出問題的部分,加上所有會影響到風險的事件。董事想要知道這件事是否重要、你學到了什麼,以及你改變了什麼。
*外部環境改變的是什麼。這不應該是威脅的簡報。應該要簡述—實際上會改變風險概況或優先順序的新漏洞、攻擊者行為、監理發展。
*計畫健全性。董事想要知道安全計畫是否能在全企業執行?各部門是否協調一致?IT、產品與工程之間的優先順序是否一致?文化是否能夠落實所需的措施?
董事會不需要知道任何事,但是當討論結束時,需要能夠驗證最重要的風險、與優先順序是否一致,並且做決定。如果你的更新並未推動一項以上的成果,那就只是知悉(educating),而非治理。
有效監督不是建立在某次的季度報告。會議之間與審計委員會召集人的交流,有時候也與其他委員會成員交流,都十分重要。這可以包括短暫的教育會議、快速確認新問題,以及針對敏感主題做會前簡報。委員會不應該在正式會議上因聽取報告而吃驚。
當時間受限時,形式就是策略。最強的簡報會用簡單的敘述結構,並且以明確的問題結尾。
以前三大企業風險開頭。每個風險都描述趨勢、以及是否在其容忍範圍,之後涵蓋前一季以來的改變事項。聚焦於少數會改變曝險的變動,包括事件和差點出問題的部分、重大經營改變,或者監理發展。
下一步就是深入探討符合企業營運的現實場景,並說明在現實限制下會有什麼抑制及復原措施。最後以二或三個關於計畫健全性的驗證點。作業、復原測試或控制有效性的證據,會比冗長的路徑圖還好。
最後就是提問。你需要什麼決定?核准預算、支持時間表、接受特定風險、支持政策改變,或者要求獨立的審視。如果不需要做決定,那就明述你想要委員知道的重點是什麼,以及你下次要再報告什麼。
在董事會層級報告網路安全最快速的方法是,尊重董事會時間。重視訊號、消除噪音、聚焦於業務影響方面的討論,以及明確提問你需要什麼。當董事可以行動時,他們的對話就會從意識轉為治理:明確的方向、明確的負責人,以及明確的問責性。
資料來源:https://www.cio.com/article/4163334/delivering-an-impactful-15-minute-board-briefing.html
.jpg)
沒有留言:
張貼留言