董事會監督網路風險(Cyber Risk)

CyberSecurityCentre

自從人類在90年代進入網路時代之後,代表「網路」的字眼有幾個,包括internet、web、online、net與cyber等等,但是一般而言,媒體習慣用cyber來表示電腦與網路虛擬世界的代稱;而『網路』(Cyber) 已經從科幻的角度轉變成為商業實物。人們談論的議題也不斷地在改變當中,在任何情況下,董事會和高階層管理人員必須嚴重關切網路風險的議題,因為它的潛在危害及不良事件會對該組織的聲譽和信任、知識資產、法令遵循、營運中斷的影響更加擴大。

但是董事會要參與多深呢?我們應該期待董事們去要求和查詢詳細資訊,或者他們應該不是提出探索性的問題,並接受管理階層已經制定適當的機制進行管理呢?

在公司董事協會(NACD)所出版的『網路風險監督』中,在AIG和互聯網安全聯盟的協同合作中,標註了董事應提出的問題:

1. 董事需要了解和將網路安全作為一個企業整體的風險管理問題,而不僅僅是IT問題。

2. 董事應了解網路風險的法律潛在問題,因為它們涉及到公司的實際營運情況。

3. 董事會應該有適切的管道瞭解網路安全的專業知識,以及應定期在董事會會議議程中給予充足的時間討論關於網路風險的管理。

4. 董事們應設定對管理階層建立一個企業整體網路風險管理框架並具備足夠人員和預算的期望。

5.  董事會與管理階層對網路風險的討論,應包括確認風險的迴避、接受、減輕或透過保險移轉,以及每種方法相關的具體計劃。

當有些人希望將資訊安全-Information Security(或稱網路安全-Cybersecurity)視為一項值得關注到所有本身全面性的議題,對整個企業及實現其目標的能力的潛在影響,證明網路(Cyber)被公認為具備企業全面性,而不只是一個IT問題。事實上,就對實現企業目標的影響而言,與任何網路安全(Cybersecurity)失效相關的風險影響應像任何風險一樣進行評量,這意味著,要考量網路(Cyber)和營收、客戶滿意度等間相互的關係。此外,企業組織對網路安全的投資應該和風險水平相稱,也就是要從業務其他層面所需資本需求取得均衡來考量。

董事會是否應該設置IT委員會?董事會是否要找幾個網路專家能夠瞭解這方面的專業、並進行有效監督呢?這應該要看 – 網路(Cyber)對企業組織所產生的風險,以及委員會是否有可以使用的專家(如內部風險管理和/或內部稽核)服務,以填補知識空白的程度來決定。

因此,董事會應確保有足夠的資訊和專業知識在定期董事會會議裡,對管理階層人員詢問正確的問題,我相信他們應該要求內部稽核和風險管理部門來評估網路風險及管理當局對它的管理措施的適切性。

關於 David Chuang

David Chuang
CFE舞弊稽核師、資料分析與電腦稽核專家 現 任: 台北商業技術學院會計資訊系兼任講師 - 電腦審計 兆益數位股份有限公司 總經理 中華民國電腦稽核協會理事專業發展委員會主任委員 台灣舞弊防治與鑑識協會理事暨會員發展與服務委員會主任委員