「資訊揭露」從何做起?
依據〈Morrow Sodali 2020 機構投資者調查〉指出〈非財務資訊揭露〉受關注 程度,排名前三位的分別是:
- 氣候變遷 (Climate change)
- 人力資本管理 (Human capital management)
- 企業宗旨與文化 (Corporate purpose & culture)
前一年的調查,83%的受訪者指出 ESG 主題中,與〈人力資本管理〉相關的揭露品質是最需要改善的。
今年則有95%指出最需要改善的在董事會參與(Board involvement),包括高層基調(Tone at the Top)以及人才培育管理,有71%則認為是在健康與安全指標。
那麼有關網路安全(Cyber security)與數據隠私(Data privacy)相關的〈非財務資訊揭露〉在機構投資者眼中又是如何看待呢?
改善網路安全揭露由前一年的39%降到18%,改善數據穩私揭露則由11%降為5%。 主要的原因是因為在過去一年,機構投資人已經得到充分的資訊而且建立了良好的溝通管道。
但台灣的企業在網路安全與數據穏私的資訊揭露真的做得夠好了嗎?恐怕未必。
目前有三大國際 ESG 指數,其中道瓊永續指數(Dow Jones Sustainability Index, DJSI),2020 年台灣有 26 家企業入選 DJSI。
2019 年 DJSI 在評估問卷中增加了 1.9 項:
”Information Security, Cybersecurity & System Availability ”
又細分為
1.9.1、Information Security / Cybersecurity Governance:
董事會是否參與網路安全相關策略擬定與流程檢視?
董事會相關權責人員是否具有 IT 或網路安全背景?
1.9.2、Security Measure:
是否針對有接觸重要資訊權限之員工實施以下政策與措施以確保了解如何安全風險及危害:
內部政策公告、風險意識教育、資安通報流程及納入績效考評。
1.9.3 、Process and Infrastructure:
針對事件回應(Incident Reponse)是否有營運持續及應變計劃(Business continuity / contingency plans)與流程以及多久執行演練測試?
網路安全管理框架是否取得第三方驗證?例如 ISO 27001, NIST 等等。
網路安全管理流程是否經過外部稽核並且執行弱點分析?例如模擬駭客攻擊。
1.9.4 、Information Security / Cybersecurity:
過去三年網路安全事件數量?造成客戶個資外洩數量?這些事件的合計賠償金額或罰款?
1.9.4 的另一個揭露重點在於如何評估藉由保險降低財務風險?企業是否藉由資安保險轉嫁資料外洩的損失?投保資安保險的最高保額(Maximum coverage)多少?
根據我的實際觀察,其中 1.9.4 項正是台灣企業真正面臨的挑戰,因為低弱的「風險識別與量化(Risk Quantification)」,沒有「風險量化」不可能討論「風險轉移」(Risk transferred),也就無法確定「最高保額」,將導致無法決定「淨財務風險」(Net Financial Risk),淨財務風險的高低最終將影響企業的EPS的高低。
焦點回到台灣有沒有類似的網路安全資訊揭露要求?
證交所 2019 新版公司治理評鑑納入網路安全項目並增訂於編號 2.24,其中包含:
「公司是否建置資訊安全風險管理架構?」
「是否訂定資訊安全政策及具體管理方案?並揭露於公司網站或年報?」
2019台灣證券交易所頒布,公開發行公司年報應行記載事項準則,第二十條第一項第六款第十三目則規定:
風險事項應分析評估最近度及截止年報刊印日止之下列事項:
(十三)其他重要風險及因應措施。
其他重要風險有七項,例如勞工安衞、食品安全、飛航安全、天然災害等等,資訊安全風險僅是其中之一。
換句話說,證交所對年報加強資安風險揭露其實佔整體「權重」並不高,然而外資機構投資人卻將「網路安全揭露」視為關鍵。
至於資通安全管理法中針對「特定非公務機關」也提出多項要求,主要針對關鍵基礎設施提供者、公營事業機及政府捐贈的財團法人,由於不是針對一般上市櫃公司本文先略過。
因此我高度推薦企業不妨參考 DJSI 的詢問表,重新調整資安防護作為,同時董事會也以資安治理層級看待網路安全資訊揭露,才能快速提升到國際水平!
本文的目的在於提醒台灣企業,雖然 ESG 浪潮高漲,導致機構投資人對〈非財 務資訊揭露〉的高度重視,有關網路安全資訊揭露看似沒有排名前三位,也不在必須大幅改善的項目,卻是台灣企業必須立即改善並强化的一項,因為西方國際級企業其實早就把「網路安全之資訊揭露」提升至另一個水平,我們必須急起直追!
倍安保險董事長 黃志明
- 分享此貼文!
-
