博客 / 詳情

返回

讀數字時代的網絡風險管理:策略、計劃與執行08風險升級和披露(下)

讀數字時代的網絡風險管理:策略、計劃與執行08風險升級和披露(下)

1. 信息披露

1.1. 企業必須關注的問題

1.2. 三個基本類別

  • 1.2.1. 股東和其他投資者(包括現有和潛在投資者)

    • 1.2.1.1. 一個共同的目標:通過確保投資者獲得透明、準確的信息,提高公眾對市場的信任

  • 1.2.2. 監管機構

    • 1.2.2.1. 各行各業的企業出於各種原因,需要遵守的監管要求非常多,遠遠超出了財務披露的要求範圍

    • 1.2.2.2. 機密信息和其他敏感信息的安全是這些要求涉及的最重要的問題之一

  • 1.2.3. 公眾

    • 1.2.3.1. 對企業來説,最重要的資產莫過於眾多利益相關者(包括客户、投資者、合作伙伴和員工)的信任

    • 1.2.3.2. 在網絡風險環境中,層出不窮、廣為人知的安全故障不可避免地使公眾極易對企業產生不信任感,尤其是在保護個人信息和數字化產品方面

    • 1.2.3.3. 完整、透明地披露企業的風險管理實踐(包括但不限於企業對安全事件的應對措施)​,對於維護或恢復公眾信任至關重要

1.3. 重要性考慮因素

  • 1.3.1. 以往的網絡安全事件,包括其嚴重性和頻率

  • 1.3.2. 發生網絡安全事件的概率及其潛在影響規模

  • 1.3.3. 為降低網絡安全風險和相關成本而採取的預防措施的充分性,可能包括對公司預防或緩釋某些網絡安全風險的能力限制的討論

  • 1.3.4. 導致重大網絡安全風險的公司業務和運營方面的風險,以及此類風險的潛在成本和後果,包括特定行業風險以及第三方供應商和服務提供商帶來的風險

  • 1.3.5. 與維護網絡安全保護相關的成本,包括與網絡安全事件相關的任何保險或向服務提供商支付的費用

  • 1.3.6. 聲譽受損的可能性

  • 1.3.7. 可能影響公司網絡安全要求及其相關成本的現行或擬議中的法律法規

  • 1.3.8. 與網絡安全事故相關的訴訟、監管調查和補救成本

1.4. 企業風險管理和網絡風險管理實踐必須完全一致,以確保根據共同信息和共同理解來做出風險決策

1.5. 企業要想以持續、可操作的方式做到這一點,唯一的方法就是制訂正式的網絡風險管理計劃

2. 一致性

2.1. 企業風險管理和網絡風險管理都是保護企業及其人員、確保業務連續性的關鍵,均受到法律法規要求和行業框架的驅動

2.2. 企業風險管理涵蓋所有類型的風險,相比之下,網絡風險管理更關注企業因日益依賴錯綜複雜的互聯數字技術所帶來的惡意風險,而且還需要更多的專業技術知識以及專門的工具和技術

2.3. 網絡風險是一種企業風險,法院體系和監管機構已明確表示必須將它視為企業風險

3. 5個原則

3.1. 原則1:建立升級流程

  • 3.1.1. 必須建立正式的網絡風險升級流程

  • 3.1.2. 即使制訂了升級流程,也往往沒有充分定義風險分類機制,沒有明確規定向適當的利益相關者通報風險和將風險升級到適當治理級別的責任

  • 3.1.3. 薄弱環節是在沒有業務背景的情況下的升級過程控制失效或存在疏漏

  • 3.1.4. 基於企業特定標準並經治理機構批准的風險分類是網絡風險管理計劃的核心,用於定義嚴重性和緊迫性的級別,以便在減輕或管理風險時做出適當的優先級決定並採取適當的行動

3.2. 原則2:建立信息披露流程—所有企業

  • 3.2.1. 企業的網絡披露流程應針對特定的風險因素、組織背景和要求

  • 3.2.2. 不同企業的風險環境差異很大,這意味着披露流程和步驟必須針對每個企業特有的風險因素、環境和要求量身定製

  • 3.2.3. 正式的風險管理流程必須到位,以識別和分析企業特有的全部風險

  • 3.2.4. 不僅僅是已經發生的威脅或事故,還包括整體風險環境的變化—並記錄如何管理這些風險,包括通過風險接受、緩釋和轉移等方式

  • 3.2.5. 風險披露不僅僅是威脅和事件的應對

  • 3.2.6. 企業的責任方—風險所有者、治理機構、高層管理人員和董事會—必須清楚地瞭解企業的風險環境及應對風險的責任

  • 3.2.7. 合規性是另一個重要的考慮因素,合規性要求會因企業所處行業、經營地區、規模甚至組織結構的不同而有很大差異

  • 3.2.8. 信息披露是必須將網絡風險與企業整體風險明確區分開來的另一個領域

  • 3.2.9. 包括SEC在內的監管機構已明確表示,對不同類型的風險一概而論的普遍做法是不可接受的

3.3. 原則3:建立信息披露流程—上市公司

  • 3.3.1. 上市公司必須披露其重大風險、風險因素、網絡風險管理流程、治理和重大事件報告

  • 3.3.2. 上市公司由於急需維護現有和潛在投資者的信任,因此負有特別嚴格的風險披露責任

  • 3.3.3. 法律先例和合規要求明確規定,投資者有權通過評估公司業績,並追究公司管理層(包括董事會)的責任等措施,做出明智的投資決策

  • 3.3.4. 明確界定信息披露實踐的必要性受到多種因素的驅動,包括保護公司品牌形象、避免聲譽受損和保持股東信心

  • 3.3.5. 上市公司需要披露網絡事件以及有關網絡風險治理、戰略和風險管理的詳細信息

  • 3.3.6. 重大事故報告

    • 3.3.6.1. 該規則要求上市公司在確定發生重大網絡安全事件後的4個工作日內披露重大網絡安全事件

    • 3.3.6.2. 重大性評估應全面、客觀地評估信息的總體組合,需考慮網絡安全事件的所有相關事實和情況,包括定量和定性因素

    • 3.3.6.3. 證券發行人必須從理性投資者的角度出發,基於合理、客觀的方法,並考慮到信息的總體組合,仔細評估事件是否重大

    • 3.3.6.4. 要求披露總體上已成為重大事件的網絡安全事件

    • 3.3.6.5. 證券發行人必須分析相關網絡安全事件的重大性,包括單獨事件和總體事件

  • 3.3.7. 風險管理和戰略

    • 3.3.7.1. 該規則涉及上市公司有關網絡安全風險的風險管理和戰略的披露

    • 3.3.7.2. 要求旨在為投資者提供更一致且更翔實的披露,説明證券發行人如何識別、評估和管理網絡安全風險,以及這些風險對其業務戰略、財務前景和財務規劃的影響

  • 3.3.8. 治理

    • 3.3.8.1. 重點是董事會對網絡安全風險的監督以及管理層在評估和管理這些風險中的作用

3.4. 原則4:測試風險升級和披露流程

  • 3.4.1. 網絡風險升級和披露流程應不斷接受挑戰、測試和更新,以吸取經驗教訓

  • 3.4.2. 網絡風險管理是一項持續性工作,必須不斷了解並應對持續變化的環境,尤其是風險環境的變化

  • 3.4.3. 意味着作為網絡風險管理計劃核心組成部分的風險升級和披露流程,必須不斷接受挑戰、測試和更新,以便使整個企業能夠從成功和失敗中吸取經驗教訓

  • 3.4.4. 安全和風險從業人員、風險所有者、治理機構和其他利益相關者都必須做好準備,質疑他們的風險升級和披露流程

  • 3.4.5. 應該有一個持續、互動的過程,根據已確定的各種風險因素的變化(包括但不限於新出現的威脅和漏洞、行業環境的變化以及運營模式的變化)​,對計劃中有關網絡風險升級和披露要求的假設提出質疑

3.5. 原則5:審計風險升級和披露流程

  • 3.5.1. 審計職能至關重要,主要作用在於確保企業的風險升級和披露流程及程序的有效性和合規性等方面

  • 3.5.2. 通過評估這些流程和程序的設計與實施,找出差距和薄弱環節,並提出改進建議

  • 3.5.3. 審計師可幫助企業更有效地管理網絡風險,並維護投資者、客户和監管機構等利益相關者的信任

  • 3.5.4. 評估設計

    • 3.5.4.1. 審計師對企業風險升級和披露相關的流程和程序的設計進行評估,以確保該流程和程序清晰、全面,且符合總體風險管理目標和監管要求

    • 3.5.4.2. 包括審查結構、角色和職責、溝通渠道和文件記錄等實踐

  • 3.5.5. 測試實施

    • 3.5.5.1. 審計師進行測試,以核實風險升級和披露流程和相關程序是否在整個企業範圍內得到一致有效的實施

    • 3.5.5.2. 涉及審查具體事件、訪問員工和檢查文檔,以評估對既定程序的遵守情況

  • 3.5.6. 差距和薄弱環節識別

    • 3.5.6.1. 通過評估和測試,審計師會發現企業在風險升級和披露流程及程序方面存在的所有漏洞或薄弱環節

    • 3.5.6.2. 包括實施過程中的不一致、員工缺乏培訓或意識,以及溝通和文件記錄實踐不足等

  • 3.5.7. 改進建議

    • 3.5.7.1. 根據審計結果,審計師會就如何加強企業的風險升級和披露的流程與程序提出建議

    • 3.5.7.2. 涉及培訓和意識、溝通渠道、文檔以及流程和程序的整體結構和設計等領域

企業信息化
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.