SEC 规则变更后公司网络相关治理披露将演变的 7 种方式

ICI内控快讯 2024年03月06日 15:37 207 内控网

作者：加勒特·穆兹科斯基、马修·赛德尔和萨拉·森德克

2024 年 2 月 20 日

网络攻击的频率和严重程度不断增加，导致全球范围内的公司面临越来越大的压力，要求他们做好准备、减轻攻击并披露这些攻击的影响。美国证券交易委员会最近通过的有关事件披露的规则可能最清楚地说明了这种压力。除了 SEC 之外，投资者还认识到投资组合公司成功监督和管理网络安全风险的重要性日益增加。

大型投资者及其管理团队以及代理顾问正在迅速改变他们对董事会和管理团队的期望，以证明强大的网络安全计划已经到位：

Glass Lewis 的 2024 年政策更新包括一种新的网络风险监督方法，如果公司受到网络攻击，该方法可能会导致建议投票反对董事；

ISS ESG 为公司引入了网络风险评分，该评分对公司管理层披露的网络风险监督进行评分，以“帮助投资者预测投资组合公司在未来 12 个月内遭受网络泄露的相对风险”；

贝莱德对其数据隐私和安全主题的方法提供了具体评论，包括管理团队如何将网络安全视为重大风险，以及与董事会和管理团队就该主题进行互动的方法；

先锋集团的管理年度报告直接提到了它与少数公司直接就网络安全风险进行的富有成效的合作；

道富银行的《资产管理报告》将网络攻击确定为市场和全球经济面临的第一个新兴系统性风险，先于地缘政治风险和经济衰退的可能性。

这不足为奇。随着网络安全风险变得更加普遍且成本高昂，股东对董事会的期望越来越高，董事会将保护其投资价值。

以下是上市公司网络披露应发展以满足投资者期望的七种方式：

1. 监督和报告结构

大多数现有的代理和委员会章程已经表明了董事会委员会负责监督网络安全的内容、领导网络安全计划的管理团队成员，甚至可能还包括报告频率。随着投资者更仔细地分析这些披露，预计公司将提供有关监督结构的更详细的见解。披露内容将明确包括首席信息安全官 (CISO) 在此过程中的角色、网络安全如何整合到更广泛的企业风险管理中，并提供对董事会层面讨论的高级网络安全主题的见解。

2. 董事会专业知识还是董事会教育？

尽管这一要求已从美国证券交易委员会的最终规则中删除，但许多董事会仍在努力解决在董事会中增加一名“网络专家”的可能性。对于某些行业的某些公司来说，向董事会添加网络专家可能是合适的。然而，从广义上讲，投资者目前并不期望每个董事会都有一名网络专家。相反，投资者希望公司披露 1) 某些董事帮助他们开发技术或网络相关技能的经验，以及 2) 公司向董事会提供的有关网络安全的教育和资源。董事会至少应证明其董事已收到有关网络安全的教育材料，能够接触独立的网络安全专家、法律顾问和其他资源，使董事会能够及时了解新出现的风险和趋势。

3. 为 CISO 提供资源支持

随着网络安全格局的不断发展，CISO 的角色也随之发展。因此，董事会和公司领导层必须让 CISO 取得成功。这意味着让 CISO 融入管理团队并参与战略讨论，为 CISO 实现其目标提供充足的资源，并为他们提供与董事会有效沟通的平台。所有 CISO（无论是否为上市公司）都应通过 FTI Consulting 的 Secure Your Seat 等计划投资于磨练沟通和领导技能，以满足不断升级的需求。

4. 董事会的准备意识

事件响应计划和桌面演习应随着网络风险环境的变化和披露要求的变化而发展。虽然董事会可能不会过度参与这一实际过程，但投资者希望知道董事会是否了解公司如何为事件做好准备，以及是否拥有监督事件响应的基础设施。

5. 有针对性、强化投资

网络安全可能与某些领域、某些产品或某些人员的风险更相关。此外，最近采用人工智能后，网络和数据安全可能会成为一个更大的风险。投资者将寻找公司来识别业务的这些部分，并展示额外的投资或适当的程序来解决高风险。

6. 积极吸引投资者

与投资者进行网络互动的时间不是在投资者投票反对董事或发生网络事件之后。下雪了。投资者的披露预期正在发生变化，并且未来还将继续发生变化。董事会和管理团队应积极与投资者就网络安全问题进行接触，以了解投资者对他们的期望。

7. 遭遇攻击？ 不要回避它

网络事件是公司的生活常态，而不是软弱的表现。事件发生后，投资者会希望事件得到妥善管理。投资者希望看到董事会和管理团队的现有流程和程序能够付诸行动并与结果挂钩。公司必须展示董事会和管理团队如何实施现有控制和程序来帮助解决该事件。

来源：ICI内控快讯

近期课程安排：

《国际注册内部控制师CICS资格认证》网络课程学习班：

报名链接：https://www.neikong.com/s/pc/#/course/detail/1527212/1473841/info?parentId=905884