为了推动台湾企业落实安全,提升年报资讯披露品质,金管会在去年11月30日正式完成相关法令修改,要求上市、上柜及兴柜公司,需在年报记载安全管理作为,不仅提升资讯披露的透明度,也将促使那些在安全作为上较被动的企业,能够采取行动,至少创建基本安全管理框架。目前已有少数企业开始发布2021(110年度)年报,其中也如预期披露公司安全概况。
随着3月底年度财务报告公告申报期限截止,按理来说,各上市柜公司将在3到6月举行股东常会的前夕,对外发布公司年报,让投资人与外界进一步了解企业经营状况,在这份报告中,不只是要列出公司治理、募集资金、运营、财务等状况的摘要说明,以及财务绩效检讨分析与风险事项等,今年度更是首次披露企业安全方面的组织架构、政策,以及说明该年度的安全事件。
关于这些内容披露的时机与数量,根据金管会公布的2022企业年度股东常会的举行进程来看,3月份有1家、4月有14家、5月份456家、6月份1,580家,这些公司必须在股东常会7日之前对外公布年报内容,而资本额百亿元或外资陆资持股3成以上者,更要提早于14天上传。
因此,在我们截稿之前(4月25日),单就3、4月份举行股东常会的公司而言,至少就有力积电、系统电等共15家公司,已经公布包含安全管理作为的股东会年报。而在接下来的两个月,台湾将有2千多家上市柜公司陆续发布股东会年报。
同时,我们发现,已有少数公司的股东会在更晚举行,但现在就已提早发布,包括台积电、创意、京城银、统一超商等公司等。尤其是台积电,股东常会是在6月8日举行,该公司在4月14日就已发布股东会年报,早了至少一个半月。
基本上,安全风险也是企业经营风险的一环,部分公司前几年就开始主动披露安全作为──早在台湾政府的法规要求之前,已有少数企业会在风险管理的面向上,披露资通安全风险及管理措施,台积电就是一例。
过去,该公司在2020年报的风险管理内容披露中,就已涵盖资讯技术安全的风险,并对其管理措施做出说明。不仅如此,他们在2020年度企业社会责任报告中,公开了更多相关资讯,包括从2019年开始设立“企业资讯安全组织”,下辖资讯安全处与资讯保护处,披露内部的企业资讯安全组织架构,以及专属资讯保护委员会架构,同时说明其工作内容,并提及企业资讯安全组织最高主管,将每半年向董事会审计委员会汇报安全管理成效,以及安全相关议题及方向等。
只是,这些安全治理方面的资讯,企业可能将相关资讯发布在公司网站某处,或是公布不同报告之中,或是不一定会对外公开。
随着金管会2021年底法令修改,上市柜公司在2021年报有三大注意要点,其中资通安全是全新重点。在年报中,金管会规范企业需披露那些安全作为?基本上,有三个重点,分别是:(一)资通安全管理策略与架构,(二)资通安全风险与应对措施,(三)重大资通安全事件。
随着金管会2021年底法令修改,在现有公布的2021年报中,企业开始披露安全作为了吗?是的!几乎目前发布股东会年报的公司,都公开这方面资讯。
大致来说,以管理面而言,各公司年报中的第五章“运营概况”,增加了“资通安全管理”的项次,说明资通安全风险管理架构、政策、具体管理方案,以及投入资源;以风险面而言,在后续章节的“风险管理”中,公司也说明了资讯技术安全对公司财务业务的影响及应对措施。同时,也会记载去年至今是否发生重大安全事件,以及危机处理应变机制说明。
目前来看,台积电当然是众人关注焦点,由于该公司往年披露许多安全管理方面资讯,现在也将相关内容编制在2021年报之中,较特别的是,台积电在今年的年报中记载了更多资讯,包括年度安全的投入状况,并提到去年台积电带领SEMI标准工作组制定半导体资讯安全标准(SEMI 187)一事。
而从现有十多家公司发布的年报来看,我们也对企业的安全状态,有了更清楚的认识。
过去,台湾有些企业很早就看重安全层面的管理,但这些资讯之前可能并未受到重视。
2021年报中,多家企业公开资通安全管理架构发展历程。例如,在所有金融业之中,将于5月初首先召开股东常会的京城银行,2021年报已经发布,其中公布的资讯显示,该银行在2015年11月成立资讯安全管理委员会,审查ISMS政策规划及安全整体执行情形,同时披露政策、具体管理方案;另一例子,则是全球知名水龙头零部件商桥桩金属公司,他们的年报显示,该公司在2004年制定资讯管理规定,成立资讯安全处统筹相关政策,并于2017年发行资讯安全管理规定,成立资讯安全委员会。
换言之,在这次年报中,我们可以看到一些公司很早就创建资讯安全委员会组织架构,来强化公司地安全管理,或是像台积电等公司,另外还有创建专属资讯保护委员会,保护公司与客户机密资讯。
不只是安全管理架构与政策的公开,还有些公司更进一步阐明所投入资源。
例如,台积电公布的资讯中,指出在2021年对于强化资讯安全的投资,超过10亿元,并有超过500名员工负责安全相关业务,并有超过1千名外部人员,负责警勤等安全相关工作;在另一家企业:创意电子公布的资讯中,指出2021年投入安全的资源,比2020年费用增长190%。
在京城银行公布的资讯中,说明共有90名安全人力,包括去年12月新设资讯首席安全官一职,第二道防线安全推动单位3人,以及第一道防线安全执行单位86人,以及说明投入安全费用共1,284万元;在统一超公布的资讯中,说明年度安全费用3,774万,主要投入于网站防护、访问管理与安全性检测的安全防护产品。
有些安全推动进展较慢的公司,也如实公布安全治理发展现况。例如,在欣大健康公布的年报中,提到2021年他们拟定年度资讯安全策略与程序。而此举不论是否为应对法令要求而设,但如果从这样的现况来看,该公司对于安全管理,确实是转向积极的态度。
也有其他公司坦承未成立资通安全管理部门,但仍表达已强化资讯安全管理,并公布当前的管理政策与具体管理方案,或是表示尚未成立跨部门资讯安全委员会,甚至指出由行政课负责规划、执行与推动。
上述这些内容,虽然显示公司的安全成熟度,仍有很大的发展空间,但也反映出这些公司诚实说明安全管理现况,值得大家肯定。毕竟,政府促进企业推动安全,主要目的也是希望更多尚未做好准备的企业,能够真正为了提升安全,而付诸实际行动,至少要创建相关安全管理制度。而随着相关资讯的透明度提升,也将让管理高层查看整体运营概况,以及风险时,能获得更清楚的认知。
日后这些企业,若能开始展现对于安全管理的积极性,如同在运营、永续的面向上,对于业务与市场经营、环保、ESG、劳资等议题有一样重视程度,也将是各界所希望看到的。毕竟每家公司经营状况有别,面对安全风险带来的冲击也不尽相同。
另外须关注的是,在我们查看的10多家公司2021年报中,发现有一家上柜公司,可能没有注意新的年报规范,虽然在其他重要风险及应对措施上,有说明安全风险评估分析及应对措施,以及安全具体管理方案,但在运营概况的章节上,并未看到资通安全管理策略与架构方面的说明。
对于公司年报披露未达披露原则者,证交所表示,他们会在7月进行抽查,发现状况后将请公司补充必要披露内容,若迟未改善者,将可开罚24到480万元。
关于证交所近年提倡董事会成员的组成,应考量多样化的背景安排,对此,我们在台积电年报中也看到实例,因为该董事会成员专业知识与才能,不只是商务、科技、财会、法律、营销,其他,资讯安全也被独立列出,并有一名独立董事,本身具备这方面的背景。
当然,或许各公司无法都能遴聘安全背景的董事、顾问,因此之前金管会的建议曾提到,或是可设置安全咨询小组,增纳专业人员参与董事会运行,另外,不少安全专家也提到,或是企业安全组织最高主管需定期向董事会成员汇报公司网络风险,让董事会了解资讯并认可相关风险,这也意味着要让董事会同样负起责任。
在上述安全管理组织架构面向的内容公开之外,年报登载还有两个安全相关重点,那就是重大资通安全事件的说明,以及资通安全风险与应对措施。
从目前已公开2021年报的公司来看,他们都表示无重大安全事件与财物损失。随着更多公司年报的披露,在2021到年报刊印日,公司若有发布安全重大消息,理论上在事件调查结果、影响程度的披露上,会有更进一步的公开说明,同样值得外界留意。
事实上,像是台积电在风险管理的面向上,除了说明安全技术安全为公司带来的各式风险,同时也提到该公司数年前因购买及安装内置恶意软件的设备一事,并提及各方面的改进措施。
无论如何,在金管会对公司年报披露资讯的新要求之下,企业要能够正视自身的安全防护不足,而对于已经推动安全的企业,其实也可借由各个不同层面,来展现自家对安全的重视。
图片来源/台湾证券交易所
金管会去年11月正式修法,要求上市柜公司需在年报记载安全管理作为,为帮助各家公司编制2021之后的年报能有依循方向,台湾证券交易所在去年12月,发布了资通安全管理资讯披露的最佳实务范例,其中看来许多范例的内容是以台积电之前的安全管理资讯披露经验作为借鉴。 (链接:https://cgc.twse.com.tw/lawReport/listCh)