隨著生成式AI應用的高速發展,企業在面對數位與永續轉型浪潮,以及AI風險快速竄升之際,我們該如何解決與因應這些風險與挑戰?
在11月舉行的英國標準協會(BSI)數位信任國際資安標準年會上,該公司東北亞區董事總經理蒲樹盛強調,今年一項備受關注的國際趨勢,就是對「董事會義務」的高度重視,這是國內企業在公司治理上需關切的重要發展,他共歸納4大重點。
首先,當今的公司法正強化受託人義務,從治理層面全面提升應對能力。他解釋,所謂受託人指的就是公司董事、獨立董事、高階經理人,這些都是受託來管理公司組織的人,更重要的是,現今重點是放在「義務」,也就是應符合利害關係人的期待,包含客戶、員工、股東認為公司應該要做到的事。
換言之,從國際上公司法都在修法的趨勢來看,目的不僅是強化董事會責任,更要強化董事會義務。近年臺灣企業設立資安長、永續長,其實也是類似狀況。
第二個重點是風險治理,所謂治理(Governance),就是管理(Management)+領導力(leadership),而風險治理就是企業內部要有風險管理系統、風險管理框架,才能足以識別及管理風險。
蒲樹盛以資料外洩情況為例,說明現在一家企業要如何判斷法官的見解,不僅是從企業是否符合利害關係人期望,做到上述所提的義務,另一重點就是公司是否有治理架構,董事會成員是否有具備風險管理的專家,以及公司內部是否建立風險管理框架。
像是國內證交所在資安事件重訊的規範,不論是次一營業日的開盤前2小時要公告重訊,或是損失3億元或股本20%應召開重訊記者會,如果一家企業連這些發布規範都不清楚,外界也很難相信該公司會有風險治理的框架,因此法官也就會做出對企業不利的判決,導致企業訴訟風險大增。
第三個重點,是董事會成員必須具備4大核心能力與義務,不僅包括所有公司均應具備的「謹慎(Duty of Care)」,現行規範更進一步強調「忠實(Duty of Loyalty)」的承諾,以及「勤勉用功(Diligence)」與「專業技能(Skill)」的履行。在國際間,這些義務已是公司法改革的重點。
最後一個重點在於,解決風險與確保組織韌性的能力。事實上,確保組織韌性已是近年資安防護不斷強調的主軸,這方面的能力已成不可或缺的一環。
違反合規的罰則最高來到全球營業額7%,比GDPR更高
對於公司經營層與董事會而言,在應對前述科技與環境風險之下,合規風險的層面也不容輕忽,蒲樹盛指出,近年來全球罰則正不斷升高。
回顧多年前被譽為最嚴格個資法的GDPR,最多罰全球營業額4%,現在這樣的比例,其實已經算低。
例如,2023年11月底正式施行的歐盟數位服務法(DSA),此法針對社群平臺等數位服務提供者加以規範,以打擊線上非法服務或內容,其違反者最高可罰全球營業額6%;預計明年實施的歐盟人工智慧法案(EU AI Act),不只是建立AI全面監管框架,本質上更是一個產品安全的規範,違反者可罰全球營業額7%。
永續資訊揭露明年實施,尚未行動的上市櫃公司需儘速準備
在永續方面也有重要進展,不僅是歐盟在2023年實施的企業永續發展報告指令(CSRD),還有國際上IFRS永續揭露準則的出現,以及溫室氣體排放量盤查與查證(GHGEV)。
此外,永續發展資訊揭露的規範也愈加嚴格。對於臺灣企業而言,明年2025更要注意一件事──永續資訊揭露納入證交法,也就是明年全體上市公司均需編製永續報告書,而且所有相關內稽內控全部列為必查項目,避免有資訊不實或誇大的情形。以上這些新變化,都是企業在合規風險上需要留意的,董事會與經營層需要有所掌握,才能及早做好準備。
從資安治理、治理架構到文化的推動
大家近年可能時常聽到,要形塑資安文化才有助推動,但這樣的企業文化要如何建立,仍然有許多組織處於一頭霧水的狀況。
在這場演說當中,針對資安文化與永續文化的推動,蒲樹盛特別闡釋了「我們該如何建立文化」這件事,幫助國內企業可以有更好的理解方式。
特別的是,蒲樹盛為了促進大眾理解,用上了不同的詮釋方式,他從文化(Culture)一詞起源的角度出發,指出該字是由古羅馬哲學家西賽羅首次使用拉丁文「cultura animi」定義,其原意是指靈魂的培養。
因此若是我們要培養企業組織的人,能夠具備資安、永續的靈魂,可以有3個步驟:(一)要提供給這些人相關知識與觀念,(二)不能只是說而不做的上課,還要讓員工透過實際體驗,才能做到靈魂的培養,(三)要給予時間讓組織內的人可以將觀念知識內化,變成潛意識的舉動,這時文化才會真正形成。
「如果沒有文化,很多事沒有辦法做。」蒲樹盛指出,這就像大家從小獲得的教育一樣,很多觀念不必要求就會做得到,這就會變成普世價值。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03