随著生成式AI应用的高速发展,企业在面对数位与永续转型浪潮,以及AI风险快速窜升之际,我们该如何解决与因应这些风险与挑战?
在11月举行的英国标准协会(BSI)数位信任国际资安标准年会上,该公司东北亚区董事总经理蒲树盛强调,今年一项备受关注的国际趋势,就是对「董事会义务」的高度重视,这是国内企业在公司治理上需关切的重要发展,他共归纳4大重点。
首先,当今的公司法正强化受托人义务,从治理层面全面提升应对能力。他解释,所谓受托人指的就是公司董事、独立董事、高阶经理人,这些都是受托来管理公司组织的人,更重要的是,现今重点是放在「义务」,也就是应符合利害关系人的期待,包含客户、员工、股东认为公司应该要做到的事。
换言之,从国际上公司法都在修法的趋势来看,目的不仅是强化董事会责任,更要强化董事会义务。近年台湾企业设立资安长、永续长,其实也是类似状况。
第二个重点是风险治理,所谓治理(Governance),就是管理(Management)+领导力(leadership),而风险治理就是企业内部要有风险管理系统、风险管理框架,才能足以识别及管理风险。
蒲树盛以资料外泄情况为例,说明现在一家企业要如何判断法官的见解,不仅是从企业是否符合利害关系人期望,做到上述所提的义务,另一重点就是公司是否有治理架构,董事会成员是否有具备风险管理的专家,以及公司内部是否建立风险管理框架。
像是国内证交所在资安事件重讯的规范,不论是次一营业日的开盘前2小时要公告重讯,或是损失3亿元或股本20%应召开重讯记者会,如果一家企业连这些发布规范都不清楚,外界也很难相信该公司会有风险治理的框架,因此法官也就会做出对企业不利的判决,导致企业诉讼风险大增。
第三个重点,是董事会成员必须具备4大核心能力与义务,不仅包括所有公司均应具备的「谨慎(Duty of Care)」,现行规范更进一步强调「忠实(Duty of Loyalty)」的承诺,以及「勤勉用功(Diligence)」与「专业技能(Skill)」的履行。在国际间,这些义务已是公司法改革的重点。
最后一个重点在于,解决风险与确保组织韧性的能力。事实上,确保组织韧性已是近年资安防护不断强调的主轴,这方面的能力已成不可或缺的一环。
违反合规的罚则最高来到全球营业额7%,比GDPR更高
对于公司经营层与董事会而言,在应对前述科技与环境风险之下,合规风险的层面也不容轻忽,蒲树盛指出,近年来全球罚则正不断升高。
回顾多年前被誉为最严格个资法的GDPR,最多罚全球营业额4%,现在这样的比例,其实已经算低。
例如,2023年11月底正式施行的欧盟数位服务法(DSA),此法针对社群平台等数位服务提供者加以规范,以打击线上非法服务或内容,其违反者最高可罚全球营业额6%;预计明年实施的欧盟人工智慧法案(EU AI Act),不只是建立AI全面监管框架,本质上更是一个产品安全的规范,违反者可罚全球营业额7%。
永续资讯揭露明年实施,尚未行动的上市柜公司需尽速准备
在永续方面也有重要进展,不仅是欧盟在2023年实施的企业永续发展报告指令(CSRD),还有国际上IFRS永续揭露准则的出现,以及温室气体排放量盘查与查证(GHGEV)。
此外,永续发展资讯揭露的规范也愈加严格。对于台湾企业而言,明年2025更要注意一件事──永续资讯揭露纳入证交法,也就是明年全体上市公司均需编制永续报告书,而且所有相关内稽内控全部列为必查项目,避免有资讯不实或夸大的情形。以上这些新变化,都是企业在合规风险上需要留意的,董事会与经营层需要有所掌握,才能及早做好准备。
从资安治理、治理架构到文化的推动
大家近年可能时常听到,要形塑资安文化才有助推动,但这样的企业文化要如何建立,仍然有许多组织处于一头雾水的状况。
在这场演说当中,针对资安文化与永续文化的推动,蒲树盛特别阐释了「我们该如何建立文化」这件事,帮助国内企业可以有更好的理解方式。
特别的是,蒲树盛为了促进大众理解,用上了不同的诠释方式,他从文化(Culture)一词起源的角度出发,指出该字是由古罗马哲学家西赛罗首次使用拉丁文「cultura animi」定义,其原意是指灵魂的培养。
因此若是我们要培养企业组织的人,能够具备资安、永续的灵魂,可以有3个步骤:(一)要提供给这些人相关知识与观念,(二)不能只是说而不做的上课,还要让员工透过实际体验,才能做到灵魂的培养,(三)要给予时间让组织内的人可以将观念知识内化,变成潜意识的举动,这时文化才会真正形成。
「如果没有文化,很多事没有办法做。」蒲树盛指出,这就像大家从小获得的教育一样,很多观念不必要求就会做得到,这就会变成普世价值。