本期主题:监控管理层对各国证券监督管理委员会相关网络和信息安全管理办法的准备工作以及遵循情况
在过去的一年,商业环境和风险状况发生了巨大变化,地缘政治更加不稳定,原材料物价上涨,利率和汇率剧烈波动。
审计委员会可以预期到他们企业的财务报告、合规、风险和内部控制环境将面临一系列的挑战:从全球经济波动、地缘冲突到网络安全风险和勒索软件攻击,以及为满足各国政府推行的一系列有关气候和可持续发展报告要求的准备工作,这将需要制定相关的内部控制、披露控制和程序。
基于我们与审计委员会和商业领袖的交流,我们建议审计委员会考虑和执行其2024年议程时应关注以下八个议题:
首要任务:关注财务报告及相关内部控制风险
明确管理层披露委员会、ESG团队和委员会在准备新的中国和全球气候及其他可持续发展信息披露中的职责,并监督基础数据的质量和可靠性
监控管理层对各国证券监督管理委员会相关网络和信息安全管理办法的准备工作以及遵循情况
明确审计委员会对生成式人工智能(AI)的监管责任
重点关注财务部门的领导力和人才
提升审计质量,了解各国监管机构有关审计准则拟变更项的最新情况,包括与不遵守法律法规相关的提案
确保内部审计部门不仅关注财务报告和合规风险,还专注于企业关键风险领域,从而成为审计委员会的宝贵资源
加强对企业道德、合规和文化的关注
监控管理层对各国证券监督管理委员会相关网络和信息安全管理办法的准备工作以及遵循情况
2023年2月,中国证券监督管理委员会公布了《证券期货业网络和信息安全管理办法》,要求核心机构和经营机构应当于每年 4 月 30 日前,完成对上一年网络和信息安全工作的专项评估,编制网络和信息安全管理年报,报送中国证监会及其派出机构。
年报内容包括但不限于网络和信息安全治理情况、人员情况、投入情况、风险情况、处置情况和下一年度工作计划等。核心机构和经营机构发生网络安全事件,对投资者造成影响的,应当及时通过官方网站、客户交易终端、电话或者邮件等有效渠道通知相关方可以采取的替代方式或者应急措施,提示相关方防范和应对可能出现的风险。
按照《证券期货业网络和信息安全管理办法》对网络安全风险管理、战略和治理进行披露
由于披露内容详尽而广泛,准备这些披露信息需要耗费时间和精力,很可能需要重新评估,甚至修改公司现有的风险管理和治理流程,包括董事会监管流程。在管理层为做信息披露准备工作时,董事会应立即与管理层进行合作。
管理层的网络事件应对计划
审计委员会必须审查和更新管理层的网络事件应对政策和程序,包括披露控制和程序以及内部控制,以便及时参考重要性,同时管理层也可参与补救和调查工作。这将包括明确界定管理层的网络安全和风险管理团队、管理层的披露委员会和法律部门的职责,以及确定重要性以及准备和审查披露的升级程序。
升级协议应规定,技术团队的信息应及时提供给进行重要性决策的跨职能团队,还应规定何时需要通知董事会,以及处理内外部沟通问题的方式。管理层和董事会应定期进行桌面练习,以检测管理层的应对计划和程序,包括记录事件、评估重要性和起草相关文件的披露协议,并完善应对计划和程序,以展现从这些练习中学到的东西。事件应对计划也应根据不断变化的网络风险情况进行更新。
“重大性”考虑因素
虽然重大性的定义没有变化,但在网络安全事件中应用该标准并不简单。企业在评估事件的重大性影响时应考虑定性因素,并例举重大性影响的例子,如对企业声誉、客户/供应商关系或竞争力的损害,以及诉讼或监管调查/行动的可能性。审计委员会应确保管理层落实了跨职能团队重要性决策的政策和程序,包括识别应上报与管理层披露委员会和法律团队讨论的重大网络事件的程序,以最终确定其重要性,并记录其结果。企业需要提前考虑可能构成重大事件的因素。
管理层信息披露委员会的作用
考虑管理层披露委员会在制定和维护网络安全相关披露控制及内部控制和程序中的作用和责任。委员会需要哪些资源和流程,以便发生网络事件时及时确定其重要性。
本文内容仅供一般参考用,并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料,但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。
©2024毕马威华振会计师事务所(特殊普通合伙)、毕马威企业咨询(中国)有限公司及毕马威会计师事务所,均是与英国私营担保有限公司— 毕马威国际有限公司(“毕马威国际”)相关联。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体,其对自身描述亦是如此。毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所;毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司;毕马威会计师事务所 — 香港合伙制事务所。版权所有,不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。
