□Ovidiu Patrascu
网络问题是每个机构需要愈来愈重视的风险。作为投资者,需要更深入地理解客户投资组合所持有的公司对管理该项风险作出多少准备。定向的公司参与是了解关键领域的最有效途径,例如最高级别风险管治及技术专长,投资者从而可以在风险发生之前识别不当的做法。
近年来,随着流动装置及网上服务消费的不断普及,数码数据已经录得倍数增长。网络犯罪对环球公司带来的成本已较5年前增加约60%,而在美国,该数据已升至高于80%(见图)。所有公司均无法忽视这些威胁。
数据来源:ico.org.uk、Accenture & Ponemon Institute研究所《2017年网络犯罪成本研究》,思科环球云端指数。
网络风险是一个广义术语。对于大部分人而言,它是指由不当使用或攻击信息系统的行为所造成的损失风险。相关损失有很多种形式,包括直接财务损失、信誉受损或影响营运持续性。数据私隐常与网络风险并谈。
投资者应如何参与
网络风险已日渐成为关键的商业风险来源,特别是对于拥有重要的无形资产(如品牌、客户关系或技术)的公司而言。数据违法行为对品牌的负面影响会直接影响到公司的竞争力、未来收入及未来现金流。
投资者应专注于理解公司为网络问题作出多少准备。充足的应对方法应使投资者相信,当发生违法事件时,公司所制定的程序及资源能够将营运及创造价值能力所受影响降至最低。笔者认为,直接对公司的参与是获取相关认识的最佳途径。可以已通过以下几个主要领域深入探讨该话题:
企业管治:评估董事会对网络风险的理解有多深?
专业知识:公司是否设有管理网络风险的内部团队?公司是否需要依靠外部的专业技能?
技术:从技术角度来看,公司是否已作出最好的准备?
主要发现:专业知识及董事会责任
透过直接的参与,我们能够识别到重要信息,以及更好地理解公司层面上的实力及弱点,主要领域为:
专业知识:最重要的是公司需要拥有资源丰富及专业的网络安全团队,由信息安全总裁或数据保护总裁负责管理,并向行政总裁或董事会汇报工作。安全团队亦需要与外部专业人士定期交流,并及时掌握最新的威胁及安全工具。内部方面,团队需要直接掌握特定的技术任务,如渗透测试、安全补丁等。
董事会层面的责任:董事会需具备特定专业知识,以评估公司是否拥有适当的营运及管理资源以规避网络风险。
(作者系施罗德投资可持续投资分析师)