网络安全漏洞已成为企业面临的头号财务威胁,而首席财务官在风险管理方面发挥着至关重要的作用。根据安永的调研报告《安永2019 CEO 紧急事项研究》,国家和企业网络安全是今后十年世界经济面临的最大威胁。全球商界领袖将网络攻击置于所有威胁之首的原因之一在于,网络安全漏洞带来的巨大财务风险。根据IBM和波耐蒙研究所(Ponemon Institute)公布的年度《数据泄露成本报告》,单次网络攻击的平均成本一直在迅速上升,目前为390万美元。网络攻击的风险包括直接财务成本、高额的监管罚款,以及客户、员工和供应商之间的信任丧失。风险也可以是系统性的,会波及多个企业和供应链上下游。
美国CPA Guy Melamed是数据安全公司Varonis的首席财务官兼首席运营官。他表示:“许多管理人员丝毫没有意识到风险,当他们得知有数据易受网络攻击时,甚至感到惊讶。”
Varonis公司对785个企业的研究发现,每五个公司服务器文件夹中就有一个是面向公司的全体员工开放的。超过半数的企业有1,000多个敏感文件向所有人开放。这使企业很容易因侵犯隐私而受到监管部门的罚款。敏感文件一旦落入坏人之手,就有可能毁掉一个企业。
“所以首席财务官应该定期与首席信息官(CIO)和首席信息安全官(CISO)讨论网络风险问题。”Melamed说。
CIMA资深会员、CGMA全球特许管理会计师、美国Internal Control Toolbox的创始人兼管理、风险及合规总监Cecilia Locati表示,对网络安全问题的日益关注,意味着首席财务官现在要时刻重视这个问题。
“网络攻击可能对公司的财务和声誉造成毁灭性的影响,这是首席财务官的核心职责。”她说,“首席财务官无需成为网络安全专家,但他们要在必要时对网络安全风险进行防范。”
① 业务与安全要并驾齐驱
美国的一家全球网络安全公司Tenable的首席财务官Steve Vintz率先迈出一步。他鼓励首席财务官将网络风险放在首位,在评估企业整体健康状况和风险状况时,将其作为与企业最高管理层和其他运营负责人的定期对话的一部分。
首席财务官必须设法了解公司的网络风险缺口,以及与业务、人员及流程相关的财务风险,他说。这将有助于他们了解应在何处以何种程度投资和应用网络安全资源。这就要求首席财务官与首席执行官、首席信息官和首席信息安全官一起了解所有的风险和潜在的成本。
“首席财务官不能仅仅作为被动的旁观者,更要成为安全团队的活跃成员,这个非常重要。”Vintz说,“由于网络安全带来的巨大财务风险,首席财务官不能简单地把它交给IT和风险管理人员。他们确实需要了解技术在应对网络威胁上的作用。他们还要确保网络安全战略与整体业务战略保持一致。反之,安全人员的表述也要能让管理人员听得懂。”
② 监管与漏洞
在许多国家,对公司网络安全的监管要求变得更加严格,首席财务官要帮助公司遵守相关规定并及时报告风险。例如,美国证券交易委员会目前在10-K年报表格中,重点强调报告网络安全风险。
此外,欧盟的《通用数据保护条例》呼吁对不合格的安全措施处以高额罚款。《条例》要求企业在发现漏洞后的72小时内进行披露,意味着要在短时间内评估潜在的后果。
因此,一旦发现漏洞,首席财务官要与法务、IT和安全团队密切合作,了解损害程度,以便进行报告和披露。
Locati表示,一旦发现漏洞,首席财务官应立即采取行动控制损失。他们还应该采取行动,填补财务部现有措施中的任何疏漏,以防止未来的攻击。
③ 技术上的认知
首席财务官要认清自己在管理网络风险方面的作用。虽然他们不太可能花时间成为经过认证的专业网络安全人士,但他们的风险管理技能是必不可少的,因为他们受过相关培训,具备量化财务风险的专业知识,能够确保公司主动采取措施来限制风险。
他们也是向技术专家询问正确问题的最佳人选,以确保公司符合监管要求和隐私要求。
Melamed说,许多管理人员并不清楚公司面临的风险有多大。“他们孤立地设想安全问题,却不与IT及安全团队会面,去问一些关键性的问题,比如‘我们如何知道重要数据各就各位?万一有人在删除数据,我们多快能发觉?’”
比如说,如果首席财务官不知道谁可以访问财务报表文件夹,不知道“这些机密文件是否对公司的每个人开放(这种情况很常见),那么他们应该马上开始与安全团队进行对话。”Melamed表示。
④ 管理会计师的作用
不仅仅是首席财务官,所有财务专业人士都要参与管理网络安全风险。
Locati说,管理会计师应该明白,保护公司免受网络攻击不只是IT部门的责任。整个财务职能部门必须保持高度警惕,不断接受培训,要能够识别常见的攻击类型。
“最好的防御策略涉及公司的所有部门。”Locati说,“在支付处理等经常受到攻击影响的领域,财务专业人士在建立和实施内控方面起到关键的作用。”
Locati表示,财务专业人士应与IT安全部门或网络安全专家密切合作,以识别可能的网络攻击场景,评估和管理风险。
“一根链条的强度取决于最薄弱的环节,黑客总是试图找出最薄弱的环节。”她说,“当社会工程技术得到应用,公司中的不同人成为获取信息或影响行为的目标时,情况尤其如此。”
相关课程
此次疫情给各行各业都带来了新的挑战,同时也加快了数字化和办公互联网化的进程,其本身也带来了更多的信息和网络安全问题。如何在应对数字化、互联网化的同时确保企业的信息和网络安全将成为企业必须面对的重大课题。
值此,国际注册专业会计师公会携手安永联合举办的全球网络安全认证培训将在2020年持续为大家带来更多网络安全相关的前沿知识和分享。该培训自2019年开展以来,收到业内人士的广泛好评,来自多个行业知名企业的财务、内审、合规和科技条线的专业人员参加了线上和线下培训,并得到了专业认证。
2020年度全球网络安全认证培训课程安排
5月21日- 5月22日 上海
5月28日- 5月29日 北京
6月11日- 6月12日 深圳
6月18日- 6月19日 上海