读数字时代的网络风险管理:策略、计划与执行07风险升级和披露(上)

读数字时代的网络风险管理:策略、计划与执行07风险升级和披露(上)

1. 风险升级和披露

1.1. 确保正确的人和实体在正确的时间以正确的方式获知风险问题

1.2. 有助于防止问题演变成灾难,并能保持或恢复公众和监管机构的信任

1.3. 网络风险升级和披露的必要性源于企业风险环境的变化特别迅速和不可预测

1.4. 法院和监管机构都在通过高达数亿甚至数十亿美元的罚款和其他和解方式,表达对风险升级,尤其是信息披露的严肃态度

  • 1.4.1. 监管机构正在这些判决的基础上制订越来越严格的规定,企业不得不严格遵守

  • 1.4.2. 法院体系认为企业​,在公开披露安全事件和其他网络风险问题时不够透明或及时

1.5. 风险升级是将风险或风险事件提请适当的、负责任的内部利益相关者注意的过程

  • 1.5.1. 决定升级级别的依据是,事件是否超过了企业风险分类和风险容忍度所定义的特定阈值

1.6. 风险披露是指告知某些个人和实体已发现的风险或事件

  • 1.6.1. 在很多情况下,法律或监管机构都要求进行合规性披露,因此不披露风险事件是一件非常严重的事情

  • 1.6.2. 与风险升级不同,风险披露在大多数情况下意味着要通知企业内外的各方

1.7. 需要披露风险有四个主要原因

  • 1.7.1. 上市公司披露重大风险的义务

  • 1.7.2. 监管合规义务

  • 1.7.3. 法律要求

  • 1.7.4. 维护公众信任的需要

1.8. 不同地域的企业别无选择,只能大幅改进其网络风险披露和升级实践

1.9. 企业履行其法律和监管义务并准确及时地披露风险的唯一途径,就是CRMP的所有组成部分无缝协作

1.10. 风险因素

  • 1.10.1. 公司特有风险

  • 1.10.2. 行业风险

  • 1.10.3. 与特定证券(即特定投资)相关的风险

1.11. 重大风险:金融市场在很大程度上依赖于透明度

  • 1.11.1. 意味着任何考虑投资一家公司的人都有权了解所有可能对其决策产生影响的信息

  • 1.11.2. 并非所有的风险信息都是重大的

1.12. 各国政府、监管机构和法院,以及行业组织和公众,正在通过监管行动、对违反既定规则的行为处以严重甚至是致命的罚款,以及通过缩小高管和董事会成员的个人责任范围,来明确这一点

1.13. 监管机构并非孤军奋战:公众也正在明确表示,他们愿意放弃那些自己认为不可信任的公司

1.14. 确保风险升级和披露措施到位并不简单,它需要与网络风险管理计划的其他组成部分充分整合

2. 全球监管机构

2.1. 澳大利亚证券和投资委员会(ASIC)​:澳大利亚政府负责监管其国内公司的独立机构

2.2. 法国金融市场管理局(AMF)​:法国金融市场的主要监管机构

2.3. 德国联邦金融监管局(BaFin)​:负责监管德国金融服务业的监管机构

2.4. 加拿大证券管理局(CSA)​:该组织将加拿大各省和地区的证券监管机构汇集在一起,以统一该国资本市场的监管

2.5. 中国证券监督管理委员会(CSRC)​:中华人民共和国的主要证券监管机构

2.6. 欧洲证券与市场管理局(ESMA)​:一个致力于保护欧盟金融体系稳定的独立机构

2.7. 英国金融行为监管局(FCA)​:英国金融服务公司和金融市场的监管机构

2.8. 美国金融业监管局(FINRA)​:负责制订和执行美国经纪商和经纪自营商规则的机构

2.9. 国际证券委员会组织(IOSCO)​:汇集全球证券监管机构的国际机构

2.10. 日本金融厅(JFSA)​:负责监管日本金融服务业的政府机构

2.11. 印度证券交易委员会(SEBI)​:负责印度证券市场的监管机构

2.12. 瑞士金融市场监管局(FINMA)​:负责瑞士银行业和其他金融机构的监管机构

3. 风险升级

3.1. 风险升级是指使用风险指引体系来识别、评估风险并根据可能性或影响情况对风险进行优先处置,并提请指定人员或实体注意,以便他们采取适当行动的过程

3.2. 不仅仅是已经发生并需要采取应对措施的事件​,同样重要的是要认识到,风险升级并不等同于应对事件

3.3. 风险升级与事件应对不同

  • 3.3.1. 事件几乎总是需要某种类型的应对措施,但它不一定会改变风险等级

  • 3.3.2. 改变风险等级才是触发战略风险升级以进行决策或披露的关键因素

3.4. 企业高层决策者拥有丰富的经验和专业知识,可以确定风险事件是否达到或超过了需要升级或披露的阈值,也就是说,它们是否具有重大相关性

3.5. 立法者、监管者和法院现在都在明确表示,这种情况是不可接受的,企业最高层必须要具有网络专业知识并承担网络责任

3.6. 正式的网络风险升级流程可为企业提供重要的运营改进机会

3.7. 风险升级有助于建立一种开放和可预期的沟通与协作文化,让员工感到可以自由地(事实上也有义务)分享对风险的担忧

3.8. 明确决策和责任可以减轻员工的内部“政治”压力,使他们能够依据高管批准的战略来要求升级,即使这种升级会给有影响力的个人或内部组织带来不利影响

3.9. 提高了企业的声誉,展示了企业对风险管理的承诺,增强了从客户、投资者到合作伙伴等广泛利益相关者的信心

3.10. 最重要的是,风险升级是企业履行法律和监管合规责任以及将安全管理作为一项风险职能的工作重点

  • 3.10.1. 当事情发生时,​“我没有被告知”是不可接受的辩护理由

3.11. 网络风险升级是确保正确的人在正确的时间获得正确信息的正式做法

3.12. 网络风险分类

  • 3.12.1. 风险评估和剩余风险分类(严重、高、中、低)是CRMP风险升级和披露环节的必要组成部分

  • 3.12.2. 已确定的风险是否重大,以及是否超出了企业规定的风险偏好或容忍度

    • 3.12.2.1. 重大风险

    • 3.12.2.2. 超出风险偏好或容忍度的风险

  • 3.12.3. 重大相关风险是指可能对是否投资一家公司的决策产生影响的风险

3.13. 特定小组或委员会负责向上一级治理机构提供网络风险建议

3.14. 一个小组或委员会负责根据分析结果和提供的建议做出网络风险决策

3.15. 向小组或委员会通报有关网络风险应对措施的所有决定

3.16. 升级和披露:不仅仅是安全事件

  • 3.16.1. 网络风险的范围很广并在不断扩大,各种因素都会对企业的风险态势产生积极或消极的影响

  • 3.16.2. 需要风险升级和披露的一个关键前提是不可能消除所有风险

  • 3.16.3. 企业需要承担适当的风险以保持竞争力,其风险决策需要由适当的人做出和批准

posted @ 2026-02-04 06:49  躺柒  阅读(0)  评论(0)    收藏  举报