一、 用戶資料隱私的安全問題
數位時代帶來的最大變革之一是資訊科技的蓬勃發展,特別是 AI 和 Machine Learning 的崛起。然而,這也引發了新的挑戰,例如資料隱私的安全問題,以及與人工智慧相關的道德和法律考量,AI 究 竟會像是 Meta 祖克伯宣揚的那樣的造福人類生活,還是如同 Tesla 馬斯克警告的,將威脅人類生存,目前尚不得而知。
二、 供應鏈合作關係的風險持續被擴大
除了科技層面的變革,數位時代也改變了商業模式和價值鏈的運作方式。新興的數位平台和生態系統不僅為企業帶來新的市場機會,也帶來了更複雜的供應鏈和合作關係,加上Covid-19 全球大流行,進一步擴大了風險的可能性,舊有的「供應鏈管理」(Supply Chain Management, SCM) 與「 營運持續計劃 」(Business Continuity Planning, BCP)似乎不足以解決問題。
因為根本問題在於企業執行力低落與風險意識不足,根據《安聯風險晴雨計 2023》1 (Allianz Risk Barometer 2023)指出,大多數的公司都有「營運持續計劃」,然而不到 40% 的公司對 BCP 進行測試。
1 Allianz(2023), Allianz Risk Barometer 2023, retrieved from: https://commercial.allianz.com/content/dam/ onemarketing/commercial/commercial/reports/Allianz-Risk-Barometer-2023.pdf,最後瀏覽日期:2023 年 11 月 14 日。
三、 系統性網路攻擊(systematic cyber-attacks)頻率日益升高
上述一與二又促使網路生態系統(cyber ecosystem)的快速擴展與高度鏈結,可說是牽一髮而動全局。另一方面系統性網路攻擊(systematic cyber-attacks)的可能性日益升高,依據勞合社 2 指出,未來五年系統性網路攻擊造成的天文數字損失(圖一)又加重風險管理與資安治理的重要性。
2 Lloyd’s of London(2023), Illuminating cyber crime: How vulnerable is the economy to a major cyber-attack?, retrieved from: https://www.lloyds.com/news-and-insights/futureset/futureset-insights/systemic-risk-scenarios/ illuminating-cyber-crime,最後瀏覽日期:2023 年 11 月 14 日。
面臨如此複雜的風險場景,風險管理將不再是企業經營的附屬項目或被視為成本單位,而是企業拓展新業務、新市場的關鍵因素之一。本篇文章將深入探討在數位時代,傳統風險管理與企業風險管理的差異,並介紹新環境下至關重要的一些基本風險管理知識 ――
包括風險偏好 3 (risk appetite)、 風險曝露 4 (risk exposure)、風險承受力 5 (risk tolerance)、 風險擁有權 6 (risk ownership)、風險規避 7 (risk avoidance)以及風險緩解 8 (risk mitigation)。
3風險偏好是組織或投資者為追求其認為有價值的目標而願意承擔的風險大小,也可以被描述為組 織的風險承受能力,或是在採取控制措施和其他 措施後可接受的最大剩餘風險量或是願意接受的 不同類型風險的數量加總。
4風險曝露是指對正在進行或計劃的業務活動,量化潛在可能損失。曝露程度通常是通過將風險事件發生的概率乘以潛在損失的金額來計算的。商業中的風險曝露通常用於對不同類型損失的機率進行排序,並確定哪些損失是可接受的或不可接受的。
5風險承受力是指達成策略目標過程中,偏離組織風險偏好的可接受程度。風險偏好是指導組織風險管理工作的整體策略概念,而風險承受力是一個較具戰術性的概念,它識別與特定計劃相關的風險並將其與組織的風險偏好進行比較,進而機動因應調整。
6風險擁有權通常指在組織或企業中,對於特定風險的負責人或單位。這個負責人通常負責監控、評估和處理相關風險,以確保組織能夠有效應對可能發生的損失或不利影響。
7風險規避是指消除可能對組織及其資產產生負面影響的危險、活動和風險,以避免破壞性事件造成代價高昂的後果。領導者必須識別和評估其組織面臨的風險,並確定若為消除這些風險對組織造成業務損失的可能性。由於規避風險是一種刻意的策略,因此它與未能識別風險或完全忽視風險不同。
8風險緩解是針對災難進行規劃並找到減少負面影響的方法的過程。儘管風險緩解的原則是讓企業為所有潛在風險做好準備,但適當的風險緩解計劃將權衡每個風險的影響,依據影響大小優先制定計劃。風險緩解不是風險規避(riskavoidance)而是處理災難的後果以及在事件發生之前可以採取的步驟,以減少不利的和潛在的長期影響。
由於台灣上市櫃公司董事會普遍缺乏「風險管理委員會」9 (見圖 二、三),管理階層也少見風險長(Chief Risk Officer, CRO),因此建議董事會成員借助外部專業風險諮詢顧問協助, 方能精準地應對這個數位時代帶來的風險挑戰。
9黃志明,完全失能的風險管理委員會,當代法律, 8 期,2022 年 8 月,頁 164-175。
隨著企業日益依賴數位技術,管理也面臨著全新的挑戰和機會,數位時代下的企業必 須深入了解下列這些趨勢如何改變營運管理的面貌。
1. 數據驅動的風險評估
在數位時代,大數據已成為管理的寶貴資源。企業可以收集和分析大量數據,更準確地評估風險。這包括來自各種來源的數據,如社交媒體、網路活動、交易數據等。
數據帶動新的風險管理樣貌,第一步就是風險量化,尤其是資安風險量化(Cyber-Risk Quantification, CRQ)。有具體的風險量化,董事會與管理層才能討論並確認公司的「風險偏好」,為營運活動劃定警戒線,從而能夠更靈活地應對未來可能的業務發展。
2. 數據資產(data assets)管理與運用
隨著數位轉型的浪潮,相對於實體資產(physical assets),企業數據資產的價值大幅增加,但也隨之帶來新的風險,包括資料外洩、資訊安全漏洞和網路勒索攻擊,以及因此導致的營運中斷 (Business Interruptions, BI)。
為了防止上述情形發生,企業各相關部門必須進行更積極的風險管理,制定完善的數據資產保護策略。例如,面對日趨嚴謹的法令規範,法務長必須明確知道公司依法必須保護什麼「受監管的數據資產 」(regulated data assets),以及公司不得持有哪些「受監管數據資產」。
隱私長則必須定期檢視公司的隱私政策 (privacy policy),確保公司遵守其公告之隱私政策,同時在符合法令規範與發展新業務之間取得平衡。
3. 即時性、動態性的風險管理
傳統風險管理採取處理實體損失 (physical loss)的財務風險管理模式,其管理方法倚賴定期的評估和報告。但在數位時代,風險事件可以在瞬息萬變中發生,而數據分析和即時監控使企業能夠更加迅速地識別風險並做出反應,從而減少損失。
4. 升高的網路生態系統風險
數位平台的廣泛運用,促使網路生態系統不斷擴張,企業之間合作關係變得更加複雜——這意味風險除了來自企業本身,也可能源自整個生態系統。因此企業必須評估這些生態系統的風險,並了解自身於生態系中的角色和影響,而董事會應該鼓勵系統性復原力(systemic resilience)與跨公司跨產業之協作 (collaboration)。
5. 人工智慧和機器學習的應用
人工智慧和機器學習不僅用於風險預測,還能評估自動化風險處理和管理。自動化程序可以幫助企業更快速地識別和應對風險事件,從而降低風險對業務的影響。然而人工智慧的發展仍充滿著不確定性,因此可能帶來未知的風險。
美國總統拜登 10 月底簽署首項人工智慧行政命令,這項行政命令含括 8 項行動,對美國政府各部門做出具體指示:當中一項重要行動為發布政府的「AI 安全與安全保障新標準」(New Standards for AI Safety and Security),要求訓練模型的 AI 系統開發者在「尚未對外發布模型之前」,必須事先與政府分享安全測試結果。
數位時代的到來為企業和個人帶來了便利,在網路上的活動越來越頻繁,資料的交換和共享已經成為日常生活的一部分。然而,這也意味著我們的個人資訊變得更容易受到威脅和侵犯。
針對個人以下幾點提醒值得關注:
1. 數位化生活的隱私威脅
隨著我們在社群媒體平台上分享生活點滴,我們的個人資訊也變得更加容易被揭露。這包括我們的興趣、活動記錄、甚至是私人對話。駭客和網路罪犯利用這些資訊來進行釣魚攻擊、身分盜用等活動, 對我們的隱私構成嚴重威脅。
2. 線上交易安全
隨著數位支付的普及,我們的金融資訊也變得更容易受到攻擊。線上購物、 行動支付、網路銀行等活動中,我們需要提供信用卡訊息、交易訊息或銀行帳戶訊息,這相關個資與金融往來訊息一旦落入犯罪分子手中,就會引發嚴重的經濟損失。
3. 社交工程和釣魚攻擊
社交工程和釣魚攻擊是近年來網路安全威脅中的主要手段,透過偽裝成可信任的寄件者或機構,不法分子試圖誘騙我們 洩露個人資訊或進行不安全的行為。這些攻擊通常針對我們最鬆懈的情境下發生,我們需要保持警覺性並具備辨識風險的能 力。
4. 社群媒體隱私風險
在社群媒體上分享生活點滴已經是 一種日常,個人資訊有可能被公開轉發分享,這樣的情況下,個人隱私將遭受到威脅。此外,社群媒體平臺本身也可能因為資料外洩或安全漏洞,導致我們的資訊曝露、被竊取,而產生財務損失。
隨著線上隱私問題的嚴重性增加,各國政府和監管機構也相應制定了更嚴格的隱私法規 10;企業需要確保其遵守相關的法律和規定,並建立堅固的隱私保護機制,並為員工提供相應的培訓和教育,加強風險意識培訓,確保每個人都參與風險管理的流程。防止資料外洩是企業高層和全體員工的共同責任,以建立一個安全可 靠的網路環境。
什麼是傳統風險管理?
傳統的風險管理,往往是大公司的正 式業務職能(business function)。編制的人數取決於公司的規模、風險評估以及法 律要求。傳統風險管理業務內涵分成財務相關事項和業務運營相關的二大基本風險。
在金融服務和保險等行業的組織中,風險管理職能比其他產業的公司更成熟,因為金融機構的業務模式是建立在嚴謹的風險管控之上,並且受到監理機關之合規要求,以特定方式管理營運相關風險。
傳統風險管理的最早形式包括、信用風險、財務風險和作業風險 11(operational risk)。然而在業務核心不是嚴謹風險控管的行業中,風險管理方式就因不同公司而異,甚至被長期忽視,尤其是在台灣。
傳統風險管理與企業風險管理有何不同?
傳統風險管理和企業風險管理之間的四個主要差異 12:
12 Lisa Morgan(11 Aug 2023), Traditional vs. enterprise risk management: How do they differ?, 3 Nov 2023, retrieved from https://www.techtarget.com/searchcio/feature/Traditional-vs-enterprise-risk-management-How- do-they-differ,最後瀏覽日期:2023 年 11 月 14 日。
1. 孤立與整體(siloed vs. holistic)
具有傳統風險管理職能的組織通常有多個風險舉措(multiple risk initiatives),這些舉措往往無法協同工作,因為每個業務領域分別「擁有」(ownership)其風險,沒有統一的中央結構。
鑑於許多業務風險的相互關聯性,孤立的方法無法很好地管理某些類型的風險,最明顯的例子正是資安風險。 孤島運作也意味著缺乏對風險的潛在上游和下游影響的了解。例如,網路安全漏洞不僅僅是一個安全問題,因為它還必須包括組織的跨部門合作(合規、財務、營運、法律和 聲譽風險,如圖四)。ERM 採用更全面的方法來管理風險,包括了解各種風險類型之間的關係。
當了解更大範圍的風險及其潛在的業務影響時,公司可以意識風險的方式 (risk-aware way)進行創新並抓住機 會。重要的是,企業風險管理可以幫助公司採取主動的風險管理方法。
2. 迴避風險與承擔風險(risk averse vs. risk taking)
傳統的風險管理往往著重於風險規避。例如,金融服務業使用評分演算法來決定誰有信譽,誰沒有信譽。然而,一些信用良好的個人會因為失業,或其他原因遇到經濟困難而拖欠貸款。
這種可能性已計入貸款利率,信用風險保險可以彌補此類損失。儘管許多銀行都迴避風險,但有些銀行更願意在貸款實務上承擔風險。其他企業(例如科技新創公司)以承擔風險而聞名。
管理良好的企業風險管理計畫有助於承擔風險的組織免受潛在業務問題的影響。一家公司是否屬於風險迴避型或風險承擔型,取決於其「風險偏好」和「風險承受能力」。
風險偏好是組織為實現其目標而願意承擔的總體風險量,而風險承受能力是計算在特定業務計劃中將偏離其過去有記錄的風險偏好程度。
3. 被動與主動(reactive vs. proactive)
傳統的風險管理往往是被動的。風險已經顯現或正在顯現,這會導致公司改變其未來的政策和行為。然而,只參照過往案例(through the rearview mirror)進行風險管理也有其自身的風險。
例如,一家公司在昂貴的行銷和廣告活動的支持下推出了一種重要的新產品,可能會在最後一刻得知供應商將在幾個月內無法交付關鍵組件。如果該公司沒有透過尋找二級供應商來應對這種風險,那麼它可能會被迫推遲產品推出,錯過預期的銷售機會,並可能危及其維持業務的能 力。
企業風險管理採用積極主動的方法來管理風險,結合人員、流程和技術。ERM 應用程式與 GRC13 軟體和其他特定於風險的工具集成,以提供更高層級的業務風險視圖。功能通常包括風險評估、風險識別、風險監控、風險報告和其他風險管理功能。
13 GRC 一詞是由非營利組織 OCEG(前身為開放 合規與道德組織)於 2007 年創造的,指的是治 理、風險和合規性(GRC)是指組織處理公司治 理政策、企業風險管理及監管合規性三者相互依 賴關係的策略。制定 GRC 規則對於具有廣泛治 理、風險和合規性要求以及滿足這些要求的計劃 經常重疊的大型組織尤其重要。
4. 可保與不可保(insurable vs. uninsurable)
傳統風險管理和 ERM 之間的另一個區別是可保性與否。例如,若是員工在工作中受傷,作為傳統風險管理的一部分,雇主賠償責任保險和公司的一般責任保單可以涵蓋財務風險。
最近發生在屏東的明揚科技廠房大火,造成重大傷亡也是傳統風險管理的範圍,商業火險常見的缺失就是投保金額不足及附加條款不完整,不然就是將公共意外責任險誤以為是商業通用責任險 14(Commercial General Liability, CGL)。
14 黃志明,營運中斷――面對氣候風險不可遺漏的一環,當代法律,12 期,2022 年 12 月,頁 149-157。
但該規則並不總是適用。例如,網路風險通常不在傳統風險管理的考量範圍,必須藉由資安保險轉嫁風險 15。
15 黃志明,變臉詐欺,BEC――企業高層獨有的夢魘,當代法律,20 期,2023 年 8 月,頁 157-164。
ERM 計畫有助於識別任何存在的不可保風險,風險轉嫁的確是一個重要的手段但其他作為,例如風險規避 (risk avoidance)、 風險緩解(risk mitigation)也扮演重要的角色,至於最終風險接納(risk acceptance)多少取決於企業事先確認的風險偏好(risk appetite)。
風險偏好是組織或投資者為追求其認 為有價值的目標而願意承擔的風險大小。 由於組織意識到無法消除運營中的 所有風險,實現業務目標必需接受一部風險,同時減輕、避免或轉移其他風險。ERM 計畫面臨的任務是確定哪些風險符合組織的風險偏好,哪些風險需要額外的控制才能被接受。
風險偏好是董事會做好風險監督的基石,因此董事會與管理層必須深入討論,明確決定風險偏好,為風險活動設計警戒線才能做風險監督。
以下是董事會與管理層討論風險偏好的六個必要問題:
1. 企業價值觀:我們不接受哪些風險?
2. 策略:我們需要接受哪些風險?
3. 利害關係人:利害關係人願意承擔什麼風險到何種程度?
4. 能力(capability):管理這些風險需要哪些資源?
5. 財務:我們是否能夠充分量化風險管理的有效性,充分調配在風險控制方面的支出?
6. 衡量:我們能否衡量和編制報告,以「確保適當的監督趨勢分析與報告溝通」正在進行中?
企業風險管理的意識正在各地蓬勃發展,因為許多企業終於意識到,過去他們沒有盡其所能地管理風險,並且企業風險管理也越來越被組織視為競爭優勢的一環。不過,剛接觸這項流程的公司必須要有耐心,實務風險專家指出創建企業風險管理計畫需要時間大約兩三年。
當前企業最關注的可能是面對 AI 浪潮以及 Machine Learning,董事會及公司高層應該如何把握莫大的商機,同時得以事先預防潛在風險,《美國董事協會2023 網路風險監督手冊》16 針對管控 AI 與 Machine Learning 風險,提供董事會 15 個問題參考,希望台灣的董事會成員從中可以得到未來世界的風險洞悉(risk insight)。
16 Director's Handbook on Cyber-risk Oversight (2023), NACD. & Internet Security Alliance.
董事會在思考全面使用 AI / ML 時 的基本問題:
1. 公司或組織採用該系統的目標是什麼?
2. 有責任地建立或部署該 AI 或 ML 應用程序的計劃是什麼?
3. 公司正在使用哪種類型的系統:流程自動化、認知洞察、認知參與,還是其他類型?董事會和管理層是否了解該系統的工作原理?
4. 所選系統的經濟效益如何?
5. 不實施該系統的估計成本是多少?
6. 是否有可能替代有關的 AI 或 ML 系統?
7. 根據技術特性,對手對系統發動攻擊的難度如何?
8. 針對驗證「數據集」(data set)蒐集方法,組織的策略是什麼?
9. 公司將如何防止「數據集」中可能存在的不準確性(inaccuracies)?
10. 從攻擊的可能性和後果來看,系統受到攻擊會造成什麼損害?
11. 公 司 檢 視 和 更 新 數 據 政 策(data policies)有多頻繁?
12. 對於涉及這些系統的網絡攻擊,組織的應變計劃是什麼?
13. 公司稽核 AI 系統的計劃是什麼?
14. 公司是否應該建立一個新團隊來稽核AI 或 ML 系統?
15. 公司是否應該為員工制定教育計劃,讓他們學習了解 AI 和 ML 的運用與風險?
.jpg)
.jpg)
