数字化时代,网络安全已成为全球关注的焦点。安永(中国)企业咨询有限公司合伙人张楠驰近期在做客《中上协·经济观察》时,对于美国证监会SEC网络安全新规分享了自己的观点,并为准备赴美上市的中国企业提供了建议。
张楠驰首先解释了SEC新规对企业提出的两项新披露义务。第一项是年度披露义务,要求企业在10-K表中增加网络安全部分,披露网络安全风险治理策略和整体风险管理情况。这包括企业是否将网络安全纳入整体风险管理框架,以及管理层和董事会对网络安全的参与程度。她指出,这一变化将网络安全管理从高管的自发行为转变为强制性义务。
张楠驰提到,SEC新规的实施意味着企业需要在内部建立一致性的语言,确保管理层和IT运维人员对重大网络安全事件有共同的理解。企业需要建立决策和评估流程框架,以便在发生重大网络安全事件时,能够及时、准确地披露相关信息。
对于准备赴美上市的中国公司,张楠驰建议,虽然SEC的披露要求与美国上市公司相似,但由于披露表格和前提条件的差异,中概股公司需要特别注意。她强调,企业应将网络安全风险管理纳入整体内控和风险治理流程中,以便在披露报告中向投资者展示企业对网络安全的重视。
对于已在美国上市的中国公司,张楠驰提醒,SEC的重大网络安全事件披露要求与国内的分类分级不同,更多强调对企业财务和运营的影响。她建议企业在定量和定性两个层面进行判断,确保不遗漏任何可能对投资者决策产生重大影响的事件。
张楠驰还讨论了企业在技术层面的准备。她建议企业建立事件报告链,确保从一线人员到管理层的信息流通,以及时识别和上报潜在的重大网络安全事件。此外,她还强调了审计委员会和董事会在最终判断是否披露事件中的关键作用。
最后,张楠驰总结道,SEC新规为企业带来了挑战,企业需要衡量现有的网络安全风险管理框架是否足够充分。她希望安永能够与企业共同探讨解决方案,帮助企业在SEC披露的道路上护航,为投资者提供更充分的网络安全信息。