视角
网络安全和持续的环境威胁
共同基金董事的职责
共同基金董事必须采取行动应对网络犯罪数量和复杂程度不断上升的局面。此外,不断变化的监管环境加剧了网络安全监督方面的挑战。在这种情况下,基金公司必须尽力保护业务免受网络攻击带来的财务、品牌和监管影响。在这份德勤与共同基金董事论坛联合发布的报告中,概述了董事会成员应如何将网络安全监督纳入机构整体的风险监管工作。
发布日期:2022年10月26日
基金公司董事会的职责
网络安全问题正在迅速发展并且有时会表现出较高的技术复杂性,董事们需要:
- 了解网络安全主要威胁的一般性特征;
- 就如何减轻和管理网络安全风险与管理层展开对话;
- 了解如何识别网络风险和数据安全事件以及制定了哪些响应机制;
- 了解可能影响基金和网络安全计划监督的关键网络安全风险点。
实施有效的网络安全监督和治理计划对于管理网络风险和环境威胁至关重要。
共同基金面临的威胁日益增加
随着共同基金愈发依赖技术来开展运营,其所面临的网络威胁急剧增加。例如,使用数字应用程序的销售渠道可能会遭受更多的分布式拒绝服务(DDoS)攻击和客户数据窃取事件。勒索软件和数据窃取风险(包括客户数据和知识产权)在各类机构中普遍存在。这些威胁涉及以下方面:
- 前台运营(包括投资策略、特定交易算法、智能投顾和投资组合管理);
- 中台运营(包括合规报告、支付与结算和风险模型);
- 后台运营(包括基金会计、报告、人力资源、财务、营销)。
欺诈是另一种重大网络风险,可能由外部人员或恶意内部人员引发。例如,结算和财务系统以及财务部门使用的数据传输协议(包括SWIFT和FIX系统)可能遭到不当或不受监控的访问。
在未制定相关控制措施的情况下,增加机器人流程自动化(RPA)、人工智能(AI)和机器学习(ML)技术的使用可能会进一步暴露公司的网络安全漏洞。此外,将业务外包给第三方、与数字化转型工作相关的云服务提供商以及新冠疫情催生的远程办公模式也将扩大恶意行为者的攻击面。
制定可持续的网络安全计划
基金董事不负责制定或监督网络安全计划,而是负责监督管理层和投资顾问开展的相关工作。尽管如此,董事会仍应保持警惕并就网络安全计划提出关键问题。
投资顾问和其他主要服务提供商可以根据各种框架制定网络安全计划。虽然深入了解此等计划不属于董事的职责范围,但是可以帮助董事会履行监督职责并确定关键问题。
国际注册专业会计师协会(AICPA, The Association of International Certified Professional Accountants)提出的框架可以帮助基金公司预防、检测和缓解网络安全事件,也可以为董事会履行监督职责和了解相关信息提供指导。该框架包括以下五个步骤:
- 确定需要保护的对象;
- 评估并划分职责;
- 建立风险管理流程;
- 采取应对措施;
- 不断总结经验。
网络安全新兴领域
受市场需求和新冠疫情影响,大多数投资顾问和共同基金管理公司正在开展广泛而深刻的业务和数字化转型。董事会应了解转型工作的潜在网络安全影响以及投资顾问和主要服务提供商管理相关风险的方式。一些关键转型工作的网络安全影响有:
- 自动化的便利性是否会带来更大风险?
- 云服务的安全性如何?
- 远程工作带来虚拟环境风险
总结
与其他监督角色一样,董事有权针对网络安全相关问题作出商业判断。为此,董事会应当掌握适当的信息,并且根据机构所面临的风险提出适当的问题。为了提高董事会会议效率,高级管理层、技术主管和董事须就这些复杂的技术问题如何影响投资顾问、基金管理主体和第三方服务提供商的关键业务风险,如何识别这类问题以及围绕问题事件升级、沟通和报告机制等相关公司治理事项达成共识。