內外在環境改變之影響

回顧過去十年，新興科技之崛起及跨領域之資訊科技整合及應用，成為銳不可擋的趨勢。緊接著Covid-19，除了定調遠距辦公之工作模式，也催化資訊科技之蓬勃發展－數位支付與物聯網、Big Data、AI等先進IT技術的快速發展，也讓我們認知不論是工作與生活，都離不開資訊科技之影響。然而這幾年層出不窮之資安事件，也讓企業或主管機關開始意識到，若未妥善管理資訊科技相關之風險，將對企業造成災難性之影響。如南韓Kakao集團數據中心因慘遭祝融，旗下包括通訊軟體、電子支付、叫車平台在內等多項功能服務中斷，讓民眾生活陷入一片混亂，且系統遲至五天後才恢復大部分功能。除執行長下台負責外，事件發生後，隔週一股價暴跌，市值蒸發2兆韓元（約13.9億美元）。而宏碁做為PC大廠，近兩年遭遇多次駭客入侵事件，其中一次屬於勒索病毒攻擊，被要求支付5,000萬美元（約台幣15.4 億美元），才能贖回運營數據。

主管機關之態度與監管力道

從臺灣證券交易所最近修訂「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」之內容，可以確定的是，現行瞭解資安事件之評估，已無法像過去僅限於對資訊環境之影響。主管機關認為一旦發生重大資安事件，公司營運必然有發生損失之可能，因此須發布重大訊息，以保障投資人權益。而從這兩年發布之法令或指引，也可觀察到主管機關對於此議題之重視，如「公開發行公司建立內部控制制度處理準則」第九條之一，內部控制制度除涵蓋所有營運活動外，應提升對資訊安全之重視，訂定相關控制作業；進一步發布「上市上櫃公司資通安全管控指引」，以做為強化資通安全防護及管理機制之參考。此外，也將資通安全管理納入公司治理評鑑指標，將資通安全定義為「治理」議題，董事會須瞭解及掌握其相應之風險，以指引企業內部建立資通安全之風險管理機制，以確保營運目標及策略有效執行。

今年在不確定性及挑戰性之總體經濟環境下，上述影響仍在繼續發酵。疫情的影響和地緣政治變化，驅使企業之商業模式變得更加靈活和創新；而隨著時空環境變遷演進，主管機關加大監管力道，並明確法令遵循之要求。內部稽核應如何扮演其被賦予之角色，透過全方位商業視角，檢視企業可能之漏洞或是鬆脫的螺絲，以風險角度出發，守住最後關口，降低企業蒙受損失之可能性。

(資料來源：勤業眾信風險諮詢服務/ 吳志洋執行副總經理、許懷文協理

https://www2.deloitte.com/tw/tc/pages/risk/articles/internal-audit-new-wave-of-technology.html)