全方位、全流程、一站式企业境外上市辅导服务机构

行业动态

美国SEC消息丨SEC启动强化上市公司网络安全审查,这些应对措施帮助公司防范风险

发布日期:2021-09-09 11:45:45

【宏业金融上市政策指引】2021年6月11日,美国证券交易委员会(SEC)信息和监管事务办公室发布了2021年春季监管和放松监管行动统一议程。SEC的规则制定清单中包括与网络安全风险相关的披露规则。SEC表示,在考虑建议委员会提出规则修正案,以加强发行人在网络安全风险治理方面的披露,并将“信息安全和操作弹性”确定为2021年的审查重点之一。拟议规则制定通知预计将于2021年10月发布。


src=http___img.mp.itc.cn_upload_20170607_80d4c395c18549979cfdc0d1c04e0e29_th.jpg&refer=http___img.mp.itc.jpg


SEC表示,它现在将网络漏洞视为一种生存性商业风险,并在今年年中,对两家来自英国的公司-Pearson PLC和First American Financial Corp,因为网络安全问题披露不充分作出了大金额罚款处罚。


其中英国出版公司Pearson PLC因数百万学生信息记录被盗数据泄露罚款100万美元,英国房地产服务公司First American Financial Corp因公司系统漏洞导致8亿个图像文件泄露罚款50万美元。

 

对此,SEC发出警告,企业必须在SEC文件中正确披露“风险因素”,以告知投资大众他们购买的股票可能带来的风险。这些风险包括竞争威胁、自然灾害、供应链问题、经济衰退、政治事件、公共卫生问题、贸易战和网络安全事件。披露详细说明了投资者面临的操作风险威胁,并详细说明了它们对公司关键业务运营、收入、市场份额和声誉的潜在影响。


虽然公司必须对如何向监管机构披露信息保持适当的控制。虽然从历史上看,美国证券交易委员会对遭受网络攻击的公司几乎没有监管影响,但从英国公司被罚款事件后表明,这种状况正在改变,SEC对充分的信息披露监管将变得更加“强势”

 

事实上,SEC也一直在加大网络安全的警告力度,将其视为一个严重问题。在2011年,SEC表示说显著网络安全相关的风险和事件需要披露;2018,其更新指导,援引网络安全事件的“正在进行的风险和威胁到我们的资本市场”。

 

SEC的上述动作反映了目前的世界状况。就像自然灾害和半导体等组件的供应链短缺一样,网络安全漏洞最终会损害公司的财务状况和股价。除了网络攻击的补救成本和客户、收入和声誉损失之外,还可能出现股东诉讼、客户诉讼、保险费增加以及外部审计师和董事会加强审查成本。也会产生间接后果,例如网络攻击可能会分散管理人员的注意力,导致新问题等。

 

那么作为上市公司,或者拟上市公司,可以采取哪些动作来确保他们不会遭受被SEC处罚的命运呢?对此, 宏业金融IPO辅导专家表示,企业领导者可以采取五个步骤来应对这种转变:

 

1. 成立一个由董事和高级董事级员工组成的披露委员会。


该委员会应每季度进行一次调查,以确保公司了解财务、法律、运营和网络安全领域的任何重大异常情况,这些异常情况应向高级管理人员、董事会、外部会计师以及可能向SEC披露。

 

这种尽职调查流程为CEO和CFO每次提交10Q和10K时向SEC做出的证明提供支持,旨在确保CEO和CFO拥有他们需要的信息,以避免任何潜在的与披露相关的责任。委员会应该有一位信息安全负责人作为成员,或者在每次会议前咨询信息安全负责人。

 

2. 不要等太久才披露。


适当的管理层成员、高级管理人员、首席执行官和董事会需要及时了解网络安全风险、事件及其业务影响——如果需要公开披露,则应及时进行。

 

3. 通过建立资产可见性来了解您的风险。


使用漏洞管理IT工具评估整个企业和IT环境,通过清点来确定环境中的资产、它们对业务运营的重要性及其总体暴露程度。这将帮助安全团队根据业务风险确定需要立即关注的问题的优先级,例如对关键系统应用补丁。

 

4. 定期对公司的网络安全系统和所有已知和潜在的内部和外部威胁进行取证评估。


一旦安全负责人分析了结果并提出建议,与最高管理层分享总结,以便他们定期了解风险级别。

 

5. 在了解事件的全部范围之前,准备好披露网络安全问题,例如漏洞、漏洞和其他网络事件。

 

随着细节变得更加清晰,财务后果被量化,以及其他影响的出现,更新披露。仔细确定事件对公司的影响,以及如何对运营和财务产生不利影响,并准备好在高级管理层和董事会获悉的确切时间进行披露。

 

展望未来,作为专业的境外上市辅导机构,宏业金融将特别关注和保障正在准备IPO的公司如何处理网络安全问题的披露。美国拜登政府一直宣扬要提高网络安全的透明度,并将网络安全防御列为美国国家安全的重中之重。宏业金融IPO辅导专家提醒,作为中概股公司,一旦出现因为网络安全问题损害了美国投资者的利益问题,难免会遭到拜登政府及SEC的相关处罚,甚至司法风险。

 

当然,从另一位角度而言,美国监管机构希望通过网络攻击和其他可能产生重大财务后果的事件以提高上市公司透明度,这对公司和整个行业来说都是一件好事。公司对其网络风险的可见性越高,他们就越能有效地解决它。有了正确的披露控制和最佳风险管理实践,公司不仅能够遵守SEC规定,还能更好地了解风险并防止未来的伤害。这也意味着投资者的风险更低,市场更健康。(完)


*消息来源于哈佛商业出版社网站和美国国家法律评论网站。



特此声明:宏业金融内容团队原创文章,欢迎非商业性分享和转载,但请注明出处;否则,将追究相应责任。文章中部分数据、资料及配图来源于媒体公开报道及网络,侵删!



上一篇:SPAC重磅丨美国证券交易委员会咨询小组批准的更严格的SPAC披露规则
下一篇:宏业金融IPO商学院丨公司准备IPO的六步简要指南