國際風向標：將網絡安全納入公司管理層薪酬考核指標

公司遭破壞性黑客攻擊后，部分高管會被扣減獎金。

9月5日消息，一些公司開始將首席執行官和其他高層領導的獎金與網絡安全指標掛鉤。治理專家表示，這一舉措可能使公司更安全地抵御黑客攻擊。

這一做法在美國大公司中逐漸普及。會計和咨詢公司安永的最新研究顯示，2022年財富100強公司中，有9家將特定高管的部分短期獎金與網絡安全目標相關聯。安永表示，2018年還沒有公司采取上述措施。

美國知名代理咨詢公司機構股東服務（ISS）的數據部門ISS ESG發現，去年全球超過15000家上市公司中，有86家采取了這種做法，包括美國制藥公司強生、倫敦證券交易所和英國Paragon銀行集團。

ISS公司高級網絡安全中心執行主席William Guenther表示，網絡安全通常由技術和安全部門負責。但是他認為，網絡安全目標應該提升到更高層面，并與高級高管的薪酬計劃掛鉤，這有助于將安全因素納入公司戰略決策。他補充道：“這雖然是一小步，卻是非常重要的一小步。”

已有企業開始實踐，

考核指標設定具有挑戰性

2017年，信用評級機構艾可飛（Equifax）發生大規模數據泄露事件，引發了總額達14億美元的消費者訴訟。此外，事件造成的與各州和解費用、技術費用總計超過10億美元。

從那時起，艾可飛就將部分高管獎金與網絡安全目標掛鉤。2018年，艾可飛制定了一項多年計劃，以解決導致數據泄露的問題。如果未能實現網絡安全指標，高管的短期現金獎金將有縮水的風險。

艾可飛董事會已將安全納入環境、社會和企業治理目標，據此確定每年高管獎金和合格員工的年度激勵計劃獎金。根據艾可飛的最新代理聲明，員工必須達到網絡安全部門設置的一項或多項與其職務相關的安全目標。

像艾可飛一樣，許多公司不在公開文件中詳細說明他們的網絡安全指標。但是，也有一些公司會這樣做。2022年各公司的代理文件列出了一些指標，如提高特定網絡安全準備措施的得分、制定三年網絡安全計劃。

安永美洲審計委員會論壇領導Patrick Niemann表示，盡管這樣做的公司數量不多，但這些披露顯示董事會越來越關注網絡安全。

盡管如此，Patrick Niemann認為，確定與薪酬掛鉤的網絡安全目標仍然具有挑戰性。他說，并不是說某一年沒有遭受黑客攻擊就能獲得獎金，遭受黑客攻擊就會失去獎金，事情沒有這樣簡單。相關指標正在不斷演化。他說：“他們正在嘗試各種方法。我們只能看出一點，幾乎所有董事會都將網絡安全視為優先級最高的事項。”

企業推行懲罰性指標，

難以推動長效變革

有時，網絡安全和獎金之間的關聯更多地以懲罰而非獎勵的形式存在。

澳大利亞健康保險巨頭Medibank私人保險公司從未將具體網絡安全目標與高管薪酬掛鉤。然而，2022年，公司遭遇網絡攻擊，損失超過4600萬美元。 

這次攻擊暴露了近1000萬人的個人數據，其中包括一些病歷數據。因此，Medibank董事會于上周取消了首席執行官、首席財務官和其他兩名高層領導的短期獎金。這些高管共計失去了360萬美元獎金。

Medibank董事們在2023年年度報告中寫道，“考慮到我們客戶、股東和社區的期望，董事會行使了自由裁量權。”

Medibank發言人說，“網絡犯罪事件發生時，我們的董事長曾表示，會有承擔后果的時候。大家可以在我們上周發布的公告中看到這些后果是什么。這是一起嚴重的事件，必然會帶來嚴重的后果。”

高級網絡安全中心執行主席William Guenther表示，公司應該提前明確他們對高管的期望。他說，網絡攻擊后的采取懲罰措施，很難帶來持續變革。制定指標需要得到支持，“否則會毫無意義。”