证券交易委员会(SEC)在2023年7月通过了一系列新规,要求上市公司披露重大网络安全事件、气候风险管理策略以及董事会对这两者的监督机制。这些规定在精神上并不新颖,但在深度上有了前所未有的变化:首次,监管机构不仅询问发生了什么,还在乎董事会如何组织以防止此类事件的发生。
这不是一次行政更新,而是对公司治理语法的深刻变革。
从自愿披露到强制登记
多年来,非财务风险的披露被视为披露治理的公关秀。企业在没人严格审核的可持续发展报告中披露其网络安全政策,而董事会则可以自夸“战略性监督”,没有正式验证机制使得这一切变得无效。SEC已弥补了这一空白。
新的监管框架遵循一种被企业律师称为披露或解释的逻辑:要么披露实践,要么公开解释为什么不进行披露。理论上,任何企业可以选择解释路线,然而在实践中,这将可能受到投票顾问公司如ISS或Glass Lewis的监督,这些公司会因为缺少正式控制而建议反对某些董事的选举。这导致了一种市场压力,成为某种隐性使命。
网络安全规范——被纳入S-K条规106项,要求公司描述其识别和管理重大风险的流程,对业务可能产生的影响,以及董事会在监督网络威胁中的角色。仅仅拥有一个后期审查事件的审计委员会是不够的,监管机构希望了解董事会准备迎接这些威胁的情况。
与此同时,气候披露规则设定了分阶段的时间表:市值较大的公司(大加速申报者)需在2025年开始披露财务风险,并于2026年进行温室气体排放披露。中型公司则分别安排在2026年和2028年。这个时间表并不宽松:对于许多企业来说,构建满足这些要求所需的数据基础设施需要18到36个月。
压力直接作用于董事会构成
这里有一个大多数关于这一主题的分析中忽视的要点:新规不仅改变了报告内容,更加深了谁必须坐在桌子上以便能够可信地进行报告。
若董事会完全由传统财务与运营专业人才组成,那么就没有能力按照SEC当前要求的详细程度来监督网络安全策略。同样,对于气候风险来说,不懂得范围1、2和3排放差异的董事同样无法稳妥地证明企业在监管方面的风险管理。
这导致对技术专才的董事需求加速增加:前信息安全主管(CISOs)、能源基础设施专家、具有工业脱碳经验的工程师。问题是,这一人才市场窄且成本高昂。招募具备网络安全或气候风险真实资质的董事,将涉及显著的机会成本,无论是薪酬还是将其纳入董事会运作所需的时间。
试图通过加速培训其现有董事来解决此问题的公司,赌注在于浅层知识满足监管标准。这一举措在新规下可能无法抗住首个材料事件。
改革还对委员会结构施加了压力。历史上,审计委员会几乎涵盖所有风险问题。而如今,许多董事会正建立专门的网络安全和可持续发展委员会,这无疑增加了独立董事的负担,抬高了董事会的运作成本。根据法律行业的预测,对于年收入低于5亿美元的公司,结构成本可能占其管理和行政费用的0.3%至0.8%。
混淆合规与战略的代价
我观察到的最大的操作风险是企业在回应这些规则时混淆了填写表格与管理风险。两个目标并不相同,优化其中一个可能会损害另一个。
一家企业如果仅为符合106项规定而搭建网络安全披露,而未改进其内部风险管理流程,那么它相当于创建了一个主要的法律责任:如果发生泄露,监管机构将会掌握一份公司宣称拥有强大控制能力的文件。这种失控造成的声誉和法律损害会因声明与实际情况之间的差距而乘数增长。
气候风险也是如此。没有可信管理计划的排放披露实际上会更昂贵,因为这样的一种做法将监管风险转变为诉讼风险。拥有ESG任务的机构投资者们已经开始利用气候披露为那些批准与其公开声明不一致的战略的董事构建对信托责任的失职指控。
SEC主席加里·根斯勒清晰地阐述了监管机构的目标:要求披露“持续、一致且对决策有用”。这种技术语言对董事会有直接的含义:标准不是提供更多披露,而是提供足够准确的披露,以使外部投资者能够独立评估风险。当前普遍存在的模板式披露无法满足这一标准。
将董事会视为战略资产,而非合规结构
在这一环境中,表现较好的企业是那些将新要求视为重新校准董事会架构的机会,而非那些雇外部律师事务所撰写最低限度披露的企业。
这需要具体决策:映射现董事会的技术竞争能力缺口,设计一套更新的董事纳入标准,构建一个能够提供董事会定期监督网络安全和气候风险所需数据的内部报告机制,而不只是年度披露。向SEC的披露流程应当是该系统的最后一步,而非第一步。
在合规截止日期逼近之前投资于这种治理基础设施的公司,将获得结构性优势:其董事会将更好地装备以在风险成为重大问题之前识别这些风险,从而降低与潜在事件、响应和声誉损害相关的诉讼费用。而SEC的监管框架,尽管其实施过程中存在诸多摩擦,正在加速区分以数据治理与以文件治理为主的公司。
