企业安全投资越多，营收回报越高

根据Diligent和Bitsight的一份报告，一家公司的成功和他们在安全措施上强有力的投入密切相关；而在股东回报方面，具备强力安全措施的公司要优于水平相对较低的同行，超出率高达372%。

该报告分析了来自全球4000多家公司的数据，发现近三年，安全评级较高的公司，平均股东回报率为67%；而只有基本安全评级的公司，这一数据为14%。此外，五年内，在安全建设方面表现最佳的公司，平均股东总回报率为71%；表现最差的公司，只有37%。

该报告的作者表示：“一些网络安全评分较高的公司往往是高增长行业，如科技等，这些公司在过去几年中的财务表现非常强劲。此外，其业务上的成功可能源于这样一个事实——安全绩效处于领先地位的公司，意味着他们拥有稳健的治理基础。”

虽然将良好的网络安全与财务业绩直接联系起来可能有些牵强，但检测和响应公司Ontinue的CISO Gareth Linder-Wise表示：“我们知道，保险业正努力将精算数据整合起来。毫无疑问的是，从声誉方面来看，企业的确可以从高水平的网络安全表现中获得一定的优势。”

风险和审计委员会的重要性

报告发现，拥有风险或审计委员会的公司能表现出更稳健的网络安全态势。报告的评级系统对每家公司的网络安全进行了评分，范围是250-900。其中，设有专门风险委员会的公司，中位数为730分；而设有审计委员会的公司，中位数为720分。

报告强调，网络安全专家在这些委员会中的直接参与是一个关键因素。在审计委员会或专门风险委员会中设有网络安全专家的公司，其安全性能的平均分为700，明显高于那些安全专家欠缺的公司，而后者的平均分为580。

此外报告还显示，监管较为严格的行业评分表现要优于其他行业。医疗保健行业的平均安全评分为730，位居首位；安全评分较高的企业中，有33%来自金融服务行业，平均720分；而安全评分较低的企业中，有24%来自工业领域。报告指出，通信行业的整体安全评分最低，为630分。

网络安全公司Bugcrowd的首席执行官Dave Gerry表示，受到高度监管的公司往往能更快地采用网络安全计划和最佳实践，因为他们已经习惯于严格的管理模式。“遵守各种监管要求已成为了他们的企业文化，所以对这些公司来说，增加网络安全要求，只是冰山一角。”

更多的董事会参与意味着更多的内部审查

Dave表示，拥有审计委员会的公司通常在网络安全方面会有更好的表现，因为他们会按照计划进行内部审查。“审计和风险委员会更了解组织所面临的实际风险，并会根据这些风险制定补救计划。”

而Keeper Security安全与架构副总裁Patrick Tiquet表示，拥有强大网络安全措施的公司，不仅会采取具体措施保护公司的系统和敏感数据，而且他们还具备了下一代解决方案，以简化运营，提高员工效率。比如，他们所拥有的数字密码管理器可以自动填充密码，并通过“大幅降低密码重置请求的数量”来降低成本；再比如，通过常规任务的自动化，组织可以释放宝贵的资源，再将这些资源用于其业务和战略。

对比国内

报告数据虽然能证明相关的趋势和现象，但由于国情不同，就“组织是否需要具备风险或审计委员会”这样的问题而言，国内安全专家的口径几乎一致：他们认为，这要取决于企业的具体规模、业务性质、治理结构，以及所面临的网络安全风险程度。

有安全专家表示：“随着网络技术的快速发展，网络安全问题日益突出，企业面临着来自各方面的网络威胁，如数据泄露、黑客攻击、网络钓鱼等。这些威胁可能导致企业遭受重大经济损失，甚至影响其声誉和长期发展。因此，对于网络安全风险的管理和控制成为企业不可忽视的重要任务。而风险或审计委员会作为企业内部的一个专门机构，可负责对网络安全进行全面、系统、独立的审计和评估。所以从环境、背景而言，确实有必要设立。”

也有安全专家指出，对于大型企业或涉及重要数据和信息的企业来说，设立风险或审计委员会尤为重要。这些企业通常拥有大量的客户数据、交易信息以及商业秘密，一旦遭受网络攻击或数据泄露，后果将不堪设想。风险或审计委员会可以定期对企业的网络安全状况进行检查和评估，及时发现并解决潜在的安全隐患，确保企业的信息安全。

“同时，委员会还能监督企业网络安全管理体系的建设和运行情况，检查网络安全政策和程序的执行情况，评估网络安全风险并提出改进建议等。通过设立风险或审计委员会，企业可以更加有效地管理和控制网络安全风险，确保网络系统的安全稳定运行。”

然而，虽然风险或审计委员会对组织有着重大的影响，但对于规模较小、业务相对简单的企业来说，设立专门的委员会可能成本较高且不太现实。因此，有安全专家就表示，这些企业可以通过加强员工网络安全培训、定期更新安全策略等方式来提升网络安全水平。“无论是否需要设立专门的审计委员会，企业都应重视网络安全问题，加强网络安全管理和控制，确保企业的网络安全和稳定发展。”

从董事会开始

现阶段，笔者认为国内的企业可以先尝试让董事会关注安全。NightDragon和Diligent的一项研究显示，标普500的企业中，88%的董事会里没有网络安全专家的身影。而《华尔街日报专业研究》2022年的一项分析显示，在4621名C级高管中，只有86人具备网络安全方面的经验。

报告对此总结：董事会安全经验的欠缺会影响他们在商业和技术决策方面的正确性。相关研究人员Ackerman对此表示：“我们需要在董事会里培养出更好的网络安全专家，因为网络与企业的系统性风险息息相关。同时我们也需要知道，技术是网络安全风险的基础，董事在做出其他商业决策时，需要有足够的理解力来思考网络风险。”

想来，安全先进程度较为领先的美国都在“懂”事方面有所欠缺，更何况我们？因此，对我们而言，让董事会重视起安全实践也不失为一种“弯道超车”。不久前，美国证券交易委员会就提出了新规则，要求美国上市公司的董事会成员具备网络安全专业知识披露能力。既然如此，我们为什么不能与之对标呢？

国内安全专家对此表示，董事会应该在风险和网络专业知识方面寻找合适的人才，并与企业的风险状况相适应。比如某人才具备将‘网络和一般企业风险管理知识带入董事会讨论’的能力，再比如某人才是一家大型金融组织的首席信息官，他不仅具备网络安全能力，还拥有一套自己的技术体系。这些都是极具价值的高级人才，是董事会成员的主要人选。其他还有数字商业经验等，也都是当下非常重要的综合素质。

而某科技公司安全专家张鲁也曾表示，网络安全知识对董事会而言非常重要。董事会在企业里有着最高决策权，他们同时也承担着风险管理责任，但实际上后者经常被忽略。很多关键决策在一开始得不到合理的风险评估，因而缺乏必要的安全布局，导致在执行阶段要经受来自内外部各方的巨大压力，解决不善就将面临业务中断、监管问责、资损誉损、丧失投资者信任等严重后果。

同时，相较于董事会被动接受网络安全知识而言，能有一位具备网络安全背景的董事会成员参与其中，可以带来更多的操作性。此外，人教人百次无用，事教人一次入心，因此张鲁建议，可在企业内部安排一次可控的实战测试，这或许能收获明显效果。

当然，对于国外所提倡的各种形势，无论是引起董事会关注，还是设立风险或审计委员会，等级保护资深专家毕马宁指出，“水到渠成”四字就可总结。“只有对网络安全达到了一定的认知，才会有相应的改变和措施。岗位的设立、知识的增加，从来都是‘因事设人’的，没到一定的成熟度，即使设立了岗位，也是在跟风，并没有什么实际作用。所以我才说，普及安全知识不如先筑牢安全意识，只有安全意识上升了，整体环境才会更加重视安全，安全在董事会中才会有更多的话语权。”

国内安全专家的建议

对于国外所提倡的这一说法，国内安全专家如此解读。

某支付企业安全经理沈勇表示，众所周知，安全有利于企业，能让企业稳定地满足投资人的预期。从ROI角度分析，量化安全投资的投资回报率是一件很困难的事情，其中一个原因是该如何量化安全保护的对象的价值，包括系统、应用、业务流程、数据、商誉等。

“其二是如何判断危害事件发生的可能性。跳出ROI的范围。我们换一个角度。可以把安全投资当作是我为控制自身面临风险而做的一种应对措施（当然我们可以不评估，或全部接受，从而不做任何安全投资）。其中，保险公司乐意承保一部分风险，我们就可以自行解决或找保险公司；对于保险公司不愿承保或要价过高的，我们若要控制，则需自行投资来控制。而从这个角度来看，安全投资回报就是组织面临风险时，能否有效识别和控制在预期水平的一种体现。”

而九方智投副总经理张福明指出，优秀的企业网络安全实践有助于降低遭受攻击引发的经济损失，减少法律风险及品牌损害，并有利于满足日趋严格的监管要求。这既能增强客户信任、确保业务连续性，又可转化成竞争优势，从而维持收入增长和股东价值。因此，将网络安全作为战略性投资，而非纯粹的成本支出，对于在数字化时代稳健发展、提升股东回报至关重要。企业需系统化地规划与执行网络安全策略，以确保投资效果最大化。

其次，在设立风险或审计委员会方面，张福明表示：“设立风险或审计委员会时，应明确其职责、确保成员具备相关专业知识和独立性，定期召开会议审查内部控制和风险管理，并与外部审计师合作。委员会需关注信息技术安全，监督内部审计工作，并进行持续的风险评估与应对。同时，应保持工作透明度，及时向董事会和管理层报告发现的问题，以提升企业治理和风险管理效率。”

某金融企业安全专家李泽帮对于“网络安全投资能带来更好的股东回报”有此看法：

1、关注网络安全建设的公司很“强大”。网络安全建设其实是企业实力的体现，具有充分财务实力的公司往往更加重视网络安全。强健的业务营收是基石，风险管理是收益可靠的有效保障，两者相辅相成，缺一不可。有些公司甚至没有预算、计划去规划网络安全。这不仅可能是企业的战略缺乏远瞻，风险管理的建设进度迟滞，也可能是业务模式的信息化发展得不够全面，不具备创新能力……故而企业缺少网络安全的建设，有可能是来自营收困难的窘迫，会成为阻碍投资的一个利空信号。

2、能建设网络安全的公司很“强壮”。此外，网络安全的建设也是评估企业组织架构健全性的一个重要维度。随着企业战略的不断演进和IT绩效的提升，明确的职责分离和高效的组织协作对于提高商业价值至关重要。一个拥有成熟IT部门和明确安全政策的公司，其组织架构的可靠性往往更高，这也是企业运作效率的有力证明。

3、企业建设网络安全时，业务发展很“强势”。网络安全建设还反映了企业业务的发展方向和重要性。随着业务的扩展和技术的进步，企业面临的网络威胁和漏洞也随之增加。投资者在评估企业前景时，可以将网络安全建设的情况作为分析的重要依据，从而了解企业的重点业务方向。例如，一个正在扩展规模的电商企业，对云安全的投资不仅显示了其业务扩张的决心，也为投资者提供了积极的投资回报信号。

“综上，网络安全建设过去总被视为一项‘纯支出’，如今已经开始作为衡量企业财务业绩和投资潜力的关键指标。虽然直接量化安全投资回报率（RoSI）可能存在挑战，但这并不意味着它是不可能实现的。随着企业对网络安全重视程度的提高，投资者和企业管理层都应认识到，网络安全建设是推动企业可持续发展和增强竞争力的重要投资。”

而对于风险或审计委员会的设立，李泽帮如此建议：

1、成员组成：委员会应由具备战略眼光的董事会成员组成，这有助于将风险分析与企业战略紧密结合。高管层的参与不仅能够减少信息传递的层级，还能确保决策的执行力度。若条件允许，引入外部专家参与委员会工作，可以进一步提升审计工作的独立性和专业性。

2、独立客观：为确保审计工作的独立性，委员会成员应避免参与企业的日常运营活动，特别是与系统建设和功能实现相关的工作。如果必须由企业内部人员担任委员，应在每次审计活动前，排除可能影响独立性的成员，确保审计活动的客观性。

3、专业能力：委员会中至少应有一名成员具备会计、审计或财务管理等相关领域的专业知识。此外，委员会成员应定期接受专业培训，或取得相关认证，以提高其在法律、会计、合规监管以及IT治理等方面的专业能力。

4、监管导向：审计工作应结合行业监管要求和最佳实践，参考行业协会和组织的指导性文件，关注监管动态和处罚案例，保持对行业发展趋势的敏感性，并定期更新审计重点，确保审计工作与行业发展同步。

5、绩效考核：建立一套绩效考核机制，对风险管理和审计报告的质量进行持续监控和评估。审计工作应能够有效推动业务与技术的协同发展，及时发现问题并提出有效的改进建议。可以采用如平衡计分卡（BSC）等工具来辅助完成绩效考核，确保审计活动对企业的整体发展产生积极影响。

原文地址：

https://www.csoonline.com/article/2075262/report-suggests-cybersecurity-investment-board-involvement-linked-to-better-shareholder-returns.html