EY安永是指 Ernst & Young Global Limited 的全球組織,也可指其中一個或多個成員機構,各成員機構都是獨立的法人個體。Ernst & Young Global Limited 是英國一家擔保有限公司,並不向客戶提供服務。
現今新興科技及AI當道的時代下,步調加劇的數位轉型競爭突顯出了一個現象,也就是越來越多的企業開始走向專業分工,逐步將有限的資源專注在核心業務的發展,並傾向把資訊科技、業務流程或服務等非核心業務外包給專業第三方去執行,而企業如何有效掌握外包出去的風險控制有效性?以及委外服務供應商要如何證明及滿足企業對於風險控制的期望?這個屬於企業間的「零信任」議題,在資安風險不斷提升的情況下,大幅增加了企業及委外服務供應商對於信任溝通的需求,以及進一步對於風險控制透明化詳細資訊揭露的期望。
安永諮詢服務股份有限公司總經理張騰龍提醒,隨著供應鏈環境日益複雜,監管的期望也逐步提高,服務組織控制(SOC, Service Organization Control)報告成為企業向客戶及合作夥伴展示內部控制能力的關鍵證明。近一年「上市上櫃公司資通安全管控指引」及「金融機構使用電子簽名機制安全控管作業規範」也於修訂後建議採用SOC報告的認證框架,來搭建企業之間的信任橋梁,掌握並管理委外服務供應商的內控和資安風險。
主動式的委外科技風險管理
張騰龍分享,企業要能有效的駕馭數位轉型和合規性,並在創新與潛在風險之間取得平衡,建議在科技導入的早期階段就主動將科技風險納入策略考量,尤其是當科技的應用涉及委外服務供應商的服務時,應採取三項行動:
- 評估科技風險:在科技導入的早期階段就進行風險評估,從業務及科技層面識別出潛在的複合性風險,找出差距並採取降低風險的措施,可以在實施之前增強對新科技的信心,而且在早期階段解決潛在的合規性或控制問題要容易得多。
- 以透明度建立信任:企業應要求委外服務供應商提供SOC報告,以期能取得客觀且攸關的控制流程細節,透過閱讀SOC報告,企業能判斷委外的業務範圍是否包含於SOC報告的範圍內、掌握委外服務供應商的控制程序是否符合企業自身的安全要求,以及獲得專業審計人員出具的客觀意見。
- 建立委外韌性:在委外合作的過程對供應鏈傳達企業的資安風險管理策略,建立強化資安防禦的持續性結構方法,簡化企業和委外服務供應商在資安事件發生當下以及之後的內外部溝通方式,從而使企業和委外服務供應商能夠快速採取行動,保持營運連續性並提供協調一致的回應來維護利害關係人的信任。
專家觀點:在臺灣,SOC報告的重要性正顯著提升
張騰龍分析,國際企業使用SOC報告的認證體系處理委外風險議題已有十多年的歷史,隨著臺灣企業逐步在國際商業環境中扮演重要的角色,對資安和流程風險控制的要求和揭露資訊的透明度需求也跟著提高。未來,更多國際企業將要求採用SOC報告作為其信任管理策略的一部分,臺灣企業同時也將以此更加地融入全球化的業務生態,可預見SOC報告的重要性將持續攀升。
對於那些希望在市場上占據優勢的企業而言,SOC報告不僅是一份合規文件,更是一份展現企業誠信、專業與資安管理能力的名片。隨著信任經濟時代的到來,SOC報告無疑是每個希望保持競爭力的企業不可忽視的重要工具。
- 完 -
安永 | 建設更美好的商業世界
安永的宗旨是致力建設更美好的商業世界。我們以創造客戶、利害關係人及社會各界的永續性成長為目標,並協助全球各地資本市場和經濟體建立信任和信心。
以數據及科技為核心技術,安永全球的優質團隊涵蓋150多個國家的業務,透過審計服務建立客戶的信任,支持企業成長、轉型並達到營運目標。
透過專業領域的服務 -審計、諮詢、法律、稅務和策略與交易諮詢,安永的專業團隊提出更具啟發性的問題,為當前最迫切的挑戰,提出質疑,並推出嶄新的解決方案。
安永是指 Ernst & Young Global Limited 的全球組織,加盟該全球組織的各成員機構都是獨立的法律實體,各成員機構可單獨簡稱為「安永」。Ernst & Young Global Limited 是註冊於英國的一家保證(責任)有限公司,不對外提供任何服務,不擁有其成員機構的任何股權或控制權,亦不作為任何成員機構的總部。請登錄ey.com/privacy,了解安永如何收集及使用個人資料,以及個人資料法律保護下個人所擁有權利的描述。安永成員機構不從事當地法律禁止的法律業務。如欲進一步了解安永,請瀏覽ey.com。
安永台灣是指按中華民國法律登記成立的機構,包括:安永聯合會計師事務所、安永管理顧問股份有限公司、安永諮詢服務股份有限公司、安永企業管理諮詢服務股份有限公司、安永財務管理諮詢服務股份有限公司、安永圓方國際法律事務所及財團法人台北市安永文教基金會。如要進一步了解,請參考安永台灣網站ey.com/zh_tw。