董事會需要資料治理機制

Your Board Needs a Data-Integrity Committee
布拉德.基維爾 Brad Keywell
瀏覽人數:1813
在無數的資安漏洞、資料造假等商業醜聞爆發後,我們明白,資料完整性是先進製造、網路安全與營運敏捷度的基礎,但根據調查,三分之二的領導人對自己組織運用資料的方式,缺乏高度信任;僅3%的公司達到基本的資料品質標準。本文提出三大方針,敦促董事會成立資料完整性委員會,以確保營運資料準確、完整且安全。

有時候,需要出現壞事才能激發出好事。某種慘痛的教訓,像是醜聞、資料外洩、產品失敗等,讓我們必須正視問題,自問該如何解決。我們多半知道出現了問題,卻沒有行動。例如,1938年美國證券交易委員會(SEC)發現,製藥公司麥克森與羅賓斯(McKesson & Robbins)捏造庫存與應收帳款,價值相當於2020年的三億多美元。這是當年最無恥的詐欺案之一,麥克森與羅賓斯公司的一連串醜聞,符合大蕭條時期(Great Depression)的眾多會計詐欺手法。美國國會做出回應,通過1940年的《投資公司法案》(Investment Company Act),建議公司在董事會中成立審計委員會,以監督財務報告與財務揭露,後來這項保障措施成為規定。命令很明確:企業董事會必須監督會計職能,以確保財務報告可信,藉此保護自由市場與公司,不會受到內部惡意人員與盲點的影響。

現在,資料完整性(data integrity)是我們知道自己必須具備的條件,而採取行動還不遲。《投資公司法案》中設想的審計委員會,是用來監督人員與流程,而不是監督技術與數據資料(直到1995年,現代電腦才開始投入公司的會計工作)。如今,資料完整性是先進製造、網路安全與營運敏捷度的基礎。就像1930年代的財務報告,資料已形成獲利能力的核心基礎,卻缺少可靠的中間人。結果呢?對資訊的掌控不對等,而這會扭曲公司內外的競爭決策。想要保持領先的公司,可以也應該主動設立「資料完整性委員會」(Data Integrity Committee)。

人們往往要等到災難來襲之後才會改革,但我們應該已見過足以刺激擴張公司治理職責的種種醜聞了。從Equifax到索尼(Sony),再到標靶百貨(Target),都因為資訊科技的漏洞,洩漏了顧客與員工資料,導致它們的執行長與董事長去職。根據波耐蒙研究所(Ponemon Institute)與IBM的《2020年資料外洩成本報告》(Cost of a Data Breach Report 2020),平均每次資料安全漏洞事件,會讓美國公司損失864萬美元。KPMG近期一項調查指出,三分之二的領導人對自家組織運用資料的方式,缺乏高度信任。科克大學商學院(Cork University Business School)的一項研究中,僅3%的公司達到基本的資料品質標準,妨礙了它們產生寶貴資料見解的能力。

資料完整性帶來的風險與報酬相當普遍,但很少公司做出回應。公司治理架構中,並沒有設立特定的人員來監督資料完整性,也不存在於大多數的長字輩主管層級中;審計委員會認為這是他們財務報告職責中,較不重要的部分。工業巨擘一直無法順利運用資料,也無法藉資料獲利,因而削弱了他們的競爭優勢,使他們容易遭到優步(Uber)、Airbnb與亞馬遜(Amazon)這類資料優先的科技公司破壞。根據《資料外洩報告》(Data Breach Report),投資成立資料完整性團隊的公司,每次遭遇資料外洩事件,可以節省兩百萬美元,但擁有這類團隊的機構仍寥寥無幾。

資料安全、資料最佳化和基本的資料完整性,這三方面的可靠實力,是股東對上市公司抱持的合理期望。但歷史顯示,公司治理範疇往往是因為法規才擴大,而不是因為創新。在這種情形下,我認為答案不是依賴法規監管機構;資料的複雜性,只有從業人員才最能夠掌握,並理解它的背景脈絡。解決方案,是在董事會中成立資料完整性委員會,以確保營運資料正確、完整且安全;營運資料是公司裡最被低估價值、有潛藏風險的資產,也最少接受仔細審查。委員會將保護敏感的資料不受內部不當使用、駭客與外國政府行為者的影響。這使得領導人必須為自己做的資料驅動決策負責,鼓勵高階主管善用現有的企業資料寶藏,並且在資料中建立有防禦能力的護城河。

你可能會自問:「我該從何著手?」以下是與人事、實務和策略目標相關的三大指導原則:

1. 資料完整性需要一個跨職能團隊

負責監督資料完整性的團隊,必須納入全公司的專家,包括資訊科技領導人、產出最大量與最高價值資料的活動的主管、主題領域專家、事業部業務主管、法規專家與法律總顧問。這個團隊的目標,是辨別要蒐集什麼資料,建立確保這些資料正確性的最佳實務,並設立一些準則,說明如何衡量資料的價值、如何保護資料,以及如何運用資料來服務利害關係人與公司。日常決策不應該在董事會的委員會這個層級進行,而應該由下轄這支跨職能資料完整性團隊的資料完整性委員會來監督。

以一家全球鐵路服務公司為例,這家公司收集火車上感測器的資料,希望確立各種資料的價值。資訊科技也許對地理空間資料(geospatial data)有網路安全疑慮,負責營運可靠度的領導人,也許需要地理空間資料,才能指揮火車前往最近的維修站,法律總顧問也許必須向法規委員會與鐵路公司,報告這兩種資料是否符合法規。要如何整理資料,以便簡化報告作業和用於業務用途,有關這方面的決定會涉及義務各不相同的利害關係人,必須由公司最高層級來解決。

要建立資料完整性團隊,無需在缺乏參考的情況下摸索。最佳實務採用的模式,就能做為設立資料完整性委員會的人事與政策範本,例如資料管理協會(Data Management Association)的《資料管理知識體系指南》(Guide to the Data Management Body of Knowledge)。

2. 資料處理實務必須在整個公司推行

如果缺乏明確、涵蓋整體公司的政策,企業各事業部可能會按自身利益行動,創造出各有特色且分歧的資料管理實務。結果往往是採用令人困惑且孤立的方法,或是限制只有一個人能獲得資料完整性的知識,而這個人卻不熟悉更大規模行動的程序與風險。

委員會應提出有關內部資料運用的政策和最佳實務,包括員工訓練、與第三方資料處理者合作的標準、事故審查程序、因應特殊風險的準備,以及在必要時修改委員會管理範疇的流程。

委員會推出的資料完整性治理解決方案,應該會持續調整,並且是針對特定產業而設。理想上,解決方案包括組織內部專家提供的想法,以維持各流程之間互相協調。制定訓練與持續教育的計畫(包括一般性計畫和針對特定事業部而設的計畫),讓資料完整性成為公司的優先事項。

3. 委員會職責應該要能加強策略目標

資料完整性的比較基準,應納入會計指標與營運關鍵績效指標(KPI)之中,用來衡量公司的健全狀態與根本基礎。若要善用資料完整性,來協助策略性的資料運用,委員會由上而下的觀點極為寶貴。委員會應確保有遵循法規要求,包括有關資料、維持產業的資料品質標準,以及致力減少網路安全風險等的法規。委員會也應監測營運決策使用的資料品質、確保認真挖掘能產生有效見解的資料、查明公司對資料的投資有哪些價值,以及了解為利用資料來產生營收而做的商業決策。委員會必須將這種有關資料的全面觀點,帶入最高層級的決策之中。

資料完整性,以及資料的保護與利用,是未來卓越表現的根本。我們的資料與我們消費者的資料是否安全?哪些以資料為核心的可能性仍不明顯?更棒的是,必須出現哪些資料導向的機會,才能刺激採取行動?企業董事會必須帶頭解決這些問題,以開創這個新局面。我建立與拓展全球業務已有三十年,現在更能理解董事會的委員會加速推動管轄範圍內活動的能力。面臨對資料安全性的威脅時,資料完整性委員會能促使建立最基本的準備,並確保盡可能善用對資料的投資。

(游樂融譯)



布拉德.基維爾 Brad Keywell

工業人工智慧軟體公司Uptake創辦人與執行長。


本篇文章主題公司治理