布莱克波特科技 2024年度报告

请在括号内勾选，如果注册人无需根据《法案》第13条或第15(d)款提交报告。是☐ 请勾选以下选项，以示注册者（1）在前12个月（或注册者需要提交此类报告的更短时间段内）是否已提交1934年证券交易法第13条或第15(d)条所要求的所有报告，以及（2）在过去90天内是否受到提交此类报告的要求。是☑ 否☐ 标注勾选，是否注册人在过去12个月（或在注册人被要求提交此类文件的较短时间内）根据S-T规章第405条（本章第232.405节）提交了所有必须提交的交互式数据文件。是☑ 否☐ 请在括号内用勾号标明注册人是否为大型加速报告公司、加速报告公司、非加速报告公司、小型报告公司或新兴增长公司。参见《交易所法案》第12b-2条中对“大型加速报告公司”、“加速报告公司”、“小型报告公司”和“新兴增长公司”的定义。 如果是一家新兴增长公司，请通过勾选标记表明注册人是否已选择不使用延长的过渡期来遵守根据《交易所法案》第13(a)节提供的任何新或修订的财务会计准则。☐ 请在复选框中标注，注册人是否已逃避在萨班斯-奥克斯利法案第404(b)条（15 U.S.C. 7262(b)）下，由其审计报告编制或发布的事务所对其财务报告内部控制有效性的评估报告。☑ 如果根据《法案》第12(b)节进行登记，请通过勾选标记表明登记人的财务报表（包含在提交的文件中）是否反映了之前发布的财务报表中错误的更正。☐ 请在以下错误更正中用勾号标注，是否有任何这些是需要在相关恢复期内根据第240.10D-1(b)条款对任何注册人执行官员收到的基于激励的补偿进行恢复分析的重申。☐ 标明是否为空壳公司（根据《交易所法案》第12b-2条定义）。是☐ 否☑ 截至2024年6月28日（当日收盘价为76.17美元），登记人非附属机构持有的登记人普通股的总市值约为22.694亿9466美元。每个高管和董事及登记人已知拥有10%或更多已发行普通股的个人所持有的普通股已排除在外，因为这些个人可能被视为附属机构。此对附属机构地位的确定并不一定是其他目的的最终确定。 截至2025年2月18日，该注册人流通普通股的股份数为49,236,495。 参考文件 2025年6月11日的相关内容已通过引用纳入本文件第三部分。此最终代理声明将提交给美国证券交易委员会。请递交注册人2025年度股东年度大会的最终代理声明，该大会目前已安排举行，并在注册人截至2024年12月31日的财政年度结束后120天内提交给证券交易所委员会。 解释说明 2025年2月21日，Blackbaud，Inc.（以下简称“公司”）向美国证券交易委员会（“SEC”）提交了截至2024年12月31日的财政年度的10-K年度报告（以下简称“原始文件”）。原始文件在第一部分第1C项（网络安全）和第三部分第10项（关于公司内部人交易政策）中不慎遗漏了iXBRL（内联可扩展商业报告语言）标记。本10-K/A表格的第1号修正案（以下简称“第1号修正案”）正在提交，以根据适用的SEC规则包括上述遗漏的iXBRL标记。 此外，该公司已将截至当前日期的附件31.1、31.2、32.1和32.2证书随本第1号修正案一并附上。 第1号修正案以原始文件提交日期为准进行说明，并不反映原始文件提交日期之后可能发生的事件。除上述描述外，原始文件未作其他更改。第1号修正案应与原始文件以及公司向美国证券交易委员会提交的其他文件一起阅读。提交本第1号修正案并不构成承认原始文件在提交时包含任何关于重要事实的不真实陈述或遗漏了构成陈述不误导所必需的重要事实。 目录 关于前瞻性声明的警示声明 这份基于10-K表的年度报告，包括参考的文件，包含了对未来结果预期的前瞻性陈述，这些陈述基于我们的估计、假设和计划，而这些假设和计划受不确定性的影响。这些“前瞻性陈述”根据1995年私人证券诉讼改革法案、1933年证券法第27A条修订版以及1934年证券交易法第21E条修订版中的安全港条款制定。前瞻性陈述包括但不限于趋势分析、对未来事件、未来财务绩效、预期增长、一般经济和市场状况的影响、我们的商业策略以及我们发展和扩大业务的计划、我们的运营结果、成功整合开发和收购业务和技术的能力，包括生成式人工智能（“AI”），股票回购计划的影响、外汇汇率和利率波动对我们财务结果的影响、股票期权补偿费用化的影响、我们资本资源的充足性、我们按时履行持续债务和责任的能力、网络安全和数据保护风险及相关责任，以及涉及我们的当前或潜在的法律诉讼，所有这些都基于当前的期望、估计和预测，以及我们管理层的信念和假设。诸如“相信”、“寻求”、“期望”、“可能”、“或许”、“应当”、“打算”、“可能”、“会”、“可能会”、“很可能”、“将会”、“目标”、“计划”、“预期”、“目的”、“预测”、“估计”或任何类似词汇及其变体，也旨在识别这些前瞻性陈述。这些前瞻性陈述受难以预测的风险、不确定性和假设的影响。因此，它们不应被视为对未来表现的保证，实际结果可能与任何前瞻性陈述中表示的内容有很大不同或产生不利影响。 重要因素可能导致实际结果与我们在前瞻性声明中表达的美好预期有实质性差异，包括但不限于本报告“1A. 风险因素”部分及其他地方以及我们向美国证券交易委员会提交的其他文件中概述的因素。前瞻性声明仅代表我们管理层在本年度10-K报表发布日期时的信念和假设。我们不对任何前瞻性声明进行更新或修改，也不对实际结果与任何前瞻性声明中预期结果有实质性差异的原因进行更新，无论这些原因是新信息、未来事件或其他原因。 第一部分 项目1C. 网络安全 风险管理及策略 概述评估、识别和管理物质网络风险流程 因为技术、数据和信息安全是Blackbaud的首要任务，我们持续维护、评估并加强我们的网络安全计划。包括识别、分析和应对影响我们业务及其客户的网络安全风险的综合风险管理，为我们计划奠定了基础。我们的网络安全计划已经并将继续通过我们遵守与安全事件相关的政府调查结果而得到进一步强化。有关安全事件的更多信息，请参阅本报告所包含的合并审计财务报表的第11项注释。 我们采用四项策略来评估、识别和管理来自网络安全威胁的材料风险： 1.操作安全：我们结合行业标准的CIA三重安全模型以及全面的行业控制框架、合规规定、隐私要求及最佳实践，包括：国家标准与技术研究院（“NIST”）网络安全框架、PCI DSS、系统与组织控制（“SOC”）1、SOC 2、GDPR、HIPAA、跨大西洋数据隐私框架和云安全联盟。 2.产品安全：我们的开发团队定期参加培训，并运用行业最佳实践将安全性融入我们的解决方案中。 3.事件响应：我们与第三方公司全天候监控威胁态势，并例行测试我们的事件管理流程。应对能力、准备情况以及与执法部门保持积极主动的关系。 4.持续的地形分析：我们持续评估即将出台和变化的数据隐私法规，并为我们的客户提供关于这些法规和合规要求的运营影响和领导性思想。 我们相信信息和科技安全是共同责任，因此通过持续的资源，如最佳实践内容、与客户成功经理的一对一咨询和bbcon®会议，将数据与隐私保护教育融入客户体验。我们还参与全球社区和会议平台，分享信息并介绍最佳实践，以提高行业的安全意识态势。此外，Blackbaud员工都积极参与持续的安全和隐私意识培训活动，以确保他们有权保护Blackbaud和我们客户的资料。 整合到整体风险管理体系或流程中 与我们对信息和技术保护的重视相符，网络安全风险管理一直并且仍然是我们的整体商业战略、财务规划和资本配置以及公司各层面持续关注的重点。我们企业的风险管理（ERM）框架将信息技术和数据管理系统及其相关政策与实践整合到更大框架中，以帮助指导和优先处理我们的网络安全和信息技术相关投资、活动和风险管理策略。我们至少每年对网络安全风险进行一次审评，并将这些发现整合到整体战略中。此外，我们的网络安全项目通过首席信息安全官（CISO）参与风险管理指导委员会和信息披露委员会等治理结构，进一步整合到我们的整体风险管理项目中，这两个委员会将在下文详细描述。 第三方参与 我们定期聘请外部顾问和专家，协助我们进行网络安全项目。合作内容包括年度NIST网络安全框架评估，以确保合理的网络安全项目，并保留领先的网络安全事件响应（IR）外部专家。 22024年度10-K报表 第三方服务提供商和其他方的风险 Blackbaud 还维护一个定义明确的计划和专门团队，负责对其第三方服务提供商的安全监督。该计划在第三方供应商和合作伙伴的签约启动阶段评估和管理风险，并在整个供应商关系生命周期中进行监督。 网络安全威胁风险；实际及潜在的重大影响 此外，我们持续地从以往网络安全事件中学习和利用经验，这些事件我们和其他许多公司都经历过。如前所述，由于2020年5月对我们进行的一次勒索软件攻击，其中一名网络犯罪分子从我们的自托管环境中删除了一部分数据的副本，我们一直并且仍然面临风险和不确定性。由于安全事件，我们目前正面临某些法律诉讼和索赔，未来可能会成为更多法律诉讼、索赔、调查和调查的对象，这可能导致不利判决、和解、罚款、处罚或其他解决方案。有关安全事件及其对公司的过去和潜在影响的信息，请参阅本报告包含的合并审计财务报表的注释11。 尽管我们对网络安全有强烈的承诺，但我们可能无法成功预防或减轻可能对我们产生重大不利影响的网络安全事件。请参阅第1A项“风险因素”，以了解我们对网络安全风险的讨论。 治理 管理层对网络安全威胁的评估与管理 我们的多层次网络安全治理和风险管理结构从我们的运营风险合规与安全（ORCAS）委员会开始，该委员会由公司各职能部门的跨部门管理人员组成。ORCAS委员会从关键安全人员那里接收详细的网络安全信息，并且至少每季度向上报告至我们的风险管理委员会，该委员会由来自Blackbaud各部门的执行官和高级管理人员组成：首席执行官、首席运营官、首席财务官、首席技术官、总法律顾问、首席隐私官和首席信息安全官，他拥有广泛的信息技术和项目管理经验。我们的首席信息安全官在信息技术和信息安全管理领域担任各种不断增长的职责，超过25年，包括在公共和私营公司内部担任各种网络安全领导职务。他拥有两个本科学位——一个在商业管理，另一个在计算机信息系统，一个信息系统硕士学位，并保持着两个网络安全行业认可的职业资格证书：国际信息系统安全认证联合会的认证信息系统安全专业（CISSP）和认证云安全专业（CCSP）。向我们首席信息安全官汇报的网络安全领导者也具有显著的信息技术和信息安全管理经验以及行业认可的职业资格证书。 此外，我们的网络安全事件应急计划及时向网络安全事件子委员会通知可能具有重大影响的活跃网络安全事件。网络安全子委员会负责确定网络安全重大性，并由我们的总法律顾问、首席信息安全官、首席会计官和SEC报告总监组成。我们的网络安全事件子委员会是披露委员会的一部分，该委员会由首席执行官和首席财务官任命，以协助我们的高管对其监督Blackbaud披露的准确性和及时性的责任。 董事会监督 风险管理委员会定期在每个季度的会议上，或者根据需要更频繁地，向董事会风险管理委员会汇报。风险管理委员会的职责包括，但不仅限于，监督与信息技术安全相关的风险。风险管理委员会会根据需要与全体董事会进行沟通，董事会最终负责网络安全的监督。 2024表10-K 3 第三部分。 第10项。董事、高级官员及公司治理 所需的信息由第10项关于董事和高级管理人员的部分参照以下标题下的信息提供： “董事选举”，“董事会和委员会会议信息”，“16(a)条款延迟报告”，“商业行为守则和道德规范”以及“内部交易安排和政策”，这些信息包含在Blackbaud 2025年度股东大会的代理陈述中，预计该会议将于2025年6月11日举行，但本报告第一部分中的“关于我们高级管理人员的信息”除外。 内部交易安排与政策 作为我们致力于高标准的商业道德行为和遵守相关法律法规的承诺的一部分，我们已采纳了内部人交易政策以及特定证券交易指