|企业永续
永续治理与创新价值 / 风险管理与法规遵循
公司治理
营运绩效
诚信经营
风险管理与法规遵循
永续供应链与客户服务
风险管理
为确保稳健经营与永续发展,华新依循企业风险管理(Enterprise Risk Management,简称 ERM)框架,持续鉴别和评估可能面临的各类风险,关注全球环境与产业变化,制定适当的风险管理策略,以降低风险发生的可能性和负面影响,有效管理与减缓风险带来的冲击。

风险管理组织架构

由董事会、审计委员会、稽核室、总经理及总经理室、各风险管理单位、各单位及子公司共同参与推动执行相关风险管理措施,形成企业风险管理 3 道防线机制:

风险管理政策及运作

华新制定《风险管理政策与程序办法》作为本公司及子公司风险管理之最高指导原则及管理程序。2024 年 1 月 26 日修订风险管理目标、组织架构、单位权责、管理程序及管控机制,将风险管理融入日常营运,并促进全员参与推动执行,每年定期检视风险管理状况并向审计委员会及董事会报告,2024 年度风险管理运作情形已分别于 2024 年 11 月 1 日及 2024 年 11 月 8 日报告完成。

风险管理执行机制

华新为降低内外部风险带来的冲击与影响,依重大性原则、公司业务及经营特性,辨识营运相关之公司治理及经济、环境、社会等议题风险,规划相关管理及监控措施,相关风险因应方案与减缓措施可参考本报告书相关章节或华新丽华年报。各风险类别管理政策、策略或机制请参阅《风险管理政策与程序办法》附表一。

▪风险管理流程

▪风险管理类别

新兴风险

华新将新兴风险纳入风险管理制度中,由董事会持续督导,关注全球环境变化与发展趋势,综合考量公司业务发展与未来前景规划,每年定期鉴别新兴风险:

▪鉴别程序

▪鉴别结果

▪智慧财产权与机密资讯保护

为透过智财权制度,鼓励研发、保护技术与研发成果,进行制程优化,促进产品创新、升级以及智慧制造,达成公司成长之高值化转型策略,华新于 2020 年起导入台湾智慧财产管理制度(TIPS)且于当年度通过验证,后续于 2021 年获台湾智慧财产管理系统(TIPS A级)再验证通过,并于 2023 年第 3 次通过TIPS A级再验证,证书有效期间至 2025 年 12 月 31 日。

2023 年因应组织调整,将采购管理中心纳入TIPS智慧财产权管理制度执行范围,并规划营业秘密的管理制度与系统设计,结合 2022 年导入之系统化电子文件机密标示,藉以逐步提升机密资讯保护强度。遵循TIPS规范,订定出当年度之智慧财产管理政策及其目标,并于 2024 年 11 月 8 日董事会报告执行情形与年度计画。

申诉建言系统与吹哨者保护机制

华新鼓励内部及外部人员检举贪腐、贿赂、不诚信或不当行为,已订立《利害关系人建言及投诉办法》,并于公司网站设置「利害关系人沟通专区」。利害关系人可使用该沟通管道,向本公司管理阶层、内部稽核主管提出建言及投诉;而同仁也可使用「意见信箱」管道提出建言,并鼓励员工或利害关系人举报组织内或与交易对象间任何可疑不法或不合规范的行为,以避免不法或不合规范的行为,并承诺调查过程保密、确保吹哨者保护等机制。本公司接获意见反应后,由权责单位进行处理,并于审计委员会报告处理情形。2024 年共计受理投诉案件6件、建言案件 2 件,所有案件皆依据相关办法处理。可疑不法或不合规范的行为包括几大面向:

内部稽核

华新具备完善的内部稽核制度,设置独立董事亦能确保内部监控及汇报机制有效运作,且管理阶层高度关注内部控制缺失之改善成果。稽核室为独立单位,配置稽核主管及专任稽核人员,直接隶属于董事会,除定期列席董事会报告外,稽核主管亦透过审计委员会与独立董事至少每季一次定期会议,就内部稽核执行状况及内控运作情形提出报告;若遇重大异常事项时得随时召集会议,或视需要不定期向董事长、审计委员会召集人、独立董事及总经理报告,透过稽核活动以适时提供管理阶层掌握内部控制已存在或潜在议题。
资讯安全

为了建构「数位永续」的资讯系统架构,推动「数位转型」的企业目标,华新推动以「强化资安韧性」为主轴的资讯安全策略方案,建置整体资安防护平台及模拟演练,结合AI自动化侦防技术,完善资讯安全技术防护措施,发挥即时主动资安风险防御能力,奠定数位永续的基石,以符合政府推动的「资安即国安」的政策目标。

面对日益严峻的资安威胁,华新以 NIST CSF与 CISA ZTA架构为基础,实践高标准资安防御纵深,全面有效识别企业面临之资讯安全风险,即时施以有效的控管措施与降低资讯安全风险。同时,积极推动「净零碳排」与强化「云端资安」。华新于将持续优化资安防护,导入云地整合资安管理架构,逐步云端化资讯系统与备援机制,以提升运营效率与资安水准,助力「净零碳排」目标的实现。

▪设置「资讯安全与系统维运处」 专责推动资安管理工作

华新设立资讯安全长(CISO)并成立专责资讯安全组织「资讯安全与系统维运处」,专责推动资安管理工作,包含负责订定资安政策,规划、协调与执行资讯安全防护措施,执行资讯安全风险评鉴与管理,拟定完整的资讯安全计画,并逐年推动资讯安全管理与解决方案。

▪成立资讯技术督导委员会(IT Steering Committee)

资讯技术督导委员会为总公司与事业单位资讯安全管理与决策组织,负责审查与决议资讯安全管理相关事项。董事会亦有多位资讯科技相关背景成员于审计委员执行监督及审核资讯安全政策推动工作。资讯技术督导委员每年至少召开一次管理审查会议,审核资讯安全政策及其执行与落实情形,以确保资讯安全之标准化政策之有效性和适宜性,以符合相关法令及主管机关的要求。2024 年依ISO 27001:2022 新版需求修订资讯安全规章 13 份,以符合国内外法规要求及因应外在环境的变迁。

▪建立与遵循资讯安全管理 (ISMS)

华新于 2022 年导入ISO 27001 资讯安全管理系统(ISMS),针对资讯授权、资料备份、系统开发、委外厂商管理及智慧财产权等领域,制定了详尽的管理策略。2023 年成功获得ISO 27001:2013 认证,并于 2024 年顺利取得ISO 27001:2022 新版认证,进一步强化了威胁情报、组态管理及云端服务的安全防护。华新采用PDCA(Plan-Do-Check-Act)循环品质管理方法,全面构建资讯安全管理体系,确保机密性、完整性与可用性。依据「事前预防」、「事中监控」及「事后应变」的管理框架,华新持续优化资讯安全措施,提升风险应对能力。2024 年,公司已进行 4 次第三方外部资讯安全风险检测,进一步强化资讯安全防护,确保企业信息资源的长期安全与稳定。

▪资讯安全政策与目标

华新的资讯安全目标是保障客户资料与营业资讯等机敏性资料的机密性、完整性与可用性。透过全体同仁、内外部资讯服务使用者及第三方委外服务提供者的共同努力,致力于实现以下政策与目标:

  • 遵循内外部规范要求,保护公司资料机密,防止未经授权的存取、窜改、破坏或不当揭露。
  • 保护公司营业资讯,避免未经授权的存取或揭露,并确保营业资讯的准确性与完整性,以有效保障营业机密。
  • 建立完善的营运持续计画与资讯安全事件管理程序,确保事件能妥善应对与处置,并定期进行演练,确保资讯系统或服务能持续运作。
  • 依据个人资料保护法及智慧财产法等国内外相关规定,妥善处理并保护个人资讯与智慧财产权。
  • 定期执行资讯安全遵循性审查作业,检视并落实资讯安全管理制度,确保遵循PDCA(计画、执行、检查、改善)流程以持续优化。
  • 全体员工需保持高度的资讯安全意识,各级主管应负起资讯安全的监督管理责任,并透过管理审查、风险评估、内部稽核、教育训练及资讯安全演练等活动,达成降低资讯使用风险的目标。
  • 公司所有同仁均须遵守资讯安全政策、管理办法及标准程序,违反资讯安全政策与相关规范者,将依相关法规或公司规定处理。

建构企业资安韧性,落实资安制度管理

拟定资安计画以逐年推动资讯安全政策,导入资讯安全制度与流程规范,并持续架构完整资讯安全技术防护措施。具体管理方案以「内外区隔」、「强身健体」、「见微知着」、「智慧安防」、「行为分析」5个进程,「IT治理」、「资料与设备防护」、「网路与系统管控」、「边界防御」4个构面逐步达成。

▪具体管理方案:

  • 规划与建置资料保护机制,降低机密资料外泄的风险。
  • 持续导入先进资讯安全解决方案,以有效保护与管理系统、主机与网路行为。
  • 强化对外资讯服务保护,提升阻挡骇客攻击的能力。
  • 定期举办教育训练,宣导资讯安全新知,提高员工资讯安全意识。
  • 定期针对重要系统进行灾难备援演练,在灾害发生时,能迅速恢复营运,确保公司营运持续能力。
  • 导入端点防护机制(EDR, Endpoint Detection & Response),改善端点、伺服器与网路设备的保护能力。
  • 导入资讯安全监控机制(SOC, Security Operations Center),建立有效即时事件处理及反应能力。
  • 强化云端资讯安全管理,透过 Zero Trust 实现ESG 数位永续目的。
  • 导入以AI自动化科技辅助资安侦测与防护。

资讯安全教育训练

资讯安全教育训练

华新内部每年定期推动为期一个月的资安月宣导活动,并执行全员资安教育训练必修课程,2024年修习人次已超过3,000人。2024年亦进行6次电子邮件社交工程演练,每次参与演练的人数超过2,500人,对未通过演练的同仁,要求完成线上资安课程并通过测验。此外,本年度全面落实资安事件通报管理与演练,包括事件通报组织、通报与处理流程、以及对外沟通机制,全面提升企业内部事件应变与处置能力。

2024 年执行成果

本年度未发生重大资通安全事件与机密资料外泄情事,也未造成公司及客户的损失。
法规遵循

▪遵法基础:「诚信经营」公司文化

所谓「诚信经营」公司文化,乃是要求公司一切经营活动,皆必须符合台湾以及营业活动当地相关法令规章。华新要求所有成员不得一味追求营业利益而违反相关法令规章。

▪经营相关法令追踪评估

华新为传统制造产业,主要营运法律遵循风险,在于与制造有关的劳动、环保法令乃至冲突矿产的拒用;销售部分,则包含行业主管机关对于消费者安全、健康等权利的保护以及公平交易法等。财会方面,主要为各地租税法令及反洗钱等相关规范。上市柜公司则受制于公司法、证交法乃至与公司治理与企业永续发展之相关规范。

▪违反法规与裁罚情形

2024年未发生贿赂及贪渎、洗钱、反竞争、违反公司法、违反内线交易、利益冲突、歧视及骚扰、个资隐私泄露等违反商业道德相关事件,且并未产生任何罚款。惟在劳基法及劳动法未符规范,相关重大(罚款超过新台币10万元,人民币2.2万元以上违反法规)裁罚及改善情形列表如下: