|企業永續
風險管理
為確保穩健經營與永續發展,華新依循企業風險管理(Enterprise Risk Management,簡稱 ERM)框架,持續鑑別和評估可能面臨的各類風險,關注全球環境與產業變化,制定適當的風險管理策略,以降低風險發生的可能性和負面影響,有效管理與減緩風險帶來的衝擊。

風險管理組織架構

由董事會、審計委員會、稽核室、總經理及總經理室、各風險管理單位、各單位及子公司共同參與推動執行相關風險管理措施,形成企業風險管理 3 道防線機制:

風險管理政策及運作

華新制定《風險管理政策與程序辦法》作為本公司及子公司風險管理之最高指導原則及管理程序。2024 年 1 月 26 日修訂風險管理目標、組織架構、單位權責、管理程序及管控機制,將風險管理融入日常營運,並促進全員參與推動執行,每年定期檢視風險管理狀況並向審計委員會及董事會報告,2024 年度風險管理運作情形已分別於 2024 年 11 月 1 日及 2024 年 11 月 8 日報告完成。

風險管理執行機制

華新為降低內外部風險帶來的衝擊與影響,依重大性原則、公司業務及經營特性,辨識營運相關之公司治理及經濟、環境、社會等議題風險,規劃相關管理及監控措施,相關風險因應方案與減緩措施可參考本報告書相關章節或華新麗華年報。各風險類別管理政策、策略或機制請參閱《風險管理政策與程序辦法》附表一。

▪風險管理流程

▪風險管理類別

新興風險

華新將新興風險納入風險管理制度中,由董事會持續督導,關注全球環境變化與發展趨勢,綜合考量公司業務發展與未來前景規劃,每年定期鑑別新興風險:

▪鑑別程序

▪鑑別結果

▪智慧財產權與機密資訊保護

為透過智財權制度,鼓勵研發、保護技術與研發成果,進行製程優化,促進產品創新、升級以及智慧製造,達成公司成長之高值化轉型策略,華新於 2020 年起導入臺灣智慧財產管理制度(TIPS)且於當年度通過驗證,後續於 2021 年獲臺灣智慧財產管理系統(TIPS A級)再驗證通過,並於 2023 年第 3 次通過TIPS A級再驗證,證書有效期間至 2025 年 12 月 31 日。

2023 年因應組織調整,將採購管理中心納入TIPS智慧財產權管理制度執行範圍,並規劃營業秘密的管理制度與系統設計,結合 2022 年導入之系統化電子文件機密標示,藉以逐步提升機密資訊保護強度。遵循TIPS規範,訂定出當年度之智慧財產管理政策及其目標,並於 2024 年 11 月 8 日董事會報告執行情形與年度計畫。

申訴建言系統與吹哨者保護機制

華新鼓勵內部及外部人員檢舉貪腐、賄賂、不誠信或不當行為,已訂立《利害關係人建言及投訴辦法》,並於公司網站設置「利害關係人溝通專區」。利害關係人可使用該溝通管道,向本公司管理階層、內部稽核主管提出建言及投訴;而同仁也可使用「意見信箱」管道提出建言,並鼓勵員工或利害關係人舉報組織內或與交易對象間任何可疑不法或不合規範的行為,以避免不法或不合規範的行為,並承諾調查過程保密、確保吹哨者保護等機制。本公司接獲意見反應後,由權責單位進行處理,並於審計委員會報告處理情形。2024 年共計受理投訴案件6件、建言案件 2 件,所有案件皆依據相關辦法處理。可疑不法或不合規範的行為包括幾大面向:

內部稽核

華新具備完善的內部稽核制度,設置獨立董事亦能確保內部監控及彙報機制有效運作,且管理階層高度關注內部控制缺失之改善成果。稽核室為獨立單位,配置稽核主管及專任稽核人員,直接隸屬於董事會,除定期列席董事會報告外,稽核主管亦透過審計委員會與獨立董事至少每季一次定期會議,就內部稽核執行狀況及內控運作情形提出報告;若遇重大異常事項時得隨時召集會議,或視需要不定期向董事長、審計委員會召集人、獨立董事及總經理報告,透過稽核活動以適時提供管理階層掌握內部控制已存在或潛在議題。

資訊安全

為了建構「數位永續」的資訊系統架構,推動「數位轉型」的企業目標,華新推動以「強化資安韌性」為主軸的資訊安全策略方案,建置整體資安防護平台及模擬演練,結合AI自動化偵防技術,完善資訊安全技術防護措施,發揮即時主動資安風險防禦能力,奠定數位永續的基石,以符合政府推動的「資安即國安」的政策目標。

面對日益嚴峻的資安威脅,華新以 NIST CSF與 CISA ZTA架構為基礎,實踐高標準資安防禦縱深,全面有效識別企業面臨之資訊安全風險,即時施以有效的控管措施與降低資訊安全風險。同時,積極推動「淨零碳排」與強化「雲端資安」。華新於將持續優化資安防護,導入雲地整合資安管理架構,逐步雲端化資訊系統與備援機制,以提升運營效率與資安水準,助力「淨零碳排」目標的實現。

▪設置「資訊安全與系統維運處」 專責推動資安管理工作

華新設立資訊安全長(CISO)並成立專責資訊安全組織「資訊安全與系統維運處」,專責推動資安管理工作,包含負責訂定資安政策,規劃、協調與執行資訊安全防護措施,執行資訊安全風險評鑑與管理,擬定完整的資訊安全計畫,並逐年推動資訊安全管理與解決方案。

▪成立資訊技術督導委員會(IT Steering Committee)

資訊技術督導委員會為總公司與事業單位資訊安全管理與決策組織,負責審查與決議資訊安全管理相關事項。董事會亦有多位資訊科技相關背景成員於審計委員執行監督及審核資訊安全政策推動工作。資訊技術督導委員每年至少召開一次管理審查會議,審核資訊安全政策及其執行與落實情形,以確保資訊安全之標準化政策之有效性和適宜性,以符合相關法令及主管機關的要求。2024 年依ISO 27001:2022 新版需求修訂資訊安全規章 13 份,以符合國內外法規要求及因應外在環境的變遷。

▪建立與遵循資訊安全管理 (ISMS)

華新於 2022 年導入ISO 27001 資訊安全管理系統(ISMS),針對資訊授權、資料備份、系統開發、委外廠商管理及智慧財產權等領域,制定了詳盡的管理策略。2023 年成功獲得ISO 27001:2013 認證,並於 2024 年順利取得ISO 27001:2022 新版認證,進一步強化了威脅情報、組態管理及雲端服務的安全防護。華新採用PDCA(Plan-Do-Check-Act)循環品質管理方法,全面構建資訊安全管理體系,確保機密性、完整性與可用性。依據「事前預防」、「事中監控」及「事後應變」的管理框架,華新持續優化資訊安全措施,提升風險應對能力。2024 年,公司已進行 4 次第三方外部資訊安全風險檢測,進一步強化資訊安全防護,確保企業信息資源的長期安全與穩定。

▪資訊安全政策與目標

華新的資訊安全目標是保障客戶資料與營業資訊等機敏性資料的機密性、完整性與可用性。透過全體同仁、內外部資訊服務使用者及第三方委外服務提供者的共同努力,致力於實現以下政策與目標:

  • 遵循內外部規範要求,保護公司資料機密,防止未經授權的存取、竄改、破壞或不當揭露。
  • 保護公司營業資訊,避免未經授權的存取或揭露,並確保營業資訊的準確性與完整性,以有效保障營業機密。
  • 建立完善的營運持續計畫與資訊安全事件管理程序,確保事件能妥善應對與處置,並定期進行演練,確保資訊系統或服務能持續運作。
  • 依據個人資料保護法及智慧財產法等國內外相關規定,妥善處理並保護個人資訊與智慧財產權。
  • 定期執行資訊安全遵循性審查作業,檢視並落實資訊安全管理制度,確保遵循PDCA(計畫、執行、檢查、改善)流程以持續優化。
  • 全體員工需保持高度的資訊安全意識,各級主管應負起資訊安全的監督管理責任,並透過管理審查、風險評估、內部稽核、教育訓練及資訊安全演練等活動,達成降低資訊使用風險的目標。
  • 公司所有同仁均須遵守資訊安全政策、管理辦法及標準程序,違反資訊安全政策與相關規範者,將依相關法規或公司規定處理。

建構企業資安韌性,落實資安制度管理

擬定資安計畫以逐年推動資訊安全政策,導入資訊安全制度與流程規範,並持續架構完整資訊安全技術防護措施。具體管理方案以「內外區隔」、「強身健體」、「見微知著」、「智慧安防」、「行為分析」5個進程,「IT治理」、「資料與設備防護」、「網路與系統管控」、「邊界防禦」4個構面逐步達成。

▪具體管理方案:

  • 規劃與建置資料保護機制,降低機密資料外洩的風險。
  • 持續導入先進資訊安全解決方案,以有效保護與管理系統、主機與網路行為。
  • 強化對外資訊服務保護,提昇阻擋駭客攻擊的能力。
  • 定期舉辦教育訓練,宣導資訊安全新知,提高員工資訊安全意識。
  • 定期針對重要系統進行災難備援演練,在災害發生時,能迅速恢復營運,確保公司營運持續能力。
  • 導入端點防護機制(EDR, Endpoint Detection & Response),改善端點、伺服器與網路設備的保護能力。
  • 導入資訊安全監控機制(SOC, Security Operations Center),建立有效即時事件處理及反應能力。
  • 強化雲端資訊安全管理,透過 Zero Trust 實現ESG 數位永續目的。
  • 導入以AI自動化科技輔助資安偵測與防護。

資訊安全教育訓練

資訊安全教育訓練

華新內部每年定期推動為期一個月的資安月宣導活動,並執行全員資安教育訓練必修課程,2024年修習人次已超過3,000人。2024年亦進行6次電子郵件社交工程演練,每次參與演練的人數超過2,500人,對未通過演練的同仁,要求完成線上資安課程並通過測驗。此外,本年度全面落實資安事件通報管理與演練,包括事件通報組織、通報與處理流程、以及對外溝通機制,全面提升企業內部事件應變與處置能力。

2024 年執行成果

本年度未發生重大資通安全事件與機密資料外洩情事,也未造成公司及客戶的損失。

法規遵循

▪遵法基礎:「誠信經營」公司文化

所謂「誠信經營」公司文化,乃是要求公司一切經營活動,皆必須符合臺灣以及營業活動當地相關法令規章。華新要求所有成員不得一味追求營業利益而違反相關法令規章。

▪經營相關法令追蹤評估

華新為傳統製造產業,主要營運法律遵循風險,在於與製造有關的勞動、環保法令乃至衝突礦產的拒用;銷售部分,則包含行業主管機關對於消費者安全、健康等權利的保護以及公平交易法等。財會方面,主要為各地租稅法令及反洗錢等相關規範。上市櫃公司則受制於公司法、證交法乃至與公司治理與企業永續發展之相關規範。

▪違反法規與裁罰情形

2024年未發生賄賂及貪瀆、洗錢、反競爭、違反公司法、違反內線交易、利益衝突、歧視及騷擾、個資隱私洩露等違反商業道德相關事件。惟在勞基法及勞動法未符規範,相關重大(罰款超過新臺幣10萬元,人民幣2.2萬元以上違反法規)裁罰及改善情形列表如下: