|企業永續
永續治理與創新價值 / 風險管理與法規遵循
公司治理
營運績效
誠信經營
風險管理與法規遵循
永續供應鏈與客戶服務
風險管理
為確保穩健經營與永續發展,本公司依循企業風險管理 (Enterprise Risk Management,簡稱 ERM) 框架,持續鑑別和評估可能面臨的各類風險,關注全球環境與產業變化,制定適當的風險管理策略,以降低風險發生的可能性和負面影響,有效管理與減緩風險帶來的衝擊。
風險管理組織架構
由董事會、審計委員會、稽核室、總經理及總經理室、各風險管理單位、各單位及子公司共同參與推動執行相關風險管理措施,形成企業風險管理三道防線機制:
風險管理政策及運作
華新已制定『風險管理政策與程序辦法』,作為本公司及子公司風險管理之最高指導原則及管理程序;2024 年 01 月 26 日修訂風險管理目標、組織架構、單位權責、管理程序及管控機制,將風險管理制度融入日常營運活動中,使同仁有所依循並共同參與推動執行,每年定期檢視風險管理狀況並向審計委員會及董事會報告運作情形,2023 年度風險管理運作情形於 2023 年 10 月27 日審計委員會及 2023 年 11 月 03 日董事會報告,鑑別結果請見本公司官網
風險管理執行機制
本公司為降低內外部風險帶來的衝擊與影響,依重大性原則、公司業務及經營特性,辨識營運相關之公司治理及經濟、環境、社會等議題風險,規劃相關管理及監控措施,相關風險因應方案與減緩措施可參考本報告書相關章節或華新麗華年報。各風險類別管理政策、策略或機制請參閱『風險管理政策與程序辦法』附表一

▪風險管理流程

▪風險管理類別

新興風險
本公司將新興風險納入風險管理制度中,由董事會持續督導,關注全球環境變化與發展趨勢,綜合考量公司業務發展與未來前景規劃,每年定期鑑別新興風險:

▪鑑別程序

▪鑑別結果

智慧財產權與機密資訊保護

為透過智財權制度,鼓勵研發、保護技術與研發成果,進行製程優化,促進產品創新、升級以及智慧製造, 達成公司成長之高值化轉型策略,本公司於 2020 年起導入臺灣智慧財產管理制度(TIPS)且於當年度通過驗證,後續於2021 年獲臺灣智慧財產管理系統(TIPS A級)再驗證通過,並於2023 年第三次通過TIPS A 級再驗證,證書有效期間至2025 年12月31 日。

2023 年因應組織調整,將採購管理中心納入TIPS 智慧財產權管理制度執行範圍,並規劃營業秘密的管理制度與系統設計,結合2022 年導入之系統化電子文件機密標示,藉以逐步提升機密資訊保護強度。遵循TIPS 規範,訂定出當年度之智慧財產管理政策及其目標,並於2023 年11 月3 日董事會報告執行情形與年度計畫。

申訴建言系統與吹哨者保護機制
本公司鼓勵內部及外部人員檢舉貪腐、賄賂、不誠信或不當行為,已訂立「利害關係人建言及投訴辦法」,並於公司網站設置「利害關係人溝通專區」,利害關係人可使用該溝通管道,向本公司管理階層、內部稽核主管提出建言及投訴;而同仁也可使用「意見信箱」管道提出建言,並鼓勵員工或利害關係人舉報組織內或與交易對象間任何可疑不法或不合規範的行為,以避免不法或不合規範的行為,並承諾調查過程保密、確保吹哨者保護等機制。本公司接獲意見反應後,由權責單位進行處理,並於審計委員會報告處理情形。2023 年共計受理投訴案件2 件,所有案件皆依據相關辦法處理。可疑不法或不合規範的行為包括幾大面向:
內部稽核

本公司具完善的內部稽核制度及設置獨立董事能確保內部監控及彙報機制有效運作,且管理階層高度關注內部控制缺失之改善成果。稽核室為獨立單位,配置稽核主管及專任稽核人員,直接隸屬於董事會,除定期列席董事會報告外,稽核主管亦透過審計委員會與獨立董事至少每季一次定期會議,就內部稽核執行狀況及內控運作情形提出報告;若遇重大異常事項時得隨時召集會議,或視需要不定期向董事長、審計委員會召集人、獨立董事及總經理報告,透過稽核活動以適時提供管理階層掌握內部控制已存在或潛在議題。

利害關係人溝通專區

重大主題
資訊安全
隨著數位化時代來臨,商業活動日趨複雜,資安威脅日益嚴峻,為有效識別企業面臨之資訊安全風險,並得以即時有效的控管與降低資訊安全風險,華新麗華訂定「資訊安全風險管理辦法」,做為識別風險、風險評鑑、風險處理、風險監控與審查之執行工作依據,建構系統化的風險管理架構。為了建構「數位永續」的資訊系統架構,推動「數位轉型」的企業目標,華新麗華推動以「強化資安韌性」為主軸的資訊安全策略方案,建置整體資安防護平台,完善資訊安全技術防護措施,發揮即時主動防禦能力,奠定數位永續的基石,以符合政府推動的「資安即國安」的政策目標。
設置資訊安全與系統維運處 專責推動資安管理工作
華新麗華設立資訊安全長(CISO) 並成立專責資訊安全組織「資訊安全與系統維運處」,專責推動資安管理工作,包含負責訂定資安政策,規劃、協調與執行資訊安全防護措施,執行資訊安全風險評鑑與管理,擬定完整的資訊安全計畫,並逐年推動資訊安全管理與解決方案。
成立資訊技術督導委員會(IT Steering Committee)
資訊技術督導委員會為總公司與事業單位資訊安全管理與決策組織,負責審查與決議資訊安全管理相關事項。董事會亦有多名資訊安全相關背景成員於審計委員會監督及審核資訊安全政策推動工作。資訊技術督導委員每年至少召開一次管理審查會議,審核資訊安全政策及其執行與落實情形,以確保資訊安全之標準化政策之有效性和適宜性,以符合相關法令及主管機關的要求。2023 年再修訂資訊安全規章3 份,以符合國內外法規要求及因應外在環境的變遷。
建立與遵循資訊安全管理 (ISMS)
華新麗華於2022 年導入ISO 27001 資訊安全管理系統 (ISMS),針對資訊授權、資料備份、系統開發、委外廠商管理、智慧財產權等制訂具體管理方案。並進行第3 方驗證機構認證,於2023 年01 月取得最新一次 ISO 27001:2013 認證,證書效期至2025 年10 月。以PDCA(Plan-Do-Check-Act)目標式管理循環落實資訊安全的管理。全面性建構企業組織的資訊安全管理體系的機密性、完整性及可用性,並依「事前預防」、「事中監控」、「事後應變」等不同面向的管理規劃,協助企業持續強化資訊安全管理。2023 年進行3 次第三方資訊安全風險檢測作業。
資訊安全政策與目標
華新公司資訊安全目標為維護本公司客戶資料與營業資訊等機敏性資料之機密性、完整性與可用性,藉由全體同仁、內外部 資訊服務使用者與第三方委外服務提供者,共同努力來達成下列政策與目標:
  • 依循各項法令法規要求,保護本公司之資料機密,避免未經授權的存取、擅改、破壞或不當揭露。(依循內外部規範)
  • 保護本公司營業活動資訊,避免未經授權的存取或揭露,並確保各項營業資訊之正確性。(保護營業機密)
  • 建立完整之營運持續計畫及資訊安全事件管理程序,以確保事件妥善回應、控制與處理,並定期演練,以確保資訊系統或資訊服務持續運作。
  • 依據個人資料保護法與智慧財產法之國內外相關規定,審慎處理及保護個人資訊與智慧財產權。(智慧財產)
  • 定期執行資訊安全遵循性審查作業,檢視資訊安全管理制度之落實。(PDCA)
  • 全體員工隨時保持高度資訊安全意識,各級主管應負起資訊安全監督管理與訓練之最終責任,並透過管理審查、風險評鑑、內部稽核、教育訓練與資訊安全演練等各項活動,達成降低資訊使用風險之目標。(全員參與)
  • 本公司所有同仁均須遵循資訊安全政策、管理辦法及標準程序,違反資訊安全政策與相關規範,依相關法規或本公司規定辦理。(全員參與)
建構企業資安韌性,落實資安制度管理
擬定資安計畫以逐年推動資訊安全政策,導入資訊安全制度與流程規範,並持續架構完整資訊安全技術防護措施。具體管理方案以「內外區隔」、「強身健體」、「見微知著」、「智慧安防」、「行為分析」5 個進程,「IT 治理」、「資料與設備防護」、「網路與系統管控」、「邊界防禦」4 個構面,逐步達成。

▪具體管理方案:

  1. 規劃與建置資料保護機制,降低機密資料外洩的風險。
  2. 持續導入先進資訊安全解決方案,以有效保護與管理系統、主機與網路行為。
  3. 強化對外資訊服務保護,提昇阻擋駭客攻擊的能力。
  4. 定期舉辦教育訓練,宣導資訊安全新知,提高員工資訊安全意識。
  5. 定期針對重要系統進行災難備援演練,在災害發生時,能迅速恢復營運,確保公司營運持續能力。
  6. 導入端點防護機制 (EDR- Endpoint Detection & Response),改善端點、伺服器與網路設備的保護能力。
  7. 導入資訊安全監控機制(SOC- Security Operation Center ),建立有效即時事件處理及反應能力。
  8. 強化雲端資訊安全管理,透過Zero Trust 實現ESG 數位永續目的。
資訊安全教育訓練
企業內部持續每年推動為期一個月的資安月宣導活動,以及執行全員資安教育訓練必修課程,2023 年修習人數已超過2,500 人次。2023 年已執行2 次電子郵件社交工程演練,演練人數超過 5,000 人,並對未通過社交工程演練的同仁,要求參與線上資安課程並完成測驗。
2023 年執行成果
2023 年未發生重大資通安全事件與機密資料外洩情事,也未造成公司及客戶的損失。
法規遵循
遵法基礎:「誠信經營」公司文化
所謂「誠信經營」公司文化,乃是要求公司一切經營活動,皆必須符合臺灣以及營業活動當地相關法令規章。本公司要求所有成員不得一味追求營業利益而違反相關法令規章。
經營相關法令追蹤評估
本公司為傳統製造產業,主要營運法律遵循風險,在於與製造有關的勞動、環保法令乃至衝突礦產的拒用;銷售部分,則包含行業主管機關對於消費者安全、健康等權利的保護以及公平交易法等。財會方面,主要為各地租稅法令及反洗錢等相關規範。上市櫃公司則受制於公司法、證交法乃至與公司治理與企業永續發展之相關規範。
違反法規與裁罰情形
2023 年未發生賄賂及貪瀆、洗錢、反競爭、違反公司法、違反內線交易、利益衝突、歧視及騷擾、個資隱私洩露等違反商業道德相關事件。惟在區域計畫法、勞動法及稅務申報作業等項目未符規範,相關重大( 罰款超過新臺幣10 萬元違反法規) 裁罰及改善情形列表如下: