企業風險管理政策
企業面對瞬息萬變、充滿營運挑戰的外在環境,建構風險應變機制暨強化風險管理能力已成為企業永續經營的必要條件。
裕隆汽車為穩健營運、降低經營風險,在經營管理、安全衛生、環境、資訊方面皆有當責單位負責管理、查核,並籌組成立「風險管理推動小組」,共同研議後擬訂「企業風險管理政策」,於第16屆第8次董事會(2020/11/10)中提報核准通過,內容如下:
- 一、風險管理政策
1.秉持企業永續經營及社會責任,建置企業風險管理機制,為公司所有的利害關係人提供適當的風險管理。
2.針對重要的風險事件,進行事前風險評估,訂定危機處理程序及復原計劃, 降低營運衝擊的嚴重度。
3.持續改善風險管理機制及縮短應變時間,提升風險管理的完整性及風險控制的有效性。
- 二、風險管理程序
1. 界定風險管理範疇
2. 風險評估:評估風險發生頻率、機率、衝擊程度
3. 風險控制:訂定符合成本效益的風控計劃/對策
4. 風險應對
(1)風險事件模擬演練
(2)執行風控計劃/對策
5.風險監控及報告
(1)每季召開風險管理推動小組會議,掌控風險項目及風險控管執行成效
(2)每半年向董事會提報風險管理運作情形
|
|
四、風險管理推動小組架構
2024年11月12日於董事會提報2024年風險管理執行情形
1. 智慧財產管理政策
A.本公司智財管理目前委由總管理處協助辦理,總管理處依「臺灣智慧財產管理規範(TIPS)」及「上市櫃公司治理實務守則」規劃並推動智慧財產管理計畫。
B.智慧財產成果統計:累計至2024年10月,本公司註冊商標181件(含申請中),核准專利8件;另有營業秘密總計共2,535份相關文件。
C.2024年度智財管理計畫執行成果:基於風險考量,2024年執行專利及營業秘密二項,其成果如下:
a.專利:(a)完成特定技術領域情報調研,後續將參考調研建議規劃研發方向及提出專利申請。(b)3/27舉行「專利管理制度說明會」,僅特定人員參與共37人,課程1小時。
b.營業秘密:(a)配合智財管理,6/28針對營業秘密管理制度提出檢視建議。(b)8/16完成全公司營業秘密定期盤點,搭配EIP系統產生異動報表,盤點範圍將文件分類為7大類,總計共2,535份相關文件。
本公司為強化整體資訊安全,於2024/05/16 獲BSI 英國標準協會 ISO 27001:2022 認證通過取得證書,並於內部公告相關辦法,降低因不合規操作,所導致風險事件產生。此外針對員工上網、郵件防護擴大守備範圍並限縮攻擊面,減少因人員錯誤操作,進而影響內部資訊安全可能性。強化備份機制,遵循資安業界標準321備份原則,導入裕隆方舟計劃,降低營運衝擊與復原韌性。建立週期性資安課程、公告與月報制度,並配合時事與外部資安事件不定時發佈預警訊息,強化全體同仁資安意識與警戒心。
3. 2024資訊安全風險事項報告:2024資訊安全風險事項報告:無重大資安事件,未合規風險案例及系統障礙事件,每月進行事件盤點,並將相關結果彙整於資安月報中,通知各部門參考與遵循。
4. 未來資訊安全規劃:
本公司已規劃2024~2026年「資安風險內控管理措施」,以【資安戰略聯防】為主軸,並制定各戰術措施支撐戰略逐步推動,擴大佈署縱深防禦量能。持續針對資安韌性和ZTA零信任架構,展開關鍵環節探測及威脅獵捕等進階技術導入。
5. 製造品質推動事項
2024年持續認證IATF16949汽車產業品質管理系統,以提升公司製造能力,降低產品品質不良的風險。
2023年風險管理執行情形
資訊安全管理制度遵循說明:依「公開發行公司建立內部控制制度處理準則」第九條之規定制定相關內部作業規定,以降低新興資訊科技應用以及環境變遷所帶來未知的資安威脅風險。
資訊安全執行情形:本公司為強化整體資訊安全,2023年專案執行重點如資訊系統導入新版ISO27001、落實內網駭侵偵防強化案(端點進階防駭保護、內網入侵軌跡偵測、資安戰情分析平台)、串聯跨域防火牆一致化防控等。
2. 2023資訊安全風險事項報告
本公司已規劃2023~2025年「資安風險內控管理措施」,穩健優化中長期整體資安實力,2024年起因應資安威脅無孔不入,擬以”資安韌性聯合防禦”為主軸,不僅注重自身、更將資安防禦量能逐步拓展至供應鏈體系,聯手打造新世代的資訊安全潔淨供應鏈。
本公司依「台灣智慧財產管理規範(TIPS)」及「上市櫃公司治理實務守則」規劃並推動智慧財產管理計畫。智慧財產管理政策如下:(a)預防及減少智財風險,提升智財保護意識;(b)積極配合新興事業,做好技術智權保護。
智慧財產成果統計:累計至2023年本公司註冊商標173件(含申請中),核准專利4件;另有營業秘密總計共2,500份相關文件。
2023年度智財管理計畫執行:基於風險考量,2023年執行專利、商標、著作權、及營業秘密四項,其成果如下:
a.專利:持續執行特定技術領域情報調研,依調研建議規劃研發方向及提出專利申請。
b.商標:3月完成商標使用現況統計,4月說明新商標申請案,分析商標使用情況,9月提供商標使用檢視建議報告。
c.著作權:7月辦理基礎課程「認識著作權」,特定人員共11人,課程1小時。
d.營業秘密:(a)3月召開營業秘密管理機制檢核表需求訪談會議,說明檢核項目及檢核指標;於6月完成檢核表意見彙整及7月定稿,後續依實際需求擇定當年度稽核項目。(b) 7月完成全公司營業秘密定期盤點,搭配EIP系統產生異動報表,盤點範圍將文件分類為8大類。
5. 2024年度智財管理計畫規劃
擬擇定專利、著作權、營業秘密三項重點項目,持續針對本公司專利管理制度進行TIPS驗證規劃、加強宣導合法使用軟體著作,並定期盤點及檢視營業秘密等工作。
6. 製造品質推動事項
2023年持續認證IATF16949汽車產業品質管理系統,以提升公司製造能力,降低產品品質不良的風險。
2022年風險管理執行情形
本公司各項風險管理權責單位與運作情形
|
權責單位 |
運作情形 |
|
稽核室 |
依風險評估結果,將主要稽核項目列為年度稽核計畫,執行內部控制制度之查核,並將稽核結果據實揭露於稽核報告,除依規交付或通知各監察人外,並加以追蹤改善。 |
|
財企部 |
1.綜理公司經營策略規劃、目標及營運計劃控管,管理營運資金並提供財務分析資訊,處理會計、股務、稅務及各項人力資源管理業務,提供管理階層快速有效之營運管理資訊,藉由嚴謹控管與定時更新科技改變、產業趨勢、國內外重要政策與法令編修資訊,降低企業風險。 2.督促各單位及子公司將營收獲利列入年度KPI並追蹤達成,以避免營運績效之風險。 |
|
安全衛生室 |
定期實施勞工作業環境檢測與監查、依公司規定辦理工業安全衛生相關業務、防止職業災害,並指導有關單位實施相關計畫,降低員工從業風險。 |
|
供應鏈管理部 |
1.協調、規劃與控管綜合性生產計劃、新車系及供應商D&C評價管理、零件物料需求之規畫與控管、外包件交期控管與跟催,降低廠商供料不及之風險。 2.補給生產力及倉儲成本控管、零件及物料供應之規劃與控管、物流供應應用系統之規劃與建立、海外生產據點供料補給活動之協助與支援、支援品牌售服零件倉儲及配送,降低產線供料不及之風險。 |
|
品檢部 |
全公司品質保證策略與品保系統之規劃與推動、產品檢驗、情報系統之推動與監查業務、品質意識與改善活動之推動,並另針對協力商生產之汽車零組件進行品質管理,降低成車風險。 |
氣候變遷風險管理
氣候快速變遷的速度遠遠超過全球預期,極端氣候對於各地經濟、社會與環境造成的影響與日俱增,如何減少人類活動對於環境造成的持續危害成為全球課題,而鑑別氣候變遷所衍生的風險並制定因應對策亦成為企業當務之急。
裕隆汽車關注氣候變遷議題,積極鑑別並因應各項極端氣候帶來的風險、衝擊,並從中尋求機會:
1.制訂全公司節能減碳、溫室氣體減量...之KPI,並按月盤查管控達成率,訂定改善措施。
2.更新設備、優化製程能源運用效率。
3.101年成立「節約能源服務團」、107年設置「節能委員會」、「協力廠價值鏈委員會」,輔導協力廠商致力環保,積極打造綠色供應鏈。
4.與鴻海合作,以電動車底盤、關鍵零組件模組的整套解決方案,縮短未來電動車開發流程,讓電動車產品更快速投入市場。
本公司遵循資訊安全管理制度,各項資訊作業不僅全力符合資訊安全標準流程與資訊安全法令法規,持續完備資訊安全治理制度,同時提升資安防禦能力,以降低資訊科技應用以及環境變遷所帶來未知的資安威脅風險。
一、資通安全政策與管理架構
本公司依「公開發行公司建立內部控制度處理準則」第九條「電腦化資訊系統處理」之規定制定相關內部作業規定,以降低新興資訊科技應用以及環境變遷所帶來未知的資安威脅風險。為掌握資訊安全風險管理,自三面向來對應及預防風險事件發生:
1.未發生前:定期自主盤點檢驗,從流程與技術多方面著手,如建置資安設備,培養情資獵補人才等,進行主動情搜以預防資安事故。
2.事件發生時:損害控制緊急應變,建立有效的災害應變機制,迅速將損害控制止血,運用演練經驗,在最短時間內恢復正常,維持企業體營運持續。
3.發生以後:追查並列入預防,調閱系統紀錄追蹤問題原因,擬定對策成新預防措施,引入弱點檢測團隊,抵減查核盲點提高內控機制可靠性。
二、具體管理方案
本公司為強化整體資訊安全,2024年專案執行重點如資訊系統導入新版ISO27001:2022管理(2024/5完成取證) 、員工上網保護強化(公司內/外、隨時/隨地/隨機)、郵件系統進階防護、持續精進內網駭侵偵防強化案(端點進階防駭保護、內網入侵軌跡偵測、資安戰情分析平台) 、強化異地離線備份機制(24Hr產線復原)、郵件防詐騙演練/資安訓練、整合多方聯防組織共享即時防禦情資,以及遵循集團資安推展計畫,穩健推展整體資安戰略布局、持續優化、落實資安訓練等。本公司已規劃2024~2026年「資安風險內控管理措施」,以【資安戰略聯防】為主軸,並制定各戰術措施支撐戰略逐步推動,擴大佈署縱深防禦量能。持續針對資安韌性和ZTA零信任架構,展開關鍵環節探測及威脅獵捕等進階技術導入。有關資訊安全管理執行現況及未來規劃報告,每年定期由稽核單位報告董事會,落實資訊安全風險管理。
本公司投入資通安全的人員設置總數:資安長1位、資安主管1位、專責人員3位(營運資訊管理組),並每月定期呈報資安月報。
三、2024資訊安全風險事項報告:無重大資安事件,未合規風險案例及系統障礙事件,每月進行事件盤點,並將相關結果彙整於資安月報中,通知各部門參考與遵循。
四、投入資通安全管理之資源
資訊安全已為裕隆公司營運重點確保項目,所需的資安管理事項及投入的資源方案如下:
1.專責人力:資安組織推動「資訊安全長設置」,含資安長1位、資安主管1位及專責資安人員3位,負責裕隆汽車公司整體資訊安全規劃、技術導入與相關的稽核事項,每月定期召開資安月會,以落實及持續強化資訊安全。
2.客戶滿意:重大資安事0件,違反客戶資料遺失之投訴案件0件。
3.教育訓練:所有新進員工到職前皆完成3小時資訊安全教育訓練課程;全體員工皆完成3小時實體資訊安全教育訓練及考核;每年定期執行釣魚郵件測試,113年共發出623封釣魚郵件,並安排誤觸同仁進行資安教育訓練。
4.資安公告:每月發布資安公告,向全體員工傳達資安防護各項規定、新興資安態勢資訊 與注意事項。
5.網站安全:導入WAF 網站應用防火牆機制確保對外重點系統網站的連線安全。
6.資料保全:導入裕隆人員電腦資料備份機制,廠區所有行政人員全數納入確保營運資料皆受到保護。
7.主機保護:導入新備份系統與日誌管理系統,使資訊系統受報完整保護。
8.產線資安:導入各工場防火牆分隔,阻斷病毒橫向擴散風險。
9.郵件資安:引進偽冒裕隆郵件全球檢測服務以攔阻偽冒釣魚郵件,每年度偵測及聯防約1000件。
10.風險偵測:所有新導入資訊系統上線前皆完成2次以上系統弱點掃描與修補作業,預防潛在弱點漏洞風險暴露。
專利及營業秘密
1. 專利方面,除安排專利進階課程「專利提案申請流程及檢索」、「專利侵權處理及檢索」提供相關同仁進修外,並完成特定技術領域情報調研,後續將參考調研建議規劃研發方向及提出專利申請。
2. 營業秘密方面,由裕隆汽車相關單位:品檢部、三義工廠、生技部、生管部、事發部、財企部、採發部、製服部、稽核室以回溯至2003年10 月 1 日的文件進行盤點,將前述文件分為八大類、共 5,838 份。並依據前述盤點意見及現有規章為基礎,制定營業秘密管理辦法,建立資訊管理系統,以強化營業秘密管理。上述成果已於第16屆第12次董事會(2021/11/11)中提報通過,後續安排每年11月董事會作定期報告。
-
項目 時間 操作 資訊安全風險管理架構 
