INVESTORS

投資人專區

企業風險管理政策

 

企業面對瞬息萬變、充滿營運挑戰的外在環境,建構風險應變機制暨強化風險管理能力已成為企業永續經營的必要條件。

裕隆汽車為穩健營運、降低經營風險,在經營管理、安全衛生、環境、資訊方面皆有當責單位負責管理、查核,並籌組成立「風險法遵室」,共同研議後擬訂「企業風險管理政策」,於第16屆第8次董事會(2020/11/10)中提報核准通過,內容如下:

  • 一、風險管理政策

1.秉持企業永續經營及社會責任,建置企業風險管理機制,為公司所有的利害關係人提供適當的風險管理。

2.針對重要的風險事件,進行事前風險評估,訂定危機處理程序及復原計劃, 降低營運衝擊的嚴重度。

       3.持續改善風險管理機制及縮短應變時間,提升風險管理的完整性及風險控制的有效性。

 
  • 二、風險管理程序

    1. 界定風險管理範疇

   2. 風險評估:評估風險發生頻率、機率、衝擊程度

   3. 風險控制:訂定符合成本效益的風控計劃/對策

   4. 風險應對

      (1)風險事件模擬演練

      (2)執行風控計劃/對策

   5.風險監控及報告

      (1)定期召開風險管理專案會議,掌控風險項目及風險控管執行成效

      (2)每季向董事會提報風險管理運作情形

 

三、風險管理範疇
 

 

 

四、風險法遵室組織架構

                                              

 

 

2025年11月04日於審計委員會提報及11月07日於董事會提報2025年風險管理執行情形

1. 風險查核事項報告

針對營運層面鑑別出七大風險構面,分別為法遵合規、資訊安全、資金流動、環境安全、勞資關係、營運聲譽、供應韌性,本季評估結果顯示,各項指標仍維持於中低風險區間,整體風險水準可控。

2. 智慧財產管理政策

為強化公司研發成果之保護與運用,並將智慧財產管理納入公司治理架構,2025年度本公司依「台灣智慧財產管理規範(TIPS)」及「上市櫃公司治理實務守則」推動相關作業,主要作法及成果如下:

(1).制度與治理架構:智慧財產管理作業採TIPS(A級)標準運作,並透過內部稽核及年度檢討,確保智財管理制度與公司治理、風險控管及研發流程相互連結。

(2).成果:截至2025年10月,累計註冊商標179件(含申請中),核准專利10件,涵蓋車輛設計及能源領域。

(3).2025年度重點工作: 2025年度公司智慧財產管理聚焦於制度落實與應用深化,7月辦理「研發紀錄管理制度說明會」,針對研發與法務人員共16人進行實務培訓,並推動線上課程以提升智財風險意識與合規文化;同時完成特定技術領域情報調研,據以擬定專利佈局方向,並舉辦「商標註冊考量重點」課程,增進相關單位對品牌識別與防偽管理之認知。

(4).後續規劃:持續強化「專利與產業資訊整合分析」,以智財佈局支援公司中長期技術發展方向。

3. 資訊安全推動報告

2025年公司依集團資安藍圖推動中期資安強化計畫,聚焦於「制度建置、縱深防禦與應變管理」三大方向,展開5項主軸、9項工作項推動作業。

(1).監測結果顯示,全年未發生重大資安事件、法規違規或系統中斷,資訊安全風險可控。

(2).公司已完成2025–2027年資安藍圖規劃,以「資安戰略聯防」為主軸,建立跨系統威脅監控、強化防禦縱深化佈署及人員教育常態化機制,持續提升企業資安防護能量與營運穩定性。

 

2024年11月12日於董事會提報2024年風險管理執行情形

1. 智慧財產管理政策

A.本公司智財管理目前委由總管理處協助辦理,總管理處依「臺灣智慧財產管理規範(TIPS)」及「上市櫃公司治理實務守則」規劃並推動智慧財產管理計畫。

B.智慧財產成果統計:累計至2024年10月,本公司註冊商標181件(含申請中),核准專利8件;另有營業秘密總計共2,535份相關文件。

C.2024年度智財管理計畫執行成果:基於風險考量,2024年執行專利及營業秘密二項,其成果如下:
a.專利:(a)完成特定技術領域情報調研,後續將參考調研建議規劃研發方向及提出專利申請。(b)3/27舉行「專利管理制度說明會」,僅特定人員參與共37人,課程1小時。
b.營業秘密:(a)配合智財管理,6/28針對營業秘密管理制度提出檢視建議。(b)8/16完成全公司營業秘密定期盤點,搭配EIP系統產生異動報表,盤點範圍將文件分類為7大類,總計共2,535份相關文件。

D.2025年度智財管理計畫規劃:擬定專利、商標二項重點項目,並依循臺灣智慧財產管理規範(TIPS)針對智財管理制度進行持續改善作業、「商標是否申請註冊之考量重點」課程等工作。
2. 資訊安全執行情形

本公司為強化整體資訊安全,於2024/05/16 獲BSI 英國標準協會 ISO 27001:2022 認證通過取得證書,並於內部公告相關辦法,降低因不合規操作,所導致風險事件產生。此外針對員工上網、郵件防護擴大守備範圍並限縮攻擊面,減少因人員錯誤操作,進而影響內部資訊安全可能性。強化備份機制,遵循資安業界標準321備份原則,導入裕隆方舟計劃,降低營運衝擊與復原韌性。建立週期性資安課程、公告與月報制度,並配合時事與外部資安事件不定時發佈預警訊息,強化全體同仁資安意識與警戒心。

3. 2024資訊安全風險事項報告

2024資訊安全風險事項報告:無重大資安事件,未合規風險案例及系統障礙事件,每月進行事件盤點,並將相關結果彙整於資安月報中,通知各部門參考與遵循。

4. 未來資訊安全規劃

本公司已規劃2024~2026年「資安風險內控管理措施」,以【資安戰略聯防】為主軸,並制定各戰術措施支撐戰略逐步推動,擴大佈署縱深防禦量能。持續針對資安韌性和ZTA零信任架構,展開關鍵環節探測及威脅獵捕等進階技術導入。

5. 製造品質推動事項
2024年持續認證IATF16949汽車產業品質管理系統,以提升公司製造能力,降低產品品質不良的風險。

 

 

 

本公司各項風險管理權責單位與運作情形

權責單位

運作情形

稽核室

依風險評估結果,將主要稽核項目列為年度稽核計畫,執行內部控制制度之查核,並將稽核結果據實揭露於稽核報告,除依規交付或通知各監察人外,並加以追蹤改善。

營運發展本部

1.綜理公司經營策略規劃、目標及營運計劃控管,管理營運資金並提供財務分析資訊,處理會計、股務、稅務及各項人力資源管理業務,提供管理階層快速有效之營運管理資訊,藉由嚴謹控管與定時更新科技改變、產業趨勢、國內外重要政策與法令編修資訊,降低企業風險。

2.督促各單位及子公司將營收獲利列入年度KPI並追蹤達成,以避免營運績效之風險。

安全衛生室

定期實施勞工作業環境檢測與監查、依公司規定辦理工業安全衛生相關業務、防止職業災害,並指導有關單位實施相關計畫,降低員工從業風險。

供應鏈管理部

1.協調、規劃與控管綜合性生產計劃、新車系及供應商D&C評價管理、零件物料需求之規畫與控管、外包件交期控管與跟催,降低廠商供料不及之風險。

2.補給生產力及倉儲成本控管、零件及物料供應之規劃與控管、物流供應應用系統之規劃與建立、海外生產據點供料補給活動之協助與支援、支援品牌售服零件倉儲及配送,降低產線供料不及之風險。

品檢保證中心

全公司品質保證策略與品保系統之規劃與推動、產品檢驗、情報系統之推動與監查業務、品質意識與改善活動之推動,並另針對協力商生產之汽車零組件進行品質管理,降低成車風險。

 

  •                                                  

氣候變遷風險管理

 

氣候快速變遷的速度遠遠超過全球預期,極端氣候對於各地經濟、社會與環境造成的影響與日俱增,如何減少人類活動對於環境造成的持續危害成為全球課題,而鑑別氣候變遷所衍生的風險並制定因應對策亦成為企業當務之急。

裕隆汽車關注氣候變遷議題,積極鑑別並因應各項極端氣候帶來的風險、衝擊,並從中尋求機會:

1.制訂全公司節能減碳、溫室氣體減量...之KPI,並按月盤查管控達成率,訂定改善措施。
2.更新設備、優化製程能源運用效率。
3.101年成立「節約能源服務團」、107年設置「節能委員會」、「協力廠價值鏈委員會」,輔導協力廠商致力環保,積極打造綠色供應鏈。
4.與鴻海合作,以電動車底盤、關鍵零組件模組的整套解決方案,縮短未來電動車開發流程,讓電動車產品更快速投入市場。

 

 

資訊風險管理
 
 

本公司遵循資訊安全管理制度,各項資訊作業不僅全力符合資訊安全標準流程與資訊安全法令法規,持續完備資訊安全治理制度,同時提升資安防禦能力、強化資安韌性,以降低資訊科技應用以及環境變遷所帶來未知的資安威脅風險。

一、全措施與管理架構

本公司依「公開發行公司建立內部控制制度處理準則」第九條「電腦化資訊系統處理」之規定制定相關內部作業規定,以降低新興資訊科技應用以及環境變遷所帶來未知的資安威脅風險。為掌握資訊安全風險管理,自三面向來對應及預防風險事件發生:(1)未發生前:定期自主盤點檢驗,從流程與技術多方面著手,主動預防資安事故;(2)事件發生時:損害控制緊急應變,建立有效的災害應變機制,迅速將損害控制止血,運用演練經驗,在最短時間內恢復正常,維持企業體營運持續;(3)發生以後:追查並列入預防,調閱系統紀錄追蹤問題原因,擬定對策成為新預防措施,引入弱點檢測團隊,抵減查核盲點提高內控機制可靠性。

 

二、具體管理方案

為強化整體資訊安全,具體進行多項資訊安全強化專案,範圍包含【內外傳輸網路防駭】、【員工資安意識提升】、【防範惡意網站管控】、【遠距工作連線保護】、【系統弱點改善/滲透測試】、【資料外洩保護】、【跨公司異地機房/備援強化】、【增強IT管理框架(ISO/ISMS)】、【隨身儲存裝置管控】、【郵件系統優化】、【營業秘密文件管理】和【產線OT網路強化】,2026年起規劃「資安風險內控管理措施」推動藍圖,穩健推展整體資安戰略佈局、持續優化。因應裕隆集團轉型,採「全面開放,爭取多元客戶,資源共用共用」的情境下,針對【保密性風險】資安強化為主軸,提升保護等級並與科技/國際業界接軌,增加客戶信任度、防止機敏資料外洩發生。有關資訊安全管理執行現況及未來規劃報告,每年定期由治理主管報告董事會,落實資訊安全風險管理。

 

三、2025資訊安全風險事項報告:無重大資安事件,未合規風險案例及系統障礙事件,每月進行事件盤點,並將相關結果彙整於資安月報中,通知各部門參考與遵循。

 

四、投入資通安全管理之資源

資訊安全已為本公司營運重點確保項目,所需的資安管理事項及投入的資源方案如下:

1. 資安治理: 推動ISO 27001標準資訊安全管理方法與流程,以落實及持續強化資訊安全。提升資安管理制度水準,於2024年取得ISO 27001資訊安全管理認證,最新認證效期2024/5/16至2027/5/15,證書編號(IS805492),已於2026年4月完成複查。資安組織「資訊安全長設置」,含資安長1位、資安主管1位及專責資安人員4位,負責公司整體資訊安全規劃、技術導入與相關的稽核事項,每月定期召開資安月會,每年至少進行一次董事會報告。

2. 客戶滿意: 重大資安事件0件,違反客戶資料遺失之投訴案件0件。

3. 教育訓練: 所有新進員工到職前皆完成1小時資訊安全教育訓練課程;設定資安種子人員與高風險人員,進行實體資訊安全教育訓練;每年對全體同仁進行資安考核,114年度全員通過;114年度共計執行2梯次資安社交工程釣魚郵件測試,累計共37位員工誤觸,誤觸率為6.1%。

4. 資安公告: 每季發布資安公告,向全體員工傳達資安防護各項規定、新興資安態勢資訊與注意事項。

5. 端點安全: 導入員工上網安全機制,同仁於出差或居家辦公情況下,透過手機4G/家用網路上網時,所有電腦具備防毒軟體/EDR等攔截功能及網站安全確保措施,保護網擴大到隨時/隨地/隨機。

6. 資料保全: 導入裕隆人員電腦資料備份機制,廠區所有行政人員全數納入確保營運資料皆受到保護。

7. 主機保護: 對外網站導入應用程式防火牆、離線備份系統與日誌管理系統,使資訊系統受到完整保護。

8. 產線資安: 持續管理產線安全,盤點各工場網路防火牆政策,降低各場域駭客入侵後橫向移動風險。

9. 郵件資安: 引進偽冒裕隆郵件全球檢測服務以攔阻偽冒釣魚郵件,114年度偵測並聯防共1,307件。

10.  風險偵測: 所有新導入資訊系統上線前皆完成2次以上系統弱點掃描與修補作業,預防潛在弱點漏洞風險暴露。

11.  人才培育: 資安專業人才供不應求,招募不易,提前規劃與培育確保未來需求,114年積極推動iPAS資安證書,裕隆已有 5 人取得證書,另有2人取得ISO27001主導稽核員資格。

12.  聯防整合: 資安團隊已完成4個單位結盟(包含台灣電腦網路危機處理暨協調中心TWCERT、國家數發部-網安中心NCCSC、金融產業F-ISAC、調查局-資安工作站)。

13.  資產監控: 建置SOC資安戰情監控中心,整合資訊系統與資安防護設備,涵蓋防火牆、IPS、WAF、網路流量、設備端點保護、防毒系統等,進行全面性資產可視化與風險識別,7×24 小時即時監控、分析與事件通報,以提升整體資安防護與即時應變能力。

 

 

                                                         智慧財產管理
 

專利及營業秘密

1. 專利方面,除安排專利進階課程「專利提案申請流程及檢索」、「專利侵權處理及檢索」提供相關同仁進修外,並完成特定技術領域情報調研,後續將參考調研建議規劃研發方向及提出專利申請。

2. 營業秘密方面,由裕隆汽車相關單位:整車生產中心、品質保證中心、生產供應部、生產技術部、生產開發部、數位營運部、人事總務部、成本會計部、能源發展推進室、行銷整合推進室、財務資管處、數位資安處、永續發展處、策略發展處、稽核室以回溯至2003年10 月 1 日的文件進行盤點,將前述文件分為八大類、共 5,838 份。並依據前述盤點意見及現有規章為基礎,制定營業秘密管理辦法,建立資訊管理系統,以強化營業秘密管理。上述成果已於第16屆第12次董事會(2021/11/11)中提報通過,後續安排每年11月董事會作定期報告。