風險管理與資通安全
風險管理體系與架構
經營理念
- 本公司已制定風險管理政策並於2022年3月15日由董事會批准生效,作為本公司風險管理之最高指導原則。主要核心精神在於遵循國際標準體系,向卓越標竿企業學習。同時落實法令遵循,以確保實現企業永續經營。
- o本公司遵循金融監督管理委員會發布之公開發行公司建立內部控制制度處理準則,建立財務、業務及會計管理制度,評估並監督營運活動之風險。經營管理階層積極參與訂定風險管理政策與對應方針,確保營運活動之風險在可接受範圍內。
- 本公司遵循重要生產基地之當地政策法規。例如:中華人民共和國財政部會同證監會、審計署、銀監會、保監會發佈的《企業內部控制基本規範》相關指導意見。
全員參與的內控設計
- 依據組織架構、職責授權及流程control points建置內控體系,同時透過內控自評及績效考核達到落地執行之目標。
- 推動內控自評,涵蓋整體層級及作業層級,2024年共計執行436個單位 (對象為處級以上單位或獨立單位) ,共計有251人完成自我評量 (包含董事長/副董事長/總經理/獨立董事及相關之管理人員等) ,覆蓋面完整,足以確保內控流程的導入與實施有效。
誠信經營及風險管理框架
- 本公司參酌臺灣證交所公布之《上市上櫃公司誠信經營守則》及《誠信經營作業程序及行為指南》,已制定【誠信經營守則】及【誠信經營作業程序及行為指南】。
- 本公司參考國際IIA總會公布之風險管理三道防線架構,同時依據公司組織圖之實務運作,擬定風險管理管理組織與流程。
- 為推動風險管理,由各單位主管依其職責任務編組設置權責單位,負有日常風險管理之責任,並透過各單位間之溝通、協調與聯繫,共同推動及執行年度計畫及專案,落實整體業務之風險管理。
- o風險管理課程:為落實資訊安全觀念至每一位員工身上,本公司針對全體員工進行資訊安全講習課程,藉以強化員工風險安全意識及警覺性。
2025年風險識別及優先順序
本公司依循ISO 31000框架及方法論,執行辨識 (Identification) 、分析 (Analysis) 、評價 (Evaluation) 等流程,依照「策略」、「財務」、「營運」、「法遵」、「環境」五大面向彙整42項風險議題。再以「風險分析矩陣」,考量公司資源,決定管理風險優先順序。
風險應對策略
依據風險分析矩陣之結果,本公司針對前三大風險,分析內外部環境,確認具體風險,並擬妥應對策略,詳述如下。
新興風險之辨別
誠信經營與反貪腐
仁寶致力於建立道德經營的企業文化,堅持對賄賂和腐敗等不道德行為「零容忍」的原則。相關政策詳見仁寶官網。
o 仁寶電腦對貪腐與賄賂始終堅持零容忍原則,為強化本公司之商業誠信水平,有效因應利益衝突等相關風險。在參酌ISO37001反賄賂管理國際標準、響應國際組織對透明與揭露評比之期待、遵循主管機關之規範與期待,特建立仁寶電腦誠信經營與反貪腐管理體系。
o 誠信經營與反貪腐之管理團隊會定期借鑒國際標竿企業之best practice,參考美國FCPA《反海外貪腐法》、英國UKBA《2010年反賄賂法》,強化內部管理及稽核程序,有效應對外部環境之挑戰,為布局全球、邁向國際一流企業奠定殷實基礎。
員工之誠信經營與反貪腐教育訓練(包含兼職員工和實習生)
全球管理層與非管理層培訓指標
資通安全
ISO 27001 資訊安全政策
本公司為達到「確保持續營運、提升客戶滿意度」之資安策略,建立資訊安全管理體系,制定資訊安全職能及職責,全體員工與合約委外廠商共同參與。識別資訊資產、落實資訊安全風險評鑑、遵循法令法規、滿足客戶安全要求並審慎評估整體資安風險項目與接受準則。
因應數位環境演進及新科技日新月異,強化數位韌性,以積極防禦心態實施識別 、保護 、偵測、 回應、復原之資安控制以維護重要資訊資產的機密性、完整性及可用性。藉由管理階層審查以及績效評估持續改進,維持資訊安全管理體系之有效性。以期獲得客戶信賴、達到對股東的承諾,實現企業永續經營。
資訊安全管理組織
個人資料暨隱私保護政策與規範
仁寶制定「個人資料暨隱私保護政策與規範」,明訂員工應遵守及保護各種形式的個人資料處理程序、適用範圍、糾正措施及紀律處分。「個人資料暨隱私保護政策與規範」適用於仁寶集團內的所有人員。為落實隱私權保護制度,仁寶成立跨部門「個人資料管理小組」(簡稱個資管理小組)負責隱私問題,並設置隱私權保護專線 +886287978588分機14385、Compal_PIR@compal.com,接受申訴和舉報。仁寶對隱私保護採取零容忍政策。在個人資料的使用上,除非當事人明確同意仁寶進行個資蒐集,否則絕不會蒐集任何個人資料。此外,仁寶亦不得將個人資料進行二次使用,2024年經內部監測二次使用為零。若相關人員有失職行為,仁寶將採取紀律處分和糾正措施,以保護數據隱私。
ISO 27001 證書
仁寶集團個人資料暨隱私保護政策與規範