風險管理
為確保本公司之穩健經營與永續發展,依金融監督管理委員會訂頒之「公開發行公司建立內部控制制度處理準則」於109年2月27日董事會訂定本公司之「風險管理政策與程序辦法」以資遵循。該辦法明文由本公司之董事會、審計委員會、稽核室、總經理及總經理室、各風險管理單位、各單位及子公司共同參與推動執行相關風險管理措施。
自109年度起,每年度訂期將運作情形報告至董事會:
113年風險管理運作情形於113年11月8日董事會報告,詳細內容請參閱附檔:113年度風險管理運作情形報告
112年風險管理運作情形於112年11月3日董事會報告,詳細內容請參閱附檔:112年度風險管理運作情形報告
111年度運作情形於111年11月4日董事會報告,詳細內容請參閱附檔:111年度風險管理運作情形報告
110年度運作情形於111年1月11日董事會報告,詳細內容請參閱附檔:110年度風險管理運作情形報告
109年度運作情形於110年1月22日董事會報告,詳細內容請參閱附檔:109年度風險管理運作情形報告
2024年智慧財產權管理制度(TIPS)執行情形
本公司自2020年於總部及鹽水廠區導入TIPS智慧財產管理制度,2021年進一步導入新莊廠區,並於2023年持續通過TIPS(A級)驗證,有鑑於要進一步完善公司智慧財產管理之內部控制,在2024年配合公司的自動化與系統化流程管理,在不同廠區間實現自動化資訊對接,並為著作與營業秘密制定管理辦法,以期更完善智慧財產管理的範疇。遵循TIPS第5.2條(智慧財產管理政策)及第5.3條(目標規劃)之規範,訂定出當年度之智慧財產管理政策及其目標,並於2024年11月8日董事會報告執行情形與年度計畫。
智慧財產管理計畫
-
- 智慧財產權管理政策
- 提升創新研發技術能力,強化競爭力
- 培養員工對智財權利之認知,落實公司智財權管理制度
- 強化公司機密文件管理
- 落實公司治理法規遵循
※因應智慧財產權管理政策所訂定之智慧財產管理目標及執行情形,請見「年度執行情形與智慧財產管理成果」
- 智慧財產權管理政策
-
- 智慧財產管理措施
- 自2020年導入TIPS之相關規範,本公司持續抽樣盤點自身專利、商標、著作與營業秘密等相關智慧財產權,並新增鼓勵創新、定期執行智慧財產相關教育訓練、完善智財管理以及合約審閱等相關流程及進行系統化與自動化。
本公司之智慧財產管理措施中,已規範有智財風險評估、智財權申請之提案審查、智財權維權評估、侵害處理流程以及智財事務委外之相關注意事項等多項管理流程。本年度進一步針對營業秘密及著作權完善管理制度,並針對產學合作及委外研發等工作流程增加管制單位與確認點等,並預計於2025年開始執行,以期更完善地保護公司的智慧財產。
未來,本公司將依每年的營運策略,以及因應政府政策與市場的變動,滾動式檢視智慧財產管理政策及目標,並配合調整本公司的智慧財產管理制度,未來也將透過TIPS持續驗證,檢視公司智慧財產管理是否仍有存在各項潛在風險,確保管理制度能有效運作,並逐步完善管理制度,以避免潛在智慧財產相關爭議事件發生。
年度執行情形與智慧財產管理成果
-
- 智財管理目標及執行情形
項次 智財管理目標 執行情形 1 對全體員工舉辦至少1次智慧財產與TIPS制度教育訓練 教育訓練課程「TIPS+智慧財產」已於 8/1以線上課程形式對全體員工進行教育訓練 2 優化智財權管理系統,與至少1個研發單位實現自動化資訊對接 已完成與不鏽鋼事業群自動化資訊對接,實時同步更新 3 內部研發成果保護:全公司預計於2024年底增加至少 5 件專利申請(不鏽鋼事業群-3 案;電線電纜事業群-2 案) 本年度已提出12件專利申請(不鏽鋼事業群-已申請3件;電線電纜事業群-已申請8件;資源是群-以申請1件) 4 技術研發合作成果保護:修訂「產學合作管理辦法」與對應規章辦法至少1項 已於10月提出「產學合作與委外研發管理辦法」規章修訂申請案,並已完成對應規章辦法「專利、著作與營業秘密管理辦法」的修訂 5 對全體員工辦理至少1次營業秘密與保密義務之教育訓練 教育訓練課程「營業秘密系列課程-機密文件保護與工作應用」已於 7/1以線上課程形式對全體員工進行教育訓練 6 機密文件盤點至少1次,並依盤點情況提出管理流程改善至少1項 已於10月底至11月初陸續完成機密文件盤點,並依盤點情況提出管理流程改善建議事項 7 營業秘密註冊至少1件,並依營業秘密註冊情況提出管理流程改善至少1項 本年度已有1件營業秘密案件註冊,並依註冊情況提出管理流程改善建議事項 8 向董事會報告智慧財產管理執行情形至少1次並於公司官網更新至少1次當年度智慧財產管理制度執行情形 於11/8向董事會報告執行情形與年度計畫;並於12月底將智慧財產管理執行情形揭露於公司網站 - 取得智慧財產之成果
- 本年度已獲證的專利數共9件;已提出申請的4研發案進行多國家佈局共計申請12件專利。此外,截至2024年12月31日為止,本公司已領證專利共37件,其中發明26件,新型8件,設計3件;申請中案件共30件,其中發明27件,設計3件;已領證商標共197件,申請中商標共7件,整體智慧財產佈局狀況如下圖所示。
- 智慧財產優勢與對企業營運之貢獻
- 完善智財保護:落實智財觀念,辦理智慧財產權及機密保護相關課程,配合軟硬體設施與制度的完善,文件分級管理,提升員工業務執行流程之機密性保護。
- 全球化營運布局:配合公司集團國際化策略,技術與品牌布局並行,實現產品與服務高值化。
- 完善研發流程:強化研發專案導向之研發流程,並提供合理的獎勵制度,提升研發人員之研發與申請專利之意願,以提高公司研發及智財能量。
- 公司治理透明化:於公司官網揭露智慧財產管理計畫執行情形,展現智財管理成效。
-
- TIPS驗證
- 本公司於去年(2023年) 提出台灣智慧財產管理系統(TIPS) A級再驗證申請後,再次通過驗證,證書有效期間至2025年12月31日。並於本年度(2024年)4月10日順利通過TIPS A級抽驗。
-
- 可能遭遇智慧財產風險類別及因應措施
- 為確保研發成果能有效發揮及相關權利獲得保障、避免智慧財產權受侵害,使其經濟價值得以保存,本公司辨別風險類別及因應措施如下:
智慧財產權風險類別 因應措施 專利 • 落實研發流程之專利風險評估。
• 鼓勵研發人員多提出專利申請。商標 • 強化商標申請、維護與使用之掌握 機密管理 • 加強與落實員工智財權教育訓練。
• 加強機密標記之落實。
• 注意與外部廠商簽署之合約審閱。
智慧財產管理展望
展望未來,華新麗華預期透過建立一套完整的智慧財產管理制度來激勵內部研發能量、保護技術與研發成果,結合工業4.0的導入,逐步優化製程,促進產品創新、升級以及智慧製造,實現公司成⻑之高值化轉型策略,且亦能透過揭露智慧財產能量獲取金融機構及投資者的信賴,使客戶與投資人獲得完整資訊,正確評估公司真實價值與競爭力,並在工業4.0之基礎下,堅持節能環保及研發創新開發對環境永續的產品與技術,實現友善環境,關懷社會的成果,達到企業永續經營之目的。
面對日益嚴峻的資安威脅,華新以NIST CSF與CISA ZTA架構為基礎,實踐高標準資安防禦縱深,全面有效識別企業面臨之資訊安全風險,即時施以有效的控管措施與降低資訊安全風險。
華新將持續優化資安防護,導入雲地整合資安管理架構,逐步雲端化資訊系統與備援機制,以提升運營效率與資安水準,助力「淨零碳排」目標的實現。
1. 建置資訊安全風險管理架構
為了建構「數位永續」的資訊系統架構,推動「數位轉型」的企業目標,華新麗華已推動以「強化資安韌性」為主軸的資訊安全策略方案,建置整體資安防護平台,完善資訊安全技術防護措施,發揮即時主動防禦能力,奠定數位永續的基石。
- 專責資安組織:華新麗華已成立專責資訊安全組織-「資訊安全與系統維運處」,2022年設立資訊安全長(CISO),一名資安主管與二名以上專責資安人員,負責製修資安政策,規劃、協調與執行資訊安全防護措施,執行資訊安全風險評鑑與管理,擬定完整的資訊安全計畫,並逐年推動資訊安全管理與解決方案。
- 高階主管參與:資訊技術督導委員會(IT Steering Committee),為總公司與事業單位資訊安全管理與決策組織,負責審查與決議資訊安全管理相關事項。董事會亦有多名資訊安全相關背景成員於審計委員會監督及審核資訊安全政策推動工作。
- 落實資訊安全管理:華新麗華於2022年導入ISO 27001資訊安全管理系統(ISMS)並取得第3方驗證機構認證,以PDCA落實資訊安全的管理。並於2024年順利取得ISO 27001:2022新版認證,進一步強化了威脅情報、組態管理及雲端服務的安全防護。全面性建構企業組織的資訊安全管理體系的機密性、完整性及可用性,並依「事前預防」、「事中監控」、「事後應變」等不同面向的管理規劃,協助企業持續強化資訊安全管理。
2. 資訊安全政策與目標
資訊安全目標為維護本公司客戶資料與營業資訊等機敏性資料之機密性、完整性與可用性,藉由全體同仁、內外部資訊服務使用者與第三方委外服務提供者,共同努力來達成下列政策目標:
- 依循各項法令法規要求,保護本公司之資料機密,避免未經授權的存取、擅改、破壞或不當揭露。
- 保護本公司營業活動資訊,避免未經授權的存取或揭露,並確保各項營業資訊之正確性。
- 建立完整之營運持續計畫及資訊安全事件管理程序,以確保事件妥善回應、控制與處理,並定期演練,以確保資訊系統或資訊服務持續運作。
- 依據個人資料保護法與智慧財產法之國內外相關規定,審慎處理及保護個人資訊與智慧財產權。
- 定期執行資訊安全遵循性審查作業,檢視資訊安全管理制度之落實。
- 全體員工隨時保持高度資訊安全意識,各級主管應負起資訊安全監督管理與訓練之最終責任,並透過管理審查、風險評鑑、內部稽核、教育訓練與資訊安全演練等各項活動,達成 降低資訊使用風險之目標。
- 本公司所有同仁均須遵循資訊安全政策、管理辦法及標準程序,違反資訊安全政策與相關規範,依相關法規或本公司規定辦理。
3. 建構企業資安韌性,落實資安制度管理
- 擬定資安計畫以逐年推動資訊安全政策,導入資訊安全制度與流程規範,並持續架構完整資訊安全技術防護措施。
- 具體管理方案規劃以「內外區隔」、「強身健體」、「見微知著」、「智慧安防」、「行為分析」5個目標,「IT治理」、「資料與設備防護」、「網路與系統管控」、「邊界防禦」4個構面,逐步達成。
- 具體管理方案包含:
- 規劃與建置資料保護機制,降低機密資料外洩的風險。
- 持續導入先進資訊安全解決方案,以有效保護與管理系統、主機與網路行為。
- 強化對外資訊服務保護,提昇阻擋駭客攻擊的能力。
- 定期舉辦教育訓練,宣導資訊安全新知,提高員工資訊安全意識。
- 定期針對重要系統進行災難備援演練,在災害發生時,能迅速恢復營運,確保公司營運持續能力。
- 導入端點防護機制(EDR),改善端點、伺服器與網路設備的保護能力。
- 導入資訊安全監控機制(SOC),建立有效即時事件處理及反應能力。
- 華新麗華於 2022 年導入 ISO 27001 資訊安全管理系統 (ISMS) 並取得 第 3 方驗證機構認證,以 PDCA 落實資訊安全管理。全面性建構企業組織的資訊安全管理體系的機密性、完整性及可用性,並依「事前預防」、「事中監控」、「事後應變」等不同面向的管理規劃,協助企業持續強化資訊安全管理。
- 強化雲端資訊安全管理,透過ZeroTrust 實現ESG 數位永續目的。
- 導入以AI自動化科技輔助資安偵測與防護。
- 落實資訊安全漏洞分析,主動採取防護措施。
- 制定「資訊作業委外管理辦法」、「華新麗華資訊安全規範」明定資訊委外廠商需遵循的規範,在合約載明資安承諾事項以及稽核權益。
4. 投入資通安全管理之資源
對應資安管理事項及投入之資源方案概述如下:
- 重大議題:2024年「資訊安全管理」列入公司永續報告書的「重大議題」之一。
- 專責組織:專責資訊安全組織-「資訊安全與系統維運處」,設立資訊安全長(CISO) 、一名資安主管與二名以上專責資安人員,負責製修資安政策,規劃、協調與執行資訊安全防護措施。
- 管理審查:資訊技術督導委員每年至少召開一次管理審查會議,審核資訊安全政策及其執行與落實情形,以確保資訊安全之標準化政策之有效性和適宜性,以符合相關法令及主管機關的要求。
- 資安認證:持續每年通過ISO 27001資訊安全管理系統(ISMS)認證,相關資安稽核亦無重大缺失。
- 關係人議題:2024年未發生重大資通安全事件與機密資料外洩情事,也未造成公司及客戶的損失。
- 宣議與訓練:企業內部持續每年推動為期一個月的資安月宣導活動,以及執行全員資安教育訓練必修課程,2024年修習人數已超過2,500人次。2024年已執行12次電子郵件社交工程演練,演練人數超過2500人,並對未通過社交工程演練的同仁,要求參與線上資安課程並完成測驗。落實與執行資安事件通報管理與演練。
- 資安規範:除2022年修訂全部資訊安全規章外,2023年再修訂資訊安全規章3份,2024年再修訂資訊安全規章13份,以符合國內外法規要求及因應外在環境的變遷。
- 資安檢測:2024年進行4次第三方資訊安全風險檢測作業。
2024年度未發生重大資通安全事件與機密資料外洩情事,也未造成公司及客戶的損失。
ISO 27001證書
營運持續管理辦法
為建立公司良好之內部重大資訊處理及揭露機制,避免資訊不當洩露,並確保本公司對外界發表資訊之一致性與正確性,防範內線交易,制定『內部重大資訊處理暨防範內線交易管理作業程序』,以資遵循。
同時為強化股票交易控管措施,本公司依據『公司治理實務守則』修訂『內部重大資訊處理暨防範內線交易管理作業程序』,113 年度之執行情況:
| 財務報告期別 | 董事會召開日暨公告日 | 封閉期間 | 已執行防範措施 | 備註 |
|---|---|---|---|---|
| 112年年報 | 113/2/23 | 113/1/24-113/2/23 |
已由公司治理主管預先發出電子郵件通知相關內部人(包括但不限於董事)於封閉期間內禁止交易其持有本公司已發行有價證券。 |
仍不得違反證券交易法 157-1 條之消息沉澱期間規定。 |
| 113年第一季財務報告 | 113/5/3 | 113/4/18-113/5/3 | ||
| 113年第二季財務報告 | 113/8/2 | 113/7/18-113/8/2 | ||
| 113年第三季財務報告 | 113/11/8 | 113/10/24-113/11/8 |
每年度定期將向董事、經理級以上主管進行禁止內線交易法規宣導。
113年度內部宣導(線上線下課程共計1小時)執行情形如下:
| 對象 | 課程 | 上課人數 |
|---|---|---|
| 全體同仁 | 【2024年度必修系列】內線交易 | 2,396 |
| 全體同仁 | 【2024年度必修系列】誠信經營-洗錢防制 | 2,398 |
| 董事/經理人 | 內線交易防範宣導與證券法規 | 11 |
| 新任董事/經理人 | 內部人股權交易法律遵循宣導 | 2 |
供應鏈管理政策
華新制訂《供應商管理辦法》、《供應商企業社會責任績效評估原則》及《永續採購管理辦法》等政策,確保供應商在品質、成本、交期、服務等皆符合需求,並藉由書面評鑑、實地稽查,持續追蹤供應商對環境保護、人權等議題的執行情況,以善盡社會責任,推動供應鏈永續發展。
為有效落實供應商管理機制,打造永續供應鏈,以三大面向制定短中長期目標,並依「供應商管理辦法」按採購金額、重要性、影響力、獨特性、策略性合作等構面鑑別出關鍵供應商,透過各種資訊與實務作業之交流,持續溝通華新永續經營政策、推動韌性供應鏈,往共同價值與目標推展。
關鍵供應商鑑別
華新為落實供應商有效管理,以重要原料、物料、資產設備、工程承攬、廢棄物處理與委外代工等項目為評選因子,並根據華新麗華制定之「供應商管理辦法」按採購金額、重要性、影響力、獨特性、策略性合作等構面衡酌選定,從總供應商家數 5,413 家 註1 中鑑別出關鍵供應商 503家 註2 ,占總採購金額 64.92%,作為共同推動韌性供應鏈及強化供應商企業社會責任之對象。
註1: 供應商定義為依採購流程建檔、付款與管理且當年度具收貨紀錄之供應商,並扣除合併 關係人及各廠區間重複之家數。
註2: 包含臺北總部、電線電纜事業群 ( 新莊廠、楊梅廠、上海華新 )、不銹鋼事業群 ( 鹽水廠、 臺中廠、煙台華新、常熟華新、江陰合金 )、商貿地產事業群、華新精密、歐洲不銹鋼之 供應商。若不含歐洲不銹鋼之供應商,總供應商家數4,083家,從中會鑑別出關鍵供應商139家,占總採購金額 60.19%。
供應鏈管理落實
禁止使用衝突礦產
為落實禁用衝突礦產政策,要求供應商自主揭露礦產來源,確保供應商之採購來源非來自衝突地區和高風險地區且符合客戶及法規要求,根據採購項目及內容,優先採用經責任礦產倡議組織(Responsible Minerals Initiative, 簡稱RMI)驗證的合格貨源,或透過 RMI的衝突礦產調查範本(Conflict Minerals Reporting Template, Extended Minerals Reporting Template, Additional Minerals Reporting Template;以上簡稱 CMRT、EMRT與AMRT)進行調查,以杜絕使用衝突礦產的可能性。
RMI設施清單:https://www.responsiblemineralsinitiative.org/facilities-lists/
CMRT:https://www.responsiblemineralsinitiative.org/reporting-templates/cmrt/
EMRT:https://www.responsiblemineralsinitiative.org/reporting-templates/emrt/
AMRT:https://www.responsiblemineralsinitiative.org/reporting-templates/amrt/
供應商永續承諾與自評
為強化並落實供應商永續管理,要求臺灣與大陸廠區供應商簽署《供應商經營管理承諾書》,以確保其遵循相關管理規範,並由供應商評估自身管理現況,填答「供應商企業社會責任自評問卷」,評估項目包括經濟面、社會面、環境面,依據自評問卷填答結果,分析供應商在永續面向的管理程度,並評估永續威脅事件發生機率、造成衝擊程度與預警機制,鑑別出各關鍵供應商於永續威脅事件發生情況下,對華新麗華營運造成的威脅與衝擊。
根據該評鑑結果,華新將在優先選擇ESG表現較優者進行交易;惟若評鑑屬「高風險供應商」者,將於評鑑次年度搭配華新安環單位進行實地審查及輔導,並要求供應商於規定的時間內改善缺失以達到最低ESG要求,若無改善將視情節逐漸降低採購比例或納為不合格供應商,經列為不合格供應商則後續將無法再簽訂合約進行交易。
永續供應鏈詳細內容請參閱企業永續網站:https://esg.walsin.com/zh_TW/