風險管理
為強化公司治理、建立健全之風險管理作業,本公司於2022年11月8日經董事會通過訂定東聯化學股份有公司《風險管理政策》。
建構堅實的風險管理組織,針對關鍵營運議題及風險,進行系統化評估與分析,定期會議檢討並至少一年一次向董事會提出風險管理報告,以避免風險損害及增進事業利益,奠定永續經營基石。
風險管理組織架構及權責
本公司風險管理組織架構包括董事會、風險管理小組及各處/部相關單位。
相關權責如下
一、董事會
董事會為本公司風險管理之最高決策單位,並由審計委員會依本公司審計委員會組織規程第三條規定,監督風險政策及風險管理機制之運作,確保風險管理之有效性。
二、風險管理小組
本公司風險管理小組由各處/部最高主管組成,並由總經理擔任總召集人,風險管理小組負責風險管理,擬訂風險管理政策、架構及機制,建立質化與量化之管理標準。
風險管理小組應定期檢視各單位依內部分工負責陳報之風險控管情形,審查風險管理相關議題,監控整體營運之風險管理執行與協調運作情形,並應至少一年一次向董事會提出風險管理報告。
三、各處/部及相關單位
各處/部及相關單位應明確辨識其業務所面臨之重大風險,因應內外部環境及法令調整等變數,進行風險規劃,並執行必要之風險評估管理作業,定期彙整提供風險管理情形。
除上述組織外,若遇有突發性之新增重大風險發生時,致可能對公司產生重大影響之改變,則應成立相關應變小組以即時回應處理各種風險狀況,並與內外部相關利害關係人溝通,確保遵循法令規定及將潛在損失與衝擊降至最低。
針對關鍵營運議題及風險,我們進行系統化的評估與分析,並導入相關管理系統,輔以完善的風險策略規劃和具體行動,配合穩健的營運管理,確保經營實務與風險之間取得平衡,奠定企業永續經營的堅實基石。
氣候相關財務揭露(TCFD)
為透明揭露東職氣候變遷相關的風險與機會,讓各利害關係人了解東聯在氣候變遷方面的投入與因應策略,東聯於2023年依循《氣候相關財務揭露建議書》Recommendations of the Task Force on Climate-related Financial Disclosures,TCFD) 的指引框架,進行全面的盤點、評估及揭露氣候變遷議題。
東聯化學透過治理、策略、風險管理,以及指標與目標這四大架構,系統性分析氣候變遷對公司業務可能帶來的影響。根據分析結果,接續制定詳細的因應對策及行動,降低氣候變遷風險對公司營運可能造成的衝擊。詳東聯化學TCFD報告。
氣候相關財務揭露(TCFD)對照表
東聯重大氣候風險矩陣
實體風險
轉型風險
誠信經營
為落實誠信經營,杜絕不當商業行為,東聯訂有《誠信經營守則》及《道德行為準則》,並定期進行教育宣傳,具體管控董事、經理人、員工之商業行為。2023 年共396 人次、總訓練時數354 小時。
我們要求董事與高階管理階層出具遵循誠信經營政策之聲明,明確規範董事、經理人及員工在從事商業行為的過程中,不得直接或間接提供、承諾、要求或收受任何不正當利益,不得做出違反誠信、不法或違背受託義務等不誠信行為。
為確保所有相關利害關係人充分了解並遵守此政策,我們將上述政策及規範公佈於公司網站中,並積極進行溝通與宣導。此外,對於任何違反上述規定的行為,東聯將依法予以嚴懲,絕不姑息。並設有多重溝通管道,供員工及相關利害關係人舉報任何違反誠信經營規定的行為。所有舉報均受完善的保密機制保護,確保舉報人的安全與權益。
完善的內部稽核制度
東聯內部控制制度由經理人設計,經董事會通過,並由董事會、經理人及其他員工執行之管理過程,其目的在於促進公司之健全經營,以合理確保內部控制目標之達成:
為確保內控制度之有效運行,東聯設有獨立、隸屬於董事會之稽核部門,除定期向審計委員會報告稽核業務,並列席董事會報告。
我們重視ESG與內部控制、內部稽核之相關議題,於2023年稽核計畫中查核公司治理、財務作業、環境及勞工安全、資訊及研發等相關作業項目,確保營運與資訊揭露能符合利害關係人之期待。
資訊安全風險管理
東聯化學高度重視風險管理,除進行日常資料保全與駭客攻擊防禦外,亦將地緣政治風險納入考量,透過雲端化資訊系統與機房,降低駭客攻擊和地緣政治風險對企業運作的影響。
為保障東聯資訊資產免於不可承受的風險所衝擊,我們推動雲端機房專案,使資訊機房及資料設置在服務指標高達 99.99999999 的亞馬遜(AWS) 雲端機房,以確保公司營運的永續運作和客戶資訊的安全性。
1.資訊安全組織
針對「資訊安全管理組織」,東聯規劃設置資安主管,作為資安管理代表,進行資訊安全督導,另設置資安人員一名作為資安政策執行。
2.管理方針說明
東聯採取風險轉移策略及緊急應變策略,訂有風險評估、風險轉移、緊急應變及稽核維護等管理機制,確保資訊系統之有效運作:
3.行動方案
東聯積極推動資安強化措施,2023 年針對內部人員連線登入東聯資訊系統面向,導入二次身份驗證機制,並結合GoTrust 的免密碼零信任系統,搭配安瑞科技(3664.TWO)的存取閘道設備(vAPV),打造更為安全的存取門戶。上述技術提供反向代理、負載平衡及防止阻斷服務攻擊等功能,讓使用者透過手機或GoTrust 安全金鑰(Idem Key)即可實現免密碼登入,有效確保合適的人員能夠安全登入正確的系統。
此舉可大幅降低傳統密碼系統所帶來的安全風險,如釣魚及社交工程攻擊,並對後端的RP 應用系統提供了地址隱藏及保護功能。此外,為了進一步提升資訊安全,我們導入了SSL 憑證,確保在網頁伺服器(主機)與網頁瀏覽器(客戶端)之間建立安全的加密連結,防止資料被攔截或監控,保障客戶資料的安全。
針對員工攜帶私人電腦設備入廠工作,透過下列機制進行控管,包括:
- 控管非法資產設備接入至公司內部網路(802.1X)
- 可針對不同的管理範圍需求,制訂不同的政策規則進行管理
- 可依據資產使用人身份,將其端點設備分派至特定VLAN
- 可同時支援不同廠牌的Switch 進行管理
- 提供單一管理介面,以簡化資訊人員工作量
- 快速識別並掌握企業內部所有連網設備及狀態
- 建立內部區域網路的稽核記錄
為防止合法掩飾非法的資料存取, 東聯推動特權帳號連線管理系統(Privilege Access Management,PAM),防禦憑證竊盜及特權濫用所帶來的威脅。 IT 進入各系統管理帳號,密碼是隨機及時效性,且須被審核才會被派發,結束後密碼即失效,以解 決或降低密碼遺失或被駭入的狀況。
資訊部2023 年Q2 擬推動機房雲端化專案,以邁向 Green IT 達成 ESG 淨零減碳之目標,機房 雲端化專案規劃如下:
- 北高機房僅剩網路資通設備。
- 原機房伺服器將全部移轉至雲端。
效益:
• 資訊機房空間可再利用。
• 達成 ESG 淨零減碳目標。
• 資源依需求可於雲端快速調整。
» 使用雲端服務不用再採購實體設備,可依需求快速擴充或移除,達到節省成本與快速導入的目的。
» 計價方式為用多少付多少,使用較具彈性。
上雲後資安強化規劃項目
利害關係人聯絡人
- 陳先生/張小姐
- 請使用 E-mail 聯絡: ESG@oucc.com.tw
環保業務聯絡人
- 葉先生/吳先生
- 請使用 E-mail 聯絡: she@oucc.com.tw