風險管理政策與程序

中華電信風險管理政策:整合公司策略,積極辨識風險,落實風險管理,連結績效指標,持續監控精進,邁向永續發展。
為強化公司治理、執行中華電信風險管理政策,合理確保公司目標之達成,於2006年制定「風險管理規則」並經董事會核定,最新修訂日期為2023/8/9。
中華電信風險管理政策包含風險管理程序,並依循COSO 治理與文化、策略與目標設定、執行、複核與修正、資訊與溝通及報導等五大要素,於作業面融合八大步驟,全面實踐風險管理。

 

風險審查

為即時掌握營運環境變化及潛在風險,本公司每年辦理風險事件辨識,並每月定期進行風險審查、評估及執行追蹤,持續滾動辨識可能影響公司營運、財務、法遵、聲譽及策略目標達成之新興與重大風險事件。
本公司依風險事件之發生可能性及衝擊程度進行評估,並以風險矩陣判定風險等級與優先管理順序,確保策略風險、營運風險、報導風險及法遵風險等各類風險均已納入管理。此外,公司並定期追蹤各風險事件之管控指標、風險趨勢及減緩行動,將整體風險控制於可接受之風險胃納範圍內。
2025年,中華電信整體風險胃納金額為23.05億元。中華電信依各風險等級訂定相應管控措施與減緩行動,並透過定期審查與執行追蹤,強化風險預警、應變能力與營運韌性。

2025年風險事件(按排序)

中華電信依據營運計畫策略主軸、國內、外風險趨勢及重大風險主題,辦理風險事件辨識與評估,並以風險「發生可能性 × 衝擊程度」計算風險期望值,透過風險矩陣排列優先順序,作為後續風險管控、減緩行動及追蹤管理之依據。
2025年主要風險事件依序為:競爭市場變化、網路品質與基礎建設維運、AI治理、轉投資經營、前瞻技術發展、新服務市場發展、資訊系統及技術管理、永續與氣候策略、海外市場服務發展、資訊安全與隱私保護、人力資源管理與發展。

項目 說明
已識別風險 資訊安全與隱私保護
特定風險暴露說明 電信產業正面臨快速技術變革、AI導入、雲端化、虛擬化及第三方供應商依賴提高等營運挑戰。AI技術雖有助提升流程自動化與營運效率,但亦可能降低外部資安威脅之發動門檻,使網路攻擊規模及影響範圍同步擴大。
新興技術如虛擬化與雲端化雖可提升系統彈性及成本效益,但亦增加系統整合複雜度與潛在攻擊面。另隨量子運算技術逐步成熟,現行加密機制如 RSA、ECC 可能面臨遭破解風險,增加敏感通訊資料外洩可能性;此外,企業對第三方供應商的依賴程度日益提高,亦帶來供應鏈滲透資安威脅。上述風險皆可能導致服務中斷、客戶信任受損、商譽衝擊及營運穩定性下降。
風險胃納流程 本公司考量新興技術採用、法規要求、業務發展及外部威脅情資,定期辨識與評估資訊安全及個資隱私風險。評估流程包括:參照主管機關發布之 AI 指引、外部 AI 資安風險情資、安全漏洞掃描、弱點測試、自動化漏洞偵測與資安事件預警機制,量化風險發生可能性及衝擊程度,判定風險等級與優先順序。對超出風險胃納之項目,則納入風險管理與內部控制程序,訂定適當管控措施,確保系統、資料與服務安全。 
減緩行動
  1. 建立符合 ISO/IEC 42001 標準之 AI 管理架構及治理組織,並依「國家關鍵基礎設施應用人工智慧參考指引」執行 AI 風險辨識、評估及管控,降低 AI 技術導入所帶來之潛在資安與營運風險。
  2. 完成對外服務網站後量子加密機制升級,強化資料傳輸安全,降低量子運算對加密機制造成之潛在風險,確保用戶資料機密性與完整性。
  3. 配合公司雲化策略,強化雲端資安架構與雲原生防護方案,導入次世代資安監控分析平台(NG SIEM)及零信任架構,結合 AI 技術與外部威脅情資,提升預警、偵測及應變效率。
  4. 制定供應商資安管理規範,強化第三方資安能力評估與監督管理,並導入資安評級工具,協助供應商掌握資安態勢與資產曝險,降低供應鏈資安風險。

項目 說明
已識別風險 網路品質與基礎建設維運
特定風險暴露說明 因地緣政治、重大天然災害、外部環境變動或多重障礙事件同時發生,可能造成重大網路中斷。例如貨輪船隻作業導致離島海纜通訊障礙,或颱風、豪雨、地震等災害造成山區、偏鄉行動通訊、市話服務及骨幹網路壅塞或中斷,進而影響關鍵通訊服務、客戶連線品質、公共通訊及緊急應變能力。
風險胃納流程
  1. 本公司參考歷年重大災害資料分析、主觀專家經驗判斷及情境分析,評估相關風險事件對「政府國安、民生經濟及營運持續之實際與潛在衝擊程度」,於年度營運計畫訂定時,確認年度風險強化目標、風險胃納量及關鍵績效指標
  2. 為落實風險管控,依循公司風險管理作業定期檢視,並透過績效指標追蹤與滾動檢討,落實風險應變及減緩行動,促使殘餘風險降低至公司風險胃納容許範圍內。
     
減緩行動
  1. 強化離島網路備援頻寬,降低海纜中斷對通訊網路影響
  2. 辦理台澎金馬四號海纜建設,提升離島通訊網路韌性與服務可用性。
  3. 結合海纜、衛星、微波、5G專網、固網等多面向網路資源,協同外部支援單位,完成2025年關鍵基礎設施防護演習任務
  4. 落實行動通信整合訓練,建立指管救災體系
  5. 規劃多元備援方案,深化國家通訊網路韌性

風險管理流程稽核

中華電信在美國紐約證交所發行美國存託憑證(ADR),並依照紐約證交所掛牌交易準則,建立內部稽核制度,作為公司風險管理作業及內部控制制度之評估。

在台灣,我們遵循金管會「公開發行公司建立內部控制制度處理準則」的規定,建立內部控制/內部稽核制度,以符合治理守則要求。

我們已將風險管理過程,納入企業層級內部控制制度,除每年定期執行自行評估作業外,透過內部稽核單位和外部稽核(會計師)的查核,嚴謹審核公司的內部控制系統政策和程序,包括財務、營運、風險管理、資訊安全、外包、法令遵循等控制措施。

審計委員會評估公司風險管理和內部控制系統的有效性,並定期審查公司稽核部門和簽證會計師,以及管理層的報告,包括風險管理和法令遵循。我們參考了2013年由The Committee of Sponsoring Organizations of the Treadway Commission (COSO)發布的內部控制制度-內部控制的整合性架構,審計委員會認為公司的風險管理和內部控制系統是有效的,並已採用必要的控制機制來監督並糾正任何違規行為。

https://www.cht.com.tw/zh-tw/home/cht/investors/financials/annual-report


落實風險管理文化

項目 說明
非執行董事風管教育
  1. 每年定期為非執行董事舉辦一致且制度化的風險管理教育訓練課程,強化其對最新風險管理實務的掌握,並提升辨識與評估各類風險的能力,進而於董事會決策過程中納入風險考量,促進公司治理的穩健性。
  2. 2025年,中華電信每位非執行董事,皆100%完成3小時的專業風險管理課程,課程主題為「全球企業風險現況與因應」,內容重點涵蓋:美國對等關稅及匯率、地緣政治、AI發展、ESG永續。
組織風管原則培訓
  1. 2025年中華電信所開辦之全公司風險管理相關課程,包括:風險管理、資訊安全、內控、內部稽核、職業安全衛生等,參與總員工達 61,582人次,總時數 289,606小時。
  2. 中華電信定期針對全公司員工,舉辦風險管理訓練,告知員工公司風險管理政策、流程及須遵循之準則與規範,並不定期舉辦風險管理相關研討會,強化員工風險管理意識。
  3. 於風險管理培訓課程中,包括資訊安全、環境問題和自然災害相關問題,引用具體的案例,來增強員工的風險管理意識及處理風險的技巧,並因應環境變動作動態調整。
  4. 所有員工須參與線上風險管理課程,內容包括:資訊安全風險、員工道德行為準則及新業務推廣等相關風險管理課程。
  5. 針對風險主管與作業員工等風管團隊,提供系統面與實務面等重點培訓,2024年開設「企業風險管理實務與個案」、「風險管理與系統發展」。
產品和服務開發納入風管標準 產品和服務開發可能風險:產品衝突、產品內容標示造成客戶混淆不清、未能明確掌握市場需求、未良好維護服務品質/形象、未能確實掌握產品經營效益。
  1. 依中華電信產品上下架相關程序規定,產品上市營運審核時,需要提供財務與風險評估,項目包括:技術、市場、營運及資安與個資、其他風險等。
  2. 專標案件審核是否投標時,需進行風險評估,包括客戶及廠商信用、履約能力等。
包含風管指標的財務激勵制度 中華電信在門市服務、員工職安衛、資訊安全及個資保護、經營發展等各面向皆積極設置包含風管指標的財務激勵制度,強化對風管文化的激勵,例如包含但不限於以下:
  1. 直營門市及個人風管獎勵:以服務品質、操作精確、及門市整體環境來客舒適度等為評核指標,對直營門市及個人提供獎勵措施。
  2. 員工職安衛風管獎勵:單位部門達成職安衛控管指標(包括員工傷害頻率、傷害嚴重率及涉外嚴重率等),則獎勵至其中每位員工。
  3. 資訊安全風管獎勵:針對主動發現可疑資安事件之員工,按該風險事件可能風險,於審查後每季提供現金獎勵。
  4. 永續經營發展風管獎勵:為提升公司經營實績、促進公司永續發展,如重大經營策略、轉型升級推動、有效增進公司獲利、重大研發成果、提高營維運效率等,訂定即時獎勵辦法激勵積極創造工作績效。
ESG永續 內容快速連結

返回頂部