風險管理政策與程序
中華電信風險管理政策:整合公司策略,積極辨識風險,落實風險管理,連結績效指標,持續監控精進,邁向永續發展。
為強化公司治理、執行中華電信風險管理政策,合理確保公司目標之達成,於2006年制定「風險管理規則」並經董事會核定,最新修訂日期為2023/8/9。
中華電信風險管理政策包含風險管理程序,並依循COSO 治理與文化、策略與目標設定、執行、複核與修正、資訊與溝通及報導等五大要素,於作業面融合八大步驟,全面實踐風險管理。
風險審查
為即時掌握營運環境變化及潛在風險,本公司每年辦理風險事件辨識,並每月定期進行風險審查、評估及執行追蹤,持續滾動辨識可能影響公司營運、財務、法遵、聲譽及策略目標達成之新興與重大風險事件。
本公司依風險事件之發生可能性及衝擊程度進行評估,並以風險矩陣判定風險等級與優先管理順序,確保策略風險、營運風險、報導風險及法遵風險等各類風險均已納入管理。此外,公司並定期追蹤各風險事件之管控指標、風險趨勢及減緩行動,將整體風險控制於可接受之風險胃納範圍內。
2025年,中華電信整體風險胃納金額為23.05億元。中華電信依各風險等級訂定相應管控措施與減緩行動,並透過定期審查與執行追蹤,強化風險預警、應變能力與營運韌性。
2025年風險事件(按排序)
中華電信依據營運計畫策略主軸、國內、外風險趨勢及重大風險主題,辦理風險事件辨識與評估,並以風險「發生可能性 × 衝擊程度」計算風險期望值,透過風險矩陣排列優先順序,作為後續風險管控、減緩行動及追蹤管理之依據。
2025年主要風險事件依序為:競爭市場變化、網路品質與基礎建設維運、AI治理、轉投資經營、前瞻技術發展、新服務市場發展、資訊系統及技術管理、永續與氣候策略、海外市場服務發展、資訊安全與隱私保護、人力資源管理與發展。
| 項目 | 說明 |
|---|---|
| 已識別風險 | 資訊安全與隱私保護 |
| 特定風險暴露說明 | 電信產業正面臨快速技術變革、AI導入、雲端化、虛擬化及第三方供應商依賴提高等營運挑戰。AI技術雖有助提升流程自動化與營運效率,但亦可能降低外部資安威脅之發動門檻,使網路攻擊規模及影響範圍同步擴大。 新興技術如虛擬化與雲端化雖可提升系統彈性及成本效益,但亦增加系統整合複雜度與潛在攻擊面。另隨量子運算技術逐步成熟,現行加密機制如 RSA、ECC 可能面臨遭破解風險,增加敏感通訊資料外洩可能性;此外,企業對第三方供應商的依賴程度日益提高,亦帶來供應鏈滲透資安威脅。上述風險皆可能導致服務中斷、客戶信任受損、商譽衝擊及營運穩定性下降。 |
| 風險胃納流程 | 本公司考量新興技術採用、法規要求、業務發展及外部威脅情資,定期辨識與評估資訊安全及個資隱私風險。評估流程包括:參照主管機關發布之 AI 指引、外部 AI 資安風險情資、安全漏洞掃描、弱點測試、自動化漏洞偵測與資安事件預警機制,量化風險發生可能性及衝擊程度,判定風險等級與優先順序。對超出風險胃納之項目,則納入風險管理與內部控制程序,訂定適當管控措施,確保系統、資料與服務安全。 |
| 減緩行動 |
|
| 項目 | 說明 |
|---|---|
| 已識別風險 | 網路品質與基礎建設維運 |
| 特定風險暴露說明 | 因地緣政治、重大天然災害、外部環境變動或多重障礙事件同時發生,可能造成重大網路中斷。例如貨輪船隻作業導致離島海纜通訊障礙,或颱風、豪雨、地震等災害造成山區、偏鄉行動通訊、市話服務及骨幹網路壅塞或中斷,進而影響關鍵通訊服務、客戶連線品質、公共通訊及緊急應變能力。 |
| 風險胃納流程 |
|
| 減緩行動 |
|
風險管理流程稽核
中華電信在美國紐約證交所發行美國存託憑證(ADR),並依照紐約證交所掛牌交易準則,建立內部稽核制度,作為公司風險管理作業及內部控制制度之評估。
在台灣,我們遵循金管會「公開發行公司建立內部控制制度處理準則」的規定,建立內部控制/內部稽核制度,以符合治理守則要求。
我們已將風險管理過程,納入企業層級內部控制制度,除每年定期執行自行評估作業外,透過內部稽核單位和外部稽核(會計師)的查核,嚴謹審核公司的內部控制系統政策和程序,包括財務、營運、風險管理、資訊安全、外包、法令遵循等控制措施。
審計委員會評估公司風險管理和內部控制系統的有效性,並定期審查公司稽核部門和簽證會計師,以及管理層的報告,包括風險管理和法令遵循。我們參考了2013年由The Committee of Sponsoring Organizations of the Treadway Commission (COSO)發布的內部控制制度-內部控制的整合性架構,審計委員會認為公司的風險管理和內部控制系統是有效的,並已採用必要的控制機制來監督並糾正任何違規行為。

https://www.cht.com.tw/zh-tw/home/cht/investors/financials/annual-report
落實風險管理文化
| 項目 | 說明 |
|---|---|
| 非執行董事風管教育 |
|
| 組織風管原則培訓 |
|
| 產品和服務開發納入風管標準 |
產品和服務開發可能風險:產品衝突、產品內容標示造成客戶混淆不清、未能明確掌握市場需求、未良好維護服務品質/形象、未能確實掌握產品經營效益。
|
| 包含風管指標的財務激勵制度 |
中華電信在門市服務、員工職安衛、資訊安全及個資保護、經營發展等各面向皆積極設置包含風管指標的財務激勵制度,強化對風管文化的激勵,例如包含但不限於以下:
|