風險管理政策與程序
中華電信風險管理政策:整合公司策略,積極辨識風險,落實風險管理,連結績效指標,持續監控精進,邁向永續發展。
為強化公司治理、執行中華電信風險管理政策,合理確保公司目標之達成,於2006年制定「風險管理規則」並經董事會核定,最新修訂日期為2023/8/9。
中華電信風險管理政策包含風險管理程序,並依循COSO 治理與文化、策略與目標設定、執行、複核與修正、資訊與溝通及報導等五大要素,於作業面融合八大步驟,全面實踐風險管理。
風險審查
為即時評估營運風險,我們每年進行風險事件之辨識、每月定期進行風險審查、評估及執行追蹤,並持續滾動辨識可能新風險事件,確保各類型風險(如「策略風險」、「營運風險」、「報導風險」,以及「法遵風險」等)已被辨識,並定期積極追蹤各類風險事件之管控指標及減緩行動,將整體風險胃納控制於可接受的範圍內。
2024年,中華電信整體風險胃納金額為24.82億元。我們依據各風險事件之可能性及衝擊評估對營運衝撃的嚴重程度,以風險矩陣排列風險的優先順序與風險等級,並依風險等級採取對應的風險減緩行動。
2024年風險事件(按排序)
競爭市場變化、資訊安全與隱私保護、網路品質與基礎建設維運、轉投資經營、海外市場服務發展、人力資源管理與發展、前瞻技術發展、資訊系統及技術管理、新服務市場發展、永續與氣候策略
| 項目 | 說明 |
|---|---|
| 已識別風險 | 資訊安全與隱私保護 |
| 特定風險暴露說明 | 電信產業正面臨快速技術變革與持續演進的營運挑戰。舉例而言,AI技術導入可提升流程自動化與營運效率,但亦伴隨機敏資料外洩風險;新興技術如虛擬化與雲端化雖可提升系統彈性與成本效益,但雲地整合架構複雜度增加,也擴大潛在資安攻擊面。企業對第三方供應商的依賴程度日益提高,亦帶來藉供應鏈滲透的資訊安全威脅。此外,隨著量子運算技術發展成熟,現行加密機制存在遭破解風險,可能導致機敏通訊資料外洩。上述風險皆可能導致服務中斷、損害客戶信任,並衝擊公司商譽與營運穩定性。 |
| 風險胃納流程 | 考量新興技術的採用、法規要求、業務重點發展等面向,以如下技術方式評估潛在的資安與個資隱私風險,包含:定期安全漏洞掃描和漏洞測試、自動化漏洞情資預警機制等,量化風險發生機率與衝擊,採取適當管控措施,保護系統與資料之安全。 |
| 減緩行動 |
|
| 項目 | 說明 |
|---|---|
| 已識別風險 | 網路品質與基礎建設維運 |
| 特定風險暴露說明 | 因地緣政治、重大天然災害、外在環境變動或多重障礙事件同時發生,造成網路重大障礙事件,例如貨輪船隻作業導致離島海纜通訊障礙、颱風造成山區及偏鄉行動/市話/網路癱瘓。 |
| 風險胃納流程 |
|
| 減緩行動 |
|
風險管理流程稽核
中華電信在美國紐約證交所發行美國存託憑證(ADR),並依照紐約證交所掛牌交易準則,建立內部稽核制度,作為公司風險管理作業及內部控制制度之評估。
在台灣,我們遵循金管會「公開發行公司建立內部控制制度處理準則」的規定,建立內部控制/內部稽核制度,以符合治理守則要求。
我們已將風險管理過程,納入企業層級內部控制制度,除每年定期執行自行評估作業外,透過內部稽核單位和外部稽核(會計師)的查核,嚴謹審核公司的內部控制系統政策和程序,包括財務、營運、風險管理、資訊安全、外包、法令遵循等控制措施。
審計委員會評估公司風險管理和內部控制系統的有效性,並定期審查公司稽核部門和簽證會計師,以及管理層的報告,包括風險管理和法令遵循。我們參考了2013年由The Committee of Sponsoring Organizations of the Treadway Commission (COSO)發布的內部控制制度-內部控制的整合性架構,審計委員會認為公司的風險管理和內部控制系統是有效的,並已採用必要的控制機制來監督並糾正任何違規行為。
https://www.cht.com.tw/zh-tw/home/cht/investors/financials/annual-report
落實風險管理文化
| 項目 | 說明 |
|---|---|
| 非執行董事風管教育 |
|
| 組織風管原則培訓 |
|
| 產品和服務開發納入風管標準 |
產品和服務開發可能風險:產品衝突、產品內容標示造成客戶混淆不清、未能明確掌握市場需求、未良好維護服務品質/形象、未能確實掌握產品經營效益。
|
| 包含風管指標的財務激勵制度 |
中華電信在門市服務、員工職安衛、資訊安全及個資保護、經營發展等各面向皆積極設置包含風管指標的財務激勵制度,強化對風管文化的激勵,例如包含但不限於以下:
|