風險管理流程

中華電信深知在快速變化的產業環境中,風險管理的重要性。對此,我們堅守風險管理核心價值,依循COSO治理與文化、策略與目標設定、執行、複核與修正、資訊、溝通及報導等五大要素,於作業面融合八大步驟,全面實踐風險管理。

 

風險審查

為即時評估營運風險,我們每年進行風險事件之辨識、每月定期進行風險審查、評估及執行追蹤,並持續滾動辨識可能新風險事件,確保各類型風險(如「策略風險」、「營運風險」、「報導風險」,以及「法遵風險」等)已被辨識,並定期積極追蹤各類風險事件之管控指標及減緩行動,將整體風險胃納控制於可接受的範圍內。

2023年,中華電信整體風險胃納金額為23.3億元。我們依據各風險事件之可能性及衝擊評估對營運衝撃的嚴重程度,以風險矩陣排列風險的優先順序與風險等級,並依風險等級採取對應的風險減緩行動。

2023年風險事件(按排序)

競爭市場變化、資訊安全與隱私保護、網路品質與基礎建設維運、新服務市場發展、人力資源管理與發展、永續與氣候策略、前瞻技術取得、資訊系統及資訊技術管理

 
項目 說明
已識別風險 資訊安全與隱私保護
特定風險暴露說明 電信業面臨技術變革和不斷演進的挑戰,例如:5G與AI的服務應用、新興技術的採用(虛擬化 / 雲化)及供應鏈攻擊,這都可能導致服務中斷、客戶信任度下降與損害公司聲譽。
風險胃納流程 考量新興技術的採用、法規要求、業務重點發展等面向,以技術方式評估潛在的資安與個資隱私風險,包含:定期安全漏洞掃描和漏洞測試、自動化漏洞情資預警機制等,量化風險發生機率與衝擊,採取適當管控措施,保護系統與資料之安全。
減緩行動
  1. 強化5G 軟體式架構的安全管控原則及安全檢測技術,避免網路遭控制或濫用
  2. 成立AI 2.0企業策略委員會,建立AI治理制度,並持續關注AI相關風險與國際標準發展趨勢
  3. 伴隨新興資訊技術的採用,建立零信任框架,確保公司使用雲端服務之安全性,並持續發展異常行為分析規則與自動化漏洞情資預警機制,增強資安分析可視性及威脅獵捕能力
  4. 制定供應商資安管理規範,強化對供應商資安能力評估與監督管理,並引進資安評級工具,協助供應商掌握資安態勢與資產曝險,提升供應鏈生態系安全

項目 說明
已識別風險 網路品質與基礎建設維運
特定風險暴露說明 因地緣政治、重大天然災害、外在環境變動或多重障礙事件同時發生,造成網路重大障礙事件,例如貨輪船隻作業導致離島海纜通訊障礙、颱風造成山區及偏鄉行動/市話/網路癱瘓。
風險胃納流程
  1. 中華電信公司參佐歷年重大災害資料分析、主觀專家經驗判斷、情境分析等,以評估風險事件「對政府國安與民生經濟的實際與潛在衝擊重大程度」,並於年初訂定營運計畫時,確認年度強化目標及風險胃納量
  2. 為落實風險管控,依循公司管理作業,連結績效指標並加入滾動考量,後續並落實風險應變減緩行動,促使殘餘風險總和降至風險胃納容許範圍
減緩行動
  1. 強化離島網路備援頻寬,降低海纜中斷對通訊網路影響
  2. 規劃台澎金馬四號海纜,提升離島通訊網路韌性
  3. 結合海纜、衛星、5G專網、固網等多面向網路資源,協同外部支援單位,完成2023年關鍵基礎設施防護演習任務
  4. 落實行動通信整合訓練,建立指管救災體系
  5. 規劃多元備援方案,深化國家通訊網路韌性

風險管理流程稽核

中華電信在美國紐約證交所發行美國存託憑證(ADR),並依照紐約證交所掛牌交易準則,建立內部稽核制度,作為公司風險管理作業及內部控制制度之評估。

在台灣,我們遵循金管會「公開發行公司建立內部控制制度處理準則」的規定,建立內部控制/內部稽核制度,以符合治理守則要求。

我們已將風險管理過程,納入企業層級內部控制制度,除每年定期執行自行評估作業外,透過內部稽核單位和外部稽核(會計師)的查核,嚴謹審核公司的內部控制系統政策和程序,包括財務、營運、風險管理、資訊安全、外包、法令遵循等控制措施。

審計委員會評估公司風險管理和內部控制系統的有效性,並定期審查公司稽核部門和簽證會計師,以及管理層的報告,包括風險管理和法令遵循。我們參考了2013年由The Committee of Sponsoring Organizations of the Treadway Commission (COSO)發布的內部控制制度-內部控制的整合性架構,審計委員會認為公司的風險管理和內部控制系統是有效的,並已採用必要的控制機制來監督並糾正任何違規行為。

https://www.cht.com.tw/zh-tw/home/cht/investors/financials/annual-report


落實風險管理文化

項目 說明
非執行董事風管教育
  1. 每年持續進行非執行董事之常規風險管理教育課程,2023年每位非執行董事分別接受1.5個小時專業風險管理課程。
  2. 規劃自2024起,每年至少參與1.5~3小時之相關課程,以確保非執行董事得以掌握最新的風險管理實踐,並具備評估各種風險形式之能力,進而將風險管理考量納入決策過程。
  3. 2023年的主題課程為「Concepts and Practices in Risk Management」詳細請參閱 這裡
組織風管原則培訓
  1. 2023年中華電信所開辦風險相關課程,包括:職業安全衛生、資訊安全、內部稽核、風險管理及內控等,參與總員工達19,750人次,總時數75,629小時。
  2. 中華電信定期針對全公司員工,舉辦風險管理訓練,告知員工公司風險管理政策、流程,及須遵循之準則及規範,並不定期舉辦風險管理相關研討會,強化員工風險管理意識。
  3. 於風險管理培訓課程中,包括資訊安全、環境問題和自然災害相關問題,引用具體的案例,來增強員工的風險管理意識及處理風險的技巧,並因應環境變動作動態調整。
  4. 所有員工須參與線上風險管理課程,內容包括:資訊安全風險、員工道德行為準則及新業務推廣等相關風險管理課程。
  5. 針對風險主管與作業員工等風管團隊,提供系統面與實務面等重點培訓,2023年開設「風險管理與系統發展班」、「企業風險管理概念及實務課程」。
產品和服務開發納入風管標準 產品和服務開發可能風險:產品衝突、產品內容標示造成客戶混淆不清、未能明確掌握市場需求、未良好維護服務品質/形象、未能確實掌握產品經營效益。
  1. 依中華電信產品上下架相關程序規定,產品上市營運審核時,需要提供財務與風險評估,項目包括:技術、市場、營運及資安與個資、其他風險等。
  2. 專標案件審核是否投標時,需進行風險評估,包括客戶及廠商信用、履約能力等。
包含風管指標的財務激勵制度 中華電信在門市服務、員工職安衛、資訊安全及個資、經營發展等各面向皆積極設置包含風管指標的財務激勵制度,強化對風管文化的激勵,例如包含但不限於以下:
  1. 直營門市及個人風管獎勵:以服務品質、操作精確、及門市整體環境來客舒適度等為評核指標,對直營門市及個人提供獎勵措施。
  2. 員工職安衛風管獎勵:單位部門達成職安衛控管指標(包括安全參數,員工傷害頻率、傷害嚴重率及涉外嚴重率等),則獎勵至其中每位員工。
  3. 資訊安全風管獎勵:針對主動發現可疑資安事件之員工,按該風險事件可能風險,於審查後每季提供現金獎勵。
  4. 永續經營發展風管獎勵:為提升公司經營實績、促進公司永續發展,如重大經營策略、轉型升級推動、有效增進公司獲利、重大研發成果、提高營維運效率等,訂定即時獎勵辦法激勵積極創造工作績效。

返回頂部