风险管理

  • 风险管理政策与程序:为确保AES之稳健经营与永续发展,特制定风险管理政策与程序办法(详连结),并经110年8月10日董事会通过,以建立整体风险管理制度, 由公司董事会、审计委员会、总经理及总经理室、稽核室、各单位及子公司共同参与推动执行。

 

  • 风险管理范畴:AES所面临之风险分为营运、财务、环境及作业等四大范畴,由风险管理组与各相关部门,透过风险管理会议,辨识与营运相关活动之潜在风险。

 

  • 风险管理组织:(1)审计委员会及董事会 (2)总经理及总经理室 (3)稽核室 (4)各单位及子公司

  • 风险管理流程

 

 
 

风险管理工作小组

 

 
 

 

 

目标

  • 因应公司治理法规要求,导入企业风险管理机制

  • 参考 ISO 31000风险管理的国际标准,执行企业风险分析和风险评估

  • 依循TCFD气候财务信息要求 (包括 : 治理、策略、风险管理、指标和目标)

  • 因应 GRI及客户要求进行相关信息揭露
     

运作情形

AES持续推动企业社会责任,落实风险管理机制,112/11/13向董事会报告112年度运作情形,就以鉴别之风险,说明如下:

 

风险项目

运作说明

营运风险

AES每月都会进行集团营运管理检讨会议,针对营运面风险,做出鉴别及处理方针。

财务风险

AES注册地为开曼群岛,无实质经济活动,主要营运地为中国大陆及台湾,本集团各项业务之执行均依照国内外重要政策及法令规定办理,随时注意所在国家地区重要政策及法律变动之讯息,透过各项管道及早做好预防准备工作,若有变动事项则向律师、会计师等相关单位咨询,或委由其评估并规划因应措施,以及时因应市场变化并采取适当因应措施。

作业风险

AES持续进行「资通安全管理」,针对资通安全风险管理架构、资通安全政策、具体管理方案及投入资通安全管理之资源等方面精进。

环境风险

AES已于111/10/12成立永续委员会,持续执行循环经济、绿色创新、关怀社会、诚信正直等议题的解决方案。

风险鉴别与运作

 

强化「风险管理工作小组」对风险管理之认知,于2024年3月举办风险管理教育训练,调训人员包括:永续委员会,各部门主管等计55人。课程内容包含:全球风险趋势、国际风险管理标准、金管会上市柜公司风险管理守则,企业风险管理实务等议题。课后进行风险问卷调查及研拟因应对策。 问卷内容参考国际趋势、客户要求,法规、同业信息鉴别出「策略面」、「营运面」、「环境面」、「危害面」四大风险类别,再展开12项风险议题。

 

 

 
 




 

风险因应

1. 供应链减碳 (参见:供应链管理)

2. 人才培育 (参见:人才招募)

3. 市场竞争 (参见:公司简介)

 

资通安全管理

(一)、资通安全管理方案:

 

1.资通安全风险管理架构

 

本公司之高阶主管会定期关注资通安全议题,且资通安全权责单位为信息部,负责规划资通安全相关规范并落实,信息部主管会定期参与企业内部信息安全相关会议,并定期关注资通安全相关议题;此外稽核室为资通安全监理之查核单位,每年会就内部控制制度—电子计算器循环,进行资通安全查核,藉以评估公司信息作业内部控制之有效性。

 

2.资通安全政策

 

为保护公司所属信息资产免于受到遭受蓄意或意外之破坏,并确保企业永续经营,制定本信息安全政策,以确认本公司重要信息资产之安全,包含:

  (1) 机密性(Confidentiality):确保只有获得合法授权的用户可以存取信息。

  (2) 完整性(Integrity):保障信息与信息处理方法的正确与完整性。
  (3) 可用性(Availability):确保获得授权的使用者于有需求时能适时存取信息及相关资产。

 

透过本政策之管理,明确宣示本公司支持信息安全之目标,及使相关人员有所依循,并适切合乎本公司对信息安全之要求及相关法令之规范,以降低任何信息安全事件所带来之冲击,并持续运作及改善信息安全管理系统同时保障本公司与客户之权益。

 

3.资通安全具体管理方案

 

本公司信息部制定信息系统管理程序,其适用范围为使用公司计算机信息系统与企业网络资源均适用之,希望藉由此程序之制定与同仁对制度的落实来确保公司信息数据之正确性及安全性,提供管理信息并协助各单位数据之处理,管理程序主要控管内容包含下列事项:
(1) 计算机系统资源之使用与取消
规范同仁在工作上所需使用之计算机系统资源的使用控管要求,包含PC/NB的使用申请、计算机软件安装、公务NB携出厂外之上网功能控管以及离职人员之计算机资源使用权及账号之取消等。
 
(2) 数据备份与灾害复原
规范信息数据备份作业之控管要求,依照定义好之备份周期,于备份软件设定之排程,将服务器数据文件及数据库数据备份至磁带或异地硬盘柜。备份软件备份工作成功或失败会发出通知Email,管理人员需实时处理与解决备份异常,确保备份正确完成。当灾害发生时需进行数据复原作业,并订定相关单位之权责以及要求管理人员需定期(每半年且不定时)实施灾害复原测试。
 
(3) 计算机病毒管理
规范公司针对计算机病毒之防范作法,包含所属之计算机皆须安装公司授权之防病毒软件并定期更新病毒特征、需透过Windows Update服务器定期进行系统与安全性更新、透过Proxy和防火墙控管Internet行为。
 
(4) 电子邮件管理
规范电子邮件之使用规则,包含收件人数管理、电子邮件单封容量大小、私人Email收发管理和外部收发公司邮件等管理规则。
 
(5) 上网使用管理
规范上网之使用需经过申请,且禁止浏览与游戏、购物、音频、赌博、社群网站、违法或暴力、广告、成人信息、自由网资源、以争议与来源不明之网站和特别列管之网站等非公务性质网站。
 
(6) 远程访问管理
规范公司员工若因出差或其他公务需要由异地经外部网络连回公司使用内部服务,需透过VPN以确保安全。VPN权限须经过申请并搭配个人行动装置使用OTP双因认证,且信息部会每半年不定期的检视VPN使用情况,针对超过6个月以上未登入之账号经确认后关闭其权限。
 
(7) 信息机房管理
规范信息机房应设置门禁管制、针对未具信息机房进出权限人员之控管要求,以及对机房温湿度、UPS不断电系统、机房环境与设备运作状态检查等日常管理作业,并有机房环控系统监控与记录环境与设备状态,自动发送异常告警通知管理员进行实时处置。
 
(8) 教育训练
本公司之新进人员于入职时会进行基本的信息安全教育训练。另对于在职的人员亦会须透过公司内部入口网站或邮件不定期的进行资通安全的倡导,倡导包含邮件使用安全、上网使用安全、与远程安全作业等。

 

(二)、本公司遵循ISO27001 管理体系之PDCA精神进行信息安全治理,已按权责机关规定设置信息安全主管及信息安全专员各1名,每年定期检讨规范文件之修订、每年进行二次弱点扫瞄并于修补漏洞后进行覆扫以确认有效性、每年至少召开1次信息安全管理审查会议持续检讨改进。

 

(三)、最近年度及截至年报刊印日止,因重大资通安全事件所遭受之损失、可能影响及因应措施,如无法合理估计者,应说明其无法合理估计之事实。本公司无重大资安事件导致营业损害之情事。