联络我们
风险管理
- 风险管理政策与程序:为确保AES之稳健经营与永续发展,特制定风险管理政策与程序办法(详连结),并经110年8月10日董事会通过,以建立整体风险管理制度, 由公司董事会、审计委员会、总经理及总经理室、稽核室、各单位及子公司共同参与推动执行。
- 风险管理范畴:AES所面临之风险分为营运、财务、环境及作业等四大范畴,由风险管理组与各相关部门,透过风险管理会议,辨识与营运相关活动之潜在风险。
- 风险管理组织:(1)审计委员会及董事会 (2)总经理及总经理室 (3)稽核室 (4)各单位及子公司
- 风险管理流程:
 |
|
风险管理工作小组
|
|
 |
|
目标
- 因应公司治理法规要求,导入企业风险管理机制
- 参考 ISO 31000风险管理的国际标准,执行企业风险分析和风险评估
- 依循TCFD气候财务资讯要求 (包括 : 治理、策略、风险管理、指标和目标)
- 因应 GRI及客户要求进行相关资讯揭露
运作情形
| 风险项目 | 运作说明 |
| 营运风险 | AES每月都会进行集团营运管理检讨会议,针对营运面风险,做出鉴别及处理方针。 |
| 财务风险 | AES注册地为开曼群岛,无实质经济活动,主要营运地为中国大陆及台湾,本集团各项业务之执行均依照国内外重要政策及法令规定办理,随时注意所在国家地区重要政策及法律变动之讯息,透过各项管道及早做好预防准备工作,若有变动事项则向律师、会计师等相关单位咨询,或委由其评估并规划因应措施,以及时因应市场变化并采取适当因应措施。 |
| 作业风险 | AES持续进行「资通安全管理」,针对资通安全风险管理架构、资通安全政策、具体管理方案及投入资通安全管理之资源等方面精进。 |
| 环境风险 | AES已于111/10/12成立AES永续委员会,持续执行循环经济、绿色创新、关怀社会、诚信正直等议题的解决方案。 |
风险鉴别
AES以问卷调查方式,进行风险量化。鉴别依策略风险、营运风险、ESG三面向风险,参考世界经济论坛《2023年全球风险报告》、TCFD及产业营运风险类别等信息,提出 14 项潜在风险因子,进行风险评估。 为了强化应对国际重大环境、社会、经济风险能力,朝向企业永续经营目标,并且符合客户关注的重要趋势。 由永续办公室主导,识别在环境面,特别是「气候变迁层面」之营运风险来源、以问卷方式针对厂区所在地进行永续 风险评估调查。识别出「发生频率 (A)」、「影响程度 (B)」、「控制程度 ( C )」进行评估,藉由此风险评估及管理 机制,积极对应以消除或减缓企业长期营运的风险,完善风险管理系统。|
|
|
资通安全管理
(一)、资通安全管理方案:
1.资通安全风险管理架构
本公司之高阶主管会定期关注资通安全议题,且资通安全权责单位为资讯部,负责规划资通安全相关规范并落实,资讯部主管会定期参与企业内部资讯安全相关会议,并定期关注资通安全相关议题;此外稽核室为资通安全监理之查核单位,每年会就内部控制制度—电子计算机循环,进行资通安全查核,藉以评估公司资讯作业内部控制之有效性。
2.资通安全政策
为保护公司所属资讯资产免于受到遭受蓄意或意外之破坏,并确保企业永续经营,制定本资讯安全政策,以确认本公司重要资讯资产之安全,包含:
(1). 机密性(Confidentiality):确保只有获得合法授权的使用者可以存取资讯。
(2). 完整性(Integrity):保障资讯与资讯处理方法的正确与完整性。
(3). 可用性(Availability):确保获得授权的使用者于有需求时能适时存取资讯及相关资产。
透过本政策之管理,明确宣示本公司支持资讯安全之目标,及使相关人员有所依循,并适切合乎本公司对资讯安全之要求及相关法令之规范,以降低任何资讯安全事件所带来之冲击,并持续运作及改善资讯安全管理系统同时保障本公司与客户之权益。
3.资通安全具体管理方案
本公司资讯部制定资讯系统管理程序,其适用范围为使用公司电脑资讯系统与企业网路资源均适用之,希望藉由此程序之制定与同仁对制度的落实来确保公司资讯资料之正确性及安全性,提供管理资讯并协助各单位资料之处理,管理程序主要控管内容包含下列事项:
(1). 电脑系统资源之使用与取消
规范同仁在工作上所需使用之电脑系统资源的使用控管要求,包含PC/NB的使用申请、电脑软体安装、公务NB携出厂外之上网功能控管以及离职人员之电脑资源使用权及帐号之取消等。
(2). 资料备份与灾害复原
规范资讯资料备份作业之控管要求,依照定义好之备份周期,于备份软体设定之排程,将伺服器资料档案及资料库资料备份至磁带或异地硬碟柜。备份软体备份工作成功或失败会发出通知Email,管理人员需即时处理与解决备份异常,确保备份正确完成。当灾害发生时需进行资料复原作业,并订定相关单位之权责以及要求管理人员需定期(每半年且不定时)实施灾害复原测试。
(3). 电脑病毒管理
规范公司针对电脑病毒之防范作法,包含所属之电脑皆须安装公司授权之防毒软体并定期更新病毒码、需透过Windows Update伺服器定期进行系统与安全性更新、透过Proxy和防火墙控管Internet行为。
(4). 电子邮件管理
规范电子邮件之使用规则,包含收件人数管理、电子邮件单封容量大小、私人Email收发管理和外部收发公司邮件等管理规则。
(5). 上网使用管理
规范上网之使用需经过申请,且禁止浏览与游戏、购物、音频、赌博、社群网站、违法或暴力、广告、成人资讯、免费网路资源、以争议与来源不明之网站和特别列管之网站等非公务性质网站。
(6). 远端存取管理
规范公司员工若因出差或其他公务需要由异地经外部网路连回公司使用内部服务,需透过VPN以确保安全。VPN使用权限须经过申请并搭配个人行动装置使用OTP双因认证,且资讯部会每半年不定期的检视VPN使用情况,针对超过6个月以上未登入之帐号经确认后关闭其权限。
(7). 资讯机房管理
规范资讯机房应设置门禁管制、针对未具资讯机房进出权限人员之控管要求,以及对机房温湿度、UPS不断电系统、机房环境与设备运作状态检查等日常管理作业,并有机房环控系统监控与记录环境与设备状态,自动发送异常告警通知管理员进行即时处置。
(8). 教育训练:
本公司之新进人员于入职时会进行基本的资讯安全教育训练。另对于在职的人员亦会须透过公司内部入口网站或邮件不定期的进行资通安全的宣导,宣导包含邮件使用安全、上网使用安全、与远端安全作业等。
(二)、本公司遵循ISO27001 管理体系之PDCA精神进行资讯安全治理,已按权责机关规定设置资讯安全主管及资讯安全专员各1名,每年定期检讨规范文件之修订、每年进行二次弱点扫瞄并于修补漏洞后进行覆扫以确认有效性、每年至少召开1次资讯安全管理审查会议持续检讨改进。
(三)、最近年度及截至年报刊印日止,因重大资通安全事件所遭受之损失、可能影响及因应措施,如无法合理估计者,应说明其无法合理估计之事实:本公司111年度无重大资安事件导致营业损害之情事。