風險管理

  • 風險管理政策與程序:為確保AES之穩健經營與永續發展,特制定風險管理政策與程序辦法(詳連結),並經110年8月10日董事會通過,以建立整體風險管理制度, 由公司董事會、審計委員會、總經理及總經理室、稽核室、各單位及子公司共同參與推動執行。

 

  • 風險管理範疇:AES所面臨之風險分為營運、財務、環境及作業等四大範疇,由風險管理組與各相關部門,透過風險管理會議,辨識與營運相關活動之潛在風險。

 

  • 風險管理組織:(1)審計委員會及董事會 (2)總經理及總經理室 (3)稽核室 (4)各單位及子公司

  • 風險管理流程

 

 
 

風險管理工作小組

 

 
 

 

 

目標

  • 因應公司治理法規要求,導入企業風險管理機制

  • 參考 ISO 31000風險管理的國際標準,執行企業風險分析和風險評估

  • 依循TCFD氣候財務資訊要求 (包括 : 治理、策略、風險管理、指標和目標)

  • 因應 GRI及客戶要求進行相關資訊揭露
     

運作情形

AES持續推動企業社會責任,落實風險管理機制,112/11/13向董事會報告112年度運作情形,就以鑑別之風險,說明如下:

 

風險項目

運作說明

營運風險

AES每月都會進行集團營運管理檢討會議,針對營運面風險,做出鑑別及處理方針。

財務風險

AES註冊地為開曼群島,無實質經濟活動,主要營運地為中國大陸及台灣,本集團各項業務之執行均依照國內外重要政策及法令規定辦理,隨時注意所在國家地區重要政策及法律變動之訊息,透過各項管道及早做好預防準備工作,若有變動事項則向律師、會計師等相關單位諮詢,或委由其評估並規劃因應措施,以及時因應市場變化並採取適當因應措施。

作業風險

AES持續進行「資通安全管理」,針對資通安全風險管理架構、資通安全政策、具體管理方案及投入資通安全管理之資源等方面精進。

環境風險

AES已於111/10/12成立永續委員會,持續執行循環經濟、綠色創新、關懷社會、誠信正直等議題的解決方案。

風險鑑別與運作

 

強化「風險管理工作小組」對風險管理之認知,於2024年3月舉辦風險管理教育訓練,調訓人員包括:永續委員會,各部門主管等計55人。課程內容包含:全球風險趨勢、國際風險管理標準、金管會上市櫃公司風險管理守則,企業風險管理實務等議題。課後進行風險問卷調查及研擬因應對策。 問卷內容參考國際趨勢、客戶要求,法規、同業資訊鑑別出「策略面」、「營運面」、「環境面」、「危害面」四大風險類別,再展開12項風險議題。

 

 

 
 




 

風險因應

1. 供應鏈減碳 (參見:供應鏈管理)

2. 人才培育 (參見:人才招募)

3. 市場競爭 (參見:公司簡介)

 

資通安全管理

(一)、資通安全管理方案:

 

1.資通安全風險管理架構

 

本公司之高階主管會定期關注資通安全議題,且資通安全權責單位為資訊部,負責規劃資通安全相關規範並落實,資訊部主管會定期參與企業內部資訊安全相關會議,並定期關注資通安全相關議題;此外稽核室為資通安全監理之查核單位,每年會就內部控制制度—電子計算機循環,進行資通安全查核,藉以評估公司資訊作業內部控制之有效性。

 

2.資通安全政策

 

為保護公司所屬資訊資產免於受到遭受蓄意或意外之破壞,並確保企業永續經營,制定本資訊安全政策,以確認本公司重要資訊資產之安全,包含:

  (1) 機密性(Confidentiality):確保只有獲得合法授權的使用者可以存取資訊。

  (2) 完整性(Integrity):保障資訊與資訊處理方法的正確與完整性。
  (3) 可用性(Availability):確保獲得授權的使用者於有需求時能適時存取資訊及相關資產。

 

透過本政策之管理,明確宣示本公司支持資訊安全之目標,及使相關人員有所依循,並適切合乎本公司對資訊安全之要求及相關法令之規範,以降低任何資訊安全事件所帶來之衝擊,並持續運作及改善資訊安全管理系統同時保障本公司與客戶之權益。

 

3.資通安全具體管理方案

 

本公司資訊部制定資訊系統管理程序,其適用範圍為使用公司電腦資訊系統與企業網路資源均適用之,希望藉由此程序之制定與同仁對制度的落實來確保公司資訊資料之正確性及安全性,提供管理資訊並協助各單位資料之處理,管理程序主要控管內容包含下列事項:
(1) 電腦系統資源之使用與取消
規範同仁在工作上所需使用之電腦系統資源的使用控管要求,包含PC/NB的使用申請、電腦軟體安裝、公務NB攜出廠外之上網功能控管以及離職人員之電腦資源使用權及帳號之取消等。
 
(2) 資料備份與災害復原
規範資訊資料備份作業之控管要求,依照定義好之備份週期,於備份軟體設定之排程,將伺服器資料檔案及資料庫資料備份至磁帶或異地硬碟櫃。備份軟體備份工作成功或失敗會發出通知Email,管理人員需即時處理與解決備份異常,確保備份正確完成。當災害發生時需進行資料復原作業,並訂定相關單位之權責以及要求管理人員需定期(每半年且不定時)實施災害復原測試。
 
(3) 電腦病毒管理
規範公司針對電腦病毒之防範作法,包含所屬之電腦皆須安裝公司授權之防毒軟體並定期更新病毒碼、需透過Windows Update伺服器定期進行系統與安全性更新、透過Proxy和防火牆控管Internet行為。
 
(4) 電子郵件管理
規範電子郵件之使用規則,包含收件人數管理、電子郵件單封容量大小、私人Email收發管理和外部收發公司郵件等管理規則。
 
(5) 上網使用管理
規範上網之使用需經過申請,且禁止瀏覽與遊戲、購物、音頻、賭博、社群網站、違法或暴力、廣告、成人資訊、免費網路資源、以爭議與來源不明之網站和特別列管之網站等非公務性質網站。
 
(6) 遠端存取管理
規範公司員工若因出差或其他公務需要由異地經外部網路連回公司使用內部服務,需透過VPN以確保安全。VPN使用權限須經過申請並搭配個人行動裝置使用OTP雙因認證,且資訊部會每半年不定期的檢視VPN使用情況,針對超過6個月以上未登入之帳號經確認後關閉其權限。
 
(7) 資訊機房管理
規範資訊機房應設置門禁管制、針對未具資訊機房進出權限人員之控管要求,以及對機房溫溼度、UPS不斷電系統、機房環境與設備運作狀態檢查等日常管理作業,並有機房環控系統監控與記錄環境與設備狀態,自動發送異常告警通知管理員進行即時處置。
 
(8) 教育訓練
本公司之新進人員於入職時會進行基本的資訊安全教育訓練。另對於在職的人員亦會須透過公司內部入口網站或郵件不定期的進行資通安全的宣導,宣導包含郵件使用安全、上網使用安全、與遠端安全作業等。

 

(二)、本公司遵循ISO27001 管理體系之PDCA精神進行資訊安全治理,已按權責機關規定設置資訊安全主管及資訊安全專員各1名,每年定期檢討規範文件之修訂、每年進行二次弱點掃瞄並於修補漏洞後進行覆掃以確認有效性、每年至少召開1次資訊安全管理審查會議持續檢討改進。

 

(三)、最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實。本公司無重大資安事件導致營業損害之情事。