永續發展
董事會結構與運作機制

本公司以永續經營為理念,致力於強化公司治理制度、增進風險管理系統與落實誠信經營方針。為促進提升董事會作為最高治理單位之職能與運作效能,董事會成員之專業性、多元性與獨立性亦備受重視。本公司依循董事選舉辦法與董事候選人提名處理辦法等相關規定,由符合法定持股比例之股東與董事會提名董事候選人,並於2023年5月22日召開之股東常會完成選任第五屆董事會,由5位董事與4位獨立董事組成,獨立董事的人數較前一屆董事會增加。由於本公司屬投資控股公司,本身並無營業活動之進行;雖董事長與總經理為同一人,惟轄下各重要子公司(如中租迪和、合迪公司、仲利國際⋯等)並無董事長與總經理或其他相當職級者(最高經理人)為同一人之情形發生,實務運作上符合公司治理的精神。

為協助董事遵循法令、深化公司治理,及落實法遵文化,本公司已設置專責之公司治理主管,確保公司之經營策略合法合規。本公司依照「董事會議事辦法」規定,定期性董事會每季至少召開一次,由董事長召集並擔任主席,並於7日前將會議議程與資料提供予各董事,確保董事有充足資訊以參與議案之討論及決策,促進董事會監督與指導公司及經營團隊。本公司已於「董事會績效評估辦法」明訂各董事於董事會及其所擔任委員之功能性委員會之平均出席率應達80%以上,2023年共計召開11次董事會,全體董事平均親自出席率為98%(含委託出席則達100%),個別董事親自出席率亦皆超過90%。

為有效發揮董事會職能,精進董事會決策品質,在董事會下依職權及功能分設「審計委員會」、「薪資報酬委員會」與「公司治理暨永續經營委員會」等功能性委員會,並進一步於2023年4月10日經董事會決議調整架構,將「風險管理委員會」提升為董事會轄下功能性委員會,另於董事長下設「經營管理委員會」,負責重要議案及經濟、環境、社會、風險等重要議題之討論。

功能性委員會分別由獨立董事組成或參與之,使委員會之決策與建議具前瞻性、客觀性與周延性,有效執行獨立監督及制衡之機制,確保董事會各項決議與作為,各項議案均提經董事會報告及討論,若有涉及董事自身或其代表之法人有利害關係者應予迴避,部分議案亦提經股東會報告及討論,符合利害關係人之最大利益。

董事會轄下設有「審計委員會」、「薪資報酬委員會」、「公司治理暨永續經營委員會」及「風險管理委員會」,以強化董事會監管職能、提升董事會之決策效率與決策品質,並維護股東權益。各功能性委員會之組成、主要職責與2023年運作情形如下:

內部規範對董事利益衝突處理已有明文規定,董事或委員對於會議事項,與其自身或其代表之法人有利害關係者,不得加入討論及表決,且討論或表決時應予以迴避,並不得代理其他董事行使表決權。董事對於會議議案與其自身或其所代表之法人有利害關係之虞者,皆秉持高度自律與從嚴認定,自行迴避、不參與討論及表決。

本公司已於2023年度年報中充分揭露董事兼任職務情形、前十大股東及利害關係人交易相關資訊,請詳見中租控股2023年度年報第15~18頁、第76頁與第231頁合併財報附註七、關係人交易。

董事專業背景與多元性

本公司董事之選任,應考量公司中長期發展策略、外部環境變遷趨勢、永續經營重大議題與董事會之整體配置。董事會成員組成亦考量多元化,包含但不限於以下兩大面向之選任標準:

一、基本條件與價值:性別、年齡、種族、國籍及文化等。
二、專業知識技能:專業背景、專業技能及產業經驗等。

董事會成員之專業背景涵蓋金融、資訊科技、醫療保健、能源、法律與財務會計,並且對於企業管理、法令遵循、國際租稅及公司治理等具備豐富實務經驗,皆具備執行業務所需專業與能力。同時也藉由安排外部進修課程,以協助全體董事提升專業能力與對趨勢議題的掌握,因應推動全球淨零排放目標與增強風險意識,2023年為董事安排之進修課程主題為「邁向淨零排放的碳管理趨勢與因應之道」以及「全球風險與企業社會責任」,每位董事取得之進修課程認證時數皆至少6小時,符合法規建議。本公司董事會成員多元性與獨立性之落實情形請詳見中租控股2023 年度年報第18~21頁。

董事會績效評估

為落實公司治理並提升董事會功能,本公司依循「公司治理實務守則」訂有「董事會績效評估辦法」,定期於每年11月份進行前一年度11月初至當年度10月底董事會及功能性委員會之績效評估,評估對象包含董事會、功能性委員會整體運作情形與個別董事成員績效表現,評估表以1~5分(滿分為5分)之量化方式進行衡量,衡量項目如下:

評估結果90%(含)達 4 分以上,則內部績效評估結果為「超越標準」; 80%(含)未滿 90%時,則為「符合標準」;低於 80%者,則為「仍可加強」。

2023年董事會及功能性委員會績效評量,評量結果請參考本公司網站(https://www.chaileaseholding.com/CorporateGovernance/Directors)。

本公司訂定每三年委外執行外部績效評估,已於2023年委由中華公司治理協會對董事會之效能進行評估,該機構及執行專家與本公司無業務往來而具備獨立性,評估作業除了透過書面方式之問卷填答與審閱相關佐證資料以外,協會亦親至公司與董事、各功能性委員會召集人以及高階主管進行面對面訪評。經由協會以豐富的公司治理制度評量經驗為基礎,並分別就董事會之組成、指導、授權、監督、溝通、內部控制及風險管理、董事會之自律及其他如董事會會議、支援系統等八大構面進行整體觀察與評估,並於2023年12月4日出具報告,本公司將外部評估報告提報2024年3月27日召開之董事會,說明上述建議事項及因應措施,並於同次會議修訂「董事會績效評估辦法」,以加強董事會運作效率。

本公司為持續強化公司治理,遵循外部規範的同時亦借鑒國際評鑑指標,於2023年修訂「公司治理實務守則」、「永續發展實務守則」、「風險管理政策」與「人權政策」。

薪酬政策

(一)給付酬金之政策、標準與組合:

1. 本公司董事之薪資報酬,依本公司公司章程第94條規定,應由董事會參考薪資報酬委員會之建議、其他同業給付水準決定。另依本公司公司章程第118 條之規定,公司當年度如有獲利,董事會應就不超過每會計年度稅前獲利的0.1% 額度內,做為當年度董事之董事酬勞。本公司依「董事會績效評估辦法」每年至少執行一次內部績效評估,且至少每三年由外部專業獨立機構或外部專家學者團隊執行一次外部績效評估;於考量公司的營運成果,並參酌董事績效評估結果,包括但不限於董事個人對公司的績效貢獻、出席情形、發言次數,以及同業市場的董事薪酬水平,給予合理的報酬。相關績效考核及薪酬合理性均經薪資報酬委員會及董事會審核。
 
2. 本公司經理人之薪資報酬,依本公司公司章程第94條規定,應由董事會參考薪資報酬委員會之建議、其他同業給付水準決定。另依本公司公司章程第118 條之規定,公司當年度如有獲利,董事會應就介於每會計年度稅前獲利的0.01%~1% 額度內,做為當年度的員工酬勞。
 
本公司依「目標管理辦法」及「考績辦法」之績效評核結果,作為經理人獎金核發之參考依據,經理人績效評估項目分為以下兩大部份,公司據此計算其經營績效之酬金,並隨時視實際經營狀況及相關法令適時檢討酬金制度:
(1) 財務性指標:
各項評估指標包括:業績達成率、稅前淨利達成率、股東權益報酬率(ROE)、延滯率、本金餘額、每元人事費用淨收益報酬率(Net profit per personnel expense)及每元淨利率(Net profit ratio per capita)
除評估各指標的年度目標達成率外,也將同時評估各指標的同期成長率。
 
(2) 非財務性指標:
除財務性指標外,公司同時也將策略目標、企業永續營運風險、公司治理及重大性議題等非財務績效面向納入評估範圍。經理人非財務性指標中含10%的永續發展目標,包含但不限於太陽能電廠資產規模提升(包括 太陽能電廠數量及 總裝置發電容量兩方面的同時提升)、節約能源、擴大碳盤查、提升職業安全衛生預防計畫等。另外,也訂有10%中租控股共同目標包含但不限於節約能源與部門公益時數。
 
3. 本公司給付酬金之組合,依薪資報酬委員會組織規程所定,包括現金報酬、認股權、分紅入股、退休福利或離職給付、各項津貼及其他具有實質獎勵之措施;其範疇與公開發行公司年報應行記載事項準則中有關董事及經理人酬金一致。
 
 (二)訂定酬金之程序:
1.  為定期評估董事及經理人之薪資報酬,分別以本公司「董事會績效評估辦法」及適用經理人與員工之「目標管理辦法」及「考績辦法」所執行之評核結果為依據,
 
2. 本公司獎酬給付政策係依據公司經營策略、用人政策及給付能力決定;且本公司董事及經理人相關績效考核及薪酬合理性,均經薪資報酬委員會及董事會每年定期評估及審核,除參考個人的績效達成率及對公司績效的貢獻度,並參酌公司整體的營運績效、產業未來經營風險及發展趨勢,以及隨時視實際經營狀況及相關法令適時檢討酬金制度,以謀公司永續經營與風險控管之平衡。2023年度董事及經理人酬金實際發放金額,均由薪資報酬委員會審議後,提董事會議定之。
 
(三)與經營績效及未來風險之關聯性:
1. 本公司酬金政策相關給付標準及制度之檢討,係以公司整體營運狀況為主要考量,並視績效達成率及貢獻度核定給付標準,以提升董事會及經理部門之整體組織團隊效能。另參考業界薪酬標準,定期透過專業企管顧問公司進行金融同業的薪資調查,且依薪資調查報告結果檢視本公司獎酬水準,提供具市場競爭力的薪資,確保本公司管理階層之薪酬於業界具有競爭力,以留任優秀之管理人才。
 
2. 本公司經理人績效目標均與「風險控管」結合,以確保職責範圍內可能之風險得以管理及防範,並依實際績效表現核給評等之結果,連結各相關人力資源及相關薪資報酬政策。本公司經營階層之重要決策,均衡酌各種風險因素後為之,相關決策之績效即反映於公司之獲利情形,進而經營階層之薪酬與風險之控管績效相關。
 
3. 高階主管長期激勵獎酬政策:
為激勵經理人達成並超越公司目標、創造獲利、提升經營績效,並考量與未來風險之合理關連性,公司訂有「高階主管持股信託獎酬計畫」(註),結合遞延獎酬、長期獎酬及持股要求進行規劃。
 
總經理及其他高階主管獎金之發放,係以公司經營績效、ESG、股東總報酬率TSR及考量未來風險因素為主要依據,其前一年度年終分紅獎金至多20%作為遞延獎酬發放之基礎,以存入公司持股信託專戶方式遞延至少1.5年,並就公司股東總報酬率TSR與同年度台灣證券交易所金融保險類指數比較的相對達成情形來決定遞延獎酬發放依據,使高階主管獎酬與公司長期績效及股東利益得以連結,如有其他重大風險事件影響公司商譽等事情發生時,本公司得依「高階主管薪酬索回政策」酌減獎金或不予發放(無追溯期限)。
 
4. 本公司經營之未來風險主要取決於資產品質的呆帳損失情形,目前公司設有風險管理組掌理並監督本公司金融營業資產品質之評核,對於正常案件也會根據資產品質調整備抵呆帳提列比率;當呆帳損失增加時,董事、總經理及副總經理的個人績效及領取酬金則會相對應降低。
註1:「高階主管持股信託獎酬計畫」適用對象與「高階主管持股辦法」相同。
註2:總經理以外高階管理人員2023年平均持股總值為年固定薪資總額的33.8倍。
 
本公司同時提供優於法令的退休金制度(同時適用於一般員工),期使經理人能為公司全心貢獻與付出。
 
ESG績效連結高階主管人力資本回報
推動各公司高階經理人的工作目標須與ESG連結,透過績效管理機制,將經理人及員工的ESG工作績效連結獎酬制度,以落實ESG推動之成效。
為真正推動環境永續,落實減碳與創能的發展,中租控股自2010年起積極投資綠色能源,並於2015年成立中租能源開發股份有限公司,以提供全方位的綠能解決方案,包含設備銷售與融資、電廠規劃與開發、新能源投資、運營與維護等。轄下員工更進一步訂有與氣候變遷相關的績效目標,將友善環境的理念結合員工個人乃至管理階層,形成共榮共好的使命,並提供獎金以表彰其達到節能或創能目標的成就。此外,每年遴選年度模範員工,其中包括在氣候變遷議題上表現良好的員工。為了實現太陽能安裝容量的目標,所有中租能源的員工,包括主管在內,將獲得榮譽假期(額外的休息日)、公開表彰優秀員工、達成KPI(Key Performance Indicators)的獎金以及獎品。
 
 

因應台灣洗錢防制法將融資性租賃業務納入規範對象,就融資性租賃相關外部法令內容及施行方式,本公司將盡最大努力與主管機關協調並在兼顧善盡企業社會責任,本公司「以風險為基礎」之方法,並配合金融監理及實務執行情形穩健發展、與時俱進,促進風險評估方法細緻化發展外,並另運用新科技/數據分析工具,持續提升集團AML/CFT管理成效。2023年度本公司及轄下重要子公司執行防制洗錢及打擊資恐作業重要摘要如下:

內部重要規範及呈報架構
為遵循洗錢防制法、資恐防制法及金融機構防制洗錢辦法等法令規範,本公司訂有「防制洗錢暨打擊資恐政策」、「集團防制洗錢及打擊資恐資訊分享及運用辦法」,旗下重要子公司除遵循本公司控股規規章外,另針對主管機關與公會之規範與參考指引,制定其內部規範,並每半年由專責單位陳報董事會追蹤其執行成效,董事會並依具體事實提出建議或予以支持,建立董事會注重洗錢防制及打擊資恐之文化。

客戶風險管理

●客戶盡職調查
採取措施以識別客戶身分,包括蒐集、更新及保存資訊,此等程序包括識別企業戶之實質受益人,及重要政治性職務之人與其家庭成員及有密切關係之人等。採行風險基礎方法(RBA)之原則,以風險基礎審查,專注於重大洗錢高風險客戶及交易以風險分級,執行不同強度之審查機制(CDD、EDD)有效地資源分配,如辨識為高風險客戶,需採取加強盡職審查來確認客戶資金需求及主要還款來源,且與高風險客戶之業務關係建立需高階管理階層審查同意。2023年度下半年針對非面對面來源業務(如支票通等),考量商品特殊性及客群分布,除一般CDD程序外,如有高風險情形,也針對其需求目的進行認識,並經一定高階主管同意後始得建立業務關係。

●集團資訊分享及資訊平台建立
本公司重要子公司有建立集團自建名單分享機制,固定於每月初向各審查單位窗口詢問是否有符合下表態樣類別之客戶名單,如有,須提供公司別、名單態樣、姓名/名稱、性別、國籍/註冊國、生日/設立日期、實質受益人資訊回報專責單位,由各子公司專責單位將資料統整後回覆予控股法務組,建置集團內防制洗錢及打擊資恐資訊分享機制,以強化跨子公司間客戶狀況及異常交易之監控,另為了有效減少人工作業時間,並強化資料維護管理以提升集團洗錢及資恐風險管理綜效,將集團資訊分享作業之系統化預計於2024年底前完成。

教育訓練

為強化洗錢防制及打擊資恐教育訓練課程,及深化全體人員之防制洗錢意識,針對本公司及重要子公司(中租迪和/合迪)各董事、高階主管、業務單位、審查單位、稽核、法務單位與防制洗錢及打擊資恐專責單位所屬主管人員等,每年依其業務性質,採分門別類之方式,安排適當內容及時數之防制洗錢及打擊資恐教育訓練。

在COVID-19較嚴峻時期則改以錄製線上課程進行,課程主題多為業審單位實務運作連結度高之議題及時事,例如:烏俄戰爭與國際制裁(客戶接納政策)、虛擬資產、線上博弈等。本公司亦邀請具豐富實務經驗之外部顧問進行教育訓練,使同仁瞭解其所承擔之職責並持續提升專業。

其中2023年本公司重要子公司(中租迪和/合迪)相關教育訓練共計舉辦46場次,專責主管皆取得國際公認反洗錢師(CAMS)證照,並定期於國際公認反洗錢師所開立課程(含線上培訓)接受相關培訓,因應國際趨勢及法規變化了解最新洗錢防制及打擊資恐作業內容並做出因應調整。

「誠信」與「紀律」是企業文化重要的一環,嚴格要求員工秉持高道德標準以執行公司業務活動,並持續在日常工作中具體落實公司理念,中租控股及旗下子公司成員都有責任,肩負維護公司的聲譽與遵守法令的行為,避免個人利益與公司利益之衝突,保護公司及客戶之機密資訊,依循所有相關法令的規範與精神。

自2011年於台灣證券交易所掛牌上市後,參與「上市上櫃公司資訊揭露評鑑」,經三年努力持續提升為最佳評等 A++,過程中企業落實遵循基本法令更加完善,並自願性揭露及實踐資訊透明度,也參與證交所與櫃買中心辦理的「公司治理評鑑」,七度獲得上市公司排名前百分之五的績優表現。

除依法令規定每月公告營收外,自願每月25日前公告獲利情形,讓投資大眾更即時掌握公司營收及獲利資訊。公司網站提供中英文財務營運、董事會重要決議事項、重要規章等完整的資訊揭露服務,而為了使得資訊公告機制完善,內部訂有明確的執行流程、責任分工,依照資訊的種類與屬性,歸屬各功能單位負責,經由內部的分工、覆核、確認機制,確保資訊的正確性,並於2018年修定中租控股資訊公告暨申報作業程序。法令遵循單位也會不定期提供相關外部法令規定、修改內容予各功能單位參考。

2011年掛牌上市時,自願提升法令遵循標準,比照金融機構制定法令遵循管理辦法並設置專職單位辦理法令遵循事項,有實體營運之重要子公司例如中租迪和、仲利國際等也都制訂各公司的法令遵循管理辦法,定期舉行法遵宣導及教育訓練,確保公司營運及產品符合內外部法令,每年定期舉行法令遵循自行檢查,並將年度法令遵循執行結果向董事會報告。

中租控股設有專責之公司治理主管,除法定公司治理事務外,公司治理主管另統籌本公司法律事務,負責制度規劃、執行、管理及考核,主要功能包括外部法令蒐集、建立清楚適當之法令傳達、諮詢、協調與溝通系統,確認作業及管理規章配合法規適時更新,使營運活動符合法令規定;訂定及執行法令遵循自行查核及評估內容與程序,並督導各單位執行;對各單位進行適當合宜之法規訓練。

2023年中租控股及台灣之重要子公司自行檢查結果均符合法令規定並無重大違反法規事件(重大違反法規係指違反法規遭裁罰金額達新台幣300萬元或遭主管機關裁罰致影響日常營運者:如終止上市或廢止營業許可)。

●內控機制
公司之內部控制制度係由經理人所設計,董事會通過,並由董事會、經理人及其他員工執行之管理過程,其目的在於促進公司之健全經營,以合理確保下列目標之達成:
一、營運之效果及效率。
二、報導具可靠性、及時性、透明性及符合相關規範。
三、相關法令規章之遵循。

為因應稅務治理之國際趨勢,並善盡企業社會責任,本公司訂有「稅務治理政策」,以管理稅務策略及事務,相關政策內容與法規管理方針可參閱官網之公司治理重要公司章則,每年會進行檢視,如因法規或外部環境而需修改,將上呈董事會核准。

 

2023年受到央行升息、國外銀行業倒閉危機、地緣政治風險等影響,造成全球經濟持續下滑,使得企業和消費者信心下降以及生產放緩。面對整體經濟環境,我們將秉持一貫的風險管理理念,掌握各產業發展情況與未來前景,採取客群、產業及區域分散的方式,有效降低市場變動的風險。

控股公司設有風險管理委員會,每半年開會一次,且重要子公司設有風險管理委員會,每季開會一次,以維持健全且有效的風險管理機制。另制定風險管理政策,以確保所有業務的潛在風險被有效管理,對於正常案件也會依據資產品質調整備抵呆帳提列比率。此外,設有評估客戶信用風險的風險評估模型,企業金融及微型企業信用風險評估方法兩項,分別獲得台灣智慧財產局審查通過之發明專利。

透過風險管理三道防線落實風險管理及內部控制,各防線之權責單位監督子公司,並持續依目標優化調整。

本公司制定並推動組織內風險文化策略,建立全面性的風險管理教育訓練體系,課程包含風險管理概念、各產品風險知識、個案審核流程、財務報表分析等。新產品開發納入風險評估,各子公司訂定新產品或新業務管理準則,規範其風險評估、風險管理程序及控管機制,需由各相關權責單位出具意見,並經總經理或董事長核可。此外,將延滯金額、違約率等相關風險管理指標納入高階主管及業務單位人員績效評估,使風險管理指標與其績效及獎金發放有所關聯。

新興風險

依據世界經濟論壇(WEF)公布的全球風險報告中顯示,新興風險的項目逐年增多且發生機率提高,故中租控股及子公司為強化新興風險管理,建立新興風險鑑別流程,以進行新興風險評估與辨識,進而評估風險影響性及發生可能性,並依重要新興風險,訂立減緩措施,且定期追蹤與檢討執行成果。

新興風險矩陣圖

由世界經濟論壇(WEF)的全球風險報告提出的新興風險,經公司內部風險管理單位討論各風險的影響程度、發生機率之高低、公司對風險的準備與適應能力(脆弱度)進行檢視分析,畫出新興風險矩陣圖,並與近年新興風險相較,判別出對公司影響程度高、發生程度高之新興風險,包含地緣經濟衝突風險、生成AI風險、去碳化風險,中租控股針對重大影響之新興風險提出減緩措施。

減緩措施
 

為落實誠信經營,本公司以「公司治理暨永續經營委員會」做為推動企業誠信經營之專責單位,本公司訂有「誠信經營守則」、「誠信經營作業程序及行為指南」、「公司治理實務守則」、「永續發展實務守則」及「道德行為準則」等誠信經營辦法。

依本公司道德行為準則之規定,本公司以誠信方式提供客戶滿意的服務並致力於市場競爭,不以使用非法或不道德之手段獲得成效,中租控股及台灣之重要子公司於2023年無任何貪腐與賄賂、詐欺、內線交易、反競爭、反托拉斯及壟斷之行為,且無任何操縱市場之相關法律訴訟及裁罰發生。

本公司全體董事及高階主管並簽立「誠信經營政策聲明」揭示於公司網站,宣示於公司治理及執行業務過程中,均不得要求任何不正當利益,或從事其他違反誠信、不法或違背受託義務之行為,以落實誠信經營政策、積極防範不誠信行為,並宣示董事會與高階管理階層誠信經營之決心與承諾。本公司新進人員訓練時亦安排企業倫理、公司行為準則等課程,明確宣導公司紀律,嚴守員工操守行為,除全體新人均須參加誠信原則與行為指南概說課程外,亦針對既有員工定期進行誠信經營相關課程調訓。

本公司為進一步強化誠信經營之企業文化,導入「ISO 37001反賄賂管理系統」,並於董事會通過制定「反貪腐、反賄賂政策」,該政策清楚且詳盡地訂定具體防範貪腐及賄賂行為準則,並為相關利害關係人提供指導以協助其防止貪腐和賄賂行為,配合本系統本公司亦將前述反貪反賄相關內容修訂於「誠信經營守則」、「誠信經營作業程序及行為指南」並將供應商保證遵守本公司之反貪腐反賄賂政策等相關誠信經營規定、不得有貪腐賄賂之情事及不得有其他不正當利益之行為規範於「供應商企業社會責任規範」之附件,以確保誠信經營相關政策得以完善,進而善盡企業社會及永續發展責任。

中租控股於2023年5月通過英國標準協會審查取得ISO 37001證書並於2024年初通過維持證書之有效性年度審查。現「ISO 37001 反賄賂管理系統」導入範圍為中租控股,後續將持續評估導入範圍擴及於子公司。

董事責任保險

針對董事責任保險,本公司所採行之法律遵循措施優於法令規範,自2012年上市以來即就董事責任予以投保;並於2017年8月即以臨時股東會決議修改章程,將卸任董事一併納入補償範圍外,亦於之後與個別董事簽署補償協議,同時投保「董監事及重要職員責任保險」,預防董監事及重要職員執行職務的錯誤行為,導致第三者受損,提供求償管道,也借助保險轉移因訴訟造成公司的財務風險,健全公司經營。投保「員工誠實險」,以企業為被保險人,防範與保障因員工未誠實履行職務,可能造成公司重大損害之職務(如法務、財會與業務人員),造成企業所有或受託保管財產上的損失,將該營運風險部份轉嫁由保險承擔,降低公司之損失,進而保障股東權益。

員工誠實險

投保「員工誠實險」,以企業為被保險人,防範與保障因員工未誠實履行職務,可能造成公司重大損害之職務(如法務、財會與業務人員),造成企業所有或受託保管財產上的損失,將該營運風險部份轉嫁由保險承擔,降低公司之損失,進而保障股東權益。

檢舉人制度與檢舉人保護

本公司及子公司建置有「舞弊及違反行為準則舉報辦法」,亦訂立「舉報人保護作業辦法」、「性騷擾防治措施及申訴、懲戒辦法」、「職場不法侵害防治措施及申訴、懲戒辦法」。內外部人員皆可透過官方網站公開之檢舉專線、電子郵件信箱及郵寄信箱多種管道舉發不當行為。本公司之「舞弊及違反行為準則舉報辦法」並訂有專責受理單位、獨立調查單位,舞弊及違反行為準則情事之受理及調查時程。如發生職場不法侵害(如:歧視、霸凌與性騷擾)行為經調查屬實者, 本公司得視情節輕重, 對受雇之行為人依工作規則…等相關規定為調職、降職、減薪、懲戒或其他處理。如涉及刑事責任時,本公司並應協助申訴人提出告訴或告發。

受理單位接獲檢舉後,經初判非舉報不實或資料不齊之案件後,將依舉報事件之類型由獨立調查單位負責調查,經查證屬實者,違反公司紀律、規範之人員將依本公司獎懲辦法規定予以懲處,並加強內部宣導遵循公司紀律與規範。對於舉報人身分及調查過程中之相關資訊,本公司將依「舉報人保護作業辦法」嚴格保密。

為因應ISO 37001反賄賂管理系統專案之導入,為符合系統之標準,本公司之「舞弊及違反行為準則舉報辦法」及「舉報人保護作業辦法」亦進行修正,修訂內容主要包含新增檢舉舞弊、貪腐賄賂及違反行為之個別檢舉管道;就舞弊相關事件接受匿名之舉報及修訂就不同管理階層之調查事項應按權責呈報等事項,亦新增強化保護舉報人之措施。

違反紀律規範事件統計圖

經查本年度本公司及子公司舉報之案件,其中34件舉報經調查後,違反公司紀律、規範之人員已依公司獎懲辦法懲處,並已進行內部宣導。註:上述2023年懲處案件34件,涉案人數共計59人,約占員工人數的0.6%(2023年度總員工人數為9,887人)

 

為有效推動資訊安全運作,爰依據本公司「資訊安全政策」設置「資訊安全委員會」,負責掌理公司資訊安全推動及治理、資安風險監督管理、資安權責分工及協調等事宜,並作為各子公司資訊安全規範與措施之遵循依據,該委員會每年至少召開會議一次,並得視需要隨時召開會議,重大決議會向董事會報告。

依據「公開發行公司建立內部控制制度處理準則」設置資安長、資安主管、資訊安全專責單位,由具資安專業職能人員統籌資安管理制度與合規遵循、資安分析監控、威脅與弱點管理、事件應變等工作,配合資訊系統規模的持續發展,結合資訊安全藍圖規劃,每年檢視評估資安專責單位投入資源、職能專業與擴編需求

資訊安全政策

為強化資訊安全管理,建立安全及可信賴之資訊作業環境,確保資料、系統、設備及網路安全, 考量相關業務發展及需求,訂有「資訊安全政策」,並依政策所述相關事項訂定「資訊安全管理要點」及其他管理規範及建立控制制度,相關政策內容可參閱官網之公司治理重要公司章程。

落實情形

本公司依據「公開發行公司建立內部控制制度處理準則」第8條及第 9 條規範訂定電腦化資訊系統處理相關之資訊循環及其他管理環境(含個人資料保護管理)之內部控制制度及相關作業規範。同時依處理準則第 13 條之要求,每年將資通安全檢查列入年度稽核計畫之稽核項目。

  • 作業單位內部控制制度之自行評估

公司為落實資通安全自我監督的機制,確保可以及時因應環境的改變調整資訊循環及個資處理相關內部控制制度之設計及執行,達到降低資通安全之風險。各單位依內外部相關法令規章及風險評估結果,決定自行評估作業程序及方法,執行頻率則視各單位之工作性質而定,每年至少辦理一次,評估所發現之缺失及異常事項則提出改善方案。自行評估結果送內部稽核單位檢視並覆核自行評估執行情形。

  • 資通安全稽核作業

每年至少進行一次資通安全稽核檢查,由獨立的內部稽核單位以風險為導向,擬定資通安全稽核計畫進行查核,查核報告所列之檢查缺失及建議呈核後,均持續追蹤至改善完成為止。

  • 辦理資訊安全教育訓練

各單位新進人員教育訓練,安排有專項資訊安全訓練課程,包括公司內部作業規範、相關法令、電腦犯罪及資訊安全通識。資訊單位每年訂有教育訓練計畫,安排人員參與外部研習課程,並通過相關專業考試。此外亦安排專業廠商進行資安方案介紹及個案研討。

資訊處理流程圖

中租的資訊服務處理流程管理,從使用者端資訊服務需求到最後完成上線或問題需求解決,以資產管理為根本,建立需求管理、事件管理、問題管理、變更管理、需求單管理、上線管理、知識管理、可用性管理,輔以風險管理為導向,做好嚴格的把關。

資訊安全教育投入資源

隨著科技快速發展,資訊安全面臨日益複雜的挑戰,企業機敏資料的保護也不容忽視,具備健全的資訊安全文化對於業務運作的穩定性至關重要,內部人員的資訊安全意識宣導與教育,更是資訊安全政策是否落實的一大關鍵成功因素,資訊安全培訓不僅能提升員工的資訊安全意識,也能有效降低內部人為失誤或惡意行為的資安風險。有鑑於此,公司積極投入資訊安全教育資源,並持續關注成效:

  • 新進人員到任除了提供相關內部專業知識傳授外,也要求必須完成資訊安全教育訓練與熟悉內部資安政策規定,以達到防範未然,2023年新進人員全數皆完成訓練
  • 公司在職員工,亦規劃不同主題面向的資訊安全課程,供員工高效率學習資安知識,同時符合資安訓練要求,2023年發佈課程調訓至全體在職員工
  • 定期進行社交工程模擬演練,提高員工應對實際威脅時的警覺心,同時驗證教育訓練成效。
  • 設立「資訊安全宣導專區」,定期發布資訊安全主題資訊、詐騙手法辨識技巧等,提醒員工注意防範,了解資訊安全的重要性
  • 為因應資訊技術快速變遷,資訊單位每年派遣員工參加外部專業資訊安全相關訓練課程。
資訊安全管理措施

資訊單位提供閘道與端點防護功能,並有病毒程式隔離警訊,也透過網路流量管控與分析,進一步偵測外部可疑入侵行為。此外,為提升威脅偵測速度與回應時間,全面佈署XDR(延伸式偵測及回應),來蒐集並自動交叉關聯多個防護層的資料,藉由更迅速的資安分析來提供更快的威脅偵測,亦可提升調查與回應時間。

全面導入企業行動管理(EMM: Enterprise Mobility Management),員工以行動裝置收發郵件或進行遠端連線作業時,依Need to know原則進行權限最小化控管,並管制資料傳輸不落地,無法從外部將公司資料儲存至行動裝置中,以確實保護公司營運資訊及客戶個人資料。

設置資訊安全專責單位,並制定資訊安全日常檢核作業,確保各資安設備如預期發揮偵測防禦的能力,並分析設備所產生的警訊及記錄,發現並根除外部與內部潛在資安風險,將資安設備與作業流程整合,防範威脅於未然。

2023年因應公司對機敏資料安全的高度關注,完成導入台灣DLP資料外洩防護技術,對公司機敏資料的使用軌跡實時監控、偵測並阻止潛在資訊洩漏,且定期提供監控報告,防範資料外洩風險。

2023年為建立零信任基礎,導入建置多因子驗證系統,以強化身分驗證機制,透過結合不同驗證因子,提供比單一帳號密碼驗證更高強度的保護,確保只有合法授權人員可存取公司資源,進而降低內部系統被不當使用和身份盜用的風險。

2023年完成伺服器主機弱點掃描與主要網站滲透測試,透過委外專業廠商以第三方角度進行深度安全檢測,檢視伺服器主機和網站中的潛在弱點,以確保其抵禦各種潛在威脅的能力。於完成檢測後依弱點管理流程,綜合現行安全控制措施,評估資訊環境管控下之弱點風險等級,擬定弱點修補計畫並實施,安全檢測頻率為一年兩次,確保即時掌控新興弱點威脅情資。

2023年完成導入弱點掃描平台,除定期委外專業廠商進行弱點掃描外,也能即時因應新發現的資安威脅。結合內部作業流程,主動偵測潛在的安全弱點以及驗證已發現弱點的修補完善程度,建立更完善的弱點管理制度。

2023年完成台灣全體員工電子郵件社交工程演練,以模擬駭客攻擊手法之釣魚信件,測試員工的警覺性和資安意識,並於演練結果分析後,編寫相應之資訊安全教育訓練教材、設立宣導專區定期發佈資安宣導使員工了解最新社交工程手法,將資安文化融入企業中,持續不間斷地提升全體資安意識水平。

2023年完成投保資訊安全保險,將財務面資訊安全衝擊進行風險移轉,緩解資訊安全事件對公司營運造成的損害與影響,提升企業風險承受度。

2023年因應全球生成式AI浪潮,因應其可能帶來之資訊安全、人權、隱私、倫理及法律等風險,特參考「行政院及所屬機關(構)使用生成式 AI 參考指引」,制訂公司內部「生成式AI使用指引」,為員工提供一致性的使用原則與認知,確保安全、合理及有效的使用,以降低可能之資安風險。

2023年依規定進行兩次的災難復原演練,一次為資訊單位復原演練及一次資訊單位與前後台同步異地復原演練。用以讓企業內部的系統與資料能有最佳的保護措施,藉由合理的手段與方法,盡可能地縮短系統中斷的復原時間,並且降低營運中斷所造成的資料損失。2023年沒有因資訊設備問題遭受裁罰或遭受營運損失之事件。

2023年為針對資訊安全事件的通報與處理制定標準化程序,優化「資通安全事件應變處理及通報管理辦法」,建立事件分類、等級及應變處理等流程,當知悉發生資通安全事件後,將依事件影響等級之處理時限內完成損害控制或復原作業,並於事件處理完畢後,進行根因分析與採取矯正措施,以預防事件重複發生。

有鑑於資訊安全為企業營運重大風險議題,為預防及因應資安事件可能帶來的衝擊,針對組織內所使用的資訊建構一個資訊安全管理體系,以妥善保護資訊的機密性、完整性和可用性,在企業追求持續營運之際,並符合國際標準之管理制度,以達成組織營運安全之目標,進而增強客戶信賴,成為最可靠的合作夥伴:

  • 2021年導入ISO 27001資訊安全管理制度(ISMS)。並於2022、2023年通過複驗,2024年將「中小企業融資平台」納入驗證範圍,以逐年擴大、持續優化的態度維持國際認證的有效性。
  • 2023年完成投保資訊安全保險,以建立風險轉移機制為目標,於企業追求持續營運之際同時符合利害關係人之期望,以具體行動表現對資訊安全的高度重視。