本公司第四屆董事(包含獨立董事)於2020年5月27日召開之2020年度股東常會選任,選任方式與程序依循「公司章程」與「董事選舉辦法」之規定,採候選人提名制度,董事任期為3年。第四屆董事會由6位董事與3位獨立董事組成,董事年齡60歲以下共3位、60 歲至69歲共3位、70 歲以上共3位,其中女性1位。
為協助董事遵循法令、深化公司治理,及落實法遵文化,本公司已設置專責之公司治理主管,確保公司之經營策略合法合規。本公司依照「董事會議事辦法」規定,定期性董事會每季至少召開一次,由董事長召集並擔任主席,並於7日前將會議議程與資料提供予各董事,確保董事有充足資訊以參與議案之討論及決策,促進董事會監督與指導公司及經營團隊。本公司已於「董事會績效評估辦法」明訂各董事於董事會及其所擔任委員之功能性委員會之平均出席率應達80%以上,2022年共計召開11次董事會,全體董事平均親自出席率為99%(含委託出席則達100%),個別董事親自出席率亦皆超過90%。
為有效發揮董事會職能,精進董事會決策品質,在董事會下依職權及功能分設「審計委員會」、「薪酬委員會」、「公司治理暨永續經營委員會」、「風險管理委員會」等功能性委員會,另於董事長下設「經營管理委員會」,負責重要議案及經濟、環境、社會、風險等重要議題之討論。
功能性委員會分別由獨立董事組成或參與之,使委員會之決策與建議具前瞻性、客觀性與周延性,有效執行獨立監督及制衡之機制,確保董事會各項決議與作為,各項議案均提經董事會報告及討論,若有涉及董事自身或其代表之法人有利害關係者應予迴避,部分議案亦提經股東會報告及討論,符合利害關係人之最大利益。
董事會轄下設有「審計委員會」、「薪酬委員會」、「公司治理暨永續經營委員會」及「風險管理委員會」,以強化董事會監管職能、提升董事會之決策效率與決策品質,並維護股東權益。除風險管理委員會於2023年4月10日經董事會決議調整架構外,各功能性委員會之組成、主要職責與2022年運作情形如下:
內部規範對董事利益衝突處理已有明文規定,董事或委員對於會議事項,與其自身或其代表之法人有利害關係者,不得加入討論及表決,且討論或表決時應予以迴避,並不得代理其他董事行使表決權。董事對於會議議案與其自身或其所代表之法人有利害關係之虞者,皆秉持高度自律與從嚴認定,自行迴避、不參與討論及表決。
本公司董事之選任,應考量公司中長期發展策略與董事會之整體配置。董事會成員組成亦考量多元化,包含但不限於以下兩大面向之選任標準:
一、基本條件與價值:性別、年齡、種族、國籍及文化等。
二、專業知識技能:專業背景、專業技能及產業經驗等。
董事會成員之專業背景涵蓋金融、資訊科技、醫療保健、能源、法律與財務會計,並且對於企業管理、法令遵循、國際租稅及公司治理等具備豐富實務經驗,皆具備執行業務所需專業與能力。同時也藉由安排外部進修課程,以協助全體董事提升專業能力與對趨勢議題的掌握,因應持續強化資安風險管理,2022年課程主題即包含資訊安全治理與管理、營業秘密保護,每位董事課程時數皆滿6小時,符合法規建議。本公司董事會成員多元性與獨立性之落實情形請詳見中租控股2022 年度年報。
為落實公司治理並提升董事會功能,本公司依循「公司治理實務守則」訂有「董事會績效評估辦法」,定期於每年11月份進行前一年度11月初至當年度10月底董事會及功能性委員會之績效評估,評估對象包含董事會、功能性委員會整體運作情形與個別董事成員績效表現,評估表以1~5分(滿分為5分)之量化方式進行衡量,衡量項目如下:
評估結果90%(含)達 4 分以上,則內部績效評估結果為「超越標準」; 80%(含)未滿 90%時,則為「符合標準」;低於 80%者,則為「仍可加強」。
2022年董事會及功能性委員會績效評量,評量結果請參考本公司網站(https://www.chaileaseholding.com/CorporateGovernance/Directors)。
本公司訂定每三年委外執行外部績效評估,已於2020年委由中華公司治理協會對董事會之效能進行評估,該機構及執行專家與本公司無業務往來而具備獨立性,評估作業除了透過書面方式之問卷填答與審閱相關佐證資料以外,協會亦親至公司與董事、各功能性委員會召集人以及高階主管進行面對面訪評。經由協會以豐富的公司治理制度評量經驗為基礎,並分別就董事會之組成、指導、授權、監督、溝通、內部控制及風險管理、董事會之自律及其他如董事會會議、支援系統等八大構面進行整體觀察與評估,並於2021年1月25日出具報告,本公司將外部評估報告提報2021年3月10日召開之董事會,說明上述建議事項及因應措施,並於同次會議修訂「董事會績效評估辦法」,以加強董事會運作效率。
本公司以永續經營為理念,為持續增進公司治理、強化風險管理與落實誠信經營,本公司於2022年導入ISO 37001反賄賂管理系統,經董事會決議通過制定「反貪腐、反賄賂政策」,並相應修訂「誠信經營守則」與「誠信經營作業程序及行為指南」,同時為提升節能減碳,董事會亦決議通過實施溫室氣體盤查執行作業,以進一步掌握碳排放量。
●給付酬金之政策、標準與組合、訂定酬金之程序、與經營績效及未來風險之關聯性:
(一)給付酬金之政策、標準與組合:
1. 本公司董事之薪資報酬,依本公司公司章程第94條規定,應由董事會參考薪資報酬委員會之建議、其他同業給付水準決定。另依本公司公司章程第118 條之規定,公司當年度如有獲利,董事會應就不超過每會計年度稅前獲利的0.1% 額度內,做為當年度董事之董事酬勞。本公司依「董事會績效評估辦法」每年至少執行一次內部績效評估,且至少每三年由外部專業獨立機構或外部專家學者團隊執行一次外部績效評估;於考量公司的營運成果,並參酌董事績效評估結果,包括但不限於董事個人對公司的績效貢獻、出席情形、發言次數,以及同業市場的董事薪酬水平,給予合理的報酬。相關績效考核及薪酬合理性均經薪資報酬委員會及董事會審核。
2. 本公司經理人之薪資報酬,依本公司公司章程第94條規定,應由董事會參考薪資報酬委員會之建議、其他同業給付水準決定。另依本公司公司章程第118 條之規定,公司當年度如有獲利,董事會應就介於每會計年度稅前獲利的0.01%~1% 額度內,做為當年度的員工酬勞。
本公司依「目標管理辦法」及「考績辦法」之績效評核結果,作為經理人獎金核發之參考依據,經理人績效評估項目分為以下兩大部份,公司據此計算其經營績效之酬金,並隨時視實際經營狀況及相關法令適時檢討酬金制度:
(1) 財務性指標:
各項評估指標包括:業績達成率、稅前淨利達成率、股東權益報酬率(ROE)、延滯率、本金餘額、每元人事費用淨收益報酬率(Net profit per personnel expense)及每元淨利率(Net profit ratio per capita)除評估各指標的年度目標達成率外,也將同時評估各指標的同期成長率。
(2) 非財務性指標:
除財務性指標外,公司同時也將策略目標、企業永續營運風險、公司治理及重大性議題等非財務績效面向納入評估範圍。經理人非財務性指標中含10%的永續發展目標,包含但不限於太陽能電廠資產規模提升(包括 太陽能電廠數量及 總裝置發電容量兩方面的同時提升)、節約能源、擴大碳盤查、提升職業安全衛生預防計畫等。另外,也訂有10%中租控股共同目標包含但不限於節約能源與部門公益時數。
3. 本公司給付酬金之組合,依薪資報酬委員會組織規程所定,包括現金報酬、認股權、分紅入股、退休福利或離職給付、各項津貼及其他具有實質獎勵之措施;其範疇與公開發行公司年報應行記載事項準則中有關董事及經理人酬金一致。
(二)訂定酬金之程序:
1. 為定期評估董事及經理人之薪資報酬,分別以本公司「董事會績效評估辦法」及適用經理人與員工之「目標管理辦法」及「考績辦法」所執行之評核結果為依據,
2. 本公司獎酬給付政策係依據公司經營策略、用人政策及給付能力決定;且本公司董事及經理人相關績效考核及薪酬合理性,均經薪資報酬委員會及董事會每年定期評估及審核,除參考個人的績效達成率及對公司績效的貢獻度,並參酌公司整體的營運績效、產業未來經營風險及發展趨勢,以及隨時視實際經營狀況及相關法令適時檢討酬金制度,以謀公司永續經營與風險控管之平衡。2022年度董事及經理人酬金實際發放金額,均由薪酬委員會審議後,提董事會議定之。
(三)與經營績效及未來風險之關聯性:
1. 本公司酬金政策相關給付標準及制度之檢討,係以公司整體營運狀況為主要考量,並視績效達成率及貢獻度核定給付標準,以提升董事會及經理部門之整體組織團隊效能。另參考業界薪酬標準,定期透過專業企管顧問公司進行金融同業的薪資調查,且依薪資調查報告結果檢視本公司獎酬水準,提供具市場競爭力的薪資,確保本公司管理階層之薪酬於業界具有競爭力,以留任優秀之管理人才。
2. 本公司經理人績效目標均與「風險控管」結合,以確保職責範圍內可能之風險得以管理及防範,並依實際績效表現核給評等之結果,連結各相關人力資源及相關薪資報酬政策。本公司經營階層之重要決策,均衡酌各種風險因素後為之,相關決策之績效即反映於公司之獲利情形,進而經營階層之薪酬與風險之控管績效相關。
3. 高階主管長期激勵獎酬政策:
為激勵經理人達成並超越公司目標、創造獲利、提升經營績效,並考量與未來風險之合理關連性,公司訂有「高階主管持股信託獎酬計畫」(註),結合遞延獎酬、長期獎酬及持股要求進行規畫。
總經理及其他高階主管獎金之發放,係以公司經營績效、ESG、股東總報酬率TSR及考量未來風險因素為主要依據,其前一年度年終分紅獎金至多20%作為遞延獎酬發放之基礎,以存入公司持股信託專戶方式遞延至少1年,並就公司股東總報酬率TSR與同年度台灣證券交易所金融保險類指數比較的相對達成情形來決定遞延獎酬發放依據,使高階主管獎酬與公司長期績效及股東利益得以連結,如有其他重大風險事件影響公司商譽等事情發生時,本公司得依「高階主管薪酬索回政策」酌減獎金或不予發放。
4. 本公司經營之未來風險主要取決於資產品質的呆帳損失情形,目前公司設有風險管理組掌理並監督本公司金融營業資產品質之評核,對於正常案件也會根據資產品質調整備抵呆帳提列比率;當呆帳損失增加時,董事、總經理及副總經理的個人績效及領取酬金則會相對應降低。
註1:「高階主管持股信託獎酬計畫」適用對象與「高階主管持股辦法」相同。
註2:總經理以外高階管理人員2022年平均持股總值為年固定薪資總額的37.5倍。
本公司同時提供優於法令的退休金制度(同時適用於一般員工),期使經理人能為公司全心貢獻與付出。
因應台灣洗錢防制法將融資性租賃業務納入規範對象,就融資性租賃相關外部法令內容及施行方式,本公司將盡最大努力與主管機關協調並在兼顧善盡企業社會責任、反洗錢及資恐風險及降低作業成本考量下,2022年度本公司及轄下重要子公司執行防制洗錢及打擊資恐作業重要摘要如下:
洗錢防制作業流程管理機制說明如下:
為使管理階層得以適時且有效地瞭解本公司整體洗錢與資恐風險,並決定、發展應建立之機制與合宜之抵減措施,本公司參考FATF40項建議,並依國際規範暨趨勢,透過顧問導入集團一致性之機構風險評估方法論,進行機構洗錢及資恐風險評估,評估面向包括國家地域、產品或服務、交易或支付管道及客戶面向,評估整體機構之固有風險、控制措施及剩餘風險,瞭解自身風險並依報告結果訂立行動方案(待改善事項),該機構風險評估報告應提報至董事會後陳報主管機關備查,另機構風險評估報告中行動方案(待改善事項)應由洗錢防制專責單位定期呈報董事會追蹤其執行成效,董事會並依具體事實提出建議或給予一定支持,建立董事會注重洗錢防制及打擊資恐之文化。
為遵循洗錢防制法、資恐防制法及金融機構防制洗錢辦法等外部規定,2022年度新訂定與修訂內部規章,重要規範之調整列示如下:
採取措施以識別客戶身分,包括蒐集、更新及保存資訊,此等程序包括識別企業戶之實質受益人,及重要政治性職務之人與其家庭成員及有密切關係之人等。採行風險基礎方法(RBA)之原則,以風險基礎審查,專注於重大洗錢高風險客戶及交易以風險分級,執行不同強度之審查機制(CDD、EDD)有效地資源分配,如辨識為高風險客戶,需採取加強盡職審查來確認客戶資金需求及主要還款來源,且與高風險客戶之業務關係建立需高階管理階層審查同意。另預計2023年度下半年針對非面對面來源業務(如支票通等),考量商品特殊性及客群分布,除一般CDD程序外,如有高風險情形,也針對其需求目的進行認識,並經一定核決主管同意後始得建立業務關係。
建立業務關係時本公司應對客戶及其相關係人(負責人、保證公司/人、實質受益人、供應商)執行姓名檢核作業,姓名檢核資料庫(道瓊資料庫)種類分為國內外制裁名單(包含但不限於美國財政部海外資產控制辦公室(OFAC)、聯合國、歐盟及我國公佈之制裁名單)、國內外重要政治性職務之人與其家庭成員及有密切關係之人(以下簡稱國內外PEPs)及涉及洗錢之負面新聞,同時資料庫如有更新時,每日將以夜間批次就增量名單對全量客戶進行姓名檢核作業,無論係建立業務關係時或為批次姓名檢核時符合名單資訊,皆會由作業人員審核放行,如為制裁名單不得建立業務關係且應即時通報;若為國內外PEPs該客戶風險應提高至高風險客戶,且每年應執行定期覆審作業;如為涉及洗錢負面新聞時,應確認是否為我國國家風險評估報告(NRA)中非常高威脅犯罪,如是,應加強確認其資金用途及還款來源並由高階管理人員核准後始得承作。另配合2021年12月間國家風險評估報告內容更新,於2022年度將非常高威脅之八大犯罪調整為非常高危脅犯罪並適時調整客戶風險接納政策。
另外,本公司重要子公司亦有建立集團自建名單分享機制,固定於每月初向各審查單位窗口詢問是否有符合下表態樣類別之客戶名單,如有,須提供公司別、名單態樣、姓名/名稱、性別、國籍/註冊國、生日/設立日期、實質受益人資訊回報專責單位,由各子公司專責單位將資料統整後回覆予控股法務組,並於建立業務關係或自建名單有新增時皆會進行名單檢核作業。
有關交易監控,於進行交易或建立業務關係時暨進行中,由專責人員依風險為本的精神,針對潛在高風險顧客警報進行分析與資料蒐集,參考客戶產業、通路來源、業務部門以及交易活動是否符合過往習性,並將調查過程留存紀錄軌跡,且進行加強管控措施,提高交易核決層級及加強盡職調查。專責人員經調查分析後,將可能涉及洗錢或資恐活動之客戶或交易活動向法務部調查局提交可疑活動報告。自2020年12月起透過外購系統上線後,專責單位持續蒐集相關警報案例,並定期檢視參數有效性,於2021年度依各業務單位規模暨操作商品特性區分群組,設定不同參數,針對較可疑態樣集中資源辨識,有效控管相關風險。
為強化洗錢防制及打擊資恐教育訓練課程,及深化全體人員之防制洗錢意識,針對全體同仁(含新進人員)、專責人員、董事及高階管理人員、法遵、稽核及第一線業務人員,每年依其業務性質,採分門別類之方式,安排適當內容及時數之防制洗錢及打擊資恐教育訓練。
另外,專責主管皆取得國際公認反洗錢師(CAMS)證照,並定期於國際公認反洗錢師所開立課程(含線上培訓)接受相關培訓,因應國際趨勢及法規變化了解最洗錢防制及打擊資恐作業內容並做出因應調整。相關的教育訓練如下表:
稽核單位每年定期就人員執掌(組織)、政策、作業規範及洗錢防制系統三大範圍進行有效性測試,並出具查核報告向董事會報告,針對查核缺失定期追蹤各單位改善情形。稽核單位於2022年度防制洗錢及打擊資恐之管理查核作業時,有針對子公司中租迪和及合迪之作業提出改善建議,相關單位皆已配合完成改善。
專責單位每年應向董事會及監察人報告當年度洗錢防制及打擊資恐作業執行概況,每年提報內容包至少應涵蓋法令規範之異動、作業執行概況及當年度重要執行專案進行報告,如有發現重大違反洗錢防制相關法令時,亦會立即向董事會及監察人報告,董事及監察人依報告內容進行討論並給予建議,會後如有待改善追蹤事項,洗錢防制專責單位應定期將改善進度提報董事會及監察人,以建立本公司完善洗錢防制及打擊資恐制度及文化。
「誠信」與「紀律」是企業文化重要的一環,嚴格要求員工秉持高道德標準以執行公司業務活動,並持續在日常工作中具體落實公司理念,中租控股及旗下子公司成員都有責任,肩負維護公司的聲譽與遵守法令的行為,避免個人利益與公司利益之衝突,保護公司及客戶之機密資訊,依循所有相關法令的規範與精神。
自2011年於台灣證券交易所掛牌上市後,參與「上市上櫃公司資訊揭露評鑑」,經三年努力持續提升為最佳評等 A++,過程中企業落實遵循基本法令更加完善,並自願性揭露及實踐資訊透明度,也參與證交所與櫃買中心辦理的「公司治理評鑑」,於2014、2016-2020、2022七度獲得上市公司排名前百分之五的績優表現。
除依法令規定每月公告營收外,自願每月25日前公告獲利情形,讓投資大眾更即時掌握公司營收及獲利資訊。公司網站提供中英文財務營運、董事會重要決議事項、重要規章等完整的資訊揭露服務,而為了使得資訊公告機制完善,內部訂有明確的執行流程、責任分工,依照資訊的種類與屬性,歸屬各功能單位負責,經由內部的分工、覆核、確認機制,確保資訊的正確性,並於2018年修定中租控股資訊公告暨申報作業程序。法令遵循單位也會不定期提供相關外部法令規定、修改內容予各功能單位參考。
2011年掛牌上市時,自願提升法令遵循標準,比照金融機構制定法令遵循管理辦法並設置專職單位辦理法令遵循事項,有實體營運之重要子公司例如中租迪和、仲利國際等也都制訂各公司的法令遵循管理辦法,定期舉行法遵宣導及教育訓練,確保公司營運及產品符合內外部法令,每年定期舉行法令遵循自行檢查,並將年度法令遵循執行結果向董事會報告。
為配合公司法未來修法趨勢,並因應金融監督管理委員會透過推動新版公司治理藍圖,中租控股於2018年設置專責之公司治理主管一位。同時就公司治理事務調整控股法務組、秘書處及行政組之職務分配,秘書處及行政組之公司治理人員於公司治理事務下,歸屬於控股法務組,並由公司治理主管督導控股法務組執行公司治理事務。
除法定公司治理事務外,公司治理主管另統籌本公司法律事務,負責制度規畫、執行、管理及考核,主要功能包括外部法令蒐集、建立清楚適當之法令傳達、諮詢、協調與溝通系統,確認作業及管理規章配合法規適時更新,使營運活動符合法令規定;訂定及執行法令遵循自行查核及評估內容與程序,並督導各單位執行;對各單位進行適當合宜之法規訓練。2022年自行檢查結果均符合法令規定,2022年並無重大違反法規事件(無因違反法規而致生影響公司日常營運之情事)。
公司之內部控制制度係由經理人所設計,董事會通過,並由董事會、經理人及其他員工執行之管理過程,其目的在於促進公司之健全經營,以合理確保下列目標之達成:
一、營運之效果及效率。
二、報導具可靠性、及時性、透明性及符合相關規範。
三、相關法令規章之遵循。
為因應稅務治理之國際趨勢,並善盡企業社會責任,本公司訂有「稅務治理政策」,以管理稅務策略及事務,相關政策內容可參閱官網之公司治理重要公司章則。
註:
註:
2022年持續受新冠肺炎影響,造成全球經濟急速下降,使得企業和消費者信心下降以及生產放緩。面對整體經濟環境,我們將秉持一貫的風險管理理念,掌握各產業發展情況與未來前景,採取客群、產業及區域分散的方式,有效降低市場變動的風險。
控股公司設有風險管理委員會,每半年開會一次,且重要子公司設有風險管理委員會,每季開會一次,以維持健全且有效的風險管理機制。另制定風險管理政策,以確保所有業務的潛在風險被有效管理,對於正常案件也會依據資產品質調整備抵呆帳提列比率。此外,設有評估客戶信用風險的風險評估模型,企業金融及微型企業信用風險評估方法兩項,分別獲得台灣智慧財產局審查通過之發明專利。
由世界經濟論壇發布的2023年全球風險報告中顯示,新興風險的類別項目逐年增多且發生機率提高,故中租控股及子公司為強化新興風險管理,建立新興風險鑑別流程,以進行新興風險評估與辨識,進而評估風險影響性及發生可能性,並依重要新興風險,訂立減緩措施,且定期追蹤與檢討執行成果。
依據世界經濟論壇2023年全球風險報告提及之新興風險,依風險的影響程度、發生機率之高低,畫出新興風險矩陣圖,中租控股針對重大影響之新興風險提出減緩措施。
依循誠信經營守則,以誠信為基礎之政策,訂定防範方案,同仁皆簽署職員承諾書,承諾遵守公司紀律;於2014年增訂「誠信經營作業程序及行為指南」,明列不誠信行為及相關利益型態及獎懲制度,要求往來對象不得有賄賂等不誠信行為。訂定道德行為準則,規範員工執行職務遵循法令及道德行為準則,明定防止利益衝突,追求高度道德標準。新進人員訓練時亦安排企業倫理、公司行為準則等課程,明確宣導公司紀律,嚴守員工操守行為。除了全體新人均須參加誠信原則與行為指南概說課程外,亦針對既有員工定期調訓。
為配合本公司導入「ISO 37001反賄賂管理系統」並強化公司對誠信經營之目標,本公司於2022年修訂誠信經營守則、誠信經營作業程序及行為指南,修正要旨大致為新增檢舉舞弊、貪腐賄賂及違反行為之個別檢舉管道及相關調查書面文件之規範,並擬將上述辦法之修正情形提報2023年股東會。規範本公司人員執行業務過程之行為,並指派本公司法務組為專責單位,維護及落實誠信經營行為。現「ISO 37001 反賄賂管理系統」導入範圍為中租控股,後續將持續評估導入範圍擴及於子公司。
本公司亦將供應商保證遵守本公司之反貪腐反賄賂政策等相關誠信經營規定、不得有貪腐賄賂之情事及不得有其他不正當利益之行為於「供應商企業社會責任規範」之附件因應ISO 37001「ISO 37001反賄賂管理系統」並落實本公司誠信經營政策,本公司新訂「反貪腐、反賄賂政策」,清楚且詳盡地訂定具體防範貪腐及賄賂行為準則,並為相關利害關係人提供指導以協助其防止貪腐和賄賂行為,確保誠信經營政策之建置,善盡企業社會及永續發展責任。
依據本公司「誠信經營守則」第3條規定:「本公司及各子公司之董事、經理人、受僱人、受任人或具有實質控制能力者,於從事商業行為之過程中,不得直接或間接提供、承諾、要求或收受任何不正當利益,或做出其他違反誠信、不法或違背受託義務等不誠信行為,以求獲得或維持利益。」
此外,同守則第10條更針對商業活動規定:「本公司於商業往來之前,應考量代理商、供應商、客戶或其他商業往來交易對象之合法性及是否涉有不誠信行為,避免與涉有不誠信行為者進行交易。」因此,本法明定禁止從事任何行賄行為(第11條)和收受不正當利益(第14條)等行為。
另一方面,本公司「誠信經營作業程序及行為指南」則進一步規定收受不正當利益之處理程序(第7條)、與客戶建立商業關係前之誠信評估(第17條),和避免與不誠信者交易(第19條)。
董事責任保險
針對董事責任保險,本公司所採行之法律遵循措施優於法令規範,自2012年上市以來即就董事責任予以投保;並於2017年8月即以臨時股東會決議修改章程,將卸任董事一併納入補償範圍外,亦於之後與個別董事簽署補償協議,同時投保「董監事及重要職員責任保險」,預防董監事及重要職員執行職務的錯誤行為,導致第三者受損,提供求償管道,也借助保險轉移因訴訟造成公司的財務風險,健全公司經營。
投保「員工誠實險」,以企業為被保險人,防範與保障因員工未誠實履行職務,可能造成公司重大損害之職務(如法務、財會與業務人員),造成企業所有或受託保管財產上的損失,將該營運風險部份轉嫁由保險承擔,降低公司之損失,進而保障股東權益。
本公司及子公司建置有「舞弊及違反行為準則舉報辦法」,亦訂立「舉報人保護作業辦法」、「性騷擾防治措施及申訴、懲戒辦法」、「職場不法侵害防治措施及申訴、懲戒辦法」。內外部人員皆可透過官方網站及內部網站公開之檢舉專線、電子郵件信箱及郵寄信箱多種管道舉發不當行為。本公司之「舞弊及違反行為準則舉報辦法」並訂有專責受理單位、獨立調查單位,舞弊及違反行為準則情事之受理及調查時程。如發生職場不法侵害(如:歧視、霸凌與性騷擾)行為經調查屬實者, 本公司得視情節輕重, 對受雇之行為人依工作規則…等相關規定為調職、降職、減薪、懲戒或其他處理。如涉及刑事責任時,本公司並應協助申訴人提出告訴或告發。
受理單位接獲檢舉後,經初判非舉報不實或資料不齊之案件後,將依舉報事件之類型由獨立調查單位負責調查,經查證屬實者,違反公司紀律、規範之人員將依本公司獎懲辦法規定予以懲處,並加強內部宣導遵循公司紀律與規範。對於舉報人身分及調查過程中之相關資訊,本公司將依「舉報人保護作業辦法」嚴格保密。
為因應ISO 37001反賄賂管理系統專案之導入,為符合系統之標準,本公司之「舞弊及違反行為準則舉報辦法」及「舉報人保護作業辦法」亦進行修正,修訂內容主要包含新增檢舉舞弊、貪腐賄賂及違反行為之個別檢舉管道;就舞弊相關事件接受匿名之舉報及修訂就不同管理階層之調查事項應按權責呈報等事項,亦新增強化保護舉報人之措施。
經查本年度本公司及子公司舉報之案件,其中29件舉報經調查後,違反公司紀律、規範之人員已依公司獎懲辦法懲處,並已進行內部宣導。註:上述2022年懲處案件29件,涉案人數共計49人,約占員工人數的0.55%(2022年度總員工人數為8,972人)
本公司雖非聯合國全球盟約(UN Global Compact,UNGC)之成員,然仍響應UNGC之對應策略。就UNGC之十項原則,本公司對應之公司規範及聲明如下:
為有效推動資訊安全工作,爰依據本公司「資訊安全政策」設置「資訊安全委員會」,負責掌理公司資訊安全推動及治理、資安風險監督管理及重大資安事件呈報等事項。該委員會每年至少召開會議一次,並得視需要隨時召開會議,重大決議會向董事會報告。
2022年依據「公開發行公司建立內部控制制度處理準則」設置資安長、資安主管、資訊安全專責單位,由具資安專業職能人員統籌資安管理制度與合規遵循、資安分析監控、威脅與弱點管理、事件應變等工作。
為強化資訊安全管理,建立安全及可信賴之資訊作業環境,確保資料、系統、設備及網路安全, 考量相關業務發展及需求,訂有「資訊安全政策」,並依政策所述相關事項訂定「資訊安全管理要點」及其他管理規範及建立控制制度,相關政策內容可參閱官網之公司治理重要公司章程。
本公司依據「公開發行公司建立內部控制制度處理準則」第8條及第 9 條規範訂定電腦化資訊系統處理相關之資訊循環及其他管理環境(含個人資料保護管理)之內部控制制度及相關作業規範。同時依處理準則第 13 條之要求,每年將資通安全檢查列入年度稽核計畫之稽核項目。
公司為落實資通安全自我監督的機制,確保可以及時因應環境的改變調整資訊循環及個資處理相關內部控制制度之設計及執行,達到降低資通安全之風險。各單位依內外部相關法令規章及風險評估結果,決定自行評估作業程序及方法,執行頻率則視各單位之工作性質而定,每年至少辦理一次,評估所發現之缺失及異常事項則提出改善方案。自行評估結果送內部稽核單位檢視並覆核自行評估執行情形。
每年至少進行一次資通安全稽核檢查,由獨立的內部稽核單位以風險為導向,擬定資通安全稽核計畫進行查核,查核報告所列之檢查缺失及建議呈核後,均持續追蹤至改善完成為止。
各單位新進人員教育訓練,安排有專項資訊安全訓練課程,包括公司內部作業規範、相關法令、電腦犯罪及資訊安全通識。資訊單位每年訂有教育訓練計畫,安排人員參與外部研習課程,並通過相關專業考試。此外亦安排專業廠商進行資安方案介紹及個案研討。
中租的資訊服務處理流程管理,從使用者端資訊服務需求到最後完成上線或問題需求解決,以資產管理為根本,建立需求管理、事件管理、問題管理、變更管理、需求單管理、上線管理、知識管理、可用性管理,輔以風險管理為導向,做好嚴格的把關。
隨著網路威脅增加及攻擊方式日漸複雜,衍生出許多企業資訊安全問題,政府及主管機關也愈見增加對企業應強化資訊安全風險管理之要求。然而威脅與攻擊的防範,除了運用科技工具以外;內部人員的資訊安全意識宣導與教育,更是資訊安全政策是否落實的一大關鍵成功因素。有鑑於此,新人到任時除了提供相關內部專業知識傳授外,也同時要求必需完成相關的資訊安全教育訓練,以達到防範未然,整體完訓率為100%。已加入公司之員工亦已完成相關資安訓練要求,其覆蓋率為100%。此外,資訊單位每年派遣同仁參加外部各項資訊安全相關訓練課程,提升員工資安專業知識,已因應資訊技術快速變遷。
資訊單位提供閘道與端點防護功能,並有病毒程式隔離警訊,也透過網路流量管控與分析,進一步偵測外部可疑入侵行為。此外,為提升威脅偵測速度與回應時間,更於2021年導入XDR(延伸式偵測及回應),來蒐集並自動交叉關聯多個防護層的資料,藉由更迅速的資安分析來提供更快的威脅偵測,亦可提升調查與回應時間。
2022年設置資訊安全專責單位,並制定資訊安全日常檢核作業,確保各資安設備如預期發揮偵測防禦的能力,並分析設備所產生的警訊及記錄,發現並根除外部與內部潛在資安風險,將資安設備與作業流程整合,防範威脅於未然。
2022年完成伺服器主機弱點掃描與主要網站滲透測試,透過委外專業資安廠商,以第三方角度進行深度安全檢測,依據檢測分析後所產出之風險報告,擬定弱點修補計畫並實施,資訊安全檢測頻率為一年兩次,確保即時掌控新興弱點威脅情資。
2022年完成全體電子郵件社交工程演練,將經過設計貼近時事與模擬駭客攻擊手法之釣魚郵件,發送給全體員工以測試警覺性及資安意識,演練測試結果經統計分析後,規畫編寫資訊安全教育訓練教材,並定期發佈資安宣導使員工了解最新社交工程手法,使資安文化融入全體員工,後續將社交工程演練與教育訓練制度化,持續不間斷提升整體資安意識水平。
2022年規畫逐步導入企業行動管理(EMM: Enterprise Mobility Management),員工以行動裝置收發郵件或進行遠端連線作業時,依Need to know原則進行權限最小化控管,並管制資料傳輸不落地,無法從外部將公司資料儲存至行動裝置中,以確實保護公司營運資訊及客戶個人資料。
為防範疫情變化,配合遵守相關防疫規範,2021年度調整為一次災難復原環境檢測及相關應用系統復原演練,2022年依規定進行兩次的災難復原演練,一次為資訊單位復原演練及一次資訊單位與前後台同步異地復原演練。用以讓企業內部的系統與資料,能有最佳的保護措施,藉由合理的手段與方法,盡可能地縮短系統中斷的復原時間,並且降低營運中斷所造成的資料損失。2022 年沒有因資訊設備問題遭受裁罰或遭受營運損失之事件。
有鑑於資訊安全為企業營運重大風險議題,為預防及因應資安事件可能帶來的衝擊,針對組織內所使用的資訊建構一個資訊安全管理體系,以妥善保護資訊的機密性、完整性和可用性,在企業追求持續營運之際,並符合國際標準之管理制度,以達成組織營運安全之目標,進而增強客戶信賴,成為最可靠的合作夥伴:
