風險管理流程
中華電信深知在快速變化的產業環境中,風險管理的重要性。對此,我們堅守風險管理核心價值,依循COSO治理與文化、策略與目標設定、執行、複核與修正、資訊、溝通及報導等五大要素,於作業面融合八大步驟,全面實踐風險管理。
風險審查
為即時評估營運風險,我們每年進行風險事件之辨識、每月定期進行風險審查、評估及執行追蹤,並持續滾動辨識可能新風險事件,確保各類型風險(如「策略風險」、「營運風險」、「報導風險」,以及「法遵風險」等)已被辨識,並定期積極追蹤各類風險事件之管控指標及減緩行動,將整體風險胃納控制於可接受的範圍內。
2023年,中華電信整體風險胃納金額為23.3億元。我們依據各風險事件之可能性及衝擊評估對營運衝撃的嚴重程度,以風險矩陣排列風險的優先順序與風險等級,並依風險等級採取對應的風險減緩行動。
2023年風險事件(按排序)
競爭市場變化、資訊安全與隱私保護、網路品質與基礎建設維運、新服務市場發展、人力資源管理與發展、永續與氣候策略、前瞻技術取得、資訊系統及資訊技術管理
| 項目 | 說明 |
|---|---|
| 已識別風險 | 資訊安全與隱私保護 |
| 特定風險暴露說明 | 電信業面臨技術變革和不斷演進的挑戰,例如:5G與AI的服務應用、新興技術的採用(虛擬化 / 雲化)及供應鏈攻擊,這都可能導致服務中斷、客戶信任度下降與損害公司聲譽。 |
| 風險胃納流程 | 考量新興技術的採用、法規要求、業務重點發展等面向,以技術方式評估潛在的資安與個資隱私風險,包含:定期安全漏洞掃描和漏洞測試、自動化漏洞情資預警機制等,量化風險發生機率與衝擊,採取適當管控措施,保護系統與資料之安全。 |
| 減緩行動 |
|
| 項目 | 說明 |
|---|---|
| 已識別風險 | 網路品質與基礎建設維運 |
| 特定風險暴露說明 | 因地緣政治、重大天然災害、外在環境變動或多重障礙事件同時發生,造成網路重大障礙事件,例如貨輪船隻作業導致離島海纜通訊障礙、颱風造成山區及偏鄉行動/市話/網路癱瘓。 |
| 風險胃納流程 |
|
| 減緩行動 |
|
風險管理流程稽核
中華電信在美國紐約證交所發行美國存託憑證(ADR),並依照紐約證交所掛牌交易準則,建立內部稽核制度,作為公司風險管理作業及內部控制制度之評估。
在台灣,我們遵循金管會「公開發行公司建立內部控制制度處理準則」的規定,建立內部控制/內部稽核制度,以符合治理守則要求。
我們已將風險管理過程,納入企業層級內部控制制度,除每年定期執行自行評估作業外,透過內部稽核單位和外部稽核(會計師)的查核,嚴謹審核公司的內部控制系統政策和程序,包括財務、營運、風險管理、資訊安全、外包、法令遵循等控制措施。
審計委員會評估公司風險管理和內部控制系統的有效性,並定期審查公司稽核部門和簽證會計師,以及管理層的報告,包括風險管理和法令遵循。我們參考了2013年由The Committee of Sponsoring Organizations of the Treadway Commission (COSO)發布的內部控制制度-內部控制的整合性架構,審計委員會認為公司的風險管理和內部控制系統是有效的,並已採用必要的控制機制來監督並糾正任何違規行為。
https://www.cht.com.tw/zh-tw/home/cht/investors/financials/annual-report
落實風險管理文化
| 項目 | 說明 |
|---|---|
| 非執行董事風管教育 |
|
| 組織風管原則培訓 |
|
| 產品和服務開發納入風管標準 |
產品和服務開發可能風險:產品衝突、產品內容標示造成客戶混淆不清、未能明確掌握市場需求、未良好維護服務品質/形象、未能確實掌握產品經營效益。
|
| 包含風管指標的財務激勵制度 |
中華電信在門市服務、員工職安衛、資訊安全及個資、經營發展等各面向皆積極設置包含風管指標的財務激勵制度,強化對風管文化的激勵,例如包含但不限於以下:
|