永續營運架構與制度

董事會

華碩董事會重視高效率、透明度以及專業性,以強化公司治理。董事會在考量營運判斷、會計及財務分析、經營管理、危機處理、產業知識、國際市場觀、領導、決策等執行業務的專業能力,2016年7月股東會依董事會選舉辦法選出第11屆董事會成員,由13位董事擔任,其中有3位獨立董事,期望藉由傑出業界專業知識,導入外部利害關係人觀點,提升經營品質。董事會成員皆為男性。董事長施崇棠先生未兼任公司總經理之職務。

董事會成員之姓名、學經歷及兼任其他公司職務情形及修課內容,請參考年報

董事會職責

在董事長施崇棠的領導下,董事會成員皆以審慎的態度,善盡指導與監督之責,並落實法規遵循、財務透明、即時揭露重要訊息,為股東創造最高利益。為提升董事會成員之專業知能及法律素養,每年邀請外部講師授課,為董事會成員安排集體進修。

董事會利益迴避制度

董事會成員皆秉持高度自律之精神,避免利益衝突,並明訂於「華碩董事會議事規範」。
董事或經理人為自己或他人從事屬於公司營業範圍內之行為時,應依據法令之要求事先需取得股東會核准。

華碩依公司治理評鑑規範制定董事會平均出席率需達80%。
華碩2018年董事會共召集9次,董事平均出席率89.74%。

審計委員會

為提升董事會履行其監督公司在執行有關會計、稽核、財務報導流程、財務控制上的品質和誠信度,華碩於2016年7月設置「審計委員會」取代監察人職務,3位審計委員會成員由獨立董事擔任。

2018年審計委員會共召集5次,委員平均出席率100%。

薪酬委員會

薪酬委員會旨在協助董事會執行與評估公司整體薪酬與福利政策、董事及經理人之報酬,確保公司之薪資報酬安排符合相關法令並足以吸引優秀人才。

2018年薪酬委員會共召開3次,委員平均出席率88.89%。

以上詳細資訊可參閱投資人關係網站之公司治理/委員會連結。

永續治理架構

「成為世界級的綠色高科技領導群,對人類社會真正做出貢獻」是華碩的經營理念。因此在2009年便成立永續發展的專職單位,掌握全球永續發展脈動,分析治理、環境及社會等永續議題,結合營運核心、產品創新與服務,訂立策略性永續方向與專案推動。永續單位設有永續長一職,負責掌握解析全球永續脈動、管理永續政策目標和具體行動,並定期將利害關係人議合與重大關注議題鑑別、年度重點計畫,以及永續績效成果呈報董事會核示。

華碩關注在企業永續營運中具高度影響性的產品、供應鏈和組織營運等關鍵議題,成立「GreenASUS and SERASUS管理委員會」,由執行長授權永續長作為管理代表,每2個月舉行一次會議。委員會成員來自事業營運單位、採購、客服、行政、法務等部門,跨單位進行橫向的溝通與協調,使資源有效配置,讓全體華碩人都能在一致的永續方向努力,確實將永續與營運核心結合成為企業競爭力的一環。

另一方面,華碩董事會設有審計委員會,由三位獨立董事擔任成員,監督會計、稽核、財務/ 非財務的報告流程、營運控制上的品質和誠信度。審計委員會下設有風險管理平台,除了由獨立董事帶入外部利害關係人關注的議題進行風險評估外,定期召開跨部門風險管理會議,研擬跨部門重大風險關聯性議題之處理方式。審計委員會依據風險報告重大性決定是否向董事會作呈報。

稽核制度

華碩稽核室之職掌,在於協助董事會與高階管理階層進行獨立、客觀地評估華碩集團的內部控制制度之完備性、有效性及落實性,並適時提供改善建議,以合理的確保內部控制制度能持續有效實施;同時依董事會與高階管理階層之委任,提供相關調查、評估或諮詢服務,以協助董事會及高階管理階層履行其公司治理的責任。
稽核室隸屬董事會,設稽核長一人總管內部稽核業務,督導稽核室辦理內部稽核工作,稽核長之任命與免職需經董事會同意。另有數位專任稽核人員,負責執行集團內定期、不定期之稽核與專案查核等事務。執行業務範圍包括:

  • 母公司年度查核:每年度依風險評估及主管機關之規定擬定稽核計畫,經董事會核准後實施。各項查核構面包含且不限於營運稽核及法令遵循性稽核。
  • 專案查核:依董事會與高階管理階層之營運與管理需求,執行不定期之專案性查核作業。
  • 內部控制自行評估作業:每年度依法在公司內統籌「內部控制自行評估」作業,由各部門執行者定期針對各作業控制項目的合理性、落實度及有效性進行檢視:經稽核室覆核後,將評估結果回饋給董事會。
  • 子公司查核:根據年度查核計畫或董事會專案要求,針對集團內子公司進行定期與不定期稽核作業,評估與確認其營運目標達成性、財報可信度以及內部控制妥適性,以協助集團合理地確保子公司提升營運績效、法令遵循及作業效率。
  • 專案諮詢服務:提供營運流程效率改善之建議與內部控制制度設計之諮詢服務,以協助提升營運效率與效能。

針對以上工作內容,稽核室所提出之內部稽核報告及工作底稿,應包括:對內部控制制度各項規定與業務流程進行評估,以判斷現行規定、控制程序是否適當;管理單位與營業單位是否確實執行內部控制及效益是否合理等;並由稽核室適時提出改善建議。

稽核人員執行任務時應秉持超然獨立性,以客觀公正之立場,求真求實之精神,謙、誠、勤、敏、勇之態度,執行其職務。確保內部控制制度得以持續有效實施,並協助管理階層履行其責任。

詳細資訊可參閱投資人關係網站之公司治理/內部稽核。

資訊安全管理

建置符合國際標準之資訊安全管理系統(ISMS),本公司於 2019 年計劃開始導入 ISO-27001 認證,預計於 2020年初取得認證,以確保公司營運最核心的資訊系統符合國際資訊安全管理標準,並保護華碩核心系統的資訊資產 (包括資訊、軟體、實體設備、人員以及服務等),免於因內、外部的各項風險衝擊,確保公司營運核心系統的機密性、完整性與可用性,並合理地降低公司營運風險,確保公司能永續的營運。

2019年度資訊安全管理推動成果:

1. 華碩成立資安管理委員會推動導入ISO-27001認證,建立符合國際標準的管理程序,以規劃、執行及檢討內部的資安活動,驗證各項活動及其相關結果,以符合資訊安全管理系統之要求目標,藉以掌握本公司資訊安全的可能缺失,適時執行矯正行動及追蹤確認,確保其有效性及持續之改善,以達公司資訊系統持續營運的目標。
 
2. 制定符合ISO 27001:2013的資訊安全政策與管理辦法。
 
為了促使本公司ISMS能貫徹執行、有效運作、監督管理、持續進行,維護本公司重要資訊系統的機密性、完整性與可用性,特制定資訊安全管理政策以相關管理辦法,旨在讓同仁於日常工作時有一明確指導原則,所有同仁皆有義務積極參與推動資訊安全管理政策,以確保本公司所有營運之資料、資訊系統、設備及網路之安全維運,以達資訊系統持續營運的目標。
3. 完成營運衝擊分析報告及系統異地備援切換演練。
  為確保華本公司資訊作業遭遇突發之緊急危難或異常事件時,能將傷害降至最低,俾使公司各項資訊作業工作於可容忍中斷之時間內能恢復並持續營運,依據資訊作業營運持續管理辦法進行「營運衝擊分析」並擬定「營運衝擊分析報告」,模擬情境以核心維運資訊系統遭遇突發無法復原,切換至異地機房的備援系統持續運作,演練成果RTO (Recovery Time Objective) 切換至最小服務水準之狀態所需時間為4小時,RPO(Recovery Point Objective) 目標資料點之復原時間為2小時。

 

此外,華碩另有建立永續風險管理平台,此屬跨部門風險管理平台,研擬企業重大風險關聯性議題和處理管理方式,近年資訊安全等議題納入風險關聯性評鑑,並於年度向審計委員會/董事會呈報年度風險管理報告。

2019年初ASUS Live Update工具程式安全事件聲明:

Live Update為華碩筆記型電腦搭載之自動更新軟體,部份機台搭載之版本遭駭客植入惡意程式碼後,上傳至檔案伺服器(download server),企圖對少數特定對象發動攻擊,華碩已主動聯繫此部份用戶提供產品檢測及軟體更新服務,並由客服專員協助客戶解決問題,並持續追蹤處理,確保產品使用無虞。針對此次攻擊,華碩已對Live Update軟體升級了全新的多重驗證機制,對於軟體更新及傳遞路徑各種可能的漏洞,強化端對端的密鑰加密機制,同時更新伺服器端與用戶端的軟體架構,確保這樣的入侵事件不會再發生。華碩也在第一時間提供給消費者可自行查驗之檢測程式。

個資資安委員會

為持續推動全球消費者與華碩員工個資的保護管理,華碩於2012年4月依最高經營管理階層指示成立「個人資料保護與資訊資產安全委員會」(下稱個資資安委員會)。因應法令變動,2018年制定新版華碩使用管理個人資料之指引「General Personal Data Protection Policy」於華碩集團施行,作為在蒐集、處理、利用個人資料與建立、實施資訊資產安全防護之指引。

為確保落實公司政策,個資資安委員會目前運作以每雙週定期會議執行並檢視年度工作,並透過不定期臨時會議機動調整執行方式及處理個資資安相關事件,直至2018年底已召開19次定期會議。

2018年度個資資安委員主要推動成果:

因應歐洲General Data Protection Regulation(GDPR) 法令管理作業:

盤點資料
  檢視公司所有蒐集利用處理的資訊項目性質,以確認法規遵循範圍。
改善流程
  個資資安委員會分別與公司所有相關部門說明討論為遵循GDPR法令規定所應調整改善的流程。於2017年11月起至2018年止,對15個部門進行了90場研討會議。各部門應改善的流程亦於2018年5月底前完成。
更新隱私權政策
  因應法令變動增加應對個人資料當事人揭露之必要事項,於2018年5月底完成更新版本上線,並發布全球華碩會員通知信告知隱私權政策之更新。
教育訓練
  因應法令變動於2018 年公布新版華碩個人資料保護政策,同步展開員工教育訓練。除總部員工之外,2018 年著重於歐洲區同仁的教育訓練,個資資安委員會偕同外部律師分別至歐洲各辦公室完成9場教育訓練。
偕同查核合作對象
  為確保華碩合作對象了解並落實華碩對個人資料保護的政策,個資資安委員會偕同客服中心至合作對象之工作場域做現場稽核,提出改善建議並追蹤至改善落實執行。
年度內部稽核
  配合公司內部查核作業,將涉及個人資料管理之業務執掌部門列入稽核範圍,藉由單位內部自評及稽核員執行稽核作業,將不符合事項經由矯正措施及改善方法協助業務執掌部門導正,以確保落實公司政策及相關管理辦法。
年度個資網站弱點掃描
  為強化網站與消費者資料安全,個資資安委員會於每年度將對外提供服務且含有個資之網站列請電腦中心進行網站弱點掃描,並依電腦中心產出之弱點掃描評估報告進行弱點修正進度之追蹤及查核弱點管理之執行情況,若有缺失則要求權責部門限期改善。
教育訓練
 
  • 因應新版華碩個人資料保護政策,2018 年著重於歐洲區同仁的教育訓練,個資資安委員會偕同外部律師分別至歐洲各辦公室完成9場教育訓練。
  • 新進員工之教育訓練:提供新進員工與個人資料及資訊安全相關之認知教育,直至2018 年底共計完成19梯次的教育訓練課程,總計受訓通過人數為1143人。
  • 定期實體課程:每年針對全體員工實施至少一次之個資資安安全教育宣導課程。
  • 不定期課程:依據各單位業務需求,提供個資資安重點宣導課程。

2019年度個資資安委員會主要規劃:

  • 改善當事人向華碩提出個人資料相關需求之介面,及內部處理流程。
  • 因應美國、巴西新法,檢視並改善公司法規遵循程度。
  • 增加外點稽核及協助相關部門執行合作廠商查核。

智慧財產權管理

公司致力於創新研發,智慧財產權是研發關鍵成果之一,每年於全球申請專利數量穩定發展,截至2018年底在世界各國已取得3,787件專利。2018年我們在歐美地區取得專利件數較2017年成長67%。此外,近期更積極投入高端通訊市場布局,2018年度通訊領域之專利申請量為342件。其中,在歐洲電信標準協會(European Telecommunications Standards Institute, ETSI) 宣告的標準必要專利共計21件。預計2019年申報通訊標準必要專利可超過百件。