永續營運架構與制度

董事會

華碩董事會重視高效率、透明度以及專業性,以強化公司治理。董事會在考量營運判斷、會計及財務分析、經營管理、危機處理、產業知識、國際市場觀、領導、決策等執行業務的專業能力,2016年7月股東會依董事會選舉辦法選出第11屆董事會成員,由13位董事擔任,其中有3位獨立董事,期望藉由傑出業界專業知識,導入外部利害關係人觀點,提升經營品質。董事會成員皆為男性。董事長施崇棠先生未兼任公司總經理之職務。

董事會成員之姓名、學經歷及兼任其他公司職務情形及修課內容,請參考年報

董事會職責

在董事長施崇棠的領導下,董事會成員皆以審慎的態度,善盡指導與監督之責,並落實法規遵循、財務透明、即時揭露重要訊息,為股東創造最高利益。為提升董事會成員之專業知能及法律素養,每年邀請外部講師授課,為董事會成員安排集體進修。

董事會利益迴避制度

董事會成員皆秉持高度自律之精神,避免利益衝突,並明訂於「華碩董事會議事規範」。
董事或經理人為自己或他人從事屬於公司營業範圍內之行為時,應依據法令之要求事先需取得股東會核准。

華碩依公司治理評鑑規範制定董事會平均出席率需達80%。
華碩2018年董事會共召集9次,董事平均出席率89.74%。

審計委員會

為提升董事會履行其監督公司在執行有關會計、稽核、財務報導流程、財務控制上的品質和誠信度,華碩於2016年7月設置「審計委員會」取代監察人職務,3位審計委員會成員由獨立董事擔任。

2018年審計委員會共召集5次,委員平均出席率100%。

薪酬委員會

薪酬委員會旨在協助董事會執行與評估公司整體薪酬與福利政策、董事及經理人之報酬,確保公司之薪資報酬安排符合相關法令並足以吸引優秀人才。

2018年薪酬委員會共召開3次,委員平均出席率88.89%。

以上詳細資訊可參閱投資人關係網站之公司治理/委員會連結。

永續治理架構

「成為世界級的綠色高科技領導群,對人類社會真正做出貢獻」是華碩的經營理念。因此在2009年便成立永續發展的專職單位,掌握全球永續發展脈動,分析治理、環境及社會等永續議題,結合營運核心、產品創新與服務,訂立策略性永續方向與專案推動。隨著組織啟動再造計畫,永續單位改組為「永續暨綠色品質管理處」,此專職單位設有永續長一職,負責掌握解析全球永續脈動、管理永續政策目標和具體行動,並定期將永續年度重點計畫與績效成果提交至董事會核示。

華碩關注在企業永續營運中具高度影響性的產品、供應鏈和組織營運等關鍵議題,成立「GreenASUS and SERASUS管理委員會」,由執行長授權永續長作為管理代表,每2個月舉行一次會議。委員會成員來自事業營運單位、採購、客服、行政、法務等部門,跨單位進行橫向的溝通與協調,使資源有效配置,讓全體華碩人都能在一致的永續方向努力,確實將永續與營運核心結合成為企業競爭力的一環。

另一方面,華碩董事會設有審計委員會,由三位獨立董事擔任成員,監督會計、稽核、財務/ 非財務的報告流程、營運控制上的品質和誠信度。審計委員會下設有風險管理平台,除了由獨立董事帶入外部利害關係人關注的議題進行風險評估外,定期召開跨部門風險管理會議,研擬跨部門重大風險關聯性議題之處理方式。審計委員會依據風險報告重大性決定是否向董事會作呈報。

稽核制度

華碩稽核室之職掌,在於協助董事會與高階管理階層進行獨立、客觀地評估華碩集團的內部控制制度之完備性、有效性及落實性,並適時提供改善建議,以合理的確保內部控制制度能持續有效實施;同時依董事會與高階管理階層之委任,提供相關調查、評估或諮詢服務,以協助董事會及高階管理階層履行其公司治理的責任。
稽核室隸屬董事會,設稽核長一人總管內部稽核業務,督導稽核室辦理內部稽核工作,稽核長之任命與免職需經董事會同意。另有數位專任稽核人員,負責執行集團內定期、不定期之稽核與專案查核等事務。執行業務範圍包括:

  • 母公司年度查核:每年度依風險評估及主管機關之規定擬定稽核計畫,經董事會核准後實施。各項查核構面包含且不限於營運稽核及法令遵循性稽核。
  • 專案查核:依董事會與高階管理階層之營運與管理需求,執行不定期之專案性查核作業。
  • 內部控制自行評估作業:每年度依法在公司內統籌「內部控制自行評估」作業,由各部門執行者定期針對各作業控制項目的合理性、落實度及有效性進行檢視:經稽核室覆核後,將評估結果回饋給董事會。
  • 子公司查核:根據年度查核計畫或董事會專案要求,針對集團內子公司進行定期與不定期稽核作業,評估與確認其營運目標達成性、財報可信度以及內部控制妥適性,以協助集團合理地確保子公司提升營運績效、法令遵循及作業效率。
  • 專案諮詢服務:提供營運流程效率改善之建議與內部控制制度設計之諮詢服務,以協助提升營運效率與效能。

針對以上工作內容,稽核室所提出之內部稽核報告及工作底稿,應包括:對內部控制制度各項規定與業務流程進行評估,以判斷現行規定、控制程序是否適當;管理單位與營業單位是否確實執行內部控制及效益是否合理等;並由稽核室適時提出改善建議。

稽核人員執行任務時應秉持超然獨立性,以客觀公正之立場,求真求實之精神,謙、誠、勤、敏、勇之態度,執行其職務。確保內部控制制度得以持續有效實施,並協助管理階層履行其責任。

詳細資訊可參閱投資人關係網站之公司治理/內部稽核。

資訊安全管理

在資訊科技和物聯網普及的世代,企業須確保資訊安全和個人資料保護納入公司經營治理標的,建立相關政策、管理制度和預防機制,並確保資訊基礎建設、資訊應用系統、產品資訊安全,並維護客戶資料安全,具體落實資訊安全管理。華碩制定「資訊安全政策(Information Security Policy)」,係遵循相關法令並參考ISO27001/CNS27001及相關規範來制訂資訊安全政策做為集團遵循依據,保護資訊資產(包括資料、軟體、硬體設備等),免於因外在之威脅,或內部人員不當之管理與使用,致遭受竄改、揭露、破壞或遺失等風險,確保所有業務資訊之機密性、完整性與可用性,並合理地降低營運風險,取得卓然成效。

為落實資訊安全政策,訂定資安管理制度:

  1. 建立資訊資產評鑑機制,每年至少進行一次資訊資產風險評鑑,並對風險事項進行處理,使資訊資產受到適當之保護,防止未經授權或因作業疏忽對資產所造成之損害。
  2. 所有資訊安全事件或可疑之安全弱點,皆依適當通報程序反應,並予以適當調查及處理,確保弱點及早修復防範被利用。
  3. 每年至少進行一次營運持續計畫之檢討、測試及檢核,確保核心服務作業系統達到全年的可用性要求。
  4. 每年定期實施資訊安全教育訓練,並視情況實施不定期教育訓練,確保公司全體同仁有與時俱進之資訊安全認知,並得以落實在日常工作之中。
  5. 每年審視資訊安全政策與管理制度,確保資訊安全措施或規範符合現行法令之要求。

2018年度資訊安全管理推動成果:

風險評鑑
  依據資訊安全的管理目標:機密性、完整性、可用性來鑑別資產的價值並進行風險評鑑,釐清可能遭遇到的威脅與脆弱性發生的可能性、分析相關的衝擊以及決定風險等級,風險分成四等級分別以最高的至最低A-D代表。2018年鑑別結果資訊資產中無A級風險組合。
營運衝擊評估
  考量資訊資產的資產價值以及可用性,進行營運衝擊評估與分析(Business Impact Assessment)。依據已鑑別之業務流程,分析其業務流程之關鍵程度、容許衝擊及復原需求,擬定本公司遭遇業務全面中斷時緊急應變處理之優先次序,並開發相關營運持續運作手冊。
產品暨資訊安全通報管理平台
  我們盡一切努力確保華碩產品的安全,以保護我們尊貴的客戶的隱私。我們始終致力於根據所有適用的法律和法規改進我們的安全和個人信息保護措施,並歡迎客戶提供有關產品相關安全或隱私問題的所有報告。因而建立產品暨資訊安全通報管理平台,以利消費者及資安專家或研究人員有提報華碩產品或資訊系統之安全漏洞或問題之專屬管道。
此一平台導入案件自動化管理,以維護案件通報及回應之管理品質,華碩透過此平台會不定期的對華碩產品安全性發佈公告,讓消費大眾能有管道瞭解華碩產品安全之更新,且與網路社群的資安專家或研究人員藉此平台保持良善之溝通及互動。
資訊服務系統監控作業
  為維持資訊服務系統的高可用性,對於資訊服務系統相關聯的伺服器、網路節點及其裝置皆納入監控作業,以期在資訊系統發生異常中斷的情形時能立即向維護人員通知及告警。
資訊服務營運持續
  公司於企業總部資訊機房和異地租用之備援機房皆有設立一套重要的資訊服務系統,並以Active - Active Mode 運作方式,確保任一地出現營運中斷時,另一處機房的資訊服務能立即接手運作,不讓服務之營運中斷。
電子郵件使用安全演練
  近年猖獗的勒索病毒、商業電子郵件詐騙,以及APT 攻擊,頻頻利用社交工程及郵件釣魚等技術,影響層面越來越大。為提升對惡意電子郵件之資安意識,於2018年度實施了4次電子郵件社交工程演練檢測,並公告相關事件與詐騙手法,教導員工通報和處理方式。

2019年初ASUS Live Update工具程式安全事件聲明:

Live Update為華碩筆記型電腦搭載之自動更新軟體,部份機台搭載之版本遭駭客植入惡意程式碼後,上傳至檔案伺服器(download server),企圖對少數特定對象發動攻擊,華碩已主動聯繫此部份用戶提供產品檢測及軟體更新服務,並由客服專員協助客戶解決問題,並持續追蹤處理,確保產品使用無虞。針對此次攻擊,華碩已對Live Update軟體升級了全新的多重驗證機制,對於軟體更新及傳遞路徑各種可能的漏洞,強化端對端的密鑰加密機制,同時更新伺服器端與用戶端的軟體架構,確保這樣的入侵事件不會再發生。華碩也在第一時間提供給消費者可自行查驗之檢測程式。

個資資安委員會

為持續推動全球消費者與華碩員工個資的保護管理,華碩於2012年4月依最高經營管理階層指示成立「個人資料保護與資訊資產安全委員會」(下稱個資資安委員會)。因應法令變動,2018年制定新版華碩使用管理個人資料之指引「General Personal Data Protection Policy」於華碩集團施行,作為在蒐集、處理、利用個人資料與建立、實施資訊資產安全防護之指引。

為確保落實公司政策,個資資安委員會目前運作以每雙週定期會議執行並檢視年度工作,並透過不定期臨時會議機動調整執行方式及處理個資資安相關事件,直至2018年底已召開19次定期會議。

2018年度個資資安委員主要推動成果:

因應歐洲General Data Protection Regulation(GDPR) 法令管理作業:

盤點資料
  檢視公司所有蒐集利用處理的資訊項目性質,以確認法規遵循範圍。
改善流程
  個資資安委員會分別與公司所有相關部門說明討論為遵循GDPR法令規定所應調整改善的流程。於2017年11月起至2018年止,對15個部門進行了90場研討會議。各部門應改善的流程亦於2018年5月底前完成。
更新隱私權政策
  因應法令變動增加應對個人資料當事人揭露之必要事項,於2018年5月底完成更新版本上線,並發布全球華碩會員通知信告知隱私權政策之更新。
教育訓練
  因應法令變動於2018 年公布新版華碩個人資料保護政策,同步展開員工教育訓練。除總部員工之外,2018 年著重於歐洲區同仁的教育訓練,個資資安委員會偕同外部律師分別至歐洲各辦公室完成9場教育訓練。
偕同查核合作對象
  為確保華碩合作對象了解並落實華碩對個人資料保護的政策,個資資安委員會偕同客服中心至合作對象之工作場域做現場稽核,提出改善建議並追蹤至改善落實執行。
年度內部稽核
  配合公司內部查核作業,將涉及個人資料管理之業務執掌部門列入稽核範圍,藉由單位內部自評及稽核員執行稽核作業,將不符合事項經由矯正措施及改善方法協助業務執掌部門導正,以確保落實公司政策及相關管理辦法。
年度個資網站弱點掃描
  為強化網站與消費者資料安全,個資資安委員會於每年度將對外提供服務且含有個資之網站列請電腦中心進行網站弱點掃描,並依電腦中心產出之弱點掃描評估報告進行弱點修正進度之追蹤及查核弱點管理之執行情況,若有缺失則要求權責部門限期改善。
教育訓練
 
  • 因應新版華碩個人資料保護政策,2018 年著重於歐洲區同仁的教育訓練,個資資安委員會偕同外部律師分別至歐洲各辦公室完成9場教育訓練。
  • 新進員工之教育訓練:提供新進員工與個人資料及資訊安全相關之認知教育,直至2018 年底共計完成19梯次的教育訓練課程,總計受訓通過人數為1143人。
  • 定期實體課程:每年針對全體員工實施至少一次之個資資安安全教育宣導課程。
  • 不定期課程:依據各單位業務需求,提供個資資安重點宣導課程。

2019年度個資資安委員會主要規劃:

  • 改善當事人向華碩提出個人資料相關需求之介面,及內部處理流程。
  • 因應美國、巴西新法,檢視並改善公司法規遵循程度。
  • 增加外點稽核及協助相關部門執行合作廠商查核。

智慧財產權管理

公司致力於創新研發,智慧財產權是研發關鍵成果之一,每年於全球申請專利數量穩定發展,截至2018年底在世界各國已取得3,787件專利。2018年我們在歐美地區取得專利件數較2017年成長67%。此外,近期更積極投入高端通訊市場布局,2018年度通訊領域之專利申請量為342件。其中,在歐洲電信標準協會(European Telecommunications Standards Institute, ETSI) 宣告的標準必要專利共計21件。預計2019年申報通訊標準必要專利可超過百件。