經營治理
董事會運作
本公司董事會成員之遴選與提名,係依公司章程、董事選舉辦法及公司治理守則的規定,採用候選人提名制,以公平、公正、公開的程序選任董事。本公司訂有「董事選舉辦法」,並於「公司治理守則」中訂有董事成員組成之多元化方針。依據公司營運型態及發展需求,擬定董事應具備之專業背景,專業技能,產業經驗,性別,年齡,國籍等,規劃董事會組成之合適配置以及接任人選。
依據本公司「公司治理守則」第20條第4項規定,本公司董事會成員組成之多元化方針,包括但不限於以下二大面向之標準:
董事會成員應普遍具備執行職務所必須之知識、技能及素養。為達到公司治理之理想目標,董事會整體應具備之能力如下:
- 營運判斷能力。
- 會計及財務分析能力。
- 經營管理能力。
- 危機處理能力。
- 產業知識。
- 國際市場觀。
- 領導能力。
- 決策能力。
大聯大控股於2020 年6 月24 日股東常會選任第六屆董事,任期三年自2020/6/24 至2023/6/23,第六屆董事會成員共11 席(含獨立董事4 席),專業領域除電子零組件本業外,涵蓋投資管理、策略管理、財務會計、法律及國際市場觀等。本公司具有員工(含委任經理人)身分有2 席(占比為18%),獨立董事有4 席(占比為36%);女性董事目前1 席(符合目標至少1席;佔比為9%);董事年齡逾70 歲2 席(佔比18%)、其餘9 席年齡介於50~70 歲(佔比82%)。獨立董事任期年資9年以下為3席,逾9年1席,全體董事在任平均年資為11年。
獨立董事任期年資3年以下為3 席,逾9年1 席。因考量其具有法律、企業併購等專才及熟稔相關法令及商務管理之經驗,能為公司營運發展提供具前膽性、公正性重要建言,對公司董事會下之功能委員會繼續提供建議及監督、繼續完善更全面的公司治理機制之經驗傳承,對本公司有顯著助益,故繼續當選為本屆獨立董事。
註1:遵循我國「公開發行公司獨立董事設置及應遵循事項辦法」,獨立董事兼任其他公開發行公司獨立董事不逾三家。
註2:本公司於2021年度股東常會 (2021/08/03) 補選一席獨立董事,由前中華開發資本資深副總楊鎧蟬女士當選。
董事會成員接班規劃
對於本公司為單一法人股東之子公司(如世平、品佳、詮鼎、友尚等公司),本公司自102年起即訂定子公司董事會監理政策及指派原則,透過指派子公司高階主管擔任子公司董事、參與子公司董事會運作,熟悉並掌握公司治理事務及董事職責,進而培養擔任董事所需之管理能力及專業能力。本公司辦理董事到府進修課程時,亦邀請子公司董監事及重要管理階層參與。過去已建立子公司執行長轉任本公司執行長並擔任董事之案例,透過強化子公司董事會治理運作,可做為本公司董事人才庫之儲備。
本公司平日亦根據公司營運發展需要,廣泛搜尋具體法律、財務、會計、投資、國際發展等專業人才,以作為日後遴選董事之人才庫來源。
風險管理
風險管理政策
為完善管理企業風險,大聯大控股股份有限公司於2016年1月經董事會核准通過風險管理政策與指導原則,明確定義大聯大控股股份有限公司風險管理之範疇、組織架構、職責以及管理運作之執行情形,作為落實執行風險管理之準則。
風險管理組織架構
大聯大控股風險管理最高決策單位為風險管理決策小組,由四大子集團執行長與控股執行長組成;其中,控股執行長為決策小組召集人,直接向董事會呈報負責。
風險管理決策小組召集人(控股執行長)每月與各集團風險管理單位召開會議,由各集團風險管理單位報告成果、控股執行長提出風險管理方案的指導與決策,強化風險管理力度。後續由獨立運作於業務單位之上的控股風險管理服務處整合各子集團風險管理單位之風險辨識、評估、優先層級排序、執行行動方案及風險揭露等執行成果,並與風險管理決策小組召集人匯報。
控股風險管理服務處定期彙整風險管理成果,於審計委員會進行報告,根據審計委員會所指導的管理改善建議,調整行動方案,由控股執行長於每月會議向各集團進行溝通與討論。控股風險管理服務處每一年彙整全年風險管理績效,向董事會進行報告。
風險管理流程
大聯大控股風險管理流程包括:風險辨識、風險衡量、風險回應、監控與覆核,以及報告溝通與諮詢;此管理架構遵循PDCA(Plan, Do, Check, Act)管理精神,並且已將新興風險鑑別整合於風險管理之中,詳細說明如下:
- 風險辨識
大聯大控股風險管理服務處將公司面臨之風險項目依重大性原則分為五大類,詳如表述:
- 風險評估
由大聯大控股各功能主管進行風險辨識評估,並針對衝擊性與脆弱度進行排序鑑別,最後根據風險分數高低找出關鍵風險,各對應單位針對關鍵風險進行風險回應與後續行動方案規劃與執行,風險管理服務處則每月進行監控、追蹤及報告。
- 風險監控
由各功能單位監控所屬業務的風險,並擬定因應管控措施。
- 風險回應與追蹤
風險管理服務處每月進行關鍵風險回應計畫追蹤管理,並呈報風險管理決策小組召集人。
關鍵風險辨識及風險管控措施
新興風險
隨著全球新興風險的類別項目增多與發生機率逐漸提升,大聯大控股亦將新興風險的識別和管理納入風險管理流程。2021年大聯大控股評估辨識之新興風險如下:
2022年風險管理落實情形
- 持續針對關鍵風險進行追蹤,並定期報告管理階層及董事會(一年一次)。
- 針對自管倉、東莞委外智能倉及辦公室之營運持續風險管理 (BCM, Business Continuity Management),制定關鍵風險回應計畫,並舉辦實體或桌上營運持續計畫演練。
- 針對存貨風險,訂定存貨關鍵風險指標(KRI)管理機制,並每月進行風險警戒值之監控追蹤管理。
誠信道德
誠信為大聯大控股企業核心價值之一,深植於企業文化之中。本公司設立「誠信道德委員會」,由控股公司執行長擔任總召集人及各集團執行長擔任委員,不定期召開委員會會議,負責審議道德推動藍圖、裁定重大不誠信事件、檢視誠信道德執行祕書小組推動成效,並定期(至少一年一次)向董事會報告,其2022年於7/26完成報告案。誠信道德執行祕書小組由控股公司人資、法務、財會、公司治理室、永續辦公室、營運效能部共同擔任,負責制度規劃、管理辦法研擬,並向同仁進行宣導,以落實大聯大控股誠信經營守則、道德行為準則等規定。
2021年不定期召開會議,針對誠信道德執秘小組架構與職掌、吹哨者平台評估、外部評鑑指標達成與落後進行檢視、及相關誠信議案進行研討。
2022年誠信道德執秘小組持續進行各項議題討論,並正式於官網上架第三方舉報者平台。
為落實誠信治理,大聯大控股訂定「誠信經營守則」、「道德行為準則」、「員工行為準則」,明訂從業規範、檢舉機制、及懲戒之條文,作為公司落實誠信經營之重要依據;並訂定「利害關係人建言及申訴處裡辦法」,設置檢舉管道,明定處理程序及確保檢舉人及相關人之合法權益。
員工行為準則推廣與落實
員工行為準則於2021年10月7日進行第2次修訂,新增第一項第12條,目前共計33條準則。2021年透過大聯大控股學習系統,將宣導影片與員工行為準則指定為新進員工必修課程,員工須於試用期間完成閱讀,充份理解行為準則內文並按下同意後視為簽署,截至於2022年5月9日,共計完成171人。
誠信經營相關議題之教育訓練
大聯大控股透過持續性的教育訓練及內部宣導、稽核制度等多管齊下,使誠信經營的DNA融入組織日常的運作;推行線上課程,且於新人訓練或月會等場合,提供相關宣導資料或課程宣講,以期員工具有基本的法律應備知識,例如保密義務、反貪腐及內線交易防範等,主體皆涵蓋具體的誠信行為規範與落實方法,每年定期針對全體員工舉辦誠信經營相關議題之教育訓練,主題涵蓋以下:
●2022年誠信經營教育訓練
更多相關政策請參見「重要公司內規」
資訊安全
資訊安全治理
為保護內部資料之機密性、完整性、可用性及適法性,以避免遭受各類網路安全之威脅,大聯大控股於2020年9月啟動建製 ISO 27001 資訊安全管理體系,基於本公司所面臨之風險,建立P-D-C-A循環機制,搭配定期內部檢視機制,完善資訊安全管理體系,並於2021年6月取得ISO27001認證,完成本公司資訊安全管理體系之強化,證書之有效期為2021年7月至2024年7月。
「大聯大資訊安全政策」由董事會核定,參酌 ISO 27001之框架,完善國際標準各控制領域之要求,作為本公司為保護公司資料之日常維運基本控制措施,進一步確保資訊安全管理框架之完整性,以符合客戶、顧客、相關法令規定及資訊業務最新發展現況。此政策以書面、電子郵件或其他方式告知利害關係人。
本公司設立資訊安全管理委員會,由任務型編組團隊作為主要成員,負責執行資訊安全管理體系內各項工作,並定期檢視「大聯大資訊安全政策」,於修訂時提報董事會予以核准。
目前資訊安全推行單位編制三位成員,每月定期召開2次資訊安全會議,並另有不定期專案會議視實際需求召開。
資訊安全風險管理及持續改善架構
資訊安全管理機制
本公司具體之資訊安全管理方案,主要涵蓋以下面向:
- 人員管理:透過不斷培訓以提升員工資安意識並內化於各項作業中,落實「人即資安」之核心。
- 資安監控管理:除內部資安監控能力之外,透過資安監控中心共同監控內外部異常活動,建立嚴密資安屏障。
- 事件管理:定義事件等級與通報流程,以迅速回應資訊安全事件,並在最短時間內完成回復。
- 供應商管理:嚴格要求供應商知悉並遵守本公司資訊安全要求,並將必要之資訊安全條款納入合作契約內。
- 日常作業管理:透過管理程序之制定,控管包括資訊系統建置、變更、網路管理、實體環境進出控制等作業。
- 營運持續管理:每年透過緊急應變演練、DR異地演練及可攜式機房,確保對內及對外服務之可用性。
- 內控管理:每年定期執行資訊安全自行查核,確保內部資安管理措施之落實度以達管控措施持續精進。
- 資訊安全指標管理:將各項作業之預期成效,設計為資訊安全指標,透過指標之定期量測,確保皆有符合本公司資訊安全目標與要求。
資訊安全事故管理機制
大聯大控股明確訂立資安通報及處理流程,資安事件由資訊服務團隊進行收錄並訂定事件等級,依照資訊安全事件類型以及受影響之資訊作業範圍,通報資訊技術團隊權責主管,並由資訊技術團隊評估事件處理時效、排除及解決資訊安全事件,並依據事件等級進行相關公告。如資訊安全事件涉及法規或犯罪,本公司應主動通報相關主管機關,並確認處理措施符合法規要求,與處理過程中證據留存事宜。通報流程如下:
- 通報受理單位如判斷為資安事件,應予以記錄,通知資訊安全推行單位,並依公司應變流程進行通報作業,由業務部門確認是否需通報相關外部單位注意。
- 若資安事件影響等級為特定等級以上,應評估事件處理時間,並通知資訊安全推行單位權責主管,由其偕同資訊單位決定是否啟動異地備援機房或啟動緊急應變作業程序。
- 通報受理單位應記錄及追蹤資訊安全事件之處理狀況,及結束時間等資訊,並適時反應、追蹤進度紀錄,以保持紀錄之完整性。
本公司近三年無資訊安全相關事件與財務衝擊,且無因資訊安全事件造成客戶資訊外洩之情事。
資訊安全宣導與教育訓練