凱基證券為提升公司治理效能,堅持營運透明,著重長期發展策略,並致力追求永續經營,深信健全及有效率之董事會是優良公司治理之基石。於此原則下,本公司董事會其下設置「審計委員會」、「薪資報酬委員會」、「風險管理委員會」、「永續委員會」、「誠信經營委員會」及「信託財產評審委員會」,期能充分發揮董事會專業、獨立之監督職能,落實公司治理精神;本公司另設置「投資審查委員會」、「商品審議會」、「經紀業務信用審查會」及「自動化投顧監管委員會」,以維護股東及投資人之權益。茲臚列各委員會/審議會之職能如下:
1.「審計委員會」:行使法律所定原屬監察人之職權並監督本公司財務報表之允當表達、內控制度、法令遵循及風險控管之有效實施,以及簽證會計師之選(解)任及獨立性與績效。
2.「薪資報酬委員會」:審查與建議本公司董事及經理人之績效評估與薪資報酬之政策、制度、標準與結構等。
3.「風險管理委員會」:負責規劃與監督風險管理事務。
4.「永續委員會」:綜理本公司實踐企業社會責任,推動永續發展,重視環境、社會與公司治理之因素,以達永續發展目標。
5.「誠信經營委員會」:建立誠信經營之企業文化,並健全誠信經營之管理。
6.「信託財產評審委員會」:綜理本公司所受託之信託財產運用狀況之評審。
7.「投資審查委員會」:負責審查承銷案件與投資案件。
8.「商品審議會」:綜理本公司商品銷售、受託買賣及新種業務暨金融商品之上架或開辦前審查。
9.「經紀業務信用審查會」:規劃與監督經紀相關融資與借貸業務之審查事務。
10.「自動化投顧監管委員會」:綜理本公司以自動化工具提供證券投資顧問服務之監督與管理。
此外,稽核單位亦確認相關內控制度完整性及針對前、中、後台作業執行內部稽核作業,以確認相關作業規範皆確實遵循。各相關單位均定期或不定期召集會議,並與管理階層保持密切連繫,相關之議案均經充分討論後形成決議,藉以將公司治理之精神落實於日常之經營管理中。
- 確實遵守資訊公開之相關規定,將公司財務、業務及公司治理情形,利用公開資訊觀測站與公司網站,適時提供訊息予投資人,以落實資訊之公開與透明化。
- 已訂定公司「背書保證作業程序」、「取得或處分資產處理程序」、「子公司監理作業準則」、「檢舉非法與不道德或不誠信行為案件處理準則」與「道德行為準則」等規章,以建立適當風險控管機制及防火牆,致力維護投資人權益。
- 經營階層係由專業經理人組成,能以公正客觀態度及嚴守專業立場推動公司業務,強化保障股東權益。
- 本公司現有董事八名,成員來自金融、產業及學術界,具備豐富之經營管理經驗及足夠之專業知識、技能及素養。且董事成員中,有三名為獨立董事,皆由具優良專業背景之獨立人士擔任。本公司於董事會成員就任時即提供公司治理相關之法令規章,並不定期提醒及更新;另為協助董事執行職務,不定期提供董事進修資訊並安排進修事宜。
- 本公司董事會按月召開,遇有緊急情事亦得隨時召集之;並請稽核主管列席報告稽核業務,另稽核部依「證券商公司治理實務守則」第3條第4項及第35條規定,舉辦年度內部控制制度缺失檢討座談會,財務主管列席報告財務狀況與獲利情形,遇有審核財務報告之議案時,並請簽證會計師列席備詢暨說明與管理階層之溝通事項,以使各董事充分了解公司各項業務狀況;在未召開董事會期間,若董事對公司財務業務有任何需了解處,亦不定期與上述主管或會計師進行討論與溝通。董事會議事單位於事前安排董事會並協助彙整議案,並依法令時限通知所有董事開會時間、議程及開會資料,並提供充分之議事資料。
-
本公司自108年5月1日起依法設置公司治理主管,為負責公司治理相關事務之最高主管;並經董事會通過訂定「處理董事要求之標準作業程序」,以協助董事執行職務並提升董事會效能。
-
董事會所列議案如涉及董事本身利害關係,致有損及公司利益之虞時,董事皆依規定自行迴避不參與討論及決議,嚴格遵守利益迴避原則。
- 本公司重視員工權益,均依照勞動基準法及相關勞動法令辦理,除依性別工作平等法訂定生理假、家庭照顧假等相關工作平等保護措施,亦設有員工意見信箱及訂定性騷擾防治措施,均由專人保密處理。
- 本公司依據客觀、公正原則,實施員工績效管理制度,秉持專業知識與工作職能並重的理念,建立完善教育訓練發展體系,強調工作中學習與課程相輔相成的價值與效益,打造多元學習管道,提供同仁完整、多元且優質豐富的學習環境。本公司同時也提供婚喪喜慶禮金慰問金與急難救助措施,即時關懷員工並給予支持與溫暖,另外更提供員工舒適安全之工作環境,幫助員工兼顧工作與生活之均衡,以及身心健全發展。
- 與往來銀行及其他債權人、員工、消費者、供應商、或公司之利益相關者,保持暢通之溝通管道,並尊重、維護其應有之合法權益。
- 建立員工溝通管道,並鼓勵員工與管理階層直接進行溝通,適度反映員工對公司經營及財務狀況或涉及員工利益重大決策之意見。
- 公司在維持正常經營發展以及實現投資人利益最大化之同時也關注消費者權益、社區環保及公益等問題,並重視公司之社會責任。
- 本公司依法定期與不定期於「公開資訊觀測站」申報公司各項財務業務資訊,以落實資訊公開與透明化。
- 堅持明確即時之溝通方式,提供投資人最透明之財務及業務資訊,掌握有效之管道,充分揭露營運資訊予所有投資人。
(二)本公司設有風險管理委員會、投資審查委員會、商品審議會等,以強化本公司風險管理組織與架構。
(三)金控母公司設有風險管理委員會,本公司風險管理部門每季定期於該委員會中報告各項風險管理事項。
對於各業務部門之業務限額管理及風險管理相關規範等,風險管理部均參與訂定與修訂外,並與本公司其他相關部門共同配合相關監控流程,此外,亦透過精密進化的風險資訊系統輔助風險監控,以有效管理風險,且定期及不定期提供風險管理報告及表報予高階經理人,作為經營決策之參考。
風險管理組織詳見風險管理品質化資訊。
- 市場風險
本公司透過建置風險管理制度、制訂市場風險管理相關規章及訂定各項商品作業準則等方式,依本公司風險胃納進行市場風險(經濟)資本配置,並訂定各項市場風險額度,每日執行市場風險監控作業,以使風險控制於公司可承擔之範圍內。
- 信用風險
本公司信用風險管理係依發行者及交易對手之信用評等、交易特徵或商品型態等採取適當之衡量方式,並綜合考量本公司淨值或集中度風險等因素訂定適當之信用風險限額,除定期檢視交易對手、部位及擔保品之信用狀況外,並將各項信用額度之使用情形彙總報告予相關單位及管理階層。
- 流動性風險
本公司流動性風險分為兩類:市場流動性風險與資金流動性風險。市場流動性風險係以本公司持有部位其市場成交量為衡量指標,做為資訊揭露之依據。資金流動性風險管理已設立獨立之資金調度單位,綜合考量各部門資金需求之淨現金流量及時程進行資金管理,以有效控管本公司資金流動性風險。
- 作業風險及其他風險
本公司各單位依其業務職掌分別執行作業風險管理,涵蓋之範圍與內容包括作業風險管理有關之授權、流程及作業內容,所有規劃均遵循前後檯作業分離、執掌與權限獨立之原則。作業風險控管內容包括資訊安全、資訊維護、結算交割、交易確認、報表編製、人員權責劃分或分工、關係人交易等之控管及內部控制等。
各單位對所從事業務,負責檢核及控管作業風險,除遵循外部法令規範外,並依內部控制制度所規範之作業程序及控制重點進行控管,以確保作業風險管理執行之有效性。
本公司已取得證券商自有資本適足比率進階計算法下之選擇權採用敏感性分析(Delta-Plus)法之相關資格,為計算資本適足比率及其他法定比率所需使用之金融商品評價模型,已實施使用模型管理作業。
本公司定期偵測經營風險,偵測項目應包含金融機構資本適足性、資產品質、管理能力、獲利能力、及流動性、獲利來源、國外曝險、投資部位、表外項目及重大客戶申訴或爭議等事項,並訂有各項「偵測指標暨警戒值」。
- 氣候風險
本公司已制訂「氣候變遷管理準則」及修訂相關規章制度,以管理評估氣候變遷風險與機會,確保穩健經營與永續發展。氣候風險與機會治理組織架構包括董事會、永續委員會、風險管理委員會、風險管理部、行政管理部、業務單位等。並依據氣候風險管理三道防線架構執行各防線之氣候風險管理職責。
1.各業務部門從事衍生性金融商品交易,應事先確立其交易目的係屬交易性質或避險性質,且交易後不得隨意變更交易目的。
2.所謂交易性質,係指根據價格預期買賣衍生性金融商品,承擔風險,以期賺取價差之交易。所謂避險性質,係指藉由衍生性金融商品交易,來降低既有資產或負債及預期交易之市場風險。
3.因避險所需而持有之部位,應將避險及被避險部位視為一投資組合,並注意避險與被避險部位間損益變化之關聯性。
風險管理制度詳見風險管理品質化資訊。
非法與不道德或不誠信行為案件檢舉管道
檢舉人應提供其真實姓名、聯絡方式,敘述事實並提供相關事證資料。 經受理後,本公司對檢舉人之身分將予保密,相關資料將妥慎保存、加密保護,並限制存取權限。 檢舉人為本公司或子公司之人員,本公司將提供適當之保護措施,並保證該員工不會因檢舉而遭受不當之處置。
資訊安全
近年由於資訊科技發展蓬勃,資安攻擊事件及個資外洩等事件頻傳,主管機關對資訊安全日益重視並持續提倡其重要性。本公司除定期檢視內部政策與外部法規之適用性,亦為確保專業金融服務提供之機密性、完整性及可用性而訂定《資訊安全政策》,以依循相關法令法規要求進行資訊安全風險評估、確定各項資訊作業安全需求水準並採行適當且充足之資訊安全作業,確保本公司資訊蒐集、處理、傳送、儲存及流通之安全。
資訊安全治理架構
為提升組織之資安意識,本公司派任由副總經理階級擔任資訊安全長,並聘請具資安背景之外部顧問實際參與董事會,定期辦理董監事資安課程及分享產業之資安風險議題,協助組織將資安風險納入經營決策考量,自董事會由上而下推動資安風險治理策略。依據法規之訂定本公司實收資本額分級防護標準,而為落實資安管理及深耕資安文化,資安之組織已於2023 年度成立資訊安全部,落實組織內部之資安政策推行及把關組織之資安防線。
資訊安全部配置1 名資深協理為部門主管,並將11名專業資安人員區分為2 組:「資安制度推動組」及「資安防護技術組」。資安制度管理組負責綜理資安防護管理、制訂資訊安全政策規章、辦理年度資訊安全專案、導入資安技術對策與控制措施,以及資訊安全之教育宣導;資安防護技術組則負責建立資安監控、資安事件分析及通報查處機制。2 個小組各司其職,強化資安相關職能,資安部門人員均已取得ISO27001 等資安法規要求之資安證照,優於現行法規之要求。
資訊部負責研擬整體資訊業務發展策略及目標,資訊業務之整體規劃、訓練及研究發展,綜理資訊系統之建置、維護與管理,電腦與網路環境之建置、操作及管理,配合各部門辦理年度資訊專案之規劃與執行、資訊系統異常通報、資訊治理、資訊風險管理及資訊遵法等。
資安管理審查委員會
凱基證券於2016 年先行成立資訊安全推行小組,統籌ISO 27001 管理及資訊安全相關議題,因應2023 年資訊安全部獨立為部門,故將資訊安全推行小組提升層級為「資安管理審查委員會」,由凱基證券總經理為召集人,營運長及資訊安全長為副召集人,該委員會屬內部任務型之組織,向相關單位定期報告組織內部執行資安工作之推行進度,向董事會則定期於每年度陳報組織內部之資訊安全整體情形,且每年度至少舉辦三場會議,負責年度資安管理審查會議之議事程序、會議決議執行事項以及資訊安全管理制度執行成果之審查管理等。
資訊安全之驗證與推行成果
為符合現行資安法規之要求,以及完備資安規範、符合外部認證制度,本公司於2016 年導入ISO 27001 資訊安全管理系統之「Plan-Do-Check-Act」(PDCA)循環運作模式,建立資訊安全管理框架,並定期於每年度辦理至少一次之ISO 27001 管理審查會,報告資安管理作業與資安風險處理結果,以確保資訊安全系統之持續運作及即時改善。本公司預計於2024 年進行ISO 27001 資訊安全管理系統之轉版專案(ISO 27001:2022),依據ISO 27001 新版內容針對資訊安全增加11 項控制要求,因應近年形式漸趨多元之網路攻擊手法及型態,並全面檢視及強化現有之資訊安全系統。本公司亦於每年度定期委任專業第三方資安顧問公司進行資安評估作業,執行高標準之資安健檢,導入進階持續攻擊預警機制( (Advanced Persistent Threat, APT) 註6、端點偵測及回應Endpoint Detection and Response (EDR) 註7、資訊安全事件管理平台、資料外洩防護機制、託管式偵測及回應監控及委外資安監控中心等機制,達到完善網路威脅預警及監控作為。除「ISO27001 資訊安全管理系統」認證外,本公司亦將營運持續管理視為重要營運策略,除嚴格遵循現行法規外,更於2023 年通過「BS 10012 個人資訊管理系統」及「ISO 22301 營運持續管理系統」認證,以高標準管理資訊安全制度,以達到完善網路威脅預警及監控作為,並持續優化改善管理績效,深化資訊安全應變能力及營運持續管理之韌性。
2023年本公司年度投入資安經費(包含軟硬體授權費用、人員訓練費用等)佔全部資訊預算費用之比率為11.618%。
2023 年本公司無資訊外洩事件、無與個資相關的資訊外洩事件、無因資訊外洩事件而受影響的顧客。
為加強組織內部之資安意識,每月例行藉由郵件及電子報方式,以活潑教材內容傳遞給所有同仁,以推動資安宣導,並於每年度依據一般員工、資安專業人員及中高階主管等員工職級安排資安教育訓練課程,於2023 年員工資安教育訓練上課率為100%。本公司亦會於每年舉辦四次電子郵件社交工程演練,藉以測試及提高同仁的資安意識。
營運持續管理
為降低重大災害(包括但不限於地震、火災等)或資訊作業故障事件所造成之營運衝擊,以確保關鍵性業務及作業營運持續運作,本公司已與外部專家顧問合作導入ISO 22301 營運持續管理系統,並經董事會通過訂定《營運持續政策》,明定本公司應透過營運衝擊分析與營運持續風險評鑑,瞭解組織營運持續能力與需要之機制,訂定適當的營運中斷復原目標以反映本公司得承受之營運中斷風險程度,據此建立營運持續管理機制並確實執行,以及定期執行自行查核及管理審查,確保管理機制之有效性。
本公司亦依據該政策成立「營運持續管理小組」,配置專職人員,以規劃營運持續政策、分配安全責任、協調全公司之營運持續計畫,並推動營運持續管理體系之運作,及縮短營運衝擊發生時之應變與處理時間。除此之外,本公司所有具備營運持續管理職責之人員,皆受過營運持續教育訓練並定期執行相關演練,以確保各項營運持續步驟能達成預設的營運持續目標。未來本公司將持續檢視及精進營運持續管理制度之重要活動,包含但不限於:營運衝擊分析、風險評鑑、營運持續策略、營運持續計畫、辦理演練活動、自行查核及管理審查等,並預計將營運持續管理課程納入新進同仁教育訓練,另定期安排緊急應變與復原計劃宣導教育訓練,以強化同仁對於營運持續管理制度的認知。
本公司於2023年持續精進營運持續管理制度,說明如下:
- 持續檢視及精進營運持續管理制度之重要活動,包含但不限於:營運衝擊分析、風險評鑑、營運持續策略、營運持續計畫、辦理演練活動、自行查核及管理審查等。
- 於2023年投入費用約200萬元,聘請外部顧問以及驗證公司,持續精進營運持續管理制度。
- 2023年之教育訓練安排,包含但不限於:國際標準認知課程、緊急應變與復原計劃宣導教育訓練、危機管理教育訓練等,以及安排同仁參與ISO 22301主導稽核員以及內部稽核員課程,並取得認證。
- 本公司預計將營運持續管理課程納入新進同仁教育訓練,另定期安排緊急應變與復原計劃宣導教育訓練,以強化同仁對於營運持續管理制度的認知。
客戶資訊及隱私維護
為善盡客戶資訊及隱私保護之義務及責任,並同時兼顧提升客戶服務之便利性及促進集團內部機構間之合作程序,本公司特依個人資料保護法、金融機構間資料共享指引等規範,訂定《客戶資料共享管理政策》、《個人資料保護管理政策》、《隱私權保護政策》及相關作業要點,以維護客戶之資訊及隱私權益,並同時辨識及控管相關風險。
本公司已委請具公信力之外部驗證機構針對BS 10012:2017 個人資訊管理系統 (Personal Information Management System) 執行標準第三方驗證審查作業,並通過驗證,證書持續有效。
本公司法令遵循部依《個人資料隱私衝擊分析及風險評鑑要點》辦理 2023 年度「業務流程識別及個人資料盤點作業」與「風險評估作業」完竣。依盤點及評估結果,本公司各項作業流程所涉之個資風險皆為有效控管;為進一步徹底落實個資保護,本公司進一步就個資業務流程進行檢視。經檢視後,確認各單位參考前述處理要點完成「個人資料流程作業風險評估表」,由核心小組進行風險排序,並評估本公司可接受風險。核心小組執行秘書選派人員,就前述評估結果,撰寫「個人資料保護管理制度之定期自我評估報告」,提交核心小組討論後,業經陳請總經理核定,已可有效控制上述業務流程所生之個資風險。
為使各界了解集團,包含凱基金控(原中華開發金控)、本公司、子公司以及第三方供應商如何使用及保護客戶之個人資料,並提供顧客順暢且有效的溝通管道,本公司於本報告書中節錄《隱私權保護政策》及《客戶資料保密措施聲明》內容供參,相關完整資訊請參閱凱基證券企業網站。
隱私權保護政策網址
https://www.kgi.com.tw/zh-tw/others/privacy-policy
客戶資料保密措施聲明
https://www.kgi.com.tw/zh-tw/others/confidentiality-statement
客戶資訊及隱私保護事故處理與查核機制
