• 落實誠信經營及反洗錢教育訓練,調訓率達100%。
  • 提升董事會專業性,全體董事進修時數均超過主管機關建議的六小時。
  • 因應氣候變遷風險,落實氣候相關財務揭露(Task Force on Climate-related Financial Disclosures,簡稱TCFD)之建議。
  • 中信產險推出與氣候變遷相關之保險商品,協助客戶安心面對氣候風險。
  • 自願遵循永續保險原則(PSI),出版永續保險報告書。
  • 已導入ISO 27001資訊安全管理系統及BS 10012 個人資料管理系統,並取得認證。

秉持誠信治理的經營價值與理念,在公司治理運作上,強調董事會的多元性;成立專責單位,推動誠信經營理念及公司治理。台灣人壽建立完善的風險治理組織與控管機制,鑑別氣候變遷及新興風險所來的風險,及早提出因應措施,防範營運時可能會遇到的危機。2017年取得ISO 27001:2013資訊安全管理系統(Information Security Management System,簡稱ISMS)及BS 10012:2017 個人資料管理系統認證 (Personal Information Management System,簡稱PIMS),嚴謹的資訊安全防護體系,以確保客戶隱私安全。訂定防止利益衝突、圖私利行為或不誠信行為之準則,投資業務內控作業納入ESG檢核項目,以當責的態度面對企業營運的每個環節,成為值得信賴的保險公司。

透明的公司治理

為落實良好的公司治理,台灣人壽設立公司治理及誠信經營之專責單位,並依法設置公司治理主管。我們重視資本適足性、資產品質、經營管理能力、獲利能力、資產流動性及風險敏感性,嚴格遵循以下六大原則:

  • 一、遵循法令並健全內部管理
  • 二、 保障股東權益
  • 三、 強化董事會職能
  • 四、 保障保戶權益及尊重利害關係人權益
  • 五、 維持清償能力
  • 六、 提昇資訊透明度
董事會架構

本公司董事會現由11位董事組成,包含5位獨立董事,獨立董事席次高於主管機關法令標準。董事會成員背景橫跨學術及實務,具備法律、會計、風險管理專業及豐富實務經驗。2020年共完成5位新任董事改派程序,提供新任董事履職說明書及辦理業務報告,以利新任董事熟悉公司業務。
為落實董事會職能,本公司每月召開董事會,各董事積極參與議事,並要求業務單位落實董事會重要案件之執行進度,定期向董事會報告。另針對例行提案建立年度董事會計畫表,聚焦重點議案,以提高決策效率。2020年董事會共召開17次,董事整體出席率高達98.8%。

董事延攬

台灣人壽之母公司中信金控制定「選派子公司董事、監察人作業準則」,由母公司中信金控提名委員會嚴格審查派任本公司董事會成員之專業能力,尋求妥適多元配置。為確保獨立董事之職能及獨立性,各獨立董事任期皆不超過三屆。

董事會及公司治理相關辦法

透過延攬多元化的董事會成員,即時掌握國際金融保險趨勢與經營環境變動,全方位督導本公司及各子公司,完備因應策略。配合主管機關推動「公司治理3.0-永續發展藍圖」,滾動修訂公司治理相關辦法與規程。2020年修訂與公司治理相關規章如下:「公司章程」、「董事會、董事長暨總經理權責劃分標準」、「公司治理實務守則」、「企業社會責任實務守則」、「道德行為準則」、「誠信經營作業程序及行為指南」、「董事會績效評估辦法」、「子公司管理辦法」、「非獨立董事薪酬辦法」、「資本支出及費用動支核決權限劃分辦法」。

誠信經營

以「廉潔、透明、負責」為核心自我檢視及要求,每年進行教育訓練傳達誠信經營與反貪腐相關資訊,2020年調訓共9,910人次,調訓率達100%。台灣人壽及轄下子公司未有違反誠信經營之情事,亦未接獲有關於被檢舉人為董事、總經理、職責相當於副總經理(含)以上之管理階層或副總經理級(含)以上之資深人員非法與不道德或不誠信之行為案件,或經調查發現為重大偶發事件或違法案件等情形。

檢舉管道與吹哨者制度

於員工網站及企業網站建置檢舉平台,提供員工暢通且高隱私的檢舉方式及管道。包含檢舉專線、電子信箱及紙本收件地址。接受匿名檢舉,以維護檢舉人安全。制定「檢舉非法與不道德或不誠信行為之處理辦法」,由法令遵循單位負責受理,同時成立專門委員會負責調查和審議。辦法中明定受理及調查單位人員的保密義務,禁止對吹哨者執行任何不利處分。

法令遵循

訂定「法令遵循風險評估與呈報辦法」,依據每年辦理的法遵風險評估報告之優化方向,監控法遵高暴險的業務項目或單位。2020年4月已向主管機關呈報2019年法令遵循風險評估報告。
隨著日趨嚴格的金融監理趨勢,我們將法遵管理系統化,完整掌握重要法令變動之遵循狀況,法令遵循單位每月追蹤控管各單位是否適時修訂更新內部規範,以確保各項業務皆符合法令要求。另一方面,針對董事、高階主管、單位法令遵循主管、業務人員及新進人員,就法令遵循、防制洗錢及打擊資恐相關法令等主題,舉辦教育訓練及宣導。

防制洗錢與打擊資恐

依循洗錢防制法、資恐防制法及金融機構防制洗錢辦法等規定,訂定內部規範,以健全防制洗錢及打擊資恐制度。設立「防制洗錢及打擊資恐委員會」,確保防制洗錢及打擊資恐等相關風險受到控管,落實執行相關機制。積極推動防制洗錢及打擊資恐教育訓練,提升同仁專業能力,使防制洗錢與打擊資恐作業能更有效的執行。本公司防制洗錢及打擊資恐委員會由總經理擔任主席,相關單位一級主管擔任委員,每季召開1次委員會,2020年共召開4次。

個人資料防護

通過BS 10012:2017個人資料管理系統國際標準驗證,建構完善個人資料管理體系,作法如下:

  • 一、依法制定「個人資料管理政策」及「個人資料檔案安全維護辦法」,於官方網站揭露隱私權保護政策,揭示個人資料保護目標、管理組織以及維護措施。
  • 二、定期召開個人資料管理委員會,督導制度運作並定期檢討制度妥適性。
  • 三、定期執行個人資料管理目標有效性評估作業,監督制度落實程度。
  • 四、定期舉行個人資料教育訓練,使員工瞭解制度運作方式。
  • 五、定期盤點單位業務流程、風險評鑑,以及個人資料清查作業,掌握公司內個人資料流向及維護措施落實情形。
  • 六、定期舉辦個人資料檔案侵害事件緊急應變演練活動,確保各單位得有效執行應變措施,並研議改善計畫。
智慧財產權

委任外部專業顧問辦理專利申請業務,諮詢業界動態及專業分析,以協助本公司發展金融科技領域及創新服務。截至2020年底,已取得國內發明專利7件、新型專利19件與設計專利1件,共計27件,用於網路投保、核保、理賠等作業;另取得商標共18件。智慧財產權管理方面,在每台電腦安裝Smart IT電腦資產管理軟體,彙整統計全公司軟硬體安裝使用狀況及管理電腦資源開放與否,定期掃瞄檢查各單位電腦軟體程式,確保本公司電腦均使用合法授權軟體。

風險管理

台灣人壽設立健全的風險治理組織,以完善的三道風險管理防線及具前瞻性的風險管理政策,及時辨識及管控潛在的風險因子。落實內稽內控,降低不可控風險的發生機率,以達成穩健成長的目標。

風險管理政策

制定「風險治理核心政策」,做為本公司及各子公司整體業務風險管理之依據。針對市場風險、信用風險、流動性風險、作業風險、資產負債配合風險及保險風險等相關潛在風險定期進行辨識及評估。鑑別對營運的衝擊與影響,依其風險評估結果實施管控作業,訂定相關政策。本公司風險管理單位定期製作風險整合報告書,呈送予董事會、內部管理階層、母公司中信金控風險長及風險管理單位,使決策階層適時掌控重大風險相關資訊。

集團風險胃納聲明
  • 一、台灣人壽及各子公司承擔合乎企業永續經營策略、可以辨識並管理的風險:
    風險決策與承擔,必須充分了解外在政治與經濟環境變化,並以公司整體角度考量,在平衡風險與報酬的對稱關係下,客觀評估可能產生之風險、及對資本適足與資本配置的影響。
  • 二、台灣人壽及各子公司承擔風險應穩健且合理,且不涉損及企業形象之業務活動:
    • 1. 維持均衡的資產負債結構,且不宜暴險過度集中於高風險或單一目標。
    • 2. 避免盲目投入殺價競爭或掠奪式貸款(Predatory Loan),審慎產品定價策略及目標客群選擇,避免引發系統性風險及順景氣循環的現象。
    • 3. 禁止涉及與不法組織、恐怖活動有關之業務;不協助他人從事非法、脫法、虛假、粉飾、逃稅、洗錢之交易;避免承作涉及違反人權條款(包含勞工權益)之爭議性業務;對於與政治、軍事有關之業務,應謹慎考量;對於客戶擬從事關係人交易或非常規之安排,應檢視其合法及合理性。
風險管理組織架構

董事會為台灣人壽最高風險管理決策單位,確保風險管理之有效性。本公司風險管理委員會由全體獨立董事組成,協助董事會審查督導及核議各類風險管理事項。
台灣人壽風險管理單位負責規劃風險管理制度,監控第一道防線落實情形,維持第二道防線之獨立管理機制,及機制運作的有效性。風險管理單位除對董事會負責外,亦定期向母公司中信金控風險管理單位呈報,以利及時且妥善地控管整體風險。

風險管理三道防線

風險管理是各單位的共同職責,透過跨單位充分協調,形成風險管理三道防線機制。第一道防線為業務單位及支援單位,確保執行業務時符合風險管理之規範。第二道防線為遵法及風險管理單位,負責風險管理制度之規劃,監控第一道防線落實情形與機制的效性。第三道防線為稽核單位,負責查核風險管理各項規章與機制之遵循情形,二、三道防線不定期針對內部控制事項進行溝通討論。


新興風險管理

台灣人壽建立風險評估程序與管理機制,每年啟動新興風險鑑別程序,包括環境、社會、經濟、科技等面向之風險。面對全球環境變化與發展趨勢,新興風險鑑別暨管理程序之建立將協助本公司及早辨識潛在風險,並確認相關單位已研擬控管機制以達企業永續治理目標。

氣候變遷風險管理

配合母公司中信金控簽署「氣候相關財務資訊揭露(TCFD)」,承諾公開揭露氣候變遷的財務衝擊與因應策略。在投融資方面,積極投資綠能科技及再生能源等標的,並於投融資流程中納入環境衝擊之評估。子公司中信產險則推出因應氣候變遷的相關保險商品,協助保戶安心面對氣候風險。在自身營運方面,落實各項節能減碳作為,舉辦節電競賽,落實範疇三溫室氣體盤查。
針對TCFD建議之治理、策略、風險管理,以及指標與目標四大核心要素,說明如下:

  • 一、治理
    台灣人壽董事會每年依風險治理核心政策,負責核議重大投、融資案件之申請及檢討重大風險損失案件,氣候變遷相關風險與機會即是重要關注議題。由母公司中信金控風險長督導TCFD專案及管理架構之建置,由其轄下之風險管理單位導入TCFD精進專案,協調各子公司相關單位氣候變遷議題。由台壽風險單位負責制定、修訂政策及辦法,落實氣候風險衡量及氣候風險報告等業務。由風險管理部最高主管上報至風險管理委員會及董事會。
  • 二、策略
    氣候變遷的轉型風險與實體風險為企業經營帶來許多不確定性,未來可能面臨理賠案件數與金額增加或投資獲利有潛在的風險,我們配合母公司中信金控TCFD專案,透過氣候情境分析,辨識氣候轉型風險對特定產業的影響(以鋼鐵業為試行),以及實體風險對不動產授信業務之財務衝擊。
  • 三、風險管理
    遵循風險治理核心政策,落實氣候變遷風險辨識、氣候變遷風險衡量、氣候變遷風險監控與報告等機制。
  • 四、指標與目標
    現階段台灣人壽追蹤、監控各項氣候關鍵指標包含能源使用、碳排放、水資源、土地利用、廢棄物、其他空氣及水排放等,均採用與基準年及員工數相比較之兩大指標作為追蹤管理的單位。訂定以2020年為基準年,設定於2025年達成減碳5%、節水 5%、減少廢棄物5%之目標。碳盤查方面,我們已通過ISO 14064-1溫室氣體盤查認證,每年於官方網站揭露結果。
營運持續管理

台灣人壽於災害事件發生時,致力使傷害降至最低,以確保人員安全、客戶權益、本公司商譽及資產之保全。為使在業務或資訊服務發生事故、設施失效或受損害時,重要服務仍可持續運作。本公司將定期修訂營運持續管理準則並貫徹執行,以持續提昇並提供不中斷之客戶服務。
【 詳閱台灣人壽營運持續管理聲明 】

資訊安全

全球數位轉型變革及金融科技的多元運用,使資訊安全及個人隱私的威脅加劇。在資訊安全防護上,首重事前預防及應變準備,從資安治理、資安防禦、監控與回應、情報與聯防,及個資保護5項策略,全方位架構台灣人壽的資安防護。

資安治理

制定「資訊安全政策」,設立「資訊安全管理會議」為最高管理機構,由總經理擔任召集人,資訊安全最高主管擔任執行秘書。直屬總經理管轄的「資安專責單位」每半年於資訊安全管理會議中呈報推動成效、新興議題及因應方案,重要議題則另行呈報董事會。每年於董事會呈報資安聲明書,說明執行成效。台灣人壽資安主管定期參加母公司中信金控召集之集團資安主管會議,共同討論資安維護狀況,檢視防護成效。2020年台灣人壽以完善的個資管理機制,榮獲SGS 個資管理卓越獎,獲選為前1%之卓越企業,備受外界肯定。

資安防禦

從網路、系統、硬體、作業系統與資料層面,台灣人壽利用不同防護機制偵測外來威脅,並進行阻擋及防護,強化關鍵資安風險防護。本公司及子公司中信產險自2017年導入ISO 27001:2013資訊安全管理系統及BS 10012:2017 個人資料管理系統並通過驗證,訂有完整的風險預防、監控及事後應變等措施,提升風險掌握及管理。

監控與回應

為及時阻絕資安漏洞,本公司建置資訊安全監控中心(Security Information and Event Management,簡稱SIEM),24小時監控內部資安環境變化,以即時發現問題及應變。
對於資訊資料、日常作業的系統及人員使用的電腦,台灣人壽均建置異常監控的機制,制定資安事件通報標準作業程序,並定期執行程序演練。

情報與聯防

身為金融資安資訊分享與分析中心(F-ISAC)的會員,對於F-ISAC 提供的資安情資,皆及時調整資安機制或進行弱點修補,並主動加強公司資安攻防演練(包含社交工程演練及駭客中斷服務攻擊演練)。針對對外提供服務的網站,每年委請第三方合格之資安公司,進行資安評估及滲透測試,確保資安防護的有效性。

個資防禦

針對個資侵害或資安相關事件,台灣人壽訂有「個人資料檔案侵害事件緊急應變計畫」,於事故發生時有所遵循。台灣人壽嚴格保護客戶個資,資訊系統平台僅顯示業務所需最小資料量,減少暴險機會,同時也強化資安縱深防禦基礎建設,包含資料分級、電腦上網管制、個人電腦安裝資料外洩防禦軟體(Data Leak Prevention,簡稱DLP)、上網隔離架構、網路異常流量監控及特權帳號管理,以防止DDoS攻擊及進階持續性滲透攻擊(Advanced Persistent Threat,簡稱APT)等。