國際中橡各部門針對各項營運風險因子進行評估，並規劃相關管控工作。內部稽核人員會將高風險作業列為年度稽核計畫，並將稽核結果作成稽核報告，定期提交審計委員會審閱及列席董事會報告。此外，各部門每年度進行內部控制制度自行評估，以確保制度設計及執行之有效性。未來將設置風險管理專責單位，更深入探討公司風險管理重點、風險評估及因應措施，並向董事會報告營運相關風險及管理策略。

業務營運持續計畫

為在重大災害而導致資訊系統無法正常運作時，得以在最短時間內啟用備援資料中心，國際中橡設有業務營運持續計畫，每年定期執行以下四項流程與步驟，確保公司後台資訊系統可以順利切換至備援資料中心運作。

風險管理為企業營運的重要關鍵，國際中橡透過辯識、管理、衡量及分析公司的內外部風險因子帶來的短中長期衝擊，提高決策有效性及提升企業價值。為持續完善風險管理機制，我們控管財務、業務、物料及工務面向相關內控問題，近來著重氣候變遷風險及工作安全的風險管理，並制定相應的因應策略與方案。透過風險預警系統，定期追蹤風險項目，預先提出因應措施，系統自動發生異常預警，減少人工、避免疏漏。風險辨識及預警流程的有效性確認係透過稽核室定期稽核確認，稽核主管定期向董事會說明風險管理重點進行評估及規劃因應措施，並報告營運相關風險及管理策略。

內部稽核範圍

2023 年國際中橡內部稽核單位依年度稽核計畫執行並完成 25 份稽核報告及 6 份追蹤報告，總計提出內部控制建議共 15 項，範圍包括採購、驗收、生產管理、不動產廠房及設備管理、存貨管理、銷售及收款、安全衛生、印信管理等作業，均依規定進行追蹤及改善。

現階段國際中橡各項風險之挑戰與因應說明如下：

氣候變遷的風險管理與機會

巴黎協定後，氣候變遷因應已成為各國政府與企業必須積極面對的議題，國內外溫室氣體排放法規逐漸嚴格，極端氣候帶來的天災對營運場所造成直接衝擊，皆會對公司財務造成影響。對此，我們已依據 TCFD 架構 (Task Force on Climate-related Financial Disclosures) 透過專案會議討論進行風險與機會之辨識，並設定相關目標以逐步減緩氣候變遷。並於 2021 年 6 月公開支持國際 TCFD 倡議，並完成簽署 TCFD。詳細之氣候相關風險與機會管理內容請詳 4.1 氣候變遷因應章節內容說明。

資訊安全風險管理

本公司資安專責單位主要委由台泥企業團 - 台泥資訊股份有限公司 (以下稱台泥資訊) 負責整體資安架構設計、資安維運與監控、內外部資安事件回應與調查，本公司已於 2023 年 11 月 9 日設置資安長與 3 位資安專責成員共 4 位，資安支援團隊共計 28 人主要由企業團 - 台泥資訊股份有限公司 (以下稱台泥資訊) 負責整體資安架構設計、資安維運與監控、內外部資安事件回應與調查。

本公司於 2020 年依照資訊安全系統 ISO/IEC 27001: 2013 國際標準，採用 PDCA 之循環運作模式，建立與實施資訊安全管理制度，由企業團最高資安專責單位核准通過資訊安全政策，且於 2020 年底取得 ISO27001 認證，有效期限至 2024 年 1 月 5 日，並於 2023 年 12 月通過 ISO/IEC 27001：2022 轉版認證，目前證書之有效期為 2024 年 1 月 5 日至 2027 年 1 月 4 日。由總經理於召集成立跨部門「資訊安全管理委員會」，每年固定召開一次會議，負責審議資訊安全規劃與執行之有效性及資訊安全重大決議事項，並協調分配資訊安全所需資源。資訊安全管理委員會底下設立「資訊安全管理小組」，主要負責資訊系統之資訊安全管理制度規劃、建立、實施、維護、審查與持續改善，並將資訊安全相關議題於資訊安全管理委員會提報。資訊安全管理小組定期召開會議檢討執行情形，並每年定期向董事會報告執行情形與檢討。

本公司並委託外部顧問公司協助執行資安稽核作業，評核公司資安管理制度運行之有效性；另亦委託外部技術公司協助執行資安技術檢測，檢驗資安系統與網頁的安全防護力。

國際中橡受 ISO/IEC 27001 認證的 IT 服務廠商服務的廠區涵蓋比例

●IIRP 資安事件應變計劃流程圖

●資安管控及防護機制

●資訊安全管理實施績效

2023 年國際中橡各地廠區皆未收到侵犯客戶隱私、資訊洩露、失竊或遺失客戶資料的投訴。

●保護個資、預防個資外洩、維護公司資安所辦理之教育訓練

●其他風險項目

2023 年國際中橡各項風險在既有管理辦法執行之下，並無發生重大異常之情事。