联发科技是从数百名员工的中小企业，成功发展成为上万名员工跨国企业的典型例子，因此其企业内控系统的发展历程也是许多台湾中小企业学习的对象。通常在指控员工窃取公司机密资料的时候，最大的困难在于举证，联发科技稽核处长刘锡麟认为，唯有在企业建置了完善的内控流程之后，才有足够能力去面对比较大的挑战；相反的，当要面对大量的挖角，或是对公司而言比较严重的资安事件的时候，如果当初投入的资源不够，那当调查单位或是检察官来协助侦办的时候，一定会发现很多因投资不够而造成防堵不足的地方，也无法有效且充分的举证。

根据资策会科技法律研究所 (科法所) 的调查，台湾8成以上的上市企业知识产权管理仍偏重于行政事务处理，对知识产权的运用评估及分析处理较少着墨。为协助企业将知识产权管理从事务处理层次提升至公司经营策略层次，资策会便提出了于「公开发行公司建立内部控制制度处理准则」纳入知识产权管理要求的建议，而台湾地区“金管会证期局”也于2014年9月22日发布修正「公开发行公司建立内部控制制度处理准则」，正式将知识产权管理与公司内控制度连结，使我国台湾地区公开发行公司之内控制度研发循环符合前揭处理准则的智财要求。

此次金管会在内控准则新增「知识产权之取得、维护及运用」项目，将要求企业于研发流程中订定知识产权相关内部控制制度与稽核计划，未来业者若有导入TIPS知识产权管理制度即可符合规定，企业亦可藉此提升智财管理能力，确保所有的研发成果价值。金管会在去年修订「公开发行公司建立内部控制制度处理准则」时，已在涉及公司最核心关键研发技术或营业秘密的研发循环中增列「知识产权之取得、维护及运用」项目，未来企业的内控已不限于财务面，还包括内部及外部等非财务面报导，新纳入的知识产权取得、维护及运用作业需求即属于非财务面的信息揭露，利用相关控制作业之落实，可望提升企业于非财务面营运能力，并提高其信息揭露的可靠度。

资策会副执行长何宝中指出，科技业近来大吹整并风，这一次内控法令的修法，突显了台湾企业在面临高竞争的国际市场前，更应重新检视企业内控研发机制与智财管理制度是否完善。资策会受经济部工业局委托，于10月下旬举办了「智财治理与内控实务交流论坛」，会中本土IC设计大厂联发科技稽核处长刘锡麟分享了联发科技在内控制度研发循环上的建置、与知识产权管理上的实际做法。由于联发科技是从数百名员工的中小企业，成功发展成为上万名员工跨国企业的典型例子，因此其企业内控系统的发展历程也是许多台湾中小企业学习的对象。

4个实际案例横跨8个年头 　遇到危机就是转机

联发科技目前是亚洲最大的无晶圆厂 IC 设计公司，这是无容置疑的；公司在全球市场中，技术领先的领域包括功能型手机、数字电视、数字光盘／蓝光播放器、及光学储存等等；虽然其他像智能型手机及网络联机的部分，仍有待努力的空间，但技术层次也有相当的高度。刘锡麟指出，联发科技在以上所提到的领域都投入了相当多的资源不断持续研发，希望能维持在市场上竞争力。对公司而言，如何维持技术的领先，也成了公司在知识产权治理上的一项首要任务。

为了让大家更容易了解联发科技建置公司内控系统的心路历程及所碰到的挑战，刘锡麟分别用了4个在联发科技发生的资安事件实例，来作出说明。从图1可见，从2007年联发科技第一起严重的资安事件爆发至今，共历经8个年头，刘锡麟认为这8年可以分上半段及下半段2个部分来看。

由于在2007年时，联发科技企业内部的一些管控措施及管控工具并没有很完善，所以当员工A涉嫌以电子邮件窃取公司机密事件发生后，公司花了很多时间去查核。刘锡麟说：「公司的信息部门（IT） 后来花了大概一个礼拜，才整理出为什么这个员工在离职下班前的最后一个时间点，可以大量的将公司资料寄到他私人的电子邮件信箱，这对公司来说是一起重大的内控疏失事件。于是在这个事件之后，公司便很快建制了很多相关的内控系统。」

图1. 联发科技资安事件4阶段

数据源：联发科技稽核处长刘锡麟简报资料

由于有了第一起资安事件的前车之鉴，因此在第二起资安事件中，员工跳槽到竞争对手的时候，联发科技已建立了基础的内部管控系统，包括了USB Log的建置。因此在第二起资安事件中，联发科技在调查的举证方面，准备得相当充分；另一方面，透过调查局协助及得检察官的支持，诉讼也进行得很顺利。刘锡麟指出，「前两起资安事件是公司与公司之间在竞争时，员工在一个正常离职状况下发生的；因此如果公司日常没有做好管控，员工在离职时便很容易将公司机密带到另一家公司。在这个时候我们可以思考的是：是不是企业跟员工之间沟通不足，是不是在检查的部分做得不够？要如何才能将内控系统强化？所以公司在上半段的部分，主要是投入了一些人力在建立政策及管控制度；此外，一些对应的系统、工具及Log也是在这一个时期建置起来的。」

在图1中的后2起资安事件是最近一、二年才发生的事情。刘锡麟表示，随着信息、多媒体产品的普及和世界市场的兴起，渐渐公司的竞争已经从过去台湾几个公司在竞争，转变成竞争来自世界各地，包括韩国、美国、中国、印度……等等，很多时候竞争也会演变成资安事件的议题。

刘锡麟指出，2014年发生的集体员工挖角资安事件可以说是联发科技比较严重的资安事件，也是在4起资安事件中，对公司影响最大的资安事件。「就发生这起事件的时间点而言，智能型手机占公司业务一个很大的部分，如果其他公司想要在这个地方耕耘，最快的方式可能是透过挖角，而挖角对一个公司的伤害是很大的，所以企业内控部门要面对的是如何掌控这种状况及处理公司的风险。」

4起资安事件连结联发科技智财管理的3个阶段

刘锡麟从联发科技过去8年期间发生的4起重大资安事件的时间点去分析，归纳出公司知识产权管理制度发展的3个重要阶阶段。

第一个阶段是比较早期的时候，联发科技刚成立的前几年，公司才数百名员工；2004年时联发科技成立7个年头，公司员工人数跃升到1200多名，刘锡麟指出那时候是出来的是公司知识产权管控政策的第一版 (IP Security Policy 1.0)，当时主要是以沟通为主，不是有很多的检核机制，也没有很多的系统负责管控。然而，正因为没有很多管控措施及系统，因此到2007年发生第一起重大资安事件的时候，只能在发生之后再回过头去调查，不能让公司在第一时间即确认危机的存在。所以在2007年之后，联发科技便很快的透过顾问公司，导入了USB Log、Mail Log及Printer Log，希望可以透过系统及工具的协助，在员工离职时的一个最高风险点，去检视有没有一些研发机密被离职员工带走。

图2. 联发科技智财治理3阶段

数据源：联发科技稽核处长刘锡麟简报资料

刘锡麟强调，通常公司在建置系统的时候，会希望跟员工逐步达成共识及充分的沟通，因此政策方面，针对邮件 (mail) 使用、USB使用及打印机（Printer）使用，都有大量的规范使员工能充分理解，并与员工充分沟通。「当然在投入足够的人力及系统建置后，我们才有能力做到清楚的举证，也唯有自己有足够能力举证，才能在资安事件发生后，透过调查局和检察官的协助，妥善的处理这些资安事件。如果没有这些系统，企业本身可能对很多资安事件是不知不觉的，或是在举证上相当困难。」

到了2011年，联发科技的规模已成长至7000多名员工，在全球十多国家都设有据点，研发中心除了在台湾之外，在新加坡、印度、美国及欧洲等地都有据点；这么多的子公司，公司的研发团队要如何跨地区合作？一些内控机制要如何逐步去建置？这些都是联发科技稽核处面临的挑战，因此公司便投入了更多人力在相关的部门。刘锡麟说：「这时候我们的人力便从过去的1个人、增加到4个人，再到现在的15个人。到了第3个阶段便开始有3个团队协同运作。」

图3. 联发科技于稽核处下之3个团队

数据源：联发科技稽核处长刘锡麟简报资料

第一个团队是「资安风险管理」小组，主要负责政策制定、危机风险处理及管控的工作。在政策制定的过程中，沟通很重要，小组成员必须与公司研发团队充分沟通，了解在研发的过程中，有那些地方是风险点，例如当公司研发团队跟客户启动一个企划案 (project)，像是特殊功能的芯片的时候，它的风险点就会透过「资安风险管理」小组及研发团队去定义(identify )出来，在这个过程会有一个Risk Control Spec.（风险管控规格）,　这个内控规格是小组成员与R&D研发单位一起合作设计出来，所以会针对性的去控制某些数据，亦即研发过程中产出的「钻石」。

第二个团队是「资安系统管理」小组。系统就是传统大家比较认识的信息系统(IT)，IT可以在内控的过程中，协助启动一些必要的工具，就联发科技企业内部的说法是说如何进行武器的评估，如何评估一件合适的武器，让内控的工作及流程能更有效的强化。

第三个团队「信息安全稽核」小组。稽核的部分应该已经有很多公司都在执行，因为在进行了那么多内控工作之后，一定要有专门的人去监看、一定要有稽核单位去检查那些log，当有疑虑的时候，再去跟主管一一厘清；在厘清之后，再分析那些是高风险的，然后，还需要有一个循环去看控件目是否足够，这是一个团队作战的状态。刘锡麟表示：「在建置了这样的流程之后，才有足够能力去面对比较大的挑战；如果今天没有一个这样的内控系统，便没有足够能力去应付这些挑战，我相信当要面对大量的挖角，或是对公司而言比较严重的资安事件的时候，如果当初投入的资源不够，那相对的当调查单位或是检察官来协助你的时候，一定会发现很多因投资不够而造成防堵不足的地方，也无法有效且充分的举证。」

刘锡麟强调，在资安环境不断改变的过程中，企业内部一定要做足准备，才能防止一些在往后过程中产生的环境变化及危机的挑战。联发科技稽核处3个小组的共同目标就是持续降低资安事件的数目，持续去检核那一类型资安事件发生频率比较高，像是透过手机、USB、还是mail去复制数据的比例较高？如果可以成功明确掌握的话，便可以跟员工作沟通：那些事情可以做，那些事情不可以做，如果觉得做得不够的，便必须持续改善。

因此，内控措施及系统不是建置了便可以放着一直使用同一套东西，必须因应环境变化，建立循环检测系统，并要了解每个月、每一季、有那些资安事件在那一些区块发生比较频繁；如果在某些区块风险危机一直居高不下，那就要检讨是不是所采用的方式或是改善措施还是不足？或是有那些地方需要加强？