聯發科技是從數百名員工的中小企業,成功發展成為上萬名員工跨國企業的典型例子,因此其企業內控系統的發展歷程也是許多台灣中小企業學習的對象。通常在指控員工竊取公司機密資料的時候,最大的困難在於舉證,聯發科技稽核處長劉錫麟認為,唯有在企業建置了完善的內控流程之後,才有足夠能力去面對比較大的挑戰;相反的,當要面對大量的挖角,或是對公司而言比較嚴重的資安事件的時候,如果當初投入的資源不夠,那當調查單位或是檢察官來協助偵辦的時候,一定會發現很多因投資不夠而造成防堵不足的地方,也無法有效且充分的舉證。
根據資策會科技法律研究所 (科法所) 的調查,台灣8成以上的上市櫃企業智財管理仍偏重於行政事務處理,對智財的運用評估及分析處理較少著墨。為協助企業將智財管理從事務處理層次提升至公司經營策略層次,資策會便提出了於「公開發行公司建立內部控制制度處理準則」納入智財管理要求的建議,而金管會證期局也於103年9月22日發布修正「公開發行公司建立內部控制制度處理準則 」,正式將智慧財產權管理與公司內控制度連結,使我國公開發行公司之內控制度研發循環符合前揭處理準則的智財要求。
此次金管會在內控準則新增「智慧財產權之取得、維護及運用」項目,將要求企業於研發流程中訂定智財相關內部控制制度與稽核計畫,未來業者若有導入TIPS智財管理制度即可符合規定,企業亦可藉此提升智財管理能力,確保所有的研發成果價值。金管會在去年修訂「公開發行公司建立內部控制制度處理準則」時,已在涉及公司最核心關鍵研發技術或營業秘密的研發循環中增列「智慧財產權之取得、維護及運用」項目,未來企業的內控已不限於財務面,還包括內部及外部等非財務面報導,新納入的智慧財產權取得、維護及運用作業需求即屬於非財務面的資訊揭露,利用相關控制作業之落實,可望提升企業於非財務面營運能力,並提高其資訊揭露的可靠度。
《智財治理與內控實務交流論壇》邀請到工業局副局長呂正華、證期局副局長張麗真出席致詞,其他出席分享經驗之業者及單位包括聯發科技、澔鴻科技、笙泉科技、安永企管、及台灣證交所上市一部。會中,聯發科技稽核處長劉錫麟(左)分享了其在內控制度研發循環上的建置與智財管理上的實際做法。
資策會副執行長何寶中指出,科技業近來大吹整併風,這一次內控法令的修法,突顯了台灣企業在面臨高競爭的國際市場前,更應重新檢視企業內控研發機制與智財管理制度是否完善。資策會受經濟部工業局委託,於10月下旬舉辦了「智財治理與內控實務交流論壇」,會中本土IC設計大廠聯發科技稽核處長劉錫麟分享了聯發科技在內控制度研發循環上的建置、與智財管理上的實際做法。由於聯發科技是從數百名員工的中小企業,成功發展成為上萬名員工跨國企業的典型例子,因此其企業內控系統的發展歷程也是許多台灣中小企業學習的對象。
4個實際案例橫跨8個年頭 遇到危機就是轉機
聯發科技目前是亞洲最大的無晶圓廠 IC 設計公司,這是無容置疑的;公司在全球市場中,技術領先的領域包括功能型手機、數位電視、數位光碟/藍光播放器、及光學儲存等等;雖然其他像智慧型手機及網路連線的部分,仍有待努力的空間,但技術層次也有相當的高度。劉錫麟指出,聯發科技在以上所提到的領域都投入了相當多的資源不斷持續研發,希望能維持在市場上競爭力。對公司而言,如何維持技術的領先,也成了公司在智財治理上的一項首要任務。
為了讓大家更容易了解聯發科技建置公司內控系統的心路歷程及所碰到的挑戰,劉錫麟分別用了4個在聯發科技發生的資安事件實例,來作出說明。從圖1可見,從2007年聯發科技第一起嚴重的資安事件爆發至今,共歷經8個年頭,劉錫麟認為這8年可以分上半段及下半段2個部分來看。
由於在2007年時,聯發科技企業內部的一些管控措施及管控工具並沒有很完善,所以當員工A涉嫌以電子郵件竊取公司機密事件發生後,公司花了很多時間去查核。劉錫麟說:「公司的資訊部門(IT) 後來花了大概一個禮拜,才整理出為什麼這個員工在離職下班前的最後一個時間點,可以大量的將公司資料寄到他私人的電子郵件信箱,這對公司來說是一起重大的內控疏失事件 。於是在這個事件之後,公司便很快建制了很多相關的內控系統。」
圖1. 聯發科技資安事件4階段
資料來源:聯發科技稽核處長劉錫麟簡報資料
由於有了第一起資安事件的前車之鑑,因此在第二起資安事件中,員工跳槽到競爭對手的時候,聯發科技已建立了基礎的內部管控系統,包括了USB Log的建置。因此在第二起資安事件中,聯發科技在調查的舉證方面,準備得相當充分;另一方面,透過調查局協助及得檢察官的支援,訴訟也進行得很順利。劉錫麟指出,「前兩起資安事件是公司與公司之間在競爭時,員工在一個正常離職狀況下發生的;因此如果公司日常沒有做好管控,員工在離職時便很容易將公司機密帶到另一家公司。在這個時候我們可以思考的是:是不是企業跟員工之間溝通不足,是不是在檢查的部分做得不夠?要如何才能將內控系統強化? 所以公司在上半段的部分,主要是投入了一些人力在建立政策及管控制度;此外,一些對應的系統、工具及Log也是在這一個時期建置起來的。」
在圖1中的後2起資安事件是最近一、二年才發生的事情。劉錫麟表示,隨著資訊、多媒體產品的普及和世界市場的興起,漸漸公司的競爭已經從過去台灣幾個公司在競爭,轉變成競爭來自世界各地,包括韓國、美國、中國大陸、印度……等等,很多時候競爭也會演變成資安事件的議題。
劉錫麟指出,2014年發生的集體員工挖角資安事件可以說是聯發科技比較嚴重的資安事件,也是在4起資安事件中,對公司影響最大的資安事件。「就發生這起事件的時間點而言,智慧型手機占公司業務一個很大的部分,如果其他公司想要在這個地方耕耘,最快的方式可能是透過挖角,而挖角對一個公司的傷害是很大的,所以企業內控部門要面對的是如何掌控這種狀況及處理公司的風險。」
4起資安事件連結聯發科技智財管理的3個階段
劉錫麟從聯發科技過去8年期間發生的4起重大資安事件的時間點去分析,歸納出公司智財管理制度發展的3個重要階階段。
第一個階段是比較早期的時候,聯發科技剛成立的前幾年,公司才數百名員工;2004年時聯發科技成立7個年頭,公司員工人數躍升到1200多名,劉錫麟指出那時候是出來的是公司智權管控政策的第一版 (IP Security Policy 1.0),當時主要是以溝通為主,不是有很多的檢核機制,也沒有很多的系統負責管控。然而,正因為沒有很多管控措施及系統,因此到2007年發生第一起重大資安事件的時候,只能在發生之後再回過頭去調查,不能讓公司在第一時間即確認危機的存在。所以在2007年之後,聯發科技便很快的透過顧問公司,導入了USB Log、Mail Log及Printer Log,希望可以透過系統及工具的協助,在員工離職時的一個最高風險點,去檢視有沒有一些研發機密被離職員工帶走。
圖2. 聯發科技智財治理3階段
資料來源:聯發科技稽核處長劉錫麟簡報資料
劉錫麟強調,通常公司在建置系統的時候,會希望跟員工逐步達成共識及充分的溝通,因此政策方面,針對郵件 (mail) 使用、USB使用及印表機(Printer)使用,都有大量的規範使員工能充分理解,並與員工充分溝通。「當然在投入足夠的人力及系統建置後,我們才有能力做到清楚的舉證,也唯有自己有足夠能力舉證,才能在資安事件發生後,透過調查局和檢察官的協助,妥善的處理這些資安事件。如果沒有這些系統,企業本身可能對很多資安事件是不知不覺的,或是在舉證上相當困難。」
到了2011年,聯發科技的規模已成長至7000多名員工,在全球十多國家都設有據點,研發中心除了在台灣之外,在新加坡、印度、美國及歐洲等地都有據點;這麼多的子公司,公司的研發團隊要如何跨地區合作?一些內控機制要如何逐步去建置?這些都是聯發科技稽核處面臨的挑戰,因此公司便投入了更多人力在相關的部門。劉錫麟說:「這時候我們的人力便從過去的1個人、增加到4個人,再到現在的15個人。到了第3個階段便開始有3個團隊協同運作。」
圖3. 聯發科技於稽核處下之3個團隊
資料來源:聯發科技稽核處長劉錫麟簡報資料
第一個團隊是「資安風險管理」小組,主要負責政策制定、危機風險處理及管控的工作。在政策制定的過程中,溝通很重要,小組成員必須與公司研發團隊充分溝通,了解在研發的過程中,有那些地方是風險點,例如當公司研發團隊跟客戶啟動一個企劃案 (project),像是特殊功能的晶片的時候,它的風險點就會透過「資安風險管理」小組及研發團隊去定義(identify )出來,在這個過程會有一個Risk Control Spec.(風險管控規格), 這個內控規格是小組成員與R&D研發單位一起合作設計出來,所以會針對性的去控制某些資料,亦即研發過程中產出的「鑽石」。
第二個團隊是「資安系統管理」小組。系統就是傳統大家比較認識的資訊系統(IT),IT可以在內控的過程中,協助啟動一些必要的工具,就聯發科技企業內部的說法是說如何進行武器的評估 ,如何評估一件合適的武器,讓內控的工作及流程能更有效的強化。
第三個團隊「資訊安全稽核」小組。稽核的部分應該已經有很多公司都在執行,因為在進行了那麼多內控工作之後,一定要有專門的人去監看、一定要有稽核單位去檢查那些log,當有疑慮的時候,再去跟主管一一釐清;在釐清之後,再分析那些是高風險的,然後,還需要有一個循環去看控制項目是否足夠,這是一個團隊作戰的狀態。劉錫麟表示:「在建置了這樣的流程之後,才有足夠能力去面對比較大的挑戰;如果今天沒有一個這樣的內控系統,便沒有足夠能力去應付這些挑戰,我相信當要面對大量的挖角,或是對公司而言比較嚴重的資安事件的時候,如果當初投入的資源不夠,那相對的當調查單位或是檢察官來協助你的時候,一定會發現很多因投資不夠而造成防堵不足的地方,也無法有效且充分的舉證。」
劉錫麟強調,在資安環境不斷改變的過程中,企業內部一定要做足準備,才能防止一些在往後過程中產生的環境變化及危機的挑戰。聯發科技稽核處3個小組的共同目標就是持續降低資安事件的數目 ,持續去檢核那一類型資安事件發生頻率比較高,像是透過手機、USB、還是mail去複製資料的比例較高?如果可以成功明確掌握的話,便可以跟員工作溝通:那些事情可以做,那些事情不可以做 ,如果覺得做得不夠的,便必須持續改善。
因此,內控措施及系統不是建置了便可以放著一直使用同一套東西,必須因應環境變化,建立循環檢測系統,並要了解每個月、每一季、有那些資安事件在那一些區塊發生比較頻繁;如果在某些區塊風險危機一直居高不下,那就要檢討是不是所採用的方式或是改善措施還是不足?或是有那些地方需要加強?
作者:
李淑蓮
現任:
北美智權報主編
學歷:
文化大學新聞研究所
經歷:
半導體科技雜誌(SST-Taiwan)總編輯
CompuTrade International總編輯
日本電波新聞 (Dempa Shinbun) 駐海外記者
日經亞洲電子雜誌 (台灣版) 編輯
Facebook
在北美智權報粉絲團上追踪我們
Please enable JavaScript to view the comments.