风险管理是维护企业经营的重要环节,本公司正视风险的存在,更致力执行降低风险的各项政策与措施,以此为利害关系人创造永续价值,并创造公司营运机会。为有效强化风险管理,长期关注产业趋势及市场变动,掌握风险变化趋势,并针对重大潜在风险情境进行管控策略与作法之拟定,定期确认与追踪检核成效,在可接受风险之状况下,追求管理成本效益优化 。
本公司及各子公司在从事营运活动时,应从企业永续经营的角度审慎检视内外部可能之风险,依循本公司「风险管理政策与程序」订定相关作业规范,以辨识、衡量、控制及监督各项业务之潜在风险、落实风险管理机制之运作,提升风险管理分工之效能。
本公司订有环安卫管理制度及环安卫政策,并于全公司及各厂区设置职业安全卫生委员会,其风险评估项目包括:职业安全卫生、自动检查、作业环境监测、危害物管理、温室气体排放政策与管理、资源管理、灾害应变演练及教育训练等。
本公司透过永续发展委员会,负责整合全公司风险,并透过业务、各厂区制造单位、研发、安卫管理、财管、资材、质量、人力资源、信息等单位及法务与稽核之参与,针对公司内外部发生潜在损失的可能性与可能的幅度进行风险认知与鉴别分析,进而达到避免潜在的损失危险、预防损失或降低损失幅度等风险控制,以落实分权分责之风险控制与稽查管理。
针对整体风险的辨析、预防及监控或重大风险管控议题,每年至少一次向董事会呈报具体推动计画与实施成效执行情形,透过董事会的监督与指导,落实防范公司重大风险,以确保公司「计划、执行、检查与行动」之管理循环,使运作有效达成风险控管之效益。
本公司风险管理范畴包括但不限于营运风险、市场风险、环安卫风险、财务风险、人力资源风险、资安风险与其他可能使公司产生重大损失之风险,并持续关注国内外风险发展情事以掌握风险趋势,辨识新兴风险。
本公司风险管理流程包括:风险范畴辨识、风险分析衡量、风险改善监控、风险报告与揭露。风险类别 | 关注重点 | 因应策略 |
---|---|---|
业务风险 | 市场竞争及产品策略 | 聚焦与收敛产品组合,以有限的资源做最佳的配置,并发展高价值产品提高产品竞争优势。强化市场信息的搜集以发展新技术及开拓新客户、并透过策略结盟与合作积极推动新业务。 |
库存呆料风险 | 加强客户沟通与监控机制,掌握市场供需趋势。强化内部产销协调机制及供应链交期,实时反应与调整,降低呆料风险。 | |
制造风险 | 断料风险 | 建立永绩供应链伙伴关系,并依客户需求审慎并积极开发Second Source。 |
停水断电风险 | 建立备用水池及紧急发电机,以维持工厂营运不中断。 | |
关键人才流失风险 | 透过公司激励奖励制度,留住关键人才。 | |
设备停机风险 | 建立预防保养机制,对关键设备零件,建立安全库存。 | |
研发风险 | 技术开发 | 掌握市场趋势提前布局新产品与核心技术应用开发,并确保研发速度与成本控管。 |
知识产权 | 建立知识产权保全与管理规范、持续激励员工创新研发、防范知识产权侵权风险。 | |
人力资源风险 | 关键人才流失 | 制定人才留任计划,确保公司营运与人才发展的永续性。 |
人权风险 | 遵守各国法令并依据责任商业联盟(Responsible Business Alliance, RBA) 准则之规范,保障员工人权。 | |
环安卫风险 | 灾害风险 | 建立环安卫管理系统与作业程序标准化,并定期举行消防疏散演练及各类教育训练。 |
环境及气候变迁 | 持续进行温室气体盘查与推动节能措施。 | |
法规变更 | 掌握并遵守各项法规规范与国际准则,确保公司各项环保政策与规范符合法规规范。 | |
财务风险 | 税务风险 | 关注国际税改趋势与当地税务政策变动,并评估各项业务模式可能产生之税务风险。遵循税务法规,正确计算税赋缴纳税款与税局保持开放良好的沟通关系。 |
信用风险 | 依据公司信用管理规章及客户财务状况,掌握客户信用额度。 | |
汇率风险 | 掌握外汇市场趋势,密切观察外币汇率变化。 | |
信息风险 | 信息系统异常 | 建置硬件备援与数据备份机制,并持续监控与侦测系统,强化各项异常通报管理。 |
机密资料泄露 | 强化资安管理与防火墙安全,并于公司内持续倡导资安观念。 |
(一)本公司透过每季一次及不定期的高阶管理阶层会议,进行公司营运结果与整体策略研讨,以持续落实风险管理范畴之风险事项辨识、分析和鉴别,强化风险应变能力,达到公司整体风险的有效控管
(二)本公司质量中心监督各单位就其所订定的相关作业规范每年必须定期检视内容,以实时辨识环境条件之变化,达到作业行为规范之有效性。
(三)本公司持续透过人员教育训练,提升全体同仁风险意识及认知,2023年相关课程如下:
课程内容 | 2023年受训人次 | 受训总时数 |
---|---|---|
环境安全卫生教育训练 | 23,373 | 70,119 |
信息安全规范、规划与设备环境介绍 | 420 | 150 |
基础法务知识 | 126 | 44 |
(一)制度规范:订定公司信息安全管理制度,规范人员作业行为,成立资安专责单位、设置资安主管及资安人员。
本公司内部订定多项资安规范与制度,以规范本公司人员信息安全行为,每年定期检视相关制度是否符合营运环境变迁,并依需求适时调整。
(二)科技运用:建置信息安全管理设备,落实资安管理措施。
本公司为防范各种外部资安威胁,除采分区隔离网络架构设计外,更建置各式资安防护系统,以提升整体信息环境之安全性。此外,为确保内部人员之作业行为符合公司制度规范,亦设计作业程序和导入资安系统工具,以落实人员信息安全管理措施。
(三)人员训练:进行信息安全教育训练,提升全体同仁资安意识。
本公司定期公告「信息安全管理规范」、「使用合法软件人人有责」之倡导,并实施人员信息安全教育训练课程,加强同仁资安意识。
本公司定期审视内部信息安全规范,并于「信息安全委员会」中报告信息安全治理概况。本公司亦遵从NIST信息安全框架,评估信息安全威胁与影响,制定安全措施提升整体信息安全环境。
信息安全重点评估如下:
检查关于持续营运所采取的相关措施之妥适性,检查架构与维运机制是否存在单点失效之风险,以及针对业务持续运作进行风险分析,并提出信息架构安全评估之结果与建议。
查看网络设备系统及服务器之存取纪录,账号权限之授予是否符合规范;清查识别异常纪录与确认警示机制。
定期针对外部网站、网络设备及服务器等设备进行弱点扫描,并针对扫描结果进行改善及修补,降低整体资安风险。
检视服务器(如:网域服务 Active Directory )关于「 Admin 权限」与「组策略派发」之异动事件,查看相关异动是否异常。
面对资安威胁制定紧急应变计划,定期演练,以验证相关计划内容之可行性与有效性。确保遇到资安事件,各单位人员可依紧急计划进行应变操作,达到全公司各单位共同落实资安防范之效果。
针对公司同仁,于内部安全监控范围内,寄发演练邮件,测试、倡导及强化资通安全教育。演练目标主要在于让同仁了解使用电子邮件之风险,提高同仁防范社交工程攻击之危机意识,持续演练以降低社交工程攻击所造成的风险,达到保护客户数据及重要营运信息与服务之目的。
111年加入台湾CERT/CSIRT联盟,提升资安情资搜集、交换及分析能力,了解各类型资安威胁与弱点信息,针对可能的威胁进行有效预防措施,加强公司整体资安防护能力。