運作情形

首頁»公司治理»風險管理»運作情形

風險管理政策及程序

  • 本公司訂定「風險管理辦法」於109年12月22日經董事會通過,以作為風險管理之指導原則,並於同會期提報該年度運作情形,以利執行營運風險的辨識、分析、評估、控制。董事會負責成立及監督合併公司之風險管理架構。總經理負責發展及控管合併公司之風險管理政策,並定期向董事會報告其運作,最近期提報時間為110年12月21日。

風險管理範疇

  • 主要目的為減緩風險發生時對企業造成之衝擊,確保本公司及合併公司之營運風險均在可控的範疇內,使本公司整體集團營運得以聚焦於業務的增長暨營運效率的提升,並有助於股東權益的維護。
  • 逐年參照前一年度本公司及合併公司發生過的風險事故暨外部專家的意見,於期初設定當年度對本公司及合併公司營運恐有負面影響的相關議題,作為新年度營運風險整體評估、風險排序之依據,就計畫控制的風險品項建議採行的風險管理作為等事項經核可後,進行風險的監控抑或處理。上述監控、處理之工具包括但不限於採行自主風險管理作為控制風險(風險自留)抑或風險轉嫁(投保)。
  • 本公司風險管理程序包括:風險辨識、風險衡量、風險監控、風險報告與揭露、風險之回應等。

運作情形

  • 110年度運作情形及成效,摘要如下:
  • 1. 資產風險管理
  • 本公司除了對有形(如建物、設備、存貨、物流貨物)及無形(如資安、應收帳款)資產風險依據同業標準以上的規格進行投保外,為落實自主風險管理,於每年年初向總管理處提報討論當年度關鍵風險查核事項的優先順序,並據以執行風險查核暨教育訓練作業。本年度雖因新冠肺炎(COVID-19)疫情影響,限制若干海外查核的作為,但仍就資產風險管理領域完成了以下事項,並就受疫情影響而暫緩事項,列出預計完成時間:
    • (1) 有形資產
    • • 台灣廠區查勘作業:除已於109年完成之重要電力設備進行紅外線檢測作業外,其他查勘作業本預計於110年6月前完成並完成改善建議報告,但因疫情暫緩;考量近期台灣疫情趨於穩定,已重啟查勘作業,預計於111年第1季完成。
    • • 大陸及泰國廠區查勘作業:委託當地風險管理專家就大陸廠區的重要電力設備進行紅外線檢測作業,以免供電問題導致營運中斷;並針對大陸/泰國廠區定期提供風險管理建議報告。
    • (2) 無形資產
    • • 與國際資安測試專家合作進行風險盤點,及早偵測資安盲點進行補強,以提升企業網路及資訊系統的安全強度、降低資訊安全風險,並研議於111年下半年委請第三方專家進行紅隊演練(Red-Teaming)測試。
    • • 防範資安/電力供應中斷等,造成營運中斷之風險,規劃於111年研議進行營運持續計畫(BCP)。
    • • 就環保等ESG新興議題,提供可運用資源及工具。
  • 2. 資通安全管理
  • 本公司重視資通安全的維護與保障,除了自97年起即投保資安險外,98年並制定「資訊安全管理政策」與「資訊安全風險管理架構」,109年起開始規劃取得ISO27001認證,110年積極推動落實,以因應資訊安全提升需求,主要運作情形如下:
    • (1) 推動ISO27001認證工作:依照標準制定管理政策,並依照政策進行實務工作程序調整與相關配合系統建置,各項管理政策陸續審核發行中,預計於111年第一季進行認證。
    • (2) 因應資安風險提升,對內建置各項資安防護機制,包含:
    • • 落實公司端點裝置資安防護機制:公司裝置與伺服器落實安裝主動資安防護與防毒機制,由資安顧問公司與IT專責窗口進行防護警示,主動告警與處置,提升裝置之資訊安全防護;並建置合規系統,主動警示裝置資安風險並進行對應處置。
    • • 落實公司網路資安防護機制:建置網路威脅偵測系統,防範異常行為;對外嚴密管控防火牆存取權限;對外服務系統,建置保護機制,阻擋資安攻擊;以多重驗證提升VPN(Virtual Private Network)存取安全性,並只允許公司授權裝置連結;偵測網路封包並分析威脅與告警,提升公司網路環境資安等級。
    • • 落實公司資安管理原則:密碼等級提升;帳號管理規則依循國家標準GCB(Government Configuration Baseline);區隔帳號並以最小特權原則(PoLP, Principle of Least Privilege)賦予,設置資安防護斷點;建置重要文件檔案保護機制;建置伺服器網路存取紀錄平台,以備資安事件追蹤。
    • • 落實公司資安管理標準處置程序:依照ISO27001標準,制定各項資安事件處置標準步驟,並落實演練與執行。
    • • 落實資安稽核機制:建置系統資安掃描工具,依照規定進行測試與修正資安風險;由外部資安顧問對公司進行各項資安掃描與測試,並協助進行資安風險清除。
    • • 定期訪談各單位人員,了解流程與系統等相關資料,做必要之資訊安全落差分析,並配合規畫建置對應資訊安全系統進行管理。
    • • 落實教育訓練將資訊安全課程列為全體員工之必修課程,每年皆需進行課程訓練並要求通過測驗,以強化同仁資訊安全風險管理意識與認知。
    • (3) 在供應商資安管理方面,補強以下風險控制:
    • • 登入安全控管:當供應商登入存取相關系統時,系統主動提示資訊安全相關訊息,除了提醒存取系統裝置需要確保完成更新與啟動防毒機制外,上傳之檔案亦需要求經過掃毒等確認才接受上傳等。
    • • 加強供應商資安稽核:以現場稽核與資安問卷稽核等方式為之。因應疫情目前以資安問卷稽核為主,提示供應商資安相關問題,要求依照資安機制實施狀況進行回覆,並提供相關佐證(截圖或證明),據以加強必要之稽核,若發現缺失則要求限期改善。
    • (4) 本公司自民國97年起,即透過國際知名的保險公司投保資安險,本年度基於資安議題重要性提升及回應相關利害關係人期待,就該險種將保險金額顯著提高,並加保社交工程(Social Engineering)、系統錯誤導致的營業中斷(Network Interruption-System Failure)兩類附加險,以落實風險轉嫁、分散或有風險。再者,考量資安風險不易落實國境管控的特質,將資安險的承保對象進一步擴大至本公司全球主要營運據點,相關保險金額及投保對象則參酌本公司財務狀況及實際需求規劃。
  • 3. 企業永續發展相關風險管理:
  • 本公司設有ESG企業永續發展委員會,其工作小組每年皆會針對環境、社會及公司治理等面向進行短、中及長期衝擊評估與管理,而針對高風險的項目,將提出改善預案。評估結果及改善預案在經過各廠區管理代表核可後,經總經理同意提報董事會,主要運作情形如下:
    • (1) 持續關注氣候變遷及各項節能減碳的新興風險與機會,並且進行評估管理,以達到各項環境保護及降低能耗、減少碳排放的目的。
    • (2) 評估各廠區措施是否可能危害勞工權益、或有違反從業道德的風險,包含法規適法性、RBA會員資格要求、衝突金屬盡職調查及內外部利害關係人議合等。掌握ESG新趨勢,以使公司各項措施符合法規及各項要求。
    • (3) 另針對供應鏈風險,持續關注且要求供應商須符合本公司行為準則標準,並定期對其風險進行管控,制定各項控制措施。
  • 4. 其他風險
  • 因應嚴重特殊傳染性炎(新冠肺炎,COVID-19)防疫風險管理,於民國109年制定因應特殊傳染性肺炎防疫風險管理計畫,成立防疫風險小組,推動一系列因應方案,以在疫情嚴重或舒緩時適度反應現狀,彈性應對,以確保公司營運以及員工身心健康,具體措施有:
    • (1) 架設口罩生產線,建置口罩自行產製能力,免費提供口罩給集團企業所屬員工使用。
    • (2) 設置紅外線體溫量測器於各出入口,以確保進廠同仁及廠商的體溫符合健康標準。並於各處廣設酒精手部消毒機,要求進出公司、工廠、員工餐廳人員應以酒精消毒手部。
    • (3) 加強實施環境消毒、新鮮空氣量加大,開啟對外對流門,以使室內外空氣對流交換。加強疫情相關資訊衛教宣導,訪客入廠實施實名制,填具防疫調查表。
    • (4) 疫情嚴峻時,啟動在家工作措施,因先前的規劃得宜,遠端辦公情形均作能依計劃辦理進行;疫情熱區同仁,亦安排居家辦公。公司進階實施分棟、分層分區管制,降低交叉感染風險,各部門指派專人執行跨區活動,暫停公司公共區使用(如餐廳、大廳、公共會議室、健身房等);禁止訪客入廠及同仁外出拜訪客戶,使用視訊會議替代群聚開會;減少群聚接觸、維持社交距離,為降低上下班尖峰時間擁塞,人員聚集的風險,擴大上下班時段的彈性,同仁可選擇在上午七點至九點間到班,工時滿八小時後即可下班,以降低交叉感染的風險,維護公司生產力。
    • (5) 關閉員工餐廳用餐區,全面改由系統訂餐並在個人座位用餐,以防止群聚可能帶來的風險,停止員工海外差旅行程等。每週發送二至三封防疫管制宣導事項,提醒同仁提高警覺,配合公司的防疫政策。
    • (6) 實施疫調並公告防疫專線供同仁來電詢問相關防疫事宜。同仁如有家人或密切接觸者被居家隔離或有風險,可能影響同仁以及職場安全者,均令其居家辦公,無法居家辦公者給予有薪防疫假居家自主管理。如有同仁因同住家人染疫被居家隔離者,立即啟動辦公環境消毒,並安排PCR檢測,以第一時間掌握可能狀況。
    • (7) 內部系統發送「自主健康回報」防疫調查表,請同仁自評自我身心狀況,了解同仁以及密切接觸者的可能風險,以進一步管控可能危害公司及同仁健康的影響事項。如有異常時,由公司醫護人員進行關懷並執行後續追蹤,以確認同仁身心健康。
    • (8) 鼓勵接種疫苗,早日達到群體免疫目標,從優給予一日有薪疫苗接種假。