运作情形

首頁»公司治理»风险管理»运作情形

风险管理政策及程序

  • 本公司订定「风险管理办法」于109年12月22日经董事会通过,以作为风险管理之指导原则,并于同会期提报该年度运作情形,以利执行营运风险的辨识、分析、评估、控制。董事会负责成立及监督合并公司之风险管理架构。总经理负责发展及控管合并公司之风险管理政策,并定期向董事会报告其运作,最近期提报时间为110年12月21日。

风险管理范畴

  • 主要目的为减缓风险发生时对企业造成之冲击,确保本公司及合并公司之营运风险均在可控的范畴内,使本公司整体集团营运得以聚焦于业务的增长暨营运效率的提升,并有助于股东权益的维护。
  • 逐年参照前一年度本公司及合并公司发生过的风险事故暨外部专家的意见,于期初设定当年度对本公司及合并公司营运恐有负面影响的相关议题,作为新年度营运风险整体评估、风险排序之依据,就计划控制的风险品项建议实行的风险管理作为等事项经核可后,进行风险的监控抑或处理。上述监控、处理之工具包括但不限于实行自主风险管理作为控制风险(风险自留)抑或风险转嫁(投保)。
  • 本公司风险管理程序包括:风险辨识、风险衡量、风险监控、风险报告与揭露、风险之回应等。

运作情形

  • 110年度运作情形及成效,摘要如下:
  • 1. 资产风险管理
  • 本公司除了对有形(如建物、设备、存货、物流货物)及无形(如资安、应收帐款)资产风险依据同业标准以上的规格进行投保外,为落实自主风险管理,于每年年初向总管理处提报讨论当年度关键风险查核事项的优先级,并据以执行风险查核暨教育训练作业。本年度虽因新冠肺炎(COVID-19)疫情影响,限制若干海外查核的作为,但仍就资产风险管理领域完成了以下事项,并就受疫情影响而暂缓事项,列出预计完成时间:
    • (1) 有形资产
    • • 台湾厂区查勘作业:除已于109年完成之重要电力设备进行红外线检测作业外,其他查勘作业本预计于110年6月前完成并完成改善建议报告,但因疫情暂缓;考虑近期台湾疫情趋于稳定,已重启查勘作业,预计于111年第1季完成。
    • • 大陆及泰国厂区查勘作业:委托当地风险管理专家就大陆厂区的重要电力设备进行红外线检测作业,以免供电问题导致营运中断;并针对大陆/泰国厂区定期提供风险管理建议报告。
    • (2) 无形资产
    • • 与国际资安测试专家合作进行风险盘点,及早侦测资安盲点进行补强,以提升企业网络及信息系统的安全强度、降低信息安全风险,并研议于111年下半年委请第三方专家进行红队演练(Red-Teaming)测试。
    • • 防范资安/电力供应中断等,造成营运中断之风险,规划于111年研议进行营运持续计划(BCP)。
    • • 就环保等ESG新兴议题,提供可运用资源及工具。
  • 2. 信息安全管理
  • 本公司重视向信息安全的维护与保障,除了自97年起即投保资安险外,98年并制定「信息安全管理政策」与「信息安全风险管理架构」,109年起开始规划取得ISO27001认证,110年积极推动落实,以因应信息安全提升需求,主要运作情形如下:
    • (1) 推动ISO27001认证工作:依照标准制定管理政策,并依照政策进行实务工作程序调整与相关配合系统建置,各项管理政策陆续审核发行中,预计于111年第一季进行认证。
    • (2) 因应资安风险提升,对内建置各项资安防护机制,包含:
    • • 落实公司端点装置资安防护机制:公司装置与服务器落实安装主动资安防护与防毒机制,由资安顾问公司与IT专责窗口进行防护警示,主动告警与处置,提升装置之信息安全防护;并建置合规系统,主动警示装置资安风险并进行对应处置。
    • • 落实公司网络资安防护机制:建置网络威胁侦测系统,防范异常行为;对外严密管控防火墙访问权限;对外服务系统,建置保护机制,阻挡资安攻击;以多重验证提升VPN(Virtual Private Network)存取安全性,并只允许公司授权装置链接;侦测网络封包并分析威胁与告警,提升公司网络环境资安等级。
    • • 落实公司资安管理原则:密码等级提升;账号管理规则依循国家标准GCB(Government Configuration Baseline);区隔账号并以最小特权原则(PoLP, Principle of Least Privilege)赋予,设置资安防护断点;建置重要文件文件保护机制;建置服务器网络存取纪录平台,以备资安事件追踪。
    • • 落实公司资安管理标准处置程序:依照ISO27001标准,制定各项资安事件处置标准步骤,并落实演练与执行。
    • • 落实资安稽核机制:建置系统资安扫描工具,依照规定进行测试与修正资安风险;由外部资安顾问对公司进行各项资安扫描与测试,并协助进行资安风险清除。
    • • 定期访谈各单位人员,了解流程与系统等相关数据,做必要之信息安全落差分析,并配合规画建置对应信息安全系统进行管理。
    • • 落实教育训练将信息安全课程列为全体员工之必修课程,每年皆需进行课程训练并要求通过测验,以强化同仁信息安全风险管理意识与认知。
    • (3) 在供货商资安管理方面,补强以下风险控制:
    • • 登入安全控管:当供货商登入存取相关系统时,系统主动提示信息安全相关讯息,除了提醒存取系统装置需要确保完成更新与启动防毒机制外,上传之档案亦需要求经过扫毒等确认才接受上传等。
    • • 加强供货商资安稽核:以现场稽核与资安问卷稽核等方式为之。因应疫情目前以资安问卷稽核为主,提示供货商资安相关问题,要求依照资安机制实施状况进行回复,并提供相关左证(截图或证明),据以加强必要之稽核,若发现缺失则要求限期改善。
    • (4) 本公司自民国97年起,即透过国际知名的保险公司投保资安险,本年度基于资安议题重要性提升及回应相关利害关系人期待,就该险种将保险金额显著提高,并加保社交工程(Social Engineering)、系统错误导致的营业中断(Network Interruption-System Failure)两类附加险,以落实风险转嫁、分散或有风险。再者,考虑资安风险不易落实国境管控的特质,将资安险的承保对象进一步扩大至本公司全球主要营运据点,相关保险金额及投保对象则参酌本公司财务状况及实际需求规划。
  • 3. 企业永续发展相关风险管理:
  • 本公司设有ESG企业永续发展委员会,其工作小组每年皆会针对环境、社会及公司治理等面向进行短、中及长期冲击评估与管理,而针对高风险的项目,将提出改善预案。评估结果及改善预案在经过各厂区管理代表核可后,经总经理同意提报董事会,主要运作情形如下:
    • (1) 持续关注气候变迁及各项节能减碳的新兴风险与机会,并且进行评估管理,以达到各项环境保护及降低能耗、减少碳排放的目的。
    • (2) 评估各厂区措施是否可能危害劳工权益、或有违反从业道德的风险,包含法规适法性、RBA会员资格要求、冲突金属尽职调查及内外部利害关系人议合等。掌握ESG新趋势,以使公司各项措施符合法规及各项要求。
    • (3) 另针对供应链风险,持续关注且要求供货商须符合本公司行为准则标准,并定期对其风险进行管控,制定各项控制措施。
  • 4. 其他风险
  • 因应严重特殊传染性炎(新冠肺炎,COVID-19)防疫风险管理,于民国109年制定因应特殊传染性肺炎防疫风险管理计划,成立防疫风险小组,推动一系列因应方案,以在疫情严重或舒缓时适度反应现状,弹性应对,以确保公司营运以及员工身心健康,具体措施有:
    • (1) 架设口罩生产线,建置口罩自行产制能力,免费提供口罩给集团企业所属员工使用。
    • (2) 设置红外线体温量测器于各出入口,以确保进厂同仁及厂商的体温符合健康标准。并于各处广设酒精手部消毒机,要求进出公司、工厂、员工餐厅人员应以酒精消毒手部。
    • (3) 加强实施环境消毒、新鲜空气量加大,开启对外对流门,以使室内外空气对流交换。加强疫情相关信息卫教倡导,访客入厂实施实名制,填具防疫调查表。
    • (4) 疫情严峻时,启动在家工作措施,因先前的规划得宜,远程办公情形均作能依计划办理进行;疫情热区同仁,亦安排居家办公。公司进阶实施分栋、分层分区管制,降低交叉感染风险,各部门指派专人执行跨区活动,暂停公司公共区使用(如餐厅、大厅、公共会议室、健身房等);禁止访客入厂及同仁外出拜访客户,使用视频会议替代群聚开会;减少群聚接触、维持社交距离,为降低上下班尖峰时间拥塞,人员聚集的风险,扩大上下班时段的弹性,同仁可选择在上午七点至九点间到班,工时满八小时后即可下班,以降低交叉感染的风险,维护公司生产力。
    • (5) 关闭员工餐厅用餐区,全面改由系统订餐并在个人座位用餐,以防止群聚可能带来的风险,停止员工海外差旅行程等。每周发送二至三封防疫管制倡导事项,提醒同仁提高警觉,配合公司的防疫政策。
    • (6) 实施疫调并公告防疫专线供同仁来电询问相关防疫事宜。同仁如有家人或密切接触者被居家隔离或有风险,可能影响同仁以及职场安全者,均令其居家办公,无法居家办公者给予有薪防疫假居家自主管理。如有同仁因同住家人染疫被居家隔离者,立即启动办公环境消毒,并安排PCR检测,以第一时间掌握可能状况。
    • (7) 内部系统发送「自主健康回报」防疫调查表,请同仁自评自我身心状况,了解同仁以及密切接触者的可能风险,以进一步管控可能危害公司及同仁健康的影响事项。如有异常时,由公司医护人员进行关怀并执行后续追踪,以确认同仁身心健康。
    • (8) 鼓励接种疫苗,早日达到群体免疫目标,从优给予一日有薪疫苗接种假。