Menu

风险管理政策与程序

为确保本公司稳健经营与永续发展,依据公司营运策略与目标,界定各类风险,在可承受的风险范围内预防可能的损失,建立整体性的风险管理组织架构及风险管理机制。

本公司订定「风险管理办法」于2013 年12月27日经董事会通过,以作为本公司风险管理之最高指导原则;并于2018年12月24日增加修订BCP风险控管程序细项准则,本公司每年定期评估风险,并针对各项风险拟定风险管理政策,涵盖管理目标、组织架构、权责归属及风险管理程序等机制并落实执行,以有效辨识、衡量,及控制本公司之各项风险,将因业务活动所产生的风险控制在可接受的范围。

一、重要风险范畴

整体而言公司所面临的风险分为以下五大类:

【策略风险】因国内外总体经济情势变动、重要政策及法律变动等对公司财务业务产生之冲击。

【营运风险】包括销售集中、采购集中、法律风险、招募与留任人才之风险、科技改变及产业变化之冲击等。

【财务风险】指利率变动、汇率变动、通货膨胀、通货紧缩等情形,以及从事高风险、高杠杆投资、资金贷与他人、背书保证与衍生性商品交易等政策对公司损益之影响。

【信息安全风险】指公司重大营运信息、个人隐私数据,或是合约中要求必须保护的客户数据等,遭受计算机病毒、黑客入侵、企业内部及外部的各种信息安全威胁,导致信息外泄等风险。

【其他风险】非属前项第一款至第四款所列,如气候变迁或环保协议等风险因素,惟预期对公司财务、业务产生一定程度冲击之风险。

二、组织架构

风险管理
组织架构
执掌
董事会 风险管理之最高单位,以遵循法令,推动并落实公司整体风险管理为目标,确保风险管理之有效性,并负风险管理最终责任
财务部 建构高效率及高质量之财务平台,提供透明及可信度之财务信息、营运分析及改善方案,藉由严谨控管,与适法的税务规划、信用风险控管及财务危机预测之模型,降低企业风险。
稽核室 依据风险导向之年度稽核计划,针对各作业存在或潜在风险予以复核,并负责内部控制制度之修订及推动等工作,以确保本公司进行有效之作业风险管理。
信息部 规划与健全公司的信息管理体系、负责网络信息安全控管与防护措施、提供管理阶层快速有效之营运管理信息,以降低信息安全风险。
各业务单位 各业务单位主管负有第一线风险管理之责任,负责分析及监控所属单位内之相关风险,确保风险控管机制与程序能有效执行。

 

三、风险管理程序与机制

风险控管机制 层级 风险控管方向
第一机制 各业务单位、
经办人员
负责最初作业的风险发觉、评估及管控
第二机制 营运会议或
主管会议
负责可行性评估外,亦包括各种风险的评估
第三机制 董事会
审计委员会
稽核室
稽核室负责风险之检查、评估、督导及改善追踪,并且汇整公司内部各部门风险管理之执行情形,适时提供公司风险管理报告予董事会、审计委员会。
董事会、审计委员会负责风险评估控管之决策与最终控制。

四、运作情形

本公司自2013 年12月27日经董事会通过「风险管理办法」以来,积极推动落实风险管理机制,每年一次向董事会报告重要风险评估分析表及运作情形,以重要风险评估分析表数据为次年稽核计划重点查核方向。

历年重要运作情形、当年度重要风险评估分析:

2013年12月订定「风险管理办法」。

2014年将「风险评估分析表」、「风险因子权数表」纳入稽核计划重要风险查核指标

2017年将「内控自评报告」、「年度查核缺失」等作业风险损失数据搜集,并纳入稽核计划重要风险查核指标

2018年12月订定「BCP风险控管程序细项准则」

2021年 (当年度运作情况)

本公司于2021年12月29日审计委员会议以「2021年重要风险评估分析表」、「2022年稽核计划」为依据,于会议中报告公司所面临的千变万化的风险环境、风险管理重点、风险评估及因应措施。(如下表)

重要风险 可能发生 的 风险 风险等级 % 风险 管理模式 现风险管理方式 加强及改善做法
营运风险 项目进度
掌控不佳风险
25 (2)降低风险 1.强化专业技术的训练。
2.强化掌控市场现况能力。
3.强化项目经理对各阶段工作流程规划完整性与应变能力。
4.强化项目经理对项目时程进度管控及风险掌控能力。
1. 落实先规划后实作,以避免重工造成进度损失。
2. 项目管理系统追踪每项工作执行状况。
3. 项目小组每日晨会,每天检讨并讨论进度、困难排解。
营运风险 研发数据外泄风险 20 (1)规避风险 1. 导入git server除了版本控管以外亦属分布式系统,降低对Server依赖。
2. 导入TFG针对文件及程序代码进行加密。
教育同仁
1. 理解资安风险,防范意外性的数据泄漏。
2. 针对email更有警觉性,以避免病毒入侵。
3. 同仁需清楚刻意泄漏机密需承担什么后果。
营运风险 人才流动风险 12 (2)降低风险 1. 具吸引力的薪酬与福利制度。
2. 不定期员工关怀,安定潜在浮动人员。
3. 提供晋升管道与专业技能提升机制。
4. 塑造公司向心力及良好职场氛围。
5. 适时的给予奖励,使同仁有成就感。
1. 定期检视就业市场薪酬水平,并依实际营运状况适时调整福利措施。
2. 落实及推动指北针计划,健全人才职能及管理技能培训。
3. 规划菁英培育及留任计划。
4. Job rotate, 避免一直做相似的工作,提供同仁接触其他领域的学习机会。
5. 举办小型活动或聚餐激发工作以外之情谊,藉以凝聚公司向心力。
信息安全风险 *内部资安风险
- 数据泄密防护
12 (2)降低风险 1. 全面使用TFG(Total File Guard)系统,将内部文件加密。
2. 全面使用ESET软件管控USB移动式储存设备使用。
3. 文件携出保全:TFG + 签核申请。
4. 员工上网管制,根据工作需要申请上网。
5. Forti 防火墙管制因特网使用。
6. Forti 管制可联机网站及联机记录。
7. 厂内开发文管系统, 集中管制重要文件档案及权限管理。
8. 使用 WINDOWS AD 系统进行PC端账号管理及周边存取管制。
9. 群组网段管理、区域资安分级管理。
10.加入以部门楼层切割网段进行权限有效管理,已有区域资安分级管理。
. 安排Forti防火墙定期升级与相关资安建置。
2. 追踪研发公用计算机网页记录,若使用网页AI软件,是否不慎泄密。
3. 112年12月上线服务器流量监控软件 Xymon。
风险等级超过10以上者,列为首要重要风险评估事项。 (A)风险发生频率/可能性 (B)风险影响程度(冲击&复原成本)

本公司于2021年8月03日分别向各部门主管及董事针对BCP风险控管程序细项准则教育训练,强化风险控管重要性。

日期 对象/地点 上课时数 人数
2021.8.3 全体董事/6楼 30分钟 9人(1人为视讯)
2021.8.3 各部门主管/B1五味食堂 30分钟 25人