风险管理政策与程序
为确保本公司稳健经营与永续发展,依据公司营运策略与目标,界定各类风险,在可承受的风险范围内预防可能的损失,建立整体性的风险管理组织架构及风险管理机制。
本公司订定「风险管理办法」于2013 年12月27日经董事会通过,以作为本公司风险管理之最高指导原则;并于2018年12月24日增加修订BCP风险控管程序细项准则,本公司每年定期评估风险,并针对各项风险拟定风险管理政策,涵盖管理目标、组织架构、权责归属及风险管理程序等机制并落实执行,以有效辨识、衡量,及控制本公司之各项风险,将因业务活动所产生的风险控制在可接受的范围。
一、重要风险范畴
整体而言公司所面临的风险分为以下五大类:
【策略风险】因国内外总体经济情势变动、重要政策及法律变动等对公司财务业务产生之冲击。
【营运风险】包括销售集中、采购集中、法律风险、招募与留任人才之风险、科技改变及产业变化之冲击等。
【财务风险】指利率变动、汇率变动、通货膨胀、通货紧缩等情形,以及从事高风险、高杠杆投资、资金贷与他人、背书保证与衍生性商品交易等政策对公司损益之影响。
【信息安全风险】指公司重大营运信息、个人隐私数据,或是合约中要求必须保护的客户数据等,遭受计算机病毒、黑客入侵、企业内部及外部的各种信息安全威胁,导致信息外泄等风险。
【其他风险】非属前项第一款至第四款所列,如气候变迁或环保协议等风险因素,惟预期对公司财务、业务产生一定程度冲击之风险。
二、组织架构
| 风险管理 组织架构 |
执掌 |
| 董事会 | 风险管理之最高单位,以遵循法令,推动并落实公司整体风险管理为目标,确保风险管理之有效性,并负风险管理最终责任 |
| 财务部 | 建构高效率及高质量之财务平台,提供透明及可信度之财务信息、营运分析及改善方案,藉由严谨控管,与适法的税务规划、信用风险控管及财务危机预测之模型,降低企业风险。 |
| 稽核室 | 依据风险导向之年度稽核计划,针对各作业存在或潜在风险予以复核,并负责内部控制制度之修订及推动等工作,以确保本公司进行有效之作业风险管理。 |
| 信息部 | 规划与健全公司的信息管理体系、负责网络信息安全控管与防护措施、提供管理阶层快速有效之营运管理信息,以降低信息安全风险。 |
| 各业务单位 | 各业务单位主管负有第一线风险管理之责任,负责分析及监控所属单位内之相关风险,确保风险控管机制与程序能有效执行。 |
三、风险管理程序与机制
| 风险控管机制 | 层级 | 风险控管方向 |
| 第一机制 | 各业务单位、 经办人员 |
负责最初作业的风险发觉、评估及管控 |
| 第二机制 | 营运会议或 主管会议 |
负责可行性评估外,亦包括各种风险的评估 |
| 第三机制 | 董事会 审计委员会 稽核室 |
稽核室负责风险之检查、评估、督导及改善追踪,并且汇整公司内部各部门风险管理之执行情形,适时提供公司风险管理报告予董事会、审计委员会。 董事会、审计委员会负责风险评估控管之决策与最终控制。 |
四、运作情形
本公司于113年12月19日以「113年重要风险评估分析表」为依据,于审计委员会及董事会议中报告公司所面临的风险环境、风险管理重点、风险评估及因应措施。(如下表)
| 重要风险 | 可能发生 的 风险 | 风险等级 % | 风险 管理模式 | 现风险管理方式 | 加强及改善做法 |
| 营运风险 | 项目进度 掌控不佳风险 |
25 | (2)降低风险 | 1.强化专业技术的训练。 2.强化掌控市场现况能力。 3. 强化项目经理对各阶段工作流程规划完整性、项目时程进度管控、风险掌控与应变能力。 |
1. 落实先规划后实作,以避免重工造成进度损失。 2. 项目管理系统追踪每项工作执行状况。 3. 项目小组每日晨会,每天检讨并讨论进度、困难排解。 4. 聘请外部讲师进行「项目管理」课程。 |
| 营运风险 | 研发数据外泄风险 | 20 | (1)规避风险 | 1. 导入git server除了版本控管以外亦属分布式系统,降低对Server依赖。 2. 导入TFG针对文件及程序代码进行加密。 |
教育同仁 1. 理解资安风险,防范意外性的数据泄漏。 2. 针对email更有警觉性,以避免病毒入侵。 3. 同仁需清楚刻意泄漏机密需承担什么后果。 |
| 营运风险 | 人才流动风险 | 12 | (2)降低风险 | 1. 具吸引力的薪酬与福利制度。 2. 不定期员工关怀,安定潜在浮动人员。 3. 提供晋升管道与专业技能提升机制。 4. 塑造公司向心力及良好职场氛围。 5. 适时的给予奖励,使同仁有成就感。 6. 举办教育训练,使同仁能有不断成长学习环境及空间。 |
1. 定期检视就业市场薪酬水平,并依实际营运状况适时调整福利措施。 2. 落实及推动指北针计划,健全人才职能及管理技能培训。 3. 规划菁英培育及留任计划。 4. Job rotate, 避免一直做相似的工作,提供同仁接触其他领域学习机会。 5. 举办小型活动或聚餐激发工作以外之情谊,藉以凝聚公司向心力。 6. 针对近期特殊贡献同仁给予激励奖金。 |
| 信息安全风险 | 外部资安风险 (黑客、病毒入侵) | 12 | 外部资安风险 (黑客、病毒入侵 | 1. 使用Forti 防火墙管制, 升级SSLVPN Patch 并限制非必要SSLVPN联机。 2. 全面使用 ESET软件管控 3. 由人员统计防火墙与病毒记录。 4. 2022投入OPEN Find升级邮件过滤管控。 5. Jul'24执行弱扫与社交工程演练, 分析内部风险教育训练与外部风险威胁。 |
1. 老旧防火墙停止服务采购新Forti防火墙与升级与搭配原厂防毒防骇管理资安建置。 2. SSLVPN远程联机导入多因子认证。 3. 云世代防火墙(监控管理)。 4. 相关监控记录管控。 5. 风险转嫁建议: 使用相关云端Solution, 透过云端监控与管理方案。 |
| 信息安全风险 | 内部资安风险 (数据泄密防护) | 12 | (2)降低风险 | 1. 全面使用TFG(Total File Guard)系统,将内部文件加密。 2. 全面使用ESET软件管控USB移动式储存设备使用。 3. 文件携出保全:TFG + 签核申请。 4. 员工上网管制,根据工作需要提出申请。全公司限制外网(白名单开放), 档案以TFG加密, 已避免上传档案风险。 5. Forti 防火墙管制因特网使用。 6. Forti 管制可联机网站及联机记录。 7. 厂内开发文管系统, 集中管制重要文件档案及权限管理。 8. 使用 WINDOWS AD 系统进行PC端账号管理及周边存取管制。 9. 群组网段管理。 10.加入以部门楼层切割网段进行权限有效管理,已有区域资安分级管理。 |
1. 必要升级TFG(新版gopatrol)。 2. 导入档案作业纪录管理;并大幅盘点、执行限缩权限。 3. 订定新解密流程: 由主管审阅及主管解密教育训练。 4. 新建解密文件备存机制,并由稽核抽查。 5. TFG原厂于2024支持新工具系统与环境问题 建议升级。 6. 白名单开放之同仁,储存管理上网纪录与文件传输内容。 7. 评估导入tsmc供货商管理建议的RBI。 8. 评估实体防火墙分割网段资安分级。 |
| 風險等級超過10以上者,列為首要重要風險評估事項。 (A)風險發生頻率/可能性 (B)風險影響程度(衝擊&復原成本)风险等级超过10以上者,列为首要重要风险评估事项。 (A)风险发生频率/可能性 (B)风险影响程度(冲击&复原成本) | |||||
