風險管理政策與程序
為確保本公司穩健經營與永續發展,依據公司營運策略與目標,界定各類風險,在可承受的風險範圍內預防可能的損失,建立整體性的風險管理組織架構及風險管理機制。
本公司訂定「風險管理辦法」於102 年12月27日經董事會通過,以作為本公司風險管理之最高指導原則;並於107年12月24日增加修訂BCP風險控管程序細項準則,本公司每年定期評估風險,並針對各項風險擬定風險管理政策,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,以有效辨識、衡量,及控制本公司之各項風險,將因業務活動所產生的風險控制在可接受的範圍。
一、重要風險範疇
整體而言公司所面臨的風險分為以下五大類:
【策略風險】因國內外總體經濟情勢變動、重要政策及法律變動等對公司財務業務產生之衝擊。
【營運風險】包括銷售集中、採購集中、法律風險、招募與留任人才之風險、科技改變及產業變化之衝擊等。
【財務風險】指利率變動、匯率變動、通貨膨脹、通貨緊縮等情形,以及從事高風險、高槓桿投資、資金貸與他人、背書保證與衍生性商品交易等政策對公司損益之影響。
【資訊安全風險】指公司重大營運資訊、個人隱私資料,或是合約中要求必須保護的客戶資料等,遭受電腦病毒、駭客入侵、企業內部及外部的各種資訊安全威脅,導致資訊外洩等風險。
【其他風險】非屬前項第一款至第四款所列,如氣候變遷或環保協議等風險因素,惟預期對公司財務、業務產生一定程度衝擊之風險。
二、組織架構
風險管理 組織架構 |
執掌 |
董事會 | 風險管理之最高單位,以遵循法令,推動並落實公司整體風險管理為目標,確保風險管理之有效性,並負風險管理最終責任 |
財務部 | 建構高效率及高品質之財務平台,提供透明及可信度之財務資訊、營運分析及改善方案,藉由嚴謹控管,與適法的稅務規劃、信用風險控管及財務危機預測之模型,降低企業風險。 |
稽核室 | 依據風險導向之年度稽核計畫,針對各作業存在或潛在風險予以複核,並負責內部控制制度之修訂及推動等工作,以確保本公司進行有效之作業風險管理。 |
資訊部 | 規劃與健全公司的資訊管理體系、負責網路資訊安全控管與防護措施、提供管理階層快速有效之營運管理資訊,以降低資訊安全風險。 |
各業務單位 | 各業務單位主管負有第一線風險管理之責任,負責分析及監控所屬單位內之相關風險,確保風險控管機制與程序能有效執行。 |
三、風險管理程序與機制
風險控管機制 | 層級 | 風險控管方向 |
第一機制 | 各業務單位、 經辦人員 |
負責最初作業的風險發覺、評估及管控 |
第二機制 | 營運會議或 主管會議 |
負責可行性評估外,亦包括各種風險的評估 |
第三機制 | 董事會 審計委員會 稽核室 |
稽核室負責風險之檢查、評估、督導及改善追蹤,並且彙整公司內部各部門風險管理之執行情形,適時提供公司風險管理報告予董事會、審計委員會。 董事會、審計委員會負責風險評估控管之決策與最終控制。 |
四、運作情形
本公司於112年12月27日以「112年重要風險評估分析表」為依據,於審計委員會及董事會議中報告公司所面臨的風險環境、風險管理重點、風險評估及因應措施。(如下表)
重要風險 | 可能發生 的 風險 | 風險等級 % | 風險 管理模式 | 現風險管理方式 | 加強及改善做法 |
營運風險 | 專案進度 掌控不佳風險 |
25 | (2)降低風險 | 1.強化專業技術的訓練。 2.強化掌控市場現況能力。 3.強化專案經理對各階段工作流程規劃完整性與應變能力。 4.強化專案經理對專案時程進度管控及風險掌控能力。 |
1. 落實先規劃後實作,以避免重工造成進度損失。 2. 專案管理系統追蹤每項工作執行狀況。 3. 專案小組每日晨會,每天檢討並討論進度、困難排解。 |
營運風險 | 研發資料外洩風險 | 20 | (1)規避風險 | 1. 導入git server除了版本控管以外亦屬分散式系統,降低對Server依賴。 2. 導入TFG針對文件及程式碼進行加密。 |
教育同仁 1. 理解資安風險,防範意外性的資料洩漏。 2. 針對email更有警覺性,以避免病毒入侵。 3. 同仁需清楚刻意洩漏機密需承擔什麼後果。 |
營運風險 | 人才流動風險 | 12 | (2)降低風險 | 1. 具吸引力的薪酬與福利制度。 2. 不定期員工關懷,安定潛在浮動人員。 3. 提供晉升管道與專業技能提昇機制。 4. 塑造公司向心力及良好職場氛圍。 5. 適時的給予獎勵,使同仁有成就感。 |
1. 定期檢視就業市場薪酬水平,並依實際營運狀況適時調整福利措施。 2. 落實及推動指北針計畫,健全人才職能及管理技能培訓。 3. 規劃菁英培育及留任計畫。 4. Job rotate, 避免一直做相似的工作,提供同仁接觸其他領域的學習機會。 5. 舉辦小型活動或聚餐激發工作以外之情誼,藉以凝聚公司向心力。 |
資訊安全風險 | *內部資安風險 - 資料洩密防護 |
12 | (2)降低風險 | 1. 全面使用TFG(Total File Guard)系統,將內部文件加密。 2. 全面使用ESET軟體管控USB移動式儲存設備使用。 3. 文件攜出保全:TFG + 簽核申請。 4. 員工上網管制,根據工作需要申請上網。 5. Forti 防火牆管制網際網路使用。 6. Forti 管制可連線網站及連線記錄。 7. 廠內開發文管系統, 集中管制重要文件檔案及權限管理。 8. 使用 WINDOWS AD 系統進行PC端帳號管理及周邊存取管制。 9. 群組網段管理、區域資安分級管理。 10.加入以部門樓層切割網段進行權限有效管理,已有區域資安分級管理。 |
. 安排Forti防火牆定期升級與相關資安建置。 2. 追蹤研發公用電腦網頁記錄,若使用網頁AI軟體,是否不慎洩密。 3. 112年12月上線伺服器流量監控軟體 Xymon。 |
風險等級超過10以上者,列為首要重要風險評估事項。 (A)風險發生頻率/可能性 (B)風險影響程度(衝擊&復原成本) |
本公司於110年8月03日分別向各部門主管及董事針對BCP風險控管程序細項準則教育訓練,強化風險控管重要性。
日期 | 對象/地點 | 上課時數 | 人數 |
110.8.3 | 全體董事/6樓 | 30分鐘 | 9人(1人為視訊) |
110.8.3 | 各部門主管/B1五味食堂 | 30分鐘 | 25人 |