Menu

風險管理政策與程序

為確保本公司穩健經營與永續發展,依據公司營運策略與目標,界定各類風險,在可承受的風險範圍內預防可能的損失,建立整體性的風險管理組織架構及風險管理機制。

本公司訂定「風險管理辦法」於102 年12月27日經董事會通過,以作為本公司風險管理之最高指導原則;並於107年12月24日增加修訂BCP風險控管程序細項準則,本公司每年定期評估風險,並針對各項風險擬定風險管理政策,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,以有效辨識、衡量,及控制本公司之各項風險,將因業務活動所產生的風險控制在可接受的範圍。

一、重要風險範疇

整體而言公司所面臨的風險分為以下五大類:

【策略風險】因國內外總體經濟情勢變動、重要政策及法律變動等對公司財務業務產生之衝擊。

【營運風險】包括銷售集中、採購集中、法律風險、招募與留任人才之風險、科技改變及產業變化之衝擊等。

【財務風險】指利率變動、匯率變動、通貨膨脹、通貨緊縮等情形,以及從事高風險、高槓桿投資、資金貸與他人、背書保證與衍生性商品交易等政策對公司損益之影響。

【資訊安全風險】指公司重大營運資訊、個人隱私資料,或是合約中要求必須保護的客戶資料等,遭受電腦病毒、駭客入侵、企業內部及外部的各種資訊安全威脅,導致資訊外洩等風險。

【其他風險】非屬前項第一款至第四款所列,如氣候變遷或環保協議等風險因素,惟預期對公司財務、業務產生一定程度衝擊之風險。

二、組織架構

風險管理
組織架構
執掌
董事會 風險管理之最高單位,以遵循法令,推動並落實公司整體風險管理為目標,確保風險管理之有效性,並負風險管理最終責任
財務部 建構高效率及高品質之財務平台,提供透明及可信度之財務資訊、營運分析及改善方案,藉由嚴謹控管,與適法的稅務規劃、信用風險控管及財務危機預測之模型,降低企業風險。
稽核室 依據風險導向之年度稽核計畫,針對各作業存在或潛在風險予以複核,並負責內部控制制度之修訂及推動等工作,以確保本公司進行有效之作業風險管理。
資訊部 規劃與健全公司的資訊管理體系、負責網路資訊安全控管與防護措施、提供管理階層快速有效之營運管理資訊,以降低資訊安全風險。
各業務單位 各業務單位主管負有第一線風險管理之責任,負責分析及監控所屬單位內之相關風險,確保風險控管機制與程序能有效執行。

 

三、風險管理程序與機制

風險控管機制 層級 風險控管方向
第一機制 各業務單位、
經辦人員
負責最初作業的風險發覺、評估及管控
第二機制 營運會議或
主管會議
負責可行性評估外,亦包括各種風險的評估
第三機制 董事會
審計委員會
稽核室
稽核室負責風險之檢查、評估、督導及改善追蹤,並且彙整公司內部各部門風險管理之執行情形,適時提供公司風險管理報告予董事會、審計委員會。
董事會、審計委員會負責風險評估控管之決策與最終控制。

四、運作情形

本公司於112年12月27日以「112年重要風險評估分析表」為依據,於審計委員會及董事會議中報告公司所面臨的風險環境、風險管理重點、風險評估及因應措施。(如下表)

重要風險 可能發生 的 風險 風險等級 % 風險 管理模式 現風險管理方式 加強及改善做法
營運風險 專案進度
掌控不佳風險
25 (2)降低風險 1.強化專業技術的訓練。
2.強化掌控市場現況能力。
3.強化專案經理對各階段工作流程規劃完整性與應變能力。
4.強化專案經理對專案時程進度管控及風險掌控能力。
1. 落實先規劃後實作,以避免重工造成進度損失。
2. 專案管理系統追蹤每項工作執行狀況。
3. 專案小組每日晨會,每天檢討並討論進度、困難排解。
營運風險 研發資料外洩風險 20 (1)規避風險 1. 導入git server除了版本控管以外亦屬分散式系統,降低對Server依賴。
2. 導入TFG針對文件及程式碼進行加密。
教育同仁
1. 理解資安風險,防範意外性的資料洩漏。
2. 針對email更有警覺性,以避免病毒入侵。
3. 同仁需清楚刻意洩漏機密需承擔什麼後果。
營運風險 人才流動風險 12 (2)降低風險 1. 具吸引力的薪酬與福利制度。
2. 不定期員工關懷,安定潛在浮動人員。
3. 提供晉升管道與專業技能提昇機制。
4. 塑造公司向心力及良好職場氛圍。
5. 適時的給予獎勵,使同仁有成就感。
1. 定期檢視就業市場薪酬水平,並依實際營運狀況適時調整福利措施。
2. 落實及推動指北針計畫,健全人才職能及管理技能培訓。
3. 規劃菁英培育及留任計畫。
4. Job rotate, 避免一直做相似的工作,提供同仁接觸其他領域的學習機會。
5. 舉辦小型活動或聚餐激發工作以外之情誼,藉以凝聚公司向心力。
資訊安全風險 *內部資安風險
- 資料洩密防護
12 (2)降低風險 1. 全面使用TFG(Total File Guard)系統,將內部文件加密。
2. 全面使用ESET軟體管控USB移動式儲存設備使用。
3. 文件攜出保全:TFG + 簽核申請。
4. 員工上網管制,根據工作需要申請上網。
5. Forti 防火牆管制網際網路使用。
6. Forti 管制可連線網站及連線記錄。
7. 廠內開發文管系統, 集中管制重要文件檔案及權限管理。
8. 使用 WINDOWS AD 系統進行PC端帳號管理及周邊存取管制。
9. 群組網段管理、區域資安分級管理。
10.加入以部門樓層切割網段進行權限有效管理,已有區域資安分級管理。
. 安排Forti防火牆定期升級與相關資安建置。
2. 追蹤研發公用電腦網頁記錄,若使用網頁AI軟體,是否不慎洩密。
3. 112年12月上線伺服器流量監控軟體 Xymon。
風險等級超過10以上者,列為首要重要風險評估事項。 (A)風險發生頻率/可能性 (B)風險影響程度(衝擊&復原成本)

本公司於110年8月03日分別向各部門主管及董事針對BCP風險控管程序細項準則教育訓練,強化風險控管重要性。

日期 對象/地點 上課時數 人數
110.8.3 全體董事/6樓 30分鐘 9人(1人為視訊)
110.8.3 各部門主管/B1五味食堂 30分鐘 25人