風險管理政策與程序
為確保本公司穩健經營與永續發展,依據公司營運策略與目標,界定各類風險,在可承受的風險範圍內預防可能的損失,建立整體性的風險管理組織架構及風險管理機制。
本公司訂定「風險管理辦法」於102 年12月27日經董事會通過,以作為本公司風險管理之最高指導原則;並於107年12月24日增加修訂BCP風險控管程序細項準則,本公司每年定期評估風險,並針對各項風險擬定風險管理政策,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,以有效辨識、衡量,及控制本公司之各項風險,將因業務活動所產生的風險控制在可接受的範圍。
一、重要風險範疇
整體而言公司所面臨的風險分為以下五大類:
【策略風險】因國內外總體經濟情勢變動、重要政策及法律變動等對公司財務業務產生之衝擊。
【營運風險】包括銷售集中、採購集中、法律風險、招募與留任人才之風險、科技改變及產業變化之衝擊等。
【財務風險】指利率變動、匯率變動、通貨膨脹、通貨緊縮等情形,以及從事高風險、高槓桿投資、資金貸與他人、背書保證與衍生性商品交易等政策對公司損益之影響。
【資訊安全風險】指公司重大營運資訊、個人隱私資料,或是合約中要求必須保護的客戶資料等,遭受電腦病毒、駭客入侵、企業內部及外部的各種資訊安全威脅,導致資訊外洩等風險。
【其他風險】非屬前項第一款至第四款所列,如氣候變遷或環保協議等風險因素,惟預期對公司財務、業務產生一定程度衝擊之風險。
二、組織架構
| 風險管理 組織架構 |
執掌 |
| 董事會 | 風險管理之最高單位,以遵循法令,推動並落實公司整體風險管理為目標,確保風險管理之有效性,並負風險管理最終責任 |
| 財務部 | 建構高效率及高品質之財務平台,提供透明及可信度之財務資訊、營運分析及改善方案,藉由嚴謹控管,與適法的稅務規劃、信用風險控管及財務危機預測之模型,降低企業風險。 |
| 稽核室 | 依據風險導向之年度稽核計畫,針對各作業存在或潛在風險予以複核,並負責內部控制制度之修訂及推動等工作,以確保本公司進行有效之作業風險管理。 |
| 資訊部 | 規劃與健全公司的資訊管理體系、負責網路資訊安全控管與防護措施、提供管理階層快速有效之營運管理資訊,以降低資訊安全風險。 |
| 各業務單位 | 各業務單位主管負有第一線風險管理之責任,負責分析及監控所屬單位內之相關風險,確保風險控管機制與程序能有效執行。 |
三、風險管理程序與機制
| 風險控管機制 | 層級 | 風險控管方向 |
| 第一機制 | 各業務單位、 經辦人員 |
負責最初作業的風險發覺、評估及管控 |
| 第二機制 | 營運會議或 主管會議 |
負責可行性評估外,亦包括各種風險的評估 |
| 第三機制 | 董事會 審計委員會 稽核室 |
稽核室負責風險之檢查、評估、督導及改善追蹤,並且彙整公司內部各部門風險管理之執行情形,適時提供公司風險管理報告予董事會、審計委員會。 董事會、審計委員會負責風險評估控管之決策與最終控制。 |
四、運作情形
本公司於113年12月19日以「113年重要風險評估分析表」為依據,於審計委員會及董事會議中報告公司所面臨的風險環境、風險管理重點、風險評估及因應措施。(如下表)
| 重要風險 | 可能發生 的 風險 | 風險等級 % | 風險 管理模式 | 現風險管理方式 | 加強及改善做法 |
| 營運風險 | 專案進度 掌控不佳風險 |
25 | (2)降低風險 | 1.強化專業技術的訓練。 2.強化掌控市場現況能力。 3. 強化專案經理對各階段工作流程規劃完整性、專案時程進度管控、風險掌控與應變能力。 |
1. 落實先規劃後實作,以避免重工造成進度損失。 2. 專案管理系統追蹤每項工作執行狀況。 3. 專案小組每日晨會,每天檢討並討論進度、困難排解。 4. 聘請外部講師進行「專案管理」課程。 |
| 營運風險 | 研發資料外洩風險 | 20 | (1)規避風險 | 1. 導入git server除了版本控管以外亦屬分散式系統,降低對Server依賴。 2. 導入TFG針對文件及程式碼進行加密。 |
教育同仁 1. 理解資安風險,防範意外性的資料洩漏。 2. 針對email更有警覺性,以避免病毒入侵。 3. 同仁需清楚刻意洩漏機密需承擔什麼後果。 |
| 營運風險 | 人才流動風險 | 12 | (2)降低風險 | 1. 具吸引力的薪酬與福利制度。 2. 不定期員工關懷,安定潛在浮動人員。 3. 提供晉升管道與專業技能提昇機制。 4. 塑造公司向心力及良好職場氛圍。 5. 適時的給予獎勵,使同仁有成就感。 6. 舉辦教育訓練,使同仁能有不斷成長學習環境及空間。 |
1. 定期檢視就業市場薪酬水平,並依實際營運狀況適時調整福利措施。 2. 落實及推動指北針計畫,健全人才職能及管理技能培訓。 3. 規劃菁英培育及留任計畫。 4. Job rotate, 避免一直做相似的工作,提供同仁接觸其他領域學習機會。 5. 舉辦小型活動或聚餐激發工作以外之情誼,藉以凝聚公司向心力。 6. 針對近期特殊貢獻同仁給予激勵獎金。 |
| 資訊安全風險 | 外部資安風險 (駭客、病毒入侵) | 12 | (2)降低風險 (5)風險轉嫁 |
1. 使用Forti 防火牆管制, 升級SSLVPN Patch 並限制非必要SSLVPN連線。 2. 全面使用 ESET軟體管控 3. 由人員統計防火牆與病毒記錄。 4. 2022投入OPEN Find升級郵件過濾管控。 5. Jul'24執行弱掃與社交工程演練, 分析內部風險教育訓練與外部風險威脅。 |
1. 老舊防火牆停止服務採購新Forti防火牆與升級與搭配原廠防毒防駭管理資安建置。 2. SSLVPN遠端連線導入多因子認證。 3. 雲世代防火牆(監控管理)。 4. 相關監控記錄管控。 5. 風險轉嫁建議: 使用相關雲端Solution, 透過雲端監控與管理方案。 |
| 資訊安全風險 | 內部資安風險 (資料洩密防護) | 12 | (2)降低風險 | 1. 全面使用TFG(Total File Guard)系統,將內部文件加密。 2. 全面使用ESET軟體管控USB移動式儲存設備使用。 3. 文件攜出保全:TFG + 簽核申請。 4. 員工上網管制,根據工作需要提出申請。全公司限制外網(白名單開放), 檔案以TFG加密, 已避免上傳檔案風險。 5. Forti 防火牆管制網際網路使用。 6. Forti 管制可連線網站及連線記錄。 7. 廠內開發文管系統, 集中管制重要文件檔案及權限管理。 8. 使用 WINDOWS AD 系統進行PC端帳號管理及周邊存取管制。 9. 群組網段管理。 10.加入以部門樓層切割網段進行權限有效管理,已有區域資安分級管理。 |
1. 必要升級TFG(新版gopatrol)。 2. 導入檔案作業紀錄管理;並大幅盤點、執行限縮權限。 3. 訂定新解密流程: 由主管審閱及主管解密教育訓練。 4. 新建解密文件備存機制,並由稽核抽查。 5. TFG原廠於2024支援新工具系統與環境問題 建議升級。 6. 白名單開放之同仁,儲存管理上網紀錄與檔案傳輸內容。 7. 評估導入tsmc供應商管理建議的RBI。 8. 評估實體防火牆分割網段資安分級。 |
| 風險等級超過10以上者,列為首要重要風險評估事項。 (A)風險發生頻率/可能性 (B)風險影響程度(衝擊&復原成本) | |||||
本公司於110年8月03日分別向各部門主管及董事針對BCP風險控管程序細項準則教育訓練,強化風險控管重要性。
| 日期 | 對象/地點 | 上課時數 | 人數 |
| 110.8.3 | 全體董事/6樓 | 30分鐘 | 9人(1人為視訊) |
| 110.8.3 | 各部門主管/B1五味食堂 | 30分鐘 | 25人 |
