風險管理

風險管理

風險管理是維護企業經營的重要環節,本公司正視風險的存在,更致力執行降低風險的各項政策與措施,以此為利害關係人創造永續價值,並創造公司營運機會。為有效強化風險管理,長期關注產業趨勢及市場變動,掌握風險變化趨勢,並針對重大潛在風險情境進行管控策略與作法之擬定,定期確認與追蹤檢核成效,在可接受風險之狀況下,追求管理成本效益最佳化 。

本公司及各子公司在從事營運活動時,應從企業永續經營的角度審慎檢視內外部可能之風險,依循本公司「風險管理政策與程序」訂定相關作業規範,以辨識、衡量、控制及監督各項業務之潛在風險、落實風險管理機制之運作,提昇風險管理分工之效能。

風險管理組織架構

本公司透過企業社會責任委員會,負責整合全公司風險,並透過業務、各廠區製造單位、研發、安衛管理、財管、資材、品質、人力資源、資訊等單位及法務與稽核之參與,針對公司內外部發生潛在損失的可能性與可能的幅度進行風險認知與鑑別分析,進而達到避免潛在的損失危險、預防損失或降低損失幅度等風險控制,以落實分權分責之風險控制與稽查管理。

針對整體風險的辨析、預防及監控或重大風險管控議題,每年至少一次向董事會進行呈報。


風險管理範疇
本公司風險管理範疇包括但不限於營運風險、市場風險、環安衛風險、財務風險、人力資源風險、資安風險與其他可能使公司產生重大損失之風險,並持續關注國內外風險發展情事以掌握風險趨勢,辨識新興風險。

本公司風險管理流程包括:風險範疇辨識、風險分析衡量、風險改善監控、風險報告與揭露。

風險鑑別與因應策略

風險管理執行情形

(一)達運精密於台灣、大陸等地區皆設有製造據點,因應2020年初興起的新型冠狀肺炎,達運精密已於疫情發生第一時間成立跨廠區跨部門的防疫應變中心,由執行長擔任總指揮官。每日進行疫情即時監控與因應,包含所在地區的疫情資訊回報、政府的管制措施蒐集與衝擊評估、生產及供應鏈的衝擊評估、對內外防疫事項溝通與準備等。另以維持營運為目標,建立BCP備援機制。其中透過人員、場地、硬軟體、財務、維運、運輸、夥伴、供應商等八個面向來推動防疫重要措施;並密切與供應鏈及客戶保持聯繫,機動調整產能計畫。

(二)本公司透過每季一次及不定期的高階管理階層會議,進行公司營運結果與整體策略研討,以持續落實風險管理範疇之風險事項辨識、分析和鑑別,強化風險應變能力,達到公司整體風險的有效控管。

(三)本公司品質中心監督各單位就其所訂定的相關作業規範每年必須定期檢視內容,以即時辨識環境條件之變化,達到作業行為規範之有效性。

(四)本公司持續透過人員教育訓練,提昇全體同仁風險意識及認知,2020年相關課程如下:


課程內容

2020年受訓人次

受訓總時數

環境安全衛生教育訓練

5,065

30,280

資訊安全規範、規劃與設備環境介紹

464

1,213

反職場不法侵害

598

102

基礎法務知識

147

74

資訊安全

資訊安全管理架構

為提升資訊安全管理,本公司於 2018 年成立「資訊安全委員會」負責資訊安全管理。委員會由執行長擔任主任委員,各單位一級主管擔任委員,資訊與人力資源單位主管擔任執行幹事,另納入稽核單位,支援程序與法規面之參考意見。資訊單位每季召開內部資安會議,審查內部資訊安全政策、規劃暨執行資訊安全作業與資安政策推動與落實;每年至少一次向「資訊安全委員會」及「董事會」報告公司資訊安全治理概況。

資訊安全政策

本公司資訊安全政策,包含以下三個面向:

 

(一)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。

 本公司內部訂定多項資安規範與制度,以規範本公司人員資訊安全行為,每年定期檢視相關制度是否符合營運環境變遷,並依需求適時調整。

 

(二)科技運用:建置資訊安全管理設備,落實資安管理措施。

 本公司為防範各種外部資安威脅,除採多層式網路架構設計外,更建置各式資安防護系統,以提昇整體資訊環境之安全性。此外,為確保內部人員之作業行為符合公司制度規範,亦設計作業程序和導入資安系統工具,落實人員資訊安全管理措施。

 

(三)人員訓練:進行資訊安全教育訓練,提昇全體同仁資安意識。

 本公司每季定期實施新進人員資訊安全教育訓練實務課程,並建置線上學習 - 資訊安全課程,藉以提昇內部人員資安知識。

 

資訊安全管理方案

本公司定期審視內部資訊安全規範,並於「資訊安全委員會」中報告資訊安全治理概況。本公司亦遵從 ISO27001 NIST 資訊安全框架,評估資訊安全威脅與影響,分析內部風險水平,並以此風險評估結果制定安全措施強化項目,精進且提升整體資訊安全環境。

資訊安全重點評估如下 :

資訊架構檢視 - 檢查關於持續營運所採取的相關措施之妥適性,檢查相關措施之架構與維運機制是否存在單點失效之風險,以及針對業務持續運作之適當適度性進行風險分析,並提出資訊架構安全評估之結果與建議。

網路活動檢查 - 查看設備之存取紀錄及帳號權限查看網路設備,資安設備及伺服器之存取紀錄,帳號權限之授予與監控機制是否符合內控作業規範;以最小權限原則清查這些設備之帳號權限及存取紀錄,識別異常紀錄與確認警示機制。

外部網站、網路設備及伺服器等設備安全檢測 - 弱點掃描與修補作業定期執行,並針對所發現的弱點進行改善,修補作業。針對掃描結果提出的評估建議,重點在於尋找架構中可能存在的弱點與突破,改善及修補,降低整體資安風險。

安全設定檢查 - 檢視伺服器(如:網域服務 Active Directory )關於「 Admin 權限」與「群組原則派發」之異動事件,透過工具分析及人工作業,查看相關異動是否異常。

資安演練 - 面對資安威脅制定緊急應變計畫,定期演練,以驗證相關計畫內容是否可落地。確保遇到資安事件,可依緊急計畫內容,有相關負責人員進行應變操作。畢竟,資安不只是 IT 部門的事,而是全公司、每個人的責任。

郵件社交工程演練 - 針對公司同仁,於內部安全監控範圍內,寄發演練郵件,測試,宣導及強化資通安全教育。演練目標主要在於讓同仁了解使用電子郵件之風險,提高同仁防範社交工程攻擊之危機意識,持續演練以降低社交工程攻擊所造成的風險,達到保護客戶資料及重要營運資訊與服務之目的。

資訊安全展望

在瞬息萬變的網路安全威脅中,新興科技的各項創新應用,已衝擊既有資訊安全環境,公司將持續以資訊安全委員會統籌各項資安措施、恪遵法規、提高各單位資訊安全管理能力、定期審視資安文件規範,以精進資訊安全政策與目標,確保公司營運系統之高可用性及保障公司營業秘密。

智慧財產管理計畫

本公司鼓勵創新,持續激勵員工提出發明申請,透過獎勵制度、評審機制等執行層面的落實,保護公司研發成果及未來技術布局。

為維護本公司發展的技術優勢與各項新產品核心能力,本公司已訂定結合公司營運目標與研發資源的智慧財產策略,建立一套籍由智慧財產權管理來創造公司價值的運作模式,其重要內容包括:

專利管理

本公司建立系統化的智慧財產管理制度,由研發單位進行技術開發、製造單位進行新製程與新材料開發,兼顧專利申請的數量與品質,並透過建立專業審查機制、良好專利分級、精實管理,確保公司技術持續發展。

營業秘密保護

本公司致力於機密資料之保護已行之有年,除了對外部客戶或供應商必要時簽訂保密協定,以保護產品資訊與技術機密外,公司內部亦持續強化機密資料管理。在智慧財產管理辦法中,規範人員開發對於技術、製程、配方、程式、設計或其他可用於本公司生產、銷售或經營之資訊,若未能公開申請專利者,亦應建立營業秘密並進行管理保護。

公司持續對全體員工宣導營業秘密保護觀念及教育訓練,敦促全體員工遵照公司規定履行保密義務,若人員違反保密政策或相關規定者,本公司亦會視個案情況予以懲處,並要求該人員承擔法律責任。

此外,資訊部門在資訊安全相關的防範措施進行強化,對於所有接入廠內之終端設備,皆透過實時監控管理,辨識內部網路裝置並封鎖不明外來設備,有效、即時且自動偵測公司內異常事件,並自動發出示警訊息或報告,以利及時處置並杜絕可能的風險。

執行情形

本公司積極推動智慧財產管理計畫,近年來主要執行情形如下:

2010年公佈智財權管理辦法,明定專利提案、審查、申請流程及獎勵方案。

2015年修訂智財權管理辦法,主要增列專利分級制度及獎勵方案。

2017年明定專利課程列為研發同仁必修課程,受訓研發同仁共242人。

2020年舉辦專利提案競賽,鼓勵同仁踴躍提案。

2020年不定期開立專利課程,受訓新進研發同仁共15人。

2020年優化專利管理系統,從專利提案、專利申請後,直接產生獎勵申請,縮短專利獎勵時間,以達及時激勵員工之目的。

 

目前取得智財清單與成果如下:

2020專利提案共31件,通過專利評審共16件,專利申請10件,專利獲准共9件。

截至 2020年底,公司於全球專利申請總數已累積近 481件,專利獲准總數已達362件,營業秘密累積5件。

針對智慧財產管理計畫或重大執行情形等,每年至少一次向董事會進行呈報。