公司治理

组织架构 董事会及功能性委员会 重要内規 内部稽核 风险管理 知识产权管理
风险管理

风险管理是维护企业经营的重要环节,本公司正视风险的存在,更致力执行降低风险的各项政策与措施,以此为利害关系人创造永续价值,并创造公司营运机会。为有效强化风险管理,长期关注产业趋势及市场变动,掌握风险变化趋势,并针对重大潜在风险情境进行管控策略与作法之拟定,定期确认与追踪检核成效,在可接受风险之状况下,追求管理成本效益优化 。

本公司及各子公司在从事营运活动时,应从企业永续经营的角度审慎检视内外部可能之风险,依循本公司「风险管理政策与程序」订定相关作业规范,以辨识、衡量、控制及监督各项业务之潜在风险、落实风险管理机制之运作,提升风险管理分工之效能。

风险管理组织架构

本公司透过企业社会责任委员会,负责整合全公司风险,并透过业务、各厂区制造单位、研发、安卫管理、财管、资材、质量、人力资源、信息等单位及法务与稽核之参与,针对公司内外部发生潜在损失的可能性与可能的幅度进行风险认知与鉴别分析,进而达到避免潜在的损失危险、预防损失或降低损失幅度等风险控制,以落实分权分责之风险控制与稽查管理。

针对整体风险的辨析、预防及监控或重大风险管控议题,每年至少一次向董事会进行呈报。

风险管理范畴

本公司风险管理范畴包括但不限于营运风险、市场风险、环安卫风险、财务风险、人力资源风险、资安风险与其他可能使公司产生重大损失之风险,并持续关注国内外风险发展情事以掌握风险趋势,辨识新兴风险。

本公司风险管理流程包括:风险范畴辨识、风险分析衡量、风险改善监控、风险报告与揭露。
风险鉴别与 因应策略
风险类别关注重点因应策略
业务风险市场竞争及产品策略聚焦与收敛产品组合,以有限的资源做最佳的配置,并发展高价值产品提高产品竞争优势。强化市场信息的搜集以发展新技术及开拓新客户、并透过策略结盟与合作积极推动新业务。
库存呆料风险加强客户沟通与监控机制,掌握市场供需趋势。强化内部产销协调机制及供应链交期,实时反应与调整,降低呆料风险。
制造风险断料风险建立永绩供应链伙伴关系,并依客户需求审慎并积极开发Second Source。
研发风险技术开发掌握市场趋势提前布局新产品与核心技术应用开发,并确保研发速度与成本控管。
知识产权建立知识产权保全与管理规范、防范知识产权侵权风险。
环安卫风险灾害风险建立环安卫管理系统与作业程序标准化,并定期举行消防疏散演练及各类教育训练。
环境及气候变迁持续进行温室气体盘查与推动节能措施。
法规变更掌握并遵守各项法规规范与国际准则,确保公司各项环保政策与规范符合法规规范。
财务风险汇率风险掌握外汇市场趋势,密切观察外币汇率变化。
信用风险依据公司信用管理规章及客户财务状况,掌握客户信用额度。
信息风险信息系统异常建置硬件备援与数据备份机制,并持续监控与侦测系统,强化各项异常通报管理。
机密资料泄露强化资安管理与防火墙安全,并于公司内持续倡导资安观念。
人力资源风险关键人才流失制定人才留任计划,确保公司营运与人才发展的永续性。
人权风险遵守各国法令并依据责任商业联盟(Responsible Business Alliance, RBA) 准则之规范,保障员工人权。
风险管理
执行情形

(一)达运精密于台湾、大陆等地区皆设有制造据点,因应2020年初兴起的新型冠状肺炎,达运精密已于疫情发生第一时间成立跨厂区跨部门的防疫应变中心,由执行长担任总指挥官。每日进行疫情实时监控与因应,包含所在地区的疫情信息回报、政府的管制措施搜集与冲击评估、生产及供应链的冲击评估、对内外防疫事项沟通与准备等。另以维持营运为目标,建立BCP备援机制。其中透过人员、场地、硬软件、财务、维运、运输、伙伴、供货商等八个面向来推动防疫重要措施;并密切与供应链及客户保持联系,机动调整产能计划。

(二)本公司透过每季一次及不定期的高阶管理阶层会议,进行公司营运结果与整体策略研讨,以持续落实风险管理范畴之风险事项辨识、分析和鉴别,强化风险应变能力,达到公司整体风险的有效控管

(三)本公司质量中心监督各单位就其所订定的相关作业规范每年必须定期检视内容,以实时辨识环境条件之变化,达到作业行为规范之有效性。

(四)本公司持续透过人员教育训练,提升全体同仁风险意识及认知,2020年相关课程如下:

课程内容2020年受训人次受训总时数
环境安全卫生教育训练5,06530,280
信息安全规范、规划与设备环境介绍4641,213
反职场不法侵害598102
基础法务知识14774
信息安全
管理架构
本公司于2018年成立「信息安全委员会」负责信息安全管理。委员会由执行长担任主任委员,各单位一级主管担任委员,信息与人力资源单位主管担任执行干事,另纳入稽核单位,支持程序与法规面之参考意见。信息单位每季召开信息安全工作会议,推行信息安全政策、规划暨执行信息安全作业;每年至少一次向「信息安全委员会」及「董事会」报告公司信息安全治理概况。
信息安全
政策
本公司信息安全政策为「保护公司智慧财产,全面提升资安意识」:

(一)制度规范:订定公司信息安全管理制度,规范人员作业行为。
本公司内部订定多项资安规范与制度,以规范本公司人员信息安全行为,每年定期检视相关制度是否符合营运环境变迁,并依需求适时调整。

(二)科技运用:建置信息安全管理设备,落实资安管理措施。
本公司为防范各种外部资安威胁,除采多层式网络架构设计外,更建置各式资安防护系统,以提升整体信息环境之安全性。此外,为确保内部人员之作业行为符合公司制度规范,亦设计作业程序和导入资安系统工具,落实人员信息安全管理措施。

(三)人员训练:进行信息安全教育训练,提升全体同仁资安意识。
本公司定期公告「信息安全管理规范」、「使用合法软件人人有责」之倡导,并实施人员信息安全教育训练课程,加强同仁资安意识。

信息安全
管理方案

本公司定期审视内部信息安全规范,并于「信息安全委员会」中报告信息安全治理概况。本公司亦遵从NIST信息安全框架,评估信息安全威胁与影响,制定安全措施提升整体信息安全环境。


信息安全重点评估如下:
● 信息架构检视
检查关于持续营运所采取的相关措施之妥适性,检查架构与维运机制是否存在单点失效之风险,以及针对业务持续运作进行风险分析,并提出信息架构安全评估之结果与建议。
● 网络活动检查
查看网络设备系统及服务器之存取纪录,账号权限之授予是否符合规范;清查识别异常纪录与确认警示机制。
● 弱点扫描
定期针对外部网站、网络设备及服务器等设备进行弱点扫描,并针对扫描结果进行改善及修补,降低整体资安风险。
● 安全设定检查
检视服务器(如:网域服务 Active Directory )关于「 Admin 权限」与「组策略派发」之异动事件,查看相关异动是否异常。
● 资安演练
面对资安威胁制定紧急应变计划,定期演练,以验证相关计划内容之可行性与有效性。确保遇到资安事件,各单位人员可依紧急计划进行应变操作,达到全公司各单位共同落实资安防范之效果。
● 邮件社交工程演练
针对公司同仁,于内部安全监控范围内,寄发演练邮件,测试、倡导及强化资通安全教育。演练目标主要在于让同仁了解使用电子邮件之风险,提高同仁防范社交工程攻击之危机意识,持续演练以降低社交工程攻击所造成的风险,达到保护客户数据及重要营运信息与服务之目的。
110年度
执行情形
本年度召开信息安全委员会议,报告信息安全政策执行情形,当年度无危害信息安全之事件。
信息安全
展望
在瞬息万变的网络安全威胁中,新兴科技的各项创新应用,已冲击既有信息安全环境,公司将持续以信息安全委员会统筹各项资安措施、恪遵法规、提高各单位信息安全管理能力、定期审视资安文件规范,以精进信息安全政策与目标,确保公司营运系统之高可用性及保障公司营业秘密。