公司治理

组织架构 董事会及功能性委员会 重要内規 内部稽核 风险管理 知识产权管理
风险管理

风险管理是维护企业经营的重要环节,本公司正视风险的存在,更致力执行降低风险的各项政策与措施,以此为利害关系人创造永续价值,并创造公司营运机会。为有效强化风险管理,长期关注产业趋势及市场变动,掌握风险变化趋势,并针对重大潜在风险情境进行管控策略与作法之拟定,定期确认与追踪检核成效,在可接受风险之状况下,追求管理成本效益优化 。

本公司及各子公司在从事营运活动时,应从企业永续经营的角度审慎检视内外部可能之风险,依循本公司「风险管理政策与程序」订定相关作业规范,以辨识、衡量、控制及监督各项业务之潜在风险、落实风险管理机制之运作,提升风险管理分工之效能。

本公司订有环安卫管理制度及环安卫政策,并于全公司及各厂区设置职业安全卫生委员会,其风险评估项目包括:职业安全卫生、自动检查、作业环境监测、危害物管理、温室气体排放政策与管理、资源管理、灾害应变演练及教育训练等。

风险管理组织架构

本公司透过永续发展委员会,负责整合全公司风险,并透过业务、各厂区制造单位、研发、安卫管理、财管、资材、质量、人力资源、信息等单位及法务与稽核之参与,针对公司内外部发生潜在损失的可能性与可能的幅度进行风险认知与鉴别分析,进而达到避免潜在的损失危险、预防损失或降低损失幅度等风险控制,以落实分权分责之风险控制与稽查管理。

针对整体风险的辨析、预防及监控或重大风险管控议题,每年至少一次向董事会呈报具体推动计画与实施成效执行情形,透过董事会的监督与指导,落实防范公司重大风险,以确保公司「计划、执行、检查与行动」之管理循环,使运作有效达成风险控管之效益。

风险管理范畴

本公司风险管理范畴包括但不限于营运风险、市场风险、环安卫风险、财务风险、人力资源风险、资安风险与其他可能使公司产生重大损失之风险,并持续关注国内外风险发展情事以掌握风险趋势,辨识新兴风险。

本公司风险管理流程包括:风险范畴辨识、风险分析衡量、风险改善监控、风险报告与揭露。
风险鉴别与 因应策略

风险鉴别作业系每年从企业可持续营运之角度,评估公司短中长期可能面临的风险情境; 低风险项目由各单位管控,中高风险列入公司层级经营管理会议报告,评估对公司营运与永续发展之影响。

本公司風險鑑別流程為:係由各單位或功能組織之理級主管從日常營運或內外部資訊中評估可能或潛在的風險,經濃縮彙總後以問卷方式由廠處級(含)以上主管進行重要性風險辨別,並統計出主要關注面相。

风险类别关注重点因应策略
策略风险技术开发与产品策略掌握市场趋势提前布局新产品与核心技术应用开发,并确保研发速度与成本控管
建立有效的产品开发管理机制,定期衡量成本效益并检视与调整产品开发技术走向
发展高阶产品,策略结盟与合作,提高产品竞争优势
关键人才留任制定人才留任计划,确保公司营运与人才发展的永续性
透过公司激励奖励制度、培训计划与友善职场环境,以留住关键人才

营运风险

业务推广与市场竞争关注市场竞争之应变处理、强化客户沟通以提升满意度,减少客户流失
分析市场趋势、商务模式及产业链交流以掌握市场情势,开发潜在市场与客户
加强客户财务信息与业务情报收集,降低备料与呆账风险
制造与质量管理制程实时检验与瑕疵产品处理,减少营运资源及成本
定期检视人力计划以维持产线人力稳定与调配弹性,进以提升质量良率
定期执行客户VOC电访或拜访,预先掌握客户声音,预期防范管理
采购与库存管理加强生产线断料的风险与管理机制,包含导入在地化供应链、预备料源及异地生产
强化议价能力且有效预测市场原材料价格波动,掌握成本趋势
优化内部产销协调与备料机制、供应链交期,并即时反馈与调整,降低呆料风险
落实合规各单位充分了解与执行其领域法规并实时掌握法规趋势新知,以降低违反风险,如:劳工及人权、环保与职安、营业秘密及知识产权、财务会计等法令
新兴风险气候变迁与碳管理推动绿色产品并持续进行温室体盘查与推动节能措施
确保公司产品持续符合国际绿色产品相关法规及客户要求,订定材料绿色规格,透过绿色管理平台管控
信息安全管理强化异地备份与防火墙安全避免攻击,建立端点防护机制,并持续倡导资安观念
落实执行员工资安规定,避免重要机密外泄
IT设备稳定度与数据备援管理,避免系统维运中断影响生产与营运
灾害及停水断电因应建立备用能源与设备防护机制,以维持工厂营运不中断
提升用电能效与再生能源设置以维持供电稳定,降低生产风险
风险管理
执行情形

(一)本公司透过每季一次及不定期的高阶管理阶层会议,进行公司营运结果与整体策略研讨,以持续落实风险管理范畴之风险事项辨识、分析和鉴别,强化风险应变能力,达到公司整体风险的有效控管

(二)本公司质量中心监督各单位就其所订定的相关作业规范每年必须定期检视内容,以实时辨识环境条件之变化,达到作业行为规范之有效性。

(三)本公司持续透过人员教育训练,提升全体同仁风险意识及认知,2024年相关课程如下:

课程内容2024年受训人次受训总时数
环境安全卫生教育训练18,91418,980
信息安全规范、规划与设备环境介绍1,203 251
基础法务知识9738.4
资通安全
风险管理架构
本公司于106年成立信息安全委员会负责信息安全管理。 委员会由董事长暨策略长担任主任委员,各单位一级主管担任委员,信息主管担任执行干事,另纳入稽核单位,支持程序与法规面之参考意见。 资安系统部门每季召开信息安全工作会议,推行信息安全政策、规划暨执行信息安全作业; 每年至少一次向「信息安全委员会」及「董事会」报告公司信息安全治理概况。
资通安全
政策
本公司信息安全政策为「保护公司智慧财产,全面提升资安意识,强化公司治理」:

(一)制度规范:订定公司信息安全管理制度,规范人员作业行为,成立资安专责单位、设置资安主管及资安人员。
本公司内部订定多项资安规范与制度,以规范本公司人员信息安全行为,每年定期检视相关制度是否符合营运环境变迁,并依需求适时调整。

(二)科技运用:建置信息安全管理设备,落实资安管理措施。
本公司为防范各种外部资安威胁,除采分区隔离网络架构设计外,更建置各式资安防护系统,以提升整体信息环境之安全性。此外,为确保内部人员之作业行为符合公司制度规范,亦设计作业程序和导入资安系统工具,以落实人员信息安全管理措施。

(三)人员训练:进行信息安全教育训练,提升全体同仁资安意识。
本公司定期公告「信息安全管理规范」、「使用合法软件人人有责」之倡导,并实施人员信息安全教育训练课程,加强同仁资安意识。

资通安全
管理方案及投入資源

本公司定期审视内部信息安全规范,并于「信息安全委员会」中报告信息安全治理概况。本公司亦遵从NIST信息安全框架,评估信息安全威胁与影响,制定安全措施提升整体信息安全环境。


信息安全重点评估如下:
● 信息架构检视
检查关于持续营运所采取的相关措施之妥适性,检查架构与维运机制是否存在单点失效之风险,以及针对业务持续运作进行风险分析,并提出信息架构安全评估之结果与建议。
● 网络活动检查
查看网络设备系统及服务器之存取纪录,账号权限之授予是否符合规范;清查识别异常纪录与确认警示机制。
● 弱点扫描
定期针对外部网站、网络设备及服务器等设备进行弱点扫描,并针对扫描结果进行改善及修补,降低整体资安风险。
● 安全设定检查
检视服务器(如:网域服务 Active Directory )关于「 Admin 权限」与「组策略派发」之异动事件,查看相关异动是否异常。
● 资安演练
面对资安威胁制定紧急应变计划,定期演练,以验证相关计划内容之可行性与有效性。确保遇到资安事件,各单位人员可依紧急计划进行应变操作,达到全公司各单位共同落实资安防范之效果。
● 邮件社交工程演练
针对公司同仁,于内部安全监控范围内,寄发演练邮件,测试、倡导及强化资通安全教育。演练目标主要在于让同仁了解使用电子邮件之风险,提高同仁防范社交工程攻击之危机意识,持续演练以降低社交工程攻击所造成的风险,达到保护客户数据及重要营运信息与服务之目的。
● 资安情资搜集
111年加入台湾CERT/CSIRT联盟,提升资安情资搜集、交换及分析能力,了解各类型资安威胁与弱点信息,针对可能的威胁进行有效预防措施,加强公司整体资安防护能力。
112年度
执行情形
● 本年度召开4次信息安全工作会议及1次信息安全委员会议,报告信息安全政策执行情形,当年度无危害信息安全之事件。
● 本年度依规范定期执行系统还原演练、社交工程演练及资安事件演练,加强员工对于信息安全之应变与警觉性。
● 本年度导入并成功取得ISO/IEC 27001:2022信息安全管理系统验证(效期:2023/12/09-2026/12/09)。
资通安全
展望
在瞬息万变的网络安全威胁中,新兴科技的各项创新应用,已冲击既有信息安全环境,公司将持续以信息安全委员会统筹各项资安措施、恪遵法规、提高各单位信息安全管理能力、定期审视资安文件规范,以精进信息安全政策与目标,确保公司营运系统之高可用性及保障公司营业秘密。