風險管理是維護企業經營的重要環節,本公司正視風險的存在,更致力執行降低風險的各項政策與措施,以此為利害關係人創造永續價值,並創造公司營運機會。為有效強化風險管理,長期關注產業趨勢及市場變動,掌握風險變化趨勢,並針對重大潛在風險情境進行管控策略與作法之擬定,定期確認與追蹤檢核成效,在可接受風險之狀況下,追求管理成本效益最佳化 。
本公司及各子公司在從事營運活動時,應從企業永續經營的角度審慎檢視內外部可能之風險,依循本公司「風險管理政策與程序」訂定相關作業規範,以辨識、衡量、控制及監督各項業務之潛在風險、落實風險管理機制之運作,提昇風險管理分工之效能。
本公司訂有環安衛管理制度及環安衛政策,並於全公司及各廠區設置職業安全衛生委員會,其風險評估項目包括:職業安全衛生、自動檢查、作業環境監測、危害物管理、溫室氣體排放政策與管理、資源管理、災害應變演練及教育訓練等。
本公司透過永續發展委員會,負責整合全公司風險,並透過業務、各廠區製造單位、研發、安衛管理、財管、資材、品質、人力資源、資訊等單位及法務與稽核之參與,針對公司內外部發生潛在損失的可能性與可能的幅度進行風險認知與鑑別分析,進而達到避免潛在的損失危險、預防損失或降低損失幅度等風險控制,以落實分權分責之風險控制與稽查管理。
針對整體風險的辨析、預防及監控或重大風險管控議題,每年至少一次向董事會呈報具體推動計畫與實施成效執行情形,透過董事會的監督與指導,落實防範公司重大風險,以確保公司「計劃、執行、檢查與行動」之管理循環,使運作有效達成風險控管之效益。
本公司風險管理範疇包括但不限於營運風險、市場風險、環安衛風險、財務風險、人力資源風險、資安風險與其他可能使公司產生重大損失之風險,並持續關注國內外風險發展情事以掌握風險趨勢,辨識新興風險。
本公司風險管理流程包括:風險範疇辨識、風險分析衡量、風險改善監控、風險報告與揭露。風險鑑別作業係每年從企業可持續營運之角度,評估公司短中長期可能面臨的風險情境;低風險項目由各單位管控,中高風險列入公司層級經營管理會議報告,評估對公司營運與永續發展之影響。
本公司風險鑑別流程為:係由各單位或功能組織之理級主管從日常營運或內外部資訊中評估可能或潛在的風險,經濃縮彙總後以問卷方式由廠處級(含)以上主管進行重要性風險辨別,並統計出主要關注面相。
風險類別 | 關注重點 | 因應策略 |
---|---|---|
策略風險 | 技術開發與產品策略 |
|
關鍵人才留任 |
| |
營運風險 | 業務推廣與市場競爭 |
|
製造與品質管理 |
| |
採購與庫存管理 |
| |
落實法規遵循 |
| |
新興風險 | 氣候變遷與碳管理 |
|
資訊安全管理 |
| |
災害及停水斷電因應 |
|
課程內容 | 2023年受訓人次 | 受訓總時數 |
---|---|---|
環境安全衛生教育訓練 | 23,373 | 70,119 |
資訊安全規範、規劃與設備環境介紹 | 420 | 150 |
基礎法務知識 | 126 | 44 |
本公司定期審視內部資訊安全規範,並於「資訊安全委員會」中報告資訊安全治理概況。本公司亦遵從NIST資訊安全框架,評估資訊安全威脅與影響,制定安全措施提升整體資訊安全環境。
資訊安全重點評估如下 :
檢查關於持續營運所採取的相關措施之妥適性,檢查架構與維運機制是否存在單點失效之風險,以及針對業務持續運作進行風險分析,並提出資訊架構安全評估之結果與建議。
查看網路設備系統及伺服器之存取紀錄,帳號權限之授予是否符合規範;清查識別異常紀錄與確認警示機制。
定期針對外部網站、網路設備及伺服器等設備進行弱點掃描,並針對掃描結果進行改善及修補,降低整體資安風險。
檢視伺服器(如:網域服務Active Directory)關於「Admin權限」與「群組原則派發」之異動事件,查看相關異動是否異常。
面對資安威脅制定緊急應變計畫,定期演練,以驗證相關計畫內容之可行性與有效性。確保遇到資安事件,各單位人員可依緊急計畫進行應變操作,達到全公司各單位共同落實資安防範之效果。
針對公司同仁,於內部安全監控範圍內,寄發演練郵件,測試、宣導及強化資通安全教育。演練目標主要在於讓同仁了解使用電子郵件之風險,提高同仁防範社交工程攻擊之危機意識,持續演練以降低社交工程攻擊所造成的風險,達到保護客戶資料及重要營運資訊與服務之目的。
111年加入台灣CERT/CSIRT聯盟,提升資安情資蒐集、交換及分析能力,瞭解各類型資安威脅與弱點資訊,針對可能的威脅進行有效預防措施,加強公司整體資安防護能力。
● 本年度依規範定期執行系統還原演練、社交工程演練及資安事件演練,加強員工對於資訊安全之應變與警覺性。