投資人專區-風險管理

風險管理機制​

風險管理政策與範疇

為強化公司治理並有效執行健全公司風險管理機制,衡量並控制不同來源的風險,有效降低對營運及財務之影響,訂定本政策與程序以資遵循,達成永續穩健經營之目的,於110年3月17日經董事會通過本公司「風險管理政策與程序」,作為本公司風險管理之最高指導原則。針對各項風險擬定風險管理政策,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,以有效辨識及衡量營運活動過程中所面臨之各類風險,並採行適當措施。本公司每年定期於董事會提報風險管理執行情形。 本公司風險管理政策涵蓋,包括「營運風險」、「財務風險」、「環境風險」、「誠信經營風險」、「其他風險」等之管理。

風險組織架構

  • 董事會暨審計委員會:本公司董事會為風險管理政策之最高單位,負責規劃明確營運策略目標、風險管理政策及風險管理架構,並確保及監督控管系統有效實施。
  • 管理階層:應充分瞭解所轄業務面臨之內外部環境改變及法律風險,於訂定控制作業管理規範時應納入風險管理相關機制,協調公司相關部門,落實執行風險管理策略,確保所涉風險控制於可承擔之範圍內。
  • 各部門業務承辦人:業務承辦人依相關業務之內部控制制度及內部規範執行日常風險管理活動並進行風險控管活動之評估。
  • 稽核室:依據公司風險管理政策及管理作業辦法,擬訂及執行稽核計劃,對於所發現的缺失,應與適當層級之管理階層、董事會溝通,並及時提出改善建議。

運作情形

於11月5日董事會報告110年風險管理運作情形。
  • 透過包括但不限之定期及不定期管理會議:經理人管理週會、勞資會議、產銷跨部門會議、各部門經營績效會議等提出短中長期目標並監理相關業務風險。
  • 營運風險

1. 因應新型冠狀病毒(COVID-19)疫情全球蔓延,為嚴加防疫、降低人員可能的被傳染風險,影響公司正常營運,經理人密切監控疫情現況,適時實施相關防疫措施。

2. 產銷計劃受到缺料及大陸能耗雙控政策影響,透過定期產銷協調會議,調整產銷策略及調班生產,有效管控庫存滿足客戶需求。

  • 環境風險:通過ISO 14001環境管理系統認證,另於產品產製過程中,使用符合RoHS歐盟環保標準零組件,獲得QC080000認證,降低對環境負荷衝擊。
  • 財務風險

1. 投資專案(包括不動產及取得股權)皆進行可行性評估、風險分析及策略因應分析,並經董事會通過或董事長決行。

2. 外匯風險:根據公司營業所產生之外幣淨部位進行避險。

3. 客戶信用風險:定期對客戶徵信,針對應收帳款逾期客戶,若未釐清逾期原因前先暫停發貨。

  • 舉辦風險相關課程,包含有害物質教育訓練,產線制度與管理,新進員工有關職業安全衛生、資訊安全等訓練課程,受訓人數107人,共119小時,以強化本公司同仁風險文化意識及認知。

資訊安全風險管理

資訊安全政策目的與範圍:

為保護公司資訊資產免於外在威脅及防止人員不當管理與使用,避免遭受竄改、洩露、破壞或遺失等風險,以確保資訊資產之機密性、完整性、可用性與個人資料保護之要求,有效地降低公司營運風險。

凡公司全體同仁、客戶、供應商、委外或合作廠商、第三方人員及本公司安全管理制度所涵蓋範圍皆應依資訊安全政策規範作業及處理。

資訊安全風險架構:

本公司資訊安全之權責單位為資訊部,該部設置資訊主管乙名,與專業資訊人員數名,負責訂定資訊安全管理政策、規劃暨執行資訊安全作業,確認資安政策有效推動與落實。本公司稽核人員每年定期進行資訊安全風險查核,包括資訊部之功能及職責劃分、檔案及設備安全控制等;若發現缺失,旋即要求受查單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。

資訊安全政策目標:

1. 確保本公司營運業務持續運作,且本公司提供的資訊服務可穩定使用。 2. 確保本公司所保管的資訊資產之機密性、完整性與可用性,並保障人員資料之隱私。 3. 建立資訊業務營運持續計畫,執行符合相關法令或法規要求之資訊業務活動運作。

資訊安全控制措施:

1. 定期盤點資訊資產清單,依資安風險評鑑進行風險管理,落實各項管控措施。

2. 資訊系統及公司內部檔案存取皆須填寫權限申請單並依照部門職責及職責歸屬來設定相關權限。

3. 建置防火牆及布署防毒軟體進行防毒防駭、垃圾與惡意程式偵測及系統軟體更新措施,降低外部威脅及減少內部系統潛在弱點等保護措施。

4. 新進員工皆須簽定資訊保密協定並進行教育訓練,教育尊重智慧財產權正確使用合法軟體及對防毒、防駭的相關意識與認知,不定期宣導資訊安全知識提昇員工資安素養及危機意識,每年辦理資訊安全教育訓練。

5. 如需遠端連線公司作業需經過申請及核准後由資訊單位開通並透過VPN連線作業。

6. 建置資安防護系統,落實定期備份及異地儲存機制,預防災害發生時可進行還原回復系統之運作,並每年進行演練熟悉及確保系統還原程序,以降低資訊安全事件發生時之損害程度。

7. 每年透過定期執行資通安全自我檢查,評估資訊安全風險與確保資安制度、技術的有效性適時進行調整改善。不定期進行系統使用者權限稽核是否有不當權限並立即進行修正,與第三方廠商簽訂之服務合約中均要求其遵守網路安全規定及保密協定。

運作情形

本年度辦理【資訊安全宣導】線上教育訓練1小時,共計71人次參與