風險管理執行情形
風險管理執行情形
1.1風險管理組織
本公司董事會設有永續發展委員會,其下依循本公司永續經營之發展需求,分別設有永續報告書編製小組及各功能小組,包含「公司治理」、「社會責任」、「環境永續」及「風險管理」等執行小組,其中,風險管理執行小組為本公司執行風險管理之權責單位,負責協調各部門風險識別、評估、管理、因應及監督之執行情形,並且定期向永續發展委員會報告風險管理成果;永續發展委員會應至少一年一次向董事會提出風險管理報告。
1.2風險控管方式
風險管理政策
透過系統化、制度化的管理機制,有效辨識、衡量、監督及控管風險,使風險控制在公司可承受範圍內並預防可能之損失,以達成公司永續經營之目標。
建立健全之風險管理機制乃達成本公司永續經營及穩健發展之基石,故本公司依循「公開發行公司建立內部控制制度處理準則」之規定,經董事會決議通過制定「風險管理政策與程序」,以作為本公司風險管理之核心原則。依「風險管理政策與程序」之規定,本公司各業務執行單位主管依其職掌內容負有風險管理責任,負責分析及監控所屬單位內之相關風險,並由風險管理執行小組執行風險管理決策、協調跨部門協調及溝通、執行風險預警…等工作,並透過定期向上呈報之方式做妥適之風險控管。
本公司針對營運、財務、作業及環境等四大範疇辨識與營運相關活動之潛在風險,並將所識別之風險依各業務執行單位所作之內部評估進行分級管理,亦由各業務執行單位負責針對所識別之風險就後續風險管理策略及因應計畫擬定及執行。此外,為確保上述風險管理作業之落實,「風險管理政策與程序」亦要求稽核室須依各業務執行單位之風險評估結果擬定年度稽核計畫,確保本公司所識別之風險均獲適當之管控,並適時提出改善建議。
1.3風險管控結果
本公司透過各業務執行單位評估各項已識別風險之發生可能性及衝擊程度,進行各項風險之重大性分析以確認需要進行高度關注的風險議題,並依其重大程度進行風險管理,管理流程如下:
步驟一:風險識別
步驟二:風險等級評定
步驟三:依據分級狀況擬定因應措施
步驟四:執行風險因應措施
步驟五:執行結果檢討及評估
本公司2022年度依上述風險管理流程所執行之風險評估結果如下:
風險評估矩陣
風險分級表
| 風險等級 | 已識別風險項目 |
|---|---|
| 重大風險 | 重大法定傳染病、能源管理、市場競爭風險、氣候變遷 |
| 一般風險 | 天然災害、通貨膨脹、匯率變動、進貨集中、資訊安全環境汙染風險、企業形象風險、政治風險、投資風險、利率變動風險、人力資源風險、客訴風險、產能失衡風險、職業安全衛生風險 |
重大風險說明
| 風險範疇 | 風險名稱 | 風險說明 | 管控策略及作法 | 負責單位 |
|---|---|---|---|---|
| 環境範疇 | 重大法定傳染病風險 | 企業因重大法定傳染病風險致使營運產生不利之影響(如封城、塞港…等) |
●訂定因應對策並依疫情動態調整 ●鼓勵員工施打疫苗 ●建立多元徵才管道 ●推動辦理線上教育訓練、會議 |
管理部 |
| 環境範疇 | 能源管理風險 | 企業因未能有效管理組織之能源消耗,而於能源成本持續上揚之趨勢下對營運產生不利之影響 |
●設置太陽能發電 ●耗能設備汰換更新 ●推動製程節能措施 |
管理部 工程部 |
| 營運範疇 | 市場競爭風險 | 企業因主要產品競爭力下滑,且未能開拓其他市場而對營運產生不利之影響 |
●執行產業和競爭者分析 ●深化客戶關係管理 ●拓展海外據點,建置完善之全球銷售策略 ●建立產品及服務差異化 ●適時調整銷售策略及通路 |
國貿部 業務部 |
| 環境範疇 | 氣候變遷風險 | 企業因未能合乎國際之淨零及其他氣候相關議題之發展趨勢,致使對未來產品銷售或企業營運產生不利之影響 |
●完成溫室氣體排放之盤查及查證,設定節能及減碳目標及策略 ●導入產品碳足跡計算 ●投入製程節能研究 ●回收製程用水 ●設置太陽能發電 ●於公司網站或永續報告書中就重要氣候議題說明 ●尋找並維護原物料之替代供應商,以降低斷料風險 ●針對重要供應商落實評鑑,確保供料無虞 |
管理部 |
1.4 氣候變遷風險及機會之管理(TCFD)
全球企業面對近年持續加溫的全球暖化及極端氣候所造成的潛在營運衝擊,根據世界經濟論壇(World Economic Forum, WEF)於2022年全球風險報告所述,其中針對企業經營所面臨之前五大長期風險均為環境風險,包括「氣候行動失敗(Climate action failure)」、「極端氣候事件(Extreme weather events)」、「生物多樣性流失及生態系統崩壞(Biodiversity loss and ecosystem collapse)」、「自然資源危機(Natural resource crises)」及「人為環境傷害(Human-made environmental damage)」,由此可見,如今企業所面臨之經營風險已然從經濟層面轉變為環境層面的議題。 本公司重視與本公司價值鏈相關之環境影響及氣候變遷議題,並積極建立因應全球氣候變遷及轉型趨勢之措施,以減緩本公司產業鏈對於氣候所造成之影響,並降低本公司在現行趨勢下營運所受到的衝擊。本公司依循TCFD之架構識別各部門因氣候變遷所帶來之風險與機會,進而有效因應氣候變遷所衍生之廣泛衝擊。
氣候相關財務資訊揭露之四大要素
| 核心要素 | 管理行動 |
|---|---|
| 治理 |
●本公司董事會為負責審核和指導集團整體氣候變遷戰略、行動計畫及年度目標之最高指導單位,並每年由其所屬之永續發展委員會報告執行計畫暨成果。 ●於永續發展委員會下設立「環境永續」執行小組,由管理部主管擔任組長,依據相關風險管理政策負責分析及監控氣候變遷之相關風險,定期召開小組會議討論,並由「風險管理」執行小組彙整其工作成果後定期向永續發展委員會彙報。 |
| 策略 |
●本公司係根據 TCFD 建議架構進行管理,透過事前之氣候資料蒐集並跨部門討論完成重大氣候變遷風險與機會之辨識,評估相關風險與機會之短、中及長期財務影響,並研擬公司營運模式、營運策略的調整方針及因應方式。 |
| 風險管理 |
●本公司氣候變遷之相關風險管理流程係依循「風險管理政策與程序」之規定執行,負責單位為管理部。該部門不定期蒐集國內外氣候變遷趨勢及法規變動,召開小組進行年度風險識別,並依據氣候風險及機會之鑑別結果研擬因應方案。 |
| 標與目標 |
●本公司就跨部門完成之氣候相關重大風險與機會評估結果反映於營運策略,並據以設定本公司氣候相關之發展目標,促使兩者一致,並落實定期評估執行成果。 ●本公司於台灣之所有廠區於110年開始進行ISO 14064-1組織型溫室氣體盤查標準系統之導入,並於111年完成第三方之查證,以因應未來氣候變遷對公司營運造成的風險。 |
茲將本公司2022年度依TCFD 建議架構所識別之重大氣候變遷風險與機會,及其所產生之財務衝擊暨因應策略,簡述如下:
重大氣候變遷風險
| 風險類別 | 風險項目 | 財務衝擊 | 因應策略 | |
|---|---|---|---|---|
| 轉型風險 | 政策與法規風險 | 提高溫室氣體排放定價 | 成本增加 |
●完成溫室氣體排放之盤查及查證,訂定集團溫室氣體減量目標及策略 |
| 現有產品和服務的要求及監管 | 利潤減少 |
●研究並提升生產效能,減少生產之能源消耗 ●導入製程水回收設備,減少生產耗水量 |
||
| 技術風險 | 低碳技術轉型成本 | 成本增加 |
●設置太陽能發電,減少生產過程中之溫室氣體排放 |
|
| 市場風險 | 客戶行為變化 | 利潤減少 |
●針對主要產品導入ISO 14067產品碳足跡標準,提供予客戶作為採購參考 ●完成溫室氣體排放之盤查及查證,訂定集團溫室氣體減量目標及策略 |
|
| 名譽風險 | 利害關係人的關注與負面回饋日益增加 | 利潤減少 |
●定期發佈永續報告書,以回應利害關係人之期望 ●參酌國際規定,進行環境之績效盤點,並落實溫室氣體減量 ●於公司網站或永續報告書中就重要氣候議題說明 |
|
| 實體風險 | 立即性風險 | 颱風、洪水等極端天氣事件嚴重程度提高 | 成本增加/利潤減少 |
●尋找並維護原物料之替代供應商,以降低斷料風險 ●針對重要供應商落實評鑑,確保供料無虞 |
| 長期性風險 | 降雨(水)模式變化和氣候模式的極端變化 | 成本增加/利潤減少 |
●落實每年1%之節電目標,逐步減少電力使用 ●持續投入綠能發展,強化自給自足能力 |
重大氣候變遷機會
| 期程 | 機會類別 | 機會項目 | 財務衝擊 | 因應策略 |
|---|---|---|---|---|
| 短期 | 資源使用效率 | 使用更高效率的生產和配銷流程 | 成本減少/ 利潤增加 |
●逐步汰換高耗能過時之設備,提升生產效率 ●投入智慧化製程開發,提升生產效率 |
| 中期 | 能量來源 | 使用低碳能源 | 成本減少/利潤增加 |
●使用天然氣退火爐取代中週波退火 |
| 長期 | 產品與服務 | 開發新產品、低碳商品和服務的研發與創新暨氣候調適之新技術 | 利潤增加 |
●改善冷卻水循環系統,減少馬達運作時間,降低產品碳足跡 ●推廣不銹鋼材於建築工程與室內裝修之運用,以開創新市場 |
資訊安全風險管理架構
本公司資訊安全之權責單位為資訊室,負責規劃、執行及推動資訊安全管理事項,並定期透過教育訓練提升人員資訊安全意識,另會計師定期派員查核本公司資訊系統。
資訊室主管需不定期向總經理彙報資訊安全執行狀況,並每年定期向董事會報告資訊安全執行成果。
組織運作模式-採 PDCA(Plan-Do-Check-Act)循環式管理,確保可靠度目標之達成且持續改善。
資訊安全政策
為落實本公司各項資訊資產能有效運作執行,確保資訊傳輸交易安全,降低資訊安全事件造成之損害,並保障公司電腦處理資料之機密性與完整性,定義員工責任及應遵守的安全規則、權限管理、資安事件通報程序、資訊交換程序,本公司資訊安全管理機制,包含以下三個面向:
一、制度規範:訂定公司資訊安全管理制度,規範人員資訊安全行為。
二、科技運用:建置資訊安全管理設備,落實資安管理措施。
三、人員訓練:進行資安教育訓練,社交工程演練,提昇全體同仁資安意識。
具體執行方案
| 類別 | 說明 | 相關措施 |
|---|---|---|
| 權限管理 | 人員帳號、權限管理、與系統操作行為之管理措施 |
●人員帳號權限管理與審查。 ●特權帳號兩階段認證。 |
| 存取控制 | 人員存取內外部系統、及資料傳輸管道之控制措施 |
●內/外部存取管控措施 ●人員遠端存取行為限制 ●外接儲存裝置管制 |
| 外部威脅 | 防毒、防駭措施 |
●定期掃毒與偵測惡意程式 ●設置次世代網路防火牆 ●端點防護 |
| 營運維持 | 系統可用狀態、與服務中斷時之處置措施 |
●系統/網路可用狀態監控及通報機制 ●服務中斷之應變措施 ●資料備份備援措施、本/異地備援機制 ●定期災害還原演練 |
資安事件通報程序
資訊安全管理
本公司資訊安全之權責單位為資訊室,負責規劃、執行及推動資訊安全管理事項,並定期透過教育訓練提升人員資訊安全意識,另會計師定期派員查核本公司資訊系統。
111年度執行情形如下:
一、汰換無法更新漏洞主機:
1.公司現有約316台電腦、103台筆電、225精簡電腦,汰換2台近10年的電腦。
2.汰換埔心、北營防火牆,共4台。其餘廠區升級韌體並調整策略。
二、漏洞及軟體更新(統計資料:今年01.01~12.08)
1.防毒版本更新次數:20次。
2.Windows10安全性更新次數:76次。
3.因微軟停止Windows7漏洞更新,公司Windows7共293台。已完成272台升級到Windows10,還有21台還未升級。
4.Exchange漏洞修補次數:9次。其中4次零時差修補,皆第一時間完成。
5.Chrome零時差漏洞修補次數:7次。
三、資安防護(統計資料:今年01.01~12.08)
1.已知病毒攻擊共971次,其中20%是惡意攻擊病毒。
2.未知病毒攻擊共661次,其中20%危險等級高。
四、加強防護
1.導入SOC監控服務 (Security Operation Center):透過AI分析關聯網路行為、依據最新的資安威脅情報,調整防護策略。
2.增加雙因子認證服務範圍:伺服器主機、重點使用者電腦及VPN。
五、教育訓練
1.資訊同仁共3人取得資策會資安初級工程師證書(iPAS)。
2.社交工程演練每次針對公司300個使用者帳號作演練,並請專家進行1次資安講習宣導,各單位派出種子人員進行上課,共21人次計42小時。
六、今年無重大資安事件。
112年度預計執行計畫
1.導入ISO 27001,預計7月前實地訪查,9月前取得證書。
2.委請資安廠商進行弱點掃描與滲透測試。
3.內網導入零信任架構。