风险管理政策与程序
为确保本公司稳健经营与永续发展,依据公司营运策略与目标,界定各类风险,在可承受的风险范围内预防可能的损失,建立整体性的风险管理组织架构及风险管理机制。
本公司订定「风险管理办法」于2013 年12月27日经董事会通过,以作为本公司风险管理之最高指导原则;并于2018年12月24日增加修订BCP风险控管程序细项准则,本公司每年定期评估风险,并针对各项风险拟定风险管理政策,涵盖管理目标、组织架构、权责归属及风险管理程序等机制并落实执行,以有效辨识、衡量,及控制本公司之各项风险,将因业务活动所产生的风险控制在可接受的范围。
一、重要风险范畴
整体而言公司所面临的风险分为以下五大类:
【策略风险】因国内外总体经济情势变动、重要政策及法律变动等对公司财务业务产生之冲击。
【营运风险】包括销售集中、采购集中、法律风险、招募与留任人才之风险、科技改变及产业变化之冲击等。
【财务风险】指利率变动、汇率变动、通货膨胀、通货紧缩等情形,以及从事高风险、高杠杆投资、资金贷与他人、背书保证与衍生性商品交易等政策对公司损益之影响。
【信息安全风险】指公司重大营运信息、个人隐私数据,或是合约中要求必须保护的客户数据等,遭受计算机病毒、黑客入侵、企业内部及外部的各种信息安全威胁,导致信息外泄等风险。
【其他风险】非属前项第一款至第四款所列,如气候变迁或环保协议等风险因素,惟预期对公司财务、业务产生一定程度冲击之风险。
二、组织架构
三、风险管理机制
| 风险管理 组织架构 |
执掌 |
| 董事会 | 风险管理之最高单位,以遵循法令,推动并落实公司整体风险管理为目标,确保风险管理之有效性,并负风险管理最终责任 |
| 财务部 | 建构高效率及高质量之财务平台,提供透明及可信度之财务信息、营运分析及改善方案,藉由严谨控管,与适法的税务规划、信用风险控管及财务危机预测之模型,降低企业风险。 |
| 稽核室 | 依据风险导向之年度稽核计划,针对各作业存在或潜在风险予以复核,并负责内部控制制度之修订及推动等工作,以确保本公司进行有效之作业风险管理。 |
| 信息部 | 规划与健全公司的信息管理体系、负责网络信息安全控管与防护措施、提供管理阶层快速有效之营运管理信息,以降低信息安全风险。 |
| 各业务单位 | 各业务单位主管负有第一线风险管理之责任,负责分析及监控所属单位内之相关风险,确保风险控管机制与程序能有效执行。 |
| 风险控管机制 | 层级 | 风险控管方向 |
| 第一机制 | 各业务单位、 经办人员 |
负责最初作业的风险发觉、评估及管控 |
| 第二机制 | 营运会议或 主管会议 |
负责可行性评估外,亦包括各种风险的评估 |
| 第三机制 | 董事会 审计委员会 稽核室 |
稽核室负责风险之检查、评估、督导及改善追踪,并且汇整公司内部各部门风险管理之执行情形,适时提供公司风险管理报告予董事会、审计委员会。 董事会、审计委员会负责风险评估控管之决策与最终控制。 |
四、运作情形
本公司自2013 年12月27日经董事会通过「风险管理办法」以来,积极推动落实风险管理机制,每年一次向董事会报告重要风险评估分析表及运作情形,以重要风险评估分析表数据为次年稽核计划重点查核方向。
历年重要运作情形、当年度重要风险评估分析:
2013年12月订定「风险管理办法」。
2014年将「风险评估分析表」、「风险因子权数表」纳入稽核计划重要风险查核指标
2017年将「内控自评报告」、「年度查核缺失」等作业风险损失数据搜集,并纳入稽核计划重要风险查核指标
2018年12月订定「BCP风险控管程序细项准则」
2021年 (当年度运作情况)
本公司于2021年12月29日审计委员会议以「2021年重要风险评估分析表」、「2022年稽核计划」为依据,于会议中报告公司所面临的千变万化的风险环境、风险管理重点、风险评估及因应措施。(如下表)
| 重要风险 | 可能发生 的 风险 | 风险等级 % | 风险 管理模式 | 现风险管理方式 | 加强及改善做法 | 执行情况 |
| 营运风险 | 项目进度 掌控不佳风险 |
25 | (2)降低风险 | 1.强化专业技术的训练。 2.强化掌控市场现况能力。 3.强化项目经理对各阶段工作流程规划完整性与应变能力。 4.强化项目经理对项目时程进度管控及风险掌控能力。 |
1.加强与业务部门的沟通,确认研发资源是在业务需要的项目上,以客户需求的轻重缓急来排定项目的优先级。 2.定义清楚RD的工作职掌,确保每个RD皆能于项目上发挥以提升效能。支持性工作交由非RD工程师完成以提升效率。 3.导入Issue tracking system,以利项目进度追踪。 |
1.以研发专业平台及每周固定开会追踪及支持项目进度 |
| 营运风险 | 研发数据外泄风险 | 20 | (1)规避风险 | 导入Data Loss Prevention(数据遗失防护)系统,文件存盘立即加密,防止数据落入不轨之徒手中。 | 除了有DLP系统的保护外,公司亦全面控管各计算机USB,降低数据外流之风险 | 已加强各项防火墙及公司内文件加密作业,并配合全面禁止使用USB。 |
| 营运风险 | 人才流动风险 | 12 | (2)降低风险 | 1.关键人才发展计划 2.提供良好工作环境 3.员工关怀 4.接班人计划 5.职训局相关课程结训推荐 6.相关科系教授学生推荐 |
1.企业人才TTQS提升计划 2.提供完整升迁制度 3.设计创意招募广告 4.教授及职训局密切联系 |
1.强化教育训练平台功能,完善教育训练课程 2.牧德杯品牌营销 3.已装修改善1~6楼,提供更舒适的工作环境 |
| 信息安全风险 | *环境因素风险(5%) 水灾、火灾、地震.. |
10 | (2)降低风险 | 异地备援 | 异地备援 | 定期检讨信息安全内容,增加异地备援机制及数据漏洞 |
本公司于2021年8月03日分别向各部门主管及董事针对BCP风险控管程序细项准则教育训练,强化风险控管重要性。
| 日期 | 对象/地点 | 上课时数 | 人数 |
| 2021.8.3 | 全体董事/6楼 | 30分钟 | 9人(1人为视讯) |
| 2021.8.3 | 各部门主管/B1五味食堂 | 30分钟 | 25人 |
