風險管理
風險管理政策及程序:
本公司經董事會通過訂定「風險管理辦法」,以作為本公司風險管理之最高指導原則,由審計委員會督導風險管理。本公司每年定期進行風險辨識並評估風險,鑑別出可能對經營目標產生影響的各項風險,並經評估後決定適當的應變措施,以有效降低公司營運風險。本公司隨時注意國內與國際風險管理之發展,據以檢討改進公司所建置之風險管理制度,以提昇風險管理成效,每年至少一次向董事會進行風險管理報告,113年度運作情形已於114年03月13日向董事會報告,如附件。
組織架構:
| 組織 | 權責 |
|---|---|
| 董事會 | 監督本公司「風險管理辦法」之訂定,並由審計委員會督導風險管理。 |
| 總經理室 | 風險管理規範之擬定,確保董事會所核可風險管理規範之執行。 |
| 稽核單位 | 以獨立超然之精神執行稽核業務,並適時提供改進建議。 |
| 各單位部門 | 公司內所有功能/部門/單位/業務承辦人均有其相應之責任及需配合之事項,以落實公司整體之風險管理。 |
113年度風險範疇及管理情形:
●經濟面
| 風險類型 | 潛在風險 | 管控策略與作法 | 責任單位 |
|---|---|---|---|
| 供應鏈風險 | 進口原物料缺貨斷料致缺料停工 | ◆ 關鍵原物料開發二家以上料源。 ◆ 建立安全庫存量。 |
生管/製造/研發 /品保/採購 |
| 原物料供貨不符廠內規範 | ◆ 公司落實專廠專項原則,依照各品項透過詢、比、議價流程挑選出最合適之供應商,以獲得最有競爭力之價格。 ◆ 制定明確的原物料驗收規範。 ◆ 落實進料檢驗。 ◆ 對重要原物料供應商考核,並要求供應商對各項考核不佳項目要求改善予以追蹤。 |
||
| 受市場景氣影響,原物料價格上升導致營運成本增加 | ◆ 對重要原物料,針對國內外市場行情趨勢加強研判分析,提出有利之採購原則,減少支出降低成本。 | ||
| 市場/信用風險 | 客戶特殊規格需求無法符合 | ◆ 優化機台或建置新型機台。 ◆ 增加與業界專業人士交流。 |
生管/製造/研發 /品保/採購 |
| 生產/檢驗條件不符合客戶要求致產品品質不符合要求 | ◆ 依設備校驗年限安排年度校驗。 ◆ 定期安排產品/製程稽核。 ◆ 定期實施內部教育訓練與生產會議即時討論改善。 |
||
| 客戶無法如期繳交貨款 | ◆ 透過過往交易記錄針對現有客戶授信額度進行調整。 ◆ 針對高風險客戶交易條件修改。 ◆ 針對客戶進行信用評估,年度信用額度評估調整。 ◆ 定期追蹤應收帳款,進行有效財務規劃與資金調度。 |
業務/財務 | |
| 流動性風險 | 因無法將資產變現或獲得融資以提供資金靈活運用而 可能承受損失之風險。 |
◆ 本公司對於供應商貨款付款及客戶銷貨收款週期進行嚴格控管。 ◆ 與往來銀行維持良好關係,簽訂短期授信合約可隨時動撥借款。 |
業務/採購/財務 |
| 總體環境風險 | 利率上漲風險致利息費用增加 | ◆ 持續密切注意利率之變動及全球經濟發展趨勢。 ◆ 與金融機構之融資來往,除善用專案貸款外,在利率方面除積極爭取協調降低加碼幅度外,仍持續隨時償還部份較高利率之銀行借款,以減輕利息支出。 |
財務 |
| 匯率風險-外匯曝險部位評價匯率低於立帳成本 | ◆ 從事選擇權交易等衍生性金融商品交易規避因匯率波動所產生之風險。 ◆ 針對造成外匯部位大幅變動之重要資本支出及資金移轉,審慎控管外幣匯率風險。 |
||
| 價格風險-投資標的價格下跌致發生財務損失 | ◆ 分散投資組合,其分散之方式係根據本公司設定之限額進行。 | ||
| 法遵風險 | 人資法規加嚴增加人力成本 | ◆ 遵守法規要求。 | 總經理室/人事/稽核室/公司治理 |
| 各項法令或合約變更未即時調整因應,以致因違規(約) 而造成財務損失 |
◆ 密切注意主管機關相關法令之修訂,適時提出因應措施,以符合營運需要。 ◆ 建立合約控管機制,依程序審核及檢視所簽訂之契約,維護公司權益。 ◆ 簽訂律師顧問。 ◆ 為遵循法令並防止內線交易及內部人相關規範,定期電子文件方式加強宣導提醒董事及高階主管。 |
總經理室/稽核室/公司治理 | |
| 資訊安全風險 | 駭客入侵攤瘓資訊系統,導致電腦設備故障、資料損失 、運作效率降低 |
◆ 安裝端點防護軟體 ◆ 電子郵件伺服器配置有垃圾信過濾機制 ◆ 帳號權限管理。 ◆ 建置備份管理系統,定期將每日備份的資料,異地備援。 ◆ 定期實施災難復原演練。 |
總經理室/資訊 |
| 資訊系統內個資未經授權遭惡意或過失洩漏致公司遭 個資法罰款 |
◆ 定期進行網頁、系統弱點掃描及滲透測試。 ◆ 落實系統權限管控。 |
||
| 駭客透過欺騙手段,讓員工交出有用資訊進而入侵資訊 系統或詐騙不當利益,造成公司財務上損失 |
◆ 不定期執行社交工程演練。 ◆ 透過教育訓練提高同仁資安意識。 ◆ 配置企業級防火牆及SPAM。 |
||
| 員工私自下載安裝未經授權軟體致公司遭軟體侵權罰款 | ◆ 加強資安宣導,提升員工資安意識。 ◆ 控管網路存取,可屏蔽訪問有害或政策不允許的網址及內容。 |
||
| 與分公司及外點使用SSL VPN的連線作業,資料傳輸過程 遭到非法擷取 |
◆ 使用資料加密方式 |
●環境面
| 風險類型 | 潛在風險 | 管控策略與作法 | 責任單位 |
|---|---|---|---|
| 災害風險 | 地震、水災 | ◆ 舉行疏散演練。 ◆ 定期點檢雨排以及水溝定期清淤。 |
總經理室/生管/製造/研發/品保/採購 |
| 氣候變遷風險 | 各國碳排放相關收費機制施行 | ◆ 使用乾淨能源燃料。 ◆ 盤查產品各生產製程碳排之來源。 ◆ 確認歐盟碳邊境調整機制需求資料格式,提供相關碳排資料,避免影響後續無法出口至歐盟國家。 ◆ 持續關注國際氣候變遷趨勢與要求,並依法令規範時程,揭露氣候變遷因應資訊。 ◆ 持續規劃宣導並執行省水、節能與減碳行動,並提升資源使用效率。 |
●社會面
| 風險類型 | 潛在風險 | 管控策略與作法 | 責任單位 |
|---|---|---|---|
| 人才流失風險 | 升遷管道及薪酬政策等員工福利政策未優於當地產業,導致人員流動性高,無法留住優秀人才 | ◆ 透明升遷管道,讓員工可預期職涯發展及透過教育訓練課程,傳承企業文化及團隊融合,以降低人員流動率。 ◆ 開發多元徵才管道,如社群媒體、人力派遣公司,以補足人力短缺的問題。 ◆ 落實員工健康照護制度,特約職業專門醫護臨場辦理服務(月),依法令實施員工健康檢查,關懷同仁健康,提供友善職場。 ◆ 提供三節獎金、年終獎金、員工紅利、生日禮金、健康檢查、勞工保險、全民健康保險、勞工退休金等福利。 |
總經理室/人事 |
| 作業管理風險 | 基層操作人員一個月內大量離職 | ◆ 調任前進行意願了解及職務說明。 ◆ 各項招募配套,介紹獎金、交通津貼等。 ◆ 改善薪資結構,提升月收入。 |
生管/製造/研發/品保/人事 |
| 職業安全風險 | 工安事故發生人員罹災性的工傷事件導致工廠全部或部分停工 | ◆ 新進人員正式上線前熟讀SOP。 ◆ 落實安全衛生教育訓練。 ◆ 不定期現場巡查缺失改善。 ◆ 緊急應變演練。 |
總經理室 /人事 |
| 火災風險 | ◆ 消防演練。 ◆ 定期執行消防安檢及建築物公共安全檢查。 |
資訊安全風險管理
經本公司權責單位資訊室評估,資訊安全風險雖佔本公司營運風險比重較小,但隨著網路環境漸趨複雜,相關風險可能逐年增高,本公司已建置資訊安全管理架構,並制定相關資訊安全管理政策,配置一名資安專責主管及一名資安專責人員,擬定並執行資訊安全具體管理方案,加上稽核單位,進行管理制度內部查核、資訊安全預防及危機處理等監控作業,並由稽核主管定期向董事會報告稽核結果,持續精進內部異常偵測與防護方法,以降低企業資安風險。
資訊安全具體管理方案
本公司現階段以既有的資訊安全管理程序來落實資訊安全風險管理。相關具體執行措施如下:
網路安全管理
1.配置企業級防火牆,阻擋駭客非法入侵。
2.與分公司及外點使用SSL VPN的連線作業,使用資料加密方式,避免資料傳輸過程遭到非法擷取。
3.配置上網行為管理系統,控管網路存取,可屏蔽訪問有害或政策不允許的網址及內容,強化網路安全且防止頻寬被不當佔用。
系統存取控制
1.公司內各應用系統的使用,需透過資訊服務需求申請程序,經權責主管核准後,由資訊單位建立帳號,且經過系統管理員依所申請之功能開放權限,方得使用。
2.帳號的密碼設置,需符合文數字參雜規定,才能通過。
3.同仁辦理離職手續時,需會辦資訊單位,進行各系統帳號刪除作業。
落實資安訓練
1.定期對員工進行資訊安全宣導,不定期實施資訊安全教育訓練,以提高同仁對資訊安全認知的重要性。
2.在各系統作業,皆有彈跳視窗溫馨提醒注意資安事項。
病毒防護與管理
1.伺服器與同仁電腦設備皆安裝端點防護軟體,病毒碼採自動更新,確保能阻擋最新型病毒。
2.電子郵件伺服器配置有垃圾信過濾機制,防堵病毒或垃圾郵件進入使用者端PC。
確保系統可用性
1.建置備份管理系統,定期將每日備份的資料,一份保留在機房,另一份放於異地,互相備援。
2.定期實施災難復原演練,選定還原基準點後,由備份檔回存於系統主機。
電腦設備安全管理
1.本公司電腦主機、各應用伺服器等皆設置於專用機房,機房門禁採感應式刷卡進出,且保留記錄存查。
2.資訊機房內有獨立空調及不斷電系統並備有發電機,以維持電腦設備於適合的溫度下運轉,斷電時不會中斷電腦應用系統的運作。
3.建置設備管理系統,需經過公司認證之移動裝置及裝置才可連線至公司內網及存取資料。
投入資安管理之資源
1.使用Veritas backup exec備份軟體
2.採用Sharetech Next Generation UTM防禦管理平台
3.定期執行主機系統及網站之弱點掃描
2024年度伯鑫已執行之資安事件預防行動如下:
1. 災害復原演練1次
2.弱點掃描1次
3. 帳號權限盤點1次
4. 營運系統盤點1次
5. 資安教育訓練(全體員工)1次
6. 資安風險評估1次
7. 社交工程訓練(全體員工)1次
