為健全本公司風險治理及強化風險管理機制之運作,於2023年12月18日經董事會決議成立隸屬董事會之「風險管理委員會」為最高層級的風險管理單位,負責督導執行單位及相關工作小組風險管控業務的運作,協助董事會推動風險管理與提升公司治理,每年至少一次向董事會報告執行情形,以確保公司穩健經營業務,朝企業永續發展目標邁進。
透過對內外部環境分析,依風險管理政策定義四大風險管理面向:營運面、策略面、財務面、危害事件面,同時制定出14大風險因數之控制執行計畫,透過風險辨識、風險評估、風險控制、風險監督及溝通等管理程式,清楚掌握各風險之範疇,並運用PDCA(Plan, Do, Check, Act) 等措施進行日常滾動式管理。
為符合永續發展原則,善盡地球公民責任,參考世界經濟各方論壇提出之新興風險面相檢視集團面臨營運衝擊及挑戰的新興風險議題,將「勞動力結構改變」、「國際政經情勢變化對集團的威脅」、「錯誤資訊與造假資訊」為持續關注的三大中長期風險重點。
1.董事會下設風險管理委員會,由董事會推舉至少三名董事組成之,其中應有過半數獨立董事參與,協助董事會推動風險管理與提升公司治理,以實踐風險管理之目的。
2.風險管理委員會下設風險管理執行委員會,由各事業單位最高主管組成,董事長室主管為召集人,協助與監督各部門風險管理活動之執行。
3.風險管理執行委員會下設風險管理工作執行小組,負責提報公司風險管理政策、協助各事業單位執行風險管理相關作業,並彙整及執行情形予風險管理執行委員會。
4.稽核單位負責稽核落實情形,並定期於審計委員會議中報告公司所面臨的多變風險環境、風險管理重點、風險評估及因應措施。
一、董事會:核定風險管理政策、程序與架構;並確保營運策略方向與風險管理一致。
二、風險管理委員會:協助董事會推動風險管理與提升公司治理,以實踐風險管理之目的,其職責包括事項如下:
● 審查風險管理政策、程序與架構;
● 審查風險管理執行情形,提出必要之改善建議,並定期至少一年一次向董事會報告;
● 執行董事會之風險管理決策。
三、各事業單位之職責角色:
● 負責所屬單位之風險辨識、分析、評量與回應,並於必要時建立相關危機管理機制;
● 定期提報風險管理資訊予風險管理推動與執行單位;
● 確保所屬單位風險管理及相關控制程序有效執行,以符合風險管理政策協助與監督各部門風險管理活動之執行。
四、風險管理工作執行小組 :
● 擬訂風險胃納(風險容忍度),並建立質化與量化之量測標準;
● 分析與辨識公司風險來源與類別,並定期檢討其適用性;
● 彙整並提報公司風險管理執行情形報告;
● 協助與監督各部門風險管理活動之執行;
● 協調風險管理運作之跨部門互動與溝通;
● 執行風險管理委員會之風險管理決策;
● 規劃風險管理相關訓練,提升整體風險意識與文化。
為健全風險管理之功能,本集團風險管理係透過風險辨識、風險評估、風險控制、風險監督及溝通等管理程式,掌握各風險之範疇,並透過PDCA 等管理措施進行,持續有效改善並掌握各項風險因數,以期降低風險發生損失的機率及程度。為符合永續發展原則,善盡地球公民責任,參考國際情勢變化及世界經濟各方論壇提出之新興風險面相,檢視集團中長期可能面臨營運衝擊及挑戰的風險議題,即早辨識並採取適當監管措施,隨時掌控風險以便即時因應:
根據營運相關的環境、社會、公司治理等,執行內外部環境分析及風險辨識,依集團風險管理政策定義營運面、策略面、財務面、危害事件四大面向,擬訂出14大風險因數之控制執行計畫,透過風險辨識、風險評估、風險控制、風險監督及溝通等滾動式管理,掌握各項風險。各類風險項目如下:
集團以下所屬子公司依《風險與機遇管理作業辦法》展開辦理,各功能單位辨識其所可能面對之風險因子,採用「風險評估失效模式與效應分析(Failure Mode & Effect Analysis,FMEA)」、「SWOT」展開,或自行制定識別評價準則,識別和評價出不同風險專案、風險等級進而執行相應管制。依據風險評價歸納出 「嚴重度」、「頻度」、「不易探測度」三項特徵指數,以表達風險發生的可能性及其影響程度,作為後續擬訂風險控管之優先順序及回應措施選擇之參考依據。
● 屬於各事業單位日常營運面之風險管理,由各事業單位進行滾動式PDCA風險控制執行。
● 屬於跨部門或跨廠區重要的危機事件,進行跨部門或跨廠區之風險評估,風險管理執行委員會召集人或其指定之人負責指揮及協議,辨識預防危機事件的可行策略,並依危機事件擬定危機處理程式及復原計畫。
各功能單位於評估及彙總風險後將監控所屬的業務風險,應採取適當之回應措施提出因應對策,並將風險及因應對策提供風險管理工作執行小組進行檢視及追蹤。
針對以上範疇,定期滾動式檢討並完整記錄風險管理執行結果,以掌握風險管理方案及相關控制作業的有效性。風險管理工作執行小組每年度需提報年度計畫及執行情形予風險管理執行委員會,且每年最少召開二次會議,向風險管理委員會進行執行結果報告與說明,內部稽核人員視各級風險層次,定期及不定期檢視風險管理程序及控制執行情形向董事會報告。(依集團風險管理政策辦理之2023年度風險管理執行情形,已於 2024年3月12日向董事會呈報)
風險管理教育訓練含董事會成員在內要求全員參與,每年舉辦定期及不定期內外部風險管理範疇相關課程,並納入員工及主管年度績效考核評分項,有關風險管理執行情形亦同步作為主管年度績效考核項目,旨在將風險意識深化到日常作業及生活教育、有效提升風險管理業務的推廣及執行。
表列2023年度主要主管含董事會、委員會成員43人,總教育時數1,949小時,如下;
集團2023年度整體風險自評為低度風險。部份中/低等級檢核項目多為自然災害及國際情勢相關風險,此部分由各事業單位隨時保持在日常營運中滾動式風險辨識與控制,以提高風險減緩與調適能力隨時因應。本年度於相關業務單位新增隱私權及業務壓力測試項目,檢核項目由前一年度的61項提高到78項,依照各作業單位的管理體系進行項目的辨識、評估,並將檢核結果繪製成風險矩陣圖,依據圖譜結果制定四大措施包含:1)立即改善因應專案2)提報改善計畫3)設定指標監控4)保持滾動式監管。經分析2023年管控結果,各檢測風險項多維持在保持滾動式監管。為了進一步了解每個風險項目對財務的衝擊影響,以前一年度營收為基礎,檢測每一項風險因子可能產生的財務損失量化估算,彙整結果顯示,本年度四大風險面向檢核後之集團潛在財務損失風險控制在3%以內。2023年風險控制計劃與執行情形,請詳閱附件。
為符合永續發展原則,善盡地球公民責任,依世界經濟論壇「世界風險報告」提出之新興風險面相,檢視集團面臨營運衝擊及挑戰的風險議題,中長期持續關注勞動力結構改變、國際政經情勢變化對集團的威脅及錯誤資訊與造假資訊三大重點風險。2023年中長期新興風險控制計畫與執行情形,請詳閱附件。
確保誠信經營以及避免企業貪腐,破壞誠信價值,並且侵蝕企業生命
以「機密性、完整性、可用性」的三大原則訂立《資通安全管理政策》
