風險管理
經營治理
本公司為健全經營及強化公司治理,並落實董事會之風險管理監督功能,特設置風險管理委員會,根據財務(F)、營運(O)、策略(S) 及危害(H) 等四大面向,進行風險鑑別、掌握可能影響企業永續發展的相關風險,並透過風險控制、規避、轉移與自留等相關管理策略與因應措施,將可能的風險降至最低,甚而轉化成為營運契機。
本公司以董事會作為風險管理最高治理單位,審計委員會為督導風險單位,另由各營運單位最高主管組成風險管理委員會,由董事長暨執行長、總經理分別擔任主委及副主委,財務長擔任總幹事,領導其運作。
風險管理流程
本公司風險管理程序包括:風險辨識、風險分析、風險評量、風險回應及監督與審查等流程。
透過「由下而上」及「由上而下」的分析討論,結合策略風險與營運風險,全面辨識可能導致公司目標無法達成,造成公司損失或負面影響之潛在風險事件。
- 分析風險事件發生機率及影響程度,據以計算風險值(量化或質化量測標準)。
- 擬訂風險胃納(風險容忍度),提報審計委員會進行核定。
將風險分析結果與風險胃納加以比對,決定須優先處理之風險事件,並作為後續擬訂回應措施選擇之參考依據。
針對風險回應應訂定相關處理計畫,確保相關人員充分理解與執行,並持續監控相關處理計劃之執行情形。
確實審查風險管理流程及相關風險對策是否持續有效運作,並將相關審查結果納入績效衡量與報告事項中。
風險辨識、分析及衡量
本公司於2023 年12 月啟動2024 年度風險管理計畫,由主委/ 副主委核定2024年度公司層級重大風險 Top 3 Risk,並由各營運單位透過年度風險體檢表,進行相關風險議題的辨識
風險回應
各營運單位於辨識及衡量風險後,對於所面臨之風險應採取適當之回應,建立預防、預警、應變、危機管理和營運持續計畫,來減輕、轉移或規避風險,並做成相關紀錄。風險管理委員會必須持續監控各營運單位就風險應變與控制之執行成效,以因應環境之變動。
| 風險範疇 | 風險來源 | 管理策略 | 2024年具體執行成效 |
|---|---|---|---|
| 營運風險 | 供應鏈中斷 |
|
|
| 資訊安全 |
|
| |
| 安全和隱私風險 |
|
| |
| 資訊機房失效 |
|
| |
| 專利侵權 |
|
| |
| 資金安全 |
|
| |
| 策略風險 | 貿易戰爭 (進出口限制) |
|
|
| 財務風險 | 信用管理 (客戶) |
|
|
| 危害事件 | 氣候變遷 |
|
|
| 電力失效 |
|
| |
| 火災 |
|
| |
| 地震(5 級以上) |
|
|
風險監督與審查
定期向審計委員會及董事會提出風險監控報告,若發現重大風險,危及財務或業務狀況或法令遵循者,立即採取適當措施,適時向董事會報告。 2024 年度風險管理委員會運作(含 BCP 演練)情形,請參閱 瑞鼎官網「風險管理」。
財務風險管理
為因應匯率變動可能產生之財務風險,本公司除持續透過經常性之外幣進銷貨交易,使其外幣債權及債務得以互相沖抵而產生自然避險效果外,尚採取下列具體因應措施:
- 由財務人員依據國內外政經情勢發展,與金融機構保持密切聯繫並蒐集即時匯率資訊,以充分掌握匯率變動趨勢。
- 依據匯率走勢,財務人員適時調整外匯部位,並判斷適當時機買賣與調節,以降低匯率變動對公司獲利之影響。
- 必要時以避險而非投資交易為原則,事前與信用良好之金融機構進行穩健之避險交易,並依訂定之「從事衍生性商品交易處理程序」加強風險控管, 以規避匯率變動之風險。
資安隱私管理
本公司重視利害關係人及營運資訊資產的安全與隱私,訂定資安政策並推動全公司資訊安全管理制度。確保個人資料之蒐集、處理與利用符合「個人資料保護法」等法規,並制定管理辦法落實執行。
透過跨部門資訊安全組織推動資安工作,持續導入科技管理工具強化資安機制。為提升資訊安全完整性,本公司加入 TWCERT/CC(台灣電腦網路危機處理暨協調中心)資安聯防通報機制。
2024 年,未發生來自外部或監管單位的隱私權申訴或裁罰事件。
本公司為確保公司攸關營業秘密等機密資料具安全性,制定相關之資訊安全相關管理辦法,如資訊安全管理規定、密碼原則、郵件使用規範、備份管理規範、系統復原計畫、軟體管理辦法,持續檢測與評估網路與系統架構,以強化整體安全防護機制,位對於異常情況進行管控分析,每月向總經理提出書面報告,彙報資訊安全治理與執行情形。
此外,於公司內部設置資安宣導專區,透過定期宣導及不定期公告及社交工程演練,提升員工資安意識。2024 年導入特權帳號管理系統,以降低橫向攻擊風險,並制定外寄郵件白名單管理規則,防止資料外流,提升公司資安防禦能力。
2024 年進行異地備援及資安事件處理演練,以確保企業持續營運。
資安管理成效
為確保資安政策之方向及適宜性,本公司設有資安專責單位,負責制定資安政策及目標、執行資訊作業安全管理規劃並定期檢討資安政策,2024 年依據資安政策已同步完成調整 9 份相關資安規範。自 2022 年起,每年向董事會報告執行狀況,最近一次報告董事會日期為 2024 年 8 月 6 日。
為提升員工資安意識,除定期之資安宣導外,自 2023 年起每季進行無預警之社交工程演練,透過演練結果加以檢討及改善,藉此強化各單位及員工之資安意識。本公司落實資安管理,2024 年本公司未發生因重大資訊安全事件而遭受損失,年度資訊安全措施推動執行成效,請參閱瑞鼎官網「資訊安全管理」。