風險管理組織架構
本公司已於110年11月12日董事會通過風險管理辦法,風險管理小組由各項風險管理單位組成,並受執行副總召集。妥適分析、辨別、評估潛在風險,以提供管理階層透過風險管理制度降低或減少風險,並將風險管理制度融入日常營運活動,以調整經營策略、提高經營績效,並達成持續穩定成長及永續經營使命。董事會為本公司風險管理最高決策機關,故依規定風險管理小組召集人至少每年一次向董事會報告風險管理之運作及執行成效。
風險管理職責
| 階層 | 權責範圍 |
|---|---|
| 董事會 | 為本公司風險管理最高決策機關。 |
| 審計委員會 | 1. 審核風險管理政策與程序。 2. 接受稽核中心報告。 |
| 風險管理小組 | 1. 由各項風險管理單位組成,並受執行副總經理召集。 2. 擬定風險管理制度及規劃,界定風險等級和偶發風險,並審視、監控各相關單位之風險。 |
| 各部門及各專案 風險管理代表 | 1. 負責相關業務之風險管理。 2. 審視作業細則或作業手冊。 3. 於主管機關公告最新法規增(修)訂及業務相關函令後,增(修)訂相關內部規範。 |
| 各部門或業務 承辦人 | 1. 初始風險之發覺、評估及控制。 2. 依據承辦業務之內部控制制度及內部規範來執行業務。 |
| 稽核中心 | 1. 檢查、覆核內部控制制度之缺失,並衡量營運之效果及效率。 2. 每年依風險評估提交年度稽核計畫,針對風險管理機制之運作執行稽核。 3. 將風險管理執行情形向審計委員會提出報告,確保風險管理機制有效地運作。 |
風險辨識
風險管理報告
風險管理運作情形
111年共召開2次內部風險管理會議,會議內容如下:
| 日期 | 風險管理小組成員 | 風險範疇 | 會議結論 |
|---|---|---|---|
| 111.4.14 | 風險管理小組召集人執行副總召集,與會部門為法務智權、品保、供應鏈、人資總務、資訊以及財會中心 | 資安風險與防範、營業祕密外洩風險、技術資料管理風險、法遵風險、疫情及戰爭對業務影響之風險、設備綠色節能設計之風險防範…等。 | 依計畫實施 |
| 111.6.16 | 風險管理小組召集人執行副總召集,與會部門為法務智權、品保、業務、供應鏈、人資總務、資訊以及財會中心 | 永續供應鏈管理、員工健康促進、溫室氣體盤查、法遵風險、訴訟風險、存貨天數管理風險、新產品量產風險…等 | 依計畫實施 |
111年度風險報告已提報111年11月11日董事會,並提出建議如下:
風險管理是較為廣泛的,有來自外部及內部組織的風險,建議由上而下及由下而上的管理皆要具備,並由各部門主管判斷風險是否影響公司營運、有無需要提前防範之風險及辨識重大不可預期的風險,才屬風險管理範疇。
資通安全風險管理架構:
本公司已於110年成立「資安專責單位」,該單位包含一名資安專責主管與兩名資安專責人員,負責統籌資訊安全及保護相關政策制定、執行、風險管理及遵循度查核,督導全公司資作業執行及資安風險管理機制之有效性,並定期向董事會陳報整體資訊安全管理組織相關資安管理作業及制度之執行成效。
風險管理循環
2021年度針對「電子資料循環」及「其他管理控制制度(個人資料保護之管理)」,進行查核
1. 查核計畫與項目:
● 每年資訊安全管理審查會議
● 每半年主機災難復原與消防演練
● 資訊安全管理系統(ISO/IEC 27001:2013)首次驗證審查通過
2022年查核結果:無重大缺失。
2. 資安運作情形:
除了每月定期檢討資安情形,111年度資訊安全管理審查會議於11/01召開,其管理範疇如下。
● 前次會議之跟催措施
● 資訊安全管理系統推動事項辦理情形
● 資訊安全內外部環境及風險分析作業
● 營運持續計畫演練報告
● 資訊安全教育訓練
● 內部稽核與審查追蹤
● 不符合事項暨資安事件矯正措施追蹤
● 資訊安全績效指標(KPI)執行成果與趨勢分析作業
● 資安防護概況、資訊架構變動及其它
● 其他變更及改進建議
3. 資安宣導情形:
| 課程名稱 | 班次名稱 | 受訓人數 |
|---|---|---|
| 2022 資訊安全宣導 | HQ-2022 資訊安全宣導 | 429 |
| 2022 ISO 27001系統介紹 | HQ-2022 ISO 27001系統介紹 | 374 |
| 2022 資訊安全管理系統 | HQ-2022 資訊安全管理系統 | 104 |
| 2022 個資內部稽核 | HQ-2022 個資內部稽核 | 55 |
同時,為強化資訊安全機制,於111年度1月申請加入聯防組織,台灣CERT/CSIRT聯盟。
以及於111/11/25通過ISO/IEC 27001:2013,以達到資安防護和資訊安全預警。