風險管理組織架構
本公司已於110年11月12日董事會通過風險管理辦法,風險管理小組由各項風險管理單位組成,並受執行副總召集。妥適分析、辨別、評估潛在風險,以提供管理階層透過風險管理制度降低或減少風險,並將風險管理制度融入日常營運活動,以調整經營策略、提高經營績效,並達成持續穩定成長及永續經營使命。董事會為本公司風險管理最高決策機關,故依規定風險管理小組召集人至少每年一次向董事會報告風險管理之運作及執行成效。
風險管理職責
階層 | 權責範圍 |
---|---|
董事會 | 為本公司風險管理最高決策機關。 |
審計委員會 | 1. 審核風險管理政策與程序。 2. 接受稽核中心報告。 |
風險管理小組 | 1. 由各項風險管理單位組成,並受執行副總經理召集。 2. 擬定風險管理制度及規劃,界定風險等級和偶發風險,並審視、監控各相關單位之風險。 |
各部門及各專案 風險管理代表 | 1. 負責相關業務之風險管理。 2. 審視作業細則或作業手冊。 3. 於主管機關公告最新法規增(修)訂及業務相關函令後,增(修)訂相關內部規範。 |
各部門或業務 承辦人 | 1. 初始風險之發覺、評估及控制。 2. 依據承辦業務之內部控制制度及內部規範來執行業務。 |
稽核中心 | 1. 檢查、覆核內部控制制度之缺失,並衡量營運之效果及效率。 2. 每年依風險評估提交年度稽核計畫,針對風險管理機制之運作執行稽核。 3. 將風險管理執行情形向審計委員會提出報告,確保風險管理機制有效地運作。 |
風險辨識
風險管理報告
風險管理運作情形
自110年11月12日董事會通過風險管理辦法,每年定期向董事會報告其執行情形。
日期 | 風險管理小組成員 | 風險範疇 | 會議結論 |
---|---|---|---|
111.4.14 | 風險管理小組召集人執行副總召集,與會部門為法務智權、品保、供應鏈、人資總務、資訊以及財會中心 | 資安風險與防範、營業祕密外洩風險、技術資料管理風險、法遵風險、疫情及戰爭對業務影響之風險、設備綠色節能設計之風險防範…等。 | 依計畫實施 |
111.6.16 | 風險管理小組召集人執行副總召集,與會部門為法務智權、品保、業務、供應鏈、人資總務、資訊以及財會中心 | 永續供應鏈管理、員工健康促進、溫室氣體盤查、法遵風險、訴訟風險、存貨天數管理風險、新產品量產風險…等 | 依計畫實施 |
112年度風險報告已提報112年11月8日審計委員會及董事會,相關內容如下:
風險小組運作分為五大面向,分別為人資、營運、資安、採購、品質,風控會議則視需求不定期召開。今年度與會的部門為人資暨總務處、資訊處、業務處、品保處、重要生產據點及其供應鏈,由各單位提出認知的風險,再由風險小組和當責單位共同評估其重大性並篩選出中高風險項目,最後提報總經理並校準TOP 5風險。風險範疇包含資安風險與防範、存貨天數管理風險、技術資料管理風險、溫室氣體盤查、客訴再發風險、永續供應鏈管理、替代物料管理及呆滯物料風險、繼任者制度之執行…,並針對上述不同層級的風險,制定短期和中長期的行動方案、執行時程及執行單位。
審計委員會建議:無
董事會建議:無
風險管理循環
2023年度針對「電子資料循環」及「其他管理控制制度(個人資料保護之管理)」,進行查核
1. 查核計畫與項目:
● 每年資訊安全管理審查會議
● 每半年主機災難復原與消防演練
● 資訊安全管理系統(ISO/IEC 27001:2013)首次驗證審查通過
2023年查核結果:無重大缺失。
2. 資安運作情形:
除了每月定期檢討資安情形,2023年度資訊安全管理審查會議於11/9召開,其管理範疇如下。
● 前次會議之跟催措施
● 資訊安全管理系統推動事項辦理情形
● 資訊安全內外部環境及風險分析作業
● 營運持續計畫演練報告
● 資訊安全教育訓練
● 內部稽核與審查追蹤
● 不符合事項暨資安事件矯正措施追蹤
● 資訊安全績效指標(KPI)執行成果與趨勢分析作業
● 資安防護概況、資訊架構變動及其它
● 其他變更及改進建議
同時,為強化資訊安全機制,於111年度1月申請加入聯防組織,台灣CERT/CSIRT聯盟。
以及於111/11/25通過ISO/IEC 27001:2013,以達到資安防護和資訊安全預警。
3. 企業資訊安全措施執行成果:
課程名稱 | 班次名稱 | 受訓人數 |
---|---|---|
2022 資訊安全宣導 | HQ-2022 資訊安全宣導 | 429 |
2022 ISO 27001系統介紹 | HQ-2022 ISO 27001系統介紹 | 374 |
2022 資訊安全管理系統 | HQ-2022 資訊安全管理系統 | 104 |
2022 個資內部稽核 | HQ-2022 個資內部稽核 | 55 |
同時,為強化資訊安全機制,於111年度1月申請加入聯防組織,台灣CERT/CSIRT聯盟。
以及於111/11/25通過ISO/IEC 27001:2013,以達到資安防護和資訊安全預警。