风险管理概览
为因应全球经济环境变化与永续风险,台光电子以完整的风险管理组织架构及落实的推展层次,根据经济(含公司治理)、环境及社会等三大面向,鉴别、掌握可能影响企业永续发展的相关风险,并透过风险转移、削减及避免等相关管理策略与因应措施,将可能的风险降至最低,甚而转化成为营运契机。台光电子于2024年10月30日第12届第16次董事会决议通过「风险管理政策与程序」 以作为本公司风险管理之最高指导原则。
台光电子之风险管理政策系依照公司整体营运方针来定义各类风险,建立及早辨识、准确衡量、有效监督及严格控管之风险管理机制,在可承受之风险范围内,预防可能的损失,依据内外环境变化,持续调整改善最佳风险管理实务,以保护员工、股东、合作伙伴与顾客的利益,增加公司价值,并达成公司资源配置之最佳化原则。
本公司每年定期由总经理指定单位协助进行风险因子鉴别,借以辨识可能影响企业永续发展的相关风险,筛选出风险管理范畴,并依据营运需求,监测潜在风险并实行预防措施,以强化风险管理;针对各项风险拟定风险管理策略,涵盖管理目标、组织架构、权责归属及风险管理程序等机制并落实执行,将因业务活动所产生的各项风险控制在可接受的范围。
风险范畴辨识
台光电子依各单位权责功能,包含不同层次的各类风险项目。企业永续发展委员会依重大性原则将风险依经济(含公司治理)、环境、社会等三大面向再细分相关风险类型,详如表述。
|
面向 |
风险类型 |
风险说明 |
风险控制措施 |
|
1.经济面 (含公司治理) |
1.1市场风险 |
1.1.1政经面向:包含因国内外政治、经济与监管要求等因素,对公司造成财务或业务影响的风险。 1.1.2产业面向:包含因国内外科技与产业变化等因素,对公司造成财务或业务影响的风险。 1.1.3财务面向:包含公司之金融资产或负债( 含财务状况表内外资产暨负债) 因市场风险因子( 利率、汇率、股价、商品价格及电价等) 波动,使得价值发生变化,所造成种种损失的风险。 |
1. 利率变动风险: 本公司利率变动之影响主要反映在银行存款之利息收入和银行借款之利息费用上。在短期借款管理上,公司维持短期额度动拨率不超过50%为原则,并适度提高借款额度水位,以增强短期资金调度之灵活性。至于长期借款方面,为满足扩厂资金需求,如办理专项贷款,借此获取稳定的长期利率,同时降低整体借款成本,有效减少利率波动带来之风险。 2. 汇率变动风险: 近来国际汇市波动极大,外汇变动因素增多,为降低汇率波动风险,公司采行策略性之管理,即根据净部位比例进行避险操作,借此实现自然避险的效果,有效降低汇率波动带来的冲击。 3. 应收帐款风险: 定期开会检讨客户经营状况或分析客户财报,若发现有问题之客户,即建议暂停发货或减少放帐。 对内/外销客户,原则上依风险等级进行授信,并适度依等级进行投保。 |
|
1.2营运风险 |
1.2.1营运面向:包含因营运模式改变、组织架构调整、销货/采购过于集中、产品淘汰、产品与服务之设计及品质管理以及商业合约重大风险管理等对公司造成影响的风险。 1.2.2财务面向:包含因资产评估、信用与偿付能力、流动性风险及会计政策等对公司造成影响的风险。 1.2.3内控面向:包含与公司内部控制相关之风险。 1.2.4供应链面向:包含因供应商品质、价格、交期与企业社会责任等有关议题而对公司造成影响的风险。 |
||
|
1.3投资风险 |
1.3.1投资面向:包含因转投资标的过于集中、高风险高杠杆操作、衍生性金融商品交易、金融理财等短期投资市价之波动风险,或长期投资被投资公司之营运规范管理风险等对公司造成影响的风险。 |
||
|
1.4法规符合风险 |
1.4.1合规面向:包含未能遵循相关法规之风险,包括但不限于劳动法令、公司法及证券交易相关法规、进出口法规管制、产业行为准则、反贪腐等,而可能衍生之风险。 1.4.2法律面向:包含未能遵循各式法律规范而可能衍生之风险,或各项可能侵害公司权益之法律风险等。 |
||
|
1.5资讯安全风险 |
1.5.1包含因自然、人为、或技术等因素对本公司资讯资产之机密性、完整性、或可用性造成威胁之风险。 |
1. 本年度起敦请国际知名验证单位(SGS)执行ISO 27001验证查核;另稽核部门每年亦进行至少1次资安稽核。 2. 伺服器主机委由专业资安顾问公司执行弱点扫描作业,找出潜在风险以进行修正,强化阻挡骇客攻击的能力。 3. 定期举办教育训练及宣导资讯安全新知,强化资讯安全教育,并每年执行社交工程演练,以提高员工资安意识,保护资料安全。 |
|
|
2.环境 |
2.1环境风险 |
2.1.1包含因应气候变迁与天然灾害相关议题所展开之温室气体排放管理、碳权管理、能源管理…等有关议题之风险;以及需符合国际及当地环保法令如空水废毒噪排放管理或环评要求等风险。 |
1. 营运过程碳排放对环境造成影响: (1)透过温室气体盘查,及产品碳足迹之调查,分析气候变迁潜在危机,找寻可能机会及因应作为,并说明因应方式。 (2)集团定期会议举办厂区技术交流会议,透过厂区绩优案例持续推动节能减碳、工安环保及设备预保等。 (3)持续关注能源及碳管理相关政策法规变动,积极参加相关法规新(修)订研商公听会。 2. 营运过程对环境造成污染: (1)执行集团安环稽核,针对工安、环保及消防之法规符合度进行查核及矫正改进。 (2)执行年度安环教育训练计画,培训提升各厂环保业务人员之技能及安环法规新知。 (3)持续关注国内外环保法规变动,透过公协会积极参与环保法规新(修)订研商公听会。 |
|
3.社会 |
3.1工作场所危害风险 |
3.1.1作业面向:包含因职业安全卫生与健康、化学品管理、安全防护暨紧急应变,以及其他人为管理操作不当或失误,所造成公司的风险等。 3.1.2工作环境面向:包含与员工或承揽商安全工作环境有关议题所造成之风险。 |
1. 遵循相关法规要求,制定各项作业管理要点。 2. 职场安全健康委员会定期检视环境/职安法令符合度。 |
|
3.2人力资源风险 |
3.2.1包含员工或供应商之人权议题,包含但不限于劳资关系、童工、强迫劳动等所造成之风险;以及公司人才发展管理,如招募及留任人才、人才发展机制等议题所造成之风险。 |
1. 定期进行人力盘点与查核。 2. 规划并执行员工教育训练与发展规划。 3. 设计具竞争力的薪酬与员工福利措施。 4. 完整的培训及在地人才发展培育计画。 |
資訊安全管理
台光电子以资讯安全管理的三大原则「机密性、完整性、可用性」订立《资讯安全管理办法》,除了提供台光集团整体业务持续运作的资讯环境,并建置管理制度与标准程序,目的为达成符合相关法规要求,并免于遭受各种不当使用、泄漏、窜改、窃取、破坏等资安事故威胁,降低可能危害。
台光电子公司、台光(昆山)公司、中山台光公司、台光(黄石)公司均设有资通安全处理小组,由总经理担任召集人,组员包含各部门主管及资通安全通报网联络人员。台湾观音一厂已于2024年通过 ISO 27001 资讯安全管理系统验证。除了提升内部资安管理,亦可满足客户对我们的信任,对于其他厂区,则以内部管理一致性为前提推动此制度。
台光电子依据美国国家标准暨技术研究院(NIST)评估企业资安防御现况与目标,采用网路安全框架(Cybersecurity Framework, CSF) 作为资讯安全政策规划,目的在降低营运关键基础设施安全风险。
|
|
|
網路安全框架(Cybersecurity Framework, CSF) |
|
|
|
ISO 27001:2022证书 |
n 资安管理架构
为保护公司及客户商业机密安全,妥善检视并强化公司与客户往来资讯的管理措施,依据资安管理技术的辨识、保护、侦测、回应与复原五大构面,落实资讯安全管理制度。
|
辨识(Identify) |
保护(Protect) |
侦测(Detect) |
回应(Respond) |
复原(Recover) |
|
1. 资安治理 2. 资讯资产盘点 |
1. 身分验证与存取控制 2. 端点装置防护 3. 网路安全防护 4. 资料安全防护 5. 应用服务保护 |
1. 端点及网路行为侦测 2. 资安技术检测与弱点管理 3. 网路威胁情资运用 |
1. 资通安全事件通报与应变机制 2. 资安事件分析与矫正规划 |
1. 备份机制 2. 备援计划 3. 营运持续规画与演练 |
n 资安管理机制
为保护公司及客户商业机密安全,将资料进行分级分类管理,妥善检视并强化公司与客户往来资讯的管理措施,对存取网路、电脑与人员进行权限控管,台光电子制定了三大资安重点管理目标:
1. 资讯设备安全管理
定期进行资讯资产盘点,建置企业资料不落地架构、落实档案权限管理、系统事件管理系统 (SIEM) 日志监控、双因子认证(MFA)强化验证机制及资料安全保护等管理作法,并每年进行一次备份还原演练,确保事件或灾难发生时快速恢复运作,降低潜在风险、减少事件和灾难带来的损失。 2024年度共进行4次备援演练,分别于台光电子公司、台光(昆山)公司、中山台光公司、台光(黄石)公司进行演练,包含跨厂重要设备、服务切换与备份资料复原验证。
2. 网路与防毒管理
为防范网路攻击与因应恶意入侵行为,设置次世代防火墙、入侵防御系统、进阶威胁防护系统、端点进阶侦测与防护、导入工控场域、产线系统网路安全监控及主机深度防御系统以阻挡零时差系统漏洞等攻击行为,并持续取得外部威胁情资及结合现有资安系统判定外部恶意攻击行为进行自动化行为侦测与阻挡,每月透过系统弱扫工具扫瞄并针对系统弱点进行修补,并使用网路资安风险管理系统持续进行台光网路资安风险评估。同时定期委托外部专业资讯安全专家进行渗透测试等资讯安全强化工作,全面性找出资安防护上的盲点,建立安全作业环境,确保永续经营。
3. 员工资讯安全教育训练
除新进同仁皆需接受资讯安全宣导外,本公司不定期实施资讯安全宣导及训练,以强化同仁对客户隐私与机密资讯的意识,以加强资讯安全重要性的观念。
n 资安事件通报流程及事件
当发生资讯安全事件时,公司同仁应依据《台光电子资通讯安全事件通报及应变作业流程》,向资讯最高主管进行通报,权责单位并依照该事件进行判定、分类与分级,以立即采取相因应的控制措施,并在最短的期间内处理该资安事件,2022年至2024年,台光皆未违反资讯安全相关法规,未发生任何资讯安全事件。
|
近三年资安事件管理执行情形 |
2022年 |
2023年 |
2024年 |
|
违反资讯安全事件总数 |
0 |
0 |
0 |
|
遭受骇客入侵安全事件总数 |
0 |
0 |
0 |
|
受资安事件所影响的客户总数 |
0 |
0 |
0 |
|
违反资安/网路安全事件相关的罚款总额 |
0 |
0 |
0 |
n 具体管理方案
本公司实体及环境安全、网路及电脑安全、系统存取控制、系统的永续运作、资安宣导与教育训练等均有依作业规范确实执行。公司稽核室为资讯安全监理之督导单位,由稽核室负责督导内部资安执行状况,定期查核如有发现缺失,由权责单位提出相关改善计画与具体作为,且定期追踪改善成效,以降低内部资安风险。另为强化本公司资讯安全风险管理,于2024年12月23日已将年度资安持续改善项目提报董事会,确保公司持续经营。本公司资安专责单位,包含资安主管一名与资安人员一名,每月定期召开资安政策与实施细节检讨会议。