風險管理概覽
為因應全球經濟環境變化與永續風險,台光電子以完整的風險管理組織架構及落實的推展層次,根據經濟(含公司治理)、環境及社會等三大面向,鑑別、掌握可能影響企業永續發展的相關風險,並透過風險轉移、削減及避免等相關管理策略與因應措施,將可能的風險降至最低,甚而轉化成為營運契機。台光電子於2024年10月30日第12屆第16次董事會決議通過「風險管理政策與程序」 以作為本公司風險管理之最高指導原則。
台光電子之風險管理政策係依照公司整體營運方針來定義各類風險,建立及早辨識、準確衡量、有效監督及嚴格控管之風險管理機制,在可承受之風險範圍內,預防可能的損失,依據內外環境變化,持續調整改善最佳風險管理實務,以保護員工、股東、合作夥伴與顧客的利益,增加公司價值,並達成公司資源配置之最佳化原則。
本公司每年定期由總經理指定單位協助進行風險因子鑑別,藉以辨識可能影響企業永續發展的相關風險,篩選出風險管理範疇,並依據營運需求,監測潛在風險並實行預防措施,以強化風險管理;針對各項風險擬定風險管理策略,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,將因業務活動所產生的各項風險控制在可接受的範圍。
風險範疇辨識
台光電子依各單位權責功能,包含不同層次的各類風險項目。企業永續發展委員會依重大性原則將風險依經濟(含公司治理)、環境、社會等三大面向再細分相關風險類型,詳如表述。
|
面向 |
風險類型 |
風險說明 |
風險控制措施 |
|
1.經濟面 (含公司治理) |
1.1市場風險 |
1.1.1政經面向:包含因國內外政治、經濟與監管要求等因素,對公司造成財務或業務影響的風險。 1.1.2產業面向:包含因國內外科技與產業變化等因素,對公司造成財務或業務影響的風險。 1.1.3財務面向:包含公司之金融資產或負債( 含財務狀況表內外資產暨負債) 因市場風險因子( 利率、匯率、股價、商品價格及電價等) 波動,使得價值發生變化,所造成種種損失的風險。 |
1. 利率變動風險: 本公司利率變動之影響主要反映在銀行存款之利息收入和銀行借款之利息費用上。在短期借款管理上,公司維持短期額度動撥率不超過50%為原則,並適度提高借款額度水位,以增強短期資金調度之靈活性。至於長期借款方面,為滿足擴廠資金需求,如辦理專項貸款,藉此獲取穩定的長期利率,同時降低整體借款成本,有效減少利率波動帶來之風險。 2. 匯率變動風險: 近來國際匯市波動極大,外匯變動因素增多,為降低匯率波動風險,公司採行策略性之管理,即根據淨部位比例進行避險操作,藉此實現自然避險的效果,有效降低匯率波動帶來的衝擊。 3. 應收帳款風險: 定期開會檢討客戶經營狀況或分析客戶財報,若發現有問題之客戶,即建議暫停發貨或減少放帳。 對內/外銷客戶,原則上依風險等級進行授信,並適度依等級進行投保。 |
|
1.2營運風險 |
1.2.1營運面向:包含因營運模式改變、組織架構調整、銷貨/採購過於集中、產品淘汰、產品與服務之設計及品質管理以及商業合約重大風險管理等對公司造成影響的風險。 1.2.2財務面向:包含因資產評估、信用與償付能力、流動性風險及會計政策等對公司造成影響的風險。 1.2.3內控面向:包含與公司內部控制相關之風險。 1.2.4供應鏈面向:包含因供應商品質、價格、交期與企業社會責任等有關議題而對公司造成影響的風險。 |
||
|
1.3投資風險 |
1.3.1投資面向:包含因轉投資標的過於集中、高風險高槓桿操作、衍生性金融商品交易、金融理財等短期投資市價之波動風險,或長期投資被投資公司之營運規範管理風險等對公司造成影響的風險。 |
||
|
1.4法規符合風險 |
1.4.1合規面向:包含未能遵循相關法規之風險,包括但不限於勞動法令、公司法及證券交易相關法規、進出口法規管制、產業行為準則、反貪腐等,而可能衍生之風險。 1.4.2法律面向:包含未能遵循各式法律規範而可能衍生之風險,或各項可能侵害公司權益之法律風險等。 |
||
|
1.5資訊安全風險 |
1.5.1包含因自然、人為、或技術等因素對本公司資訊資產之機密性、完整性、或可用性造成威脅之風險。 |
1. 本年度起敦請國際知名驗證單位(SGS)執行ISO 27001驗證查核;另稽核部門每年亦進行至少1次資安稽核。 2. 伺服器主機委由專業資安顧問公司執行弱點掃描作業,找出潛在風險以進行修正,強化阻擋駭客攻擊的能力。 3. 定期舉辦教育訓練及宣導資訊安全新知,強化資訊安全教育,並每年執行社交工程演練,以提高員工資安意識,保護資料安全。 |
|
|
2.環境 |
2.1環境風險 |
2.1.1包含因應氣候變遷與天然災害相關議題所展開之溫室氣體排放管理、碳權管理、能源管理…等有關議題之風險;以及需符合國際及當地環保法令如空水廢毒噪排放管理或環評要求等風險。 |
1. 營運過程碳排放對環境造成影響: (1)透過溫室氣體盤查,及產品碳足跡之調查,分析氣候變遷潛在危機,找尋可能機會及因應作為,並說明因應方式。 (2)集團定期會議舉辦廠區技術交流會議,透過廠區績優案例持續推動節能減碳、工安環保及設備預保等。 (3)持續關注能源及碳管理相關政策法規變動,積極參加相關法規新(修)訂研商公聽會。 2. 營運過程對環境造成污染: (1)執行集團安環稽核,針對工安、環保及消防之法規符合度進行查核及矯正改進。 (2)執行年度安環教育訓練計畫,培訓提升各廠環保業務人員之技能及安環法規新知。 (3)持續關注國內外環保法規變動,透過公協會積極參與環保法規新(修)訂研商公聽會。 |
|
3.社會 |
3.1工作場所危害風險 |
3.1.1作業面向:包含因職業安全衛生與健康、化學品管理、安全防護暨緊急應變,以及其他人為管理操作不當或失誤,所造成公司的風險等。 3.1.2工作環境面向:包含與員工或承攬商安全工作環境有關議題所造成之風險。 |
1. 遵循相關法規要求,制定各項作業管理要點。 2. 職場安全健康委員會定期檢視環境/職安法令符合度。 |
|
3.2人力資源風險 |
3.2.1包含員工或供應商之人權議題,包含但不限於勞資關係、童工、強迫勞動等所造成之風險;以及公司人才發展管理,如招募及留任人才、人才發展機制等議題所造成之風險。 |
1. 定期進行人力盤點與查核。 2. 規劃並執行員工教育訓練與發展規劃。 3. 設計具競爭力的薪酬與員工福利措施。 4. 完整的培訓及在地人才發展培育計畫。 |
資訊安全管理
台光電子以資訊安全管理的三大原則「機密性、完整性、可用性」訂立《資訊安全管理辦法》,除了提供台光集團整體業務持續運作的資訊環境,並建置管理制度與標準程序,目的為達成符合相關法規要求,並免於遭受各種不當使用、洩漏、竄改、竊取、破壞等資安事故威脅,降低可能危害。
台光電子公司、台光(昆山)公司、中山台光公司、台光(黃石)公司均設有資通安全處理小組,由總經理擔任召集人,組員包含各部門主管及資通安全通報網聯絡人員。台灣觀音一廠已於2024年通過 ISO 27001 資訊安全管理系統驗證。除了提升內部資安管理,亦可滿足客戶對我們的信任,對於其他廠區,則以內部管理一致性為前提推動此制度。
台光電子依據美國國家標準暨技術研究院(NIST)評估企業資安防禦現況與目標,採用網路安全框架(Cybersecurity Framework, CSF) 作為資訊安全政策規劃,目的在降低營運關鍵基礎設施安全風險。
|
|
|
網路安全框架(Cybersecurity Framework, CSF) |
|
|
|
ISO 27001:2022證書 |
n 資安管理架構
為保護公司及客戶商業機密安全,妥善檢視並強化公司與客戶往來資訊的管理措施,依據資安管理技術的辨識、保護、偵測、回應與復原五大構面,落實資訊安全管理制度。
|
辨識(Identify) |
保護(Protect) |
偵測(Detect) |
回應(Respond) |
復原(Recover) |
|
1. 資安治理 2. 資訊資產盤點 |
1. 身分驗證與存取控制 2. 端點裝置防護 3. 網路安全防護 4. 資料安全防護 5. 應用服務保護 |
1. 端點及網路行為偵測 2. 資安技術檢測與弱點管理 3. 網路威脅情資運用 |
1. 資通安全事件通報與應變機制 2. 資安事件分析與矯正規劃 |
1. 備份機制 2. 備援計劃 3. 營運持續規畫與演練 |
n 資安管理機制
為保護公司及客戶商業機密安全,將資料進行分級分類管理,妥善檢視並強化公司與客戶往來資訊的管理措施,對存取網路、電腦與人員進行權限控管,台光電子制定了三大資安重點管理目標:
1. 資訊設備安全管理
定期進行資訊資產盤點,建置企業資料不落地架構、落實檔案權限管理、系統事件管理系統 (SIEM) 日誌監控、雙因子認證(MFA)強化驗證機制及資料安全保護等管理作法,並每年進行一次備份還原演練,確保事件或災難發生時快速恢復運作,降低潛在風險、減少事件和災難帶來的損失。2024年度共進行4次備援演練,分別於台光電子公司、台光(昆山)公司、中山台光公司、台光(黃石)公司進行演練,包含跨廠重要設備、服務切換與備份資料復原驗證。
2. 網路與防毒管理
為防範網路攻擊與因應惡意入侵行為,設置次世代防火牆、入侵防禦系統、進階威脅防護系統、端點進階偵測與防護、導入工控場域、產線系統網路安全監控及主機深度防禦系統以阻擋零時差系統漏洞等攻擊行為,並持續取得外部威脅情資及結合現有資安系統判定外部惡意攻擊行為進行自動化行為偵測與阻擋,每月透過系統弱掃工具掃瞄並針對系統弱點進行修補,並使用網路資安風險管理系統持續進行台光網路資安風險評估。同時定期委託外部專業資訊安全專家進行滲透測試等資訊安全強化工作,全面性找出資安防護上的盲點,建立安全作業環境,確保永續經營。
3. 員工資訊安全教育訓練
除新進同仁皆需接受資訊安全宣導外,本公司不定期實施資訊安全宣導及訓練,以強化同仁對客戶隱私與機密資訊的意識,以加強資訊安全重要性的觀念。
n 資安事件通報流程及事件
當發生資訊安全事件時,公司同仁應依據《台光電子資通訊安全事件通報及應變作業流程》,向資訊最高主管進行通報,權責單位並依照該事件進行判定、分類與分級,以立即採取相因應的控制措施,並在最短的期間內處理該資安事件,2022年至2024年,台光皆未違反資訊安全相關法規,未發生任何資訊安全事件。
|
近三年資安事件管理執行情形 |
2022年 |
2023年 |
2024年 |
| 違反資訊安全事件總數 |
0 |
0 |
0 |
|
遭受駭客入侵安全事件總數 |
0 |
0 |
0 |
|
受資安事件所影響的客戶總數 |
0 |
0 |
0 |
|
違反資安/網路安全事件相關的罰款總額 |
0 |
0 |
0 |
n 具體管理方案
本公司實體及環境安全、網路及電腦安全、系統存取控制、系統的永續運作、資安宣導與教育訓練等均有依作業規範確實執行。公司稽核室為資訊安全監理之督導單位,由稽核室負責督導內部資安執行狀況,定期查核如有發現缺失,由權責單位提出相關改善計畫與具體作為,且定期追蹤改善成效,以降低內部資安風險。另為強化本公司資訊安全風險管理,於2024年12月23日已將年度資安持續改善項目提報董事會,確保公司持續經營。本公司資安專責單位,包含資安主管一名與資安人員一名,每月定期召開資安政策與實施細節檢討會議。