首页 資通安全風險管理
風險管理政策與程序

為強化公司治理建立有效風險管理制度,以達穩健經營與永續發展,本公司於113年10月31日經審計委員會及董事會通過「風險管理政策與程序」。本公司「風險管理政策與程序」係遵循「上市上櫃公司風險管理實務守則」及「公開發行公司建立內部控制制度處理準則」相關規範訂定。
 
期望透過風險管理手法和組織,有效地預防與控制企業風險、辨識可能機會,全面落實於日常管理作業,並與所有利害關係人建立完整透明的風險溝通,以達成風險最小化,並優化資源配置及優先順序。
 
風險管理範疇
 
風險管理委員會考量公司永續(含氣候變遷)各面向規範重點進行全方位風險分析,分析與辨識公司適用之風險來源與類別,定義公司自身之風險類別,針對各風險類別展開相關細部風險情境辨識,並定期檢討其適用性。
 
風險來源與類別,主要包含營運風險、財務風險、安全危害風險、合規風險、其他新興風險(如:傳染病相關風險)等。
 
風險管理組織架構
 
(一) 董事會:為本公司風險管理之最高監督單位,負責核准風險管理政策、架構與文化。
(二) 審計委員會:協助董事會監督公司的風險管理成效,定期審查整體風險管理執行情形,必要時提出改善建議。
(三) 風險管理委員會:建立並持續完善公司風險管理機制,風險管理框架,提出風險管理規劃、執行與監督風險管理事務。

 
風險管理運作情形
 
112年度各項風險管理政策及運作情形,已於112月12月14日提報董事會報告。
 
(1)營運風險:基於營運持續及對利害關係人權益的重視,為確保整體營運免除任何風險造成中斷,臺灣總部4個廠及新加坡子公司均通過「ISO 22301」營運持續管理系統(BCMS)國際標準驗證。
訂定「營運持續政策」及「營運持續管理手冊」,全體員工應確實遵循營運持續相關作業程序,在營運中斷事件發生時能保護公司,確保重要營運流程不受重大災害、人為破壞或設備故障之影響。
訂定「供應鏈風險評估辦法」以避免供應鏈中斷,並降低營運所需資源中斷風險。
全體員工每年施行營運持續管理訓練。
為持續強化營運持續風險之管理能力,所有主管落實日常管理作業,觀察內外部環境之變化,對潛在風險可能產生衝擊時,遵循營運持續管理系統中的因應對策及計劃,降低營運中斷發生之機率。
 
(2)財務風險:專注測試本業,不從事任何高槓桿或高風險投資。欣銓與各子公司均落實嚴謹的財務及金融市場風險管理制度,隨時掌控對營運及獲利潛在之風險,進而管理及整合因應產業市場景氣變化的各種策略,務求本業經營績效及獲利之穩定。
每年度稽核室及會計師均展開深入的稽核,檢核及防範可能的財務風險,並定期公布會計師查核報告、召開股東會及定期召開法人說明會,並於公開資訊觀測站公告相關財務風險資訊。在公司網站上及時揭露財務、業務等消息,以提供利害關係人相關的財務風險管理訊息。
 
(3)安全風險:訂定「環境考量面/危害鑑別與風險評估程序」,對可能導致人員受傷、疾病、財產損失、工作場所環境損害或前述各項組合之潛在傷害的來源,鑑別存在特性及風險等級,做為安全衛生政策、目標及管理方案持續改善的決策參考。
依「緊急應變管制程序」擬定「緊急應變計畫」,針對颱風、地震等天然災害制定應變機制,各廠區編制緊急應變小組,定期舉辦緊急應變演練及消防逃生演練,養成員工緊急應變能力及安全觀念,降低意外事故的災害風險。
總部及新加坡、韓國、南京子公司透過 ISO 45001 或OHSAS 18001的驗證,以國際性的管理系統有效管理安全相關風險。
 
(4)法律及智權風險:本公司訂定完善的智慧財產管理制度, 並建立公司智慧財產管理所需之資源與管理作業,包括持續改善機制,及風險與機會的觀測與因應措施,以確保智慧財產管理制度運作與成效符合預期,維持並深化公司之營業秘密管理。
為確保科技產業智慧財產的保護及正確使用,訂定「智慧財產管理手冊」;全體員工接受「營業秘密暨智慧財產介紹與注意事項」訓練,強化風險管理。隨時密切關注影響營運狀況的國內外政策及社會與經濟領域之法律和規定變動或與營運相關的專利。
截至112年並無違反法律和規定等情事發生。
為持續提升法律符合性、營業秘密及智慧財產權的保護,108年設立「營業秘密管理小組」,經常性檢核及定期審查管理績效,此外,日常作業流程中設計自動檢視營業秘密與智慧財產的保護情形,杜絶不當使用或洩露的風險。
本公司依據智慧財產管理計畫執行,已於112年10月12日通過TIPS再驗證,並完成與營運策略結合之智慧財產管理目標,已於112年12月14日提報董事會報告智慧財產相關執行事項 。TIPS證書有效期間至 114 年 12 月 31 日。
 
(5)資訊風險:資訊為科技產業及客戶的命脈,為達到資訊安全的嚴謹保護,訂定「安全政策」、「資訊安全手冊」等資訊安全相關文件,全體員工必須確實遵循安全規範及要求,落實維護安全事項以確保客戶與公司之安全。全體員工每年施行資訊安全教育。
所有系統開發維護、資料存取、備援機制、病毒及網路入侵均有嚴密的防護措施。機房設有自動滅火系統、不斷電系統、門禁系統及視訊監控措施。
「安全委員會」制定多元資訊安全保護作業,建立良好管理審查制度,定期進行風險評鑑。
委員會每半年進行管理審查,持續進行改善。總部及新加坡、韓國、南京子公司均通過「ISO 27001」標準驗證;總部鼎興廠、開源廠、高昇廠資料機房、寶慶廠資料機房及新加坡廠均通過 Common Criteria 驗證(Site Certification)。欣銓科技深厚的資訊保護安全系統、實體安全保護、產品安全防護以及智慧財產管理系統做為護網,截至112年度未曾發生任何商務資料或個人資料外洩造成客戶抱怨的情事。
 
(6)勞工與人權風險:訂定「人權保護作業規範」及特定型定期契約「勞工仲介管理規範」,確保勞工受到妥善的人權保護。
公司並有多樣化的舉報申訴管道公告於公司內部網站及企業官網,任何人權相關問題均可匿名或具名檢舉,確保人權疑慮情事都有暢通的管道及時被排除。
人力資源部對國外召募的勞工全數檢核召募流程的保護作業;每年度人力資源相關部門對國內、外仲介進行稽核,確認員工在召募流程中沒有任何人權的風險。
截至112年並無違反法律和規定等情事發生。
 
(7)商業道德風險:訂定「商業道德風險管理程序」以鑑別商業道德的潛在風險,經鑑別為高風險之業務活動應施以適當的控管機制以降低風險。
各部門每年度進行商業道德風險鑑別與評估。
評估結果風險發生可能性極低,現有控制措施皆能妥善控制,因此未曾發生任何違反商業道德的情事。