8.5.1 風險管理政策與策略
采鈺公司秉持企業願景及對業界與社會的永續責任,建置企業風險管理 (ERM) 機制,並於 2021 年經董事會通過訂定「風險管理政策及程序」,並於 2023 年 8 月修正,作為本公司風險管理之最高指導原則,設置「風險管理指導委員會」,由總經理擔任主席,資源企劃組織最高主管擔任執行秘書,負責制定企業永續經營之策略及規劃藍圖。以風險管理及營運持續管理系統手法,執行風險與風險情境鑑別、評估風險等級、制定預防措施與應變措施等,並透過具體行動、訓練演練等措施達成合規性管理。
企業風險管理策略
8.5.2 風險管理組織與風險管理運作
本公司之風險管理組織係由風險管理指導委員會、風險管理執行委員會、風險管理工作小組所組成,並以風險鑑別及風險評估、風險控制及風險減緩、風險應對、風險監控及風險報告等管理架構,定義風險控管的優先順序與風險等級,採取對應的風險管理作為。2023 年重整與整併鑑別 16 項風險項目,並從風險項目中衍生 113 個風險情境因應,以風險矩陣 (Risk Map) 評估風險事件發生的頻率及對采鈺公司營運衝擊的嚴重度,定義風險的優先順序與風險等級,以採取對應風險管理策略。
其中有六項風險項目列為重大風險,分別為生產線營運持續對客戶滿意度風險、生產線和供應商造成的大量良率損失、地緣政治延伸之訂單風險、更嚴格的環境要求、資訊系統服務中斷,以及 ESG 過渡期間之轉型風險。透過風險情境與衝擊鑑別、制定預防機制、擬定事件因應計畫,據以執行有關訓練及演練,並由風險管理執行委員會監督運作及執行合規性查核 (compliance check),確保重大風險得到管控或緩解。
為落實風險管理機制於 2023 年度通過董事會修訂「風險管理政策與程序」,更明確定義公司在企業風險管理之政策及程序之角色定位與落實,定期召開風險管理小組會議,由各單位至少每季審視所屬單位營運持續風險,包含風險的演變以及因應整體外在波動而發生的新風險或延伸之新興風險等,並據以審視有管對策與具體行動,由風險管理執行委員會每季綜理審視有關風險管理狀況以及推估下一季風險趨勢,並每年一次向董事會報告風險管理運作情形。2023 年風險管理主要運作情形已於 2023 年第三季向董事會報告。
註:企業風險管理工作小組組織圖,請參閱采鈺公司官網 / 公司治理 / 風險管理。
為降低危機事件發生時對本公司的營運衝擊,企業風險管理亦針對重要的危機事件,進行危機事件的事前風險評估,鑑別預防危機事件的可行策略,並且依危機事件訂定危機處理程序及復原計劃。為提升采鈺公司內部的危機管理意識及加強風險管理文化,成立風險管理工作小組,針對火災、地震、資訊系統服務中斷、資訊安全、供應鏈中斷、重大良率損失及水電供應中斷等重要危機事件強化風險評估及危機應變演練,並且運用危機應變演練檢視企業風險管理的完整性及風險控制的有效性,以持續改善及降低企業風險。
為達成「因氣候、災害、人力短缺因素導致生產中斷 0 天」之企業風險管理目標,采鈺公司在 2023 年度從供應鏈管理、資安管理、環安衛風險情境,其可能導致之生產中斷預防優先精進。供應鏈管理中,強化關鍵原料/零件的備援供應商遴用,及進料/庫存管理,確保供應鏈穩定,並透過供應商環安衛工作坊,提升供應商對於環安衛合規性認知與責任義務;資安管理方面,強化雲端安全、對外網路 (Demilitarized Zone,簡稱 DMZ) 安全、資安治理、辦公區安全、資料中心安全、生產線與供應商安全六大構面,維持公司及生產運作的穩定。2023 年後疫情期間,同時強化生產性營運中斷預防,並辦理營運持續管理演練。在精準的風險預防與管制下,2023 年確實達成企業風險管理目標。
在 2024 年度企業風險管理規劃上,利用風險管理工作坊,分別諮詢管理階層、執行階層對於公司風險管理之短、中、長程議題之關注度,持續鑑別與評估有關事件對公司之營運活動影響,以進行因應與衝擊預防。
8.5.3 風險文化的建立
為有效建立本公司的風險文化、提升員工的風險意識,本公司新進人員於報到日起一周內須完成「ISO 22301 (營運持續管理系統簡介)」線上課程;另針對擔任本公司營運持續管理系統內部稽核工作之同仁,則提供 ISO 22301 營運持續性管理系統初階訓練課程或 BCM/ISO 22301 教育訓練。
風險管理委員會於 2023 年度管理審查會議中,安排各單位風險管理委員依其職責進行風險相關主題分享,內容包含營運持續管理演練分享、供應鏈管理、地緣政治對於訂單與客戶管理衝擊、ESG 轉型風險、競爭風險 – 新製程與科技導入風險管理等,以強化風險文化的建構,並透過跨部門工作分享與討論,逐步將風險管理文化落實於工作中。
註 1:本訓練對象中之新進員工,不包含技術人員及定期契約人員。
註 2:ISO 22301 簡介課程包含線上測驗,通過後得以完訓。
註 3:2021 年度 ISO 22301 營運持續性管理系統初階訓練課程為外部講師專業課程,結訓取得訓練證書得擔任公司 ISO 22301 內部稽核員,目前有效證書持有數為 32 名。
註 4:2023 年度新增之 ISO BCM/ISO 22301 教育訓練為外部講師專業課程,完成本項課程得擔任公司 ISO 22301 內部稽核員,目前完訓者為 18 名。