企業永續發展 > 風險管理政策
風險管理政策與程序
中宇為穩健經營與永續發展,於2021年9月29日第十屆第11次董事會通過訂定「風險管理政策與程序」以作為風險管理之最高指導原則;本公司將定期向董事會報告風險狀況,並針對各項風險擬定風險管理政策,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,以有效辨識、衡量及控制本公司之各項風險,將因業務活動所產生的風險控制在可接受的範圍。
風險管理範疇
本公司的風險管理包括「營運風險」、「財務風險」、「資訊安全風險」、「危害風險」、「法遵風險」等之管理。
組織架構
| 1. | 董事會:董事會為風險管理最高決策單位,擔負本公司整體風險之最終責任。 |
|---|---|
| 2. | 企業永續發展委員會:企業永續發展委員會協助董事會執行其風險管理職責,負責審議本公司風險管理政策及審查重大風險議題之管理報告。企業永續發展委員會下設置風險管理組,負責整體風險管理事宜,包括:整合及協調跨部門之共同風險管理議題、宣導與溝通重要風險管理事項、執行及追蹤董事會或企業永續發展委員會交付之各項風險管理決議事項並提出風險管理報告。 |
| 3. | 權責單位:權責單位主管負有風險管理責任,負責監督及管控所屬單位內相關風險,確保能完整、有效控制相關風險。 |
運作情形
本公司積極推動落實風險管理機制,定期召開企業永續發展委員會並每年一次向董事會報告其運作情形,2022年主要運作情形如下:
| 1. | 本公司各權責單位監控所屬業務之風險並擬定因應對策或措施,2022年11月15日將風險管理報告提供企業永續發展管理委員會之風險管理組,風險管理組彙整後陳企業永續發展管理委員會,企業永續發展委員會應衡量及監控整體風險管理的品質,並於2022年12月19日向董事會報告,透過定期報告方式,妥適控管相關風險。 |
|---|---|
| 2. | 將相關作業風險課程列入新進人員必修課程,告知本公司重要風險以及防範及應變措施,2022年受訓人數計216人,合計227小時,以強化本公司作業風險文化意識及認知。 |
風險評估
本公司透過重大性分析流程鑑別出利害關係人之高關注度之議題,再依議題細分成經濟/治理面、環境面及社會面,並據此進行風險評估及訂定相關風險政策或策略。2022年重大風險及因應策略如下:
| 風險屬性 | 風險項目 | 潛在風險 |
|---|---|---|
| 營運風險 | 勞資關係風險 | 1.保持勞資雙方溝通管道暢通,提供同仁多元意見反映管道,同仁可透過定期溝通協調會、單位主管、工會代表、勞資會議及稽核單位,反映個人意見或須協助事項,進行雙向溝通。 2.透過協商程序締結團體協約,約定勞動關係及相關事項,可更加穩定勞雇關係、促進勞資和諧、保障勞工權益。 3.同仁均簽署同意書,同意於不違反政府法令及人權的前提下,遵守公司所有規章、制度;其中包含同意保證嚴守工作機密不得洩漏、配合公司工作需要適時延長工作時間及為杜絕侵害智慧財產權之行為。 4.本公司訂有「董事道德行為準則」、「從業人員道德行為準則」、「誠信經營守則」及「誠信經營作業程序及行為指南」等辦法,依工作權責劃分表作好分層管控,並建立「內部控制制度準則」,可有效降低人力資源風險。 |
| 人力短缺風險 | 1.建立多元招募管道:除持續加強招募曝光外,另以工程外包、派遣人力及外籍移工等人力支援因應,另規劃校園及職訓專班合作。 2.優化薪資獎酬制度,吸引並留用優秀人才。 |
|
| 轉投資風險 | 本公司所有轉投資均依取得或處分資產處理程序辦理,並訂有監理子公司辦法依法執行風險控管。 | |
| 生產風險 | 1.視實際訂單及未來可能訂單,規劃各種產銷狀況模擬。 2.生產用原料藥部份視市場購買價格及客戶提貨量,適當調整庫存量,儘量降低購置成本。 3.因應客戶大修後可能之增加或減少提貨量,提前適當調整原料或成品之庫存量。 4.尋找替代性原料藥品來源。 |
|
| 技術風險 | 1.施工技術:本公司承攬各項工程所利用之施工技術以採用成熟穩定且已長期於市場驗證為原則。 2.製程技術:製程技術採用前均先確認是否已經市場驗證,避免製程技術風險;若自主開發或建立之新穎技術均會結合專家學者檢討確認其實際可行性,並設置測試模場長期測試評估,驗證其效能後,才進入工程化設計,降低使用新穎技術之風險。 | |
| 市場風險 | 1.客戶集中度高,主要著重在中鋼及所屬集團公司,中鋼集團為實踐永續發展目標,積極規劃設備更新、改善環保等措施,本公司配合集團政策,全力支援各項機電及環保工程,經評估客戶債信品質良好,並無違約疑慮。 2.近年積極推展銷售業務,陸續開發LED燈具、活性碳吸附材、空氣清淨設備等,將持續開拓產品線,提升產品多樣化。 3.本公司已訂定工程、操作維護、循環經濟三足鼎立的成長策略,持續精進工程管理能力以提昇競爭力,進而爭取更多元客戶以分散風險。 |
|
| 工程管理風險 | 1.協力商缺工問題仍持續存在,但缺工問題仍持續發生,為因應後續龐大的工程案量,將慎選合作之協力商以避免因缺工所造成之延誤,對於優質的協力商將維持長期穩定合作關係,對於新進廠商則會審慎評估其承接能力。 2.針對協力商承攬資格嚴加審核並進行評鑑分級,避免廠商低價搶標導致資金週轉不靈最終發生違約、倒帳及落跑情事。 3.於工程契約內容新增智慧財產權條款及保密條款,明訂保密義務、智財權歸屬及不侵權保證條款以完善契約內容並規範協力商應盡保密之責。 |
|
| 供應鏈風險 | 1.通膨問題嚴重,對企業產生影響。勞動力短缺、庫存不足和地緣政治及動亂不確定性等造成供應鏈中斷的全球性問題,需採取謹慎措施解決: a.訂購數量較大及相同性質品訂購的案件儘可能分散廠家訂購,避免與一家廠商訂購,分散訂購確保交期,須考量供應商成本可能同一案,不同單價(為穩定如期交貨)。 b.慎選供應商,避開與疫情嚴重國家的供應商訂購並留意國際情勢尤其停工、鎖國、進出口貿易受限制的國家,避免與這些國家廠商訂購,以防延誤交期。 c.已訂購廠商每週確認生產製造進度,並請供應商提供製作過程照片,並及定時回報進度以確保準時交貨。 d.美金為強勢貨幣,台幣貶值趨勢明顯,加上美國聯準會啟動升息循環,對於國外採購部分,因各國貨幣競貶尤其是亞洲,訂購金額朝交易國家幣值進行訂購,避免美金交易產生風險。 e.國外供應商設備貨物備妥時,運輸措施必須做好準備,迅速因應運送達成目的。 2.水處理工場營運管理之化學品供應業務,已與業主及供藥商訂定依台塑牌價漲跌做為價格浮動的調整計價機制,避免原物料行情波動所造成的漲幅風險。 |
|
| 社區關係風險 | 1.透過當地鄰里團體,和當地居民建立良好溝通管道,以降低佊此的不信任 2.和當地派出所建立良好互動關係,以便必要時提供適當協助。 |
|
| 財務風險 | 利率及匯率之市場系統風險 | 1.若利率上升致融資成本增加,本公司透過與金融機構長期合作,且財務健全,得以取得較佳之利率條件,以降低利率波動所造成之影響。 2.本公司因採購產生之外幣需求,係根據已確認之訂單以銀行外幣存款或承作遠期外匯為優先考量,以降低匯率波動產生之風險。 3.定期針對總體經濟及外匯的趨勢變化分析,提供充分資訊予管理階層及相關部門參考,以擬定策略降低匯兌風險。 |
| 信用風險 | 每月審視追蹤應收帳款收回情形,若有異常情形則要求即刻瞭解客戶營運狀況及逾期原因。本公司主要客戶債信良好,皆為國內大型企業或公家機關,經評估無重大信用風險。 | |
| 資金運用之流動性風險 | 藉由與金融機構長期合作往來密切,以取得充分資金管道及較佳的利率條件,經評估尚無資金運用之流動性風險。 | |
| 作業風險 | 本公司投保財務人員誠實保證保險、並進行工作輪調,且各項支出均依相關規定層層覆核,作業風險可適度降低。 | |
| 危害風險 | 天然災害或氣候變遷致財務受損風險 | 1.積極參與綠色新事業工程,以因應氣候變遷並降低溫室氣體排放,進而減低財務受損風險。 2.定期維護機房設備並投保商業火災險以及工程險等以降低因天然災害或氣候變遷致財務受損風險。 |
| 全球傳染病 | 1.參酌政府相關防治資訊,並隨時更新公告與辦理講習。 2.依集團廠區與制訂公司防疫規定及辦法並落實執行。 3.訂定獎勵措施以提高疫苗施打率。 4.投保員工染疫保險,加強員工生活安全保障。 |
|
| 職業安全衛生 | 1.推動高風險作業工法審查、工安零災害活動,以強化工安風險控管。 2.訂定降低職災各項KPI指標與制訂中宇公司工安激勵要點,管控與強化工安風險控管並激勵單位執行決心。 3.強制要求與提高協力廠商投保發生職災各類之保險與額度,保障其員工權益。 4.建置高階主管工安資訊圖表化平台,以強化並增快主管工安決策之速度,降減職災發生機率。 |
|
| 安全防護暨緊急應變 | 1.全面或抽檢各專案工程職災與緊急事件通報及演練。 2.為強化各級現場工安巡檢深度與廣度,制訂並落實執行各級管理人員檢查頻率計畫。 3.配合與落實集團公司天災應變及通報流程之要求,以即時通報上級與降低發生之災情。 |
|
| 人為管理、施工、操作不當或失誤 | 1.製作危害辨識與風險評估文件,進行風險降低措施。 2.要求與強化各單位現場工程人員工作職能與操作熟練度之教育訓練。 3.辦理安全衛生人員教育訓練會議,以強化工安人員職能與執行技巧。 |
|
| 資安風險 | 內部人員資安風險 | 1.每年定期進行員工釣魚郵件演練,及資訊安全教育訓練和宣導,提升全體人員資安防護意識。 2.定期檢視資安監控記錄,列出重要事件統計並提供各單位進行資安宣導。 |
| 外部駭客攻擊APT入侵風險 | 1.提升網路安全防護及偵測機制,定期檢視網路存取控制規則。 2.對外重要資訊系統定期委由資安顧問進行弱點掃瞄提供報告,並修正高風險漏洞。 3.定期委由資安顧問對系統環境、網路架構進行資安健診,並依建議進行改善。 4.建立威脅偵測及回應機制,導入EDR端點偵測與回應系統提升及時有效之應變能力。 5.建立「資訊安全策進小組」,定期召開資安管理會議,進行風險管理及改善措施之研議和執行。 6.導入ISO 27001資訊安全管理系統國際標準,以流程方法管理,依據PDCA循環的持續改善。 |
|
| 資料安全風險 | 1.確保資料備份運作正常,定期還原演練驗証完整性。重要備份資料設立多份副本及離線副本。 2.資料取存授權管制,定期檢視授權合理性。 3.升級端點防護,進行程式行為監控,即時攔截惡意加密勒索軟體,降低執行成功率。 4.管制USB外接儲存裝置使用,需申請授權核可,以註冊之裝置存取資料。 |
|
| 法遵風險 | 未遵循主管機關法規 | 修訂內部規章,制定法遵檢核機制並建立檢核系統,使規章承辦同仁能及時知悉政府法令變動情形,以確保內部規章符合政府各主管機關之法規。 |
| 智慧財產權侵害與被侵害 | 持續導入TIPS制度,從內、外部風險每年擬訂智財策略與目標,修訂關於專利及營業秘密之內部規章,並每年執行內部稽核及教育訓練,加強對上游業主及下游協力商之智財權歸屬、不侵權保證及保密義務條款之契約審查。 |