風險管理
風險管理政策及程序:
本公司經董事會通過訂定「風險管理辦法」,以作為本公司風險管理之最高指導原則,由審計委員會督導風險管理。本公司每年定期進行風險辨識並評估風險,鑑別出可能對經營目標產生影響的各項風險,並經評估後決定適當的應變措施,以有效降低公司營運風險。本公司隨時注意國內與國際風險管理之發展,據以檢討改進公司所建置之風險管理制度,以提昇風險管理成效,每年至少一次向董事會進行風險管理報告,113年度運作情形已於114年03月13日向董事會報告,如附件。
113年度風險範疇及管理情形:
| 風險類型 | 說明 | 管控策略與作法 |
|---|---|---|
| 信用風險 | 客戶、供應商、同行對手或其他業務往來者(包含往來銀行)因本身體質惡化或其他因素,導致客戶、供應商、同行對手或其他業務往來者(包含往來銀行)不履行其契約義務而產生之違約損失風險。 | ◆ 透過過往交易記錄針對現有客戶授信額度進行調整。 ◆ 針對高風險客戶交易條件修改。 ◆ 針對客戶進行信用評估,年度信用額度評估調整。 ◆ 定期追蹤應收帳款,進行有效財務規劃與資金調度。 |
| 市場風險 | 市場價格不利之變動,造成資產負債表表內及表外部位可能產生之風險。所謂市場價格指利率、匯率、股票及商品價格等。 | ◆ 持續密切注意利率之變動及全球經濟發展趨勢。 ◆ 與金融機構之融資來往,除善用專案貸款外,在利率方面除積極爭取協調降低加碼幅度外,仍持續隨時償還部份較高利率之銀行借款,以減輕利息支出。 ◆ 從事選擇權交易等衍生性金融商品交易規避因匯率波動所產生之風險 ◆ 分散投資組合,其分散之方式係根據本公司設定之限額進行。 |
| 利率風險 | 因利率波動而造成資產負債不利變動之風險。利率變動可能改變利息收入與營業支出而影響盈餘;也可能影響資產負債表表內及表外部位價值。 | ◆ 持續密切注意利率之變動及全球經濟發展趨勢。 |
| 流動性風險 | 因無法將資產變現或獲得融資以提供資金靈活運用而可能承受損失之風險。 | ◆ 與往來銀行維持良好關係,簽訂短期授信合約可隨時動撥借款。 |
| 作業風險 | 起因於本公司內部作業、人員及系統之不當或失誤,或因外部事件造成損失之風險。包括法律風險。 | ◆ 調任前進行意願了解及職務說明。 ◆ 新進人員正式上線前熟讀SOP。 ◆ 落實安全衛生教育訓練。 ◆ 不定期現場巡查缺失改善。 ◆ 緊急應變演練。 ◆ 消防演練。 ◆ 定期執行消防安檢及建築物公共安全檢查。 ◆ 密切注意主管機關相關法令之修訂,適時提出因應措施,以符合營運需要。 |
| 供應鏈風險 | 資源與過程相聯結的組合,透過產品或服務之提供,跨越輸送模式至最終使用者之過程中,發生某事件使此過程無法達成或順利進行之風險。 | ◆ 關鍵原物料開發二家以上料源。 ◆ 制定明確的原物料驗收規範。 ◆ 對重要原物料供應商考核,並要求供應商對各項考核不佳項目要求改善予以追蹤。 ◆ 落實進料檢驗。 |
| 資訊安全風險 | 駭客入侵攤瘓資訊系統,導致電腦設備故障、資料損失、運作效率降低 | ◆ 安裝端點防護軟體 ◆ 電子郵件伺服器配置有垃圾信過濾機制 ◆ 帳號權限管理。 ◆ 建置備份管理系統,定期將每日備份的資料,異地備援。 ◆ 定期實施災難復原演練。 |
| 其他風險 | 氣候變遷風險/災害風險 | ◆ 持續關注國際氣候變遷趨勢與要求,並依法令規範時程,揭露氣候變遷因應資訊。 ◆ 持續規劃宣導並執行省水、節能與減碳行動,並提升資源使用效率。 ◆ 舉行疏散演練。 |
組織架構:
一、董事會為監督本公司風險管理政策之訂定,並由審計委員會督導風險管理。
二、總經理室為風險管理規範之擬定,確保董事會所核可風險管理規範之執行。
三、稽核單位以獨立超然之精神執行稽核業務,並適時提供改進建議。
四、風險管理非僅公司風險管理單位或專人之職責,公司內所有功能/部門/單位/業務承辦人均有其相應之責任及需配合之事項,以落實公司整體之風險管理。
資訊安全風險管理
經本公司權責單位資訊室評估,資訊安全風險雖佔本公司營運風險比重較小,但隨著網路環境漸趨複雜,相關風險可能逐年增高,本公司已建置資訊安全管理架構,並制定相關資訊安全管理政策,配置一名資安專責主管及一名資安專責人員,擬定並執行資訊安全具體管理方案,加上稽核單位,進行管理制度內部查核、資訊安全預防及危機處理等監控作業,並由稽核主管定期向董事會報告稽核結果,持續精進內部異常偵測與防護方法,以降低企業資安風險。
資訊安全具體管理方案
本公司現階段以既有的資訊安全管理程序來落實資訊安全風險管理。相關具體執行措施如下:
網路安全管理
1.配置企業級防火牆,阻擋駭客非法入侵。
2.與分公司及外點使用SSL VPN的連線作業,使用資料加密方式,避免資料傳輸過程遭到非法擷取。
3.配置上網行為管理系統,控管網路存取,可屏蔽訪問有害或政策不允許的網址及內容,強化網路安全且防止頻寬被不當佔用。
系統存取控制
1.公司內各應用系統的使用,需透過資訊服務需求申請程序,經權責主管核准後,由資訊單位建立帳號,且經過系統管理員依所申請之功能開放權限,方得使用。
2.帳號的密碼設置,需符合文數字參雜規定,才能通過。
3.同仁辦理離職手續時,需會辦資訊單位,進行各系統帳號刪除作業。
落實資安訓練
1.定期對員工進行資訊安全宣導,不定期實施資訊安全教育訓練,以提高同仁對資訊安全認知的重要性。
2.在各系統作業,皆有彈跳視窗溫馨提醒注意資安事項。
病毒防護與管理
1.伺服器與同仁電腦設備皆安裝端點防護軟體,病毒碼採自動更新,確保能阻擋最新型病毒。
2.電子郵件伺服器配置有垃圾信過濾機制,防堵病毒或垃圾郵件進入使用者端PC。
確保系統可用性
1.建置備份管理系統,定期將每日備份的資料,一份保留在機房,另一份放於異地,互相備援。
2.定期實施災難復原演練,選定還原基準點後,由備份檔回存於系統主機。
電腦設備安全管理
1.本公司電腦主機、各應用伺服器等皆設置於專用機房,機房門禁採感應式刷卡進出,且保留記錄存查。
2.資訊機房內有獨立空調及不斷電系統並備有發電機,以維持電腦設備於適合的溫度下運轉,斷電時不會中斷電腦應用系統的運作。
3.建置設備管理系統,需經過公司認證之移動裝置及裝置才可連線至公司內網及存取資料。
投入資安管理之資源
1.使用Veritas backup exec備份軟體
2.採用Sharetech Next Generation UTM防禦管理平台
3.定期執行主機系統及網站之弱點掃描
2024年度伯鑫已執行之資安事件預防行動如下:
1. 災害復原演練1次
2.弱點掃描1次
3. 帳號權限盤點1次
4. 營運系統盤點1次
5. 資安教育訓練(全體員工)1次
6. 資安風險評估1次
7. 社交工程訓練(全體員工)1次
