風險管理政策與程序
為讓本公司風險管理作業有所依循並妥善管理風險,於2008年訂定「風險管理政策」,定期檢視政策內容並於年度集團風險評估進行前,報請董事會通過(最新一次呈報通過日期為2021/05/12),作為本公司最高指導原則。本公司每年定期由風險控管室進行風險因子鑑別,藉以辨識可能影響企業永續發展的相關風險,篩選出風險管理範疇,並依據最新內部稽核之發展要求及準則要求,監測潛在風險並實行預防措施,以強化風險管理;針對各向風險擬定風險管理策略,涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行,將因業務活動所產生的各項風險控制在可接受的範圍。
風險管理範疇
為確保本公司正常營運以達成企業之永續經營,本公司以積極並具成本效益的方式,整合並管理所有對營運及獲利可能造成影響之各種策略、營運、財務及危害性等潛在的風險,透過定期的集團風險評估,以風險矩陣圖瞭解風險事件發生的頻率及對公司營運衝擊的嚴重度,定義風險的優先順序與風險等級,並依風險等級採取對應的風險管理策略。本公司的風險來源包括「策略風險」、「營運風險」、「財務風險」、「法令遵循風險」、「氣候變遷風險」。
組織架構
根據公司治理發展與內部稽核準則要求,於2004年7月1日成立風險管理小組,統整本公司各項風險管理相關事務,後又依作業需求依序改制為風險管理及法務部、風險管理及保險部等,為能更專注於健全公司治理制度及強化風險管理機能,本公司於2022年3月將風險管理相關職能自前述單位劃分出來而獨立設置風險控管室,並提升位階將其直屬總經理轄下,定期進行風險評估以及後續分析與處理。以風險特性做區分,除由風險控管室負責統整各項風險管理相關事務外,一般性質之營運風險由各業務單位負責最初之風險辨識、風險評估及風險控制,涉及重大風險之項目則分別根據其風險性質高低及金額高低,依本公司規定送呈各專案審議小組等進行審議,達規定標準者並送董事會核准。各業務單位定期進行風險因子鑑別與風險控管,以促進風險管理組織之指揮調度、自我評估及執行等更有效率,並每年定期向董事會報告前年度風險評估情形與風險管理運作情形況。
本公司風險管理之組織架構如下:

A. 本集團所有業管單位/部門(含分公司、關係企業) 依程序書規定配合落實其業管工作之風險管理及集團年度風險評估作業。
B. 風險控管室負責風險管理作業程序書之制定、修訂及廢止,並依程序書規定負責本公司總體風險程度之管控及跨部門之專案風險管理,辦理集團年度風險評估作業及協助業管單位辦理風險評估作業相關事宜。
C. 稽核室對風險管理作業執行稽核,以監控本公司風險管理之有效運作與執行。
運作情形
為落實風險管理機制,每年定期展開集團風險評估作業,風險評估作業結果報告每年皆會定期呈報與風險管理委員會以及董事會(最新一次呈報日期為2022/11/10),呈報內容包括彙整當年公司所面臨之各項風險(2022年度所遇風險項目,如:人員安全風險、營運成本風險、匯率風險、法規遵循及變動風險、氣候變遷風險等),及風險因應措施與預計改善計畫等,後續於每季進行追蹤,並知會稽核室追蹤結果,由稽核室對於風險管理作業執行風險管理稽核,以確保本公司風險管理有效運作與執行。
本公司持續著力氣候變遷因應與管控,成立永續經營小組,透過ESG架構推動環境、社會、公司治理面向等議題,強化公司在減緩氣候變遷衝擊與調適策略。
為強化集團從業人員具有風險概念,並將風險控管概念落實於日常業管工作中,定期辦理風險管理教育訓練,如2021年辦理共3梯次,總參與人數為108人,訓練時數皆為3小時之ISO 31000 風險管理實務思維主題之課程,以強化本公司風險控管概念之落實,繼而於2022年辦理風險管理實務經驗分享課程,總參與人數為128人,訓練時數為3小時,以實際風險管理案例,增加本公司風險管理第一道防線落實能力。
風險管理政策
第一章 總則
第一條 制定目的
為讓本公司風險管理作業有所依循並妥善管理風險,特制定本政策以規範風險辨識、評估、決策及效果監控與改進的標準程序,作為本公司風險管理之準則,並確保達成公司營運之目標
第二條 風險的定義
風險為各種因人為、天災、氣候變遷、全球經濟及政治情勢所引起而將對企業經營造成不利影響之事件,並以風險的發生頻率與造成之嚴重度作為衡量風險大小的標準。
第二章 風險管理架構與權責
第三條 風險管理架構及權責
一、本集團所有業管單位/部門(含分公司、關係企業) 依程序書規定配合落實其業管工作之風險管理及集團年度風險評估作業。二、風控保險部負責風險管理作業程序書之制定、修訂及廢止,並依程序書規定負責本公司總體風險程度之管控及跨部門之專案風險管理,辦理集團年度
風險評估作業及協助業管單位辦理風險評估作業相關事宜。
三、稽核室 : 對風險管理作業執行稽核, 以監控本公司風險管理之有效運作與執行。
第三章 風險管理流程
第四條 風險管理流程從風險辨識、風險分析、風險評價到風險決策。
一、風險辨識 : 各單位藉由內控作業循環分析、情境模擬分析等方式並參酌實務經驗 (含外部資訊)及考量對內外利害關係人的影響,發現並列出管理範圍內所有危險因子。本公司風險來源區分如下:
(一) 策略風險:含資源配置、營運目標業務擴張或縮減、 市場 動態、公眾與投資者關係、市場環境變化、各國政策與政治風險等。
(二) 營運風險:銷售與行銷、供應鏈、員工、資訊技術、遭網路攻擊主機電腦中毒、資訊機房受災、巨大災害、實體資產、不可抗力風險(如天災、重大疫情
傳染病、恐攻)等。
(三) 財務風險:流動性和信用、財務報表、稅務、資本結構等。
(四) 法令遵循風險:公司治理制度、行為準則、各國法令及國際規章等。
(五) 氣候變遷風險 : 氣候變遷對企業之風險與機會。
二、風險分析:將已辨認出的風險因子,藉由數據統計、情境模擬分析等方式並參酌實務經驗所蒐集之外部資訊(如同業案例或數據)以分析並記錄損失頻率
與幅度。
三、風險評價及因應:風險評估乃依循所訂定的評估標準,將風險分析步驟中所分析出的損失頻率與幅度加以分級並求出風險程度,最後據此將風險因子在風
險矩陣中加以定位,面對風險之因應措施有: 風險自留、風險轉嫁、風險規避及風險預防,作為風險決策參考。
四、風險監控 : 由各權責單位負責風險管理流程運作順暢,並配合內外部稽核達到監控目的,年度集團風險報告結果應提報董事會。
第四章 附則
第四條 本政策之修訂經董事會決議通過後生效, 修訂時亦同。
(本風險管理政策已於2021/05/12報請董事會通過)