風險管理政策與程序
為強化公司治理、建立健全之風險管理作業,經董事會通過風險管理政策(2020年12月16日),指導公司各單位辦理其業務時應有效辨識、衡量、監督與控制各項風險,並將可能產生的風險控制在可承受之程度內以達成風險與報酬合理化之目標及公司永續經營之目的。
風險管理範疇
本公司從事各項業務所涉及之風險包括營運風險、市場風險、財務風險、氣候變遷與環境風險、職業安全風險、資安風險、合規風險等。
組織架構
風險管理運作情形
本公司於2020年開始推動風險管理機制,並於當年度起每年一次向董事會報告其運作情形。2024年本公司召開風險管理會議,辨識公司面臨之風險、風險評估及風險因應措施,並於2024年12 月20日向永續發展委員會及董事會報告本公司風險管理執行情形,包括風險辨識、評估風險之影響(包括永續議題、氣候風險)及所採風險管理策略之運作情形。本公司主要風險類型及其負責單位與風險管理方式如下:
| 排序 | 風險因子 | 衝擊說明 | 管控機制 |
|---|---|---|---|
| 1 | 20. 產品品質管理 | 負面:潛在衝擊主要體現在:(1) 新產品引入困難,使業務開發受限;(2)既有客戶訂單可能流失 正面:把握產業移動趨勢,引入更多歐美客戶訂單。 |
|
| 2 | 19. 客戶關係管理 | 負面:市場需求判斷失準、產銷規劃錯置、客訴問題未能被重視而流失訂單或新產品開發受阻 正面:善用既有規模與產業移動趨勢,注入新訂單以維持規模與利基優勢,創造股東價值 |
|
| 3 | 8. 研發與創新 | 負面:競爭力不足而流失訂單 正面:有利開發訂單、節能增效,創造就業機會與股東價值 |
|
| 4 | 1. 董事會與公司治理效能 | 負面:治理效能下降的潛在衝擊影響甚鉅,可能是經營策略錯誤、重大營運損失、生存能力受損 正面:良好治理效能可創造規模與獲利持續成長、股東價值持續成長 |
|
| 5 | 5. 政治與社會環境發生變化 | 負面:市場需求變化不確定性提高,使訂單掌握度下降;人口結構與社會環境變化使招工難度提高、人才聚集不易,影響整體競爭力 正面:在既有之規模優勢上加強與社會、往來交易對象互惠的連結性,進而保持規模優勢為訂單及人才注入新血 |
|
| 6 | 36. 供應鏈斷鏈與成本波動 | 負面:(1)備料計劃與執行不穩定
(2)全球市場碎片化、傳染病、碳成本、氣候變化等趨勢使區域供給量不穩定,加上國際原物料價格受政經影響不穩,使材料價格波動頻率與幅度皆增加,議價工作面臨更大挑戰。 正面:國際政治變化的不可逆促使同業開始進駐東南亞,間接促使供應商進駐的可能性變高 |
|
| 7 | 24. 資金管理 | 負面:營運資金不足使營運中斷 正面:資金管理良好可適度放大營運槓桿,創造企業升級空間 |
|
| 8 | 26. 信用管理 | 負面:應收帳款管理失效、投資人信心下降 正面:有助資金管理效能 |
|
| 9 | 28. 能源管理 | 負面:應收帳款管理失效、投資人信心下降。 正面:有助資金管理效能。 |
|
| 10 | 29. 提高溫室氣體排放定價 | 負面:碳費可能將反映在能源成本、材料成本、管理成本、規費成本、運輸成本等等,造成整體經營成本逐步持續上升 正面:加速降本增效的創新 |
|
| 11 | 7. 數位轉型失敗 | 負面:營運效率落後、數據產生發生錯誤 正面:提升營運效率、數據產生即時且正確,間接可協助創新 |
|
| 12 | 37. 商譽受損 | 負面:可能影響停產、訂單流失、人才流失、資金流失 正面:在既有的規模與商譽優勢上持續投入ESG相關管理改善,在東協區域放大經營優勢,挹注成長動能 |
|
| 13 | 22. 市場訊息的不確定性 | 負面:市場訊息不確定性增加將使產銷規劃錯置,間接造成庫存風險、資金風險升高 正面:公司具有規模優勢,體現在採購量、資金需求量上,因此在面對高度不確定性的情況下,妥善規劃受善用規模優勢,可提高與往來對象協商的空間 |
|
| 14 | 32. 新技術投資 | 負面:在新技術的導入或開發上,落後於產業發展,使訂單流失或經營困難 正面:在減碳趨勢下尋找技術轉型,將可能帶來潛在訂單,有利於業務發展 |
|
| 15 | 6. 永續性風險 | 負面:經營決策過於追求短期效益,間接影響長期競爭力 正面:以宏觀且長遠角度思考經營決策,提升競爭底蘊 |
|
| 16 | 39. 地下水枯竭 | 負面:生產中斷、停工 正面:提升水資源使用效率可取得租稅優惠、降低長期營運成本 |
|
2024年重大主題矩陣
資通安全管理策略與架構
(一)資通安全風險管理架構
1. 資訊安全組織
本集團之營運主體Apex Circuit (Thailand) Co., Ltd. (APT) 於西元2022年(民國111年)設立資訊安全委員會(Information Security Management System Committee; ISMS Committee),成員共34人,於2023年度共召開13次會議。委員會下轄APT資安運作中心(Cyber Security Operation Center; CSOC)負責統籌本集團資訊安全及保護相關政策制定、執行、風險管理與遵循度查核,由該中心之資訊安全專責主管每年向母公司董事會及執行長彙報資安管理成效、資安相關議題及方向。本集團稽核室進行稽核,確保內部遵循資安相關準則、程序與法規。
本集團為執行資安運作中心訂定的資安策略,確保內部遵循資安相關準則、程序與法規,由資訊安全專責主管與該中心人員會同業務部門、人力資源部門、工程部門以及法務部門等,每年檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性。
2. 本集團資訊安全委員會架構
(二)資通安全政策
1. 本集團資訊安全管理策略與架構
資訊安全與營運資料保護是企業永續發展與維持核心競爭力的重要基石,為增進本集團資通作業安全及穩定之運作,確保資訊資產之機密性、完整性及可用性,以順利推展本集團各項業務,本集團致力於強化資訊安全管理機制與防禦能力,建立安全及可信賴之電腦化作業環境,確保系統、資料、設備及網路安全,以保護公司重要資訊資產及資訊系統作業正常運作。
本集團資訊安全組織為有效落實資安管理,透過資安運作中心每月召開例行會議,依據規畫、執行、查核與行動(Plan-Do-Check-Action, PDCA)的管理循環機制,檢視資訊安全政策適用性與保護措施,並定期與資訊安全委員會回報執行成效。
2. 具體管理方案
(1) 網路安全
導入先進技術執行電腦掃描及系統與軟體更新
強化網路防火牆與網路控管,防止電腦病毒跨機台及跨區擴散
(2) 設備安全
建置機台入廠掃毒機制,防止內含惡意軟體的機台進入集團
依電腦類型建置端點防毒措施,強化惡意軟體行為偵測
(3) 應用程式安全
制定開發流程應用程式安全檢核表與評核標準及改善目標
持續強化應用程式安全控管機制,並整合於開發流程及平台
(4) 資料安全保護技術強化
開發先進資訊保護工具,藉由資料標籤加強文件機密分類及資料保護
文件及資料加密控管與有效追蹤
郵件外寄控管
(5) 教育訓練
加強員工對郵件社交工程攻擊的警覺性並執行釣魚郵件防禦偵測
定期舉辦員工資安能力演練,提升員工資安意識
(6) 資安成熟度評鑑
委託外部專家(包括資訊安全稽核組織、網路資安風險評核機構)定期執行本集團網路與資訊安全評鑑
整合第三方驗證之客觀結果與威脅情資,進行風險分析並對資安管理體制進行強化
3. 投入資通安全管理之資源
總計投入泰銖8,605,000提升資訊安全防護。