風險管理運作情形

風險管理政策及程序
本公司訂定「風險管理辦法」於111年8月8日經董事會通過，以作為風險管理之指導原則，並於同會期提報該年度運作情形，以利執行營運風險的辨識、分析、評估、控制。董事會負責成立及監督合併公司之風險管理架構。總經理負責發展及控管合併公司之風險管理政策，並定期向審計委員會及董事會報告其運作，最近期提報時間為112年8月7日。

風險管理範疇
主要目的為減緩風險發生時對企業造成之衝擊，確保本公司及合併公司之營運風險均在可控的範疇內，使本公司整體集團營運得以聚焦於業務的增長暨營運效率的提升，並有助於股東權益的維護。
逐年參照前一年度本公司及合併公司發生過的風險事故暨外部專家的意見，於期初設定當年度對本公司及合併公司營運恐有負面影響的相關議題，作為新年度營運風險整體評估、風險排序之依據，就計畫控制的風險品項建議採行的風險管理作為等事項經核可後，進行風險的監控抑或處理。上述監控、處理之工具包括但不限於採行自主風險管理作為控制風險(風險自留)抑或風險轉嫁(投保)。
本公司的風險管理包括「策略風險」、「營運風險」、「財務風險」、「法遵風險」、「資通安全風險」及「氣候風險」等之管理。

組織架構

本公司訂定「風險管理辦法」於111年8月8日經董事會通過，明訂風險管理組織以整合並管理對營運及獲利可能造成影響之各種策略、營運、財務等潛在的風險，且主動與風險事件利害關係人進行溝通，以降低風險事件發生時對本公司的營運衝擊，組織職掌說明如下：
一、董事會：
核定風險管理政策，以確保風險管理之有效性，並負督導風險管理之責。
二、稽核室：
針對各作業存在或潛在風險予以複核，據以擬定實施風險導向之年度稽核計畫，並負責內部控制制度之修訂及推動等工作。檢查及覆核內部控制制度之缺失及衡量營運之效果及效率，並適時提供改進建議，以確保內部控制制度得以持續有效實施及作為檢討修正內部控制制度之依據。
三、總經理室：
負責經營決策風險評估及執行因應策略及督導統籌各部門目標執行及風險回應措施。
四、財務處：
負責財務調度及運用，建立避險機制，並針對財務風險、流動性風險、信用風險及稅務規畫等評估及控管，為本公司相關財務風險管理之評估及執行因應策略負責單位。
五、法務人員：
負責法律風險管理，審核各項合約與提供內部法律諮詢、處理法律糾紛及訴訟，以降低法律風險。
六、資管中心：
負責系統、網路、電腦、主機及相關週邊設備等資安風險評估及執行因應措施。

運作情形
於112年8月7日董事會提報如下：
1.有形資產風險管理：本公司對於有形(如建物、設備、存貨)，依據同業標準規格進行投保。
2.資通安全管理
(1)資通安全風險管理架構

(2)資通安全政策
現今企業面臨的不僅是人與人之間的資訊交換，而是包含人與設備、設備與設備之間的資料自動交換，近年多家大型企業，銀行證卷都曾因為系統被植入程式進而導致企業直接/間接損失，事後檢討後多都指向於企業內使用過舊的系統端點，這些端點上的漏洞成了企業隱憂。
①策略
本公司著重資通安全的點、線、面、進而形成完整的防護網。
點：端點防護，確保每一個端點/Device 都納入資訊管理中心的管理。
線：確保端點與端點之間，資料交換的端口是在符合公司政策下允行，在端口與端口之間不允許有例外的開放。高重要性之系統；資料傳輸之間必須進行多重性驗證或唯一密鑰綁定裝置等驗證方式。
面：在面對眾多端點與端口，備有完善的稽核系統，能夠快速判別那些端口在進行非授權訪問。
②架構
資訊安全需要一套完整的循環/更新機制用來確保企業的資訊安全。
資訊管理中心著力於以下四個面向，發現、檢討、執行、檢驗。
發現：發現新型態的資安問題，舊有系統/技術上的風險。
檢討：模擬新舊型態的攻擊/漏洞，在既有架構中是否有足夠的對策，收集資訊 > 進行防護 > 事先偵測進而阻擋、通知。
執行：持續落實/宣導/稽核資安政策，承總經理核准，協同人事單位，針對違反資安情節之員工視違規情節進行人事處分。
檢驗：採用相同但不同的多方位攻擊手法，檢驗公司既有的資安架構是否能夠有效阻擋來自於內/外部的惡意程式攻擊/入侵/散播。
③


(3)具體管理方案及投入資通安全管理之資源
終端裝置：防毒軟體，行為監控，程式檢測，瀏覽安全防護，網路(WLAN/LAN/WIFI/Mobile Device)權限管制。
網路管制：導入防火牆(所有裝置均受防火牆保護)、終端裝置所有流量及目的地及時偵測。自動更新防火牆核心病毒碼、入侵防禦系統、殭屍網絡 IP偵測防護、移動惡意軟件防護、惡意 URL偵測。所有裝置(含印表機及手機)均列管制，針對所有裝置定義可存取/不可存取/有限存取相關權限。
系統安全：即時更新/修復作業系統安全漏洞，所有服務根據服務需求僅開啟相關端口。所有系統均受防火牆保護及管制。導入軟體稽核管理系統，確保全體員工所使用軟體、版本及其使用權限之配發。
資料安全：所有員工之存取權限根據AD群組原則管制，針對不同員工所屬部門分派相關權限。機密性/完整性/導入SVN版本控制系統，針對重要文件，紀錄每一個檔案紀錄存取之日期/員工/行為。可用性/所有系統及資料皆有本地及異地(超過公司機房100KM)備份各一份，為不可控之災難準備。
場地安全：進出公司大樓/大門/機房都需有員工識別證進行管制，根據不同員工之職責，開放對應的權限。公司大樓24小時配有保全人員管制出入，大樓附避雷針，消防設施維護，機房管制區電纜獨立配置(入)，所有裝置均受UPS保護(出)，24小時溫/濕控。
合作夥伴：針對合作夥伴建構對應的帳戶及存取終端權限。宣導並落實本公司/集團之資安政策。
持續改善及教育訓練-資安通報：根據當下時事提醒及宣導資訊安全其重要性，積極落實資訊安全的意識需存在每個人的身上。
3.企業永續發展相關風險管理：
(1)持續關注氣候變遷及各項節能減碳的新興風險與機會，並且進行評估管理，以達到各項環境保護及降低能耗、減少碳排放的目的。
(2)評估公司措施是否可能危害勞工權益、或有違反從業道德的風險，包含法規適法性及內外部利害關係人議合等，以使公司各項措施符合法規及各項要求。
(3)本公司於2023年5月完成溫室氣體經第三方查證之查證報告如下。專家建議公司在節電、節水及精簡貨物運輸、出差等政策著手改善，預期10年後，年溫室氣體排放較111年減少10%。

類別	111年排放量噸CO2e
直接(範疇一)溫室氣體	24.4911
能源間接(範疇二)溫室氣體	208.3001
其他間接(範疇三)溫室氣體	201.0515
合計	433.8427

4.其他風險
(1)因應嚴重特殊傳染性炎(新冠肺炎，COVID-19)防疫風險管理，公司為確保公司營運以及員工身心健康，具體措施有：

• 於各處廣設酒精手部消毒機，進出公司人員應以酒精消毒手部，並勤洗手。
• 使用視訊會議替代群聚開會，盡量避免外出。
• 為了照顧同仁的健康及保護同仁不受感染，確診者可申請居家上班至快篩呈陰性。

(2)積極參展，增加公司產品曝光率

• 2022年9月法蘭克福國際汽車零配件及售後服務展覽會
• 2023年消費性電子展
• 2023年7月泰國臺灣形象展

 (3)2023年公司網頁全新改版，有效推廣公司產品，並提升公司形象。