風險管理政策與作業程序

​

第一條 訂定目的

為本公司及子公司（下稱「本公司」）建立健全之風險管理作業，透過風險意識建立對潛在風險之辨識、評估、控制、監督等流程，確保本公司之健全經營及強化公司治理，特訂定本風險管理政策與程序（下稱「本政策」），以作為各單位風險管理之最高指導原則。

第二條 訂定依據

本政策係依據「公開發行公司建立內部控制制度處理準則」第44條規定：「公開發行公司宜訂定適當之風險管理政策與程序，建立有效風險管理機制，以評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形」。

第三條 適用範圍

本政策適用範圍包括本公司各層級之風險管理作業。

第四條 風險管理定義

風險管理係指以永續經營為本公司營運最高目標，辨識重大潛在風險並制定對應的風險控制及風險應變機制，使其在可控範圍內，將風險造成之衝擊與影響降至最低，以合理確保本公司目標之達成。

第五條 組織架構及權責

本公司風險管理組織架構包括董事會、稽核室、管理階層及各單位部門等。相關權責如下：

一、董事會：本公司風險管理之最高決策單位，任命與監督公司管理階層、負責公司整體的營運狀況及設立確切目標，確認風險管理及內部監控系統之整體有效性。

二、稽核室：依據公司風險管理政策與評估擬訂稽核計劃與執行，適時提供改善建議，暨年度推動公司各單位內部控制制度之自行評估作業，以利公司風險控管。

三、管理階層：因應內外部環境、法令調整進行風險管理制度之規劃與修正及風險相應的應對措施，進行風險管理及內部監控系統。

四、各單位部門：本公司各單位部門主管負有風險管理之責任，應明確辨識其部門所面臨之相關風險，確保風險控管機制與程序能有效執行，並應定期向風險管理小組彙報風險管理情形。

五、除上述組織外，若遇有突發性之重大風險發生，致可能對本公司產生重大影響者，則應成立相關應變小組以即時回應處理各種風險狀況，並與相關利害關係人溝通，確保遵循法令規定及將潛在損失與衝擊降至最低。

第六條 風險管理流程

風險管理流程包括下列作業：

一、風險意識建立：為強化本公司各單位部門主管及員工對本公司風險管理政策、流程等事項之認識，並培養其風險辨識能力，本公司應不定期舉辦風險管理教育訓練或說明會。

二、風險辯識：各單位部門針對本公司所處經營環境，潛在風險情境及其對營運的可能衝擊執行風險盤點作業，辨識影響本公司策略與目標之風險。風險辨識層面包括：

(一)策略面：包括產業變化、科技變化、商業模式、組織結構應變等。

(二)營運面：包括市場供需、營運中斷、資安管理、智慧財產、投資業務、保險等。

(三)財務面：包括利率、匯率、資金流動性、負債比例、衍生性產品管理等。

(四)環境面：包括氣候變遷、天然災害、食安環保、職業安全衛生等。

(五)法規面：包括環境法規、個資保護、公司治理、反貪腐等。

三、風險評估：

(一)各單位部門辨識風險後，研判可能之風險項目、影響程度與發生可能性，並將風險評估結果與本公司風險可接受門檻比較，設定風險排序。風險評估之結果將做為進一步採取風險應變之依據。

(二)對於可量化的風險，採取較嚴謹的統計技術進行分析管理；對較難量化的風險，則以質化方式衡量。風險質化之衡量係指透過文字描述，表達風險發生的可能性及其影響程度。

四、風險應變：風險應變係針對已發生的風險事件擬定應變計畫及行動方案。擬訂風險應變計畫及行動方案時，須包括方案內容、負責單位、資源需求、執行時程及監控檢討機制等，另須考量應變方案之成本效益。必要時，則應透過跨部門合作，共同解決風險事件。

五、風險監控：

(一)各單位部門應定期向風險管理小組提供風險管理評估表，由風險管理小組進行監控，如遇有突發性之重大風險，則風險管理小組應及時召開會議進行風險評估及討論應變計畫。

(二)內部稽核人員應進行有關風險管理是否有效落實執行之評估，確保制度落實與遵循。

六、資訊揭露：除應依主管機關規定揭露相關資訊外，亦宜於年報、企業社會責任報告書及公司網頁揭露與風險管理有關資訊。

第七條 核准與修訂

本政策經董事會核定後實施，修正時亦同。