風險與資安管理

風險管理機制

風險管理的目的為保護及增進公司價值,能夠有架構且系統性評估可能面臨之既有及潛在風險,及時做出符合公司營運目標及策略之因應決策,進而促成持續性改善。研華做為全球行業領先者,對於各項風險管理議題亦持續關注和精進。

研華在2008和2009 年分別年制定風險管理辦法(Risk Management Policy) 和營運持續計畫(BCP, Business Continuity Plan),替所有可能發生的營業中斷風險、商譽或各種新興風險預做準備,規範風險發生時的營運操作,以最小化風險發生時的可能衝擊與影響,並達到後續的修正與管理。此外,針對各類相關風險,研華力求向可能受影響的利益關係者(stakeholders)提供透明、即時訊息的傳遞與溝通。

改善計畫

鑒於全球產業、國際情勢以及數位化浪潮等之快速變化,以及過去一年疫情和資安事故之衝擊,研華認為有強化既有風險管理組織架構及程序之必要性,故於2020年底發起風險管理精進之討論會議,除了重新審視風險管理治理架構、風險小組運作、風險管理作業流程之外,並於20211Q完成相關辦法更新。未來將更有系統及架構性的推動風險管理,包含於年初檢視營運之固有風險和新興風險,透過量化評估和討論確立重大風險,之後每季於風險小組進行檢視及追蹤,部分重大風險將預先納入董事會及審計委員會,以上計畫仍需每季依實際風險狀況及影響進行調整。

新興風險

研華鑑別出之兩項新興風險為:資安風險及違反美國禁止交易清單;其中資安風險之管理方針已詳述於本頁下方,違反美國禁止交易清單之管理方針如下:

背景說明

美國商務部工業安全局頒佈出口管制清單之法遵風險

美中貿易大戰,美國祭出管制清單,禁止美國公司及全球有使用到美國技術的產品均不得與管制清單中之公司交易。研華僅有少量產品與管制清單公司之交易,目前均已遵守美國禁令,暫停與之交易,暫時無太大影響。後續會依美中貿易戰的情況再行決定是否恢復交易。若違反美國管制禁令,最嚴重後果有可能產品會被禁止銷往美國,相關人員也遭刑事制裁。

初步因應措施

法務會監視美國商務部工業安全局之禁令名單,並即時告知相關人員遵守

與進出口處合作監管相關交易

風險評估與管控

風險類別

風險因子

管控機制

物料採購風險

風險因子

管控機制

斷料風險

供應商管理
研華從新供應商承認階段,即要求供應商需簽署採購合約,以確保其交期、品質與保固規範。其中更針對天災人禍造成的交貨延遲,要求供應商應做立即通知的義務。

安全庫存
對於共通性高的電子料件,研華則建立替代零件(second source 管理機制);主要材料更建立安全庫存,預防缺料或品質問題導致之風險。

集中採購
研華以料階區分,指派專屬採購同仁分析市場訊息,透過周會、月會定期檢視市場動態,並採取集中採購策略,建立優良供應商清單(PVL, preferred vendor list),透過收斂、集中提高合作效率,進而取得高品質物料與穩定交期。

財務風險

風險因子

管控機制

匯率風險

本公司營運活動及國外營運機構淨投資主要以外幣進行交易,為避免因匯率變動造成外幣資產價值減少及未來現金流量之波動,本公司依訂避險辦法執行預售外匯避險合約來減低風險;避險率0%~75%。

利率風險

本公司因持有浮動利率之銀行存款,定期分析利率風險,並由管理階層審閱,倘有需要將考慮對顯著之利率風險進行必要之避險措施。

其他價格風險

本公司持有上市櫃權益證券投資及開放型基金受益憑證,管理階層藉由持有不同風險投資組合以管理風險。又因本公司價格風險主要集中於台灣地區交易所之權益工具,及台灣地區之開放型基金受益憑證,相對風險較低。

信用風險

為減輕因交易對方拖欠合約義務而造成本公司財務損失,本公司有專責團隊負責授信額度之決定、授信核准及其他監控程序,以確保逾期應收款項之回收已採取適當行動。此外,本公司於資產負債表日會逐一複核應收款項之可回收金額,以確保無法回收之應收款項已提列適當減損損失。

流動性風險

本公司透過管理及維持足夠部位之現金及約當現金,以支應營運並減輕現金流量波動之影響,由管理階層監督銀行融資額度使用狀況,並確保借款合約條款之遵循。流動性風險管理之最終責任在董事會,本公司已建立適當之流動性風險管理架構,以因應短中長期籌資與流動性之管理需求。

資訊安全風險

風險因子

管控機制

網路安全威脅

資訊安全治理小組依據資安政策方針及ISO/IEC 27001:2013標準,建立、實施、保持和持續改進資訊安全管理體系。

氣候變遷風險

風險因子

管控機制

轉型風險

推動數據盤查,瞭解溫室氣體排放與能源使用現況,並依據盤查結果訂定減碳目標;響應政府推動再生能源使用政策,規劃購買再生能源,取得憑證及碳權;確保服務品質,提供綠色及低碳產品與服務。

實體風險

訂定危機管理程序,建置防災應變能力;落實供應商評核機制,強化供應商品質與環境管理能力,並且增加備援供應商名單,每年度定期執行供應商稽核管理。

資訊安全管理

資訊安全政策方針

研華致力於提供可靠及安全的解決方案與產品給客戶,因應多變的網路安全威脅,我們提出以下資安政策方針:

建立專責的資安組織及管理程序,確保公司資訊資產之機密性、完整性與可用性,並重視與保障使用者與客戶資料隱私,完善安全措施,提高系統可用度與信任度。

導入IT備援機制與可靠安全的備份解決方案,並定期進行災害演練,讓公司的營運中斷損害,控制於設定目標範圍內。

重要營運系統與營運活動,取得第三方資安認證與外部定期檢視,特別是生產與組裝廠區,以及重要電子商務平台網站等。

資安治理組織

資安治理運作

本公司依據ISO/IEC 27001:2013標準的要求,建立、實施、保持和持續改進資訊安全管理體系。資訊安全管理制度ISMS(Information Security Management System)過程可參考以下PDCA圖:

資訊安全強化

應對新興的駭客產業RaaS (Ransomware-as-a-Service), 我們正在加強以下四個面向的強化: