首頁 > 公司治理 > 風險管理

風險管理

本公司設置有「風險管理委員會」,負責全公司風險管理政策、程序及相關議題之規劃。因應公司治理透明化管理,訂頒之「風險管理政策」與「風險與機會管理程序書」之增修訂均提請「風險管理委員會」審查,並提送董事會核議通過( 含風險管理政策、風險管理範疇、組織架構及其運作情形等),提請公司五大管理系統( 品質、環境、職安衛、智財、資訊安全) 執行風險與機會辨識及管理作業之依據,並透過風險與機會管理作業之執行,適時且有效的降低公司營運風險與衝擊,且及時掌握公司營運可能的機會趨勢,創造公司營業利益。此外,「風險管理委員會」之運作執行,每年提至審計委員會及董事會報告,並於企業社會責任專區揭露。

管理系統之權責單位依其屬性、目標、範圍、內外部環境議題等,訂定各管理系統之風險管理程序書,據以追蹤、管控執行風險與機會辨識暨對策,並追蹤各風險執行對策的有效性。

有關「風險管理組織架構」、「風險管理政策」、「風險管理流程」、「風險項目與因應對策」、「內控制度九大循環」等揭露於台船公司企業社會責任專區之公司治理網頁(http://www2.csbcnet.com.tw /csr/about7.htm)。

另公司規劃有知識管理平台(KM),提供公司同仁可隨時查閱五大管理系統之「風險與機會管理程序書」,據以落實風險與機會辨識,判定風險等級,並據以擬訂因應措施與對策,以有效管控營運風險並掌握市場商機機會,以降低公司營運風險,並掌握市場商機,創造公司營運利益。

本公司風險管理委員會係由各一級單位主管組成,並由總經理擔任召集人。每年度召開一次風險管理會議,檢視並審查五大管理系統所提報之風險與機會評鑑執行情況,並針對五大管理系統之高風險態樣,進行風險控管,年度並由各管理系統提送管理階層審查會議中檢視風險管理之有效性。

本公司五大管理系統持續接受驗證單位驗證與換證,台船公司更進一步整合內部控制九大循環,並結合五大管理系統之風險與機會評鑑執行,落實並精進公司內部控制與風險管理的符合性。


風險管理流程


管理方針
面向 公司治理
重大主題 風險管理
對營運重要性 使風險與機會管理作業融入台船公司經營治理及決策運作中,以保護公司期望與需求之目標及價值。
目的 透過風險與機會管理作業之執行,適時有效降低營運風險,並掌握可能的機會趨勢。
政策/依據策略/行動方案/管理措施 1.風險管理政策(2020年3月20日第17屆第6次董事會核議通過)
(1)落實管控與降低營運風險,確保公司永續經營。
(2)提供必要資源,維持風險管理有效運作,持續推動改善。
(3)提升全員風險管理知能,並提供相關諮詢與協助。
(4)各管理階層應善盡風險與機會辨識與管控督導全責。
(5)配合其它應遵循公司治理相關法令規定辦理之事項。
2.各管理系統依據「風險與機會管理程序書」執行風險與機會管理作業。
執行單位 各管理系統權責與導入單位
評估與管理機制 各管理系統依其屬性、目標、範圍、內外部環境議題等,訂定各管理系統之風險與機會管理程序書,據以進行風險與機會評鑑作業。
績效成果 1.各管理系統權責部門應協助各權責單位執行風險管理作業程序,並定期監測各權責單位執行成效。
2.2021年台船公司辨識高風險項目與因應對策節錄如下:
對應章節 1.3.4風險管理
權責單位 法務室

內控九大循環與四大管理系統關聯圖 ( 持續檢討改善 )



管理系統之風險管理運作

品質管理系統-風險與機會評鑑(BVC驗證登錄)

依據法務室制定之「風險與機會管理程序書」(CSBC-G-P29)及品質管理系統標準(ISO 9001:2015),制定「品質風險與機會管理程序書」(CSBC-Q-P30)規範相關風險管理作業,並於2017年5月31日頒布實施。

2021 年度執行風險與機會辨識結果,品質風險有221項,屬於潛在低風險等級佔86.88%(192/221),為可接受風險,現有管制措施皆為有效;品質機會40 項,屬於潛在高機會等級佔2.50%(1/40),為可採行機會導向,將以品質目標專案管制尋求實現。

▲ ISO 9001:2015證書


環境管理系統-風險與機會評鑑(BVC驗證登錄)

依據法務室制定之「風險與機會管理程序書」(CSBC- G-P29) 及環境管理系統標準(ISO 14001:2015),制定「環境風險與機會管理程序書」(CSBC-E-P01) 規範相關風險管理作業。2021 年度執行風險辨識結果,環境風險辨識計有141 項,屬於潛在低風險等級佔93.62%,為可接受風險,現有管制措施皆為有效。屬於潛在中、高風險與機會等級佔6.38%(9/141),列為專案管控尋求機會實現與風險消除或降低。

▲ ISO 14001:2015證書


▲ ISO 45001:2018標準轉換證書


職安衛管理系統-風險與機會評鑑(BVC驗證登錄)

依據法務室制定之「風險與機會管理程序書」(CSBC-G-P29)及ISO 45001職安衛管理系統標準,制定「職業安全衛生風險與機會管理程序書」(CSBC-S-P01)規範相關風險管理作業,並應法務室要求每年提交委員會報告。

2021 年度執行風險與機會辨識結果,由系統管理代表召集進行審查與確認,審查結果陳核權責副總經理以上主管,權責單位於2021 年度規範相關風險管理作業,審視全公司共445 項作業;經評估其中危害因子後,本次針對鏟斗機作業、塗裝噴砂作業及吊車操作等作業之潛在風險提交風險管理委員會審視,並將相關議題納入列管項目。


智財管理系統-風險與機會評鑑(經濟部工業局驗證登錄)

依據法務室制定之「風險與機會管理程序書」(CSBC-G-P29)及TIPS智財管理規範(TIPS/2016年版),制定「智財風險與機會管理程序書」(CSBC-T-P10)規範相關風險管理作業,並於2017年4月12日頒布實施。

。2021 年度執行風險與機會辨識結果,由系統管理代表召集進行審查與確認,審查結果陳核權責副總經理以上主管,而機會值>=4 者計有1 項,奉核定後,列入年度管控項目,並每季追蹤管控辦理情形, 紀錄備查。風險值<8 或機會值<4 者列為潛在低度風險等級,採單位自主管控,每季追蹤辦理情形,並陳核單位主管核閱,紀錄備查。

智財管理系統每年制訂與營運目標連結之智慧財產管理計畫,並每年提送董事會報告。

本公司通過2022 年度TIPS/2016 年版A 級驗證,證書效期至2023 年12 月31 日。

▲ 2022 年度 TIPS 管理系統驗證登錄證書


資訊安全措施

資訊安全委員會

本公司為落實推動資訊安全管理,以資訊處為專責單位,並於2021 年成立「資訊安全委員會」( 圖一),下設三個小組,每年定期召開2 次委員會議,討論與決議資安相關議題,列入追蹤管制。



資訊安全管理系統

本公司因應國艦國造業務發展需要,於2020 年通過「成熟度整合模式暨資訊安全管理系統」(CMMI Level 2 暨ISO27001) 外部驗證證書,對本公司推動國艦國造資訊安全管理、建立業主、客戶、社會大眾信心、提升公司形象等的最大肯定。


▲ CMMI 驗證證書及ISO 27001 驗證證書


資訊安全政策

以資訊安全為基礎,建立營運創新、強化服務安全、提高團隊能力,達成永續經營。(備註:2021 年7 月26 日核定頒布)

配合本公司資訊安全政策要求,考量適用之資訊安全要求事項,以及風險評鑑與風險處理之結果後,制訂 資訊安全目標及達成/ 辦理情形如下:

資訊安全目標 達成/ 辦理情形
保護本公司關鍵業務資訊,避免未經授權的存取與竄改。 依作業或專案要求,針對作業區域作網路實體區隔及資安軟硬體建置,輔以門禁、監視系統管制措施,並導入資料加密技術等,確保公司關鍵業務資訊存取均受到嚴密保護。
維持核心資訊系統持續運作,確保本公司具備可供業務持續運作之資訊環境。 每年針對核心資訊系統擬定營運持續演練計劃,並經召集人核定後執行;營運持續演練紀錄陳召集人核定備查。
辦理資訊安全教育訓練,提高人員資訊安全之意識與強化其對相關責任之認知。 公司每年定期排定社交工程演練,並依演練結果排定人員資安教育訓練;公司計辦理社交工程演練2 次,合計1916 人次;針對高風險人員分別於高雄與基隆廠區辦理3 場教育訓練,合計131 人次。

本公司揭露網址:https://www.csbcnet.com.tw/SiteInfo/InfoSecurityPolicy.htm


資訊安全具體管理方案

本公司除建立網路安全保護措施及自我保護措施之外,針對個人電腦作業環境,配合稽核單位排定年度資安稽核計畫及社交工程演練執行,目前由資訊處負責規劃統籌與管理本公司及子公司所有資安業務,與資安協力廠商共同成立台船資安監控中心、針對資安事件進行告警與分析處理、另定期進行資安檢測以確保資安防護能量、及不定期相關資安教育訓練及資安宣導以提升同仁資安意識。

為完整本公司資訊安全管理制度,除內部現有相關管理辦法外,每年接受外部驗證,並納入日常管理執行,且接受「風險管理委員會」監督。

另配合證交所修訂「對有價證券上市公司重大訊息查證公開處理程序」規定,如發生重大資訊安全事件致公司重大損害或影響者,視情節評估,陳報資安長依程序發佈重大訊息說明。

管理方案 具體措施
網路安全保護措施 為了網站安全的目的和確保這項服務能夠繼續服務所有的網路使用者,本網站提供了以下的安全保護措施:
(1)使用網路入侵偵測系統,監控網路流量,以確認未經授權而企圖上載或更改、網頁資訊或蓄意破壞者。
(2)裝設防火牆防止非法入侵、破壞或竊取或破壞資料,以避免網站遭到非法使用,以保障使用者的權益。
(3)裝設掃毒軟體,定期掃毒,以提供使用者更安全的網頁瀏覽環境。
(4)每日進行備份作業,將所有資料備份到備援主機。
(5)自動接收所有來自相關作業系統廠商或應用程式廠商所寄發的安全維護電子信通知,並依照電子信的建議,安裝適當的修改程式(PATCH)。
自我保護措施 請妥善保管您的密碼及或任何個人資料,不要將任何個人資料,尤其是密碼提供給任何人;若您是與他人共享電腦或使用公共電腦,切記要關閉瀏覽器視窗,以防止他人讀取您的個人資料、信件或進入所屬機關管理區。
資訊安全管理資源投入 為了網站安全的目的和確保這項服務能夠繼續服務所有的網路使用者,本網站提供了以下的安全保護措施:
1. 配合證交所訂頒之「公開發行公司建立內部控制制度處理準則」等級規定,指定專人負責資訊安全作業,以確保落實執行。
2. 每年定期透過「資訊安全委員會」,審查資訊安全相關議題與執行及所需資源( 含設備、預算、人力等) 投入、協調與分配。

資安風險管理與作業流程

本公司導入資訊安全管理系統,訂頒有「風險評鑑管理程序書」及「風險評鑑作業流程」(CSBC-I-P06),據以辦理年度風險評鑑,並陳請召集人核定可接受風險值、風險評鑑結果、風險改善計畫與控制措施。

2021 年度風險評鑑,合計辨識七大類( 人員、文件、軟體、通訊、硬體、資料、環境) 共128 項,其中有硬體類1 項屬不可接受風險,並擬訂風險改善計劃後,該項已降為可接受風險,且已列入自主管理,相關評鑑紀錄備查。


資訊安全緊急通報暨應變作業

資訊安全事件緊急通報暨應變作業:

1. 疑似資訊安全事件發生時,發現人員應依事件歸屬通報權責單位,必要時會同資訊單位協助判定是否為資安事件,並循公司內部層級逐層回報上級主管。

2. 判定為非資訊安全事件時,則將結果回覆予相關單位人員。

3. 判定為資訊安全事件時,由資訊單位評估資訊安全事件等級,由資訊安全執行秘書責成任務編組,其處理決策、包含災害復原及營運持續,陳報召集人核定後辦理。




重大資訊安全事件對公司影響及因應措施

本公司為上市公司,依證交所「對有價證券上市公司重大訊息之查證暨公開處理程序」第4 條第26 款發生重大資訊安全事件時,除依公司資訊安全緊急通報暨應變作業辦理外,應發佈重大訊息;如符合第11條扣除其依保險契約設算獲賠金額後之預估損失超過公司股本百分之二十或新台幣三億元以上者,陳報召集人核定後召開重大訊息說明記者會。2021 年度未發生重大資訊安全事件。


智慧財產管理

本公司為經濟部工業局TIPS(台灣智慧財產管理規範)/2016年版驗證合格廠家,登錄效期2年,並每年並接受抽驗,維持驗證的有效性。

依TIPS(台灣智慧財產管理規範)/2016年版規範,本公司智慧財產管理系統制訂智財政策與目標,每年檢討、核定後公告實施。為確保管理系統有效性,年度訂有稽核計畫,且每年接受管理階層審查,持續精進管理系統的有效性與符合性。

本公司為上市公司,並為確保公司智財權(商標權、專利權、著作權、營業秘密),防範智財的侵權問題,更為強化公司治理的透明化管理,於公司網站(https://www2.csbcnet.com.tw/csr/about7.htm)及年報揭露,智慧財產管理系統制訂與營運目標連結之智慧財產管理計畫等執行情形,每年向董事會報告。

本公司智慧財產管理系統訂有「智財風險與機會管理程序書」,每年依程序書規定進行智財風險與機會辨識,並由管理系統之管理代表邀集各導入單位一級主管召開審查會議。審查各導入單位之風險與機會辨識的適當性,其辨識範圍涵蓋內外部議題、組織知識、利害關係人等,並依據辨識結果,判定風險與機會等級。低風險等級由各導入單位採自主管控,每季陳核單位主管核閱;中高風險等級則經彙整、簽核後,每季追蹤辦理情形陳核至經營階層權責副總經理以上主管核閱。

管理方針
面向 公司治理
重大主題 智財管理
對營運重要性 降低公司智財營運風險
目的 防範侵權,確保智財權
政策/依據策略/行動方案/管理措施 TIPS管理系統(KPI)
執行單位 企劃處、各導入單位
評估與管理機制 外部驗證,取得驗證合格登錄
績效成果 TIPS/2016 A級驗證合格
對應章節 1.3.6 智慧財產管理
權責單位 企劃處

▲ 2022 年度 TIPS 管理系統驗證登錄證書


▲ 2022年TIPS/2016年版智財政策與目標


主要機會與威脅