國際中橡各部門針對各項營運風險因子進行評估,並規劃相關管控工作。內部稽核人員會將高風險作業列為年度稽核計畫,並將稽核結果作成稽核報告,定期提交審計委員會審閱及列席董事會報告。此外,各部門每年度進行內部控制制度自行評估,以確保制度設計及執行之有效性。未來將設置風險管理專責單位,更深入探討公司風險管理重點、風險評估及因應措施,並向董事會報告營運相關風險及管理策略。
風險管理為企業營運的重要關鍵,國際中橡透過辨識、管理、衡量及分析公司的內外部風險因子帶來的短中長期衝擊,提高決策有效性及提升企業價值。為持續完善風險管理機制,我們控管財務、業務、物料及工務面向相關內控問題,近來著重氣候變遷風險及工作安全的風險管理,並制定相應的因應策略與方案。透過風險預警系統,定期追蹤風險項目,預先提出因應措施,系統自動發生異常預警,減少人工、避免疏漏。風險辨識及預警流程的有效性確認係透過稽核室定期稽核確認,稽核主管定期向董事會說明風險管理重點進行評估及規劃因應措施,並報告營運相關風險及管理策略。
內部稽核範圍
2024 年國際中橡內部稽核單位依年度稽核計畫執行並完成 25 份稽核報告及 6 份追蹤報告,總計提出內部控制建議共 12 項,範圍包括採購、驗收、生產管理、不動產廠房及設備管理、存貨管理、銷售及收款、安全衛生、印信管理等作業,均依規定進行追蹤及改善。
現階段國際中橡各項風險之挑戰與因應說明如下:
氣候變遷的風險管理與機會
巴黎協定後,氣候變遷因應已成為各國政府與企業必須積極面對的議題,國內外溫室氣體排放法規逐漸嚴格,極端氣候帶來的天災對營運場所造成直接衝擊,皆會對公司財務造成影響。對此,我們已依據 TCFD 架構 (Task Force on Climate-related Financial Disclosures) 透過專案會議討論進行風險與機會之辨識,並設定相關目標以逐步減緩氣候變遷。並於 2021 年 6 月公開支持國際 TCFD 倡議,並完成簽署 TCFD。詳細之氣候相關風險與機會管理內容請詳 4.1 氣候變遷因應章節內容說明。
資訊安全風險管理
國際中橡遵守個人資料保護有關法令,確保個人資料之蒐集、處理與利用均符合法令規定,並維護及保障個人資料權益。對於客戶及員工等利害關係人的所有相關資料均經妥善記錄與管理,並同時向所有相關同仁定期宣導利害關係人資訊保密的觀念。針對網站資料蒐集,國際中橡訂定隱私權政策,僅使用所蒐集的資料進行業務往來之相關服務,並經完善資安措施保護資訊,避免被竄改、刪除、竊取、洩露或接觸。
本公司已於 2023 年 11 月 9 日設置資安長與 3 位資安專責成員共 4 位,資安支援團隊共計 30 人主要由企業團 - 台泥資訊股份有限公司 (以下稱台泥資訊) 負責整體資安架構設計、資安維運與監控、內外部資安事件回應與調查,本公司資訊紀錄的保存時間表根據相關法規與需求制定,並對資訊安全風險進行定期評估,以確保資料保護措施的有效性。同時,針對資訊安全問題,向利益相關者提供明確的舉報方式 (集團資安通報申訴機制信箱 service@tcci.com.tw),以便及時發現並處理潛在風險。
本公司於 2020 年依照資訊安全系統 ISO/IEC 27001: 2013 國際標準,採用 PDCA 之循環運作模式,建立與實施資訊安全管理制度,由企業團最高資安專責單位核准通過資訊安全政策,且於 2020 年底取得 ISO27001 認證,有效期限至 2024 年 1 月 5 日,並於 2023 年 12 月通過 ISO/IEC 27001:2022 轉版認證,目前證書之有效期為 2024 年 1 月 5 日至 2027 年 1 月 4 日。由總經理召集成立跨部門「資訊安全管理委員會」,每年固定召開一次會議,負責審議資訊安全規劃與執行之有效性及資訊安全重大決議事項,並協調分配資訊安全所需資源。資訊安全管理委員會底下設立「資訊安全管理小組」,主要負責資訊系統之資訊安全管理制度規劃、建立、實施、維護、審查與持續改善,並將資訊安全相關議題於資訊安全管理委員會提報。資訊安全管理小組定期召開會議檢討執行情形,並每年定期向董事會報告執行情形與檢討。
本公司委託外部顧問公司協助執行資安稽核作業,評核公司資安管理制度運行之有效性;另亦委託外部技術公司協助執行資安技術檢測,檢驗資安系統與網頁的安全防護力。
國際中橡受 ISO/IEC 27001 認證的 IT 服務廠商服務的廠區涵蓋比例
IIRP 資安事件應變計劃流程圖
資安管控及防護機制
| 項目 | 說明 |
|---|---|
| 資安組織 |
|
| 資安意識 |
2024 年辦理:
|
| 網路安全 |
|
| 資產管理 |
|
| 存取安全 |
|
| 實體安全 |
|
| 資料外洩防護 |
|
| 系統安全 |
|
| 事件偵測 |
|
| 營運持續 |
|
資訊安全管理實施績效
2024 年國際中橡各地廠區皆未收到侵犯客戶隱私、資訊洩露、失竊或遺失客戶資料的投訴。
保護個資、預防個資外洩、維護公司資安所辦理之教育訓練
永續資訊管理新制因應措施:
其他風險項目
2024 年國際中橡各項風險在既有管理辦法執行之下,並無發生重大異常之情事。
| 風險 | 挑戰 | 管理辦法 |
|---|---|---|
| 不誠信行為 風險管理 |
不誠信行為風險管理範圍包括:行賄及收賄、提供非法政治獻金、不當慈善捐贈或贊助、不合理禮物、款待或其他不正當利益、侵害智慧財產權及防範產品或服務損害利害關係人等不誠信行為。 | 為落實防範不誠信行為發生,訂定有「違反從業道德行為檢舉制度」之吹哨者制度,並定期透過內部控制運作,例如性稽核等方式,以降低各類型不誠信行為之風險。 |
| 財務 風險管理 |
資本風險管理範圍包括:重大資本支出均審慎詳細評估,進一步提升效益實現可能性並針對可能衍生風險先行設定對策因應,減免風險產生負面影響。 國際中橡使用之金融工具包括權益投資、受益證券投資、應收帳款、應付帳款及借款等,容易產生匯率波動與通貨膨脹等風險;匯率主要受美元、人民幣市場波動的影響,另外則因原油價格連動各項大宗物資價格,亦會影響原物料成本之變動。對損益影響程度則視各產品市場供需情況而定。 |
|
| 資本 風險管理 |
財務風險管理範圍包括權益投資、受益證券投資、應收帳款、應付帳款及借款等、容易產生匯率波動與通貨膨脹等風險。 | 針對應收帳款客戶,定期審核客戶信用狀況給予評等,據以核定信用額度,執行放款客戶銷售、應收帳款控管,且每月對預期之應收帳款提出檢討,達到年度零倒帳管理目標。 |
|
進貨或銷貨 風險管理 |
進貨風險包括: 1. 原物料採購過程中由於自然、經濟政策、價格變動等因素所造成的意外風險。 2. 有效商源之供應商短缺,易造成供應鏈風險提高。 銷貨風險包括: 1. 應收帳款不斷增加,易造成企業資產負債率過高。 2. 以物易物相互抵帳,成太上帳後滑。 |
訂有《銷售客戶信用管理辦法》及《供應商評鑑作業》,定期對客戶及供應商進行評鑑。針對相關風險項目進行評估,並利用 SAP 系統進行管控。 |