風險管理 | ACER ESG

風險管理

宏碁的企業經營理念以「永續發展」為終極目標。我們堅信嚴謹踏實的風險管理不僅體現宏碁重視對於客戶、員工、供應鏈合作夥伴及投資人的長期承諾,更是確保穩健經營績效與落實企業社會責任的具體作為。企業的永續發展與風險管理之間的關係密不可分,也唯有持續不懈的辨識、分析風險的短期動態變化與長期趨勢並切實執行相關風險管理策略,透過坦率的內部溝通及教育訓練課程建立具備風險意識的企業文化,才能確保企業得來不易的經營成果,達成「永續」的發展目標。

風險管理

本公司為實踐企業永續發展之願景並建立具備風險意識的企業文化,除遵循各層級的組織管理制度及營運作業流程下的相關風險管理措施,並承諾藉由高階經理人的參與,以 ISO31000:2018 風險管理系統,及全美反舞弊性財務報告委員會發起組織 (COSO 委員會)之企業風險管理整合架構 (COSO ERM 2017) 等國際標準做為參考依據,持續精進本公司的相關風險管理作為,特制定風險管理政策並於 2022 年 3 月 16 日經董事會決議通過施行。 

宏碁以積極且具成本效益的方式進行風險管理。以策略、營運、財務、災害及氣候變遷等風險構面作為風險管理範疇,針對內、外部經營環境進行定期性的整體評估 (外部經營環境評估另將各種外部國際性風險報告及保險業/風險管理顧問之相關報告/調研結果納入評估以求風險認知(Risk Perception)之完整性) 並據以建立風險雷達圖(Risk Radar)。2022 年度宏碁風險雷達圖經前述程序辨識出內部風險 19 項、外部風險 26 項,共計 45 項。而後為兼顧企業成長及資源有效分配進行風險排序(Risk Prioritization)及界定風險胃納(Risk Appetite),以制定相應之風險管理策略及預防/緩釋措施(Risk Mitigation)、執行機制與當責組織,確保相關重點風險皆被有效控管及適當回應。為求持續監督、強化風險管理作為及因應措施,依據風險排序上的重要性與急迫性,由審計委員會評估納入例行議程中討論,並裁示報告議題及權責單位。審計委員會定期彙總風險環境、風險管理重點、風險評估結果及相關因應措施併同資安風險管理執行情形於董事會報告(每年至少一次)。

宏碁風險管理範疇

宏碁風險管理組織架構
 

風險管理程序

01 | 風險辨識及評估

風險管理工作小組成員以風險分析/註冊工作表(Risk Register)及風險矩陣(Risk Map)等相關風險管理評估工具,辨識風險並評估潛在風險情境及營運衝擊。

02 | 風險控管及緩釋
  • 以風險管理工作小組為平台進行跨事業單位/功能組織的風險溝通,促進各事業單位/功能組織強化風險控管及緩釋方案
  • 風險管理工作小組執行風險控管方案並定期追蹤執行進度及成效,以確保風險管理之持續改善
  • 各單位將風險控管納入年度內控自評審視檢討
03 | 風險監控及企業風險管理報告
  • 風險管理工作小組彙總風險環境、風險管理重點、評估結果及相關因應措施,並由風險管理委員會核准/裁示
  • 風險管理委員會應每年至少一次向審計委員會暨董事會報告

風險管理三道防線

2022 年度風險辨識及管理成效

本公司就環境、社會、公司治理三大面向進行公司潛在風險及新興風險的辨識、評估及討論。風險管理組織使用風險矩陣(Risk Map),依各種風險發生的可能性與風險一旦發生後可能造成的損失程度/嚴重性,評估各風險對於公司未來營運可能產生的潛在威脅程度,並進行風險等級分類以確認風險管理策略上的優先次序。同時採用敏感性分析(Sensitivity Analysis)與壓力測試(Stress Test),進一步量化分析各項風險,並檢視各風險因子間是否存在高度關聯性。2022 年度風險矩陣屬中高度等級以上之風險項目包括地緣政治風險、資安風險、庫存風險、ICT 市場下行風險、停工/營運中斷、ESG 相關風險等 6 項 (詳參 2022 風險矩陣)。

風險管理工作小組彙整前述各項分析、測試之結果,擬定後續執行計畫後將定期向風險管理委員會(每季一次)彙報;2022 年度風險管理工作小組共計 16 個部門/單位對接。為求企業風險管理(ERM)之執行與各部門/單位日常作業程序及公司營業目標(Business Objective)實際並緊密的結合,由各部門/單位先行彙整出 46 個關鍵績效指標(KPIs)後,再依此展開/辨識出對於前述關鍵績效指標可能實際造成營運衝擊的 82 個風險情境(Risk Scenario)。針對已辨識及分析的風險項目,指派相關部門人員負責後續風險管理策略及相關執行計畫(Risk Mitigation)之擬定,包括實務上常見的風險管理因應方式:損害防阻計畫(Loss Prevention)、規避(Avoidance)、隔離及備份(Separation & Duplication)、風險轉移(Transfer)及風險自留(Retention)等,並評估適當的資源投入、執行上的優先次序及後續的進度追蹤方式等。同時制訂緊急應變計畫(Incident Response)及危機管理機制(Crisis Management),以盡可能從各方面減低各種潛在風險對於營業目標可能造成的負面影響並強化公司整體營運的風險韌性。前述風險管理策略及相關執行計畫依P(計畫)、D(執行)、C(檢核)、A(改善行動)循環,於工作小組會議時定期性檢討風險管理方案之有效性及改善空間以持續調整/精進。最後,重大風險資訊及企業風險管理運作情形亦定期向風險管理委員會及審計委員會做進度報告。 

綜上所述,我們持續並積極投入相關風險管理作為,期以前瞻性的預防觀念,審慎面對現在及未來的各種風險與挑戰。審計委員會亦彙總風險環境、風險管理重點、風險評估結果及各項相對應之回應措施,由主席於董事會報告。

風險管理運作情形

2022 風險矩陣(Risk Map)提案

依嚴重性/ 發生機率 (Severity/ Frequency) 進行風險排序,往右風險嚴重度越高,往上風險發生機率越高

S-策略風險

O-營運風險

F-財務風險

H-災害風險

數字代表風險註冊資料庫中的序號

S1

地緣政治

S2

ESG要求↗

S3

ICT 市場發展

S4

PC 下行風險

S5

子公司成長速度

S6

IP/ 訴訟

S7

美中對抗

S8

品牌/商譽

S9

國家/企業選邊站

S10

新興科技

O1

庫存管理

O2

資安風險

O3

合規要求↗

O4

產品責任

O5

人力/人才/接班

O6

供應鏈風險

O7

管理系統

F1

通膨(含綠色通膨)

F2

Rev/ 淨利

F3

匯率↗↘

F4

ww GDP↗↘

F5

反避稅/ 最低稅率

F6

消費/需求↘

F7

升息

F8

新興國家金融風暴

F9

負債比/ 速動比

H1

停工/ 營運中斷

H2

Covid-19 /封城

H3

氣候變遷/減碳/能源

H4

生產集中 CN

H5

健康/安全

H6

基礎設施

  1. 風險辨識/分析流程於每年第 4 季啟動,至隔年第 1 季完成。
  2. 風險矩陣係依 2022 年度風險項目的風險等級評估結果呈現。
  3. 重大性議題分析為企業風險管理(ERM)整合流程之一環,故 ESG 相關風險、合規要求及人權議題相關風險等均已納入風險辨識/分析/排序/控管措施之程序。
  4. 風險項目代碼(S)–策略風險、(O)–營運風險、(F)–財務風險、(H)–災害風險;數字代表風險註冊資料庫中的序號,與風險等級無關。

新興風險

風險管理工作小組已於 2021 年度辨識出資安風險、極端氣候風險、大規模傳染病、供應鏈相關風險及地緣政治風險等新興風險項目。經2022年度做定期性的重新思考及檢視,風險管理委員會及工作小組於 2022 年度辨識出地緣政治風險(包含地緣經濟)、ICT 市場下行、庫存管理、通膨(包含綠色通膨)、升息、全球氣候變遷等多個新興風險項目。我們也邀請相關部門人員進行深入討論,期能藉由小組討論及聚焦思考,審慎評估各新興風險項目對於公司未來營運可能造成的潛在負面影響與衝擊,並著手思考、架構可行且具成本效益的風險控管行動方案後登記於風險分析/註冊工作表。資安風險持續為本公司關注的重點風險項目,特別是考量地緣政治及全球經濟環境與資安風險具備相當之風險相關性(Risk Correlation)。風險管理工作小組除歸納出可能發生的損失型態 (包含商譽損失/營運中斷/資料外洩/勒索軟體等),IT 部門也已彙整出下列基本資安作業原則並持續努力精進,且於 2020 年度順利取得 ISO 27001 資訊安全國際驗證。 

此外,宏碁自 2018 年度起持續購買全球資安保險保單並每年定期檢視整體保障內容之完整性,除風險移轉考量外,也期望透過國際資安保險市場,進一步獲得外部資安專家的協助與資源。隨著資訊科技快速發展、數位轉型趨勢與各種創新應用的不斷投入,我們將持續關注資安風險的發展趨勢(例如:因採用遠距工作型態帶來的資安風險) 以不斷檢視並完善相關資安作業原則及適當的風險移轉措施。

基本資安作業原則

檢視對外開啟的服務
 

使用最小權限原則及加密
 

確認及保護端點的安全性
 

注意應用程式的安全性
 

教育使用者
 

找出並保護最弱環節
 

注意資安最新規範、了解最新攻擊手法

針對地緣政治風險(地緣經濟)的未來發展趨勢及潛在負面影響,如國家與國家之間的貿易保護主義、相關壁壘措施及經濟金融制裁等相關風險。風險管理工作小組蒐研、歸納出可能發生的損失型態(包含因政經情勢不穩定所造成的商品銷售量或市占率下滑、或因生產基地遷移導致勞動及其他相關成本上漲等)。我們將密切關注相關風險的長期發展趨勢及其後續影響,對上游零組件做多元化供應商的整合動作,並持續努力拓展新利基市場及銷售通路,以分散營運風險並減少因供應鏈、物流及全球政經情勢變化所帶來的衝擊及不確定性。

宏碁持續關注全球氣候變遷與極端天氣現象的長期發展趨勢及其威脅,且於 2020 年度正式導入氣候變遷相關財務揭露(TCFD)的評估框架。目前供應鏈管理部門針對特定的貨物運送路線,於出貨前會評估該運送期間可能面臨的低溫變化情形,依產品的種類及特性,向保險業/風險管理顧問諮商請益並與運送公司討論、合作採取可行且具成本效益的損害防阻相關措施。另針對類似美國德州暴風雪天氣影響造成的基礎設施服務中斷及其他發生可能性較高的營運相關風險(例如:颱風洪水、火災等),宏碁已於 2021 年開始針對全球貨物倉儲地點著手擬定基本的緊急應變/營運持續管理計畫(IR/BCP),並先從台灣總部試點開展(本專案已於 2022 年度 1 月執行完畢並於宏碁桃園倉完成現場演練及驗證),以期將來依全球各倉儲地點資源現況逐步評估納入實施/改善並定期稽核,或進一步納入倉儲服務供應商選任時之評估項目,以漸進有序地強化倉儲物流管理方面的風險韌性(Risk Resilience)。