风险管理
第一章 总则
第一条 订定目的
为建立完善的风险管理制度,稳健经营业务,迈向企业永续发展目标,特订定本公司之风险管理实务守则,以强化风险管理制度。
第二条 风险管理目标
风险管理之目标旨在通过完善的风险管理架构,管理可能影响本公司目标达成的各类风险,并将风险管理融入营运活动及日常管理过程,达成以下目标:
一、实现公司目标;
二、提升管理效能;
三、提供可靠信息;
四、有效分配资源。
第三条 风险管理原则
本公司建立风险管理制度,依下列原则执行:
一、整合性:将风险管理视为所有活动的一部分。
二、结构化和全面性:以结构化和全面性的方式推动风险管理,获得一致且可比较的结果。
三、客制化:依据公司环境、规模、业务特性、风险性质与营运活动,制定适切的风险管理框架与流程。
四、包容性:将利害关系人的需求与期望纳入考量,提升并满足利害关系人对公司风险管理的理解与期待。
五、动态性:及时预测、监控、掌握并回应公司内外部环境变化。
六、有效信息利用:依据历史、当前及未来趋势作为风险管理基础,并将信息及时、清晰地提供利害关系人参考。
七、人员与文化:提升治理与管理单位对风险管理的重视程度,并透过各层级人员完善的风险管理培训机制,提升整体风险意识与文化,将风险管理融入公司治理与日常作业。
八、持续改进:通过学习与经验,不断改善风险管理及相关作业流程。
第四条 建立风险管理政策与程序
应考量本公司及子公司整体的规模、业务特性、风险性质与营运活动,订定适用的风险管理政策与程序,并至少涵盖以下项目:
一、风险管理目标;
二、风险治理与文化;
三、风险管理组织架构与职责;
四、风险管理程序;
五、风险报告与揭露。
上述风险管理政策与程序应随公司内外环境变迁进行检讨,确保制度设计与执行持续有效。
第五条 风险管理政策与程序之审查与施行
公司制定的风险管理政策与程序,应由公司指派的风险治理单位进行审查,并经董事会核定后实施。相关政策与程序应于公司网站或公开信息观测站进行揭露。
第二章 风险治理与文化
第六条 建置完善的风险治理与管理架构
公司考量公司规模、业务特性、风险性质与营运活动,建置完善的风险治理与管理架构,通过董事会、功能性委员会及高阶管理层的参与,使风险管理与公司策略、目标相连结,明确重大风险项目,提升风险辨识结果的全面性、前瞻性与完整性,并向下宣导与展开对应的风险控管与因应,以合理确保公司策略目标的达成。
第七条 深化风险文化
公司推动由上而下的风险管理文化,通过治理单位及高阶管理层明确的风险管理声明与承诺、设立并支持风险管理单位、提供全体员工风险管理相关专业培训等方式,将风险管理意识融入日常决策及营运活动,形成全方位的公司风险管理文化。
第八条 提供足够资源与支持
公司风险治理与管理单位应重视并支持风险管理,提供适当资源以确保其有效运作,并对其运作效果负责。
第九条 整合与协调
公司推动风险管理应整合公司各单位职责,全体共同推动执行,通过沟通、协调与联络,落实整体业务的风险管理。
第三章 风险管理组织架构与职责
第十条 风险管理组织架构
公司以董事会作为风险管理最高治理单位,并可视公司规模、业务特性、风险性质与营运活动,设立隶属董事会的风险管理委员会,并指派适当的风险管理推动与执行单位。
第十一条 设立风险管理委员会
公司为健全与强化风险管理功能,宜设立隶属于董事会的风险管理委员会,监督风险管理运作机制。该委员会成员过半数应由独立董事担任,并由独立董事担任主席。
风险管理委员会应对董事会负责,并将所提议案交由董事会决议。
委员会应订定组织规程,经董事会决议通过,内容应包含成员人数、任期、职权事项、议事规则及公司应提供的资源等事项。
公司亦可视情况以其他功能性委员会或工作小组形式替代风险管理委员会职能。
第十二条 设立风险管理推动与执行单位
公司应指定或设立适当的风险管理推动与执行单位,负责规划、执行与监督风险管理事务。该单位可视公司规模、业务特性、风险性质与营运活动,以专责单位或任务编组方式组成。
第十三条 董事会职责
董事会职责如下:
一、核定风险管理政策、程序与架构;
二、确保营运策略方向与风险管理政策一致;
三、确保已建立适当的风险管理机制与风险管理文化;
四、监督整体风险管理机制有效运作;
五、分配充足且适当资源,使风险管理有效运作。
第十四条 风险管理委员会职责
风险管理委员会职责如下:
一、审查风险管理政策、程序与架构,并定期检讨其适用性与执行效能;
二、核定风险胃纳(风险容忍度),引导资源分配;
三、确保风险管理机制能充分应对公司面临的风险,并融入日常营运作业流程;
四、核定风险控管的优先顺序与风险等级;
五、审查风险管理执行情况,提出改善建议,并至少每年一次向董事会报告;
六、执行董事会风险管理决策。
第十五条 风险管理推动与执行单位职责
风险管理推动与执行单位职责如下:
一、拟定风险管理政策、程序与架构;
二、拟定风险胃纳,并建立质化与量化的衡量标准;
三、分析并辨识公司风险来源与类别,并定期检讨其适用性;
四、至少每年一次汇整并提报公司风险管理执行情况报告;
五、协助并监督各部门风险管理活动执行;
六、协调跨部门风险管理沟通与合作;
七、执行风险管理委员会决策;
八、规划风险管理培训,提升整体风险意识与文化。
第十六条 营运单位职责
各营运单位职责如下:
一、负责所属单位风险辨识、分析、评估与应对,并在必要时建立危机管理机制;
二、定期提报风险管理信息予风险管理推动与执行单位;
三、确保风险管理与控制程序有效执行,符合风险管理政策。
第四章 风险管理程序
第十七条 风险管理程序
风险管理政策应包含风险管理程序,程序应包括五大要素:风险辨识、风险分析、风险评估、风险应对及监督与审查机制,并明确列出执行程序与方法。
第十八条 分析与辨识公司风险来源与类别
风险来源与类别可归纳为:策略风险、营运风险、财务风险、信息风险、合规风险、诚信风险、其他新兴风险(如气候变迁或传染病风险)。
风险管理推动与执行单位应依据公司规模、产业特性、业务内容,并考虑永续发展要求,进行全方位分析,明确界定风险类别,定期检讨其适用性。
第十九条 风险辨识
各营运单位应依据公司策略目标及董事会核定之政策,进行风险辨识。
采用流程分析、情境分析、问卷调查、PESTLE分析等方法,结合内部与外部因素、利害关系人关注重点,从上下双向分析,全面识别可能影响公司目标达成的潜在风险事件。
第二十条 风险分析
风险分析旨在了解已识别风险事件的性质与特征,分析其发生概率与影响程度,并计算风险值。
各单位应综合现有管控措施、经验及同业案例,分析风险发生的可能性与影响程度。
第二十一条 风险分析衡量标准
风险管理推动与执行单位应制定量化与质化衡量标准。
质化标准通过文字描述概率与影响;量化标准通过数值指标(如天数、百分比、金额、人力等)表达概率与影响。
第二十二条 风险胃纳
风险管理推动与执行单位拟定风险容忍度,提报风险管理委员会核定,明确公司可承受的风险限额,并据此确定风险等级及应对方案。
第二十三条 风险评估
将风险分析结果与风险容忍度比对,确定需优先处理的风险事件,并作为拟定应对措施的依据。
各营运单位依照风险等级规划并执行应对方案,并记录相关结果提报风险管理委员会核定。
第二十四条 风险应对
应订定风险处理计划,并确保相关人员理解与执行,持续监控执行情况。
风险应对需在实现目标与成本效益间取得平衡。
第二十五条 风险监督与审查
需建立明确的监督与审查机制,确保风险管理流程与对策持续有效,并将审查结果纳入绩效衡量与报告事项中。
风险管理应与关键业务流程结合,提高落实效果。
第五章 风险报告与揭露
第二十六条 风险记录
风险管理过程及结果应通过适当机制进行记录与留存,包括辨识、分析、评估、应对措施、信息来源及评估结果等。
第二十七条 风险报告
风险报告为公司治理的重要组成部分,应考虑不同利害关系人的信息需求、报告频率、方法与时效性,以协助管理层决策。
风险管理推动与执行单位应整合各单位信息,定期向委员会及董事会出具风险管理报告。
第二十八条 信息揭露
公司应于网站或公开信息观测站揭露以下项目,并持续更新:
一、风险管理政策与程序;
二、风险治理与管理组织架构;
三、风险管理运作与执行情况(含报告频率及日期)。
第六章 附则
第二十九条 注意国内外发展
公司应关注国内外风险管理机制的发展,并适时改进公司架构以提升治理成效。
第三十条 本守则经审计委员会及董事会决议后施行,并提股东会报告,修订时亦同。