風險管理

有鑑於企業經營所面臨之風險日益複雜,考驗企業風險預防能力與緊急應變復原能力,為使企業風險管理機制形成良好防護,能識別未來可能之挑戰,企業必須儘早做好防護,避免受到影響,確保足以應付威脅與具備營運持續能力,展現組織韌性。

風險管理政策

  • 因應風險威脅,超前部署管理
  • 展現組織韌性,確保營運持續

目標

  • 建立關鍵風險指標 (Key Risk Indicator, KPI),即時監控
  • 建立短中長期預防計畫,並定時檢討與改善
  • 持續強化各種緊急應變作業,並定期演練

營運持續管理委員會

華碩為使風險管理能有效運作,成立營運持續管理(Business Continuity Management, BCM)委員會,建立治理與營運單位溝通平台,並推行跨部門風險管理機制,打破部門疆界,實現風險因應化被動為主動的轉型,以強化企業風險抵禦能力。除建立定期審核機制外,還採用三道防線建構內部控制制度,並定期接受董事會層級監督。

2023 年主要推動成果:

  • 建立ASUS Group 360° Watch 機制,監控集團爭議事件,風險報導擴增至集團與高階管理階層,提高資訊透明與提升風險意識。
  • 整合跨職能單位共同討論2023 年華碩十大風險之因應,提升風險管理策略完整性。
  • 新增嚴重特殊傳染病營運持續計畫(Business Continuity Planning, BCP),應變小組演練相關情境,以提升應變能力。
  • 開發「國際風險趨勢」與「風險評鑑工具」課程,提升風險管控成員之風險管理能力。


公司依照ISO 31000風險管理系統的要求,建構於各個管理體系的風險運作,每年進行第三方驗證與內部稽核。

組織 職能
董事會 監督策略發展
BCM 委員會 審查風險管理運作
BCM 辦公室 規劃、執行與監督各部門風險管理執行,協助跨部門溝通
專案小組 分析與辨識風險來源與類別,並採取措施

風險管理程序

Step.1

蒐集風險議題

Step.2

分析風險議題

Step.3

進行風險管理

Step.4

定期檢討與改善

華碩風險管理相關細節,已於2022年7月於董事會呈報並通過,包含風險管理政策與目標、管理範疇、組織架構與職責及風險管理程序,已訂定於「華碩企業風險管理辦法」中。

Step.1

蒐集風險議題

參照國際風險趨勢、法規遵循、利害關係人關注之重大性議題、爭議事件、以及BCM委員會與董事會要求等,盤點出相關風險議題。

Step.2

分析風險議題

 

風險評估流程

計算風險值

風險容忍度

針對內外部環境變化所帶來的風險議題,公司每年進行兩次風險值審查。第一次為書面審查,於 2023年7月進行;第二次為實體審查,於 2024年3月進行,以確保所指定的風險容忍度和調適行動能保持最新且具相關性。

新興風險鑑別流程

Step.1

蒐集國際
風險趨勢

Step.2

BCM 各小組
辨識風險

Step.3

辨識新興風險
與衝擊分析

Step.4

關注新興風險
建立調適計畫

Step.3

進行風險管理

 

風險面向

穩定組織運作
外部溝通
數位安全
永續發展
創新發展
穩定供應鏈
財務應變
業務風險
客戶服務

管理計畫

關鍵風險指標
風險預防計畫
營運持續計畫

Step.4

定期檢討與改善

 

高風險事件制定管理計畫,並列入定期審查

重大風險議題與調適行動

雲端資安

在當今數位化環境中,建立雲端安全管理制度是企業成功的關鍵,以確保雲端資料的機密性、可用性和完整性。

潛在衝擊

雲端支出總額增加,遠端服務相當普及,須確保雲端服務資料處理 / 儲存的機密性、可用性與完整性。

調適行動
  • 制定組態安全基準、偵測組態安全性
  • 強化關鍵雲端系統
  • 定期漏洞掃描和修補
  • 掌握和可視化公有雲服務
  • 建置雲端安全管理制度,查核使用單位與供應商資安防護落實度




 

氣候與碳管理

有效的氣候與碳管理能夠降低氣候變遷、碳排放對業務營運造成的潛在風險與衝擊。

潛在衝擊

華碩承諾 2035年全球據點 100% 使用再生能源,而國內再生能源市場供需失衡,如未能提早布局,將面臨營運成本增加、甚至影響訂單。

調適行動
  • 制定減碳目標,並建立碳盤查平台
  • 再生能源路徑規劃
  • 提升供應商低碳指標比例,包含供應商取得ISO 14064/ISO 50001第三方查證比例、設定符合SBT減碳目標比例、使用RE40-RE65比例




 

BCM委員會辨識出華碩須關注的兩大新興風險,包含生成式AI,以及地緣政治風險導致供應鏈中斷,逐一展開相關調適行動。
 

 

新興風險

生成式AI

生成式AI等新興科技迅速發展,帶來企業轉型與商機,相對的也受到駭客使用新興技術攻擊,華碩需積極發展其應用與防範,避免對公司業務產生長期影響

潛在衝擊

未應用生成式AI技術可能帶來多重風險,包括競爭劣勢、生產力和營運效率下降、客戶體驗不佳、創新受阻,以及資料安全風險增加。這些問題可能導致市場競爭力下降、客戶滿意度降低,錯失效率提升和創新機會,並可能面臨資料洩漏等安全問題,進一步影響企業聲譽和信任,同時隨著駭客利用人工智慧和機器學習等技術進行攻擊的頻率增加,企業面臨更嚴重的安全風險。

調適行動
  1. 集結華碩集團硬體與軟體服務資源全力投入AI應用,並與AMD、NVIDIA、微軟、Intel和高通等業界巨頭緊密合作,共同開發生成式AI應用,引領全方位AI潮流。
  2. 開發生成式AI解決方案,從超級電腦算力、雲端服務切入大型企業,將AI整合到營運的全面向,該策略涵蓋雲端和超級運算服務、邊緣裝置、LLM和智慧應用程式,全方位布局AI產品,包含伺服器、PC、手機、AIoT等裝置。
  3. 成立GAI Committee,推動跨部門探索應用場景,發展GAI應用專案。
  4. 建立GAI智學網,提供不同需求同仁掌握最新的AI技能,並開設GAI趨勢講座,了解最新GAI技術趨勢與應用場景。
  5. 對關鍵資源端點導入防護方案,並優化自建威脅情資平台
  6. 定期執行安全演練,透過紅隊演練進行入侵攻防模擬。




 

地緣政治風險導致供應鏈中斷

地緣政治風險導致供應鏈中斷,影響企業運作和生產,可能導致原材料短缺、生產中斷和成本上漲

潛在衝擊

地緣政治風險增加導致供應鏈中斷。由於生產基地過度集中,貿易斷鏈可能導致原材料短缺、生產中斷和成本上漲。國際局勢不明朗,各國持續調整進出口法規,可能導致貿易衝突、政治不穩定和國際制裁,影響公司財務、聲譽和競爭力。

調適行動
  1. 強化供應商風險管理,除了建立華碩供應鏈中斷營運持續計畫,並推動供應鏈提升BCM管控成熟度,協助供應鏈建立風險情境之營運持續計畫。
  2. 跨區域分散生產,多元化供應商, 降低對單一地區或供應商的依賴,緩解地緣政治風險。
  3. 建立高風險產品第三地供應商計畫
  4. 建置地緣政治相關之合規管理流程
  5. 建立供應鏈營運持續管理要求,並將置入日常管理機制,以提升供應鏈風險管理意識。


 

華碩風險管理原則訓練

風險管理原則訓練 對象 頻率
1. [風險趨勢]國際風險趨勢 BCM任務小組成員 每年複訓
2. [營運風險]企業風險評鑑工具 BCM任務小組成員 每年複訓
3. [品質風險]品質管理系統與有害物質管理訓練 全體員工 每年複訓
4. [環安風險]職業安全與健康管理訓練 全體員工 每年複訓
5. [道德風險]員工道德守則訓練 全體員工 每年複訓
6. [資安風險]資訊安全通識: 常見資訊安全威脅 全體員工 每年複訓