風險管理
有鑑於企業經營所面臨之風險日益複雜,考驗企業風險預防能力與緊急應變復原能力,為使企業風險管理機制形成良好防護,能識別未來可能之挑戰,企業必須儘早做好防護,避免受到影響,確保足以應付威脅與具備營運持續能力,展現組織韌性。
風險管理政策
- 因應風險威脅,超前部署管理
- 展現組織韌性,確保營運持續
目標
- 建立關鍵風險指標 (Key Risk Indicator, KPI),即時監控
- 建立短中長期預防計畫,並定時檢討與改善
- 持續強化各種緊急應變作業,並定期演練
營運持續管理委員會
華碩為使風險管理能有效運作,成立營運持續管理(Business Continuity Management, BCM)委員會,建立治理與營運單位溝通平台,並推行跨部門風險管理機制,打破部門疆界,實現風險因應化被動為主動的轉型,以強化企業風險抵禦能力。除建立定期審核機制外,還採用三道防線建構內部控制制度,並定期接受董事會層級監督。
| 組織 | 職能 |
|---|---|
| 董事會 | 監督策略發展 |
| 營運持續管理 委員會 |
審查風險管理運作 |
| 營運持續管理 辦公室 |
規劃、執行與監督各部門風險管理執行,協助跨部門溝通 |
| 專案小組 | 分析與辨識風險來源與類別,並採取措施 |
公司依照ISO 31000風險管理系統的要求,建構於各個管理體系的風險運作,每年進行第三方驗證與內部稽核。
風險管理三大主軸
華碩風險管理運作分為企業韌性、集團韌性與供應鏈韌性,三大主軸的全面管理,榮獲SGS 風險管理品質典範獎。
企業韌性
風險管理流程
結合ISO 22301 營運持續管理系統國際標準與相關工具,發展適合華碩的BCM 管理工具,以配合實務需求與公司發展。蒐集利害關係人關注議題、法規、國際風險趨勢以及爭議事件四大來源,全面識別營運潛在風險並分析其風險值,2024 年依據風險容忍度判定出8 項重大風險議題,並針對關鍵資源弱點建立46 個關鍵風險指標(Key Risk Indicator, KRI)與風險預防計畫,每季定期審視風控進度,KRI 年度達成率達89%,此外,應變國際趨勢變化, 2024 年新增地緣政治營運持續計畫,並完成8 個情境演練與檢討。
Step.1
蒐集風險議題
Step.2
分析風險議題
Step.3
進行風險管理
Step.4
定期檢討與改善
為了應對由內外部環境變化所引發的風險問題,公司每年進行兩次風險評估審查:第一次是書面審查,於2024年7月進行;第二次是實體會議審查,於2025年4月進行。進行這些審查的目的是為了確保指定的風險容忍水平和減緩行動保持最新和相關性。
Step.1
蒐集風險議題
參照國際風險趨勢、法規遵循、利害關係人關注之重大性議題、爭議事件、以及BCM委員會與董事會要求等,盤點出相關風險議題。
Step.2
分析風險議題
風險評估流程
計算風險值
風險容忍度
為了應對由內外部環境變化所引發的風險問題,公司每年進行兩次風險評估審查:第一次是書面審查,於2024年7月進行;第二次是實體會議審查,於2025年4月進行。進行這些審查的目的是為了確保指定的風險容忍水平和減緩行動保持最新和相關性。
新興風險鑑別流程
Step.1
蒐集國際
風險趨勢
Step.2
BCM 各小組
辨識風險
Step.3
辨識新興風險
與衝擊分析
Step.4
關注新興風險
建立調適計畫
Step.3
進行風險管理
風險面向
網路安全
技術人才短缺
國際風險議題管理
宏觀經濟波動
氣候變遷
管理計畫
建立關鍵風險指標
擬定及實施風險預防計畫
建立營運持續管理計畫
Step.4
定期檢討與改善
高風險事件制定管理計畫,並列入定期審查
重大風險議題與調適行動
網路安全
潛在衝擊
數位時代資訊價值激增,導致機密資料 外洩的代價更高。特別是隨著到府服務、遠端連線等多元售後服務興起,外洩風險加劇,一旦發生將造成嚴重經濟與聲譽損失。
調適行動
強化資料安全管控與服務商資安管理
- 制定開發資料分類分級及安全管控指引,確保平台安全措施一致
- 建立雲端安全管理作業,訓練人員安全設定雲端服務
- 對服務商實施資安訓練,建立 KPI 與實施資安稽核
技術人才短缺
潛在衝擊
少子化與全球人才流動,加劇招募與留才挑戰,新興技術發展也使人才培養更具難度,影響企業競爭。
調適行動
聚焦潛在人才與高階人才留任
- 擴大產學合作計畫、專業人才發展模組及完善薪資福利制度
- 實施人才檢視機制,確保關鍵人才獲得適當發展
BCM委員會辨識出華碩須關注的兩大新興風險,包含生成式AI,以及地緣政治風險導致供應鏈中斷,逐一展開相關調適行動。
新興風險
生成式AI
潛在衝擊
生成式 AI 成商業關鍵技術,企業若未因應將失去競爭力、客戶滿意度降低、錯失效率提升和創新機會,並增加資料安全風險。駭客利用 AI 與機器學習進行組織化攻擊,AI 生成假訊息亦影響輿論與資安環境。
資源弱點:
- 員工對 GAI 認識不足
- 各單位獨立發展,未整合資源
- 缺乏資安防禦態勢評估
調適行動
聚焦GAI 賦能與資安風險因應
- 成立 GAI Committee 推動各單位 GAI 成熟應用與發展
- 建構AI學習地圖與智學網,推動自學賦能環境,落實全員基礎知能
- 舉辦趨勢講座與分享公司產品 AI 策略佈局
- 導入公司自行開發的 AI Hub 平台,提升員工工作效率
- 擴大 OA 機台端點導入資安防護以有效檢測和回應威脅
- 自建威脅情資平台並提升情資來源數量
地緣政治
潛在衝擊
生產基地過度集中,增加因貿易衝突、關稅上升造成供應鏈中斷風險,影響訂單出貨。
資源弱點:
- 生產基地過於集中
- 對地緣政治相關法規認知不足
調適行動
持續優化全球產能配置
- 推動合作供應商夥伴分散生產製造基地
- 建立地緣政治相關之合規管理流程
華碩風險管理原則訓練
| 風險管理原則訓練 | 對象 | 頻率 |
|---|---|---|
| 1. [風險趨勢]國際風險趨勢 | BCM任務小組成員 | 每年複訓 |
| 2. [營運風險]企業風險評鑑工具 | BCM任務小組成員 | 每年複訓 |
| 3. [品質風險]品質管理系統與有害物質管理訓練 | 全體員工 | 每年複訓 |
| 4. [環安風險]職業安全與健康管理訓練 | 全體員工 | 每年複訓 |
| 5. [道德風險]員工道德守則訓練 | 全體員工 | 每年複訓 |
| 6. [資安風險]資訊安全通識: 常見資訊安全威脅 | 全體員工 | 每年複訓 |
集團韌性
- 推動 ASUS Group 360° Watch 機制,定期監控集團爭議事件,包含環境、商業道德、勞工人權、永續採購四大面向。
- 建立爭議事件管理機制,於 BCM 季會進行檢討改善,並與管理體系結合,將改善措施標準化,與列入內部稽核抽查落實度。
- 啟動「爭議事件風險防範」全員訓練,提高爭議事件資訊透明與提升風險防範意識。
監控與識別爭議事件
- ASUS Group 360° Watch Finding 每月偵測爭議事件
建立追蹤與改善計畫
- 集團爭議事件追蹤改善
- 改善行動標準化
監督與檢討
- BCM 季會檢討改善進度
- 定期稽核執行監督
落實預防與教育
- 每年全員風險意識訓練
供應鏈韌性
- 氣候變遷災害可能導致供應鏈中斷,故推動供應商氣候轉型計畫,以提升供應鏈韌性。根據ASUS TCFD 報告,華碩主要營收產品組裝廠(EMS)位於重慶市,其水力發電未來是重要供電來源。在極端氣候事件如乾旱或強降雨影響營運情境下,以座落於重慶之重要EMS 廠作為氣候轉型標的。
- 舉辦 3 場次供應商韌性論壇,完成供應鏈 BCM 成熟度問卷調查與弱點分析。
- 協輔廠商完成氣候變遷情境之營運持續計畫(BCP),包含情境一、因乾旱造成產線停電;情境二、因強降雨造成運輸中斷。
供應商氣候韌性評估
- 確定供應商氣候轉型標的
- 識別氣候變遷情境
- 建立華碩供應商 BCM 問卷
供應商韌性資訊蒐集
- 召開 BCM 問卷填寫說明
- 回收廠商 BCM 問卷
供應商韌性協輔
- 分析廠商 BCM 成熟度
- 協輔建置廠商 BCP 提升成熟度
