為促進本公司永續經營發展,強化公司治理,健全風險管理作業,可成董事會於113年11月6日通過訂定「風險管理政策與程序」。本公司風險管理程序主要包含風險辨識與分析、風險評量、風險回應、監督與審查機制,由各單位盤點與其業務相關之風險項目,根據重大性原則及利害關係人關注議題,進行風險鑑別及分析,並評估各項風險對本公司影響程度,據以擬定各項風險管理措施及因應對策。
本公司之風險管理涵蓋環境(氣候變遷、生物多樣性、職業安全衛生、能源等議題)、社會及人權、治理(法遵、反貪腐及舞弊、資訊安全)、財務及其他相關危害之各項營運風險,由審計委員會負責督導,永續發展室每年至少一次向審計委員會及董事會報告其運作情形。
| 風險類別 |
辨識、分析及評量結果(重大議題/風險) |
管理機制、程序及辦法 |
因應對策/落實風險減緩之執行情況 |
| 氣候與環境風險 |
氣候變遷 |
氣候風險與機會 |
|
|
•
|
依循氣候相關財務揭露架構,評估實體風險、轉型風險與機會風險,以整合至營運作業流中,進行減緩與調適策略與推動計畫(詳情請參閱可成科技2023年永續報告書第88-93頁) |
|
•
|
2024年:依據TCFD架構進行管理 |
|
| 職安衛生 災害(火災) |
職業安全衛生
廢棄物管理
循環經濟
|
|
•
|
ISO 1400環境管理系統 |
|
•
|
ISO 45001職業安全衛生管理系統 |
|
•
|
RBA(責任商業聯盟)行為準則 |
|
|
•
|
取得ISO 14001環境管理系統、ISO 45001職業安全衛生管理系統、RBA(責任商業聯盟)行為準則第三方驗證 |
|
•
|
依據當地政府環境與職安衛生相關法規進行利害相關者分析,確認法規符合性,並採取適當持續之優化措施,以優於法令規範要求(詳情請參閱可成科技2023年永續報告書第72、86頁) |
|
•
|
2024年:取得ISO 14001環境管理系統、ISO 45001職業安全衛生管理系統之續證;完成RBA(責任商業聯盟)行為準則第三方驗證 |
|
| 能源 |
能源管理 |
|
|
•
|
訂定每年節電1%計畫 |
|
•
|
2024年7月於永科廠設置1121.76kw再生能源設備 |
|
| 社會與人權風險 |
人權相關議題 |
人才延攬/留才
人權/勞工權益
(減少人權侵害)
|
|
|
•
|
依據RBA(責任商業聯盟)行為準則,執行年度人權盡職調查,鑑別評估相關風險、推動風險減緩措施、持續改善相關流程、辦理教育訓練(詳細情況請參閱可成科技2023年永續報告書第57、59頁) |
|
•
|
2024年:完成RBA(責任商業聯盟)行為準則第三方驗證 |
|
| 法遵風險 |
貪腐及舞弊 |
誠信經營
反貪腐
|
|
|
•
|
依據經董事會通過之【誠信經營政策】予以管理 |
|
•
|
落實【誠信經營政策】:
1.董事、總經理、高階管理層簽署誠信經營承諾書;集團員工簽署誠信廉潔承諾書
2.新人到職訓練納入道德規範內容
3.對全體員工(本/陸/外籍)辦理年度誠信經營教育訓練及測驗
4.公司內外部網站、新人手冊、實體公佈欄明定檢舉制度、揭露申訴/檢舉管道 |
|
•
|
2023:未有直接/間接現金或實物之政治捐獻紀錄;未涉及任何反競爭、反托拉斯以及壟斷行為之法律訴訟;未有因貪腐、會計詐騙等違法行為遭致處罰/罰款/制裁(詳情請參閱可成科技2023年永續報告書第40頁) |
|
•
|
2024年:誠信經營內部稽查結果並無異常發生 |
|
| 資安風險 |
資訊安全 |
資訊安全/隱私保護
(重要資訊設備損壞,或遭受重大資安攻擊導致系統無法運作)
|
|
|
•
|
導入必要資安防護及監控管理措施,提升資安防護能力,保護並防止客戶及公司資料外洩 |
|
•
|
取得ISO 27001資訊安全管理系統第三方認證(證書效期2025/10/18) |
|
•
|
辦理資安宣導、訓練及測驗,全面提升員工資安認知(詳情請參閱可成科技2023年永續報告書第36頁) |
|
•
|
2024前三季:無資安外洩情事發生 |
|
| 財務風險 |
財務 |
市場風險(匯率/利率/價格)、信用風險、流動性風險 |
|
|
•
|
根據風險程度與廣度分析相關內部曝險,提出風險報告,據以監督、管理集團各項財務風險(詳情請參閱可成科技2023年報第73、146-151頁) |
|
•
|
2024年:依據內部財務風險管理政策予以管理 |
|
| 市場風險 |
市場需求變化 |
降低受單一產業波動或客戶變動之影響 |
|
|
•
|
2023年:積極開發非消費性電子產業(如車用及醫療)客戶,降低業務過度集中單一產業之影響;強化與客戶/組裝廠溝通,優化供貨策略(詳情請參閱可成科技2023年永續報告書第46-47頁) |
|
•
|
2024年:定期於每週內部業務會議討論 |
|
| 供應鏈風險 |
原物料、供應商管理 |
供應商管理 |
|
•
|
RBA(責任商業聯盟)行為準則 |
|
•
|
採購條款、條件(詳情請參閱《供應商採購條款與條件》附件二:供應商行為準則) |
|
|
•
|
依據供應商管理政策、企業社會責任相關規範、可成企業社會責任要求、供應商限用有害物質管理規範,以及無衝突礦產宣告予以管理(詳情請參閱可成科技2023年永續報告書第48頁) |
|
•
|
每年進行供應商進行評鑑。供應商行為明確違反相關規範遭主管機關處罰,或經查對社會、環境有顯著負面影響,須配合本公司要求改善,情節重大者可成科技有權終止合約並取消訂單(詳情請參閱可成科技2023年永續報告書第48頁) |
|
•
|
2024年前三季:未有供應商明確違反相關規範導致終止合約並取消訂單之情事 |
|
| 採購集中單一廠商,無替代方案 |
|
|
•
|
持續關注供應鏈斷料或缺料情況,積極評估主要原材料或重要零組件供需狀況,維持二家以上供應商,以降低供料短缺風險(詳情請參閱可成科技2023年永續報告書第48頁) |
|
•
|
2024年前三季:未發生缺料相關情事 |
|
| 技術風險 |
智慧財產權管理 |
智慧財產權
(產品開發過程有智財相關問題,或智財侵權風險)
|
|
|
•
|
依據智慧財產管理作業辦法予以管理 |
|
•
|
開發新產品時與合作夥伴或客戶明訂智慧財產權侵權風險分攤義務、委請專利事務所進行專利地圖建立與鑑別為常規之避險手段、策略性取得其他專利實體之必要授權、設立獎勵方案鼓勵專利申請以即時取得公司內外部智慧財產權 (詳情請參閱可成科技2023年永續報告書第32頁) |
|
•
|
2024年前三季:未有專利訴訟與侵權案件之情事 |
|
| 品質風險 |
品質風險 |
產品含有害物質 |
|
|
•
|
依據IECQ QC080000有害物質管理系統之要求,制訂環境管制物質管理程序,建置廠內有害物質檢測能力,搭配資訊化之材料限用有害物質訊息一覽表,完整審查出貨產品相關材料,避免流出有害物質超標之產品(詳情請參閱可成科技2023年永續報告書第35頁) |
|
•
|
2024年前三季:未有違反有害物質管制事件 |
|
| 產品品質風險 |
|
•
|
ISO 9001品質管理系統 |
|
•
|
ISO 13485醫療器材品質管理系統 |
|
|
•
|
取得ISO 9001品質管理系統、IATF 16949汽車產業品質管理系統認證、ISO 13485醫療器材品質管理系統之第三方驗證,強化各項品質管理教育訓練,提升品質管理之落實度(詳情請參閱可成科技2023年永續報告書第33頁) |
|
•
|
建置資訊追溯系統,掌握產品生產履歷,有效管制風險物料,大幅降低不良品出貨 |
|
•
|
2024年前三季:未有重大客訴事件 |
|
本公司成立資訊安全推動小組,成員包含召集人、管理代表、執行秘書、資訊安全管理小組、資料保護小組、緊急處理小組(任務型)以及稽核小組,擬訂各項資訊安全發展方向及策略,推動及辦理資訊安全管理之各項工作,以確保資訊安全管理制度持續穩健運作。
可成致力於資訊安全管理,保護公司產品與服務,避免有未經授權之存取、修改、使用與揭露,以及天然災害所引起之損失,並適時提供完整與可用資訊,確保公司重要資訊財產之機密性、完整性及可用性,同時符合相關法規要求,俾獲得客戶信賴,履行對股東承諾,保證公司重要業務之持續運作。
為展現貫徹資訊安全管理決心,確保所有資訊與資訊系統獲得適當保護,本公司依據ISO/IEC 27001:2022標準建立、記載、實施以及維護資訊安全管理系統,並持續改進系統之有效性。
本公司依據ISO/IEC 27001:2022標準,採用Plan-Do-Check-Act (PDCA)循環運作模式,建立與施行資訊安全管理系統,並維繫其有效運作與持續改進。
