風險治理
董事會對台積公司的風險治理負整體責任,審計暨風險委員會協助董事會監督風險管理系統,包括審視台積公司的企業風險管理架構與流程,以利辨識及管理風險,並向董事會報告與風險管理有關之重大議題、發現及建議。
由董事會核定通過之風險管理政策,申明了台積公司對於健全且有效的風險管理系統與文化之承諾,透過整合及管理所有潛在風險,協助管理團隊制訂訊息充足且深思熟慮的業務決策,確保台積公司所面臨的風險已被知悉且控制在風險胃納與風險忍受度之範圍內。
風險管理政策
審計暨風險委員會協助董事會監督公司的風險管理成效。
在經營管理團隊方面,由諸多的風險管理相關委員會及工作小組共同組成風險管理組織,包括風險管理指導委員會、風險管理執行委員會、風險管理工作小組及風險管理處。
作為風險管理系統年度審查的一環,審計暨風險委員會分別於民國113年2月5日和8月12日針對關鍵風險和控制措施進行審查。
風險管理組織
台積公司係參考ISO31000:2018風險管理系統,及全美反舞弊性財務報告委員會發起組織(COSO委員會)之 企業風險管理整體架構,制訂一套積極主動且健全的企業風險管理系統, 以支持公司業務策略與目標的實現,保障公司及其利害關係人的利益。針對促進企業成長,同時兼顧有效運用機會及風險最小化的策略,有效地優化資源配置及優先順序,而創造公司價值。
台積公司採用三道防線模式,確保其風險管理系統的充分性和有效性。
在第一線,管理層面由各自所屬的功能組織和委員會提供支援,例如由Risk Management Champion (RMC)組成的風險管理執行委員會,負責辨識和緩解公司面臨的風險(包括策略、財務、營運及合規等風險)。風險管理工作小組由其特定風險領域管理的風險管理協調者組成。依循台積公司企業風險管理架構的指引,根據台積公司對風險的風險偏好,執行及運作適當的政策和程序。採用5大步驟的風險管理流程,確保將風險管理流程整合到業務營運之中。
在第二線,台積公司制定其風險管理政策,以利對第一線開展的營運和活動進行監督和治理。董事會透過風險管理指導委員會以監督風險管理架構的有效性。風險管理處與各功能組織及業務管理部門合作,確保相關政策和程序得以有效設計和執行,並透過風險意識文化有效管理風險。
第三線包括獨立確信,包括內部和外部審計。
企業風險管理架構與程序
台積公司的企業風險管理架構為一套能有效執行並持續改善風險管理系統的結構化方法。
風險管理處,與各功能組織、廠處及部門密切合作,以協助管理階層實踐企業風險管理架構,以確保台積公司的風險均有效地被評估及管理。
企業風險管理架構描繪出風險治理的結構,以及風險管理在辨識、評估、回應、監控及審查風險的流程與工具。
風險管理將透過整合式的IT系統更有效地執行,藉由風險管理學院建立風險管理的職能,並培育出具風險意識的思維與文化。
企業風險管理架構與程序
風險胃納聲明與風險管理範疇
台積公司制定了風險胃納聲明,概述公司為實現企業目標而願意承擔的風險之性質和程度,包括:
- 策略風險:應審慎評估公司所承擔的風險,確保與商業酬報相稱,並與公司的策略、投資、財務和企業目標相一致。
- 營運風險:應將風險考量整合到營運流程中,並將風險控制在各廠處、功能組織和公司的風險容忍度(風險指標)之內。
- 財務風險:台積公司不投資或參與任何超出風險忍受度的業務活動。
- ESH與合規風險:絕不縱容影響安全的違規或過失、違反法律法規以及詐欺、賄賂和貪汙腐敗等行為。
各功能組織與部門依據辨識、評估、回應、監控及審查的五個循環式流程來進行風險管理,提出企業層級風險矩陣及控制措施,呈報審計委員會,透過持續性的教育訓練來強化更具風險意識的思維與文化。
台積公司的風險管理範疇,主要包括但不限於下列項目:
關鍵風險分析與審查
敏感性分析和壓力測試
台積公司針對關鍵風險執行敏感性分析和壓力測試,以驗證其營運韌性並在可能對其產生實質影響的事件中進行策略性行動,包括但不限於:
- 市場風險
- 信用風險
- 流動性和償債風險
- 由匯率和利用率變化引起的毛利率敏感度
- 海外營運風險
- 地震和停電對財務影響
新興風險
鑑別全球與新興風險分析之重要性,台積公司持續檢視對其長期可持續性發展具有潛在影響的風險。
台積公司的關鍵新興風險包括:
- 複雜的網路安全動態所帶來的高階網路威脅:採用人工智能和量子計算等新技術,提了網路安全風險,進一步加劇了網路間諜活動的威脅。半導體生態系統,包括供應商和客戶,也面臨著網絡攻擊的風險,可能對供應鏈產生重大影響,導致台積電營運中斷、商機損失、聲譽影響等。風險控制措施包括但不限於防護層、持續的模擬演練和供應鏈安全管理。
- 去全球化導致高科技產業極化:國家安全預計已成為主權國家關注的問題和首要任務,而採取戰略行,以確保半導體自給自足和供應鏈本地化。高科技產業的多極化效應正在削弱全球化,並限制貨物和技術的自由流動,以實現地緣政治利益。台積公司的業務可能面臨業務效率和韌性的削弱、成本升高、商機損失等影響。減輕風險的措施包括但不限於以風險為基礎的策略投資規劃、關鍵運營資源的本地化和優化,以及持續強化營運持續管理。
- 氣候轉型行動失敗:氣候不作為是世界面臨的主要威脅之一。即使部署了應對氣候風險和機遇的策略,對淨零目標的無效應對仍會對台積公司的營運、價值鏈和市場產生風險。風險控制措施包括實施針對RE100/淨零排放的計劃,以及與外部利益關係人和政府的合作。
風險審查
台積公司定期對風險管理架構和流程進行內部和外部的審查與稽核,以鑑別強化風險管理及其流程有效性的機會。
資訊安全風險管理
資訊安全與機密資訊保護是台積公司對客戶、股東及夥伴的承諾。台積公司明訂資訊安全規範、標準與實踐,持續進行管理制度與技術的強化,並架構多層的資安防禦,並定期執行資安風險評估執行全方位的風險管控,以達到台積公司資訊安全管理的目標。
風險管理學院
台積公司風險管理學院的成立旨在強化公司的風險意識和能力,定期推出一系列量身定制的風險培訓計劃,如訓練、演練、會談、會議和工作坊,以使各級員工具備風險管理知識與風險意識,從而有效及時地管理風險。
民國112年風險管理執行情形與民國113年主要強化項目
民國112年向審計暨風險委員會報告的風險管理執行情形與民國113年主要強化項目匯整如下: