風險治理
董事會對台積公司的風險治理負整體責任,審計暨風險委員會協助董事會監督風險管理系統,包括審視台積公司的企業風險管理架構與流程,以利辨識及管理風險,並向董事會報告與風險管理有關之重大議題、發現及建議。
由董事會核定通過之風險管理政策,申明了台積公司對於健全且有效的風險管理系統與文化之承諾,透過整合及管理所有潛在風險,協助管理團隊制訂訊息充足且深思熟慮的業務決策,確保台積公司所面臨的風險已被知悉且控制在風險胃納與風險忍受度之範圍內。
風險管理政策
審計暨風險委員會協助董事會監督公司的風險管理成效。
在經營管理團隊方面,由諸多的風險管理相關委員會及工作小組共同組成風險管理組織,包括風險管理指導委員會、風險管理執行委員會、風險管理工作小組及風險管理處。
作為風險管理系統年度審查的一環,審計暨風險委員會分別於每年2月和8月針對關鍵風險和控制措施進行審查。
風險管理組織
台積公司確實參照《國際標準化組織-風險管理系統ISO 31000:2018》及《COSO委員會之企業風險管理-整合架構》來建立其企業風險管理架構,以系統性的推動風險管理工作,讓台積公司得以應對動態的商業環境,並利用商機。
此架構亦勾勒台積公司風險治理體系、整合營運及業務的流程、促進風險鑑別、評估及監控的工具,透過建立風險能力和培養風險意識文化的正式訓練和溝通計畫,以協助管理階層在執行企業經營策略時,考量風險並作出決策。
企業風險管理架構與程序
台積公司採用三道防線模式,確保其風險管理系統的充分性和有效性。
在第一線,管理層面由各自所屬的功能組織和委員會提供支援,例如由Risk Management Champion (RMC)組成的風險管理執行委員會,負責辨識和緩解公司面臨的風險(包括策略、財務、營運及合規等風險)。風險管理工作小組由其特定風險領域管理的風險管理協調者組成。依循台積公司企業風險管理架構的指引,根據台積公司對風險的風險偏好,執行及運作適當的政策和程序。採用五大步驟的風險管理流程,確保將風險管理流程整合到業務營運之中。
在第二線,台積公司制定其風險管理政策,以利對第一線開展的營運和活動進行監督和治理。董事會透過風險管理指導委員會以監督風險管理架構的有效性。風險管理處與各功能組織及業務管理部門合作,確保相關政策和程序得以有效設計和執行,並透過風險意識文化有效管理風險。
第三線包括獨立確信,包括內部和外部審計。台積公司定期對風險管理架構和流程進行內部和外部審計,以發現提高風險管理及其流程有效性的機會。內部稽核處每季向審計暨風險委員會報告。
三道防線
危機管理及營運持續管理
台積公司致力透過遵循營運持續管理標準,有效應對潛在營運中斷風險,以維持營運韌性及營運持續。公司已鑑別主要的自然及人為災害威脅,包括地震、洪水、颱風、乾旱、海嘯、沙塵暴、野火、火山爆發、火災、氣體/化學品洩漏、流行病、網路攻擊、供應鏈中斷、地緣政治緊張局勢、惡意破壞、關鍵設施及設備故障失效、水/電/天然氣等供應短缺等事件,可能造成營運中斷。
為降低事件對台積公司的營運衝擊,風險管理處執行事件前風險評估、應變程序及復原計劃,並持續進行演練,以驗證緊急應變、溝通流程、營運持續計畫及危機管理,加強行動準備。在危機中,遵循危機管理準則,中央危機指揮中心(C4)由董事長暨總裁領導,由關鍵功能組織的資深管理人員組成,提供指導和決策,以保持應變準備,包括及時與關鍵利害關係人的溝通。
營運持續管理與危機管理架構
台積公司的營運持續管理與危機管理架構引導公司有效和迅速地應對營運中斷,從而維護公司和利害關係人的利益。該架構概述了治理結構、事件生命週期的流程,涵蓋了關鍵風險層面,其具備了以韌性文化為支持的核心能力。
營運持續管理架構與危機管理架構
風險胃納聲明與風險管理範疇
台積公司已明確定義其風險承受度,並以聲明形式概述其為實現業務目標所願承擔的風險性質與範圍:
- 承擔的風險應經過謹慎評估,與其獲得的回報相稱,並符合公司的策略、投資、財務以及企業與永續目標。
- 包括ESG因素在內的風險考量,是業務運營的核心部分,並在各事業部門、相關功能單位以及公司整體的風險容忍範圍內進行管理。
- 公司不會投資或參與任何超出其風險容忍度或與其對ESG原則承諾相衝突的業務活動。
- 公司對於安全相關的違規或疏失、法律法規的違反,以及例如欺詐、賄賂和腐敗等非法行為採取零容忍政策,並將此零容忍政策擴展至包括環境違規、人權侵害以及治理失誤在內的行為。
各功能組織與部門依據辨識、評估、回應、監控及審查的五個循環式流程來進行風險管理,提出企業層級風險矩陣及控制措施,呈報審計暨風險委員會,透過持續性的教育訓練來強化更具風險意識的思維與文化。台積公司體認其系統和流程提供合理但並非絕對的保證,因此不斷努力提高其管理及應對風險以及利用機會的能力。
新興風險
有效的風險管理是動態的,包括對風險和機會的評估。台積公司的風險管理架構和流程確保其有效和相關性。在瞬息萬變的商業環境中,我們認知全球和新興風險對企業策略的影響。台積公司持續審視所面對的環境,以鑑別可能影響公司的業務或營運的風險。在相關的情況下,這些風險將於各種內部論壇和風險管理指導委員會進行審查和討論,以確定是否需要採取任何進一步的行動和應對措施。台積公司致力以平衡及全面的方式評估所有重大風險,為我們的利益相關者提供可持續的長期價值。
台積公司的關鍵新興風險包括:
- 更趨複雜的網路空間:人工智慧、量子計算和雲端技術的進步以及地緣政治緊張局勢加劇了網路安全風險。與台積電息息相關的關鍵產業,如半導體生態系統和基礎設施(電力和電信),自身脆弱性也逐漸擴大。網路事件足以影響供應鏈、營運和聲譽,衍生中斷、法律審查和財務損失等問題。其後果包括營運中斷、信任下降、違規、聲譽受損以及營運復原和法律糾紛相關成本。定期性審查等應對措施包括透由審計暨風險委員會、多層防禦、模擬演練、零信任系統、邊界防禦、外部情報協作以及審計及提升風險意識等方式達成
- 高科技產業的去全球化和碎片化:各國對於自身國家安全憂慮升高,加速在半導體自給自足的投資,刺激美、中、歐盟及日本等主要經濟體採取出口限制、關稅和保護主義。國內外包和友岸外包等措施打亂原有的供應鏈生態,拉高生產成本,而限制貿易、技術流動和市場開放性等措施正斲傷全球化。台積電所面臨挑戰包括成本上升、運營風險、合規複雜性、供應鏈效率低下和商機損失等。風險控包括建構本地供應鏈、加強營運持續架構、關注法規更新、業務多元化以及爭取補貼以適應地緣經濟變化。
- 2050 年 ESG 轉型的挑戰:台積電將2050 年訂為淨零排放目標年,以符合國際標準及客戶對永續性的要求。臺灣可再生能源基礎設施有限,而台積多數廠區都設在臺灣,阻礙台積進步並影響運營、聲譽和客戶期許。無法落實淨零目標將影響台積聲譽、運營延誤、客戶流失、衝擊營收以及無法落實永續性相關規範。風險管控措施包括成立再生能源工作小組、低碳供應鏈管理、優化能源利用、部署先進溫室氣體技術、取得碳權份額、建蓋符合綠色認證工廠、創新碳捕獲以及與政府合作拓展再生能源。
風險審查
台積公司定期對風險管理架構和流程進行內部和外部的審查與稽核,以鑑別強化風險管理及其流程有效性的機會。
資訊安全風險管理
資訊安全與機密資訊保護是台積公司對客戶、股東及夥伴的承諾。台積公司明訂資訊安全規範、標準與實踐,持續進行管理制度與技術的強化,並架構多層的資安防禦,並定期執行資安風險評估執行全方位的風險管控,以達到台積公司資訊安全管理的目標。
研發中的風險管理
台積公司在產品開發生命週期中採取主動且以風險資訊為導向的方法。風險考量內化為研發過程的一部分,以確保台積公司持續為客戶提供先進、具競爭力的半導體技術。
財務風險:
- 投資優化:將產品開發優先順序與策略性投資目標保持一致,以確保研發支出與預期投資回報和市場需求相符。台積公司追蹤研發回報率和產品良率改善程度,以評估投資效益,確保資源利用最佳化並減少浪費
監管與法規遵循 風險:
- 法規遵循標準:台積公司關注各地區的法規要求,包括環境法規、出口管制、智慧財產保護和產業標準。在設計流程中嵌入法規遵循檢查點,以確保遵守全球和當地法規。
- ESG合規:台積公司在前期設計階段便採取生命周期評估(LCA),以評估環境風險,確保能源高效及低碳創新。台積公司開發低耗能製程技術(如FinFET、GAAFET)來幫助客戶達成氣候目標。這些創新技術減少30%耗能,20%耗水,實現了可量化的永續成果。新技術在全面開發或商業化前須通過安全、道德和環境評估,包括最大限度地減少有害化學品使用、能耗及水耗,及提高晶圓良率以減少浪費。透過在開發的每個階段嵌入合規檢查點,,台積公司確保遵守全球標準,同時降低法規風險。
營運風險:
- 供應鏈永續性:技術開發的規劃已將供應鏈主權及美中緊張局勢等要素納入考量。研發過程中審查關鍵原材料(如稀土元素、鎵及鈷)的可取得性和永續性。台積公司與供應商合作,確保物料來源符合道德標準及永續性,達成90%供應商永續性合規率。
- 環境健康與安全:在研發階段及任何化學品使用改變前,台積公司落實嚴格的化學品審查與控制流程,以符合環境保護、職業安全與健康標準。2022年,該流程實現了減少有害化學品使用量達15%的目標,展現了在環境安全方面的可量化進展。
- 新興風險:研發工作包括開發更能適應極端高溫和電應力的晶片,以應對實體氣候風險日益增加的挑戰。台積公司亦透過強大的壓力測試來應對網路安全和數據隱私風險,將漏洞風險降低了25%。
風險管理學院
台積公司風險管理學院的成立旨在強化公司的風險意識和能力。除了針對法規變更的培訓外,還定期推出一系列量身定制的風險管理計劃,如訓練、演練、會談、會議和工作坊,以使各級員工具備風險管理知識與風險意識,從而有效及時地管理風險。
民國114年風險管理執行情形與民國115年主要強化項目
民國114年向審計暨風險委員會報告的風險管理執行情形與民國115年主要強化項目匯整如下:
