風險治理
董事會對台積公司的風險治理負整體責任,審計暨風險委員會協助董事會監督風險管理系統,包括審視台積公司的企業風險管理架構與流程,以利辨識及管理風險,並向董事會報告與風險管理有關之重大議題、發現及建議。
由董事會核定通過之風險管理政策,申明了台積公司對於健全且有效的風險管理系統與文化之承諾,透過整合及管理所有潛在風險,協助管理團隊制訂訊息充足且深思熟慮的業務決策,確保台積公司所面臨的風險已被知悉且控制在風險胃納與風險忍受度之範圍內。
風險管理政策
審計暨風險委員會協助董事會監督公司的風險管理成效。
在經營管理團隊方面,由諸多的風險管理相關委員會及工作小組共同組成風險管理組織,包括風險管理指導委員會、風險管理執行委員會、風險管理工作小組及風險管理處。
作為風險管理系統年度審查的一環,審計暨風險委員會分別於每年2月和8月針對關鍵風險和控制措施進行審查。
風險管理組織
台積公司確實參照《國際標準化組織-風險管理系統ISO 31000:2018》及《COSO委員會之企業風險管理-整合架構》來建立其企業風險管理架構,以系統性的推動風險管理工作,讓台積公司得以應對動態的商業環境,並利用商機。
此架構亦勾勒台積公司風險治理體系、整合營運及業務的流程、促進風險鑑別、評估及監控的工具,透過建立風險能力和培養風險意識文化的正式訓練和溝通計畫,以協助管理階層在執行企業經營策略時,考量風險並作出決策。
企業風險管理架構與程序
台積公司採用三道防線模式,確保其風險管理系統的充分性和有效性。
在第一線,管理層面由各自所屬的功能組織和委員會提供支援,例如由Risk Management Champion (RMC)組成的風險管理執行委員會,負責辨識和緩解公司面臨的風險(包括策略、財務、營運及合規等風險)。風險管理工作小組由其特定風險領域管理的風險管理協調者組成。依循台積公司企業風險管理架構的指引,根據台積公司對風險的風險偏好,執行及運作適當的政策和程序。採用五大步驟的風險管理流程,確保將風險管理流程整合到業務營運之中。
在第二線,台積公司制定其風險管理政策,以利對第一線開展的營運和活動進行監督和治理。董事會透過風險管理指導委員會以監督風險管理架構的有效性。風險管理處與各功能組織及業務管理部門合作,確保相關政策和程序得以有效設計和執行,並透過風險意識文化有效管理風險。
第三線包括獨立確信,包括內部和外部審計。台積公司定期對風險管理架構和流程進行內部和外部審計,以發現提高風險管理及其流程有效性的機會。內部稽核處每季向審計暨風險委員會報告。
三道防線
危機管理及營運持續管理
台積公司致力透過遵循營運持續管理標準,有效應對潛在營運中斷風險,以維持營運韌性及營運持續。公司已鑑別主要的自然及人為災害風險,包括地震、洪水、颱風、乾旱、海嘯、沙塵暴、野火、火山爆發、火災、氣體/化學品洩漏、流行病、網路攻擊、供應鏈中斷、地緣政治緊張局勢、惡意破壞、關鍵設施及設備故障失效、水/電/天然氣等供應短缺等事件,可能造成營運中斷。
為降低危機事件對台積公司的營運衝擊,風險管理處執行危機前風險評估、應變程序及復原計劃,並持續進行演練,以驗證緊急應變、危機管理及營運持續計畫,加強行動準備。在重大事件或危機事件中,遵循危機管理準則,中央危機指揮中心(C4)由董事長暨總裁領導,由關鍵功能組織的資深管理人員組成,提供指導和決策,以保持應變準備,包括及時與關鍵利益相關者的溝通。
營運持續管理架構
台積公司的營運持續管理架構引導公司有效和迅速地應對業務中斷,從而維護公司和利益相關者的利益。營運持續管理 (BCM)架構概述了由韌性文化支持的治理結構、流程和能力,以加強公司的運營韌性。
營運持續管理架構與程序
風險胃納聲明與風險管理範疇
台積公司制定了風險胃納聲明,概述公司為實現企業目標而願意承擔的風險之性質和程度,包括:
- 應審慎評估公司所承擔的風險,確保與商業酬報相稱,並與公司的策略、投資、財務和企業目標相一致。
- 應將風險考量整合到營運流程中,並將風險控制在各廠處、功能組織和公司的風險容忍度之內。
- 不投資或參與任何超出風險忍受度的業務活動。
- 絕不縱容影響安全的違規或過失、違反法律法規以及詐欺、賄賂和貪汙腐敗等行為。
各功能組織與部門依據辨識、評估、回應、監控及審查的五個循環式流程來進行風險管理,提出企業層級風險矩陣及控制措施,呈報審計暨風險委員會,透過持續性的教育訓練來強化更具風險意識的思維與文化。台積公司體認其系統和流程提供合理但並非絕對的保證,因此不斷努力提高其管理及應對風險以及利用機會的能力。
新興風險
有效的風險管理是動態的,包括對風險和機會的評估。台積公司的風險管理架構和流程確保其有效和相關性。在瞬息萬變的商業環境中,我們認知全球和新興風險對企業策略的影響。台積公司持續審視所面對的環境,以鑑別可能影響公司的業務或營運的風險。在相關的情況下,這些風險將於各種內部論壇和風險管理指導委員會進行審查和討論,以確定是否需要採取任何進一步的行動和應對措施。台積公司致力以平衡及全面的方式評估所有重大風險,為我們的利益相關者提供可持續的長期價值。
台積公司的關鍵新興風險包括:
- 複雜的網路環境所帶來的高階網路威脅:採用人工智能和量子計算等新技術增加了網路安全風險,進一步加劇了網路間諜活動的威脅。包括供應商和客戶的半導體生態系統,也面臨網絡攻擊的風險,可能對供應鏈產生重大影響,導致台積公司的營運中斷、商機損失、聲譽影響等。風險控制措施包括但不限於多層防禦、持續的模擬演練和供應鏈安全管理。
- 去全球化導致高科技產業極化:預計國家安全將成為主要國家關注的問題和首要任務,而採取戰略行動,以確保半導體自給自足和供應鏈本地化。高科技產業的多極化效應正在削弱全球化,並限制貨物和技術的自由流動,以實現地緣政治利益。台積公司的業務可能面臨業務效率和彈性的削弱、成本升高、商機損失等不利影響。風險緩解措施包括但不限於以風險為基礎的策略投資規劃、關鍵營運資源的本地化和優化,以及持續強化營運持續管理。
- 氣候轉型行動失敗:氣候不作為是世界面臨的主要威脅之一。儘管其他公司採取了應對氣候風險和機遇的措施,但對實現凈零世界所需的變革反應無效,對台積公司的營運、價值鏈和市場仍然構成風險。風險控制措施包括實施針對RE100/淨零排放的計劃,以及與外部利益關係人和政府的合作。
風險審查
台積公司定期對風險管理架構和流程進行內部和外部的審查與稽核,以鑑別強化風險管理及其流程有效性的機會。
資訊安全風險管理
資訊安全與機密資訊保護是台積公司對客戶、股東及夥伴的承諾。台積公司明訂資訊安全規範、標準與實踐,持續進行管理制度與技術的強化,並架構多層的資安防禦,並定期執行資安風險評估執行全方位的風險管控,以達到台積公司資訊安全管理的目標。
風險管理學院
台積公司風險管理學院的成立旨在強化公司的風險意識和能力,定期推出一系列量身定制的風險培訓計劃,如訓練、演練、會談、會議和工作坊,以使各級員工具備風險管理知識與風險意識,從而有效及時地管理風險。
民國113年風險管理執行情形與民國114年主要強化項目
民國113年向審計暨風險委員會報告的風險管理執行情形與民國114年主要強化項目匯整如下:
