风险治理
董事会对台积公司的风险治理负整体责任,审计暨风险委员会协助董事会监督风险管理系统,包括审视台积公司的企业风险管理架构与流程,以利辨识及管理风险,并向董事会报告与风险管理有关之重大议题、发现及建议。
由董事会核定通过之风险管理政策,申明了台积公司对于健全且有效的风险管理系统与文化之承诺,透过整合及管理所有潜在风险,协助管理团队制订讯息充足且深思熟虑的业务决策,确保台积公司所面临的风险已被知悉且控制在风险偏好与风险忍受度之范围内。
风险管理政策
审计暨风险委员会协助董事会监督公司的风险管理成效。
在经营管理团队方面,由诸多的风险管理相关委员会及工作小组共同组成风险管理组织,包括风险管理指导委员会、风险管理执行委员会、风险管理工作小组及风险管理处。
作为风险管理系统年度审查的一环,审计暨风险委员会分别于每年2月和8月针对关键风险和控制措施进行审查。
风险管理组织
台积公司确实参照《国际标准化组织-风险管理系统ISO 31000:2018》及《COSO委员会之企业风险管理-整合架构》来建立其企业风险管理架构,以系统性的推动风险管理工作,让台积公司得以应对动态的商业环境,并利用商机。
此架构亦勾勒台积公司风险治理体系、整合营运及业务的流程、促进风险鉴别、评估及监控的工具,透过建立风险能力和培养风险意识文化的正式训练和沟通计划,以协助管理阶层在执行企业经营策略时,考虑风险并作出决策。
企业风险管理架构与程序
台积公司采用三道防线模式,确保其风险管理系统的充分性和有效性。
在第一线,管理层面由各自所属的功能组织和委员会提供支持,例如由Risk Management Champion (RMC)组成的风险管理执行委员会,负责辨识和缓解公司面临的风险(包括策略、财务、营运及合规等风险)。风险管理工作小组由其特定风险领域管理的风险管理协调者组成。依循台积公司企业风险管理架构的指引,根据台积公司对风险的风险偏好,执行及运作适当的政策和程序。采用五大步骤的风险管理流程,确保将风险管理流程整合到业务营运之中。
在第二线,台积公司制定其风险管理政策,以利对第一线开展的营运和活动进行监督和治理。董事会透过风险管理指导委员会以监督风险管理架构的有效性。风险管理处与各功能组织及业务管理部门合作,确保相关政策和程序得以有效设计和执行,并透过风险意识文化有效管理风险。
第三线包括独立确信,包括内部和外部审计。台积公司定期对风险管理架构和流程进行内部和外部审计,以发现提高风险管理及其流程有效性的机会。内部稽核处每季向审计暨风险委员会报告。
三道防线
营运持续管理及危机管理
台积公司致力透过遵循营运持续管理标准,有效应对潜在营运中断风险,以维持营运韧性及营运持续。公司已鉴别主要的自然及人为灾害威胁,包括地震、洪水、台风、干旱、海啸、沙尘暴、野火、火山爆发、火灾、气体/化学品泄漏、流行病、网络攻击、供应链中断、地缘政治紧张局势、恶意破坏、关键设施及设备故障失效、水/电/天然气等供应短缺等事件,可能造成营运中断。
为降低事件对台积公司的营运冲击,风险管理处执行事件前风险评估、应变程序及复原计划,并持续进行演练,以验证紧急应变、沟通流程、营运持续计划及危机管理,加强行动准备。在重大事件或危机中,遵循危机管理准则,中央危机指挥中心(C4)由董事长暨总裁领导,由关键功能组织的资深管理人员组成,提供指导和决策,以保持应变准备,包括及时与关键利害關係人的沟通
营运持续管理及危机管理架构
台积公司的营运持续管理与危机管理架构引导公司有效和迅速地应对营运中断,从而维护公司和利害關係人的利益。该架构概述了治理结构、事件生命周期的流程,涵盖了关键风险层面,其具備了以韧性文化為支持的核心能力。
营运持续管理及危机管理架构
风险胃纳声明与风险管理范畴
台积公司已明确定义其风险承受度,并以声明形式概述其为实现业务目标所愿承担的风险性质与范围:
- 承担的风险应经过谨慎评估,与其获得的回报相称,并符合公司的策略、投资、财务以及企业与永续目标。
- 包括ESG因素在内的风险考虑,是业务运营的核心部分,并在各事业部门、相关功能单位以及公司整体的风险容忍范围内进行管理。
- 公司不会投资或参与任何超出其风险容忍度或与其对ESG原则承诺相冲突的业务活动。
- 公司对于安全相关的违规或疏失、法律法规的违反,以及例如欺诈、贿赂和腐败等非法行为采取零容忍政策,并将此零容忍政策扩展至包括环境违规、人权侵害以及治理失误在内的行为。
各功能组织与部门依据辨识、评估、响应、监控及审查的五个循环式流程来进行风险管理,提出企业层级风险矩阵及控制措施,呈报审计暨风险委员会,透过持续性的教育训练来强化更具风险意识的思维与文化。台积公司体认其系统和流程提供合理但并非绝对的保证,因此不断努力提高其管理及应对风险以及利用机会的能力。
新兴风险
有效的风险管理是动态的,包括对风险和机会的评估。台积公司的风险管理架构和流程确保其有效和相关性。在瞬息万变的商业环境中,我们认知全球和新兴风险对企业策略的影响。台积公司持续审视所面对的环境,以鉴别可能影响公司的业务或营运的风险。在相关的情况下,这些风险将于各种内部论坛和风险管理指导委员会进行审查和讨论,以确定是否需要采取任何进一步的行动和应对措施。台积公司致力以平衡及全面的方式评估所有重大风险,为我们的利益相关者提供可持续的长期价值。
台积公司的关键新兴风险包括:
- 更趋复杂的网络空间:人工智能、量子计算和云端技术的进步以及地缘政治紧张局势加剧了网络安全风险。与台积电息息相关的关键产业,如半导体生态系统和基础设施(电力和电信),自身脆弱性也逐渐扩大。网络事件足以影响供应链、运营和声誉,衍生中断、法律审查和财务损失等问题。其后果包括运营中断、信任下降、违规、声誉受损以及运营复原和法律纠纷相关成本。定期性审查等应对措施包括通过审计暨风险委员会、多层防御、模拟演练、零信任系统、边界防御、外部情报协作以及审计及提升风险意识等方式达成。
- 高科技产业的去全球化和碎片化:各国对自身国家安全忧虑升高,加速在半导体自给自足的投资,刺激美、中、欧盟及日本等主要经济体采取出口限制、关税和保护主义。国内外包和友岸外包等措施打乱原有的供应链生态,拉高生产成本,而限制贸易、技术流动和市场开放性等措施正戕害全球化。台积电所面临挑战包括成本上升、运营风险、合规复杂性、供应链效率低下和商机损失等。风险控管包括构建本地供应链、加强运营持续架构、关注法规更新、业务多元化以及争取补贴以适应地缘经济变化。
- 2050年ESG转型的挑战:台积电将2050年订为净零排放目标年,以符合国际标准及客户对永续性的要求。台湾可再生能源基础设施有限,而台积多数厂区都设在台湾,阻碍台积进步并影响运营、声誉和客户期许。无法落实净零目标将影响台积声誉、运营延误、客户流失、冲击营收以及无法落实永续性相关规范。风险管控措施包括成立再生能源工作小组、低碳供应链管理、优化能源利用、部署先进温室气体技术、取得碳权份额、建盖符合绿色认证工厂、创新碳捕获以及与政府合作拓展再生能源。
风险审查
台积公司定期对风险管理架构和流程进行内部和外部的审查与稽核,以鉴别强化风险管理及其流程有效性的机会。
信息安全风险管理
信息安全与机密信息保护是台积公司对客户、股东及伙伴的承诺。台积公司明订信息安全规范、标准与实践,持续进行管理制度与技术的强化,并架构多层的资安防御,并定期执行资安风险评估执行全方位的风险管控,以达到台积公司信息安全管理的目标。
研发中的风险管理
台积公司在产品开发生命周期中采取主动且以风险信息为导向的方法。风险考量内化为研发过程的一部分,以确保台积公司持续为客户提供先进、具竞争力的半导体技术。
财务风险:
- 投资优化:将产品开发优先顺序与策略性投资目标保持一致,以确保研发支出与预期投资回报和市场需求相符。台积公司追踪研发回报率和产品良率改善程度,以评估投资效益,确保资源利用最优化并减少浪费。
监管与法规遵循风险:
- 法规遵循标准:台积公司关注各地区的法规要求,包括环境法规、出口管制、知识产权保护和产业标准。在设计流程中嵌入法规遵循检查点,以确保遵守全球和当地法规。
- ESG合规:台积公司在前期设计阶段便采取生命周期评估(LCA),以评估环境风险,确保能源高效及低碳创新。台积公司开发低耗能制程技术(如FinFET、GAAFET)来帮助客户达成气候目标。这些创新技术减少30%耗能,20%耗水,实现了可量化的可持续成果。新技术在全面开发或商业化前须通过安全、伦理和环境评估,包括最大限度地减少有害化学品使用、能耗及水耗,以及提高晶圆良率以减少浪费。通过在开发的每个阶段嵌入合规检查点,台积公司确保遵守全球标准,同时降低法规风险。
营运风险:
- 供应链可持续性:技术开发的规划已将供应链主权及美中紧张局势等要素纳入考量。研发过程中审查关键原材料(如稀土元素、镓及钴)的可取得性和可持续性。台积公司与供应商合作,确保物料来源符合道德标准及可持续性,达成90%供应商可持续性合规率。
- 环境健康与安全:在研发阶段及任何化学品使用变更前,台积公司落实严格的化学品审查与控制流程,以符合环境保护、职业安全与健康标准。2022年,该流程实现了减少有害化学品使用量达15%的目标,展现了在环境安全方面的可量化进展。
- 新兴风险:研发工作包括开发更能适应极端高温和电应力的芯片,以应对实体气候风险日益增加的挑战。台积公司亦通过强大的压力测试来应对网络安全和数据隐私风险,将漏洞风险降低了25%。
风险管理学院
台积公司风险管理学院的成立旨在强化公司的风险意识和能力。除了针对法规变更的培训外,还定期推出一系列量身定制的风险管理计划,如训练、演练、会谈、会议和工作坊,以使各级员工具备风险管理知识与风险意识,从而有效及时地管理风险。
2025风险管理执行情形与2026主要强化项目
2025年向审计暨风险委员会报告的风险管理执行情形与2026年主要强化项目汇整如下:
