风险治理
董事会对台积公司的风险治理负整体责任,审计暨风险委员会协助董事会监督风险管理系统,包括审视台积公司的企业风险管理架构与流程,以利辨识及管理风险,并向董事会报告与风险管理有关之重大议题、发现及建议。
由董事会核定通过之风险管理政策,申明了台积公司对于健全且有效的风险管理系统与文化之承诺,透过整合及管理所有潜在风险,协助管理团队制订讯息充足且深思熟虑的业务决策,确保台积公司所面临的风险已被知悉且控制在风险偏好与风险忍受度之范围内。
风险管理政策
审计暨风险委员会协助董事会监督公司的风险管理成效。
在经营管理团队方面,由诸多的风险管理相关委员会及工作小组共同组成风险管理组织,包括风险管理指导委员会、风险管理执行委员会、风险管理工作小组及风险管理处。
作为风险管理系统年度审查的一环,审计暨风险委员会分别于2024年2月5日和8月12日针对关键风险和控制措施进行审查。
风险管理组织
台积公司系参考ISO31000:2018风险管理系统,及全美反舞弊性财务报告委员会发起组织(COSO委员会)之 企业风险管理整体架构,制订一套积极主动且健全的企业风险管理系统, 以支持公司业务策略与目标的实现,保障公司及其利害关系人的利益。针对促进企业成长,同时兼顾有效运用机会及风险最小化的策略,有效地优化资源配置及优先顺序,而创造公司价值。
企业风险管理架构与程序
台积公司的企业风险管理架构为一套能有效执行并持续改善风险管理系统的结构化方法。
风险管理处,与各功能组织、厂处及部门密切合作,以协助管理阶层实践企业风险管理架构,以确保台积公司的风险均有效地被评估及管理。
企业风险管理架构描绘出风险治理的结构,以及风险管理在辨识、评估、响应、监控及审查风险的流程与工具。
风险管理将透过整合式的IT系统更有效地执行,藉由风险管理学院建立风险管理的职能,并培育出具风险意识的思维与文化。
企业风险管理架构与程序
风险忍受度与风险管理范畴
台积公司制定了风险忍受度,概述公司为实现企业目标而愿意承担的风险之性质和程度,包括:
- 策略风险:应审慎评估公司所承担的风险,确保与商业酬报相称,并与公司的策略、投资、财务和企业目标相一致。
- 营运风险:应将风险考虑整合到营运流程中,并将风险控制在各厂处、功能组织和公司的风险容忍度(风险指标)之内。
- 财务风险:台积公司不投资或参与任何超出风险忍受度的业务活动。
- ESH与合规风险:绝不纵容影响安全的违规或过失、违反法律法规以及诈欺、贿赂和贪污腐败等行为。
各功能组织与部门依据辨识、评估、响应、监控及审查的五个循环式流程来进行风险管理,提出企业层级风险矩阵及控制措施,呈报审计委员会,透过持续性的教育训练来强化更具风险意识的思维与文化。
台积公司的风险管理范畴,主要包括但不限于下列项目:
关键风险分析与审查
敏感性分析与压力测试
台积公司针对关键风险执行敏感性分析和压力测试,以验证其营运韧性并在可能对其产生实质影响的事件中进行策略性行动,包括但不限于:
- 市场风险
- 信用风险
- 流动性和偿债风险
- 由汇率和利用率变化引起的毛利率敏感度
- 海外营运风险
- 地震和停电对财务影响
新兴风险
鉴别全球与新兴风险分析之重要性,台积公司持续检视对其长期可持续性发展具有潜在影响的风险。
台积公司的关键新兴风险包括:
- 复杂的网络安全动态所带来的高阶网络威胁:采用人工智能和量子计算等新技术,提了网络安全风险,进一步加剧了网络间谍活动的威胁。半导体生态系统,包括供货商和客户,也面临着网络攻击的风险,可能对供应链产生重大影响,导致台积电营运中断、商机损失、声誉影响等。风险控制措施包括但不限于防护层、持续的模拟演练和供应链安全管理。
- 去全球化导致高科技产业极化:国家安全预计已成为主权国家关注的问题和首要任务,而采取战略行,以确保半导体自给自足和供应链本地化。高科技产业的多极化效应正在削弱全球化,并限制货物和技术的自由流动,以实现地缘政治利益。台积公司的业务可能面临业务效率和韧性的削弱、成本升高、商机损失等影响。减轻风险的措施包括但不限于以风险为基础的策略投资规划、关键运营资源的本地化和优化,以及持续强化营运持续管理。
- 气候转型行动失败:气候不作为是世界面临的主要威胁之一。即使部署了应对气候风险和机遇的策略,对净零目标的无效应对仍会对台积公司的营运、价值链和市场产生风险。风险控制措施包括实施针对RE100/净零排放的计划,以及与外部利益关系人和政府的合作。
风险审查
台积公司定期对风险管理架构和流程进行内部和外部的审查与稽核,以鉴别强化风险管理及其流程有效性的机会。
信息安全风险管理
信息安全与机密信息保护是台积公司对客户、股东及伙伴的承诺。台积公司明订信息安全规范、标准与实践,持续进行管理制度与技术的强化,并架构多层的资安防御,并定期执行资安风险评估执行全方位的风险管控,以达到台积公司信息安全管理的目标。
风险管理学院
台积公司风险管理学院的成立旨在强化公司的风险意识和能力,定期推出一系列量身定制的风险培训计划,如训练、演练、会谈、会议和工作坊,以使各级员工具备风险管理知识与风险意识,从而有效及时地管理风险。
2023风险管理执行情形与2024主要强化项目
2023年向審計暨風險委員會報告的風險管理執行情形與2024主要強化項目匯整如下: