中鋼風險控管分為3個層級搭配不同機制,採全員全面風險控管,而非由單一部門控管,並於平時層層防範,執行風險辨識、評估與防範。每年上半年及年度定期彙整風險評估表資料並向公司治理暨永續委員會/董事會報告,然各議題評估頻率(月/季)則由各權責單位決定並向其功能性委員會報告。
中鋼為穩健經營與永續發展,董事會通過訂定「風險管理政策與程序」,以作為風險管理之最高指導原則。依「風險管理政策與程序」,由業務執行單位進行風險因子鑑別、評估及擬定因應策略或措施,並由各階層管理人員、經理階層及功能性委員會以及每年定期至少向董事會報告一次風險管理運作情形等方式進行風險監控,妥適控管相關風險。
111年度中鋼對營運風險、財務風險、資訊安全風險、環境風險、法遵風險等涵蓋經濟、環境、社會面向之範疇進行風險辨識,並將風險等級分為五大類等級以確認風險管理策略之優先次序。經評估結果,屬於高度以上風險項目,包括重大職災、能源供應不穩、碳管制、空污罰單、營建人力短缺等共5項;中度以上風險項目,則包括採購風險、通膨風險、駭客勒索、智財侵權、碳中和議題等共15項。針對已辨識及分析的風險項目,由相關部門業務人員負責後續風險管理策略與計畫之擬定及執行。
鑒於全球經濟、社會與環境變化迅速,相關衍生之風險議題多元且複雜,本公司建置新興風險管理制度,透過辨識、評估與因應、監督機制,以及時回應並管理潛在威脅。經蒐集內外部相關新興風險資訊,111年度共辨識出7項新興風險議題及其潛在衝擊,由經理階層評估各議題衝擊程度。調查結果顯示,公司應優先關注的前3項新興風險分別為低碳生產技術、碳定價管制以及資訊安全等三大風險,並已擬具相關因應措施。
本公司十年經營發展策略由秘書處主導,年度經營方針由工業工程處主導,各作業層級之風險評估均納入各一級單位年度經營方針及目標之訂定與追蹤作業內。如為執行事項,亦經層層審議,並視需要組織跨單位專案小組,執行風險發覺、評估與防範。平時由稽核室定期執行各營業循環作業項目查核,期及早發覺可能風險,導正及妥為防範。本公司作法嚴謹,已規避可能風險,控管良好。製作經營方針重大風險與機會管制表,僅針對經營方針的相關風險辨識、管控及執行對策,並於年度進行有效性評估。每年接受BSI對鋼品(IATF 16949+ISO 9001+QC 080000)系統年度評鑑。
為恪遵國內法規、防範潛在違法之風險,已制訂「法規增修鑑別管理規定」,作為內部之法規鑑別、檢閱、查核依據,可符合ISO 9001/ISO 14001/ISO 45001等系統提到之法規遵循義務。經由線上平台「法規鑑別管理系統」妥善運作,每月即時追蹤目前國內376項法規動態並啟動,完成鑑別流程及因應措施,其中,本公司因應外部法規增修進而檢討及修正內部規定者共8件;法遵及標準化委員會每半年監督法規遵循成效及研擬決策事項,提報全面品質管理委員會決議;每年透過內部稽核及教育宣導,以持續優化法遵實務作業。此外,海外生產基地亦比照中鋼管理制度,以有效實行、統整及因應法規變動。
本公司透過重大性分析流程鑑別出利害關係人關注之高關注度及高衝擊之議題,再依議題細分成經濟/治理面、環境面及社會面,並據此進行風險評估及訂定相關風險管理政策或策略。中鋼重大風險及因應策略如下:
面向 | 風險類別 | 潛在風險 | 管控策略及作法 |
---|---|---|---|
經濟/治理 | 低碳生產技術(新興風險) | 建立自主低碳製程與低碳能源與固碳技術之障礙 |
|
碳定價(新興風險) | 國內外碳費/碳稅徵收將對營運產生壓力並不利出口競爭力 |
|
|
資訊安全風險(新興風險) | 隨著企業營運更加仰賴數位系統,企業遭駭客組織攻擊勒索案件屢見不鮮,帶給企業的影響不僅限於企業內部,亦打擊品牌商譽及個資外洩導致客戶的不信任感。 |
|
|
採購 | 供料延誤或中斷 |
|
|
財務面 | 通膨風險 |
|
|
轉投資 | 轉投資風險 |
|
|
技術研發 | 副產燃氣高值化利用技術開發需求 |
|
|
技術研發 | 耐火材料供料短缺/品質不穩 |
|
|
技術研發 | 直棒鋼成品品質不符高品級要求 |
|
|
智慧財產權 | 開發產品或製程技術之智財侵權 |
|
|
智慧財產權 | 商標、著作權糾紛 |
|
|
資訊安全面 | 駭客勒索病毒攻擊 |
|
|
法規遵循面 | 軟體侵權 |
|
|
資訊安全面 | 個資外洩 |
|
|
資訊安全面 | 社交工程 |
|
|
環境 | 氣候轉型 | 碳中和議題 |
|
氣候轉型 | 能源供應不穩定 |
|
|
法規遵循面 | 空污罰單 |
|
|
社會 | 危災害事件 | 重大職災 |
|
危災害事件 | 傳染性疾病 |
|
|
經濟/ 治理、社會 | 工程管理 | 業主應辦未辦或新增需求事項 |
|
工程管理 | 承攬對外工程,投標金額估算誤差 |
|
|
工程管理 | 營建人力短缺 |
|