風險管理

風險管理政策與程序

為使本公司能事先發現內外部營運風險，並經適當評估及處理程序後，能將風險有效預防並減低損失，同時即時掌握營運風險，本公司董事會於2019年12月決議設置風險管理委員會並於2020年通過「風險管理政策與程序辦法」，以作為本公司風險管理之最高指導原則；本公司經營管理應具備風險管理意識，並將風險管理融入經營策略與組織文化，每年定期評估風險，並針對主要風險擬定管理方案，涵蓋管理目標、組織架構、權責歸屬及風險管理程序等機制並落實執行，以有效辨識、衡量、監督及控制本公司之各項風險，將因業務活動所產生的風險控制在可承受的範圍。

風險管理範疇

日月光投控對於日常經營活動所面對之各項風險，就其發生之可能性及影響性綜合評估，採取適當之對策，以持續改善及降低企業風險。

日月光投控經營風險，可歸納為營運風險、策略風險、市場風險、作業風險、法令遵循風險、資訊安全風險、環境風險、氣候變遷風險、財務風險及其他與經營有關之風險等。為確保各項風險控制在可容忍範圍內，日月光投控應訂有各類風險之彙總及管理指標，由各業務單位定期監控。

風險容忍度

日月光投控高階主管每年進行風險辨識，依據所辨識之風險結合ERM作業進行風險評估，針對各項風險的財務面、聲譽面及營運持續管理面進行風險衡量，並依照風險衝擊程度以及發生頻率得出風險等級，再檢視現有控制及因應措施，若屬低風險等級，則繼續保持及控管，若屬中、高風險等級，則應有管控機制或採取行動進行改善。依本公司之風險辨識，高風險項目為資訊科技（資訊安全）、永續發展（再生能源使用）、關鍵人才及策略風險（客戶/市場）；中風險則有法遵風險、公司治理及地域政治風險，經評估與擬定管控方案後，有以下兩項風險容忍度較低的項目應採取行動方案 進行風險改善：

• 對於資訊科技（安全）的風險容忍等級，經過ERM作業評估，列為高度風險項目，主要原因為駭客網路攻擊近年來仍持續發生，且手法變化快速，攻擊者組織嚴密，且以複雜的系統來攻擊和逃避檢測。雖然我們已採取嚴格措施保護我們的商業秘密和客戶數據，但相關攻擊仍可能會使我們和我們的客戶、經銷商和供應商面臨風險。我們已採取立即改善措施，由本公司資安分組及各子公司資安團隊組成資安平台，持續訂定資安事故等級及風險通報機制外，整合加強各子公司資安保護力道，定期請資安廠商至各子公司進行營運技術資安健檢，以落實管控資安風險。於2022年度我們投保資安險，投保範圍涵蓋本公司之子公司，以期在資安事故發生時，能緊急應變與控制相關影響，並透過資安險降低自身與客戶、供應商等可能的損失。
• 對於永續發展（能源使用）的風險容忍等級，經過ERM作業評估，列為高度風險項目，主要原因為各國持續訂定淨零排放目標及修訂相關環境法令，例如國內用電大戶條款及國內、外客戶均要求再生能源使用應達一定比例，然而台灣地區再生能源採購不易，用電成本亦較傳統電價昂貴，對於企業營運將造成影響。我們已採取立即改善措施，本公司除要求部分子公司自建光電外，也積極於台灣地區採購再生能源及於海外地區採購再生能源憑證，積極洽詢台灣地區第三階段離岸風電開發商及其他各類型再生能源，以期再提高再生能源使用比例以符合台灣用電大戶條款、客戶要求及自我承諾。

我們對2023年10月實施的碳邊界調整機制(CBAM)進行了敏感性分析，目前該機制對公司整體運營影響性在控管內。

運作情形

本公司積極推動落實風險管理機制，每年至少召開兩次風險管理委員會並向董事會報告運作情形，2023年主要運作情形如下：

• 2023年5月29日，修訂「風險管理委員會組織規程」並提請董事會通過。
• 2023年7月11日，通過第三方機構英國標準協會(BSI)認證，取得本公司本體ISO 31000風險管理框架符合性聲明書。
• 2023年7月13日，召開第二屆第四次風險管理委員會，由委員會秘書處及各子公司風險管理委員會代表報告2022年風險管理情況及2023年風險管理主要工作規劃。
• 2023年8月10日，向董事會提出2023年風險管理運作情形報告案。
• 2023年12月19日，召開第二屆第五次風險管理委員會，就本年度本公司及重要子公司之關鍵風險管控情形進行報告。

ISO31000 符合性外部查證作業

ISO 31000 風險管理系統原理及指導綱要為風險管理之國際標準，其提供一全面性原則，幫助企業進行風險分析和風險評估，本公司 2023 年委請外部驗證單位英國標準學會(British Standards Institution; BSI)依照 ISO 31000 查證日月光投控風險管理系統確認本公司風險管理符合國際標準風險框架，並取得符合性聲明意見書。