面對全球經濟變動、國際政治紛擾及極端氣候挑戰,企業經營環境日趨複雜,風險管理成為確保營運穩健與永續發展的關鍵。群創光電秉持穩健經營原則,導入系統化的風險管理機制,確保企業能及時辨識、評估與因應各類風險,以強化組織韌性,提升競爭優勢。
群創光電的風險治理架構由董事會擔任最高治理機關,根據整體營運方針與外部環境變化,核定風險管理政策並作出重大決策。
各營運單位負責識別與管理自身風險,確保能即時應對潛在挑戰,並定期回報風險狀況與因應措施。
風險管理單位透過衡量、監控與報告機制,持續追蹤整體企業風險,提出控管建議,協助各單位降低風險影響。
稽核室則負責檢視風險管理機制的執行情形,並定期向審計委員會及董事會報告,確保風險治理透明且持續優化。
為強化風險治理架構,群創光電參考國際常見之COSO企業風險管理(ERM)框架理念,建構「三道防線」管理模式,推動風險辨識、監控與因應作業,持續提升營運韌性與治理效能。
群創光電依循董事會於 2022 年核定之《風險管理政策與程序》,建構全方位風險管理機制,確保企業在快速變動的市場環境中維持穩健經營。公司依據整體營運方針,推動涵蓋「辨識、衡量、監控、報告與揭露、回應」等五大核心流程的系統化管理,精準掌握風險範疇,並採取適當措施降低潛在衝擊。
公司亦持續優化風險管理機制,動態調整策略與監測機制,強化對策略風險、營運風險、財務風險,以及氣候變遷與環境風險等關鍵議題的整體控管。透過風險胃納評估、內部控制強化及前瞻性預警機制,群創光電致力於培育具韌性的風險文化,將風險管理深度融合至企業運營思維,提升整體組織韌性與應變能力。
風險管理流程
面對全球經濟變遷、供應鏈挑戰、監管要求升級及極端氣候衝擊,群創光電結合永續經營策略與重大性議題,並參考世界經濟論壇(WEF)發佈之《全球風險報告》,建構全面性的風險辨識與管理機制,涵蓋策略風險、營運風險、財務風險、氣候與災害風險。為提升前瞻性風險管理,群創光電亦關注未來1至5年可能對企業造成重大衝擊的新興風險,並在策略風險範疇中標示「*」作為區分。
公司透過內部風險評估機制(ERM),結合市場趨勢與內外部專業資訊,協助各單位主管識別潛在風險,並依據風險胃納、發生頻率、衝擊程度及管理控制能力,進行質性與量化評估。各類風險經由相關部門擬定因應措施,持續監控並定期檢視策略成效,確保企業治理效能與營運韌性。
| 強化方向 | 具體措施 |
|---|---|
| 風險治理架構 | 提升跨部門協作機制,強化風險辨識、評估與應對策略的制度化與執行力,確保風險管理具整體性與落實性。 |
| 風險管理能力 | 增進主管與單位負責人風險辨識與應對能力,依據 IFRS 永續揭露準則,設立由稽核、財務、營運、法務、資安等部門組成的風險管理工作小組,聚焦於營運與策略風險之跨部門推動。 |
| 動態監測風險趨勢 | 參考 GRI、COSO 等風險準則,導入數據監測與外部分析機制,掌握潛在風險情境演變,提升 ESG 風險管理之前瞻性與有效性。 |
| 供應鏈與營運韌性 | 強化供應鏈管理與應變標準作業程序(SOP),降低原料斷鏈與非預期營運中斷風險,並提升緊急應變與極端事件因應能力。 |
| 風險辨識與績效管理 | 建立風險事件通報與檢討制度,持續優化風險應變計畫,結合內控與管理稽核,確保風險應對成效具備可追蹤性與實效性。 |
群創光電針對以下主要風險類別(部分為新興風險,已於下表以*標示),制定完整的因應對策,確保企業營運穩定。
| 風險類別 | 風險說明 | 潛在衝擊 | 因應對策 |
|---|---|---|---|
| 地緣政治衍生企業投資風險* | 美中競爭升溫、兩岸關係緊張,全球政經情勢與政策環境不確定性攀升,貿易壁壘與地緣政治風險逐步加劇,對企業市場佈局與長期競爭力構成挑戰。 | 地緣政治局勢及政策變動加劇市場不確定性,影響企業策略布局、投資回報與全球競爭力;隨著國際貿易壁壘與產業去風險化趨勢擴大,供應鏈重組壓力升高,導致營運波動與長期財務風險,投資組合價值亦可能隨市場劇烈波動。 |
|
經濟景氣影響,客戶需求改變 | 全球經濟波動、高通膨與消費需求變化,導致面板產業市場需求與價格競爭加劇,增加營運挑戰。 | 消費者預算縮減,終端商品銷售受阻,影響客戶訂單與公司營收;市場競爭升溫,價格壓力與產能過剩風險加大,進一步衝擊獲利能力。 |
|
| 人工智慧帶來的倫理風險* | 隨著AI技術廣泛應用於製造、決策支持與自動化流程,數據隱私、決策透明性與演算法偏見等倫理風險逐漸浮現,對企業信譽與合規性構成挑戰。 |
|
|
| 風險類別 | 風險說明 | 潛在衝擊 | 因應對策 |
|---|---|---|---|
| 地緣政治與貿易政策變動,影響全球供應鏈布局 | 全球政經局勢動盪,區域衝突、貿易壁壘與極端氣候頻發,衝擊供應鏈穩定性。美中貿易緊張、關稅與出口管制增加企業營運不確定性。隨國際去風險化趨勢擴大,客戶要求供應鏈多元化、去中國化,進一步加重成本、交期與韌性壓力。 |
|
|
| 技術轉型與市場競爭加劇,企業面臨人才短缺挑戰 | 隨全球科技產業發展,半導體、顯示技術及AI等領域對高技能人才需求攀升,推升市場競爭。群創光電推動技術轉型,對專業人才依賴增加,面臨供需失衡,招募與留任壓力日益加劇,影響企業轉型與競爭力。 |
|
|
| 數位轉型與 AI 應用普及,企業資安風險升級 | 數位轉型與 AI 技術應用快速發展,企業數據資產價值提升,資安風險同步增加。駭客攻擊、數據外洩與勒索軟體攻擊頻率上升,威脅企業營運與信譽。 |
|
|
| 財產及營運中斷風險 | 企業面臨天災、不可抗力或意外事故(如地震、颱風、火災等),可能對廠房、設備、貨物等資產造成損失,影響正常生產與營運。 |
|
|
| 風險類別 | 風險說明 | 潛在衝擊 | 因應對策 |
|---|---|---|---|
| 匯率風險管理與財務穩定性 | 全球政經環境變動加劇,主要貨幣如美元、日圓等匯率波動頻繁,企業營收、資本支出及製造成本易受影響。利率政策亦趨不穩,恐增加融資成本,影響公司財務穩定性與營運靈活性。 |
|
|
| 信用風險與應收帳款管理 | 全球經濟波動與金融市場不穩定,恐影響客戶財務狀況,增加應收帳款回收風險。若客戶付款能力下降,將衝擊公司資金流動性,影響營運穩定。 |
|
|
| 流動性風險與資金管理 | 全球經濟情勢變化快速,突發金融事件或市場收緊,可能導致資金調度困難,影響企業營運資金流動性,增加短期資金壓力,影響營運穩定。 |
|
|
| 企業投資管理與財務穩定性 | 公司轉投資事業與本業位處相似產業環境與地理區域,易受全球政經情勢、供應鏈調整、通膨與升息等因素影響,導致投資回報波動,影響財務穩定性與長期競爭力。 |
|
|
群創光電依據TCFD(氣候相關財務揭露)框架,參考世界經濟論壇(WEF)全球風險報告,每年系統性辨識及評估涵蓋營運、財務、氣候、環境等層面的風險,進行質性與量化分析,提出因應措施,確保風險控管之完整性與有效性。
其中,氣候風險依循TCFD四大要素(治理、策略、風險管理、指標與目標)進行評估,揭露於報告書第5章「環境風險管理與策略」。
本表彙整與氣候變遷相關的物理風險、轉型風險及其他環境風險,透過具體案例說明可能對公司營運造成之衝擊,並搭配管理措施進行應對。
| 風險類別 | 風險說明 | 潛在衝擊 | 因應對策 |
|---|---|---|---|
| 因天災而致使營運中斷 | 台灣位處地震帶及颱風熱區,天災發生頻率高,恐造成廠區設備損壞或營運中斷,影響生產與供應鏈穩定。 |
|
|
| 水資源短缺風險 | 受氣候變遷影響,極端氣候事件增加,台灣近年頻繁面臨旱災,水資源調度困難,恐衝擊製程用水,影響工廠運作與供應鏈穩定性。 |
|
|
| 再生能源建置風險 | 因應政府「用電大戶綠電政策」,公司需建置一定比例的再生能源設備,若施工管理不當或規範不符,可能產生安全疑慮、影響設施運轉,衝擊營運與企業信譽。 |
|
|
| 自然資源與生物多樣性風險 | 企業生產過程涉及自然資源使用,若未妥善管理,恐造成資源枯竭、生態破壞,影響環境永續與企業營運穩定。隨著國際環保法規趨嚴,企業需更積極回應自然資源保護與生物多樣性議題,避免品牌聲譽與合規風險。 |
|
|
隨著全球產業環境快速變遷,傳統風險管理框架已難以全面因應新興挑戰。群創光電除關注當前營運關鍵風險外,亦積極識別未來1至5年可能對企業造成重大衝擊的新興風險,確保在產業轉型、技術創新及環保法規變革中持續維持競爭優勢。
本章列示之風險類型,皆經內部風險評估機制(ERM)辨識,並參考世界經濟論壇(WEF)《全球風險報告》、DJSI指標及GRI標準進行對比,強化前瞻性風險管理,提升企業韌性。公司亦透過定期檢視應對策略與成效,結合國際趨勢持續監控風險,確保治理效能,強化營運韌性。
| 風險類別 | 對應重大主題 | 議題面向 | |
|---|---|---|---|
| 策略風險 | 地緣政治衍生企業投資風險 | 供應鏈管理 | 治理面 |
| 經濟景氣影響,客戶需求改變 | 創新研發 | 治理面 | |
| 人工智慧帶來的倫理風險註1 | 以 GRI 一般揭露方式管理 | - | |
| 營運風險 | 地緣政治與貿易政策變動,影響全球供應鏈布局 | 供應鏈管理 | 治理面 |
| 技術轉型與市場競爭加劇,企業面臨人才短缺挑戰 | 人才招募與留才 | 社會面 | |
| 數位轉型與 AI 應用普及,企業資安風險升級 | 資訊安全 | 治理面 | |
| 財產及營運中斷風險 | 供應鏈管理 | 治理面 | |
| 財務風險 | 匯率風險管理與財務穩定性 | 以 GRI 一般揭露方式管理 | 註1 |
| 信用風險與應收帳款管理 | 以 GRI 一般揭露方式管理 | - | |
| 流動性風險與資金管理 | 以 GRI 一般揭露方式管理 | - | |
| 企業投資管理與財務穩定性 | 以 GRI 一般揭露方式管理 | - | |
| 氣候變遷與環境風險 | 因天災而致使營運中斷 | 氣候策略與能源 | 環境面 |
| 水資源短缺風險 | 水管理 | 環境面 | |
| 再生能源建置風險 | 氣候策略與能源 | 環境面 | |
| 自然資源與生物多樣性風險 | 廢棄物與循環經濟 | 環境面 | |
隨著全球風險日益升高,群創光電將營運持續管理(Business Continuity Management, BCM)納入日常運作,以降低天災、人為事故對生產運作、物料供應及服務的影響,確保業務不中斷,維持企業永續經營,並提供客戶穩定可靠的服務。
群創光電設立營運持續管理小組,由執行長或廠區最高主管擔任指揮官,並由各功能單位的高階主管組成危機應變內閣。該小組在營運中斷時負責決策策略與復原計畫,確保企業迅速回應,保障利害關係人權益及公司聲譽。
營運持續管理組織圖
營運持續計畫
 缺水抗旱
|
 外氣空調箱火災
|
隨著數位轉型加速與資安風險提升,企業須建立穩健的資訊安全管理機制,以確保營運穩定與資料安全。群創光電深知資安對企業永續經營與利害關係人信任的重要性,致力於建構完整的資訊安全管理體系,涵蓋營運資料、客戶機密、供應鏈資訊與員工隱私的保護。公司依循國際標準與產業最佳實務,制定資訊安全政策,並落實風險管理、資安事件應變及員工培訓,以確保資安策略的有效性與持續性。
組織架構與職責
為確保資訊安全治理機制的最高效益,群創光電每年第四季定期向董事會報告資安治理情形,內容涵蓋資安風險評估結果、關鍵防護措施落實情況、重大資安事件回顧及未來強化計畫,確保高層管理層對資安風險擁有充分掌握,並確保決策過程與企業整體風險管理(ERM)機制相符。此外,重大資安策略與應變計畫需經董事會審議,以符合公司治理原則及國際標準。
群創光電每年進行資安成熟度評比,透過量化指標評估資安政策落實度、風險管理機制、技術應用強度、員工資安意識、供應鏈資安防護等面向,以檢視企業資訊安全管理體系的有效性與持續改善方向。
自2020年起,群創光電導入工研院資安整合服務平台(Security Platform as a Service, SECPAAS),透過該評量掌握資安弱點,適時調控廠區網絡安全規劃,以強化資訊韌性並因應資安威脅。2023年,公司進一步導入美國國家標準技術研究所(NIST)網路安全框架(Cybersecurity Framework, CSF),透過辨識(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、復原(Recover)五大面向強化資安環境,提升資安應變能力與數位韌性。
2024年, SECPASS 公司資安成熟度評比維持在92分,為最高等級A級防護,展現卓越的資安防護能力,顯示群創光電在風險防護、事件應變與資安治理方面達到產業領先水準,並透過持續優化資訊安全技術與管理流程,以確保企業營運的穩定性與資訊安全防護的前瞻性。
資安成熟度評分圖
群創光電依據 ISO 27001 及 NIST Cybersecurity Framework (CSF),建構資安管理體系,落實識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、復原(Recover)五大核心策略,確保資訊資產的完整性、機密性與可用性。公司定期進行資訊資產盤點與風險評估,強化機敏資料存取控管,確保IT設備與關鍵數據的安全性。遵循ISO 27001 標準,群創光電強化存取權限管理,並推動內網安全強化計畫及原始碼檢測機制,提升內部網路防禦能力。
透過網路安全監控機制持續監測異常流量與潛在威脅,公司定期執行電子郵件社交工程演練,提升員工資安意識,降低釣魚郵件攻擊風險。針對資安事件,公司建立資安事件應變計畫(IRP),確保即時應對,並透過營運持續計畫(BCP)與災難復原機制,降低對營運的影響。
| 時間框架 | 說明 |
|---|---|
| 短期 2025年 |
資訊安全發展目標
|
中長期 2030年 |
資訊安全發展承諾
|
群創光電依據 ISO 27001 及 NIST CSF 標準,建立資安事件應變計畫(IRP),確保企業能即時應對資訊安全事件、降低影響,並維持營運穩定。透過 SOC 監控中心 及 APT 偵測系統,全天候監測潛在資安威脅,並依照事件等級進行通報與應變作業,降低業務衝擊。
公司至少每半年進行一次資安事件通報與應變演練,確保各單位具備即時應變能力。2024 年,針對關鍵核心系統進行 13 次演練,涵蓋不同類型的資安威脅與應變流程,確保企業在面對各類攻擊時能迅速回應,不影響營運服務。
公司於 2024 年 4 月進行駭侵攻擊模擬演練(Breach and Attack Simulation, BAS),模擬多面向駭客攻擊,測試防禦機制的有效性。演練內容涵蓋 駭客入侵、網路攻擊,透過真實攻擊手法進行測試,驗證企業資安架構及資通訊設備的安全性。演練後,公司針對防護設備的設定進行優化,確保資安機制的即時性與防禦能力。
2024 年,公司未發生重大資安事件,亦無因資安違規遭官方罰款,展現穩健的資安管理成效。
群創光電依循ISO 27001、DJSI及GRI等國際標準,確保資安管理合規。針對資安事件,公司建立完整的通報機制,確保在發生可能影響企業營運的資安事件時,能即時依照政府規範進行回應與處理,並確保資訊透明化。透過強化監控、應變及復原機制,公司不僅提升資安韌性,也確保營運穩定與永續發展。
群創光電建立關鍵系統備援機制,並透過DR演練驗證應變能力。此外,公司導入營運持續計畫(BCP),確保即使發生重大資安事件,企業營運仍可迅速恢復,降低風險。
群創光電持續推動資訊安全教育訓練,透過社交工程演練與釣魚郵件測試,提升員工的資安意識。2024年,公司導入了釣魚郵件識別培訓計畫,共有11,454名員工參與,完訓率達到100%,確保全體員工具備基礎的資安防護能力。此外,公司發布了22篇資安公告,並舉辦線上教育訓練,完訓人數達到100%,確保資訊安全合規與內部能力的建置。透過上述措施,群創光電確保資訊安全管理的合規性,並持續提升員工的資安意識與能力,為公司的永續發展奠定堅實基礎。
為了持續提升資安教育訓練的成效,公司設定了資安教育訓練KPI,目標達成率為80%。2024年,實際合格率達到100%,超越預定目標。
| 年度 | 資安教育訓練KPI目標 | 實際合格率 |
|---|---|---|
| 2022 | ≥80% | 100% |
| 2023 | ≥80% | 100% |
| 2024 | ≥80% | 100% |
為降低供應鏈資安風險,群創光電建立供應鏈風險管理平台(SCRM),針對供應商資安防護層級進行分級與審查,確保合作夥伴符合企業資安標準。所有入廠人員需經過資安工作站設備檢核,防止機密資訊外洩,並要求供應商與合作夥伴簽署保密協議(NDA, Non-Disclosure Agreement),確保資訊安全管理規範落實。此外,透過MDM(Mobile Device Management)系統強化行動裝置管理,進一步確保資訊存取安全。
為強化供應鏈資安監督,群創光電定期針對供應鏈夥伴進行資安審查與培訓,確保供應商的資安防護能力能夠與公司標準保持一致。透過與供應商的協作,公司持續提升供應鏈的整體資安成熟度,降低因供應鏈資安漏洞導致機密資訊外洩的風險。
為進一步提升供應鏈的資安能力,群創光電於2024年推動多項供應鏈資安強化措施,並透過活動與交流,促進供應商資安防護水平的提升。2024年,公司與供應鏈夥伴共同舉辦以下資安活動:
| 活動名稱 | 參加企業 | 活動目的 | 效益 | 對外部的助益 |
|---|---|---|---|---|
| 2024/02/20 供應鏈資安提升 |
誠美材料、奇美實業、群創 | 供應鏈資安提升 | 提升供應鏈資安管理能力,降低企業因供應商資安漏洞導致機密資料外洩的風險 | 獲得企業資安管理及監控經驗,建構更全面資安防禦措施 |
| 2024/05/27 資安交流 |
盟立、群創 | 資安管理交流 | 協助供應鏈提升資安管理能力 | 獲得企業資安管理及監控經驗,並有效應用於實作 |
透過這些活動,公司不僅強化了內部資安防護,也提升了供應鏈夥伴的資安管理能力,降低因供應商資安漏洞可能帶來的風險,確保企業營運的穩定性與數據安全。
隨著數位轉型加速,群創光電持續強化雲端與工控資安(OT Security),確保生產製造環境的資訊安全,並推動AI 驅動資安防護,透過行為分析與機器學習技術,提升異常行為偵測與自動應變能力。
為提升企業資安韌性,群創光電積極參與國內外資安聯盟,透過情資共享與聯防機制,加強威脅監控與應變能力,確保企業資訊安全與供應鏈穩定。
| 參與組織 | 參與目的 |
|---|---|
| 國際資安應變組織 (Forumof Incident Response and Security Team, FIRST) |
資安情資搜集、國際資安情報交流 |
| 台灣電腦網路危機處理暨協調中心 (Taiwan Computer Emergency Response Team, TWCERT) |
|
| 科學園區資安資訊分享與分析中心 (Science ParkIn formation Sharing and Analysis Center, SP-ISAC) |
|
| 台灣資安主管聯盟 (Taiwan Chief Information Security Officer Alliance, CISO) |
資訊安全技術應用與經驗交流 |
| 法務部調查局 (Ministry of Justice Investigation Bureau) |
簽署國家資通安全聯防與情資分享合作備忘錄,提升防禦能量 |
透過這些國際與區域合作,公司能夠即時獲取最新入侵威脅指標(IOCs),強化資安監測能力,並優化事件應變機制,進一步提升企業資安韌性。
