風險管理

針對公司營運各項風險管理議題，本公司透過不同管理機制並設置功能性委員會及進行督導及管理

一、財務報導風險

本公司業經董事會通過設置審計委員會，由全體獨立董事組成，協助董事會履行其監督公司在執行有關會計、稽核、財務報導流程及財務控制上的品質和誠信度。

二、業務風險

依據本公司內部授權機制，一定金額以上之業務重大專案及採購案需在投標前先行呈報董事會，經審議通過後始得進行。

三、供應鏈風險

一、訂定供應商管理政策

本公司於113.07.01通過訂定「供應商管理政策（下載）」並呈報董事會，明定本公司供應商遵循本公司「永續發展實務守則」為行為準則。本公司「永續發展實務守則」內容已涵蓋企業在環保、職業安全衛生或勞動人權上之具體要求。

二、供應商管理具體作法

本公司於113.07.01通過訂定「供應商管理政策」並正式公告實施，有關供應商之評鑑、管理、輔導或教育等作業，自政策公告起陸續實施中。

四、ESG風險

本公司業經董事會通過設置企業永續發展委員會，專責監督及管理ESG相關議題（包括公司治理、環境永續、社會關懷及溫室氣體盤查小組）。113年度企業永續發展委員會共召開三次會議，並將會議內容及相關決議提報董事會。

五、資通安全風險

（一）資通安全風險管理架構

1.設置資安專責組織

為提升公司治理並強化公司資訊安全管理機制，本公司業經112.11.07董事會決議通過設置資訊安全辦公室。組織架構及單位執掌如下：

2.訂定資訊安全相關管理辦法

針對資訊安全之管理需求，本公司陸續訂定各項資訊安全相關管理辦法，包括
＊資訊安全政策　　　　　　　　　　＊電子郵件使用管理辦法
＊系統存取政策與授權管理辦法　　　＊資訊保密作業規定
＊實體及安全環境管理措施　　　　　＊資訊安全通報程序
＊電腦系統變更程序　　　　　　　　＊應用軟體專案變更程序
＊資訊管理作業手冊

（二）資通安全政策及具體管理方案

1.資通安全政策

驊宏資通109年即通過ISO 27001資訊安全驗證，
並訂定包括資訊安全政策、資訊安全管理要點等資通安全政策。

2.113年具體管理方案

113年針對推動資訊安全的具體管理方案包括:

• 113年06月28日完成針對集團全體同仁之個資暨資安認知訓練課程。

• 113年10月02日針對集團全體同仁進行資訊安全教育訓練。

• 目前累計共3位同仁取得ISO 27001:2013資訊安全管理系統主導稽核員證照。

（三）投資於資通安全管理之資源

為提升對公司內部資安的要求，同時更要滿足客戶對於資訊安全的重視，驊宏集團開始導入ISO 27001資訊安全驗證的規範，109年首度通過ISO 27001驗證，111年再將適用範圍擴大到軟體開發，最近一期驗證有效期限自111年9月起至114年10月31日止，未來目標是公司整體都能達到資訊安全的要求。