風險及資訊安全管理
風險管理政策
除了功能性委員會與稽核室管控及監督風險外,為推動風險管理及建立危機管理機制,同時培養同仁重視風險管理與危機處理意識,以達成企業永續經營之目的,本公司依照營運方針,界定各類風險於
111年訂定「風險管理政策」並經董事會通過,本公司亦有緊急災害應變措施及處理管理等作業機制,阻絕防範危險或意外發生,加強本公司對偶發事件的防範與迅速處理。風險管理為全體員工之責任,每位員工均應具備風險意識,就其相關工作範圍執行風險辨識、衡量、控制等程序。各單位應依業務性質及風險分散原則,將各項風險因素納入管理,定期檢核及評估,並儘可能以量化方式建立風險預警機制,以為管理因應之依據。本公司更積極對外部或消費者做好關係經營,塑造在消費者心中喜愛度,如今獲得極高的評價,近年來並無企業形象改變對企業危機管理之情事。
風險管理組織架構與執掌如下:
一、董事會:董事會為本公司風險管理最高決策單位,監督公司存在或潛在之各類風險,並確保相關法規之遵循及風險管理機制之有效性。
二、高階管理階層:擬定風險管理政策與運作架構,並執行董事會風險決策。
三、業務單位:業務權責單位應負責執行風險辨識、評估及管控之作業。
四、推動永續發展小組:推動落實風險管理機制。每年定期一次向董事會提出報告風險管理執行情形。
五、稽核室:稽核室為獨立部門,職司內部控制評估及內部稽核,負責監督及適時提供改進建議。
推動永續發展小組定期評估內外部風險環境,擬定風險管理重點,設定執行方案及因應措施,各風險類別業務權責單位負責風險監控,透過定期評估,以防範及控管相關風險。每年定期一次向審計委員會及董事會提出報告風險管理執行結果,由審計委員會及董事會督導風險管理。
本公司112年度風險管理運作情形報告已於112年12月21日提報審計委員會及董事會。
本公司112年度風險管理運作情形如下:
| 項目 |
說明 |
112年運作情形 |
| 環境風險 |
因天然災害之故,造成總部、門市無法正常運營之不確定事件,包含:颱風/地震/缺水/傳染病、氣候變遷、其他衝擊性災害等。
公司以節能減碳為目標。 |
門市持續導入POS點餐系統、更換節能電器與照明系統等,加強推動減碳目標,設定每間直營店之溫室氣體平均排放量為兩年內至少降低1%。 |
| 食品安全風險 |
食品/原物料採購、製造、販售過程中,對於公司運營產生負向影響之不確定性事件,包含:食品不當添加、問題原物料、過期品等。
公司訂有食安政策,配合政府計畫建立自主檢驗實驗室,落實源頭管理及門市衛生安全。
公司為轉嫁商品責任風險、減輕財務損失,已投保產品責任險5,000萬(總額)。 |
- 本公司已成立「食品安全小組」及「自主檢驗實驗室」,針對食品/原物料自主檢驗。
- 定期門市食安衛生教育訓練、定期病媒防治等。
- 無食品安全與產品標示等因違反法令規章罰緩處分事件。
- 針對新進直營店員工進行食品安全管理與法規案例宣導、食品安全管理與職安管理之教育訓練。
- 針對年度期間加盟之所有加盟主進行門市衛生管理課程。
|
| 公共安全風險 |
可歸咎我方因素所造成之事件,對門市及非特定人造成財物損失、機會損失之情形,包含:未依規範施工造成人員傷害、電線走火/後場吸菸、火災、門市招牌砸傷民眾等。 |
- 不定期進行職業安全宣導課程,提升人員安全意識,預防災害發生。
- 公司(包含門市)皆有配置滅火器,避免災害範圍擴大。
- 公司(包含門市)已投保商業火災保險及公共意外責任險,藉此轉嫁風險,降低損失。
|
| 勞動安全風險 |
未依照相關勞動管理之法規或其他非特定原因,造成勞工臨時性、永久性之意外傷害之不確定性事件,包含:未依法加保勞/健保、超時工作/排班異常、員工福利侵害等。
每年定期舉辦消防演練及教育訓練,培養員工緊急應變和自我安全管理的能力。 |
- 定期安排員工性騷擾防治、職場霸凌宣導課程。
- 由防火管理人規劃每年定期舉辦消防演練。
- 定期安排主管勞動法令宣導課程。
- 新進人員職前訓練、新任主管訓練中提供相關法規遵循宣導內容包含禁止強迫勞動、禁止童工、反歧視、反騷擾、工時管理,以及保障人道待遇等。
|
| 資訊安全風險 |
因個人資料外洩,遭致非特定個人之權益受損之不確定性事件。資訊系統、當機、故障、資料毀損或遭入侵等,造成公司營運中斷或盜用,對公司運營產生影響,包含:駭客入侵、資料竊取、資訊系統損害無法運作、系統異常等。 |
- 定期檢視個人與客戶資料管理合理性。
- 定期進行資安防護健全性與異地備援機制建立。
- 新進人員職前訓練/定期辦理個資、客戶資料、文件保護等管理教育訓練。
|
| 策略風險 |
總體經濟情勢變動、產業市場變化、技術發展變革、政策法規變動、競爭者變化等風險。 |
- 每月召開經營管理會議,針對總體經濟變化、產業市場脈動及餐飲同業概況進行分析與討論。
- 主管機關均定期與不定期發布相關政策法規,負責單位均依最新法規執行作業程序。
|
| 信用風險 |
客戶、供應商或其他業務往來者(包含往來銀行)因本身體質惡化或其他因素,導致其不履行其義務而產生損失之風險。 |
- 每周召開經營管理會議,針對客戶或其他業務往來者進行應收帳款帳齡分析;若有遞延收款情形,由業務單位負責催收。
- 供應商定期訪廠評核及做年度供應商考核,考核等級不合格之廠商應要求其改善,若限期無法改善者則停止採購。
|
| 營運風險 |
生產作業、供應鏈、原物料及產品價格波動、顧客銷售、智慧財產權、人力資源、企業形象、租稅、法律訴訟等各項營運要素變動風險 |
每月召開經營管理會議,由各單位主管參與,針對營運計畫達成狀況,進行績效追蹤及分析檢討,對於各項營運要素變動之風險展開因應策略。 |
| 財務風險 |
包括因利率、匯率等波動產生之市場風險,交易對象之信用違約風險,及無法將資產變現或取得足夠資金、市場交易量不足之流動性風險等 |
- 本公司利息費用佔稅前淨利之比率近3%,故利率變動對本公司損益影響尚屬有限;本公司貨款收現係以線上線下電子支付、物流司機代收貨款及客戶匯款等,收現期間短且資金週轉能力強,本公司未來營運資金仍將以自有資金為主;與往來銀行維持良好授信關係,適時調整資金配置以規避利率上漲之風險。
- 本公司主要營業項目為連鎖餐飲之經營及相關產品銷售,絕大部分營收來源為內銷,屬於內需型產業,故銷貨多以新台幣計價為主,然部分商品如進口鮪魚、茶葉、玉米粒等係以美元計價,淨外幣兌換(損)益佔本公司稅前淨利之比率未達1%,整體而言,匯率變動對本公司損益影響有限。
|
本公司112年度風險管理運作情形報告已於112年12月21日提報審計委員會及董事會。
風險管理機制
本公司有關各項風險之辨識、衡量、監控與報告等流程,應配合經營環境、業務與營運活動之變動適時調整。
一、風險辨識:應涵蓋本公司經營活動涉及營運、財務、環境、危害性事件及氣候變遷等各面向之風險變動情形,辨識可能造成影響之風險。
二、風險衡量:應考慮各項業務與營運活動之性質、規模與複雜程度,訂定量化或其他可行之質化標準,並定期檢視之。
三、風險監控:業務權責單位應監控所屬業務的風險,當曝險程度超出其風險限額時,相關部門應提出因應對策,並將風險及因應對策呈報高階管理階層。
四、風險回應:業務權責單位於評估及彙總風險後,對於所面臨之風險應採取適當回應措施。
五、風險報告與揭露:本公司推動永續發展小組每年定期一次向董事會提出報告風險管理執行結果,並依主管機關規定揭露執行情形。
客戶隱私保護
- 資訊安全風險管理架構
因應公司發展策略與願景,強化資安防護及管理,設立資訊安全專責主管及人員,檢視組織環境所面臨之資訊安全風險議題,建立和維持組織資訊安全政策,透過評估與監督資訊安全策略與計畫之實施情形,確保組織資訊安全。
- 資安風險管理機制:
制定公司資訊安全政策、規劃內部資訊安全作業程序,依照PDCA(Plan-Do-Check-Act的簡稱)循環式品質管理,針對品質工作按規劃、執行、查核與行動來進行活動。並建立內控制度每年稽核室會定期查核,若查核發現缺失,旋即要求受查單位提出改善措施,且定期追蹤改善結果,以降低內部及外部資安風險,以確保可靠度目標之達成,並進而促使品質持續改善。
- 資訊安全政策
(1)制度規範:訂定公司資訊安全管理制度,規範人員作業行為。
(2)科技運用:建置資訊安全管理設備,落實資安管理措施。
(3)教育訓練:進行資訊安全教育訓練,提昇內部同仁資安意識。
- 資訊安全具體管理方案
| 項目 |
管理內容 |
| 資訊處理部門之功能及職責劃分 |
資訊人員皆填具保密切結書,離職時取消其辨識碼並繳回員工識別證及相關證件。 |
| 應用系統維護管理 |
委外作業須簽訂契約以保障雙方之權利義務,內容包含符合公司資訊安全政策規範及法律要求。
委外人員電腦通行之使用權利經權責主管核准,委外期間結束後立即收回該項權利。 |
| 電腦系統管理 |
密碼以亂碼方式儲存。
使用者第一次使用系統時,需更新初始密碼後方可繼續作業。
對於程式及檔案之存取使用依照權限區分。
人員異動時即時更新其使用權限。 |
| 電腦作業管理 |
電腦機房保持上鎖,鑰匙由資訊人員保管,同仁不得任意進出機房。
機房設置防火設施並定期檢驗。
電腦設備設置獨立之電源供應系統,包含不斷電設備及發電機等設備。
重要軟體、文件及清冊抄錄備份,存於另一安全處所。
存放備份資料之儲存媒體於其標籤上註明存放資料之名稱及保存期限。 |
| 備份及回復作業 |
系統之復原程序明確訂定,並製成文件,以為遵循之依據。
系統復原程序定期性測試演練,測試演演後召開檢討會議,針對缺失謀求改進。 |
| 網路安全管理 |
定期評估自身網路系統安全(例如:作業系統、網站伺服器、瀏覽器、防火牆及防毒軟體版本),並留存相關紀錄。
定期或適時修補網路運作環境之安全漏洞,並留存相關文件。
有關電腦網路安全(例如:資訊安全政策宣導、防範網路駭客入侵事件及電腦防毒等)事項隨時公告。
各項網路服務使用依據資訊安全政策設定,並關閉不必要之網路服務。若需增減需經申請後權責主管同意才可執行。
員工遠端登入管理資訊系統需經申請後權責主管同意才可開放。
電腦主機及重要軟硬體設備設置專人負責。
定期檢核各項資安項目之system log,追蹤處理異常項目並留下紀錄。 |
| 防火牆之安全管理 |
建立防火牆並設置專人管理。
防火牆進出紀錄及備份至少保存兩個月。
防火牆之日誌檔定期檢核,並經權責主管核閱。
重要網站及伺服器系統以防火牆及外部網際網路隔離。
防火牆系統之政策條需經權責主管核准。
電腦病毒及惡意軟體之防範:
安裝防毒軟體並即時更新程式及病毒碼。
定期對電腦系統及資料儲存媒體進行病毒掃描(含電子郵件)。
防毒系統涵蓋個人端及伺服器端電腦 |
| 資安教育訓練 |
每年定期實施內部人員資訊安全教育訓練,藉以提昇內部人員資安知識與技能。 |
- 資安事件通報程序
當發生資訊安全事件時,發生單位通報資通安全處理小組,判斷事件類型並找出問題點,即時處理並留下紀錄。
- 投入資通安全管理之資源
為實踐資訊安全政策,投入之資源如下:
(1)防火牆硬體(Fortinet)設備的升級及韌體版本更新。
(2)雲端防毒(Sophos)技術的應用-病毒碼零時差的更新,並減少使用者終端的運算量。
(3)工作負載移轉至Microsoft Azure-免於惡意威脅、維護網路流量的安全,並滿足法規與合規性需求。
(4)資安管理軟體smartIT的配置-USB自動加密,限用儲存裝置,檔案異動記錄備份,避免資料外流。
(5)資安人力的投入,目前資安主管一名及資安人員一名均為兼任,負責資安架構設計、資安維運與監控、資安事件回應與調查與資安政策檢討與修訂。
- 資安事件揭露
本年度本公司並無侵犯客戶隱私或遺失客戶資料的投訴事件發生。
