風險是公司營運成長過程中無法逃避的環節,尤其營造業在營運過程中常會遭遇到許多可能威脅經營的不確定因素,須建立完善風險管理制度,針對公司治理、環境、社會及氣候變遷等風險,制定整體風險政策,才能支援企業之營運及成長,實現公司永續經營。根基營造依循公司「風險管理政策與辦法」建置遵循制度,評估各單位法令遵循情形,透過持續的教育訓練與自評改善,強化員工守法意識,以預警及健全全公司遵法經營。此外,根基營造透過定期會報,確保各項風險議題獲得高階管理階即時及全面的管理。
風險管理組織
依據根基營造股份有限公司所訂定之風險管理政策與辦法,風險管理執行小組擬定 112 年度根基營造風險報告,探討並有效因應公司管理或施工程序所面臨的各項的潛在風險。協助管理階層瞭解公司風險狀況,以制定相對應有效的策略,確保公司可持續發展並持續創造價值。
一.風險評估範圍
包括策略、營運、財務、法遵、資訊安全和其他風險等六大類。報告的結構將以多個範疇進行風險分析,每個範疇將包含風險的描述、評估方法、風險評分以及建議的風險因應措施,提供相關的資訊。而對於環境與工安風險本公司已遵循 ISO 14001 環境管理系統及 ISO 45001 職安衛管理系統規定以 5*5 矩陣評估方式,於各專案工地執行風險評估及控制,不在本報告內容。
二.風險分析
三.風險衡量
112 年本公司透過施工和管理部門實務和專業經驗,就各自所負責業務範疇與作業流程評估公司之潛在風險,輔以利用風險矩陣評估方法針對可能之風險型態進行,辨識的結果共有 132 項。
其中,風險等級在現有的管理措施下,屬於可接受的風險計有 76 項,屬於不可接受的風險,需要發展降低風險措施計有 56 項;在採取控制措施後,仍有 3 項為不可接受的風險。
持續管理未能有效控制之風險
1.法遵風險
評估違反刑事法令屬高度風險,發展降低風險之控制措施後,仍屬嚴重度為非常重大之中度風險,此項需再強化及落實內控管理、文件審查、法治教育訓練等作為,以降低風險發生機率。
2.資安風險
評估駭客透過網路或實體環境惡意入侵屬高度風險,發展降低風險之控制措施後,仍屬嚴重度為非常重大之中度風險,此項需再強化每季社交工程演練、每半年對全體同仁實施資安通識訓練、對主機及同仁電腦每年執行弱點掃描及作業系統定時更新等教育,以降低風險發生機率。
3.其他風險
評估締約風險屬高度風險,發展降低風險之控制措施後,仍屬嚴重度為重大之中度風險,此項需再強化契約內容提供、各部門溝通及資訊透明、由法務部或外部顧問律師偕同議約等作為,以降低風險發生機率。
營造業在國內一直面臨著許多挑戰和風險,展望未來需謹慎因應以確保本公司穩健發展。在全球經濟波動、地緣政治衝擊、原物料市場變化、碳費徵收等因素帶來之衝擊,本公司將制定靈活的經營策略。同時,勞動力和技術缺工將成為執行的瓶頸,本公司不僅應注重人才培訓,並應積極採用新技術新工法以提高生產效率,並運用智能輔助系統提高人均產值,並參與不同類型的營建項目,降低市場風險。同時,建立完善的風險管理體系,包括監測市場波動,合理制定合約條款等。在永續發展方面,應持續執行節能減碳作為,以符合市場需求,並謀求多元發展和永續經營的目標。
氣候變遷風險管理
全世界目前都非常關注於氣候變遷暖化之議題,由於地球環境劇烈的變動,極端氣候發生的機率不斷提高,營造業也面臨很大的衝擊,如極端氣候不斷地增加,嚴重影響到施工的時程進度,另外極端氣候也造成工作人力在施工上的負擔,根基營造將秉持著提供高品質、健康與安全的經營精神、完善與創新的管理規範,持續修正並以市場最高的標準服務客戶。
資訊安全管理政策及措施
本公司積極推動資訊應用與數位轉型,同時也相當重視資通安全與個人資訊之防護,設置資訊安全專責主管及資安專責人員數名,同時為經濟部臺灣 CERT/CSIRT 聯盟及臺灣 CISO 聯盟會員。本公司全體員工遵循由董事會核准之「根基營造資通安全政策」,因應已辨識之相關風險及安全規範,對其資訊資源之安全加以保護。同時依循資訊處所制訂之「資訊管理系統程序」,由資訊處規劃各項資訊安全作業程序及工作職掌,並指派人員擔任並執行,並由本公司資訊安全專責主管督導執行成效。
本公司透過「資安保護(Protection)」、「資安回應(Response)」、「制度規範(Governance)」及「人員訓練(Education)」四個面向來強化公司資通防護能力,112 年主要資安工作要點如下:
建置網路設備監控及日誌管理系統
本公司因應越來越多的資訊安全威脅和風險,由資訊處建置 SIEM(安全資訊與事件管理)系統,除了對總公司及所有外點辦公室之應用系統及網路設備狀態進行監控,同時集中各種資安產品所蒐集到的 Log 紀錄,進而整合事件告警、關聯分析、產出數據報表,以輔助資安人員更有效率地建立整體環境可視性並即時排除問題強化資訊服務監控能力,保護公司的資訊資產和業務的持續運營。
舉辦資通訊專題講座,積極數位轉型
面對市場環境變遷與 AI 人工智慧技術蓬勃發展所帶來的挑戰與機遇,本公司與 MIC 資策會合作於 112 年共舉辦五場資通訊專題線上講座,主題包含【營造業大數據之前瞻應用】、【ChatGPT應用趨勢分析】、【虛實交融的產業創新模式】、【全球 Web3 生態系與應用服務解析】及【國際低軌衛星創新應用與營運商發展動態觀察】等。透過資策會專家專業的解說與精闢的分析,讓長官及同仁們透過專家的引導,共同探索新科技在建設營建業的應用契機並領導臺灣營建產業數位轉型之路。
資訊安全事件通報程序
本公司資通安全事件通報程序依循「資訊管理系統程序」,由公司資訊處主管或其代理人擔任應變小組召集人,負責災害管制、損害狀況評估、統一回報窗口、資訊系統災害復原作業指揮等工作。當資通安全事件發生時之通報與處理,皆遵守該管理辦法之規範依以下作業程序執行: