本公司爰依臺灣證券交易所股份有限公司於2022年8月8日公布之「上市上櫃公司風險管理實務守則」訂定本公司「風險管理政策與程序」及「風險管理委員會組織規程」，並經2022年12月20日董事會決議通過，作為本公司風險管理之最高指導原則。

力積電風險管理程序涵蓋五大要素，每年定期進行風險鑑別流程的內部審核與檢討，以確保風險管理程序及相關控制措施的有效性。

力積電風險執行小組成員涵蓋行銷/業務、研發、策略規劃、智權、法務、營運中心、廠務、採購、人資、財務、會計、風險控制、工安環保及資訊安全等單位，就策略、營運、財務及資工安等四大面向，全面性的評估企業的風險，並由稽核室執行風險管理活動之有效性查核。

本公司以系統性運作，推動及落實風險管理機制，並每年定期向審計委員會及董事會報告風險管理委員會之運作情形及明年風險管理活動時程。2024年風險管理委員會主要運作情形如下

• 6月-鑑別新興風險及辨識高階關注之內外部風險項目。
• 8月-對審計委員會報告上半年度執行情形，包含前一年度風險管理活動追蹤進度及本年度鑑別出關鍵風險項目。
• 12月-對審計委員會及董事會報告，說明2024年各單位總結出之年度關注風險及相關之行動方案，完成年度風險管理報告及明年風險管理活動時程。

本公司風險管理委員會，未來將持續依循風險管理政策與程序及規程，公告相關運作情形。

用營運衝擊分析方式鑑別出公司的關鍵營運活動及該關鍵活動中斷可能造成的衝擊，並訂定營運復原時間目標。

利用營運衝擊分析之關鍵營運活動，藉由風險評估表個別分析營運中斷潛在威脅、弱點以及這些危害造成後果，並了解現有預防、偵測或損失控制措施，再依訂定之嚴重性分析等級表、發生機率分析表、風險等級判斷標準，判定並掌握營運風險所在，研擬風險控制策略予以降低風險。

營運風險診斷由各單位共同參與評估診斷，包含廠務、風險管理、製造、工程、自動化、資訊管理、物管、採購、業務、生管、成品，財務、人資、品質客服等部門。

為建構各單位因應危機事件的處理能力，針對如長時間電力供應中斷、停水、火災、地震、氣候變遷、原物料供應中斷、勞動力短缺、資訊系統遭受駭客攻擊、關鍵設備故障等特定風險情境擬定營運持續計畫（Business Continuous Plan, BCP）及執行主題式演練，確保發生重大事故或危機事件時，能在最短時間內回復正常運作。

以總經理最為最高指揮官，由發言人、幕僚群（涵蓋財務、資訊及策略規劃單位）以及工廠（Fab）執行官協助推動。依據不同緊急事件設置功能小組，其中包含法務組、公關組、支援組、協調組以及聯絡組。

年度演練主要針對營運衝擊處理之事前預防，進行營運衝擊分析、風險評估以及復原策略選擇。力積電內部針對緊急事件擬定SOP，於事件發生立即啟動緊急應變計畫。若緊急事件重大致使生產中斷半天以上，則進行危機管理計畫以消弭危機，致力在最短時間內復原營運。

力積電2023 年及2024 年利息費用占當期營業收入淨額比重分別為1.42% 及3.43%，各期之占比微小，主要係因營運需求及資本支出向金融機構借款所產生之融資利息，市場利率雖有所波動，尚不致對整體營收及獲利造成顯著不利影響。力積電將及時掌握及分析金融市場利率變動對本公司所有付息負債所產生現金流量之影響，並與銀行保持良好關係，適時評估所有付息負債面臨之潛在利率風險，以降低利率變化對當年度損益之影響。

力積電2023 及2024 年淨外幣兌換利益（損失）占當期營業收入淨額比重分別為（0.19）% 及2.74%，由於本公司資本支出及製造成本多以美元或日圓支付，且收入亦以美元為主，因此匯率波動將顯著影響營收表現。為因應此風險，力積電視匯率市場變動、實際部位和資金狀況，採自然避險，並於政策許可之範圍內利用即期外匯交易及遠期外匯合約以規避匯率風險。

2024 年全球產業受通貨膨脹及庫存去化等因素干擾，市場需求疲弱不振，但力積電及時關注市場價格波動，並與供應商及客戶保持良好互動關係，以積極調適通貨膨脹對整體獲利表現的衝擊。

苗栗銅鑼科學園區興建之12 吋晶圓廠將已於2024 年正式投產，惟因需求預測會隨著市場環境變化而產生顯著的改變，當需求減少時，已添購的機器設備及增聘的人員將影響力積電獲利表現。

中長期來說，晶圓代工產能仍是客戶成長的關鍵資源，客戶將積極掌握更多產能。然而2024 年受限於終端消費性電子市場需求疲軟，及中國積極擴充成熟製程產能的影響，使半導體成熟製程市場面臨巨大壓力。力積電將持續觀察市場變化並與客戶緊密合作，若市場需求持續不如預期時將滾動式調整產能計畫，原則以分期、分階段，以公司財務可負擔，最小風險下擴充廠房及產能，同時兼顧公司穩健成長與滿足客戶產能需求。

地緣政治

美國對中國半導體制裁行動或有影響，但也迫使中國政府大力投資半導體產業， 形成大陸本土勢力快速成長，尤以28nm以上成熟製程對臺灣二線晶圓廠帶來威脅

產品線的總需求量與競爭對手分食，影響公司對於客戶長期生意發展的成長，若無法掌握開發時程，將影響中期公司接單投片

1. 在現有技術水平下依客戶需求持續開發客製化製程，以增加客戶黏著度
2. 規劃先進製程平台，拉開競爭對手差距
3. 定期拜訪客戶（及客戶的客戶），了解市場狀況、即時掌握端需求，搶先推出產品，享受先行者紅利
4. 在現有平台因應客戶需求進行製程最適化以優化成本競爭力
5. 成立專責組織，強化工程水平展開之進度追蹤
6. 提供相關評估專案的指標，以利高層決策，集中開發資源

環境

未能監控及降低溫室氣體排放，且無具體有效的減碳計畫

公司未能依政府推動之政策（如內部碳定價、碳費、淨零路徑等）擬訂相關因應策略，導致影響後續投入成本逐步墊高

1. 制定並執行企業責任與永續發展政策規範
2. 持續關注相關法令規範，並即時更新企業政策與規劃
3. 成立ESG 專案小組進行改善
4. 開發技術時加入溫室氣體之考量，盡量減少溫室氣體排放
5. 增進對各種溫室氣體的認知，如歐盟的減排時程表能源管理與替代能源

資訊科技

企業進行引進相關資料時，未適當進行分析與各項風險評估，直接引用相關資訊

因機器學習之偏失影響資料預測的成果，導致決策誤用

1. 隱私：致力於安全可靠的人工智慧，並確保遵守相關法律並履行企業、社會和道德責任
2. 問責與治理：採用優先考慮社會和道德責任的原則來應用於人工智慧，以防止任何侵犯人權的行為
3. 透過審視機制以持續確認與監督，持續採取強而有力的安全控制措施，以避免意外傷害和惡意威脅
4. 確保人工智慧受到人類監督。讓使用者理解人工智慧並提供透明的數據流程：
   1. 資料識別- 機器學習依循過歷史資料的學習產生的成果後，將定期與使用者進行成果確認與查核
   2. 確認錯的資料或模型- 由系統人員進行修正
   3. 更新錯誤資料與模型- 再進行重新預測作業，以降低模型自行產生成果的偏誤

社會

面對中國國家產業扶持之人才吸引，以及產業龍頭加大力度的人才招募策略，未能吸引及留住員工，造成單位人力流失，影響單位運作與生產

1. 關鍵人才流失或斷層
2. 缺乏所需的人才或技能，影響公司營運
3. 企業競爭力降低
4. 無法吸引、留住人才，影響企業計畫的執行

1. 由高階主管每年度以書面方式依工作績效、個人特質提名接班候選人，並由人資規劃透過有計劃的培訓加強其優勢能力，以完備接班條件
2. 啟用獵人頭專案，並優化對外部重點人才招募計畫

力積電屬於技術密集型企業，我們深知自身的競爭力是建構在智慧財產安全的基礎之上，因此公司設立「資訊安全室」，針對資訊安全相關事項直接呈報總經理，並於內部制訂「資訊安全政策」與「資訊安全管理辦法」，規範公司相關措施，以保護包含商業機密、智慧財產等重要資訊，同時致力於客戶相關資訊之保護，與客戶往來之各類資訊、文件等均透過公司內部系統嚴格記錄控管，對於內部相關人員作業權限之核准與開啟，均依照各系統之相關作業規範辦理。

確保本公司自有及客戶/合作夥伴交付的資訊資產安全，並保障本公司及利害關係人權益。

本公司遵循ISO 27001制訂資訊安全政策及資訊安全管理辦法，資安事件通報應變作業流程、並參照政府法規制訂營業秘密管理辦法、個人資料管理辦法等等；隨時蒐集、分析最新國內外資訊安全相關法規，以制訂或修訂相關管理辦法;定期審查所需執行的資訊安全相關作業，以確保符合安全政策，隨資訊風險情勢演變，持續更新本公司資訊安全管理措施。自導入完整的 ISO27001 資訊安全管理系統（ISMS，Information Security Management System）以來，建立主動監測與通報機制，及時因應資安威脅並確保與利害關係人之溝通透明，始以建立符合國際安全規範、客戶要求、相關利害關係人及內部管控的資安最高標竿為目標!

已取得ISO 27001的認證，目前證書有效期為2023年4月至2025年10月，每年通過 ISO 27001 的年度複審驗證；從政策、管理、系統控制等各面向落實管控措施，遵循「規劃－執行－查核－行動」（PDCA，Plan-Do-Check-Act）的方法，建立縱深防禦的多層次架構、資訊安全關鍵績效指標，持續改善，確保本公司資訊之完整性、機密性與可用性，防止未經授權之存取與篡改，降低人為疏失或惡意攻擊所造成的資安風險。

資訊安全政策適用於全體員工，並定期推動資安教育訓練與責任宣導，強化資安意識與執行力，確保全體員工清楚掌握應負之資訊安全責任；針對第三方（含供應商、外包廠商等），本公司訂有資安合約條款及管理要求，以保障共享資訊與基礎設施之安全。

依據「資訊安全政策」，由各相關單位指派代表組成資訊安全委員會，負責制定與執行公司的資訊安全管制作業，並定期召開會議，針對資訊安全相關議題進行討論與決議，範圍涵蓋人力資源、實體安全及資訊安全等各個面向；為確保資訊安全管理與公司營運目標一致，資訊安全委員會亦定期向永續發展委員會報告，由永續發展委員會進一步將相關事項呈報審計委員會及董事會，以強化資安管理機制。當有重大變革或資訊安全事件發生，則臨時召開會議進行討論。每年透過教育訓練與內部公告持續向同仁進行資訊安全相關的宣導與溝通，以落實執行資訊安全政策。

2018年起，公司內部啟動營業秘密管控專案，加強門禁管制與監控、資訊系統存取權限管理與存取紀錄保存與審查，嚴格管制人員進出與資料存取（如禁止於公司使用私人儲存裝置、公司配發電腦安裝監控軟體、私人手機安裝相機管控軟體、進出公司實施資安檢查等…），避免公司資訊遭不當存取、竄改，並防範營業秘密與智慧財產遭竊或外洩。

此外，規範各單位同仁每年均必須接受「資訊安全管控措施」課程教育宣導（包含新進人員到職時即安排相關資安宣導教育課程於新人訓練中），以加強公司內部資安意識，確保資訊安全。自2018年起，力積電全體員工（不含駐外人員）每年均百分之百完成『資訊安全管控措施』教育訓練。

本公司日常生產作業所使用之硬體設施，均依據國內外法規及考量廠區實際狀況，由風險部門相關專業人員共同研議彙整出廠房機械設備安全標準，並依其標準設置，從源頭即控管工安風險。

此外，本公司各廠皆設有應變監控中心(ERC)，並藉由整合性之防災監控系統，更可掌握災害發生時之應變搶救黃金時間！第一時間的妥善處置不僅可將人員傷害及環境污染降至最低亦可大幅減少設備損失、提高廠房復原能力。

為使本公司於緊急狀況發生時，能以正確而有效的應變處理程式將意外事故所引發之人員傷害、財產損失及對環境造成的衝擊減低至最低程度，特編制「廠區災變緊急應變辦法」，設立並訓練緊急應變小組，每半年至少實施一次部門應變演練，每年度至少實施一次廠區綜合（跨部門）緊急應變演練，一般員工則每年實施一次疏散演練。

因應異常事故發生，需進行疏散全廠區人員，並實施人員清點，2019年12吋廠(P1/2/3)已先行導入疏散點名系統可協助指揮官確認全廠區人員是否已確實撤離，經評估後8A廠於2022年導入，以強化8A廠緊急疏散集結點名，降低搶救人員搜索及搶救時間。

2018年1月，為符合客戶期待並維持公司永續競爭力，力積電啟動全公司性的營業祕密保護專案，由總經理直接督導各級主管，針對公司營業秘密保護，依產銷人發財資訊等六大面向，進行全面性的盤點、分類與等級訂定。訂定了力積電營業秘密管理辦法，及各單位營業秘密管理細則；更針對各資訊可能洩露管道(如下圖)，規劃執行系統化的管制措施，同時建立資安週報機制，以協助主管及早發現異常、預防洩密。後續由資安室，持續教育訓練同仁強化營業秘密保護意識，及持續督導稽核各單位營業秘密管理之落實。

2019年開始，為降低資安管理成本並提升資安偵防能力，力積電以人工智慧技術，自行開發建置智能化營密偵防系統(AIRS)。AIRS不僅能偵測經刻意隱藏、變造、竄改之營秘文檔，針對相似之營密設計圖檔、測試程式、關鍵智財等，皆能智慧偵測。當同仁外傳資訊(含列影印)，內含疑似營業秘密時，AIRS會主動通報主管及資安室進行確認與處置。

AIRS自2019年至今，納入保護之營密文件已達50,000份，設計圖檔約2500張 (見下圖)。

2021~22年台灣covid-19疫情嚴重時，力積電為保護同仁健康、降低營運中斷風險，數度施行分組居家辦公。於居家辦公期間，藉由自行設計開發之遠距工作平台(Pteam)，全程側錄遠端工作內容，並整合AIRS 進行自動化智慧偵防。兼顧工作效率與營業秘密保護，力積電建構獨創業界之管理模式。

力積電縝密的營業秘密防護機制，保護了力積電的智慧資產，也保護力積電與客戶合作的智慧結晶。讓力積電維持競爭優勢，以及永續創新的動能。