我们的企业风险管理框架

本集团参照Committee of Sponsoring Organizations of the Treadway Commission(「COSO」)及国际标准组织(「ISO」)颁布的国际标准,度身制定企业风险管理框架,以符合本集团的业务性质、架构、持续增长及发展。企业风险管理框架由以下三个部份组成:

风险文化

本集团奉行风险意识文化,并深信根深蒂固的风险文化为有效推行风险管理的关键。同时,培训亦可作为有效的工具以推动并促进管理层及员工实施企业风险管理。本集团根据以下主旨宣扬风险文化:

 

  • 有效的企业风险管理不止於程序和形式,而是一套改变思维及行为的文化。
  • 企业风险管理并非一个独立执行的计划,而是应为本集团度身制定,并融入至本集团的业务过程中。
  • 企业风险管理为应对风险与机遇而设,适当的风险处理除了控制风险,更可把握更多创造价值的机会。

风险管理目标

本集团的企业风险管理框架旨在增强我们实现愿景和达成使命的能力,并实践五大核心价值。为此,本集团已按下列风险管理目标建立稳健的企业风险管理框架:

 

  • 履行诚信、商业道德及遵循法规的承诺,以作为我们的企业管治中不可或缺的部份
  • 提高在瞬息万变的营商环境下应对不明朗因素的灵活性及应变能力
  • 促进本集团能在掌握风险资料的情况下作出决定,使其目标、策略及营运与风险偏好相符
  • 加强把握机遇及保障资产的能力,以支持可持续发展及创造共享价值
风险偏好

风险偏好,即本集团为实现愿景和达成使命而愿意承受的风险程度和性质。本集团的风险偏好声明传达至本集团上下,并纳入至风险评估准则,以确保与我们的业务目标、核心价值、策略及风险管理活动保持一致。风险偏好声明由董事会定期检讨,以紧贴瞬息万变的营商环境和本集团的最新发展。本集团的风险偏好如下:

 

  • 本集团坚守最高水平的诚信、合规及商业道德标准,绝不容忍任何严重违反法律和法规的行为。
  • 本集团对任何可能严重影响雇员健康及安全的威胁绝不妥协。
  • 本集团非常重视保护环境及维护社会的可持续发展,不会参与对环境及社会造成严重损害的活动。
  • 本集团避免令我们声誉或品牌受到严重损害。
  • 本集团尽力减少业务中断情况,及对业务连续性造成重大影响的营运事件。
  • 为履行财务承诺,本集团在作出可能影响长远财务稳健性及流动性的决定时,会审慎行事。
  • 本集团平衡风险与机遇,并实施减少业务决策失利及提高本集团价值的策略。
风险管治架构

董事会负责监督整体的风险管理程序。本集团重视创造和保障价值,并采用三线模型作为其风险管治架构。该模型明 确界定不同角色的职责,加强彼此之间的合作与沟通,以促进风险管理活动之间的一致性,并为董事会提供鉴证。

 


管治角色
董事会
  • 对风险监管负最终责任,包括厘定及检讨风险偏好
  • 确保本集团维持合适而有效的风险管理及内部监控系统
  • 授予审核委员会监督企业风险管理的权力
审核委员会
  • 监督风险管理及内部监控系统,并检讨其充足性及成效
  • 检讨本集团的风险状况,并就现有与潜在风险及其相应的风险处理计划向董事会提出建议

 

执行委员会
  • 领导及监督企业风险管理的执行状况
  • 就所有与企业风险管理有关的事宜向审核委员会及执行委员会提供意见
  • 加强集团上下的风险意识及推广风险意识文化
企业风险管理督导小组
  • 决定及分配充足的资源以确保企业风险管理系统能有效运作
  • 检讨本集团的主要风险及厘定其优先次序,并审批风险处理计划
  • 确保风险管理及内部监控系统的成效
第一线角色
業務及職能單位及個人(前線員工及營運管理團隊)
  • 於日常營運及其負責的範疇中擔任風險負責人,並執行風險評估,以識別、分析及評核風
  • 設計、排序及執行風險處理計劃,並於風險登記表內匯報
  • 定期對風險處理計劃進行自我評估,以檢討成
第二线角色
總辦事處部門(包括行政辦公室)
  • 擔任其負責部門的風險負責人,並執行企業風險管理職責
  • 維持最佳常規並向企業風險管理督導小組提供建議
企業風險管理團隊
  • 協助管理層設計及制定企業風險管理程序及風險控制
  • 促進風險管理程序,包括識別及監察已知及新興風險,匯集本集團已識別的主要風險並釐定其優先次序,以及向高級管理層及委員會匯報
  • 於集團內宣揚風險意識文化
  • 檢討風險處理計劃的執行狀況
第三线角色
内部审计
  • 就风险管理及内部监控系统的充足性、成效及其效率提供独立鉴证
  • 於制定年度审计计划及规划每项审计工作时,考虑各项主要及新兴风险
  • 以风险为本的原则进行风险处理计划的核实工
外部鉴证
外聘核数师
  • 对本集团的财务报告程序及监控提供独立鉴证
不同专业范畴的独立专家
  • 於需要时就最佳常规提供意见及╱或对合规性提供鉴证
监管机构
  • 对相关单位、范畴或活动执行规管监督
举报系统
举报
  • 为持份者提供独立及保密渠道,以便向本集团审核部直接报告任何严重事项,包括任何受高度关注的有关本集团╱或其员工涉嫌或证实的诈骗、贪污、违约、渎职、不当或违规行为。 有关详情,请参阅企业管治报告
风险管理程序概述

风险管理程序由确立背景开始,并考虑外部环境与大趋势及本集团所面对的风险。 风险继而被识别、分析、评核并以适当的措施应对。 透过持续检讨、监察、报告及谘询,风险管理程序整合至各个业务过程及活动,以优化风险与回报。

 

为建立全面而稳健的风险管理程序,本集团采用由上而下及由下而上的方式收集风险见解及监察与管理风险,同时以《企业风险管理政策》及《企业风险管理手册》提供适当指引。 此外,风险负责人与企业风险管理团队之间保持交流, 使各方能够紧贴最新风险状况。

 

风险管理流程

 

 

 Risk_infographic for webChiSC

风险评估及处理

1. 确立背景

本集团明确界定风险的内外背景,并厘定风险评估准则的要素。

 

2. 风险识别

本集团采纳由上而下及由下而上的方式,配合外部蒐集及内部传播的机制,以促进全面的风险识别过程。

CG report website graphics 2_EN ZH SC_Risk Identification_ZH 

 

3. 风险分析

业务及职能单位以及总办事处部门评估所识别的主要风险出现的可能性、影响、风险速率、固有风险水平及其剩余风险水平。

 

4. 风险评核

风险分析结果与风险偏好及容忍程度作比较。此举让管理层能够按每项风险制定风险应对策略,并对风险处理计划的优先度排序。

 

5. 风险处理

基於风险的优先次序及性质,各业务及职能单位以及总办事处部门制定风险处理计划,以执行风险应对措施。

监控及检讨

本集团持续跟进、检讨及核实企业风险管理框架的执行情况,以监察各项风险、风险变化、其剩余风险水平,并确保及提升企业风险管理框架的成效、质素以及成果。

 

风险登记表

业务及职能单位以及总办事处部门每半年呈交一次风险登记表,并就风险处理计划的成效作自我评估。

 

主要风险指标

风险负责人制定主要风险指标,以衡量及监控主要风险的风险变化。倘若任何主要风险指标数值超过预定水平,管理层会收到风险警报以便及时作出应对,并适当汇报予执行董事。

 

风险处理核实

企业风险管理团队检讨风险登记表所载的风险应对措施的执行情况及成效。内部审计团队亦於内部审计过程中以风险为本进行核实,以测试主要风险的风险应对措施。

 

风险预警机制

本集团采用风险预警机制,以主动识别及评估新兴风险与可能突然加剧的风险,如品质、健康及安全、灾害以及公关事件。当意识到会造成严重影响的潜在风险时,员工需对有关风险作出预警,并向直属主管及风险监督方呈报。

 

举报机制

本集团已为内部及外部的持份者制定举报政策及提供举报渠道,举报个案会汇报予执行委员会及审核委员会。有关详情,请参阅企业管治报告。

 

检讨风险管理及内部监控系统的成效

董事会在审核委员会,企业管治委员会及可持续发展委员会的协助下,检讨及评核本集团风险管理及内部监控系统(包括ESG风险以及气候相关风险)的成效,当中考虑以下因素:

 

  • 内部审计团队及外聘核数师进行审计的工作范围以及本年度在其审计报告所列的任何重大事项,连同该等事项对本集团的财务表现或状况造成的任何潜在或实际影响

  • 持续监察风险(包括ESG风险以及气候相关风险)及内部监控(包括财务、营运及合规监控)的范围及质素,以及持续监控系统结果沟通机制,包括但不限于主要风险指标及内部监控复核

  • 资源的充足性,以及本集团风险管理、内部审计、财务及可持续发展职能方面的员工经验、资历及培训

  • 持续提升风险管理及内部监控系统的机遇及进展

  • 本集团的企业风险管理框架之设计和执行情况,及风险管理程序的成果

  • 自上次检讨后,重大风险(包括ESG风险以及气候相关风险)的性质与程度,及本集团风险状况的转变,以及本集团应对业务、外部环境与大趋势转变的能力及策略

  • 财务报告及合规流程的成效

除上述外,本集团参考COSO框架,并透过在本集团内应用的整合内部监控自我评估证书,由业务及职能单位以及总办事处部门每半年评估风险管理及内部监控系统的成效。有关风险管理及内部监控系统成效的检讨及其结果请参阅企业管治报告,以了解详情。

谘询及汇报
企业风险管理团队定期向管理层、企业风险管理督导小组、执行委员会及审核委员会汇报已识别的风险及风险管理活动的状况,以促进风险管理程序及决策。企业风险管理督导小组每半年举行一次会议,讨论主要风险事项及最新情况。
整合风险管理

企业风险管理融入至决策及业务过程中,包括但不限於以下主要流程:

 

业务规划

於策略规划及项目与营运计划中识别及考虑可能会影响达成业务目标的潜在风险。此举有助业务策略及流程与早期制定的风险偏好保持一致。

 

投资

于决策前及审阅投资计划时考虑风险(包括ESG风险以及气候相关风险),并且进行可行性研究及╱或尽职调查以识别及评估潜在风险及风险处理的相关成本。 本集团已制定检讨及汇报流程,以在整个投资管理周期中分析及监察风险变化。 本集团制定及适时执行应对策略以应对投资项目风险的任何重大转变。

 

日常营运

本集团为业务及职能单位以及总办事处部门建立了一套管理框架,以便其有系统地了解并评核其风险状况(包括ESG风险以及气候相关风险)。 在企业风险管理过程中设计的风险处理计划已经融入至营运计划及加以执行,并且定期监察。 主要风险指标机制亦用以侦测风险的异常变化, 从而及时上报和处理。
风险重点
本集团投资及经营的多元化业务主要位于香港及内地。 我们的业务包括收费公路、建筑、保险、物流及设施管理。
 
透过前节所述的全面风险管理过程,本集团已识别可能有碍达成业务目标的主要风险。 然而,在营商环境中许多动态发展及因素的互相影响下,风险会产生变化。 有些现时未必重要的风险,日后可能变为值得关注。 我们未必留意到现存的某些风险,及╱或日后会有新的风险出现。 因此,本集团会检讨及更新风险状况,以因应风险格局变化作出应对。
整体风险趋势
随着疫情逐渐消退,其对我们营运的影响大大降低,而业务亦已逐步重回正轨。 尽管疫情不再是我们首要关注的事项,惟我们仍然留意任何可能突然出现并演变成即时挑战的潜在危机。
 
在后疫情时代,因各企业均努力收复失地,市场竞争日趋激烈。 我们密切留意竞争情况,并继续致力于完善策略、优化效率及推动创新以保持竞争优势。
 
各企业不只争取客户,还「抢人才」。 随着经济活动稳定复苏,加上人才流失,人才竞争已成为热门话题。 在不同城市及国家陆续实施加强吸纳人才的政策后,此一趋势尤为明显。 因此,制定有效的人才吸引及挽留策略是我们的首要工作,以支持业务发展。
 
年内,由于对通胀升温、利率上升、汇率波动及经济衰退的忧虑,宏观经济环境仍然相对不稳定。 我们多年来一直透过实施各项策略和财务举措小心应对,同时把握新兴机遇,例如出售商务飞机租赁平台及发行熊猫债券以巩固我们的财务状况。
 
另外,鉴于年内中美紧张局势、两岸关系及俄乌战争等地缘政治冲突,本集团愈发关注地缘政治风险。 由于该等冲突带来的冲击可以非常巨大,故此我们密切关注各个地缘政治议题的事态发展,包括但不限于新的限制政策、制裁、关税及军事冲突,以便及时制定适当的应对及缓解措施。
 
除地缘政治风险外,气候变化及可持续风险继续是我们业务的主要关注事项,因为其产生的影响正在不断扩大及深化,例如更频繁的极端天气事件和日益严格的监管要求。 因此,我们在应对该等因素对业务、社区和地球的影响上持续加强关注和工作。
 
本集团将继续监察及管理影响达成业务目标的不明朗因素。

有关本集团管理主要风险的工作,请参阅下列本集团已识别的主要风险与其应对措施。 下表内容不旨在详尽无遗或全面地列出所有主要风险。

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

风险描述

风险趋势

应对措施

年度内风险水平上升
年度内风险水平下降
与上年度的风险水平相若
涉及环境、社会及管治风险
涉及气候相关过渡风险
管理环境、社会及管治风险以及气候相关风险
ESG问题以及气候变化会对业务增长的可持续性及社会发展造成多方面的影响,各行各业均需应对,因此被公认为关键议题。 本集团重视ESG风险以及气候相关风险的重要性,因此已整合该等风险至我们的企业风险管理框架,以协助实现新创建2030可持续发展目标,及建立气候变化中实体与过渡影响的韧性。
 
董事会肩负本集团ESG以及可持续发展的最终责任,并监督本集团的ESG策略以及实现相关目标及指标的进度。 审核委员会在董事会的授权下负责监督ESG风险以及气候相关风险,监察对实现ESG目标及指标产生影响的不明朗因素,并评估应对措施对管理风险的成效。
 
本集团采用上述风险管理程序管理ESG风险及气候相关风险,包括从风险评估及处理,以至咨询及汇报流程等等。 这些风险已与本集团的风险状况(如人才吸引及挽留、监管合规、环境、可持续发展管治等)相结合。 除一般风险外, ESG 以及气候相关的议题亦是我们在风险识别过程中的讨论重点,以从中获得见解并形成本集团风险状况的基础,并作为向企业风险管理督导小组、执行委员会及审核委员会的定期汇报内容的一部分。
 
考虑到ESG风险以及气候相关风险的特点,本集团在企业风险管理框架的整合过程中已作出若干适当的调整。 举例而言,本集团在气候相关风险的评估准则中采用不同的时间范围。 自2019 财政年度起,本集团已与外部顾问进行多项气候相关风险评估及披露检讨。 例如,本集团选择了部分主要资产进行实体风险评估,而该评估方法可作为蓝图, 以复制和扩大类似措施至各业务单位。 再者,为了系统化管理和整合气候相关风险,本集团制定了技术指引,阐明气候相关过渡风险的识别、评估及管理程序。 为应对未来气候变化的不明朗因素,本集团亦已制定净零路线图,为即将到来的净零过渡做好准备。 有关ESG以及气候相关风险管理措施的详情,请参阅企业管治报告及可持续发展报告。

 

此外,为加强对ESG风险以及气候相关风险的意识及理解,我们定期举办网络研讨会及培训课程,与管理层、风险负责人及相关员工分享新兴趋势以及热门的ESG和气候相关的议题信息以及知识。 例如,我们于本年度为员工、管理层及董事会举办网络安全风险网络研讨会及工作坊,以提高其网络安全意识。 另外,本年度的复习培训亦向风险负责人及汇报人解释气候相关风险的趋势及评估方式。
Loading...