我們的企業風險管理框架

本集團參照Committee of Sponsoring Organizations of the Treadway Commission(「COSO」)及國際標準組織(「ISO」)頒佈的國際標準,度身制定企業風險管理框架,以符合本集團的業務性質、架構、持續增長及發展。企業風險管理框架由以下三個部份組成:

風險文化

本集團奉行風險意識文化,並深信根深蒂固的風險文化為有效推行風險管理的關鍵。同時,培訓亦可作為有效的工具以推動並促進管理層及員工實施企業風險管理。本集團根據以下主旨宣揚風險文化:

 

  • 有效的企業風險管理不止於程序和形式,而是一套改變思維及行為的文化。
  • 企業風險管理並非一個獨立執行的計劃,而是應為本集團度身制定,並融入至本集團的業務過程中。
  • 企業風險管理為應對風險與機遇而設,適當的風險處理除了控制風險,更可把握更多創造價值的機會。

風險管理目標

本集團的企業風險管理框架旨在增強我們實現願景和達成使命的能力,並實踐五大核心價值。為此,本集團已按下列風險管理目標建立穩健的企業風險管理框架:

 

  • 履行誠信、商業道德及遵循法規的承諾,以作為我們的企業管治中不可或缺的部份
  • 提高在瞬息萬變的營商環境下應對不明朗因素的靈活性及應變能力
  • 促進本集團能在掌握風險資料的情況下作出決定,使其目標、策略及營運與風險偏好相符
  • 加強把握機遇及保障資產的能力,以支持可持續發展及創造共享價值
風險偏好

風險偏好,即本集團為實現願景和達成使命而願意承受的風險程度和性質。本集團的風險偏好聲明傳達至集團上下,並納入至風險評估準則,以確保與我們的業務目標、核心價值、策略及風險管理活動保持一致。風險偏好聲明由董事會定期檢討,以緊貼瞬息萬變的營商環境和本集團的最新發展。本集團的風險偏好如下:

 

  • 本集團堅守最高水平的誠信、合規及商業道德標準,絕不容忍任何嚴重違反法律和法規的行為。
  • 本集團對任何可能嚴重影響僱員健康及安全的威脅絕不妥協。
  • 本集團非常重視保護環境及維護社會的可持續發展,不會參與對環境及社會造成嚴重損害的活動。
  • 本集團避免令我們聲譽或品牌受到嚴重損害。
  • 本集團盡力減少業務中斷情況,及對業務連續性造成重大影響的營運事件。
  • 為履行財務承諾,本集團在作出可能影響長遠財務穩健性及流動性的決定時,會審慎行事。
  • 本集團平衡風險與機遇,並實施減少業務決策失利及提高本集團價值的策略。
風險管治架構

董事會負責監督整體的風險管理程序。本集團重視創造和保障價值,並採用三線模型作為其風險管治架構。該模型明確界定不同角色的職責,加強彼此之間的合作與溝通,以促進風險管理活動之間的一致性,並為董事會提供鑒證。

 

 


管治角色
董事會
  • 對風險監管負最終責任,包括釐定及檢討風險偏好
  • 確保本集團維持合適而有效的風險管理及內部監控系統
  • 授予審核委員會監督企業風險管理的權力
審核委員會
  • 監督風險管理及內部監控系統,並檢討其充足性及成效
  • 檢討本集團的風險狀況,並就現有與潛在風險及其相應的風險處理計劃向董事會提出建議

 

執行委員會
  • 領導及監督企業風險管理的執行狀況
  • 就所有與企業風險管理有關的事宜向審核委員會及執行委員會提供意見
  • 加強集團上下的風險意識及推廣風險意識文化
企業風險管理督導小組
  • 決定及分配充足的資源以確保企業風險管理系統能有效運作
  • 檢討本集團的主要風險及釐定其優先次序,並審批風險處理計劃
  • 確保風險管理及內部監控系統的成效
第一線角色
業務及職能單位及個人(前線員工及營運管理團隊)
  • 於日常營運及其負責的範疇中擔任風險負責人,並執行風險評估,以識別、分析及評核風
  • 設計、排序及執行風險處理計劃,並於風險登記表內匯報
  • 定期對風險處理計劃進行自我評估,以檢討成
第二線角色
總辦事處部門(包括行政辦公室)
  • 擔任其負責部門的風險負責人,並執行企業風險管理職責
  • 維持最佳常規並向企業風險管理督導小組提供建議
企業風險管理團隊
  • 協助管理層設計及制定企業風險管理程序及風險控制
  • 促進風險管理程序,包括識別及監察已知及新興風險,匯集本集團已識別的主要風險並釐定其優先次序,以及向高級管理層及委員會匯報
  • 於集團內宣揚風險意識文化
  • 檢討風險處理計劃的執行狀況
第三線角色
內部審計
  • 就風險管理及內部監控系統的充足性、成效及其效率提供獨立鑒證
  • 於制定年度審計計劃及規劃每項審計工作時,考慮各項主要及新興風險
  • 以風險為本的原則進行風險處理計劃的核實工
外部鑒證
外聘核數師
  • 對本集團的財務報告程序及監控提供獨立鑒證
不同專業範疇的獨立專家
  • 於需要時就最佳常規提供意見及╱或對合規性提供鑒證
監管機構
  • 對相關單位、範疇或活動執行規管監督
舉報系統
舉報
  • 為持份者提供獨立及保密渠道,以便向本集團審核部直接報告任何嚴重事項,包括任何受高度關注的有關本集團╱或其員工涉嫌或證實的詐騙、貪污、違約、瀆職、不當或違規行為。有關詳情,請參閱企業管治報告
風險管理程序概述

風險管理程序由確立背景開始,並考慮外部環境與大趨勢及本集團所面對的風險。風險繼而被識別、分析、評核並以適當的措施應對。透過持續檢討、監察、報告及諮詢,風險管理程序整合至各個業務過程及活動,以優化風險與回報。

 

為建立全面而穩健的風險管理程序,本集團採用由上而下及由下而上的方式收集風險見解及監察與管理風險,同時以《企業風險管理政策》及《企業風險管理手冊》提供適當指引。此外,風險負責人與企業風險管理團隊之間保持交流,使各方能夠緊貼最新風險狀況。

 

風險管理流程

Risk_infographic for webChiTC

 

 


風險評估及處理

1. 確立背景

本集團明確界定風險的內外背景,並釐定風險評估準則的要素。

 

2. 風險識別

本集團採納由上而下及由下而上的方式,配合外部蒐集及內部傳播的機制,以促進全面的風險識別過程。

CG report website graphics 2_EN ZH SC_Risk Identification_ZH 

 

3. 風險分析

業務及職能單位以及總辦事處部門評估所識別的主要風險出現的可能性、影響、風險速率、固有風險水平及其剩餘風險水平。

 

4. 風險評核

風險分析結果與風險偏好及容忍程度作比較。此舉讓管理層能夠按每項風險制定風險應對策略,並對風險處理計劃的優先度排序。

 

5. 風險處理

基於風險的優先次序及性質,各業務及職能單位以及總辦事處部門制定風險處理計劃,以執行風險應對措施。

監控及檢討

本集團持續跟進、檢討及核實企業風險管理框架的執行情況,以監察各項風險、風險變化、其剩餘風險水平,並確保及提升企業風險管理框架的成效、質素以及成果。

 

風險登記表

業務及職能單位以及總辦事處部門每半年呈交一次風險登記表,並就風險處理計劃的成效作自我評估。

 

主要風險指標

風險負責人制定主要風險指標,以衡量及監控主要風險的風險變化。倘若任何主要風險指標數值超過預定水平,管理層會收到風險警報以便及時作出應對,並適當匯報予執行董事。

 

風險處理核實

企業風險管理團隊檢討風險登記表所載的風險應對措施的執行情況及成效。內部審計團隊亦於內部審計過程中以風險為本進行核實,以測試主要風險的風險應對措施。

 

風險預警機制

本集團採用風險預警機制,以主動識別及評估新興風險與可能突然加劇的風險,如品質、健康及安全、災害以及公關事件。當意識到會造成嚴重影響的潛在風險時,員工需對有關風險作出預警,並向直屬主管及風險監督方呈報。

 

舉報機制

本集團已為內部及外部的持份者制定舉報政策及提供舉報渠道,舉報個案會匯報予執行委員會及審核委員會。有關詳情,請參閱企業管治報告。

 

檢討風險管理及內部監控系統的成效

董事會在審核委員會,企業管治委員會及可持續發展委員會的協助下,檢討及評核本集團風險管理及內部監控系統(包括ESG風險以及氣候相關風險)的成效,當中考慮以下因素:

 

  • 內部審計團隊及外聘核數師進行審計的工作範圍以及本年度在其審計報告所列的任何重大事項,連同該等事項對本集團的財務表現或狀況造成的任何潛在或實際影響

  • 持續監察風險(包括ESG風險以及氣候相關風險)及內部監控(包括財務、營運及合規監控)的範圍及質素,以及持續監控系統結果溝通機制,包括但不限於主要風險指標及內部監控覆核

  • 資源的充足性,以及本集團風險管理、內部審計、財務及可持續發展職能方面的員工經驗、資歷及培訓

  • 持續提升風險管理及內部監控系統的機遇及進展

  • 本集團的企業風險管理框架之設計和執行情況,及風險管理程序的成果

  • 自上次檢討後,重大風險(包括ESG風險以及氣候相關風險)的性質與程度,及本集團風險狀況的轉變,以及本集團應對業務、外部環境與大趨勢轉變的能力及策略

  • 財務報告及合規流程的成效

除上述外,本集團參考COSO框架,並透過在本集團內應用的整合內部監控自我評估證書,由業務及職能單位以及總辦事處部門每半年評估風險管理及內部監控系統的成效。有關風險管理及內部監控系統成效的檢討及其結果請參閱企業管治報告,以了解詳情。

諮詢及匯報
企業風險管理團隊定期向管理層、企業風險管理督導小組、執行委員會及審核委員會匯報已識別的風險及風險管理活動的狀況,以促進風險管理程序及決策。企業風險管理督導小組每半年舉行一次會議,討論主要風險事項及最新情況。
整合風險管理

企業風險管理融入至決策及業務過程中,包括但不限於以下主要流程:

 

業務規劃

於策略規劃及項目與營運計劃中識別及考慮可能會影響達成業務目標的潛在風險。此舉有助業務策略及流程與早期制定的風險偏好保持一致。

 

投資

於決策前及審閱投資計劃時考慮風險(包括ESG風險以及氣候相關風險),並且進行可行性研究及╱或盡職調查以識別及評估潛在風險及風險處理的相關成本。本集團已制定檢討及匯報流程,以在整個投資管理週期中分析及監察風險變化。本集團制定及適時執行應對策略以應對投資項目風險的任何重大轉變。

 

日常營運

本集團為業務及職能單位以及總辦事處部門建立了一套管理框架,以便其有系統地了解並評核其風險狀況(包括ESG風險以及氣候相關風險)。在企業風險管理過程中設計的風險處理計劃已經融入至營運計劃及加以執行,並且定期監察。主要風險指標機制亦用以偵測風險的異常變化,從而及時上報和處理。

風險重點

本集團投資及經營的多元化業務主要位於香港及內地。我們的業務包括收費公路、建築、保險、物流及設施管理。

 

透過前節所述的全面風險管理過程,本集團已識別可能有礙達成業務目標的主要風險。然而,在營商環境中許多動態發展及因素的互相影響下,風險會產生變化。有些現時未必重要的風險,日後可能變為值得關注。我們未必留意到現存的某些風險,及╱或日後會有新的風險出現。因此,本集團會檢討及更新風險狀況,以因應風險格局變化作出應對。

整體風險趨勢

隨著疫情逐漸消退,其對我們營運的影響大大降低,而業務亦已逐步重回正軌。儘管疫情不再是我們首要關注的事項,惟我們仍然留意任何可能突然出現並演變成即時挑戰的潛在危機。

 

在後疫情時代,因各企業均努力收復失地,市場競爭日趨激烈。我們密切留意競爭情況,並繼續致力於完善策略、優化效率及推動創新以保持競爭優勢。

 

各企業不只爭取客戶,還「搶人才」。隨著經濟活動穩定復甦,加上人才流失,人才競爭已成為熱門話題。在不同城市及國家陸續實施加強吸納人才的政策後,此一趨勢尤為明顯。因此,制定有效的人才吸引及挽留策略是我們的首要工作,以支持業務發展。

 

年內,由於對通脹升溫、利率上升、匯率波動及經濟衰退的憂慮,宏觀經濟環境仍然相對不穩定。我們多年來一直透過實施各項策略和財務舉措小心應對,同時把握新興機遇,例如出售商務飛機租賃平台及發行熊貓債券以鞏固我們的財務狀況。

 

另外,鑒於年內中美緊張局勢、兩岸關係及俄烏戰爭等地緣政治衝突,本集團愈發關注地緣政治風險。由於該等衝突帶來的衝擊可以非常巨大,故此我們密切關注各個地緣政治議題的事態發展,包括但不限於新的限制政策、制裁、關稅及軍事衝突,以便及時制定適當的應對及緩解措施。

 

除地緣政治風險外,氣候變化及可持續風險繼續是我們業務的主要關注事項,因為其產生的影響正在不斷擴大及深化,例如更頻繁的極端天氣事件和日益嚴格的監管要求。因此,我們在應對該等因素對業務、社區和地球的影響上持續加強關注和工作。

 

本集團將繼續監察及管理影響達成業務目標的不明朗因素。

有關本集團管理主要風險的工作,請參閱下列本集團已識別的主要風險與其應對措施。下表內容不旨在詳盡無遺或全面地列出所有主要風險。

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

風險描述

風險趨勢

應對措施

Increase
年度內風險水平上升
Decrease
年度內風險水平下降
Remain
與上年度的風險水平相若
ESG
涉及環境、社會及管治風險
Climate-related
涉及氣候相關過渡風險
管理環境、社會及管治風險以及氣候相關風險

ESG問題以及氣候變化會對業務增長的可持續性及社會發展造成多方面的影響,各行各業均需應對,因此被公認為關鍵議題。本集團重視ESG風險以及氣候相關風險的重要性,因此已整合該等風險至我們的企業風險管理框架,以協助實現新創建2030可持續發展目標,及建立氣候變化中實體與過渡影響的韌性。

 

董事會肩負本集團ESG以及可持續發展的最終責任,並監督本集團的ESG策略以及實現相關目標及指標的進度。審核委員會在董事會的授權下負責監督ESG風險以及氣候相關風險,監察對實現ESG目標及指標產生影響的不明朗因素,並評估應對措施對管理風險的成效。

 

本集團採用上述風險管理程序管理ESG風險及氣候相關風險,包括從風險評估及處理,以至諮詢及匯報流程等等。這些風險已與本集團的風險狀況(如人才吸引及挽留、監管合規、環境、可持續發展管治等)相結合。除一般風險外,ESG以及氣候相關的議題亦是我們在風險識別過程中的討論重點,以從中獲得見解並形成本集團風險狀況的基礎,並作為向企業風險管理督導小組、執行委員會及審核委員會的定期匯報內容的一部分。

 

考慮到ESG風險以及氣候相關風險的特點,本集團在企業風險管理框架的整合過程中已作出若干適當的調整。舉例而言,本集團在氣候相關風險的評估準則中採用不同的時間範圍。自2019財政年度起,本集團已與外部顧問進行多項氣候相關風險評估及披露檢討。例如,本集團選擇了部分主要資產進行實體風險評估,而該評估方法可作為藍圖,以複製和擴大類似措施至各業務單位。再者,為了系統化管理和整合氣候相關風險,本集團制定了技術指引,闡明氣候相關過渡風險的識別、評估及管理程序。為應對未來氣候變化的不明朗因素,本集團亦已制定淨零路線圖,為即將到來的淨零過渡做好準備。有關ESG以及氣候相關風險管理措施的詳情,請參閱企業管治報告及可持續發展報告。

 

此外,為加強對ESG風險以及氣候相關風險的意識及理解,我們定期舉辦網絡研討會及培訓課程,與管理層、風險負責人及相關員工分享新興趨勢以及熱門的ESG和氣候相關的議題資訊以及知識。例如,我們於本年度為員工、管理層及董事會舉辦網絡安全風險網絡研討會及工作坊,以提高其網絡安全意識。另外,本年度的複習培訓亦向風險負責人及匯報人解釋氣候相關風險的趨勢及評估方式。

Loading...