风险管理及内部监控系统旨在协助本集团实现长远愿景及使命以及业务的可持续性。借着识别和评估本集团所面对的风险,并制定相关的监控措施,从而维护我们的业务、持份者、资产及资本。我们相信各业务之风险管理及内部监控系统能提升长远的股东价值。本集团所面对之风险与集团之策略有直接关联。
董事会审视风险管理及内部监控系统的设计、实施及监察。该等系统旨在管理而非消除未能达成业务目标的风险,而且只能就不会有重大的失实陈述或损失作出合理而非绝对的保证。风险管理委员会每年检讨该等系统的有效性,并透过审核委员会向董事会汇报。详尽的风险识别及管理则主要由有关业务单位负责。
风险管理委员会负责加强本集团的风险管理文化,确保风险管理架构能全面配合业务及市场的发展,管理内部审核职能,并向审核委员会汇报。该委员会定期检讨风险评估和风险汇报的完整性,准确性及监控措施的恰当性。
作为第一道防线,个别业务单位须负责管理风险。他们识别营运风险并订定及实施相关管控。有关工作由分部主管及相关经理监察及评估。风险管理职能充分参与其中,为各业务单位提供咨询支持,由风险管理委员会监督作为第二道防线。作为第三道防线,本公司定期进行内部╱外部审核,然后向审核委员会汇报有关结果,以确保企业的风险管理安排及架构是合适和有效。本集团已设立一个符合COSO (Committee of Sponsoring Organizations of the Treadway Commission)的企业风险管理(ERM)综合框架的风险管理及内部监控架构,其由下列五部分组成:
本集团已加强企业风险管理文化,包括道德价值、透明度、理想行为及风险承受能力。本集团已建立有效的董事会层面监督及完善的组织架构,赋予各业务单位在董事会或总部管理层所设定的限制内,经营不同业务职能的权力,以达致本集团的策略及业务目标。
董事会定期开会讨论及通过符合管理层所制订的风险承受能力、计划及预算范围内的业务策略。董事会在制订策略时会考虑业务情况及风险影响,以确保能配合、支持及整合所确立的愿景和使命。
本集团根据风险的可能性及影响程度,识别、评估及优先处理与本集团最为关键的风险。
根据风险评估,本集团订定缓解计划或监控提升,并由个别业务单位实施。此程序的成果由风险管理委员会每年向董事会汇报。
面对重大风险变化,本集团持续审视风险框架,致力提高企业风险管理。
本集团鼓励公司上下彼此收集、交流与分享内部及外部的各种讯息,设立并定期升级资讯系统、渠道及汇报工具,以支援本集团的企业风险管理通讯。
为提高本集团内部监控的设计及有效性,我们每年由高级职员以网上问卷形式进行风险评估调查。所有新增和更新的风险及其相关监控程序,以及对风险管理之意见,经审视后载于本集团的风险记录册。本集团与相关业务分部商讨有关风险的影响、缓解措施及建议,并向风险管理委员会及审核委员会作出汇报。
风险管理委员会定期检讨及测试本集团之风险监控程序。个别内部监控测试的频密程度,乃根据有关风险区域的评级及本集团的策略厘定。本集团采取同侪检讨形式进行年度内部监控测试,通过委任合适的员工审核非所属部门的特定监控措施。
评定内部监控有效性的标准,乃基于监控程序是否于整个审阅期间有效地运作及实施。我们会与相关分部部门主管及员工就有关发现及建议取得沟通,从而制定适合措施,以改进或加强监控,或纠正任何监控缺陷。
风险管理委员会定期与总部及地区办事处的分部主管和经理开会,以了解最新的业务营运事宜和当中新兴的风险,从而根据业务需求及市场变动改进或加强现有程序及监控。本集团定期向管理层及董事会汇报主要业务及营运表现,此健全机制乃建构健康风险管理系统的关键要素。
本集团亦进行客户及投资者意见的年度调查,从中所得到的意见用以进一步提高我们的服务水平、投资者关系和企业管治常规的质量。
风险管理委员会每年向审核委员会作出至少两次汇报,并持续地透过有关汇报让审核委员会评估风险管理及内部监控系统的充足性及有效性。该等系统对实现本集团的业务目标而言相当关键。审核委员会检视管理层如何设计、实施及监察该等系统、有关年度风险评估及内部监控测试的发现、建议及后续程序,以及本集团的风险记录册及管理层对本集团风险管理及内部监控系统有效性的确认,并每年向董事会作出汇报。
就截至2023年12月31日止年度而言,董事会在管理层的确认下,认为风险管理及内部监控系统均有效及充足,并无发现需要关注的重大事宜。