風險管理及內部監控系統旨在協助本集團實現長遠願景及業務原則以及業務的可持續性。藉著識別和評估本集團所面對的風險(包括環境、社會及管治風險),並制定相關的監控措施,從而維護我們的業務、持份者、資產及資本。我們相信各業務之風險管理及內部監控系統能提升長遠的股東價值。本集團所面對之風險與集團之策略有直接關聯。
董事會審視風險管理及內部監控系統的設計、實施及監察。該等系統旨在管理而非消除未能達成業務目標的風險,而且只能就不會有重大的失實陳述或損失作出合理而非絕對的保證。風險管理委員會每年檢討該等系統的有效性,並透過審核委員會向董事會匯報。詳盡的風險識別及管理則主要由有關業務單位負責。
風險管理委員會負責加強本集團的風險管理文化,確保風險管理架構能全面配合業務及市場的發展,管理內部審核職能,並向審核委員會匯報。該委員會定期檢討風險評估和風險匯報的完整性,準確性及監控措施的恰當性。
作為第一道防線,個別業務單位須負責管理風險。他們識別營運風險並訂定及實施相關管控。有關工作由分部主管及相關經理監察及評估。風險管理職能充分參與其中,為各業務單位提供諮詢支持,由風險管理委員會監督作為第二道防線。作為第三道防線,本公司定期進行內部╱外部審核,然後向審核委員會匯報有關結果,以確保企業的風險管理安排及架構是合適和有效。本集團已設立一個符合COSO (Committee of Sponsoring Organizations of the Treadway Commission)的企業風險管理(ERM)綜合框架的風險管理及內部監控架構,其由下列五部分組成:
本集團已加強企業風險管理文化,包括道德價值、透明度、理想行為及風險承受能力。我們的操守守則、反賄賂政策以及舉報政策共同構成一套全面的合規框架及報告渠道,供僱員及其他人士提出關注。本集團已建立有效的董事會層面監督及完善的組織架構,賦予各業務單位在董事會或總部管理層所設定的限制內,經營不同業務職能的權力,以達致本集團的策略及業務目標。
董事會定期開會討論及通過符合管理層所制訂的風險承受能力、計劃及預算範圍內的業務策略。董事會在制訂策略時會考慮業務情況及風險影響,以確保能配合、支持及整合所確立的願景和業務原則。
本集團根據風險的可能性及影響程度,識別、評估及優先處理與本集團最為關鍵的風險。
根據風險評估,本集團訂定緩解計劃或監控提升,並由個別業務單位實施。此程序的成果由風險管理委員會每年向董事會匯報。
面對重大風險變化,本集團持續審視風險框架,致力提高企業風險管理。
本集團鼓勵公司上下彼此收集、交流與分享內部及外部的各種訊息,設立並定期升級資訊系統、渠道及匯報工具,以支援本集團的企業風險管理通訊。
為提高本集團內部監控的設計及有效性,本集團採用綜合手法進行年度風險評估,該手法結合了自上而下和自下而上的方法,通過由高級職員以網上問卷形式以及在行政人員風險研討會上進行討論,以識別及評估業務目標及策略的潛在風險。所有新增和更新的風險及其相關監控程序,以及對風險管理之意見,經審視後載於本集團的風險記錄冊。本集團與相關業務分部商討有關風險的影響、緩解措施及建議,並向風險管理委員會及審核委員會作出匯報。
風險管理委員會定期檢討及測試本集團之風險監控程序。個別內部監控測試的頻密程度,乃根據有關風險區域的評級及本集團的策略釐定。本集團採取同儕檢討形式進行年度內部監控測試,通過委任合適的員工審核非所屬部門的特定監控措施。
評定內部監控有效性的標準,乃基於監控程序是否於整個審閱期間有效地運作及實施。我們會與相關分部部門主管及員工就有關發現及建議取得溝通,從而制定適合措施,以改進或加強監控,或糾正任何監控缺陷。
風險管理委員會定期與總部及地區辦事處的分部主管和經理開會,以了解最新的業務營運事宜和當中新興的風險,從而根據業務需求及市場變動改進或加強現有程序及監控。本集團定期向管理層及董事會匯報主要業務及營運表現,此健全機制乃建構健康風險管理系統的關鍵要素。
本集團亦進行客戶及投資者意見的年度調查,從中所得到的意見用以進一步提高我們的服務水平、投資者關係和企業管治常規的質量。
風險管理委員會每年向審核委員會作出至少兩次匯報,並持續地透過有關匯報讓審核委員會評估風險管理及內部監控系統(包括與環境、社會及管治風險、表現及匯報有關者)的充足性及有效性。該等系統對實現本集團的業務目標而言相當關鍵。審核委員會檢視管理層如何設計、實施及監察該等系統、有關年度風險評估及內部監控測試的發現、建議及後續程序,以及本集團的風險記錄冊及管理層對本集團風險管理及內部監控系統有效性的確認,並每年向董事會作出匯報。
就截至2024年12月31日止年度而言,董事會在管理層的確認下,認為風險管理及內部監控系統(涵蓋所有主要監控機制,包括財務、營運、環境、社會及管治及合規監控)均有效及充足,並無發現需要關注的重大事宜。