風險管理
有效的風險管理至為關鍵,可確保集團維持長期營運能力。風險管理已融入旗下所有營運公司當中。太古公司的每位員工通力合作應付集團業務的風險,實在至關重要。
董事局及各部門管理層負責識別、分析及管理我們為達成業務目標而可能承受的相關風險,包括與可持續發展有關的威脅。
集團設有兩個主要的管理委員會,分別為集團風險管理委員會及財務委員會,負責監控影響集團的風險。
二零二一年,集團的風險管治架構經檢討後採取三道防線風險管治模式。
第一道防線的作用是管理風險,由集團及營運公司層面的行政管理委員會和專責委員會組成。
第二道防線由集團風險管理委員會及新成立的四個風險管治論壇組成,為營運公司提供專業監管及支援、協助營運公司實施企業風險管理程序、就新興風險向集團風險管理委員會提供意見、分析已顯現的風險事件和制定管理風險的最佳措施。
此外,我們新成立的太古公司風險管理委員會負責監察太古公司本身特定的風險。該委員會識別具集團維度的風險,並向集團風險管理委員會提出管理該等風險的方法。
第三道防線由內部審核職能提供。
集團風險管理委員會監察集團面臨的所有風險(除明確由財務委員會負責管理的風險外)。該委員會由各部門的首要行政人員組成,並由財務總監擔任主席,透過審核委員會向董事局滙報。
集團風險管理委員會負責:
- 審閱各部門的風險登記冊,登記冊載列現有及新興風險,包括環境、社會及管治的風險
- 制定集團風險管理政策及策略
- 監管專責委員會及工作小組
專責委員會及工作小組的成員均為所屬領域的專門人才,而各委員會均由個別具備相關經驗的人士擔任主席。專責委員會及工作小組的職責為識別其負責領域內的風險與機遇,以及擬定政策建議供集團風險管理委員會審批。
經集團風險管理委員會批核的政策應用於所有由太古公司擁有控股權益的公司。該等營運公司的董事局須採納這些政策,並制定程序以確保這些政策得以遵循。我們鼓勵合資及聯屬公司採納這些集團政策。
公司採用企業風險管理程序,以識別、評估、監察及管理風險。企業風險管理程序旨在確保集團維持健全而有效的風險管理,並建立風險意識文化。企業風險管理程序的實施和執行遵循集團的企業風險管理政策。各部門及主要營運公司均須實施企業風險管理程序。
此政策亦要求營運公司定期向太古公司呈交企業風險登記冊,並滙報風險狀況的變動。為確保方針一致,該等風險登記冊均按照標準的方法和格式以及標準的風險評級準則編製。
我們在二零二一年的主要風險管理重點範疇包括:香港的發展變化、監管變動、政治及國際局勢緊張、氣候變化、危機管理、數據保護和使用、組合規程、員工與文化。有關企業風險管理程序和風險緩減措施的詳情,可參閱我們的年度報告書。
太古公司已制定一項網絡安全及資訊保安政策,並加以監督確保遵守有關政策,同時定期按照廣泛認可的美國國家標準技術研究所網絡安全框架進行網絡安全成熟度評估。集團旗下數間營運公司亦參照ISO 27001標準。
我們有專設的網絡安全管治架構,包括集團風險管理委員會的風險論壇,負責監察資訊科技、數據及科技風險,並就最佳常規提供建議。資訊科技委員會、集團風險管理委員會及審核委員會會定期收到網絡安全報告。資訊科技委員會負責監管旗下營運公司的網絡安全計劃。一個由網絡安全專家組成的工作小組向該委員會滙報,工作小組會定期舉行會議,以分享有關網絡安全的研究結果和最佳常規,並提高集團整體的網絡安全意識。
我們於二零二一年委任一位資訊保安總監。我們正組建一個集團層面的專責團隊,為旗下營運公司統領網絡安全工作、提供最佳常規指引、進行研究項目和提供支援。這支中央團隊目前的工作包括制定集團網絡安全策略、管理網絡安全計劃和項目,以及確立集團網絡安全的服務範圍。這些服務包括威脅及脆弱性管理、妥善管理的網絡安全監控中心、端點偵測與回應,以及網絡應用程式防火牆等。