我們的業務

環境、社會及管治風險管理

有效的風險管理至為關鍵，可確保集團維持長期營運能力。風險管理已融入旗下所有營運公司當中。太古公司的每位員工通力合作應付集團業務的風險，實在至關重要。

董事局對風險管理負有最終責任，在審核委員會的協助下監察相關工作的設計與實施。董事局採取三道防線的風險管治模式，藉此盡量減低利益衝突的風險和確保可獨立監察風險管理事務。

第一道防線

在第一道防線，董事局獲各業務部門和專責委員會的管理層協助。他們負責識別、分析及管理我們為達成業務目標而可能承受的相關風險，包括與可持續發展有關的風險。

專責委員會的成員來自各業務部門。太古集團環境委員會、多元共融事務委員會及健康與安全委員會的職責是管理和監察與SwireTHRIVE相關的可持續發展風險。專責委員會及工作小組的成員包括所屬領域的專門人才，各委員會由個別具備相關經驗的人士擔任主席。

專責委員會負責識別和管理特定的風險範疇、建議制定相關政策及滙報相關表現。專責委員會及工作小組的職責是識別其負責領域內的風險與機遇，以及擬定政策建議供集團風險管理委員會審批。

經集團風險管理委員會批核的政策適用於所有由太古公司擁有控股權益的公司。該等營運公司的董事局須採納這些政策，並制定程序以確保這些政策得以遵循。我們鼓勵合資及聯屬公司採納這些集團政策。

第二道防線

第二道防線的作用是支援第一道防線以及向董事局保證所有風險均得到完善管理。第二道防線共有兩個管理委員會，分別是專注管理集團層面風險的集團風險管理委員會，以及監察公司本身風險的太古公司風險管理委員會。

集團風險管理委員會由各業務部門的主管組成，並由財務董事擔任主席，透過審核委員會向董事局滙報。集團風險管理委員會監察集團及營運公司層面的非財務風險，其職責包括:

審視集團的風險概況以及審閱集團和各業務部門的風險登記冊
監察集團及營運公司層面的重大風險管理
識別新興風險和未來風險的潛在來源，包括環境、社會及管治風險
分析實際發生的風險事件，致力解決問題及從中汲取教訓

對於集團層面的風險，由集團風險管理委員會在四個風險論壇協助下處理。四個風險論壇分別負責環境、人力資源、科技及法律風險。至於非集團層面的風險，則由集團風險管理委員會在每家營運公司的第二道防線基礎架構協助下處理。

太古公司風險管理委員會識別集團層面的風險，並向集團風險管理委員會建議相關風險的管理方針。集團風險管理委員會和太古公司風險管理委員會由財務總監擔任主席，主席則由集團風險管理總監提供支援。

第三道防線

第三道防線由集團內部審核部提供支援。集團內部審核部提供獨立客觀的保證，確保風險管理流程適當實施並有效運作，並確保能夠正確識別、評估和減輕可能影響我們實現業務目標的風險。

各營運公司的董事局和管理層各自負責管理所屬公司的風險。

集團的企業風險管理框架符合ISO 31000等國際標準。我們採用自上而下及自下而上的企業風險管理程序，以包納營運公司的特定風險和集團層面的重大風險。

董事局就風險的優先次序提供指引，營運公司各自評估風險，太古公司風險管理委員會則負責管理集團風險。所有風險均須呈報集團風險管理委員會，並記入集團風險登記冊，然後提交審核委員會和董事局。

各營運公司根據所編製和管理風險登記冊的方式，採取一致的企業風險管理方針。營運公司各自負責識別、評估、緩減及監察其業務的風險。

被認為涉及整個集團的風險會交由集團風險管理委員會審議，亦有可能交予審核委員會和董事局討論。與SwireTHRIVE相關的集團主要風險重點範疇包括氣候變化、綠色洗白，以及人才及文化。與環境、社會及管治相關的監管和政策變化被識別為新興的風險。有關此等風險的描述以及風險緩減措施的詳情，於年度報告書的「風險管理」章節以及本報告的「氣候」、「員工」和「人才管理」章節載述。

公司採用企業風險管理程序以識別、評估、監察及管理風險。企業風險管理程序旨在確保集團維持健全而有效的風險管理，並建立一個強調風險意識的文化。企業風險管理程序依循集團的企業風險管理政策予以實施和執行。各部門及主要營運公司均須實施企業風險管理程序。

在此政策下，各營運公司須定期向太古公司呈交企業風險登記冊，並滙報風險狀況的變動。為確保方針一致，該等風險登記冊均按照標準的方法和格式以及標準的風險評級準則編製。

我們在二零二三年的主要風險管理重點範疇包括：經濟放緩、香港的發展變化、地緣政治風險、網絡安全與數據保護、綠色洗白、人才與文化、危機管理、組合規程及氣候變化。有關企業風險管理程序和風險緩減措施的詳情，可參閱我們的年度報告書。

風險管理是業務管理不可或缺的一環，同時也涵蓋在對重大投資進行盡職調查的範圍内。在二零二四年，我們將進一步增强現有基礎，透過增加對潛在新投資項目的資產進行地理空間實質氣候風險評估，著重符合與環境、社會及管治相關的法律和法規。作為我們內部碳價值試行計劃的一部分，我們的三大營運公司正在考慮以影子碳定價機制來評估關鍵投資項目相關的營運排放，並由該營運公司或集團投資委員會進行審查。

太古公司已制定網絡安全及資訊保安政策，並監督其遵守情況，同時定期按照獲認可的美國國家標準技術研究所網絡安全框架(NIST CSF)進行網絡安全成熟度評估。集團旗下數間主要營運公司亦參照ISO 27001標準以進行資訊安全管理。

太古公司已委任一位集團資訊保安總裁，並在資訊保安總裁的指導下成立一個中央網絡安全卓越中心。網絡安全卓越中心的團隊致力提供指導、分享最佳常規、進行研究、推動創新，以及為公司旗下各營運公司提供支援與培訓。這支中央團隊負責制定集團網絡安全策略，以及擬定和維護安全政策和標準。中央團隊亦負責管理網絡安全計劃和項目，以及確立網絡安全的服務範圍，其中包括但不限於網絡安全成熟度評估、威脅及漏洞管理、妥善管理的網絡安全監控中心、事故應變協定、攻擊面管理和紅隊演練。

太古公司資訊保安總裁擔任網絡安全工作小組主席，該工作小組由集團不同部門的網絡安全專家組成。網絡安全工作小組成員定期會面，以就網絡安全最佳常規進行交流，並在整個集團中加強網絡安全意識。資訊保安總裁為資訊科技委員會成員，該委員會負責監督各營運公司的網絡安全計劃。

資訊保安總裁向集團風險管理委員會和審核委員會滙報網絡安全事宜，並報告重大的網絡安全風險。太古公司加強其風險管治架構，成立了資訊科技、數據與技術風險論壇，作為第二道防線的其中一環。資訊保安總裁於風險論壇會議中從集團角度分析網絡安全風險的情況。

各營運公司每年均按集團內部審核部的要求，從網絡安全的角度進行監控自評。

	網絡安全措施
	網絡安全成熟度評估（CMA）服務綫	集團資訊安全政策（GISP）
	威脅與漏洞管理（TVM）服務綫	威脅和漏洞管理政策（TVMP）
	妥善管理的網絡安全監控中心（MSOC）服務綫	網絡和技術風險管理政策（CTRMP）
	事故應變協定（IRR）服務綫	網絡安全事件管理政策（CIMP）
	攻擊面管理（ASM）服務綫	定期網絡釣魚模擬
	紅隊演練（RTAS）服務綫	安全意識及培訓

我們的可持續發展方針氣候相關財務信息披露工作組