環境、社會及管治風險管理
有效的風險管理至為關鍵,可確保集團維持長期營運能力。風險管理已融入旗下 所有營運公司當中。太古公司的每位員工通力合作應付集團業務的風險,實在至關重要。
董事局對風險管理負有最終責任,在審核委員會的協助下監察相關措施的設計與實施。董事局採取三道防線的風險管治模式,藉此盡量減低利益衝突的風險和確保可獨立監察風險管理事務。
在第一道防線,董事局獲各業務部門和專責委員會的管理層協助。他們負責識別、分析及管理我們為達成業務目標而可能承受的相關風險,包括與可持續發展有關的風險。
專責委員會的成員來自各業務部門。太古集團環境委員會、多元共融事務委員會及健康與安全委員會的職責是管理和監察與SwireTHRIVE相關的可持續發展風險。專責委員會及工作小組的成員包括所屬領域的專門人才,各委員會由個別具備相關經驗的人士擔任主席。
專責委員會負責識別和管理特定的風險範疇、建議制定相關政策及滙報相關表現。專責委員會及工作小組的職責是識別其負責領域內的風險與機遇,以及擬定政策建議供集團風險管理委員會審批。
經集團風險管理委員會批核的政策適用於所有由太古公司擁有控股權益的公司。該等營運公司的董事局須採納這些政策,並制定程序以確保這些政策得以遵循。我們鼓勵合資及聯屬公司採納這些集團政策。
第二道防線的作用是支援第一道防線以及向董事局保證所有風險均得到完善管理。第二道防線共有兩個管理委員會,分別是專注管理集團層面風險的集團風險管理委員會,以及監察公司本身風險的太古公司風險管理委員會。
集團風險管理委員會由各業務部門的首要行政人員組成,並由財務董事擔任主席,透過審核委員會向董事局滙報。集團風險管理委員會監察集團及營運公司層面的非財務風險,其職責包括:
- 審視集團的風險概況以及審閱集團和各業務部門的風險登記冊
- 監察集團及營運公司層面的重大風險管理
- 識別新興風險和未來風險的潛在來源,包括環境、社會及管治風險
- 分析實際發生的風險事件,致力解決問題及從中汲取教訓
對於所有集團層面的風險,由集團風險管理委員會在四個風險論壇協助下處理。四個風險論壇分別負責環境、人力資源、科技及法律風險。至於非集團層面的風險,則由集團風險管理委員會在每家營運公司的第二道防線基礎架構協助下處理。
太古公司風險管理委員會識別集團層面的風險,並向集團風險管理委員會建議相關的管理方針。
集團採用自上而下及自下而上的企業風險管理程序,以包納營運公司的個別風險和集團層面的實質風險。
董事局就風險的優先次序提供指引,營運公司各自評估風險,太古公司風險管理委員會則負責管理集團風險。所有風險均須呈報集團風險管理委員會,並記入集團風險登記冊,然後提交審核委員會和董事局。
各營運公司採取一致的企業風險管理方針,編製和管理風險登記冊。營運公司各自負責識別、評估、緩減及監察其業務的風險。
集團風險管理委員會會審議具集團維度的風險,此外亦可能交予審核委員會和董事局討論。與SwireTHRIVE相關的集團主要風險重點範疇包括氣候變化、招聘和挽留人才。有關企業風險緩減措施的詳情,可參閱年度報告書的「風險管理」章節以及本報告的「氣候」、「員工」和「人才管理」章節。
公司採用企業風險管理程序,以識別、評估、監察及管理風險。企業風險管理程序旨在確保集團維持健全而有效的風險管理,並建立強調風險意識的文化。企業風險管理程序依循集團的企業風險管理政策予以實施和執行。各部門及主要營運公司均須實施企業風險管理程序。
此政策亦要求營運公司定期向太古公司呈交企業風險登記冊,並滙報風險狀況的變動。為確保方針一致,該等風險登記冊均按照標準的方法和格式以及標準的風險評級準則編製。
我們在二零二二年的主要風險管理重點範疇包括:香港的發展變化、監管變動、政治及國際局勢緊張、氣候變化、危機管理、數據保護和使用、組合規程、員工與文化。有關企業風險管理程序和風險緩減措施的詳情,可參閱我們的年度報告書。
太古公司已制定網絡安全及資訊保安政策,並監督其遵守情況,同時定期按照獲認可的美國國家標準技術研究所網絡安全框架(NIST)進行網絡安全成熟度評估。集團旗下數間營運公司亦參照ISO 27001標準。
集團層面的網絡安全卓越中心由資訊保安總裁領導,為旗下營運公司統領網絡安全工作、提供最佳常規、進行研究及創新,以及提供支援與培訓。這支中央團隊現正制定集團網絡安全策略、管理網絡安全計劃和項目,以及確立集團網絡安全的服務範圍。這些服務包括威脅及漏洞管理、妥善管理的網絡安全監控中心、事故應變協定和紅隊演練,透過識別漏洞和模擬攻擊來測試及加強防護能力。
太古公司資訊保安總裁是網絡安全工作小組的主席,亦是資訊科技委員會成員。資訊保安總裁負責向集團風險管理委員會和審核委員會滙報網絡安全事宜。
太古公司加強其風險管治架構,成立了資訊科技、數據與技術風險論壇,作為第二道防線的其中一環。太古公司資訊保安總裁在資訊科技、數據與技術風險論壇發言,從集團角度分析網絡安全風險情況。
資訊科技委員會、集團風險管理委員會及審核委員會定期收到網絡安全報告。資訊科技委員會負責監管各營運公司的網絡安全計劃,並聽取由網絡安全專家組成的工作小組作出的滙報。該工作小組定期舉行會議,以分享有關網絡安全的研究和最佳常規,並提高集團整體的網絡安全意識。
各營運公司每年均按集團內部審核部的要求,從網絡安全的角度進行監控自評。
我們有專設的網絡安全管治架構,包括集團風險管理委員會的風險論壇,負責監察資訊科技、數據及科技風險,並就最佳常規提供建議。資訊科技委員會、集團風險管理委員會及審核委員會定期收到網絡安全報告。資訊科技委員會負責監管各營運公司的網絡安全計劃。一個由網絡安全專家組成的工作小組向該委員會滙報,該工作小組定期舉行會議,以分享有關網絡安全的研究和最佳常規,並提高集團整體的網絡安全意識。
我們於二零二一年委任一位資訊保安總裁。我們正組建一個集團層面的專責團隊,為旗下營運公司統領網絡安全工作、提供最佳常規、進行研究和提供支援。這支中央團隊目前的工作包括制定集團網絡安全策略、管理網絡安全計劃和項目,以及確立集團網絡安全的服務範圍。這些服務包括威脅及漏洞管理、妥善管理的網絡安全監控中心、端點偵測與回應,以及網絡應用程式防火牆等。