本集團參照Committee of Sponsoring Organizations of the Treadway Commission(「COSO」)及國際標準組織(「ISO」)頒佈的國際標準,度身制定企業風險管理框架,以符合本集團的業務性質、架構、持續增長及發展。企業風險管理框架由以下三個部份組成:
本集團奉行風險意識文化,並深信根深蒂固的風險文化為有效推行風險管理的關鍵。同時,培訓亦可作為有效的工具以推動並促進管理層及員工實施企業風險管理。本集團根據以下主旨宣揚風險文化:
本集團的企業風險管理框架旨在增強我們實現願景和達成使命的能力,並實踐五大核心價值。為此,本集團已按下列風險管理目標建立穩健的企業風險管理框架:
風險偏好,即本集團為實現願景和達成使命而願意承受的風險程度和性質。本集團的風險偏好聲明傳達至本集團上下,並納入至風險評估準則,以確保與我們的業務目標、核心價值、策略及風險管理活動保持一致。風險偏好聲明由董事會定期檢討,以緊貼瞬息萬變的營商環境和本集團的最新發展。本集團的風險偏好如下:
董事會負責監督整體的風險管理程序。本集團重視創造和保障價值,並採用三線模型作為其風險管治架構。該模型明確界定不同角色的職責,加強彼此之間的合作與溝通,以促進風險管理活動之間的一致性,並為董事會提供鑒證。
風險管理程序由確立背景開始,並考慮外部環境與大趨勢及本集團所面對的風險。風險繼而被識別、分析、評核並以適當的措施應對。透過持續檢討、監察、報告及諮詢,風險管理程序整合至各個業務過程及活動,以優化風險與回報。
為建立全面而穩健的風險管理程序,本集團採用由上而下及由下而上的方式收集風險見解及監察與管理風險,同時以《企業風險管理政策》及《企業風險管理手冊》提供適當指引。此外,風險負責人與集團風險管理團隊之間保持交流,使各方能夠緊貼最新風險狀況。
1. 確立背景
本集團明確界定風險的內外背景(例如企業目標、核心價值、組織架構、持份者、業務板塊、營運地區、監管環境等),並釐定風險評估準則的要素。
2. 風險識別
本集團採納由上而下及由下而上的方式,配合外部蒐集及內部傳播的機制,以促進全面的風險識別過程。
3. 風險分析
業務及職能單位以及總辦事處部門評估所識別的主要風險出現的可能性、影響、風險速率、固有風險水平及其剩餘風險水平。
4. 風險評核
風險分析結果與風險偏好及容忍程度作比較。此舉讓管理層能夠按每項風險制定風險應對策略,並對風險處理計劃的優先度排序。
5. 風險處理
基於風險的優先次序及性質,各業務及職能單位以及總辦事處部門制定風險處理計劃,以執行風險應對措施。
本集團持續跟進、檢討及核實企業風險管理框架的執行情況,以監察各項風險、風險變化、其剩餘風險水平,並確保及提升企業風險管理框架的成效、質素以及成果。
風險登記表
業務及職能單位以及總辦事處部門每半年呈交一次風險登記表,並就風險處理計劃的成效作自我評估。
主要風險指標
風險負責人制定主要風險指標,以衡量及監控主要風險的風險變化。倘若任何主要風險指標數值超過預定水平,管理層會收到風險警報以便及時作出應對,並適當匯報予執行董事。
風險處理核實
企業風險管理團隊檢討風險登記表所載的風險應對措施的執行情況及成效。內部審計團隊亦於內部審計過程中以風險為本進行核實,以測試主要風險的風險應對措施。
風險預警機制
本集團採用風險預警機制,以主動識別及評估新興風險與可能突然加劇的風險,如品質、健康及安全、災害以及公關事件。當意識到會造成嚴重影響的潛在風險時,員工需對有關風險作出預警,並向直屬主管及風險監督方呈報。
舉報機制
本集團已為內部及外部的持份者制定舉報政策及提供舉報渠道,舉報個案會匯報予執行委員會及審核委員會。有關詳情,請參閱企業管治報告。
檢討風險管理及內部監控系統的成效
董事會在審核委員會,企業管治委員會及可持續發展委員會的協助下,檢討及評核本集團風險管理及內部監控系統(包括ESG風險以及氣候相關風險)的成效,當中考慮以下因素:
除上述外,本集團參考COSO框架,並透過在本集團內應用的整合內部監控自我評估證書,由業務及職能單位以及總辦事處部門每半年評估風險管理及內部監控系統的成效。有關風險管理及內部監控系統成效的檢討及其結果,請參閱企業管治報告,以了解詳情。
企業風險管理融入至決策及業務過程中,包括但不限於以下主要流程:
業務規劃
於策略規劃及項目與營運計劃中識別及考慮可能會影響達成業務目標的潛在風險。此舉有助業務策略及流程與早期制定的風險偏好保持一致。
投資
於決策前及審閱投資計劃時考慮風險(包括ESG風險以及氣候相關風險),並且進行可行性研究及╱或盡職調查以識別及評估潛在風險及風險處理的相關成本。本集團已制定檢討及匯報流程,以在整個投資管理週期中分析及監察風險變化。本集團制定及適時執行應對策略以應對投資項目風險的任何重大轉變。
日常營運
本集團為業務及職能單位以及總辦事處部門建立了一套管理框架,以便其有系統地了解並評核其風險狀況(包括ESG風險以及氣候相關風險)。在企業風險管理過程中設計的風險處理計劃已經融入至營運計劃及加以執行,並且定期監察。主要風險指標機制亦用以偵測風險的異常變化,從而及時上報和處理。
本集團投資及經營的多元化業務主要位於香港及內地。我們的業務包括收費公路、建築、保險、物流及設施管理。
透過前節所述的全面風險管理過程,本集團已識別可能有礙達成業務目標的主要風險。然而,在營商環境中許多動態發展及因素的互相影響下,風險會產生變化。有些現時未必重要的風險,日後可能變為值得關注。我們未必留意到現存的某些風險,及╱或日後會有新的風險出現。因此,本集團會檢討及更新風險狀況,以因應風險格局變化作出應對。
內地及香港經濟於過去一年穩步復甦,但各行業的復甦步伐不一致且不如預期。地緣政治局勢緊張、貿易糾紛、美 國利率走向、貨幣波動,特別是人民幣貶值等不明朗因素,繼續為我們帶來潛在挑戰。本集團時刻保持警惕,持續關注營商環境,調整業務及財務策略並優化資本支出,以保持穩健的財務狀況。我們一直透過實施各項財務舉措謹慎應對,例如發行熊貓債券以鞏固我們的財務狀況。
在宏觀經濟形勢不明朗、地緣政治動盪及高利率環境下,市場競爭維持激烈。客戶在支出方面更為謹慎,競爭對手亦採取更進取的策略搶佔市場份額。為維持競爭優勢,我們致力透過創新、不斷優化營運效率,並緊扣周大福集團 的多元業務體系,以提升產品及服務價值。
與此同時,氣候變化對企業的威脅日益明顯,暴雨、颱風和暴雪等極端天氣和自然災害日趨頻繁和嚴重,對交通運輸和業務營運造成重大干擾。為提高業務韌性,我們正重整業務連續性管理框架,以更系統化的方式制訂應急計劃。 除自然災害的影響外,酷熱天氣亦帶來健康及安全風險,其中以戶外工人受最大影響。我們將健康及安全視為首務, 一直不遺餘力地提高標準,為員工創造一個更安全健康的工作環境。
最後,網絡安全仍然是我們的重大關注。儘管科技進步,例如人工智能的興起,能夠提升效率和創新,但同時亦引致全新的漏洞和風險。網絡威脅日趨複雜,惡意破壞者可以利用人工智能進行更具針對性和更高效率的攻擊。為保障營運和聲譽,我們致力保護敏感數據和維持健全的網絡安全制度。為應對不斷變化的威脅,我們亦投資健全的網絡安全技術,定期進行安全審查,並在員工當中培養謹慎警惕的文化。
本集團將繼續監察及管理影響達成業務目標的不明朗因素。有關本集團管理主要風險的工作,請參閱下列本集團已 識別的主要風險及其應對措施。下表內容不旨在詳盡無遺或全面地列出所有主要風險。
宏觀經濟風險
風險描述
全球經濟不明朗及復甦緩慢,有礙業務增長及財務表現
風險趨勢
應對措施
政府政策及干預風險
風險描述
政府干預、或實施政策、法律或法規,使本集團面臨法律或監管責任、業務中斷、聲譽及╱或財務損失
風險趨勢
應對措施
地緣政治風險
風險描述
各國之間的衝突、個別業務面對的政治問題、政治動盪等因素影響本集團維持盈利的能力
風險趨勢
應對措施
競爭風險
風險描述
現有競爭者及╱或新營運商加入本集團所經營的業務市場引起的激烈競爭
風險趨勢
應對措施
利率風險
風險描述
利率的不利變動使公司未來面臨更高的業務成本及╱或財務費用
風險趨勢
應對措施
人才吸引及挽留風險
風險描述
未能吸引及╱或挽留人才以支持營運,影響業務目標的實現
風險趨勢
應對措施
自然災害風險
風險描述
重大自然災害及極端天氣事件(例如颱風、地震、海嘯、特大暴雨等)導致營運、生產及服務供應中斷,可能對本公司持續經營的能力造成影響
風險趨勢
應對措施
網絡安全風險
風險描述
網絡安全問題或會威脅數據完整性、保密性以及系統可用性,可能對聲譽、財務狀況和營運表現造成不利影響
風險趨勢
應對措施
質量、健康與安全風險
風險描述
產品、服務或業務活動不符標準或不安全,有礙本集團達致質量、健康與安全目標
風險趨勢
應對措施
法律╱監管合規風險
風險描述
違反司法權區╱監管機構的法律╱監管規定,使公司面臨法律╱監管行動、聲譽和財務損失
風險趨勢
應對措施
ESG問題以及氣候變化會對業務增長的可持續性及社會發展造成多方面的影響,各行各業均需應對,因此被公認為關鍵議題。本集團重視ESG風險以及氣候相關風險的重要性,因此已整合該等風險至我們的企業風險管理框架,以協助實現新創建2030可持續發展目標,及建立氣候變化中實體與過渡影響的韌性。
董事會肩負本集團ESG以及可持續發展的最終責任,並監督本集團的ESG策略以及實現相關目標及指標的進度。審核委員會在董事會的授權下負責監督ESG風險以及氣候相關風險,監察對實現ESG目標及指標產生影響的不明朗因素,並評估應對措施對管理風險的成效。
本集團採用上述風險管理程序管理ESG風險及氣候相關風險,包括從風險評估及處理,以至諮詢及匯報流程等等。這些風險已與本集團的風險狀況(如人才吸引及挽留、監管合規、環境、可持續發展管治等)相結合。除一般風險外,ESG以及氣候相關的議題亦是我們在風險識別過程中的討論重點,以從中獲得見解並形成本集團風險狀況的基礎,並作為向企業風險管理督導小組、執行委員會及審核委員會的定期匯報內容的一部分。
考慮到ESG風險以及氣候相關風險的特點,本集團在企業風險管理框架的整合過程中已作出若干適當的調整。舉例而言,本集團在氣候相關風險的評估準則中採用不同的時間範圍。自2019財政年度起,本集團已與外部顧問進行多項氣候相關風險評估及披露檢討。例如,本集團選擇了部分主要資產進行實體風險評估,而該評估方法可作為藍圖,以複製和擴大類似措施至各業務單位。再者,為了系統化管理和整合氣候相關風險,本集團制定了技術指引,闡明氣候相關過渡風險的識別、評估及管理程序。為應對未來氣候變化的不明朗因素,本集團亦已制定淨零路線圖,為即將到來的淨零過渡做好準備。有關ESG以及氣候相關風險管理措施的詳情,請參閱企業管治報告及可持續發展報告。
此外,為加強對ESG風險以及氣候相關風險的意識及理解,我們定期舉辦網絡研討會及培訓課程,與管理層、風險負責人及相關員工分享新興趨勢以及熱門的ESG和氣候相關的議題資訊以及知識。例如,我們於本年度為員工、管理層及董事會舉辦網絡安全風險網絡研討會及工作坊,以提高其網絡安全意識。另外,本年度的複習培訓亦向風險負責人及匯報人解釋氣候相關風險的趨勢及評估方式。