一如所有企业所必须面对的,本集团力求在不确定的情况下实现其目标,并参照国际标准ISO31000的风险管理原则和指引,来管理这种不确定性对其达标的影响。按该标准设计的风险管理流程必须融入集团的管理并嵌入具体的业务操作流程中。 依此设计的风险管理流程包括以下活动和阶段:
- 沟通和协商
建立、发展、实施沟通与协商渠道,藉此与负责集团内成员公司、职能部门或业务流程的利益相关者或风险责任人在风险管理过程的各个阶段保持沟通,以討论风险性质、成因、后果和应对措施的各种问题。
- 掌握与产生风险相关的背景与环境因素
充分说明集团所追求的目标,确立外部及内部的指标体系、风险标准以便执行风险管理程序。
- 风险评估
风险评估是指风险识别、风险分析和风险裁决的整体流程。
- 风险识别: 通过与利益相关者或风险责任人建立的沟通和协商平台,识别风险来源、受影响的范围、某事件的出现或情况的变化、成因及影响。在风险登记册记录被识别出的风险,以便对相关风险进行分析及评估其对达标的影响。
- 风险分析: 了解被识别出的风险,以判断其成因和来源,有利或不利的影响,风险事件出现的机率,风险水平,对前设条件的敏感度等。
- 风险裁决:按风险分析的结果裁定某一被识别出的风险是否需要处理,及执行上的优先次序。
- 风险处理
当某一风险被裁定需要处理,管理层需要设计可行的应对方案以缓减或管控该风险,使其风险余值降到可接受的水平。
- 管控措施的设计须针对相关风险的主要成因及影响。
- 管控措施的设计与执行必须与企业目标和效益指标相一致。
- 监控和审核
- 管理层至少每年一次对管控措施进行审视,以确保该等措施在设计和运行上的效果和效率。
- 风险管理的绩效受到定期的监督。
- 适切地传达风险和风险管理绩效予利益相关者及风险责任人,包括管治层及负责集团成员公司、职能部门及业务流程的各级管理层成员。
董事会在审计委员会和风险管理委员会的协助下,评估管控体系在识别和管理对集团达标有重大影响风险的有效性。