管治和政策

董事會

董事會負責監督集團的業務營運、風險管理架構、內部監控系統以及可持續發展相關事宜。在可持續發展委員會和審核委員會的支持下，董事會通過審查和評估集團的風險和機遇，包括與氣候變化和網絡風險相關的風險和機遇，以及相應的戰略管理措施。

董事會考慮並審閱各委員會和工作小組的報告，批准年度報告、中期報告和可持續發展報告。此外，董事會還透過審核委員會評估風險管理架構和內部監控系統的有效性。董事會透過培養員工的風險意識文化，確保適當的措施和政策在整個集團營運內有效實施。

此外，董事會還會考慮可持續發展評估的結果和持份者的反饋，將這些觀點融入日常管理實踐中。

可持續發展委員會

董事會級別的可持續發展委員會是集團可持續發展策略和影響管理的基本組成部分。可持續發展委員會於2020年成立，由非執行董事擔任主席，成員則為執行董事兼行政總裁及獨立非執行董事。可持續發展委員會每半年舉行一次會議。該委員會職責包括監督、檢討和評估集團為推進可持續發展優先事項和目標所採取的措施和行動。此外，委員會還會就可持續發展的目的、策略和目標向董事會提供建議。

可持續發展委員會進一步評估和監控可能影響集團營運和績效的可持續發展趨勢和問題，檢討和向董事會報告氣候相關的風險和機遇。此外，其亦考慮集團的可持續發展措施對持份者的影響，並就與可持續發展績效相關的對外溝通、披露和出版物向董事會提供具價值的意見。

審核委員會

審核委員會現時包括三名獨立非執行董事。其負責監督並確保集團風險管理和內部監控系統（包括網絡風險）的有效性和充足程度。此監督包括財務、營運和合規方面，確保全面涵蓋有關關鍵領域。

管治工作小組

管治工作小組由一名非執行董事擔任主席，並包括來自集團各關鍵業務職能的代表。小組透過及時更新新合規事宜，來支持審核委員會。

可持續發展工作小組

可持續發展工作小組是一個管理級別的團隊，支持可持續發展委員會執行集團可持續發展管理的使命。由行政總裁和財務總裁共同主持，並包括來自關鍵業務職能的經驗豐富的高級管理層，對集團的重大可持續發展議題有重大影響。可持續發展工作小組的主要職責是支持可持續發展委員會，評估最新可持續發展相關趨勢，評估集團的可持續發展表現和目標，並提供有關新興可持續發展風險和機會的觀點。

可持續發展工作小組架構

安全委員會

安全委員會由數碼創新及資訊科技發展副總裁領導，成員包括資訊科技部門的技術專家和企業安全與欺詐管理職能的專家。

該委員會主要職責是監督集團對網絡安全風險、欺詐及賄賂風險的防禦，確保其有效性、一致性和協調性。委員會透過第三方專家提供的每月網絡趨勢分析，監控全球網絡威脅、形勢，以建立對現有和新興安全攻擊及其影響的寶貴見解，這些報告包括安全警報和預防攻擊的詳細訊息並定期與高級管理層會面，討論此類威脅並評估其對集團運營的潛在影響。

內部審核保證

內部審核部門直接向審核委員會匯報，為集團風險管理活動與監控包括與可持續發展及網絡風險相關事宜，提供具成效的獨立保證。

每年，內部審核通過評估各個業務單位，並考慮內部和外部因素，例如法規要求、可持續發展和網絡風險的新趨勢以及業務營運的變化等，以訂立審核策略。

風險管理

集團的風險管理框架建基於 Committee of Sponsoring Organisations of the Treadway Commission （「COSO」）模式，以系統化管理風險。此模式包括五個必要步驟，要求各業務單位進行全面自我評核，以評估其風險管理常規的有效性。

集團從策略、財務、營運及合規四個層面評估已識別的風險。這種全面的評估包括分析每種風險的可能性和潛在影 響、制定具針對性的風險緩解措施，以及評估剩餘風險的可能性和潛在影響。評估結果會編製成報告，供董事會和 審核委員會審閱和批准。這種合作方式可確保風險管理常規符合集團的整體策略目標和監管要求。相關結果亦分享予外部核數師以確保透明度及問責性。

此外，集團的危機管理團隊（包括行政總裁、財務總裁、技術總裁以及各業務單位的代表）每年都會進行危機演習，模擬不同假設情況，以促使各團隊在危機發生前做好準備，有效管理危機並降低其影響。