内部监控与风险管理的基本架构

CMYCMMYCYCMYKGuide_IC_RM_cover_OL.pdf25/8/051:41:33PMGuide_IC_RM_cover_OL.pdf25/8/051:41:33PM的基本架構與內部監控風險管理1序言香港會計師公會於一九九五年成立企業管治委員會至今，一直為提高香港的企業管治意識及水平扮演領導角色，公會引以為豪。公會認為，優良的企業管治對吸引外資、刺激經濟增長及減低資金成本極其重要，此外，對香港作為全球主要金融中心之一及中國大陸和區內的主要國際資本市場的地位也是必不可少。因此，公會支持香港聯合交易所有限公司（「聯交所」）最近對《上市規則》作出的修訂，以及推出《企業管治常規守則》（《守則》）及《企業管治報告》的有關規定。該等修訂將加強對香港上市公司企業管治實務及資料披露的要求。這本內部監控與風險管理指引是應聯交所邀請而制訂，其主要目的是就內部監控與風險管理的基本架構提供一般指引及建議。這本指引引用了外國在這課題上的重要研究作為依據，這些研究都是良好實務的公認基準，這本指引同時又顧及了香港市埸的現況。公會認為，這本指引內所載的原則及建議應有助上市公司了解及實施《守則》內有關內部監控的規定，並就其業務的具體情況和特點制訂本身的內部監控程序。加強企業管治不單是執行法規，也是為了樹立及培養合乎道德規範和健康的企業文化。我希望本指引非常清楚地說明，設立完善的內部監控系統與評估其有效性並非是為了遵守不必要和繁複的監管規定，而是要實施機制以幫助公司達致其企業目標及符合股東和利益相關者的期望。在基本層面上，本指引強調，有效監控的首要條件，是公司必須確保擁有清晰的、經董事會同意而高級管理層及僱員清楚了解的目標。公司接著應對可能妨礙其達致上述目標的風險進行識別、評估及按優先次序排列，然後制訂程序，進行有效管理。公司也應設立預警指標，當有事情發生，便可盡快確認有關情況並通知適當人士採取行動。在實踐方面，必須同時對內和對外（例如：核數師及監管機關）進行坦誠的溝通和保持有效的資訊流通。最後，鑒於營商環境和情況不斷改變，因此必須對系統進行持續的監察和檢討。可惜，很多公司一直缺少上述部分或全部要素。事實上，有些公司理論上雖然有光明的業務前景，但由於缺少這些要素，最後仍然失敗。有些公司因發展太快而超越其內部監控與風險管理機制的處理能力；其他公司卻因沒有制訂內部制衡機制而未能洞識問題的先兆；有些公司還屈服於主要董事及控股股東不符合市場期望及公眾利益的道德價值的影響。我們都熟悉一些典型例子，故應引以為鑑。雖然內部監控系統並非是能解決各種企業問題的靈丹妙藥，它卻有助提供合理保証，以確保由擁有智慧和判斷力的決策者所管理而運作良好的企業能達致其既定目標。的基本架構與內部監控風險管理2本人希望讀者清楚明白，這本指引在注重為如何遵守法規提供指引的同時，也同樣關注如何保障企業及營造一個讓企業茁壯成長及使股東價值增加的環境。健全的道德管治包括優良的企業管治，而有效的企業管治系統應可以使企業遵守法規及達致預計的業績表現，以符合股東及利益相關者的合理期望。這就解釋為何有效的內部監控系統與風險管理機制應被納入公司的日常管理和管治程序內，並應構成公司問責制架構和定期向股東匯報的一環。這本指引與《守則》同樣是為上市公司及其附屬公司和集團內的其他公司而編製。然而，本人希望這本指引亦為沒有（還未）上市的企業及其他有興趣人士提供有用的參考資料。香港會計師公會會長兼內部監控與風險管理專責小組主席周光暉二零零五年六月的基本架構與內部監控風險管理3香港會計師公會二零零五年企業管治委員會成員名單主席：周福安佳亞有限公司副主席：陳記南順（香港）有限公司RichardGeorge德勤•關黃陳方會計師行成員：聶雅倫羅兵咸永道會計師事務所鄭國衛國衛會計師事務所鍾悟思公司註冊處羅義坤九龍倉集團有限公司李開賢畢馬威會計師事務所文禮信摩斯倫•馬賽會計師事務所倪弼德PotentialAssociatesLtd.（潛能）KeithPogson安永會計師事務所蕭啟鎏利豐集團譚學林樂聲電子（集團）有限公司謝秀玲醫院管理局詹華達浩華企業顧問有限公司秘書：戴尚文香港會計師公會專項發展總監林淑文香港會計師公會專項發展助理總監內部監控與風險管理專責小組成員名單主席：周光暉中國基建集團控股有限公司成員：周福安佳亞有限公司陳記南順（香港）有限公司RichardGeorge德勤•關黃陳方會計師行李開賢畢馬威會計師事務所陸階莎莎國際控股有限公司倪弼德PotentialAssociatesLtd.（潛能）蕭啟鎏利豐集團秘書：戴尚文香港會計師公會專項發展總監林淑文香港會計師公會專項發展助理總監的基本架構與內部監控風險管理4目錄A.目標1.0背景2.0《上市規則》有關內部監控的規定3.0指引的目標4.0指引的應用性B.實施內部監控及風險管理1.0內部監控的架構及範疇2.0完善的內部監控系統的要素3.0培訓的需要4.0風險管理5.0將程序加以嵌入C.內部監控及風險管理的職責以及檢討的程序1.0董事會2.0董事會政策3.0內部審核功能4.0審核委員會5.0系統中的其他各方附錄I.摘錄自《上市規則》有關「內部監控」的規定II.內部監控的概念及範圍III.內部監控系統組成部分的詳情IV.公司可能面對的風險V.參考書目的基本架構與內部監控風險管理5A.目標1.0背景1.1香港聯合交易所有限公司（「聯交所」）於二零零四年十一月公布《企業管治常規守則》（《守則》）及《企業管治報告》，期後分別納入《主版上市規則》附錄十四和附錄二十三及《創業版上市規則》附錄十五和附錄十六。《守則》於二零零五年一月一日或以後開始的會計期生效，唯一例外是《守則》第C.2條有關內部監控的條文，以及建議在《企業管治報告》中披露上市公司內部監控資料的規定。該例外條文於二零零五年七月一日或以後開始的會計期生效。1.2聯交所邀請香港會計師公會（「公會」）制訂進一步指引，以協助上市公司了解及實施《守則》內有關內部監控的規定，並制訂其內部監控程序。1.3公會接受聯交所的邀請，在企業管治委員會名下成立了一個專責小組進行該項計劃。專責小組的成員亦有核數與核證準則委員會和商界專業會計師委員會的代表。2.0《上市規則》有關內部監控的規定2.1《守則》原則C.2列明：「董事會應確保發行人的內部監控系統穩健妥善而且有效，以保障股東的投資及發行人的資產。」2.2「內部監控」的《守則》條文第C.2.1條列明：「董事應最少每年檢討一次發行人及其附屬公司的內部監控系統是否有效，並在《企業管治報告》中向股東匯報已經完成有關檢討。有關檢討應涵蓋所有重要的監控方面，包括財務監控、運作監控及合規監控以及風險管理功能。」2.3《守則》第C.2.2至C.2.5段列出檢討內部監控系統及相關披露事項的「建議最佳常規」。我們鼓勵上市公司採納該等建議。2.4《主版上市規則》附錄二十三及《創業版上市規則》附錄十六第二段註釋，列明期望上市公司根據《守則》條文在其《企業管治報告》中作出若干具體的披露。以下是有關「內部監控」的披露要求：「（3）說明董事會經已檢討發行人及其附屬公司的內部監控系統是否有效（《守則》第C.2.1條）」。的基本架構與內部監控風險管理62.5倘若上市公司根據《守則》條文第C.2.1條在年報內對檢討其內部監控系統作出披露，我們鼓勵該上市公司披露《主版上市規則》附錄二十三及《創業版上市規則》附錄十六第三段（d）列明的詳細資料。（《上市規則》內有關內部監控的《守則》條文及建議最佳常規，以及《企業管治報告》內所要求及建議披露的資料的更詳盡摘錄載於附錄I。）3.0指引的目標3.1編製這本指引的主要目的是提供內部監控基本架構的一般指引及建議。這應有助上市公司了解及實施《守則》內有關內部監控的規定，並根據其本身業務及營運的具體情況及特點而制訂適用的內部監控程序。這本指引並非巨細無遺或詳列硬性規定，但仍然對公司內負責監控的董事、經理及其他人士有所幫助。3.2這本指引同時擬–(i)有助增加對內部監控及風險管理概念性架構的認識；(ii)有助提供一個可以用作發展及評估公司內部監控系統有效性的架構／基礎；及(iii)反映完善的企業實務，藉此公司將內部監控嵌入其業務及管理程序中，從而追求其目標。3.3聯交所表示，在制訂《守則》時，已經特別參考英國財務匯報委員會(FinancialReportingCouncil)於二零零三年七月公布經修訂的《企業管治綜合守則》(CombinedCodeonCorporateGovernance)（《綜合守則》）所載的原則及指引。《綜合守則》之序言詳列如何遵守《綜合守則》個別部分的具體指引。《內部監控：綜合守則的董事指引》（《Turnbull指引》）1是有關如何遵守內部監控條文的指引。公會在編製本指引時參考了《Turnbull指引》。3.4公會認為，美國CommitteeofSponsoringOrganizationsoftheTreadwayCommission（COSO）於一九九二年發表的題為《內部監控─綜合架構》(InternalControl–IntegratedFramework)的報告，確立了內部監控的定義及概念性架構，是有建設性和有重要意義的。因此，如合適時，本指引採納了COSO報告所提的模式。1英格蘭及威爾斯特許會計師公會於一九九九年九月在英國出版的《內部監控：綜合守則的董事指引》(InternalControl:GuidanceforDirectorsontheCombinedCode)。的基本架構與內部監控風險管理73.5我們鼓勵上市公司的董事會在進行下列事項時參考本指引：•評估公司遵守《守則》原則C.2的情況；•實施《守則》條文第C.2.1條的規定；及•在《企業管治報告》中向股東匯報該等事宜。3.6董事就檢討公司如何實施《守則》內有關內部監控的規定及向股東匯報實施情況時應作出判斷。3.7公司應從企業管治的角度，把本文件內關於設立完善的內部監控系統及檢討其有效性的指引，納入公司日常管理及管治的程序內，作為公司董事會及管理層向股東問責的一環，而不應把指引視為要符合證券市場監管機構所頒布並執行的監管規定而實行的一項措施。4.0指引的應用性4.1本指引的主要對象是《守則》條文第C.2.1條所指的上市公司及其附屬公司，然而，上市公司的性質各有不同。內部監控系統應按照個別公司的具體特點和情況，例如：根據其行業、規模及組織結構而度身制訂。因此，不適合採用「放諸四海皆準」(onesizefitsall)的模式。4.2雖然本指引所載的原則及建議可能需要根據公司的個別情況而作出調整，但我們相信這些原則及建議會為大部分的上市公司提供有用的參考資料。我們鼓勵所有屬上市集團成員的公司採納這些原則及建議，同時，我們亦希望本指引能為擬實施或加強內部監控的公司提供有用的參考資料。4.3在本指引內，倘若提述「公司」，如適用者，應指其申報公司為母公司的集團。對集團公司而言，在檢討內部監控的有效性及向股東作出的有關匯報時，應從集團整體角度出發，例如：集團公司應檢討所有重要地區的所有重要監控系統是否有效。4.4就應用本指引而言，倘若有重大的合營企業及聯營公司並未被納入為集團成員而得以處理，我們鼓勵公司應作出有關披露。若有應用於這些實體的風險管理及內部監控保證的其他資源，也應予以披露。的基本架構與內部監控風險管理8B.實施內部監控及風險管理1.0內部監控的架構及範疇1.1「內部監控」並無簡單定義。然而，誠如上文A.3.4段所述，公會認為COSO報告提供了有用的模式，所以本指引在適合時採用了COSO報告所述的定義及概念性架構。（見附錄II）。1.2COSO報告所述的內部監控系統的定義，是指為達致以下目標而提供合理保證的程序：•營運的效益及效率•財務匯報的可靠性•遵守適用的法律規則1.3內部監控對業務的有效營運及日常運作極為重要，並有助公司達致其業務目標。誠如上文所述，內部監控的範疇非常廣泛，它包含納入策略性、管治及管理程序內的所有監控，涵蓋公司全面的業務及營運，而不單只是直接涉及財務營運及匯報的監