要素1

企業文化／監控環境

發行人整體內部監控文化，即發行人的監控環境。

發行人各營運層面和員工都必須致力在營運和行事上恪守誠信、合規及道德標準。發行人應由董事會做起，適當地「從上而下定調」，才可望獲得公司上下的支持。

1. 

誠信及道德價值 – 發行人須堅守道德標準及誠信文化，包括制定適當的相關政策及程序（舉報政策、行為守則等）。

獨立董事會監督 – 董事會保持獨立於管理層，並對內部監控系統的實施情況行使適當的監督（其中包括透過審核委員會監督）。

組織架構 – 發行人在實現營運、匯報、合規及業務目標上有明確的權力及責任架構。

人力資源 – 招聘、培訓及留任員工的方針與發行人的目標保持一致（尤其是在文化、誠信及合規方面）。

問責 – 發行人有責任及問責制度，包括定期評核員工表現（包括與內部監控系統有關的合規指標）。

要素2

風險評估

發行人業務所有方面的持續風險評估。發行人須在營運過程中訂立清晰的目標，以持續就有關目標進行風險分析（包括詐騙風險），其中包括識別及分析重大變更，以（其中包括）確保內部監控維持有效。

目標識別 – 訂立策略性的營運、匯報及合規目標，以識別潛在風險及其對有關目標的影響。

7.

風險識別 – 對發行人的目標進行風險評估，並採納風險管理計劃。

詐騙風險 – 仔細研究詐騙風險，並採取適當行動管理有關風險。

對內部監控的影響 – 仔細研究風險評估對內部監控系統的影響，並按需要作出變更。

要素3

內部監控

發行人制定的內部監控系統／監控活動，用於評估風險後作出應對而緩減識別出來的風險，當中包括建立穩健的內部監控框架及充分應對風險所需進行的活動、流程、政策及傳訊事項。

內部監控 – 發行人採納並實施內部監控系統（或監控活動）以管理及緩減風險。

技術 – 內部監控系統包括技術／資訊技術及線上基礎系統設施方面及人工智能使用的適當監控措施。

政策／程序 – 內部監控系統有適當的政策及程序配合。

要素4

資料及傳訊事項

發行人須制定相關程序，確保內部監控系統有適當的最新資料及數據支持，而對有關資料，公司內部及外界（如適用）均充分知悉。

資料及數據 – 發行人採用準確、適時且足夠詳細的資料及／或數據，以確保風險評估及內部監控系統妥善運作（發行人亦應嚴格評估使用人工智能對有關程序的影響）。

內部傳訊 – 發行人適時發布詳盡的相關資料，以支持內部監控系統有效運作。

外部傳訊 – 用於支持內部監控系統有效運作的傳訊事宜亦應涵蓋外部持份者（如有需要）。

要素5

監察

發行人須持續監察內部監控系統，確保有關系統切合所需，並盡快溝通潛在不足，及採取適當的行動。

持續監察 – 持續監察並定期檢討內部監控系統的有效性。監察應涉及內部及外部資源（按適用情況）。

匯報 – 持續監察及檢討的結果應適時向管理層及董事（以及其他相關持份者）匯報，尤其是在發現不足及／或現有系統須作出變更的情況下更應如此。

要素1 - 企業文化／監控環境

評核公司內的誠信及道德價值，包括：相關政策及程序內容（包括有關操守準則、利益衝突、舉報及投訴處理的政策及程序）；法律及監管合規方面的做法（包括如何遵守《上市規則》及《企業管治守則》）；員工／管理層薪酬考核方法。

評核董事會獨立性及表現，包括：董事會成員的獨立程度、經驗、角色及責任；是否有利益申報程序；董事委員會的組成；董事委員會的職權範圍是否仍切合所需、董事會與董事委員會之間的溝通情況；董事有否申報其利益。

評核管理層表現及內部監控承諾，包括：財務匯報質素（包括但不限於相關性、可靠性、可比性和適時性）；營運目標以及實現有關目標的政策和程序；對管治、風險及內部監控相關議題有否足夠關注以及討論相關事宜的頻次。

評核組織架構，包括：有哪些相關法律實體、業務單位等等，以及其責任；從屬架構（尤其是管理層與業務單位之間）如何運作。

評核財務匯報水平，包括：人員配置水平以及員工經驗及資格是否達所需程度（尤其是管治／財務匯報方面）；相關培訓水平。

評核責任及工作分派，包括：相關角色及責任、權力水平、權力及工作分派、相關政策及程序（包括權力的凌駕）。

評核人力資源表現，包括：發行人有哪些政策及程序，以及有關政策及程序在招聘、培訓、表現評核、升遷、薪酬及終止僱傭合約方面的具體實施情況。

評核法律／監管合規情況，包括：(i)（財務）匯報規定和 (ii)法律及法規（包括《上市規則》）方面的合規水平），以及就促使發行人遵守上述規定並監察和匯報潛在不足而制定的內部監控系統。

要素2 - 風險評估

評核目標，包括：發行人營運／業務、財務匯報及監管／法律合規方面是否均有清晰目標。

評核風險評估及管理程序，包括：發行人有哪些風險評估及管理、監管及法律合規、詐騙識別及預防流程；有否持續監察營運環境及潛在風險；是否有（業務）應變計劃；以及有否評估財務匯報風險。

要素3 - 內部監控

詳細評核內部監控措施，包括：

分析政策及程序、相關角色及責任、分工、紀錄保存以及發行人營運的所有方面的法律／法規合規評估，例如：

• 銷售、應收賬款及收款；
• 採購、應付賬款及付款；
• 存貨管理（包括物流）；
• 生產及成本核算；
• 人力資源及薪酬；
• 固定資產；
• 現金及財政管理；
• 保險；
• 財務匯報及披露監控；
• 稅務；及
• 資訊技術系統（一般及應用）監控。

要素4 - 資料及傳訊

評核與以下事宜有關的資料使用情況及現有溝通程度：

• 企業規劃、預算及預測；
• 管理層的匯報及向其匯報（包括但不限於按《企業管治守則》規定每月向董事會提供更新資料）；
• 內部傳訊，包括有關監察及偵測機密／敏感資料、潛在衝突、須予公布／關連交易（《上市規則》第十四及十四A章）以及其他法律或監管風險的政策／程序；
• 對外傳訊，包括有關與外界通訊、發布年報／中期報告及刊發業績公告（包括根據《上市規則》第13.46、13.48及13.49條）、處理內幕消息及敏感資料洩漏（包括根據《上市規則》第13.09條及《證券及期貨條例》（香港法例第571章）第XIVA部）以及監管查詢（包括根據《上市規則》第13.10條））的政策／程序；
• 有關傳送及傳播（敏感）資料的保密水平；及
• 公司內的數據保護水平（包括應對網絡威脅及資料竊取）以及個人資料法的合規情況。

要素5- 監察

評估監察職能、政策及程序，包括：

• 董事會／管理層層面監察；
• 內部審核（或其他職能）監察，包括：
  • 監察職能的角色／責任；
  • 與外部核數師／供應商的互動；
  • 不足之處的評估及補救；
  • 上報／匯報管理層／董事會的情況；
  • 內部監控措施／政策的實施情況。
• 匯報／舉報渠道；
• 管理層函件以及外聘核數師及／或服務提供商提供的內部監控結果；及
• 法律／監管合規的監察水平。