要素1 企業文化/監控環境
發行人整體內部監控文化,即發行人的監控環境。 發行人各營運層面和員工都必須致力在營運和行事上恪守誠信、合規及道德標準。發行人應由董事會做起,適當地「從上而下定調」,才可望獲得公司上下的支持。
要素2 風險評估
發行人業務所有方面的持續風險評估。發行人須在營運過程中訂立清晰的目標,以持續就有關目標進行風險分析(包括詐騙風險),其中包括識別及分析重大變更,以(其中包括)確保內部監控維持有效。
要素3 內部監控
發行人制定的內部監控系統/監控活動,用於評估風險後作出應對而緩減識別出來的風險,當中包括建立穩健的內部監控框架及充分應對風險所需進行的活動、流程、政策及傳訊事項。
要素4 資料及傳訊事項
發行人須制定相關程序,確保內部監控系統有適當的最新資料及數據支持,而對有關資料,公司內部及外界(如適用)均充分知悉。
要素5 監察
發行人須持續監察內部監控系統,確保有關系統切合所需,並盡快溝通潛在不足,及採取適當的行動。
請參閱聯交所刊發的《建立有效風險管理及內部監控系統的實用建議》,內容包括:
要素
年檢範圍
要素1 - 企業文化/監控環境
評核公司內的誠信及道德價值,包括:相關政策及程序內容(包括有關操守準則、利益衝突、舉報及投訴處理的政策及程序);法律及監管合規方面的做法(包括如何遵守《上市規則》及《企業管治守則》);員工/管理層薪酬考核方法。
評核董事會獨立性及表現,包括:董事會成員的獨立程度、經驗、角色及責任;是否有利益申報程序;董事委員會的組成;董事委員會的職權範圍是否仍切合所需、董事會與董事委員會之間的溝通情況;董事有否申報其利益。
評核管理層表現及內部監控承諾,包括:財務匯報質素(包括但不限於相關性、可靠性、可比性和適時性);營運目標以及實現有關目標的政策和程序;對管治、風險及內部監控相關議題有否足夠關注以及討論相關事宜的頻次。
評核組織架構,包括:有哪些相關法律實體、業務單位等等,以及其責任;從屬架構(尤其是管理層與業務單位之間)如何運作。
評核財務匯報水平,包括:人員配置水平以及員工經驗及資格是否達所需程度(尤其是管治/財務匯報方面);相關培訓水平。
評核責任及工作分派,包括:相關角色及責任、權力水平、權力及工作分派、相關政策及程序(包括權力的凌駕)。
評核人力資源表現,包括:發行人有哪些政策及程序,以及有關政策及程序在招聘、培訓、表現評核、升遷、薪酬及終止僱傭合約方面的具體實施情況。
評核法律/監管合規情況,包括:(i)(財務)匯報規定和 (ii)法律及法規(包括《上市規則》)方面的合規水平),以及就促使發行人遵守上述規定並監察和匯報潛在不足而制定的內部監控系統。
要素2 - 風險評估
評核目標,包括:發行人營運/業務、財務匯報及監管/法律合規方面是否均有清晰目標。
評核風險評估及管理程序,包括:發行人有哪些風險評估及管理、監管及法律合規、詐騙識別及預防流程;有否持續監察營運環境及潛在風險;是否有(業務)應變計劃;以及有否評估財務匯報風險。
要素3 - 內部監控
詳細評核內部監控措施,包括:
分析政策及程序、相關角色及責任、分工、紀錄保存以及發行人營運的所有方面的法律/法規合規評估,例如:
要素4 - 資料及傳訊
評核與以下事宜有關的資料使用情況及現有溝通程度:
要素5- 監察
評估監察職能、政策及程序,包括:
資料來源:香港會計師公會「Assistance Options to New Applicants and Sponsors in connection with Due Diligence Obligations, including Internal Controls over Financial Reporting)」(可就盡職審查責任向新申請人及保薦人提供的支援方案(包括有關財務匯報的內部監控措施))。
發行人須在企業管治報告中詳細披露其風險管理及內部監控系統,以及有關系統(至少)每年一次的檢討詳情(強制披露要求第H 段)。發行人在披露有關資料時,應考慮以下問題:
披露風險管理及內部監控系統範圍
披露風險管理及內部監控系統檢討詳情
董事會對風險管理及內部監控系統有效性的確認
下載主題 – 風險管理及內部監控 下載全指引