1内部监控与风险管理的基本架构香港会计师公会于2005年6月29日发表全新的“内部监控与风险管理指引”,为有意改善企业管治及业务表现的公司提供建议。该份指引名为《内部监控与风险管理的基本架构》,旨在协助主板及创业板上市公司更清楚了解港交所新颁布的《企业管治常规守则》(“守则”)对内部监控之规定,从而设立其内部监控制度。香港会计师公会是应港交所邀请而编撰有关此重要议题的指引。序言香港会计师公会于一九九五年成立企业管治委员会至今,一直为提高香港的企业管治意识及水平扮演领导角色,公会引以为豪。公会认为,优良的企业管治对吸引外资、刺激经济增长及减低资金成本极其重要,此外,对香港作为全球主要金融中心之一及中国大陆和区内的主要国际资本市场的地位也是必不可少。因此,公会支持香港联合交易所有限公司(「联交所」)最近对《上市规则》作出的修订,以及推(出《企业管治常规守则》《守则》)及《企业管治报告》的有关规定。该等修订将加强对香港上市公司企业管治实务及资料披露的要求。这本内部监控与风险管理指引是应联交所邀请而制订,2其主要目的是就内部监控与风险管理的基本架构提供一般指引及建议。这本指引引用了外国在这课题上的重要研究作为依据,这些研究都是良好实务的公认基准,这本指引同时又顾及了香港市场的现况。公会认为,这本指引内所载的原则及建议应有助上市公司了解及实施《守则》内有关内部监控的规定,并就其业务的具体情况和特点制订本身的内部监控程序。加强企业管治不单是执行法规,也是为了树立及培养合乎道德规范和健康的企业文化。我希望本指引非常清楚地说明,设立完善的内部监控系统与评估其有效性并非是为了遵守不必要和繁复的监管规定,而是要实施机制以帮助公司达致其企业目标及符合股东和利益相关者的期望。在基本层面上,本指引强调,有效监控的首要条件,是公司必须确保拥有清晰的、经董事会同意而高级管理层及雇员清楚了解的目标。公司接着应对可能妨碍其达致上述目标的风险进行识别、评估及按优先次序排列,然后制订程序,进行有效管理。公司也应设立预警指标,当有事情发生,便可尽快确认有关情况并通知适当人士采取行动。在实践方面,必须同时对内和对外(例如:核数师及监管机关)进行坦诚的沟通和保持有效的信息流通。最后,鉴于营商环境和情况不断改变,因此必须对系统进行持续的监察和检讨。可惜,很多公司一直缺少上述部分或全部要素。事实上,3有些公司理论上虽然有光明的业务前景,但由于缺少这些要素,最后仍然失败。有些公司因发展太快而超越其内部监控与风险管理机制的处理能力;其它公司却因没有制订内部制衡机制而未能洞识问题的先兆;有些公司还屈服于主要董事及控股股东不符合市场期望及公众利益的道德价值的影响。我们都熟悉一些典型例子,故应引以为鉴。虽然内部监控系统并非是能解决各种企业问题的灵丹妙药,它却有助提供合理保证,以确保由拥有智慧和判断力的决策者所管理而运作良好的企业能达致其既定目标。41内部监控与风险管理的基本架构本人希望读者清楚明白,这本指引在注重为如何遵守法规提供指引的同时,也同样关注如何保障企业及营造一个让企业茁壮成长及使股东价值增加的环境。健全的道德管治包括优良的企业管治,而有效的企业管治系统应可以使企业遵守法规及达致预计的业绩表现,以符合股东及利益相关者的合理期望。这就解释为何有效的内部监控系统与风险管理机制应被纳入公司的日常管理和管治程序内,并应构成公司问责制架构和定期向股东汇报的一环。这本指引与《守则》同样是为上市公司及其附属公司和集团内的其它公司而编制。然而,本人希望这本指引亦为没有(还未)上市的企业及其它有兴趣人士提供有用的参考数据。香港会计师公会会长兼内部监控与风险管理专责小组主席周光晖二零零五年六月56内部监控与风险管理的基本架构A.目标1.0背景1.1香港联合交易所有限公司(「联交所」)于二零零四年十一月公布《企业管治常规守则》(《守则》)及《企业管治报告》,期后分别纳入《主版上市规则》附录十四和附录二十三及《创业版上市规则》附录十五和附录十六。《守则》于二零零五年一月一日或以后开始的会计期生效,唯一例外是《守则》第C.2条有关内部监控的条文,以及建议在《企业管治报告》中披露上市公司内部监控资料的规定。该例外条文于二零零五年七月一日或以后开始的会计期生效。1.2联交所邀请香港会计师公会(「公会」)制订进一步指引,以协助上市公司了解及实施《守则》内有关内部监控的规定,并制订其内部监控程序。1.3公会接受联交所的邀请,在企业管治委员会名下成立了一个专责小组进行该项计划。专责小组的成员亦有核数与核证准则委员会和商界专业会计师委员会的代表。2.0《上市规则》有关内部监控的规定2.1《守则》原则C.2列明:「董事会应确保发行人的内部监控系统稳健妥善而且有效,以保障股东的投资及发行人的资产。」2.2「内部监控」的《守则》条文第C.2.1条列明:「董事应7最少每年检讨一次发行人及其附属公司的内部监控系统是否有效,并在《企业管治报告》中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面,包括财务监控、运作监控及合规监控以及风险管理功能。」2.3《守则》第C.2.2至C.2.5段列出检讨内部监控系统及相关披露事项的「建议最佳常规」。我们鼓励上市公司采纳该等建议。2.4《主版上市规则》附录二十三及《创业版上市规则》附录十六第二段注释,列明期望上市公司根据《守则》条文在其《企业管治报告》中作出若干具体的披露。以下是有关「内部监控」的披露要求:「(3)说明董事会经已检讨发行人及其附属公司的内部监控系统是否有效(《守则》第C.2.1条)」。2.5倘若上市公司根据《守则》条文第C.2.1条在年报内对检讨其内部监控系统作出披露,我们鼓励该上市公司披露《主版上市规则》附录二十三及《创业版上市规则》附录十六第三段(d)列明的详细资料。(《上市规则》内有关内部监控的《守则》条文及建议最佳常规,以及《企业管治报告》内所要求及建议披露的数据的更详尽摘录载于附录I。)3.0指引的目标3.1编制这本指引的主要目的是提供内部监控基本架构的一般指引及建议。这应有助上市公司了解及实施《守则》内有8关内部监控的规定,并根据其本身业务及营运的具体情况及特点而制订适用的内部监控程序。这本指引并非巨细无遗或详列硬性规定,但仍然对公司内负责监控的董事、经理及其它人士有所帮助。3.2这本指引同时拟–(i)有助增加对内部监控及风险管理概念性架构的认识;(ii)有助提供一个可以用作发展及评估公司内部监控系统有效性的架构/基础;及(iii)反映完善的企业实务,藉此公司将内部监控嵌入其业务及管理程序中,从而追求其目标。3.3联交所表示,在制订《守则》时,已经特别参考英国财务汇报委员会(FinancialReportingCouncil)于二零零三年七月公布经修订的《企业管治综合守则》(CombinedCodeonCorporateGovernance)(《综合守则》)所载的原则及指引。《综合守则》之序言详列如何遵守《综合守则》个别部分的具体指引。《内部监控:综合守则的董事(指引》《Turnbull指引》)1是有关如何遵守内部监控条文的指引。公会在编制本指引时参考了《Turnbull指引》。3.4公会认为,美国CommitteeofSponsoringOrganizationsoftheTreadwayCommission(COSO)于一九九二年发表的题为《内部监控─综合架构》(InternalControl–IntegratedFramework)的报告,9确立了内部监控的定义及概念性架构,是有建设性和有重要意义的。因此,如合适时,本指引采纳了COSO报告所提的模式。英格兰及韦尔斯特许会计师公会于一九九九年九月在英国出版的《内部监控:综合守则的董事指引》(InternalControl:GuidanceforDirectorsontheCombinedCode)。3.5我们鼓励上市公司的董事会在进行下列事项时参考本指引:·评估公司遵守《守则》原则C.2的情况;实施《守则》条文第C.2.1条的规定;·在《企业管治报告》中向股东汇报该等事宜。3.6董事就检讨公司如何实施《守则》内有关内部监控的规定及向股东汇报实施情况时应作出判断。3.7公司应从企业管治的角度,把本文件内关于设立完善的内部监控系统及检讨其有效性的指引,纳入公司日常管理及管治的程序内,作为公司董事会及管理层向股东问责的一环,而不应把指引视为要符合证券市场监管机构所颁布并执行的监管规定而实行的一项措施。4.0指引的应用性4.1本指引的主要对象是《守则》条文第C.2.1条所指的上市公司及其附属公司,然而,上市公司的性质各有不同。内部监控系统应按照个别公司的具体特点和情况,例如:根据10其行业、规模及组织结构而度身制订。因此,不适合采用「放诸四海皆准」(onesizefitsall)的模式。4.2虽然本指引所载的原则及建议可能需要根据公司的个别情况而作出调整,但我们相信这些原则及建议会为大部分的上市公司提供有用的参考数据。我们鼓励所有属上市集团成员的公司采纳这些原则及建议,同时,我们亦希望本指引能为拟实施或加强内部监控的公司提供有用的参考数据。4.3在本指引内,倘若提述「公司」,如适用者,应指其申报公司为母公司的集团。对集团公司而言,在检讨内部监控的有效性及向股东作出的有关汇报时,应从集团整体角度出发,例如:集团公司应检讨所有重要地区的所有重要监控系统是否有效。4.4就应用本指引而言,倘若有重大的合营企业及联营公司并未被纳入为集团成员而得以处理,我们鼓励公司应作出有关披露。若有应用于这些实体的风险管理及内部监控保证的其它资源,也应予以披露内部监控与风险管理的基本架构(连载三)11B.实施内部监控及风险管理1.0内部监控的架构及范畴1.1「内部监控」并无简单定义。然而,诚如上文A.3.4段所述,公会认为COSO报告提供了有用的模式,所以本指引在适合时采用了COSO报告所述的定义及概念性架构。1.2COSO报告所述的内部监控系统的定义,是指为达致以下目标而提供合理保证的程序:.营运的效益及效率.财务汇报的可靠性.遵守适用的法律规则1.3内部监控对业务的有效营运及日常运作极为重要,并有助公司达致其业务目标。诚如上文所述,内部监控的范畴非常广泛,它包含纳入策略性、管治及管理程序内的所有监控,涵盖公司全面的业务及营运,而不单只是直接涉及财务营运及汇报的监控。内部监控的范畴并不局限于业务中一般被视为法规遵守事宜的层面,同时也延伸至业务的绩效层面。1.4内部监控必须针对业务的具体性质及需要。因此,它们应反映出完善的企业实务,并在持续转变的营运中经常保持适切性,让公司对业务或行业的具体需要能够作出反应。1.5不应视监控为业务的一项负担,反之应视它为一种途径,藉以增加业务发展的机会及减低由不速事件造成的潜在损失。此外,成功的公司不应自满或被本身的成就所蒙蔽。有12许多例子,都是由于缺乏内部监控或内部监控出现缺点而危及公司的成功。1.6同时,成本/效益方程式亦与内部监控系统有关。在整体系统的设计及在风险识别、评估和厘定风险的优先次序方面,必须考虑成本/效益的因素。1.7然而,监控并不等同管理,而且并不构成与公司管理有关的事宜。虽然它的目的是支持公司达致业务目标,并可作为对可能阻碍达致目标的障碍的预警系统,但另一方面,内部监控并不说明要订立哪些目标。虽然它有助确保为决策、执行及监察工作提供可靠数据,亦能帮助管理层对所采取行动的后果作出评估及汇报,但并不能取代管理层作出策略及营运决定。此外,应否采取行动及应采取甚么行动的决定属内部监控范畴以外的事。1.8随之而言,监控系统存在一些固有的限制。设计完善的内部监控系统能减少但不能消除决策判断失误、人为错误、监控活动及程序受雇员或其它人士串谋破坏、管理层逾越监控及其它不可预见的情况。1.9因此,完善的内部监控系统有助提供合理但并非绝对的保证,以确保公司避免在达致其业务目标或在合法进行业务过程中,被可以合理地预见的情况所妨碍。然而,完善的内部监控系统并不能对公司提供百