2019-2020年联交所企业管治守则修订解读

联交所《企业管治守则》风险管理与内部控制章节修订解读2005年，为了加强对上市公司的监管，香港联交所推出了证券上市规则附录十四，即《企业管治守则》和《企业管治报告》（以下合称《守则》），十年来，该附录为在港上市企业规范内部管治提供了指引。然而，随着全球风险管理理论与实践的发展，该附录在风险管理模块的缺失使得它已不适应当前形势。在这样的背景下，香港联交所决定对之前的《守则》进行修订。联交所认为《守则》内有关发行人内部监控的条文应更注重风险管理。此外，联交所认为《守则》应更清晰区分发行人的董事会、管理层及内部审核功能在风险管理及内部监控系统方面的角色与 职责 岗位职责下载项目部各岗位职责下载项目部各岗位职责下载建筑公司岗位职责下载社工督导职责.docx ，并列出发行人在《企业管治报告》内最低限度应披露的具体内容，以提高透明度。为此，联交所于2014年6月刊发咨询《有关检讨企业管治守则及企业管治报告：风险管理及内部监控的咨询文件》，就《守则》内有关内部监控的修订条文建议咨询市场意见。截止2014年8月31日，联交所共收到57份回复意见，在综合多方意见建议之后，联交所对《守则》进行了适时修订。经修订的《守则》将适用于2016年1月1日或之后开始的会计期间。发行人必须在首份涵盖2016年1月1日或之后期间的中期或年度报告中，说明该段期间其有否遵守经修订《守则》中的新守则条文。修订内容总体来说，此次修订主要集中在以下几点：1、《守则》在适当情况下加入风险管理元素。此处将《守则》C.2节的标题由《内部监控》改为《风险管理及内部监控》。修改标题恰当地强调风险管理与内部监控不可分割，此外，这样的修改也与国际惯例一致。2、界定董事会及管理层就发行人的风险管理及内部监控系统的角色与职责。此处有两处新增，其一为：管理层负责设计、执行及监察风险管理及内部监控系统。管理层亦应向董事会确定该等系统的有效性；其二为：董事会负责评估发行人达成目标时所愿意接纳的风险，确保设立及维持有效的风险管理及内部监控系统。此处要特别注意的是：董事会的责任除了评估发行人达成策略目标时所愿意接纳的风险性质及程度外，也应包括“厘定”该等风险的性质及程度。3、厘清董事会有持续责任监察发行人的风险管理及内部监控系统。此处新增要求董事会须持续监察发行人风险管理及内部监控系统的规定。该规定认为：风险管理及内部监控系统已与发行人的日常业务结合；风险管理须为持续及稳健的过程，而不是成立了内部监控系统就可了事；虽然董事会或未能每日对风险管理及内部监控系统进行监察，但仍期望董事会可寻求及收取有关这些系统操作的定期报告，当中应包括了解如何管理主要风险及发行人所面对的风险有否变动等。4、提升发行人风险管理及内部监控系统的披露责任，即相关的政策、程序以及每年成效检讨的详情，以提高发行人在风险管理及内部监控方面的透明度。此处修订主要包括：第一，将列明董事会每年检讨应包括的事项、列明发行人《企业管治报告》内应就报告期内其遵守内部监控守则条文的情况而披露的具体数据从现行建议最佳常规（即为自愿性质）提升至守则条文（即不遵守就必须作出解释）。第二，将与内部监控有关的大部分现行建议披露的资料提升为强制披露。所涉及的披露内容为：需披露如何遵守风险管理及内部监控的守则条文，例如风险管理和内部监控的特点、风险评估的程序、处理及发布内幕消息的程序和监控措施；需披露是否设有内部审核功能；需披露评估内部监控体系有效性的程序、检讨的频次以及所涵盖的期间；需披露已检讨风险管理及内部监控系统有效性的声明，并说明发行人认为该等系统是否有效及足够。5、提升发行人内部审核的责任，以加强对发行人风险管理及内部监控系统的监察。此处主要修订了三处内容：第一，将是否设立内部审计部这一项由建议最佳常规提升至守则条文，即订明发行人应有内部审核功能，没有内部审核功能的发行人应每年考虑是否需要增设此项功能及在企业管治报告内解释为何没有这项功能。第二，新增以下附注，厘清：(a)内部审核功能的角色在于对发行人的风险管理及内部监控系统是否足够和有效作出分析及独立评估；及(b)拥有多家上市发行人的集团可让旗下成员公司共享控股公司的集团资源去执行内部审核功能。第三，修订现行守则条文C.2.2条，订明董事会的每年检讨应确保发行人除会计及财务报告功能以外，其内部审核功能的资源、雇员资历及经验、培训计划及预算等亦均为足够。6、新增审核委员会的职权范围。此处修订的内容主要有：有关审核委员会的原则C.3条以及有关该等委员会职权范围的守则条文C.3.3条，在适当情况下加入“风险管理”的建议，即审核委员会的职权范围须至少包括监管发行人财务申报 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 、风险管理及内部监控系统程序；说明董事会是否另设风险委员会应留待发行人自行决定；说明若由风险委员会执行监察及其他风险管理及内部监控的职责，不应视作偏离《守则》。企业应对风险管理与内部控制已经成为企业实现战略目标必备的最重要的管理职能之一。上市公司作为公众公司，对其风险管理与内部控制进行监管的重要性不言而喻。因此，联交所的修订通告一出，就迅速受到了社会各界的广泛关注。对于那些已于或即将赴港上市的公司，如何熟悉新规以及今后如何能够在新规下良好运行，尤为重要。首先，需要就企业风险管理与内部控制现状与新规进行对标，分析差距。只有在识别出差距后，才能有所针对，制定出合规计划。其次，注重风险管理，建立完善的风险管理体系，推进风险管理与内部监控融合。之前的《守则》只强调了内部监控，而忽视了风险管理的重要性，因此企业需要在原有的内部监控体系的基础上，建立适合本企业的风险管理体系，开展风险识别、风险评估、最终做好关键风险管理应对以及建立风险汇报机制。并且尤为重要的是要认识到风险评估与内部监控是不可分割的整体，内部控制从管理职能上讲，侧重强调控制职能;风险管理从控制对象上讲，侧重强调风险控制，两者内涵一致。风险管理、内部控制、公司治理都基于存在风险而产生，都为进行风险控制，因此可以从风险评估和风险控制角度促进风险管理与内部控制融合。再次，理清董事会和管理层的职责范围和监督问责关系。根据新修订《守则》中的描述：董事会确保负责评估及厘定发行人达成策略目标时所愿意接纳的风险性质及程度；具体确定整个组织的风险偏好；董事会确保公司设立及维持合适及有效的风险管理、内部监控系统稳健妥善而且有效，以保障股东的投资及公司资产；董事会应监督管理层对风险管理及内部监控系统的设计、实施及监察；管理层具体负责建立企业的风险管理和内部监控体系，并负责实施和持续监控；同时向董事会提供这些系统是否有效的确认。企业可以考虑做的有：第一，董事会要确定风险偏好和风险水平，确保风险管理与内部控制体系完善和有效；第二，管理层执行董事会制定的风险管理与内部控制政策，识别和评估风险，设计、运行和监控有效的风险管理与内部控制体系；第三，管理层向董事会保证体系有效性，董事会对其监督和问责。此外，企业还应建立对“风险管理及内控系统的有效性”的持续监督和例行检查机制。针对《守则》新增的要求董事会须持续监察发行人风险管理及内部监控系统的规定，企业可以考虑1）定期根据内外部环境变化情况，开展风险识别与评估。2)管理层针对识别的风险制定关键控制措施，并设置合适的测试程序和自我评估机制，对控制的执行情况实施自我评估；3)内部审计职能对组织的风险管理情况，如关键控制的实施情况等开展独立检查；4）有条件的企业可尝试将持续监控与持续审计进行结合。即管理层识别对业务效果和效率达成较为重要的一系列关键控制点，利用信息技术实施自动化的测试，来确定这些控制点是否恰当运行，从而实现对业务的持续监控；若在持续监控中出现非预设情况，将触发内审职能开展对应的系列行动。5）对重大风险，可尝试建立关键风险预警指标体系，通过量化的方式对风险进行监控。6）管理层应定期就风险管理及内部监控体系的有效性向董事会提供管理报告，使其信任管理层已知悉该等风险、执行及监察适当的政策及监控，以保证董事会及时、持续了解公司相关体系运作的有效性情况。接下来，企业还需要细化信息披露要求，新规在《企业管治报告》的披露上做了较大的改动，不仅将发行人需要考虑及披露每年检讨其风险管理及内部监控系统的有效性的要求，由建议最佳常规提升至守则条文，还将与内部监控有关的大部分现行建议披露的资料提升为强制披露。因此企业不仅需要针对新规条文调整披露内容和范围，还需要了解其它上市公司的披露情况，尤其是行业标杆企业的披露情况，确定《企业管治报告》的披露策略并起草相关内容。最后，要建立内部审计职能。修订后的《守则》要求“发行人应设立内部审计功能。没有内部审计功能的发行人须每年检讨是否需要增设此项功能，并在《企业管治报告》内解释为何没有这项功能”。对于那些尚未建立完善的审计职能的企业，可以考虑通过外包方式，快速、有效的建立内部审计职能；当然，新规规定“…拥有多家上市发行人的集团可让旗下成员公司共享集团资源去执行内部审计功能”。即企业可根据专业及资源规划，灵活分配由集团总部或旗下成员公司（控股或附属公司）为整个集团履行内部审计功能。因此企业还可充分利用同集团内的内部审计资源。此外，在审计职能建立的基础上，还要强调内部审计和审计委员会对风险管理与内部控制的作用，将确认和评估风险管理与内部控制体系完整性和有效性作为内部审计和审计委员会主要职责之一。