内部监控与风险管理的基本架构df修订版

IBMTstandardizationoffice【IBMT5AB-IBMT08-IBMT2C-ZZT18】内部监控与风险管理的基本架构df修订版内部监控与风险管理的基本架构香港会计师公会于2005年6月29日发表全新的“内部监控与风险管理指引”，为有意改善企业管治及业务表现的公司提供建议。该份指引名为《内部监控与风险管理的基本架构》，旨在协助主板及创业板上市公司更清楚了解港交所新颁布的《企业管治常规守则》（“守则”）对内部监控之规定，从而设立其内部监控制度。香港会计师公会是应港交所邀请而编撰有关此重要议的指引。序言香港会计师公会于一九九五年成立企业管治委员会至今，一直为提高香港的企业管治意识及水平扮演领导角色，公会引以为豪。公会认为，优良的企业管治对吸引外资、刺激经济增长及减低资金成本极其重要，此外，对香港作为全球主要金融中心之一及中国大陆和区内的主要国际资本市场的地位也是必不可少。因此，公会支持香港联合交易所有限公司（「联交所」）最近对《上市规则》作出的修订，以及推（出《企业管治常规守则》《守则》）及《企业管治报告》的有关规定。该等修订将加强对香港上市公司企业管治实务及资料披露的要求。这本内部监控与风险管理指引是应联交所邀请而制订，其主要目的是就内部监控与风险管理的基本架构提供一般指引及建议。这本指引引用了外国在这课题上的重要研究作为依据，这些研究都是良好实务的公认基准，这本指引同时又顾及了香港市场的现况。公会认为，这本指引内所载的原则及建议应有助上市公司了解及实施《守则》内有关内部监控的规定，并就其业务的具体情况和特点制订本身的内部监控程序。加强企业管治不单是执行法规，也是为了树立及培养合乎道德和健康的企业文化。我希望本指引非常清楚地说明，设立完善的内部监控系统与评估其有效性并非是为了遵守不必要和繁复的监管规定，而是要实施机制以帮助公司达致其企业目标及符合股东和利益相关者的期望。在基本层面上，本指引强调，有效监控的首要条件，是公司必须确保拥有清晰的、经董事会同意而高级管理层及雇员清楚了解的目标。公司接着应对可能妨碍其达致上述目标的风险进行识别、评估及按优先次序排列，然后制订程序，进行有效管理。公司也应设立预警指标，当有事情发生，便可尽快确认有关情况并适当人士采取行动。在实践方面，必须同时对内和对外（例如：核数师及监管机关）进行坦诚的沟通和保持有效的信息流通。最后，鉴于营和情况不断改变，因此必须对系统进行持续的监察和检讨。可惜，很多公司一直缺少上述部分或全部要素。事实上，有些公司理论上虽然有光明的业务前景，但由于缺少这些要素，最后仍然失败。有些公司因发展太快而超越其内部监控与风险管理机制的处理能力；其它公司却因没有制订内部制衡机制而未能洞识问题的先兆；有些公司还屈服于主要董事及控股股东不符合市场期望及公众利益的道德价值的影响。我们都熟悉一些典型例子，故应引以为鉴。虽然内部监控系统并非是能解决各种企业问题的灵丹妙药，它却有助提供合理保证，以确保由拥有智慧和判断力的决策者所管理而运作良好的企业能达致其既定目标。1内部监控与风险管理的基本架构本人希望读者清楚明白，这本指引在注重为如何遵守法规提供指引的同时，也同样关注如何保障企业及营造一个让企业茁壮成长及使股东价值增加的环境。健全的道德管治包括优良的企业管治，而有效的企业管治系统应可以使企业遵守法规及达致预计的业绩表现，以符合股东及利益相关者的合理期望。这就解释为何有效的内部监控系统与风险管理机制应被纳入公司的日常管理和管治程序内，并应构成公司问责制架构和定期向股东汇报的一环。这本指引与《守则》同样是为上市公司及其附属公司和集团内的其它公司而编制。然而，本人希望这本指引亦为没有（还未）上市的企业及其它有兴趣人士提供有用的参考数据。香港会计师公会会长兼内部监控与风险管理专责小组主席周光晖二零零五年六月内部监控与风险管理的基本架构A.目标1.0背景1.1香港联合交易所有限公司（「联交所」）于二零零四年十一月公布《企业管治常规守则》（《守则》）及《企业管治报告》，期后分别纳入《主版上市规则》附录十四和附录二十三及《创业版上市规则》附录十五和附录十六。《守则》于二零零五年一月一日或以后开始的会计期生效，唯一例外是《守则》第C.2条有关内部监控的条文，以及建议在《企业管治报告》中披露上市公司内部监控资料的规定。该例外条文于二零零五年七月一日或以后开始的会计期生效。1.2联交所邀请香港会计师公会（「公会」）制订进一步指引，以协助上市公司了解及实施《守则》内有关内部监控的规定，并制订其内部监控程序。1.3公会接受联交所的邀请，在企业管治委员会名下成立了一个专责小组进行该项。专责小组的成员亦有核数与核证准则委员会和商界专业会计师委员会的代表。2.0《上市规则》有关内部监控的规定2.1《守则》原则C.2列明：「董事会应确保发行人的内部监控系统稳健妥善而且有效，以保障股东的投资及发行人的资产。」2.2「内部监控」的《守则》条文第C.2.1条列明：「董事应最少每年检讨一次发行人及其附属公司的内部监控系统是否有效，并在《企业管治报告》中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控以及风险管理功能。」2.3《守则》第C.2.2至C.2.5段列出检讨内部监控系统及相关披露事项的「建议最佳常规」。我们鼓励上市公司采纳该等建议。2.4《主版上市规则》附录二十三及《创业版上市规则》附录十六第二段注释，列明期望上市公司根据《守则》条文在其《企业管治报告》中作出若干具体的披露。以下是有关「内部监控」的披露要求：「（3）说明董事会经已检讨发行人及其附属公司的内部监控系统是否有效（《守则》第C.2.1条）」。2.5倘若上市公司根据《守则》条文第C.2.1条在年报内对检讨其内部监控系统作出披露，我们鼓励该上市公司披露《主版上市规则》附录二十三及《创业版上市规则》附录十六第三段（d）列明的详细资料。（《上市规则》内有关内部监控的《守则》条文及建议最佳常规，以及《企业管治报告》内所要求及建议披露的数据的更详尽摘录载于附录I。）3.0指引的目标3.1编制这本指引的主要目的是提供内部监控基本架构的一般指引及建议。这应有助上市公司了解及实施《守则》内有关内部监控的规定，并根据其本身业务及营运的具体情况及特点而制订适用的内部监控程序。这本指引并非巨细无遗或详列硬性规定，但仍然对公司内负责监控的董事、经理及其它人士有所帮助。3.2这本指引同时拟–(i)有助增加对内部监控及风险管理概念性架构的认识；(ii)有助提供一个可以用作发展及评估公司内部监控系统有效性的架构／基础；及(iii)反映完善的企业实务，藉此公司将内部监控嵌入其业务及管理程序中，从而追求其目标。3.3联交所表示，在制订《守则》时，已经特别参考英国财务汇报委员会(FinancialReportingCouncil)于二零零三年七月公布经修订的《企业管治综合守则》(CombinedCodeonCorporateGovernance)（《综合守则》）所载的原则及指引。《综合守则》之序言详列如何遵守《综合守则》个别部分的具体指引。《内部监控：综合守则的董事（指引》《Turnbull指引》）1是有关如何遵守内部监控条文的指引。公会在编制本指引时参考了《Turnbull指引》。3.4公会认为，美国CommitteeofSponsoringOrganizationsoftheTreadwayCommission（COSO）于一九九二年发表的题为《内部监控─综合架构》(InternalControl–IntegratedFramework)的报告，确立了内部监控的定义及概念性架构，是有建设性和有重要意义的。因此，如合适时，本指引采纳了COSO报告所提的模式。英格兰及韦尔斯特许会计师公会于一九九九年九月在英国出版的《内部监控：综合守则的董事指引》(InternalControl:GuidanceforDirectorsontheCombinedCode)。3.5我们鼓励上市公司的董事会在进行下列事项时参考本指引：·评估公司遵守《守则》原则C.2的情况；实施《守则》条文第C.2.1条的规定；·在《企业管治报告》中向股东汇报该等事宜。3.6董事就检讨公司如何实施《守则》内有关内部监控的规定及向股东汇报实施情况时应作出判断。3.7公司应从企业管治的角度，把本文件内关于设立完善的内部监控系统及检讨其有效性的指引，纳入公司日常管理及管治的程序内，作为公司董事会及管理层向股东问责的一环，而不应把指引视为要符合证券市场监管机构所颁布并执行的监管规定而实行的一项措施。4.0指引的应用性4.1本指引的主要对象是《守则》条文第C.2.1条所指的上市公司及其附属公司，然而，上市公司的性质各有不同。内部监控系统应按照个别公司的具体特点和情况，例如：根据其行业、规模及组织结构而度身制订。因此，不适合采用「放诸四海皆准」(onesizefitsall)的模式。4.2虽然本指引所载的原则及建议可能需要根据公司的个别情况而作出调整，但我们相信这些原则及建议会为大部分的上市公司提供有用的参考数据。我们鼓励所有属上市集团成员的公司采纳这些原则及建议，同时，我们亦希望本指引能为拟实施或加强内部监控的公司提供有用的参考数据。4.3在本指引内，倘若提述「公司」，如适用者，应指其申报公司为母公司的集团。对集团公司而言，在检讨内部监控的有效性及向股东作出的有关汇报时，应从集团整体角度出发，例如：集团公司应检讨所有重要地区的所有重要监控系统是否有效。4.4就应用本指引而言，倘若有重大的合营企业及联营公司并未被纳入为集团成员而得以处理，我们鼓励公司应作出有关披露。若有应用于这些实体的风险管理及内部监控保证的其它资源，也应予以披露内部监控与风险管理的基本架构（连载三）B.实施内部监控及风险管理1.0内部监控的架构及范畴1.1「内部监控」并无简单定义。然而，诚如上文A.3.4段所述，公会认为COSO报告提供了有用的模式，所以本指引在适合时采用了COSO报告所述的定义及概念性架构。1.2COSO报告所述的内部监控系统的定义，是指为达致以下目标而提供合理保证的程序：.营运的效益及效率.财务汇报的可靠性.遵守适用的法律规则1.3内部监控对业务的有效营运及日常运作极为重要，并有助公司达致其业务目标。诚如上文所述，内部监控的范畴非常广泛，它包含纳入策略性、管治及管理程序内的所有监控，涵盖公司全面的业务及营运，而不单只是直接涉及财务营运及汇报的监控。内部监控的范畴并不局限于业务中一般被视为法规遵守事宜的层面，同时也延伸至业务的绩效层面。1.4内部监控必须针对业务的具体性质及需要。因此，它们应反映出完善的企业实务，并在持续转变的营中经常保持适切性，让公司对业务或行业的具体需要能够作出反应。1.5不应视监控为业务的一项负担，反之应视它为一种途径，藉以增加业务发展的机会及减低由不速事件造成的潜在损失。此外，成功的公司不应自满或被本身的成就所蒙蔽。有许多例子，都是由于缺乏内部监控或内部监控出现缺点而危及公司的成功。1.6同时，成本／效益方程式亦与内部监控系统有关。在整体系统的设计及在风险识别、评估和厘定风险的优先次序方面，必须考虑成本／效益的因素。1.7然而，监控并不等同管理，而且并不构成与公司管理有关的事宜。虽然它的目的是支持公司达致业务目标，并可作为对可能阻碍达致目标的障碍的预警系统，但另一方面，内部监控并不说明要订立哪些目标。虽然它有助确保为决策、执行及监察工作提供可靠数据，亦能帮助管理层对所采取行动的后果作出评估及汇报，但并不能取代管理层作出策略及营运决定。此外，应否采取行动及应采取甚么行动的决定属内部监控范畴以外的事。1.8随之而言，监控系统存在一些固有的限制。设计完善的内部监控系统能减少但不能消除决策判断失误、人为错误、监控活动及程序受雇员或其它人士串谋破坏、管理层逾越监控及其它不可预见的情况。1.9因此，完善的内部监控系统有助提供合理但并非绝对的保证，以确保公司避免在达致其业务目标或在合法进行业务过程中，被可以合理地预见的情况所妨碍。然而，完善的内部监控系统并不能对公司提供百份百保障，避免其业务目标无法达致或避免出现所有重大错误、损失、欺诈或违反法规的情况。1.10诚如上文A.4.1段所指，没有两间公司会有或应该有相同的内部监控系统。公司及其监控系统会因行业、规模和组织结构，以及公司文化和管理哲学不同而有所分别。因此，虽然所有公司都需要下文B.2.2段所述的每个元素，确保其业务活动有足够的监控，但每间公司应有一个独特的、配合本身的情况而度身制订的内部监控系统。管理层须根据公司的需要而作出判断，设订所需监控系统的性质及了解这些监控系统的运作是否有效，以达致公司的目标。2.0完善的内部监控系统的要素2.1内部监控系统包括公司的政策、程序、工作、行为及其它方面，当集合一起时则可：.透过让公司能够对与达致公司目标有关的重要业务、营运、财务、法规遵守及其它风险作出适当反应，从而促进公司的营运成效及效率。这包括保障资产，避免误用或流失及欺诈，并确保负债得到确认及控制；.有助确保对内、对外汇报的质素。这需要维持适当的记录及程序，从而使机构内外产生适时、相关及可靠的信息；及有助确保遵守适用的法律和条例，以及遵守业务操守的内部政策。2.2内部监控可分成五个互相关连的元素。就配合达致个别而又重迭的营运、财务汇报及法规遵守的目标时，这些元素也作为评估内部监控系统有效性的标准，图2内已有说明。这些元素是：(i)监控环境–是其它内部监控元素的根基，并提供纪律及结构。监控环境因素包括人员的道德价值及胜任能力（素质）、董事会提供的指示及管理的效率。(ii)风险评估–识别及分析影响达致目标的风险（包括与监管及营运环境不断转变有关的风险），以此作为厘定应如何降低及管理这些风险的依据。(iii)监控活动–帮助确保管理层的指示得以执行，以及用于处理风险以达致公司目标的任何行动得以采取的各种政策及程序。(iv)信息及沟通–在人员能够履行职责的方式及时间范围内，识别、取得及汇报营运、财务及法规遵守的相关信息的有效程序及系统。(v)监察–持续评估内部监控系统是否充足及其表现素质的程序。内部监控不善之处应向适当的上级管理层..报。适当的上级可以是高级管理层、审核委员会或董事会。2.3公司的内部监控系统会反映其监控环境，而监控环境则包含其组织结构。2.4内部监控系统应：.嵌入公司的营运内，并构成公司文化的一部分；.能够对由公司内在因素所产生的业务风险及对营的改变迅速作出反应；及包括向适当的管理层实时..报经确认的任何重大监控失误或弱项，及所采取的纠正行动细节的程序。2.5虽然个别公司有不同的特质，但内部监控程序一般应尽可能保持简单直接，同时应谨记需要确保（a）成本没有超过效益及（b）各级职员能够了解维持足够监控的重要，而不会在实施监控时，因遇到不必要的复杂情况而对此产生不满。2.6公司的目标与达致这些目标所需的内部监控元素存在直接关系。这种关系于图3以图像表述。所有元素适用于上文B.1.2段所提及的三个目标类别。图3内的第三个立体面代表附属公司、部门或其它业务单位，以及功能上或其它业务上的活动，例如：采购、生产及市场推广。这反映出内部监控不单对公司整体，而且对该公司的各个部分都是息息相关的。3.0培训的需要3.1公司应给予董事及管理层适当的培训，让他们正确认识内部监控、其职能及范畴，包括申报事项。这样一方面有助公司遵守内部监控的监管规定，同时也能为达致业务目标提供更大的保证。培训课程可以由公司内部提供，亦可以透过培训机构或专业团体提供。4.0风险管理4.1风险管理的程序包括：.认识公司的目标；.识别在达致或不能达致目标的过程中出现的风险，以及对个别风险出现的可能性和它们带来的影响作出评估；.拟订应对风险的计划；及.监察及评估风险及现存应对风险的安排。4.2风险可以影响很多范畴，例如：策略、运作、财务、科技及环境。较明确之风险包括：重要员工的流失，财务及其它资源大幅度被削减，发生严重阻碍讯息传播的事故，火灾或其它灾难，以致业务被干扰及／或记录遗失。更概括地说，风险亦包括各种问题，例如：欺诈、浪废、滥用及管理不善。4.3附录IV列举了可能需要考虑的若干风险种类，但该清单不应被视为巨细无遗，也不是为个别行业而度身制订的。任何一间公司所面对的实际风险，可能包括个别行业独特的风险种类，亦与该公司的具体情况有关。4.4风险管理对减低企业目标受不可预见事件影响的可能性极为重要。董事会应厘定公司可接受的风险种类及程度，并致力把风险维持在这些范围内。内部监控是管理风险其中一个主要途径。4.5在商业世界中，公司的目标及公司营运的环境持续转变，导致公司所面对的风险也不断改变。完善的内部监控系统有赖于对公司所承担的风险的性质及程度进行全面及定期评估。内部监控系统要有足够的灵活性，以便在环境、公司组织及目标与活动有所变更时，能作出相应改变及调整。4.6因为利润及股东价值的增加，部分是由于公司能够成功地承担了业务风险的回报，因此，内部监控的目的是要帮助适当地管理及监控风险，而不是杜绝风险。4.7完善的风险管理和内部监控的基本因素，以及有效的风险管理和内部监控所显示的一些潜在优点于下面图4及图5内分别说明。4.8有效的财务监控是内部监控的要素。财务监控有助识别及管理债务，确保公司不会面对本可避免的财务风险（例如：由衍生产品及金融工具导致的损失），以及确保用于公司业务中及公司所公布的财务讯息的可靠性。财务监控亦有助保障资产不被挪用或流失，包括防止及侦察欺诈。4.9内部财务监控亦是完善的风险管理基本因素的重要一环，是支持更广泛的业务风险管理的基础。它必须向董事会及高级管理层提供具足够素质的信息，使他们能作出良好的商业决定，并遵守法规所订之责任。内部财务监控重要的范畴包括保存正确的财务记录，以支持财政预算、预测、其它管理讯息（例如：每月管理帐目及报告、财政预算与实际业绩表现的比较）及可靠的中期和年终报告。4.10财政预算是业务计划中重要的管理工具及主要的监控程序。有效率及有成效的财政预算系统应与业务计划挂，结合可量度的公司目标、政策及事件优先次序的说明、达致目标的策略及资源架构。这样能促进公司订立更清晰的远景、促使公司制订适当的前瞻性计划及有助于善用资源。因此，在制订及监察阶段，风险评估亦与财政预算及业务策划程序有关。定期检讨业务计划及财政预算的持续相关性，并监察财政预算的表现和进度，是至为重要的。5.0将程序加以嵌入5.1许多雇员可能负上内部监控的部分职责，作为其达致目标的问责制度的一环。某些主要人员的责任在下文C.5.0内有所提及，但其它人士也有各自的角色。他们整体必须拥有适当的知识、技能和讯息，以及拥有设立、操作和监察内部监控系统的职权，亦必须要了解公司、公司目标、公司身处运作的行业和市场及公司所要面对的风险。5.2监控系统必须嵌入公司藉以追求其目标的业务程序中。随之而言，与其发展另一套风险报告系统，不如把预警机制纳入现有的管理信息系统内。过份繁复的风险管理程序会使其偏离重点，而这个重点就是通过把监控系统结合于现存的流程内，使公司内各人能更加专注于达致业务目标，并管理好与各人工作有关的重大风险。5.3透过把风险管理嵌入于公司业务程序中，公司有机会消除重复或不必要的监控及创造一个环境，在完善的风险管理实务规范下，赋予公司内各人更大的权力，以满足顾客的需要。5.4要解决的其中一个主要问题，就是行政管理层如何把重要的风险管理问题列入其议程中。倘若设有风险委员会，它应避免取代行政管理层的作用。它可以促使公司制订良好的风险管理措施及提高公司的风险管理意识，但不应取替行政管理层在风险管理方面的角色。5.5高级管理层及董事会需自问是否有足够而适时、相关及可靠的报告，让他们清楚业务目标及重要风险管理的进度。举例说，他们是否掌握足够的、具质量的关于雇客满意程度及雇员态度的信息？同时当风险改变时，他们是否掌握必须的商业讯息，从而使他们能有效地作出响应？C.内部监控及风险管理的职责以及检讨的程序1.0董事会1.1大致而言，内部监控系统的目的是使公司能达致其业绩表现和盈利之目标，与及达致公司的整体使命。在这方面，董事会认同一套清楚界定的目标是至为重要的。这些目标应在全公司内广泛传达。诚如先前所述，内部监控系统的直接目的是有助提供合理程度的保证，确保公司达致既定目标。就管理对完成业务目标至为重要的风险而言，内部监控扮演一个重要角色。1.2《守则》原则C.2说明，董事会的职责是确保公司的内部监控系统一直稳健妥善而且有效，以保障股东的投资及公司的资产。为履行此职责，董事应最少每年检讨一次司及其附属公司的内部监控系统是否有效，并在《企业管治报告》中向股东汇报已经成有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控以及风险管理功能（《守则》条文第C.2.1条）。1.3董事会于每份中期报告日前评估公司于报告期内发生而对公司已有重大影响，或在合理程度上可能有重大影响的内部监控系统的任何转变，是一项良好实务。在中期报告内，公司亦应考虑是否披露内部监控系统任何重大失误或弱项及其对公司的影响，让投资者及公众人士评估公司的状况。1.4虽然管理层须就设计、运作及监察内部监控系统向董事会负责，并向董事会保证己经完成有关工作，但检讨内部监控系统是否有效属董事会职责的重要部分。董事会需要根据管理层所提供的信息及保证，作出适当及仔细的查询后，就内部监控是否有效发表意见。1.5董事会可以委派董事会委员会，例如：审核委员会（亦见下文C.4.0）、风险管理委员会等，处理检讨工作的细节。该等委员会的检讨工作范畴是经董事会考虑各种因素而厘定，例如：董事会的人数及结构、公司业务规模、业务多元性及公司运作的复杂程度，以及公司所面对重大风险的性质。1.6若董事会委派董事会委员会进行本指引内属于董事会的工作，有关委员会的工作结果应予汇报给董事会，由董事会审阅。考虑到董事会负上在《企业管治报告》内有关内部监控披露事宜的最终责任，全体董事须经适当及仔细查询后，对有关检讨工作是否足够发表意见。1.7持续有效的监控是完善的内部监控系统的要素。然而，董事会不应是被动，并且不应只依据公司内的嵌入监察程序以履行其职责。董事会应定期收取及审阅内部监控报告。1.8此外，董事会须对公司及其附属公司的内部监控系统的有效性进行每年评估，以便在《企业管治报告》内作出内部监控系统的公开声明。有关评估必须涵盖财务报表所涉及的期间，以及（在适当情况下）直至有关年报及财务报表批准日止的非常重大事项。1.9董事会应规定其检讨内部监控之有效性所拟采用的程序。这应包括在年度内呈交董事会审阅的报告的范畴及频次，以及年度评估的程序，从而使董事会拥有可靠及适当的文件，以支持其在《企业管治报告》内所作的内部监控声明。1.10被委派对内部监控系统提供意见的管理层或其它人士（例如：内部核数师），应不时向董事会或指定的董事会委员会提交工作报告，汇报公司现时最新的监控情况。事实上，这是一个持续评估程序，以确保所有重要业务均已纳入评估的范畴。1.11就报告所涵盖的范畴，董事会应明确表示希望报告能够对重要风险及内部监控系统能否有效地管理该等风险作出中肯的评估。已经识别的任何重大监控失误或弱项，包括这些监控失误或弱项已经、或可能已经或可能将会对公司产生的影响，以及纠正这些失误或弱项所采取的行动，应在报告内加以讨论。管理层与董事会就风险及监控事宜进行坦诚的沟通是至为重要的。1.12关键风险指标及嵌入的监察措施所产生的结果，应持续地向董事会及指定的委员会汇报，而董事会主席应鼓励在每次董事会会议上讨论风险管理及内部监控事项，并把该等事项列入董事会一般会议议程内。其它委员会（例如：行政及审核委员会）作出的报告，也提供了讨论风险及监控问题的机会。1.13于年度内审阅报告时，董事会应：.考虑哪些是重要风险及评估如何识别、衡量及管理该等风险；.特别就已经汇报的任何内部监控失误或弱项，评估有关内部监控系统在管理重大风险方面的有效性；.考虑是否实时采取必要的行动，以纠正内部监控的任何重大失误或弱点；及.考虑评估结果是否表示有需要进一步扩大内部监控系统的监察范围。1.14在《企业管治报告》中就对公司内部监控系统作出公开声明所进行的年度评估工作，董事会应考虑其于年度内所审阅的有关报告中所处理过的任何问题，以及其它额外的必须数据，以确保于检讨年度内及直至有关年报及财务报表批准日止，董事会已经考虑过公司内部监控系统的各重要方面，包括财务、运作和合规监控以及风险管理之功能。1.15进行年度评估时，我们也鼓励董事会考虑《守则》C.2.2段内列明为「建议最佳常规」的各事项。1.16倘若董事会于任何时间知悉内部监控系统有任何重大失误或弱项，应决定这些失误或弱项是如何产生，及应重新评估管理层对内部监控系统的设计、运作及监察的持续程序是否有效。董事会可能需要考虑是否应及时披露内部监控系统的任何重大失误或弱项及其对公司的影响，特别是有关数据可以被视为价格敏感的数据，让投资者及公众人士能够衡量公司的状况。1.17为对内部监控的有效性进行客观评估，董事及管理层应制订一套标准，作为判断的基础。1.18在..述公司如何应用《守则》原则C.2的声明中，在适用时，董事会至少应披：.公司设有识别、评估及管理公司所面对而威胁其达致业务目标的重大风险的持续程序；.公司于检讨年度内及直至有关年报和财务报表批准日止已经设有内部监控系统；及内部监控系统于检讨年度内已经由董事会进行检讨。1.19董事会亦可考虑披露公司的内部监控系统是否符合本指引内列明的原则。1.20董事会可考虑在《企业管治报告》内提供额外资料，以帮助投资者了解公司的风险管理程序及内部监控系统。1.21关于应用《守则》原则C.2的披露事宜，应包括董事会作出的确认声明，说明董事会负责确保公司维持一个完善、有效的内部监控系统及检讨该系统的有效性。1.22董事会也应解释该系统是用作管理风险，以达致公司的业务目标，而不是杜绝失误风险，而该系统只能对这方面提供合理但不是绝对的保证。此外，该系统不能保证不会发生重大错报或损失。1.23根据《守则》条文第C.2.1条，董事会应概述其（如适用，透过其委员会）检讨内部监控系统的有效性所采用的程序。董事会也应披露其处理在年报及财务报表内所披露的有关重要内部监控的任何重大问题的程序。1.24《主板上市规则》附录二十三及《创业板上市规则》附录十六第三段列明在《企业管治报告》中建议披露的内部监控数据。这些就是我们鼓励上市公司在其《企业管治报告》中评述的范畴，但其所需的详尽程度，则视乎上市公司业务活动的性质及复杂性而可能有所不同。1.25倘若董事会不能作出上文C.1.18及C.1.23段所述的一项或多项披露数据，也应考虑说明事实并给予解释。《守则》规定，倘若董事会未能对公司及其附属公司的内部监控系统或其任何一部分是否有效进行检讨，应作出披露并提供经过深思熟虑得出的理由。1.26董事会应确保所披露的数据为有意义的数据，而且并无给人有误导的感觉。董事会应参考《主板上市规则》第2.13(2)条，说明上市公司及其董事于披露资料时所应采用的一般性原则。2.0董事会政策2.1内部监控系统由不同人士执行，而公司内的许多人士都会承担内部监控的部分角色及职责，作为其对达致目标的问责的一环。2.2如上文所述（见C.1.2段），董事会是最终负责公司内部监控系统的。董事会应制订适当的内部监控政策，并应索要、取得及评估由行政管理人员、公司核数师和其它有关人士（如适用者）对内部监控结构的每个元素（见上文B.2.2段）所编制的有关资料，让董事会满意该系统及程序是有效地运作的。2.3董事会应进一步确保内部监控系统有效地把风险经已批准的方式监控，及维持在已批准的范围内。2.4在厘定内部监控政策，及藉此评估在公司的独特情况下构成完善的内部监控系统的元素时，董事会应详细考虑以下因素：.公司面对的风险的性质及程度；.董事会认为公司可以承受的风险的程度及种类；.风险实现的可能性；.公司减低风险实现的能力及减低这些风险实现时对业务产生影响的能力；及.把特定监控系统的运作成本与管理有关风险所获得的益处相对比。2.5董事会首要采取正确的态度及传递一个清楚的信息，说明各人应认真地负上监控职责，这是至为重要的。为达致这目标，董事会可自问，例如：公司对风险管理及内部监控抱有正确的态度吗？一些事项会显示出有需要改变对风险管理及内部监控的行为和心态。这些事项包括：.董事会认为风险管理「不是他们的问题」；.公司只关注内部财务监控方面而不是更广..层面的内部监控；.董事会对业务目标缺乏共识；.检讨内部监控系统只被视为是为了遵守规例及作出公开声明而进行的工作，而不是业务的一部分；.风险管理被视为某项功能的责任，例如：审核或保险；.缺乏已确定的关键风险指标；及.雇员缺乏风险意识的培训或经验。2.6许多公司的董事会都是透过功能委员会（例如：审核、薪酬及提名委员会）履行其职责。不同的委员会可以从不同的观点分别为内部监控元素提供意见，亦可以在有关政策事项上向董事会提供协助。3.0内部审核功能3.1《守则》C.2.5段说明，没有内部审核功能的公司，应每年检讨是否需要增设此项功能，然后在其《企业管治报告》内披露检讨结果。3.2公司设有内部审核功能，定期监察关键监控及程序，是一项良好实务。该等定期监察是公司内部监控系统的组成部分，有助确保监控系统的有效性。3.3内部审核可以透过以下途径对公司作出重大和有价值的贡献：.对风险管理，特别是环绕内部监控系统的设计、执行及运作方面提供建议；.藉..识别节省监控成本的机会，与及减低运作上及有关的损失，从而加强风险管理和监控管理的效率及成效；及.提升公司内的风险及监控概念，例如：透过举办或推行自我评估监控计划。3.4内部审核功能可以提供各方面的收益。倘若有适当资源，它应可以：(a)就公司的风险管理及内部监控的架构是否足够及有效向董事会及管理层提供客观保证；(b)帮助管理层改善用以识别及管理风险的程序；及(c)协助董事会履行其加强及改善风险管理和内部监控架构的职责。3.5然而，是否需要设有内部审核功能则要视乎个别公司之特性。这些特性包括公司业务活动的规模、结构、多元化程度和复杂性、雇员数目、公司的企业文化以及成本／效益等。高级管理层及董事会可能希望取得风险及监控的客观保证及建议。获足够资源分配的内部审核功能（或具有其相同性质的功能，例如：合资格的独立第三方受雇进行一部分或全部有关工作）可提供这类保证及建议。公司内可能有其它功能，同样提供涵盖专门范畴（例如：健康与安全、规则与法例的遵守及环保问题）的保证及建议。3.6倘若缺乏内部审核功能，管理层需应用其它监察程序，向本身及董事会保证内部监控系统按既定方针运作。在这些情况下，董事会需要评估该等监察程序能否提供足够及客观的保证。3.7董事会在评估是否有需要设置内部审核功能时，应考虑是否存在与公司业务活动、市场或公司其它方面相关的外在环境的任何趋势或当前因素，而这些趋势或因素已增加或预期会增加公司所面对的风险。风险增加也可能由内在因素导致，例如：机构重组、..报程序或相关信息系统的改变。其它要考虑的事项包括由内部监控系统的监察工作或意外事件发生的次数增加所显示的不利趋势。3.8我们鼓励未有设立内部审核功能的公司的董事会，在其每年评估是否有需要增设此项功能时，应考虑上文C.3.5及C.3.7段所述之因素。3.9倘若公司已设有内部审核功能，我们建议董事会在每年检讨内部审核之工作范畴、职权及资源时，亦须考虑包括上文C.3.5及C.3.7段所述之因素。4.0审核委员会4.1.审核委员会在公司的监控及风险管理架构上（包括在检讨程序中）担当重要角色。《主板上市规则》第3.21条及《创业板上市规则》第5.28条规定每间上市公司须设立审核委员会。4.2审核委员会的职权范围至少应包括《守则》条文第C.3.3条所载的职责，当中包括以下与监管上市公司财务申报制度及内部监控程序有关的职责：.检讨公司的财务监控、内部监控及风险；.与管理层讨论内部监控系统，确保管理层已履行职责，建立有效的内部监控系统；.主动或应董事会的委派，就有关内部监控事宜的重要调查结果及管理层对该等结果的响应进行研究；.如公司设有内部审核功能，须确保内部和外聘核数师的工作得到协调；也须确保内部审核功能在公司内部有足够资源运作，并且有适当的地位；以及检讨及监察内部审核功能是否有效；.检讨集团的财务及会计政策及实务；及.检查外聘核数师给予管理层的《审核情况说明函件》、核数师就会计记录、财务帐目或监控系统向管理层提出的任何重大疑问及管理层作出的响应。（有关审核委员会角色及职责的更详尽指引，请参考公会于二零零二年二月出版的《审核委员会有效运作指引》。）