D. 核数、内部监控及风险管理
D.1 财务汇报
原则
董事会应平衡、清晰及全面地评核公司的表现、情况及前景。
守则条文
D.1.1
管理层应向董事会提供充分的解释及资料,让董事会可以就提交给他们批准的财务及其他资料,作出有根据的评审。
D.1.2
D.1.3
董事应在《企业管治报告》中承认他们有编制账目的责任,核数师亦应在有关财务报表的核数师报告中就他们的汇报责任作出声明。除非假设公司将会持续经营业务并不恰当,否则,董事拟备的账目应以公司持续经营为基础,有需要时更应辅以假设或保留意见。若董事知道有重大不明朗事件或情况可能会严重影响发行人持续经营的能力,董事应在《企业管治报告》清楚显著披露及详细讨论此等不明朗因素。《企业管治报告》应载有足够资料,让投资者明白事件的严重性及意义。在合理和适当的范围内,发行人可提述年报其他部分。该等提述必须清楚明白,不得含糊,而《企业管治报告》不能只列出相互参照的提述而对有关事宜不作任何论述。
D.1.4
有关董事会应在年度报告及中期报告及根据《上市规则》规定须予披露的其他财务资料内,对公司表现作出平衡、清晰及容易理解的评审。此外,其亦应在向监管者提交的报告及根据法例规定披露的资料内作出同样的陈述。
建议最佳常规
D.1.5
发行人应于有关季度结束后45天内公布及刊发季度财务业绩,所披露的资料应足以让股东评核发行人的表现、财务状况及前景。发行人拟备季度财务业绩时,应使用其半年度及年度账目的会计政策。
D.1.6
发行人开始公布季度财务业绩后,其后的财政年度即应继续汇报截至第三个月及第九个月的季度业绩。若发行人决定不继续公布及刊发某一季度的财务业绩,应公布作出这项决定的原因。
D.2 风险管理及内部监控
原则
董事会负责评估及厘定发行人达成策略目标时所愿意接纳的风险性质及程度,并确保发行人设立及维持合适及有效的风险管理及内部监控系统。上述风险包括但不限于与环境、社会及管治有关的重大风险(详情见《上市规则》附录C2的《环境、社会及管治报告指引》)。董事会应监督管理层对风险管理及内部监控系统的设计、实施及监察,而管理层应向董事会提供有关系统是否有效的确认。
守则条文
D.2.1
董事会应持续监督发行人的风险管理及内部监控系统,并确保最少每年检讨一次发行人及其附属公司的风险管理及内部监控系统是否有效,并在《企业管治报告》中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面,包括财务监控、运作监控及合规监控。
D.2.2
董事会每年进行检讨时,应确保发行人在会计、内部审核、财务汇报职能方面以及与发行人环境、社会及管治表现和汇报相关的资源、员工资历及经验,以及员工所接受的培训课程及有关预算是足够的。
D.2.3
董事会每年检讨的事项应特别包括下列各项:(a) 自上年检讨后,重大风险(包括环境、社会及管治风险)的性质及严重程度的转变、以及发行人应付其业务转变及外在环境转变的能力;
(b) 管理层持续监察风险(包括环境、社会及管治风险)及内部监控系统的工作范畴及素质,及(如适用)内部审核功能及其他保证提供者的工作;
(c) 向董事会(或其辖下委员会)传达监控结果的详尽程度及次数,此有助董事会评核发行人的监控情况及风险管理的有效程度;
(d) 期内发生的重大监控失误或发现的重大监控弱项,以及因此导致未能预见的后果或紧急情况的严重程度,而该等后果或情况对发行人的财务表现或情况已产生、可能已产生或将来可能会产生的重大影响;及
(e) 发行人有关财务报告及遵守《GEM上市规则》规定的程序是否有效。
D.2.4
发行人应在《企业管治报告》内以敍述形式披露其如何在报告期内遵守风险管理及内部监控的守则条文。具体而言,有关内容应包括:(a) 用于辨认、评估及管理重大风险的程序;
(b) 风险管理及内部监控系统的主要特点;
(c) 董事会承认其须对风险管理及内部监控系统负责,并有责任检讨该等制度的有效性。董事会亦应阐释该等系统旨在管理而非消除未能达成业务目标的风险,而且只能就不会有重大的失实陈述或损失作出合理而非绝对的保证;
(d) 用以检讨风险管理及内部监控系统有效性的程序及解决严重的内部监控缺失的程序;及
(e) 处理及发布内幕消息的程序和内部监控措施。
D.2.5
发行人应设立内部审核功能。没有内部审核功能的发行人须每年检讨是否需要增设此项功能,并在《企业管治报告》内解释为何没有这项功能。注:1 内部审核功能普遍是对发行人的风险管理及内部监控系统是否足够和有效作出分析及独立评估。
2 拥有多家上市发行人的集团可让旗下成员公司共用集团资源去执行内部审核功能。
D.2.6
发行人应制定举报政策及系统,让雇员及其他与发行人有往来者(如客户及供应商)可暗中及以不具名方式向审核委员会(或任何由独立非执行董事占大多数的指定委员会)提出其对任何可能关于发行人的不当事宜的关注。
D.2.7
发行人应制定促进和支持反贪污法律及规例的政策和系统。
建议最佳常规
D.2.8
董事会可于《企业管治报告》中披露已取得管理层对发行人风险管理及内部监控系统有效性的确认。
D.2.9
董事会可于《企业管治报告》中披露已取得管理层对发行人风险管理及内部监控系统有效性的确认。
D.3 审核委员会
原则
董事会应就如何应用财务汇报、风险管理及内部监控原则及如何维持与发行人核数师适当的关系作出正规及具透明度的安排。根据《上市规则》成立的审核委员会须具有清晰的职权范围。
守则条文
D.3.1
审核委员会的完整会议纪录应由正式委任的会议秘书(通常为公司秘书)保存。会议纪录的初稿及最后定稿应在会议后一段合理时间内发送委员会全体成员,初稿供成员表达意见,最后定稿作其纪录之用。
D.3.2
现时负责审计发行人账目的核数公司的前任合伙人在以下日期(以日期较后者为准)起计两年内,不得担任发行人审核委员会的成员:
(a) 该名人士终止成为该公司合伙人的日期;或
(b) 该名人士不再享有该公司财务利益的日期。
D.3.3
审核委员会的职权范围须至少包括:与发行人核数师的关系(a) 主要负责就外聘核数师的委任、重新委任及罢免向董事会提供建议、批准外聘核数师的薪酬及聘用条款,及处理任何有关该核数师辞职或辞退该核数师的问题;
(b) 按适用的标准检讨及监察外聘核数师是否独立客观及核数程序是否有效;审核委员会应于核数工作开始前先与核数师讨论核数性质及范畴及有关汇报责任;
(c) 就外聘核数师提供非核数服务制定政策,并予以执行。就此规定而言,「外聘核数师」包括与负责核数的公司处于同一控制权、所有权或管理权之下的任何机构,或一个合理知悉所有有关资料的第三方,在合理情况下会断定该机构属于该负责核数的公司的本土或国际业务的一部分的任何机构。审核委员会应就任何须采取行动或改善的事项向董事会报告并提出建议;
审阅发行人的财务资料(d) 监察发行人的财务报表以及年度报告及账目、半年度报告及(若拟刊发)季度报告的完整性,并审阅报表及报告所载有关财务申报的重大意见。委员会在向董事会提交有关报表及报告前,应特别针对下列事项加以审阅:
(i) 会计政策及实务的任何更改;
(ii) 涉及重要判断的地方;
(iii) 因核数而出现的重大调整;
(iv) 企业持续经营的假设及任何保留意见;
(v) 是否遵守会计准则;及
(vi) 是否遵守有关财务申报的《上市规则》及法律规定;
(e) 就上述(d)项而言:-
(i) 委员会成员应与董事会及高级管理人员联络。委员会须至少每年与发行人的核数师开会两次;及
(ii) 委员会应考虑于该等报告及账目中所反映或需反映的任何重大或不寻常事项,并应适当考虑任何由发行人属下会计及财务汇报职员、监察主任或核数师提出的事项;
监管发行人财务汇报制度、风险管理及内部监控系统(f) 检讨发行人的财务监控,以及(除非有另设的董事会辖下风险委员会又或董事会本身会明确处理)检讨发行人的风险管理及内部监控系统;
(g) 与管理层讨论风险管理及内部监控系统,确保管理层已履行职责建立有效的系统。讨论内容应包括发行人在会计及财务汇报职能方面的资源、员工资历及经验是否足够,以及员工所接受的培训课程及有关预算又是否充足;
(h) 主动或应董事会的委派,就有关风险管理及内部监控事宜的重要调查结果及管理层对调查结果的回应进行研究;
(i) 如公司设有内部审核功能,须确保内部和外聘核数师的工作得到协调;也须确保内部审核功能在发行人内部有足够资源运作,并且有适当的地位;以及检讨及监察其成效;
(j) 检讨集团的财务及会计政策及实务;
(k) 检查外聘核数师给予管理层的《审核情况说明函件》、核数师就会计纪录、财务账目或监控系统向管理层提出的任何重大疑问及管理层作出的回应;
(l) 确保董事会及时回应于外聘核数师给予管理层的《审核情况说明函件》中提出的事宜;
(m) 就本守则条文的事宜向董事会汇报;及
(n) 研究其他由董事会界定的课题。
D.3.4
审核委员会应在本交易所网站及发行人网站上公开其职权范围,解释其角色及董事会转授予其的权力。
D.3.5
凡董事会不同意审核委员会对甄选、委任、辞任或罢免外聘核数师事宜的意见,发行人应在《企业管治报告》中列载审核委员会阐述其建议的声明,以及董事会持不同意见的原因。
D.3.6
审核委员会应获供给充足资源以履行其职责。
D.3.7
审核委员会的职权范围亦须包括:(a) 检讨发行人设定的以下安排:发行人雇员可暗中就财务汇报、内部监控或其他方面可能发生的不正当行为提出关注。审核委员会应确保有适当安排,让发行人对此等事宜作出公平独立的调查及采取适当行动;及
(b) 担任发行人与外聘核数师之间的主要代表,负责监察二者之间的关系。