D.2 风险管理及内部监控
原则
董事会负责评估及厘定发行人达成策略目标时所愿意接纳的风险性质及程度,并确保发行人设立及维持合适及有效的风险管理及内部监控系统。上述风险包括但不限于与环境、社会及管治有关的重大风险(详情见《上市规则》附录二十七的《环境、社会及管治报告指引》)。董事会应监督管理层对风险管理及内部监控系统的设计、实施及监察,而管理层应向董事会提供有关系统是否有效的确认。
守则条文
D.2.1
董事会应持续监督发行人的风险管理及内部监控系统,并确保最少每年检讨一次发行人及其附属公司的风险管理及内部监控系统是否有效,并在《企业管治报告》中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面,包括财务监控、运作监控及合规监控。
D.2.2
董事会每年进行检讨时,应确保发行人在会计、内部审核、财务汇报职能方面以及与发行人环境、社会及管治表现和汇报相关的资源、员工资历及经验,以及员工所接受的培训课程及有关预算是足够的。
D.2.3
董事会每年检讨的事项应特别包括下列各项:(a) 自上年检讨后,重大风险(包括环境、社会及管治风险)的性质及严重程度的转变、以及发行人应付其业务转变及外在环境转变的能力;
(b) 管理层持续监察风险(包括环境、社会及管治风险)及内部监控系统的工作范畴及素质,及(如适用)内部审核功能及其他保证提供者的工作;
(c) 向董事会(或其辖下委员会)传达监控结果的详尽程度及次数,此有助董事会评核发行人的监控情况及风险管理的有效程度;
(d) 期内发生的重大监控失误或发现的重大监控弱项,以及因此导致未能预见的后果或紧急情况的严重程度,而该等后果或情况对发行人的财务表现或情况已产生、可能已产生或将来可能会产生的重大影响;及
(e) 发行人有关财务报告及遵守《GEM上市规则》规定的程序是否有效。
D.2.4
发行人应在《企业管治报告》内以敍述形式披露其如何在报告期内遵守风险管理及内部监控的守则条文。具体而言,有关内容应包括:(a) 用于辨认、评估及管理重大风险的程序;
(b) 风险管理及内部监控系统的主要特点;
(c) 董事会承认其须对风险管理及内部监控系统负责,并有责任检讨该等制度的有效性。董事会亦应阐释该等系统旨在管理而非消除未能达成业务目标的风险,而且只能就不会有重大的失实陈述或损失作出合理而非绝对的保证;
(d) 用以检讨风险管理及内部监控系统有效性的程序及解决严重的内部监控缺失的程序;及
(e) 处理及发布内幕消息的程序和内部监控措施。
D.2.5
发行人应设立内部审核功能。没有内部审核功能的发行人须每年检讨是否需要增设此项功能,并在《企业管治报告》内解释为何没有这项功能。注:1 内部审核功能普遍是对发行人的风险管理及内部监控系统是否足够和有效作出分析及独立评估。
2 拥有多家上市发行人的集团可让旗下成员公司共用集团资源去执行内部审核功能。
D.2.6
发行人应制定举报政策及系统,让雇员及其他与发行人有往来者(如客户及供应商)可暗中及以不具名方式向审核委员会(或任何由独立非执行董事占大多数的指定委员会)提出其对任何可能关于发行人的不当事宜的关注。
D.2.7
发行人应制定促进和支持反贪污法律及规例的政策和系统。
建议最佳常规
D.2.8
董事会可于《企业管治报告》中披露已取得管理层对发行人风险管理及内部监控系统有效性的确认。
D.2.9
董事会可于《企业管治报告》中披露已取得管理层对发行人风险管理及内部监控系统有效性的确认。