引言

　　2005年，为了加强对上市公司的监管，香港联交所推出《企业管治守则》和《企业管治报告》，并多次进行了修订，为在港上市企业规范内部管治提供了指引。2024年6月14日，联交所发布了《企业管治守则》及相关《上市规则》条文检讨的咨询文件（简称为“咨询文件”）。咨询文件就董事会效能、董事会独立性、董事多元化、风险管理和内部控制、资本管理等方面提出了修订建议。此条文将于2025年1月1日生效，并适用于2025年1月1日或之后开始的财政年度的《企业管治报告》和年报。

　　其中关于风险管理与内部控制的条款，能明显看出监管收紧 —— 董事会责任被进一步强调，每年一次检讨风险管理及内部控制系统有效性的规定提升为强制性规定，披露要求也进一步细化。显然，监管机构更加重视上市公司需建立并实施高效的风险管理与内部控制机制，并完善企业管治体系。因此，上市公司管理层需要充分了解《企业管治守则》及《上市规则》核心要求与最新条款，并立即行动，调整治理结构、风险管理及内控系统，以契合业务战略与风险，同时满足监管要求。

　　一、主要条款及更新汇总

　　1、往年修订的主要条款

　　港交所监管事务总监兼上市主管于2016年1月发布关于《企业管治守则》的《上市规则》通知第一百一十五次的修订。要点概括如下：

　　风险管理及内部控制，如对识别、评估及管理重大风险的过程的披露，风险管理及内部控制系统的主要特点等。

　　风险管理及内部控制系统年度审阅，如董事会承认其须对风险管理及内部控制系统负责，并审阅风险管理及内部控制系统的有效性等。

　　内部审计，如发行人是否设置内部审计职能，董事会需确保内审资源充足等。

　　2021年12月10日，香港联交所公布有关加强上市公司企业管治常规及汇报的咨询总结。《企业管治守则》及相关《上市规则》修订案于2022年1月1日生效。要点概括如下：

　　企业文化：公司的文化应与其目标、价值观及战略保持一致，并制定反贪腐及举报政策。

　　董事会独立性及更新：如应制定机制确保董事会能获取独立观点，针对在任已超过九年的独立非执行董事，应披露对连任独董的考虑因素，并强制设立提名委员会等。

　　董事会成员多元化：公司需要委任其他性别的董事，制定董事会多元化政策并定期审查等。

　　与股东的沟通：强制披露股东通讯政策，并每年审查其成效。

　　环境、社会及管治：《环境、社会及管治报告》须与年报同步刊发。

　　2、本次修订要点

　　本次修订要点主要总结如下：

　　董事会效能，例如，需要委任首席独立非执行董事、强制董事接受培训等。

　　独立非执行董事的独立性：独立非执行董事在任超过九年后将视为不再具有独立性。

　　董事会和全体员工的多元化，如分别披露高级管理人员及全体员工的性别比例等。

　　风险管理及内部控制

　　提升至强制披露要求：要求在《企业管治报告》中加强披露董事会（至少每年一次）对发行人及其附属公司的风险管理及内部控制系统的有效性所作的检讨。

　　检讨应包括提供佐证支持董事会得出的风险管理及内部控制系统有效且足够的结论，以及披露检讨结果的详情。

　　股息：要求发行人在《企业管治报告》中披露有关其派息政策的特定资料等。

　　其中，对于第四项风险管理及内部控制部分，联交所建议对《企业管制报告》的相关条款进行更详细的更改，具体内容如下图所示。

　　二、企业应对建议

　　随着企业规模的发展壮大，风险管理及内部控制的建设的重要性在企业管理中变得越来越突出，在此方面，企业通常面临许多困难与挑战，举例如下：

　　企业管理层可能低估最新监管要求的重要性；

　　企业中缺乏具有相关经验的人员；

　　企业未能合理设置关注优先级、确保关键风险领域得到足够的评估和支持；

　　资源和技术有限，导致企业无法及时更新其风险管理系统和内部控制手段。

　　然而，随着行业监管收紧，监管政策陆续出台，建议企业了解并对照新条文，评估现有风险管理及内部控制系统的有效性；识别、评估及检讨风险管理和内部控制的程序、范围和频次；评估佐证风险管理和内部控制有效性资料的充分性等方面与新要求之间的差距和不足。

　　鉴于此，本文的核心将聚焦于解读这些修改建议相关的应对方案，协助企业依据自身实际经营状况，优化风险管理体系与内部控制框架，以便有效地符合监管合规的最新标准与要求。

　　上市前

　　搭建风险管理及内部控制体系：拟上市企业应该结合监管要求，搭建符合自身情况的风险管理及内部控制框架，并对其进行审阅。对于发现的薄弱环节，管理层应及时制定改进方案，第一时间实施改进程序，并及时追踪改进结果，以确保在上市前上市企业自身的风险管理与内控制度及程序能够符合监管要求。

　　上市后

　　1. 评估现有系统

　　在最新的修订建议中，要求：企业就其及其附属公司的风险管理及内部控制系统至少每年一次进行检讨。

　　设计有效性评估：每一年度，企业应全面审视其现有的风险识别框架与内部控制体系的设计有效性。这包括但不限于对业务流程、信息系统、财务控制、合规管理、人力资源管理等多个关键领域的深入剖析，建立适用于本公司的风险库和内部控制矩阵，以及内部控制相关管理制度等。

　　缺陷改进：紧接着，企业应识别各个控制的设计缺陷，评估现有风险与内控运行情况与监管要求及最佳实践之间的差异，区分对公司运营有关键影响或与合规监管要求不相符的关键风险，确定改进方案，明确责任，设定时间节点，并及时进行改进。

　　2. 维护现有风险管理及内部控制系统的稳定有效运行

　　执行有效性评估：每一年度，在设计评估完成后，企业还需要制定详细的，可实现的检讨程序，结合监管要求、制度规范框架以及行业最佳实践，对公司现有的风险管理与内部控制系统的执行稳定和有效性进行全面评估，并根据评估结果优化该系统。通过此措施，企业能够更有效地识别、评估、应对各类风险，确保公司战略目标的顺利实现。

　　3. 加强董事会监督与确认

　　明确责任：董事会有责任确保企业运行有效的风险管理及内部控制系统，以处理所识别的风险、预防舞弊和不当行为带来的损失，确保企业财务报告准确无误。

　　定期检讨及确认：董事会应持续监督管理层对风险管理及内部控制系统的设计与实施，并有责任确保企业及其附属公司至少每年检讨其有效性，而管理层应向董事会提供有关系统是否有效的确认。

　　4. 详细披露相关信息

　　优化披露内容：企业需按照《企业管治守则》及相关《上市规则》新规定，根据年度评估结果，详细编制披露内容，向投资者和市场提供充分信息，提升透明度。

　　5. 持续关注与改进

　　持续监控：企业应建立持续改进的机制，将风险管理及内部控制的优化工作纳入常态化管理范畴。根据监管要求的频率，企业应通过定期回顾与评估、持续学习与培训等方式确保内部控制体系的有效性与适应性，为公司的稳健发展奠定坚实的基础。

　　此外，企业还可以通过内部审计职能，根据业务需要定期执行内部审计工作，对特定的业务流程进行阶段性内部审计及监督。

　　总体来说，结合最佳实践，上市企业应根据监管要求，结合自身运营情况完善风险管理与内部控制体系，其成熟度应至少达到“标准”阶段，以实现监督财务管理、分析经营绩效、控制应对风险等目标。

　　结语

　　综上所述，香港联交所《企业管治守则》及相关《上市规则》的新建议在实施后，对风险管理与内部控制的监管将进一步收紧，无论从企业自身可持续发展角度还是合规角度，都要求企业尽早完善风险管理及内部控制系统，并结合自身的特定情况及风险状况设计适当的检讨程序，提高披露质量，实现持续监控。

　　普华永道凭借多年来为大量香港上市企业的服务经验，形成了完善的方法论，积累了丰富的行业知识。普华永道专业团队可结合最新的监管要求为企业提供定制化的服务，使企业不仅能够满足香港联交所对拟上市企业的合规目标，同时实现企业管理与内部控制效率的提升，支持各项业务持续健康发展。