香港上市公司治理

1风险咨询服务审计

税务

咨询香港上市公司治理徐捷-毕马威北京风险咨询服务部高级经理主要内容2公司治理香港交易所《企业管治常规守则》《企业管治常规守则》之内部监控原则如何满足公司治理的新规定3公司治理4公司治理的定义公司治理（亦称为企业管治）是现代企业制度中最重要的组织架构，它是对公司进行管理和控制的体系。它不仅规定了公司的各个参与者，例如，董事会、管理层、股东和其他利益关系者的责任和权利分布，而且明确了设立公司目标的架构和实现公司目标和监控公司业绩时所应遵循的规则和程序。

引述自经济合作与发展组织（OECD）的《公司治理原则》5公司治理的原则股东权利及所有者功能股东的平等对待利益关系者的角色信息披露与透明度公司治理的六大原则有效的公司治理的框架引述自经济合作与发展组织（OECD）的《公司治理原则》董事会的运作及职责6公司治理与企业价值监管机构信任投资者信心客户信心债权人信心分析员评价员工忠诚公司价值

公允

透明

问责

职责

7公司治理的发展历程1999200020022004美国蓝丝带委员会《改善企业审计委员会有效性的报告》经济合作与发展组织《公司治理原则》世界银行《公司治理：实施的框架》英格兰及威尔斯特许会计师公会《内部控制：综合守则董事会指引》美国证监会《审计委员会披露原则》中国证监会《关于在上市公司建立独立董事制度的指导意见》中国证监会《上市公司治理准则》美国国会《萨班斯奥克斯利法案》香港交易所《企业管治常规守则》经济合作与发展组织对《公司治理原则》进行修订经济合作与发展组织《国有企业公司治理指南》上海证券交易所《上市公司内部控制制度指引》国务院国有资产监督管理委员会《全面风险管理纲要（试行）》中国证监会《上市公司与投资者关系工作指引》2005英国财务报告委员会《企业管治综合守则》20038香港交易所《企业管治常规守则》9《企业管治常规守则》适用与所有在香港联合交易所主板和创业板上市的公司草拟版于2004年1月30日公布《守则》自2005年1月1日

起实施C.2内部监控自2005年7月1日起实施采用“遵循或解释”原则总结版于2004年11月公布香港会计师公会于2005年6月颁布了内部控制和风险管理基本框架10《企业管治常规守则》香港《企业管治常规守则》与美国《萨班斯-奥克斯利法案》的区别

《企业管治常规守则》《萨班斯-奥克斯利法案》性质守则法案遵循程度遵循或解释强制执行11《企业管治常规守则》的主要内容守则条文建议最佳常规董事董事及高级管理人员的薪酬问责及核数董事会权力的转授与股东的沟通董事会应定期开会主席与CEO职责分离设立薪酬委员会每年检讨一次内部监控系统是否有效董事会的授权应具备清晰指引投票表决程序需要充分公开确保董事的工作均能得到适当的安排独立董事人数需要占董事会总人数1/3披露每名高级管理人员的酬金并列出姓名公布季度财务业绩披露董事会与管理层的职责分工尚无12《企业管治报告》生效日为2005年1月1日刊载在年报或财务摘要报告中有关企业管治常规的强制披露要求说明如何应用《企业管治常规守则》所列载的原则说明是否遵循《企业管治常规守则》载列的守则条文说明在有关财政年度中任何偏离守则条文的详情13

《企业管治常规守则》之内部监控原则14 原则

董事会应确保发行人的内部监控系统稳健妥善而且有效，以保障股东的投资及发行人的资产。

守则条文

董事会至少每年对内部监控系统的有效性进行一次检讨并在企业管治报告中向股东进行报告。有关检讨应涵盖所有重要的监控方面，包括财务监控、营运监控及合规监控以及风险管理功能。

建议最佳常规

董事会每年检讨的事项应特別包括下列各项：

《企业管治常规守则》之内部监控原则自上年检讨后，重大风险的性质及严重程度的转变、以及上市公司应付其应付其业务转变及外在环境转变的能力管理层持续监察风险及内部监控系統的工作范畴及素质，及(如适用）内部审计功能及其他保证提供者的工作向董事会(或辖下委员会)传达监控结果的详尽程度及次數；透过有关传达，董事会得以对上市公司的监控情況及风险管理的有效程度建立累积的评审结果期内任何时候发生重大监控失误或发现重大监控弱项的次数，及因此导致未能预见后果或紧急情況的严重程度，而该等后果或情況对上市公司的财务表现或情况已产生、可能已产生或将來可能会产生的重大影响上市公司有关财务报告及遵守《上市规则》规定的程序是否有效15COSO(TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission，即美国反对虚假财务报告委员会的发起组织委员会)把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。基本概念包括：内部控制是一种过程；内部控制的有效运作受人影响；内部控制只能为企业提供合理保证；及内部控制的设计旨在达成企业之目标。COSO的网址:

http://

什么是内部监控（内部控制）美国反虚假财务报告委员会的发起组织委员会《COSO内部控制框架》16内部控制与公司治理的关系股东董事会管理层主要经营活动其他利益关系者汇报任命/监控公司治理股东、董事会、管理层以及其他利益关系者之间的管理控制关系及职权利划分。内部控制董事会、管理层和其他员工实施的对企业生产经营和财务报告产生过程的控制。17

如何满足公司治理的新规定18公司董事会管理层审计委员会第一道防线第二道防线第三道防线生产经营经营流程，风险管理和控制活动，经营层面的监控公司监管职能经营计划，制定政策和流程，职能监督内部审计及外部审计监控遵循的有效性并提供独立的质疑和确证风险风险风险有效的公司治理应建立在构建一个能够支持与公司目标相关的管理活动的架构的基础之上。风险管理和内部控制是这一治理架构中不可分割的一部份。下图表明了具有三道防线的良好的公司治理架构，三道防线相互结合，向董事会以及审计委员会提供有效地管理风险的确保。建立健全的公司治理以及风险管理架构第一道防线存在于实施日常风险管理活动的生产经营之中，多通过已建立的业务流程和流程中的控制得以实现。第二道防线由通常存在于公司层面的监督职能来实现，例如财务、人力资源以及信息技术等。它们为经营中存在风险的，需要制定政策和流程的环节提供指引。内部审计、外部审计以及其他保证服务的提供者构成了第三道防线，提供独立的质疑和评价，以检查前两道防线中的流程是否有效运作。19满足公司治理新规定的合规路线图香港交易所守则(45条守则条文)《企业管治报告》的规定香港会计师公会内部监控与风险管理的基本框架守则第C.2.1条要求合规步骤按COSO内部控制框架对公司层面控制的设计有效性进行审阅有效的风险管理对流程层面的控制进行审阅和测试（包括信息技术应用控制）鞍钢新轧销售生产和技术开发采购和存货管理固定资产管理财务核算及管理信息技术管理人力资源管理内部控制框架控制环境风险评价控制活动信息和沟通监控企业管治、内部监控和风险管理的相关培训更为良好的遵循文化结果支持良好的公司治理高层次风险评价COSO内部控制框架差距分析内部控制测试所发现的内部控制缺陷以及改进计划20合规步骤解决方案有效的风险管理不断变化的内部和外部因素是决定新风险影响程度及发生可能性的主要驱动力。因此应定期进行高层次风险评价。在风险确认、分析和评价的工作过程中，审阅由管理层设置的用于管理高层次风险的控制措施设计的有效性。按COSO内部控制框架对公司层面控制的设计有效性进行审阅COSO是为大型监管机构（如美国上市公司会计监管委员会）所认可和推荐的内控框架，也是香港会计师公会认可的内控框架。应定期比照COSO内部控制框架对公司层面的控制及相关补充控制进行差距分析。对流程层面的控制进行审阅和测试（内部审计）以高层次风险评价为基础，建立以风险为导向的内部审计滚动计划，着重针对存在主要风险的环节开展内部审计工作；针对特殊事项进行特别或专门审阅；实施内部审计改进建议，提高内部控制水平。满足公司治理新规定的合规之路21有效的风险管理--内部监控及风险管理的基本架构香港会计师公会企业管治委员于二零零五年六月发布《内部监控及风险管理的基本架构》，其中包括了对风险管理的指引。《内部监控及风险管理的基本架构》中指出风险的可源自:

(一)业务风险

(二)财务风险

(三)合规风险

(四)营运及其它风险22有效的风险管理--公司可能面对的风险

业务风险财务风险合规风险

营运及其它风险

•

价格／市场占有率受到的竞争压力•

全球／区域经济问题•行业衰退•政治风险•不利的政府政策•忽视策略及实施方面的信息科技层面•技术过时•替代产品•成为收购目标•无法获取更多资本•不利的收购•改革及再造的步伐过慢•响应市场及客户需求过慢•信贷风险•利息风险•货币风险•金融风险•流动资金风险•过度交易•高昂的资本成本•财务资源不当使用•持续经营问题•出现对业务敏感的欺诈•有关公布失实财务数据的风险•会计系统故障•不可靠的会计记录•未记录的负债•根据不完整或错误资料作出决定•向投资者作出无法履行的承诺／保证•违反《上市规则》•违反财务法规•违反《公司条例》规定•违反竞争法规•违反其它规例及法律•诉讼风险•税务问题•健康及安全风险•环境问题•

缺乏效率／效益的管理程序•业务程序未能配合客户／市场需求及策略性目标•错失或忽视商机•其它商业诚信问题•导致影响信誉的其它问题•品牌管理欠佳•主要改革计划失败•无法实施改革•原料缺货•缺乏技巧•自然灾害（例如火灾及爆炸）•计算机病毒或其它系统故障•过度依赖主要供货商或客户•主要客户施加严苛的合约责任23建立维护适当的风险管理流程是贵公司管理层的责任。管理层进行的高层次风险评价应自上而下，识别并量化可能影响公司战略和流程层面目标实现的风险，以关注于对公司健康发展和取得成功而言最关键的领域。高层次风险评价的工作模块图示如下：公司层面目标战略外部因素控制环境流程输入，活动和输出系统目标关键风险及控制重要成功因素和关键绩效指标与战略层面和流程层面目标相联系内部和外部主要风险区域战略性业务描述对流程的理解风险列表风险概况战略分析业务流程分析风险识别风险分析风险承受能力和风险偏好

定量和定性影响可能性相互依赖性有效的风险管理--高层次风险评价24特点优势识别关键业务风险通过构建统一的风险评估框架来增加价值

通过集中资源于重要风险区域来提升竞争地位/优势提升决策能力提高风险意识，编制风险列表风险排序能够作为分配风险控制责任的基础找出流程层面公司目标与活动之间的“分离”点有效使用资源帮助管理层确认进行有效的监控、衡量、管理业务风险工作所需的资源帮助管理层针对组织面对的关键业务风险，编制内部控制记录质量管理信息决策–进一步深入认识战略目标及其支撑流程的相关性经营效果-专注于在风险和控制之间取得平衡经营效率–有助于集中资源投入，以实现关键业务目标高层次风险评价可为管理层提供一个适应性强、可持续使用的风险评估框架，以提升企业管治水平。特别是它能为更深入的风险评估和以风险为基础的内部审计工作奠定良好的基石。

有效的风险管理--高层次风险评价25风险-发生可能性标准描述详细描述举例高在大多数情形下会发生中有时会发生–中等可能低有可能发生–概率很低风险的重要性取决于以下因素：风险容忍度和承受能力影响的严重程度发生可能性风险–影响程度标准描述详细描述举例高对现金和/或营业利润有人民币Y-Z的影响品牌价值严重减损，市场份额减少，声誉受损中对现金和/或营业利润有人民币X-Y的影响短期内品牌价值和市场份额受损低对现金和/或营业利润有人民币W-X的影响对品牌价值和市场份额影响不大可以被采用的评价风险影响程度及发生可能性的标准示例有效的风险管理--高层次风险评价26高低中风险概况汇总——经营风险影响可能性建立风险矩阵管理层应通过研究风险的影响程度及发生的可能性的关系来评价风险的总体状况。风险重要性的确认也可应用于指导制定内部审计计划及内部审计程序。下面举例说明。一般来讲，出现在右上角的风险最重要，从公司对于风险的偏好和容忍度出发考虑。风险概况样本技术开发采购管理/销售定单管理生产及材料管理产品销售资产管理低高中有效的风险管理--高层次风险评价27框架要素控制活动控制环境监控风险评估信息与沟通

关注重点重要性审阅公司是否建立了良好的控制环境，包括管理基调，管理哲学，诚信与道德，经营风格，职权与责任及组织结构等内容。审阅公司公司层面的各种正式、非正式流程。这些流程能令管理人员及员工在工作的同时取得证据以确认高层次控制职能是否运行正常。审阅公司在公司层面如何把信息传递给所需人员，如何获取内、外部信息及信息系统的开发情况。审阅控制信息的传递方法，沟通渠道的开放性及有效性。企业面临一系列来自内部和外部的风险。有效管理这些风险的前提之一是建立相互协调的各级目标体系，这样有利于管理层采取行动以应对风险。控制环境决定了一个组织的管理基调，它影响着员工的控制意识。它是COSO内部控制框架其他要素的基础。内控系统需要监控。监控需要通过日常监控及独立评价或两者共同来实现。范围及频率主要视风险评价的需要而定。控制活动是指有关政策及程序（无论是否以书面形式存在）以保证管理指令得以执行。它有助于采取必要的行动来应对风险，实现目标。应及时确认、获取、传递有用信息以使贵公司员工履行职责。应当有自上而下，横向，及自下而上的有效的沟通。对公司层面控制的设计有效性进行审阅审阅公司的目标设立、风险分析、变革管理的流程，包括跟财务，合规，及经营目标的连接及相关性。审阅公司是否建立了一个确认公司层面和流程层面各类内、外部风险的机制。审阅控制活动中涉及公司层面控制的部分。了解他们对合规、财务、经营及风险管理职能的支持。控制活动确保落实管理层的政策/流程措施包括审批、授权、

确认、建议、业绩考核、资产保全和权限分离监控评估内部控制系统整合及时独立的评估管理层和监控机构的

工作内部审计信息和沟通定期获取、确定并交流相关的信息评审内部和外部获取的信息信息流：

职责指导管理层的总结

成功的措施控制环境管理哲学和经营风格因素包括正直、道德价值、

能力、权威和责任董事会和审计委员会人力资源政策和实务是其它内部控制组成部分的基础风险评估风险评估是应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作所有五大元素必须同时发挥作用，才能让内部控制有效地运作营运财务报告合规性监控信息和沟通控制活动控制环境业务单位甲业务单位乙活动一活动二风险评估内部控制的五大元素2829结合应用内部控制缺失报告对特殊事项的独立考察持续的日常监控生成公司应自行检查内部控制的运行情况对流程层面的控制进行审阅和测试（内部审计）30项目管理内部审计项目管理流程战略分析和风险评价建立内部审计计划流程分析流程风险评价执行内部审计出具内部审计报告跟进内部审计发现差距分析和控制测试对流程层面的控制进行审阅和测试（内部审计）31转变中的内部审计功能传統国营审计模式传统西方內审模式現代化內审模式內部审计是政府审计机关权力的伸延，存在于各政府机关、国有企业及非牟利机构內內部审计是评价企业财务机制的活动內部审计提供独立和客观的审计及顾问服务目的是协助政府进行监管，确保资产及资源运用恰当目的是协助企业的管理层维持有效的财务机制目的是协助企业增值及改善营运的效率及效益向国家及组织领导人提交遵循审计的工作结果及分析，协助政府惩罚违规的机关负责人向管理层提供财务机制审计的分析、评价及建议等资料，协助企业确保财务机制健全向审计委员会提供营运审计的分析、评价及建议等资料，协助企业有效地管理风险及维持企业管治机制©2005

毕马威会计师事务所是瑞士合作组织毕马威国际的香港成员。版权所有，不得转载。香港印刷。32找出最适当的内部控制措施及其力度….从而协助企业实现价值最大化

缺乏内部控制最适当内部控制程度过量的内部控制最高价值价值

内部控制力度

内部审计与企业价值提升33毕马威的风险咨询服务重点介绍毕马威的风险咨询服务企业管治服务企业管治评估运用毕马威的自我评估框架检视董事会的运作关注重点领域以协助评价董事会运作是否符合各利益相关方的要求企业管治合规协助确定组织面对的主要合规事项记录公司当前的内部控制及合规环境

内部审计职能的战略性外包或合作服务衡量合作或外包服务