第13章

《盡職審查指引》－

內部監控

3. 委任內部監控顧問

3.1 準則

保薦人不能免除盡職審查的責任。凡保薦人委聘協力廠商協助其進行特定的盡職審查工作（例如委聘律師核實物業業權、委聘會計師審查內部監控措施、委聘顧問公司進行市場研究、委聘代理機構進行調查工作），保薦人仍須就該等特定工作所涉及的事項負責。某協力廠商的工作本身並不構成充分證據，證明保薦人已履行其進行合理盡職審查的責任。在何種程度上可以依靠協力廠商的工作，可視乎執行有關工作的協力廠商的專業資格而定。保薦人最低限度應：

(i) 評估該協力廠商是否具備適當資格及勝任能力進行獲委派的工作；

(ii) 考慮該協力廠商將進行的工作的範圍及程度；

(iii) 評估該協力廠商進行的工作的結果，並就有關工作是否能提供充分的基礎斷定已進行合理盡職審查，以及是否須作進一步盡職審查，達致其本身的意見；

(iv) 評估工作的結果是否與保薦人所知的其他資料（包括保薦人由進行其他盡職審查工作而得到的資料）一致；及

(v) 評估應否將有關工作的結果納入上市檔以及應否知會監管機構。[《操守準則》第17.6(g)段]

3.2 指引

3.2.1 委聘內部監控顧問（「內部監控顧問」）協助對上市申請人的內部監控進行盡職審查，是香港普遍的既定做法，亦是首次公開招股程序及評估上市申請人是否適合上市的不可缺少的部份。保薦人本身並非內部監控專家。因此，保薦人通常應委聘內部監控顧問，協助其對上市申請人的內部監控制度及程式進行盡職審查。保薦人如有能力自行對內部監控制度進行審核，可決定不必委任內部監控顧問。然而，這一般僅適用於極少數情況（如公司進行分拆或上市申請人屬於高度受規管行業內的公司），且在該等情況下，上市申請人應已設有包含內部審核部門匯報功能的內部監控制度，能給予保薦人於內部監控制度方面適度的信心。即使在此等情況下，仍應委聘內部監控顧問，以協助評估內部審核部門工作的範圍，以識別是否有任何領域需適當進行補充盡職審查工作。

3.2.2 委聘內部監控顧問時，保薦人應考慮內部監控顧問所進行的審核及評估的適當方法及形式。可供採用的不同形式包括(i)關於財務報告的內部監控的詳式報告，(ii)協定程序報告，(iii)受委託提供保證，及(iv)詳式報告－全面審查。其中只有保證委託會就內部監控制度的有效性提供任何保證或意見。詳式報告就內部監控（包括評估任何不足之處的重大程度）提供敍述及評論及就補救行動提供建議。協定程序的委聘工作只報告事實結果，而不會評估相關不足之處的重大程度或就補救行動提供建議。

3.2.3 該四類委聘工作的主要特徵如下：

(a) 關於財務報告的內部監控的詳式報告：

(i) 範圍：

• 由內部監控顧問考慮的一般內部監控範疇，可於高層面進行。請參閱《上市規則（21項應用指引）》第15段、《操守準則》及《監管保薦人的諮詢總結》，以及《技術簡報》附錄3所載應考慮事項的非詳盡無遺的示範清單。9

• 可將審查及評論與詳盡測試合併。

附註：香港並無涵蓋詳式報告委聘工作的專業準則。

(ii) 報告：

• 敍述報告樣式。

• 上市申請人內部監控及程序的評論╱描述以及監控不足之處的識別及分類。

• 改善建議（以內部監控顧問在其工作範圍內所注意者為限）。

• 所進行的任何詳盡測試結果。

• 不對上市申請人的內部監控活動的有效性進行保證。

(iii) 跟進：

• 如適用，內部監控顧問可進行跟進察訪，以確定建議是否獲執行。

(b) 協定程式：

(i) 範圍：

• 協商約定審核性質的具體程式。

• 這要求保薦人與內部監控顧問及上市申請人在考慮上市申請人的具體情況後協商確定內部監控顧問擬進行工作的詳細範圍。

(ii) 報告：

• 不對上市申請人的內部監控及程式作一般描述。

• 根據所進行的具體程序報告事實結果，可能包括對監控不足之處的評論及識別。

• 不評估不足之處的重大程度。

• 不對上市申請人內部監控活動的有效性進行保證。

(iii) 跟進：

• 如適用，內部監控顧問或會進行跟進察訪，以就所發現的監控不足之處的狀況作出報告。

(c) 受委託提供保證：

(i) 範圍：

• 為使內部監控顧問能在其報告內出具有關上市申請人內部監控制度及程序的意見（可能為正面或負面的形式表述），所確定之工作範圍至少應達到令內部監控顧問可獲得有意義的保證水平，以作為意見的基礎。

• 雖然並無任何相關規定明確作出評估前有關監控制度所需運行的持續時間，然而受測試的監控程式應至少在測試期間運作，且持續足夠長時間，以便可獲得充足樣本用於測試。

(ii) 報告：

• 有關內部監控制度有效性的保證。被識別的各項監控不足之處的重要性會進行個別評估。內部監控顧問發表的意見，載列其對上市申請人任何或全部內部監控制度的有效性的整體結論（可能為正面或負面的形式表述）。

• 識別任何不足之處。

• 改善建議（以內部監控顧問在其工作範圍內所注意者為限）。

(iii) 跟進：

• 如適用，進行跟進察訪，以釐定及匯報建議是否獲執行。

(d) 詳式報告－全面審查（「全面詳式報告」）：

(i) 範圍：

• 有關內部監控範圍的界定，與上文第3.2.3(a)段所述有關關於財務報告的內部監控的詳式報告相同。然而，在適當的情況下，可以協定更廣泛的範圍，以涵蓋上市申請人的業務其他方面（包括如策略╱前景、歷史以及業務描述、管理層及僱員、董事及高級管理人員、產品及營銷、生產、採購及研發、交易結果和資產及負債）。

(ii) 報告：

• 敍述模式報告。

• 按約定範圍作出評論╱描述，識別監控不足之處並進行分類。

• 改善建議（以內部監控顧問在其工作範圍內所注意者為限）。

• 不對上市申請人流程或監控的有效性進行保證。

(iii) 跟進：

• 如適用，會計師或會進行跟進察訪，以確定建議是否獲執行。

（資料來源：《技術簡報》）

3.2.4 誠如下文第3.3節所述，保薦人一般應考慮委任一名內部監控顧問，以（i）就關於財務報告的內部監控編製詳式報告；或(ii)受委託進行協定程序的工作。保薦人亦可考慮，作為代替方案，是否應取得一份全面詳式報告，協助保薦人對上市申請人業務的其他方面進行盡職審查。關於此方面的進一步詳情，請參閱第8章「《盡職審查指引》－業務模式」及第12章「《盡職審查指引》－財務」。

3.2.5 詳式報告與協定程式委託工作之間的主要差別是，只有詳式報告才會根據所識別的任何不足之處的相對重要性或風險或重大程度作出優先處理及分類，並載述就所發現不足之處的改善意見。協定程式的審查會對有關不足之處作出評論，但不會對就如何解決不足之處的重大程度或建議提供意見。因此，在進行協定程式審查的情況下，保薦人未能受益於內部監控顧問提供改善建議，因而要自行評估所識別的不足之處的重大程度，及提供糾正不足之處的適當建議。

3.2.6 詳式報告與協定程序委託工作的另一重大區別是，只有詳式報告會載有關於上市申請人內部監控及制度的敍述及評論。評論一般亦會包括內部監控顧問關於內部監控的規劃及實施所執行程式細節的說明。保薦人可能認為詳式報告所提供的額外評論有助透徹瞭解上市申請人的系統，以符合《操守準則》第17.6(d)(ii)段的要求。

3.2.7 詳式報告與協定程式委託工作的進一步區別與界定委託工作的範圍有關。在詳式報告的委託工作中，內部監控顧問所考慮的內部監控一般範疇一般界定在高層面進行。相反，就協定程式委託工作而言，需與內部監控顧問界定及協定詳細的特定程式。有鑒於此，保薦人可能認為以高層面方法界定詳式報告的審核範圍有幫助。這在上市過程的非常早期階段釐定內部監控顧問的審核工作範圍時，可能尤其有幫助。

3.2.8 詳式報告及協定程式委託工作，均就採納程式所識別的事實結果提供報告，而在兩種情況下，內部監控顧問對上市申請人的內部監控制度及程式的規劃、實施或運作效力均不作出任何保證。因此，委託編製有關報告的保薦人，應根據其盡職審查自行評估（包括但不限於）內部監控顧問所匯報的程式及調查結果，並對已存在的內部監控制度及程式的充足性得出其本身的結論。

3.2.9 在大多數情況下，受委託提供保證對於尋求在香港上市的公司而言並不可行且不常見。此乃因為在眾多情況下上市申請人的若干內部監控制度均為準備上市而新近實施。這意味著該等內部監控流程不會已經有效地運行了足夠時間，能讓管理層能對其過往的有效運作進行確認，此乃內部監控顧問作出無保留的保證意見所必要的。然而，在特定情況下（尤其對於從事若干受規管業務的上市申請人而言），就其業務某些方面進行的受委託提供保證一般適合於某類業務，例如從事博彩行業的上市申請人（由於該行業的性質，內部監控措施預期已經制定，且會被視為對其業務能否有效運作至關重要），保薦人應要求內部監控顧問透過有限的受委託提供保證對上市申請人的打擊洗錢合規系統進行審查並發表意見。在此情況下，一份內部監控顧問的有限受委託保證報告副本一般會載入招股章程內。

3.3 建議步驟

3.3.1 委任內部監控顧問－在委任內部監控顧問時，內部監控顧問應為一家會計師事務所（擔任申報會計師的相同會計師事務所或另一家會計師事務所）或一名專業內部監控顧問。保薦人應參閱第18章「《盡職審查指引》－與協力廠商（包括專家顧問）的互動」，以瞭解挑選及委任內部監控顧問所應採取的步驟的詳情，並以本節所載的具體指引作補充。10當擬上市的是A加H股公司時，保薦人應確保所委任的內部監控顧問具有香港上市經驗。如內部監控顧問並非會計師事務所，保薦人應與顧問公司商討其報告的形式及範圍將遵循《技術簡報》的程度。

3.3.2 如保薦人並非內部監控顧問委聘函件的訂約方之一，委聘函件應載述保薦人可獲提供內部監控顧問報告及可予依賴的基準。此外，委聘函件應載述監管機構可獲提供該報告及（如適用）11上市文件可提述該報告（或該報告的摘錄）的基準。如預期內部監控顧問的報告或意見將載入上市檔，保薦人應確保內部監控顧問知悉《交易所指引信》GL60-13所載的規定，即向上市申請人作出確認，並向監管機構提供確認副本，表明內部監控顧問基於確認當天已完成的工作預期有關意見將不會有重大變動。12

3.3.3 內部監控顧問委聘函件應規定報告的次數及時間。委聘函件亦應載有上市申請人的承諾，承諾其將全面配合內部監控顧問並投入必需的時間及資源，使內部監控審查能夠高效及時地進行。

3.3.4 如內部監控顧問在委任保薦人之前獲委任，保薦人應審閱上市申請人與內部監控顧問的委聘函件，確保工作範圍足夠。如保薦人認為工作範圍並不足夠，保薦人應要求上市申請人適當地修訂委聘條款及工作範圍，並於有需要時要求進行額外工作及編製跟進報告。

3.3.5 《技術簡報》附錄五載列了一份在與股東協商過程中形成的詳式報告安排函件樣例。如保薦人並非委聘函件的訂約方之一但是屬報告的收件人，可採用該樣例。

3.3.6 內部監控審查的形式－保薦人應與內部監控顧問及上市申請人討論內部監控顧問進行內部監控審查的適當形式，即(i)關於財務報告的內部監控的詳式報告、(ii)協定程式委聘工作、(iii)受委托提供保證工作或(iv)全面詳式報告。鑒於(a)《操守準則》第17.6(d)(ii)段規定保薦人應透徹地瞭解上市申請人的系統及(b)《操守準則》第17.3(b)(ii)段規定提供意見及建議協助上市申請人補救重大不足之處，保薦人可因詳式報告會就上市申請人及其附屬公司所採納的內部監控系統及程式提供額外的評估及描述、對所識別任何不足之處的重大程度的評估及報告提供的建議（如上文第3.2.5及3.2.6段所述）而考慮採納詳式報告的方法。保薦人應注意，如採用協定程序委聘工作，保薦人或須進行遠較使用詳式報告方法者為多的工作，以瞭解上市申請人已設立的內部監控系統，為補救不足之處提供建議，及按照監管規定規劃工作範圍（其他資料請參閱第3.3.9段）。

3.3.7 工作範圍－保薦人應要求內部監控顧問就其審閱提供詳細的建議工作範圍供其審閱。如上文所述，詳式報告委聘工作的範疇，通常就內部監控顧問所考慮的一般內部監控範疇於高層面進行，而相對而言，協定程序委聘工作則須界定詳細的特定程式，並需與內部監控顧問達成共識。在審閱建議工作範圍時，保薦人應就建議的工作範圍對保薦人按《上市規則》附錄十九保薦人聲明中作出確認而言是否足夠進行判斷。保薦人尤應考慮其對上市申請人、上市申請人的行業、規模、地理覆蓋範圍、管理層結構及上市申請人所面對主要風險各方面的認識。13

3.3.8 在確定內部監控顧問的工作範圍時，保薦人應考慮上文第1.2.6至1.2.8段所載事宜，包括考慮涵蓋已存在的內部監控系統及程序的設計、實施及運作有效性。

3.3.9 保薦人如對上市申請人或其管理層進行其他方面的盡職審查時，發現過往的不合規事件或其他不足之處（包括上市申請人審計師所發出的管理層函件中發現的不足之處），保薦人應與內部監控顧問討論該等不足之處，並考慮在確定內部監控顧問的工作範圍時處理該等不足之處。如保薦人在內部監控顧問開始其工作後方知悉該等事宜，保薦人應考慮修訂工作範圍以處理該等事宜。

3.3.10 確定涵蓋範圍及樣本－保薦人亦應考慮並與內部監控顧問及上市申請人討論報告的涵蓋範圍，例如，內部監控顧問為評估上市申請人集團的主要經營實體所採納的內部監控系統及程序而應進行的穿行測試的上市申請人集團內的業務單位或實體。如上市申請人在多個地點開展業務，應特別考慮識別適當的實體以進行審查。保薦人應按照內部監控顧問的經驗及相關行業基準，就測試樣本的適當規模向內部監控顧問諮詢意見。一般而言，僅以樣本為基準而進行相關程序的方式屬於正常、可接受的做法。保薦人應就相應的內部監控措施同樣地在上市申請人的其他實體實施取得相關確認。

3.3.11 協定程序委聘工作的額外步驟－如上文第3.2.6段所論述，如使用協定程式方式，則須詳細界定內部監控顧問所進行的工作範圍。為了對協定程序範圍的足夠性確立意見，作為額外步驟，保薦人應考慮將內部監控顧問工作範圍所涵蓋的工作與適用的監管規定要求進行比較，相關規定包括《上市規則》的規定（尤其是上文第1.2.1段所提述保薦人的聲明所提到的相關規定及《上市規則》附錄十四所載的《企業管治守則》）、《證監會內幕消息披露指引》及《技術簡報》附錄二所載由COSO發布的「內部監控－綜合架構」所載對財務報告達到有效內部監控的十七項基本原則。

參考尾註

9. 《技術簡報》附錄三載有關於協助財務報告內部監控盡職審查的示範性工作範圍，該範圍並不完備，且不涉及某一特定行業。大致類別標題如下：

I.實體層面的內部監控

• 監控環境

• 風險評估

• 監控活動

• 信息與溝通

• 監督

II.流程層面的內部監控

• 銷售、應收賬款及收款

• 採購、應付賬款及付款

• 存貨管理，包括物流

• 生產及成本計算

• 人力資源及工資

• 固定資產

• 現金及庫務管理

• 保險

• 財務報告及披露監控

• 稅項

• 資訊科技一般監控

10. 保薦人亦應注意證監會發出的《致持牌法團有關保薦人工作的預期標準的通函》，其中就證監會對依賴協力廠商及專家的要求提供指引。保薦人應能夠解釋其在適當考慮協力廠商的資格及勝任能力後，決定依賴某特定協力廠商的理由；是否亦將將進行的盡職審查的範圍及程度告知協力廠商；協力廠商的工作是否能夠提供充分的基礎，以斷定已進行合理盡職審查（或是否須做進一步盡職審查，惟須考慮以下事項：有關工作是夠依照保薦人的構思進行，有關盡職審查是否與保薦人的預期標準相稱，及有關基礎及假設是否公平、合理和完整）。

11. 《技術簡報》第26段中，香港會計師公會認為，如採納詳式報告或協定程序委聘工作，則不適宜在上市文件中引述或提述內部監控顧問報告，因有潛在可能導致錯誤申述為內部監控顧問對內部監控或保薦人盡職審查程式的效力提供保證或得出結論。

在《交易所指引信》GL63-13第3.1(c)段中，交易所可要求在上市檔中載列內部監控專家的身份及審查範圍的相關詳情及其主要調查結果和建議，以及在出現重大違規事件情況下的任何跟進審查。

指引信腳註2規定，若內部監控專家為申報會計師或另一家會計師行，按照會計專業的相關指引及常規，內部監控審查將視作向申請人董事及（若保薦人亦為聘用一方）保薦人提供的私人意見。因此，在該等情況下，申報會計師或其他會計師行的名稱及彼等的工作和檢討結果未必能在上市文件中提及或引述。可在上市檔中提述內部監控工作的其中一個情況，是申請人及保薦人特別聘請申報會計師或其他會計師行額外履行有關內部監控的保證工作。

12. 《交易所指引信》GL60-13第3.1段。

13. 就業務模式為高度依賴預付計劃沒收收益的上市申請人而言，保薦人應參閱《交易所指引信》GL26-12。

就從事餐飲業務的公司而言，保薦人應參閱《交易所指引信》GL28-12。

就從事典當貸款業務的上市申請人而言，保薦人亦應考慮《交易所上市決策》LD33-2012有關交易所對典當貸款業務通常應採取的風險管理及內部監控措施的指引。

就擁有分銷業務模式的上市申請人而言，保薦人應參閱《交易所指引信》GL36-12，當中規定須披露上市申請人總體庫存監控及管理政策，包括上市申請人如何監察其分銷商庫存水準及分銷商持有的未售出庫存數量。

就擁有生物資產的上市申請人而言，保薦人應參閱《交易所指引信》GL46-12，當中載列有關（其中包括）生物資產實際存在的內部監控以及有關的紀錄備存的披露規定。

就屬第二十一章的公司而言，保薦人應參閱《交易所指引信》GL17-10。

就擁有中國內地民防物業的公司而言，保薦人應參閱《交易所指引信》GL19-10第6.2(iii)段。