Saturday, September 20, 2014

淺評風險管理諮詢文件 (作者: 馬振峰)

本欄讀者對風險管理應不會陌生,皆因我們前前後後於此題目上寫了不下十數篇文章。這也說明了年青會計師對企業風險管理的重視。

最近港交所出具的眾多諮詢文件中,其中一份是《檢討企業管治守則及企業管治報告:風險管理及內部監控》。其內容重點分別為 (a) 強調內部監控為風險管理的重要元素; (b)清晰界定董事會、董事委員會及管理層在風險管理及內部監控的角色與職責,以提高他們的問責;(c)提升發行人風險管理及內部監控系統的披露責任,以提高發行人在風險管理及內部監控方面的透明度;及 (d)提升發行人內部審核的責任。

修訂建議並非硬性要求

此諮詢文件諮詢期剛於8月底結束,筆者對諮詢文件所提倡的風險管理及內審責任的精神是舉腳贊成。

打從2005年首推《企業管治守則》以來,上市公司已適應了《守則》中一些含糊其詞的風險管理要求。只要隨意翻開數本上市公司年報,便不難發現,上市公司對相關風險管理的工作要求及其披露頗為一致,即「現抄現賣」。港交所也少有地對相關要求作出積極監督。何解?因為在上市規則及《守則》裏沒有明確說明該等要求定義如何,如何操作,只outsource給當時的會計師公會出具一份內部風險管理及內部監控的指引文件以圖搪塞。《守則》實施已逾9年,上市企業於風險管理及內部監控及審計卻未有寸進,只是回應披露。

上市公司出現事故頻繁,也間接反映上市公司未有做好相關風險管理措施及缺乏有效內審監督。其實,如當年港交所能把現時諮詢文件的提議提前實施於在申請上市的公司上,我想已有超過四分之一的上市企業已設置有效的內部監控及審計措施及職能,或能已从篩走一批劣質的上市企業了。

所以今次諮詢文件提議要求清晰區分董事會與管理層於風險管理的職責,以提高問責職效,是看見問題的表現。但其具體規則修訂建議,只是把「訂明董事會可在《企業管治報告》中披露其已收到管理層有關發行人風險管理及內部監控系統有效性的保證」作為最佳常規,即不是硬性要求,筆者就有莫大的保留。

另外,管理層怎樣出具上述保證,何謂系統有效性,董事會收不到該等保證又如何,卻統統付諸厥如。這不是重蹈覆轍,又犯了此前說等如沒說的毛病,並限制了藥方的效力嗎?

實際操作邏輯不靠譜

另外就是建議提升設置內部審核功能為守則條文。

目前《守則》對內部審核的功能要求只是最佳常規。建議要求發行人須有內部審核功能,如沒有內部審核功能,發行人須每年考慮是否需要增設此項功能,及在企業管治報告內解釋為何沒有這項功能。諮詢文件已明確指出,內部審核功能常被稱為「第三道防線」,但相關修訂建議有放生之嫌,容許發行人一年才檢討一次其需要。

內部審核功能於企業管治及風險管理其實相當重要,尤其在風險管理上擔當重要的驗證風險管理措施的有效性及持續性的功能。相關修訂建議形同設了滅火筒於梯間,但沒有定時檢驗藥粉的保質期,即滅火筒形同虛設。所以,如果容許每年一檢是否有其需要,即於整整一年內該上市企業就崩缺了那「第三道防線」,建議精神跟實際操作的邏輯上不靠譜!所以筆者反建議此檢討起碼要於上市發行人出具季度,或年中報告時已須執行及披露。

說了那麼多,此諮詢文件的建議對年青會計師有甚麼啟示?就是現時上市公司發行人大多都沒有正式內審功能。本地會計師組織也一直不甚重視內審工作資格的要求。然而,於外地尤其是美國內審師已是高門檻的專業。

香港也有內審人才,但數量不多,大部分服務於跨國大企業,概因企業文化相對本地企業較容易認同內審的功能及其對企業運作的補足。本地企業大多家族營運,很難過渡「下詔罪己」的心理關口。如果上述建議實施後,我敢估算,未來五年對內審人才的需求必然翻倍。

No comments: