企業成功赴港上市后，需要依照聯交所《上市規則》附錄十四《企業管治守則》的要求。

編制《企業管治報告》按期披露包括公司治理、風險管理以及內部控制等在內的企業管治情況，滿足聯交所對企業風險管理及內部監控系統有效性的披露要求。除上述的監管驅動因素外，市場公眾對上市企業的經營質量亦寄予更高期望。從內部因素來看，風險管理與內部控制作為企業經營管理的重要組成部分，其推動企業持續整合資源、自我提升，賦能創新的作用也將愈發顯現，成為企業經營目標順利實現的重要保障。

因此，企業在港股上市之后如何進一步健全、完善風險管理與內控體系，在有效應對監管的基礎之上以內控體系優化為契機完成自我蛻變，成為企業在香港上市成功后值得深思熟慮的問題。本篇將重點針對赴港上市后企業內部控制進階提升之路，幫助企業深入了解上市后企業所需開展的內部控制工作，以確保企業報告與披露符合聯交所要求，并真正實現“跑得快”“管得穩”。

持續加強風險管理的必要性

監管機構提出上市企業風險管理要求

香港聯交所制定的《上市規則》對企業提出了上市后有關風險管理與內部控制的工作要求與信息披露要求。具體而言，上市公司每年需開展一次風險管理及內部控制有效性評價工作，并將評價結果向管理層及董事會匯報。同時，企業需在《企業管制報告》風險及內控章節，披露本公司本年度風險管理及內控管理的基本情況以及本年度發生的重大缺陷。由此可見，開展符合質量要求的信息披露工作是上市企業的一項重要義務，滿足監管要求并降低信息披露風險成為企業持續加強風險管理的基本目標。

市場與投資者對上市公司寄予更高期待

伴隨上市成功，企業受到來自市場的廣泛關注，亦對企業的運營提出了規范、透明的要求。基于對投資收益的關切，公眾投資者對上市企業的盈利潛力，以及對投資者權益的保護能力尤為關注。企業需要向市場展現自身良好的風險管理以及內控水準，以強化市場信心，加速企業發展，形成良性循環。

赴港上市后的內控進階之路

赴港上市成功的企業在滿足監管合規的基礎上，可通過健全、完善內控管理體系推動企業整體管理能力的進階。

滿足監管要求，定期開展風險的識別、評估以及應對準備工作，進行內控評價，并披露《企業管制報告》

根據《上市規則》對于風險管理及內部控制的具體要求，上市企業通常參照COSO內控理論框架，從內部環境、風險評估、控制活動、信息與溝通以及內部監督五個要素出發對企業內部控制情況進行整體評估。

結合企業業務開展特性與發展目標，多維度挖掘企業風險管理與內部控制要點，并以《企業管治守則》為指引，以風險評估及內控測評結果為事實依據，依據企業內控及風險管理體系評價的主要業務和事項等，編制《企業管治報告》關于重大風險及內控管理的相關內容，以滿足《企業管治守則為指引》及《企業管治報告》的相關規定。

體系化、智能化的風險管理與內部控制模式助力企業管理優化升級

企業內控管理并非止于上市后滿足監管以及公眾對于企業內控能力的基本要求，內部控制本身的評價完善機制是企業持續創新、戰略調整和自我提升的驅動力之一，其工作跨部門的特征為企業提供了整合信息以及流程的契機，同時其“監督”的工作屬性，能夠推動企業完善決策、執行和監督分離的管理機制，進一步強化企業的管控能力。對此，上市企業需繼續探尋內控進階與升級之路，推動企業風險管理與內部控制的體系化和智能化。

通常，具備體系化和智能化風險管理與內部控制模式的上市企業會通過建立主動防范的、線上線下結合的管理體系和長效管理機制形成內部控制自我優化能力。基于對行業最佳實踐的對標分析，企業開展風險管理工作并將對于風險的考量納入企業的關鍵決策過程中。同時，企業將風險管理、內部控制的管理工作與業績考核和激勵機制相掛鉤，鼓勵推行與企業內控程序保持一致的行為。

結合對以上特征的把握，上市企業需要在內控進階之路上開展多維度、系統化的管理工作：

1

通過聚焦戰略發展、治理與管控、風險與內控、制度與流程、支持與保障等角度提煉和明確評估指標，根據企業實際情況確定業務及流程管控的核心要點。尤其關注影響企業戰略目標及業務發展的核心風險，分析診斷核心風險管理控制的機制和措施，識別改進機會。

2

全面梳理公司內控制度，查找分析目前制度體系的缺失和不足，對現行內控制度進行快速診斷，將內部控制管理真正納入體系化、標準化和制度化軌道。通過梳理企業業務及管理情況，結合明確的風險內控體系，搭建能夠創造價值的公司治理管控架構，明確各部門權責邊界，形成公司治理的頂層設計，為企業治理管控賦能。

3

企業可以借助多樣化、智能化的管理工具，如制定內部控制管理手冊、建立全面風險清單庫和搭建風險模型等方式，統一公司內控管理標準及工作步驟。在已有的內控體系基礎上進一步查缺補漏，確保企業根據業務發展及時更新的內部控制管理政策，保證公司的內控管理機制與業務發展協調一致。

塑造企業內部控制能力，推動管理水平長效提升

隨著內外部環境的不斷變化，上市企業風險管理與內部控制工作的開展并非僅限于一朝一夕，管理體系優化與管理能力提升需要貫穿企業經營的始終。推動企業內控水平的持續提升需要不斷深化和完善內控評價體系，尤其對評價體系中的各環節開展持續關注：

建立并分解戰略目標

強化目標分解意識，根據戰略規劃、業務經營計劃、績效考核指標等，確定公司總體戰略目標并分解為各層級業務流程目標，并對戰略目標實現程度進行測評；

風險識別與評估

形成內部統一的風險識別和評估方法、標準和程序，加強風險的動態分析與持續性評估；

優化內部控制框架和標準

制定全公司范圍內的內部控制實施標準并將其嵌入業務流程，推進規范化操作程序建設，定義標準化控制，對業務流程的關鍵控制點實施優化改進；

內控運行與監控

根據內控標準執行業務規范，建立監測預警指標，對內部控制運行情況開展持續監控、分析、預警和報告；

內控監督與評價

持續性開展內部控制審計工作，對內控有效性進行日常檢查和定期評價；

缺陷整改與跟進

推進落實內控缺陷整改機制，強化各流程、各部門對缺陷問題整改措施的落地實施。

塑造企業內控能力需要企業內部的群策群力，形成“風險管理人人參與”的全覆蓋模式。企業可以通過剖析內控管理存在的問題和企業內控體系規劃思路、實施路徑，開展多種形式、內容多樣的、有針對性地研討和培訓，對所有員工進行風險以及內控相關知識的持續性宣導，提升人員職業操守、合規意識和專業服務能力，繼而在公司總體層面實現風險意識全覆蓋。同時，打造內控分析及建設專家團隊，組成企業長效提升風控管理水平的堅實力量，依托于專業經驗與專家智慧助力企業風險管理能力提升。