CHM ist eigentlich eine ZIP, mit HTML/CSS/JS drin und für die Anzeige wird ein eingebetteter IE verwendet.

Wir nutzen von Help&Manual die direkte HTML-Hilfe, welche wir aber über einen eigenen TIdHTTPServer rausgeben, um nicht bei jedem einzelnen Rechner die Trusted-Zonen anpassen zu müssen.
(das Internet ist halb gut, aber das Intranet wird standardmäßig als ganz böse eingestuft)
Mit dieser Variante hatten wir bei unseren Kunden am häufigsten, dass es ohne Umstände funktioniert.
Und gleichzeitig können wir die "selbe" Hilfe so auch über's Internet abrufen. (wenn man den Port öffnet)

Das ist grade der Witz.
HTML-Zeugs von einem Share, über den man die Kontrolle mit Nutzerberechtigungen hat, das ist für den IE unsicher.
Aber wenn man Dateien über HTTP ungeschützt im Netzwerk rausgibt, dann ist das sicher. (laut dem IE)
Die App, welche von Help&Manual bereitstellt, prüft aber keinen Zugriff. Da kannst einfach C:\irgendwas als Pfad übergeben und die Anwendung gibt es dir.
Außerdem läuft die App nicht als Service und wenn man sie nicht in einem geschützten Nutzer laufen lässt, dem fast alles verboten ist (was die dir aber nicht dazu sagen), dann kann irgendwer im Netzwerk fast alles runterladen.