《上海证券交易所上市公司内部控制指引精编》由会员分享,可在线阅读,更多相关《上海证券交易所上市公司内部控制指引精编(17页珍藏版)》请在金锄头文库上搜索。
1、上海证券交易所上市公司内部控制指引 上海证券交易所上市公司内部控制指引之IT解读 背景 2022年6月5日,上海证券交易所率先发布了上海证券交易所上市公司内部控制指引(下文简称指引),对上市公司建立健全和有效实施内部控制制度提供了原则性指导,明确了公司董事会对公司内控制度所负有的责任,并要求上市公司从2022年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。 作为我国第一部指导上市公司建立健全内控机制的规范性文件,指引引起了业界专家和媒体的广泛关注。经济日报、上海证券报、东方早报、网易财经、人民网、中税网纷纷在第一时间报道了这则消息。业内专家普遍认为指引将“推动和
2、指导上市公司建立健全内控制度,将使得我国现行公司治理规则体系更加完整,有利于提高上市公司质量。” SOX法案全称Sarbanes-Oxley法案,也叫做“上市公司会计改革与投资者保护法案”。该法案最早于2022年2月14日由美国议员萨班尼斯(Sarbanes)和奥克斯莱(Oxley)提交给国会众议院金融服务委员会。在“世通丑闻”的影响下,7月25日SOX法案在国会参众两院获得加速通过。7月30日,总统乔治W布什签署同意该法案使其成为美国的一项法律。 SOX法案要求企业针对产生财务交易的所有作业流程,都做到能见、透明、可控、互通,详加记录以便追溯交易源头,采取措施进行风险管理和欺诈防范。其中,3
3、02条款规定企业的CEO/CFO必须就内部控制的缺陷和重大变动向审计委员会进行汇报;404条款要求会计审计机构在其编制和发布的公司财务报告中必须出具该公司管理层的关于内部控制效力的证明和汇报;409条款要求公司在报告中应本着快速实时(48小时内)的原则,用通俗易懂的语言向公众披露报告发布人财务和运营状况的重大变化。 我们可以看到,这次的指引从内容上说,与SOX法案有几分相似之处。上证所指引中强调的内部控制体制的建立、信息披露、内部控制自我评估报告和会计师事务所对内部控制自我评估报告的核实评价意见也是SOX法案所要求的。而与SOX法案不同的是,指引不仅指出了内部控制的必要性,还借鉴了COSO的内
4、部控制整体框架和PCAOB(“公众公司会计监督委员会”,Public Company Accounting Oversight Board,PCAOB)的审计标准给出了内部控制的框架,并且强调了专项风险的内部控制。 有专家指出,指引不仅是对国际经验的借鉴,实际也是对“国内自身相关法律法规体系的延续”和进一步推动。早在2022年5月中国证监会关于首次公开发行股票审核工作的指导意见中已经提出内控制度的要求。那么回顾2000年10月,上证所推出上海证券交易所上市公司公司治理指引后,中国的公司治理制度建设进入了一个全新的时期。中国证监会相继出台了上市公司治理准则、上市公司股东大会规则、上市公司章程指引
5、和关于 在上市公司建立独立董事制度的指导意见等文件。这次指引是否又将成为中国公司治理制度建设进入一个新阶段的标志?是否会在全国范围内起到示范作用,从而引发一系列新的规章制度的出台?这些问题还有待观察。 但可以肯定的是,通过指引的推广,公司内部控制制度作为一种国际上普遍采用的减少公司的内部失控、保障持股者权益的重要手段,必将越来越被中国有志于提高自身治理水平、降低风险上市公司所借鉴和采用。而随着内部控制概念的深入人心,根据指引积极建立内部控制的上市公司则不仅能够获得加强内部控制的收益,还能在增强投资者的信心方面获得更大的收益,成为规范公司管理的领跑者。 指引的IT解读 如今的社会信息技术广泛普及
6、,企业信息化程度日益提高。经营活动各环节的标准化水平高,信息技术具备强大快速的计算能力和相对较高的安全性能,这些特性共同决定了信息技术是生产管理过程中不可缺乏的工具。 上证所的指引注意到了IT和公司经营活动各环节的密切联系并将信息管理控制明文纳入公司内部控制机制框架。科索路认为IT经理对于指引中解读可分为三个方面:第一,IT内控是公司内部控制的一部分,是审计的对象。 在指引第十条款规定了“公司使用计算机信息系统的,还应制定信息管理的内控制度。”并且列出了信息管理的内控制度至少应涵盖的内容: (一)信息处理部门与使用部门权责的划分; 分析:无论公司的信息处理部门的组织结构如何,都必须与使用部门进
7、行明确的权责划分,并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解,避免推委和责任不清造成的管理漏洞和效率低下,确保所有的控制活动都得到有效地执行。 处理部门与使用部门权责的划分主要通过服务级别管理(SLM)、客户关系管理(CRM)进行。权责的定义应该清晰描述双方流程的接口,并且经过双方协商和确认。 (二)信息处理部门的功能及职责划分; 分析:由于信息系统的特性,信息处理部门本身的功能和职责划分是复杂的。这体现在信息服务必须依靠信息处理部门内不同技术团队的合作,比如应用系统服务的正常动作离不开应用软件、数据库、网络等支持。而且,信息处理部门往往承担着多种职责,比如组织
8、IT建设、日常运营、性能监控和升级、突发事件和安全管理、IT安全管理、IT供应商管理、IT内部控制监督。功能和职责的复杂性增加了IT服务和运营的风险,所以必须建立相应机制加以管理。 信息处理部门管理者首先必须明确本部门在整个公司中起到的作用和承担的角色,明确提供的服务和相应的运营维护责任,并且成文定义。然后,应该明确定义和沟通角色和职责矩 阵,必须注意,角色和职责矩阵的定义应该与信息部门的功能目标、服务目标和流程、技术相结合,并且考虑职责分隔的需要。由于信息处理部门的功能及职责划分将随业务等因素变化,所以还应该建立定期维护的机制,确保功能及职责划分的有效性。 (三)系统开发及程序修改的控制;
9、分析:系统开发和程序修改主要包括两部分:新应用软件的开发和实施;现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。软件开发的时机选择、开发成本和预算的控制、业务需求的分析及其软件实现等失误都会导致新应用软件开发的不成功。为了降低这种风险,企业应该建立成体系的软件开发质量控制方法,比如标准软件开发工具和IT构件的选用。此外,程序开发控制内容还应包括信息化项目的选择、系统的设计和实施、需求文档的规范、软件测试和开发授权、项目管理及细则制定、开发风险管理等。 现有应用软件的变更和维护需要依靠对软件变更以及新版本软件发布进行管理。变更管理和发布管理分别在对软件或系统进行修改的前后对变更可能对
10、系统带来的影响进行评估和控制,目标都是确保系统始终处于正常的状态。 (四)程序及资料的存取、数据处理的控制; 分析:程序和数据存取访问控制需要技术和管理两方面的共同保障。首先,信息和系统安全技术是防止非法访问的有效方法,比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次,需要从管理和流程上保证程序和数据的访问安全,最重要的就是建立完善的系统用户管理制度。用户管理主要包括用户账号管理;根据职责和工作性质控制其访问权限;即时更新并定期检查用户信息。 数据处理的控制包括定义数据处理过程,计划和执行数据批处理程序,监控处理过程中的异常,对处理异常进行记录、分析和处理,数据处理的结果检查,产生数据
11、处理报告等活动。 (五)档案、设备、信息的安全控制; 分析:由于信息技术的广泛使用,信息安全一直是得到信息处理部门和信息使用部门极大关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题。严重信息安全问题可能危及整个公司的运营,造成财务和声誉上的重大损失。 档案、设备、信息的安全控制可包括安全政策定义、资产分类与控制、人员的安全管理、物理及环境的安全管理、通信及运营管理、存取控制、业务连续性管理等。档案、设备、信息的安全控制的建立可参考国际信息安全管理标准ISO27001。 (六)在本所网站或公司网站上进行公开信息披露活动的控制。 分析:在网站上进行公开信息披露活动,需要信息处
12、理部门与公司执行层和内部控制体系其它部门的紧密联系。为了保证信息披露的正确性和及时性,公司应该制定一套流程进行信 息披露活动的管理,包括网站上的信息披露。 网站的公开信息披露活动的控制流程必须保证公众从网络上获得信息是正确的,避免个人失误或有意地破坏造成错误的消息通过官方网站传播。控制流程还需保证公众能够方便地获得这些消息,尽可能避免网站不可访问的情况。 第二,IT是公司内部控制的重要辅助手段 计算机应用系统不仅是整个企业业务的重要支撑,也是对公司运营活动进行控制的重要辅助手段。在几乎所有的公司里,经营活动都越来越依赖于各种运行在计算机系统之上的应用工具。尤其是ERP等集成应用系统,已经深深根
13、植于公司财务核算报告、资产管理、生产过程管理、人事管理等各个环节。 以具体的运营流程为基础展开的IT控制,直接关系运营活动的实施。这类IT控制包括: (1)应用控制:这类IT控制针对特定的业务流程,以软件应用方案为依托进行控制活动。如对财务报表的编制和汇报进行控制,就需要对财务应用软件或ERP系统的财务模块进行有效的控制。 (2)应用及数据所有者控制:这类IT控制针对特定业务流程的负责人,如应收账款负责人或应付工资负责人等,主要的控制活动包括责任的划分、授权体系建立以及数据的控制等。 (3)应用集成控制:这类IT控制针对不同应用系统之间的协调和统一。 利用IT开展内控的优势包括:以IT为基础和
14、手段的控制效率要明显高于传统手工或者基于纸张的控制方式,优化内控项目的成本效益比;利用IT固化内控流程可以简化企业的内控过程,降低内控成本,并帮助企业达到内控效力持续性的要求;IT的规范化操作程序以及信息系统的信息备份功能能够降低内控审计的难度。 IT管理者应该清晰地认识到IT在公司建立内部控制中的优势和承担的责任。由于信息技术的复杂性,IT部门有责任帮助和配合公司的其它部门建立合适的“应用控制”。这不仅帮助公司达到了内部控制的要求,也有利于提升IT在公司中的价值。 第三,IT内部控制是公司内部控制的一部分 我们必须认识到IT内部控制应该满足第六条款所描述的“目标设定,内部环境,风险确认,风险
15、评估,风险管理策略选择,控制活动,信息沟通,检查监督”这八个要素的要求。 IT内部控制并不是孤立的,而是公司以业务目标为主导的整体内部控制项目的一部分。简单来说,企业必须首先确定公司的主要经营活动以及与这些经营活动相关的业务流程和活动,划分内部控制的工作范围。其次,企业在工作范围内定义具体的控制对象,如工作程序、IT系统、相关人员等。再次,针对控制对象,进行风险分析、评估,决定每项风险的管理策略,制 定企业具体的控制程序、控制目标以及审计标准。然后,对现行的运作,包括IT,实施变革以达到预订目标。对于IT来说,比如人员职责角色的转换、新的IT过程的确立、基于新技术新理念的解决方案的落实等。最后,评价控制措施的实施后果,加以巩固或改进。 IT的内部控制必须遵循公司的内部控制机制策略,确保IT控制符合公司内部控制的基调。在建立IT控制活动时,也有必要将IT控制活动与这些要素进行映射,确保IT控制活动达到了公司内部控制目标。此外,IT控制还担当支持企业的高层管理活动的责任。在企业设定业务目标,确立企业政策,制定组织资源配置
