上海证券交易所上市公司内部控制指引(重排版)

上海证券交易所上市公司内部控制制度指引(全文)

2005年04月01日 09:26

第一章总则

第一条为推动上海证券交易所(以下简称本所)上市公司(以下简称公司)建立健全内部控制制度，提升公司风险管理水平，保护投资者的合法权益，根据《上海证券交易所股票上市规则》等规定，制定本指引。

第二条公司应当按照法律、行政法规、部门规章和本指引的规定建立健全内部控制制度，控制公司风险，提高公司经营的效果与效率，增强公司信息披露的可靠性，确保公司行为合法合规，以实现公司战略目标。

第三条公司制定的内部控制制度应经董事会审议通过。公司董事会应确保内部控制制度健全有效，董事会及其全体成员应保证内部控制制度相关信息披露内容的真实、准确、完整。

第二章内部控制制度的框架与执行

第四条公司内部控制制度应涵盖以下层面：

(一)公司层面；

(二)公司下属部门或附属公司(包括控股子公司、分公司和具有重大影响的参股公司)层面；

(三)公司各业务单元或业务流程环节层面。

第五条公司内部控制制度应包括以下基本要素：

(一)内部环境：指公司的组织文化及影响员工风险意识的综合因素，包括员工对风险的看法、管理层风险管理理念和风险偏好、职业操守和执业的环境、董事会和监事会的关注和指导等。

(二)目标设定：指管理层根据公司的风险偏好设定战略目标。

(三)因素辨认：指管理层识别影响公司目标实现的内部和外部因素。

(四)风险评估：指管理层根据风险因素发生的可能性和影响，以确定管理风险的方法。

(五)风险反应：指管理层根据公司风险承受能力和风险偏好决定对风险的选择。

(六)控制活动：指为确保有效作出风险反应而制定的制度和程序，包括核。准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效比较和附属公司管理等。

(七)信息沟通：指产生规划、执行、监督等所需信息及向信息需求者适时提供信息。相关信息应能按照规定的格式和时效性要求进行辨认、获取和传递，并在公司内部有效传递。

(八)监督：指公司自行检查内部控制制度运行情况的过程。监督可分持续性监督及个别评估，前者为经营过程中的例行监督，后者为内部稽核人员、监事会或董事会等其它人员单独进行的评估。

公司可根据公司实际需要，自行增加前款规定以外的其它要素。

第六条公司内部控制制度通常应涵盖经营活动中的以下业务环：

(一)销货及收款循环：包括订单处理、授信管理、运送货品、开立销货发票、开出账单、确认收入及应收账款、执行与记录现金收入等的政策及程序。

(二)采购及付款循环：包括采购申请、进货或采购原材料和劳务、处理采购单、验收货物、填写验收报告书或处理退货、记录供货商账款、核准付款、执行与记录现金付款等的政策及程序。

(三)生产循环：包括拟定生产计划、开立用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本等的政策及程序。

(四)固定资产循环：包括固定资产的自建、购置、处分、维护、保管与记录等的政策及程序。

(五)货币资金循环：包括货币资金的入账、划出、记录、报告、出纳人员和财务人员的授权和执行等的政策和程序。

(六)关联交易循环：包括关联方的界定和确认，关联交易的定价、授权、执行、报告和记录的政策及程序。

(七)融资循环：包括借款、保证、承兑、租赁、发行新股、发行可转换公司债券及其它融资事项的授权、执行与记录等的政策及程序。

(八)投资循环：包括投资有价证券、股权、不动产、经营性资产、衍生品及其它长、短期投资的决策、执行、保管与记录等的政策及程序。

(九)研发循环：包括基础研究、产品设计、技术研发、产品测试、研发记录及文件保管等的政策及程序。

(十)人事管理循环：包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、退休、计时、决定和计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考核等的政策及程序公司在内部控制制度制定过程中，可以根据自身所处行业或生产经营特点对上述循环进行调整。

第七条公司内部控制制度，除包括对经营活动各环节的控制外，还应包括印章使用管理、票据领用管理、预算管理、资产管理、担保管理、职务授权及代理制度、信息披露管理制度和重大信息的内部报告制度及对附属公司的管理制度等各项管理制度。

第八条公司应根据国家财政主管部门的有关规定，建立内部会计控制规范。金融等特殊行业的公司建立内部控制制度，还应遵循国务院有关行业主管部门的相关规定。

第九条公司使用计算机信息系统的，其内部控制制度还应包括信息管理制度。除明确划分信息处理部门与使用部门权责外，还应包括下列控制活：

(一)信息处理部门的功能及职责划分。

(二)系统开发及程序修改的控制。

(三)程序及数据的存取、数据处理的控制。

(四)档案、设备、信息的安全控制。

(五)在本所网站或公司网站上进行公开信息披露活动的控制。

第十条公司应全面实行内部控制，并随时检查，以应对公司内外环境的变化，确保内部控制制度有效运行。公司应采取培训、宣传、监督、稽核等措施，要求公司全体员工认真执行内部控制制度。

第三章特定风险的内部控制

第一节附属公司的内部控制

第十一条公司应按照下列要求，对控股子公司实行监督管理：

(一)与控股子公司依法建立适当的组织控制架构，监督管理控股子公司的章程制定以及董事、监事、经理的选任或指派的方式。

(二)根据公司的统一规划，协调控股子公司的经营策略、风险管理政策与指导原则，督促控股子公司据以制定相关业务经营计划、风险管理政策及程序。

(三)与控股子公司制定双方业务竞争、关联交易、会计政策等方面的政策及程序。

(四)制定监督管理控股子公司重大财务、经营事项，包括发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等的政策及程序。

(五)按照信息披露工作制度的规定，督促控股子公司建立信息报告制度，以确保能及时披露控股子公司发生的、达到本所信息披露标准的重大事项。