上海证券交易所上市公司内部控制指引

《上海证券交易所上市公司内部控制指引》之IT解读

背景

2006年6月5日，上海证券交易所率先发布了《上海证券交易所上市公司内部控制指引》（下文简称《指引》），对上市公司建立健全和有效实施内部控制制度提供了原则性指导，明确了公司董事会对公司内控制度所负有的责任，并要求上市公司从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。

作为我国第一部指导上市公司建立健全内控机制的规范性文件，《指引》引起了业界专家和媒体的广泛关注。《经济日报》、《上海证券报》、《东方早报》、网易财经、人民网、中税网纷纷在第一时间报道了这则消息。业内专家普遍认为《指引》将“推动和指导上市公司建立健全内控制度，将使得我国现行公司治理规则体系更加完整，有利于提高上市公司质量。”

SOX法案全称Sarbanes-Oxley法案，也叫做“上市公司会计改革与投资者保护法案”。该法案最早于2002年2月14日由美国议员萨班尼斯(Sarbanes)和奥克斯莱(Oxley)提交给国会众议院金融服务委员会。在“世通丑闻”的影响下，7月25日SOX法案在国会参众两院获得加速通过。7月30日，总统乔治·W·布什签署同意该法案使其成为美国的一项法律。

SOX法案要求企业针对产生财务交易的所有作业流程，都做到能见、透明、可控、互通，详加记录以便追溯交易源头，采取措施进行风险管理和欺诈防范。其中，302条款规定企业的CEO/CFO必须就内部控制的缺陷和重大变动向审计委员会进行汇报；404条款要求会计审计机构在其编制和发布的公司财务报告中必须出具该公司管理层的关于内部控制效力的证明和汇报；409条款要求公司在报告中应本着快速实时（48小时内）的原则，用通俗易懂的语言向公众披露报告发布人财务和运营状况的重大变化。

我们可以看到，这次的《指引》从内容上说，与SOX法案有几分相似之处。上证所《指引》中强调的内部控制体制的建立、信息披露、内部控制自我评估报告和会计师事务所对内部控制自我评估报告的核实评价意见也是SOX法案所要求的。而与SOX法案不同的是，《指引》不仅指出了内部控制的必要性，还借鉴了COSO的《内部控制整体框架》和PCAOB（“公众公司会计监督委员会”，Public Company Accounting Oversight Board，PCAOB）的审计标准给出了内部控制的框架，并且强调了专项风险的内部控制。

有专家指出，《指引》不仅是对国际经验的借鉴，实际也是对“国内自身相关法律法规体系的延续”和进一步推动。早在2001年5月中国证监会《关于首次公开发行股票审核工作的指导意见》中已经提出内控制度的要求。那么回顾2000年10月，上证所推出《上海证券交易所上市公司公司治理指引》后，中国的公司治理制度建设进入了一个全新的时期。中国证监会相继出台了《上市公司治理准则》、《上市公司股东大会规则》、《上市公司章程指引》和《关于

在上市公司建立独立董事制度的指导意见》等文件。这次《指引》是否又将成为中国公司治理制度建设进入一个新阶段的标志？是否会在全国范围内起到示范作用，从而引发一系列新的规章制度的出台？这些问题还有待观察。

但可以肯定的是，通过《指引》的推广，公司内部控制制度作为一种国际上普遍采用的减少公司的内部失控、保障持股者权益的重要手段，必将越来越被中国有志于提高自身治理水平、降低风险上市公司所借鉴和采用。而随着内部控制概念的深入人心，根据《指引》积极建立内部控制的上市公司则不仅能够获得加强内部控制的收益，还能在增强投资者的信心方面获得更大的收益，成为规范公司管理的领跑者。

《指引》的IT解读

如今的社会信息技术广泛普及，企业信息化程度日益提高。经营活动各环节的标准化水平高，信息技术具备强大快速的计算能力和相对较高的安全性能，这些特性共同决定了信息技术是生产管理过程中不可缺乏的工具。

上证所的《指引》注意到了IT和公司经营活动各环节的密切联系并将信息管理控制明文纳入公司内部控制机制框架。科索路认为IT经理对于《指引》中解读可分为三个方面：第一，IT内控是公司内部控制的一部分，是审计的对象。

在《指引》第十条款规定了“公司使用计算机信息系统的，还应制定信息管理的内控制度。”并且列出了信息管理的内控制度至少应涵盖的内容:

（一）信息处理部门与使用部门权责的划分；

分析：无论公司的信息处理部门的组织结构如何，都必须与使用部门进行明确的权责划分，并且成文定义。明确定义的权责将加强信息处理部门与使用部门间的沟通和相互理解，避免推委和责任不清造成的管理漏洞和效率低下，确保所有的控制活动都得到有效地执行。

处理部门与使用部门权责的划分主要通过服务级别管理（SLM）、客户关系管理（CRM）进行。权责的定义应该清晰描述双方流程的接口，并且经过双方协商和确认。

（二）信息处理部门的功能及职责划分；

分析：由于信息系统的特性，信息处理部门本身的功能和职责划分是复杂的。这体现在信息服务必须依靠信息处理部门内不同技术团队的合作，比如应用系统服务的正常动作离不开应用软件、数据库、网络等支持。而且，信息处理部门往往承担着多种职责，比如组织IT建设、日常运营、性能监控和升级、突发事件和安全管理、IT安全管理、IT供应商管理、IT内部控制监督。功能和职责的复杂性增加了IT服务和运营的风险，所以必须建立相应机制加以管理。

信息处理部门管理者首先必须明确本部门在整个公司中起到的作用和承担的角色，明确提供的服务和相应的运营维护责任，并且成文定义。然后，应该明确定义和沟通角色和职责矩

阵，必须注意，角色和职责矩阵的定义应该与信息部门的功能目标、服务目标和流程、技术相结合，并且考虑职责分隔的需要。由于信息处理部门的功能及职责划分将随业务等因素变化，所以还应该建立定期维护的机制，确保功能及职责划分的有效性。

（三）系统开发及程序修改的控制；

分析：系统开发和程序修改主要包括两部分：新应用软件的开发和实施；现有应用软件的变更和维护。新应用软件获得和实施失败风险很高。软件开发的时机选择、开发成本和预算的控制、业务需求的分析及其软件实现等失误都会导致新应用软件开发的不成功。为了降低这种风险，企业应该建立成体系的软件开发质量控制方法，比如标准软件开发工具和IT构件的选用。此外，程序开发控制内容还应包括信息化项目的选择、系统的设计和实施、需求文档的规范、软件测试和开发授权、项目管理及细则制定、开发风险管理等。

现有应用软件的变更和维护需要依靠对软件变更以及新版本软件发布进行管理。变更管理和发布管理分别在对软件或系统进行修改的前后对变更可能对系统带来的影响进行评估和控制，目标都是确保系统始终处于正常的状态。

（四）程序及资料的存取、数据处理的控制；

分析：程序和数据存取访问控制需要技术和管理两方面的共同保障。首先，信息和系统安全技术是防止非法访问的有效方法，比如各类密码保护、防火墙、数据加密存储、密钥技术等。其次，需要从管理和流程上保证程序和数据的访问安全，最重要的就是建立完善的系统用户管理制度。用户管理主要包括用户账号管理；根据职责和工作性质控制其访问权限；即时更新并定期检查用户信息。

数据处理的控制包括定义数据处理过程，计划和执行数据批处理程序，监控处理过程中的异常，对处理异常进行记录、分析和处理，数据处理的结果检查，产生数据处理报告等活动。

（五）档案、设备、信息的安全控制；

分析：由于信息技术的广泛使用，信息安全一直是得到信息处理部门和信息使用部门极大关注的一个问题。信息资产安全的漏洞可能造成机密信息外泄、病毒入侵等问题。严重信息安全问题可能危及整个公司的运营，造成财务和声誉上的重大损失。

档案、设备、信息的安全控制可包括安全政策定义、资产分类与控制、人员的安全管理、物理及环境的安全管理、通信及运营管理、存取控制、业务连续性管理等。档案、设备、信息的安全控制的建立可参考国际信息安全管理标准ISO27001。

（六）在本所网站或公司网站上进行公开信息披露活动的控制。

分析：在网站上进行公开信息披露活动，需要信息处理部门与公司执行层和内部控制体系其它部门的紧密联系。为了保证信息披露的正确性和及时性，公司应该制定一套流程进行信