上海证券交易所上市公司内部控制制度指引

上海证券交易所上市公司内部控制制度指引第一章总则第一条为推动上海证券交易所（以下简称本所）上市公司（以下简称公司）建立健全内部控制制度，提升公司风险管理水平，保护投资者的合法权益，根据上海证券交易所股票上市规则等规定，制定本指引。第二条公司应当按照法律、行政法规、部门规章和本指引的规定建立健全内部控制制度，控制公司风险，提高公司经营的效果与效率，增强公司信息披露的可靠性，确保公司行为合法合规，以实现公司战略目标。第三条公司制定的内部控制制度应经董事会审议通过。公司董事会应确保内部控制制度健全有效，董事会及其全体成员应保证内部控制制度相关信息披露内容的真实、准确、完整。第二章内部控制制度的框架与执行第四条公司内部控制制度应涵盖以下层面：（一）公司层面；（二）公司下属部门或附属公司（包括控股子公司、分公司和具有重大影响的参股公司）层面；（三）公司各业务单元或业务流程环节层面。第五条公司内部控制制度应包括以下基本要素：（一）内部环境：指公司的组织文化及影响员工风险意识的综合因素，包括员工对风险的看法、管理层风险管理理念和风险偏好、职业操守和执业的环境、董事会和监事会的关注和指导等。（二）目标设定：指管理层根据公司的风险偏好设定战略目标。（三）因素辨认：指管理层识别影响公司目标实现的内部和外部因素。（四）风险评估：指管理层根据风险因素发生的可能性和影响，以确定管理风险的方法。（五）风险反应：指管理层根据公司风险承受能力和风险偏好决定对风险的选择。（六）控制活动：指为确保有效作出风险反应而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效比较和附属公司管理等。（七）信息沟通：指产生规划、执行、监督等所需信息及向信息需求者适时提供信息。相关信息应能按照规定的格式和时效性要求进行辨认、获取和传递，并在公司内部有效传递。（八）监督：指公司自行检查内部控制制度运行情况的过程。监督可分持续性监督及个别评估，前者为经营过程中的例行监督，后者为内部稽核人员、监事会或董事会等其他人员单独进行的评估。公司可根据公司实际需要，自行增加前款规定以外的其他要素。第六条公司内部控制制度通常应涵盖经营活动中的以下业务循环：（一）销货及收款循环：包括订单处理、授信管理、运送货品、开立销货发票、开出账单、确认收入及应收账款、执行与记录现金收入等的政策及程序。（二）采购及付款循环：包括采购申请、进货或采购原材料和劳务、处理采购单、验收货物、填写验收报告书或处理退货、记录供应商账款、核准付款、执行与记录现金付款等的政策及程序。（三）生产循环：包括拟定生产计划、开立用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本等的政策及程序。（四）固定资产循环：包括固定资产的自建、购置、处分、维护、保管与记录等的政策及程序。（五）货币资金循环：包括货币资金的入账、划出、记录、报告、出纳人员和财务人员的授权和执行等的政策和程序。（六）关联交易循环：包括关联方的界定和确认，关联交易的定价、授权、执行、报告和记录的政策及程序。（七）融资循环：包括借款、保证、承兑、租赁、发行新股、发行可转换公司债券及其他融资事项的授权、执行与记录等的政策及程序。（八）投资循环：包括投资有价证券、股权、不动产、经营性资产、衍生品及其他长、短期投资的决策、执行、保管与记录等的政策及程序。（九）研发循环：包括基础研究、产品设计、技术研发、产品测试、研发记录及文件保管等的政策及程序。（十）人事管理循环：包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、退休、计时、决定和计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考核等的政策及程序。公司在内部控制制度制定过程中，可以根据自身所处行业或生产经营特点对上述循环进行调整。第七条公司内部控制制度，除包括对经营活动各环节的控制外，还应包括印章使用管理、票据领用管理、预算管理、资产管理、担保管理、职务授权及代理制度、信息披露管理制度和重大信息的内部报告制度及对附属公司的管理制度等各项管理制度。第八条公司应根据国家财政主管部门的有关规定，建立内部会计控制规范。金融等特殊行业的公司建立内部控制制度，还应遵循国务院有关行业主管部门的相关规定。第九条公司使用计算机信息系统的，其内部控制制度还应包括信息管理制度。除明确划分信息处理部门与使用部门权责外，还应包括下列控制活动：（一）信息处理部门的功能及职责划分。（二）系统开发及程序修改的控制。（三）程序及资料的存取、数据处理的控制。（四）档案、设备、信息的安全控制。（五）在本所网站或公司网站上进行公开信息披露活动的控制。第十条公司应全面实行内部控制，并随时检查，以应对公司内外环境的变化，确保内部控制制度有效运行。公司应采取培训、宣传、监督、稽核等措施，要求公司全体员工认真执行内部控制制度。第三章特定风险的内部控制第一节附属公司的内部控制第十一条公司应按照下列要求，对控股子公司实行监督管理：（一）与控股子公司依法建立适当的组织控制架构，监督管理控股子公司的章程制定以及董事、监事、经理的选任或指派的方式。（二）根据公司的统一规划，协调控股子公司的经营策略、风险管理政策与指导原则，督促控股子公司据以制定相关业务经营计划、风险管理政策及程序。（三）与控股子公司制定双方业务竞争、关联交易、会计政策等方面的政策及程序。（四）制定监督管理控股子公司重大财务、经营事项，包括发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等的政策及程序。（五）按照信息披露工作制度的规定，督促控股子公司建立信息报告制度，以确保能及时披露控股子公司发生的、达到本所信息披露标准的重大事项。（六）定期取得控股子公司月度财务报告和管理报告，对其经营、财务、应收账款、融资和担保等事项进行分析和检查。（七）根据法律、法规有关信息披露的规定，及时安排控股子公司提供必要的财务和经营信息，或委托会计师事务所审计控股子公司的财务报告。第十二条公司应根据控股子公司章程的规定，对控股子公司的稽核工作进行监督管理。第十三条公司应比照对控股子公司监督管理的制度，对分公司、具有重大影响的参股公司进行监督管理。第二节衍生品交易的内部控制第十四条公司参与衍生品交易的，应评估自身风险控制能力，制定内部控制制度，进行监督和管理。本指引所称衍生品交易包括但不限于以商品或证券为基础的期货、期权、远期、调期等交易。第十五条公司董事会应充分认识衍生品交易的性质和风险，根据本公司的风险承受能力，合理确定衍生品交易的风险限额和相关交易参数。第十六条公司应按照下列要求，对衍生品交易实行监督管理：（一）合理制定衍生品交易的目标、套期保值的策略；（二）制定衍生品交易的执行制度，包括交易员的资质、考核、风险隔离、执行、止损、记录和报告等的政策和程序；（三）制定衍生品交易的风险报告制度，包括授权、执行、或有资产、隐含风险、对冲策略及其他交易细节；（四）制定衍生品交易风险管理制度，包括机构设置、职责、记录和报告的政策和程序。第三节其他风险的内部控制第十七条公司应根据自身的战略目标和风险管理策略，针对其他特殊风险制定内部控制制度。第十八条公司应制定风险处置、危机处理的内部控制制度，并结合信息披露规定确定内部控制风险报告的制度。第四章内部控制制度的稽核与信息披露第十九条公司应通过内部稽核协助董事会及管理层检查发现内部控制制度的缺陷和实施中存在的问题，考核经营的效果和效率，评价战略目标实现的风险，并及时提供改进建议，确保公司有效实施内部控制制度。第二十条公司应设立内部稽核部门负责内部稽核工作，并根据相关法规的规定以及公司的实际情况配备专门的内部稽核人员。内部稽核部门对董事会负责，并直接向董事会报告，内部稽核部门负责人的任免应由董事会决定。第二十一条公司应制定内部稽核实施细则，实施细则至少应包括如下内容：（一）董事会对稽核的授权；（二）公司下属机构对稽核的配合义务；（三）对内部控制制度检查的项目、时间、程序及方法；（四）稽核工作报告的方式；（五）稽核工作相关的责任；（六）稽核工作的激励方式。第二十二条公司内部稽核部门应订立年度稽核计划，并据此检查内部控制制度的运行情况。公司应将收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保等重大事项作为稽核计划的必备事项。第二十三条公司内部稽核部门至少应每季度向董事会提交一次稽核工作报告。第二十四条公司内部稽核部门的稽核工作资料，包括稽核工作报告、工作底稿及相关资料保存时间不少于十年。第二十五条公司内部稽核人员对于检查发现的内部控制制度缺陷及实施中存在的问题，应据实在稽核工作报告中反映，并应在向董事会报告后进行追踪，以确定相关部门已及时采取适当的改善措施。公司应将前款所发现内部控制制度缺陷及实施中存在的问题列为各部门绩效考核的重要项目。第二十六条公司应在提交年度报告前，由内部稽核部门负责人填写内部控制制度检查核对表，并提交董事会下属审计委员会或风险管理委员会。内部控制制度检查核对表由本所另行制定。第二十七条公司董事会下属审计委员会或风险管理委员会应对内部稽核工作进行指导，并接收内部稽核部门提交的稽核工作报告。审计委员会或风险管理委员会应根据稽核工作报告及相关信息，评价公司内部控制制度执行的情况，并发表专项意见，向董事会报告。第二十八条公司内部稽核发现内部控制制度存在重大缺陷、暴露重大风险，应及时向董事会报告。公司董事会应及时向本所报告，本所认为需要公告的，公司董事会应及时发布公告。公司应在公告中说明内部控制制度出现缺陷的环节、后果、相关责任人的责任以及将采取的措施。第二十九条公司应在年度报告“管理层讨论与分析”部分中披露该年度内