上海证券交易所上市公司内部控制制度指引 建议工作计划 序言 为推动在上海证券交易所(SSE)上市的公司建立健全内部控制制度,提高公司风险管理 水平,保护投资者的合法权益,上海证券交易所根据《上海证券交易所股票上市规则》 等规定,制定并于2006年6月发布了《上海证券交易所上市公司内部控制制度指引》 (SSE指引)。 目标 SSE指引借鉴了COSO《企业风险管理-总体框架》,为上市公司内部控制制度的建立提供 了具体的指导。针对风险管理框架的建设方法可参见《甫瀚企业风险管理框架常见问题 解答》。为了各上市公司更好地执行SSE指引条款,有效地建立内部控制制度,甫瀚提 出了这一建议的工作计划。 甫瀚通讯第2卷第6期《企业风险管理的实施建议》列示了实施企业风险管理的五个 步骤。其中步骤3与步骤5的内容分别为:“提升公司对一到两个关键风险的管理能 力”与“提升对其他关键风险的管理能力”。这前后两个步骤所显示的风险覆盖范围的 扩展说明了在企业风险管理实施过程中建立一个试点的重要性。本工作计划正是以如何 实现财务报告信息可靠性为试点的一个例子:通过详细说明对财务报告有重大影响的 业务流程,分析各关键流程中与财务报告相关的主要风险,辨别关键流程中的主要控制 点,以实现财务报告信息披露的可靠性。
建议工作方式 甫瀚就达成上述目标所建议采取的方法包括下列主要步骤: 持续完善主要步骤 A.确定财务报表要素及完成财务报表风险评估 甫瀚建议管理层确定下列(但不限于)财务报表要素,并对其风险进行评估。有关各报 表项目的描述请参考详细的财务报表风险评估。 86.21.3401.4630 资产负债及股东权益 股东权益 收益表 B.选定用于执行及评估内部控制的标准 甫瀚建议采纳SSE指引认可的内部控制制度的框架,作为对内控进行评估的标准。 SSE指引分别采用公司层面、公司下属部门或附属公司层面、业务环节层面等三个层面来评 现金及短期投资 货币资金管理环节;投资环节;财务报告环节 其他流动资产 销货及收款环节;生产环节;财务报告环节; 关联交易环节 长期投资 投资环节;财务报告环节固定资产 固定资产管理环节;财务报告环节 其他资产 采购及付款环节;研发环节;财务报告环节 应付账款 采购及付款环节;财务报告环节;关联交易环节 应计负债 采购及付款环节;担保与融资环节;财务报告 环节 其他流动负债 采购及付款环节;担保与融资环节;财务报告 环节 其他长期负债 担保与融资环节;财务报告环节 股东权益 财务报告环节主营业务收入 销货及收款环节;财务报告环节;关联交易环节 主营业务成本 生产环节;关联交易环节;人事管理环节;财 务报告环节 营业费用 销货及收款环节;人事管理环节;财务报告环节 管理费用 研发环节;人事管理环节;固定资产管理环 节;财务报告环节 财务费用 投资环节;担保与融资环节;财务报告环节 所得税费用 税务环节;财务报告环节财务报表要素 重要 程度 固有 风险 整体风险 评估 对应的业务环节 估内控。
下文具体讨论SSE指引的三个层面及其实施情况。1.目标-内部控制的设计目的是确保下列各目标能够实现: a.经营的效果和效率 b.信息披露的可靠性 c.法律法规的合规性 内部控制设计旨在确保上述三项目标得以实现。其中信息披露的可靠性是其他目标 的基础,上市公司建立有效的内部控制的第一步是实现财务报告信息披露的可靠 性。因此甫瀚以财务报告信息披露的可靠性为目标为上市公司内部控制框架的搭建 提供了本具体工作计划。 2.公司层面的风险及控制评估 甫瀚建议通过完成一项全面的“管理层控制环境问卷调查”(由上市公司内部审计 师制定)来解决公司层面的风险及控制评估。问卷调查将分发给公司下属部门及附 属子公司的高中级别员工,以了解整个机构高层管理者的态度,以及员工的内控意 识,为内部控制的确定及评估做好准备。上市公司将收集有关公司层面控制的充足 证据,以支持管理层的认定。 舞弊风险评估 是公司层面风险评估的重要组成部分之一。该评估应充分考虑各种舞弊的方式以及可能发生的不正当行为。舞弊风险评估主要包括评估可能的财务报 表舞弊,盗用资产,以及非授权的或不正当的收入和费用。上市公司将从以下几个 方面对舞弊风险评估的有效性进行考量:是否具有系统的评估体系;是否考虑了所 有可能的舞弊方案;是否对公司层面,重要业务部门层面及重要财务层面的舞弊风 险进行评估;是否对公司层面的各类风险的可能性和重要性进行评估;是否对各类 舞弊风险将导致的后果进行评估等。
3.下属部门及附属公司层面的风险及控制评估 SSE指引中对附属公司的内部控制专注于监督和管理控股子公司的重大财务、经营 事项。因此,公司对附属公司的内部控制主要侧重于对控股子公司的财务报告和管 理报告可靠性提供支持的有关控制。 下属部门及附属公司层面的控制主要包括: 1).建立对控股子公司的控制架构,确定控股子公司章程的主要条款,选任董 事、监事、经理及财务负责人。 2).根据公司的战略规划,协调控股子公司的经营策略和风险管理策略,督促 控股子公司据以制定相关业务经营计划、风险管理程序。 3).制定控股子公司的业绩考核与激励约束制度。 4).制定母子公司业务竞争、关联交易等方面的政策及程序。 5).制定控股子公司重大事项的内部报告制度。重大事项包括但不限于发展计 划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、 从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险 管理等。 6).定期取得控股子公司月度财务报告和管理报告,并根据相关规定,委托会 计师事务所审计控股子公司的财务报告。 公司应对控股子公司内控制度的实施及其检查监督工作进行评价。 甫瀚建议公司层面的风险及控制评估应包括反舞弊,因为反舞弊方案的建立对于健康的控制环境是至关重要的,其影响了整个公司员工的内控意识。
公司可比照对控股子公司监督管理的制度,对分公司、具有重大影响的参股公司进内控制度做出安排。 4.业务流程层面的风险及控制评估 基于业务流程环节,甫瀚建议通过分析各业务流程环节中存在的风险,并根据公司 管理层的风险容忍度和风险偏好,对业务流程环节的风险进行控制评估。 5.内控的五个要素-用于评估SSE指引的内控三个层面包括下列五个内控组成要素: 控制环境:控制环境确定了整个机构高层管理者的态度,影响员工的内 控意识。该组成部分是内部控制所有其他部分的基础,提供 了纪律要求和结构 风险评估:风险评估是识别及分析相关风险及其对公司目标实现的影 响。风险评估为管理层决定如何对风险进行管理设定了标准 控制活动:为确保管理层的指令得到贯彻执行的政策及程序,包括核 准、授权、验证、调整、复核、定期盘点、记录核对、职能 分工、资产保全、绩效考核等 信息与沟通:该组成部分包括若干程序和系统,以确保相关信息的确认、获取 和交流必须在一定时间框架内进行,并使得员工能够各行其责 包括定期评估内部控制质量的流程这五个组成部分为有效的财务报告内部控制提供了框架,同时,也为信息披露控制 及程序提供了一个普遍通用的框架。
五个组成部分为财务报告内部控制的评估提供 了依据。 上述三个层面代表了整个综合框架。该框架按下述方式运作:对于任何既定目标, 例如财务报告的可靠性,管理层必须同时在公司层面和各业务环节层面两个层面对 内部控制的五个要素进行评估。 C.确定用于支持财务报告职能的关键业务流程 根据上市公司的业务性质,以及上市公司对交易进行记录及报告的现有流程,甫瀚建议管 理层将下列流程确认为关键业务环节: 关键业务环节 描述 1.销货及收款环节 包括订单处理、信用管理、运送货物、开出销货发票、确认收 入及应收账款、收到现款及其记录等 2.采购及付款环节 包括采购申请、处理采购单、验收货物、填写验收报告或处理 退货、记录应付账款、核准付款、支付现款及其记录等 3.生产环节 包括拟定生产计划、开出用料清单、储存原材料、投入生产、 计算存货生产成本、计算销货成本、质量控制等 4.固定资产管理环节 包括固定资产的自建、购置、处置、维护、保管与记录等 5.货币资金管理环节 包括货币资金的入账、划出、记录、报告、出纳人员和财务人 员的授权等 6.关联交易环节 包括关联方的界定、关联交易的定价、授权、执行、报告和记 7.担保与融资环节包括借款、担保、承兑、租赁、发行新股、发行债券等的授 权、执行与记录等 8.投资环节 包括投资有价证券、股权、不动产、经营性资产、金融衍生品 及其他长、短期投资、委托理财、募集资金使用的决策、执 行、保管与记录等 *甫瀚建议增加的环节上市公司内部控制制度,除包括对经营活动各环节的控制外,还应包括(但不限于)印章 使用管理、票据领用管理、预算管理、资产管理、质量管理、担保管理、职务授权及代理 制度、定期沟通制度、信息披露管理制度及对附属公司的管理制度等各项管理制度。
D.识别各关键流程中与财务报告相关的主要风险 下文载列甫瀚就各关键业务环节确认的主要财务报告风险举例: 9.研发环节 包括基础研究、产品设计、技术研发、产品测试、研发记录及 文件保管等 10.人事管理环节 包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、 退休、计时、计算薪金、计算个人所得税及各项代扣款、薪资 记录、薪资支付、考勤及考核等 11.财务报告环节* 包括记账、结账、出具财务报告等 12.税务环节* 包括计提应交税金,申报、缴纳税金等 13.信息管理环节 (如果适用) 包括信息处理部门与使用部门权责划分、信息处理部门的功能 及职责划分、系统开发及程序修改的控制、程序及资料的存 取、数据处理的控制、档案设备及信息的安全控制、公开信息 披露活动的控制等 销货及收款环节 风险名称 风险描述 1.未经授权的销售订单 销售给虚假的或已经超越信用额度的客户; 销售订单上单价、数量、运输方式等信息不 完整或错误;客户没有在销售订单上签字确 2.发货中的错误未经客户确认,就已将货物发出;发货单没 有被妥善保存并正确记录;发出错误的货物 或发至错误的客户等。 3.收款不完整或不准确 现金支票被偷盗或丢失;收款没有被及时送 存银行并记录;没有定期通过银行存款余额 调节表发现问题等。
4.发票开具不完整或不准确 没有发货就已开具销售发票;未及时开具发 票;发票金额有误或重复开具;未授权的发 票调整等。 5.销售收入确认的不完整或不准确 截止性错误;收入总账和明细账不一致等。 6.销货业务的分类错误 销货业务的分类错误等。 采购及付款环节 风险名称 风险描述 1.未经授权的采购 从错误的供应商进行采购或采取了错误的价 格或数量,可能导致舞弊等。 2.记录的购货业务不存在或并未发生 并非所有的已记录的购货均已收到物品或已 接受劳务等。 3.购货业务不完整 并非所有已发生的购货业务均被正确记录等。 4.未经授权的付款 未经授权的付款可能会导致不利或错误的财 务业绩等。 生产环节风险名称 风险描述 1.未经授权的生产业务 未经授权的生产业务可能会导致不利及错误 的财务业绩等。 2.成本记录错误 所记录的成本是虚构的;并非所有耗费和物 化劳动均反映在成本中等。 3.成本未记录在正确的期间 成本未以正确的金额在恰当的会计期间及时 记录等。 4.存货保管不善 存货毁损、丢失、偷盗等。 5.存货账实不符 账面存货与实际存货不符等。 6.不准确的存货成本处理 对存货成本的不准确计算及报告可能会导致 财务报表错报等。
7.不恰当的存货估值 对存货的不恰当估值(如低估成本或市值) 可能会导致财务报表错报等。 8.存货并不存在 对产成品不正确或不完整的会计处理可能会 导致财务报表错报等。 固定资产管理环节 风险名称 风险描述 1.未经授权的固定资产采购或租赁 未经授权的采购可能会导致不利的财务状 况或舞弊等。 2.错误的记录期间 固定资产增加或减少未被记录在正确的期 3.计提错误的折旧折旧费用计算或记录错误可能会导致不利 的财务业绩等。 4.未经授权的处置和报废 未经授权的处置和报废等。 5.处置和报废记录错误 处置和报废没有被及时记录在正确的期间等。 6.处置收益或损失记录错误 处置收益或损失没有被正确记录在实际所 属的期间等。 7.固定资产没有妥善保管 固定资产损毁、丢失、偷盗等。 货币资金管理环节 风险名称 风险描述 1.记录的现金收入不存在或未发生 登记入账的现金收入并未实际收到等。 2.记录的现金收入不完整 收到的现金收入没有全部登记入账等。 3.收到的现金非企业所有 已经收到的现金并非为企业所有等。 4.并非所有的现金都存入银行并入账 登记入账的现金没有如数存入银行并登记入 5.现金收入披露不正确现金收入在资产负债表上的披露不正确等。
5.错误的分类 研发费用/一般及行政费用对开支的错误分类可能会导致高估/低估资产 及经营费用。此外,研发费用与行政费用的 分类受成本中心分类的影响等。 6.低估负债 对货物及无发票服务不预提相关费用,或其他 未知负债,均可能会导致低估负债等。 7.发票处理不完整或不准确 不准确的卖方账单及错误的应付账款数据输入 如在付款前未能及时解决,均可能会导致重大 关联交易环节风险名称 风险描述 1.未经授权的关联交易 未经授权的关联交易可能会导致舞弊等。 2.未被正确的记录 关联交易未以正确的金额记录在实际所属期间 或未正确的分类等。 3.未被正确的披露 未正确的在资产负债表上分类等。 担保与融资环节 风险名称 风险描述 1.不存在或未发生 高估资产负债表日借款和所有者权益账面余 额;借款利息费用和已支付股利并非由实际 发生的交易引起等。 2.不完整 借款和所有者权益的增减变动及其利息和股 利并未全部登记入账等。 3.权利和义务 借款并非公司应承担的债务,所有者权益并 非代表所有者的法定求偿权等。 4.估价与分摊错误 借款和所有者权益期末余额错误等。 5.表达与披露错误 借款和所有者权益在资产负债表上披露错误等。
6.未经授权的权益交易 未经授权的权益交易,如发行股票或股票期 权,可能会导致产生财务报表错报等。 7.对权益交易不准确/不完整的会计处理 对权益交易不准确/不完整的会计处理(包括 截至性错误及不适当的呈报与披露),可能 会导致产生财务报表错报等。 投资环节 风险名称 风险描述 1.投资的亏空 在没有大量现金流入的情况下,公司的生存依 赖于其现金储备及投资组合。如发生未确认的 现金亏空,除业务会陷于风险之外,公司还将 面临财务报表错报的风险等。 2.短期投资的错误分类 原到期日为90天或低于90天的投资应列为现 金及现金等价物,超过90天的则列为短期投 资。对现金工具的不恰当确认或将投资错列 为持有至到期投资或可供出售投资,均可能 会导致现金及/或资产总值的低估/高估等。 3.投资减值未记录 由于拖欠或市场下滑(就可供出售证券而 言)而导致的投资减值如未予以记录,将会 导致资产高估等。 4.未经授权的金融衍生品交易 未经授权的金融衍生品交易可能会导致不利 的资金投入或舞弊等。 5.记录的衍生品交易不存在或未发生 记录的衍生品交易并非公司的资产和负债导 致财务业绩的错报等 研发环节 风险名称 风险描述 1.未经授权的研发费用 未经授权的研发费用可能会导致不利的资金 投入或舞弊等。
2.分类错误 费用化和资本化研发费的分类错误等。 人事管理环节风险名称 风险描述 1.员工薪酬的计算及会计处理的不准确性 及/或不完整性 由于笔误或系统错误而致使每两周一次的薪 酬处理不准确或不完整,均可能会导致不利 及错报的财务业绩等。 2.与薪酬有关的预提费用的不准确性 有关削减、未付薪金或其他报酬等预提费用 的不准确列账,均可能会导致不利及错报的 财务业绩等。 3.未经授权的员工薪酬交易 因员工薪酬基本数据发生变化而产生的未经 授权的员工薪酬交易,可能会导致不利及错 报的财务业绩等。 财务报告环节 风险名称 风险描述 1.账目未予以调整 在结账过程中,如有任何账目未予以完整及 准确的调整,则可能会产生财务报表错报( 如利息费用、资产折旧及摊销)。 2.不恰当的管理层判断及估计 公司财务报表中的许多重大余额需要管理层的判断 及估计。因此,不准确、不一致、缺少资料支持或 不客观的估计均可能会导致产生财务报表错报。 3.错误分类 由于错误的分类,相关资产及负债的不恰当评估 及会计处理均可能会导致产生财务报表错报。 4.不符合中国企业会计准则政策及程序 上市公司通过其关键交易流程获取交易数据, 并根据一系列标准会计政策及程序对有关数据 进行呈报。
如公司的标准政策不符合中国企业 会计准则,则可能会产生财务报表错报。 5.资产价值不能变现 如某项资产的账面净值减值未能确认,则可 能会产生财务报表错报。 6.非常规交易未予以确认或恰当列账 上市公司不时会进行非常规交易(如遣散协 议、行政人员的薪酬、租赁的会计处理等问 题)。如有关交易未予以确认或恰当列账, 则可能会产生重大财务报表错报。 7.根据中国企业会计准则编制的对外公布 的财务报表不准确或不完整 上市公司对外公布的财务报表包括按照中国企业 会计准则编制,但并非用于管理层报告的股东权 益及现金流量表。如有关报表未予以完整且准确 地编制,则可能会出现重大财务报表错报。 税务环节 风险名称 风险描述 税法合规风险 违反中国税法规定,导致罚款或其他惩罚等。 错误的计提期间 应缴税金未以正确的金额记在所属期间, 导致高估或低估负债等。 财务披露环节 风险名称 风险描述 1.财务报表附注内的披露不准确 财务报表附注及周期性文件其他部份内的财务披 露信息产生于各种来源。如附注内的披露信息不 准确,则可能会产生重大的财务报表错报。 2.财务报表及有关披露不符合中国企业会 计准则及/或证监会法律法规等 作为上海证券交易所上市公司,公司须遵守 上海证券交易所的报告要求,证监会等政府 部门颁布的法律法规,以及按中国企业会计 准则编制财务报表的要求等。
公司的财务报 表可能会由于披露不完整而产生错报。 信息技术环节风险名称 风险描述 财务软件合并报表/或标准财务软件报表不 完整或不准确 公司的财务报表直接利用财务软件编制, 包括所有附属公司的合并财务报表。不正 确或不完整的标准报表及/或系统合并,可 能会导致重大财务报告错报。 数据完整性受损或系统数据丢失 大多数财务报告直接产生自信息技术系 统。如果系统数据的完整性遭到破坏或数 据丢失,均可能会导致财务报表错报。该 等风险包括未经授权进入系统从而导致数 据遭到破坏的风险。 不恰当的系统开发和程序修改 不恰当的系统开发和程序修改可能会导致 财务报表的弄虚作假。 信息部门功能及职责划分不当 信息部门功能及职责划分不当可能会导致 未经授权进入系统,数据信息受到人为干 扰和破坏的风险。 公开信息披露不完全或不及时 公司的重大经营信息或重大变化未及时和 完整地在公司网站和上海证券交易所的网 站上进行公开披露的风险。 如公司的业务及/或风险评估发生变动,上文确认的关键流程及风险也将发生相应变化。 E.识别可降低主要风险的关键控制 甫瀚建议公司通过设计、实施及利用标准的会计政策及程序,集中对有关数据进行完整且 准确的收集与呈报财务风险分析从哪几个方面分析,以降低出现上述主要风险的概率。
为确保能够适当降低关键流程内的 主要风险,有关该等风险的关键控制将予以确认及记录。公司将分别在预防、检测及以系 统为基础的控制层面对其关键控制进行评估。 F.评估控制设计的有效性(实现目标) 对已确认的每种控制的设计有效性进行评估,以确定有关控制是否可充分协助实现目标。 对设计有效性进行评估时,需要考虑以下各点: 1.公司层面控制的评估结果; 2.整体IT控制的评估结果; 3.确认的财务报告风险或认定的性质; 4.内控五个要素的成效; 5.确认可能发生的错误或遗漏的性质和类别; 6.所确认的控制所提供的保证程度; 7.业务变更的范围及其对内部控制的预期影响等。 G.评估控制运作的有效性(运作按设计进行) 甫瀚建议上市公司定期和不定期对关键控制进行测试,以评价有关控制是否有效地进行。测 试将包括对流程及控制结果进行观察、询问、检查,以及重新执行及审核有关流程及控制。 公司根据自身经营特点制定年度内部控制检查监督计划,并作为评价内控运行情况的依 据。公司利用检查监督部门的服务来执行大部分的控制测试工作,由董事会对内控检查监 督工作进行指导,并审阅检查监督部门提交的内控检查监督工作报告。 公司应将收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保 等重大事项作为稽核计划的必备事项。
公司检查监督工作人员对于检查发现的内部控制制度缺陷及实施中存在的问题,应在内部 控制检查监督工作报告中据实反映,并应在向董事会报告后进行追踪,以确定相关部门已 及时采取适当的改进措施。 10 同时,公司监事会或监事对公司内部控制也具有监控的职能。公司监事会以财务监督为核心,同时对公司董事、经理及其他高级管理人员的尽职情况进行监督。上市公司监事会应 当对董事会编制的公司定期报告进行审核并提出书面审核意见。监事会在发现公司经营异 常情况的,可以进行调查;必要时,可以聘请会计师事务所等协助其工作。 H.设计并实施用以弥补内控差距及缺陷的解决方案 内部控制检查监督部门在上文进行的控制测试将确认控制目标与实际控制成效之间的差 距,并透过识别例外情况及低效领域来确认控制缺陷,及时提供改进建议,并通过董事会 及时反馈给相关部门,由相关部门采取适当的改善措施或新的控制。 公司应将前款所发现内部控制制度缺陷及实施中存在的问题列为各部门绩效考核的重要项目。 I.持续完善 甫瀚建议上市公司根据新的专业指引及诠释,以及公司业务及内控发生的变化,定期(年 度)及不定期审阅及更新该指引条款的工作计划。在测试开始之前及测试结果的总结工作 完成之后,公司都将开展有关计划的具体的内外部审核及信息披露,以达到持续完善内部 控制制度的目的。
(1)内部控制制度的检查监督 公司应确定专门职能部门负责内部控制的日常检查监督工作财务风险分析从哪几个方面分析,并通过内部控制检 查监督部门协助董事会及管理层检查发现内部控制制度的缺陷和实施中存在的问 题,考核经营的效果和效率,评价战略目标实现的风险,并及时提供改进建议, 确保公司有效实施内部控制制度。 公司应制定内部控制检查监督办法,该办法至少包括如下内容:董事会或相关机 构对内部控制检查监督的授权;公司内各部门及下属机构对内部控制检查监督的 配合义务;对内部控制检查监督的项目、时间、程序及方法;内部控制检查监督 工作报告的方式;内部控制检查监督工作相关的责任的划分;内部控制检查监督 工作的激励制度。 检查监督部门的工作资料,包括内部控制检查监督工作报告、工作底稿及相关资 料,保存时间不少于十年。 (2)设计并实施信息报告及信息披露制度 公司内部控制检查监督部门在董事会指导下,对内部控制制度进行评估,并向其 提交内部控制检查监督工作报告。检查监督部门必须在每年年度和半年度结束后 向董事会提交内部控制检查监督工作报告。 董事会应根据内部控制检查监督工作报告及相关信息,评价公司内部控制的建立 和实施情况,形成内部控制自我评估报告。
公司董事会应在审议年度财务报告等 事项的同时,对公司内部控制自我评估报告形成决议。 公司内部控制自我评估报告至少应包括如下内容:1)内控制度是否建立健全; 2)内控制度是否有效实施;3)内部控制检查监督工作的情况;4)内控制度及 其实施过程中出现的重大风险及其处理情况;5)对本年度内部控制检查监督工 作计划完成情况的评价;6)完善内控制度的有关措施;7)下一年度内部控制有 关工作计划。 公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露 会计师事务所对内部控制自我评估报告的核实评价意见。
更多财税咨询、上市辅导、财务培训请关注理臣咨询官网 素材来源:部分文字/图片来自互联网,无法核实真实出处。由理臣咨询整理发布,如有侵权请联系删除处理。
400-835-0088
