各上市公司：

　　為推動和指導上市公司建立健全內部控制制度，提高公司風險管理水平，保護投資者的合法權益，根據《公司法》、《證券法》、《國務院批轉證監會<關于提高上市公司質量意見>的通知》等法律法規及規范性文件和《上海證券交易所股票上市規則》的規定，本所制定了《上海證券交易所上市公司內部控制指引》，現予以發布實施。

　　上海證券交易所
2006年6月5日

上海證券交易所上市公司內部控制指引

　　第一章 總則

　　第一條 為推動和指導上海證券交易所（以下簡稱本所）上市公司建立健全和有效實施內部控制制度，提高上市公司風險管理水平，保護投資者的合法權益，依據《公司法》、《證券法》、《國務院批轉證監會<關于提高上市公司質量意見>的通知》等法律法規及規范性文件和《上海證券交易所股票上市規則》的規定，制定本指引。

　　第二條 內部控制是指上市公司（以下簡稱公司）為了保證公司戰略目標的實現，而對公司戰略制定和經營活動中存在的風險予以管理的相關制度安排。它是由公司董事會、管理層及全體員工共同參與的一項活動。

　　第三條 在本所上市的公司應當按照法律、行政法規、部門規章以及本所股票上市規則的規定建立健全內部控制制度（以下簡稱內控制度），保證內控制度的完整性、合理性及實施的有效性，以提高公司經營的效果與效率，增強公司信息披露的可靠性，確保公司行為合法合規。

　　第四條 公司董事會對公司內控制度的建立健全、有效實施及其檢查監督負責，董事會及其全體成員應保證內部控制相關信息披露內容的真實、準確、完整。

　　第二章 內部控制的框架

　　第五條 公司內控制度應力求全面、完整，至少在以下層面作出安排：

　　（一）公司層面；

　　（二）公司下屬部門及附屬公司層面；

　　（三）公司各業務環節層面。

　　第六條 公司建立和實施內控制度時，應考慮以下基本要素：

　　（一）目標設定，指董事會和管理層根據公司的風險偏好設定戰略目標。

　　（二）內部環境，指公司的組織文化以及其他影響員工風險意識的綜合因素，包括員工對風險的看法、管理層風險管理理念和風險偏好、職業道德規范和工作氛圍、董事會和監事會對風險的關注和指導等。

　　（三）風險確認，指董事會和管理層確認影響公司目標實現的內部和外部風險因素。

　　（四）風險評估，指董事會和管理層根據風險因素發生的可能性和影響，確定管理風險的方法。

　　（五）風險管理策略選擇，指董事會和管理層根據公司風險承受能力和風險偏好選擇風險管理策略。

　　（六）控制活動，指為確保風險管理策略有效執行而制定的制度和程序，包括核準、授權、驗證、調整、復核、定期盤點、記錄核對、職能分工、資產保全、績效考核等。

　　（七）信息溝通，指產生服務于規劃、執行、監督等管理活動的信息并適時向使用者提供的過程。

　　（八）檢查監督，指公司自行檢查和監督內部控制運行情況的過程。

　　第七條 公司應在符合總體戰略目標的基礎上，針對各下屬部門、附屬公司以及各業務環節的特點，建立相應的內控制度。

　　第八條 公司內部控制通常應涵蓋經營活動中所有業務環節，包括但不限于：

　　（一）銷貨及收款環節：包括訂單處理、信用管理、運送貨物、開出銷貨發票、確認收入及應收賬款、收到現款及其記錄等。

　　（二）采購及付款環節：包括采購申請、處理采購單、驗收貨物、填寫驗收報告或處理退貨、記錄應付賬款、核準付款、支付現款及其記錄等。

　　（三）生產環節：包括擬定生產計劃、開出用料清單、儲存原材料、投入生產、計算存貨生產成本、計算銷貨成本、質量控制等。

　　（四）固定資產管理環節：包括固定資產的自建、購置、處置、維護、保管與記錄等。

　　（五）貨幣資金管理環節：包括貨幣資金的入賬、劃出、記錄、報告、出納人員和財務人員的授權等。

　　（六）關聯交易環節：包括關聯方的界定，關聯交易的定價、授權、執行、報告和記錄等。

　　（七）擔保與融資環節：包括借款、擔保、承兌、租賃、發行新股、發行債券等的授權、執行與記錄等。

　　（八）投資環節：包括投資有價證券、股權、不動產、經營性資產、金融衍生品及其他長、短期投資、委托理財、募集資金使用的決策、執行、保管與記錄等。

　　（九）研發環節：包括基礎研究、產品設計、技術開發、產品測試、研發記錄及文件保管等。

　　（十）人事管理環節：包括雇用、簽訂聘用合同、培訓、請假、加班、離崗、辭退、退休、計時、計算薪金、計算個人所得稅及各項代扣款、薪資記錄、薪資支付、考勤及考核等。

　　公司在內控制度制定過程中，可以根據自身所處行業及生產經營特點對上述業務環節進行調整。

　　第九條 公司內控制度除涵蓋對經營活動各環節的控制外，還包括貫穿于經營活動各環節之中的各項管理制度，包括但不限于：印章使用管理、票據領用管理、預算管理、資產管理、質量管理、擔保管理、職務授權及代理制度、定期溝通制度、信息披露管理制度及對附屬公司的管理制度等。

　　第十條 公司使用計算機信息系統的，還應制定信息管理的內控制度。信息管理的內控制度至少應涵蓋下列內容：

　　（一）信息處理部門與使用部門權責的劃分；

　　（二）信息處理部門的功能及職責劃分；

　　（三）系統開發及程序修改的控制；

　　（四）程序及資料的存取、數據處理的控制；

　　（五）檔案、設備、信息的安全控制；

　　（六）在本所網站或公司網站上進行公開信息披露活動的控制。

　　第十一條 公司應根據國家財政主管部門的有關規定，建立內部會計控制規范。

　　第十二條 金融等特殊行業的公司建立內控制度，還應遵循有關主管部門的規定。

　　第十三條 公司應根據自身業務特點建立相應的內控制度，本所鼓勵公司聘請中介機構協助建立內控制度。

　　第三章 專項風險的內部控制

　　第一節 對附屬公司的管理控制

　　第十四條 公司應對控股子公司實行管理控制，主要包括：

　　（一）依法建立對控股子公司的控制架構，確定控股子公司章程的主要條款，選任董事、監事、經理及財務負責人。

　　（二）根據公司的戰略規劃，協調控股子公司的經營策略和風險管理策略，督促控股子公司據以制定相關業務經營計劃、風險管理程序。

　　（三）制定控股子公司的業績考核與激勵約束制度。

　　（四）制定母子公司業務競爭、關聯交易等方面的政策及程序。

　　（五）制定控股子公司重大事項的內部報告制度。重大事項包括但不限于發展計劃及預算、重大投資、收購出售資產、提供財務資助、為他人提供擔保、從事證券及金融衍生品投資、簽訂重大合同、海外控股子公司的外匯風險管理等。

　　（六）定期取得控股子公司月度財務報告和管理報告，并根據相關規定，委托會計師事務所審計控股子公司的財務報告。

　　第十五條 公司應對控股子公司內控制度的實施及其檢查監督工作進行評價。

　　第十六條 公司應比照上述要求，對分公司和具有重大影響的參股公司的內控制度作出安排。

　　第二節 金融衍生品交易的內部控制

　　第十七條 參與金融衍生品交易的公司，應評估自身風險控制能力，制定相應的內控制度。金融衍生品交易包括但不限于以商品或證券為基礎的期貨、期權、遠期、調期等交易。

　　第十八條 公司董事會應充分認識金融衍生品交易的性質和風險，根據公司的風險承受能力，合理確定金融衍生品交易的風險限額和相關交易參數。

　　第十九條 公司應按照下列要求，對金融衍生品交易實行內部控制：

　　（一）合理制定金融衍生品交易的目標、套期保值的策略；

　　（二）制定金融衍生品交易的執行制度，包括交易員的資質、考核、風險隔離、執行、止損、記錄和報告等的政策和程序；

　　（三）制定金融衍生品交易的風險報告制度，包括授權、執行、或有資產、隱含風險、對沖策略及其他交易細節；

　　（四）制定金融衍生品交易風險管理制度，包括機構設置、職責、記錄和報告的政策和程序。

　　第三節 其他風險的內部控制

　　第二十條 公司應根據行業特點、戰略目標和風險管理策略的不同，就特有風險作出相關內控制度安排。

　　第二十一條 公司應制定危機管理控制制度。

　　第四章 內部控制的檢查監督

　　第二十二條 公司應對內控制度的落實情況進行定期和不定期的檢查。董事會及管理層應通過內控制度的檢查監督，發現內控制度是否存在缺陷和實施中是否存在問題，并及時予以改進，確保內控制度的有效實施。

　　第二十三條 公司應確定專門職能部門負責內部控制的日常檢查監督工作，并根據相關規定以及公司的實際情況配備專門的內部控制檢查監督人員。公司可根據自身組織架構和行業特點安排該職能部門的設置。

　　前款所述專門部門（以下簡稱“檢查監督部門”）可直接向董事會報告，該部門負責人的任免可由董事會決定。

　　第二十四條 公司應制定內部控制檢查監督辦法，該辦法至少包括如下內容：

　　（一）董事會或相關機構對內部控制檢查監督的授權；

　　（二）公司各部門及下屬機構對內部控制檢查監督的配合義務；

　　（三）內部控制檢查監督的項目、時間、程序及方法；

　　（四）內部控制檢查監督工作報告的方式；

　　（五）內部控制檢查監督工作相關責任的劃分；

　　（六）內部控制檢查監督工作的激勵制度。

　　第二十五條 公司應根據自身經營特點制定年度內部控制檢查監督計劃，并作為評價內部控制運行情況的依據。

　　公司應將收購和出售資產、關聯交易、從事衍生品交易、提供財務資助、為他人提供擔保、募集資金使用、委托理財等重大事項作為內部控制檢查監督計劃的必備事項。

　　第二十六條 檢查監督部門應在年度和半年度結束后向董事會提交內部控制檢查監督工作報告。

　　公司董事會可根據公司經營特點，制定內部控制檢查監督工作報告的內容與格式要求。

　　第二十七條 公司董事會對內部控制檢查監督工作進行指導，并審閱檢查監督部門提交的內部控制檢查監督工作報告。公司董事會下設審計委員會的，可由審計委員會進行上述工作。

　　第二十八條 檢查監督工作人員對于檢查中發現的內部控制缺陷及實施中存在的問題，應在內部控制檢查監督工作報告中據實反映，并在向董事會報告后進行追蹤，以確定相關部門已及時采取適當的改進措施。

　　公司可將前款所發現的內部控制缺陷及實施中存在的問題列為各部門績效考核的重要項目。

　　第二十九條 檢查監督部門的工作資料，包括內部控制檢查監督工作報告、工作底稿及相關資料，保存時間不少于十年。

　　第五章 內部控制的信息披露

　　第三十條 公司在內部控制的檢查監督中如發現內部控制存在重大缺陷或存在重大風險，應及時向董事會報告。公司董事會應及時向本所報告該事項。經本所認定，公司董事會應及時發布公告。

　　公司應在公告中說明內部控制出現缺陷的環節、后果、相關責任追究以及擬采取的補救措施。

　　第三十一條 董事會應根據內部控制檢查監督工作報告及相關信息，評價公司內部控制的建立和實施情況，形成內部控制自我評估報告。公司董事會應在審議年度財務報告等事項的同時，對公司內部控制自我評估報告形成決議。

　　公司董事會下設審計委員會的，可由審計委員會編制內部控制自我評估報告草案并報董事會審議。

　　第三十二條 公司董事會應在年度報告披露的同時，披露年度內部控制自我評估報告，并披露會計師事務所對內部控制自我評估報告的核實評價意見。

　　第三十三條 公司內部控制自我評估報告至少應包括如下內容：

　　（一） 內控制度是否建立健全；

　　（二） 內控制度是否有效實施；

　　（三） 內部控制檢查監督工作的情況；

　　（四） 內控制度及其實施過程中出現的重大風險及其處理情況；

　　（五） 對本年度內部控制檢查監督工作計劃完成情況的評價；

　　（六） 完善內控制度的有關措施；

　　（七） 下一年度內部控制有關工作計劃。

　　會計師事務所應參照主管部門有關規定對公司內部控制自我評估報告進行核實評價。

　　第六章 附則

　　第三十四條 本指引由本所負責解釋。

　　第三十五條 本指引自2006年7月1日起施行。