香港上市IT審計(jì)培訓(xùn)

1、1香港上市香港上市ITIT審計(jì)概述審計(jì)概述 - -集團(tuán)香港上市集團(tuán)香港上市ITIT審計(jì)準(zhǔn)備與路線圖審計(jì)準(zhǔn)備與路線圖*有限公司 行業(yè)咨詢(xún)部 葉谷松2008- 8-14提綱提綱 香港上市公司IT審計(jì)參考依據(jù) 香港上市建議路線圖 Q&A提綱提綱 香港上市公司IT審計(jì)參考依據(jù) Turnbull報(bào)告和COSO框架 BS7799(ISO/IEC 27002和ISO 27001:2005) 香港上市建議路線圖 Q&A香港相關(guān)法規(guī)制度香港相關(guān)法規(guī)制度 企業(yè)管治常規(guī)守則及企業(yè)管治報(bào)告 是主板上市規(guī)則和創(chuàng)業(yè)板上市規(guī)則的附錄 于2005年1月或以后開(kāi)始的會(huì)計(jì)期生效(部分條款2005年7月或以后開(kāi)始的

2、會(huì)計(jì)期生效) 內(nèi)部監(jiān)控與風(fēng)險(xiǎn)管理的基本架構(gòu) 應(yīng)港交所邀請(qǐng)，香港會(huì)計(jì)師公會(huì)編制并于2005.6發(fā)表 主要目的是就內(nèi)部監(jiān)控與風(fēng)險(xiǎn)管理的基本架構(gòu)提供一般指引及建議 香港相關(guān)法規(guī)制度香港相關(guān)法規(guī)制度 守則的參考依據(jù)： 英國(guó)財(cái)務(wù)匯報(bào)委員會(huì)(Financial Reporting Council)于2003.7公布的企業(yè)管治綜合守則(Combined Code on Corporate Governance)(綜合守則)所載的原則和指引。 指引的參考依據(jù)： 內(nèi)部監(jiān)控：綜合守則的董事指南(Turnbull指引) 內(nèi)部監(jiān)控-綜合架構(gòu)(Internal ControlIntegrated Framework)

3、(COSO框架)指引指引的主要參考依據(jù)介紹的主要參考依據(jù)介紹Turnbull報(bào)告董事會(huì)對(duì)公司的內(nèi)部控制負(fù)責(zé)，應(yīng)制定正確的內(nèi)部控制政策，并尋求日常的保證，使內(nèi)部控制系統(tǒng)有效發(fā)揮作用，還應(yīng)進(jìn)一步確認(rèn)內(nèi)部控制在風(fēng)險(xiǎn)管理方面是有效的。 在決定內(nèi)部控制政策，并在此基礎(chǔ)上評(píng)估特定環(huán)境下內(nèi)部控制的構(gòu)成時(shí)，董事會(huì)應(yīng)對(duì)以下問(wèn)題進(jìn)行深入思考：(1)公司面臨風(fēng)險(xiǎn)的性質(zhì)和程度；(2)公司可承受風(fēng)險(xiǎn)的程度和類(lèi)型；(3)風(fēng)險(xiǎn)發(fā)生的可能性；(4)公司減少事故的能力及對(duì)已發(fā)生風(fēng)險(xiǎn)的影響；(5)實(shí)施特殊風(fēng)險(xiǎn)控制的成本，以及從相關(guān)風(fēng)險(xiǎn)管理中獲取的利益。 執(zhí)行風(fēng)險(xiǎn)控制政策是管理層的職責(zé)，在履行其職責(zé)的過(guò)程中，管理層應(yīng)確認(rèn)、評(píng)價(jià)公司

4、所面臨的風(fēng)險(xiǎn)，并執(zhí)行董事會(huì)所設(shè)計(jì)、運(yùn)行的內(nèi)部控制政策。公司員工有義務(wù)將內(nèi)部控制作為實(shí)現(xiàn)其責(zé)任目標(biāo)的組成部分，他們應(yīng)集體具備必要的知識(shí)、技能、信息和授權(quán)，以建立、運(yùn)行和監(jiān)督公司內(nèi)部控制系統(tǒng)。這要求對(duì)公司及其目標(biāo)，所處的產(chǎn)業(yè)和市場(chǎng)以及面臨的風(fēng)險(xiǎn)有深入的理解。 合理的內(nèi)部控制要素包括政策、程序、任務(wù)、行為以及公司的其他方面，這些要素結(jié)合在一起，對(duì)影響公司目標(biāo)實(shí)現(xiàn)的重大的商業(yè)性、業(yè)務(wù)性、財(cái)務(wù)性和遵循性風(fēng)險(xiǎn)做出正確反應(yīng)，以提高公司經(jīng)營(yíng)的效率和效果。其中包括避免資產(chǎn)的不當(dāng)使用、損失或舞弊，并保證已對(duì)負(fù)債進(jìn)行了確認(rèn)和管理。指引指引的主要參考依據(jù)介紹的主要參考依據(jù)介紹Turnbull報(bào)告(續(xù))公司的內(nèi)部控制應(yīng)

5、反映組織結(jié)構(gòu)在內(nèi)的控制環(huán)境，包括：(1)控制活動(dòng)；(2)信息和溝通程序；(3)持續(xù)性監(jiān)督程序。特恩布爾報(bào)告指出了健全的內(nèi)部控制所應(yīng)具備的基本特征：(1)它根植于公司的經(jīng)營(yíng)之中，形成公司文化的一部分。換言之，它不僅僅是為了取悅監(jiān)管者而進(jìn)行的年度例行檢查; (2)針對(duì)公司面臨的不斷變化的風(fēng)險(xiǎn)，具有快速反應(yīng)的能力; (3)具有對(duì)管理中存在的缺陷或失敗進(jìn)行快速報(bào)告的能力，并且能及時(shí)地采取糾正措施。 對(duì)內(nèi)部控制有效性進(jìn)行復(fù)核是董事會(huì)職責(zé)的必備部分。董事會(huì)應(yīng)在謹(jǐn)慎、仔細(xì)地了解信息的基礎(chǔ)上形成對(duì)內(nèi)部控制是否有效的正確判斷。董事會(huì)應(yīng)限定對(duì)內(nèi)部控制復(fù)核的過(guò)程，包括一年中復(fù)核的范圍、收到報(bào)告的頻率以及年度評(píng)估的程

6、序等，這也將為公司年報(bào)和記錄中的內(nèi)部控制聲明提供適當(dāng)?shù)闹С帧Ｖ敢敢闹饕獏⒖家罁?jù)介紹的主要參考依據(jù)介紹 COSO框架三個(gè)目標(biāo)：營(yíng)運(yùn)的效益和效率；財(cái)務(wù)報(bào)告的可靠性；遵循法律法規(guī)及合同。 五個(gè)要素：內(nèi)控環(huán)境、風(fēng)險(xiǎn)評(píng)估、內(nèi)控活動(dòng)、信息及溝通、監(jiān)督。SOX 404 IT控制需求 安全（Security）基于應(yīng)用和平臺(tái)；定位在那些可能影響財(cái)務(wù)和支持基礎(chǔ)設(shè)施的應(yīng)用上需要有安全的操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、防火墻和基礎(chǔ)設(shè)施審計(jì)師會(huì)尋找過(guò)度訪問(wèn)、缺乏職責(zé)分離、不恰當(dāng)?shù)脑L問(wèn)授權(quán)的問(wèn)題，他們也會(huì)測(cè)試關(guān)鍵過(guò)程，以確定控制的有效性 變更控制（Change Control）需要有程序能控制和確保對(duì)生產(chǎn)系統(tǒng)變更的恰當(dāng)批準(zhǔn)通

7、過(guò)技術(shù)性控制來(lái)限制和控制開(kāi)發(fā)者訪問(wèn)生產(chǎn)系統(tǒng) 災(zāi)難恢復(fù)（Disaster Recovery）定位在基本的財(cái)務(wù)數(shù)據(jù)備份和恢復(fù)上 IT治理（IT Governance）IT是否存在清晰的策略、程序和溝通？職責(zé)分離是否明確？IT組織是否有合適的“上層論調(diào)“？ 開(kāi)發(fā)及實(shí)施活動(dòng)（ Development And Implementation Activities ）在將新系統(tǒng)或系統(tǒng)變更引入到生產(chǎn)環(huán)境之前，需要內(nèi)建恰當(dāng)?shù)目刂茖徲?jì)師可能會(huì)評(píng)估新的財(cái)務(wù)系統(tǒng)；數(shù)據(jù)轉(zhuǎn)換和測(cè)試是關(guān)鍵提綱提綱 香港上市公司IT審計(jì)參考依據(jù) Turnbull報(bào)告和COSO框架 BS7799(ISO/IEC 27002和ISO 27001

8、:2005) 香港上市建議路線圖 Q&ABS7799介紹介紹 BS7799:Information security management system (ISMS)信息安全管理體系BSI(英國(guó)標(biāo)準(zhǔn)協(xié)會(huì))制定BS7799-1:信息安全管理實(shí)踐指南(code of practice for information security management) 2000.12成為ISO標(biāo)準(zhǔn)，稱(chēng)為ISO/IEC 17799:2000 2005年底改版升級(jí)，2007年更改編號(hào)為ISO/IEC 27002BS7799-2:信息安全體系管理規(guī)范(specification for informatio

9、n security management system) 2005.10被采納為ISO 27001:2005BS7799介紹介紹 信息安全的屬性：機(jī)密性、完整性、可用性 BS7799主要內(nèi)容框架：定義范圍、定義方針、確定風(fēng)險(xiǎn)評(píng)估的方法、識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、識(shí)別并評(píng)估風(fēng)險(xiǎn)處理的措施、為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施、準(zhǔn)備適用性聲明涉及10領(lǐng)域：安全策略、組織安全、資產(chǎn)分類(lèi)和控制、人員安全、實(shí)體和環(huán)境安全 、通訊和操作管理、存取控制（訪問(wèn)控制）、系統(tǒng)開(kāi)發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、符合性BS7799介紹介紹 BS7799_PDCA模型BS7799介紹介紹 BS7799_10區(qū)域BS7799介紹介紹_

10、10區(qū)域區(qū)域 安全策略(Security Policy):信息安全方針文件(Information Security Policy Document)評(píng)審和評(píng)估(Review and Evaluation) 組織安全(Security Organization)信息安全基礎(chǔ)架構(gòu)(Information Security Infrastructure)第三方訪問(wèn)的安全(Security of Third Party Access)外包(Outsourcing) 資產(chǎn)分類(lèi)和控制(Assets Classification Controls):資產(chǎn)清點(diǎn)(Accountability for Asse

11、ts)信息分類(lèi)(Information Classification)BS7799介紹介紹_10區(qū)域區(qū)域 人員安全(Personnel Security)將安全列入工作職責(zé)中(Security in Job Definition and Resourcing)培訓(xùn)(User Training)安全事件和故障的反應(yīng)處理(Responding to Security Incidents & Malfunctions) 實(shí)體和環(huán)境安全(Physical and Environmental Security):安全區(qū)域(Security Areas)設(shè)備安全(Equipment Securit

12、y) 一般控制措施(General Controls)BS7799介紹介紹_10區(qū)域區(qū)域 通訊和操作管理(Communications and Operation Management)作業(yè)程序與職責(zé)(Operational Procedures & responsibilities)系統(tǒng)的策劃與接收(System Planning and Acceptance)防范惡意軟件(Protection against Malicious Software)日常事務(wù)管理(Housekeeping)網(wǎng)絡(luò)管理(Network Management)介質(zhì)處理與安全(Media Handling a

13、nd Security)信息和軟件交換(Exchanges of Information & Software)BS7799介紹介紹_10區(qū)域區(qū)域 訪問(wèn)控制(Access Control):訪問(wèn)控制的業(yè)務(wù)要求(Business Requirements for Access Control)用戶(hù)管理(User Access Management) 用戶(hù)職責(zé)(User Responsibilities) 網(wǎng)絡(luò)訪問(wèn)控制(Network Access Control) 操作系統(tǒng)訪問(wèn)控制(Operating System Access Control) 應(yīng)用系統(tǒng)訪問(wèn)控制(Application

14、 Access Control) 監(jiān)控系統(tǒng)的訪問(wèn)和使用(Monitoring System Access and Use) 移動(dòng)計(jì)算機(jī)與遠(yuǎn)程工作(Mobile Computing and Teleworking)BS7799介紹介紹_10區(qū)域區(qū)域 系統(tǒng)開(kāi)發(fā)和維護(hù)(Systems Development and Maintenance) 系統(tǒng)安全要求(Security Requirements of Systems) 應(yīng)用系統(tǒng)安全(Security in Application Systems) 加密控制(Cryptographic Controls) 系統(tǒng)文件的安全(Security of S

15、ystem files) 開(kāi)發(fā)和支持過(guò)程的安全(Security in Development and Support processes) 業(yè)務(wù)連續(xù)性管理(Business Continuity Management): 運(yùn)營(yíng)持續(xù)管理的考慮點(diǎn)(Aspects of Business Continuity Management) 符合性(Compliance) 符合法規(guī)要求(Compliance with Legal Requirement) 安全方針和技術(shù)符合性評(píng)審(Reviews of Security Policy and Technical Compliance) 系統(tǒng)審核的考量(Sy

16、stem Audit Considerations)提綱提綱 香港上市公司IT審計(jì)參考依據(jù) 香港上市建議路線圖 Q&A內(nèi)地民企香港上市模式內(nèi)地民企香港上市模式 把企業(yè)變成股份制公司，在香港以H股上市 部分產(chǎn)業(yè)不可由外資擁有，這種情況只能以此方式上市 缺乏靈活性，受中國(guó)證監(jiān)會(huì)監(jiān)管，包括發(fā)行新股等，此外還受外匯管制 擴(kuò)展受限制，公司的收購(gòu)資產(chǎn)值不能多于公司本身資產(chǎn)值的一半 組織海外公司，以之并購(gòu)其內(nèi)地企業(yè)某部分或全部股份，令海外公司持有內(nèi)地公司，把海外公司的股票拿來(lái)上市，即俗稱(chēng)的紅籌 外匯管理有加強(qiáng)的趨勢(shì) 買(mǎi)殼上市 造殼上市香港上市的步驟香港上市的步驟/程序程序 重組階段(1-3月)聘請(qǐng)專(zhuān)

17、業(yè)中介機(jī)構(gòu) (包括保薦人、律師、會(huì)計(jì)師、評(píng)估師等 )審查及評(píng)估(上述專(zhuān)業(yè)中介機(jī)構(gòu)進(jìn)行盡職調(diào)查及評(píng)估 )集團(tuán)重組(擬上市公司和專(zhuān)業(yè)中介機(jī)構(gòu)共同商討及落實(shí)上市重組的架構(gòu)，使適合上市及配合公司未來(lái)的業(yè)務(wù)發(fā)展 ) 前期工作階段(2-4月):審計(jì)及編制會(huì)計(jì)師報(bào)告(會(huì)計(jì)師編制擬上市公司過(guò)去業(yè)績(jī)及財(cái)務(wù)狀況之報(bào)告 )編撰上市文件(保薦人草擬招股章程及各上市文件 ) 注：若以H股公司形式上市，向中國(guó)證監(jiān)會(huì)提供保薦人報(bào)告及公司境外上市申請(qǐng) 香港上市的步驟香港上市的步驟/程序程序 上市過(guò)程（審批階段）(2-4月)呈交上市申請(qǐng)表及有關(guān)文件予聯(lián)交所并回答聯(lián)交所就上市之查詢(xún)?nèi)粢訦股形式上市，獲中國(guó)證監(jiān)會(huì)批準(zhǔn)申請(qǐng)企業(yè)的境外

18、上市聯(lián)交所上市委員會(huì)進(jìn)行上市聆詢(xún) 上市過(guò)程（發(fā)行階段）(2-4月)聯(lián)交所上市委員會(huì)批準(zhǔn)上市申請(qǐng)保薦人連同公關(guān)公司向投資者推介擬上市公司刊發(fā)招股章程接受公眾認(rèn)購(gòu)申請(qǐng)正式掛牌上市香港上市工作中主要中介機(jī)構(gòu)及角色香港上市工作中主要中介機(jī)構(gòu)及角色保薦人：整個(gè)上市過(guò)程的統(tǒng)籌者和領(lǐng)導(dǎo)者 向擬上市公司提供上市的專(zhuān)業(yè)財(cái)務(wù)意見(jiàn)，助其處理上市各項(xiàng)事務(wù)； 擔(dān)當(dāng)擬上市公司與聯(lián)交所、中國(guó)證監(jiān)會(huì)及各專(zhuān)業(yè)中介機(jī)構(gòu)之間的主要溝通渠道，確保擬上市公司適合上市，相關(guān)資料準(zhǔn)確披露等； 設(shè)計(jì)股票推銷(xiāo)策略，組織承銷(xiāo)團(tuán)等申報(bào)會(huì)計(jì)師：負(fù)責(zé)準(zhǔn)備會(huì)計(jì)師報(bào)告，此報(bào)告將刊載在招股章程內(nèi)法律顧問(wèn)：法例規(guī)定須委任一位香港律師為擬上市公司的法律顧問(wèn)，并

19、須委任另一位香港律師為保薦人及承銷(xiāo)商提供法律意見(jiàn)。此外，如公司于內(nèi)地有業(yè)務(wù)，亦須委任一名中國(guó)律師提供中國(guó)法律意見(jiàn)。假若公司于海外注冊(cè)成立，須額外委任一間于司法區(qū)域開(kāi)業(yè)的海外律師行。 資產(chǎn)評(píng)估師：負(fù)責(zé)為公司的土地及物業(yè)權(quán)益作出評(píng)估，估值報(bào)告刊載于招股章程內(nèi)財(cái)經(jīng)公關(guān)公司：協(xié)助上市公司的市場(chǎng)推廣工作，增加投資者及公眾對(duì)公司的認(rèn)識(shí)及興趣香港上市工作所需時(shí)間和費(fèi)用香港上市工作所需時(shí)間和費(fèi)用 時(shí)間：由擬上市公司簽定保薦人起，一般至少需時(shí)六至九個(gè)月。 中介人費(fèi)用：包括保薦人、律師、會(huì)計(jì)師、評(píng)估師等，平均至少約一千萬(wàn)港元，另加包銷(xiāo)費(fèi)用，約為籌資額的2.5%至4%。換言之，籌資額愈高，費(fèi)用愈高。 香港上市過(guò)程中常遇到的問(wèn)題香港上市過(guò)程中常遇到的問(wèn)題 香港和內(nèi)地兩地營(yíng)商習(xí)慣、司法制度、會(huì)計(jì)制度的差異 內(nèi)地產(chǎn)權(quán)未規(guī)范化亦常造成問(wèn)題 此外，稅務(wù)問(wèn)題、關(guān)聯(lián)交易問(wèn)題等企業(yè)在港主板上市的基本條件企業(yè)在港主板上市的基本條件持續(xù)的管理層：至少3年的營(yíng)運(yùn)記錄；股權(quán)結(jié)構(gòu)：在最近一個(gè)經(jīng)審核的財(cái)政年度內(nèi)股權(quán)不能有重大變動(dòng)；財(cái)務(wù)要求：（符合以下條件之一）盈利盈利過(guò)去3年股東應(yīng)占盈利達(dá)5,000萬(wàn)港元（最近一年2,000萬(wàn)港元，其前兩年合計(jì)達(dá)3,000萬(wàn)港元）；上市時(shí)市值至少達(dá)2億港元。市值市值/收入收入/現(xiàn)金流量現(xiàn)金流量上市時(shí)市值至少達(dá)20億港元；最近一個(gè)經(jīng)審核財(cái)政年度的收入至少達(dá)5億港元；經(jīng)營(yíng)業(yè)務(wù)有現(xiàn)金流入，