香港上市IT审计培训

1、1香港上市香港上市ITIT审计概述审计概述 - -集团香港上市集团香港上市ITIT审计准备与路线图审计准备与路线图*有限公司 行业咨询部 叶谷松2008- 8-14提纲提纲 香港上市公司IT审计参考依据 香港上市建议路线图 Q&A提纲提纲 香港上市公司IT审计参考依据Turnbull报告和COSO框架BS7799(ISO/IEC 27002和ISO 27001:2005) 香港上市建议路线图 Q&A香港相关法规制度香港相关法规制度 企业管治常规守则及企业管治报告是主板上市规则和创业板上市规则的附录于2005年1月或以后开始的会计期生效(部分条款2005年7月或以后开始的会计期生效) 内部监控与

2、风险管理的基本架构应港交所邀请，香港会计师公会编制并于2005.6发表主要目的是就内部监控与风险管理的基本架构提供一般指引及建议 香港相关法规制度香港相关法规制度 守则的参考依据：英国财务汇报委员会(Financial Reporting Council)于2003.7公布的企业管治综合守则(Combined Code on Corporate Governance)(综合守则)所载的原则和指引。 指引的参考依据：内部监控：综合守则的董事指南(Turnbull指引)内部监控-综合架构(Internal ControlIntegrated Framework) (COSO框架)指引指引的主要参考

3、依据介绍的主要参考依据介绍Turnbull报告董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。 在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应对以下问题进行深入思考：(1)公司面临风险的性质和程度；(2)公司可承受风险的程度和类型；(3)风险发生的可能性；(4)公司减少事故的能力及对已发生风险的影响；(5)实施特殊风险控制的成本，以及从相关风险管理中获取的利益。 执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、

4、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分，他们应集体具备必要的知识、技能、信息和授权，以建立、运行和监督公司内部控制系统。这要求对公司及其目标，所处的产业和市场以及面临的风险有深入的理解。 合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面，这些要素结合在一起，对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊，并保证已对负债进行了确认和管理。指引指引的主要参考依据介绍的主要参考依据介绍Turnbull报告(续)公司的内部控制应反映组织结构在内的控制环境，包括：

5、(1)控制活动；(2)信息和沟通程序；(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征：(1)它根植于公司的经营之中，形成公司文化的一部分。换言之，它不仅仅是为了取悦监管者而进行的年度例行检查; (2)针对公司面临的不断变化的风险，具有快速反应的能力; (3)具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。 对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内

6、部控制声明提供适当的支持。指引指引的主要参考依据介绍的主要参考依据介绍 COSO框架三个目标：营运的效益和效率；财务报告的可靠性；遵循法律法规及合同。 五个要素：内控环境、风险评估、内控活动、信息及沟通、监督。SOX 404 IT控制需求 安全（Security）基于应用和平台；定位在那些可能影响财务和支持基础设施的应用上需要有安全的操作系统、数据库、网络、防火墙和基础设施审计师会寻找过度访问、缺乏职责分离、不恰当的访问授权的问题，他们也会测试关键过程，以确定控制的有效性 变更控制（Change Control）需要有程序能控制和确保对生产系统变更的恰当批准通过技术性控制来限制和控制开发者访问

7、生产系统 灾难恢复（Disaster Recovery）定位在基本的财务数据备份和恢复上 IT治理（IT Governance）IT是否存在清晰的策略、程序和沟通？职责分离是否明确？IT组织是否有合适的“上层论调“？ 开发及实施活动（ Development And Implementation Activities ）在将新系统或系统变更引入到生产环境之前，需要内建恰当的控制审计师可能会评估新的财务系统；数据转换和测试是关键提纲提纲 香港上市公司IT审计参考依据Turnbull报告和COSO框架BS7799(ISO/IEC 27002和ISO 27001:2005) 香港上市建议路线图 Q&

8、ABS7799介绍介绍 BS7799:Information security management system (ISMS)信息安全管理体系BSI(英国标准协会)制定BS7799-1:信息安全管理实践指南(code of practice for information security management) 2000.12成为ISO标准，称为ISO/IEC 17799:2000 2005年底改版升级，2007年更改编号为ISO/IEC 27002BS7799-2:信息安全体系管理规范(specification for information security management s

9、ystem) 2005.10被采纳为ISO 27001:2005BS7799介绍介绍 信息安全的属性：机密性、完整性、可用性 BS7799主要内容框架：定义范围、定义方针、确定风险评估的方法、识别风险、评估风险、识别并评估风险处理的措施、为处理风险选择控制目标和控制措施、准备适用性声明涉及10领域：安全策略、组织安全、资产分类和控制、人员安全、实体和环境安全 、通讯和操作管理、存取控制（访问控制）、系统开发和维护、业务连续性管理、符合性BS7799介绍介绍 BS7799_PDCA模型BS7799介绍介绍 BS7799_10区域BS7799介绍介绍_10区域区域 安全策略(Security Po

10、licy):信息安全方针文件(Information Security Policy Document)评审和评估(Review and Evaluation) 组织安全(Security Organization)信息安全基础架构(Information Security Infrastructure)第三方访问的安全(Security of Third Party Access)外包(Outsourcing) 资产分类和控制(Assets Classification Controls):资产清点(Accountability for Assets)信息分类(Information Cla

11、ssification)BS7799介绍介绍_10区域区域 人员安全(Personnel Security)将安全列入工作职责中(Security in Job Definition and Resourcing)培训(User Training)安全事件和故障的反应处理(Responding to Security Incidents & Malfunctions) 实体和环境安全(Physical and Environmental Security):安全区域(Security Areas)设备安全(Equipment Security) 一般控制措施(General Controls)

12、BS7799介绍介绍_10区域区域 通讯和操作管理(Communications and Operation Management)作业程序与职责(Operational Procedures & responsibilities)系统的策划与接收(System Planning and Acceptance)防范恶意软件(Protection against Malicious Software)日常事务管理(Housekeeping)网络管理(Network Management)介质处理与安全(Media Handling and Security)信息和软件交换(Exchanges o

13、f Information & Software)BS7799介绍介绍_10区域区域 访问控制(Access Control):访问控制的业务要求(Business Requirements for Access Control)用户管理(User Access Management) 用户职责(User Responsibilities) 网络访问控制(Network Access Control) 操作系统访问控制(Operating System Access Control) 应用系统访问控制(Application Access Control) 监控系统的访问和使用(Monitor

14、ing System Access and Use) 移动计算机与远程工作(Mobile Computing and Teleworking)BS7799介绍介绍_10区域区域 系统开发和维护(Systems Development and Maintenance) 系统安全要求(Security Requirements of Systems) 应用系统安全(Security in Application Systems) 加密控制(Cryptographic Controls) 系统文件的安全(Security of System files) 开发和支持过程的安全(Security in

15、 Development and Support processes) 业务连续性管理(Business Continuity Management): 运营持续管理的考虑点(Aspects of Business Continuity Management) 符合性(Compliance) 符合法规要求(Compliance with Legal Requirement) 安全方针和技术符合性评审(Reviews of Security Policy and Technical Compliance) 系统审核的考量(System Audit Considerations)提纲提纲 香港上市

16、公司IT审计参考依据 香港上市建议路线图 Q&A内地民企香港上市模式内地民企香港上市模式 把企业变成股份制公司，在香港以H股上市 部分产业不可由外资拥有，这种情况只能以此方式上市 缺乏灵活性，受中国证监会监管，包括发行新股等，此外还受外汇管制 扩展受限制，公司的收购资产值不能多于公司本身资产值的一半 组织海外公司，以之并购其内地企业某部分或全部股份，令海外公司持有内地公司，把海外公司的股票拿来上市，即俗称的红筹 外汇管理有加强的趋势 买壳上市 造壳上市香港上市的步骤香港上市的步骤/程序程序 重组阶段(1-3月)聘请专业中介机构 (包括保荐人、律师、会计师、评估师等 )审查及评估(上述专业中介机

17、构进行尽职调查及评估 )集团重组(拟上市公司和专业中介机构共同商讨及落实上市重组的架构，使适合上市及配合公司未来的业务发展 ) 前期工作阶段(2-4月):审计及编制会计师报告(会计师编制拟上市公司过去业绩及财务状况之报告 )编撰上市文件(保荐人草拟招股章程及各上市文件 ) 注：若以H股公司形式上市，向中国证监会提供保荐人报告及公司境外上市申请 香港上市的步骤香港上市的步骤/程序程序 上市过程（审批阶段）(2-4月)呈交上市申请表及有关文件予联交所并回答联交所就上市之查询若以H股形式上市，获中国证监会批准申请企业的境外上市联交所上市委员会进行上市聆询 上市过程（发行阶段）(2-4月)联交所上市委

18、员会批准上市申请保荐人连同公关公司向投资者推介拟上市公司刊发招股章程接受公众认购申请正式挂牌上市香港上市工作中主要中介机构及角色香港上市工作中主要中介机构及角色保荐人：整个上市过程的统筹者和领导者 向拟上市公司提供上市的专业财务意见，助其处理上市各项事务； 担当拟上市公司与联交所、中国证监会及各专业中介机构之间的主要沟通渠道，确保拟上市公司适合上市，相关资料准确披露等； 设计股票推销策略，组织承销团等申报会计师：负责准备会计师报告，此报告将刊载在招股章程内法律顾问：法例规定须委任一位香港律师为拟上市公司的法律顾问，并须委任另一位香港律师为保荐人及承销商提供法律意见。此外，如公司于内地有业务，亦

19、须委任一名中国律师提供中国法律意见。假若公司于海外注册成立，须额外委任一间于司法区域开业的海外律师行。 资产评估师：负责为公司的土地及物业权益作出评估，估值报告刊载于招股章程内财经公关公司：协助上市公司的市场推广工作，增加投资者及公众对公司的认识及兴趣香港上市工作所需时间和费用香港上市工作所需时间和费用 时间：由拟上市公司签定保荐人起，一般至少需时六至九个月。 中介人费用：包括保荐人、律师、会计师、评估师等，平均至少约一千万港元，另加包销费用，约为筹资额的2.5%至4%。换言之，筹资额愈高，费用愈高。 香港上市过程中常遇到的问题香港上市过程中常遇到的问题 香港和内地两地营商习惯、司法制度、会计制度的差异 内地产权未规范化亦常造成问题 此外，税务问题、关联交易问题等企业在港主板上市的基本条件企业在港主板上市的基本条件持续的管理层：至少3年的营运记录；股权结构：在最近一个经审核的财政年度内股权不能有重大变动；财务要求：（符合以下条件之一）盈利盈利过去3年股东应占盈利达5,000万港元（最近一年2,000万港元，其前两年合计达3,000万港元）；上市时市值至少达2亿港元。市值市值/收入收入/现金流量现金流量上市时市值至少达20亿港元；最近一个经审核财政年度的收入至少达5亿港元；经营业务有现金流入，