服装上市公司IT相关内控披露的分析与思考

周常兰 卢思雨

[摘 要] 本文以我国A股上市服装企业为研究对象，通过收集并整理其中24家已披露的2012年度内部控制自我评价报告，总结并分析了服装上市公司IT相关内部控制披露的实际情况，对IT相关内控的监管要求与认识方面存在的问题进行了思考，提出了相应的对策建议。

[关键词] 服装上市公司；IT内部控制；披露；监管

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 04. 004

[中图分类号] F239.45 [文献标识码] A [文章编号] 1673 - 0194（2014）04- 0009- 03

在全球化和市场化的背景下，信息化作为纺织服装企业提高对各种变化的反应速度、提升管理水平的支持手段，是提高竞争力、与国际接轨的重要途径。一方面，信息技术是服装企业加强内部控制的手段，另一方面，服装企业在信息化的各阶段都存在着风险，这些风险给企业、社会带来经济损失及其他危害，往往是非信息化环境下的多倍。为此，近年来，各方面的监管层也出台了不少关于IT内部控制的规范，而服装企业的产品管理与业务流程较其他行业的企业更为复杂，加强与IT应用系统相关的内控显得更为重要。

1 国内上市公司IT相关内部控制主要监管规范

1.1 企业内部控制基本规范

2008年6月28日，我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行，后来因各种原因延迟执行。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。与IT相关的内部控制规定主要包括：基本规范第11条明确规定，企业应当创造条件，有效利用计算机信息技术加强企业内部控制，逐步实现生产管理系统、营销管理系统、预算管理系统、财务会计管理系统等的信息集成和共享，不断提高内部控制的效率与效果。基本规范第52条规定，信息系统控制要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程。具体规范第17项“计算机信息系统”，一共规定了6章43条，从总则、岗位分工与授权审批、信息系统开发、变更与维护控制、信息系统访问安全、硬件管理、会计电算化及其控制6个方面对计算机信息系统环境下的企业内部控制提出了具体要求。

1.2 上海证券交易所上市公司内部控制指引

2006年6月上交所出台《上海证券交易所上市公司内部控制指引》规定，与IT相关的内部控制规定主要包括第10条规定公司使用计算机信息系统的，还应制定信息管理的内控制度。信息管理的内控制度至少应涵盖下列内容：信息处理部门与使用部门权责的划分；信息处理部门的功能及职责划分；系统开发及程序修改的控制；程序及资料的存取、数据处理的控制；档案、设备、信息的安全控制；在本所网站或公司网站上进行公开信息披露活动的控制。

1.3 深圳证券交易所上市公司内部控制指引

2006年9月深交所发布《深圳证券交易所上市公司内部控制指引》，与IT相关的内部控制规定主要包括第8条规定公司的内部控制活动应涵盖公司所有营运环节，包括信息系统管理等；第9条规定上市公司应依据所处的环境和自身经营特点，建立信息系统安全管理等专门管理制度。

2 服装上市公司IT相关内部控制披露情况及分析

2.1 服装上市公司IT相关内部控制披露情况

在A股服装上市公司中，共有24家在上交所或深交所信息披露平台披露了2012年度内部控制自我评价报告。我们整理了这些报告中涉及IT相关内部控制披露的情况，并将信息分为5类：对IT的控制活动、利用IT控制手段、利用IT沟通手段、信息安全及控制、外部鉴证情况，如表1所示。