《上海证券交易所上市公司内部控制指引》（以下简称“指引”）是上海证券交易所为推动和指导上市公司建立健全内部控制制度，提高公司风险管理水平，保护投资者的合法权益而制定的规范性文件。该指引依据《公司法》、《证券法》等法律法规及《上海证券交易所股票上市规则》的规定，旨在通过完善公司的内部控制体系，增强公司信息披露的可靠性，确保公司行为合法合规，从而实现公司战略目标。

1. 内部控制的定义

内部控制是指上市公司为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。

2. 内部控制的目标

内部控制的主要目标是提高公司经营的效果与效率，增强公司信息披露的可靠性，确保公司行为合法合规。具体来说，包括：

- 确保公司战略目标的实现；

- 管理和控制公司面临的各种风险；

- 提高公司运营的效率和效果；

- 保证财务报告的真实性和完整性；

- 确保公司遵守相关法律法规和内部规章制度。

1. 内部控制的框架

公司内控制度应力求全面、完整，至少在以下层面作出安排：

- 公司层面；

- 公司下属部门及附属公司层面；

- 公司各业务环节层面。

2. 内部控制的基本要素

公司建立和实施内控制度时，应考虑以下基本要素：

- >目标设定：指董事会和管理层根据公司的风险偏好设定战略目标。

- >内部环境：指公司的组织文化以及其他影响员工风险意识的综合因素，包括员工对风险的看法、管理层风险管理理念和风险偏好、职业道德规范和工作氛围、董事会和监事会对风险的关注和指导等。

- >风险确认：指董事会和管理层确认影响公司目标实现的内部和外部风险因素。

- >风险评估：指董事会和管理层根据风险因素发生的可能性和影响，确定管理风险的方法。

- >风险管理策略选择：指董事会和管理层根据公司风险承受能力和风险偏好选择风险管理策略。

- >控制活动：指为确保风险管理策略有效执行而制定的制度和程序，包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等。

- >信息沟通：指产生服务于规划、执行、监督等管理活动的信息并适时向使用者提供的过程。

- >检查监督：指公司自行检查和监督内部控制运行情况的过程。

1. 对附属公司的管理控制

公司应对控股子公司实行管理控制，主要包括：

- 依法建立对控股子公司的控制架构，确定控股子公司章程的主要条款，选任董事、监事、经理及财务负责人。

- 根据公司的战略规划，协调控股子公司的经营策略和风险管理策略，督促控股子公司据以制定相关业务经营计划、风险管理程序。

- 制定控股子公司的业绩考核与激励约束制度。

- 制定母子公司业务竞争、关联交易等方面的政策及程序。

- 制定控股子公司重大事项的内部报告制度。重大事项包括但不限于发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等。

- 定期取得控股子公司月度财务报告和管理报告，并根据相关规定，委托会计师事务所审计控股子公司的财务报告。

2. 金融衍生品交易的内部控制

参与金融衍生品交易的公司，应评估自身风险控制能力，制定相应的内控制度。金融衍生品交易包括但不限于以商品或证券为基础的期货、期权、远期、调期等交易。

3. 其他专项风险的内部控制

公司还应针对其他专项风险（如市场风险、信用风险、操作风险等）制定相应的内部控制措施，确保各类风险得到有效管理和控制。

随着信息技术在企业中的广泛应用，IT内部控制成为公司内部控制的重要组成部分。公司使用计算机信息系统的，还应制定信息管理的内控制度，至少应涵盖下列内容：

- 信息处理部门与使用部门权责的划分。

- 信息处理部门的功能及职责划分。

- 系统开发及程序修改的控制。

- 程序及资料的存取、数据处理的控制。

- 档案、设备、信息的安全控制。

- 在公司网站或公司网站上进行公开信息披露活动的控制。

IT内部控制不仅有助于提高公司运营效率，还能降低运营风险，确保信息安全。因此，公司在建立和完善内部控制制度时，应充分考虑IT因素的影响，将IT控制纳入整体内部控制框架中。

《上海证券交易所上市公司内部控制指引》为上市公司建立健全内部控制制度提供了明确的指导和要求。通过完善内部控制体系，上市公司可以提高风险管理水平，保护投资者的合法权益，促进公司持续健康发展。未来，随着市场环境的不断变化和企业需求的不断升级，上市公司应持续关注内部控制的新趋势和新要求，不断完善和优化内部控制制度，以适应新的挑战和机遇。