IPO类企业如何实施内部控制

一、IPO企业内部控制整体要求

国内企业实施IPO，首先要满足证监会及交易所对IPO企业在内部控制方面的基本要求，证监会及交易所出台有各种指引或办法，对内部控制有明确的总体要求，总结起来为：“发行人企业应开展内控体系建设，建立健全内部管理制度，并建立运行保证机制，确保内部控制体系有效运行，实现控制目标”。

具体来说要做到以下三点：

发行人内部控制制度健全且被有效执行。

发行人内部控制能够合理保证公司运行效率、合法合规及财务报告的可靠性。

发行人内部控制应经注册会计师鉴证，并被出具无保留结论的内部控制鉴证报告。（推荐课程：企业内控体系搭建工作坊）

上述三点中，财务报告内部控制是IPO企业最为关注的，不管是监管机构还是注册会计师都极为关注发行人的财务报告内部控制是否完善。

企业IPO需要对外撰写招股说明书，对外披露公司三年申报期的财务经营状况，财务报告部分内容是核心，行业环境、商业模式、管理模式、专利技术、研发能力、竞争力等说的多么好，最终还是要通过财务报告来验证各种假设。如何证明发行企业的财务报告内部控制是有效的，即发行人财务报告信息是非常可靠的，就显得尤为重要。

可靠的财务报告依赖于良好的内部控制，良好的内部控制要能保证企业经营业务活动发生到财务报告生成过程是合理有效的，财务报告要能真实反映业务经营活动发生的过程。因此，良好的内部控制必然包括以下三大关键性要求：

要求业务端系统的运行具有可靠性

要求业务端与财务会计端系统之间信息沟通具有可靠性

要求财务会计核算系统本身具有可靠性

二、IPO类企业内部控制实施思路

结合国内内控监管政策，以及国际通行内部控制整合框架理论，IPO企业实施内部控制至少要做到“三个层次”“一个逻辑”“五个维度”和“八大控制方法”。

(一) 三个层次

三个层次分别为公司治理结构、业务运营流程和财务核算系统。

公司治理结构

公司治理结构层面主要解决控股股东(实际控制人)、董事会及经营管理层之间的关系，核心是董事会对管理层的制约，因为在缺乏制约的情况下，基于IPO利润操纵的超强动机，管理层非常容易逾越内控，给财务舞弊提供了机会，最终会给广大股民造成利益损害，这是资本市场监管机构一直零容忍和打压的。国内IPO企业很多都是实际控制人、董事长、总经理一肩挑，就更加注意如何建立治理结构，尤其是对实控人行为的监管，避免一个人直接说了算，造成财务舞弊。

运营流程层面主要解决经营合法性和营运效率与效果的问题，其与财务报告可靠性目标不发生直接关系。但业务经营不合规违法对财务报表的影响程度可能难以估计，影响财务报告编制。业务运营关键流程缺乏、不到位，或有流程制度但执行不到位，可能增加员工窜通舞弊或错弊，业务发生的真实性或业务端数据的真实性同样难以得到有效确认，最终影响到财务报告的可靠性。

财务会计系统与财务报表有直接的关系，财务会计系统要想保证可靠性，即要确保财务会计记录能够真实准确的反映业务活动和交易。会计系统处理记录什么样的业务活动，不是被动的等待业务流程信息的输入，而是需要根据正确的会计核算规则，主动的提出对业务信息及档案资料的需求，对财务会计部门提出了较以往相对较高的要求，倒逼财务会计职能部门履行起财务监督职能，这与后文介绍的内部控制八大方法之一“会计记录控制”的作用是不相谋和的。

(二) 一个逻辑

结合国内外内部控制整合框架理论，在充分遵循企业发展战略、组织架构、商业模式、管理模式的前提下，按照“财务报表科目—认定目标—业务流程—风险评估—控制措施”的逻辑思路，完善财务报告内部控制体系。若把财务报表科目几个字拿掉，即为“目标设定—业务流程—风险评估—控制措施”，其实就是全面内部控制实施的基本思路了。

财务报表科目理解

IPO内控关注财务报告内控，离不开核心财务报表科目梳理。财务报表科目主要涉及资产负债表和损益表，企业当期实际存在变化的资产负债表和损益表都是对企业实际经营活动的有效反映，部分报表科目因反应经济活动较为纷繁复杂需进一步拆解到明细层面，如其他应收款，需要关注到二级甚至三级科目明细。同时，需要关注当期报表科目占比相对较大的，或者与前期相比科目余额变化幅度相对较大的或异常的。当然，也可以借助财务报表指标分析，来判断出哪些科目相对比较异常的。

报表科目认定目标分析

报表科目基本理解其背后的经济活动后，需分析每一报表科目所蕴含的管理层认定，管理层认定表达的是财务报表科目的管理属性目标。此处内容较为专业，没有学过审计的同仁可能会比较懵，请重点看以下举例说明。

以年度资产负债表存货-原材料科目为例说明，该科目认定目标包括：

完整性目标：表示截止年度12月31日时点，公司所有的原材料都被反映记录在财务账上;

存在性目标：表示截止年度12月31日时点，公司账上记录的原材料确实是存在，非虚构;

权力与义务目标：表示截止年度12月31日时点，公司账上记录的原材料确实是属于公司所有，不是其他单位或自然人的;

计价和分摊目标：表示截止年度12月31日时点，公司账上记录得原材料数量与金额是准确的。

再以损益表管理费用科目为例说明，该认定目标包括：

完整性目标：表示在年度内，公司所发生的各类管理费用都被反映记录在账上;

发生性目标：表示在某年度内，公司账上记录的各类管理费用确实真实发生，非虚构;

截止性目标：表示在某年度内，公司账上记录的各类管理费用确实都于本年发生，没有在上年度跨期或跨期到下年度;

准确性目标：表示在某年度内，公司账上记录的各类管理费用是准确的。

另外，针对财务报表列报，指财务报表附注部分内容，财务报表附注是供财务报表使用人员更好的利用财务报表信息所补充的重要内容，其同样隐含有管理层认定，分别是发生及权利与义务、完整性、分类和可理解性、准确性和计价，具体在此不作举例说明。

业务流程梳理追溯

接下来是针对上述报表科目管理层认定，要解决如何保证管理层认定目标实现的问题。

我们还是以上述存货-原材料科目为例说明，提出如下五个问题：

1)如何合理保证公司所发生的原材料都被反映记录在账上?

2)如何保证公司账上记录的原材料确实是存在，而不是虚构的?

3)如何保证公司账上记录的原材料确实是属于公司所有，不是其他单位或自然人的?

4)如何保证公司账上记录得原材料数量与金额是准确的?

针对上述问题，需要将报表各科目与相关业务流程进行链接，从科目端追溯到业务活动相关的流程端，即每一科目及其认定与哪些业务活动流程相关，受哪些业务流程活动影响。存货-原材料科目可能与原材料采购流程、原材料验收入库流程、原材料出库流程、原材料调拨流程、原材料呆滞处理流程、原材料报废流程、以及原材料计提跌价测试流程等相关，因为这些流程均会最终影响到上述科目管理层认定目标的实现。

风险评估

在追溯至相关流程后，便接下来需开展风险评估，风险评估包括风险识别和风险评价，识别业务流程活动中存在哪些关键的风险因素会影响管理层认定目标，并评估其影响大小或力度，导致财务报表科目会出现潜在错报。如存货原材料的计价和分摊性目标，即如何合理保证年度原材料期末余额信息是准确的?从流程上可以追溯至原材料采购验收结算流程、呆滞物料处理与报废流程、及原材料跌价计提测试流程等，若上述流程在内控设计和执行方面存在缺失或不足，比如业务部门未定期开展呆滞物料统计与处理，则有可能实物层面原材料可能处于长期不用积压的状态，其价值很明显已不符合当前市场实际，但账上仍然按照原有成本价值计量。

控制措施设计

在识别和评价财务报表科目面临的潜在错报风险点后，最后是评估现有流程内控措施设计与执行是否有效，并提出改进完善建议，如存在缺乏定期开展呆滞物料信息统计与处理机制，则要求报表主体建立完善上述内控流程。

(三) 五个维度

五个维度是指在具体设计内部控制活动及措施时，可以从五个方面去分析设计，具体如下：

一是组织维度，解决的是控制活动及措施谁来执行的问题，强调组织内部分工与协同安排机制，实质为内控责任主体问题;

二是授权维度，解决的是控制活动及措施责任主体有什么样或多大的权限问题，强调组织内部管理权责合理划分问题;

三是流程维度，解决的是控制活动及措施的具体操作环节及路径问题，先做什么，后做什么以及如何做，做到什么程度的问题，解决的是做事方法问题;

四是表单维度，解决的是控制活动及措施执行过程中形成的证据、信息有效沟通与传递的问题，关注内控执行留痕;

五是制度维度，解决的是控制活动及措施的规范性和约束性问题，解决的是控制活动及措施执行的基本依据、原则性和导向性问题。

八大控制方法

控制方法是内部控制措施设计的核心，按照我国《内部控制基本规范》规定的八大控制方法包括：不相容职务分离、会计系统控制、财产保护控制、预算控制、绩效考核控制、授权审批控制、运营分析控制、重大风险预警与突发事件应急控制。

八大控制方法需要在内控流程与制度设计中进行融汇贯通和灵活运用。有些侧重于事前控制、如授权审批、不相容职务分离控制;有些侧重于事中控制，如会计系统控制、重大风险预警与突发事件应急控制;有些侧重于事后控制，如绩效考核;有些能够贯穿于事前、事中及事后，如财产保护、预算控制。

具体每种控制方法定义及如何运用在此不做详细介绍了，日后再作篇详述。

三、IPO企业三步走实施步骤

结合内控咨询实施经验，IPO类企业可以按照上市前内控体系导入阶段、上市过程中内控体系系统评估、以及上市后的持续监控与优化三个阶段不断推进。

上市前内控体系导入阶段：一般是IPO材料申报前的辅导准备阶段，确定自身与上市要求的内控差距，需发行人对现行内部控制系统进行诊断分析，确定与监管要求差距，发现风险并提出改善建议，以完善内部控制体系。此阶段内控工作量比较大，如果准备期较晚，可能涉及往前进行大量的追溯整改。凡是确定要IPO，内控体系导入宜早不宜迟，以减少后期的工作压力。

上市过程中内控体系系统评估：处于IPO材料申报后所处阶段，此时需要持续监控内控体系，确保内控体系运行满足上市规范要求，此阶段是IPO的关键期，发行人不能有任何重大内控问题发生，要确保内控的一贯有效执行，此阶段可能会面临监管机构的现场核查，若被查出问题，可能会影响上市的进程。

上市后的持续监控优化阶段：成功IPO后往后所处阶段，一般会形成内部控制常态化工作机制，需要执行内部控制评价职能，对内部控制每年进行动态持续性评估，保持内控控制的一惯性，并做到持续优化内部控制，发现风险和冗余流程，提升经营管理效率。