IPO审核对内部控制的关注要点及规范建议

邵军鹏 深圳证券交易所

一、内部控制内涵及其目标

内部控制理论的发展大致上经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理整合框架等五个阶段。其中内部控制整体框架，也即“五要素”框架，应用最为广泛，也是最为成熟的框架。该框架由美国全国反欺诈财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission，简称COSO)于1992年颁布。按照COSO“五要素”框架，内部控制包括内部环境、风险评估、控制活动、信息与沟通、监督五个要素。

自2001年12月安然公司会计丑闻之后，美国国会在2002年7月通过了《萨班斯—奥克斯利法案》(Sarbanes-Oxley Act，以下简称《萨班斯法案》)。其中第404条款要求上市公司在年报中增加管理层当年对财务报告内部控制有效性评估的内容，同时要求会计师事务所对上述评价发表意见。2008年5月22日，中国财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制基本规范》(以下简称《基本规范》)，被称为是中国版的“萨班斯法案”。

《基本规范》明确提出了内部控制的定义和目标。根据《基本规范》，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

二、IPO审核对内部控制的要求

(一)内部控制规范体系的要求

2010年4月26日，五部委联合发布了《企业内部控制配套指引》(以下简称《配套指引》)，包括18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》，并制定了国内上市公司执行时间表，鼓励非上市大中型企业提前执行。《配套指引》连同《基本规范》共同组成了我国的内部控制规范体系。与《萨班斯法案》第404条款的要求类似，执行内部控制规范体系的企业必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。

(二)IPO相关规定对企业内部控制的要求

证监会制定的《首次公开发行股票并上市管理办法》(2015年12月修订，以下简称《首发办法》)、《首次公开发行股票并在创业板上市管理办法》(2015年12月修订，以下简称《创业板首发办法》)中“第二章 发行条件”部分提出了拟IPO企业在内部控制方面应当满足的要求。其中，《首发办法》第十七条规定，发行人的内部控制制度健全且被有效执行，能够合理保证财务报告的可靠性、生产经营的合法性、营运的效率与效果；第二十二条规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告；《创业板首发办法》第十八条也有与《首发办法》第十七条、二十二条几乎相同的规定。

除上述明确针对发行人内部控制的规定之外，《首发办法》在发行人主体资格、规范运行、财务与会计等发行条件中还提出了以下与内部控制密切相关的要求：(1)生产经营符合法律、行政法规和公司章程的规定；(2)发行人不得有下列情形：最近36个月内违反工商、税收、土地、环保、海关以及其他法律、行政法规，受到行政处罚，且情节严重；(3)不存在为控股股东、实际控制人及其控制的其他企业进行违规担保的情形；(4)有严格的资金管理制度，不得有资金被控股股东、实际控制人及其控制的其他企业以借款、代偿债务、代垫款项或者其他方式占用的情形；(5)会计基础工作规范；(6)依法纳税。

从以上规定可以看出，IPO审核对发行人内部控制的要求更侧重于能够合理保证企业财务报告的可靠性、生产经营的合法性。同时，合理保证财务报告及相关信息真实完整、企业经营管理合法合规也正是《基本规范》中提到的内部控制的五大目标之二。需要注意的是，《基本规范》要求会计师事务所对企业财务报告内部控制的有效性进行审计并出具审计报告，而《首发办法》和《创业板首发办法》中则要求注册会计师为发行人出具无保留结论的内部控制鉴证报告。笔者认为，虽然内部控制审计和内部控制鉴证同为鉴证业务，但二者并不等同。区别主要有以下几点：(1)执业依据不同。内控审计的执业依据为《企业内部控制审计指引》，而内控鉴证的执业依据为《其他鉴证业务准则第3101号-历史财务信息审计或审阅以外的鉴证业务》和《内部控制审核指导意见》(会协[2002]41号)；(2)鉴证对象不同。内控审计是一种直接报告业务，而后者为基于责任方认定的业务；(3)保证程度不同。内控审计执行的是审计程序，提供的是合理保证，而后者执行的是审核程序，提供的保证程度介于合理保证和有限保证之间；(4)报告意见类型不同。内控鉴证报告可以有保留意见，而内控审计报告无此意见类型。

对于发行人而言，尽管《首发办法》、《创业板首发办法》和内部控制规范体系在内控鉴证、内控审计方面的规定存在差异，但是对发行人内部控制在合理保证实现控制目标上的要求却是一致的。此外，《基本规范》、《企业内部控制评价指引》也是发行人管理层进行内部控制自我评价的重要依据和指南，18项应用指引还提供了发行人完善内部控制的权威标准和参考。因此，在内部控制建设上，发行人除了要遵守IPO相关规定之外，同时也要符合内部控制规范体系的要求。

三、2017年IPO被否企业的主要内部控制缺陷类型

2017年，一共有436家公司在A股市场完成IPO上市，超过了2010年的历史最高水平347家。证监会发行审核委员会(以下简称发审委)全年一共审结466个IPO项目，其中审核通过380家，否决86家。根据证监会网站公布的发审委会议审核结果，86家被否决公司中，有48家在发审会上被发审委委员提问到了内部控制问题，涉及到内部控制问题的被否公司家数占全部被否公司家数的比例为55.81%。此外，发审委委员一共对所有被否公司提问了298个问题，其中内部控制相关问题63个，占比21.14%。

五部委发布的18项内部控制应用指引可以分为内部环境类、控制活动类、控制手段类三类。企业内部控制应用指引具体分类如表1所示。笔者按照以上内部控制应用指引涵盖的业务和事项为分类标准，对2017年IPO被否企业被发审委委员所提问到的内部控制相关问题进行梳理，归纳每个问题的要点、归属的内部控制相关业务和事项以及涉及到的主要公司。总的来说，在IPO审核中，发审委委员关注的企业内部控制缺陷主要集中在资金活动、销售业务、采购业务、资产管理、业务外包、财务报告、社会责任等领域。2017年IPO被否企业主要内部控制缺陷具体如表2所示。

四、拟IPO企业内部控制规范建议

从2017年IPO被否企业的内部控制缺陷类型来看，拟IPO企业存在的不少内控缺陷都涉及到控制环境。另外，IPO审核中同时会关注到财务报告和非财务报告内部控制，同一行业拟IPO企业往往存在类似的内控缺陷。针对IPO审核的以上特点，笔者对拟IPO企业内部控制建设提出以下规范建议。

(一)重视控制环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、发展战略、人力资源政策、社会责任和企业文化等。从IPO被否企业的内部控制缺陷类型来看，最直接与控制环境相关的是产品质量、安全生产、环境保护三大社会责任问题。需要指出的是，资金活动中的关联方资金占用、无真实交易背景票据融资、银行贷款受托支付以及销售业务中的商业贿赂等问题，虽然直接被归为控制活动类缺陷，但其产生的根源更多和企业的控制环境有关。这些控制缺陷的出现主要是由于企业治理层和管理层的规范运作意识不足，高层决策机制存在缺陷，因此才导致具体业务活动经办过程中存在违反公司章程甚至法律法规的情形。

所以对于拟IPO企业而言，必须高度重视控制环境的建设，建立规范的公司治理结构和议事规则。董事、监事和高管必须以上市公司的标准严格要求自己，加强合法经营、规范运作、诚信经营的意识，注重企业文化建设，提高员工职业道德修养和专业胜任能力。董监高率先垂范，发挥主导作用，自上而下地从根本上树立起现代公司管理理念。只有这样，才能让企业各层人员充分认识到内部控制的重要性，并在具体的控制活动中主动地按规章制度落实执行。

(二)财务报告和非财务报告内部控制建设并举

表1：企业内部控制应用指引分类

从与财务报告的相关性来看，内部控制可以分为财务报告内部控制和非财务报告内部控制。《首发办法》和《创业板首发办法》都要求发行人的内部控制制度健全且被有效执行，能够合理保证财务报告的可靠性、生产经营的合法性。《首发办法》还明确要求发行人生产经营合法合规、依法纳税，不存在重大违法违规、关联方违规担保及资金占用，强调发行人的内部控制在所有重大方面是有效的。从实际审核过程和结果来看，无论是主板、中小板还是创业板拟IPO企业，都要遵守以上内部控制相关规定。

表2：2017年IPO被否企业主要内部控制缺陷

因此，拟IPO企业在内部控制规范过程中，既要重视财务报告内部控制建设，同时还要注意加强非财务报告内部控制，满足IPO审核对财务报告可靠性、生产经营合法性的要求。具体地说，拟IPO企业在资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等与财务报告密切相关的控制活动领域，应当规范会计基础工作，确保财务信息真实、准确完整，此外还要特别重视以上业务活动开展的合法合规性，做到依法决策和经营。

需要特别说明的是，IPO被否企业中第三方回款、个人卡收款、无真实交易背景票据融资、银行贷款受托支付等内部控制缺陷十分普遍，拟IPO企业在财务报告内部控制建设方面，要十分注意资金流和实物流的一致性。另外，IPO审核体现出内部控制有效的“可证伪性”，即从现象推导发行人内部控制的有效性。例如，从会计差错更正较多判断出会计基础工作薄弱；从受到产品质量处罚、安全事故频发等现象认定质量控制、安全生产领域存在重大内部控制缺陷。对于拟IPO企业而言，无论是在财务报告内部控制还是非财务报告内部控制建设方面，都应当尽力减少和避免以上控制偏差事项的出现。

(三)借鉴同行业上市公司做法

从IPO审核结果来看，内部控制缺陷往往存在着行业共性，这主要是由于同行业公司业务相同或类似，业务和事项的关键控制点具有一致性。例如，医药类企业基本都会被关注到销售过程是否存在商业贿赂；农业企业经常存在现金交易、向个人供应商采购、生物资产盘点工作不到位等内控缺陷；电商类企业常常会被提问到线上交易的计算机环境、相关IT控制措施能否保证收入真实性等问题；采用经销模式的企业一般会被关注到经销商进入、退出、库存等经销商管理问题；化工类企业会被高度关注到环境保护问题等等。

拟IPO企业应当充分借鉴同行业上市公司的内部控制规范措施，尤其是已上市企业在准备上市过程中采取的规范方法和经验。此外，同行业的IPO审核被否企业也为拟IPO企业提供了前车之鉴，证监会网站披露的反馈意见、发审委提问的问题往往指明了IPO审核对同行业企业内部控制的一些共同关注点。这些关注点是拟IPO企业内部控制规范以及缺陷整改工作的重中之重。

(四)内控实施注意“留痕”

内部控制有效除了有“可证伪性”特点，还应当具备“可证实性”，即可验证，相关控制活动的实施过程和效果具有充分的证据。例如，工程施工类企业完工百分比法确认收入的相关内部控制是否有效，需要查看每月形象进度表是否经过监理单位、建设单位签字、盖章确认；对发出商品的控制是否有效，需要查看出库单是否经过审核、审批；农产品采购业务相关内部控制是否有效，需要查看过磅单、农产品收购发票、收据，而且最好能有对应的外部银行流水作为证明。

拟IPO企业在内部控制实施过程中，应当注意“留痕”，做到控制流程化、流程表单化。当然，表单不一定是纸质形式，充分利用OA、ERP等信息系统也是内部控制规范的表现。总之，企业需要保证相关控制活动得到适当记录，具备可追溯性、可验证性。只有这样，拟IPO企业在进行内部控制有效性自我评价时才能够做到“自证清白”，保荐机构、会计师事务所在保荐、审计过程中才能够顺利发表意见。

五、结语

2017年，不少利润规模较大的企业由于存在内部控制缺陷而被发审委否决。从结果可以看出，目前IPO审核不仅关注企业的持续盈利能力，而且越来越看重企业的内部控制规范程度。在审核趋严的形势下，拟IPO企业在保持良好经营业绩的同时，还需要做到规范运行，确保内部控制设计合理且执行有效，才能顺利实现成功上市的目标。