立即申请试用×

只需10秒,即可快速申请试用

与专家在线沟通,获取专业解决方案

注册体验 快速登陆
为了能更好的为您提供服务,体验过程如遇问题,您可拨打免费售前电话:400-700-3322
为了能更好的为您提供服务,体验过程如遇问题,您可拨打免费售前电话:400-700-3322

从IPO角度看企业内控建设

发布时间:2021.11.29阅读数量:853

《企业内部控制配套指引(企业控制规范)》财会[2010]11号,该配套指引包括18——《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系已基本建成。

为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自201111日起首先在境内外同时上市的公司施行,自201211日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,在此基础上,择机在中小板和创业板上市公司施行,同时,鼓励非上市大中型企业提前执行

这一套控制规范被称为中国的萨班斯法案,自正式实施之日起,执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷,应当提示投资者、债权人和其他利益相关者关注。

2002年,由于安然公司等大型企业的财务丑闻彻底打击了(美国)投资者对(美国)资本市场的信心,美国通过了《萨班斯法案》(又名公众公司会计改革与投资者保护法案)。

该法案的主要内容包括:设立独立的上市公司会计监管委员会,负责监管执行上市公司审计的会计师事务所;特别加强执行审计的会计师事务所的独立性;特别强化公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务;大幅加重了对公司管理层违法行为的处罚措施;增加经费拨款,强化美国证券交易委员会(SEC)的预算以及职能。

内控有助于降低商业欺诈提高财务信息可靠性:德勤中国企业风险管理服务组全国主管合伙人刘伟杰表示:基本规范旨在提升中国企业的风险防范能力。然而,许多企业发现由于缺乏应用指引,基本规范很难得到落实。新颁布的指引涵盖企业经营管理的各个方面,为中国企业提升经营管理水平和风险防范能力提供更清晰的指导。

德勤中国公司治理中心于20102月及3月针对约100家中国上市公司进行的一项调查显示,84%的上市公司认为加强并完善内部控制程序是提升公司治理水平的最佳方法。

刘伟杰称,公司治理在中国内向型及外向型投资不断增长的形势下日益成为企业面临的一个重要课题。有效的内控将有助于提升公司财务信息的质量与可靠性,这是资本市场参与者决策的重要依据。

德勤中国企业风险管理服务合伙人杨莹向网易财经表示,多数国家的法律及法规要求所有企业遵守相应的财务报告准则。

因此,企业面临的主要风险之一就是因违反准则而招致严重后果。应用指引将促进企业对这些法律、法规及准则的遵循,有效的内控可以提高企业财务信息的可靠性,此外,财务报表还可能受到商业欺诈风险的影响,包括企业管理层故意伪造财务资料或操纵财务数据。有效的内控能促进企业遵守财务报告的相关准则,故此,能有效降低公司欺诈风险。

无法完全杜绝上市公司财务造假:由于国内不少上市公司经常被指财务造假,甚至一些IPO过程中新上市企业也被指招股文件有虚假陈述。网易财经问及是否此次五部委内刊指引颁布后,能否彻底杜绝上市公司财务造假的问题,杨莹的答案是否定的。

 她认为,任何的法规都会牵涉到一个执行的有效性,美国的财务法律制度非常完善,但还是爆发了安然、世通这样的大企业财务造假事件;

其次,企业内控只是公司治理的一部分,内控对管理层、董事会、监事会等等都有相应要求,但如果企业出现内部人串通的情况,内控体系就会失效,这就是有的企业制度和实际执行是两张皮的原因;

最后,内控制度是对企业的每个层级都有约束力,但是如果企业的管理层凌驾于制度之上,把企业的监事会、内部审计委员会这样的监督机构当做摆设,内控指引也就只是纸面上文字了。

一、关于内部控制

《企业内部控制基本规范》财会[2008]7第三条 本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。

《企业内部控制基本规范》财会[2008]7号第五条企业建立与实施有效的内部控制,应当包括下列要素:

(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。

(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。

(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。

(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。

企业内部控制比较抽象,很多企业高管甚至是CEO都不清楚企业内部控制的内涵是什么、边界在哪里、对企业的经营会提出什么样的要求。关于企业内部控制,目前主要的几个文件有:

《内部会计控制规范——基本规范(试行)》财会[2001]41

《企业内部控制基本规范》财会[2008]7

《企业内部控制配套指引(企业控制规范)》财会[2010]11

《企业内部控制应用指引》 财会〔201011

《企业内部控制审计指引》 财会〔201011

《企业内部控制评价指引》 财会〔201011

《上海证券交易所上市公司内部控制指引》(上证上字[2006]460号)

《深圳证券交易所上市公司内部控制指引》(深证上〔2006118号)

其中,《企业内部控制基本规范》(财会〔20087号)将内部控制的定义界定为:是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。

其内涵基本涵盖公司所有的营运环节,包括但不限于:销售及收款、采购和费用及付款、固定资产管理、存货管理、资金管理(包括投资融资管理)、财务报告、信息披露、人力资源管理和信息系统管理等。

企业内部控制应用18

二、IPO相关的法规要求

《首次公开发行股票并上市管理办法(2018年修订)》:

第二节 规范运行 第十七条 发行人的内部控制制度健全且被有效执行,能够合理保证财务报告的可靠性、生产经营的合法性、营运的效率与效果。

第二十二条 发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告。

《首次公开发行股票并在创业板上市管理办法(2018年修订)》:

第十八条 发行人内部控制制度健全且被有效执行,能够合理保证公司运行效率、合法合规和财务报告的可靠性,并由注册会计师出具无保留结论的内部控制鉴证报告。

第十一条  发行人内部控制制度健全且被有效执行,能够合理保证公司运行效率、合法合规和财务报告的可靠性,并由注册会计师出具无保留结论的内部控制鉴证报告。

《企业内部控制基本规范》财会[2008]7号:

第七条 企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。

企业内部控制应用指引第 18 ——信息系统:

第三条 企业利用信息系统实施内部控制至少应当关注下列风险: 

(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。 

(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。 

(三)系统运行维护和安全措施不到位,可能导致信息泄漏或损,系统无法正常运行。

第四条 企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平……企业应当指定专门机构对信息系统建设实施归口管理,明确相关位的职责权限,建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作……企业负责人对信息系统建设工作负责。

从上述法律文件中我们要以看出证监会对企业IPO内部控制提出了明确的要求,确保企业内控的有效性,一个是是合理保证财务报告的可靠性,第二个生产经营的合法性,第三是运营的效率与效果

由于企业内部控制是非常复杂的一套系统化工程,覆盖企业方方面面,本文结合两个 首发管理办法和与企业内控相关法规做一些整理,希望能够给阅读本文的你在企业内控建设中带来一点帮助。

三、企业内部控制常见问题

2017年以来,随着资本市场一系列重大政策新规的发布以及主板和创业板发审委的合并,两板的审核要求逐步趋同,IPO市场也由此呈现出了新的变化:

一方面是,审核节奏明显加快,但否决率也创历史新高;另一方面,财务规范性因素成为首要的否决原因,综合占比超过一半

从被否决企业的否决原因的统计来看,内部控制问题、财务核算的规范性、业绩及其持续经营能力问题成为主要的否决因素。因历史沿革、出资规范、土地房产、经营资质、环保、同业竞争等传统问题被否决的案例也逐步变得少了,取而代之的是财务规范、税务合规、信息披露、行政处罚等新问题。

IPO前企业内部控制可能存在的一些典型问题有以下内容:

1、符合公司业务特点的财务基础制度规范缺失,导致公司财务规范性管理难以落到实处

如:会计基础工作规范、税务管理(发票开具、接收、纳税申报与缴纳、所得税汇算)、资金管理(资金支付、内部往来流转)、装修改造项目预决算管理(工程预算、工程竣工决算、工程票据合同等文件管理)、固定资产管理(固定资产增加、票据、调拨、清查、盘点)、费用报销管理、预算管理等相关基础制度缺失或虽有但未实际执行。

2、企业固定资产管理及其入账与后续核算的问题

3、企业税务管理中的问题

如:存在发票开具与实际业务主体不对应的情况、营业外收入的认定及其发票开具问题、税务筹划中存在的问题、开票主体与合同主体不对应情况等。

4、企业帐实相符的问题

如:公司的原始报表反映的公司的固定资产、收入、成本与费用的状况与实际业务、合同、发票等的情况,不尽相符,一方面会缺乏定期核查清对,另一方面原始资料的不齐全也导致难以核对纠正。

5、支出与费用管理中存在的问题

如:大额采购涉及的招标管理、支出的发票及时清收问题、员工报销的规范性问题等。

6、跨地区经营财务管理控制中存在的问题

如:公司异地财务管理未建立健全有效的体系,很多都是一人兼任所有的职责与岗位,存在账务处理无复核、不相容职责混同、税务申报与缴纳控制不强、收入与支出的账务管理、催收管理、单据管理不到位等情况。

7、公司业务流转与对应的单据留存存在问题,部分可能是业务流转中本身就未设计要求形成相关单据,部分是有要求,但未得到妥善执行和管理。

8、企业ERP系统与业务流程设计本身中存在的一些控制薄弱环节,存在控制缺陷,从而导致财务安全隐患,如导致存在帐外收入或资金体外循环。

9、财务部门的独立性与职责的不相容问题

10、借款与资金往来的问题

由于财务基础工作不够规范,会导致后面IPO时的财务真实性及合理性核查目的难以实现,在部分原始单据难以回补的情况下,则公司只能延长IPO申报期,以致使公司最终延长上市目标的达成进程。因此,财务内控问题需要尽早重视和规范。

四、如何建立完善的内部控制

1、了解资本市场关于内部控制的要求。

虽然内部控的目标在法规层面一样,但不同资本市场对内部控制的要求不一样。如果拟上市企业准备在中国上市,请参考五部委发布的《企业内部控制配套指引》;如果在美国上市,请参考COSO发布的内部控制整体框架。

2、对企业的基础情况、业务、行业和经营环境,实施全面风险评估。

确保财务报表真实完整反映、业务合法合规。每是每个行业都有特定的风险,比如矿产开发/房地产有安全生产风险、食品行业有质量风险、金融企业有资金风险等,企业的风险程度不一样。因此在内部风险评估过程中,内控负责人应用跟相关管理层深度沟通,找出经营管理过程中的风险事件和潜在风险,形成企业风险清单,成立专项工作组,逐项落实整改。

3、内控相关的信息系统建设,是影响上市的关键事件。

IPO企业前期,我们建议聘请专业的咨询机构,协助我们企业完善内部控制体系是完全没有问题。近2年我曾经拜访过几家企业的CFO,认为内控体系建设是很简单的一件事情,总想参考别人成功的经验,拿来即用主义,其实每家企业经营的发展阶段不同,在内控体系建设来看,可以借鉴,但不能照抄。

我们希望通过专业的咨询机构结合发审委的关注点、行业特征,发展领域不同,重点对销售管理、供应商管理、关联交易、大额资金使用等方面的建设进行加强与优化,保证不会因重大/重要内控缺陷导致不过审,是内控工作的底线。同时在此基础上还会对企业内部流程进行梳理并优化,提升综合管理效率。

在咨询机构介入时,企业同时配备专业人员,一方面协助咨询机构完成内部控制制、流程与与关键控制点的梳理,同时更能在咨询机构撤场后,承接后续的流程持续优化。

对于咨询公司提交的咨询成果,更要严格把关,有一些小的不专业的机构,更是拿来主义,企业内控小组更要结合制度、查看流程图是否可以顺利运行,通过现有咨询,穿行测试,确定内控设计与执行的有效性,不要单单是为了IPO,更为了促进企业健康高速发展打好基础。

五、企业内控信息系统的建议

1、企业信息化现状与内控建设的矛盾与冲突

从《企业内部控制18项应用指引(财会[2010]11号)》文件中看到,内控建议目标主要是内部权力运行和责任落实制度制定和执行授权审批控制不相容职务分离控制四个方面。

内部权力运行和责任落实:存在不同IT系统及线下纸质工作项,很难查询,大量需要人工,没有完整的系统可以跟踪;

制度制定和执行:各类会议纪要、制度发布通知、制度文件、档案类存储有纸质有电子,及时性不强,信息无法结构化;

授权审批控制:存在于不同IT系统,各系统存在不同决策形式、不同执行方式,难以量化与自动化检查;

不相容职务分离控制:存在于不同IT系统,各系统建设标准不统一、数据治理难度大、数据抓取无力;

各类内控事项繁多,部分有结构化数据,更多为非结构化数据形式保存,很难实现事前、事中的风控预警,事后分析仍然大量靠人工处理;

对于拟IPO的企业信息化程度各板块、单业务来看基础良好,但基于内控有效性检查与评估,难上加难,很难通过一套系统解决这些问题。

通过企业内控体系建设和信息系统建设,确保内控运营的有效性,不断地通过内控自评和独立评估,降低或减少设计缺陷和运行缺陷,强化各类风险事件处置有效,持续优化内控体系建设,保障内部权限有效运行和责任落实,保障各类制度的制定和执行的有效性。

2、内控信息系统建设建议

从《企业内部控制18项应用指引(财会[2010]11号)》文件解读,内部控制的措施包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、(组织规划控制、人力资源控制、调节和复核控制)等;结合指引,我们梳理出企业内控体系建设全景图


企业内控体系建设全景图

致远互联2018年推出协同运营平台(COP),通过业务构建、审批流程电子化、第三方系统集成融合,打通并消除组织、业务与信息壁垒,让集团各级管理层与内控部门通过COP更好地了解集团内各单位的内控运行效果,及时地优化流程,完善制度。

对咨询服务型或中型企业,没有过多的IT系统,通过COP低代码平台搭建业务应用(项目管理、采购管理、投资管理、费控报销、营销管理等),将内控风险控制点预置,构建业财资税一体化综合管理平台,从源头解决,如授权审批体系不相容职务分离可以彻底解决。

例如:中电建成都勘察设计研究院以公司经营预算目标为核心,连通项目、采购、合同、资产、 ERP等数据,打通各类经营数据,实现业财资税一体化。将制度、流程、内控关键控制点融入到业务与流程中,企业所有经营行为全部留痕,为持续内控优化提供强有力的IT支撑。


中电建成勘研究院建筑勘查设计行业协同运营(业财资税一体化)平台

对于信息各板块建立相对完善的中大企业来说,通过COP搭建审批流程和第三方系统的流程整合(不推翻企业现有的IT系统),建立内控风险管理的授权审批体系,系统提供自动化授权体系检查。 

例如:郎酒集团通过营销管理中台搭建,构建企业数字化营销业务中台,以收入+利润双增长为目标,引入新技术(AI智能、大数据),结合快消行业的发展趋势,拉到业务转型,升级创新营销模式升级;

实现未来费控系统与营销业务中台系统无缝连接,让数字起来,打通部门墙数据篱,让营销过程经营数据说话,科学评价营销活动的有效性;

实现全年营销费用的全过程管理,从促销方案设计方案执行方案调整费用预提费用冲销费用支付活动评价专项激励,让营销业务和财务管理真正地做到业财一体化,让预算管理从事中、事后向事前、事中的关口前移;

逐步完善多维度营销费用预算管理体系,如城市(区域)、营销活动项目、产品种类、单产品等颗粒度,让营销活动评价,更客观、对未来经营战略决策、产品创新战略决策提供数字化支撑。


郎酒集团(快消品行业)营销费用管理内控建设模型

对于国资企业和上市公司、超大型集团公司,根据不同的职能条线与信息化建设现状,可以参照上述两个建设模式,COP低代码平台搭建风险管理应用,结合流程评估与执行检查的自动化能力,提高工作效率。


典型的内控风险管理逻辑

一场巨大的变革正在进行中:【数字中国】被列为十四五规划的核心之一,数字经济席卷各行各业,新一轮的商业马拉松枪声已响起,数字化成为每家企业的必答题,也就是说缺失数字化战略时,风险是确定的,概括五个方面:市场失焦、营销失语、管理失衡、系统失灵、增长失速。

一百多年前,福特说:不管消费者需要什么,我生产的汽车都是黑色2019年,11看中国活动过程中,欧莱雅中国总裁说:“22年前进入中国时,美妆行业是千人一面,现在是一人千面。

随着消费者主权的崛起和需求的变化,如何去满足海量的、碎片化的、实时的、多场景的客户需求。数字化转型升级就是支撑企业对外部环境的变化做出反应的能力。

不产生直接收益、不直达客户的都是内部信息化, 本文尝试通过协同运营平台COP的数字化工具与大家探讨,如何实现组织在线、协同在线、业务在线及决策在线等的数字化过程中的合规内控落地。

总体来说,内控建设与内控信息系统建设,不是把一切推倒重来,不是拿来即用主义,不只是一份评估报告, 它是由企业董事会、监事会、经理层和全体员工实施的、共同参与的浩瀚工程;不同行业、不同规模、不同发展阶段的企业因其资金保障、技术支持、业务模式等不同,其内控建设的路径也有所不同,适合的内控体系建设与信息系统建设,加速企业IPO进程。

 

 

参考法律法规资料

 

《内部会计控制规范——基本规范(试行)》财会[2001]41号;

《企业内部控制基本规范》财会[2008]7

《企业内部控制配套指引(企业控制规范)》财会[2010]11

《企业内部控制应用指引》 财会〔201011

《企业内部控制审计指引》 财会〔201011

《企业内部控制评价指引》 财会〔201011

《上海证券交易所上市公司内部控制指引》(上证上字[2006]460号)

《深圳证券交易所上市公司内部控制指引》(深证上〔2006118号)

《首次公开发行股票并上市管理办法》证监会【第141号令】

《关于加强中央企业内部控制体系建设与监督工作的实施意见》国资发监督规〔2019101

《关于修改〈首次公开发行股票并在创业板上市管理办法〉的决定》证监会 【第142号令】