建立健全内控体系的6步法！IPO内控审核到底问什么？

建立健全内控体系的6步法

第一步：内控组织搭建与人员培训

首先，组织保障是建立健全内控的首要条件，根据《基本规范》的定义：内控是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，只有有了全员参与，内控方能行之有效，明确了各机构在内控决策、执行以及监督中的工作职责。

构建内控体系最大的挑战是如何与生产经营相结合，将控制无缝嵌入企业的生产、销售、管理等各环节的工作中，所以除了成立专/兼职部门负责组织内控的建立与持续改进外，搭建内控组织很重要的一环就是在各部门指定内控人员来负责本部门的内控建立与落实。

其次，内控建设要得到企业各层级员工的大力支持与配合，宣贯与培训是必不可少的，通过宣贯让各利益方了解内控的意义，通过培训让内控人员理解和掌握内控的理念和方法论，在企业内营造管控的氛围，为内控建设奠定基础。

第二步：确定内控建设的目标与范围

内控涵盖企业的方方面面，是长期持续改进的过程，并非是一蹴而就的，笔者建议，在初期主要围绕财务报告真实准确的目标来构建内控体系，再逐步进化为全面风险内控体系。

内控建设围绕公司层面、业务层面、信息系统层面三个层面展开，企业根据自身的战略规划、经营目标、基本业务类型、组织架构、职责分工来确定内控体系的建设范围。

公司层面建设以解读战略目标为起点，如某公司的战略目标之一是“为把公司建设成长健康、业绩优良、回报理想的上市公司而努力奋斗”，相应的经营目标是“公司组建为上市公司”，那么“公司治理”与“合规管理”就是公司层面重要事项。

业务层面建设范围采用定量与定性相结合的方法来判断。定量方法从财务报告出发，确定重要性标准，如税前利润的5%或资产总额的1%（企业可以根据自身的情况调整），对超出此标准的会计科目再辅以定性判断。如：是否存在较大的错误和舞弊的可能性，是否具有较强经营风险，管理层是否关注，往年审计是否有重大发现等。将所确定的重要会计科目映射到相应的业务流程，如“收入”映射到“销售”，“成本”映射到“生产”与“采购”，“工程物资”与“在建工程”映射到“工程项目”，再对这些重要的流程进行梳理，确定内控建设的子流程/事项。

信息系统层面建设包括系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。

第三步：风险评估

确定了重要的流程/事项后，要充分考虑对其目标的实现可能造成不利影响的内外部因素，真正认识到这些风险，再根据风险评估的结果设计经营管理的关键控制活动，从而将风险降低到可控且可接受的范围内。可以说风险评估师内控建设的依据。

具体实施可由内控专/兼职部门牵头，组织相关专业人员，采用“调查问卷”、“头脑风暴”等方法来识别风险，并从风险发生的“可能性”和“影响程度”两个维度来评价风险，对风险进行排序，企业对不同水平的风险采取不同的态度和措施，从而将主要精力放在可能产生重大风险的环节上，而不是关注企业管理中的所有细小环节。

第四步：设计关键控制活动

根据风险评估的结果设计关键控制活动是内控建设的核心环节，建议推进方式如下：

（1）针对第二步中确定的重要流程/事项，分析企业内控现状，确定现有控制点，描述现有的控制措施与方法，并相应归集有关的规章制度；

（2）根据业务流程/事项中存在的风险，参照五部委的监管要求与最佳实践，分析内控设计中的差异。确认现有的控制环节与方法是否可以规避存在的各种风险，找出现有控制措施中的缺陷与遗漏，设计整改方案；

（3）落实到相关部门/责任岗位，固化到内部控制手册中；

（4）补充完善相关制度。如某企业合同评审与审批流程中，现有的控制措施是企业财务部门和相关专业部门对其经济、技术条款进行评审，报领导审批执行，对法律风险的控制缺失，针对这种状况，建议在合同评审时由总经办合同管理岗对法律条款进行审核，出具专业意见后报领导审批。以流程和风险控制矩阵形式固化在内控手册中，并相应修订《合同评审程序》及相关实施证据《合同评审表》。

需要注意的是，控制活动设计不仅包括业务层面的设计，也包括内部环境、信息与沟通、内部监督等公司层面以及信息系统总体控制的设计。

第五步：内控有效性测试

在建立内控体系后，需要对内部控制运行的有效性进行测试：

（1）企业在测试内控有效性时，可以采取多种方法：询问、观察、检查、重复执行或者是以上几种方法的组合。根据风险的大小和某一内控程序消除风险的重要性，应该采取不同的测试方法，这样可以节约测试的成本以达到最佳效果。

（2）选择进行测试的时间。为了确定截至财务年度日期间的内控运行的有效性，测试程序应该在充分早的时间进行。并且随着新的变化，在接近年底时，还要进行更多更新的测试。

（3）确定测试的程度。在确定内控测试的程度时，应该考虑内控对实现企业目标的重要性，需要考虑的因素包括以下几个方面：①企业计划在何种程度上依赖某一控制的有效性；②控制（例如，内部环境或信息系统总体控制）在何种程度上支持其他控制的有效性。通常，管理层应该更广泛地执行程序以评估这类控制的运行有效性；③控制的执行是人工操作的还是自动操作的。如果存在人工的监督或参与，管理层的评估程序应该更加广泛；④人工控制执行的频率；⑤控制的复杂程度；⑥以下方面是否存在变化：可能负面影响控制设计或运行有效性的交易量或性质；控制设计；执行控制或业绩监控的关键人员。企业在确定每个控制需要进行测试的项目数量时，需要运用判断。总体上讲，要求至少应该执行和外部审计师通常进行的测试量一致的测试，以支持其控制有效性的结论。

（4）针对测试结果进行补救。企业的内控经过测试之后，也许会是有效的，但有可能在某些方面还存在缺陷或没有考虑到的地方。那么我们需要针对测试后的结果进行补救，对不完善的地方再进行改进。这将是一个反复重复的过程，直到测试结果令人满意为止，可以为管理层对保证内控有效性发表声明作基础。

第六步：内控体系的维护与更新

内控体系建设是一个动态过程，并不是一劳永逸的。在测试整改阶段完成之后，只能说针对当前的情况，所建立的内控体系是有效的。但外部环境和企业自身的情况是不断变化的，业务流程与风险也是在不断更新的，这就需要随时关注内部控制体系建设，维护更新，以适应具体情况的变化。管理层每年都需要出具自我评价报告，来证明企业内部控制运行的有效性。所以，为保证建立的内控体系长期有效运行，需要根据外部环境和企业内部管理状况的不断变化，持续建设企业的内部控制体系，不断改进完善。

综上所述，企业通过以上六步的动态闭环，有助于把内控的理念和要求融入日常的工作，从而使各岗位高效运行，各部门密切配合，充分发挥整体的作用，以顺利实现企业的目标。

IPO企业内控建设主要有两个方面：

一、建设内容上应满足财务相关内部控制的要求；

二、关注合规化问题，特别是税务、社保、环保等领域合规化问题。

任何可靠的财务报告均依赖于良好的内部控制，良好的内部控制才能保证企业经营从业务活动发生到财务报告生成全过程是合理有效的。

IPO内控的问询问题

从IPO终止企业关于内控制度问询问题来看，监管层重点关注的内控问题主要包括：会计、财务基础工作是否规范，资金占用、资金管理问题，业务与生产相关内部控制制度是否健全等，具体类别被提及的案例如下：

一、会计、财务内控是否规范

1、天津**堂集团股份有限公司（第一轮问询，2023年9月7日终止）

请发行人结合本所《创业板股票首次公开发行上市审核问答》问题 25 的要求，补充说明报告期内发行人是否存在转贷、第三方回款等财务内控不规范的情形。若存在，请说明整改措施，是否存在被行政主管机构处罚的风险。

2、湖北**电子科技股份有限公司（第一轮问询，2023年8月29日终止）

请发行人说明 2019、2020 年涉及第三方回款的客户及指定外贸公司代为支付的具体情况，指定回款的原因、终止合作的原因，发行人 2021 年以来是否与该客户关联方或产业链内客户等进行合作。请保荐人、申报会计师发表明确意见，并结合《审核问答》问题 26 的要求说明发行人财务内控制度是否健全、有效。

3、**丽新材料股份有限公司（第一轮问询，2023年8月7日终止）

说明针对第三方回款和个人卡首付等内控不规范性情形采取的整改措施，对照《审核问答》问题 25 的要求，说明报告期内是否存在其他财务内控不规范情形、内控不规范情况是否构成对内控有效性的重大不利影响，整改后的内控是否已合理、正常运行并有效持续进行。

4、**股份有限公司（第一轮问询，2023年8月5日终止）

说明报告期存在与关联方代收代付款项等情形是否符合行业特性，与关联方之间存在大额资金往来以及使用票据结算的原因，发行人相关财务内控是否存在不规范情形，说明发行人是否已通过收回资金、纠正不当行为方式、改进制度、加强内控等方式积极整改，是否已针对性建立内控制度并有效执行，且申报后未发生新的不合规资金往来等行为。

二、资金占用问题

1、北京**科技股份有限公司（第一轮问询，2023年9月5日终止）

公司在报告期内存在实际控制人占用公司资金的情况。请发行人说明：

（1）年终奖重新分配的具体事项，相关事项对财务的影响，需要重新分配的原因，所涉及的税务事项合规性。

（2）个人卡事项影响的科目较多的原因，相关影响金额与发生额的匹配性，是否存在未提供的个人卡事项。

（3）理财购买及赎回、个人卡间相互转账的相关数据。

（4）各期个人卡借款事项对应的对象、原因、流出流入金额的匹配性、相关外部证据的充分性，未访谈的具体情形。

（5）相关个人卡与发行人实控人控制的公司往来流入与流出金额差异较大的原因。

（6）大额资金未严格按照公司财务管理制度通过 OA 审批流程付款的合理性及相关财务制度执行的有效性、内控的有效性。

2、**微电子股份有限公司（第一轮问询，2023年8月10日终止）

报告期内发行人存在通过员工个人账户收付款、第三方代收货款、关联方代收货款、与关联方或第三方直接进行资金拆借等情形。请发行人：

（1）说明各类第三方回款产生的具体原因、对应的客户情况，是否符合自身经营模式特点，第三方回款的付款方是否为发行人的关联方或其他有利益倾斜的情形；第三方回款与相关销售收入是否勾稽一致，是否具有可验证性，是否影响销售循环内部控制有效性的认定。

（2）说明存在较多个人账户收取货款的原因，同行业可比公司是否存在类似情形。

（3）说明内部控制制度是否健全且被有效执行。

3、河南**新能源材料科技股份有限公司（第一轮问询，2023年4月27日终止）

根据申报材料，（1）发行人于 2021 年 12 月存在转贷行为，转贷交易对手为武汉恒龙包装有限公司，金额 2,000 万元。

（2）2019 年通过发行人员工魏凯代收 4 家客户货款，合计金额 114.73 万元。

（3）报告期内存在关联方资金拆借情形。请发行人说明：（1）转贷融资的背景，参与转贷的公司基本情况及主营业务，与发行人及其控股股东、实际控制人的关系；

（2）通过发行人员工代收款项的原因及合理性，是否存在其他由员工代收货款的情况，是否存在体外资金循环等情形；

（3）关联方资金拆借的具体用途、流向、还款及利息支付情况，约定的借款利率是否符合市场水平，是否存在关联方代垫成本、费用的情形。请保荐机构、申报会计师结合科创板审核问答相关要求，说明针对发行人财务内控整改规范情况及首次申报审计截止日后是否出现类似或其他不规范情形所履行的核查程序、核查证据及核查结论。

4、浙江**摩擦材料股份有限公司（第一轮问询，2023年3月31日终止）

按照中国证监会《首发业务若干问题解答（2020年6月修订）》问题54的要求，说明对发行人、控股股东、实际控制人、发行人关联方、董监高、关键岗位人员及其关系密切人员等开立或控制的银行账户资金流水的核查情况，发行人资金管理相关内部控制制度是否存在较大缺陷。

三、经营相关内控

1、北京**科技股份有限公司（第二轮问询，2023年9月5日终止）

请发行人：

（1）补充说明在针对“是否实施未签约项目”的内控过程中，通过审批和未通过审批项目的占比情况，发行人上述内控措施的有效性。

（2）说明在 2022 年预计收入变动较小的情况下，2022 年 9 月末未完工项目实施成本中的职工薪酬远高于 2021 年度营业成本-职工薪酬总额的合理性。

（3）结合企业会计准则规定，补充说明发行人将未签约项目成本确认为存货的合规性。

（4）补充说明 2021 年末、2022 年 9 月末未签约项目存货的后续签约情况，若仍保持在较低水平请说明原因及合理性。

（5）补充说明项目已实施但最终未签约项目的金额和占比情况，发行人的会计处理方法及其合规性。

2、江苏**金刚石科技股份有限公司（第一轮问询，2023年9月4日终止）

说明废料销售的数量、价格、主要客户，销售数量与产量、废品率变动的匹配情况，废料销售的定价依据及销售单价变动合理性，不同客户废料价格差异的情况与原因，收入波动的合理性，废料销售业务相关的内控制度的有效性。

3、上海**科技股份有限公司（第一轮问询，2023年8月23日终止）

请发行人：

（3）发行人烧结料等危废物处置制度及实施情况，报告期内危废物处置服务相关供应商或个人是否均具备相应资质。

（4）说明发生液体物料泄露安全事故的原因，发行人是否已进行整改。

（5）结合上述事项分析说明发行人内控制度是否有效。

4、成都**科技股份有限公司（第二轮问询，2023年3月31日终止）

说明发行人生产经营中涉及环境污染的具体环节，污染物排放量，是否存在超限排放的情况，发行人危险废弃物处理供应商是否取得经营资质；报告期内是否存在安全或环保事故、纠纷情况，如是，请说明具体情况及其整改措施；发行人安全生产及环保相关内部控制制度的建立和运行情况。

从IPO终止企业关于内控制度问询问题来看，监管层重点关注的内控问题主要包括：会计、财务基础工作是否规范，资金占用、资金管理问题，业务与生产相关内部控制制度是否健全等，具体类别被提及的案例如下：

一、会计、财务内控是否规范

1、天津**堂集团股份有限公司（第一轮问询，2023年9月7日终止）

请发行人结合本所《创业板股票首次公开发行上市审核问答》问题 25 的要求，补充说明报告期内发行人是否存在转贷、第三方回款等财务内控不规范的情形。若存在，请说明整改措施，是否存在被行政主管机构处罚的风险。

2、湖北**电子科技股份有限公司（第一轮问询，2023年8月29日终止）

请发行人说明 2019、2020 年涉及第三方回款的客户及指定外贸公司代为支付的具体情况，指定回款的原因、终止合作的原因，发行人 2021 年以来是否与该客户关联方或产业链内客户等进行合作。请保荐人、申报会计师发表明确意见，并结合《审核问答》问题 26 的要求说明发行人财务内控制度是否健全、有效。

3、**丽新材料股份有限公司（第一轮问询，2023年8月7日终止）

说明针对第三方回款和个人卡首付等内控不规范性情形采取的整改措施，对照《审核问答》问题 25 的要求，说明报告期内是否存在其他财务内控不规范情形、内控不规范情况是否构成对内控有效性的重大不利影响，整改后的内控是否已合理、正常运行并有效持续进行。

4、**股份有限公司（第一轮问询，2023年8月5日终止）

说明报告期存在与关联方代收代付款项等情形是否符合行业特性，与关联方之间存在大额资金往来以及使用票据结算的原因，发行人相关财务内控是否存在不规范情形，说明发行人是否已通过收回资金、纠正不当行为方式、改进制度、加强内控等方式积极整改，是否已针对性建立内控制度并有效执行，且申报后未发生新的不合规资金往来等行为。

二、资金占用问题

1、北京**科技股份有限公司（第一轮问询，2023年9月5日终止）

公司在报告期内存在实际控制人占用公司资金的情况。请发行人说明：

（1）年终奖重新分配的具体事项，相关事项对财务的影响，需要重新分配的原因，所涉及的税务事项合规性。

（2）个人卡事项影响的科目较多的原因，相关影响金额与发生额的匹配性，是否存在未提供的个人卡事项。

（3）理财购买及赎回、个人卡间相互转账的相关数据。

（4）各期个人卡借款事项对应的对象、原因、流出流入金额的匹配性、相关外部证据的充分性，未访谈的具体情形。

（5）相关个人卡与发行人实控人控制的公司往来流入与流出金额差异较大的原因。

（6）大额资金未严格按照公司财务管理制度通过 OA 审批流程付款的合理性及相关财务制度执行的有效性、内控的有效性。

2、**微电子股份有限公司（第一轮问询，2023年8月10日终止）

报告期内发行人存在通过员工个人账户收付款、第三方代收货款、关联方代收货款、与关联方或第三方直接进行资金拆借等情形。请发行人：

（1）说明各类第三方回款产生的具体原因、对应的客户情况，是否符合自身经营模式特点，第三方回款的付款方是否为发行人的关联方或其他有利益倾斜的情形；第三方回款与相关销售收入是否勾稽一致，是否具有可验证性，是否影响销售循环内部控制有效性的认定。

（2）说明存在较多个人账户收取货款的原因，同行业可比公司是否存在类似情形。

（3）说明内部控制制度是否健全且被有效执行。

3、河南**新能源材料科技股份有限公司（第一轮问询，2023年4月27日终止）

根据申报材料，（1）发行人于 2021 年 12 月存在转贷行为，转贷交易对手为武汉恒龙包装有限公司，金额 2,000 万元。（2）2019 年通过发行人员工魏凯代收 4 家客户货款，合计金额 114.73 万元。（3）报告期内存在关联方资金拆借情形。请发行人说明：

（1）转贷融资的背景，参与转贷的公司基本情况及主营业务，与发行人及其控股股东、实际控制人的关系；

（2）通过发行人员工代收款项的原因及合理性，是否存在其他由员工代收货款的情况，是否存在体外资金循环等情形；

（3）关联方资金拆借的具体用途、流向、还款及利息支付情况，约定的借款利率是否符合市场水平，是否存在关联方代垫成本、费用的情形。请保荐机构、申报会计师结合科创板审核问答相关要求，说明针对发行人财务内控整改规范情况及首次申报审计截止日后是否出现类似或其他不规范情形所履行的核查程序、核查证据及核查结论。

4、浙江**摩擦材料股份有限公司（第一轮问询，2023年3月31日终止）

按照中国证监会《首发业务若干问题解答（2020年6月修订）》问题54的要求，说明对发行人、控股股东、实际控制人、发行人关联方、董监高、关键岗位人员及其关系密切人员等开立或控制的银行账户资金流水的核查情况，发行人资金管理相关内部控制制度是否存在较大缺陷。

三、经营相关内控

1、北京**科技股份有限公司（第二轮问询，2023年9月5日终止）

请发行人：

（1）补充说明在针对“是否实施未签约项目”的内控过程中，通过审批和未通过审批项目的占比情况，发行人上述内控措施的有效性。

（2）说明在 2022 年预计收入变动较小的情况下，2022 年 9 月末未完工项目实施成本中的职工薪酬远高于 2021 年度营业成本-职工薪酬总额的合理性。

（3）结合企业会计准则规定，补充说明发行人将未签约项目成本确认为存货的合规性。

（4）补充说明 2021 年末、2022 年 9 月末未签约项目存货的后续签约情况，若仍保持在较低水平请说明原因及合理性。

（5）补充说明项目已实施但最终未签约项目的金额和占比情况，发行人的会计处理方法及其合规性。

2、江苏**金刚石科技股份有限公司（第一轮问询，2023年9月4日终止）

说明废料销售的数量、价格、主要客户，销售数量与产量、废品率变动的匹配情况，废料销售的定价依据及销售单价变动合理性，不同客户废料价格差异的情况与原因，收入波动的合理性，废料销售业务相关的内控制度的有效性。

3、上海**科技股份有限公司（第一轮问询，2023年8月23日终止）

请发行人：

（3）发行人烧结料等危废物处置制度及实施情况，报告期内危废物处置服务相关供应商或个人是否均具备相应资质。

（4）说明发生液体物料泄露安全事故的原因，发行人是否已进行整改。

（5）结合上述事项分析说明发行人内控制度是否有效。

4、成都**科技股份有限公司（第二轮问询，2023年3月31日终止）

说明发行人生产经营中涉及环境污染的具体环节，污染物排放量，是否存在超限排放的情况，发行人危险废弃物处理供应商是否取得经营资质；报告期内是否存在安全或环保事故、纠纷情况，如是，请说明具体情况及其整改措施；发行人安全生产及环保相关内部控制制度的建立和运行情况。

总体来说，未来内部控制仍将是拟上市企业重点关注的重要领域。上市程序极具挑战，需要很大程度的投入并按既定时间逐步完成工作。拟上市企业应在恰当且尽早的时间着手准备，在首次上市过程中规划好每个阶段的工作，建立符合自身行业特点的内控合规体系，不要让内控和合规成为公司上市途中的绊脚石，早做诊断，尽早整改。

来源：北交所IPO实务