2022年4月8日起施行的证监会令【第196号】:《关于修改〈首次公开发行股票并上市管理办法〉的决定》中,对企业IPO时内部控制体系的建设和规范提出了明确要求,具体如下:
2023年12月,财政部会同中国证监会研究起草了《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知(征求意见稿)》,推动上市公司和拟上市企业进一步加强内部控制。《通知》重点提出,创业板和北交所上市公司自披露2024年年报起应披露内控报告,同时要求拟IPO公司提交申报材料时提供内控报告。
对过去几年IPO被否案例中关于内控制度审议问题来看,监管层重点关注这四大类内控问题,分别是:会计基础工作是否规范、经营相关违法违规行为、资金往来问题、内部控制制度是否健全或是否被有效执行。
一、会计基础工作是否规范
如深市主板某被否企业,公司主要从事建筑防水材料的研发、生产和销售,并提供防水工程施工服务。公司主要产品为防水卷材、防水涂料系列产品,可为客户提供“一站式”建筑防水解决方案。企业在上会时被问询逾期应收账款余额逐年上升原因、一次性支付大额履约保证金原因、对应收款项信用损失进行追溯调整、计提预期损失率是否符合相关规定。
二、经营相关违法违规行为
如深市主板某被否医药企业,发行人的销售费用中市场推广服务费占比较高。企业在上会时被问询市场推广服务费占比较高的原因及合理性,是否涉及利益输送和商业贿赂、主要推广服务商变动较大的原因,部分推广服务商成立不久即与发行人合作的原因及合理性,是否与发行人存在关联关系、报告期内新增市场推广服务业务且客户仅为某公司的原因及合理性,后续减少合作的原因。
三、资金往来是否违规
如上证主板某被否企业,公司主营业务是专业的木材加工配套服务提供商。发行人为关联方提供成品钢及相关炼钢原材料的运输服务、港口装卸服务及租赁和管理服务的经常性关联交易占比较高。企业在上会时被问询关联交易的价格是否公允,是否存在通过关联交易操纵利润的情况,是否存在关联方利益输送、损害发行人利益的情形或其他利益安排、发行人是否与某公司及其关联方存在非交易性资金往来,发行人关联方的认定及关联交易披露是否真实、完整、准确。
四、内部控制制度是否健全或是否被有效执行
如创业板某被否企业,公司主营业务是印制电路板的研发、生产和销售,产品包括单/双面板和多层板。报告期内,公司研发费用和研发费用率低于同行业可比公司平均水平。公司存在研发与生产共用设备、人员,研发产品和生产产品型号一致,统一存放管理及销售时无法区分研发产品和生产产品的情形。公司未能充分说明研发活动内部控制制度的健全有效,未能充分说明研发投入真实性,从而IPO失败。
总体来说,未来内部控制仍将是拟上市企业重点关注的重要领域。上市程序极具挑战,需要很大程度的投入并按既定时间逐步完成工作。拟上市企业应在恰当且尽早的时间着手准备,在首次上市过程中规划好每个阶段的工作,建立符合自身行业特点的内控合规体系,不要让内控和合规成为公司上市途中的绊脚石,早做诊断,尽早整改。
从监管规定和监管实务两个维度来看,IPO企业内控建设主要有两个方面:
其一,IPO企业内部控制建设首先需要满足财务报告相关内部控制的要求。
其二,需要关注合规化问题,特别是税务、社保、环保等领域合规化问题,以及具有明显行政监管的行业和合规性问题,比如食品企业的质量安全问题。
任何可靠的财务报告均依赖于良好的内部控制,良好的内部控制才能保证企业经营从业务活动发生到财务报告生成全过程是合理有效的。
因此,从建设内容上,IPO企业内控建设内容上应以财务报告相关内控为主;同时,兼顾合规性问题。针对合规性问题,可以更深入分析,部分可以通过制度进行禁止性的规定,如公司章程可以约定不得对外提供担保;部分则可以内化为业务流程,比如,通过加强合格供应商管理流程,来强化质量管理。
企业在完善内控机制的过程中,可以考虑从下列方面入手:
一、加强对企业管理层的合规指导,提高公司高级管理层的合规观念,明确管理层的合规责任是提高业务运营合规性的基础保障和核心要素,奠定管理层合规基调。
二、利用信息化手段、推动合规监管,利用技术工具监控,识别异常。内控体系建设与业务信息系统应最大程度的链接互通,有效结合,实现数字信息化监督,减少人为违规操纵等因素造成的内部控制失效。通过明确部门岗位职责,对不相容职位进行分离,对业务流程、审核审批节点等进行固化,促使各项业务活动在信息系统下可控制、可检查以及可追溯,确保信息系统能够自动识别并终止逾越程序等行为,实现每个运行过程自动控制,切实全方位提升内控体系的有效性。
三、从事后风险监控向事前风险预警转变,将风险管理和合规管理要求嵌入相关业务流程,建立强健而有效的内控环境,以预防为主的工作机制。企业应按照自身业务领域绘制业务流程图,使每个流程图都能以可视的方式清晰、直观的反映业务流程走向,明确各部门及相关岗位具体职责、审批节点,从而规范公司日常业务的操作程序,降低运营风险。
四、建立内控测试机制及风险评估机制,对重要风险进行识别与控制。内审部门定期对全公司业务流程的整体设计的健全性、合理性及各业务单元流程执行的有效性进行全面测试及评估,采用自上而下、基于风险的方法,针对薄弱环节、重点区域及控制漏洞,建立风险控制矩阵,及时向管理层报告评估结果,提出整改和优化建议,推进公司业务流程持续优化,使公司风险和内部控制得以有效结合。
五、设立多种形式的内部投诉渠道、违规调查机制、防腐机制以及问责机制,通过不定期组织内控合规以及反舞弊宣传及培训,让每位员工重视合规建设,使合规建设深入人心,全员参与到内部控制与风险管理工作中,恪尽职守,廉洁自律,激浊扬清,正本清源,保持对企业各项规章制度的敬畏之心,形成内控文化建设的长效机制。
六、对标内控法规及IPO企业合规等对内控规范体系实施的要求,建议内部聘用专业人士或聘请具备IPO审核视角的专业内控咨询服务机来构协助企业完成内控诊断、整改、建设、自评等相关专业工作,提高内控建设和完善工作效率,并持续优化,减少IPO合规弯路。