内控体系建设与内控合规是上市公司和IPO企业监督审查的重点内容，在财政部、中国证监会2023年12月8日发布的《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》财会〔2023〕30号）一文中，也明确对上市公司以及拟上市企业的内控自评和内控审计提出明确的要求。

特别是针对IPO企业来说，内控体系的建设情况以及内控执行的合规情况，是影响IPO过审的一个重要因素，近几年来已经发生多起因为内控不合规问题带来的IPO未过审的案例，给企业带来较大损失。

一、内控不合规影响IPO过审案例

1、长春卓谊生物股份有限公司

问题1：内控制度执行不到位：部分推广服务商的推广拜访活动记录异常或不符合规定，部分会议推广费证明文件不规范。

问题2：会计核算不规范：存在部分固定资产未及时入账、将部分非研发人员薪酬计入研发费用、长期待摊费用摊销年限不准确、未充分考虑在建工程减值迹象等问题。

问题3：关联交易披露问题：发行人通过第三方机构向关联企业进行采购的关联交易未被充分核查和准确披露，且存在与控股股东人员、营业场所混同情况未披露及整改情况未充分披露的问题。

2、深圳市飞速创新技术股份有限公司2

问题1：信息系统内控缺陷：与信息系统相关的内部控制存在缺陷，未能准确显示前台商城产品销量、评论数据等信息；系统操作日志保存情况与问询回复不符；未对反结账、反审核制定内部管理制度，财务系统操作权限管理存在漏洞。

3、四川科瑞德制药股份有限公司4

问题1：销售费用内控不规范：部分费用实际结算方式与合同约定不一致，部分会务费报销附件不规范，对相关推广活动产生的销售费用的报销流程未达到规范有效的基本要求，销售费用相关内部控制制度的实际执行情况与首轮问询回复中披露情况不相符。

4、 烟台迈百瑞国际生物医药股份有限公司1

问题1：申报稿数据错误：在首次申报稿中，非经常性损益情况披露存在低级错误，将 2019 年股份支付费用 “-19306 万元” 错误披露为 “19306 万元”，导致当年非经常性损益、扣非后净利润计算和披露错误，且公司财务等相关部门以及中介机构均未发现该问题，反映出公司内部审核和控制机制存在漏洞。

5、 华理生物

问题1：收入确认与研发内控问题：发行人与客户实际执行的交易方式与收入确认不匹配，民生证券未能关注到收入确认异常情况，对发行人研发内控缺陷、研发费用准确性核查不到位，未对发行人研发内控不规范予以关注，也未对相关研发费用核算依据予以充分核查。

问题2：资金流水与生产管理内控问题：民生证券以发行人未告知实际控制人控制企业注销情况为由，未对相关款项具体流向及实际用途做进一步核查，发行人生产用菌种管理部分的内控制度存在漏洞缺陷，危化品和危废处置不符合相关规定，民生证券未督促发行人在申报文件中披露、说明并予以整改。

二、内控合规主要体现在以下几个方面

既然内控不合规对上市公司及IPO企业的监管审查带来很大影响，那么我们就必须需要了解内控不合规主要体现在哪些方面。根据我们常年的经验来看，内控不合规、内控体系不健全涵盖多个方面，主要包括以下领域。

1、内部环境方面

治理结构不完善：股东会、董事会、监事会、经理层之间的职责权限划分不明确，缺乏有效的制衡机制。例如，董事会未能充分发挥监督作用，对管理层的决策缺乏有效约束。

机构设置与权责分配不合理：部门设置重叠或缺失，导致职能交叉或管理空白。各部门和岗位的职责权限不清晰，存在推诿扯皮或越权行事的现象。

人力资源政策不健全：员工招聘、培训、考核、晋升、辞退等环节缺乏科学合理的制度和流程。例如，招聘过程中没有严格的筛选标准和程序，导致员工素质参差不齐。

企业文化缺失：企业缺乏积极向上的企业文化，员工缺乏共同的价值观和行为准则，凝聚力和归属感不强。

2、风险评估方面

风险识别能力不足：未能全面、系统地识别内外部风险，对市场风险、信用风险、操作风险等重要风险缺乏有效的识别机制。例如，对市场需求变化、竞争对手的新举措等风险因素不敏感。

风险评估方法不合理：采用的风险评估方法不科学，不能准确评估风险发生的可能性和影响程度。例如，仅仅依靠主观判断而缺乏定量分析，导致风险评估结果不准确。

风险应对策略不当：在面对风险时，未能制定合理有效的应对策略，或者应对策略执行不到位。例如，对于高风险的投资项目，没有采取有效的风险规避或降低措施。

3、控制活动方面

不相容职务未分离：将不相容职务交由同一人或同一部门担任，如出纳兼任会计档案保管，容易导致舞弊行为的发生。

授权审批制度不严格：授权审批流程不规范，存在越权审批、审批环节繁琐或审批效率低下等问题。例如，重大投资决策未经集体审议，由个别领导擅自决定。

会计系统控制不规范：会计核算不准确、不及时，财务报表编制不规范，会计凭证、账簿、报表等会计资料保管不善。例如，随意调整会计科目，虚增或虚减利润。

财产保护控制不到位：对企业的资产缺乏有效的保护措施，如资产盘点制度不健全，资产保管不善，导致资产流失、损坏或被盗。

预算控制松弛：预算编制不科学，预算执行不严格，预算调整随意，缺乏对预算执行情况的有效监控和考核。例如，实际支出严重超出预算，却没有相应的控制和改进措施。

4、信息与沟通方面

信息系统不完善：企业的信息系统不能及时、准确地收集、处理和传递信息，信息系统存在漏洞或安全隐患。例如，信息系统数据丢失、被篡改，影响企业的正常运营。

信息传递不畅：企业内部各部门之间、上下级之间信息沟通不及时、不准确，存在信息孤岛现象。例如，销售部门未能及时将客户需求变化信息传递给生产部门，导致生产与市场需求脱节。

与外部沟通不足：企业与供应商、客户、监管机构等外部利益相关者之间的沟通不顺畅，不能及时了解外部环境变化和对方需求。例如，未能及时向监管机构报送相关信息，导致违规风险。

5、内部监督方面

内部审计机构不健全：内部审计部门缺乏独立性和权威性，内部审计人员素质不高，不能有效发挥内部审计的监督作用。例如，内部审计部门受管理层干预，无法独立开展审计工作。

内部监督制度不完善：缺乏常态化的监督机制，对内部控制的执行情况缺乏定期检查和评估，发现问题后整改措施不到位。例如，对内部控制缺陷没有及时进行整改，导致问题反复出现。

三、企业应如何完善内控体系以避免影响IPO

企业要完善内控体系以影响 IPO 过审，需从多个方面入手，构建一套全面、有效的内部控制体系。

1、优化内部环境

完善治理结构：明确股东会、董事会、监事会和经理层的职责权限，形成相互制衡的机制。强化董事会在战略决策、监督管理层等方面的作用，设立审计委员会、薪酬委员会等专门委员会，确保各机构各司其职、有效运作。

合理设置机构与分配权责：根据企业战略和业务流程，科学设置部门和岗位，明确各部门和岗位的职责、权限及相互关系，避免职能重叠或缺失。制定清晰的岗位职责说明书，使员工清楚知道自己的工作内容和责任。

建立健全人力资源政策：制定科学的人力资源规划，明确人员招聘、培训、考核、晋升、辞退等环节的标准和流程。加强员工培训，提高员工素质和专业能力。建立合理的绩效考核和薪酬体系，激励员工积极工作，同时强化员工的职业道德和诚信教育。

培育积极的企业文化：提炼企业的核心价值观，通过培训、宣传等方式让员工理解并认同企业文化。营造积极向上、诚信守法的工作氛围，使员工自觉遵守企业的规章制度，增强企业的凝聚力和向心力。

2、加强风险评估

建立风险识别机制：运用科学的方法和工具，全面、系统地识别企业面临的内外部风险，包括市场风险、信用风险、操作风险、法律风险等。定期收集相关信息，对企业所处的宏观经济环境、行业竞争态势、市场需求变化等进行分析，及时发现潜在风险。

完善风险评估方法：采用定性与定量相结合的风险评估方法，准确评估风险发生的可能性和影响程度。例如，运用风险矩阵、敏感性分析等工具，对识别出的风险进行量化分析，确定风险等级，为制定风险应对策略提供依据。

制定有效的风险应对策略：根据风险评估结果，制定合理的风险应对策略，包括风险规避、风险降低、风险分担和风险承受等。针对不同类型的风险，采取相应的应对措施，如对于市场风险，可以通过多元化经营、套期保值等方式降低风险；对于信用风险，加强客户信用管理，建立信用评估体系和应收账款管理制度。

3、规范控制活动

严格执行不相容职务分离：明确不相容职务的范围，如授权审批与业务经办、业务经办与会计记录、会计记录与财产保管等职务必须分离，确保不同岗位之间相互监督、相互制约，防止舞弊行为的发生。

完善授权审批制度：制定详细的授权审批流程和权限表，明确各类业务的审批层级、审批标准和审批程序。重大决策、重大事项、重要人事任免及大额资金支付等 “三重一大” 事项，必须实行集体决策审批或联签制度，避免个人独断专行。

规范会计系统控制：严格遵守会计准则和会计制度，规范会计核算流程，确保会计信息真实、准确、完整。加强财务人员的培训和管理，提高财务人员的专业素质和职业道德水平。建立健全财务管理制度，加强对财务报表编制、会计凭证审核、账簿登记等环节的控制。

强化财产保护控制：建立健全财产清查制度，定期对企业的资产进行盘点，确保账实相符。加强对资产的保管和维护，采取有效的安全防护措施，防止资产被盗、损坏或流失。对重要资产投保，降低资产损失的风险。

加强预算控制：提高预算编制的科学性和准确性，结合企业的战略目标和经营计划，合理制定预算指标。加强预算执行的监控和分析，及时发现预算执行过程中的问题，并采取相应的措施进行调整和改进。建立预算考核制度，将预算执行情况与员工的绩效考核挂钩，确保预算的严肃性和有效性。

4、完善信息与沟通

优化信息系统：建立先进的信息管理系统，确保信息能够及时、准确地收集、处理、传递和存储。加强信息系统的安全管理，设置用户权限，防止信息泄露和数据篡改。定期对信息系统进行维护和升级，保证系统的稳定性和可靠性。

加强内部信息沟通：建立畅通的内部信息沟通渠道，包括定期的会议制度、工作报告制度、内部网络平台等，促进各部门之间、上下级之间的信息交流和共享。鼓励员工及时反馈工作中的问题和建议，确保信息传递的及时性和准确性。

强化外部信息沟通：加强与供应商、客户、监管机构、投资者等外部利益相关者的沟通与交流。及时了解供应商的供应情况、客户的需求变化、监管机构的政策法规要求以及投资者的期望，积极回应外部关切，维护企业良好的形象和声誉。

5、加强内部监督

健全内部审计机构：设立独立的内部审计部门，配备专业的内部审计人员，确保内部审计机构具有足够的独立性和权威性。内部审计部门直接向董事会或审计委员会负责，不受其他部门的干涉和影响。

完善内部监督制度：建立常态化的内部监督机制，定期对内部控制的有效性进行自我评价和审计监督。制定内部审计计划，明确审计范围、审计重点和审计频率。对发现的内部控制缺陷，及时提出整改建议，并跟踪整改情况，确保内部控制体系不断完善。

企业完善内控体系是一个长期而复杂的过程，需要企业全体员工的共同参与和持续努力。同时，企业应根据自身的发展阶段和业务特点，不断调整和优化内控体系，以适应不断变化的内外部环境，提高企业的管理水平和风险防范能力，确保 IPO 顺利通过审核。