根据首发管理办法对发行人内部控制的要求，发行人内部控制制度健全且被有效执行，能够合理保证财务报告的可靠性、生产经营的合法性、营运的效率与效果，保证财务报告可靠性目标的控制通常定义为财务报告控制，其他为非财务报告控制，根据首发管理办法的直观理解，IPO要求的是财务报告控制和非财务报告控制所有重要内部控制健全有效。

       1. 内部控制的目标

       首发管理办法对内部控制标准的要求很高，但其并没有明确应按何种标准建立内部控制。在法定层面上，内部控制主要依据财政部等五部委于2008年发布的《企业内部控制规范》及后续的应用指引（内控规范），具体执行时间要求上，在上市公司层面，除主板公司自2012年1月1日起分批执行之外，中小板和创业板公司均未有明确的执行时间表，其他公司鼓励执行。所以IPO公司只是鼓励执行内控规范，并不属于法定要求。

       如果不执行内控规范，那么从通用标准上看，可选择的只有财政部2001年发布的《会计控制规范—基本规范（试行）》（会计控制规范）。相对于基本规范，会计控制规范是内部控制范畴中较低层次的要求，其以“保证会计资料真实完整”为根本目标，与财务报告控制的目标是相同的。

       目前实务中的情况中，IPO公司多为中小民营企业，在整个IPO报告期内，财务很可能从以纳税要求为导向过渡到以会计准则为导向，业务很可能处于扩张期，从初期的靠人管理过渡到扩张期的靠制度管理。相应地，在内部控制层面，很可能多以规范财务核算和制定业务流程为主，即主要目标还是建立健全财务报告内部控制，全面的内部控制只能是远期方向，任重道远。

       综合上述的法定要求及实际情况，大多数IPO公司报告期内全面执行内控规范是不现实的，原则上，应该还是以建立健全财务报告内部控制为核心任务。

       2. 财务报告对IPO内部控制的要求

       财务报告是一个结果，而内部控制是一个过程，只有保证过程的良好运行，才能得出正确的结果。

     （1）可靠的财务报告依赖于良好的内部控制

       财务会计是一个信息系统，其宗旨是用“会计语言”表述经济业务。经济业务传递到会计系统，会计系统经确认和计量后生成财务报表，在这个过程中，要依靠与会计相关的内部控制，保证真实的经济业务及时、准确地传递到会计系统、并由会计系统做出正确的会计处理。

       所以，可靠的财务报告依赖于良好的内部控制，从业务生成财务报告，关键性内控有三部分：一是业务系统运行的可靠性；二是业务系统与会计系统之间信息传输的控制；三是财务部门主导会计系统本身的控制。

       （2）内部控制的不同层次都会影响财务报告

       内部控制是一个广泛的体系，在实质性的控制结构方面，从上而下可以划分为治理结构、业务流程、会计系统三个不同层次，治理结构是对管理层的制约和分层授权机制、业务流程是业务在部门、岗位、人员之间的流转过程，会计系统则是财务核算的体系和规则，广义地理解，内部控制与财务报告的可靠性是层层相关的。

       ①治理结构

治理结构的核心是董事会对管理层的制约，在缺乏制约的情况下，基于IPO利润操纵的超强动机，管理层非常容易超越内控，所以治理结构不健全，往往会给财务舞弊提供机会。

      ②业务流程

       从内控的目标看，业务流程层面主要解决“生产经营合法性”和“运营的效率和效果”问题，原则上与财务可靠性目标不直接发生关系。

       但如果业务不合法，尽管理论上不影响财务的记录，但违法行为的财务后果很可能难以估计，从而影响财务报表的公允编制，此外，如果业务缺乏授权审批等关键流程，或有流程但执行程度不够，一是可能增加员工串通的可能性，对报表真实性带来影响；二是可能会影响业务真实性的确认。

       ③会计系统

       会计系统与财务报表的编制过程直接相关。会计系统处理什么样的业务，决不只是被动的等待业务流程的输入，而需要根据正确的核算规则，主动地提出对业务资料的需求。

       从内控的层次看，治理机构解决的是根本性问题，但是多数IPO公司存在一股独大的问题，如大股东绝对控制董事会，董事长兼任总经理等，从舞弊的角度看，只要实际控制人有动机，内控程序就很难发挥作用。所以，治理结构虽然在一定程度防范舞弊，但其总是可遇不可求。根据IPO对内部控制的要求，首要任务是完善会计系统和核算规则，其次是建立能够保证业务可靠的业务流程。

       3. IPO实务对内控的要求

       从上市公司落实内部控制规范的实践看，需要引入专业咨询机构协助建立或完善内控、会计师亦需要对内部控制进行专门审计并出具审计意见。IPO公司尚未要求执行内控规范，会计师只是执行内控鉴证程序且也只是出具鉴证意见，所以对于大部分IPO公司而言，目前仍应以财务报告内部控制制度建设为主要目标，没有必要在报告期内落实全面内控建设。

       在IPO过程中，是否要求整个报告期都保持非常好的内部控制呢？评价内部控制有效性是基于特定基准日，而非三年或三年又一期的整个报告期，但是基准日也不是一个简单的时点概念，而是体现内部控制这个过程向前的延续性。原则上，非整个报告期又非最终基准日，实务中建议按以下把握：报告期内至少要保证最后一个完整年度的内部控制足够有效，报告期第一年和第二年，允许存在一定的非重大缺陷，但必须体现出是一个规范的过程。

       建立内部控制制度的目的，是合理保证财务报告的可靠性、生产经营的合法性、营运的效率与效果。凡是对上述“三性”造成重大不利影响的事项都属于内控缺陷。内部控制可以分为治理结构、业务流程、会计系统三个不同层次，不同层次的内控缺陷，会对经营和财务在某些方面单独或共同产生较大的负面影响。

       IPO公司常见的内控缺陷，通常表现在重大会计差错，业务违法违规、未遵循业务流程、关联交易未有效控制等几个方面。

       1. 重大会计差错

       IPO公司的重大会计差错，体现在申报材料中披露的申报财务报表原始财务报表的差异分析之中，形成差异的原因，除少数源于报告期内法定的会计政策变更之外，大多数情况下都是由原始报表存在重大会计差错。形成会计差错的原因主要有以下几类：

       （1）会计方法的错误

       会计方法运用错误，指具体会计政策和会计估计的选择和运用不当。比如，产品销售选择的收入具体确认时点不当，应收账款未按账龄分析法充分计提坏账准备等。会计方法错误说明会计系统未能选择最合理的会计方法，故应认定会计系统存在缺陷。

       （2）业务部门和财务部门的信息沟通不畅

       内部流程中业务部门与财务部门之间的沟通不够，一是业务信息不能够及时传递到财务部门，可能导致收入跨期、费用未及时报销入账，在建工程延迟转固等问题；二是未按照会计导向制定业务流程，财务管控不够，业务部门不清楚如何才能全面有效地提供相关业务信息。

       业务部门与财务部门连接不够通畅，是业务流程设计和执行的问题，属于业务层面的缺陷。

       （3）会计核算存在差错

       由于财务人员的疏忽大意，或财务内部缺少必要的复核，导致会计核算出现重要的数据差错。核算差错属于会计系统缺陷。

       （4）存在舞弊形成的差错

       由于报告期内存在财务舞弊，例如，部分IPO公司出于偷逃税款目的少计报表收入或虚增成本费用等，导致原始报表不真实，申报报表对舞弊进行纠正所产生的重大会计差错。财务舞弊更多属于管理层舞弊，管理层有舞弊的动机、机会和借口，往往可以归结为治理结构的缺陷。

       2. 业务违法违规

       （1）从事违法违规的业务

       违法违规业务的高发，往往与IPO公司所处的行业相关，例如，以现价结算为主的行业，容易出现坐支现金以及公款私存等违反现金管理规定的行为；在行销费用较高的医药行业，容易出现以无真实交易背景的发票冲抵费用的行为；在融资领域，也容易出现违规业务，比如普遍存在的民间借贷、开具无交易背景的银行票据以套取银行资金、以银行票据代替现金在企业间进行流通等。

       （2）业务结果违法违规

       对于某些重要的业务，如果内部控制不到位，可能会出现违法违规的结果，例如，对于食品企业，由于对供应商管控不力导致出现食品安全质量问题；对于高危行业的企业，由于安全生产管控不力导致出现安全生产事故。

       （3）未遵循业务流程

       生产经营的正常运行依靠的是清晰明确的业务流程，前后多个不相容岗位之间审批和复核。可以有效防范业务风险和可能出现的职务侵占。不按照厘定的业务流程执行业务，属于业务流程层面的缺陷。

如果业务未遵循业务流程是普遍行为，内部控制形同虚设，那么很可能会使公司经营处于风险之中，影响经营的效率和效果。比如，不签订合同即发货，可能使货款回收面临更大的风险；不进行必要的供应商资质管理，可能使原材料采购陷入价格高、质量差的风险之中。

       如果个别关键业务未遵循业务流程，则往往是管理层出于某种目的逾越了内控，从外部审核的角度看，可能会对交易的真实性产生疑问，进而怀疑是否存在操作业绩的行为。

       （4）关联交易未有效控制

       IPO公司应制定专门的关联交易内控制度，重点管控两方面的交易：一是防止或及时解决实际控制人或其他关联方占用公司资金问题；二是对持续性的经营性关联交易进行有效的程序控制。

       大股东资金占用是IPO公司常见的不规范行为。对于已经发生的资金占用，应签订有效的合同并支付公允的资金使用费，及时清理收回资金本息并杜绝再发生任何形式的占用。实际控制人发生的具有持续性和随意性的资金占用，本质上损害了IPO公司和其他股东的利益，表明公司治理结构存在缺陷，不能对实际控制人进行必要的制衡。

       对于持续存在的与业务有关的经常性关联交易，应由董事会或股东大会按照程序进行必要的表决批准，并通过具体制度确保关联交易的公允性。

       从基本符合IPO关于财务报告内部控制的要求出发，建议重点做到以下几个方面。

       1. 业务合法合规

       业务的合规性，通常与行业特点有关，常见的违规业务，如：业务开拓中灰色支出，使用不合法、不正规大额发票，无交易背景的银行票据收、支以及现金管理中的库存现金超过限额，大额现金支付、现金的坐支、个人银行卡用于对公办收支等。

       2. 业务流程清晰

       业务流程是否具备效率和效果，外部审核往往是难以评判的，但主要业务的业务流程一定要清晰，符合控制原则，并得到不折不扣的执行，清晰的流程有两个关键点，一是流程中的业务单据完备，要是齐全，能够清晰记录整个过程；二是流程中有明确的与会计系统的对接点，业务单据能够及时完整地传递到财务部门。

       3. 会计导向明确

       在实务中，非上市公司习以为常的是以发票为记账基础的“税务会计”，生成的财务报表与真实的经济业务严重脱节。在内控层面，“税务会计”忽略了会计与业务的衔接，沿着各自的方向各行其道，形成了业务和财务的“两张皮”，在发票使用不普遍及现金交易频繁的行业，甚至形成对外和对内的“两套账”。

       在建立财务控制制度时，应以会计原则为前提，充分考虑会计核算的具体要求，根据会计导向设置流程，以明确会计核算所需要的业务单据完整及时地传递到财务部门。

       4. 杜绝重大会计差错

       不考虑舞弊的情况，重大会计差错主要两个方面：一是会计处理失当；二是财务与业务信息沟通不畅，未能及时作出会计处理。站在内部控制的立场，如果是会计处理的问题，说明财务人员的胜任能力或财务内部的复核程序存在问题；但如果是财务与业务沟通的问题，则说明业务流程运转不够畅通。

       综上所述，重大会计差错约等于内部控制重大缺陷，所以IPO报告期内应尽量杜绝重大会计差错。

       5. 完善信息系统

       目前IPO公司中，已上线运行全面ERP系统的公司还不多，比较常见的是业务系统全部信息化或部分信息化，但业务系统尚未与财务核算系统自动连接，财务核算需要从业务系统中人工提取单据或数据。

       业务信息系统是可以合理保证内部控制的一致性和准确性。以业务信息系统为基础的财务管理和核算，可以提供更多有效的财务信息。良好运行的信息系统，对内部控制的有效性有足够的说服力。

       但凡事总有两面性，信息系统带来高效和刚性的同时，很可能对财务舞弊开了更大的后门。只要在后台修改一下系统数据，就可以轻易绕过控制程序，隐蔽地完成内部流程作假。

       IPO公司存在内控控制缺陷，会对内部控制的健全有效产生负面影响，严重的内控缺陷有可能导致严重的违法行为，也有可能会对公司的持续盈利能力产生重大不利影响，很有可能形成IPO 审核中的实质性障碍。所以，IPO公司应对照检查业务和财务方面的内控缺陷，对存在的内控缺陷及时弥补，防止出现新的内控问题，合理地保证报告期内内部控制的健全有效。

      （参考文献：中税网会计继续教育学习平台2017年度上海市会计从业继续教育《公司上市过程中的财务操作》）

       （本文由念桐咨询“晨曦之光"小组刘程、朱培供稿）