A 股 IPO 信息系统核查实用解析
普华永道中国科技行业主管合伙人倪靖安、资本市场部合伙人李雪梅、风险与控制服务部合伙人武瑶和高级经理叶秀菊与您分享与探讨,如何从可操作、可落地的角度理解 A 股 IPO 过程中信息系统核查的重点难点问题。
A 股 IPO 企业信息系统监管要求
随着信息技术快速发展,企业的业务和财务工作越来越依赖各种信息系统。对信息系统的依赖是一把“双刃剑”,一方面各种流程及相关控制实现线上化、自动化,数据完全电子化,企业运营效率得到提升、业务风险得到更好的管控;另一方面信息系统自身带来各种新的风险,比如网络安风险、数据安全风险等。
A 股 IPO 企业在上市之路上不可缺少信息系统审计程序。信息系统审计在验 证信息技术治理有效性、信息系统安全性等大前提下,通过检查自动控制、系统间数据传输,同时运用计算机辅助审计技术获取可靠、完整、准确的业务数据和财务数据,获取充分适当的审计证据。除此之外,系统审计还能帮助企业识别和防控与信息系统相关的安全风险,减少信息系统相关的欺诈与舞弊,以利于满足 监管要求。信息系统的内部控制是否有效,系统内部的相关数据是否可依赖,不仅是监管机构的关注重点,也是企业应持续重点关注的领域。了解 A 股 IPO 过程中的标准以及监管要求,是企业在上市之路上需要了解的一个重要领域。
A 股 IPO 信息系统审计参考标准
普华永道结合多年丰富的 A 股 IPO 审计项目经验,对国内外通用的信息系统审计标准进行了归纳与总结。目前行业内执行信息系统审计工作时普遍参照以下四类主要标准,供 A 股 IPO 企业参考:
《企业内部控制基本规范》(C-SOX)
在借鉴 COSO 等国际内部控制法案的基础上,中国监管机构联合发布了《企业内部控制基本规范》,简称 C-SOX。该法规包括七章共 50 条条款,明确规定了企业内部控制需要考虑的各项要素,包括:内部环境、风险评估、控制活动、信息与沟通和内部监督。该规范自 2009 年 7 月 1 日起实施,要求在国内上市公司范围内统一执行,并鼓励非上市大中型企业执行。
信息系统和技术控制目标(COBIT)
COBIT 是由信息系统审计与控制协会(ISACA)在 1996 年所公布的控制框架,目前的版本是 COBIT 5.0。主要目的是研究、发展、宣传权威的、最新的国际化的公认信息技术控制目标以供企业经理、IT 专业人员和审计专业人员日常使用。COBIT 框架包括 34 个 IT 流程、四个领域,即:PO(计划与组织)、AI(获取与实施)、DS(交付与支持)和 ME(监控与评估)。
内部控制框架(COSO)
尽管 COSO 框架并不是信息技术方面的内部控制框架,但是由于它在审计领域的重要性,几乎所有信息系统审计的框架和指南都会考虑吸取它的主要思想作为内部控制的考虑出发点。
全球技术审计指南(GTAG)
国际内部审计师协会对信息系统审计的相关内容进行研究,发布了全球技术审计指南 Global Technology Audit Guide(简称 GTAG),主要内容包括:
由于 A 股 IPO 企业的信息系统有效性直接关系到上市过程中财务审计所依赖的财务数据,因此,A 股 IPO 企业在进行信息系统审计时,应充分参考对应的信息系统审计要求,在审计过程中遵循标准化流程,以验证信息系统在审计过程中是否值得信赖。
A 股 IPO 数据专项核查的监管要求
为进一步推动股票发行工作市场化、法治化改革,支持实体经济发展,增强审核工作透明度,提高首发企业信息披露质量,便于各中介机构履职尽责,证监会根据相关法律法规等规定,在研究总结发行监管实践的基础上,充分征求市场各方意见,不断完善审核标准,在 2020 年 6 月对《首发业务若干问题解答》进行了第二次修订。文件的问题解答共 54 条,定位于相关法律法规规则准则在首发审核业务中的具体理解、适用和专业指引。
《首发业务若干问题解答(2020 年 6 月修订)》 中第 53 条,提出保荐机构和申报会计师在信息系统核查方面的工作要求,以下为三个主要分类及其具体监管要求:
对于主要通过互联网开展业务的申请首发企业,针对直接向用户收取费用的互
联网企业 具体核查要求:
1. 经营数据的完整性和准确性,是否存在被篡改的风险,与财务数据是否一致。
2. 用户真实性与变动合理性,包括新增用户的地域分布与数量、留存用户的数
量、活跃用户数量、月活用户数量、单次访问时长与访问时间段等,系统数据与第
三方统计平台数据是否一致。
3. 用户行为核查,包括但不限于登录 IP 或 MAC 地址信息、充值与消费的情况、
重点产品消费或销售情况、僵尸用户情况等,用户充值、消耗或消费的时间分布是
否合理,重点用户充值或消费是否合理。
4. 系统收款或交易金额与第三方支付渠道交易金额是否一致,是否存在自充值
或刷单情况。
5. 平均用户收入、平均付费用户收入等数值的变动趋势是否合理。
6. 业务系统记录与计算虚拟钱包(如有)的充值、消费数据是否准确。
7. 互联网数据中心(IDC)或带宽费用的核查情况,与访问量是否匹配。
8.获客成本、获客渠道是否合理,变动是否存在异常。
对于对用户消费占整体收入比较低,主要通过展示或用户点击转化收入的
此类企业,如用户点击广告后向广告主或广告代理商收取费用的企业
具体核查要求:
1. 经营数据的完整性和准确性,是否存在被篡改的风险,与财务数据是否一致。
2. 不同平台用户占比是否符合商业逻辑与产品定位。
3. 推广投入效果情况,获客成本是否合理。
4. 用户行为真实性核查,应用软件的*载下**或激活的用户数量、新增和活跃的用
户是否真实,是否存在购买虚假用户流量或虚构流量情况。
5. 广告投放的真实性,是否存在与广告商串通进行虚假交易。
6.用户的广告浏览行为是否存在明显异常。
对于发行人主要经营活动并非直接通过互联网开展,但其客户主要通过互
联网销售发行人产品或服务,如发行人该类业务营业收入占比或毛利占比超过
30%的企业
具体核查要求:
1. 核查该类客户向发行人传输交易信息、相关数据的方式、内容,并以可靠方式从发
行人获取该等数据。核查该等数据与发行人销售、物流等数据是否存在差异。
2. 核查互联网终端客户情况(如消费者数量、集中度、地域分布、消费频率、
单次消费金额分布等)是否存在异常。
3.对无法取得客户相关交易数据的,保荐机构和申报会计师应充分核查
原因并谨慎评估该情况对发表核查意见的影响。
从以上监管要求可以看出,如何增加信息系统在上市企业审计过程中的可依
赖性成为企业在上市前的重点考虑因素。同时,信息系统完善与否,直接影响到 企业业务数据与财务数据的数据质量,进而影响企业整体的运营与管理。
如何应对监管要求
根据普华永道对 A 股 IPO 企业的审计项目经验,我们发现,大多数 A股 IPO 企业由于发展迅速、业务量较大、系统功能、内部控制环境、人为操作等原因,会产生业务数据与财务数据不一致、业务数据质量、财务数据可靠性风险等多方面的问题。这些问题都会直接影响收入、成本等财务数据的完整性、准确性,是 A 股 IPO 企业在上市过程中需要重点关注的领域。企业业务与财务数据质量和流程中可能存在的问题:
此外,虽然 《首发业务若干问题解答(2020 年 6 月修订)》 中第 53 条列举了三种类型的信息系统核查监管要求,但 A 股 IPO 企业需要依据自身情况确定对 应符合的监管要求。如部分企业存在多种业务,既包括针对直接向用户收取费用业务,同时也包括非直接通过互联网开展的经营活动,但其客户主要通过互联网销售发行人产品或服务的,需要同时满足第 53 条中的第一分类与第三分类两种监管要求。企业需要根据实际情况与保荐机构进行沟通确定所需要遵循的监管要求。
而不断变化的市场环境和水涨船高的业绩压力,往往导致部分公司出现各种数据质量问题,甚至是数据造假或业绩虚增的行为。因此,除了第 53 条中的监管要求,企业还需要灵活应用传统及新兴技术以满足上市监管要求。面对监管要求的更新和对信息系统核查细化,普华永道建议 A 股 IPO 企业信息系统进行全面的系统性诊断,包括且不局限于信息系统一般控制、信息系统自动控制、计算机辅助审计技术等。同时我们建议 A 股 IPO 企业结合新兴数据分析技术,对企业信息系统进行全面梳理,为企业上市工作保驾护航。
信息系统审计
首发企业需要重点关注经营数据的完整性和准确性,是否存在被篡改的风险,与财务数据是否一致。同时,证监会在检查 IPO 企业的步骤中,几乎都会包括直接翻看企业的财务数据及凭证,在通知并取得企业授权后,检查组通常会要求企业开放财务系统并查阅凭证。信息系统作为企业财务数据的载体,控制是否执行有效,直接影响到财务系统中的数据是否可以被信赖。因此,信息系统的控制与设置能否符合监管要求,是企业上市之路上十分重要的一环。
因此,在了解企业的业务流程与信息系统架构后,需要对 A 股 IPO 企业的信 息系统进行单独的审计,了解组织的信息技术战略是否充分反映该组织的业务战 略目标,有利于提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性,提高信息系统运行的效果与效率,以实现信息系统的运行符合上市企业法律法规及监管的相关要求。信息系统审计的主要内容目前有系统功能设置的合理性、运行的有效性、数据处理的正确性、数据维护的完整性和安全性的检查等方面,并在此基础上对系统运行和维护情况作出审计评价。它既包括传统财政财务收支审计以及对业务数据的审核,又更高于传统的审计;在审计相关数据的同时,更关注产生这些数据系统(软件)的完备性、有效性及安全性。信息系统审计主要涉及信息系统一般控制和信息系统自动控制。
全面梳理关键信息系统,重点关注一般控制、应用控制以及接口传输,从而识别可能存在影响业务运营风险及数据质量的管控漏洞,才能协助企业实现 A股 IPO 数据的完整与准确。
重点关注领域示例
1. 职责分离——例如,申请、审批、执行、记录等不相容职责应相互分离,避免侵吞资产等舞弊发生。
2. 权限设置——业务权限与系统权限应一致,权限设置应符合控制要求,权限应与业务流程匹配等。
3. 密码策略——应对密码的最小长度、复杂度进行规定,规定密码定期更换以及最短更换周期等。
4.备份管理——数据备份应全面及时,建立完善的备份管理,建立完善的备份恢复和应急预案,保障数据安全。
A 股 IPO 企业通过以上几个方面的信息系统审计,已经能满足基本信息系统可靠性核查的监管要求。然而,随着信息化迅速发展,信息系统及其产生和存储的数据在上市企业的经营管理中扮演着越来越重要的角色,在满足传统的信息系统审计要求后,上市公司仍应思考如何将现代化的数据分析技术与传统的信息系统审计技术结合,最大程度地实现数据化、信息化工作,提高审计效率,满足监管要求。
数据分析
面对竞争愈发激烈的市场环境以及信息技术的飞速发展,各企业的数据量呈指数型爆发增长,传统信息系统审计技术已无法满足企业的需求。证监会对于 A 股 IPO 已明确提出要求,保荐机构和申报会计师应充分利用大数据分析技术,以风险防控为导向,结合发行人的业务模式,深入分析关键业务指标和财务指标的变化趋势以及匹配性,对指标异常时段进一步核查,以判断发行人的运营数据和财务数据是否真实、准确、完整。普华永道在传统的信息系统审计基础上,引入数据分析技术,助力企业 IPO业务。以下将从互联网运营数据尽调和计算机辅助审计技术两个方面介绍常用的
数据分析技术与关注热点。
01 互联网运营数据尽调
在不断演进的网络和数据技术背景下,应运而生的互联网和新兴科技企业以其理念引领优势、有别于传统商业运作模式的业务整合能力以及市场覆盖潜力,成为投资界的热门标的。不断变化的市场环境与水涨船高的业绩压力,往往导致部分公司出现各种数据质量问题、甚至是数据造假或业绩虚增的行为。传统的尽职调查手段已不足以支持投资人在业绩评估和投资风险揭示方面的需求。普华永道根据多年实际项目经历,建议 A 股 IPO 企业进行数据尽调来对企业的数据质量进行核查。相比于传统的尽职调查,数据尽调有以下方面的优势:
问题一:在互联网运营数据尽调中,如何利用数据分析进行管理?
为协助投资者更好地了解发行人实际运营状况,A 股 IPO 企业应以风险为出发点,并结合公司业务模式进行数据建模,利用数据分析的方法对互联网运营数据及系统报表进行统计与分析,从不同维度审视数据的完整性、准确性、业务 KPI 指标、关键运营报告数据,为投资保驾护航。
问题二:在互联网运营数据尽调中,可以从哪些方面运用数据分析?
1. 运营数据完整性和准确性
收集运营过程的完整数据,检验期限端点是否正确;运用多种方法,验证数据是否存在差异,并根据验证结果分析数据是否完整;梳理并检查各终端、存储器、计算中心的接口和数据流转设置,检查设置是否能符合数据准确性的要求。
2. 运营报告重要指标的数据支撑调查
统计订单数据、检测报告、收入确认数据;将订单、报告、收入数据进行匹配;提取已确认收入但提取不到对应订单的记录,多维度分析,找出产生异常的原因。
可视化成果示例——以本福特定律为例
图片来源:普华永道数据分析
根据本福特定律,自然产生的随机数据一般会符合一定的统计规律。A 股 IPO企业可以通过本福特定律分析相关交易数据,利用可视化工具直观有效地查看生成的结果,快速锁定潜在的异常点,帮助企业查证是否存在人为篡改或捏造数据。
02 计算机辅助审计技术
计算机辅助审计技术(Computer Assisted Audit Techniques, CAATs),是指利用计算机和相关软件,使审计测试工作实现自动化的技术。该技术可用于细节测试和控制测试以及对审计抽样的辅助,提高 A 股 IPO 企业的审计效率。计算机辅助审计技术使得对系统中的每一笔交易进行测试成为可能,用于在交易样本量很大的情况下替代手工测试,可以高效核查所测试数据的完整性与准确性。
问题一:计算机辅助审计技术有哪些优势?
计算机辅助审计技术可以在以下方面使审计工作更富效率和效果:将现有手工执行的审计测试自动化。比如,对报告数据的准确性进行测试。在手工方式不可行的情况下执行测试或分析。比如,审阅大量和非正常销售交易。测试效率更加高效。比如,在短暂的时间内对大量数据进行全量测试,验证数据的完整性与准确性。
问题二:计算机辅助审计技术有哪些具体应用?
1. 业业核对与业财核对:
业业核对主要用于核对业务系统到业务系统之间的数据流转逻辑,验证业务数据与业务数据之间传输的准确性和完整性,在这一点是 A 股 IPO 企业需要重点 关注的数据质量问题。解决企业重点关注的业务处理问题,如订单数据的传递与处理。通过业业核对,可以帮助企业查找业务数据传输的差异并分析原因,提出切合实际的控制标准,建立全公司的合规文化;制定相应的内控制度,杜绝此类虚假交易;制定相应的举报制度,对此类行为进行监管。
业财核对主要用于核对业务系统到财务系统之间的数据流转逻辑,验证业务数据与财务数据之间传输的准确性和完整性。解决企业 重点关注的财务处理 问题如收入成本确认、资金和投资、外购或自研无形资产等。通过业财核对,查找业务数据与财务数据之间传输的差异并分析原因,识别并评估企业业务系统与财务系统中的系统控制风险。
2. 完整性与准确性:
《首发业务若干问题解答(2020 年 6 月修订)》中的第 53 条明确指出,A股 IPO 企业需要对经营数据的完整性和准确性进行核查与测试,为保证数据质量,企业需要从以下方面对数据进行测试:
- 完整性测试:了解关键业务及财务系统之间数据传输或转换的方向与逻辑,对系统之间的数据传输或转换进行全量数据对比,检查数据传输或转换过程是否有效,数据是否进行了完整传输。
- 准确性测试:了解关键业务及财务系统之间数据传输或转换的方向与逻辑,
对于信息文本类型进行内容和存储格式的对比检查,是否在各系统之间保持一致准确。对于数字金额类型进行金额的重新计算与核对,检查数据传输或转换时金额是否保持一致准确。
问题三:关于计算机辅助技术的具体案例——以关联方交易分析为例
近年来,资本市场的财务报表舞弊案件涉及管理层未识别出或未向注册会计师披露的关联方关系及其交易的情况呈增长趋势。由于未披露关联方关系或交易大都经过精心策划或蓄意隐瞒,注册会计师往往难以识别和认定。通过未披露关联方实施的舞弊已成为注册会计师执业面临的主要审计风险之一,也是证监会在监管 A 股 IPO 过程中重点关注的风险领域。以下我们将借助关联方交易分析案例,具体分析计算机辅助技术在实际案例中的应用。为了解关联方交易,首先需要了解 未披露的关联方舞弊常见形式 ,包括以下几种:
- 以显失公允的价格与未披露关联方进行交易
- 利用与未披露关联方之间的资金循环虚构交易
- 利用未披露关联方分担公司成本费用
- 接受未披露关联方捐赠
- 利用未披露关联方占用公司资金
在了解常见的舞弊形式之后,A 股 IPO 企业可以从风险角度(比如交易数据 完整性和准确性、未披露关联方关系的主要特征、未披露关联方交易的主要特征) 出发,明确分析维度,确认分析条件。利用数据分析技术,通过序列分析、分布、 关联关系等方法建立不同的模型以透析数据了解背后含义。最终通过可视化方式 让阅读者更直接和有效了解公司关联交易实际情况。对于具体的数据分析实施步骤,可以主要分为以下方面:
- 按照交易金额对全量交易数据进行排序,找出金额排名前十的供应商信息及仅有一笔大额交易的供应商。
- 利用社交网络分析模型,对识别出的供应商结合企业内部管理层人员信息等进行属性和关联性分析,可有效识别潜在的关联方关系及相关交易。
- 与管理层人员名单进行对比分析,找出交易相关方控制人为企业管理人员的潜在关联方关系。
- 按照交易金额进行排序,找出金额排名前十且交易对象为自然人的交易信息。
对交易相关方地域分布进行分析,通过提取交易数据中的交易相关方信息,获取交易相关方的注册地址、办公地址、邮箱域名及 IP 地址等相关信息,并对这些信息进行地域分布分析及展示。之后,将这些信息与企业及其集团内部的其他成员信息进行对比,识别各类地址信息一致或相近的可疑交易相关方;并通过不同信息源进行整合比较,以协助投资者及投资机构了解交易发生是否存在未披露的关联方关系。
图片来源:普华永道数据分析
利用关联交易数据分析技术,可有效协助识别和核实以下 A 股 IPO 过程中的监管关注点:
- 企业是否存在蓄意舞弊行为,是否存在隐瞒的未披露关联方及相关交易
- 如果存在未披露的关联方迹象,是否对所有可能存在的舞弊迹象进行深入核实。
- 如果存在未披露关联方交易的迹象,是否对所有可能存在的舞弊迹象进行深入核实。
结语
满足监管要求,是 A 股 IPO 企业上市之路上的首要任务。企业需按照自身情 况根据监管要求进行全面核查与梳理。在满足监管要求后,同时应考虑时代大环 境所带来的市场难题与时代化变革,全方位、多角度地完善企业的信息系统架构,并提高信息系统的数据质量,在上市前做足充分准备,才能顺利进入 A 股市场,一路通关。