上市政策再升级——聚光灯下IPO企业不容忽视的信息系统核查

2020年6月10日，证监会发布《关于发行审核业务问答部分条款调整事项的通知》，对《首发业务若干问题解答》(以下简称“《解答》”)进行了补充修订，在第53条中阐明保荐机构和申报会计师在信息系统核查方面的工作要求。

这是证监会首次通过正式文件形式明确针对首发企业的信息系统核查要求。自2017年起，证监会陆续通过反馈意见函的方式向各个信息系统高度依赖的首发企业提出信息系统专项核查要求，本次通过正式发文，取代“一事一议”方式，将信息系统核查工作正式纳入保荐机构和申报会计师的“任务清单”。

通过对近几年来监管部门在企业信息系统领域的持续关注的脉络梳理，不难发现，上市政策在升级，信息系统核查在扩围。信息系统核查所关注的不仅仅是系统本身，更是围绕着信息系统的内控体系和系统所支撑的企业核心业务、财务及运营数据。通过对监管政策变化的梳理和跟踪，企业需审慎地评估自身的现状，做好充分准备。

政策解读

为助力疫情防控和经济发展，增强资本市场服务实体经济的能力，促进企业信息披露质量提升，证监会监管不断升级，迈入资本市场的门槛逐步提升，此次证监会对于三类企业（四小类）首次公开募股上市，明确提出信息系统核查工作要求。安永协助解读证监会对于信息系统核查指导意见，以避免信息系统和数据管理缺陷阻碍企业上市进程，帮助企业更快获取进入高门槛资本市场的“通行证”。

本次证监会《解答》的第53条，可以被解读为“二层关注事项、三类发行企业、四项核查要求”。

需要进行信息系统核查的行业范围进一步扩大

鉴于证监会对4类企业业务模式的描述，“适用信息系统核查”的企业划分为三类：互联网直接开展业务的企业、信息系统高度依赖的企业以及互联网间接开展业务的企业。

因此，发行人也需要在首发上市过程中，根据自身的业务模式以及依赖信息系统的程度来考虑是否需要进行信息系统核查，并根据所属行业的核查要求和范围提前进行准备。

进一步明确了保荐机构和会计师的职责

保荐机构和申报会计师两方均需要独立地开展信息系统核查，并对于信息系统可靠性发表明确的核查意见。保荐机构和申报会计师需要有足够的权限开展核查，不局限于对信息系统中的运营数据的查询权限，还包括了对运营数据之外的与核查相关的财务数据和外部第三方平台或渠道数据的核查权限。

核查内容与范围进一步细化

1）“聚焦数据逻辑”：从 “内部逻辑一致”、“商业逻辑合理”、“外部信息匹配”三个层面开展数据逻辑分析，以核查企业业务和财务信息的完整性、准确性和真实性；

2）“关注用户真实”：从“用户获取”、“用户注册”、“用户行为”、“用户消费”四个维度，通过数据逻辑分析和用户真实性分析，验证企业收入的真实性。

3）明确需要纳入核查范围的运营数据类别更加丰富，包括经营和财务数据，各类用户数据、行为数据、IDC及带宽等费用数据以及获客渠道数据等；

4）针对直接向用户收取费用、主要通过展示或用户点击转化收入等不同类型的行业及相关企业，明确了信息系统核查的侧重点和要求，包括经营数据被篡改的风险，存量用户和新增用户的真实性和变动合理性，重点用户的充值和消费以及重点产品消费或销售的合理性、自充值和刷单情况等；

5）针对发行人的主要经营活动并非直接通过互联网开展，但其客户主要通过互联网销售发行人产品或服务的此类企业，不仅需要关注发行人本身的运营数据，还需要考虑发行人下游客户所对应的互联网终端客户的真实性和合理性。

因此，发行人也需要根据自身所属的行业类型，结合《解答》中所明确的相应行业的核查内容和范围，提前梳理各类运营数据和财务数据是否充分，以及该等数据在所覆盖的时间期间和数据颗粒度等方面是否合理和充分，并需向核查团队开放足够的数据访问权限，以满足信息系统核查需求。

明确了对于无法充分核查的处理原则

因核查范围受限、历史数据丢失、信息系统缺陷、涉及商业秘密等各种原因造成的全部或部分运营数据无法获取的情况，均被纳入了“无法充分核查”的范围之内。

对此，保荐机构和申报会计师不仅需要评估和说明该等运营数据缺失是否存在异常，并就信息系统可靠性审慎发表核查意见，还要进一步就运营数据缺失对于上市是否构成实质性障碍发表核查意见。因此，运营数据缺失对于上市所可能产生的负面影响进一步增加。

因此，发行人需要根据自身所属行业的核查内容和范围，充分考虑运营数据的完整性和可获得性，以及全部或部分运营数据无法获取对于上市进程可能产生的不利影响。

基于IPO申报至少需要追溯过往三年的数据，甚至一些累计的数据需要从发行人企业创立开始统计，除了需要在申报过程中应对信息系统核查做好充足的基础数据质量准备，例如早期的数据恢复备查、整理核心业务数据中间表等，发行人更应当在日常工作中注重数据治理，确保核心业务数据准确、完整地存储，避免因数据无法全面提供而出现无法配合全面核查信息系统的情况。

企业应对核查的难点及安永的核查方案

通过对《解答》的深入研究，我们梳理出企业应对信息系统核查中的四大难点以及安永针对性的核查方案。

难点一：对运营及财务数据提供良好的信息系统内控环境

《解答》明确要求进行信息系统内控的核查，以评估对财务数据的影响。运营及财务数据的来源均为互联网在线信息系统，企业对信息系统控制的水平高低、效果好坏是企业在资本市场站稳脚跟的重要评判标准。

安永结合国际通用的业内标准和各地区面临的合规要求，重点关注核心业务系统及财务相关系统的信息系统内部控制，进行全面评估，以评估信息系统、应用控制及系统所生成的业务数据的可依赖程度。

难点二：企业基础数据质量过关，不因数据缺失导致重大影响

数据质量高低是进行进一步数据分析的基础，只有企业本身的数据质量过关才能进行准确有效的深入分析。根据《解答》要求，如果企业的数据丢失、数据质量缺陷等造成无法进行充分信息系统核查的，可能构成本次发行上市的实质性障碍。这就要求企业建立并加强日常数据质量管控的有效机制。

安永信息系统核查团队从基础数据入库开始追踪，梳理数据库表结构，设立检查阈值，并执行多层次的数据质量评估，包括业业核对及业财核对，数据合理性检查，评估是否存在数据篡改风险等，排查业务数据的可用性。

数据质量的检查旨在简明高效，快速确定是否可进行进一步数据披露和用户行为分析，检查程序，例如流水数据与结存数据差异比较、多表单用户行为数据逻辑比较、基础表单数据量波动异常检查、第三方数据差异比对等等。

难点三：运营数据的披露质量过关

披露各类运营指标一向是企业IPO申报过程中的重中之重。《解答》也列举了一些：新增用户的地域分布与数量、留存用户的数量、活跃用户数量等等。

安永对披露数据的核验以风险为导向，从数据源出发，追溯到原始数据的生成、传输和储存，并对数据库血缘管理进行梳理，明确每一个指标的数据来源合理。确保数据源有据可循之后，我们进一步根据披露数据的口径要求，对指标的取数逻辑进行验证，确保披露数据是通过准确、完整的计算规则得到的。

安永通过多维度数据分析，从核心财务和业务指标出发，对相关指标进行梳理，并识别各指标高风险的造假舞弊领域，设计针对性的核查程序并执行严格的分析检查。

难点四：异常用户群体及交易的准确定位

监管机构最关心的是企业的业务数据和财务数据是否真实，本次的《解答》也专门做了强调说明，增加了对重点产品、重点用户、僵尸用户等的核查要求。企业对于异常用户和交易的准确定位也将决定能否跨过上市过程中的关键性门槛。

我们采用了普遍适用的用于分析面向C端用户的互联网产品的一些分析模型（如：AARRR等），设计了针对性的分析程序贯穿于整个用户行为分析模型中的用户获取、用户激活、用户留存以及用户付费这四个层面，系统性、全视角地实现对企业的运营指标、健康度及用户行为的分析。

结语

监管政策的升级远未到终点，或者还仅仅是个开端，包括适用的行业范围、核查的标准以及关注点等都将会持续迭代扩围。证监会的信息系统核查要求的出台，明确了需要开展专项核查的企业类型，强调了企业必须配合的事项以及核查机构的责任，对于特定企业信息披露真实性予以了充分的重视，旨在于首发申请过程中有效识别企业内部虚假或异常的经营数据，确保拟上市企业，特别是互联网企业或高度依赖信息系统的企业的收入和用户的真实性，促进企业信息披露质量提升，进一步提高资本市场服务实体经济的能力。

因此，企业还需要以发展的眼光审视自身的业务拓展，提前开展信息系统内控摸底排查或质量检查，确保业务、财务、运营数据的真实性、准确性、完整性、合理性，避免重要数据缺失等信息系统内控相关问题影响上市进程。

安永持续关注互联网行业信息系统核查监管政策趋势发展，基于自身丰富的TMT行业审计咨询经验，成功开发了成熟的信息系统核查方法论以及系统支撑工具，组建了强大的核查团队，沉淀了包括游戏、电商、直播、广告、教育、医疗、云计算、大数据、AI、SaaS等多个行业的核查方案和框架，为发行人保荐机构和申报会计师提供有力的支撑，持续提供行业洞察，推动行业健康发展。

*以上内容转载自“安永EY”，仅作学习、分享与交流之用