近日,国务院发布《关于进一步提高上市公司质量的意见》国发[2020]14号,其中把规范公司治理和内部控制放在首要位置,明确指出严格执行上市公司内控制度,加快推行内控规范体系,提升内控有效性,强化上市公司治理底线要求,倡导最佳实践,强调提升信息披露质量等。《意见》为监管明确了风向标,拟上市企业需敏锐洞察监管重点,秉持尊重和敬畏,脚踏实地,严谨务实,注重细节的抓好内控工作。
随着2019年科创板开板并推行注册制,以及2020年创业板开展注册制改革,A股整体市场前景可观。从A股各板块近两年企业申报情况来看,均呈增长态势,同时有望吸引体量更大的海外中概股及独角兽企业上市。在活跃的A股市场背后,随着科创板和创业板注册制的推进,凸显出监管对企业信息披露为核心的理念以及强调合规披露、规范运营的趋势逐步加强;可见财务门槛有所降低,但非财务领域要求趋严,因此企业如何顺应监管的这一趋势要求是企业需面临的一道难题。本文将从内控角度帮助企业分析在当前趋势下,A股IPO过程中应如何顺应监管趋势,满足监管要求,增强上市信心和加快成功上市的步伐。如果将从前仅关注以财务报告相关内控的方法视为1.0版本,本文将介绍2.0版本以启发企业对兼顾合规运营的思考。2.0版本还将介绍到数据分析工具在内控合规领域的具体应用,以期A股IPO企业能更好处理和顺应时代化变革,在上市前做足充分准备,顺利进入A股市场,一路通关。
A股IPO的内控底线要求
证监会《首次公开发行股票并上市管理办法》第十七条规定发行人的内部控制制度健全且被有效执行,能够合理保证财务报告的可靠性、生产经营的合法性、营业效率与效果;第二十条规定发行人的内部控制在所有重大方面是有效的,并由注册会计师出具无保留结论的内部控制鉴证报告。
同时,从IPO内控审核重点以及内控1.0时代内控体系建设重点关注领域来看,主要包括:
公司治理结构(如董事会等)是否健全、完备;
对多家子公司的管理,如授权、审批、备案、汇报等事项的规定;
公司三道防线的建立是否完备且落地实施;
管理制度是否健全、具有可操作性并具有完善的制定、审批、发布、更新等机制;
同时监管对内控审查范围还包括但不限于资金安全、关联方管理与利益输送问题、收入确认与收入真实性、成本核算准确性、费用跨期确认等。
在内控1.0时代,上述提及的底线要求相信不管是企业还是上市辅导机构均会重点着力。然而不管从近两年A股IPO被否情况来看,还是从本文最初分析的监管趋势来看,内控1.0必须升级迭代以应对监管趋势。
内控1.0加速升级的必要性
在注册制政策利好的形势下,中国企业背靠中国资本市场良好的融资环境,迎来发展的好时机,近两年来IPO企业被否率(取消审核)较之前年度有所降低。然而通过分析近两年IPO被否原因,合规运营及数据披露不充分占到了所有被否原因的三成以上。由此可见,内控1.0时代的传统内控方法亟待升级以增强企业上市的底气,进而增加成功通关的砝码。本文介绍的内控2.0即在1.0的基础上兼顾合规运营及数据分析工具的运用以增加数据披露的充分性。
内控2.0在不同行业中的应用
医疗医药行业
科创板的开板吸引了大量医疗医药企业赴A股上市。根据普华永道多年服务医疗医药行业经验,我们认为医疗医药行业企业A股上市准备阶段主要存在几个重要合规关注点,包括是否涉及商业贿赂、舞弊问题;对企业产品质量是否进行了严格监管;企业医药产品是否具有核心竞争力;广告宣传问题等。在申报IPO的医药企业如果在报告期内出现因产品质量问题,受到有关药品监管部门的行政处罚或媒体报道、销售者关注等情况时,将会重点关注其产品质量问题,如发行人故意隐瞒或不如实披露相关信息,往往会被否不予通过。监管机构除了审核企业过往研发的产品其功能和疗效是否具有独家性和排他性,自主研发的新药一般需要投入大量研发时间和费用,监管机构也会要求发行人针对新药披露研发细节(如实验室数据的真实性)、资质认证等。
以下我们将具体分析几种医疗医药行业运营合规风险及应对措施。
业务运营合规风险
全球企业目前越来越依赖于成百上千的第三方供应商、承包商,以及支持业务运营和达成战略目标的相关系统。医疗行业企业在业务运营中依赖供应商为其提供产品原料、业务数据采集和系统支持。同时,结合医疗医药行业固有特点,在业务运营中还面临商业贿赂和费用真实性风险,因此医疗医药行业企业应该在上市准备的较早阶段充分考虑合规各个领域问题。
根据我们的经验,医疗医药行业业务运营合规风险主要包括:
供应商与企业存在未披露的关联关系;
供应商不符合相关资质要求或其产品质量无法保证,并未经恰当准入;
员工与供应商人员勾结舞弊;
不合规及不合理的费用。
普华永道在过往协助多家企业完善内控机制的过程中,对于医疗行业的相关风险具有充足的可解决问题的实践经验,基于我们的经验,企业可以考虑从下列方面入手应对业务运营合规风险:
加强对企业管理层的合规指导:提高公司高级管理层的合规观念,明确管理层的合规责任是提高业务运营合规性的基础保障和核心要素,奠定管理层合规基调;
定期开展宣贯、构建合规文化:通过“阳光申报”、合规宣贯等手段,向供应商、公司员工进行反舞弊及反贪腐宣贯,构建独立、严格的内部合规监管体系,严格查处各类内部违规事项,在企业内部构建合规文化;
利用技术手段、推动合规监管:将企业业务运营管理流程(包括销售流程、报销流程)线上化,利用技术工具实现月度、季度监控,识别异常;
加强企业供应商管理:制定严格的供应商准入流程及准入标准,其中明确规定:供应商资质审核流程、供应商资料审核材料、供应商资质要求等;执行定期供应商全量审阅,指派独立部门/岗位定期执行供应商全量审阅,重新审查供应商资质、合作记录、费用等;
加强销售费用管理控制:严格执行不相容岗位相分离的原则,加大对大额费用和假发票的核查力度;
引入专业独立第三方服务机构:执行供应商费用审查、趋势分析等,识别异常供应商;执行活动监察及费用审查:包括会前审查、会中监督、会后稽核、定期分析,识别运营活动风险。
运营数据合规风险
实验室数据是医疗企业研发及生产的核心数据,是支持企业运作的基础支柱。公司实验室数据造假会对企业业务运营造成毁灭性的打击。
实验室数据合规风险包括下列内容:
实验室数据客观性不足;
企业未形成完整SOP体系;
实验室数据披露不足;
实验室数据存在误导性;
实验室数据无法支持业务解析材料;
运营报告中列示的指标无法追溯至实验室数据,或通过不同系统中统计的指标相互不吻合;
实验室数据造假。
企业可以考虑从下列方面入手应对实验室数据合规风险:
制定完善的企业SOP管理标准;
定期审阅、梳理、评估、完善企业SOP管理标准;
制定并切实落实实验室操作质控指标的可靠性标准;
建立销售订单、检测报告、收入确认的数据联系,确保运营报告中列示的指标可以追溯至实验室数据;
引入第三方专业机构执行尽职调查,编写《实验室数据审阅报告》,投资者更好的了解发行人实际运营状况;
制定并切实落实实验室数据完整性及准确性相关规则;
为实验室数据录入、存储系统制定强控制,确保数据存储系统安全,确保数据不被篡改。
互联网行业
互联网企业包括互联网电商、互联网金融、互联网教育、互联网医疗等不同类型的企业。随着A股注册制改革不断推进,互联网企业IPO上市仍持续增长。不同类型的互联网企业需关注各自合规风险外,还应关注广告法、网络安全法以及个人信息安全规范等相关要求。而针对互联网企业运营特点,在IPO中业绩真实性等信息披露问题日益凸显,诸如用户造假、内部刷单等问题不断被爆出,单纯的财务审计或传统内控1.0已无法满足监管机构的要求。普华永道结合互联网行业特点,介绍利用数据分析工具以识别业绩造假的领域,以帮助企业弥补控制漏洞,防范此类风险。
以下以互联网教育企业为例,介绍影响其业绩真实性的风险及如何应用数据分析工具进行识别。
互联网教育企业运营模式主要包括直播、录播、题库等,影响企业核心业务的指标有MAU、DAU、用户转化率、用户留存率等。该行业被关注的重点领域包括与供应商合谋、内部员工人为通过“刷单”伪造合同文件等行为提升业绩、尽可能降低退费率等,往往包括个人牟利行为,也包括集体舞弊行为:
因订单数额影响销售人员绩效,销售人员通过虚假订单提升个人业绩;
存在教育机构增设“诱导性刷单政策”,即退费也可计入月度业绩、延长退费期限,这在政策上为虚增业绩行为大开方便之门。这些行为,使销售人员从虚假订单处获取高额提成、企业拿到高增长、低退费率的业绩数据;
教育企业趋向寻求与金融机构合作推出教育分期产品,并推出免息、免服务费的优惠服务。此类合作为“刷单”行为提供了一批具有消费能力的用户,免息、免服务费的优惠,也让“刷单”成本趋近于零,使部分机构得以实现大规模刷单。
针对潜在问题领域及表现,以下两种数据分析方法能识别问题及内控漏洞,为完善控制明确方向。
方法一:基于数据分析的销售订单审阅
应用场景:由于谋求个人业绩等动因,存在虚增收入的情况。可能存在通过批量“刷单”、伪造订单及合同文件方式激增业绩的情况。这不仅违背了行业准则,影响财务数据真实性,也为企业未来发展埋下巨大隐患。为有效识别、规避相关风险,通过利用数据分析工具、数据挖掘手段对销售与收款流程中的关键环节数据进行统计与分析,重点关注以下方面:
方法二:数据分析与数据挖掘
数据挖掘可以通过类似下方图形的形式展现一条记录从头到尾的“行动过程”,从而通过特定的维度/因素/指标等识别异常。
应用场景:识别刷单、跳单、虚构订单等情况。
数据分析可以利用系统数据进行趋势、变化等可视化分析,直观展现多维度的数据情况。同时还可以对业务数据指标进行单点数据趋势以及交叉数据趋势分析。
应用场景:
异常销售趋势;
单个用户大额购买课程;
逾期应收账款显著增加;
短期内出现大量新客户/新订单;
在线课程数、新增用户数、活跃用户数;
付费用户数、用户听课时长、点击课程次数;
付费金额、直播讲师在线时长等;
推广活动时间轴以及节假日等季节性要素与异常数据出现的时间节点进行匹配分析等。
给拟上市企业的建议
总体来说,未来内部控制仍将是拟上市企业重点关注的重要领域,拟上市企业在做好内控1.0各项工作的基础上,结合行业特点应考虑升级至内控2.0版本。以下总结了几点建议供拟上市企业参考:
上市程序极具挑战,需要很大程度的投入并按既定时间逐步完成工作。拟上市企业应在恰当且尽早的时间着手准备,在首次上市过程中规划好每个阶段的工作,建立符合自身行业特点的内控合规体系,不要让内控和合规成为公司上市途中的绊脚石,早做诊断,尽早整改。
信息系统不仅应用于财务报表领域还渗透到企业业务的方方面面。证监会于2020年6月对《首发业务若干问题解答》进行了第二次修订,尤其是第53条中明确了对系统和数据的核查要求,拟上市企业需尽早对系统和数据梳理清楚,进一步关注自身系统的可靠性以及数据的完整、准确性。
拟上市企业在准备上市的过程中,需兼顾运营数据合规,利用数据分析工具,将内控与数据分析相结合,提升利用数据的程度,从而帮助企业经营决策。
拟上市企业考虑行业有关特别风险的同时,还应重点关注自身关联交易、合规经营、资金安全等领域风险;加强内控制度建设,确保执行的有据可依;同时加强内部监督,保障内控体系的有效运行。从而建立既满足监管要求又适用于自身行业特点的内控合规体系。
同时,企业应重视公司三道防线的建设,并充分考虑与公司治理的承接关系,在建立良好内控体系过程中,考虑事前、事中、事后相关控制的建立。
拟上市企业除了要满足内控1.0关注的监管要求外,需洞察监管趋势,转变传统思维。面对近日国务院发布的《关于进一步提高上市公司质量的意见》,拟上市企业应重视《意见》中强调的领域,如加强对资产占用、违规担保问题的管理和监督;加强企业信息披露质量;强化应对重大突发事件的能力,完善危机管理体系等。从而时刻洞察监管热点和重点,识别企业潜在风险和安全底线,巩固好内控基础,提高公司质量。
