企业首发阶段信息系统专项核查如何进行？

随着企业信息化浪潮的不断推进，越来越多的企业走进了数字化时代。在首次公开发行业务中出现了越来越多通过互联网直接或间接展开业务且高度依赖信息系统的企业。自2020年6月证监会修订了《首发业务若干问题解答》后，信息系统专项核查正在成为一种趋势。我们希望能通过本篇简短通讯，与您一起回顾监管要求，助力首发业务。

A股首次公开发行阶段信息系统专项核查的背景回顾

• 首版发行：2019年3月25日，证监会发行监管部发布“关于发布《首发业务若干问题解答》的通知”，首次对首发申请人具有共性的法律问题与财务会计问题进行解答，业内称“IPO50条”。
• 补充修订：2020年6月10日，证监会发行监管部发布“关于发行审核业务问答部分条款调整事项的通知”，在总结过去一年多运行经验和充分听取市场机构意见的基础上，对《首发业务若干问题解答》部分条款进行了补充完善和修订，新增5条，删除1条，业内称“IPO54条”。其中新增的第53问，明确提出特定类型的申请首发企业，保荐机构和申报会计师应对信息系统可靠性分别进行专项核查并发表明确核查意见。

哪些企业类型需要进行信息系统专项核查？

企业类型1：发行人业务主要通过互联网开展，例如互联网销售、信息服务、游戏、广告服务等。报告期任意一期通过互联网取得的营业收入占比或毛利占比超过30%。

企业类型2：发行人日常经营活动高度依赖信息系统。

企业类型3：发行人主要经营活动并非直接通过互联网开展，但其客户主要通过互联网销售发行人产品或服务，如发行人该类业务营业收入占比或毛利占比超过30%。

监管的核查要求包括哪些？

证监会发布的《首发业务若干问题解答（2020年6月修订）》里，对上述3类情况，在问题53的解答中向保荐机构和申报会计师提出以下具体核查要求：

企业类型1：

对于直接向用户收取费用的企业，如互联网线上销售、互联网信息服务、互联网游戏等，保荐机构和申报会计师的核查应包括但不限于以下方面：

• 经营数据的完整性和准确性，是否存在被篡改的风险，与财务数据是否一致；
• 用户真实性与变动合理性，包括新增用户的地域分布与数量、留存用户的数量、活跃用户数量、月活用户数量、单次访问时长与访问时间段等，系统数据与第三方统计平台数据是否一致；
• 用户行为核查，包括但不限于登录IP或MAC地址信息、充值与消费的情况、重点产品消费或销售情况、僵尸用户情况等，用户充值、消耗或消费的时间分布是否合理，重点用户充值或消费是否合理；
• 系统收款或交易金额与第三方支付渠道交易金额是否一致，是否存在自充值或刷单情况；
• 平均用户收入、平均付费用户收入等数值的变动趋势是否合理；
• 业务系统记录与计算虚拟钱包（如有）的充值、消费数据是否准确；
• 互联网数据中心（IDC）或带宽费用的核查情况
• 获客成本、获客渠道是否合理，变动是否存在异常。

对用户消费占整体收入比较低，主要通过展示或用户点击转化收入的企业，如用户点击广告后向广告主或广告代理商收取费用的企业，保荐机构和会计师的核查应包括但不限于以下方面：

• 经营数据的完整性和准确性，是否存在被篡改的风险，与财务数据是否一致；
• 不同平台用户占比是否符合商业逻辑与产品定位；
• 推广投入效果情况，获客成本是否合理；
• 用户行为真实性核查，应用软件的下载或激活的用户数量、新增和活跃的用户是否真实，是否存在购买虚假用户流量或虚构流量情况；
• 广告投放的真实性，是否存在与广告商串通进行虚假交易；
• 用户的广告浏览行为是否存在明显异常。

企业类型2：

发行人日常经营活动高度依赖信息系统的，保荐机构和申报会计师应参照企业类型1的内容对信息系统可靠性进行专项核查。

企业类型3：

发行人主要经营活动并非直接通过互联网开展，但其客户主要通过互联网销售发行人产品或服务，如发行人该类业务营业收入占比或毛利占比超过30%，保荐机构和申报会计师应核查：

• 该类客户向发行人传输交易信息、相关数据的方式、内容，并以可靠方式从发行人获取该等数据，核查该等数据与发行人销售、物流等数据是否存在差异，互联网终端客户情况（如消费者数量、集中度、地域分布、消费频率、单次消费金额分布等）是否存在异常。

德勤对信息系统专项核查的理解和应对之道

通过上述监管细则，我们已经可以清晰地看出，监管对数字化时代下发行人的信息系统可靠性，数据的真实性进行重点关注，信息系统已经成为发行人和中介机构在上市前需要重点考虑的因素。德勤通过长期为不同类型企业提供信息系统及相关数据资产的鉴证服务，积累了丰富的实践经验。我们持续关注市场及监管趋势的发展，并拥有成熟的方法论以及经验丰富的项目团队，囊括了游戏，教育，直播，电商，广告，互联网金融等不同领域。我们已为众多中介机构在该阶段提供信息系统专项核查服务。

德勤的应对之道主要分为两步，包括：信息系统内控评估，关键业务数据评估。

信息系统内控评估：这部分又分为信息系统一般控制和信息系统应用控制，我们将基于国内五部委针对上市公司内控建设联合发布的《企业内部控制基本规范》，同时结合当前国际主流的内控或IT框架（例如：COSO, COBIT等），梳理建议的信息系统一般控制评估范围，主要包括企业层面控制，访问安全管理，系统变更管理，运行与维护管理，数据中心及网络管理。在信息系统应用控制部分，我们将在了解企业业务和信息系统环境的基础上，梳理建议的系统自动控制或接口测试。内控的评估有助于提高组织所依赖的信息系统可靠性、稳定性。

关键业务数据评估：这部分是核查的重中之重，根据德勤在A股IPO项目中的经验，A股发行人大多会因为业务发展迅速、数据大规模增长、系统内控不健全、人员执行不到位等因素，面临业务数据质量、财务数据可靠性等风险，这些领域也成为当今监管的关注领域。我们将通过计算机辅助审计技术（CAATs）和数据分析（DA）等方式，结合监管要求和保荐机构需求，多维度评估业务数据，助力企业IPO进程，典型的程序包括：企业业财数据一致性核对，企业订单收入与第三方收款流水一致性核对，业务数据分布分析，终端用户行为分析等。

基于上述的工作内容，我们将为中介机构出具信息系统内部控制及业务数据检查报告，协助中介机构了解和评估发行人的信息系统和数据状态。

结束语

众所周知，当下监管的风格日趋严格，对发行人的质量要求和中介机构的执业要求都在不断提高。对于拟IPO的上述适用企业，应当将IT提升到重点关注的领域，提前做好IT方面的合规建设。对于中介机构，应当及早关注发行人信息系统专项核查的适用性，提前规划IPO时间进程。

德勤持续关注首发业务中针对IT合规的监管要求和动向，同时作为最大的专业服务机构，我们一直以高效且卓越的服务，为合作伙伴提供合适且清晰的解决方案，共同为国内资本市场的健康发展添砖加瓦，创造不凡。