2008年，五部委发布了《企业内部控制基本规范》，定义内部控制目标为：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。

经历了十多年的项目经验后，我们认为内部控制的五目标各有其特点，必须采用不同的内控建设方式才能真正将内控五目标落地。

而且对于企业来说，内控五目标并不需要一蹴而就。企业处于不同发展阶段，可以选择其中某个目标先开展建设，待条件成熟后再开展其他内控目标的建设，分阶段迭代完善自身的内控体系。

一、IPO内控建设范围

证监会对上市公司以及IPO企业的监管是以信息披露为核心的，只要企业信息披露真实完整准确，剩下的就交给投资者自己去判断和决策。如下图所示，证监会在日常监管中更多关注的是企业的财报目标，以及对财报目标有密切影响的合规目标，如不合规的质量管理潜在可能造成的诉讼赔偿损失等。

近年的监管文件和内部控制基本规范立法说明充分佐证了这个观点。

第十一条 发行人会计基础工作规范，财务报表的编制和披露符合企业会计准则和相关信息披露规则的规定，在所有重大方面公允地反映了发行人的财务状况、经营成果和现金流量，最近三年财务会计报告由注册会计师出具无保留意见的审计报告。发行人内部控制制度健全且被有效执行，能够合理保证公司运行效率、合法合规和财务报告的可靠性，并由注册会计师出具无保留结论的内部控制鉴证报告。

证监会第205号令《首次公开发行股票注册管理办法》

发行人申请上市成为公众公司，需要建立、完善并严格实施相关财务内部控制制度，保护中小投资者合法权益，在财务内控方面存在不规范情形的，应通过中介机构上市辅导完成整改和建立健全相关内控制度，从内控制度上禁止相关不规范情形的持续发生。

监管规则适用指引——发行类第五号

上市公司作为第一责任人，要确保财务报告内部控制有效实施。

财会〔2022〕8号《关于进一步提升上市公司财务报告内部控制有效性的通知》

企业的经营管理活动，归根结底要通过财务报告来反映，抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体。

《 企业内部控制基本规范》起草说明

由于与财务报告相关部分以外的控制执行效果难以有效衡量，内控运行最直接的体现是提高公司对外提供财务信息的真实性、可靠性及增加信息披露的透明度。

证监会纪委书记李小雪在《内部控制配套指引》发布会的讲话

因此，IPO内控建设并不会覆盖企业的所有业务领域和所有内控建设目标，而是聚焦于财务报告这个单一的内控目标。

二、IPO内控建设方式

很多IPO企业的财务核算都是以发票为核心的，既不是完全的权责发生制、也不是纯粹的收付实现制；另外就是各种业务单据缺失比较严重，导致审计师无法出具审计报告。

IPO内控建设从识别法定披露要求开始，确定影响披露的业务流程及相关报表认定，评估业务流程中的固有风险，以及评价企业现有的控制措施是否能够降低这些固有风险，以形成流程和表单的优化建议（核算所需的业务数据在哪些业务流程产生，通过哪些表单来归集、加工、传递这些数据），见下图所示。

所以说，IPO内控建设是要解决最基础的业财联动问题，即从法定披露要求出发，识别潜在的错报风险，并从流程优化的角度来防止或降低这些错报风险，保证未来财报审计时能够向审计师提供完整的业务证据链。

（一）确定财报披露要求

企业法定财报披露要求受多种因素的影响和约束，比如国家统一的会计政策和企业会计准则、企业自身的会计政策、国资年报和快报、招股说明书和上市公司年报等。

我们还跟踪和建立了IPO企业的内控问询问题库和上市公司内控非标意见库（见下图）等数据库，可以从监管视角和审计师行业视角去观察对特定内控问题的疑虑和解决方案，能够更快速、更全面地梳理和识别企业面临的特定披露要求和错报风险。

比如，《上市公司信息披露编报规则第15号——财务报告的一般规定》要求上市公司按行业、产品、地区、销售模式和客户披露营业收入。这个对于收入科目的披露和揭示要求，需要我们考虑未来在销售业务流程中考虑如何取得行业、产品、地区、销售模式和客户等维度的信息。

（二）设计控制措施

控制措施不是越多多好，也不是越少越少；如何恰到好处地设计必要的控制措施是IPO内控建设项目的成功关键。

我们结合过往的项目经验和历年IPO企业询问回复意见，建立了IPO内部控制措施的数据库（如下图所示）。通过数据库查询和企业个性化诊断，可以更快帮助企业建立覆盖全面、控制有度的财务报告内部控制体系。

三、IPO内控建设成果

（一）IPO内控建设标配成果

IPO内控建设主要成果是流程文档、流程图和权限表。

流程文档用5W1H的方式（由谁，在什么时间，什么地点做什么事情，具体怎么做，为什么做以及做完之后在哪个单据上留痕），按流程环节对业务操作过程进行详细说明并嵌入相应的内控措施。此外，对于中小企IPO企业来说，将流程流转中使用的各类表单进行固化也是重要的内容。

IPO内控流程文档的特点是“细”，解决的是流程操作层面的“标准动作”问题。检验是否足够“细”的标准就是换个新人是否可以照着流程文档去执行流程。那些看起来换个公司抬头似乎就可以适用于其他企业的流程文档，在落地的时候会遇到很大的挑战。

流程框架设计中最大的挑战是如何平衡和设计职能流程和端到端流程的关系。我们通过在流程框架设计中引入矩阵式思维和业务对象概念很好地解决了这个难题。

流程图和权限表则是为了让使用者能快速了解和掌握业务流程的概貌。

（二）IPO内控建设可选成果

1、财务核算手册

财务核算手册包括企业个性化的会计政策，以及按业务循环，明确企业财务核算的方式、科目和辅助核算的使用、报表列报等内容，推进企业实现法定披露口径的财务核算标准化，为后续经营管理分析口径的财务核算标准化奠定基础。

2、信息系统改造方案

在IPO内控标准成果里我们会提供流程表单。但是，流程表单如果要在信息系统里落地，必须解决表单数据结构化和自动化的问题。

数据结构化简单来说，就是尽可能减少表单中纯文本字段，而是要用下拉框、复选框、时间框等字段来限制输入和输出的内容。

虽然现在AI智能技术已经有了很大的发展，但是企业内部大量的信息系统还是只能高效地处理结构化数据，比如，在大多数信息系统里全角和半角的括号是两个完全不同的内容。纯文本字段内容会因为填写人员不同而千奇百怪，因此，如果企业信息化上线只是把线下表格搬到线上，存在大量的纯文本输入内容，信息系统里会存在大量的无效数据。

数据自动化就是尽可能减少业务人员的输入工作量，通过表单之间数据引用，公式自动计算等方式，尽可能发挥信息系统的自动化功能。

此外，基于信息系统的数据库，可以通过流程自动化和数据校验在降低错报风险的同时减少控制措施，比如三单匹配是传统采购流程中的重要控制措施，确保采购金额的准确性；在系统条件下，通过合同关联至采购申请、采购入库单关联至采购合同、发票关联至采购入库单，并且各环节通过数据校验确保本环节的数据不超前一环节就可以取消采购付款前进行独立的三单匹配活动这一控制点，但又能确保采购金额的准确性。

我们提供的信息化改造方案就是对表单的各字段进行定义（如下图所示），明确使用控件类型、取数方式、数据质量规则、校验规则以及对应的流程审核和流转的触发规则等。系统实施方能根据改造方案快速进行系统配置和二次开发。

四、IPO企业内控的未来优化路径

我们把IPO内控称为业财融合1.0和内控体系1.0。我们可以从两个路径持续为IPO企业提供优化服务方案，伴随企业的成长。

（一）路径一：业财融合路径

IPO内控解决了五目标中的“财务报告及相关信息真实完整”目标，从法定披露的的角度实现了初步的业财融合。业财融通路径考虑进一步深化业财融合和实现管财融合。

2013年，COSO最新版的《内部控制――整合框架》将原“财务报告目标”升级为了“报告目标”。内部控制不仅仅要合理保证企业财务报告的真实完整和准确；还要进一步提升内部管理报告的质量。

财务核算标准化是基于法定披露和管理披露的需要，建立标准化的核算科目和辅助核算体系，定义财务主数据和参考数据，建立基于业务场景的核算规则，实现核算智能化，以及法报和管报的自动化；是企业财务数字化转型的底盘，是建设财务共享中心的核心基础工作。

传统的以ERP为代表的业务系统生产了大量业务数据；如何将这些金砂（数据）加工为信息，提炼为黄金（情报），为管理决策提供支持是财务数字化转型的根本目标和业务实质。多维经营分析基于面向公司治理层、管理层和运营层的指标体系，构建分析报表体系，通过数据的下钻分析各种管理问题的根原因，引导业务改善和提升管理精细化水平。

成本精益管理不仅仅限于成本管理，而是需要考虑研发管理、产品管理、销售管理和采购管理等众多业务领域的综合性问题。生产和服务提供领域只能决定20%的成本因素，剩下80%的成本决定因素在研发、产品管理等业务源头。

（二）路径二：风险内控路径

IPO内控完全解决了财务报告目标，以及解决了部分与财务报告目标直接相关的合规目标和资产安全目标；但IPO内控对于经营目标和战略目标则是完全没有涉及的。

2019年，国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规【2019】101号，简称“101号文”）。101号文契合党的十九届四中全会关于大力加强国资国企制度建设的新部署新要求，也是确保各项国资国企改革措施顺利并有效落地的重要保障；为加快建立与世界一流企业相适应、相匹配的内部管控机制，推动中央企业高质量发展，推进国企治理体系和治理能力现代化提供制度保障。

此外，101号文打破了原先风险管理（战略目标）、内部控制（经营目标）和合规管理（合规目标）三足鼎立的局面，要求建立三合一的大风控体系。但从最近几年的实务情况来看，很多企业的三合一体系融合工作推进并不理想。

我们理解造成这种局面的根本原因，在于没有完全理解和区分风险管理、内部控制和合规管理的内容和实质。

风控合规体系要为管理创造价值，必须回归目标导向、风险导向的基本逻辑，从企业指标体系出发，围绕具体管理目标分析风险，并通过流程优化来实现防风险，强管理。来源：互联网