首先前面两期文章分别介绍拟IPO企业为什么要推进内部控制体系、以及推进内部控制体系建设整体思路，本篇文章将介绍拟IPO企业搭建内部控制体系需要覆盖的基本范围、应涉及的流程及推进过程中需注意事项。

一、基本原则要求

站在外部监管审视的视角，会通过以下“十个字”原则来评估一家企业内部控制是否有效。

（一）“有没有”原则

“有没有“原则关注企业有没有建立内部控制、内部控制是否健全，对标监管政策指引要求“发行人内部控制制度健全‘’，强调企业内部控制覆盖范围，哪些领域、哪些经济活动或业务需要建立健全内部控制。

（二）“合不合理”原则

“合不合理”原则关注拟IPO企业内部控制设计是否有效，对标监管政策指引要求“发行人内部控制能够合理保证公司运行效率、合法合规及财务报告的可靠性”，达到此项原则可并非易事，基本上将那些仅在形式上应付的一批排队上市企业一棍子打死。内部控制建设不是三两个月就能完成，也并非形式上拥有一套内控制度即可，需要企业花费一番功夫才能建立起适合企业所需要的内部控制体系。

（三）“做没做”原则

“做没做”原则关注企业内部控制是否被有效执行，对标监管政策指引要求“发行人内部控制制度健全且被有效执行”，达到此要求也并非易事，很多企业上市申报过程中因仓促建立一套内控流程及制度文件，但禁不起业务实践检验，嘴上说一套，实际执行又是另外一套，因此在一旦面临现场检查时，就会露出马脚，检查不过关，可能影响了上市进程。

二、内部控制推进的几点思考

结合本人多年项目经验心得，一家企业开展内部控制体系规范前，先要理清几个理念，而并非一上来就大张旗鼓的梳理业务流程、识别风险控制点，建立控制措施等。

一是业财信息一体化。业财信息一体化是拟上市企业实施内部控制的基本合规底线，注意不是业财融合奥，业财融合管理要求要高于业财信息一体化要求，业财融合对于很多拟IPO企业可能显得有点不够现实，因为基本会计账务处理及财务报表公允性反映都无法有效做到。财报反映企业经营活动过程和结果，拟上市企业内部控制核心是以财务报告及报表科目为导向，以合理保证企业财务信息真实性为目标，防范财报错报风险。满足该项要求，要求将财报记录的各项财务信息追溯至每一项业务经营活动流程层面，梳理业务流程中业务数据及信息传递控制要求，每项经济活动业务流程需有效连接并打通业务部门与财务会计核算部门，一般在梳理业务流程后，应上线ERP系统，ERP系统能很好解决财务会计核算基础数据生成与传递要求，规定什么时间、什么岗位、以什么形式将什么信息或数据报送财务。

二是与商业和运营模式相适应。内部控制不能脱离企业商业模式和运营模式去独立建设，企业存在的目的是追求价值实现，不能一味地以降低风险而阻碍企业效益或阻碍企业业务发展，内部控制应服务于企业战略与运营模式有效落地。早期国内很多企业开展内控体系建设时，很多直接套用财政部企业内部控制配套的18项应用指引，各项控制要求轮番上阵，基本上以做“加法”为主，很少考虑做“减法"，造成形成的企业内部控制手册或制度与企业运营实际存在较大脱节。所以，深刻理解企业的商业模式、运营模式非常关键，不同的管理和运营模式下所需构建的内部控制是有较大差异的，内部控制建设不能脱离企业运营管理模式的“魂”，否则会出现本末倒置，

三是遵循内部控制基本框架：所谓遵循内部控制框架，即企业构建内部控制体系要基本遵循内控五要素的基本理念，把内控五要素要求有效贯穿进企业业务及管理流程活动，内部控制五要素理念要与企业管理模式、运营模式相融合，合理保证企业内部控制基本完整，既满足合规性要求，又能促进企业经营管理水平提升，遵循内部控制基本框架是内部控制的“形”，不是第一位的，但也需要。

三、内部控制实施范围（一）整体控制框架

一般来说，内部控制体系需包含公司层面、业务流程层面和信息系统层面。

公司层面控制能够对组织整体内部控制具有广泛的影响，对具体业务层面和信息系统层面都能产生系统性、间接性影响，实质上可理解为内部控制五要素—控制环境内容。业务层面控制是指直接作用于生产经营业务活动的具体控制，是公司层面内部控制政策在业务层面的具体分解和落实，是最具实操性的环节。信息系统层面控制是指利用信息化、数字化技术手段将业务层面的具体控制措施进行有效落地的手段，已经成为内部控制体系中必不可少的重要组成部分。可以说不具备信息化、数字化理念与意识，很难做好企业内部控制工作了。

（二）公司层面控制范围

公司层面控制内容（内控环境）一般包括公司治理、组织架构、管理理念及企业文化、企业人力资源政策、内部监督等，具体如下图所示。

公司层面控制内容比较宏观，很重要，阅读过我的《对内部控制五要素理解认知》文章，对此就会有比较深入的理解。但公司层面控制内容也是最不好直接落实的，部分内容在实践中无法短时间内通过建章立制就能解决，如企业文化、管理层理念与哲学，比较高大上但又比较虚，摸不着看不着，无形的，只能通过感觉体验，实践中比较难以把握。但IPO类企业在发行申报前，治理结构、机构及权责分配、内部审计监督、人力资源政策等硬性要求需要满足。

（三）业务流程层面控制范围

不管是基于财报内控视角，还是基于运营管理视角，以制造行业为例（制造行业业务流程相对较为复杂），以下业务领域基本为内控建设范围，每个业务流程模块基本上都与财务会计科目相关。

首先是不管哪种类型的制造企业，产供销业务活动流程必不可少，按照业务价值链来划分，包括销售订单承接、内部供应链流程、物流发货与售后、销售收款等流程，当然并不完整，比如产品设计环节没有列上。

拟IPO企业，这些流程一定要下功夫做实，这些流程与营业收入、生产成本、往来账款、存货、现金流等核心财务指标密切相关，也是拟IPO企业被问询和审核的比较多的领域。

其次是研发管理与资产管理相关流程，在拟IPO上市审核过程中，研发费用真实性是被问询审查较多的领域，而确保研发费用真实准确性，则需企业有真实的研发活动和规范的研发业务流程来支撑。

最后是财务、人事、合同印章等职能支持流程，财务资金管理是比较重要的流程，也是被较多问询和核查的环节，资金往来的规范性、第三方回款、票据交易缺乏真实背景、现金交易、转贷等常见的财务内控不规范情况，属于必查事项。

（四）信息系统层面

信息系统控制一般涉及IT治理、信息系统开发及信息系统运维层面，当然要根据企业发展阶段，大型企业信息系统控制是比较全面的，中小型企业信息系统建制一般都不会很全面，信息系统管控基本上都以外包为主。核心是ERP系统控制，关注系统权限管理、系统数据输入、处理及输出控制，和财务信息结果直接相关。

上述公司层面控制、业务流程层面控制及信息系统层面控制具体内容并非一篇文章就能讲清楚，涉及的内容专业性较强，会交叉融合很多专业学科内容，在此不做一一赘述。

四、结论

由于国内拟IPO企业在很多方面并不成熟和规范，对于老板来说，业务发展仍旧是第一要位的，所以在推进内部控制实施方面，一开始建议不要全面铺开推行，不太容易出成效。建议遵循“先框架，守底线、再重点，逐个击破”的思路，IPO上市过程中要规范和解决的问题或事项有很多，应根据IPO上市发展规划进程制定内部控制体系建设推进时间计划，以问题为导向，明确每个阶段要解决的内控问题，以及具体工作内容安排。