5-13 通过互联网开展业务相关信息系统核查
5-14 信息系统专项核查
5-13 通过互联网开展业务相关信息系统核查
部分发行人,如电商、互联网信息服务、互联网营销企业等,其业务主要通过互联网开展。此类企业,报告期任意一期通过互联网取得的营业收入占比或毛利占比超过30%,原则上,保荐机构及申报会计师应对该类企业通过互联网开展业务的信息系统可靠性分别进行专项核查并发表明确核查意见。
发行人应向保荐机构及申报会计师完整提供报告期应用的信息系统情况,包括系统名称、开发人、基本架构、主要功能、应用方式、各层级数据浏览或修改权限等;应向保荐机构及申报会计师核查信息系统数据开放足够权限,为其核查信息系统提供充分条件。
1.对于直接向用户收取费用的此类企业,如互联网线上销售、互联网信息服务、互联网游戏等,保荐机构及申报会计师的核查应包括但不限于以下方面:①经营数据的完整性和准确性,是否存在被篡改的风险,与财务数据是否一致;②用户真实性与变动合理性,包括新增用户的地域分布与数量、留存用户的数量、活跃用户数量、月活用户数量、单次访问时长与访问时间段等,系统数据与第三方统计平台数据是否一致;③用户行为核查,包括但不限于登录IP或MAC地址信息、充值与消费的情况、重点产品消费或销售情况、僵尸用户情况等,用户充值、消耗或消费的时间分布是否合理,重点用户充值或消费是否合理;④系统收款或交易金额与第三方支付渠道交易金额是否一致,是否存在自充值或刷单情况;⑤平均用户收入、平均付费用户收入等数值的变动趋势是否合理;⑥业务系统记录与计算虚拟钱包(如有)的充值、消费数据是否准确;⑦互联网数据中心(IDC)或带宽费用的核查情况,与访问量是否匹配;⑧获客成本、获客渠道是否合理,变动是否存在异常。
2.对用户消费占整体收入比较低,主要通过展示或用户点击转化收入的此类企业,如用户点击广告后向广告主或广告代理商收取费用的企业,保荐机构及申报会计师的核查应包括但不限于以下方面:①经营数据的完整性和准确性,是否存在被篡改的风险,与财务数据是否一致;②不同平台用户占比是否符合商业逻辑与产品定位;③推广投入效果情况,获客成本是否合理;④用户行为真实性核查,应用软件的下载或激活的用户数量、新增和活跃的用户是否真实,是否存在购买虚假用户流量或虚构流量情况;⑤广告投放的真实性,是否存在与广告商串通进行虚假交易;⑥用户的广告浏览行为是否存在明显异常。
如因核查范围受限、历史数据丢失、信息系统缺陷、涉及商业秘密等原因,导致无法获取全部或部分运营数据,无法进行充分核查的,保荐机构及申报会计师应考虑该等情况是否存在异常并就信息系统可靠性审慎发表核查意见,同时,对该等事项是否构成本次发行上市的实质性障碍发表核查意见。
此外,发行人主要经营活动并非直接通过互联网开展,但其客户主要通过互联网销售发行人产品或服务,如发行人该类业务营业收入占比或毛利占比超过30%,保荐机构及申报会计师应核查该类客户向发行人传输交易信息、相关数据的方式、内容,并以可靠方式从发行人获取该等数据,核查该等数据与发行人销售、物流等数据是否存在差异,互联网终端客户情况(如消费者数量、集中度、地域分布、消费频率、单次消费金额分布等)是否存在异常。对无法取得客户相关交易数据的,保荐机构及申报会计师应充分核查原因并谨慎评估该情况对发表核查意见的影响。
5-14 信息系统专项核查
一、适用情形
发行人日常经营活动高度依赖信息系统的,如业务运营、终端销售环节通过信息系统线上管理,相关业务运营数据由信息系统记录并存储,且发行人相关业务营业收入或成本占比、毛利占比或相关费用占期间费用的比例超过30%的,原则上,保荐机构及申报会计师应对开展相关业务的信息系统可靠性进行专项核查并发表明确核查意见。保荐机构及申报会计师应结合发行人的业务运营特点、信息系统支撑业务开展程度、用户数量及交易量级等进行判断。
如保荐机构及申报会计师结合对发行人业务运营、信息系统以及数据体量的了解,认为存在覆盖范围等方面局限的,应考虑引入信息系统专项核查工作。
二、核查总体要求
1.总体原则。发行人应向中介机构完整提供报告期应用的信息系统情况,包括系统名称、开发人、基本架构、主要功能、应用方式、各层级数据浏览或修改权限等;应为中介机构核查信息系统开放足够权限,提供充分条件。
中介机构应对发行人存储于信息系统中的业务运营和财务数据的完整性、准确性、一致性、真实性和合理性等进行专项核查并发表明确意见。
2.胜任能力。中介机构应选派或聘请具备相应专业能力的团队和机构执行信息系统核查工作。
3.责任划分。聘请其他机构开展信息系统专项核查工作或参考其核查结论的,中介机构应考虑其他机构的独立性、可靠性及其核查工作的充分性,并就借助他人开展信息系统专项核查工作的必要性与有效性谨慎发表意见。
4.核查方案。执行信息系统专项核查,核查团队应以风险防控为导向,结合发行人业务模式、盈利模式、系统架构、数据流转等情况,充分考虑舞弊行为出现的可能性,识别业务流程中可能存在的数据造假风险点,合理设计核查方案,运用大数据分析和内部控制测试等手段逐一排查风险点,全面验证发行人信息系统中业务和财务数据的完整性、准确性、一致性、真实性和合理性。
三、核查工作要求
1.IT系统控制:包括但不限于系统开发、访问逻辑、权限管理、系统运维、数据安全、数据备份等流程控制情况;重点关注是否存在过度授权,是否存在录入信息系统应用层数据或篡改信息系统后台数据库等数据造假舞弊的风险,是否发生过导致数据异常的重大事件;结合发现的缺陷,判断是否对信息系统存储数据的真实性、准确性及完整性产生影响,是否存在补偿性控制,并明确其性质是否属于重大缺陷以及对内部控制有效性的影响程度。
2.基础数据质量探查:包括但不限于基础运营数据及财务数据在系统中记录和保存的准确性、完整性;基础数据直接生成或加工生成的主要披露数据的真实性、准确性及完整性;重点关注是否存在数据缺失、指标口径错误导致披露数据失实等事项。
3.业务财务数据一致性核查:包括但不限于经营数据与核算数据、资金流水等财务数据的一致性或匹配性,测试范围应覆盖整个核查期间;重点关注财务核算数据与经营数据不一致、资金流水与订单金额不匹配等事项。
4.多指标分析性复核:深入分析关键业务指标和财务指标的变化趋势及匹配性,通过多指标分析性复核找出“异常”趋势和交易;分析贯穿整个业务链条的关键业务及财务指标数据趋势,指标数据应至少以“月”为时间维度进行统计和分析,对个别关键指标数据应按“天”分析;重点关注关键业务指标和财务指标的变化趋势及匹配性,排查是否存在背离发行人业务发展、行业惯例或违反商业逻辑的异常情形,相关核查包括但不限于用户变动合理性、用户行为分布合理性、获客渠道等。
5.反舞弊场景分析:应针对行业情况设计舞弊场景进行验证测试;基于业务流程可能出现舞弊造假环节的场景进行验证测试,分析核查期间用户行为及订单表现,形成异常数据临界值,识别脱离临界值的异常用户或异常订单并进行深入排查,包括但不限于用户真实性、收入分布合理性、获客成本变动合理性等。
6.疑似异常数据跟进:包括但不限于排查有聚集性表现的疑似异常数据,除业务逻辑相互印证外,还应执行明细数据分析或实质性走访验证;对确实无法合理解释的异常情况,应分析对收入真实性的影响并发表明确意见。
四、核查报告要求
1.核查报告内容。信息系统专项核查报告应清晰描述核查工作的整个过程,准确描述和定义核查范围、比例,清晰描述发行人业务模式、经营活动,充分揭示所有风险点,准确叙述每一个风险点涉及的核查方法、核查经过、核查结果、异常情况和跟进测试情况。信息系统专项核查报告应做到内容详实、结论清晰、不留疑问。
2.核查报告结论。中介机构应结合信息系统专项核查结果,分别就发行人的信息系统是否真实、准确、完整地记录发行人的经营活动,业务数据与财务数据是否一致发表明确意见。存在明显异常事项的,应明确披露该等事项及问题性质,并就该事项的实质性影响发表明确意见。因核查范围受限、历史数据丢失、信息系统缺陷、涉及商业秘密等原因,无法获取全部运营数据,无法进行充分核查的,中介机构应就信息系统可靠性审慎发表核查意见,并对该等事项是否构成本次发行上市的实质性障碍发表核查意见。
5-20 其他说明
本指引自公布之日起施行。
《首发业务若干问题解答》等同步废止。
