导读：新规的核查内容跟IPO53条的要求大同小异，包括ITGC、ITAC、CAATS，但适用面更广，基本要求所有企业的IPO都需要IT审计。
　　　企业想上市，最经济、快速的方法，参考《 事半功倍的IPO咨询—IT内控咨询 》。

一、适用情形

发行人日常经营活动高度依赖信息系统的，如业务运营、终端销售环节通过信息系统线上管理，相关业务运营数据由信息系统记录并存储，且发行人相关业务营业收入或成本占比、毛利占比或相关费用占期间费用的比例超过30%的，原则上，保荐机构及申报会计师应对开展相关业务的信息系统可靠性进行专项核查并发表明确核查意见。保荐机构及申报会计师应结合发行人的业务运营特点、信息系统支撑业务开展程度、用户数量及交易量级等进行判断。

如保荐机构及申报会计师结合对发行人业务运营、信息系统以及数据体量的了解，认为存在覆盖范围等方面局限的，应考虑引入信息系统专项核查工作。

二、核查总体要求

1、总体原则。发行人应向中介机构完整提供报告期应用的信息系统情况，包括系统名称、开发人、基本架构、主要功能、应用方式、各层级数据浏览或修改权限等；应为中介机构核查信息系统开放足够权限，提供充分条件。中介机构应对发行人存储于信息系统中的业务运营和财务数据的完整性、准确性、一致性、真实性和合理性等进行专项核查并发表明确意见。

2、胜任能力。中介机构应选派或聘请具备相应专业能力的团队和机构执行信息系统核查工作。

3、责任划分。聘请其他机构开展信息系统专项核查工作或参考其核查结论的，中介机构应考虑其他机构的独立性、可靠性及其核查工作的充分性，并就借助他人开展信息系统专项核查工作的必要性与有效性谨慎发表意见。

4、核查方案。执行信息系统专项核查，核查团队应以风险防控为导向，结合发行人业务模式、盈利模式、系统架构、数据流转等情况，充分考虑舞弊行为出现的可能性，识别业务流程中可能存在的数据造假风险点，合理设计核查方案，运用大数据分析和内部控制测试等手段逐一排查风险点，全面验证发行人信息系统中业务和财务数据的完整性、准确性、一致性、真实性和合理性。

三、核查工作要求

1、IT系统控制：包括但不限于系统开发、访问逻辑、权限管理、系统运维、数据安全、数据备份等流程控制情况；重点关注是否存在过度授权，是否存在录入信息系统应用层数据或篡改信息系统后台数据库等数据造假舞弊的风险，是否发生过导致数据异常的重大事件；结合发现的缺陷，判断是否对信息系统存储数据的真实性、准确性及完整性产生影响，是否存在补偿性控制，并明确其性质是否属于重大缺陷以及对内部控制有效性的影响程度。

2、基础数据质量探查：包括但不限于基础运营数据及财务数据在系统中记录和保存的准确性、完整性；基础数据直接生成或加工生成的主要披露数据的真实性、准确性及完整性；重点关注是否存在数据缺失、指标口径错误导致披露数据失实等事项。

3、业务财务数据一致性核查：包括但不限于经营数据与核算数据、资金流水等财务数据的一致性或匹配性，测试范围应覆盖整个核查期间；重点关注财务核算数据与经营数据不一致、资金流水与订单金额不匹配等事项。

4、多指标分析性复核：深入分析关键业务指标和财务指标的变化趋势及匹配性，通过多指标分析性复核找出“异常”趋势和交易；分析贯穿整个业务链条的关键业务及财务指标数据趋势，指标数据应至少以“月”为时间维度进行统计和分析，对个别关键指标数据应按“天”分析；重点关注关键业务指标和财务指标的变化趋势及匹配性，排查是否存在背离发行人业务发展、行业惯例或违反商业逻辑的异常情形，相关核查包括但不限于用户变动合理性、用户行为分布合理性、获客渠道等。

5、反舞弊场景分析：应针对行业情况设计舞弊场景进行验证测试；基于业务流程可能出现舞弊造假环节的场景进行验证测试，分析核查期间用户行为及订单表现，形成异常数据临界值，识别脱离临界值的异常用户或异常订单并进行深入排查，包括但不限于用户真实性、收入分布合理性、获客成本变动合理性等。

6、疑似异常数据跟进：包括但不限于排查有聚集性表现的疑似异常数据，除业务逻辑相互印证外，还应执行明细数据分析或实质性走访验证；对确实无法合理解释的异常情况，应分析对收入真实性的影响并发表明确意见。

四、核查报告要求

1、核查报告内容。信息系统专项核查报告应清晰描述核查工作的整个过程，准确描述和定义核查范围、比例，清晰描述发行人业务模式、经营活动，充分揭示所有风险点，准确叙述每一个风险点涉及的核查方法、核查经过、核查结果、异常情况和跟进测试情况。信息系统专项核查报告应做到内容详实、结论清晰、不留疑问。

2、核查报告结论。中介机构应结合信息系统专项核查结果，分别就发行人的信息系统是否真实、准确、完整地记录发行人的经营活动，业务数据与财务数据是否一致发表明确意见。存在明显异常事项的，应明确披露该等事项及问题性质，并就该事项的实质性影响发表明确意见。因核查范围受限、历史数据丢失、信息系统缺陷、涉及商业秘密等原因，无法获取全部运营数据，无法进行充分核查的，中介机构应就信息系统可靠性审慎发表核查意见，并对该等事项是否构成本次发行上市的实质性障碍发表核查意见。