本文由【IPO案例号】整理自浙江欣兴工具反馈意见回复,转载请注明来源。
根据申报文件:报告期内,公司在天猫和阿里巴巴等电商平台存在刷单行为,并存在对“欣兴工具”微信小程序、“欣兴工具商城”应用程序进行订单测试行为,相关业务形成的订单未确认收入,手续费均作为销售费用入账,不存在虚增收入和利润的情形。请发行人说明:发行人刷单资金如何形成闭环,与线上直销业务相关的信息系统的建设情况及与该信息系统相关的内部控制建设与运行情况。
报告期内,公司存在刷单和小程序、APP测试两种情形,刷单是指公司在天猫和阿里巴巴电商平台进行刷单,小程序、APP测试是公司为测试微信小程序和APP运行效果,在“欣兴工具”微信小程序、“欣兴工具商城”应用程序上进行下单,具体如下:报告期内,发行人为增加店铺好评,在天猫和阿里巴巴电商平台存在刷单行为,境外电商及境内京东、淘宝等不存在刷单情形。天猫平台的刷单流程为业务员本人或联系其朋友在平台下单购买公司产品,业务员先行将刷单资金支付给刷单人员,待刷单人员下单完成后,业务员向财务申请报销刷单资金。发行人支付的刷单资金与刷单人员刷单后回流的资金构成闭环。阿里巴巴平台刷单流程为公司财务将刷单资金先行支付给业务员,业务员根据线下客户订单在阿里巴巴平台上生成二维码,然后由业务员注册的账号扫码填写线下客户收货信息,并下单付款,公司将产品寄给线下客户。发行人支付给业务员的刷单资金与业务员刷单后回流的资金构成闭环。![]()
发行人刷单情况存在于2020年6月至2021年2月,其中天猫平台中发行人2020年度和2021年度合计转出金额小于转回至发行人账户金额,差额以工资形式发放给业务员;阿里巴巴平台2020年度和2021年度合计转出金额等于转回至发行人账户金额,相关资金形成闭环。年度内转出金额与转回金额的差异主要系2020年末资金流出和下单后流回的时间差所导致。自2021年3月起,公司完善内控要求,已停止刷单行为。发行人刷单资金支取履行了相应审批程序,相关刷单业务形成的订单未确认收入,刷单支付的手续费均作为销售费用入账,不存在通过刷单虚增收入和利润的情形。报告期内,发行人为测试公司“欣兴工具”微信小程序、“欣兴工具商城”应用程序的运行效果,由业务员在上述平台中进行订单测试,具体流程为公司财务将测试资金先行支付给业务员,业务员根据线下客户订单在上述平台中下单,并填写线下客户收货信息,公司将产品寄给线下客户,或者业务员在上述平台中生成虚拟订单,在支付完成后再取消订单。在考虑交易手续费后,发行人支付给业务员的测试资金与业务员测试后回流的资金构成闭环。![]()
![]()
公司小程序和APP测试情况存在于2020年1月至2021年1月,2020年度和2021年度合计转出金额大于转回金额,差异系交易手续费6.70万元,相关资金形成闭环。年度内转出金额与转回金额的差异主要系资金流出时间和测试时间存在差异所致。由于在测试阶段需要检查APP和小程序可能发生的意外情形,模拟不同业务场景,例如下单笔数、下单金额大小、支付方式、用户状态、数据并发处理能力等,因此需要进行大量订单测试,导致累计发生的测试金额较大。自2021年2月起,公司已停止小程序和APP测试行为。公司测试资金支取履行了相应审批程序,相关测试形成的订单未确认收入,测试支付的手续费均作为销售费用入账,不存在通过测试订单虚增收入和利润的情形。2、与线上直销业务相关的信息系统的建设情况及与该信息系统相关的内部控制建设与运行情况线上用户通过电脑或手机APP(天猫、京东、阿里巴巴等平台)下单后,公司借助于采购或开发的CRM、ERP、WMS与C2S电子物流系统等业务运营系统(以下简称“信息化系统”),为公司业务运营提供从销售订单管理、商品管理、客户服务管理、仓储物流管理、账号与权限管控、数据统计等全方位支持。互联网平台的客户信息、销售订单等数据均在信息化系统进行存储和维护。公司信息化系统未与外协供应商和客户建立数据接口。基于业务需要,公司信息化系统与银行系统、第三方支付平台、物流服务供应商以及物流信息服务商建立了数据接口,分别用于获取到款信息、物流单号信息和物流状态信息。公司使用鼎捷T100ERP系统支持财务管理。鼎捷T100ERP未与客户或供应商建立数据接口。主要IT系统基本情况及主要功能如下:![]()
![]()
公司设有信息中心,负责各业务系统的外部选型、实施与运维,职能有硬件维护管理、项目实施管理、系统运维管理等。报告期内公司关键信息系统的选型、建设及运维工作均由信息中心负责集中管理。公司信息中心结合总体业务发展规划、技术能力等因素,制定中长期信息系统建设整体规划,采取按年分步执行的战略,按项目成立项目组,以明确职责分工、进度安排等相关内容。中长期信息系统规划按照规定的权限和程序,经管理层审批后实施,有序组织信息系统建设、运行与维护。公司信息中心与外部软件实施团队根据系统建设目标制定项目规划与实施计划,经公司管理层批准后实施。项目实施计划一般包括项目调研、详细实施计划制定、计划批准、规划蓝图制定、规划蓝图批准、系统配置与个性化定制、系统关键用户培训、系统测试、测试验收、上线前准备(包括生产环境准备、数据准备与用户准备)、系统正式上线、上线总结等环节。 公司对系统及其数据库/服务器等实施操作的权限进行适当限制,且正式环境与测试环境分离。公司针对系统访问安全已制定《信息化子系统用户新增、变更、关闭操作规范》,规范了公司系统账号新增、变更、关闭的流程和权限等。公司信息系统的逻辑访问管理由信息中心负责,逻辑访问管理相关控制可以应对未经授权的系统访问风险,以及系统账号持有权限超出职责范围或导致职责分离问题的风险,进而防范系统及数据被蓄意篡改。公司针对系统逻辑访问管理相关控制如下:公司信息系统新增账号或权限更新,需要经过管理层对账号申请的访问权限性质与范围进行审批,要求账号权限符合岗位职责所需、申请与实际授予权限一致、权限申请人与审批人分离等。同时,权限新增考虑不相容职责分离要求,不由同一个人同时拥有授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等权限组,形成相互监督的制衡机制,降低业务错漏及舞弊风险。公司关键信息系统中,已离职/调岗员工的访问权限被及时关闭或修改。公司定期对系统账号及访问权限进行复核,由系统管理员导出全量或恰当范围的系统账号及权限清单,由相应的管理层对账号和访问权限的适当性进行检查,并及时修改不适当的系统账号和访问权限。系统特权级别权限包括二个类别:对系统账号访问权限进行管理的权限、对系统安全设置进行管理的权限。公司授权系统管理员拥有系统特权级别权限。系统管理员由获得管理层授权的指定人员担任并严格限制其数量。系统管理员按规定负责相应系统的管理工作,与其岗位职责相符,不得负责采购、销售、出纳等具体业务处理及前台操作,满足不相容职责分离控制要求。公司信息系统账号均通过账号与密码认证方式登录,各系统设置了相应的密码策略,包括对密码长度、密码复杂度、密码有效期、密码锁定阈值等。公司对关键信息系统的运维管理主要应对出现系统中断、数据丢失时无法快速还原的风险,以及批处理作业管理不当导致数据丢失或错误的风险,相关控制包括:信息系统批处理作业根据各业务系统自动化运行需求,经充分验证后在在信息系统中进行配置定时运行,该任务在项目调研与蓝图规划阶段确定并经管理层审批后按蓝图实施,针对该类作业后台存有日志文档。针对关键系统的稳定性,公司通过设备选型与配置、系统架构设计、网络拓扑设计、私有云建设等信息化基础设施建设的软硬件底层上保证系统网络、存储、计算性能及故障热转移,以免维护的思路支持各业务系统的稳定运行。公司针对系统数据可靠性及网络安全,已采购与配置自动化的安全与备份设备,在针对安全上特殊安排了内外网络隔离拓扑网络、数据加密系统,各安全软硬件系统以用户透明的方式自动运行。公司营销系统(纷享销客CRM)采用云端部署,通过公司本地防火墙后与公司交易系统(T100ERP、WMS)集成,CRM上不存储交易数据,仅存储营销数据(客户开拓营销记录、客户拜访记录、销售线索跟进记录)。交易系统(T100ERP、WMS、C2S)均采用地端私有云部署,并通过防火墙与外部进行数据交换。数据安全合规主要通过内外网隔离、数据加密、终端端口封闭、网络杀毒软件、外联用户与内联用户数据视图等方式进行管理,信息系统在报告期内未发生数据泄密事件。公司针对备份管理,实施了DELL避风港计划,按业界标准实施备份计划。备份策略有全量与增量备份、日志备份、镜像与快照备份、冷备与热备等先进备份技术,保证在极端情况下的系统与数据的快速恢复。备份保存时间根据业务需求保存30-180天。②信息系统应对过度授权、数据造假、丢失或篡改风险的控制公司信息化系统使用主体分为公司内部人员及外购系统实施人员,其中内部使用主体主要为业务人员、管理人员及财务人员等;外部使用主体主要为鼎捷软件供应商服务人员且其仅有与系统开发相关的权限。信息系统权限未向客户、非系统运维供应商或服务商开放。为应对过度授权,数据造假、丢失或篡改的风险,公司建立了以下相关信息系统一般控制及信息系统应用控制:公司针对系统访问安全已制定《信息化子系统用户新增、变更、关闭操作规范》,规范了公司系统账号新增、变更、关闭的流程和权限等。公司在系统权限新增、移除、复核及超级用户的控制方面均设计有效控制,确保系统授权需要经过管理层对账号申请的访问权限性质与范围进行审批,账号权限合理,符合岗位职责所需、申请与实际授予权限一致、权限申请人与审批人分离等要求。公司通过实施T100ERP、WMS系统实现了信息与实物的绑定,在系统底层上保证了实物与信息的对应性,且采购入库、销售下单与发货、收付款业务需各个职能部门的不同员工相互协同方可完成一笔采购、销售业务,相互监督复核减少了人为差错及杜绝了数据篡改的风险,相关控制情况如下:![]()
综上所述,报告期内,公司已建立与线上直销业务相关的信息系统管理体系和流程,制定了相关的信息技术管理制度以规范日常操作,并配有相应的运维管理和网络安全措施以支持公司线上直销业务平稳运行,信息系统内部控制健全并运行有效。
