IPO案例：关于信息系统核查

Pincent

关于信息系统核查

发行人主要通过互联网为客户提供移动端视频创作软件和广告服务，主要产品用户为个人用户。保荐人聘请的大华国际管理咨询（北京）有限公司和发行人会计师毕马威华振会计师事务所（特殊普通合伙）针对发行人信息系统实施了信息系统核查。相关中介机构认为，报告期内公司各项业财数据核对中的较大差异均能合理解释。

请保荐人、申报会计师：

（1）按照《首发业务若干问题解答（2020 年 6 月修订）》问题 53 的要求对发行人的信息系统进行核查，发表明确核查意见，并提交专项核查说明。

（2）进一步说明对个人用户订阅交易真实性、订阅期限的合理性、是否存在重大异常的核查过程、核查手段、核查比例、核查区域范围以及获取的核查证据等。

（3）说明业财数据核对的差异情况，产生差异的原因及分析手段的合理性；对“数据分析过程中发现的疑似异常情况的进一步分析和测试”的具体手段、方法及充分性。

（4）说明报告期内业务数据缺失或保存不完整的具体情况，产生该种情况的原因，执行的具体复核程序、分析方法及结论性意见。

一、按照《首发业务若干问题解答（2020 年 6 月修订）》问题 53 的要求对发行人的信息系统进行核查，发表明确核查意见，并提交专项核查说明发行人实现移动端视频创作软件订阅收入主要依赖信息系统。

保荐人聘请了大华国际管理咨询（北京）有限公司协助开展发行人信息系统核查工作，并出具了《杭州小影创新科技有限公司信息系统核查报告》；申报会计师也指派了专业信息系统核查团队协助执行发行人信息系统内部控制及业务数据核查工作，并出具了《杭州小影创新科技有限公司信息系统核查报告》。

根据《首发业务若干问题解答》问题 53 的相关要求，保荐人、申报会计师及其聘请的信息系统核查团队（以下简称“信息系统核查机构”）执行的核查方式如下：


经核查，保荐人及其聘请的大华国际管理咨询（北京）有限公司认为：“目标公司已经在信息科技治理层面制定了基本的政策及制度，以保障信息系统的整体规划布局；目标公司信息系统一般控制报告期间存在部分控制缺陷，但均有适当的补偿性控制，且已经整改完毕，能够保证程序按照需求变更，变更按照审批上线，基础运维能够满足业务需求，未发现重大和重要缺陷；信息系统应用控制方面，目标公司对关键业务进行了相关系统控制，可以确保关键业务系统能够对业务环节相关数据进行准确完整的记录；通过对公司核心业务相关订单数据与第三方数据，业务数据与财务数据的一致性核查，我们认为报告期内目标公司各项业财数据核对中的较大差异均能合理解释；通过对核心产品的会员订阅订单、全量用户行为、订阅用户行为、渠道平台投放费和云服务费等多维度业务数据分析，及在数据分析过程中发现的疑似异常情况的进一步的分析和测试，综合整体的数据分析结果，未发现无法合理解释的异常情况，业务发展情况基本健康。”

毕马威华振会计师事务所（特殊普通合伙）认为：“基于对公司信息科技治理、信息系统访问与管理、信息系统开发与变更管理、信息系统运维管理四个维度一般性控制测试以及会员订阅业务收入分摊计算的准确性、数据传输的完整性和准确性等维度的应用控制测试，我们未发现公司信息系统一般性控制和应用控制方面存在重大或重要的控制缺陷。在测试过程中我们发现历史期间部分领域存在控制缺陷，经过跟进测试，我们了解到这些相关控制均存在适当的补偿性控制，已经整改完毕，对贵公司会员订阅业务相关的系统内业务数据的真实性、准确性及完整性产生影响的风险较低，会员订阅业务相关业务系统可靠性较高。通过对公司会员订阅业务相关订单数据与第三方数据、交易金额与第三方支付渠道数据、业务数据与财务数据的一致性核查，我们认为报告期间内，贵公司各项核对的较大差异情况均有合理解释。通过对会员订阅业务订单、全量和会员用户行为、渠道平台投放费和云服务费的各维度指标综合分析，我们认为报告期间内，贵公司各维度指标的疑似异常情况均有合理解释，未发现重大异常情况。”

大华国际管理咨询（北京）有限公司和毕马威出具的《杭州小影创新科技有限公司信息系统核查报告》详见申报文件“8-4-5 保荐机构聘请的信息系统核查机构关于杭州小影创新科技股份有限公司之信息系统专项核查报告”和“8-4-6会计师关于杭州小影创新科技股份有限公司之信息系统专项核查报告”。

二、进一步说明对个人用户订阅交易真实性、订阅期限的合理性、是否存在重大异常的核查过程、核查手段、核查比例、核查区域范围以及获取的核查证据等。

（一）核查系统范围

发行人产品主要为移动端视频创作软件，主要包括小影（VivaVideo）、VivaCut和节奏酱（TempoApp）等。发行人主要通过第三方移动应用市场发行产品，用户在第三方移动应用市场下载发行人产品，并在 iOS、Android 等移动端主流操作平台上安装、使用发行人产品。发行人产品发行的海外移动应用市场主要包括Google Play、海外 App Store 和海外华为应用市场等，国内移动应用市场主要包括中国大陆 App Store 和国内华为应用市场等。支持发行人业务开展的相关信息系统简介如下：

（二）核查过程

保荐人、会计师及其聘请的信息系统核查团队对所识别出的支撑业务运营的主要信息系统进行一般性控制测试，评估信息系统管理水平及主要信息系统对业务运行的支撑能力和存在的风险，以确定信息系统稳定性和业务财务相关数据运行环境和来源的可靠性。具体核查过程及对比《首发业务若干问题解答》问题53 进行的核查如下：

1、信息系统控制测试核查

针对信息系统的控制测试及执行数据分析核查，具体方式如下：

（1）信息系统一般控制设计及执行情况核查

一般控制测试的主要内容包括以下四大方面：信息科技治理、信息系统访问与管理、信息系统开发与变更管理以及信息系统运维管理。

本次 IT 核查的具体测试点包括：①信息科技治理：涉及发行人信息科技组织架构、信息科技战略规划、预算编制与跟踪；②信息系统访问与管理：涉及信息系统管理制度、信息系统账号及权限管理、特权用户的管理、密码与安全参数管理、物理访问与管理；③信息系统开发与变更管理：涉及系统变更、环境与人员隔离；④信息系统运维管理：涉及批处理作业、数据备份与监控、恢复性测试、事件与问题管理。

本次 IT 核查在一般控制测试过程中使用的方法主要包括：①现场访谈：与发行人管理层、信息技术部门负责人、关键业务人员以及相关系统负责人进行访谈，了解信息科技相关检查领域的管理流程、风险及控制现状。②文档审阅、系统查询并获取书面文档、系统截屏等支持性文件：审阅发行人信息科技管理相关的制度、流程、管理策略等文档，验证相关检查领域控制的设计有效性。③检查信息科技管理机制下相关领域和管理流程的审批记录、审阅记录、测试记录、配置信息等，确认相关控制的执行有效性。④现场查看并抽取系统账号、权限、参数、日志等，确认相关控制的执行有效性。

（2）信息系统应用控制设计及执行情况核查

应用控制测试的主要内容包括以下方面：系统接口控制、系统设置控制。本次 IT 核查的具体测试点包括：①MySQL 订单数据库与数据仓库数据传输的完整性和准确性；②会员订阅收入分摊计算的准确性；③数据仓库与 VCM 系统数据传输的完整性和准确性；④发行人服务器能够准确记录用户的订阅信息与行为信息；⑤金蝶云系统用户权限分配和控制的合理性。

根据业务流程、系统功能以及风险影响，本次 IT 核查在应用控制测试过程中使用的方法主要包括：①与发行人管理层、信息部分、关键业务人员进行访谈；②现场观察系统使用情况和业务操作记录；③设计穿行测试，并与测试人员共同在测试环境中或生产环境中进行测试操作。完成后查看系统后台的数据记录与测试人员的测试记录是否一致；④获取书面文档、系统截屏等支持性文件进行核查；⑤识别系统应用控制薄弱点以及潜在系统管控风险点。

2、执行数据分析核查

信息系统核查机构在已核查报告期内会员订阅订单数据与第三方订单数据、会员订阅业务的交易数据与第三支付渠道、会员订阅业务的业务数据与财务一致性的基础上，基于对发行人业务运营模式的理解，通过业务系统汇总、提取出能代表业务运营趋势的相关指标，并进行业务数据指标的趋势及一致性比对分析，以风险为导向，识别发行人业务运营过程中的主要数据造假风险点，梳理关键业务指标数据，并与业务环节相结合，分析指标数据变化趋势以及指标数据间的一致性。对分析过程中出现的异常情形执行进一步的核查程序。具体核查的产品为发行人主要产品小影（VivaVideo）、节奏酱（TempoApp）和 VivaCut，具体分析的内容和思路如下表所示：


三、说明业财数据核对的差异情况，产生差异的原因及分析手段的合理性；对“数据分析过程中发现的疑似异常情况的进一步分析和测试”的具体手段、方法及充分性。
（一）业财核对差异情况

1、会员订阅业务的交易金额与第三方支付渠道数据的一致性核查

信息系统核查机构获取了发行人在报告期内的第三方支付渠道的结算单数据，并与发行人数据仓库系统的订单总金额或结算金额进行核对，验证报告期内的发行人数据仓库中的会员订阅订单金额或结算金额与第三方支付渠道的结算数据的一致性。

若结算单显示订单总金额，直接将订单总金额和数据仓库系统的订单总金额进行核对；若结算单只显示结算金额，根据数据仓库系统的订单数据通过公式（结算金额=订单金额-平台分成-手续费）计算结算金额后，进行结算金额核对。此外，若结算单金额能明确区分各产品，将只对小影（VivaVideo）、节奏酱（TempoApp）和 VivaCut 的订单进行核对，若结算单金额无法分产品，信息系统核查机构按结算单结算的所有产品订单进行核对。具体核对过程和结果如下：

（1）Apple Pay
将发行人系统内每月订单结算总额与第三方结算单金额进行核对，发行2019年相比其它期间差异较大，发行人向苹果公司询问其结算单计算逻辑以确认差异原因，但未得到回复。具体核对结果如下：


（2）Google Pay将发行人每月订单结算总额与第三方结算单金额进行核对，发行差异较小,主要为汇率转换计算导致的汇率差异，具体核对结果如下：


（3）华为支付2019 年至 2020 年的差异主要为汇率转换计算导致的差异。华为应用内支付支持银行卡、支付宝、微信支付、运营商话费等多种支付方式，2021 年，对于通过运营商话费支付方式的订单，华为尚未与发行人及时进行结算，导致了 2021年的差异。具体核对结果如下：



（4）支付宝支付发行人数据仓库中记录的每月订单总金额与第三方结算单总交易金额进行核对，差异较小，具体核对结果如下：


（5）微信支付
发行人数据仓库中记录的每月订单总金额与第三方结算单总交易金额进行核对，差异较小。具体核对结果如下：


2、会员订阅业务收入分摊额重计算
发行人会员订阅服务符合新收入准则第三十六条在某一时段内履行履约义务的条件，因此，应当在一段时间内确认收入。针对月包、季包、年包等有明确服务结束时间的会员订阅服务收入，发行人在约定的服务期间内摊销确认收入；针对永久会员，发行人根据永久会员用户留存数据确定用户生命周期，在生命周期内摊销确认收入。因此，会员订阅业务当月应确认收入=当期销售订单当月摊销额+历史销售订单当月摊销额-当期退款订单当月摊销额-历史退款订单当月摊销额。数据仓库根据预先设定的逻辑，对会员订阅业务订单自动进行当期销售订单当月摊销额、历史销售订单当月摊销、当期退款订单当月摊销额和历史退款订单当月摊销额的计算，同时将摊销额计算结果同步到 VCM 系统，财务部每月根据 VCM 系统的收入摊销额手工进行收入确认。

信息系统核查机构从发行人数据仓库获取了所有支付渠道的小影（VivaVideo）、节奏酱（TempoApp）、VivaCut 等所有产品的会员订阅业务销售订单和退款订单的明细数据，抽样重新计算了 2019 年 5 月、2020 年 6 月和 2021年 5 月的当期销售订单当月摊销额、历史销售订单当月摊销、当期退款订单当月摊销额和历史退款订单当月摊销额，与发行人 VCM 系统中最终展示结果进行比对，未发现存在差异。

（二）对“数据分析过程中发现的疑似异常情况的进一步分析和测试”的具体手段、方法及充分性

对于数据分析过程中发现的疑似异常情况，信息系统核查机构首先检查原始数据来源的准确性和完整性，在发行人的协助下登入系统进行数据检查，以确保异常数据不是由于数据系统导出或者后台统计逻辑出错导致。然后根据异常数据指标，询问发行人相关业务部门对于异常数据的解释，然后根据业务解释进行进一步数据分析验证业务解释合理性，或抽样核查相应文件资料验证业务解释的真实性，从而保证整体核查的客观及科学性，最终支撑核查结论的合理性。示例如下：

（1）在“会员订阅业务的交易金额与第三方支付渠道数据的一致性核查”分析过程中，保荐人、会计师发现 2021 年，第三方渠道华为提供的结算单上小影（VivaVideo）的总交易额与发行人数据仓库中记录的订单总交易额差异百分比为 1.58%。保荐人、会计师通过发行人与华为进行了沟通，了解到华为应用内支付支持银行卡、支付宝、微信支付、运营商话费等多种支付方式，2021 年，对于通过运营商话费支付方式的订单，华为尚未与公司及时进行结算，导致了2021 年的差异。

（2）在“内部员工订单分析”中，保荐人、会计师发现 2019 年至 2021 年期 App Store 渠道共有 146 名发行人内部员工付费，涉及付费金额 104,460.74元。发行人解释系统 BUG 导致将多个不同的用户错判成同一设备 ID（该设备 ID被保荐人、会计师定义为公司内部员工 ID），实际订单非内部员工订单。信息系统核查机构进一步查明确认了系统 BUG 发生时间，并审阅当时系统 BUG 跟进和解决记录，以确认系统 BUG 的真实性。之后，信息系统核查机构评估该系统 BUG 对财务数据准确性的影响，了解到该系统 BUG 仅影响发行人履约订单数据，而发行人的收入统计数据来源于第三方 App Store 订单数据，因此对财务数据准确性没有影响。

四、说明报告期内业务数据缺失或保存不完整的具体情况，产生该种情况的原因，执行的具体复核程序、分析方法及结论性意见。

（一）会员订阅业务订单数据

发行人数据仓库系统内的会员订阅业务订单数据主要来源如下：

1、对于通过 Apple Pay、Google Pay、华为支付进行支付的订单，发行人通过系统自动从第三方渠道 App Store、Google Play、华为应用市场获取会员订阅订单数据，并存储到数据仓库；

2、发行人本地 MySQL 记录了通过微信、支付宝、Qpay、OPPO Pay 支付的国内安卓用户的会员订阅订单数据，未从第三方渠道获取订单数据。信息系统核查机构通过会员订阅订单数据与第三方订单数据一致性核查、以及会员订阅的交易金额与第三方支付渠道数据的一致性核查，未发现发行人会员订阅业务订单数据的完整性存在异常。

（二）用户行为数据

1、整体用户行为数据

发行人会对用户在产品内的行为进行记录，并将行为日志存储在数据仓库，数据仓库部署在阿里云上。2018 年 5 月欧盟颁布《通用数据保护条例》（GDPR）后，发行人无法收集欧洲地区 iOS 平台的用户行为日志，因此，此部分用户行为数据存在缺失。

报告期内，欧洲地区 App Store 渠道的付费订单金额占总体会员订阅订单金额的 6%，欧洲地区的会员订阅业务收入占比不大，信息系统核查机构已对发行人的会员订阅业务订单数据进行了充分的核查，因此，欧洲地区 iOS 平台的用户行为数据，对整体结论的影响较小。

2、会员用户行为数据

海外移动应用市场 Google Play、App Store 等记录的付费订单无法与发行人系统记录的用户进行关联，因此无法准确从发行人系统记录的用户中识别出付费用户，即会员用户。例如，App Store 和 Google Play 付费订单上的用户为订阅者ID（第三方移动应用市场生成的 ID），并非发行人系统记录的会员 ID 或者设备ID，导致数据无法一一匹配。

为解决该项问题：1）2019 年 7 月起，发行人与 Google Play 商店后台搭建履约接口，获取会员履约订单维度数据关联发行人内部服务器所记录的安卓用户数据；2）2020 年 1 月起，发行人与苹果 App Store 商店后台搭建履约接口，获取履约会员订单维度数据关联发行人内部服务器所记录的 iOS 用户使用行为数据。Google Play 与 App Store 履约订单仅能覆盖履约接口上线后的新增会员用户，无法覆盖履约接口上线前仍为会员的用户，因此，对于 Google Play 渠道，仅可以对 2019 年 7 月及之后新增的会员用户进行分析；对于 App Store 渠道，仅可以对 2020 年 1 月及之后新增的会员用户进行分析。

此外，华为应用市场不提供用户 ID 信息，且发行人未搭建履约接口，因此，无法对通过华为支付进行会员订阅的用户进行识别。

信息系统核查机构已对发行人的会员订阅业务订单数据进行了充分的核查，会员用户性为数据分析仅为辅助性核查，部分会员用户行为的缺失，对整体结论的影响较小。

（三）广告业务数据

对于广告业务，发行人将广告推广位置提供给第三方广告平台，由第三方广告平台负责联系、对接各类商业广告客户，在发行人提供的广告推广位置上进行广告推送。第三方广告平台统计广告的展示量、点击量、收入等数据，并根据其统计的数据，按照约定的结算周期及分成比例与发行人进行广告收入结算（主要按照每千次展示收入）。发行人根据第三方广告平台提供的当期结算数据及双方对账结果确认收入。

由于广告业务依赖于第三方广告平台，2021 年之前发行人未对广告业务数据进行完整收集，2021 年开始，发行人每天通过系统自动从第三方广告平台Google Admob、Facebook Audience Network 等获取广告展示次数、广告点击次数、预估收入等数据存储到数据仓库。因此，广告业务收入核查仅覆盖 2021 年。2019 年、2020 年和 2021 年，广告收入占比分别为 8.20%、5.32%和 18.43%，总体收入占比不大，不属于发行人的主要收入来源。发行人根据第三方广告平台系统结算的金额获取收入，该等平台系统适用于包括发行人在内的所有广告客户，广告价格具有公允性，广告业务数据部分期间的缺失对整体结论的影响较小。

综上，报告期内发行人会员订阅业务订单数据完整准确、用户行为数据由于欧盟地区政策或建立履约接口时间较晚导致部分数据缺失、广告业务由于未完整收集 2019 年-2020 年数据导致该部分缺失，上述业务数据缺失或保存不完整原因具有合理性。信息系统核查机构评估该等数据的缺失对整体分析过程的影响，认为该等数据缺失不影响整体分析。

经核查，信息系统核查机构大华国际管理咨询（北京）有限公司认为：“目标公司已经在信息科技治理层面制定了基本的政策及制度，以保障信息系统的整体规划布局；目标公司信息系统一般控制报告期间存在部分控制缺陷，但均有适当的补偿性控制，且已经整改完毕，能够保证程序按照需求变更，变更按照审批上线，基础运维能够满足业务需求，未发现重大和重要缺陷；信息系统应用控制方面，目标公司对关键业务进行了相关系统控制，可以确保关键业务系统能够对业务环节相关数据进行准确完整的记录；通过对公司核心业务相关订单数据与第三方数据，业务数据与财务数据的一致性核查，我们认为报告期内目标公司各项业财数据核对中的较大差异均能合理解释；通过对核心产品的会员订阅订单、全量用户行为、订阅用户行为、渠道平台投放费和云服务费等多维度业务数据分析，及在数据分析过程中发现的疑似异常情况的进一步的分析和测试，综合整体的数据分析结果，未发现无法合理解释的异常情况，业务发展情况基本健康。”

信息系统核查机构毕马威华振会计师事务所（特殊普通合伙）认为：“基于对公司信息科技治理、信息系统访问与管理、信息系统开发与变更管理、信息系统运维管理四个维度一般性控制测试以及会员订阅业务收入分摊计算的准确性、数据传输的完整性和准确性等维度的应用控制测试，我们未发现公司信息系统一般性控制和应用控制方面存在重大或重要的控制缺陷。在测试过程中我们发现历史期间部分领域存在控制缺陷，经过跟进测试，我们了解到这些相关控制均存在适当的补偿性控制，已经整改完毕，对贵公司会员订阅业务相关的系统内业务数据的真实性、准确性及完整性产生影响的风险较低，会员订阅业务相关业务系统可靠性较高。通过对公司会员订阅业务相关订单数据与第三方数据、交易金额与第三方支付渠道数据、业务数据与财务数据的一致性核查，我们认为报告期间内，贵公司各项核对的较大差异情况均有合理解释。通过对会员订阅业务订单、全量和会员用户行为、渠道平台投放费和云服务费的各维度指标综合分析，我们认为报告期间内，贵公司各维度指标的疑似异常情况均有合理解释，未发现重大异常情况。”