2025年证监会首发企业现场检查数据显示，全年抽查的128家企业中，82 家存在不同程度的内部控制缺陷，其中资金流水相关内控缺陷占比高达 76%，直接导致 38 家企业撤回申报，11 家被否。美亚科技 2025 年 12 月过会后又主动撤回 IPO，核心原因便是资金内控严重缺失 —— 出纳十年间累计侵占公司近 2000 万元资金未被发现，同时顺利获得体外资金循环代垫员工薪酬，导致财务数据全面失真；民生证券保荐的迪沙药业项目，因未发现发行人存在 “财务总监一人保管三枚印章”” 集中支付给大量自然人无明细 ” 等重大内控缺陷，被深交所出具监管函。

《监管规则适用指引第5号》明确将 “资金管理相关内部控制制度是否存在较大缺陷” 列为流水核查的首要事项，要求中介组织不仅要核查流水数据本身，更要对资金内控的设计合理性与执行有效性进行全面测试。与单纯的流水数据核验不同，内控测试是从 “源头” 防范财务造假的核心手段 ——所有的流水造假，本质上都是内控失效的结果。如果内控存在重大缺陷，即使流水数据表面合规，也无法排除财务造假的风险。

本文结合 2025-2026 年最新监管规则、42 起现场检查典型案例，拆解 IPO 流水核查中 5 大核心内控控制点的测试方法，明确不同等级缺陷的认定标准与修复方案，同时给予避坑指南，帮助投行团队从 “被动查流水” 转向 “主动控风险”。

一、底层逻辑：流水内控是IPO财务真实性的“第一道防线”

IPO 流水内控的核心目标是”保证资金安全、确保财务数据真实、防范利益输送”，其本质是顺利获得制度设计与流程管控，实现 “不相容职务分离、授权审批控制、会计系统控制、财产保护控制、内部监督控制” 五大基本要素的有机结合。监管对流水内控的核查逻辑，已从 “看制度是否存在” 升级为 “看执行是否有效”，核心体现在三个转变：

1.从 “形式合规” 转向 “实质有效”

监管不再满足于企业给予纸面的《资金管理制度》，而是顺利获得 “穿行测试、抽样检查、现场访谈” 等方式，验证制度是否真正落地执行。某创业板企业虽然制定了完善的资金支付审批制度，但现场检查发现，所有大额支付均由实控人一人签字审批，财务人员从未提出过异议，制度完全流于形式，最终被认定为内控重大缺陷。

2.从 “时点核查” 转向 “全周期覆盖”

监管要求内控测试必须覆盖整个报告期，而不仅仅是申报前的最后一年。很多企业在申报前突击完善内控制度，但报告期早期的内控缺陷仍会被重点关注。某北交所企业 2023 年存在大量个人卡收支，虽然 2024 年停止使用并注销了账户，但因未建立有效的资金监控机制，2025 年又出现了新的个人卡代收货款情况，被监管认定为 “内控整改不到位”。

3.从 “企业责任” 转向 “中介与企业同责”

2025 年以来，已有 21 家券商因流水内控测试不到位被处罚，占全年保荐组织处罚案例的 41%。监管明确要求，保荐组织和会计师事务所必须对发行人的资金内控有效性发表明确意见，若因内控测试失职导致未发现重大财务造假，将与企业一同承担连带责任。国泰海通证券保荐的中鼎恒盛项目，因未发现实控人顺利获得关键岗位人员账户占用资金 6754 万元，被证监会通报批评。

二、5大关键控制点：流水内控测试的核心抓手

流水内控测试需围绕资金流转的全流程展开，重点关注 “账户管理、支付审批、结算方式、对账监控、关联隔离” 五大关键控制点，每个控制点都有明确的监管要求、常见缺陷与测试方法。

1.控制点一：账户全生命周期管理——从 “开户” 到 “销户” 的全程管控

账户是资金流转的载体，账户管理失控是所有流水风险的源头。监管要求发行人必须建立健全银行账户管理制度，对账户的开立、使用、变更、注销实行全流程管控，确保所有账户均纳入财务核算，无账外账户。

（1）常见内控缺陷

①账户开立无审批：财务人员可随意开立银行账户，无需履行审批程序，导致账户数量过多、管理混乱。某企业报告期内累计开立银行账户72个，其中37个为闲置账户，未及时注销。

②账外账户未披露：实控人或财务人员私自开立账户，用于代收货款、代付费用，形成账外账。贝特电子因隐瞒体外资金池，未如实告知中介组织，最终IPO被否。

③账户注销不规范：注销账户未履行审批程序，未获取银行出具的销户证明，未保留销户前的完整流水。某企业注销了12个账户，但仅给予了3个账户的销户证明，其余 9 个账户的流水无法核实，被监管质疑存在体外资金循环。

④第三方支付账户失控：微信、支付宝、抖音钱包等第三方支付账户未纳入财务核算，由销售人员自行管理，资金收支无记录。某连锁零售企业顺利获得员工个人微信账户代收零售货款，累计金额达 1.2 亿元，未纳入公司财务核算。

（2）内控测试方法

①获取全量账户清单：顺利获得央行账户管理系统查询接口，获取发行人报告期内所有已开立、已注销的银行账户清单，与企业给予的账户清单逐一比对，核实是否存在遗漏账户。

②检查账户开立与注销审批：抽取报告期内所有新开立和已注销的账户，检查是否有完整的审批文件，包括开户申请、审批单、销户申请、销户证明等。

③核查第三方支付账户：要求企业给予所有第三方支付账户的开通证明、交易明细、资金划转记录，核实是否全部纳入财务核算，是否存在个人账户代收公款的情况。

④执行账户完整性验证：对报告期内的银行对账单进行逐笔核对，检查是否有未入账的资金收支，是否存在账外账户的资金划转痕迹。

2.控制点二：资金支付分级授权 —— 杜绝 “一支笔” 审批

资金支付审批是资金内控的核心环节，监管要求发行人必须建立严格的分级授权审批制度，明确不同金额资金支付的审批权限，实行 “制单 – 复核 – 审批” 三级分离，杜绝实控人或财务负责人一人说了算。

（1）常见内控缺陷

①审批权限不明确：未制定明确的分级授权制度，所有资金支付均由实控人或财务总监一人审批，无任何制衡机制。某企业单笔支付 5000 万元的设备采购款，仅由实控人一人签字，无其他任何审批环节。

②不相容职务未分离：出纳同时兼任会计、档案保管、印章保管等职务，可自行完成资金支付的全流程操作。美亚科技出纳一人保管公章、财务专用章、法人名章，十年间累计侵占公司资金近 2000 万元未被发现。

③审批流程倒置：先付款后审批，或由财务人员代签审批意见，审批制度流于形式。某企业 2025 年有 32 笔大额支付，均是先付款后补签审批单，且补签时间与付款时间相差 1-3 个月。

④大额支付无依据：支付大额资金时，仅给予发票，无对应的合同、订单、验收单等支撑材料。迪沙药业项目中，发行人向大量自然人集中支付资金，仅解释为 “营销员借款、代发工资”，未给予任何明细凭证。

（2）内控测试方法

①检查分级授权制度：获取发行人的《资金支付审批制度》，核实是否明确了不同金额的审批权限，是否规定了 “制单 – 复核 – 审批” 的三级流程。

②执行穿行测试：选取报告期内不同金额的资金支付样本，从支付申请开始，追踪至审批、付款、记账的全流程，检查每个环节的审批签字是否完整，是否符合分级授权要求。

③核查不相容职务分离：顺利获得访谈财务人员、查看岗位职责说明书、检查系统权限设置，核实出纳与会计、审批与执行、印章保管与使用等不相容职务是否分离。

④抽查大额支付凭证：抽取报告期内单笔金额超 500 万元的支付凭证，检查是否有完整的支撑材料，包括合同、订单、发票、验收单、入库单等，核实支付的真实性与合理性。

3.控制点三：结算方式合规性 —— 规范个人卡、第三方回款与现金交易

个人卡收支、第三方回款、现金交易是 IPO 流水核查的三大高风险领域，也是内控缺陷的高发区。监管要求发行人必须严格限制个人卡和现金交易的使用范围，规范第三方回款的审批流程，确保所有资金结算均顺利获得对公账户进行。

（1）常见内控缺陷

①个人卡使用泛滥：顺利获得实控人、董监高、财务人员、核心员工的个人账户代收货款、代付成本费用、发放薪酬福利，形成账外账。华道生物顺利获得实控人控制的 6 个个人账户，累计虚增收入 5.43 亿元。

②第三方回款无管控：未建立第三方回款的审批制度，对代付方的身份、代付原因未进行核实，也未签订三方代付协议。信胜科技因第三方回款占比陆续在三年超 15%，且未穿透核查资金来源，IPO 被暂缓审议。

③现金交易不规范：大额现金收支无记录，现金库存账实不符，存在坐支现金、白条抵库等情况。某农业企业 2023-2025 年累计现金交易金额达 8600 万元，无任何交易记录，无法核实资金去向。

④票据管理混乱：开具无真实交易背景的商业票据，顺利获得票据贴现获取资金，或出借票据为他人融资。某企业顺利获得关联方开具无真实交易背景的银行承兑汇票，累计贴现金额达 2.3 亿元，用于实控人个人投资。

（2）内控测试方法

①核查个人卡使用情况：获取报告期内所有用于业务的个人卡流水，检查是否建立了个人卡使用台账，是否及时将资金转入对公账户，是否存在截留、挪用情况。

②检查第三方回款管控：获取第三方回款明细，检查是否有完整的三方代付协议，是否核实了代付方与客户的关系，是否建立了第三方回款的审批流程。

③盘点现金库存：对发行人的库存现金进行突击盘点，核实账实是否相符，检查是否存在白条抵库、坐支现金等情况。

④核查票据管理：获取报告期内所有票据的开立、贴现、背书转让记录，检查是否有真实的交易背景，是否符合票据管理规定。

4.控制点四：资金对账与异常监控 —— 及时发现并处理异常交易

资金对账是确保资金安全、及时发现异常交易的关键环节。监管要求发行人必须建立定期对账制度，每月至少进行一次银行对账，编制银行存款余额调节表，同时建立异常交易监控机制，及时识别并处理大额、异常资金往来。

（1）常见内控缺陷

①银行对账不及时：未按月进行银行对账，或对账不完整，银行存款余额调节表由出纳一人编制，无人复核。某企业 2024 年全年仅进行了 3 次银行对账，且调节表由出纳编制，财务经理从未复核，导致 1200 万元的资金挪用未被及时发现。

②未达账项长期挂账：银行存款余额调节表中的未达账项长期挂账，未及时查明原因并进行处理。某企业有一笔 580 万元的未达账项，挂账时间长达 18 个月，经查实为实控人占用资金。

③无异常交易监控机制：未建立异常交易监控制度，对大额取现、资金快进快出、期末集中回款等异常情况未进行关注。某企业2025年12月28日-31日集中收到回款 1.2亿元，次年1月1日-5日又全部转出，形成 “年末清零式” 资金占用，未被及时发现。

④财务系统与银行系统脱节：财务系统未与银行系统对接，资金数据需人工录入，容易出现录入错误，且无法实时监控资金动态。某企业因人工录入错误，导致银行存款账面余额与实际余额相差3200万元。

（2）内控测试方法

①检查银行对账情况：获取报告期内所有月份的银行对账单和银行存款余额调节表，检查是否按月对账，调节表是否由出纳以外的人员编制并复核，未达账项是否及时处理。

②核实未达账项真实性：对金额较大或挂账时间较长的未达账项，逐一核实其真实性，检查是否有对应的银行凭证，是否存在资金占用或挪用情况。

③测试异常交易监控机制：询问财务人员是否建立了异常交易监控制度，如何识别和处理异常交易，抽取报告期内的异常交易记录，检查是否及时进行了核实和处理。

④核查财务系统与银行系统对接情况：检查财务系统是否与银行系统实现了自动对账，资金数据是否实时同步，是否存在人工录入错误的情况。

5.控制点五：关联方资金往来隔离 —— 严防资金占用与利益输送

关联方资金往来是 IPO 监管的红线，监管要求发行人必须建立严格的关联方资金往来管控制度，禁止关联方以任何形式占用发行人资金，所有关联交易必须履行审批程序并如实披露。

（1）常见内控缺陷

①关联方资金占用：实控人、控股股东及其关联方顺利获得借款、预付款、代垫费用等方式占用发行人资金。中鼎恒盛实控人顺利获得关键岗位人员账户，累计占用发行人资金 6754 万元，用于个人股票投资、购买理财产品。

②关联交易非关联化：顺利获得第三方账户中转，将关联交易伪装成非关联交易，规避监管披露。某企业顺利获得实控人表弟控制的商贸公司，向发行人销售原材料，累计交易金额达9600万元，未披露关联关系。

③关联交易审批不规范：关联交易未履行董事会或股东大会审批程序，或审批程序倒置，先交易后审批。某企业与关联方签订了 1.2 亿元的设备采购合同，未履行董事会审批程序，直到付款时才补签审批文件。

④关联方识别不完整：未将实控人三代以内旁系亲属、前员工、代持主体等纳入关联方范围，导致大量隐性关联交易未披露。某企业未将实控人配偶控制的境外公司纳入关联方，累计发生跨境交易 1.8 亿元，未如实披露。

（2）内控测试方法

①核查关联方清单：获取发行人的关联方清单，顺利获得工商信息穿透、人员关联核查、资金流水比对等方式，核实是否存在未披露的隐性关联方。

②检查关联方资金往来：获取报告期内发行人与所有关联方的资金往来明细，检查是否存在非经营性资金占用，是否存在顺利获得预付款、应收账款等方式变相占用资金的情况。

③核查关联交易审批程序：抽取报告期内所有重大关联交易，检查是否履行了董事会或股东大会审批程序，是否及时进行了信息披露。

④测试关联方识别机制：询问财务人员和法务人员如何识别关联方，是否建立了关联方名单动态更新机制，是否对新发生的交易对手方进行关联关系排查。

三、内控缺陷分级认定与修复方案

根据内控缺陷的严重程度及其对财务报告真实性的影响，可将流水内控缺陷分为一般缺陷、重要缺陷、重大缺陷三个等级，不同等级的缺陷有不同的认定标准和修复要求。

1.缺陷分级认定标准

2.分级修复方案

（1）一般缺陷修复：立行立改，完善流程

a）修复步骤：① 立即纠正发现的问题，补充完善相关审批手续和凭证；② 修订内控制度，明确操作流程和责任分工；③ 对相关人员进行培训，提高合规意识；④ 由保荐组织和会计师进行复核，确认整改到位。

b）整改验证：整改后陆续在3个月未发生类似问题，即可认定为整改有效。

c）披露要求：在招股书 “内部控制” 章节简要披露缺陷情况、整改措施及整改效果。

（2）重要缺陷修复：全面整改，闭环验证

a）修复步骤：① 创建专项整改小组，由财务总监牵头，全面梳理存在的问题；② 彻底停止不规范行为，如注销个人卡、收回关联方占用资金、补缴相关税费；③ 重新设计并完善内控制度，建立有效的制衡机制；④ 对财务团队进行全面培训，更换不称职的财务人员；⑤ 由会计师事务所进行内控专项审计，出具内控鉴证报告。

b）整改验证：整改后需运行满 6 个月，期间未发生类似问题，且会计师出具无保留结论的内控鉴证报告，方可认定为整改有效。

c）披露要求：在招股书 “财务会计信息” 和 “内部控制” 章节专项披露缺陷情况、形成原因、整改过程、整改效果及内控有效性结论。

（3）重大缺陷修复：系统重构，延长报告期

a）修复步骤：①立即终止所有违规行为，收回被占用的资金，补缴税款及滞纳金；②更换财务负责人和核心财务人员，组建新的财务团队；③全面重构资金内控体系，建立 “事前审批、事中监控、事后审计” 的全流程管控机制；④引入第三方咨询组织，协助进行内控体系建设；⑤由会计师事务所对整改后的内控进行全面审计，出具内控鉴证报告；⑥延长报告期 1-2 个完整会计年度，确保整改后内控有效运行。

b）整改验证：整改后需运行满 1-2 个完整会计年度，期间未发生任何内控缺陷，且会计师出具无保留结论的内控鉴证报告，方可重新申报。

c）披露要求：在招股书中详细披露重大缺陷的具体情况、形成原因、整改过程、整改效果及对发行人财务状况和经营成果的影响，充分提示风险。

四、流水内控测试的实操误区与避坑指南

（1）误区一：只看制度不看执行 很多投行团队在进行内控测试时，仅收集企业的内控制度文件，未对制度的执行情况进行验证，导致 “纸面制度完美，实际执行混乱” 的情况未被发现。 避坑指南：必须执行穿行测试和抽样检查，从实际发生的业务入手，验证制度是否真正落地执行。

（2）误区二：抽样比例不足，以偏概全 部分项目组为了节省时间，仅抽取少量样本进行测试，导致大量异常交易未被发现。 避坑指南：对大额资金支付、关联方交易、个人卡收支等高风险交易，必须进行 100% 全量核查；对一般交易，抽样比例不得低于 30%。

（3）误区三：忽视关键岗位的不相容职务分离 很多项目组只关注审批流程，忽视了不相容职务分离的要求，导致出纳侵占资金、财务造假等重大风险未被识别。 避坑指南：必须核查财务人员的岗位职责和系统权限，确保出纳与会计、审批与执行、印章保管与使用等不相容职务严格分离。

（3）误区四：整改验证流于形式 部分项目组在企业完成纸面整改后，就认定为整改有效，未对整改后的执行情况进行持续跟踪验证。 避坑指南：整改后必须进行至少 3 个月的持续监控，检查是否有类似问题复发，确保整改真正落地。

四、结语

2025-2026年IPO严监管背景下，资金内控已成为决定项目成败的关键因素。很多企业 IPO 失败，不是因为业绩不达标，而是因为内控存在重大缺陷，导致财务真实性无法得到保证。流水内控测试的核心价值，不在于发现多少问题，而在于 “防患于未然”—— 顺利获得完善的制度设计和有效的流程管控，从源头杜绝财务造假和资金占用的风险。

对投行团队而言，必须摒弃 “重流水数据、轻内控测试” 的惯性思维，将内控测试贯穿于项目尽调的全流程。从项目进场开始，就帮助企业梳理资金内控存在的问题，制定针对性的整改方案，督促企业建立健全有效的资金内控体系。只有当内控真正有效运行时，流水数据的真实性才有保障，项目才能顺利顺利获得 IPO 审核。

未来，随着监管技术的升级，”大数据+人工智能” 将成为内控测试的重要手段，顺利获得实时监控资金流水、自动识别异常交易，内控测试的效率和精准度将大幅提升。但无论技术如何开展，”实质重于形式” 的监管逻辑不会改变，唯有真正建立健全有效的内部控制体系，才能在资本市场的高质量开展中行稳致远。