- 3 -
上海安硕信息技术股份有限公司2024年度内部控制评价报告
上海安硕信息技术股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称企业内部控制规范体),结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2024年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。 根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。 自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
- 4 -
三、内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括:上海安硕信息技术股份有限公司、北京安硕信息技术有限公司、上海安硕计算机系统集成有限公司、上海安硕数据科技有限公司、苏州安硕软科软件有限公司、北京宏远贵德科技有限公司、上海安硕企业征信服务有限公司、上海安硕金融信息服务有限公司、贵州安硕金融大数据服务有限公司、上海腾华软件技术有限公司、苏州安硕数科数据技术有限公司、上海安硕软件有限公司、安硕国际控股有限公司,纳入评价范围单位资产总额占公司合并财务报表资产总额的99.79%,营业收入合计占公司合并财务报表营业收入总额的99.83%。
纳入评价范围的主要业务包括计算机软件的开发、设计、制作;征信数据的查询和技术服务;相关技术咨询,技术服务等业务。纳入评价范围的主要事项包括公司层面的内部环境、目标管理及风险控制、信息与沟通控制、监督控制等方面,业务层面的采购与付款活动控制、销售与收款活动控制、项目管理控制、研发管理控制、固定资产管理控制、财务管理及报告活动控制、对控股子公司的管理控制、关联交易的控制等;重点关注的高风险领域主要包括销售与收款活动控制、项目管理控制、研发管理控制、关联交易的控制等。
1、内部环境
(1)公司治理与组织架构
根据《公司法》、《证券法》等法律法规的要求,公司建立了较为完善的法人治理结构、权力机构、决策机构、监督机构,与经理层之间权责分明、各司其职、相互制衡、科学决策、协调运作。在公司法人治理方面,公司制定了《公司章程》、《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《独立董事制度》、《总经理工作细则》、《董事会秘书工作规则》、《对外担保管理制度》、《关联交易决策制度》、《投资管理制度》、《募集资金管理制度》和《信息披露管理制度》等重大规章制度,并在实际经营中严格遵照执行,以保证公司规范运作,健康发展。董事会下属四个专门委员会:董事会战略委员会、董事会提名委员会、董事会审计委员会、董事会薪酬与绩效考核委员会。公司股权多元化,董事、监事来源多样化,治理结构进一步完善,股东大会、董事会、监事会决策的科学性、高效性得到提高。经股东大会表决通过,公司聘请了三位声誉显著、有在上市公司担任独董经验的专家学者为独立董事,占董事
- 5 -
会成员的三分之一;监事会共有3位监事,其中一位是职工监事。
公司已建立了销售部、研发部、项目部、咨询部、质量管理部、支持服务部、人力资源部、财务部、行政管理部等内部组织管理机构。并明确了各部门权责分明,确保控制措施有效执行,明确规定了各部门主要职责,形成各司其职、各负其责、相互配合、相互制约、相互监督的内部控制体系。公司利用自身的IT技术优势,设计开发了内部的业务流程管理软件,并对各活动的授权审批、审核权限做了明确的设定,从技术上保障了公司经营活动的合理、合规。
(2)组织结构图:
(3)内部审计机构设置
公司设有董事会审计委员会和内部审计部,负责对经营活动和内部控制制度执行情况的监督和检查,提出改进建议和处理意见,确保内部控制的严格贯彻实施和经营活动的正常进行。
(4)企业文化
公司的经营宗旨是以客户满意为宗旨,以产品研发为支撑,以长期优质服务为基础,以高效运营为手段,合理运用资本要素,切实承担社会责任,确保股东和相关方利益,通过不断努力成为有一定行业影响的公司。经营宗旨是内在文化的外在反映,公司通过抓产品质量
- 6 -
和服务质量提高客户满意度,以精益运营作为客户满意、公司盈利和防范经营风险的基础。鼓励创新和持续研发是高新技术企业长期发展的基石,对于软件产业来说,新技术应用和新产品开发是保持公司竞争力和长期发展的关键,因此,公司研发投入、组织、人员上予以保证,并将技术产品的开发与用户实施、售后服务结合起来,在开发阶段即平衡了实施和维护期间的成本,降低产品寿命周期的费用。软件行业的竞争核心最终是人才的竞争,为了留住优秀人才,公司不仅搭建可以施展人才自身特长的舞台、以事业留人,而且通过股权激励、以真正“主人翁”精神留人。
(5)人力资源管理
根据《劳动法》、《劳动合同法》及有关法律法规规定,公司实行劳动合同制,并注重保护女职工的合法权益。对人员录用、员工培训、工资薪酬、福利保障、绩效考核、内部调动、职务升迁等进行了详细规定,并建立了一套完善的绩效考核体系。科学有效的人力资源管理为公司吸引、保留高素质人才提供了有力的保障。
2、目标管理及风险控制
(1)目标管理
建立和完善符合现代管理要求的公司治理结构及内部组织架构,形成科学的决策机制、执行机制和监督机制,保证公司经营管理目标的实现;建立有效的风险控制系统,强化风险管理,保证公司各项经营业务活动的正常有序运行;建立良好的公司内部经营环境,防止并及时发现、纠正各种错误、舞弊行为,保护公司财产的安全、完整,减少跑冒滴漏,保证股东利益的最大化;确保国家有关法律法规和公司内部控制制度的贯彻执行。
(2)风险识别与评估
公司通过建立科学的技术、产品风险识别与评估体系,对公司和各职能部门在企业经营过程中的风险因素提供应对指导,通过风险识别与评估体系的规范化和制度化,确保公司和各职能部门使用统一的识别与评估体系对产品、技术、供应商风险辨识结果进行描述。利用历史事件诸如投诉、服务价格波动等,关注未来事件诸如项目条件变化、技术开发内容变化以及竞争者行为等对风险进行趋势分析和关注。建立技术、产品文件和软件保密制度、产品合同与项目实施过程数据库,通过事件列表、事件分类、内部分析、推动讨论和会谈、流程分析等方法进行风险识别与评估,确定风险因素发展的趋势和根源,并提前采取应对措施,降低风险隐患。定期评估风险识别方法的科学性和系统性,对不适用的方法进行修正和完善。
- 7 -
(3)风险对策
公司针对各种风险更强调事前控制,建立确定了风险应对措施的程序和方法,对具有较高发生概率、影响重大的风险优先考虑。建立一套广泛适应的风险决策判断标准,即根据风险严重程度和公司的风险承受能力确定不同的决策。公司对降低风险水平所需成本进行合理分析,评估可能的风险应对措施的成本与效益。公司选定风险处理措施后,根据剩余风险重新校订风险。确定各职能部门的风险处理权限,超出权限的应及时报送上级部门进行处理;重大风险应提交审计委员会进行风险应对措施决策。
3、信息与沟通控制
公司通过总经理办公会、部门会议、宣传简报、项目周报、跨部门任务小组、邮件、内网公告等形式,迅速有效地对经营活动中出现的重要信息进行上传下达,但需要保密的信息除外。例如:重大项目进展、外部经营环境变化(包括产品价格、政策或法律法规规章发生重大变化等)、重大投资项目等。针对有需要的情况会辅之以内部文件的形式进行信息的传递。上述信息传递报告制度能有效的增强内部管理的针对性和时效性,在执行过程中公司建立了合理的传递程序,确保信息传递的畅通和及时,确保内部控制的有效实施。
4、监督控制
公司在董事会下设立了审计委员会,在审计委员会下设内部审计部,制定了内部审计制度和审计岗位工作职责,明确了专职内部审计人员在内部监督中的职责权限以及内部监督的程序、方法和要求。在日常监督中,内部审计部主要对公司内部控制制度设计的健全性和适宜性、内部控制执行的有效性进行监督和检查,同时对公司发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况,进行内部控制某些方面有针对性的专项监督检查。对监督检查中发现的内部控制一般缺陷,内部审计部按照公司审计工作程序进行报告,并提出相应的改进建议和处理意见,对在监督检查中发现的内部控制重大缺陷,内部审计部负责人可直接向董事会及其审计委员会、监事会报告,确保了内部控制的严格贯彻实施和经营活动的正常进行。
5、采购与付款活动控制
公司建立了采购与付款业务的岗位责任制,明确相关部门和岗位的职责、权限,确保办理采购与付款业务的不相容岗位相互分离、制约和监督。采购申请由使用部门根据需要编制,采购人员负责询价和招标,技术/使用部门和行政部门负责采购物资的验收和保管,财务部门
- 8 -
负责办理采购款项的支付。
6、销售与收款活动控制
公司建立了明确的销售与收款业务岗位责任制,明确了相关部门和岗位的职责权限,确保办理销售与收款业务的不相容岗位相互分离、制约和监督。客户信用评估由公司销售部门和财务部门办理,销售政策由总经理和销售部制定、销售部负责执行。加强报价审核机制,争取销售合同利润空间。销售业务记录由财务部门办理,严格规定并执行了相关档案、资料的接触权限。
7、项目管理控制
公司建立了项目管理制度,明确了项目执行过程中的关键控制点、项目管理权责、项目过程管理制度、项目日常管理制度等。项目管理信息及时通过公司业务流程管理软件反馈到其他相关部门。公司全面加强了项目预算管理,成本管理贯穿项目整个生命周期。每个项目从销售线索、对外投标报价开始,必需合理预计需投入的公司资源,明确预算目标的具体责任人和执行结果的奖惩机制。公司设有专岗持续跟踪预算执行情况,从签订合同、项目组入场、直至项目上线验收、收款结束,多角度分析预算合理性并提出项目管理建议。
项目管理关键控制点:新项目的启动需经过立项评审;项目的需求说明书需经过需求评审;对项目测试、上线、验收等关键里程碑需进行提前跟踪,确认执行情况及后续计划,对出现的风险和问题及时安排处理;项目终结时需重点做好总结工作。
项目管理权限:明确了总经理、财务负责人、项目部总经理、分管项目总监、项目经理、PMO等重要角色的职责,以及工作流程。
项目过程管理制度:分为项目立项程序、需求评审程序、公司内部测试程序、上线确认程序、项目验收程序、项目备案与总结程序等六个关键节点,信息及时报告和反馈。
项目日常管理制度:规定了项目执行过程中的立项申请、人力调动、文档管理、差旅住宿、项目跟踪、项目预算、结项收款等日常事项。
8、研发管理控制
公司制定了研发管理、知识产权保护等一系列规章制度,严格执行项目的立项、调研、开发等工作,并且形成了分阶段报告、跟踪研发进度和评估阶段性成果的机制。严格归集研发成本到具体项目满足会计核算需要。
9、固定资产管理控制
上海安硕信息技术股份有限公司
2024年度内部控制评价报告
- 9 -
公司建立了明确的固定资产管理岗位责任制,明确了相关部门和岗位的职责权限,确保办理固定资产业务的不相容岗位相互分离、制约和监督。固定资产采购申请由使用部门根据需要编制,公司分管领导/总经理/董事长审批,采购人员负责询价和招标,使用部门和行政部门负责采购固定资产的验收和保管,财务部门负责办理采购款项的支付、折旧的计提。
10、财务管理及报告活动控制
公司按照《中华人民共和国会计法》、《企业会计准则》及有关规定,结合本公司实际情况制订了《财务管理制度》与《财务会计核算办法》。其内容包括财务会计政策、财务预算、财务控制、成本核算、资金控制、资产管理、会计报告等管理规定,规范了公司的会计核算和财务管理,真实完整地记录了公司会计信息,保证了定期报告中财务数据的及时有效与真实可靠,加强了公司财务监控力度,确保公司资产的使用效率和安全性。
11、对控股子公司的管理控制
公司对控股子公司在财务会计、人事管理、销售政策上进行统一管理。公司对子公司完善年度预算目标和绩效考核机制。在资金使用上实行预算管理,对于预算外的大额开支需上报公司获批后方能开支,对销售收款严格进行专户管理,通过每月报送子公司财务报表和资金收支进度表来对子公司的资金、销售、支出等业务进行监控。
12、关联交易的控制
公司的《章程》、《关联交易决策制度》、《股东大会议事规则》、《董事会议事规则》和《独立董事制度》分别从不同的角度对关联交易决策做出了比较完整的制度安排。通过上述制度的规定,公司最大限度的减少了关联交易量,对实际发生的关联交易按照公开、公平、公允的原则,最大限度的保护投资者的利益。
13、募集资金使用的控制
公司制定了《募集资金管理制度》,根据《募集资金管理制度》的要求,公司募集资金的存放坚持集中存放、便于监督管理的原则。在募集资金到位后与保荐机构、存放募集资金的商业银行签订三方监管协议,公司在协议签订后报告交易所备案并公告。
募集资金必须严格按照招股说明书中或募集说明书或其他募集文件中承诺的投资项目、投资金额和投入时间来使用。专款专用,不得挪作他用。闲置募集资金,在暂时补充流动资金时,仅限于与主营业务相关的生产经营使用,不得通过直接、间接的安排用于新股的配售、申购,或用于股票及衍生品种、可转换公司债券的交易,不得将募集资金用于委托理财、质
- 10 -
押或抵押贷款、委托贷款或其他变相改变募集资金用途的投资。公司按照发行申请文件中承诺的募集资金投资计划使用募集资金。出现严重影响募集资金投资计划正常进行的情形时,公司将及时向交易所报告并公告。公司经董事会审议、股东大会决议通过后方可变更募集资金投向,变更后的募集资金投向原则上应投资于主营业务。仅变更募投项目实施地点的,经公司董事会审议通过。经董事会审计委员会、监事会或独立董事同意,可以聘请注册会计师对募集资金存放与使用情况进行专项审核,出具专项审核报告。
14、信息披露的控制
公司制定了《信息披露管理制度》。对重大信息的范围和内容、信息披露的信息收集和内部报告机制以及公平信息披露的原则做出明确规定,同时授权公司董事会办公室为公司信息披露的专职管理部门、并明确了相关岗位的信息披露职责。公司对外披露信息,其内容包括但不限于下列内容:
(1)定期报告,是指公司根据监管机构要求在指定时间内披露的年度财务报告和中期财务报告;
(2)临时报告,是指公司根据监管机构要求披露的除定期报告以外的信息,主要包括股东大会的通知和决议,需要公告的董事会决议、监事会决议,重大资产收购、出售、处置,重大重组,关联交易,重大诉讼及行政处罚,重大担保行为,重大合同的订立、变更及终止等;
(3)日常信息披露,是指公司发生的需要对外披露的重大活动,如新闻发布会、签字仪式、外事活动等,以及生产经营、科技进步、重大合资合作等方面的重要事件。
公司根据定期报告披露时间,制定定期报告披露工作计划,及时编制定期报告,连同审计报告(不需审计的除外)一并报董事长审核,经董事会批准并形成决议文件后,予以对外披露。需要对外披露的临时报告,应当由发生该事件或交易事项的部门提出书面议案,经公司内部相关部门会签,董事长审核后,提交董事会审议。必要时可召开股东大会对重大临时报告议案进行审议,并按规定程序予以披露。对于监管机构需要公司澄清的信息以及公司欲主动澄清的信息,应当立即组织制定应急澄清方案并编制信息披露内容,经董事长(或董事会秘书)审定后,予以对外披露。
综上所述,公司上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重
- 11 -
大遗漏。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及内部评价办法、各项内部管理制度组织开展内部控制评价工作。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1.财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下:
| 缺陷类别判断类别 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 资产总额 | 失控金额≥资产总额的1% | 资产总额的0.5%≤失控金额<资产总额的1% | 失控金额<资产总额的0.5% |
| 主营业务收入 | 失控金额≥主营业务收入总额的1.5% | 主营业务收入总额的1%≤失控金额<主营业务收入总额的1.5% | 失控金额<主营业务收入总额的1% |
| 净利润 | 失控金额≥净利润总额的10% | 净利润总额的5%≤失控金额<净利润总额的10% | 失控金额<净利润总额的5% |
公司确定的财务报告内部控制缺陷评价的定性标准如下:
财务报告重大缺陷的迹象包括:
(1)发现董事、监事和高级管理人员在公司管理活动中存在舞弊行为;
(2)已经公布的财务报告存在重大变更、当期财务报表存在重大错报;
(3)注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报;
(4)内部控制的监督无效、重要业务缺乏控制以及重大缺陷未得到整改;
(5)因会计差错导致证券监督机构的行政处罚。
财务报告重要缺陷的迹象包括:
(1)未依照公认会计准则选择和应用会计政策;
(2)未建立反舞弊程序和控制措施;
(3)对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;
(4)对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表
- 12 -
达到真实、完整的目标。
一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
2.非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
| 缺陷类别判断类别 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 经济损失 | 200万元及以上 | 50万元(含50万元) 至200万元之间 | 50万元以下 |
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
非财务报告内部控制重大缺陷:
(1) 严重违反国家法律法规并受到处罚;
(2) 核心管理人员或核心技术人员纷纷流失;
(3) 内部控制评价的重大缺陷未得到整改;
(4) 重要业务缺乏制度控制或制度系统性失效;
(5) 特大质量事故、重大安全事故;
(6) 媒体频现负面新闻,涉及面广;
(7) 决策程序导致重大失误。
非财务报告内容控制重要缺陷:
(1) 违反内部规章,形成损失;
(2) 关键岗位业务人员流失严重;
(3) 内部控制评价的重要缺陷未得到整改;
(4) 重要业务制度控制或系统存在缺陷;
(5) 媒体出现负面新闻,涉及局部;
(6) 决策程序导致一般失误。
非财务报告内部控制一般缺陷:除上述重大缺陷,重要缺陷之外的其他控制缺陷。
(三)内部控制缺陷认定及整改情况
1.财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷、重要缺陷。
2.非财务报告内部控制缺陷认定及整改情况
上海安硕信息技术股份有限公司
2024年度内部控制评价报告
- 13 -
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制重大缺陷、重要缺陷。
四、其他内部控制相关重大事项说明
报告期内无其他内部控制相关重大事项。
上海安硕信息技术股份有限公司二○二五年四月二十五日