中国国际金融股份有限公司
关于暴风集团股份有限公司
2017 年度内部控制自我评价报告的核查意见
中国国际金融股份有限公司(以下简称“中金公司”、“保荐机构”)作为暴
风集团股份有限公司(以下简称“暴风集团”、“公司”,前称“北京暴风科技股
份有限公司”)首次公开发行 A 股股票并在创业板上市的保荐机构,根据《证券
发行上市保荐业务管理办法》、《深圳证券交易所创业板股票上市规则(2014 年
修订)》、《深圳证券交易所创业板上市公司规范运作指引(2015 年修订)》以及
《企业内部控制基本规范》等有关法律法规和规范性文件的要求,对暴风集团董
事会出具的《2017 年度内部控制自我评价报告》进行了核查,并发表了如下核
查意见:
一、公司内部控制制度与控制程序
公司按上海证券交易所与深圳证券交易所颁布的《上市公司内部控制指引》
及财政部等五部委颁布的《企业内部控制基本规范》等相关法规的要求设计与建
立公司的内部控制制度与控制体系。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及
相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存
在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化
可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部
控制评价结果推测未来内部控制的有效性具有一定的风险。
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风
险领域。
纳入评价范围的主要单位包括:公司及天津鑫影科技有限公司、暴风秘境科
技(天津)有限公司、深圳暴风统帅科技有限公司、暴风(天津)投资管理有限
公司、天津暴风创新投资管理有限公司、北京风秀科技有限公司、卓智盛世(北
京)科技有限公司、北京奔流网络信息技术有限公司、暴风国际(香港)有限公
司、天津暴风时代科技有限公司、暴风影业(北京)有限责任公司、暴风起源(天
津)投资管理有限公司、珠海暴风梧桐投资管理有限公司、暴风文化传播(天津)
有限公司、霍尔果斯暴风影业有限公司、东莞暴风智能科技有限公司。纳入评价
范围单位资产总额占公司合并财务报表资产总额的 100%,营业收入合计占公司
合并财务报表营业收入总额的 100%。
纳入评价范围的主要业务和事项包括:控制环境、风险评估、控制活动、信
息与沟通、监督等要素, 具体包括公司经营业务涉及的与财务报表相关的内部控
制:组织架构、人力资源、企业文化、资金活动、采购业务、资产管理、销售业
务、税收管理、研究与开发、财务报告、关联交易、合同管理、重大投资、全面
预算、信息系统、内部信息传递。
重点关注的高风险领域主要包括:控股子公司管理风险、应收账款风险、重
大关联交易风险、财务报告质量、重大投资(并购)风险、信息披露风险、技术
风险。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理
的主要方面,不存在重大遗漏。
1、控制环境
公司已按照《中华人民共和国公司法》(以下简称“《公司法》”)、《中华人民
共和国证券法》(以下简称“《证券法》”)和有关监管部门的要求及《暴风集团股
份有限公司章程》的规定,并依据自身实际情况,建立了股东大会、管理层、监
事会以及在管理层领导下的经营团队,并形成了由各职能部门组成的经营框架。
股东大会为本公司的最高权力机构,董事会为股东大会的常设权力机构,监
事会为股东大会的派出监督机构。公司合理确定了各组织单位的形式和性质,并
贯彻了不相容职务相分离的原则,比较科学地划分了每个组织单位内部的责任权
限,形成了相互制衡机制。同时,切实做到与公司控股股东“五独立”,建立了
较为合理的决策机制并规定了重大事项的决策方法:
公司制定了《股东大会议事规则》,对股东大会的职权、提案和议案、会议
通知与登记、召开、表决和决议、记录和公告等作了明确的规定。制定了《董事
会议事规则》、《独立董事制度》,对董事会的组成和职权、召开、表决和决议、
专门委员会的设立和职责、独立董事的构成、遴选、职责等作了明确的规定。制
定了《监事会议事规则》,对监事会的组成和职权、召开、表决和决议等作了明
确的规定。制定了《总经理工作细则》,对总经理及高级管理人员的任职条件、
职责分工、管理权限等作了明确的规定。
公司已按《公司法》、《会计法》、企业会计准则等法律及其补充规定的要求
制订适合公司的会计制度和财务管理制度,并明确制订了《财务管理制度》、《货
币资金管理制度》、《采购与付款管理制度》、《销售与收款管理制度》、《固定资产
管理制度》、《研发核算管理制度》、《筹资管理制度》、《对外投资管理办法》、《关
联交易管理制度》、《对外担保管理办法》、《信息披露事务管理办法》、《内部审计
制度》、《财务负责人制度》、《重大投资项目异常情况及时报告制度》、《募集资金
管理办法》等公司治理文件。
2、风险评估过程
公司制定了长远整体目标,同时辅以具体的经营目标和计划,并向全体员工
传达。公司建立了有效的风险评估过程,并对识别的公司可能遇到的经营风险、
环境风险、财务风险等能够及时发现并采取应对措施。
3、信息系统与沟通
公司为向管理层及时有效地提供业绩报告建立了符合自身特点的信息系统,
并对信息系统的运行、维护、更新等进行管理,确保信息传递的及时、有效、规
范,信息系统人员恪尽职守、勤勉工作,能够有效地履行赋予的职责。公司通过
执行《信息披露管理办法》、《重大信息内部报告制度》等制度,严格规范信息的
传递与使用,确保对外信息披露的公平、完整。
公司建立了有效沟通渠道和沟通机制,明确了信息收集、处理和传递程序、
传递范围,确保对信息的合理筛选、核对、分析、整合,保证信息的及时、有效,
使管理层能够及时获取员工的职责履行情况,并与客户、供应商、监管部门和其
他外部单位保持及时有效沟通,使管理层面对各种变化能够及时采取适当的进一
步行动。
4、控制活动
公司的主要业务活动都有明确目标,为合理保证各项目标的实现,公司建立
了相关的控制政策和程序,主要包括:交易授权控制、不相容职务相互分离控制、
凭证与记录控制、财产保全控制、独立稽查控制、风险控制等。
(1)交易授权批准控制:明确了授权批准的范围、权限、程序、责任等相
关内容,单位内部的各级管理层必须在授权范围内行使相应的职权,经办人员也
必须在授权范围内办理经济业务。
公司根据交易的不同性质分别采取一般授权、特别授权两种模式。对于一般
性的购销、费用报销等业务采用各职能部门和分管主管逐级授权审批制度,对于
非常规性交易,如对外投资、发行股票、资产重组、转让股权、关联交易等重大
交易,按不同的交易额由董事会、股东大会审批。
(2)不相容职务相互分离控制:建立了岗位责任制度和内部牵制制度,通
过权力、职责的划分,制定了各组成部分及其成员岗位责任制,以防止差错及舞
弊行为的发生,按照合理设置分工,科学划分职责权限,贯彻不相容职务相分离
及每个人的工作能自动检查另一个人或更多人工作的原则,形成相互制衡机制。
不相容的职务主要包括:授权批准、业务经办、会计记录、财产保管、监督检查
等。如某些会计职责的分工,往来账项的总账和明细账由不同的人员记录,出纳
与会计不得兼任;将各项交易业务的授权审批与具体经办分离;将电子数据处理
系统的维护管理与业务操作分离等。
(3)凭证与记录控制:公司严格审核原始凭证并合理制定了凭证流转程序,
要求交易执行应及时编制有关凭证并送交会计部门记录,已登账凭证应依序归档。
在外部凭证的取得及审核方面,根据各部门、各岗位的职责划分建立了较为完整
的相互审核制度,基本有效杜绝了不合格凭证流入企业内部。
(4)财产保全控制:严格限制未经授权的人员对财产的直接接触,采取定
期盘点、财产记录、账实核对、财产保险等措施,以使各种财产安全完整。
(5)独立稽查控制:公司设置专门的内审部门,对公司及各分子公司、办
事处的内部控制制度的健全、有效及执行情况;国家法律法规、公司各项管理制
度执行情况进行监督。
(6)风险控制:制定了较为完整的风险控制管理规定,对公司财务结构的
确定、筹资结构的安排、筹资成本的估算和筹资的偿还计划等基本做到事先评估、
事中监督、事后考核;对各种债权投资和股权投资都要作可行性研究并根据项目
和金额大小确定审批权限,对投资过程中可能出现的负面因素制定应对预案;建
立了财务风险预警制度与经济合同管理制度,以加强对信用风险与合同风险的评
估与控制。
(7)电子信息系统控制:公司已制定了较为严格的电子信息系统控制制度,
在电子信息系统开发与维护、数据输入与输出、文件储存与保管等方面做了较多
的工作。
5、对控制的监督
公司对控制的监督主要包括董事会、审计委员会监督。公司定期对各项内部
控制制度进行评价,以获取其有效运行或存在缺陷的证据,并对发现的内部控制
缺陷及时采取措施予以纠正。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及《企业内部控制应用指引》、《企业内部控
制评价指引》、《公司法》、《证券法》等相关法律、法规及规范性文件的要求,结
合自身实际情况,组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的
认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务
报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷
具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
重要程度 一般缺陷 重要缺陷 重大缺陷
营业收入潜在错报 错报≤营业收入 2% 营业收入 2%<错报≤营业收入 5% 错报>营业收入 5%
资产总额潜在错报 错报≤资产总额 2% 资产总额 2%<错报≤资产总额 5% 错报>资产总额 5%
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
1)重大缺陷:控制环境无效;公司董事、监事和高级管理人员舞弊并给企
业造成重要损失和不利影响;对已经公告的财务报告出现重大差错而进行的差错
更正;当期财务报告存在重大差错,而内部控制运行过程中未发现该差错;董事
会或其授权机构及内审部对公司的内部控制监督无效。
2)重要缺陷:未依照公认会计准则选择和应用会计政策;未建立反舞弊程
序和控制措施;对于非常规或特殊交易的账务处理没有建立相应的控制机制或没
有实施且没有相应的补偿性控制;对于期末财务报告过程的控制存在一项或多项
缺陷且不能合理保证编制的财务报表达到真实、准确的目标。
3)一般缺陷:不构成重大缺陷和重要缺陷的财务报告内部控制缺陷,应认
定为一般缺陷。
2、非财务报告内部控制缺陷认定标准
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价
的定量标准执行。
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
1)重大缺陷: 重大事项违反决策程序出现重大失误;违反国家法律、法规,
受到政府部门处罚,且对公司定期报告披露造成重大负面影响;高级管理人员和
高级技术人员流失严重;媒体负面新闻频现,情况属实,造成重大社会影响;重
要业务缺乏制度控制或制度系统性失效,造成按定量标准认定的重大损失,公司
内部控制重大缺陷未得到整改。
2)重要缺陷: 主决策程序存在但不够完善或决策程序出现失误;违反国家
法律、法规,受到政府部门处罚,但未对公司定期报告披露造成负面影响;重要
业务制度执行中存在较大缺陷;关键岗位业务人员流失严重;媒体出现负面新闻,
波及局部区域;公司内部控制重要缺陷未得到整改。
3)一般缺陷:公司决策程序效率不高,影响公司生产经营;公司员工违反
内部规章,给公司造成一般损失;媒体出现负面新闻,但影响不大;公司一般业
务制度或系统存在缺陷;公司内部控制一般缺陷未得到整改。
二、公司管理层对内部控制制度的自我评价
公司管理层认为,根据上述财务报告内部控制缺陷的认定标准,报告期内公
司不存在财务报告内部控制重大缺陷和重要缺陷,公司内部控制合理有效;根据
上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部
控制重大缺陷和重要缺陷,公司内部控制合理有效。
三、会计师对暴风集团内部控制的鉴证意见
大华会计师事务所对暴风集团 2017 年 12 月 31 日与财务报表相关的内部控
制的自我评价报告执行了鉴证工作,并出具了《内部控制鉴证报告》,认为:暴
风集团按照财政部等五部委颁发的《企业内部控制基本规范》及相关规定于 2017
年 12 月 31 日在所有重大方面保持了与财务报表相关的有效的内部控制。
四、保荐机构对公司《2017 年度内部控制自我评价报告》的核查意见及建议
保荐机构主要通过以下方式,从内部控制的环境、关键内部控制制度的建立
和实施、内部控制的监督等多方面对暴风集团的内部控制合规性和有效性进行了
核查:
1、列席部分“三会”会议,查阅公司的“三会”会议资料;
2、查阅公司各项业务和管理制度及内控制度、信息披露文件等资料;
3、抽查公司会计账册、会计凭证、商务合同、银行对账单;
4、调查公司内部审计工作情况;
5、与公司董事、监事、高级管理人员、会计师事务所就重点问题进行沟通;
6、现场检查内部控制的运行和实施等途径。
通过核查,保荐机构认为:公司按照《企业内部控制基本规范》及相关规定
于 2017 年 12 月 31 日在所有重大方面保持了与财务报表相关的有效的内部控制。
同时,保荐机构关注到公司报告期内存在个别关联交易未及时履行关联交易
审批流程、交易决策程序不够完善、关联方经营性欠款未及时收回等情况,公司
在采购、销售和信用管理、交易决策与审批流程控制等方面存在改进空间。保荐
机构就上述事项已督促公司进行相应整改和完善。建议公司未来进一步加强相关
环节的管控。
(此页无正文,为《中国国际金融股份有限公司关于暴风集团股份有限公司 2017
年度内部控制自我评价报告的核查意见》之签署页)
保荐代表人:
杜祎清 李懿范
中国国际金融股份有限公司
年 月 日
