绿盟科技集团股份有限公司 |
2023年12月31日 |
内部控制鉴证报告 |
索引 | 页码 |
内部控制鉴证报告 | 1-2 |
内部控制自我评价报告 | 1-9 |
内部控制鉴证报告
XYZH/2024TJAA5B0048绿盟科技集团股份有限公司绿盟科技集团股份有限公司全体股东:
我们接受委托,对后附的绿盟科技集团股份有限公司(以下简称绿盟科技公司)董事会按照《企业内部控制基本规范》及相关规定对2023年12月31日与财务报表相关的内部控制的自我评价报告执行了鉴证工作。
绿盟科技公司董事会的责任是按照《企业内部控制基本规范》及相关规定建立健全内部控制并保持其有效性,以及保证自我评估报告真实、准确、完整地反映与财务报表相关的内部控制。我们的责任是对绿盟科技公司与财务报表相关的内部控制有效性发表鉴证意见。
我们按照《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》的规定执行了鉴证工作,以对与财务报表相关的内部控制度有效性是否不存在重大错报获取合理保证。在执行鉴证工作的过程中,我们实施了包括了解、测试和评价内部控制设计的合理性和执行的有效性,以及我们认为必要的其他程序。我们相信,我们的鉴证工作为发表意见提供了合理的基础。
内部控制具有固有限制,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制鉴证结果推测未来内部控制有效性具有一定风险。
我们认为,绿盟科技公司按照《企业内部控制基本规范》及相关规定于2023年12月31日在所有重大方面保持了与财务报表相关的有效的内部控制。
内部控制鉴证报告(续) YZH/2024TJAA5B0048
绿盟科技集团股份有限公司
本页无正文,系关于绿盟科技集团股份有限公司XYZH/2024TJAA5B0048号内部控制鉴证报告之签字页。
信永中和会计师事务所(特殊普通合伙) | 中国注册会计师:胡振雷 (项目合伙人) | |
中国注册会计师:王志喜 | ||
中国 北京 | 二○二四年四月二十四日 |
绿盟科技集团股份有限公司2023年度内部控制自我评价报告
绿盟科技集团股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合绿盟科技集团股份有限公司(以下简称“公司”)内部控制制度和评价方法,在内部控制日常监督和专项监督的基础上,我们对公司2023年12月31日(内部控制评价报告基准日)的内部控制有效性进行了自我评价。
一、 重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,公司不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响公司内部控制有效性评价结论的因素。
三、 内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的单位包括:公司以及纳入合并范围的全部子公司。纳入评价范围单位的资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入
总额的100%。按照企业内部控制规范体系的要求,内部评价围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,内容涵盖了公司生产经营管理的主要方面。评价过程中遵循了全面性、重要性、客观性的评价原则。重点关注的高风险领域有资金管理、资产管理、销售管理、投资活动、信息披露等模块。上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系,并结合公司内部控制制度组织开展内部控制评价工作。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、 财务报告内部控制缺陷认定标准
(1) 定性标准:
评价等级 | 定性标准 |
重大缺陷 | ① 公司董事、监事和高级管理人员的舞弊行为; ② 公司更正已公布的财务报告; ③ 注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报; ④ 审计委员会和审计部门对财务报告内部控制的监督无效。 |
重要缺陷 | ① 未依照公认会计准则选择和应用会计政策; ② 未建立反舞弊程序和控制措施; ③ 对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制; ④ 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。 |
一般缺陷 | 除上述重大缺陷、重要缺陷之外的其他控制缺陷。 |
(2)定量标准:
定量标准以合并财务报表的营业收入、资产总额作为衡量指标。内部控制缺陷可能导致或导致的损失或错报与利润表相关的,以营业收入指标衡量,与资产管理等相关的,以资产总额指标衡量,在同时适用时,指标应用采取孰低原则。控制缺陷单独或连同其他缺陷一起可能导致或导致的损失或财务报告错报金额与缺陷评价等级的关系如下:
评价等级 | 定量标准 |
重大缺陷 | ① 损失或错报≥营业收入的5%;或, ② 损失或错报≥资产总额的5% |
评价等级 | 定量标准 |
重要缺陷 | ① 营业收入的5%>损失或错报≥营业收入的3%;或, ② 资产总额的5%>损失或错报≥资产总额的3% |
一般缺陷 | ① 营业收入的3%>损失或错报;或, ② 资产总额的3%>损失或错报 |
2、 非财务报告内部控制缺陷认定标准
(1)定性标准:
公司非财务报告内部控制缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判定。
评价等级 | 定性标准 |
重大缺陷 | 缺陷发生的可能性大,会严重降低工作效率或效果,或严重加大效果的不确定性,或使之严重偏离战略目标。 |
重要缺陷 | 缺陷发生的可能性较大,会显著降低工作效率或效果,或显著加大效果的不确定性,或使之显著偏离战略目标。 |
一般缺陷 | 缺陷发生的可能性较小,会降低工作效率或效果,或加大效果的不确定性,或使之偏离战略目标。 |
(2) 定量标准:
公司非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的定量标准执行。
(三)内部控制评价具体工作情况
1、内部控制环境
(1)公司治理
公司按照《公司法》及有关法规的要求建立了股东大会、董事会、监事会以及在董事会领导下的管理层这一决策和管理体系,并建立健全了独立董事制度。按照《上市公司治理准则》和《上市公司独立董事规则》等要求,公司建立了以《公司章程》为基础,以股东大会、董事会、监事会“三会”议事规则等为主要架构的规章体系,并根据相关规定对董事会领导下的各层级组织进行了明确的授权,使各方在议事规则和授权范围内有序开展工作。公司治理的实际状况符合中国证监会发布的有关上市公司治理的规范文件要求。
(2)发展战略
公司长期以来坚持明确的发展战略:在全球范围内,提供基于自身核心竞争力的企业级网络安全解决方案,成为最受客户信赖的网络安全公司。该发展战略密切围绕公司主业,并考虑了公司的实际能力。公司设立了集团战略管理委员会,定期组织战略规划研讨,对战略的健康性和执行情况进行审视。公司始终严谨科学地进行业务规划和预算编制,将战略落实为长期和短期的工作计划予以实施。
(3)企业文化
公司经历二十多年的发展,凝聚了一批具有同样价值观的同伴,在“专攻术业,成就所托”的愿景鼓舞下,在专业领域不断精进。公司的核心价值观强调责任感,即要忠于职守、尽心尽责,同时强调专业精神、创新精神、团队精神和共同发展。公司建立有《员工手册》、《廉洁从业管理制度》等,对每个新员工进行培训,内容涵盖公司价值观、文化、廉洁等各方面,并签署《遵纪守法&廉洁自律承诺书》。公司建立有绿盟科技大学,每年组织多种多样培训,不断向员工传递公司文化和价值观。
(4)人力资源
公司高度重视各岗位所需的核心技能、知识、绩效、经验和成果的设定的合理性,于2021年确立了公司任职资格等级框架及按照不同序列的各等级的任职资格标准,完成了全员的任职资格评定及人岗匹配工作,以使任职人员具有相应的胜任能力,以确保各岗位人员不会因专业胜任能力不足而发生失误和差错。公司通过绿盟科技大学、网络安全学院等培训平台,针对不同岗位所需的专业技能、管理技能等展开多种形式的培训、大比武等活动,促使员工们不断进步。
为了适应公司的发展,不断增加公司的市场竞争力,公司每年制定人才引进目标,通过完善的聘用政策,2023年为公司关键岗位引进了专业人才。同时,为了吸引和留住优秀人才,公司不断优化激励机制,短期激励和长期激励相结合,并不断优化业绩考核指标体系,充分调动员工积极性,公平公正选拔干部,为公司经营目标实现提供合格人员保证。
(5)信息系统
公司IT管理中心统一负责公司信息系统的规划、建设和维护。先后建立了《IT规划与需求管理》、《IT项目管理》、《IT开发管理》、《系统运维管理》、《数据与权限管理》等制度,并严格依照执行。另外公司设有独立于IT管理中心的信息安全管理部,系统上线前均要经过该部门检查测试。通过这些方式合理保障了公司信息系统的开发质量、安全性和持续正常运转。公司始终在不断优化各种业务系统,使从客户需求出发再回到客户的各主要业务环节实现线上联动和勾稽,使业务信息传递更快捷、更准确,更利于管理和监督。
2、风险评估
为实现公司运营目标,并使公司持续、健康发展,公司从上到下提倡拥有足够的风险评估意识,及时做好风险识别和防控。公司各级组织根据所要实现的目标,通过定期会议、逐级定期汇报等形式,系统地收集相关信息,结合所处的行业特点、自身的业务特点和发展阶段,对可能出现的经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续有效地识别、计量和评估。公司各级组织和管理人员根据对风险的分析和排序,确定重点和优先控制的风险,并结合公司风险承受度,权衡风险与收益,确定采用的风险应对策略,并落实在工作中,实现对风险的有效管理。
公司的内部控制系统建设是以各目标项下的风险管理为导向的,将对风险的合理管控融入到具体的流程、政策和系统设计思路中。公司设有专门的流程管理部,通过对流程的不断优化来减少或避免各种运营风险。同时,公司通过多种方式收集与风险变化相关的信息,及时调整风险应对策略。
3、控制活动
(1)不相容职责分离
公司在岗位设置、职责分工、流程设计等方面考虑了不相容职责相分离的控制原则,实现了实物管理与记账、采购计划与采购执行、合作伙伴认证与合作伙伴选择、具体操作与审核等不相容职责的分离。
(2)授权审批控制
公司梳理了各业务循环中需要的授权审批控制点,以制度或流程的形式明确了各种情况下的授权审批权限及审批程序,并在公司的信息共享平台上及时发布、更新这些制度或流程,同时设置于系统,实现在系统上执行和控制。随风险等级升高,提升审批权限级别,并根据业务涉及的领域和复杂程度引入跨部门联合审批。此外,公司层面设置了总裁办公会及各种专业委员会,如采购委员会、定价委员会、投资委员会等,重大事项要提交相关的委员会按议事规则决策。
(3)对资金的控制
公司制定了《资金管理办法》,该办法覆盖公司所有的资金活动,明确规定了各种资金活动的控制要求。该办法覆盖的资金领域包括:资金计划管理、资金支付审批权限及支付程序、资金管理岗位控制、现金的管理、票据的管理、银行存款的管理、其他货币资金的管理、银行印鉴的管理、资金的调拨、对外借款、对外投资、融资及担保的管理等。资金收支及票据保管人员和记账人员及稽核人员做到了严格岗位分离,并且定期的检查、稽核工作在持续有效进行。
在使用自有资金购买理财产品方面,公司有书面的管理规定,就购买的上限、品种、其他控制措施等均有清晰描述。该规定经董事会、独立董事和监事会等审核批准后,予以严格执行。
(4)对资产的管理
公司生产部门制定并严格执行《库存管理程序》《生产部发货管理规范》《生产部防静电管理规定》等流程或制度,对存货和生产环境进行了有效管理,对原材料、在制品与产成品的验收入库、领料发货、保管处置等关键环节进行了有效控制,并有效防止实物资产的被盗、损毁和流失。
公司制定有《固定资产管理规定》,明确了固定资产购建、发放、转移、报废、盘点等控制要求,并严格按要求执行。对于用于售前、工程现场等场景的测试机,公司建立了
《测试机管理办法》,集中归口管理,明确了测试机的借用、归还等流程及控制点,同时对测试机的新增、维护、盘点、证书管理等都做了清楚的规定。
针对按会计准则及公司开发工作实质予以资本化的研发费用的管理,公司制定了《研发费用资本化核算管理制度》,清楚定义了可予资本化的条件、涉及费用的范围、需要准备的文件、减值测试等内容,产品研发部门和集团财务部门严格执行此规定,保证了相关会计核算的真实性、准确性和合规性。
(5)销售管理
公司根据业务发展及市场需要制定了适合于公司的销售管理政策,建立了渠道分销和大客户直销并存的销售模式。在渠道管理、业务机会管理、报价管理、合同评审、发货及收款等环节均制定了相应的管理措施和流程,并每年根据内、外部环境的变化和风险评估情况及时做出调整。2023年公司继续加强销售过程管理,在制度和流程上严格规范销售业务,做到事前认证、审核,事后监督检查和闭环管理。2023年继续重视重大项目的管理,引入跨部门决策机制,以更好把握风险及合理处置问题。公司集团层面设立有销售管理部,各业务单元对应有销售管理专岗,围绕以客户为中心开展销售管理工作,每年更新大量相关制度并监督落实。此外,公司建立有高效且抗风险的渠道架构,不断落地渠道管理各项措施,在合作伙伴的认证、例行管理、秩序管理等方面均有详尽规范,使渠道业务有序、健康发展。对于直销业务,公司有严格的白名单及信用把控机制,同时在合同评审中,业务、财务、工程等多部门参与,从不同角度把控合同风险。对于已形成的应收账款,公司有定期严格复核和催收机制,并将应收与考核及奖励挂钩,不断促进回款。
(6)采购及生产研发等质量管理
公司执行《网安硬件平台供应商认证流程》《采购管理办法》等流程和规定,并形成针对招标、竞争性谈判、询价等不同采购方式的操作指导书,以便员工执行到位。同时做到了需求、计划部门与采购部的分离,并在供应商认证、选择等环节上设置了专家或相关独立人员参与的控制措施。同时,在采购流程上强化了需求部门验收的动作;在采购付款方面,财务部始终坚持按合同条款进行资料核验,避免出现漏洞。
公司于2004年建立质量管理体系并通过质量体系认证,迄今为止,体系运行保持持续有效。在外部环境风险增加的情况下,产品及服务质量稳中有进,客户满意度保持较高水平。公司于2023年通过国内数据安全服务能力最高级别的双认证,充分体现了公司在数据安全评估和数据安全建设方面的实力和专业度。
A 公司按照IPD集成产品开发模式建立研发流程,通过项目计划评审、需求评审、里程碑技术评审、代码审计、测试验证、实验局等方式进行质量控制,保障研发质量满足目标要求。公司于2021年通过CMMI 5级评估,标志着公司研发能力与管理水平已经达到国际最高标准。
B 公司建立全自动化生产系统,以增加产品质量稳定度,提高生产效率,同时对生产、质检人员定期培训,持证上岗,并建立完善的来料检验、生产检验、拷机、包装检验、成
品检验等操作指南,确保生产质量满足要求。公司于2022年扩建了生产场地,用于定制化产品的生产,以满足客户个体的差异化需求,并不断升级优化自动化生产系统,以保障满足持续增长的产能质量需求。C 公司为准确将客户需求转化为可交付物,对提交客户的技术方案进行严格把关,由专业团队进行评审、验证,以确保方案满足客户需求。针对重大项目,公司建立系列保障机制,从团队、资源、技术能力、流程上予以专项支持,以保障项目质量。D 在产品与服务交付环节,公司建立NSPM工程项目管理体系,及各类产品与服务的标准化实施指南,并通过工程方案评审、各阶段的验收,对项目进行度量与监控,以保障交付质量。公司建立明确的售后服务标准,组建专业的售后服务团队,并随着业务发展使之不断提升和精细化。坚持定期进行客户回访,了解客户感受,为改进提供输入,以持续提升客户满意度。
(7)对外投资
公司注重对外投资的内部控制,已按照《公司法》《证券法》等法律、法规以及规范性文件的有关要求制定了《对外投资管理制度》并严格执行。该制度明确规定了各种对外投资事项的审批权限、具体管理分工及职责。公司内部设有“投资委员会”,作为公司股权风险投资的日常决策机构,统筹和加强投资运作。投资发生后,有专门的组织负责跟踪投资执行进展,向投资委员会、董事长汇报投资效益情况,及时发现投资项目面临的风险,及时提请有权人员和组织考虑处置达到临界条件的投资。在信息披露方面,公司根据有关上市规则和《公司章程》等规定,及时进行披露。2023年度内公司的对外投资及投资处置活动均严格遵守了相关制度规定。
(8)关联交易
公司建立有《关联交易管理制度》并严格执行。该制度对关联交易和关联人的认定范围、关联交易的审批权限、价格的管理以及信息披露等方面作了严格规定,规范了与关联方的各项交易活动,保证了公司的关联交易符合公平、公正、公开的原则。公司有专门部门负责维护关联关系清单,有变化时及时通知公司内部相关部门,以启动关联交易管理程序,并按规定进行披露。
(9)对外担保
为规范公司对外担保行为,有效控制公司对外担保风险,公司建立了《对外担保管理制度》,明确了股东大会、董事会关于对外担保事项的审批权限,使对外担保事项处于高度被监管状态。公司对担保申请人执行全面评审程序,并由财务部指定责任人持续关注被担保公司的状况或变化,定期向总裁汇报,防范风险发生。截至2023年期末,公司只有集团内控股公司对全资子公司的公司间担保,不存在其他对外担保。
(10)合同管理
公司商务部门制定了《合同评审与管理》、《合同专用章管理规定》和《合同文本管理规定》等,明确了合同的评审、签署、履行、变更、解除等流程和各类事项的审批权限。相关人员严格执行有关控制活动,如检查是否采用适当模板、核对拟盖章纸质版与电子审核版是否一致、合同原件安全保管等。各类合同的评审均在系统上完成。
(11)信息披露
公司建立健全了《信息披露管理制度》和《重大信息内部报告制度》,公司对公开信息披露和重大内部信息沟通进行全程、有效的控制。依据《重大信息内部报告制度》,公司建立了重大信息内部传递体系,明确公司重大信息的范围和内容,制定了公司各部门沟通的方式、内容和时限等相应的控制程序。依据《信息披露管理制度》,公司实施信息披露责任制,将责任明确到人,同时确保信息披露责任人知悉公司各类信息并及时、准确、完整、公平地对外披露。同时,为规范公司内幕信息管理,加强内幕信息保密工作,根据《公司法》《证券法》《上市公司信息披露管理办法》《深圳证券交易所创业板股票上市规则》等有关法律、法规和《公司章程》的有关规定,制订了《内幕信息知情人管理制度》并严格执行,其中详细规定了内幕信息保密管理及知情人登记管理等具体要求并严格执行。
公司证券事务与投资者关系部为公司信息披露事务管理部门,董事会秘书负责公司信息披露管理工作。2023年度,公司及时披露发生的重大事项;在投资者接待中未发生有选择性、私下、提前向特定对象单独披露或者泄漏公司非公开重大信息的情况。
(12)预算管理
公司根据战略规划及业务规划,一般在第四季度开始编制下年度预算。预算经多轮碰撞、讨论,最后按公司授权经批准后发布执行。公司财务部负责预算编制的组织和汇总,并会同其他管理部门监督预算的执行情况。根据总体目标及预算情况,公司设立各组织的季度和年度绩效考核方案,用预算管理和绩效考核来有效推进业务目标实现。
4、信息与沟通
公司制定了《信息披露管理制度》《重大信息内部报告制度》等管理制度,明确了内部信息的收集、处理和传递程序,通过合理筛选、核对、分析和整合,提高信息的有用性,确保信息的准确、快速和有效传递。
另外,公司的销售管理、采购和生产、工程管理、报销和支付、会计核算等基本实现线上操作和主要系统控制,使会计信息能够真实、准确、及时和完整反映各项经营活动的结果。
公司内部的各级例会制度、书面定期汇报机制等,使上下级间的信息传递比较充分。此外,定期召开的办公会、各委员会会议、述职会议、业务拉通会和研讨会等,使跨组织的重要信息实现高效传递,加深了各岗位对公司的运营策略、重点工作、内部控制要求等的理解,提升了组织效率。
公司设立有举报电子邮箱,并建立了调查处理举报和保护举报人的机制。为了方便客户或其他外部人员与公司联系,反应问题,公司在官网上提供了7*24小时400电话,由指定部门接听处理,并有系统记录留档,以备监督。同时,公司积极加强与业务往来单位、相关政府监管部门等的沟通和反馈;将内部控制有关要求以政策发布、会议宣讲、合作协议附件等方式传递给公司合作伙伴。此外,通过客户满意度调查、市场调查、网络传媒等渠道,及时获取外部信息,使管理层面对各种变化能够及时适当地采取行动。
5、内部监督
公司依法设立股东大会、董事会、监事会等组织机构,并在董事会下设有审计委员会、薪酬与考核委员会、战略委员会、提名委员会四个专门委员会,按照《董事会议事规则》运作,对公司管理形成了有效的监督。其中,审计委员会是公司内部控制监督机构,其下设内审部。根据公司《内部审计制度》要求,内审人员独立、客观、公正地开展工作。内部审计以风险为导向,监督检查公司业务及财务报告相关的内部控制的有效性。此外,公司管理部门对有关事项也加入了事后分析和审核工作,对措施的执行情况和效果进行事后监督检查。对于审计或监督检查过程中发现的违反公司制度、流程的行为,会根据公司内部的问责处理规定等进行相应处罚。同时,对于审计或监督过程中发现的内部控制上的设计或执行缺陷予以提出,并进行改进。另外,公司聘请外部会计师事务所对财务报表进行审计,同时对公司财务报告相关的内部控制进行审核和鉴证,过程中提出发现的问题和改进的意见。
(四)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制重大缺陷、重要缺陷。
四、 其他内部控制相关重大事项说明
报告期内,公司无需要说明的其他内部控制相关的重大事项。
绿盟科技集团股份有限公司董事会
2024年4月24日