Beijing SuperMap Software Co.,Ltd. — Audit Report / Information 2010

Apr 7, 2010

==> picture [208 x 54] intentionally omitted <==

北京超图软件股份有限公司 内部控制自我评价报告的 审核评价意见

京都天华会计师事务所有限公司

目 录

内部控制自我评价报告的审核评价意见 关于公司内部控制的自我评价报告

1-10

==> picture [208 x 54] intentionally omitted <==

京都天华会计师事务所有限公司 中国北京 朝阳区建国门外大街 22 号 赛特广场 5 层 邮编 100004 电话 +86 10 6526 4838 传真 +86 10 6522 7521 www.grantthorntonchina.com.cn

内部控制自我评价报告的审核评价意见

京都天华专字（ 2010 ）第 0813 号

北京超图软件股份有限公司全体股东：

我们接受委托，对北京超图软件股份有限公司（以下简称超图软件公司） 管理层编制的 2009 年 12 月 31 日与财务报表相关的内部控制有效性的评价报告 进行了鉴证。超图软件公司管理层的责任是按照《企业内部控制基本规范》及 相关规范建立健全内部控制并保持其有效性，我们的责任是对超图软件公司上 述评价报告中所述的与财务报表相关的内部控制的有效性发表意见。

我们按照《中国注册会计师其他鉴证业务准则第 3101 号——历史财务信息 审计或审阅以外的鉴证业务》的规定执行了鉴证工作。在鉴证过程中，我们实 施了包括了解、测试和评价与财务报表相关的内部控制设计的合理性和执行的 有效性，以及我们认为必要的其他程序。我们相信，我们的鉴证为发表意见提 供了合理的基础。

内部控制具有固有局限性，存在由于错误或舞弊而导致错报发生但未被发 现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对 控制政策和程序遵循的程度，根据内部控制鉴证结果推测未来内部控制的有效 性具有一定风险。

我们认为，超图软件公司按照《企业内部控制基本规范》及相关规范于 2009 年 12 月 31 日在所有重大方面保持了与财务报表相关的有效的内部控制。

==> picture [208 x 54] intentionally omitted <==

本审核评价意见仅作为超图软件公司披露年度报告时使用，不适用于其他 任何目的。

京都天华 中国注册会计师 会计师事务所有限公司 中国〃北京 中国注册会计师 2010 年 4 月 2 日

北京超图软件股份有限公司 关于2009 年度内部控制自我评价报告

为规范公司运作，控制风险，完善管理，保护投资者合法权益，根据《中华人民 共和国公司法》（以下简称《公司法》）、《深圳证券交易所创业板上市规则》、 《深圳证券交易所创业板上市公司规范运作指引》（以下简称《运作指引》）、《企 业内部控制基本规范》（财会〔2008〕7 号）等有关法律法规的规定，结合公司所处 行业、经营方式、资产结构以及自身发展特点与需求，公司制定了一系列内部控制制 度以及相关流程，并逐步建立了覆盖公司各层面以及所有运营环节的行之有效的内控 体系。现将公司内部控制情况报告如下：

一、公司基本情况

北京超图软件股份有限公司（注册号为：110105002483632）于2008 年3 月26 日由北京超图地理信息技术有限公司整体变更设立。2009 年12 月7 日经中国证券监 督管理委员会“证监许可[2009]1313 号”文的批准，于2009 年12 月16 日首次公开 发行人民币普通股股票1900 万股，并经深圳证券交易所“深证上[2009]196 号”文 的同意，于2009 年12 月25 日于深圳证券交易所创业板上市交易。

公司经营范围为：许可经营项目：无；一般经项目：地理信息系统、遥感、全球 定位系统、办公自动化软件技术开发、技术咨询、技术转让、技术服务；电子计算机 系统集成；销售开发后的产品；经营本企业和成员企业自产产品及技术出口业务；本 企业和成员企业所需的原辅材料、机械设备、仪器仪表、零配件及技术的进口业务 （国家限定公司经营和国家禁止进出口的商品除外）；经营进料加工和三来一补业 务；技术培训。

二、公司内部控制目标与原则

建设和健全内部控制体系的目标为：合理保证公司及相关人员遵守国家法律、法 规、规章及其他相关规定；提高公司经营效益及效率；保障公司资产安全；确保公司 信息披露的真实、准确、完整和公平；促进企业实现发展战略。

内部控制的基本原则：

• 1、全面性原则：内部控制贯穿决策、执行和监督全过程，覆盖企业及其所属单

• 位的各种业务和事项。

• 2、重要性原则：内部控制应当在全面控制的基础上，关注重要业务事项和高风

• 险领域。

3、制衡性原则：内部控制应当在治理结构、机构设置及权责分配、业务流程等 方面形成相互制约、相互监督，同时兼顾运营效率。

4、适应性原则：内部控制应当与企业经营规模、业务范围、竞争状况和风险水 平相适应，并随着情况的变化及时加以调整。

5、成本效益原则：内部控制应当权衡实施成本与预期效益，以适当的成本实现 有效控制。

三、公司内部控制建设情况

（一）内部环境

• 1、内部控制结构

各运营管理部公司按照《公司法》、《运作指引》等有关法律法规的规定建立了 完善的法人治理结构，具体如下图：

==> picture [438 x 433] intentionally omitted <==

----- Start of picture text -----

股东大会
监事会 审计委员会
董事会
薪酬与考核委员会
董事长
战略与发展委员会
总经理 提名委员会
副总经理
总经理办
各
研发 各业 运营 审
务 计
部 管
门 部 理 部
门
部
----- End of picture text -----

（1）公司股东大会是公司最高权力机构，对公司经营方针、利润分配等重大事 项行使表决权，能有效保证公司股东，特别是中小股东资产收益、参与重大决策、选 择管理者等权利。公司董事会决定公司内部管理机构的设置，制定公司的基本管理制 度。公司经营层执行股东大会以及董事会决议的各类事项和具体执行日常运营管理工 作。监事会对公司日常运营、财务状况、内部控制情况以及公司董事、高级管理人员 的行为等进行监督检查，并向股东大会负责并报告。各机构权责分明、各司其职，相 互制衡，协调运作。

（2）公司董事会下设审计委员会、薪酬与考核委员会、战略与发展委员会和提 名委员会等专业委员会，并制定实施细则。其中，审计委员会负责公司与外部审计的 沟通及对其的监督核查、对内部审计的监管、公司内部控制体系的评价与完善，以及 对公司正在运作的重大投资项目等进行风险分析。薪酬与考核委员会负责对董事与高 级管理人员的考核和薪酬进行审查，并提出意见和建议。战略与发展委员会对公司中 长期发展战略和重大投资决策进行研究并提出建议。提名委员会对公司董事（包括独 立董事）、总经理及其他高级管理人员的人选的选择向董事会提出意见和建议。战略 与发展委员会对公司中长期发展战略和重大投资决策进行研究并提出建议。专业委员 会的设立以及有效运行有助于公司强化决策能力，提高决策水平，完善内控监督、降 低避免经营风险。

（3）公司经营层建立以总经理负责，各业务模块设立副总经理负责制，对各自 职权范围内的内部控制制度以及流程建设和有效执行负责，通过指挥、协调、管理、 监督各控股子公司和职能部门行使经营管理权力，保证公司的正常经营运行。 2、内控制度建设情况

根据《公司法》、《证券法》、《深圳证券交易所创业板股票上市规则》、《深 圳证券交易所创业板上市公司规范运作指引》等有关法律法规，结合公司自身情况， 也建立较为完善的内部控制制度体系，涵盖了公司各个层面以及各主要环节。

同时针对各部门的业务特点或管理特点制定了相应的运作流程，以及大量的表 单，这些流程以及表单在有效执行公司的制度、严控公司经营风险以及法律风险有着 重要作用。

在公司治理层面，制定了《股东大会议事规则》、《董事会议事规则》、《监事 会议事规则》、《董事会秘书工作细则》、《总经理工作细则》、《独立董事工作制

度》、《审计委员会实施细则》、《薪酬与考核委员会实施细则》、《提名委员会实 施细则》、《战略与发展委员会实施细则》、《内部审计制度》、《对外担保制 度》、《关联交易决策制度》、《控股子公司管理制度》、《融资决策制度》、《日 常生产经营决策制度》、《非日常经营交易事项决策制度》。

这些制度有效的规范了公司运作，防控了公司决策风险，引导公司持续健康稳定 发展。

在公司业务层面，公司各个部门均制定了本部门制度及业务流程，指导规范本部 门的行为，并协调配合公司整体制度及运行。

研发中心：按照NPD－CMML3 体系要求制定了《产品研发流程角色和职责说 明》、《过程和产品质量保证制度》、《风险管理制度》等制度以及制定了产品研发 流程图，以上制度涵盖了产品从概念设计、计划、开发、验证到发布等研发生产全过 程。此外，公司引进了项目管理软件，对所有在研项目和所有研发人员的各项研发工 作进度和质量控制进行全称管理。

企划部、品牌推广部、合作伙伴部等市场部门：制定《参加或组织各类市场活动 的管理办法》、《合作伙伴管理办法》等，并制定了相关表单模板。

企业管理部和合同与项目管理部：制定了《客户信息管理办法》、《投标管理办 法》、《合同管理办法》、《价格管理制度》等制度，同时制定了主营业务合同评审 流程、出货流程、技术合同登记流程、工程项目管理流程和相关流程执行表单和交付 件模板，如软件销售合同模板、合同审批表、立项评审表、价格审批表、投标审批表 等。

人力资源部：制定了《人力资源管理制度》、《绩效考核制度》、《员工奖惩管 理办法》、《培训管理规定》、《超图员工行为规范》、《考勤及休假管理制度》等 等制度，涵盖了员工培训、考勤休假、绩效考核、晋升降职、行为规范等管理。此 外，结合日常人力资源管理事项，制定了员工面试和招聘流程、新员工入职报到流 程、员工培训评价体系等相关的流程和体系文件。

财务中心：根据《会计法》、《企业会计准则》等法律法规制定了《财务管理制 度》、《劳务用工劳务费管理办法》、《事业部资产管理办法》、《应用项目预算与 结算暂行管理办法》等制度，以及借款、报销等实务流程，涉及会计人员岗位责任、

货币资金、固定资产、发票管理、会计档案保管、应用项目的财务控制等方面，对采 购、研发、销售、财务管理等各环节进行了有效控制，确保会计凭证、核算与记录及 其数据的准确性、可靠性和安全性。

行政管理部门：制定了《信息发布管理办法》、《保密制度规章汇编》、《档案 管理制度》、《宣传资料定制管理办法》、《物资领用制度》等制度，并制定了相应 的流程图以及表单。

3、内部审计情况

公司已建立《内部审计制度》，对内部审计机构的设置、岗位职责、行为规范等 有详细规定。报告期内，公司根据制定的《内部审计制度》设立了独立的审计机构， 并暂时由公司制度与流程审计委员会主席兼审计部负责人，开展了一些基础的审计工 作。公司将在上市后六个月内按照公司的要求尽快设立专职人员、完善内审制度并报 董事会审议。

4、人力资源政策

在“海纳贤才、开放尊重”的人才战略指导下，公司已建立了一套较为科学有效 的聘用、培训、轮岗、绩效考核、奖惩、晋升、淘汰等人事管理机制，提高了员工的 积极性与创造性，同时营造了很好的企业文化氛围。

（二）风险评估

公司根据战略目标以及发展思路，结合行业特点以及公司自身情况，逐步建立起 风险评估体系。

1、公司已经拟定了长期的战略目标，并根据战略目标制定了公司中期的发展规 划。

2、对于整体层面的风险，公司经营计划部、研发部等提供一些综合性的统计数 据和分析报告供管理层参考。公司高级管理人员和相关部门负责人定期参加各种行业 会议进行交流，及时了解行业的发展现状、最新的技术成果和未来的发展趋势。同时 公司与政府和监管部门保持良好的关系，及时获悉相关的产业政策、监管要求、经济 形式、融资环境等外部信息。公司对所获悉的外部信息，由相关部门制定恰当的策略 进行应对。

3、对于业务层面的风险，公司管理层通过定期的财务报告，了解公司的财务状 况、经营成果、现金流量等财务信息。公司管理层通过召开例会，及时了解公司经营 状况，员工情况等各方面的信息。

4、对于法律风险，公司成立证券与法务部，配备专业人员，对公司经营过程中 的法律风险进行评估与控制。

公司对于了解的信息，及时进行分析讨论，确保风险可知，及时应对，保证公司 经营安全。对识别的风险，制定不同的风险应对策略，将企业风险控制在可承受的范 围内，如在日常经营风险管理中对逾期应收账款、超龄超额库存、不合格供应商等风 险管理指标进行实时监控，同时避免从事与公司战略发展目标不相符的业务。

（三）控制活动

1、控制措施

公司采取多项措施以控制在经营活动中产生的各类风险，具体有：

（1）责任分工控制：对各部门，各经营环节制定了较为详尽的岗位职责分工 制，并用流程图形式标明各角色职责以及确定人员。

（2）交易授权控制：对不同性质的交易采取不同的授权。对合同管理、借款、 费用报销、信息管理等生产经营活动以及在授权范围内的事项，由各部门/分公司/事 业部经理审批或协调并将事项和最终处理意见提交分管副总经理或总经理或董事长审 阅和签批。对于重大交易、对外投资、对外担保等重大事项提交董事会或股东大会审 批。

（3）信息系统控制管理：除在会计管理领域采用会计电算化核算系统外，公司 结合自身业务特点，自行开发了涵盖客户信息管理、财务管理、人事管理、销售过程 管理、合同管理、资产管理和项目管理的SERP 系统，该系统将公司日常管理事项过 程中摸索出来的流程固化在信息系统中，实现了业务流程的信息化和各类管理数据的 共享化。此外，该系统还与研发管理的相关信息系统接口，切保客户有关产品的相关 问题可以及时传递到研发部门，以制定更为及时有效的质量完善方案。

（4）资产接触和记录使用控制：除财务档案以及人力资源档案由其部门专人负 责登记、记录等管理外，公司设立了专业档案管理人员对公司的其他事务档案进行分 门别类管理，建立的档案分类和编码体系，对档案的借阅、使用等进行登记；对公 章、合同章、投标专用章的使用进行登记；此外，确定固定资产的保管人或使用人为 其安全责任人，实行定期盘点和抽查相结合的方式进行控制。

（5）内部稽核控制：公司成立了制度与流程审计委员会，由企业管理部、项目 与合同管理部、过程管理部和财务中心等人员组成。对公司各项制度和各个流程执行 情况的完整性和规范性进行季度、半年度、年度监督审计，对于不符合执行规范的流 程开具《不合格项及流程改进意见书》并定期对需改进制度和流程进行改进后追踪审

计，并将该体系纳入公司绩效考核体系。2009 年度共出具4 份《流程审计报告》， 全年共督促40 多流程和制度改进完善工作。在设置专门的内审部门之后，该项工作 将由内审部门牵头组织，并重视加强对财务和高管人员的审计。

2、重点控制

• （1）对控股子公司的管理控制

公司通过向控股子公司以及重要参股公司委派董事或监事的方式实现对其的管理 控制。并制定了《控股子公司管理制度》，对控股子公司的重大事项、财务、人事、 信息等方面的管理进行规定，并得到有效实施，对提高公司整体运作效率和增强抗风 险能力起到了较好的效果。

• （2）关联交易的内部控制

公司制定了《关联交易决定制度》，对关联方、关联交易审批权限、审议程序进 行明确规定，从而规范关联交易行为，保护公司及中小股东的利益。 （3）对外担保的内部控制

公司制定了《对外担保制度》就对外担保的基本原则、决策程序、风险控制进行 明确规定，同时公司尽力避免对外担保行为，以控制公司资产运营风险。 （4）募集资金的内部控制

公司制定了《募集资金管理及使用制度》，对募集资金的存入、使用、管理和监 督等进行了详细规定，做到专款专用，维护全体股东的合法权益。 （5）信息披露内部控制

公司制定了《信息披露管理办法》、《信息发布管理办法》以及相关信息披露管 理流程，确保公司及时、准确、完整、真实的披露相关信息，确保公司广大投资者的 知情权。

（四）信息与沟通

公司已建立信息传递以及沟通机制。明确了内控相关信息的收集、传递，合理筛 选、核对、分析、整合，确保信息的及时性和有用性。

一方面，公司高管层以及部门经理层实行每周例会制，及时沟通，汇集问题，讨 论分析，对可能产生较大问题或存在重大风险的问题及时反馈。

另一方面，利用SERP 系统、部门例会、公司内部网站、论坛、内部刊物等渠

道，使得各管理层、各部门以及员工与管理层之间信息传递更迅速、顺畅，沟通更便 捷、有效。

此外，公司要求相关部门加强与监管部门、行业协会、中介机构、业务往来单位 以及投资者等进行沟通和反馈，以及通过市场调查、网络传媒等渠道，及时获取外部 信息。

（五）内部监督

1、公司监事会对公司财务、董事、高级管理人员职务行为进行检查监督，对公 司股东大会负责。

2、公司审计委员会负责公司与外部审计的沟通，监督公司内部审计制度及其实 施，对公司董事负责。

3、公司制度与流程审计委员会对公司内部各业务部门和分支机构、控股子公司 等内部制度的实施、财务收支的合法真实完整性以及公司员工的商业行为的规范性进 行检查监督。

4、公司设有内部流程和制度执行不符合项整改制度，定期对各部门的内部制度 和流程的执行进行审核，对不合格项的存在、原因分析、纠正措施、纠正措施/预防 措施的验证进行有详细记载。

5、公司通过组织员工培训、法制宣传等，提高员工特别是董、监、高的守法意 识，依法经营；通过深入开展公司治理活动，防止大股东占用公司资金、严控对外担 保，规范和避免关联交易，完善内部控制，提高公司治理水平。

四、公司主要内部控制制度的执行情况和存在的问题

1、公司内控制度的执行情况总结

公司董事会对公司内部控制的建立以及有效实施进行了以上认真的自查与分析， 认为：公司现有的内部控制制度符合《公司法》、《证券法》、《深圳证券交易所创 业板上市规则》、《深圳证券交易所创业板上市公司规范运作指引》等有关法律法规 的要求以及证券监管部门的要求，符合当前公司生产经营实际情况的需要。公司内部 控制制度得到有效的执行，对防范和控制经营管理风险、保护投资者合法权益、规范 公司运作、 促进公司稳定健康发展发挥了重要作用。

2、存在的问题以及改进

（1）公司内部审计部门有待充实和运作：由于公司上市时间较晚，尽管在报告 期内公司按照《内部审计制度》相关规定设立了审计部，但截止到报告期末暂未招聘 到专职人员。该部门负责人暂由公司制度与流程审计委员会主席担任，报告期内审计 部仅是开展了一些审计基础工作。因此，公司需要尽快充实该部门人员、建立起一套 适应本公司实际情况内审工作机制，以便内部审计部门尽快运作，履行其职责。

（2）公司已制定了覆盖全国的矩阵式营销服务体系和合理的销售考核制度，为 切保现公司现金流和项目执行质量，公司针对盈利部门实行以收付实现制和阶段性考 核相结合的的考核方式。但实践中，仍存在因业务人员催款力度不够或客户内部组织 结构调整变化等原因导致的回款拖延等情况。公司将结合实际情况，加强项目销售管 理和实施管理，提高项目质量和客户满意度，提高回款效率。

（3）公司制定了相关的风险控制措施，但目前尚缺乏科学的评估体系，对风险 的评级和应对措施还未形成一些成熟的机制。公司将结合具体实际情况，尽快总结一 套切实可行的风险评估体系。

（4）公司制定了独立董事工作制度、专业委员会实施细则、信息披露管理办法 等制度，但因为公司按照上市公司内控规范相关要求来执行上述制度的时间太短，在 具体执行中会存在执行不完整或理解有差异的环节。董事会将通过加强对董、监、高 及相关管理人员的培训，以提高相关人员的规范管理意识和相关规则的理解。

北京超图软件股份有限公司

董事会

2010 年4 月2 日