HengFeng Information Technology Co.,Ltd. — Audit Report / Information 2016

Apr 20, 2017

恒锋信息科技股份有限公司 2016年度内部控制自我评价报告

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以 下简称 “ 企业内部控制规范体系 ” ），结合恒锋信息科技股份有限公司（以下简称 “ 公司 ” ） 内部控制制度和评价方法，在内部控制日常监督和专项监督的基础上，我们对公司2016 年12月31日（内部控制评价报告基准日）的内部控制有效性进行了自我评价。

一、重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性， 并如实披露内部控制自我评价报告是公司董事会的责任。监事会对董事会建立和实施内 部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会 及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大 遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信 息真实完整，提高经营效率和效果，促进实现公司发展战略。由于内部控制存在的固有 局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控 制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来 内部控制的有效性具有一定的风险。

二、内部控制评价结论

根据公司财务报告内部控制重大缺陷和重要缺陷的认定情况，于内部控制评价报告 基准日，不存在财务报告内部控制重大缺陷和重要缺陷，董事会认为，公司已按照企业 内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

根据公司非财务报告内部控制重大缺陷和重要缺陷认定情况，于内部控制评价报告 基准日，公司未发现非财务报告内部控制重大缺陷和重要缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制 有效性评价结论的因素。

==> picture [612 x 42] intentionally omitted <==

1

三、内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。 纳入评价范围的单位包括：公司各职能部门及全资子公司、控股子公司，包括恒锋 信息科技股份有限公司、福建恒锋电子有限公司、福建微尚信息科技有限公司。纳入评 价范围单位资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财 务报表营业收入总额的100%。

纳入评价范围的主要业务包括：计算机信息系统集成、软件开发、建筑智能化工程、 计算机机房工程、电子自动化工程、安全技术防范工程、专业音响工程、音视频工程、 智能灯光工程、机电设备安装工程、建筑装修装饰工程、防雷工程的设计、施工、维保。

纳入评价范围的主要事项包括：子公司管理、重要投资控制、对外担保、关联交易、 货币资产管理、工程项目管理、采购与付款、销售与收款、筹资、固定资产、成本与费 用、人力资源、信息披露等。

重点关注的高风险领域主要包括资金管理、投资与融资、工程项目管理、采购与付 款、销售与收款、资产管理等。

上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要 方面，不存在重大遗漏。

四、公司的内部控制结构

（一）控制环境

公司的控制环境反映了治理层和管理层对于控制重要性的态度、认识和措施。良好 的控制环境是实施有效内部控制的基础。公司本着规范运作的基本理念，正积极努力地 营造良好的控制环境，主要体现在以下几个方面：

1、对诚信和道德价值观的沟通与落实

诚信和道德价值观是控制环境的重要组成部分，影响到公司重要业务流程的设计和 运行。公司一贯重视道德氛围的营造和保持，建立了《员工手册》等一系列的内控规范， 并通过适当的奖惩制度和管理层的身体力行有效地得到落实。

2、对胜任能力的重视

公司管理层高度重视特定工作岗位所需能力水平的设定。公司员工大专以上学历占 92.24%。公司专业技术实力雄厚，是国内行业佼佼者。公司还根据实际工作的需要，针

==> picture [612 x 42] intentionally omitted <==

2

对不同岗位展开多种形式的后期培训，持续提高员工的工作胜任能力。

3、管理层的理念和经营风格

管理层结合现代企业制度的管理特点和经营管理理念，立足于智能技术领域，在全 面提升专业化经营水平和为客户提供全方位增值服务的基础上，大力推进科技创新先导 型企业建设，通过战略技术合作和技术创新，培育和发展智慧养老，智慧就业，公共安 全中的应急指挥平台，城市服务中的智慧园区和城市建筑节能监测五个方向，以智能建 筑为载体，为民生（科、教、文、卫）、公共安全（公、检、法、军、警）、城市服务 （园区、金融、政务）等众多应用领域的客户提供设计咨询、系统集成、软硬件开发、 管理运维等全过程信息技术服务。

在公司总体战略指导下开展经营活动，确保为公司创造最佳的业绩，积极回报员工、 股东和社会。

4、组织结构

公司已按照《公司法》、《上市公司章程指引》及中国证监会有关法规的要求建立 了股东大会、监事会、董事会以及在董事会领导下的经营班子，法人治理结构健全并有 效运作，形成了包括业务、市场、采购供应、项目管理、技术研发、设计和财务管理等 完整、有效的经营管理体制，为公司的规范运作、长期健康发展打下了坚实的基础。同 时，公司已在资产、人员、财务、机构、业务等方面独立于控股股东，符合中国证券监 督管理委员会关于在上市公司与控股股东之间 “ 五独立 ” 的要求。

5、治理层的参与程度

公司建立了股东大会、董事会、监事会和经营管理层 “ 三会一层 ” 的法人治理结构， 并仍在不断完善。 “ 三会一层 ” 各司其职，规范运作。同时，治理层的职责还包括了监督 用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效。

6、职权与责任的分配

公司建立了一整套执行特定职能（包括交易授权）的授权机制。为对授权情况进行 有效控制及对公司的活动实行监督，公司建立并完善了预算管理制度，较合理地保证业 务活动按照适当的授权进行；较合理地保证交易和事项能以正确的金额，在恰当的会计 期间，及时地记录于适当的账户，使财务报表的编制符合企业会计准则的相关要求。 7、人力资源政策与实务

==> picture [612 x 42] intentionally omitted <==

3

公司已建立和实施了较科学的聘用、培训、轮岗、考核、奖惩、晋升和淘汰等人事 管理制度。

（二）风险评估过程

公司建立了有效的风险评估制度，通过设置综合人资部、市场运营中心、财务部、 采购中心等职能部门以识别和应对公司可能遇到的包括环境风险、经营风险、财务风险 等重大且普遍影响的变化，并及时制定相应的风险应对措施。公司定期对内部控制环境、 公司业务和具体工作流程实施风险评估程序，分析内部控制制度执行工作中的各种风险 因素，以便及时采取针对性的应对措施，维护内部控制有效执行。积极的风险评估过程 及有效的风险评估机制，对识别和应对公司运营中可能遇到的包括经营风险、环境风险、 财务风险等重大风险发挥了重要作用。

（三）信息系统与沟通

公司为向管理层及时有效地提供业务报告建立了较强大的信息系统，信息系统人员 （包括财务会计人员）恪尽职守、勤勉工作，能够有效地履行赋予的职责。管理层也提 供了适当的人力、财力以保障整个信息系统的正常、有效运行。公司针对可疑的不恰当 事项和行为建立了有效地沟通渠道和机制。组织内部沟通的充分性使员工能够有效地履 行其职责；与客户、供应商、监管机构和其他外部人士的有效沟通，使管理层面对各种 变化能够及时采取适当的行动。

（四）控制活动

公司主要经营活动都有必要的控制政策和程序。管理层在预算、收入、利润等方面 都有清晰的目标，公司对这些目标都有清晰的记录和沟通，并且积极地对其加以监控。 公司财务管理中心按照《公司法》、《会计法》和《企业会计准则》等法律法规及其补 充规定，制订了相应的财务管理制度，包括《财务管理制度》、《货币资金管理制度》、 《报销和用款的管理规定》、《档案管理制度》等规定，并明确了会计凭证、会计账簿 和财务报告的处理程序，保证会计资料真实完整。

公司建立的相关控制程序主要包括：交易授权控制、职责分工控制、凭证与记录控 制、资产接触与记录使用控制、独立稽查控制、电子信息系统控制等。

1、交易授权控制：明确了授权批准的范围、权限、程序、责任等相关内容，公司 各级管理层必须在授权范围内行使相应的职权，经办人员也必须在授权范围内办理业务。

==> picture [612 x 42] intentionally omitted <==

4

2、职责分工控制：合理设置分工，科学划分职责权限，贯彻不相容职务相分离及 每一个人工作能自动检查另一个人或更多人工作的原则，形成相互制衡机制。不相容的 职务主要包括：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业 务经办与业务稽核、授权批准与监督检查等。

3、凭证与记录控制：合理制定了凭证流转程序，经办人员在执行交易时能及时编 制有关凭证，编妥的凭证及时送交财务管理中心以便记录，已登账凭证依序归档。各种 交易必须作相关记录（如：员工工资记录、永续存货记录、销售发票等），并且将记录 同相应分录独立比较。

4、资产接触与记录使用控制：公司严格限制未经授权的人员对财产的直接接触， 防止各种实物资产被盗、毁损和流失。采取定期盘点、财产记录、账实核对、财产保险 等措施，以使各种财产安全完整。

5、独立稽查控制：公司设立内审机构，对货币资金、有价证券、凭证和账簿记录、 设备采购、付款、工资管理、项目管理、账实相符的真实性、准确性进行审查、考核。 6、电子信息系统控制：公司已制定较为严格的电子信息系统控制制度，在电子信 息数据输入与输出、文件储存与保管等方面做了较多的工作。 （五）对控制的监督

公司已建立了以独立董事为核心的治理层的监督制度和对公司及附属子公司内部 控制建立的完善性和有效执行进行持续的监督机制。持续、有效的内部监督机制的健康 运行，保证了公司内部控制能够得以有效、一贯的执行。

五、公司的主要内部控制制度的执行情况

（一）货币资金的收支和保管业务

公司已建立了较严格的授权批准程序，办理货币资金业务的不相容岗位已作分离， 相关机构和人员存在相互制约关系。公司已按国务院《现金管理暂行条例》、中国人民 —— 银行《支付结算办法》和财政部《内部会计控制规范 货币资金（试行）》，制定了 《货币资金管理制度》，规定根据公司应根据实际需要合理核实现金的库存限额、严禁 白条抵库和任意挪用现金、一切现金收付都必须有合法的原始凭证等现金管理制度和银 行账户印签实行分管并用制、不准签发空头支票等银行存款管理制度。因此，公司没有 影响货币资金安全的重大不适当之处。

==> picture [612 x 42] intentionally omitted <==

5

（二）筹资业务

公司已对筹资业务建立了严格的授权审批制度，并能较合理地确定筹资规模，选择 筹资方式，较严格地控制财务风险，以降低资金成本。公司筹措的资金没有严重背离原 计划使用的情况，在筹资业务的控制方面没有重大漏洞。

（三）采购与付款业务

公司已较合理地规划和设立了采购与付款业务的机构和岗位。公司制定了《采购管 理制度》，明确存货的请购、审批、采购和验收程序，在货款付款方面，详细规定了付 款办法。同时规定了采购部应组织相关部门对供方进行年度业绩评价，负责依业绩评价 结果编制《合格供应商评审管理规定》，规避以后年度采购风险。公司在采购与付款的 控制方面没有重大漏洞。

（四）实物资产管理

公司已建立了实物资产管理的岗位责任制度，能对实物资产的验收入库、领用发出、 保管及处置等关键环节进行控制，采取了职责分工、实物定期盘点、财产记录、账实核 对、财产保险等措施，能够较有效地防止各种实物资产的被盗、偷拿、毁损和重大流失。 公司在实物资产的管理方面没有重大漏洞。

（五）成本费用控制系统

公司已建立了较完备的成本费用控制系统，基本能做好成本费用管理的各项基础工 作、明确费用的开支标准和范围，建立了较为完善的考核制度，但全面预算控制制度尚 在建立过程中，完善以后将更深化成本费用管理，进一步降低成本费用，提高经济效益。 公司在成本费用管理的控制方面没有重大漏洞。

（六）应收账款管理

公司制定了《应收账款管理制度》，对岗位设置与分工、销售价格管理、销售和发 货控制、销售审核控制、销售与收款管理等相关内容作了明确规定，公司在销售管理的 控制方面没有重大的漏洞。

（七）固定资产管理及工程项目决策

公司已建立了较科学的固定资产管理程序及工程项目决策程序，明确了各层次固 定资产的采购权限，并制定了较完善的请购、审批、采购、验收报告程序。公司在固定 资产及工程项目的控制方面没有重大的漏洞。

==> picture [612 x 42] intentionally omitted <==

6

（八）对外投资

为严格控制投资风险，公司建立了较科学的对外投资决策程序，制定了《重大投资 和交易决策制度》，对外投资的批准权限按不同的投资额分别由公司不同层次的权利机 构决策，严格控制投资风险。公司没有严重偏离公司投资政策和程序的行为。

（九）对外担保

公司能够较严格地控制担保行为，没有发生对外担保业务，避免可能发生的损失。 （十）内部审计

公司制定了《内部审计制度》，在董事会下设立审计委员会，审计委员会由三名董 事组成，其中独立董事二名，至少有一名独立董事为专业会计人士。在审计委员会下设 立审计部，审计部在审计委员会指导下独立开展审计工作，对审计委员会负责，向审计 委员会报告工作。审计部配置了具备必要专业知识、相应业务能力、坚持原则、具有良 好职业道德的专职审计人员从事内部审计工作。但内部审计工作的广度和深度仍有待加 强。

六、内部控制评价工作依据及内部控制缺陷认定标准

公司根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结 合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财 务报告内部控制，研究确定了适用于公司的内部控制缺陷具体认定标准。公司确定的内 部控制缺陷认定标准如下：

（一）财务报告内部控制缺陷认定标准

公司确定的财务报告内部控制缺陷评价的定量标准如下：

1、定量标准以营业收入、资产总额作为衡量指标

（1）内部控制缺陷可能导致或导致的损失与利润表相关的，以营业收入指标衡量。 如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的 1%，则 认定为一般缺陷；如果超过营业收入的 1%但小于 2%，则认定为重要缺陷；如果超过营 业收入的2%，则认定为重大缺陷。

（2）内部控制缺陷可能导致或导致的损失与资产管理相关的，以资产总额指标衡量。 如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的 1%，则 认定为一般缺陷；如果超过资产总额的 1%但小于 2%则认定为重要缺陷；如果超过资产

==> picture [612 x 42] intentionally omitted <==

7

总额 2%，则认定为重大缺陷。

• 2、公司确定的财务报告内部控制缺陷评价的定性标准：

• （1）重大缺陷的认定标准

• 1）公司董事、监事和高级管理人员的舞弊行为；

• 2）公司更正已公布的财务报告；

• 3）注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报；

• 4）审计委员会和审计部门对公司的对外财务报告和财务报告内部控制监督无效。

• （2）重要缺陷的认定标准

• 1）未依照公认会计准则选择和应用会计政策；

• 2）未建立反舞弊程序和控制措施；

• 3）对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有

• 相应的补偿性控制；

• 4）对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务

• 报表达到真实、完整的目标。

• （3）一般缺陷的认定标准

是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。

• （二）非财务报告内部控制缺陷认定标准

• 1、公司确定的非财务报告内部控制缺陷评价的定量标准：

直接财产损失金额小于200万元人民币为一般缺陷；200-600万元人民币（含200 万 元人民币）为重要缺陷；600万元人民币以上为重大缺陷。

• 2、公司确定的非财务报告内部控制缺陷评价的定性标准：

非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判 定。

• （1）如果缺陷发生的可能性较小，会降低工作效率或效果、或加大效果的不确定性、

• 或使之偏离预期目标为一般缺陷；

• （2）如果缺陷发生的可能性较高，会显著降低工作效率或效果、或显著加大效果的

• 不确定性、或使之显著偏离预期目标为重要缺陷；

• （3）如果缺陷发生的可能性高，会严重降低工作效率或效果、或严重加大效果的不

==> picture [612 x 42] intentionally omitted <==

8

确定性、或使之严重偏离预期目标为重大缺陷。

• (三)内部控制缺陷认定及整改情况

• 1、财务报告内部控制缺陷认定及整改情况

根据上述财务报告内部控制缺陷的认定标准，报告期内公司不存在财务报告内部控

制重大缺陷或重要缺陷。

• 2、非财务报告内部控制缺陷认定及整改情况

根据上述非财务报告内部控制缺陷的认定标准，报告期内不存在公司非财务报告内 部控制重大缺陷或重要缺陷。

七、其他内部控制相关重大事项说明

报告期内公司无其他需要说明的与内部控制相关的重大事项。

公司董事会注意到，内部控制应当与公司经营规模、业务范围、竞争状况和风险水 平等相适应，并随着情况的变化及时加以调整。未来期间，公司将继续完善内部控制制 度，规范内部控制制度执行，强化内部控制监督检查，促进公司健康、可持续发展。

恒锋信息科技股份有限公司董事会

2017年4月19日

==> picture [612 x 42] intentionally omitted <==

9