North Electro-Optic Co.,Ltd. — Audit Report / Information 2012

Apr 1, 2013

北方光电股份有限公司

2012 年度内部控制评价报告

北方光电股份有限公司全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和要求，结 合本公司内部控制手册和评价手册，在内部控制日常监督和专项监督 的基础上，我们对公司内部控制的设计与运行有效性进行了自我评 价。

一、董事会声明

公司董事会及全体董事保证本报告内容不存在任何虚假记载、误 导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担 个别及连带责任。

二、内部控制情况综述

根据证监会及上交所《上市公司内部控制指引》等相关制度的要 求，公司于2012 年3 月启动内控体系建设项目，成立了项目领导小 组和专项工作组，按照“分步实施，全面推进”的方式，2012 年首 先启动公司总部及下属全资子公司西安北方光电科技防务有限公司 （以下简称“防务公司”）内部控制建设，编制了内控体系项目建设 计划，聘请北京正为远达管理顾问有限公司为项目顾问。经过充分准 备，2012 年7 月全面开始实施项目建设 ，在公司上下共同努力下， 经过内控体系现状梳理、查漏补缺、缺陷整改及措施完善等阶段，2012

1

年11 月份完成了《公司内部控制手册》（上、下册）及《公司内部 控制评价手册》。具体情况如下：

（一）内部环境

内部环境包括公司治理、组织架构、制度管理、人力资源政策、 企业文化、内部审计等内容。

1、公司治理

（1）公司通过制定公司《章程》、《股东大会议事规则》、《董 事会议事规则》、《监事会议事规则》和《总经理工作细则》，明确 股东大会、董事会、监事会、经营层的职责分工。

（2）公司通过制定《战略委员会实施细则》、《提名委员会实 施细则》、《薪酬与考核委员会实施细则》、《审计委员会实施细则》 和《风险管理委员会实施细则》，对董事会下设各专业委员会的人员 组成、决策程序、议事细则进行规范约定。

（3）公司通过制定公司《章程》明确公司董事任职资格和选聘 程序，并通过《独立董事制度》明确了独立董事的任职条件，以及提 名、选举和更换的程序。

（4）公司通过制定《贯彻落实“三重一大”决策制度实施办法》， 明确需公司董事会、总经理办公会、党委会或党政联席会议讨论决策 的重大决策、重要人事任免、重大项目安排和大额资金运作事项，规 范集体决策制度。

（5）公司通过制定《控参股子公司管理办法》，对控参股子公 司的内部治理、战略管理、经营计划与业绩管理、重大投融资管理、

2

财务管理、人力资源管理、信息化建设和信息披露等内容进行规范约 定。

2、组织架构

公司建立了较为规范的，由股东大会、董事会、监事会以及经理 层组成的公司治理结构。公司设立的组织机构及制定的部门职责，明 确了公司的组织机构设置及各部门的主要职能，确保了公司经营的正 常有序，防范了经营风险。

3、制度管理

公司明确了制度下发的审核审批流程，严格执行制度下发的会审 与会签，各部门下发制度及时与相关部门进行沟通。增加了新制度下 发后的宣贯，明确相关职责权限；对制度执行情况进行考核，明确考 核的方法与考核标准。

4、人力资源政策

公司通过制定《员工招聘录用管理办法》、《薪酬管理办法》、 《员工培训管理制度》和《关键岗位员工轮岗制度》，建立了完善的 公司管理人员任用选拔、管理考核和激励监督等制度办法。与防务公 司所有涉密人员签订了《员工保密协议》，明确了双方的责任与义务。 同时建立了涵盖公司各个层面的员工职业道德规范，体现公司诚信与 道德价值观念，树立员工诚信价值观。

5、企业文化

3

公司注重企业文化建设，制定了《企业文化建设管理办法》，根 据企业的发展战略和企业实际情况，总结优良传统，充分挖掘文化底 蕴，提炼核心价值，确定企业文化建设的内容和目标。

公司董事、监事和高管人员在实际工作中发挥主导和率先垂范作 用，重视企业文化建设；公司高管亲自参与新员工的培训工作，宣讲 公司成长历史和企业的核心价值观。

6、内部审计

公司董事会下设审计委员会，主要负责公司内部审计与外部审计 之间的沟通；监督公司的内部审计制度及其实施；审核公司财务信息 及其披露；审查公司内部控制制度，对重大关联交易进行审计等。

公司设置了独立的审计监察部，配置专职的内部审计人员，负责 公司的内部审计工作。下属全资子公司设置了独立的审计部门，负责 内部审计工作。

（二）风险评估

公司制定了完善的风险评估规范，明确了风险评估的程序和方 法。公司风险评估工作由董事会下设风险管理委员会组织有关职能部 门和业务单位实施。

公司开展了全面风险管理工作，对公司各部门的经营活动进行了 风险收集，建立了公司风险库，形成了风险清单。

公司根据实际情况，采用定性与定量相结合的方法，按照风险发 生的可能性及其影响程度等，对识别出的风险进行分析和评估，确定 关注重点和优先控制的风险。

4

（三）控制活动

公司针对各项经营活动风险建立了规章制度、控制政策和控制措 施；针对重大风险所涉及的各管理及业务流程，制定了涵盖各个环节 的全流程控制措施，包括不相容职务分离控制、授权审批控制、会计 系统控制、财产保护控制、预算控制、运营分析控制和绩效控制等； 对其他风险所涉及的业务流程，把关键环节作为控制点，采取相应的 控制措施。

根据风险管理策略，公司对涉及的每一项关键业务主流程，分别 描述了权限指引和不相容职责。同时细化子流程，对每个子流程都绘 制了流程图，并编制控制矩阵。对控制矩阵列示了风险点和关键控制 点，针对每个风险点都提出了具体的控制措施。

公司充分利用信息技术，集合公司OA 系统和ERP 系统，自行开 发了内控信息系统，通过信息系统实现了自动控制，固化流程操作程 序，提高了控制执行效率和效果。

（四）信息与沟通

• 1、信息资源收集

公司持续不断地识别、收集、整理与归纳来自内部与外部、经营 与管理的各种信息。针对不同的信息来源和信息类型，明确了各种信 息的收集人员、收集方式、传递程序、报告途径和加工与处理要求， 保证经营管理各种信息资源得到及时、准确、完整收集。

2、内部信息沟通

5

公司建立了横向和纵向相互通畅、贯穿整个公司的信息沟通渠 道，使得公司目标、风险策略、风险现状、控制措施、员工职责、经 营状况、市场变化等各种信息在公司内部得到有效传达。

公司建立了适当的渠道，与相关方如供应商、客户、律师、股东、 监管机构、外部审计师，就相关信息进行必要的外部沟通。 3、信息披露

公司制定了完善的信息与沟通制度，如《信息披露事务管理制 度》、《重大内部信息报告制度》、《年报信息披露重大差错责任追 究制度》、《内幕信息知情人登备案理制度》等，明确了重大事项的 判定标准和报告程序，确定了披露事项的收集、汇总和披露程序。 4、信息系统

公司制定了《信息化建设管理制度》、《信息化总体规划》以及 《信息系统的实施与运行管理规范》等，整体规划涉及公司销售、生 产、采购、仓储物流、研发、财务、风险管理、综合办公等多领域， 并通过“信息系统实施与运行管理规范”确保总体规划所确定的信息 系统得到落地实施及有效应用。

公司通过运行ERP 系统，实现了对企业采购、仓储、生产、销售、 财务等业务运营过程的管控以及规范了各项流程操作，提升了工作效 率。

（五）内部监督

内部监督是对内部控制体系有效性进行评估的持续过程。包括持 续监督、独立评估、缺陷报告三个方面。公司以重大风险、重大事件

6

和重大决策、重要管理及业务流程为重点，对内控体系的有效性实施 监督。

1、持续监督

公司制定了内部控制监督制度，定期维护《内部控制手册》，将 内部控制工作纳入公司各级管理层业绩考核，构建内部控制体系运行 长效机制。公司各级管理部门和流程责任部门，在内控体系日常运行 中，实施自我监督和自我检查，并将检查、检验报告报送审计监察部。 2、独立评估

以风险为导向，建立了完整的测试规范，公司审计监察部对各职 能部门和各子公司内部控制体系的有效性进行检查和监督。 3、缺陷报告

建立健全缺陷报告管理机制，制定缺陷认定规范，明确了上报内 控缺陷的程序。

三、内部控制评价工作的总体情况

公司董事会对内部控制评价承担最终的责任，负责内部控制评价 的组织、领导和监督，对内部控制评价的真实性和完整性负责。

2012 年12 月公司成立了内控评价小组，组长由公司主责领导担 任，成员包括审计监察部，财务管理部、战略发展部、信息管理中心、 公司办公室（法律事务室）等部门负责人及相关人员。内部控制评价 小组主要负责：召开内控评价工作启动会，对公司内控评价工作进行 部署和动员；编制内控评价工作计划，拟定内控规范实施工作方案， 成立评价工作组，确保内控评价工作有组织、有领导、有计划；组织

7

相关人员参加内控评价相关培训；制定并下达公司内部控制年度自我 评价计划，组织实施内部控制自我评价工作；编制评价报告，按规定 程序提交公司领导层和董事会审议。

公司聘请北京正为远达管理顾问有限公司协助实施内部控制评 价工作，并编制内部控制评价报告；公司聘请中勤万信会计师事务所 对公司内部控制有效性进行独立审计。

四、内部控制评价的依据

为了规范内部控制评价和评价报告，按照财政部等五部委联合发 布的《企业内部控制基本规范》及其配套指引和《企业内部控制应用 指引》的要求，按照《会计法》、《公司法》、《证券法》等法律法 规的规定，结合公司内部控制手册和内部控制评价手册，在内部控制 日常监督和专项监督的基础上，对公司总部及防务公司的内部控制情 况进行了必要的检查与评价。

五、内部控制评价的范围

此次内控评价工作涵盖公司总部和防务公司的经营管理业务，针 对核心业务流程，从内部控制制度设计和执行两个方面进行评价检 查。重点关注了财务报告、资金管理、预算、融资、投资、战略管理、 固定资产、合同管理、人力资源管理、研发、关联交易、信息系统管 理、存货、销售、采购、工艺技术等具体业务环节。

六、内部控制评价的程序和方法

公司内部控制评价工作严格遵循基本规范、评价指引及公司内部 控制评价手册规定的程序执行，公司审计监察部组织相关部门组成评

8

价工作组，制定了内部控制评价工作计划，明确了评价组织实施步骤、 人员安排、日程安排等相关内容，具体分为以下四个阶段：

第一阶段：内部控制评价准备阶段

• 1、召开内控评价工作启动会，对公司内控评价工作进行部署和

• 动员；

• 2、编制内控评价工作计划，拟定内控规范实施工作方案，成立

• 评价工作组，确保内控评价工作有组织、有领导、有计划；

• 3、组织相关人员参加内控评价相关培训。 第二阶段：内控评价实施

1、组织公司领导及中层管理人员填写公司总部内控体系调查问 卷，问卷内容涉及内部环境、风险评估、信息与沟通、内部监督等四 个方面要素，共计25 条事项，评价工作组针对问卷填写情况进行抽 查核实并形成工作底稿。

2、根据公司总部及防务公司年度自我评价工作计划，评价工作 组成员与公司总部、防务公司各职能部门共同参照《公司内控评价手 册》和《防务公司内控评价手册》规定的内容和要求，运用内控信息 系统，开展内部控制自我检查评价工作和形成工作底稿。

评价过程中，评价工作组采用了调查问卷、穿行测试、实地查验、 抽样和比较分析等适当方法，按照抽样原则，根据业务类型的不同随 机抽取了测试样本。若该流程涉及的子流程在2012 年测试期间暂无 样本，且控制活动未发生改变，则可抽取最近年度的样本替代；若自 公司成立至今无样本，则在样本描述中注明“未发生此业务”，从而

9

广泛收集公司内部控制设计和运行是否有效的证据，如实填写评价工 作底稿，分析、识别内部控制缺陷。

3、公司内控评价工作组对公司总部各职能部门及防务公司报送 的内控评价表及样本进行审阅，根据确定的评价重点，对照相应的业 务流程步骤进行抽评并形成工作底稿。

第三阶段：认定控制缺陷

评价工作组对评价过程中的异常原因进行分析，找到差距，分析 可能带来的后果，综合评价后提出内部控制缺陷的认定意见，按照规 定的权限和程序进行审核后予以最终认定。

第四阶段：编制评价报告

评价工作组汇总评价结果和内部控制缺陷，综合判断公司整体控 制的有效性，编制公司内部控制自我评价报告，提交公司管理层及董 事会审议通过后对外披露。

七、内部控制缺陷及其认定

2013 年1 至2 月份，内控评价工作组对公司总部及防务公司内 部控制设计和执行有效性进行检查评价。通过评价，内控评价小组认 为公司内部控制制度结构基本合理，内部控制制度框架基本符合了财 政部对于内部控制制度完整性、合理性、有效性的要求，现有的内部 控制制度能够适应公司管理的需要，保证了财务报表的真实、公允。 对发现的6 个执行过程中的缺陷，内控评价组召开专题会，按照内部 控制缺陷的认定标准，认定发现的6 个缺陷为一般缺陷。

八、内部控制缺陷的整改情况

10

2012 年度公司总部和防务公司内部控制评价过程中共发现6 个内 部控制缺陷，公司制订了详细的、明确的整改措施，并按计划加以实 施。

公司下一步将对公司总部和防务公司相关部门的内控整改措施 的执行情况进行监督检查，推进内控缺陷整改工作的开展，实现闭环 管理。

九、内部控制有效性的结论

我们注意到，内部控制应当与公司经营规模、业务范围、竞争状 况和风险水平等相适应，并随着情况的变化及时加以调整。2013 年 公司将继续完善内部控制相关制度，规范内部控制制度的执行，拓展 内部控制的评价范围，促进公司健康、可持续发展。

综上所述，公司认为，通过对公司内部控制系统的检查和评价， 公司建立了较为完善的法人治理结构，内部控制体系较为健全。公司 现有的内部控制制度符合国家有关法规和监管部门的要求，能够适应 公司管理的需要，合理保证财务报告的真实性、完整性。2012 年公 司内部控制制度得到有效执行，达到了公司内部控制的目标，未发现 重大缺陷。

北方光电股份有公司董事会 2013 年3 月31 日

11