AI assistant
NSFOCUS Technologies Group Co., Ltd. — Audit Report / Information 2016
Apr 22, 2016
55361_rns_2016-04-22_d13d8e1a-de0e-4ac8-a517-f731dd1fa301.PDF
Audit Report / Information
Open in viewerOpens in your device viewer
广发证券股份有限公司
关于北京神州绿盟信息安全科技股份有限公司
2015 年度内部控制自我评价报告的核查意见
广发证券股份有限公司(以下简称“广发证券”或“保荐机构”)作为北京神 州绿盟信息安全科技股份有限公司(以下简称“绿盟科技”或“公司”)首次公开 发行股票并在创业板上市的保荐机构,根据《证券发行上市保荐业务管理办法》、 《深圳证券交易所创业板股票上市规则》、《企业内部控制基本规范》、《深圳证 券交易所创业板上市公司规范运作指引》、《企业内部控制配套指引》等有关法律 法规和规范性文件的要求,对绿盟科技出具的内部控制自我评价报告进行了核查, 具体情况如下:
一、公司建立内部控制制度的目标和遵循的原则
(一)公司内部控制制度的目标
1、建立较为完整、有效、合理的内部控制制度体系和内部组织结构,确保管 理工作标准化、规范化、程序化及规章制度的科学化、制度化,责权利的制衡化, 为公司创建良好的企业内部经济环境和规范的生产经营秩序,有效提高公司管理效 率和生产经营管理质量;
2、建立行之有效的风险控制系统和严密科学的管理制度,强化风险管理,防 止并及时发现、纠正错误及舞弊行为,保证公司资产安全和公司业务的正常运行;
3、建立良好的公司内部经济环境,规范公司的会计行为,提高财务管理水平, 保证财务会计信息及相关信息真实、准确、完整;
4、严格信息披露制度,维护广大投资者的利益;
5、确保国家有关法律法规和公司内部制度的贯彻执行。
(二)公司建立内部控制制度遵循的基本原则
==> picture [596 x 43] intentionally omitted <==
1、合法性原则。公司各项内部控制制度和措施的建立符合国家有关法律法规 和财政部《企业内部控制基本规范》的有关规定,以及公司的实际情况。
2、全面性原则。公司内部控制在层次上涵盖公司董事会、监事会、管理层和 全体员工;在对象上覆盖各项经济业务及相关岗位;在流程上渗透到决策、执行、 监督、反馈等各个环节,做到事前、事中、事后控制相统一,避免内部控制出现空 白和漏洞。
3、重要性原则。公司内部控制在兼顾全面的基础上突出重点,针对重要业务 与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
4、制衡性原则。公司内部控制保证各部门机构、岗位的合理设置及其职责权 限的合理划分,坚持不相容职务相互分离,确保不同部门机构和岗位之间权责分明、 相互制约、相互监督。
5、成本效益原则。公司内部控制遵循成本效益原则,尽量以合理的控制成本 达到最佳的控制效果。
6、适应性原则。内部控制随着外部环境的变化、公司业务职能的调整和管理 要求的提高,不断修订和完善。
二、公司内部控制总体情况
(一)内部环境
内部环境是公司运行的基础和平台,是公司实施内部控制的基石,具体包括企 业文化、组织结构、发展战略、人力资源等。公司关注内部环境的变化,并根据外 部环境的变化适时调整,优化内部控制环境,积极创造和谐的内部环境,以保证内 部环境的有效实施。
1、企业文化
公司历经十几年的发展和整合,凝聚了一批具有同样价值观的同伴,在“专攻 术业,成就所托”的愿景鼓舞下,公司在专业领域上不断提升,从而做到了在国内 行业甚至国际上有所建树。我们重视责任感、强调专业、建立团队,鼓励创新,谋 求共同发展,最终完成成为“巨人背后的专家,保障客户业务顺畅运行”的使命。
==> picture [596 x 43] intentionally omitted <==
2、组织机构
绿盟科技已经按照《公司法》、中国证监会的有关法规的要求建立了股东大会、 董事会、监事会以及在董事会领导下的管理层,并按各自的职责有效运作。公司章 程及公司内部相关规定已对各层次组织进行了明确的职责授权。
股东大会是公司权力机构,依法决定公司的经营方针和投资计划、选举和更换 董事、监事,审议批准董事会、监事会报告,审议批准年度财务预决算方案,重大 资产的购买、出售等事项。
董事会对股东大会负责,召集股东大会并向股东大会报告工作,执行股东大会 的决议,制定公司的经营计划和投资方案,年度财务预决算方案,利润分配方案和 弥补亏损方案,增加或减少注册资本、发行债券或其他证券上市方案;拟定公司重 大收购、回购公司股票方案,在股东大会授权范围内决定公司对外投资、收购出售 资产、资产抵押、对外担保等事项,制定公司的基本管理制度等。
公司董事会下设战略委员会、审计委员会、提名委员会和薪酬与考核委员会四 个专门委员会,对董事会负责。战略委员会主要负责审议公司总体发展战略规划和 各专项发展战略规划、公司的经营计划、投资和融资方案等事项。审计委员会主要 负责监督公司内部控制,审核公司的财务信息,与公司内、外部审计的沟通;提名 委员会主要负责对公司董事和经理人员的人选,依据选择标准和程序进行选择并提 出建议;薪酬与考核委员会,主要负责制定公司董事及经理人员的考核标准并进行 考核,负责制定、审查公司董事及高级管理人员的薪酬政策与方案。
监事会负责对董事、高级管理人员执行公司职务的行为进行监督,检查公司财 务,对董事会编制的公司定期报告进行审核并提出书面审核意见,提议召开临时股 东大会并向股东大会提出提案等职权。
经理层负责组织实施股东大会、董事会决议事项,主持公司的生产经营管理工 作。
3、发展战略
在全球范围内,提供基于自身核心竞争力的企业级网络安全解决方案,成为最 受客户信赖的网络安全公司。
==> picture [596 x 43] intentionally omitted <==
4、人力资源
绿盟科技管理层高度重视特定工作岗位所需的用途能力水平的设定,以及对达 到该水平所必需的知识和能力的要求。公司岗位责任明确,任职条件清晰,确保全 部任职人员具有相应的胜任能力,确保各岗位人员不会因专业胜任能力不足而发生 失误和差错。另外公司根据实际工作的需要,会针对不同岗位所需的专业知识,展 开多种形式的后期培训教育,使员工们都能胜任目前所处的工作岗位。
(二)风险评估
2015 年公司进一步完善、健全内部控制系统,检验公司现有内控体系与企业 原有管理制度的融合性,促进和提升企业管理。公司在内部控制的实际执行过程中 对各个环节可能出现的经营风险、财务风险、市场风险、政策法规风险和道德风险 等进行持续有效地识别、计量、评估与监控。
在内控体系建立健全过程中,公司坚持风险导向原则,针对发现的问题及时整 改,优化公司的内部控制,健全公司的内部控制管理,促进公司管理水平的提升。 进一步培养管理层对内控系统承担最终责任、对系统有所有权的思想理念,从而主 动防范经营风险、提高经营管理水平要求,这是公司完善内控制度、促进规范的必 然选择,也契合公司的现实需求。
(三)控制活动
1、对资金的控制
公司对货币资金收支和保管业务建立有严格的授权批准程序,办理货币资金业 务的不相容岗位分离,相关机构和人员相互制约,加强款项收付稽核,确保货币资 金的安全。
2、对资产的控制
公司制定并严格执行《库存管理程序》、《生产中心出入管理规定》、《发货 管理规范》以及《生产中心防静电管理规定》等流程与规定。通过以上控制程序, 对存货和生产环境进行了有效管理,对原材料、在制品与产成品的验收入库、领料
==> picture [596 x 43] intentionally omitted <==
发货、保管处置等关键环节进行了有效控制,并防止实物资产的被盗、偷拿、损毁 和流失。
3、对销售业务的控制
公司制定了《绿盟科技销售项目管理流程》、《绿盟科技行业重大项目管理办 法》等规章制度,在实际工作过程中,严格按照上述流程进行销售管理,强化了顾 客服务理念,减少了坏帐损失的风险。同时,公司还制定了《分支机构申请项目价 格保护流程》、《分支机构报价管理规范》等文档,建立了价格体系,规范价格管 理。另外,对于投标、测试机使用等售前工作,制定《分支机构投标专用章使用规 范》、《分支机构投标授权资料办理流程》、《分支机构固定资产类测试机管理办 法》、《分支机构测试机借用管理办法》,在执行中规避了风险,提高了支持效率。
4、对采购业务的控制
公司制定并严格执行《网安硬件平台供应商认证流程》、《采购控制程序》、 《原材料采购管理办法》、《第三方产品供方管理规定》、《第三方产品采购管理 流程》等制度文件,公司制定了采购与付款业务的机构和岗位,建立和完善了采购 与付款的控制程序,强化了对请购、审批、采购、验收、付款等环节的控制,做到 比质比价采购、计划和采购分开、采购决策透明,尽可能堵塞采购环节的漏洞。
5、对生产管理的控制
生产中心负责公司产品生产的计划、组织与执行。下设管理组、工程组和生产 组,分别负责生产计划与物控管理,产品工艺管理与产品生产执行。公司采用订单 式生产,基于产品序列号对每台设备做可追溯管理,生产全过程由 ERP 系统和生 产管理系统结合辅助,有效提高了管理水平。生产与采购过程进行了有效区隔,在 协作配合中形成了专业管理、相互约束的高效、快捷的生产运作模式。
公司于 2004 年通过 ISO9001 质量体系认证,建立了完善的质量保证体系;多 年来,公司严格按标准要求进行规范的质量管理。2015 年,公司云安全运营服务 业务获得 ISO27001 管理体系的认证,为国内首家通过 ISO27001 认证的可管理安 全服务(MSS)和安全即服务(SECaaS)提供商。
6、对关联交易的控制
==> picture [596 x 43] intentionally omitted <==
公司已制定《关联交易管理制度》,对关联交易的范围、决策程序、信息披露 等方面作了严格规定,规范与关联方的各项交易活动,保证公司与关联方之间的关 联交易符合公平、公正、公开的原则,确保公司的关联交易行为不损害公司和非关 联股东的合法权益。公司关联交易按照制度规定履行审批程序,按照规定签订书面 协议,明确交易双方的权利义务和法律责任。
7、对对外投资的控制
公司注重对投资特别是重大投资行为的内部控制,报告期内,已按照《公司法》、 《证券法》等法律、法规以及规范性文件的有关要求制定了《对外投资管理制度》, 年内公司的对外投资均严格遵守了相关制度。
8、对对外担保的控制
为规范公司对外担保行为,有效控制公司对外担保风险,《公司章程》中明确 了股东大会、董事会关于对外担保事项的审批权限,公司对外担保必须经董事会或 股东大会批准,严格控制担保风险。另外,公司还制定了《对外担保管理制度》, 公司严格控制担保行为,明确了担保原则、担保标准和条件、担保责任等相关内容。 公司尚不存在对外担保的情形。
9、对合同管理的控制
公司制定《合同文本管理规定》、《对外签署合同事项的内控办法》、《合并 评审与签订流程》等相关管理制度,规范了合同的审查、订立、履行、变更、解除 等相关流程和审批权,审查合同文本、审批盖章、合同变更、解除、纠纷上报、合 同资料保管、合同履行后评估等控制活动,规范合同双方在合同履行中进行的各种 经济活动以及合同实施过程中的经济责任、利益和权利。
10、对信息披露的控制
公司建立健全了公司《信息披露管理制度》和《重大信息内部报告制度》,对 公司公开信息披露和重大内部信息沟通进行全程、有效的控制。依据《重大信息内 部报告制度》,公司建立了重大信息内部传递体系,明确公司重大信息的范围和内 容,制定了公司各部门沟通的方式、内容和时限等相应的控制程序。依据《信息披 露管理制度》,公司实施信息披露责任制,将信息披露的责任明确到人,确保信息
==> picture [596 x 43] intentionally omitted <==
披露责任人知悉公司各类信息并及时、准确、完整、公平地对外披露。同时,为规 范公司内幕信息管理,加强内幕信息保密工作,以维护信息披露的公平原则,根据 《公司法》、《证券法》、《上市公司信息披露管理办法》、《深圳证券交易所创 业板股票上市规则》等有关法律、法规和《公司章程》的有关规定,制订了《内幕 信息知情人管理制度》。
11、对全面预算的控制
公司在年度结束前根据战略规划及市场预测,开始编制下年度预算,经公司相 关授权规定审批后下发执行。财务部负责预算编制的组织和汇总,各部门和单位则 具体负责预算的编制和执行。
12、对信息系统的控制
为了加强公司信息流通的管理,保证信息流通的安全性,规范公司信息的传递, 公司制定了《IT 系统建设需求管理规范》、《电脑设备主机命名规范》、《内网 使用指南》、《网络监控管理办法》、《秘密保护管理执行细则》等规范,对计算 机系统的选择、计算机的维护与保密、计算机病毒的防治及相关软件的使用等方面 作了详细的规定,对信管理部门与使用部门权责的区分、程序修改控制、资料存取 的权限、数据处理的控制、设备和信息的安全控制进行了明确划分。
(四)信息沟通
公司制定了《信息披露管理制度》、《年报信息披露重大差错责任追究制度》、 《内幕信息知情人管理制度》等管理制度,明确了内部信息的收集、处理和传递程 序,通过合理筛选、核对、分析和整合,确保信息的准确、快速和有效传递。以上 制度的建立完善了公司在信息与沟通方面的内控管理,确保信息传递过程得到有效 控制,避免发生不必要的泄露或扩散。
另外,公司采购、物流、销售、财务已经全面融合进 ERP 系统,确保会计系 统能够真实、准确、及时和完整反映各项经营管理活动的结果,保证了财务报告的 准确与可靠。
==> picture [596 x 43] intentionally omitted <==
同时,公司积极加强与业务往来单位、以及相关政府监管部门等的沟通和反馈, 以及通过市场调查、网络传媒等渠道,及时获取外部信息,使管理层面对各种变化 能够及时适当地采取进一步行动。
公司证券事务部为公司信息披露事务管理部门,董事会秘书负责公司信息披露 管理工作。2015 年度,公司及时披露公司发生的重大事项,并加强对公司网站内 容发布的审核,在投资者接待中未发生有选择性、私下、提前向特定对象单独披露、 透露或者泄漏公司非公开重大信息的情况,确保公司信息披露的真实、准确、完整、 及时和公平。
(五)内部监督
公司依法设立股东大会、董事会、监事会等组织机构,并在董事会下设有审计 委员会、薪酬与考核委员会、战略决策委员会、提名委员会四个专门委员会,其规 范运作强化了公司内部控制。其中,审计委员会是公司内部控制监督机构,审计委 员会下设的审计部负责公司内控体系的建立健全、监督检查和持续完善工作。公司 审计部根据公司《内部审计制度》相关规定,以风险为导向,采用必审和抽审,事 前、事中控制和事后审计相结合的方式对公司生产经营管理活动进行监督检查。通 过不定期的财务审计、内部控制审计和其他专项审计,对公司经营活动的合规性及 其内控的健全性、有效性做出客观评价,并提出完善建议。另外,公司聘请外部会 计师事务所对财务报表进行审计,同时对公司内控进行审查,公司在所有重大风险 方面保持了有效的内部控制。
(六)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系,结合公司相关制度、流程、指引等相关制度 文件规定,组织开展年度内部控制评价工作。公司董事会根据企业内部控制规范体 系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险 偏好、风险承受度及经营状况等因素,区分财务报告内部控制和非财务报告内部控 制,研究确定了适用绿盟科技的内部控制缺陷具体认定标准。公司确定的内部控制 缺陷认定标准情况如下:
1、财务报告内部控制缺陷认定标准
==> picture [596 x 43] intentionally omitted <==
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
定量标准以营业收入、资产总额作为衡量指标,在同时适用时指标应用采取孰 低原则。
内部控制缺陷可能导致或导致的损失与利润表相关的,以营业收入指标衡量。 如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入 3%, 则认定为一般缺陷;如果超过营业收入的 3%但小于 5%,则认定为重要缺陷;如 果超过营业收入的 5%,则认定为重大缺陷。
内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。 如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的 3%, 则认定为一般缺陷;如果超过资产总额的 3%但小于 5%,则认定为重要缺陷;如 果超过资产总额 5%,则认定为重大缺陷。
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
财务报告重大缺陷的迹象包括:
①公司董事、监事和高级管理人员的舞弊行为;
②公司更正已公布的财务报告;
③注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报;
④审计委员会和审计部门对公司的对外财务报告和财务报告内部控制监督无 效。
财务报告重要缺陷的迹象包括:
①未依照公认会计准则选择和应用会计政策;
②未建立反舞弊程序和控制措施;
③对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且 没有相应的补偿性控制;
④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的 财务报表达到真实、完整的目标。
==> picture [596 x 43] intentionally omitted <==
一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
-
2、非财务报告内部控制缺陷认定标准
-
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的 定量标准执行。
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性 作判定。
如果缺陷发生的可能性较小,会降低工作效率或效果、或加大效果的不确定性、 或使之偏离战略目标为一般缺陷;
如果缺陷发生的可能性较高,会显著降低工作效率或效果、或显著加大效果的 不确定性、或使之显著偏离战略目标为重要缺陷;
如果缺陷发生的可能性高,会严重降低工作效率或效果、或严重加大效果的不 确定性、或使之严重偏离战略目标为重大缺陷。
(三)内部控制缺陷认定及整改情况
- 1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内 部控制重大缺陷、重要缺陷。
- 2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报 告内部控制重大缺陷、重要缺陷。
==> picture [596 x 43] intentionally omitted <==
三、公司对内部控制的自我评估意见
绿盟科技董事会认为,根据财政部《企业内部控制基本规范》、《企业内部控 制评价指引》及相关规定,公司内部控制于 2015 年 12 月 31 日在所有重大方面是 有效的。
四、保荐机构对公司内部控制自我评价的核查意见
本保荐机构认真审阅了绿盟科技 2015 年度内部控制自我评价报告,并通过查 阅绿盟科技的三会会议资料、合同、报表、会计记录、审批手续、相关报告;查阅 公司各项业务和管理制度、内控制度;查阅相关信息披露文件;调查内部审计工作 情况;与董事、监事、高级管理人员、会计师事务所、律师事务所进行沟通;从内 部控制的环境、内部控制制度的建立和实施、内部控制的监督等多方面对绿盟科技 的内部控制合规性和有效性进行了核查。
本保荐机构认为:绿盟科技的法人治理结构健全,现有的内部控制制度的建立 和执行情况符合相关法律法规和证券监管部门的要求;绿盟科技在所有重大方面保 持了与企业业务经营及管理相关的有效的内部控制;绿盟科技的《2015 年度内部 控制自我评价报告》真实、客观反映了其内部控制制度的建设及运行情况。
==> picture [596 x 43] intentionally omitted <==
【此页无正文,专用于《广发证券股份有限公司关于北京神州绿盟信息安全科技股 份有限公司 2015 年度内部控制自我评价报告的核查意见》之签字盖章页】
保荐代表人签名: __ ____ 陈德兵 侯 卫
广发证券股份有限公司
年 月 日
==> picture [596 x 43] intentionally omitted <==