AI assistant
NSFOCUS Technologies Group Co., Ltd. — Audit Report / Information 2020
Apr 27, 2020
55361_rns_2020-04-27_cd852101-6d55-4c19-b93a-a8a65119f99b.PDF
Audit Report / Information
Open in viewerOpens in your device viewer
广发证券股份有限公司
关于绿盟科技集团股份有限公司
2019 年度内部控制自我评价报告的核查意见
广发证券股份有限公司(以下简称“广发证券”或“保荐机构”)作为绿盟 科技集团股份有限公司(以下简称“绿盟科技”或“公司”)非公开发行股票的 保荐机构,根据《证券发行上市保荐业务管理办法》、《深圳证券交易所创业板 股票上市规则》、《企业内部控制基本规范》、《深圳证券交易所创业板上市公 司规范运作指引》、《企业内部控制配套指引》等有关法律法规和规范性文件的 要求,对绿盟科技出具的内部控制自我评价报告进行了核查,具体情况如下:
一、内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风 险领域。纳入评价范围的单位包括:公司以及纳入合并范围内的全部子公司。纳 入评价范围单位资产总额占公司合并财务报表资产总额的100%,营业收入合计 占公司合并财务报表营业收入总额的100%。按照企业内部控制规范体系的要求, 内部评价围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素, 内容涵盖了公司生产经营管理的主要方面。评价过程中遵循了全面性、重要性、 客观性的评价原则。重点关注的高风险领域包括:资金管理、资产管理、销售业 务、投资活动、信息披露。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理 的主要方面,不存在重大遗漏。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系,并结合公司内部控制制度组织开展内部控 制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的 认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务
==> picture [61 x 28] intentionally omitted <==
报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷 具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下: 1 、财务报告内部控制缺陷认定标准
(1)定性标准:
| 评价等级 | 定性标准 |
|---|---|
| 重大缺陷 | ① 公司董事、监事和高级管理人员的舞弊行为; ② 公司更正已公布的财务报告; ③ 注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报; ④ 审计委员会和审计部门对财务报告内部控制的监督无效。 |
| 重要缺陷 | ① 未依照公认会计准则选择和应用会计政策; ② 未建立反舞弊程序和控制措施; ③ 对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没 有相应的补偿性控制; ④ 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财 务报表达到真实、完整的目标。 |
| 一般缺陷 | 除上述重大缺陷、重要缺陷之外的其他控制缺陷。 |
(2)定量标准:
定量标准以合并财务报表的营业收入、资产总额作为衡量指标。内部控制缺 陷可能导致或导致的损失或错报与利润表相关的,以营业收入指标衡量,与资产 管理等相关的,以资产总额指标衡量,在同时适用时,指标应用采取孰低原则。 控制缺陷单独或连同其他缺陷一起可能导致或导致的损失或财务报告错报金额 与缺陷评价等级的关系如下:
| 评价等级 | 定量标准 |
|---|---|
| 重大缺陷 | ① 损失或错报≥营业收入的5%;或, ② 损失或错报≥资产总额的5% |
| 重要缺陷 | ① 营业收入的5%>损失或错报≥营业收入的3%;或, ② 资产总额的5%>损失或错报≥资产总额的3% |
| 一般缺陷 | ① 营业收入的3%>损失或错报;或, ② 资产总额的3%>损失或错报 |
2、非财务报告内部控制缺陷认定标准
==> picture [61 x 28] intentionally omitted <==
(1)定性标准:
公司非财务报告内部控制缺陷认定主要以缺陷对业务流程有效性的影响程 度、发生的可能性作判定。
| 评价等级 | 定性标准 |
|---|---|
| 重大缺陷 | 缺陷发生的可能性大,会严重降低工作效率或效果,或严重加大效果的不确 定性,或使之严重偏离战略目标。 |
| 重要缺陷 | 缺陷发生的可能性较大,会显著降低工作效率或效果,或显著加大效果的不 确定性,或使之显著偏离战略目标。 |
| 一般缺陷 | 缺陷发生的可能性较小,会降低工作效率或效果,或加大效果的不确定性, 或使之偏离战略目标。 |
(2)定量标准:
公司非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷 评价的定量标准执行。
(三)公司的内部控制相关内容
1、内部环境
(1)公司治理
公司按照《公司法》及有关法规的要求建立了股东大会、董事会、监事会以 及在董事会领导下的管理层这一法人治理结构,并按照《上市公司治理准则》和 《关于在上市公司建立独立董事制度的指导意见》等要求,不断完善公司法人治 理结构,规范公司运作,建立健全独立董事制度。公司章程及公司相关规定又对 董事会领导下的各层级组织进行了明确的职责授权,管理层严格在授权范围内主 持公司日常生产经营和管理工作。公司治理的实际状况与中国证监会发布的有关 上市公司治理的规范文件要求不存在差异。
(2)发展战略
公司长期以来坚持明确的发展战略:在全球范围内,提供基于自身核心竞争 力的企业级网络安全解决方案,成为最受客户信赖的网络安全公司。该发展战略 密切围绕公司主业,并考虑了公司的实际能力。公司根据发展战略制定长期和短 期的工作计划。
(3)企业文化
==> picture [61 x 28] intentionally omitted <==
公司经历二十年的发展,凝聚了一批具有同样价值观的同伴,在“专攻术业, 成就所托”的愿景鼓舞下,在专业领域不断精进。公司的核心价值观强调责任感, 即要忠于职守、尽心尽责,同时强调专业精神、团队精神、创新精神和共同发展。 公司建立并维护《员工手册》,指引员工遵守行为规范,要求员工敬业并严守职 业道德。公司通过日常工作、组织活动和培训等方式不断向员工传递公司文化和 价值观。
(4)人力资源
公司高度重视各工作岗位员工所需的能力水平设定,以及达到该水平所必需 的知识和能力的要求,以使任职人员具有相应的胜任能力,确保各岗位人员不会 因专业胜任能力不足而发生失误和差错。公司建立了网路安全学院、绿盟科技大 学等培训平台,针对不同岗位所需的专业知识或技能,展开多种形式的培训教育, 使员工们能胜任目前所处的工作岗位。此外,公司的岗位责任明确,任职条件清 晰。
为了适应公司的发展,不断增加公司的市场竞争力,公司每年都制定人才引 进目标,通过完善的聘用政策,2019年为公司关键岗位引进了专业人才。同时, 公司建立了人力资源的激励约束机制,设定了科学的业绩考核指标体系,员工的 薪酬和晋升与考核结果挂钩。充分调动员工积极性,公平公正选拔干部,为公司 经营目标实现提供合格人员保证。
(5)信息系统
公司 IT 管理中心统一负责公司信息系统的规划、建设和维护正常运转。先 后建立了《软件开发管理制度》、《应用系统变更管理制度》、《账户和权限管 理制度》及《数据备份、恢复管理办法》等规定,并严格依照执行。另外公司设 有独立于 IT 管理中心的信息安全管理部,公司系统上线前均要经过该部门检查 测试。通过这些方式合理保障了公司信息系统的开发质量和持续正常运转。公司 已建立了 Oracle ERP 系统,及围绕 ERP 的 CRM 系统、授权审批系统等,2019 年新开发了工程资源管理系统,以加强对工程资源的管理和监督。
2、风险评估
为实现公司各项目标,使公司持续、健康发展,公司从上到下提倡拥有足 够的风险评估意识,及时做好风险识别和防控。公司各级组织根据所要实现的 控制目标,系统地收集相关信息,结合所处的行业特点、自身的业务特点和发
==> picture [61 x 28] intentionally omitted <==
展阶段,及时进行风险评估,对可能出现的经营风险、财务风险、市场风险、 政策法规风险和道德风险等进行持续有效地识别、计量和评估。公司各级组织 和管理人员根据对风险的分析和排序,确定关注重点和优先控制的风险,并结 合公司风险承受度,权衡风险与收益,确定采用的风险应对策略,并落实在工 作中,实现对风险的有效管理。
公司的内部控制系统建设是以各目标项下的风险管理为导向的,将对风险 的合理管控融入到具体的流程、政策和系统设计思路中。公司随着内部和外部 环境的变化,不断收集与风险变化相关的信息,进行风险识别和风险分析,及 时调整风险应对策略。
3、控制活动
( 1 )不相容职责分离
公司在组织机构设立、岗位设置、职责权力分工、流程设计等方面均考虑了 不相容职务相分离的控制措施,实现了实物管理与记账、采购需求与采购执行、 合作伙伴认证与合作伙伴选择、具体操作与审核、稽核等不相容职务的分离。
( 2 )授权审批控制
公司在经营过程中,梳理了各业务循环和管理环节中需要的授权审批控制点, 以制度和流程的形式明确了各种情况下的授权审批的权限、责任和程序,并在公 司的信息共享平台上及时发布和更新这些制度和流程,同时放入系统实现系统控 制。随风险等级升高,提升审批权限级别,并根据业务涉及的领域和复杂程度引 入跨部门联合审批,重大事项的审批会提交相关的委员会,或在公司最高管理会 议上讨论和决策。
( 3 )对资金的控制
公司制定了《资金管理办法》,该办法覆盖公司所有的资金活动,明确规定 了各种资金活动的控制要求,公司始终严格按此管理办法使用和运作资金。该办 法覆盖的资金管理领域包括:资金计划管理、资金支付审批权限及支付程序、资 金管理岗位控制、现金的管理、票据的管理、银行存款的管理、其他货币资金的 管理、银行印鉴的管理、资金的调拨、对外借款、对外投资、融资及担保的管理 等。资金收支及票据保管人员和记账人员及稽核人员做到了严格岗位分离,并且 定期的检查、稽核工作在持续有效进行。
==> picture [61 x 28] intentionally omitted <==
(4)对资产的管理
公司生产部门制定并严格执行《库存管理程序》、《生产出入管理规定》、《生 产部发货管理规范》、《生产部防静电管理规定》等流程和制度,对存货和生产环 境进行了有效管理,对原材料、在制品与产成品的验收入库、领料发货、保管处 置等关键环节进行了有效控制,并有效防止实物资产的被盗、损毁和流失。
公司制定有《固定资产管理规定》,明确了固定资产购建、发放、转移、报 废、盘点等控制要求,并严格按要求执行。对于用于售前、工程现场等场景的测 试机,公司单独建立了《固资类测试机管理办法》,集中归口管理,明确了测试 机的借用、归还等流程及控制点,同时对测试机的新增、维护、盘点、证书管理 等都做了清楚的规定。
针对按会计准则及公司开发工作实质予以资本化的研发费用的管理,公司制 定了《研发费用资本化核算管理制度》,清楚定义了可予资本化的条件、涉及费 用的范围、需要准备的文件、减值测试等内容,产品研发部门和集团财务部门严 格执行此规定,保证了相关会计核算的真实性、准确性和合规性。
(5)销售业务
公司根据业务发展及市场需要制定了适合于公司的销售政策,建立了渠道分 销和大客户直销的销售策略,在渠道管理、业务机会管理、报价管理、合同评审、 发货及收款等环节均制定了相应的管理办法和流程,并每年根据内、外部环境的 变化和风险评估情况及时做出调整。2019年进一步加强了对销售过程的管理和考 核,提升签约数量和质量,制定并严格执行《业务机会管理及销售预测填写规范》、 《重大项目管理办法》等,同时着力于销售渠道建设,加强对渠道的管理和培训。 在重大项目的决策方面,引入跨部门管理委员会的决策机制,以更好把握风险, 及时沟通和合理解决问题。
(6)采购及生产研发等质量管理
公司制定并执行《网安硬件平台供应商认证流程》、《采购招标流程》、《原材 料采购管理办法》等流程和规定。对金额较大、采购来源较多、市场竞争性强的 采购执行招标流程,由产品和研发、生产、采购等多部门共同参与招标过程,确 定技术要求和产品规格,共同讨论设计招标策略和评分方案。公司建立和完善了 采购与付款的控制程序,强化了对请购、审批、采购、验收、付款等环节的控制,
==> picture [61 x 28] intentionally omitted <==
做到比质比价采购、计划和采购分开,尽可能堵塞采购环节的漏洞。
公司于 2004 年建立质量管理体系并通过质量体系认证,迄今为止,体系运 行保持持续有效。公司于 2018 年按照 GJB9001C 要求建立军标质量管理体系, 编制《质量手册》、程序文件和作业指导书,与 GB/T19001 体系整合,并获得军 标质量体系认证证书。
A 公司按照 IPD 集成产品开发模式建立研发流程,通过项目计划评审、需 求评审、里程碑技术评审、代码审计、测试验证、实验局等方式进行质量控制, 保障研发质量满足目标要求。公司目前正在申请 CMMI 5 级认证。
B 公司建立全自动化生产系统,以增加产品质量稳定度,提高生产效率, 同时对生产、质检人员定期培训,持证上岗,并建立完善的来料检验、生产检验、 拷机、包装检验、成品检验等操作指南,确保生产质量满足要求。
C 公司为准确将客户需求转化为可交付物,对提交客户的技术方案进行严 格把关,由专业团队进行评审、验证,以确保方案满足客户需求。
D 在产品与服务交付环节,公司建立 NSPM 工程项目管理体系,建立各类 产品与服务的实施指南,并通过工程方案评审、各阶段的验收,对项目进行度量 与监控,以保障交付质量。公司建立明确的售后服务标准,专业售后服务团队, 并定期进行客户回访,了解客户感受,为整体改进提供输入,以持续提升客户满 意度。
( 7 )对外投资
公司注重对外投资行为的内部控制,已按照《公司法》《证券法》等法律、 法规以及规范性文件的有关要求制定了《对外投资管理制度》并严格执行。该制 度适用于公司所有形式的对外投资,且适用于所有控股子公司的对外投资的管理。 该制度明确规定了各种对外投资事项的审批权限、具体管理分工及职责。投资发 生后,有专门的组织负责跟踪投资执行进展,汇报投资效益情况,及时发现投资 项目面临的风险,促使问题解决,或及时提请有权人员和组织考虑处置达到临界 条件的投资。在对外投资的信息披露方面,公司根据有关上市规则和《公司章程》 等规定,及时合规地进行披露。 2019 年度内公司的对外投资及投资处置均严格 遵守了相关制度规定。
( 8 )关联交易
==> picture [61 x 28] intentionally omitted <==
公司已制定《关联交易管理制度》,对关联交易和关联人的认定范围、审批 决策权、定价原则和方法、对价格的管理以及信息披露等方面作了严格规定,规 范了与关联方的各项交易活动,保证了公司的关联交易符合公平、公正、公开的 原则。公司有专门部门负责维护关联关系清单,有变化时及时通知公司内部相关 部门,以启动关联交易管理程序,并按规定进行披露。
(9)对外担保
为规范公司对外担保行为,有效控制公司对外担保风险,《公司章程》中明 确了股东大会、董事会关于对外担保事项的审批权限,公司对外担保必须经董事 会或股东大会批准。公司同时建立了《对外担保管理制度》,对担保申请人执行 全面评审程序,并由指定的责任人持续关注被担保公司的状况或变化,定期向总 裁汇报,防范风险发生。截至 2019 年期末,公司除对香港全资子公司 1,930 万 元美元贷款提供内保外贷外,公司不存在其他对外担保。
(10)合同管理
公司制定了《合同评审与签订流程》、《合同专用章管理规定》、《合同文本管 理规定》等合同有关管理制度,规定了合同的评审、订立、履行、变更、解除等 相关流程和审批权限,明确了审查合同文本、用章管理人核对、合同变更、解除、 纠纷上报、合同资料保管、合同履行后评估等内部控制活动。各类合同的评审均 在系统上完成,对常用合同均建立了合同模板,模板经过公司法律部的审核。
(11)信息披露
公司建立健全了《信息披露管理制度》和《重大信息内部报告制度》, 对公 司公开信息披露和重大内部信息沟通进行全程、有效的控制。依据《重大信息内 部报告制度》,公司建立了重大信息内部传递体系,明确公司重大信息的范围和 内容,制定了公司各部门沟通的方式、内容和时限等相应的控制程序。依据《信 息披露管理制度》,公司实施信息披露责任制,将信息披露的责任明确到人,确 保信息披露责任人知悉公司各类信息并及时、准确、完整、公平地对外披露。同 时,为规范公司内幕信息管理,加强内幕信息保密工作,以维护信息披露的公平 原则,根据《公司法》《证券法》《上市公司信息披露管理办法》《深圳证券交易 所创业板股票上市规则》等有关法律、法规和《公司章程》的有关规定,制订了 《内幕信息知情人管理制度》并严格执行,其中详细规定了内幕信息保密管理及
==> picture [61 x 28] intentionally omitted <==
知情人登记管理等具体要求并严格执行。
公司证券事务与投资者关系部为公司信息披露事务管理部门,董事会秘书负 责公司信息披露管理工作。2019 年度,公司及时披露发生的重大事项,在投资 者接待中未发生有选择性、私下、提前向特定对象单独披露、透露或者泄漏公司 非公开重大信息的情况。
(12)预算管理
公司在年度结束前根据战略规划及市场预测,开始编制下年度预算,按公司 相关授权规定经审批后下发执行。公司财务部负责预算编制的组织和汇总,并会 同其他管理部门监督预算的执行情况。根据公司总体目标及预算情况,公司设立 各组织的季度和年度绩效考核方案,用预算管理和绩效考核合理有效推进业务目 标实现。
4、信息与沟通
公司制定了《信息披露管理制度》、《重大信息内部报告制度》等管理制度, 明确了内部信息的收集、处理和传递程序,通过合理筛选、核对、分析和整合, 提高信息的有用性,确保信息的准确、快速和有效传递。
另外,公司采购、物流、生产、销售管理、会计核算等信息已基本全面融合 进 ERP 系统及与 ERP 相通的其他信息系统,从信息传递和加工角度使会计信息 能够真实、准确、及时和完整反映各项经营活动的结果。
公司内部有销售例会、管理例会等各种例会机制,以及时传达和沟通内部信 息。每季度末召开全体员工会议,由公司管理人员对上个季度的工作做总结,并 布置、强调下个季度或全年的工作重点,此方式大大提高了公司的运营方针、需 改进的重点工作、内部控制要求等被全体员工知悉和了解的程度。
公司设立了举报邮箱,并建立了调查处理举报和保护举报人的机制。根据公 司的《廉洁从业管理制度》,有关岗位及其管理人员每年要签署《廉洁自律承诺 书》,2019 年组织完成了该承诺书的签署。同时,公司积极加强与业务往来单位、 以及相关政府监管部门等的沟通和反馈,并将内部控制有关要求以适当的方式传 递给公司合作伙伴。同时通过客户调查、市场调查、网络传媒等渠道,及时获取 外部信息,使管理层面对各种变化能够及时适当地采取进一步行动。
5、内部监督
==> picture [61 x 28] intentionally omitted <==
公司依法设立股东大会、董事会、监事会等组织机构,并在董事会下设有审 计委员会、薪酬与考核委员会、战略决策委员会、提名委员会四个专门委员会, 其规范运作强化了公司内部控制,对公司管理形成了有效的监督。其中,审计委 员会是公司内部控制监督机构,其下设内审部,内审人员独立、客观、公正地开 展工作。公司建立了《内部审计制度》,明确了内部审计职责和权限。内部审计 以风险为导向,监督检查公司业务及财务报告相关的内部控制的有效性。此外, 公司管理人员根据业务和事项的特点,对有关事项加入了事后分析和审核工作, 对措施的执行情况和效果进行事后监督检查。另外,公司聘请外部会计师事务所 对财务报表进行审计,同时对公司财务报告相关的内部控制进行审核和鉴证,过 程中提出发现的问题和改进的意见。
(四)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告 内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务 报告内部控制重大缺陷、重要缺陷。
二、其他内部控制相关重大事项说明
报告期内,公司无其他需要说明的与内部控制相关的重大事项。
三、公司对内部控制的自我评估意见
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准 日,公司不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部 控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控 制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准 日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响公
==> picture [61 x 28] intentionally omitted <==
司内部控制有效性评价结论的因素。
四、保荐机构对公司内部控制自我评价的核查意见
本保荐机构认真审阅了绿盟科技 2019 年度内部控制自我评价报告,并通过 查阅绿盟科技的三会会议资料、合同、报表、会计记录、审批手续、相关报告; 查阅公司各项业务和管理制度、内控制度;查阅相关信息披露文件;调查内部审 计工作情况;与董事、监事、高级管理人员、会计师事务所、律师事务所进行沟 通;从内部控制的环境、内部控制制度的建立和实施、内部控制的监督等多方面 对绿盟科技的内部控制合规性和有效性进行了核查。
本保荐机构认为:绿盟科技的法人治理结构健全,现有的内部控制制度的建 立和执行情况符合相关法律法规和证券监管部门的要求;绿盟科技在所有重大方 面保持了与企业业务经营及管理相关的有效的内部控制;绿盟科技的《2019 年 度内部控制自我评价报告》真实、客观反映了其内部控制制度的建设及运行情况。
==> picture [61 x 28] intentionally omitted <==
【此页无正文,专用于《广发证券股份有限公司关于绿盟科技集团股份有限公司 2019 年度内部控制自我评价报告的核查意见》之签字盖章页】
保荐代表人签名: __ ____ 徐海林 玄虎成
广发证券股份有限公司
年 月 日
==> picture [61 x 28] intentionally omitted <==