AI assistant
NSFOCUS Technologies Group Co., Ltd. — Audit Report / Information 2021
Apr 26, 2021
55361_rns_2021-04-26_cdb5c5f7-82fa-460b-acf8-a4ff0fc1c8dc.PDF
Audit Report / Information
Open in viewerOpens in your device viewer
绿盟科技集团股份有限公司
2020 年度
内部控制鉴证报告
| 索引 | 页码 |
|---|---|
| 内部控制鉴证报告 | |
| 关于2020 年12 月31 日与财务报表相关的内部控制自我评价报告 | 1-11 |
==> picture [116 x 70] intentionally omitted <==
信永中和会计师事务所 北京市东城区朝阳门北大 联系电话 : +86(010)6554 2288 街 telephone: +86(010)6554 2288 8号富华大厦A座9层 9/F, Block A, Fu Hua Mansion, ShineWing No.8, Chaoyangmen Beidajie, Dongcheng District, Beijing, 传真 : +86(010)6554 7190 certified public accountants 100027, P.R.China facsimile: +86(010)6554 7190
内部控制鉴证报告
XYZH/2021BJAS30075
绿盟科技集团股份有限公司全体股东:
我们接受委托,对后附的绿盟科技集团股份有限公司(以下简称绿盟科技公司)董事 会按照《企业内部控制基本规范》及相关规定对2020年12月31日与财务报表相关的内部控 制的自我评价报告执行了鉴证工作。
绿盟科技公司董事会的责任是按照《企业内部控制基本规范》及相关规定建立健全内 部控制并保持其有效性,以及保证自我评估报告真实、准确、完整地反映与财务报表相关 的内部控制。我们的责任是对绿盟科技公司2020年12月31日与财务报表相关的内部控制有 效性发表鉴证意见。
我们按照《中国注册会计师其他鉴证业务准则第3101号-历史财务信息审计或审阅以 外的鉴证业务》的规定执行了鉴证工作,以对与财务报表相关的内部控制度有效性是否不 存在重大错报获取合理保证。在执行鉴证工作的过程中,我们实施了包括了解、测试和评 价内部控制设计的合理性和执行的有效性,以及我们认为必要的其他程序。我们相信,我 们的鉴证工作为发表意见提供了合理的基础。
内部控制具有固有限制,存在不能防止和发现错报的可能性。此外,由于情况的变化 可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制鉴证 结果推测未来内部控制有效性具有一定风险。
我们认为,绿盟科技公司按照《企业内部控制基本规范》及相关规定于2020年12月31 日在所有重大方面保持了与财务报表相关的有效的内部控制。
本鉴证报告仅供绿盟科技公司2020年度报告披露之目的使用,未经本事务所书面同 意,不应用于任何其他目的。
信永中和会计师事务所(特殊普通合伙) 中国注册会计师:
中国注册会计师:
中国 北京 二〇二一年四月二十五日
绿盟科技集团股份有限公司 2020 年度内部控制自我评价报告
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求 (以下简称“企业内部控制规范体系”),结合绿盟科技集团股份有限公司(以下 简称“公司”)内部控制制度和评价方法,在内部控制日常监督和专项监督的基础 上,我们对公司2020年12月31日(内部控制评价报告基准日)的内部控制有效性进 行了自我评价。
一、 重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有 效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和 实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事 会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误 导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法 律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相 关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的 固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导 致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价 结果推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准 日,公司不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控 制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准 日,公司未发现非财务报告内部控制重大缺陷。
1
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响公司 内部控制有效性评价结论的因素。
三、 内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险 领域。纳入评价范围的单位包括:公司以及纳入合并范围内的全部子公司。纳入评 价范围单位资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司 合并财务报表营业收入总额的100%。按照企业内部控制规范体系的要求,内部评 价围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,内容涵盖 了公司生产经营管理的主要方面。评价过程中遵循了全面性、重要性、客观性的评 价原则。重点关注的高风险领域包括:资金管理、销售业务、资产管理、投资活动、 信息披露。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的 主要方面,不存在重大遗漏。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系,并结合公司内部控制制度组织开展内部控制 评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认 定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告 内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认 定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、 财务报告内部控制缺陷认定标准 ( 1 ) 定性标准:
| 评价等级 | 定性标准 |
|---|---|
| 重大缺陷 | ① 公司董事、监事和高级管理人员的舞弊行为; ② 公司更正已公布的财务报告; ③ 注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大 错报; |
2
| 评价等级 | 定性标准 |
|---|---|
| ④ 审计委员会和审计部门对财务报告内部控制的监督无效。 | |
| 重要缺陷 | ① 未依照公认会计准则选择和应用会计政策; ② 未建立反舞弊程序和控制措施; ③ 对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实 施且没有相应的补偿性控制; ④ 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编 制的财务报表达到真实、完整的目标。 |
| 一般缺陷 | 除上述重大缺陷、重要缺陷之外的其他控制缺陷。 |
(2)定量标准:
定量标准以合并财务报表的营业收入、资产总额作为衡量指标。内部控制缺陷 可能导致或导致的损失或错报与利润表相关的,以营业收入指标衡量,与资产管理 等相关的,以资产总额指标衡量,在同时适用时,指标应用采取孰低原则。控制缺 陷单独或连同其他缺陷一起可能导致或导致的损失或财务报告错报金额与缺陷评 价等级的关系如下:
| 评价等级 | 定量标准 |
|---|---|
| 重大缺陷 | ① 损失或错报≥营业收入的5%;或, ② 损失或错报≥资产总额的5% |
| 重要缺陷 | ① 营业收入的5%>损失或错报≥营业收入的3%;或, ② 资产总额的5%>损失或错报≥资产总额的3% |
| 一般缺陷 | ① 营业收入的3%>损失或错报;或, ② 资产总额的3%>损失或错报 |
2、 非财务报告内部控制缺陷认定标准
(1)定性标准:
公司非财务报告内部控制缺陷认定主要以缺陷对业务流程有效性的影响程度、
发生的可能性作判定。
| 评价等级 | 定性标准 |
|---|---|
| 重大缺陷 | 缺陷发生的可能性大,会严重降低工作效率或效果,或严重加大效果的不 确定性,或使之严重偏离战略目标。 |
| 重要缺陷 | 缺陷发生的可能性较大,会显著降低工作效率或效果,或显著加大效果的 不确定性,或使之显著偏离战略目标。 |
3
缺陷发生的可能性较小,会降低工作效率或效果,或加大效果的不确定性, 一般缺陷 或使之偏离战略目标。
( 2 ) 定量标准:
公司非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评 价的定量标准执行。
(三)公司内部控制相关内容及执行情况
1、内部环境
(1)公司治理
公司按照《公司法》及有关法规的要求建立了股东大会、董事会、监事会以及 在董事会领导下的管理层这一法人治理结构,并按照《上市公司治理准则》和《关 于在上市公司建立独立董事制度的指导意见》等要求,不断完善公司法人治理结构, 规范公司运作,建立健全独立董事制度。公司章程及公司相关规定又对董事会领导 下的各层级组织进行了明确的职责授权,管理层严格在授权范围内主持公司日常生 产经营和管理工作。公司治理的实际状况与中国证监会发布的有关上市公司治理的 规范文件要求不存在差异。
(2)发展战略
公司长期以来坚持明确的发展战略:在全球范围内,提供基于自身核心竞争力 的企业级网络安全解决方案,成为最受客户信赖的网络安全公司。该发展战略密切 围绕公司主业,并考虑了公司的实际能力。公司根据发展战略制定长期和短期的工 作计划。
(3)企业文化
公司经历二十几年的发展,凝聚了一批具有同样价值观的同伴,在“专攻术业, 成就所托”的愿景鼓舞下,在专业领域不断精进。公司的核心价值观强调责任感, 即要忠于职守、尽心尽责,同时强调专业精神、团队精神、创新精神和共同发展。 公司建立并维护《员工手册》,指引员工遵守行为规范,要求员工敬业并严守职业 道德。公司通过日常工作、组织活动和培训等方式不断向员工传递公司文化和价值 观。
(4)人力资源
4
公司高度重视各岗位员工所需的能力水平设定,以及达到该水平所必需的知识 和能力的要求,以使任职人员具有相应的胜任能力,确保各岗位人员不会因专业胜 任能力不足而发生失误和差错。公司建立了绿盟科技大学、网路安全学院等培训平 台,针对不同岗位所需的管理技能、专业知识或技能等展开多种形式的培训教育, 使员工们能胜任目前所处的工作岗位。此外,公司的岗位责任明确,任职条件清晰。
为了适应公司的发展,不断增加公司的市场竞争力,公司每年都制定人才引进 目标,通过完善的聘用政策,2020年为公司关键岗位引进了专业人才。同时,公司 建立了人力资源的激励及约束机制,设定了科学的业绩考核指标体系,员工的薪酬 和晋升与考核结果挂钩。充分调动员工积极性,公平公正选拔干部,为公司经营目 标实现提供合格人员保证。
(5)信息系统
公司 IT 管理中心统一负责公司信息系统的规划、建设和维护正常运转。先后 建立了《软件开发管理制度》、《应用系统变更管理制度》、《账户和权限管理制 度》及《数据备份、恢复管理办法》等规定,并严格依照执行。另外公司设有独立 于 IT 管理中心的信息安全管理部,公司系统上线前均要经过该部门检查测试。通 过这些方式合理保障了公司信息系统的开发质量和持续正常运转。公司已建立了 Oracle ERP 系统、CRM 系统、授权审批系统、工程资源管理系统等,以加强对工 程资源的管理和监督。
2、风险评估
为实现公司各项目标,使公司持续、健康发展,公司从上到下提倡拥有足够 的风险评估意识,及时做好风险识别和防控。公司各级组织根据所要实现的控制 目标,系统地收集相关信息,结合所处的行业特点、自身的业务特点和发展阶段, 及时进行风险评估,对可能出现的经营风险、财务风险、市场风险、政策法规风 险和道德风险等进行持续有效地识别、计量和评估。公司各级组织和管理人员根 据对风险的分析和排序,确定关注重点和优先控制的风险,并结合公司风险承受 度,权衡风险与收益,确定采用的风险应对策略,并落实在工作中,实现对风险 的有效管理。
公司的内部控制系统建设是以各目标项下的风险管理为导向的,将对风险的 合理管控融入到具体的流程、政策和系统设计思路中。公司随着内部和外部环境
5
的变化,不断收集与风险变化相关的信息,进行风险识别和风险分析,及时调整 风险应对策略。
3、控制活动
(1)不相容职责分离
公司在组织机构设立、岗位设置、职责权力分工、流程设计等方面均考虑了不 相容职务相分离的控制措施,实现了实物管理与记账、采购需求与采购执行、合作 伙伴认证与合作伙伴选择、具体操作与审核、稽核等不相容职务的分离。
(2)授权审批控制
公司在经营过程中,梳理了各业务循环和管理环节中需要的授权审批控制点, 以制度和流程的形式明确了各种情况下的授权审批的权限、责任和程序,并在公司 的信息共享平台上及时发布和更新这些制度和流程,同时放入系统实现系统控制。 随风险等级升高,提升审批权限级别,并根据业务涉及的领域和复杂程度引入跨部 门联合审批,重大事项的审批会提交相关的委员会,或在公司最高管理会议上讨论 和决策。
(3)对资金的控制
公司制定了《资金管理办法》,该办法覆盖公司所有的资金活动,明确规定了 各种资金活动的控制要求,公司始终严格按此管理办法使用和运作资金。该办法覆 盖的资金管理领域包括:资金计划管理、资金支付审批权限及支付程序、资金管理 岗位控制、现金的管理、票据的管理、银行存款的管理、其他货币资金的管理、银 行印鉴的管理、资金的调拨、对外借款、对外投资、融资及担保的管理等。资金收 支及票据保管人员和记账人员及稽核人员做到了严格岗位分离,并且定期的检查、 稽核工作在持续有效进行。
(4)对资产的管理
公司生产部门制定并严格执行《库存管理程序》、《生产部发货管理规范》、 《生产部防静电管理规定》等流程和制度,对存货和生产环境进行了有效管理,对 原材料、在制品与产成品的验收入库、领料发货、保管处置等关键环节进行了有效 控制,并有效防止实物资产的被盗、损毁和流失。
公司制定有《固定资产管理规定》,明确了固定资产购建、发放、转移、报废、 盘点等控制要求,并严格按要求执行。对于用于售前、工程现场等场景的测试机,
6
公司单独建立了《固资类测试机管理办法》,集中归口管理,明确了测试机的借用、 归还等流程及控制点,同时对测试机的新增、维护、盘点、证书管理等都做了清楚 的规定。
针对按会计准则及公司开发工作实质予以资本化的研发费用的管理,公司制定 了《研发费用资本化核算管理制度》,清楚定义了可予资本化的条件、涉及费用的 范围、需要准备的文件、减值测试等内容,产品研发部门和集团财务部门严格执行 此规定,保证了相关会计核算的真实性、准确性和合规性。
(5)销售业务
公司根据业务发展及市场需要制定了适合于公司的销售政策,建立了渠道分销 和大客户直销的销售策略,在渠道管理、业务机会管理、报价管理、合同评审、发 货及收款等环节均制定了相应的管理办法和流程,并每年根据内、外部环境的变化 和风险评估情况及时做出调整。2020年公司继续加强对销售过程的管理和考核,制 定并严格执行《2020年绿盟科技渠道合作伙伴政策》、《盟科技国内业务销售管理 办法大》等制度,从制度和流程上严格规范销售业务,并更深入地加强对渠道的管 理和培训。在重大项目的决策方面,引入跨部门的决策机制,以更好把握风险,认 证真实性及合理解决问题。
(6)采购及生产研发等质量管理
公司制定并执行《网安硬件平台供应商认证流程》、《采购招标流程》、《原 材料采购管理办法》、《非生产采购管理办法》等流程和规定。对金额较大、采购 来源较多、市场竞争性强的采购执行招标流程,由需求部门、专家组、采购部门等 共同参与招标过程。公司建立有采购与付款的控制程序,强化了对请购、审批、采 购、验收、付款等环节的控制,做到比质比价采购、计划和采购分开,尽可能堵塞 采购环节的漏洞。
公司于 2004 年建立质量管理体系并通过质量体系认证,迄今为止,体系运行 保持持续有效。
A 公司按照 IPD 集成产品开发模式建立研发流程,通过项目计划评审、需求 评审、里程碑技术评审、代码审计、测试验证、实验局等方式进行质量控制,保障 研发质量满足目标要求。公司目前正在申请 CMMI 5 级认证。
7
B 公司建立全自动化生产系统,以增加产品质量稳定度,提高生产效率,同 时对生产、质检人员定期培训,持证上岗,并建立完善的来料检验、生产检验、拷 机、包装检验、成品检验等操作指南,确保生产质量满足要求。
C 公司为准确将客户需求转化为可交付物,对提交客户的技术方案进行严格 把关,由专业团队进行评审、验证,以确保方案满足客户需求。
D 在产品与服务交付环节,公司建立 NSPM 工程项目管理体系,建立各类产 品与服务的实施指南,并通过工程方案评审、各阶段的验收,对项目进行度量与监 控,以保障交付质量。公司建立明确的售后服务标准,专业售后服务团队,并定期 进行客户回访,了解客户感受,为整体改进提供输入,以持续提升客户满意度。
(7)对外投资
公司注重对外投资行为的内部控制,已按照《公司法》《证券法》等法律、法 规以及规范性文件的有关要求制定了《对外投资管理制度》并严格执行。该制度明 确规定了各种对外投资事项的审批权限、具体管理分工及职责。投资发生后,有专 门的组织负责跟踪投资执行进展,向董事长汇报投资效益情况,及时发现投资项目 面临的风险,及时提请有权人员和组织考虑处置达到临界条件的投资。在对外投资 的信息披露方面,公司根据有关上市规则和《公司章程》等规定,及时合规地进行 披露。2020 年度内公司的对外投资及投资处置均严格遵守了相关制度规定。
(8)关联交易
公司按照《关联交易管理制度》管理关联交易,对关联交易和关联人的认定范 围、审批决策权、对价格的管理以及信息披露等方面作了严格规定,规范了与关联 方的各项交易活动,保证了公司的关联交易符合公平、公正、公开的原则。公司有 专门部门负责维护关联关系清单,有变化时及时通知公司内部相关部门,以启动关 联交易管理程序,并按规定进行披露。
(9)对外担保
为规范公司对外担保行为,有效控制公司对外担保风险,公司建立了《对外担 保管理制度》,明确了股东大会、董事会关于对外担保事项的审批权限,使对外担 保事项处于高度被监管状态。公司对担保申请人执行全面评审程序,并由财务部指 定责任人持续关注被担保公司的状况或变化,定期向总裁汇报,防范风险发生。截 至 2020 年期末,公司除对香港全资子公司 500 万元美元贷款提供内保外贷外,公 司不存在其他对外担保。
8
(10)合同管理
公司制定了《合同评审与签订流程》、《合同专用章管理规定》、《合同文本 管理规定》等相关管理制度,规定了合同的评审、订立、履行、变更、解除等相关 流程和审批权限,明确了审查合同文本、用章管理人核对、合同变更、解除、纠纷 上报、合同资料保管、合同履行后评估等内部控制活动。各类合同的评审均在系统 上完成,对常用合同均建立了合同模板,模板经过公司法律部的审核。
(11)信息披露
公司建立健全了《信息披露管理制度》和《重大信息内部报告制度》, 公司 对公开信息披露和重大内部信息沟通进行全程、有效的控制。依据《重大信息内部 报告制度》,公司建立了重大信息内部传递体系,明确公司重大信息的范围和内容, 制定了公司各部门沟通的方式、内容和时限等相应的控制程序。依据《信息披露管 理制度》,公司实施信息披露责任制,将信息披露的责任明确到人,确保信息披露 责任人知悉公司各类信息并及时、准确、完整、公平地对外披露。同时,为规范公 司内幕信息管理,加强内幕信息保密工作,以维护信息披露的公平原则,根据《公 司法》《证券法》《上市公司信息披露管理办法》《深圳证券交易所创业板股票上 市规则》等有关法律、法规和《公司章程》的有关规定,制订了《内幕信息知情人 管理制度》并严格执行,其中详细规定了内幕信息保密管理及知情人登记管理等具 体要求并严格执行。
公司证券事务与投资者关系部为公司信息披露事务管理部门,董事会秘书负责 公司信息披露管理工作。2020 年度,公司及时披露发生的重大事项,在投资者接 待中未发生有选择性、私下、提前向特定对象单独披露、透露或者泄漏公司非公开 重大信息的情况。
(12)预算管理
公司在年度结束前根据战略规划及市场预测,开始编制下年度预算,按公司相 关授权规定经审批后下发执行。公司财务部负责预算编制的组织和汇总,并会同其 他管理部门监督预算的执行情况。根据公司总体目标及预算情况,公司设立各组织 的季度和年度绩效考核方案,用预算管理和绩效考核合理有效推进业务目标实现。
4、信息与沟通
9
公司制定了《信息披露管理制度》、《重大信息内部报告制度》等管理制度, 明确了内部信息的收集、处理和传递程序,通过合理筛选、核对、分析和整合,提 高信息的有用性,确保信息的准确、快速和有效传递。
另外,公司的会计核算、采购、物流、生产、销售管理等信息已基本全面融合 进 ERP 系统或其他信息系统,从信息传递和加工角度使会计信息能够真实、准确、 及时和完整反映各项经营活动的结果。
公司内部有销售例会、管理例会等各种例会机制,以及时传达和沟通内部信息。 每季度末召开全体员工会议、公司管理人员述职会,对上个季度的工作做总结,并 布置、强调下个季度或全年的工作重点,此方式大大提高了公司的运营方针、需改 进的重点工作、内部控制要求等被全体员工知悉和了解的程度。
公司设立了举报邮箱,并建立了调查处理举报和保护举报人的机制。根据公司 的《廉洁从业管理制度》,有关岗位及其管理人员每年签署《廉洁自律承诺书》。 同时,公司积极加强与业务往来单位、以及相关政府监管部门等的沟通和反馈,并 将内部控制有关要求以政策发布、会议宣讲等方式传递给公司合作伙伴。同时通过 客户调查、市场调查、网络传媒等渠道,及时获取外部信息,使管理层面对各种变 化能够及时适当地采取进一步行动。
5、内部监督
公司依法设立股东大会、董事会、监事会等组织机构,并在董事会下设有审计 委员会、薪酬与考核委员会、战略委员会、提名委员会四个专门委员会,按照《董 事会议事规则》规范运作,对公司管理形成了有效的监督。其中,审计委员会是公 司内部控制监督机构,其下设内审部,内审人员独立、客观、公正地开展工作。根 据公司《内部审计制度》要求实施内部审计工作,履行内部审计职责。内部审计以 风险为导向,监督检查公司业务及财务报告相关的内部控制的有效性。此外,公司 管理人员根据业务和事项的特点,对有关事项加入了事后分析和审核工作,对措施 的执行情况和效果进行事后监督检查。另外,公司聘请外部会计师事务所对财务报 表进行审计,同时对公司财务报告相关的内部控制进行审核和鉴证,过程中提出发 现的问题和改进的意见。
(四)内部控制缺陷认定及整改情况
10
- 1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内 部控制重大缺陷、重要缺陷。
- 2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报 告内部控制重大缺陷、重要缺陷。
四、 其他内部控制相关重大事项说明
报告期内,公司无其他需要说明的与内部控制相关的重大事项。
绿盟科技集团股份有限公司董事会
2021 年 4 月 25 日
11