Shenzhen GuoHua Network Security Technology Co., Ltd. — Audit Report / Information 2012

Aug 9, 2012

深圳中国农大科技股份有限公司

二○一二年半年度内部控制自我评价报告

根据《企业内部控制基本规范》及应用指引、《企业内部控制评价指引》和深圳证券交 易所《上市公司内部控制指引》等法规和规范性文件的要求，深圳中国农大科技股份有限公 司（以下简称“公司”）董事会对公司 2012 年半年度内部控制有效性进行了自我评价。

一、董事会声明

公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏， 并对报告内容的真实性、准确性和完整性承担个别及连带责任。

建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会建立与实施内部控 制进行监督；经理层负责组织领导公司内部控制的日常运行。

公司内部控制的目标是合理保证经营合法合规、资产安全、财务报告及相关信息真实完 整，提高经营效率和效果，促进实现发展战略。由于内部控制存在固有局限性，故仅能对达 到上述目标提供合理保证。

二、内部控制评价工作的总体情况

2011 年 2 月，深圳证监局下发了《关于做好深圳辖区上市公司内部控制规范试点有关 工作的通知》（深证局公司字【2011】31 号），通知要求深圳辖区 54 家试点企业在 2012 年 6 月底前完成与财务报告相关内控建设工作并在披露 2012 年半年报的同时披露内部控制自 我评价报告。作为深圳辖区 54 家试点企业之一，公司在 2011 年 4 月份制定《公司内部控制 实施方案》，开展了以风险为导向的内控建设工作。在董事会、管理层及全体员工的共同努 力下，公司不断建立健全内部控制体系，完成业务流程梳理、缺陷整改、评价测试三个建设 阶段工作，从公司治理层面到各业务流程层面，建立起了系统、全面的内部控制制度及必要 的内部监督机制，为公司经营管理的合法合规、资产安全、财务报告及相关信息的真实、完 整提供了合理保障。

公司内部控制体系建立与实施遵循的原则。

（一）、 全面性原则。界定与财务报表相关的内部控制范围，明确内控建设阶段实施范 围，将内部控制贯穿决策、执行和监督全过程，覆盖公司及控股子公司的各种业务和事项；

==> picture [136 x 78] intentionally omitted <==

1

（二）、重要性原则。梳理业务流程、综合分析，识别流程中的关键控制活动和固有风 险，评价风险等级，在全面控制的基础上，关注重要业务和高风险领域，建立内控缺陷报告 机制；

（三）、制衡性原则。在治理机构设置及权责分配、业务流程等方面相互制约、相互监 督，不相容职责分离、并同时兼顾运营效率；

（四）、适应性原则。内部控制与公司经营规模、业务范围、竞争状况和风险水平等相 适应，并随着情况的变化及时加以调整；

（五）、成本效益原则。在内部控制设计和实施过程中权衡实施成本与预期效益，以适 当的成本实现有效控制。

同时，公司在内部控制方面建立清晰的组织架构和职责分工，成立了以董事长为组长、 总经理为副组长的内部控制领导小组。董事会授权公司审计部对股份公司及控股子公司“山 东北大高科华泰制药有限公司”，“江苏国农置业有限公司” 内部控制建设、内部控制评价 等工作进行组织实施，董秘处负责协调推动相关部门配合。

公司审计部作为内部控制建设的主要负责部门，由董事会审计委员会指导工作，直接对 董事会审计委员会负责。审计部负责与各部门协调、与外部中介机构及审计机构沟通，全面 跟进、及时汇报工作进展情况，定期将内控实施进度及重要决策问题向内控规范领导小组进 行汇报，确保公司内部控制项目建设工作落到实处。

公司聘请了专业机构“友联时骏企业管理顾问有限公司” 作为外部中介咨询机构，其 顾问团队与公司内控小组建立“公司内控评价工作组”，共同完成公司内控流程梳理、内控 测试、内控有效性评估、内控缺陷整改、内控自我评价报告披露的一系列内部控制体系建设 工作。

三、内部控制评价的范围

内部控制评价的范围涵盖了“深圳中国农大科技股份有限公司”及控股子公司“山东北 大高科华泰制药有限公司”，“江苏国农置业有限公司”的各种业务和事项，纳入评价范围的 业务和事项包括：

（一）、公司层面，适用于股份公司的内部环境、风险评估、控制活动、信息与沟通、 内部监督内容；

（二）、业务流程层面，适用于股份公司及下属各控股公司的资金活动、采购与付款、 人力资源、全面预算、税项管理、费用管理、财务报告、合同管理、工程项目、存货及成本

==> picture [136 x 78] intentionally omitted <==

2

流程控制；

（三）、信息层面，适用于股份公司及下属各控股公司的信息生产环境，如应用系统、 操作系统、数据库管理系统(包括数据)、主机设备、网络通信设备维护、账号权限等进行管 理与监控等。

上述业务和事项的内部控制涵盖了公司经营管理的主要方面，不存在重大遗漏。

四、内部控制评价的程序和方法

内部控制评价工作严格按照基本规范、评价指引及公司内部控制评价办法规定的程序执 行。内部控制评价工作以项目小组的形式开展，制定了评价工作实施计划，进行了基本情况 的了解和重点范围的检查测试，汇总评价结果并编制了评价报告，与被评价单位进行了反馈、 沟通，对需要完善的方面提出了建议。

评价过程中，我们采用了个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样 和比较分析等适当方法，广泛收集公司内部控制设计和运行是否有效的证据。

五、内部控制缺陷及认定情况

内控评价工作组通过访谈及现场测试获取的证据对内部控制缺陷进行初步认定，并按其 影响程度分为重大缺陷、重要缺陷、一般缺陷。重大缺陷是指一个或多个控制缺陷的组合， 可能导致企业严重偏离控制目标；重要缺陷是指一个或多个控制缺陷的组合，其严重程度和 经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标；一般缺陷是指除重大缺陷、重 要缺陷之外的其他缺陷。根据上述认定标准，结合日常监督和专项监督情况，我们未发现报 告期内存重大缺陷。

内控评价工作组对内控评价工作底稿及内控缺陷清单实行交叉复核。公司审计部编制了 内部控制缺陷汇总表，对内部控制缺陷的改进情况进行分析，并以书面形式向公司董事会、 监事会及管理层汇报。

六、内部控制评价情况

公司针对各流程、各层级、各岗位制定了明确的工作职责和权限，同时制定了相应的流 程控制手册（本手册经公司第七届董事会第十六次会议审议通过，并于 2012 年 5 月 18 日 经中国证监会指定信息巨潮网披露祥见 www.cninfo.com.cn），逐步规范和完善各项制度，识 别流程的风险点和关键控制活动，建立相关部门之间、岗位之间的制衡和监督机制。同时，

==> picture [136 x 78] intentionally omitted <==

3

建立了公司内部控制管理系统，运用信息系统平台，对上述流程、标准进一步固化、完善。 公司审计部定期对股份公司及控股子公司各项制度、流程的运行情况进行评价测试及评估。

对报告期内发现的内部控制缺陷，由审计部编写缺陷清单并提交内控规范领导小组。公 司制定了《内部控制整改阶段工作实施计划》并由审计部下达整改通知，对整改计划进行落 实。公司董事长是整个内控缺陷整改工作的总负责人，审计部牵头和组织相关内控缺陷的整 改工作，其他职能部门对整改责任范围内的缺陷完成整改工作，并承担统一整改规范与检查 验收的责任，内控咨询顾问在整改过程中提供指导和答疑。2011 年 11 月，公司内控建设工 作正式进入整改期。

为确保整改实施进度及整改效果，公司审计部每周对各公司、各部门整改工作跟踪和汇 总，形成内控整改实施情况汇总表，并对照内控缺陷整改清单，确认是否有效整改。有效整 改的评价标准是：内控缺陷清单上列示的设计缺陷重新设计并有效执行；内控缺陷清单上列 示的执行缺陷在整改后得到有效执行；组织架构、岗位设置、业务流程、关键控制等符合内 控基本规范要求；公司审计部每周向公司内控规范领导小组汇报整改进度。

截止报告期末，公司内部控制自我评价具体内容如下： （一）、公司层面 1、内部环境

（1）、公司按照国家有关法律法规、股东大会决议和公司章程，结合本公司实际，建立 了科学、权责分配的组织架构图、业务流程图、岗位职责说明书等内部管理制度和相关文件， 对内部各层级机构设置进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，使 员工了解和掌握组织架构设计及权责分配情况，正确履行职责。

（2）、建立股东大会、董事会、监事会和经理层“三会一层”的法人治理结构，议事规 则明确，形成了决策、执行、监督等方面的职责权限分工和科学有效的制衡机制，公司股东 大会、董事会、监事会和经理层各负其责、运转协调有效。

股东大会是公司的最高权力机构，能够确保全体股东充分行使自己的权利，享有平等地 位，依法行使公司经营方针、筹资、投资、利润分配等重大事项的表决权。

董事会对股东大会负责，依法行使公司的经营决策权，董事会下设四个专门委员会：战 略发展委员会、审计与审核委员会、提名委员会、薪酬与考核委员会为董事会决策提供专业 意见。独立董事超过董事人数的三分之一对公司董事会的相关决策予以有效监督，公司董事 会秘书处作为董事会下设的事务工作机构，能够按照监管要求和公司治理制度切实履行信息

==> picture [136 x 78] intentionally omitted <==

4

披露等职责，完成上市公司的信息披露、投资者关系管理等工作，协调相关事务。

监事会对股东大会负责，是公司的监督机构，公司监事会由 3 名成员组成，其中职工 监事 1 人。监事会负责对董事、高级管理人员执行公司职务的行为进行监督，检查公司财

务，对董事会编制的公司定期报告进行审核并提出书面审核意见等。

公司经营管理层负责实施股东大会和董事会决议事项，主持公司日常经营管理工作，确 保公司内部控制的日常正常运作。

2、风险评估

公司根据设定的控制目标，建立风险评估制度，对如何进行风险评估进行说明并收集相 关信息，定期进行风险评估。本制度经公司第七届董事会第十四次会议审议通过《关于制定 〈深圳中国农大科技股份有限公司风险评估制度〉的议案》。并于 2012 年 3 月 2 日经中国 证监会指定信息巨潮网披露见 www.cninfo.com.cn 。

3、控制措施

（1）、授权审批控制

公司在业务流程层面交易授权上区分交易的不同性质采用了不同的授权审批方式。对于 一般性交易如购销业务、支付工程进度款、费用报销业务采用了各职能部门审核、分管领导 分级审批，财务总监、总经理及董事长审批制度；对于非常规性交易，如对外投资、担保、 关联交易等重大事项或交易，公司实行集体决策报经董事会或股东大会批准。

（2）、不相容职务分离控制

公司在设定组织架构和岗位时，全面、系统地分析和梳理了公司的业务流程，对于一个 员工同时履行多个不相容职责（如业务的发起、授权、实物管理和记录），采取相应的分离 措施，形成了各司其职、相互制约的工作机制。

（3）、反舞弊机制和设立举报投诉渠道进行防范和发现舞弊

公司对于内、外部人员采用违法、违规手段，谋取个人不正当利益，损害公司正当经济 利益等行为，建立了良好的《反舞弊制度》，通过设立举报投诉渠道进行防范和发现舞弊， 实施控制措施以降低舞弊发生的机会，并对舞弊行为采取适当且有效的补救措施。公司内审 部负责管理舞弊案件的举报电话热线、电子邮箱，接收员工实名或匿名、外部第三方实名或 匿名举报，留下书面记录并及时向管理层或董事会报告。

（4）、建立内部控制实施的问责机制

公司对于全体员工实施内部控制的情况纳入考核评估体系，明确了各环节责任人，对于 各岗位责任人因内控制度执行不力导致公司内控失效和引发重大风险行为的，公司将视情况

==> picture [136 x 78] intentionally omitted <==

5

程度予以通报批评、降职、降薪、免职等处分，给公司造成重大损失的，追究其经济责任。 （5）、母子公司管控相关建设情况

公司制订了《子公司管理制度》（本制度修订版本经公司第七届董事会第九次会议审议 通过，并于 2011 年 4 月 23 日经中国证监会指定信息巨潮网披露见 www.cninfo.com.cn ）。

并通过股东会及委派董事、监事及高级管理人员等方式对控股子公司实行管理控制，进 一步加强与子公司董事会之间的协调管理，对于各控股公司建立了重大业务事项、财务事项、 经营计划等的报告和审议制度；同时，内控建设阶段对各子公司业务流程进行梳理和设计， 优化管理模式，通过建全会计系统控制和决策程序，加强人力资源配置等方式，保证母子公 司之间及时、准确、真实和完整地互通信息，促进各子公司工作成果、经验的交流、共享和 应用，既保障子公司重大事项得到有效监控，又能确保管理效率得到有效提高。

4、信息与沟通

为了促进公司经营管理信息在内部各管理层级之间的有效沟通和充分利用，明确内部控 制相关信息的收集、处理和传递程序，确保信息及时沟通，公司建立了信息收集和信息沟通 渠道。同时，按照《企业内部控制应用指引第-17 号 内部信息传递》要求，全面梳理内部 信息传递过程中的薄弱环节，建立科学的内部信息传递机制，

信息的收集，充分使用了内部及外部的消息源。其中内部信息通过会计资料、经营管理 资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需 的内部信息；外部信息通过立法监管部门、社会中介机构、行业协会组织、业务往来单位、 市场调查研究、外部来信来访、新闻传播媒体等渠道和方式获取所需的外部信息，包括政策 法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、 社会文化信息、科技进步信息等。

信息处理，建立了良好的内外部沟通渠道，对外部有关方面的意见、建议和收到的其他 信息进行记录，并及时予以处理、采纳和反馈。

信息的传递，公司采取互联网络、电子邮件、电话传真、例行会议、专题报告、调查研 究、员工手册等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共 享，确保董事会、管理层和员工之间有效沟通。

5、内部监督

公司对内部控制的实施形成了多层次的监督机制，公司监事会、董事会审计委员会、审 计部在内控机制设计和运行中发挥着相应的监督功能。公司制定《监事会议事规则》、《董事

==> picture [136 x 78] intentionally omitted <==

6

会审计委员会实施细则》、《独立董事制度》、《内部审计工作规定》、《内部控制制度》等制度， 明确了各监督机构在内部监督中的职责权限，规定了内部监督的工作程序、方法和要求。

同时，通过修订《内部审计工作规定》（本制度修订版经公司第七届董事会第十六次会 议审议通过，并于 2012 年 5 月 17 日经中国证监会指定信息巨潮网披露见 www.cninfo.com.cn ）、《内审部岗位职责说明书》和内部审计工作流程，明确内部审计方法 和程序，包括如何确定审计范围、制订审计计划、记录测试步骤和结果、保存工作底稿、表 述审计发现和结论等内容进行完善。审计部根据公司情况制定每年的审计计划并提交公司董 事会审计委员会审批，为每项审计任务安排相关的资源和预算。公司董事会审计委员会对审 计部开展内部审计工作进行监督和指导。

（二）、业务流程层面

公司在业务流程层面按照《企业内部控制应用指引》要求并结合本公司实际业务活动情 况，完成流程梳理和记录并形成组织架构、资金活动、采购业务、销售业务、人力资源、资 产管理（包括固定资产、存货管理）、税项管理、费用管理、财务报告、合同管理、工程项 目、全面预算、内部信息传递流程控制等风险控制矩阵。同时，运用信息平台建立内部控制 系统将各业务流程固化，对各项流程的相互制衡、不相容职责分离起到更好管控作用，具体 分析如下。

1、资金活动控制

为防范和控制资金风险，保证资金安全，提高资金使用效益，公司通过不断健全和完善 《财务管理制度》和会计核算管理办法。加强对营运资金的会计系统控制，严格规范资金的 收支条件、程序和审批权限；在办理资金支付业务时，明确支出款项的用途、金额、预算、 限额、支付方式等内容并附原始单据或相关证明，严格履行公司的资金管理制度和《付款业 务流程指南》的授权审批程序后，方可安排资金支出。同时内控建设阶段，按照《企业内部 控制应用指引第 6 号-资金活动》要求，已梳理和识别从银行账户开立、变更或注销，现金 收支、银行收付、库存现金/票据/印章管理等业务流程中的关键控制点和风险控制点并在评 价测试期间对流程执行情况进行验证，进一步固化财务人员日常工作行为准则，有效防范因 资金记录不全、管控不严等行为导致资金被挪用、票据因遗失，盗用等管理不当而不能及时 发现给公司造成损失的风险，也有力降低了公司因资金调度不合理、营运不畅，以致公司陷 入财务困境或资金冗余等风险。

2、销售业务控制

==> picture [136 x 78] intentionally omitted <==

7

公司制订了销售管理制度，明确了适当的销售政策和策略，发货、收款等环节的职责和 审批权限。内控建设阶段，按《企业内部控制应用指引第 16 号―合同管理》对销售及收款 过程中各部门职责分工，客户信用管理、营销策划、合同的拟定、审核与签订、发货控制、 开出销售发票、收入确认及应收账款、收到现款及记录等各个环节进行了梳理和识别，重点 对公司合同审核与签订流程进行梳理和优化，通过评价测试，验证以上各项关键控制活动是 否按规定的权限和程序办理销售业务，分析销售过程中的薄弱环节，采取有效控制措施，确 保实现销售目标，对防范经营风险、提高管理效率起到良好的促进作用。

3、采购活动控制

内控建设期间，全面梳理采购业务流程，完善采购业务相关管理制度，统筹安排采购计 划，明确请购、询价议价、审批、购买、验收、付款、采购后评估等环节的职责和审批权限。 同时，通过评价测试，定期检查各项控制活动是否按照规定的审批权限和程序办理采购业务， 降低因采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，导致公司生 产停滞或资源浪费。

公司对于大宗采购和工程项目供应商采购都会有询价比价过程，实地考察供应商后综合 评价，达到一定金额以上的还要坚持走公开招投标的程序，合理确定招投标的范围、标准、 实施程序和评标规则。对于一般物资或劳务等的采购则采用询价或定向采购的方式并签订合 同协议；小额零星物资或劳务等的采购则采用直接购买等方式。有效防范因供应商选择不当， 采购方式不合理，招投标或定价机制不科学，授权审批不规范，导致采购物资质次价高，出 现舞弊或遭受欺诈等行为。

4、工程项目控制

为了加强工程项目管理，提高工程质量，保证工程进度，控制工程成本，公司建立和完 善工程项目各项管理制度，按照《企业内部控制指引-第 11 号 工程项目》指引要求，全面 梳理各个环节可能存在的风险点，规范战略投资计划、工程立项可行性审批、招标、造价、 施工建设、验收等环节的工作流程，明确相关部门和岗位的职责权限，做到可行性研究与决 策、预算编制与审核、项目实施与价款支付、竣工决算等不相容职务相互分离，强化工程建 设全过程的监控，确保工程项目的质量、进度和资金安全。有效防范因立项缺乏可行性研究 或者可行性研究流于形式，决策不当，盲目上马，导致难以实现预期效益或项目失败等风险。

5、资产管理

为了提高资产使用效能，保证资产安全，公司制订了包括固定资产、存货的科学适用 管理制度。同时按照《企业内部控制应用指引-第 8 号 资产管理》，全面梳理资产管理流程

==> picture [136 x 78] intentionally omitted <==

8

中的各个环节控制，进一步统一了固定资产管理思路。

公司制定固定资产管理登记簿，对每项固定资产进行编号，按照单项资产建立固定资产 卡片，详细记录各项固定资产的来源、验收、使用地点、责任部门和责任人、转移和调拨使 用、维修、折旧、盘点等相关内容。同时对于盘点后在用的固定资产贴上相应标签，明确资 产使用地点和使用责任人等内容，最大限度地规避固定资产管理过程中存在的风险。

同时，在存货管理上明确存货发出和领用的审批权限，仓储部门根据经审批后的销售通 知单发出货物，对于医药化学危险品的发出实行特别授权。仓储部门日常详细记录存货入库、 出库及库存情况，做到存货记录与实际库存相符，并定期与财务部门进行核对。

公司制订了《存货管理制度》明确了核查存货的范围，存货盘点周期（每月抽样盘点/ 年终全面盘点清查）、盘点流程等相关内容。实施盘点清查前，由财务部制定《存货盘点通 知》详细记录盘点人员、盘点时间、盘点方法、注意事项等内容并报财务总监和总经理审批 后下达通知；对于盘点结果中发现盘盈盘亏、毁损以及需要报废的存货的进行差异分析并查 明原因形成书面的《存货盘点报告》连同《存货盘点表》一起报财务总监和总经理审核。 6、人力资源控制

公司根据人力资源总体规划和结合生产经营实际需要，制定年度人力资源需求计划，完 善人力资源引进制度。根据人员组织架构需要，明确各岗位的职责权限、任职条件和工作要 求，遵循德才兼备的原则，通过公开对社会招聘、校园招聘、公司内部组织调动等多种渠道 引进和选聘优秀人才。

内控建设阶段，按基本规范和《企业内部控制应用指引第 3 号 12 条―人力资源管理》 的要求通过全面梳理人力资源需求计划、招聘、通知、考核、试岗、决策等程序最终确定录 用人选流程。同时，对离职、调岗调薪和人员变动流程也进行了规范。评价测试阶段重点对 公司离职、调岗调薪和人员变动、劳动合同、人事档案管理等子流程进行测试验证，现场获 取各流程的样本证据，进一步验证和确保了各项流程得到有效控制，为搭建合理人力资源结 构，提高管理效率，防范劳务纠纷起到良好的控制作用。

（三）、信息系统层面

公司一贯注重信息化建设，重视信息系统在内部控制中的作用。根据内部控制要求，结 合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投 入力度，有序组织公司信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提 升企业现代化管理水平。

同时，关注对日常管理使用的信息系统操作与维护，包括对公司已建成的财务系统、办

==> picture [136 x 78] intentionally omitted <==

9

公系统（OA）、内部控制系统的备份管理、系统变更、系统账号权限、数据库维护等实行实 时存储、定期备份，备份介质保管在安全的场所由专人管理，以确保公司信息系统稳定性和 数据安全性、运行稳定性。

为此公司对信息系统公用基础设施和具体信息系统制订了《信息系统管理制度》（本制 度经公司第七届董事会第十六次会议审议通过并于 2012 年 5 月 17 日经中国证监会指定信 息巨潮网披露见 www.cninfo.com.cn ）。

七、内部控制有效性的结论

公司已经根据基本规范、评价指引及其他相关法律法规的要求，对公司截至 2012 年 6 月 30 日的内部控制设计与运行的有效性进行了自我评价。

报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行， 达到了公司内部控制的目标，不存在重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间为发生对评价结论产生实 质性影响的内部控制的重大变化。

我们注意到，内部控制应当结合自身经营特点与公司经营规模、业务范围、竞争状况和 风险水平等相适应，并随着经营管理和未来业务发展的需要及时加以调整。2012 年，公司 将继续建立健全以风险为导向的内部控制机制，不断提高公司各项业务的健康运行和经营风 险的防范；加强董事会各专门委员会的建设和运作，更好地发挥各委员会在专业领域的作用， 提高公司科学决策能力；加强监事会的监督作用，强化内部审计工作，开展专题项目内部监 督检查，确保内控制度落实执行；加强信息披露管理，接受监管部门的监督检查，使各项规 章制度更加合理、监督检查方法和评价标准更加科学，切实维护全体股东的利益。

深圳中国农大科技股份有限公司

董 事 会

二○一二年八月九日

==> picture [136 x 78] intentionally omitted <==

10