WEIFU HIGH-TECHNOLOGY GROUP CO.,LTD. - Governance Information 2012

无锡威孚高科技集团股份有限公司

内部控制制度（修订）

（经2012 年12 月3 日第七届董事会第八次会议审议通过）

1. 总则

1.1 为了加强无锡威孚高科技集团股份有限公司（以下简称“公司”）内部控制，有效落实公司各职能部门系统风险管理和流程控制，保障公司资产的安全性和企业经营管理的合规性，在公司的日常经营运作中防范和化解各类风险，提高经营效率和盈利水平，提高信息披露质量，实现公司经营战略目标，根据《公司法》、《证券法》、财政部等五部委制定的《企业内部控制基本规范》、深圳证券交易所《上市公司内部控制制度指引》等法律法规以及《公司章程》等有关规定，结合公司实际情况制定本制度。

1.2 本制度所称内部控制，是指由公司董事会、管理层和全体员工共同实施的，旨在合理保证实现以下基本目标的一系列控制活动的总称：

企业战略；
经营的效率和效果；
财务报告及管理信息的真实、可靠和完整；
资产的安全完整；
遵循国家法律法规和有关监管要求。
1.3 公司内部控制的基本原则：
全面性原则时间上贯穿全过程，空间上覆盖各项业务和事项。
重要性原则重点关注重要业务事项和高风险领域。
制衡性原则相互制约、相互监督、同时兼顾运营效率。
适应性原则与公司自身特点相适应，视情况变化及时调整。
成本效益原则平衡成本与预期效益。

1.4 公司内部控制涵盖公司经营管理的各个层级、各个方面和各项业务环节，应当考虑以下基本要素：

 内部环境内部环境是影响、制约公司内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、内部审计、企业文化、人力资源政策等。

 风险评估风险评估是及时识别、科学分析和评价影响公司内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识

别、风险分析和风险应对。

 控制活动控制活动是根据风险评估结果、结合风险应对策略所采取的确保内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制活动结合公司具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。

 信息与沟通信息与沟通是及时、准确、完整地收集与公司经营管理相关的各种信息，并使这些信息以适当的方式在公司有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在公司内部和与公司外部有关方面的沟通机制等。

 内部监督内部监督是公司对内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。内部监督主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。公司内部控制自我评估是内部控制监督检查的一项重要内容。

1.5 内部控制的职责

 董事会全面负责公司内部控制制度的制定、实施和完善，定期对公司内部控制情况进行全面检查和效果评估，审阅和批准内部控制自我评价报告，对内部控制评价报告的真实性负责；  经营层全面落实和推进内部控制制度相关规定的执行，检查公司职能部门制定、实施和完善各自专业系统的风险管理和控制制度的情况；

 公司职能部门负责制定、完善和实施本部门归口业务的风险管理和控制制度，配合完成对公司各专业系统风险管理和控制情况的检查；

 内部控制领导小组作为公司内部控制评价的领导机构和直接责任者，负责审议内部控制评价工作方案，审议年度内控自我评价报告，审议内控整改方案和措施，协调评价过程中的重大事项；

 内部审计部门公司内部控制评价的归口管理部门，负责建立公司各大业务循环流程控制文档，补充修订现有制度；组织、实施、指导各单位的内部控制体系的评价工作；  内部控制专职人员作为内部审计部门在各部门的外延，负责各自部门与内审部门的联系，自身部门日常内控流程的维护，配合内审部门完成对各部门内控评价的检查。

2. 内部环境

2.1 治理结构

2.1.1 独立性

 董事会和监事会独立于管理层，对管理层的决策提出建设性的必要质疑，并在必要时采取适当行动。

董事会的构成及独立性符合《公司法》的要求，根据公司章程决定公司董事会组成，公司
的董事由董事会、持有 10%以上公司股东提名，并由股东大会选举产生，董事会向股东大会负责。 2.1.2 专门委员会
董事会建立专门委员会，特别关注和处理相关重要事件，成员的专业和资历能够使他们有
效地处理相关重要问题。
专门委员会设置审计委员会、薪酬委员会、战略委员会、提名委员会等。
董事会审计委员会要确定与分管财务的副总经理、会计人员、内外部审计师的会面频率和
时间，以讨论财务报告流程、内部控制、内外部审计工作范围与企业风险管理体系，以及对管理层绩效的合理性等提出重大意见和建议。

2.1.3 及时充分获得信息

董事会审计委员会和监事会应及时充分的获得信息，以便其及时监督管理层的目标和战
略、公司的财务状况和经营成果，以及重大协议的条款等。

2.1.4 获知和调查不正当行为

为董事会或审计委员会提供充分、及时的信息，以便其及时获知敏感信息，调查不当行为。
公司应当建立并不断完善危机处理机制、举报机制、保密机制等以确保上述信息的提供的

要求。

2.1.5 薪酬政策的监控

薪酬委员会批准所有管理层的绩效激励计划。
薪酬委员会在咨询审计委员会意见的前提下，确定内部审计负责人的薪酬和任免。
2.1.6 监督管理层对审计发现问题的跟进
董事会/审计委员会依据其发现，采取适当措施进行调查，并向管理层下达调查意见。
如果需要，董事会审计委员会进行监督和跟踪处理。
2.2 组织机构设置与权责分配

2.2.1 适当的组织结构

考虑公司经营业务的性质，公司的组织结构应适当的集中或分散。
组织结构有利于信息的上传、下达和各业务活动间的流动。
建立所有权、经营权分离，决策权、执行权、监督权分立，股东会、董事会、监事会并存

的法人制衡管理机制。

公司的经营管理实行分级授权管理，权责统一，逐级负责；公司的行政管理、业务管理实
行公司、下属公司的多级管理体制。
2.2.2 关键管理人员的职责定义
公司对关键管理人员均制定了岗位职责规范。

公司与关键管理人员签订目标责任书，实施岗位绩效考核，与其收入挂钩。
公司将各种岗位职责以文件的形式公开下发到各单位。
2.2.3 关键管理人员的知识和经验
公司制定公开透明的职务聘任办法，与市场配置相结合，确保管理人员的技能素质满足要
求，具备执行业务员必备的知识、经验。
公司通过针对性的培训、轮岗交流、基层锻炼等形式提供管理者素质。
2.2.4 汇报机制
明确报告关系，向经理人员提供与其责任和权利相关的信息。
建立经营活动的管理人员与相关高级管理人员进行沟通和交流的通畅渠道。
建立员工向管理层反映问题和建议的渠道。

2.2.5 组织结构的变化

管理部门根据公司经营发展的需要及外部环境的变化，评价现有组织结构的合理性，提出
改进建议并报上级审批。
机构编制调整，需要进行充分调研论证，按照规定程序经审批后实施。
2.2.6 职责分配与授权
公司根据经营目标、职能和监管要求，明确公司各职能部门的职责。
公司在明确管理层、部门职责的基础上，组织实施员工岗位的职责描述，将职责分解到具
体岗位。同时编制公司授权体系，落实分级授权制度。
授权人有权对受托人履行授权的行为进行监督、检查，及时纠正履行授权时的不适当行为。
规范信息系统授权，根据不同的职责分别设置和维护用户授权。
2.2.7 数据处理和会计岗位员工的技能
数据处理和会计职能部门的员工应具备与公司规模、业务活动和系统相适应的技能水平。
公司应当为信息管理人员、财务人员提供持续培训，以满足公司发展和外部监管的需求。

2.3 内部审计

公司在《内部审计制度》中明确规定，对内部审计人员的专业能力和经费预算给与保证，
明确内部审计的责任、范围。
审计部门应当能够获取足够的资源和地位与董事会、审计委员会进行沟通。
审计部门对审计中发现的问题提出审计建议，做出审计决定，并对期后落实情况进行跟踪
监督。
公司内部审计工作接受董事会审计委员会的检查、监督。

2.4 企业文化

2.4.1 诚信和道德价值观
管理层应该向员工传达诚信与道德价值观规范，并得到员工的确认。

管理层应该在言谈和行动中表现出对诚信和道德价值观规范一丝不苟地遵循，并对存在的
问题予以关注。
公司通过相关的绩效考核、举报、检查等方式，在内部形成压力，敦促员工遵守诚信与道
德价值规范。
2.4.2 与利益相关者的关系
公司视诚信为立身之本、发展之基，要求在对外交往中贯彻遵循。
公司高级管理人员应当公平对待员工、客户和供应商，不得通过操纵、隐瞒、滥用专用信
息或对重大实事进行不实陈述等做法，不公平对待上述人员。
公司员工不得接受可能影响商务决策和有损独立判断的馈赠，严禁为商务目的而以任何手
段向利益相关者给予或承诺给予金钱和其他有价值的物品。
公司设立举报电话、电子举报信箱等方式，鼓励员工和外部合作方检举任何所获知的违规
行为，并为其保密。
2.4.3 违规处理
管理层对违规行为要进行处理，并将处理的原则和结果在公司上下进行传达。
公司通过劳动合同、保密协议、竞业协议和日常宣传，使得员工确信一旦违反了诚信和道
德价值规范，他们就会受到相应的处罚。
2.4.4 实现目标的压力
通过建立系统规范的绩效考核评价体系，减少出现存在偏激的奖惩或绩效考核制度带来的
刺激或诱惑，考验员工对道德标准的遵守情况。
通过与高级管理人员签订目标责任合同的方式，将其任务量与公司短期、长期目标相结合，
避免过于注重短期业绩目标。
2.4.5 公司战略层面的风险考量
风险偏好由公司管理层设定，董事会审议，作为企业制定战略的一个控制指标，并且处理
好公司领导个人的风险偏好与公司风险偏好的关系。
在制定公司战略时，应当将战略的预期收益与企业的风险偏好结合起来，使风险与收益达
到平衡。
管理层应当将风险管理理念向员工进行宣传。
建立与公司管理理念和经营风格相适应的风险文化。
2.4.6 业务风险的接受程度
公司业务层面风险的接受程度应当与战略层面风险偏好相适应。
公司应当制定各业务流程管理办法，控制相应风险。
管理层应当向员工宣传业务层面公司的风险态度。
2.4.7 关键岗位队伍稳定

公司确保管理层、监督职能人员的稳定，杜绝人员频繁更换，保持公司财务、信息等系统
员工队伍的稳定。
公司制定人才储备计划，并根据公司的需要和不断变化的情况进行实施。
2.4.8 高层管理人员相互交流的频率
高级管理人员应经常走访下属单位。
经常召开公司管理层会议。
2.4.9 管理层对财务报告和资产安全的态度
制定统一的、稳健的会计政策。
建立《财务报告和财务评价制度》，对财务报告的内容、编报范围及原则、编报工作组织、
报表合并、信息披露、审核、外部审计、报送、数据资料管理、奖惩等作出规定。
公司制定涉及固定资产、资金、存货等资产的管理规定，要明确资产安全管理的办法。
管理层通过会议等方式向全体员工明确其对可靠的财务报告和资产安全的关注态度。
管理层通过内部审计部门对公司及其下属公司会计、财务报告、资产管理等情况进行审计

监督。

2.5 人力资源政策

2.5.1 制定适当的招聘、培训、晋升和薪酬政策
人事部门通过组织开展竞聘和招聘活动，对关键岗位和紧缺人才进行选拔。
公司针对高级管理人员、中层及以下管理人员、操作人员分别制定考核制度，形成较为系
统、规范的绩效考核评价体系，建立有竞争力的薪酬机制。
公司每年制定培训计划，有针对性地组织业务和知识培训，确保员工技术素质和业务能力
达到岗位要求。
明确以业绩为向导的薪酬和提升安排，避免暗箱操作和根据个人喜好用人；每个员工都有
明确的努力方向并受到一视同仁的对待，形成良性的竞争氛围。
根据公司的总体战略，公司对人力资源政策进行调整，使之能够有效地支持公司战略的实
施。
人力资源政策应当与公司诚信与道德价值观相符。

2.5.2 员工职责和目标

公司通过对各岗位的职责进行规范，形成全面的岗位规范文本，明确岗位职责和权限，使
员工了解工作职责和公司对他们的具体要求、期望。
公司董事会对高级管理人员下达年度目标，公司与职能部门负责人、子公司经营层签订目
标责任书，明确其需要承担的指标和责任。
公司组织员工定期进行工作总结，评价员工工作表现，分析员工当前的成绩、经验和不足，
对下阶段工作进行安排。

3. 风险评估

3.1 目标设定

3.1.1 战略目标

公司应当清晰、准确地描述公司的使命。
通过战略分析、战略制定、战略评估、战略决策建立设定战略目标的基本流程。
通过对公司内、外部环境的分析制定战略目标。
在使命、愿景、核心价值观的支持下，公司的战略发展目标、业务单元战略目标应形成一
个有机的整体。
战略目标制定后，公司应当确定风险的可接受程度。
公司通过多种途径与公司员工和外部相关利益团体沟通公司的战略目标，以取得他们的认

同。

3.1.2 经营目标

通过上下沟通将公司战略目标分解至各个业务经营目标。
公司将人、财、物等资源以计划和预算的形式分解至各单位，以保证各单位能够有实现其
业务活动目标的资源。
公司在确定各业务和职能部门目标后，各单位主管领导再将其分解至具体业务中，并明确
相应岗位的目标。
确定经营目标实现偏离程度的可接受范围。
3.1.3 报告目标
建立严密的内部报告制度，明确内部报告的形成、内容、审核、时限、传递、答复等内容。
建立符合外部监管要求的信息披露制度，明确对外报告的产生、内容、审核、审计、披露
等。
确定有关报告目标的风险可接受程度。

3.1.4 合规目标

公司各项业务应当遵循法律法规，成立专门的法律事务部门，制定政策和程序来处理、沟
通、检查和培训有关法律事项，达到合规要求，降低公司风险。
制定关于合规目标的风险可接受程度。
3.1.5 资产安全目标
建立日常运营情况监控和风险管理机制，防止企业运营效率下降，持续经营价值减少。
对于企业有形资产的管理，应当建立日常管理制度和定期清查制度，采取财产记录、实物
保管、定期盘点、账实核对等措施，确保资产安全。
对于资产的使用、转移和处置应有明确的授权审批制度。
防范自然灾害及人为因素对资产安全的威胁。
加强对于信息资产安全的保护

3.2 风险识别

3.2.1 战略风险识别

理清战略风险识别过程中所有必要活动，确定这些活动的顺序和相互关系，准确地描述，
并形成书面化的文件，加以实施和监控。
风险管理相关人员应承担风险识别策划职责，风险识别策划包含战略风险识别策划。战略
风险识别策划是企业战略风险识别的保证。
公司根据内外部情况分析确定战略风险识别的框架。
公司从法律顾问、外部审计师等外部专家获得有关公司层面发现的风险。
建立企业战略风险事项信息库。

3.2.2 经营风险识别

对经营风险识别活动顺序进行规定，制定相关制度，明确相关人员责任，提供必要的资源
支持，对风险识别活动进行定期的评估，使风险识别功能正常发挥。
明确经营目标是风险识别的前提。
分析曾经发生的对企业经营目标造成影响的历史事件，进一步剖析导致事件发生的相关风

险。

分析公司绩效考核、评估、激励机制能否有效监控经营目标的实现过程及提高公司的经营
效率。
建立并不断完善经营风险事项信息库。
3.2.3 报告风险识别
明确报告的目标、对象以及被传递信息的类型与详细程度。
评估信息收集的流程、制度的恰当性以及相关人员的知识、技能要求和辅助设备的功能要

求。

评估信息加工体系，如流程、制度、人员、设备、方法的恰当性。
建立并不断完善报告风险事项信息库。
3.2.4 合规风险识别
建立合规风险识别流程和制度，管理层提供必要的资源和人力支持，执行识别流程和制度，
并进行定期评估。
明确与企业现有活动和将要发生的活动有关的所有法律法规，建立相关法律法规数据库，
并进行适时的更新。
建立并完善合规风险事项信息库。
建立公司道德行为规范，制定相应的考核、评估、激励措施，促使公司、部门、个人行为
符合公司的核心价值观念。
3.3 风险分析

3.3.1 识别风险分析过程中所有必要的活动，确定这些活动的顺序和相互关系，描述并形成书面化的文件加以实施和监控。风险分析的基本流程包括：数据收集、技术方法选择、分析实施、分析结果、数据存档。对流程的各个环节进行规定，提出明确具体的责任、目标、分析要求。对风险分析活动过程进行必要的记录，相关记录存档。

3.3.2 风险分析策划时应确定风险分析参与人员的结构与技能要求、风险分析策划的时机、风
险分析所需要的相关信息及来源、风险分析的相关技术。
3.3.3 通过对宏观环境监测数据、行业数据、外部专家数据、公司历史数据的分析，收集必要
的风险分析数据。
3.3.4 依据风险的复杂程度和重要性选择适当的定量或定性的分析技术和方法。
3.3.5 风险分析报告至少应当包括风险可能性、风险影响程度、风险重要性评级、风险地图。
3.3.6 保存风险分析过程的数据和记录，使之成为企业风险管理数据库的重要组成部分。

3.4 风险应对

3.4.1 公司建立风险应对制度，保证风险应对策略在一定的流程指引、资源支持下得以合理地、
实事求是地制定。
3.4.2 公司应制定风险应对流程，至少应当包括风险应对方案的生存、评估、确定。
3.4.3 公司应确定在制定风险应对过程中的职责权限分配，以明确该过程中参与人员的分工和
层级。
3.4.4 由于风险的复杂性和重要性，公司应依据企业的实际状况、风险特点来对风险应对进行
创新。
3.4.5 评估风险应对
在评估风险应对策略时应当以成本效益原则来衡量。
在确定风险应对的过程中，公司应评估采用风险应对后的剩余风险。
风险应对的技术和资源可行性是风险应对评估的重要内容。
管理层应该从公司全局的角度考虑风险应对组合，并从整体上评估其效果。
3.4.6 公司在评估风险应对的基础上，确定风险应对或风险应对组合策略，并通过董事会的审

批。

4. 控制活动

4.1 控制活动的实施

4.1.1 公司建立内部控制管理机构，明确其职责分工、控制方法、控制设计程序、控制实施与
监督、控制措施的更新与维护等。
4.1.2 明确财务分析的职责、内容、具体方法和程序。同时通过财务分析对财务报表的真实性
进行核实。

4.1.3 公司建立并不断完善财务会计报告流程。

4.1.4 建立公司各大业务循环流程控制文档，补充修订现有制度。
内部控制管理机构组织相关部门对业务流程上的风险和控制进行描述，形成流程控制文

档。

内部控制管理机构组织相关部门对流程控制文档进行分析，查找现有控制措施的缺失和不
足，由相关部门进行整改，并补充、修订相关制度。
根据变化的内、外部环境，调整控制措施，并完善相应的制度文件。
内部控制领导小组委托内部审计部门作为公司内部控制管理机构，归口管理上述事项。
公司内部控制管理系统作为上述事项的工作平台，由内部审计部门归口管理。
4.2 内部控制主要业务流程：
销售与应收业务流程
人力资源业务流程
采购与付款业务流程
存货与成本业务流程
无形资产业务流程
研发与开发业务流程
固定资产业务流程
资金管理业务流程
合同管理业务流程
财务报告业务流程
工程项目业务流程
费用管理业务流程
投资管理业务流程
筹资管理业务流程
担保业务流程
关联交易业务流程

4.3 重点关注的控制活动

4.3.1 对控股子公司的管理控制

 建立对各控股子公司的控制制度，明确向控股子公司委派的董事、监事及重要高级管理人员的选任方式和职责权限等。

 依据公司的经营策略和风险管理政策，督导各控股子公司建立起相应的经营计划、风险管理程序。

 公司下属各子公司应根据重大事项报告制度和审议程序，及时向总部分管负责人报告重大业务事项、重大财务事项以及其他可能对公司股票及其衍生品种交易价格产生重大影响的信息，并严格按照授权规定将重大事项报公司董事会或股东大会审议。

 各子公司应及时地向公司董事会办公室报送其董事会决议、股东大会决议等重要文件，通报可能对公司股票及其衍生品种交易价格产生重大影响的事项。

 公司财务部门应定期取得并分析各子公司的月度报告，包括产销量报表、资产负债报表、损益报表、现金流量报表等。

 公司人力资源部门应结合公司实际情况，建立和完善对各子公司的绩效考核制度。

 公司的控股子公司同时控股其他公司的，其控股子公司应按本制度要求，逐层建立对各下属子公司的管理控制制度。

4.3.2 关联交易的内部控制

 公司关联交易的内部控制遵循诚实信用、平等、自愿、公平、公开、公允的原则，不得损害公司和其他股东的利益。

 按照《深圳证券交易所股票上市规则》、《股东大会议事规则》、《董事会议事规则》的规定，公司明确划分股东大会、董事会对关联交易事项的审批权限，规定关联交易事项的审议程序和回避表决要求。

 参照《深圳证券交易所股票上市规则》及其他有关规定，确定公司关联方的名单，并及时予以更新，确保关联方名单真实、准确、完整。公司及其下属控股子公司在发生交易活动时，相关责任人要仔细查阅关联方名单，审慎判断是否构成关联交易。如果构成关联交易，要在各自权限内履行审批、报告义务。

 公司审议需要独立董事事前认可的关联交易事项时，前条所述相关人员应于第一时间通过公司董事会办室将相关材料提交独立董事进行事前认可。独立董事在做出判断前，可以聘请中介机构出具专门报告，作为其判断的依据。

 公司在召开董事会审议关联交易事项时，按照《深圳证券交易所股票上市规则》、公司《董事会议事规则》的规定，关联董事须回避表决。会议召集人应在会议表决前提醒关联董事回避表决。公司股东大会在审议关联交易事项时，公司董事会及见证律师要在股东投票前，提醒关联股东须回避表决。

公司与关联方之间的交易应签订书面协议，明确交易双方的权利、义务及法律责任。

 公司董事、监事及高级管理人员有义务关注公司是否存在被关联方挪用资金等侵占公司利益的问题。公司独立董事、监事如发现异常情况，应及时提请公司董事会采取相应措施。

 公司发生因关联方占用或转移公司资金、资产或其他资源而给公司造成损失或可能造成损失的，公司董事会应及时采取诉讼、财产保全等保护性措施避免或减少损失。

4.3.3 对外担保的内部控制
公司对外担保的内部控制应遵循合法、审慎、互利、安全的原则，严格控制担保风险。

 公司股东大会、董事会应按照《公司章程》中关于对外担保事项的明确规定行使审批权限，如有违反审批权限和审议程序的，按证监会、交易所和公司有关规定追究其责任。在确定审批权限时，公司执行《深圳证券交易所股票上市规则》关于对外担保累计计算的相关规定。

 公司要调查被担保人的经营和信誉情况。董事会要认真审议分析被担保方的财务状况、营运状况、行业前景和信用情况，审慎依法做出决定。必要时，公司可聘请外部专业机构对实施对外担保的风险进行评估，以作为董事会或股东大会进行决策的依据。

 公司不得以公司资产为本公司的股东或者其他个人债务提供担保。

 公司对外担保要尽可能地要求对方提供反担保，谨慎判断反担保提供方的实际担保能力和反担保的可执行性。

 公司独立董事要在董事会审议对外担保事项时发表独立意见，必要时可聘请会计师事务所对公司累计和当期对外担保情况进行核查。如发现异常，要及时向董事会和监管部门报告并公告。

 公司要妥善管理担保合同及相关原始资料，及时进行清理检查，并定期与银行等相关机构进行核对，保证存档资料的完整、准确、有效，注意担保的时效期限。在合同管理过程中，一旦发现未经董事会或股东大会审议程序批准的异常合同，要及时向董事会和监事会报告。

 公司财务部门指派专人持续关注被担保人的情况，收集被担保人最近一期的财务资料和审计报告，定期分析其财务状况及偿债能力，关注其生产经营、资产负债、对外担保以及分立合并、法定代表人变化等情况，建立相关财务档案，定期向董事会报告。如发现被担保人经营状况严重恶化或发生公司解散、分立等重大事项的，有关责任人要及时报告董事会。董事会有义务采取有效措施，将损失降低到最小程度。

 对外担保的债务到期后，公司要督促被担保人在限定时间内履行偿债义务。若被担保人未能按时履行义务，公司要及时采取必要的补救措施。

 公司担保的债务到期后需延期并需继续由其提供担保的，要作为新的对外担保，重新履行担保审批程序。

 公司控股子公司的对外担保比照上述规定执行。公司控股子公司要在其董事会或股东大会做出决议后，及时通知公司按规定履行信息披露义务。

4.3.4 募集资金使用的内部控制

 公司严格按照《深圳证券交易所上市公司募集资金管理办法》的要求做好募集资金存储、审批、使用、变更、监督和责任追究等方面的工作。

 公司对募集资金进行专户存储管理，与开户银行签订募集资金专用账户管理协议，掌握募集资金专用账户的资金动态。

 公司制定严格的募集资金使用审批程序和管理流程，保证募集资金按照招股说明书所列资金用途使用，按项目预算投入募集资金投资项目。

 公司要跟踪项目进度和募集资金的使用情况，确保投资项目按公司承诺计划实施。相关部门应细化具体工作进度，保证各项工作能按计划进行，并定期向董事会和公司财务部门报告具体工

作进展情况。确因不可预见的客观因素影响，导致项目不能按投资计划正常进行时，公司要按有关规定及时履行报告和公告义务。

 公司财务部门和审计部门要跟踪监督募集资金使用情况并定期向董事会报告。公司的独立董事和监事会要监督募集资金使用情况，定期就募集资金的使用情况进行检查。独立董事可根据《公司章程》规定聘请会计师事务所对募集资金使用情况进行专项审核。

 公司积极配合保荐人的督导工作，主动向保荐人通报其募集资金的使用情况，授权保荐代表人到有关银行查询募集资金支取情况以及提供其他必要的配合和资料。

 公司如因市场发生变化，确需变更募集资金用途或变更项目投资方式的，必须按《深圳证券交易所上市公司募集资金管理办法》的规定，经公司董事会审议、通知保荐机构及保荐代表人，并依法提交股东大会审批。

 公司决定终止原募集资金投资项目的，要尽快选择新的投资项目。公司董事会要对新募集资金投资项目的可行性、必要性和投资效益作审慎分析。

 公司在每个会计年度结束后全面核查募集资金投资项目的进展情况，并在年度报告中作相应披露。

4.3.5 重大投资的内部控制

 公司重大投资的内部控制应遵循合法、审慎、安全、有效的原则，控制投资风险、注重投资效益。

 按《深圳证券交易所股票上市规则》、《公司章程》、《股东大会议事规则》、《董事会议事规则》规定的权限和程序，公司履行对重大投资的审批。公司的委托理财事项要由公司董事会或股东大会审议批准，不得将委托理财审批权授予公司董事个人或经营管理层行使。

 公司应指定专门机构，负责对公司重大投资项目的可行性、投资风险、投资回报等事宜进行专门研究和评估，监督重大投资项目的执行进展，如发现投资项目出现异常情况，要及时向公司董事会报告。

 公司若进行以股票、利率、汇率和商品为基础的期货、期权、权证等衍生产品投资的，应制定严格的决策程序、报告制度和监控措施，并根据公司的风险承受能力，限定公司的衍生产品投资规模。

 公司如要进行委托理财，应选择资信状况、财务状况良好，无不良诚信记录及盈利能力强的合格专业理财机构作为受托方，并与受托方签订书面合同，明确委托理财的金额、期间、投资品种、双方的权利义务及法律责任等。

 公司董事会要指派专人跟踪委托理财资金的进展及安全状况，若出现异常情况要及时报告，以便董事会立即采取有效措施回收资金，避免或减少公司损失。

 公司董事会要定期了解重大投资项目的执行进展和投资效益情况，如出现未按计划投资、未能实现项目预期收益、投资发生损失等情况，公司董事会要查明原因，追究有关人员的责任。 4.3.6 信息披露的内部控制

 公司要按《深圳证券交易所股票上市规则》所明确的重大信息的范围和内容做好信息披露工作，董事会秘书为公司对外发布信息的主要联系人，公司财务等业务部门、公司的控股子公司要确定重大信息报告责任人。

 当出现、发生或即将发生可能对公司股票及其衍生品种的交易价格产生较大影响的情形或事件时，负有报告义务的责任人应及时将相关信息向公司董事会和董事会秘书进行报告；当董事会秘书需了解重大事项的情况和进展时，相关部门（包括公司控股子公司）及人员应予以积极配合和协助，及时、准确、完整地进行回复，并根据要求提供相关资料。

 公司完善建立重大信息的内部保密制度。因工作关系了解到相关信息的人员，在该信息尚未公开披露之前，负有保密义务。若信息不能保密或已经泄漏，公司应采取及时向监管部门报告和对外披露的措施。

 公司按照《深圳证券交易所上市公司公平信息披露指引》、《深圳证券交易所上市公司投资者关系管理指引》等规定，规范公司对外接待、网上路演等投资者关系活动，确保信息披露的公平性。

 公司董事会秘书应对上报的内部重大信息进行分析和判断。如按规定需要履行信息披露义务的，董事会秘书应及时向董事会报告，提请董事会履行相应程序并对外披露。

 公司及其控股股东以及实际控制人存在公开承诺事项的，由公司指定专人跟踪承诺事项的落实情况，关注承诺事项履行条件的变化，及时向公司董事会报告事件动态，按规定对外披露相关事实。

4.4 内部控制的检查和披露

 公司的审计部门要定期检查公司内部控制缺陷，评估其执行的效果和效率，并及时提出改进建议。

 公司审计部门要对公司内部控制运行情况进行检查监督，并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况等形成内部审计报告，向董事会通报。如发现公司存在重大异常情况，可能或已经遭受重大损失时，应立即报告公司董事会并抄报监事会。由公司董事会提出切实可行的解决措施，必要时要及时报告深交所并公告。

 公司董事会依据公司内部审计报告，对公司内部控制情况进行审议评估，形成内部控制自我评价报告。公司监事会和独立董事要对此报告发表意见。

 注册会计师在对公司进行年度审计时，应参照有关主管部门的规定，就公司财务报告内部控制情况出具评价意见。

 如注册会计师对公司内部控制有效性表示异议的，公司董事会、监事会要针对该审核意见涉及事项做出专项说明。

 公司将内部控制制度的健全完备和有效执行情况，作为对公司各职能部门、控股子公司的绩效考核重要指标之一，并建立起责任追究机制。要对违反内部控制制度和影响内部控制制度执行的有关责任人予以查处。

公司于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师内控审计评
价意见报深圳证券交易所，与公司年度报告同时对外披露。
公司审计部门的工作底稿、审计报告及相关资料，保存时间应遵守有关档案管理规定。

5. 信息与沟通

5.1 信息

5.1.1 内部信息收集与传递
公司通过多种渠道向员工宣传企业的价值观、道德和行为期望。
公司在年度工作会议上提出战略性经营目标，并通过与高级管理人员签订目标责任书的方
式将经营目标层层分解。
公司制定和完善统一的财务、会计、资产和资金等方面的管理制度、办法和工作规范，并
严格执行。
公司制定工作和岗位职责描述，对各岗位职责进行规范，使员工理解自己的职责和工作程
序。通过绩效考核来敦促员工正常履行自己的职责。
公司各单位对收集、产生的各种信息进行必要的加工与分析，以满足向各级管理人员提供
详细程度不同的有效信息。
公司设立举报电话等并对外公布，审计部门有专人跟进，配合监察部根据实际情况对员工
的举报进行保护和奖励。公司组织开展合理化建议活动，听取员工的合理化建议和意见，对被采纳的建议实施奖励。
公司信息系统提供相关信息，公司职能部门、子公司根据各自权限共享这些信息。
5.1.2 外部信息的收集与传递
公司职能部门、子公司在各自业务范围内收集相关法律法规等信息，在公司内部按照权限

发布。

公司职能部门、子公司收集国家相关政策、国内外监管机构的各种信息，在公司内部按照
权限发布。
相关部门从客户、供应商、经营伙伴、投资者处获得信息，在公司内部按照权限发布。
5.1.3 信息报告
例行报告各级人员按照公司分级管理的组织结构和岗位职责定期向上级反映其管辖部门
或其所在岗位的工作情况。正常情况下不得越级请示、报告工作。
实时报告除例行报告外公司应形成重大信息传递机制。
专题报告公司各部门根据业务需要，就某一专题及时向上级领导汇报情况。
综合报告公司各部门定期向上级领导全面汇报本部门的工作情况，主要包括工作总结、
计划安排等。
5.1.4 信息技术总体规划

 公司信息工作主管领导根据公司整体发展战略，组织确定公司信息技术发展总体目标和战略规划，对于重大信息技术项目，可以委托专家小组进行项目技术论证。

5.2 沟通

5.2.1 内部沟通

各部门定期组织对本部门员工进行相关岗位培训，使员工清楚其行为要达到的目标及自己
的职责与他人的职责如何相互影响。人事部门根据公司制定的绩效考核办法组织对各级人员进行绩效考核，并将结果反馈给被考核人，有效检查各级人员对其职责的理解和有效性控制。
董事会、管理层、各业务部门、员工之间定期或不定期进行沟通、交流、汇报。
公司员工可以通过书信、电话、电子邮件等形式向审计部门反映违规违纪问题及有关意见、
建议和要求。同时，公司规定举报的处理时限及查报结果的要求，对举报属实、查处后为公司挽回或减少重大损失的，将酌情奖励举报人。
公司组织开展合理化建议活动，鼓励员工对公司的管理、生产、研发等各方面提出合理化
建议，并对有突出贡献的单位和个人给予适当的奖励。

5.2.2 外部沟通

对外积极宣传公司形象、产品品牌、道德规范。
定期与客户、供应商、律师进行沟通，了解对方需求，听取专业意见。
根据相关法律和公司内部规定，定期或不定期与股东、监管者、外部审计师进行沟通，保
护股东权益，接受监管部门下达任务，听取审计师的建议。

5.3 信息系统总体控制

5.3.1 信息系统控制环境

 公司制定信息系统总体规划，定期进行审阅和调整。各级信息技术部门的岗位设置从安全和内部控制与风险管理的角度，考虑职责分离的要求，可在重要工作岗位建立员工储备机制，制定培训计划。

 各级信息技术部门识别所属单位信息系统中的信息资产，确定受保护的信息资产清单，并进行分级，明确各信息资产的相关责任人。各级信息技术部门应明确信息技术内部控制职责，负责在其管理范围内进行各项信息技术管理政策、制度和标准的宣传和贯彻工作，定期评估执行情况并解决发现的问题。

 公司信息管理部门对公司及业务层面的主要信息技术风险进行评估，并定期审阅信息技术风险评估结果。当发生重大的信息技术应用或者组织结构变动时，公司信息管理部门对变动情况进行风险评估，必要时调整相关风险防范措施。

 在公司范围内，建立信息技术总体控制执行情况的测试、监督和审查制度，并根据执行情况做相应改进。

5.3.2 信息安全

 公司建立信息安全组织架构，并建立完善的汇报机制。在公司总部和下属单位各级信息技术部门设立信息安全管理负责人，负责本单位的信息安全培训及信息技术日常工作的安全监督和检查。

公司制定相关制度保证信息系统的逻辑安全、物力安全、网络安全、计算机病毒防护和第
三方安全管理。
公司建立信息安全事件的响应和升级汇报流程。
5.3.3 信息系统项目建设管理
公司建立项目立项审批流程，建立商业软件、硬件和服务购买的管理流程。
公司建立系统开发建设各阶段的管理制度，涵盖项目启动、项目需求分析、项目设计、系
统开发实施、系统测试、系统上线、项目验收等。
项目开发过程中，制定项目培训计划，并编写培训文档。及时收集、整理项目开发各阶段
产生的项目开发文档和项目管理文档，并妥善保管。公司建立定期向管理层汇报项目进度及项目情况的制度，建立项目变更管理流程，以及项目的问题管理流程。

5.3.4 信息系统变更管理

系统变更包括对应用系统的升级、修改、补丁安装等改变系统功能的活动，以及对操作系
统升级和补丁安装、操作系统环境配置变化、防火墙配置修改等。根据系统变更对业务的影响程度，界定变更活动的优先级别，并对变更活动进行跟踪，禁止一切未经授权的系统变更行为。
公司建立应用系统变更和系统环境变更的管理流程，包括日常变更和紧急变更。

5.3.5 信息系统日常运作

公司根据机房重要程度配备必要的环境控制设备。
公司安排人员对系统日常运作进行监控，包括设备运行状况、关键系统和设备系统日志等。
公司根据应用系统的重要程度，制定系统备份和恢复策略。
公司建立信息技术问题管理流程及升级汇报制度，按照问题的影响程度。对其进行分级，
并根据问题的级别上报相应的管理层。

5.3.6 最终用户操作

制定最终用户计算机操作安全制度及员工遵守该制度的申明，并要求员工签署相应的保密
协议。
5.4 信息系统的应用控制

5.4.1 应用系统权限管理

应用系统权限管理包括访问控制和职责分离。
应用系统权限管理基本原则：需求导向及最小授权原则、未明确允许即禁止原则和职责分

离原则。

公司权限管理工作规范，依据该规范对用户权限需求和实际分配情况进行分析，并合理设
置，为定期的测试提供规范和依据。

5.5 信息披露
5.5.1 组织保障及有效沟通
公司制定信息披露规定，成立信息披露小组，明确其构成与职责。
公司明确设计信息披露的工作人员的职责和任职要求。
董事会秘书代表公司进行法定信息披露。
5.5.2 培训对参与编制或审核相关定期报告的信息披露小组成员及其他人员，就披露控制和
程序进行不间断的持续性教育
5.5.3 监督
定期报告在披露前需与信息披露小组、外部审计师、审计委员会、管理层以及外聘法律顾
问等进行讨论。审计委员会对财务报告和业绩公告进行监督、审核。外部审计师审核财务报告的内部控制与企业风险管理有效性。
对非定期报告的信息披露工作，公司根据监管规定和披露程序要求进行信息披露的监督工
作，董事会秘书进行审核确认。
5.5.4 改进与维护
董事会秘书和财务部门在确定本年信息披露内容前，与外部审计师沟通，了解监管机构的
最新要求，按照监管部门的要求及时调整披露事项。
信息披露小组审核公司过去在报告中做出的重大披露及其他公开声明，以确定对这些披露
信息是否进行更新。
5.6 反舞弊

5.6.1 反舞弊纳入公司监察部和审计部门的工作内容

公司由监察部和审计部门共同开展反舞弊调查与审计。
公司设立举报机制，由监察部负责受理在各个方面的违规和舞弊行为的举报，审计部门配
合进行相应的调查。
反舞弊审计与调查结束后，根据情节严重程度进行相应处理。

5.6.2 建立反舞弊情况通报制度公司定期召开反舞弊情况通报会，由监察部通报反舞弊工作情况。

5.6.3 建立反舞弊数据库监察部根据历年查处举报案件情况和经济责任审计情况，组织建立反舞弊数据库，并根据每年举报案件的发生情况，定期分析舞弊风险。

5.6.4 对高管理层的监督监事会对公司高级管理人员执行公司职务的行为进行监督，向股东大会独立报告公司高级管理人员的诚信及勤勉尽责表现。

5.6.5 举报人保护公司建立举报投诉制度和举报人保护制度，设立举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径，并将其及时传达至全体员工。

6. 内部监督

6.1 日常监督

6.1.1 在日常工作中获得能够判断内部控制与风险管理执行情况的信息
公司管理层通过会议、财务分析会等形式，收集汇总各部门的信息，监督各方面工作的进

展。

职能部门、下属单位各部门负责对本单位内部控制和企业风险管理进行自我检查。
公司随时对新增业务单位及业务变化导致重要性改变的业务活动进行跟进确认。
公司审计部门制定相关制度办法，通过审计调查工作，加强内部控制和企业风险管理的持
续监督。

6.1.2 外部信息与公司内部信息相吻合

公司接受外部监督者的检查监督，及时获取反馈信息，汇总、分析检查意见，制定整改措
施并检查各项措施的执行情况。
各单位要定期检查客户的投诉记录、走访客户及向客户公布公司监督单位的联系方式等措
施，收集客户对公司的意见和建议，制定相应的政策并监督检查整改措施的执行情况。
保留公司与外部单位进行往来账款的函证，并对结果进行分析处理。
6.1.3 财务系统数据与实物资产定期进行核对
公司制定实物资产的管理办法，明确定期盘点的具体要求。
下属单位根据上述办法制定实施细则，定期对固定资产、存货、现金、票据和有价证券等
进行盘点，做到账账相符、账实相符。
6.1.4 管理层应对内外部审计师提出的加强内部控制和企业风险管理的建议做出积极反应。
6.1.5 管理层及有关部门通过培训、会议等方式积极了解内部控制与风险管理执行情况。
6.1.6 定期与员工沟通
审计部门及人事部门根据公司管理层授权，对公司员工遵守诚信与道德规范的情况进行监

督。

公司确立重要业务流程及对应的控制措施，各单位在日常工作中，就本单位员工是否执行
了控制活动进行自我监督检查。

6.1.7 内部审计活动

审计部门可以被授权参与或列席公司有关经营和财务管理的会议以获知管理薄弱领域或
环节、公司新的重大管理活动等，以此编制审计计划。
定期召开培训研讨会、报告会等向管理层提供有关控制是否有效的重要反馈。
定期要求员工明确说明他们是否了解和遵守了行为守则，要求经营或财务人员说明某些控
制程序的实施是否正常。
对于内部审计过程中发现的缺陷，要提交整改建议并追踪整改的落实情况。

6.2 专项监督

6.2.1 范围和频率
公司具体明确对公司层面控制、业务活动层面控制进行专项监督。
审计部门依据日常监督的结果，针对高风险领域进一步对专项监督的范围锁定提出意见和
建议。
在专项监督中，审计部门负责内部控制和风险管理有效性问题的检查，进行例外事项分析，
确定控制缺陷，并对控制缺陷进行分析，确认一般缺陷、重要缺陷和重大缺陷，同时对有效性问题进行跟进整改。
6.2.2 评价过程评价过程包括评价计划制定、评价活动的执行、评价报告和纠正措施、评价
人员的选定。
6.2.3 评价方法
评价小组在进行评价时，有许多成熟的方法和工具可以用来记录和评价内部控制与企业风
险管理的具体方面。
组织参与单独评价的人员展开评价前培训，使评价人员掌握相应的方法和工具及评价的范
围、性质和频率。
6.2.4 评价文档
公司根据监管要求，对内部控制和企业风险管理体系进行设计和记录，形成文件。
评价人员将评价过程及结果进行记录，报负责人复核。

6.3 报告缺陷

6.3.1 汇集和报告发现的风险管理缺陷
公司明确缺陷报告的职责、内容，对缺陷报告程序及跟进措施等方面进行规范。
制定缺陷认定规范，明确缺陷定义及分类，以及缺陷评估内容、方法和标准等。
6.3.2 适当的跟进评估
审计委员会就有关内部控制和企业风险管理的重要调查结果及管理层的响应进行研究。
公司管理层对在外部监管者监管过程中、内外部审计中发现的内部控制和企业风险管理缺
陷，授权相关部门进行调查、分析，采取相应的纠正措施，并检查各项措施的执行情况。
审计部门负责跟踪检查在持续监督和单独评价中发现的缺陷和漏洞的整改落实情况，以及
外部审计师提出的管理建议和内部控制与企业风险管理检查整改建议的落实情况。

7. 内部控制评价

内部控制评价是指通过对各控制点的实际执行情况进行有效性检测，以确定各业务流程中的控制点是否依照公司和子公司内部控制的规定执行，并向公司报告评价结果及失效控制点的整改建

议，监督整改落实情况，为公司董事会出具内部控制评价报告提供依据。具体参见公司《内部控制评价管理制度》。

8. 附则

8.1 本制度由公司董事会负责解释。
8.2 本制度经公司董事会审议批准后生效，修改时亦同。

二○一二年十二月