北京神州绿盟信息安全科技股份有限公司
内部控制鉴证报告
瑞华核字[2016] 01700022 号
目 录
一、 内部控制鉴证报告 1
二、 2015 年度内部控制自我评价报告 3
通讯地址:北京市海淀区西四环中路 16 号院 2 号楼 4 层
Postal Address:4th Floor of Tower 2,No.16 Xisihuanzhong Road,Haidian District, Beijing
邮政编码(Post Code):100039
电话(Tel):+86(10)88219191
传真(Fax):+86(10)88210558
内部控制鉴证报告
瑞华核字[2016] 01700022 号
北京神州绿盟信息安全科技股份有限公司全体股东:
我们接受委托,审核了北京神州绿盟信息安全科技股份有限公司(以下简称
“绿盟科技公司”)管理层对 2015 年 12 月 31 日与财务报表相关的内部控制有
效性的认定。绿盟科技公司管理层的责任是建立健全内部控制并保持其有效性,
同时按照《企业内部控制基本规范》的有关规范标准对 2015 年 12 月 31 日与财
务报表相关的内部控制有效性作出认定并确保该认定的真实性和完整性。我们的
责任是对绿盟科技公司上述认定中所述的截至 2015 年 12 月 31 日止与财务报表
相关的内部控制的有效性发表鉴证意见。
我们按照《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审
计或审阅以外的鉴证业务》并参照《内部控制审核指导意见》的规定执行了鉴证
业务。上述规定要求我们计划和执行鉴证工作,以对鉴证对象信息是否不存在重
大错报获取合理保证。在鉴证过程中,我们实施了包括了解、测试和评价内部控
制系统的建立和实施情况,以及我们认为必要的其他程序。我们相信, 我们的
鉴证工作为发表意见提供了合理的基础。
内部控制具有固有限制,存在由于错误或舞弊导致错报发生和未被发现的可
能性。此外,由于情况的变化可能导致内部控制变得不恰当,或降低对控制政策、
程序遵循的程度,因此,于 2015 年 12 月 31 日有效的内部控制,并不保证在未
来也必然有效,根据内部控制评价结果推测未来内部控制有效性具有一定的风险。
我们认为,北京神州绿盟信息安全科技股份公司于 2015 年 12 月 31 日在所
有重大方面保持了按照《企业内部控制基本规范》及其相关规定中与财务报表相
1
关的有效的内部控制。
瑞华会计师事务所(特殊普通合伙) 中国注册会计师:
中国北京 中国注册会计师:
二○一六年四月二十二日
2
北京神州绿盟信息安全科技股份有限公司
2015 年度内部控制自我评价报告
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要
求(以下简称企业内部控制规范体系),结合本公司相关内部控制制度及有关办
法,在内部控制日常监督和专项监督的基础上,我们对公司 2015 年 12 月 31 日
(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、公司基本情况
北京神州绿盟信息安全科技股份有限公司(以下简称“公司”或“本公司”)
原名“中联绿盟信息技术(北京)有限公司”,成立于2000年4月25日,公司成
立时性质为外商独资企业。2010年8月,公司由外商独资企业变更为中外合资企
业。
2011年1月,公司整体变更为股份有限公司,名称变更为“北京神州绿盟信
息安全科技股份有限公司”。变更完成后,公司注册资本变更为7,500万元。
2014年1月,公司首次公开发行股票并在深圳证券交易所创业板上市。发行
完成后,公司总股本为8,460万元。
2014年5月公司实施了2013年度权益分派:以总股本84,600,000股为基数,向
全体股东每10股送红股2股,每10股派发现金股利2.7元,同时以资本公积金转增
股本,每10股转增4股。送转完成后公司股本总额为135,360,000.00元。
2015年4月,公司发行股份及支付现金购买资产并配套募集资金完成,公司
股本增加至143,193,882.00元。
2015年5月,公司实施了2014年度权益分派:以总股本143,193,882股为基数,
以资本公积向全体股东每10股转增15股,转增后公司股本为357,984,705.00元。
2015年6月24日至2016年6月23日,为公司股票期权激励计划第一个行权期行
权期间。截至2015年12月31日,公司股票期权激励计划第一个行权期激励对象自
主行权数量为1,731,481股,公司股本增加1,731,481股。
2015年12月,公司向2015年第二期限制性股票激励计划激励对象授予限制性
股票382,100股,公司股本增加382,100股。
截至2015年12月31日,公司股本总额为360,098,286.00元。
3
本公司股东大会是公司最高权力机构,董事会是公司的常设决策机构,监事
会是公司的监督机构。
公司设立了研究院、产品管理中心、战略规划部、国际业务部、市场部、北
京研发中心、西安研发中心、成都研发中心、武汉研发中心、大客户销售中心、
中央业务部、战略合作与投资部、财务部、总裁办、人力资源部等职能部门。
公司注册地址:北京市海淀区北洼路 4 号益泰大厦 5 层。公司经营范围:许
可经营项目:无。一般经营项目:货物进出口;技术进出口;代理进出口;开发
计算机软硬件;销售自产产品;批发计算机硬件;提供技术开发、技术咨询、技
术服务和计算机软硬件售后服务。
2015 年度纳入本内部控制评价范围的资产占公司资产的 100%,纳入评价范
围收入占公司营业收入的 100%。
二、公司建立内部控制制度的目标和遵循的原则
(一)公司内部控制制度的目标
1、建立较为完整、有效、合理的内部控制制度体系和内部组织结构,确保
管理工作标准化、规范化、程序化及规章制度的科学化、制度化,责权利的制衡
化,为公司创建良好的企业内部经济环境和规范的生产经营秩序,有效提高公司
管理效率和生产经营管理质量;
2、建立行之有效的风险控制系统和严密科学的管理制度,强化风险管理,
防止并及时发现、纠正错误及舞弊行为,保证公司资产安全和公司业务的正常运
行;
3、建立良好的公司内部经济环境,规范公司的会计行为,提高财务管理水
平,保证财务会计信息及相关信息真实、准确、完整;
4、严格信息披露制度,维护广大投资者的利益;
5、确保国家有关法律法规和公司内部制度的贯彻执行。
(二)公司建立内部控制制度遵循的基本原则
1、合法性原则。公司各项内部控制制度和措施的建立符合国家有关法律法
规和财政部《企业内部控制基本规范》的有关规定,以及公司的实际情况。
2、全面性原则。公司内部控制在层次上涵盖公司董事会、监事会、管理层
和全体员工;在对象上覆盖各项经济业务及相关岗位;在流程上渗透到决策、执
行、监督、反馈等各个环节,做到事前、事中、事后控制相统一,避免内部控制
4
出现空白和漏洞。
3、重要性原则。公司内部控制在兼顾全面的基础上突出重点,针对重要业
务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
4、制衡性原则。公司内部控制保证各部门机构、岗位的合理设置及其职责
权限的合理划分,坚持不相容职务相互分离,确保不同部门机构和岗位之间权责
分明、相互制约、相互监督。
5、成本效益原则。公司内部控制遵循成本效益原则,尽量以合理的控制成
本达到最佳的控制效果。
6、适应性原则。内部控制随着外部环境的变化、公司业务职能的调整和管
理要求的提高,不断修订和完善。
三、内部控制总体情况
(一)内部环境
内部环境是公司运行的基础和平台,是公司实施内部控制的基石,具体包括
企业文化、组织结构、发展战略、人力资源等。公司关注内部环境的变化,并根
据外部环境的变化适时调整,优化内部控制环境,积极创造和谐的内部环境,以
保证内部环境的有效实施。
1、企业文化
公司历经十几年的发展和整合,凝聚了一批具有同样价值观的同伴,在“专
攻术业,成就所托”的愿景鼓舞下,公司在专业领域上不断提升,从而做到了在
国内行业甚至国际上有所建树。我们重视责任感、强调专业、建立团队,鼓励创
新,谋求共同发展,最终完成成为“巨人背后的专家,保障客户业务顺畅运行”
的使命。
2、组织机构
本公司已经按照《公司法》、中国证监会的有关法规的要求建立了股东大会、
董事会、监事会以及在董事会领导下的管理层,并按各自的职责有效运作。公司
章程及公司内部相关规定已对各层次组织进行了明确的职责授权。
股东大会是公司权力机构,依法决定公司的经营方针和投资计划、选举和更
换董事、监事, 审议批准董事会、监事会报告,审议批准年度财务预决算方案,
重大资产的购买、出售等事项。
董事会对股东大会负责,召集股东大会并向股东大会报告工作,执行股东大
5
会的决议,制定公司的经营计划和投资方案,年度财务预决算方案,利润分配方
案和弥补亏损方案,增加或减少注册资本、发行债券或其他证券上市方案;拟定
公司重大收购、回购本公司股票方案,在股东大会授权范围内决定公司对外投资、
收购出售资产、资产 抵押、对外担保等事项,制定公司的基本管理制度等。
公司董事会下设战略委员会、审计委员会、提名委员会和薪酬与考核委员会
四个专门委员会,对董事会负责。战略委员会主要负责审议公司总体发展战略规
划和各专项发展战略规划、公司的经营计划、投资和融资方案等事项。审计委员
会主要负责监督公司内部控制,审核公司的财务信息,与公司内、外部审计的沟
通;提名委员会主要负责对公司董事和经理人员的人选,依据选择标准和程序进
行选择并提出建议;薪酬与考核委员会,主要负责制定公司董事及经理人员的考
核标准并进行考核,负责制定、审查公司董事及高级管理人员的薪酬政策与方案。
监事会负责对董事、高级管理人员执行公司职务的行为进行监督,检查公司
财务,对董事会编制的公司定期报告进行审核并提出书面审核意见,提议召开临
时股东大会并向股东大会提 出提案等职权。
经理层负责组织实施股东大会、董事会决议事项,主持公司的生产经营管理
工作。
3、发展战略
在全球范围内,提供基于自身核心竞争力的企业级网络安全解决方案,成为
最受客户信赖的网络安全公司。
4、人力资源
本公司管理层高度重视特定工作岗位所需的用途能力水平的设定,以及对达
到该水平所必需的知识和能力的要求。公司岗位责任明确,任职条件清晰,确保
全部任职人员具有相应的胜任能力,确保各岗位人员不会因专业胜任能力不足而
发生失误和差错。另外公司根据实际工作的需要,会针对不同岗位所需的专业知
识,展开多种形式的后期培训教育,使员工们都能胜任目前所处的工作岗位。
(二)风险评估
2015 年公司进一步完善、健全内部控制系统,检验公司现有内控体系与企
业原有管理制度的融合性,促进和提升企业管理。公司在内部控制的实际执行过
程中对各个环节可能出现的经营风险、财务风险、市场风险、政策法规风险和道
6
德风险等进行持续有效地识别、计量、评估与监控。
在内控体系建立健全过程中,公司坚持风险导向原则,针对发现的问题及时
整改,优化公司的内部控制,健全公司的内部控制管理,促进公司管理水平的提
升。进一步培养管理层对内控系统承担最终责任、对系统有所有权的思想理念,
从而主动防范经营风险、提高经营管理水平要求,这是公司完善内控制度、促进
规范的必然选择,也契合公司的现实需求。
(三)控制活动
1、对资金的控制
公司对货币资金收支和保管业务建立有严格的授权批准程序,办理货币资金
业务的不相容岗位分离,相关机构和人员相互制约,加强款项收付稽核,确保货
币资金的安全。
2、对资产的控制
公司制定并严格执行《库存管理程序》、《生产中心出入管理规定》、《发货管
理规范》 以及《生产中心防静电管理规定》等流程与规定。通过以上控制程序,
对存货和生产环境进行了有效管理,对原材料、在制品与产成品的验收入库、领
料发货、保管处置等关键环节进行了有效控制,并防止实物资产的被盗、偷拿、
损毁和流失。
3、对销售业务的控制
公司制定了《绿盟科技销售项目管理流程》、《绿盟科技行业重大项目管理办
法》等规章制度,在实际工作过程中,严格按照上述流程进行销售管理,强化了
顾客服务理念,减少了坏帐损失的风险。同时,公司还制定了《分支机构申请项
目价格保护流程》、《分支机构报价管理规范》等文档,建立了价格体系,规范价
格管理。另外,对于投标、测试机使用等售前工作,制定《分支机构投标专用章
使用规范》、《分支机构投标授权资料办理流程》、《分支机构固定资产类测试机管
理办法》、《分支机构测试机借用管理办法》,在执行中规避了风险,提高了支持
效率。
4、对采购业务的控制
公司制定并严格执行《网安硬件平台供应商认证流程》、《采购控制程序》、
《原材料采购管理办法》、《第三方产品供方管理规定》、《第三方产品采购管理流
7
程》等制度文件,公司制定了采购与付款业务的机构和岗位,建立和完善了采购
与付款的控制程序,强化了对请购、审批、采购、验收、付款等环节的控制,做
到比质比价采购、计划和采购分开、采购决策透明,尽可能堵塞采购环节的漏洞。
5、对生产管理的控制
生产中心负责公司产品生产的计划、组织与执行。下设管理组、工程组和生
产组,分别负责生产计划与物控管理,产品工艺管理与产品生产执行。公司采用
订单式生产,基于产品序列号对每台设备做可追溯管理,生产全过程由 ERP 系
统和生产管理系统结合辅助,有效提高了管理水平。生产与采购过程进行了有效
区隔,在协作配合中形成了专业管理、相互约束的高效、快捷的生产运作模式。
公司于 2004 年通过 ISO9001 质量体系认证,建立了完善的质量保证体系;
多年来,公司严格按标准要求进行规范的质量管理。2015 年,公司云安全运营
服务业务获得 ISO27001 管理体系的认证,为国内首家通过 ISO27001 认证的可
管理安全服务(MSS)和安全即服务(SECaaS)提供商。
6、对关联交易的控制
公司已制定《关联交易管理制度》,对关联交易的范围、决策程序、信息披
露等方面作了严格规定,规范与关联方的各项交易活动,保证公司与关联方之间
的关联交易符合公平、公正、公开的原则,确保公司的关联交易行为不损害公司
和非关联股东的合法权益。公司关联交易按照制度规定履行审批程序,按照规定
签订书面协议,明确交易双方的权利义务和法律责任。
7、对对外投资的控制
公司注重对投资特别是重大投资行为的内部控制,报告期内,已按照《公司
法》、《证券法》等法律、法规以及规范性文件的有关要求制定了《对外投资管理
制度》,年内公司的对外投资均严格遵守了相关制度。
8、对对外担保的控制
为规范公司对外担保行为,有效控制公司对外担保风险,《公司章程》中明
确了股东大会、董事会关于对外担保事项的审批权限,公司对外担保必须经董事
会或股东大会批准,严格控制担保风险。另外,公司还制定了《对外担保管理制
度》,公司严格控制担保行为,明确了担保原则、担保标准和条件、担保责任等
相关内容。公司尚不存在对外担保的情形。
8
9、对合同管理的控制
公司制定《合同文本管理规定》、《对外签署合同事项的内控办法》、《合并评
审与签订流程》等相关管理制度,规范了合同的审查、订立、履行、变更、解除
等相关流程和审批权,审查合同文本、审批盖章、合同变更、解除、纠纷上报、
合同资料保管、合同履行后评估等控制活动,规范合同双方在合同履行中进行的
各种经济活动以及合同实施过程中的经济责任、利益和权利。
10、对信息披露的控制
公司建立健全了公司《信息披露管理制度》和《重大信息内部报告制度》, 对
公司公开信息披露和重大内部信息沟通进行全程、有效的控制。依据《重大信息
内部报告制度》,公司建立了重大信息内部传递体系,明确公司重大信息的范围
和内容,制定了公司各部门沟通的方式、内容和时限等相应的控制程序。依据《信
息披露管理制度》,公司实施信息披露责任制,将信息披露的责任明确到人,确
保信息披露责任人知悉公司各类信息并及时、准确、完整、公平地对外披露。同
时,为规范公司内幕信息管理,加强内幕信息保密工作,以维护信息披露的公平
原则,根据《公司法》、《证券法》、《上市公司信息披露管理办法》、《深圳证券交
易所创业板股票上市规则》等有关法律、法规和《公司章程》的有关规定,制订
了《内幕信息知情人管理制度》。
11、对全面预算的控制
公司在年度结束前根据战略规划及市场预测,开始编制下年度预算,经公司
相关授权规定审批后下发执行。财务部负责预算编制的组织和汇总,各部门和单
位则具体负责预算的编制和执行。
12、对信息系统的控制
为了加强公司信息流通的管理,保证信息流通的安全性,规范公司信息的传
递,公司制定了《IT 系统建设需求管理规范》、《电脑设备主机命名规范》、《内
网使用指南》、《网络监控管理办法》、《秘密保护管理执行细则》等规范,对计算
机系统的选择、计算机的维护与保密、计算机病毒的防治及相关软件的使用等方
面作了详细的规定,对信管理部门与使用部门权责的区分、程序修改控制、资料
存取的权限、数据处理的控制、设备和信息的安全控制进行了明确划分。
(四)信息沟通
9
公司制定了《信息披露管理制度》、《年报信息披露重大差错责任追究制度》、
《内幕信息知情人管理制度》等管理制度,明确了内部信息的收集、处理和传递
程序,通过合理筛选、核对、分析和整合,确保信息的准确、快速和有效传递。
以上制度的建立完善了公司在信息与沟通方面的内控管理,确保信息传递过程得
到有效控制,避免发生不必要的泄露或扩散。
另外,公司采购、物流、销售、财务已经全面融合进 ERP 系统,确保会计
系统能够真实、准确、及时和完整反映各项经营管理活动的结果,保证了财务报
告的准确与可靠。
同时,公司积极加强与业务往来单位、以及相关政府监管部门等的沟通和反
馈,以及通过市场调查、网络传媒等渠道,及时获取外部信息,使管理层面对各
种变化能够及时适当地采取进一步行动。
公司证券事务部为公司信息披露事务管理部门,董事会秘书负责公司信息披
露管理工作。2015 年度,公司及时披露公司发生的重大事项,并加强对公司网
站内容发布的审核,在投资者接待中未发生有选择性、私下、提前向特定对象单
独披露、透露或者泄漏公司非公开重大信息的情况,确保公司信息披露的真实、
准确、完整、及时和公平。
(五)内部监督
公司依法设立股东大会、董事会、监事会等组织机构,并在董事会下设有
审计委员会、薪酬与考核委员会、战略决策委员会、提名委员会四个专门委员会,
其规范运作强化了公司内部控制。其中,审计委员会是公司内部控制监督机构,
审计委员会下设的审计部负责公司内控体系的建立健全、监督检查和持续完善工
作。公司审计部根据公司《内部审计制度》相关规定,以风险为导向,采用必审
和抽审,事前、事中控制和事后审计相结合的方式对公司生产经营管理活动进行
监督检查。通过不定期的财务审计、内部控制审计和其他专项审计,对公司经营
活动的合规性及其内控的健全性、有效性做出客观评价,并提出完善建议。另外,
公司聘请外部会计师事务所对财务报表进行审计,同时对公司内控进行审查,公
司在所有重大风险方面保持了有效的内部控制。
(六)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系, 结合公司相关制度、流程、指引等相关制
度文件规定,组织开展年度内部控制评价工作。公司董事会根据企业内部控制规
10
范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、
风险偏好、风险承受度及经营状况等因素,区分财务报告内部控制和非财务报告
内部控制,研究确定了适用本公司的内部控制缺陷具体认定标准。公司确定的内
部控制缺陷认定标准情况如下:
1、财务报告内部控制缺陷认定标准
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
定量标准以营业收入、资产总额作为衡量指标,在同时适用时指标应用采取
孰低原则。
内部控制缺陷可能导致或导致的损失与利润表相关的,以营业收入指标衡量。
如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入 3%,
则认定为一般缺陷;如果超过营业收入的 3%但小于 5%,则认定为重要缺陷;
如果超过营业收入的 5%,则认定为重大缺陷。
内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡
量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额
的 3%,则认定为一般缺陷;如果超过资产总额的 3%但小于 5%,则认定为重要
缺陷;如果超过资产总额 5%,则认定为重大缺陷。
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
财务报告重大缺陷的迹象包括:
①公司董事、监事和高级管理人员的舞弊行为;
②公司更正已公布的财务报告;
③注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错
报;
④审计委员会和审计部门对公司的对外财务报告和财务报告内部控制监督
无效。
财务报告重要缺陷的迹象包括:
①未依照公认会计准则选择和应用会计政策;
②未建立反舞弊程序和控制措施;
③对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施
且没有相应的补偿性控制;
11
④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制
的财务报表达到真实、完整的目标。
一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
2、非财务报告内部控制缺陷认定标准
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价
的定量标准执行。
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能
性作判定。
如果缺陷发生的可能性较小,会降低工作效率或效果、或加大效果的不确定
性、或使之偏离战略目标为一般缺陷;
如果缺陷发生的可能性较高,会显著降低工作效率或效果、或显著加大效果
的不确定性、或使之显著偏离战略目标为重要缺陷;
如果缺陷发生的可能性高,会严重降低工作效率或效果、或严重加大效果的
不确定性、或使之严重偏离战略目标为重大缺陷。
(三)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告
内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务
报告内部控制重大缺陷、重要缺陷。
四、内部控制评价结论
公司现行的内部控制制度已基本建立,能够适应公司管理的要求和公司发展
的需要,能够较好地保证公司会计资料的真实性、合法性、完整行,随着国家法
律法规的逐步深化和公司不断发展的需要,公司的内控制度还将进一步健全和完
善,并将在实际中得以有效的执行和实施。
综上所述,公司董事会认为根据《企业内部控制基本规范》及其相关规定,
本公司内部控制于 2015 年 12 月 31 日在所有重大方面是有效的。
12
北京神州绿盟信息安全科技股份有限公司
董 事 会
2016 年 4 月 22 日
13
首页
微信公众号
证券之星APP
