北京神州绿盟信息安全科技股份有限公司
2015 年度内部控制自我评价报告
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求
(以下简称企业内部控制规范体系),结合本公司相关内部控制制度及有关办法,
在内部控制日常监督和专项监督的基础上,我们对公司 2015 年 12 月 31 日(内部控
制评价报告基准日)的内部控制有效性进行了评价。
一、公司基本情况
北京神州绿盟信息安全科技股份有限公司(以下简称“公司”或“本公司”)
原名“中联绿盟信息技术(北京)有限公司”,成立于2000年4月25日,公司成立时
性质为外商独资企业。2010年8月,公司由外商独资企业变更为中外合资企业。
2011年1月,公司整体变更为股份有限公司,名称变更为“北京神州绿盟信息安
全科技股份有限公司”。变更完成后,公司注册资本变更为7,500万元。
2014年1月,公司首次公开发行股票并在深圳证券交易所创业板上市。发行完成
后,公司总股本为8,460万元。
2014年5月公司实施了2013年度权益分派:以总股本84,600,000股为基数,向全
体股东每10股送红股2股,每10股派发现金股利2.7元,同时以资本公积金转增股本,
每10股转增4股。送转完成后公司股本总额为135,360,000.00元。
2015年4月,公司发行股份及支付现金购买资产并配套募集资金完成,公司股本
增加至143,193,882.00元。
2015年5月,公司实施了2014年度权益分派:以总股本143,193,882股为基数,
以资本公积向全体股东每10股转增15股,转增后公司股本为357,984,705.00元。
2015年6月24日至2016年6月23日,为公司股票期权激励计划第一个行权期行权
期间。截至2015年12月31日,公司股票期权激励计划第一个行权期激励对象自主行
权数量为1,731,481股,公司股本增加1,731,481股。
2015年12月,公司向2015年第二期限制性股票激励计划激励对象授予限制性股
票382,100股,公司股本增加382,100股。
截至2015年12月31日,公司股本总额为360,098,286.00元。
本公司股东大会是公司最高权力机构,董事会是公司的常设决策机构,监事会
是公司的监督机构。
1
公司设立了研究院、产品管理中心、战略规划部、国际业务部、市场部、北京
研发中心、西安研发中心、成都研发中心、武汉研发中心、大客户销售中心、中央
业务部、战略合作与投资部、财务部、总裁办、人力资源部等职能部门。
公司注册地址:北京市海淀区北洼路 4 号益泰大厦 5 层。公司经营范围:许可
经营项目:无。一般经营项目:货物进出口;技术进出口;代理进出口;开发计算
机软硬件;销售自产产品;批发计算机硬件;提供技术开发、技术咨询、技术服务
和计算机软硬件售后服务。
2015 年度纳入本内部控制评价范围的资产占公司资产的 100%,纳入评价范围
收入占公司营业收入的 100%。
二、公司建立内部控制制度的目标和遵循的原则
(一)公司内部控制制度的目标
1、建立较为完整、有效、合理的内部控制制度体系和内部组织结构,确保管
理工作标准化、规范化、程序化及规章制度的科学化、制度化,责权利的制衡化,
为公司创建良好的企业内部经济环境和规范的生产经营秩序,有效提高公司管理效
率和生产经营管理质量;
2、建立行之有效的风险控制系统和严密科学的管理制度,强化风险管理,防
止并及时发现、纠正错误及舞弊行为,保证公司资产安全和公司业务的正常运行;
3、建立良好的公司内部经济环境,规范公司的会计行为,提高财务管理水平,
保证财务会计信息及相关信息真实、准确、完整;
4、严格信息披露制度,维护广大投资者的利益;
5、确保国家有关法律法规和公司内部制度的贯彻执行。
(二)公司建立内部控制制度遵循的基本原则
1、合法性原则。公司各项内部控制制度和措施的建立符合国家有关法律法规
和财政部《企业内部控制基本规范》的有关规定,以及公司的实际情况。
2、全面性原则。公司内部控制在层次上涵盖公司董事会、监事会、管理层和全
体员工;在对象上覆盖各项经济业务及相关岗位;在流程上渗透到决策、执行、监
督、反馈等各个环节,做到事前、事中、事后控制相统一,避免内部控制出现空白
和漏洞。
3、重要性原则。公司内部控制在兼顾全面的基础上突出重点,针对重要业务与
事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
2
4、制衡性原则。公司内部控制保证各部门机构、岗位的合理设置及其职责权限
的合理划分,坚持不相容职务相互分离,确保不同部门机构和岗位之间权责分明、
相互制约、相互监督。
5、成本效益原则。公司内部控制遵循成本效益原则,尽量以合理的控制成本
达到最佳的控制效果。
6、适应性原则。内部控制随着外部环境的变化、公司业务职能的调整和管理
要求的提高,不断修订和完善。
三、内部控制总体情况
(一)内部环境
内部环境是公司运行的基础和平台,是公司实施内部控制的基石,具体包括企
业文化、组织结构、发展战略、人力资源等。公司关注内部环境的变化,并根据外
部环境的变化适时调整,优化内部控制环境,积极创造和谐的内部环境,以保证内
部环境的有效实施。
1、企业文化
公司历经十几年的发展和整合,凝聚了一批具有同样价值观的同伴,在“专攻
术业,成就所托”的愿景鼓舞下,公司在专业领域上不断提升,从而做到了在国内
行业甚至国际上有所建树。我们重视责任感、强调专业、建立团队,鼓励创新,谋
求共同发展,最终完成成为“巨人背后的专家,保障客户业务顺畅运行”的使命。
2、组织机构
本公司已经按照《公司法》、中国证监会的有关法规的要求建立了股东大会、
董事会、监事会以及在董事会领导下的管理层,并按各自的职责有效运作。公司章
程及公司内部相关规定已对各层次组织进行了明确的职责授权。
股东大会是公司权力机构,依法决定公司的经营方针和投资计划、选举和更换
董事、监事, 审议批准董事会、监事会报告,审议批准年度财务预决算方案,重大
资产的购买、出售等事项。
董事会对股东大会负责,召集股东大会并向股东大会报告工作,执行股东大会
的决议,制定公司的经营计划和投资方案,年度财务预决算方案,利润分配方案和
弥补亏损方案,增加或减少注册资本、发行债券或其他证券上市方案;拟定公司重
大收购、回购本公司股票方案,在股东大会授权范围内决定公司对外投资、收购出
售资产、资产 抵押、对外担保等事项,制定公司的基本管理制度等。
3
公司董事会下设战略委员会、审计委员会、提名委员会和薪酬与考核委员会四
个专门委员会,对董事会负责。战略委员会主要负责审议公司总体发展战略规划和
各专项发展战略规划、公司的经营计划、投资和融资方案等事项。审计委员会主要
负责监督公司内部控制,审核公司的财务信息,与公司内、外部审计的沟通;提名
委员会主要负责对公司董事和经理人员的人选,依据选择标准和程序进行选择并提
出建议;薪酬与考核委员会,主要负责制定公司董事及经理人员的考核标准并进行
考核,负责制定、审查公司董事及高级管理人员的薪酬政策与方案。
监事会负责对董事、高级管理人员执行公司职务的行为进行监督,检查公司财
务,对董事会编制的公司定期报告进行审核并提出书面审核意见,提议召开临时股
东大会并向股东大会提 出提案等职权。
经理层负责组织实施股东大会、董事会决议事项,主持公司的生产经营管理工
作。
3、发展战略
在全球范围内,提供基于自身核心竞争力的企业级网络安全解决方案,成为最
受客户信赖的网络安全公司。
4、人力资源
本公司管理层高度重视特定工作岗位所需的用途能力水平的设定,以及对达到
该水平所必需的知识和能力的要求。公司岗位责任明确,任职条件清晰,确保全部
任职人员具有相应的胜任能力,确保各岗位人员不会因专业胜任能力不足而发生失
误和差错。另外公司根据实际工作的需要,会针对不同岗位所需的专业知识,展开
多种形式的后期培训教育,使员工们都能胜任目前所处的工作岗位。
(二)风险评估
2015 年公司进一步完善、健全内部控制系统,检验公司现有内控体系与企业原
有管理制度的融合性,促进和提升企业管理。公司在内部控制的实际执行过程中对
各个环节可能出现的经营风险、财务风险、市场风险、政策法规风险和道德风险等
进行持续有效地识别、计量、评估与监控。
在内控体系建立健全过程中,公司坚持风险导向原则,针对发现的问题及时整
改,优化公司的内部控制,健全公司的内部控制管理,促进公司管理水平的提升。
进一步培养管理层对内控系统承担最终责任、对系统有所有权的思想理念,从而主
动防范经营风险、提高经营管理水平要求,这是公司完善内控制度、促进规范的必
然选择,也契合公司的现实需求。
4
(三)控制活动
1、对资金的控制
公司对货币资金收支和保管业务建立有严格的授权批准程序,办理货币资金业
务的不相容岗位分离,相关机构和人员相互制约,加强款项收付稽核,确保货币资
金的安全。
2、对资产的控制
公司制定并严格执行《库存管理程序》、《生产中心出入管理规定》、《发货
管理规范》 以及《生产中心防静电管理规定》等流程与规定。通过以上控制程序,
对存货和生产环境进行了有效管理,对原材料、在制品与产成品的验收入库、领料
发货、保管处置等关键环节进行了有效控制,并防止实物资产的被盗、偷拿、损毁
和流失。
3、对销售业务的控制
公司制定了《绿盟科技销售项目管理流程》、《绿盟科技行业重大项目管理办
法》等规章制度,在实际工作过程中,严格按照上述流程进行销售管理,强化了顾
客服务理念,减少了坏帐损失的风险。同时,公司还制定了《分支机构申请项目价
格保护流程》、《分支机构报价管理规范》等文档,建立了价格体系,规范价格管
理。另外,对于投标、测试机使用等售前工作,制定《分支机构投标专用章使用规
范》、《分支机构投标授权资料办理流程》、《分支机构固定资产类测试机管理办
法》、《分支机构测试机借用管理办法》,在执行中规避了风险,提高了支持效率。
4、对采购业务的控制
公司制定并严格执行《网安硬件平台供应商认证流程》、《采购控制程序》、
《原材料采购管理办法》、《第三方产品供方管理规定》、《第三方产品采购管理
流程》等制度文件,公司制定了采购与付款业务的机构和岗位,建立和完善了采购
与付款的控制程序,强化了对请购、审批、采购、验收、付款等环节的控制,做到
比质比价采购、计划和采购分开、采购决策透明,尽可能堵塞采购环节的漏洞。
5、对生产管理的控制
生产中心负责公司产品生产的计划、组织与执行。下设管理组、工程组和生产
组,分别负责生产计划与物控管理,产品工艺管理与产品生产执行。公司采用订单
式生产,基于产品序列号对每台设备做可追溯管理,生产全过程由 ERP 系统和生
产管理系统结合辅助,有效提高了管理水平。生产与采购过程进行了有效区隔,在
协作配合中形成了专业管理、相互约束的高效、快捷的生产运作模式。
5
公司于 2004 年通过 ISO9001 质量体系认证,建立了完善的质量保证体系;多
年来,公司严格按标准要求进行规范的质量管理。2015 年,公司云安全运营服务业
务获得 ISO27001 管理体系的认证,为国内首家通过 ISO27001 认证的可管理安全服
务(MSS)和安全即服务(SECaaS)提供商。
6、对关联交易的控制
公司已制定《关联交易管理制度》,对关联交易的范围、决策程序、信息披露
等方面作了严格规定,规范与关联方的各项交易活动,保证公司与关联方之间的关
联交易符合公平、公正、公开的原则,确保公司的关联交易行为不损害公司和非关
联股东的合法权益。公司关联交易按照制度规定履行审批程序,按照规定签订书面
协议,明确交易双方的权利义务和法律责任。
7、对对外投资的控制
公司注重对投资特别是重大投资行为的内部控制,报告期内,已按照《公司法》、
《证券法》等法律、法规以及规范性文件的有关要求制定了《对外投资管理制度》,
年内公司的对外投资均严格遵守了相关制度。
8、对对外担保的控制
为规范公司对外担保行为,有效控制公司对外担保风险,《公司章程》中明确
了股东大会、董事会关于对外担保事项的审批权限,公司对外担保必须经董事会或
股东大会批准,严格控制担保风险。另外,公司还制定了《对外担保管理制度》,
公司严格控制担保行为,明确了担保原则、担保标准和条件、担保责任等相关内容。
公司尚不存在对外担保的情形。
9、对合同管理的控制
公司制定《合同文本管理规定》、《对外签署合同事项的内控办法》、《合并
评审与签订流程》等相关管理制度,规范了合同的审查、订立、履行、变更、解除
等相关流程和审批权,审查合同文本、审批盖章、合同变更、解除、纠纷上报、合
同资料保管、合同履行后评估等控制活动,规范合同双方在合同履行中进行的各种
经济活动以及合同实施过程中的经济责任、利益和权利。
10、对信息披露的控制
公司建立健全了公司《信息披露管理制度》和《重大信息内部报告制度》, 对
公司公开信息披露和重大内部信息沟通进行全程、有效的控制。依据《重大信息内
部报告制度》,公司建立了重大信息内部传递体系,明确公司重大信息的范围和内
容,制定了公司各部门沟通的方式、内容和时限等相应的控制程序。依据《信息披
6
露管理制度》,公司实施信息披露责任制,将信息披露的责任明确到人,确保信息
披露责任人知悉公司各类信息并及时、准确、完整、公平地对外披露。同时,为规
范公司内幕信息管理,加强内幕信息保密工作,以维护信息披露的公平原则,根据
《公司法》、《证券法》、《上市公司信息披露管理办法》、《深圳证券交易所创
业板股票上市规则》等有关法律、法规和《公司章程》的有关规定,制订了《内幕
信息知情人管理制度》。
11、对全面预算的控制
公司在年度结束前根据战略规划及市场预测,开始编制下年度预算,经公司相
关授权规定审批后下发执行。财务部负责预算编制的组织和汇总,各部门和单位则
具体负责预算的编制和执行。
12、对信息系统的控制
为了加强公司信息流通的管理,保证信息流通的安全性,规范公司信息的传递,
公司制定了《IT 系统建设需求管理规范》、《电脑设备主机命名规范》、《内网使
用指南》、《网络监控管理办法》、《秘密保护管理执行细则》等规范,对计算机
系统的选择、计算机的维护与保密、计算机病毒的防治及相关软件的使用等方面作
了详细的规定,对信管理部门与使用部门权责的区分、程序修改控制、资料存取的
权限、数据处理的控制、设备和信息的安全控制进行了明确划分。
(四)信息沟通
公司制定了《信息披露管理制度》、《年报信息披露重大差错责任追究制度》、
《内幕信息知情人管理制度》等管理制度,明确了内部信息的收集、处理和传递程
序,通过合理筛选、核对、分析和整合,确保信息的准确、快速和有效传递。以上
制度的建立完善了公司在信息与沟通方面的内控管理,确保信息传递过程得到有效
控制,避免发生不必要的泄露或扩散。
另外,公司采购、物流、销售、财务已经全面融合进 ERP 系统,确保会计系统
能够真实、准确、及时和完整反映各项经营管理活动的结果,保证了财务报告的准
确与可靠。
同时,公司积极加强与业务往来单位、以及相关政府监管部门等的沟通和反馈,
以及通过市场调查、网络传媒等渠道,及时获取外部信息,使管理层面对各种变化
能够及时适当地采取进一步行动。
公司证券事务部为公司信息披露事务管理部门,董事会秘书负责公司信息披露
管理工作。2015 年度,公司及时披露公司发生的重大事项,并加强对公司网站内容
7
发布的审核,在投资者接待中未发生有选择性、私下、提前向特定对象单独披露、
透露或者泄漏公司非公开重大信息的情况,确保公司信息披露的真实、准确、完整、
及时和公平。
(五)内部监督
公司依法设立股东大会、董事会、监事会等组织机构,并在董事会下设有审计
委员会、薪酬与考核委员会、战略决策委员会、提名委员会四个专门委员会,其规
范运作强化了公司内部控制。其中,审计委员会是公司内部控制监督机构,审计委
员会下设的审计部负责公司内控体系的建立健全、监督检查和持续完善工作。公司
审计部根据公司《内部审计制度》相关规定,以风险为导向,采用必审和抽审,事
前、事中控制和事后审计相结合的方式对公司生产经营管理活动进行监督检查。通
过不定期的财务审计、内部控制审计和其他专项审计,对公司经营活动的合规性及
其内控的健全性、有效性做出客观评价,并提出完善建议。另外,公司聘请外部会
计师事务所对财务报表进行审计,同时对公司内控进行审查,公司在所有重大风险
方面保持了有效的内部控制。
(六)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系, 结合公司相关制度、流程、指引等相关制度
文件规定,组织开展年度内部控制评价工作。公司董事会根据企业内部控制规范体
系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险
偏好、风险承受度及经营状况等因素,区分财务报告内部控制和非财务报告内部控
制,研究确定了适用本公司的内部控制缺陷具体认定标准。公司确定的内部控制缺
陷认定标准情况如下:
1、财务报告内部控制缺陷认定标准
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
定量标准以营业收入、资产总额作为衡量指标,在同时适用时指标应用采取孰
低原则。
内部控制缺陷可能导致或导致的损失与利润表相关的,以营业收入指标衡量。
如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入 3%,则
认定为一般缺陷;如果超过营业收入的 3%但小于 5%,则认定为重要缺陷;如果超
过营业收入的 5%,则认定为重大缺陷。
内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。
如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的 3%,
8
则认定为一般缺陷;如果超过资产总额的 3%但小于 5%,则认定为重要缺陷;如果
超过资产总额 5%,则认定为重大缺陷。
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
财务报告重大缺陷的迹象包括:
①公司董事、监事和高级管理人员的舞弊行为;
②公司更正已公布的财务报告;
③注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报;
④审计委员会和审计部门对公司的对外财务报告和财务报告内部控制监督无
效。
财务报告重要缺陷的迹象包括:
①未依照公认会计准则选择和应用会计政策;
②未建立反舞弊程序和控制措施;
③对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没
有相应的补偿性控制;
④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财
务报表达到真实、完整的目标。
一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。
2、非财务报告内部控制缺陷认定标准
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的定
量标准执行。
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性
作判定。
如果缺陷发生的可能性较小,会降低工作效率或效果、或加大效果的不确定性、
或使之偏离战略目标为一般缺陷;
如果缺陷发生的可能性较高,会显著降低工作效率或效果、或显著加大效果的
不确定性、或使之显著偏离战略目标为重要缺陷;
如果缺陷发生的可能性高,会严重降低工作效率或效果、或严重加大效果的不
确定性、或使之严重偏离战略目标为重大缺陷。
(三)内部控制缺陷认定及整改情况
9
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内
部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报
告内部控制重大缺陷、重要缺陷。
四、内部控制评价结论
公司现行的内部控制制度已基本建立,能够适应公司管理的要求和公司发展的
需要,能够较好地保证公司会计资料的真实性、合法性、完整行,随着国家法律法
规的逐步深化和公司不断发展的需要,公司的内控制度还将进一步健全和完善,并
将在实际中得以有效的执行和实施。
综上所述,公司董事会认为根据《企业内部控制基本规范》及其相关规定,本
公司内部控制于 2015 年 12 月 31 日在所有重大方面是有效的。
北京神州绿盟信息安全科技股份有限公司
董 事 会
2016 年 4 月 22 日
10
首页
微信公众号
证券之星APP
