*ST蓝盾:2022年年度内部控制自我评价报告
蓝盾信息安全技术股份有限公司2022年年度内部控制自我评价报告
蓝盾信息安全技术股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合蓝盾信息安全技术股份有限公司(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司截至2022年12月31日的内部控制的有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,公司不存在财务报告内部控制重大缺陷。董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准
日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价范围
公司纳入评价范围的主要业务和事项包括:组织架构、人力资源、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、担保业务、财务报告等多项流程和事项。重点关注的高风险领域主要包括:财务管理、募集资金管理。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及公司相关制度组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于公司的内部控制缺陷具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1. 财务报告内部控制缺陷认定标准
财务报告内部控制缺陷的认定标准:财务报告内部控制缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。财务报告内部控制缺陷重要程度主要取决于定量和定性两个方面的因素,具体如下:
类别 | 重大缺陷 | 重要缺陷 | 一般缺陷 | |
定量指标 | 利润总额潜在错报的金额 | 错报≥合并会计报表利润总额的5% | 合并会计报表利润总额的3%≤错报<合并会计报表利润总额的5% | 错报<合并会计报表利润总额的3% |
资产总额潜在错报的金额 | 错报≥合并会计报表资产总额的1% | 合并会计报表资产总额的0.5%≤错报<合并会计报表资产总额的1% | 错报<合并会计报表资产总额的0.5% | |
经营收入潜在错报的金额 | 错报≥合并会计报表主营业务收入或营业收入的2% | 合并会计报表主营业务收入或营业收入的1%≤错报<合并会计报表主营业务收入或营业收入的2% | 错报<合并会计报表主营业务收入或营业收入的1% |
类别
类别 | 重大缺陷 | 重要缺陷 | 一般缺陷 | |
定性指标 | 法律法规 | 严重违反法律、法规、规章、政府政策、其他规范性文件等,导致中央政府或监管机构的调查,并被限令行业退出、吊销营业执照、强制关闭等。 | 违反法律、法规、规章、政府政策、其他规范性文件等,导致地方政府或监管机构的调查,并责令停业整顿等。 | 违反法律、法规、规章政府政策、其他规范性文件等,导致地方政府或监管机构的调查,并被处以罚款或罚金。 |
战略与运营目标 | 战略与运营目标或关键业绩指标的执行不合理,严重偏离且存在方向性错误,对战略与运营目标的实现产生严重负面作用。 | 战略与运营目标或关键业绩指标执行不合理,严重偏离,对战略与运营目标的实现产生明显的消极作用。 |
战略与运营目标或关键业绩的执行存在较小范围的不合理,目标偏离,对战略与运营目标的实现影响轻微。
除上述定量定性指标外,另外明确了通常表明财务报告内部控制可能存在重大缺陷的迹象:
(1)董事、监事和高级管理人员舞弊;
(2)企业更正已公布的财务报告;
(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;
(4)企业审计委员会和内部审计机构对内部控制的监督无效。
2. 非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷主要是指不能合理保证公司财务报告可靠性目标之外的其他目标,如企业战略、合规、运营、资产安全等目标实现的内部控制设计和运行缺陷。非财务报告内部控制缺陷重要程度主要取决于定量和定性两个方面的因素,具体如下:
类别 | 重大缺陷 | 重要缺陷 | 一般缺陷 | |
定量指标 | 利润总额潜在错报的金额 | 错报≥合并会计报表利润总额的8% | 合并会计报表利润总额的5%≤错报<合并会计报表利润总额的8% | 错报<合并会计报表利润总额的5% |
类别
类别 | 重大缺陷 | 重要缺陷 | 一般缺陷 | |
资产总额潜在错报的金额 | 错报≥合并会计报表资产总额的1.5% | 合并会计报表资产总额的1%≤错报<合并会计报表资产总额的1.5% | 错报<合并会计报表资产总额的1% | |
经营收入潜在错报的金额 | 错报≥合并会计报表主营业务收入或营业收入的3% | 合并会计报表主营业务收入或营业收入的2%≤错报<合并会计报表主营业务收入或营业收入的3% | 错报<合并会计报表主营业务收入或营业收入的2% | |
定性指标 | 法律法规 | 严重违反法律、法规、规章、政府政策、其他规范性文件等,导致中央政府或监管机构的调查,并被限令行业退出、吊销营业执照、强制关闭等。 | 违反法律、法规、规章、政府政策、其他规范性文件等,导致地方政府或监管机构的调查,并责令停业整顿等。 | 违反法律、法规、规章政府政策、其他规范性文件等,导致地方政府或监管机构的调查,并被处以罚款或罚金。 |
战略与运营目标 | 战略与运营目标或关键业绩指标的执行不合理,严重偏离且存在方向性错误,对战略与运营目标的实现产生严重负面作用。 | 战略与运营目标或关键业绩指标执行不合理,严重偏离,对战略与运营目标的实现产生明显的消极作用。 |
战略与运营目标或关键业绩的执行存在较小范围的不合理,目标偏离,对战略与运营目标的实现影响轻微。
除上述定量定性指标外,另外明确了通常表明非财务报告内部控制可能存在重大缺陷的迹象:
(1)企业缺乏民主决策程序,如缺乏“三重一大”决策程序;
(2)企业决策程序不科学,如决策失误,导致并购不成功;
(3)违反国家法律、法规及公司章程;
(4)管理人员或技术人员纷纷流失;
(5)媒体负面新闻频现;
(6)内部控制评价的结果特别是重大或重要缺陷未得到整改。
(三)内部控制评价具体内容
1. 内部环境
(1)组织结构
公司根据《公司法》《证券法》《上市公司治理准则》以及中国证券监督管理委员会有关规定的要求,建立了股东大会、董事会、监事会以及在董事会领导
下的经理层,并建立了独立董事制度,聘任了三位独立董事,及成立了战略委员会、审计委员会、提名委员会、薪酬与考核委员会四个专门委员会,形成了公司法人治理机构的基本框架,并明确了股东大会和股东、董事会和董事、监事会和监事、经理层和高级管理人员在内部控制中的职责。公司制订了《公司章程》《股东大会议事规则》《董事会议事规则》《战略委员会工作细则》《审计委员会工作细则》《提名委员会工作细则》《薪酬与考核委员会工作细则》《监事会议事规则》《董事会秘书工作细则》等制度,明确了股东大会、董事会、监事会和经理层的职权范围、议事规则和决策机制。公司已按照国家法律、法规的规定以及监管部门的要求,设立了符合公司业务规模和经营管理需要的组织结构;遵循相互监督、相互制约、协调运作的原则设置部门和岗位。各职能部门之间的职责明确,有效地保证了公司内部控制制度的落实和实施。公司对组织结构继续进行了持续优化,根据战略发展目标对公司组织管理结构进行相应的调整,使之与业务相适应。
(2)发展战略
公司董事会下设立战略发展委员会,负责发展战略管理工作,对公司长期发展战略、重大投资决策进行研究并提出建议。公司收集、综合分析内、外部信息,广泛征求内、外部专家和委员会等各方面的论证意见,制定符合公司实际的发展战略。对公司拟订的重大投资融资方案、重大资本运作、资产经营项目或其他影响公司发展的重大事项进行研究并提出建议,并形成提案提交董事会审议,审议通过后,报股东大会批准实施。
(3)人力资源政策
公司建立并实施了科学的员工聘用、调配、培训、薪酬管理、考核与评价等人力资源政策;公司注重对员工素质的培养,并根据实际工作的需要,针对不同岗位展开多种形式的后续培训教育,使员工们能胜任其工作岗位。公司实行全员劳动合同制,依法与公司员工签订劳动合同,明确劳工关系;与公司核心技术人员签订保密协议,防止公司商业机密泄露;依法为员工参加社会养老保险、医疗保险、失业保险及住房公积金等,保障员工依法享受社会保障待遇;建立和完善人力资源激励和约束机制,设置科学的业绩考核指标体系,对各级管理人员和全
体员工进行考核与评价,切实做到薪酬安排与员工贡献相协调,体现效率优先,兼顾公平,将员工塑造成为职业化的优秀人才,坚持企业与员工共同成长、共同发展。
(4)企业文化
公司通过加大企业文化建设重视程度,统一愿景、使命和价值观,利用内部信息系统、宣传栏、体育活动等为员工创造更有活力的企业氛围;不定期组织员工开展培训,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神。通过树立员工的核心价值观,塑造企业形象,提高公司整体素质和综合实力,增强公司内部凝聚力,降低员工流失率和管理成本,促进公司持续、快速、健康地发展。
2. 风险评估
公司根据战略目标及发展思路,结合行业特点,建立了系统、有效的风险评估体系:根据设定的控制目标,全面系统地收集相关信息,准确识别内部风险和外部风险,及时进行风险评估,做到风险可控。同时,公司建立了突发事件应急机制,制定了应急预案,明确各类重大突发事件的监测、报告、处理的程序和时限,建立了督察制度和责任追究制度。
公司定期召开各职能部门行政例会,及时向管理层汇报当期的经营情况、销售采购等数据信息;管理层每月不定期召开会议,对公司的生产经营、研发情况、销售情况、市场环境等方面进行汇总分析;公司每年召开年度考核分析会议,对各项数据进行深入分析,总结上年的经验和教训,并制定下一年生产经营的方针、政策、目标。公司管理层努力在竞争日益激烈的市场环境下,不断进行管理创新、技术创新,最大限度地降低了风险。
3. 控制活动
公司形成了不相容职务分离控制、授权审批控制、会计系统控制等在内的一系列控制程序,并逐步完善,有效地实现了公司内部控制的目标。
(1)不相容职务分离控制
公司对各个部门、业务流程制定了一系列较为详尽的岗位职责分工制度,各项交易业务的授权审批与具体经办人员分离。
(2)授权审批控制
公司按交易金额的大小及交易性质不同,根据《公司章程》及其他各项制度规定,采取不同的交易授权。对于经常发生的销售业务、采购业务等日常正常业务的成本费用支出、合同签署等采用逐级授权审批制度;对非经常性业务交易,如对外投资、收购重组、担保、关联交易等重大事项,按不同的交易额根据公司相关审批管理权限制度的规定进行审批。
(3)会计系统控制
公司建立了独立的财务部门,会计人员接受过必要的专业培训,重要岗位人员具有专业技术证书。母、子公司的财务保持独立,母公司与子公司执行的会计政策保持一致。
公司按照《公司法》《中华人民共和国会计法》《企业会计准则》等法律法规及其补充规定的要求制定了适合公司的会计制度和财务管理制度,并明确制订了会计凭证、会计账簿和财务报告的处理程序,保证会计资料真实完整。
(4)财产保护控制
公司建立了财产日常管理制度及定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保公司财产安全。
(5)采购业务控制
公司建立了较为完善的采购业务相关流程,规范了采购计划、采购执行、验收管理、付款管理等行为,在保证日常采购业务正常开展的同时,不断提高财务业务水平。
(6)销售业务控制
公司完善了销售与收款业务内部控制,规范了订单处理、合同签订、信用政策、收发货、款项结算等具体流程,确保公司销售业务有序开展及会计核算及时、准确。
4. 信息沟通
公司建立的各项管理制度的内容已涵盖了内外部信息沟通、处理及反馈的程序,在各项制度里面规定了专门部门负责公司信息、文书的搜集及处理,保证了信息及文书得到系统和统一的管理,同时保证业务信息和重要的风险信息的安全和保密。已颁布的制度流程基本上能够保证公司及时、真实和完整的传达内外部
信息给管理层以及与外界保持联系。
为进一步加强对外信息的沟通,公司还建立了《重大信息内部报告制度》,对重大信息的范围、报告程序等都做出了详细的规定,保证公司及时、准确、全面、完整地披露信息。
5. 内部监督
公司建立了《内部审计制度》,明确了内部审计部门应依照国家法律、法规和政策以及公司的规章制度,遵循客观性、政策性和预防为主的原则,对公司及控股、参股公司的经营活动和内部控制进行独立的审计监督等职责,设立了在董事会的直接领导下的审计委员会,主要负责公司内、外部审计的沟通、监督和核查工作。
6. 主要内部控制程序
(1)筹资与投资
公司制定的《融资管理制度》《对外担保管理制度》《对外投资管理制度》,对筹资与投资循环所涉及的主要业务活动如审批权限、组织管理机构、投资的决策程序、投资的转让与收回、对外投资的人事管理、对外投资的财务管理及审计等进行了明确规定。
公司针对筹资业务所设置的具体流程控制保证公司所有的筹资活动均经过恰当的授权和审批,确保了正常的资金周转、降低资金成本、减少筹资风险。
公司针对投资业务所设置的流程控制确保公司能够建立行之有效的投资决策与运行机制,提高资金运作效率,保障公司对外投资的保值、增值。本报告期内,各环节的控制措施能被有效地执行。
(2)募集资金使用
为规范公司募集资金的管理,提高募集资金使用效率,公司根据《公司法》《证券法》《深圳证券交易所上市公司自律监管指引第2号——创业板上市公司规范运作》等有关法律法规制定了《募集资金管理制度》,对募集资金的存放、使用和监督作了详细有效的规定,实行专项审批,以保证专款专用。
(3)资产接触与记录使用控制方法
公司限制未经授权人员对财产的直接接触,采取定期盘点、财产记录、账实
核对、财产保险措施,以使各种财产安全完整。公司建立了一系列资产保管制度、会计档案保管制度,并配备了必要的设备和专职人员,从而使资产的安全、记录的完整得到了根本保证。
(4)研究开发
为加强新产品及工艺技术成果的管理,组织好技术成果的鉴定、推广、申报、奖励等,公司建立了《研发项目管理制度》《产品研发流程》《信息安全管理规范》等制度。《研发项目管理制度》对产品开发的控制及管理、进度的划分及控制、文档及代码的提交和控制、备份及保密机制等做出了规定。《产品研发流程》对产品开发的研发准备、需求分析、分析与设计、实现、系统测试、发布、维护等各阶段进行了详细的规定,把产品研发项目的诸多关键环节进行了流程化、标准化处理,建立起一套完善、实用、高效的产品研发体系,确保产品获得最终的成功。
(5)关联交易
公司建立了《关联交易管理制度》,在关联方关系、关联交易的内容、关联交易的审议程序和披露等进行了明确规定,确保了关联交易在“公平、公正、公开、等价有偿及不偏离市场独立第三方的价格或收费标准”的条件下进行,保证公司与各关联人所发生的关联交易的合法性、公允性、合理性;关联方的识别程序、关联交易发生前的审查决策程序以及关联股东回避表决制度等控制措施在本报告期内均得到有效地执行。
(6)信息披露制度
公司制定了《信息披露管理制度》《年度报告信息披露重大差错责任追究管理制度》《重大信息内部报告制度》和《内幕信息知情人登记与外部报送管理制度》等制度,明确了公司重大内部信息的报告、传递责任,明确规定了公司信息披露义务人,信息披露的内容,内幕信息未公开前相关知情人的保密责任,重大信息报送的相关程序,年度报告差错的追究制度等事项。
(7)对子公司的管理
公司依据《公司法》和《深圳证券交易所创业板股票上市规则》等有关规定制定了《子公司管理制度》,通过委派子公司的董事、监事及高级管理人员等加
强对子公司的管理。公司依据上市公司规范运作的要求对子公司的重大事项进行管理,并要求子公司第一时间报送重大事项材料。各子公司的重大经营及投资决策等,按照规定在第一时间报送本公司,并定期提交财务报告。同时公司定期或不定期实施对子公司的审计监督,充分发挥内部审计部的作用。
四、内部控制缺陷认定及整改情况
1. 财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷、重要缺陷。
2. 非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制重大缺陷、重要缺陷,但存在非财务报告内部控制一般缺陷。
公司对自查过程发现的相关问题,进行深刻的反省与认真的分析,积极查找问题的根源,并组织相关人员对证券法律法规进行学习,强化规范运作意识,继续完善内控管理制度,优化内部控制管理机制,提升内部控制管理水平,加强合规检查与考核,降低经营风险,促进公司合规、可持续发展。
五、其他内部控制相关重大事项说明
公司无其他内部控制相关重大事项说明。
蓝盾信息安全技术股份有限公司董事会
2023年4月26日