绿盟科技:2023年度内部控制自我评价报告

【摘要】绿盟科技集团股份有限公司2023年度内部控制自我评价报告根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称“企业内部控制规范体系”），结合绿盟科技集团股份有限公司（以下简称“公司”）内部控制制度和评价方法，在内部...

              绿盟科技集团股份有限公司

            2023 年度内部控制自我评价报告

  根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称“企业内部控制规范体系”），结合绿盟科技集团股份有限公司（以下简称“公司”）内部控制制度和评价方法，在内部控制日常监督和专项监督的基础上，我们对公司2023年12月31日（内部控制评价报告基准日）的内部控制有效性进行了自我评价。

    一、重要声明

  按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

  公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

    二、内部控制评价结论

  根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，公司不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

  根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。

  自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响公司
内部控制有效性评价结论的因素。

    三、内部控制评价工作情况

    （一）内部控制评价范围

  公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的单位包括：公司以及纳入合并范围的全部子公司。纳入评价范围单位的资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财务报表营业收入总额的100%。按照企业内部控制规范体系的要求，内部评价围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素，内容涵盖了公司生产经营管理的主要方面。评价过程中遵循了全面性、重要性、客观性的评价原则。重点关注的高风险领域有资金管理、资产管理、销售管理、投资活动、信息披露等模块。

  上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。

    （二）内部控制评价工作依据及内部控制缺陷认定标准

  公司依据企业内部控制规范体系，并结合公司内部控制制度组织开展内部控制评价工作。

  公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下：
  1、 财务报告内部控制缺陷认定标准

  （1）定性标准：
评价等级  定性标准
重大缺陷  ① 公司董事、监事和高级管理人员的舞弊行为；

          ② 公司更正已公布的财务报告；

          ③ 注册会计师发现的却未被公司内部控制识别的当期财务报告中

评价等级  定性标准

          的重大错报；

          ④ 审计委员会和审计部门对财务报告内部控制的监督无效。

重要缺陷  ① 未依照公认会计准则选择和应用会计政策；

          ② 未建立反舞弊程序和控制措施；

          ③ 对于非常规或特殊交易的账务处理没有建立相应的控制机制或
          没有实施且没有相应的补偿性控制；

          ④ 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理
          保证编制的财务报表达到真实、完整的目标。

一般缺陷  除上述重大缺陷、重要缺陷之外的其他控制缺陷。

  （2）定量标准：

  定量标准以合并财务报表的营业收入、资产总额作为衡量指标。内部控制缺陷可能导致或导致的损失或错报与利润表相关的，以营业收入指标衡量，与资产管理等相关的，以资产总额指标衡量，在同时适用时，指标应用采取孰低原则。控制缺陷单独或连同其他缺陷一起可能导致或导致的损失或财务报告错报金额与缺陷评价等级的关系如下：
评价等级  定量标准
重大缺陷  ① 损失或错报≥营业收入的5%；或，

          ② 损失或错报≥资产总额的5%

重要缺陷  ① 营业收入的5%＞损失或错报≥营业收入的3%；或，

          ② 资产总额的5%＞损失或错报≥资产总额的3%

一般缺陷  ① 营业收入的3%＞损失或错报；或，

          ② 资产总额的3%＞损失或错报

  2、 非财务报告内部控制缺陷认定标准

  （1）定性标准：

  公司非财务报告内部控制缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判定。

评价等级  定性标准

          缺陷发生的可能性大，会严重降低工作效率或效果，或严重加大效
重大缺陷

          果的不确定性，或使之严重偏离战略目标。

          缺陷发生的可能性较大，会显著降低工作效率或效果，或显著加大
重要缺陷

          效果的不确定性，或使之显著偏离战略目标。

          缺陷发生的可能性较小，会降低工作效率或效果，或加大效果的不
一般缺陷

          确定性，或使之偏离战略目标。

  （2）定量标准：

  公司非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的定量标准执行。

    （三）内部控制评价具体工作情况

  1、内部控制环境

  （1）公司治理

  公司按照《公司法》及有关法规的要求建立了股东大会、董事会、监事会以及在董事会领导下的管理层这一决策和管理体系，并建立健全了独立董事制度。按照《上市公司治理准则》和《上市公司独立董事规则》等要求，公司建立了以《公司章程》为基础，以股东大会、董事会、监事会“三会”议事规则等为主要架构的规章体系，并根据相关规定对董事会领导下的各层级组织进行了明确的授权，使各方在议事规则和授权范围内有序开展工作。公司治理的实际状况符合中国证监会发布的有关上市公司治理的规范文件要求。

  （2）发展战略

  公司长期以来坚持明确的发展战略：在全球范围内，提供基于自身核心竞争力的企业级网络安全解决方案，成为最受客户信赖的网络安全公司。该发展战略密切围绕公司主业，并考虑了公司的实际能力。公司设立了集团战略管理委员会，定期组织战略规划研讨，对战略的健康性和执行情况进行审视。公司始终严谨科学地进行业务规划和预算编制，将战略落实为长期和短期的工作计划予以实施。

  （3）企业文化

  公司经历二十多年的发展，凝聚了一批具有同样价值观的同伴，在“专攻术业，成就所托”的愿景鼓舞下，在专业领域不断精进。公司的核心价值观强调责任感，即要忠于职守、尽心尽责，同时强调专业精神、创新精神、团队精神和共同发展。公司建立有《员工手册》《廉洁从业管理制度》等，对每个新员工进行培训，内容涵盖公司价值观、文化、廉洁等各方面，并签署《遵纪守法&廉洁自律承诺书》。公司建立有绿盟科技大学，每年组织多种多样培训，不断向员工传递公司文化和价值观。

  （4）人力资源

  公司高度重视各岗位所需的核心技能、知识、绩效、经验和成果的设定的合理性，于2021年确立了公司任职资格等级框架及按照不同序列的各等级的任职资格标准，完成了全员的任职资格评定及人岗匹配工作，以使任职人员具有相应的胜任能力，以确保各岗位人员不会因专业胜任能力不足而发生失误和差错。公司通过绿盟科技大学、网络安全学院等培训平台，针对不同岗位所需的专业技能、管理技能等展开多种形式的培训、大比武等活动，促使员工们不断进步。

  为了适应公司的发展，不断增加公司的市场竞争力，公司每年制定人才引进目标，通过完善的聘用政策，2023年为公司关键岗位引进了专业人才。同时，为了吸引和留住优秀人才，公司不断优化激励机制，短期激励和长期激励相结合，并不断优化业绩考核指标体系，充分调动员工积极性，公平公正选拔干部，为公司经营目标实现提供合格人员保证。

  （5）信息系统

  公司 IT 管理中心统一负责公司信息系统的规划、建设和维护。先后建立了《IT规划与需求管理》《IT 项目管理》《IT 开发管理》《系统运维管理》《数据与权限管理》等制度，并严格依照执行。另外公司设有独立于 IT 管理中心的信息安全管理部，系统上线前均要经过该部门检查测试。通过这些方式合理保障了公司信息系统的开发质量、安全性和持续正常运转。公司始终在不断优化各种业务系统，使从客户需求出发再回到客户的各主要业务环节实现线上联动和勾稽，使业务信息传递更快捷、更准确，更利于管理和监督。


  2、风险评估

    为实现公司运营目标，并使公司持续、健康发展，公司从上到下提倡拥有足够的风险评估意识，及时做好风险识别和防控。公司各级组织根据所要实现的目标，通过定期会议、逐级定期汇报等形式，系统地收集相关信息，结合所处的行业特点、自身的业务特点和发展阶段，对可能出现的经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续有效地识别、计量和评估。公司各级组织和管理人员根据对风险的分析和排序，确定重点和优先控制的风险，并结合公司风险承受度，权衡风险与收益，确定采用的风险应对策略，并落实在工作中，实现对风险的有效管理。

    公司的内部控制系统建设是以各目标项下的风险管理为导向的，将对风险的合理管控融入到具体的流程、政策和系统设计思路中。公司设有专门的流程管理部，通过对流程的不断优化来减少或避免各种运营风险。同时，公司通过多种方式收集与风险变化相关的信息，及时调整风险应对策略。

  3、控制活动

  （1）不相容职责分离

  公司在岗位设置、职责分工、流程设计等方面考虑了不相容职责相分离的控制原则，实现了实物管理与记账、采购计划与采购执行、合作伙伴认证与合作伙伴选择、具体操作与审核等不相容职责的分离。

  （2）授权审批控制

  公司梳理了各业务循环中需要的授权审批控制点，以制度或流程的形式明确了各种情况下的授权审批权限及审批程序，并在公司的信息共享平台上及时发布、更新这些制度或流程，同时设置于系统，实现在系统上执行和控制。随风险等级升高，提升审批权限级别，并根据业务涉及的领域和复杂程度引入跨部门联合审批。此外，公司层面设置了总裁办公会及各种专业委员会，如采购委员会、定价委员会、投资委员会等，重大事项要提交相关的委员会按议事规则决策。

  （3）对资金的控制

  公司制定了《资金管理办法》，该办法覆盖公司所有的资金活动，明确规定
了各种资金活动的控制要求。该办法覆盖的资金领域包括：资金计划管理、资金支付审批权限及支付程序、资金管理岗位控制、现金的管理、票据的管理、银行存款的管理、其他货币资金的管理、银行印鉴的管理、资金的调拨、对外借款、对外投资、融资及担保的管理等。资金收支及票据保管人员和记账人员及稽核人员做到了严格岗位分离，并且定期的检查、稽核工作在持续有效进行。

  在使用自有资金购买理财产品方面，公司有书面的管理规定，就购买的上限、品种、其他控制措施等均有清晰描述。该规定经董事会、独立董事和监事会等审核批准后，予以严格执行。

  （4）对资产的管理

  公司生产部门制定并严格执行《库存管理程序》《生产部发货管理规范》《生产部防静电管理规定》