蓝盾股份:内部控制鉴证报告2019-04-29
蓝盾信息安全技术股份有限公司
内部控制鉴证报告
大华核字[2019]002970 号
大 华 会 计 师 事 务 所 (特 殊 普 通 合 伙 )
Da Hua Certified Public Accountants(Special General Partnership)
� 蓝盾信息安全技术股份有限公司
内部控制鉴证报告
(截止 2018 年 12 月 31 日)
目 录 页 次
一、 内部控制鉴证报告 1-2
二、 蓝盾信息安全技术股份有限公司内部控制自 1-9
我评价报告
� 内 部 控 制 鉴 证 报 告
大华核字[2019]002970 号
蓝盾信息安全技术股份有限公司全体股东:
我们接受委托,鉴证了后附的蓝盾信息安全技术股份有限公司
(以下简称蓝盾股份)管理层编制的《内部控制自我评价报告》涉及
的 2018 年 12 月 31 日与财务报表相关的内部控制有效性的认定。
一、管理层的责任
蓝盾股份管理层的责任是按照《企业内部控制基本规范》和相关
规定建立健全内部控制并保持其有效性,以及确保《内部控制自我评
价报告》真实、完整地反映蓝盾股份 2018 年 12 月 31 日与财务报表相
关的内部控制。
二、注册会计师的责任
我们的责任是对蓝盾股份截止 2018 年 12 月 31 日与财务报表相关
的内部控制的有效性发表鉴证意见。我们按照《中国注册会计师其他
鉴证业务准则第 3101 号—历史财务信息审计或审阅以外的鉴证业务》
的规定执行了鉴证业务。该准则要求我们计划和执行鉴证工作,以对
蓝盾股份在所有重大方面是否保持了与财务报表相关的有效的内部
控制获取合理保证。在鉴证过程中,我们实施了包括了解、测试和评
价与财务报表相关的内部控制制度设计的完整性、合理性和执行的有
效性,以及我们认为必要的其他程序。我们相信,我们的鉴证工作为
第1页
� 大华核字[2019]002970 号内部控制鉴证报告
发表意见提供了合理的基础。
三、内部控制的固有局限性
内部控制具有固有限制,存在由于错误或舞弊而导致错报发生和
未被发现的可能性。此外,由于情况的变化可能导致内部控制变得不
恰当,或降低对控制政策、程序的遵循程度,根据内部控制评价结果
推测未来内部控制有效性具有一定的风险。
四、鉴证意见
我们认为,蓝盾股份按照《企业内部控制基本规范》和相关规定
于 2018 年 12 月 31 日在所有重大方面保持了与财务报表相关的有效的
内部控制。
五、对报告使用者和使用目的的限定
本报告仅供蓝盾股份披露年度报告时使用,不得用作任何其他目
的。由于使用不当所造成的后果,与执行本业务的注册会计师和会计
师事务所无关。我们同意本报告作为蓝盾股份 2018 年度报告的必备
文件,随同其他材料一起报送并对外披露。
大华会计师事务所(特殊普通合伙) 中国注册会计师:张晓辉
中国北京 中国注册会计师:熊玲
有
二〇一九年四月二十五日
第2页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日内部控制自我评价报告
蓝盾信息安全技术股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简
称企业内部控制规范体系),结合蓝盾信息安全技术股份有限公司(以下简称“公司”)内部
控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司 2018 年 12 月
31 日的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并
如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行
监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、
高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容
的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真
实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅
能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或
对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有
一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,公司不
存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规
定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未
发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间公司未发生影响内部控制
有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳
入评价范围的主要单位包括公司及下属七家子公司,七家子公司具体为:蓝盾信息安全技术
内部控制自我评价报告 第 1 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
有限公司、广东蓝盾乐庚信息技术有限公司、成都蓝盾网信科技有限公司、西咸新区蓝盾信
息安全技术有限公司、广州华炜科技有限公司、中经汇通电子商务有限公司、深圳市蓝盾满
泰科技发展有限公司,纳入评价范围单位资产总额占公司合并财务报表资产总额的 97.82%,
营业收入合计占公司合并财务报表营业收入总额的 97.16%。
纳入评价范围的主要业务和事项包括:组织架构、人力资源、企业文化、资金活动、采
购业务、资产管理、销售业务、研究与开发、担保业务、财务报告等多项流程和事项。 重
点关注的高风险领域主要包括:财务管理、募集资金管理 。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方
面,不存在重大遗漏。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及《中华人民共和国公司法》(以下简称“《公司法》”)、
《中华人民共和国证券法》(以下简称“《证券法》”)及《深圳证券交易所创业板上市公司规
范运作指引(2015 年修订)》等法律法规的要求组织开展内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,
结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务
报告内部控制,研究确定了适用于公司的内部控制缺陷具体认定标准,并与以前年度保持一
致。公司确定的内部控制缺陷认定标准如下:
1.财务报告内部控制缺陷认定标准
财务报告内部控制缺陷的认定标准:财务报告内部控制缺陷主要是指不能合理保证财务
报告可靠性的内部控制设计和运行缺陷。财务报告内部控制缺陷重要程度主要取决于定量和
定性两个方面的因素,具体如下:
类别 重大缺陷 重要缺陷 一般缺陷
利润总额潜 合并会计报表利润总额的
错报≥合并会计报表 错报<合并会计报
在错报的金 3%≤错报<合并会计报表利
利润总额的 5% 表利润总额的 3%
额 润总额的 5%
资产总额潜 合并会计报表资产总额的
错报≥合并会计报表 错报<合并会计报
在错报的金 0.5%≤错报<合并会计报表资
定量指标 资产总额的 1% 表资产总额的 0.5%
额 产总额的 1%
合并会计报表主营业务收入
经营收入潜 错报≥合并会计报表 错报<合并会计报
或营业收入的 1%≤错报<合
在错报的金 主营业务收入或营业 表主营业务收入或
并会计报表主营业务收入或
额 收入的 2% 营业收入的 1%
营业收入的 2%
内部控制自我评价报告 第 2 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
类别 重大缺陷 重要缺陷 一般缺陷
严重违反法律、法规、
违反法律、法规、规
规章、政府政策、其
违反法律、法规、规章、政府 章政府政策、其他规
他规范性文件等,导
政策、其他规范性文件等,导 范性文件等,导致地
法律法规 致中央政府或监管机
致地方政府或监管机构的调 方政府或监管机构
构的调查,并被限令
查,并责令停业整顿等。 的调查,并被处以罚
行业退出、吊销营业
款或罚金。
定性指标 执照、强制关闭等。
战略与运营目标或关 战略与运营目标或
键业绩指标的执行不 战略与运营目标或关键业绩 关键业绩的执行存
战略与运营 合理,严重偏离且存 指标执行不合理,严重偏离, 在较小范围的不合
目标 在方向性错误,对战 对战略与运营目标的实现产 理,目标偏离,对战
略与运营目标的实现 生明显的消极作用。 略与运营目标的实
产生严重负面作用。 现影响轻微。
除上述定量定性指标外,另外明确了通常表明财务报告内部控制可能存在重大缺陷的迹
象:
(1)董事、监事和高级管理人员舞弊;
(2)企业更正已公布的财务报告;
(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现
该错报;
(4)企业审计委员会和内部审计机构对内部控制的监督无效。
2.非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷主要是指不能合理保证公司财务报告可靠性目标之外的其他
目标,如企业战略、合规、运营、资产安全等目标实现的内部控制设计和运行缺陷。非财务
报告内部控制缺陷重要程度主要取决于定量和定性两个方面的因素,具体如下:
类别 重大缺陷 重要缺陷 一般缺陷
合并会计报表利润总额
利润总额潜在 错报≥合并会计报表利润 错报<合并会计报
的 5%≤错报<合并会计
错报的金额 总额的 8% 表利润总额的 5%
报表利润总额的 8%
定量指标
合并会计报表资产总额
资产总额潜在 错报≥合并会计报表资产 错报<合并会计报
的 1%≤错报<合并会计
错报的金额 总额的 1.5% 表资产总额的 1%
报表资产总额的 1.5%
内部控制自我评价报告 第 3 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
类别 重大缺陷 重要缺陷 一般缺陷
合并会计报表主营业
错报≥合并会计报表主营 务收入或营业收入的 错报<合并会计报
经营收入潜在
业务收入或营业收入的 1%≤错报<合并会计 表主营业务收入或
错报的金额
2% 报表主营业务收入或营 营业收入的 1%
业收入的 2%
严重违反法律、法规、规 违反法律、法规、规
违反法律、法规、规章、
章、政府政策、其他规范 章政府政策、其他规
政府政策、其他规范性
性文件等,导致中央政府 范性文件等,导致地
法律法规 文件等,导致地方政府
或监管机构的调查,并被 方政府或监管机构
或监管机构的调查,并
限令行业退出、吊销营业 的调查,并被处以罚
责令停业整顿等。
执照、强制关闭等。 款或罚金。
定性指标
战略与运营目标或关键 战略与运营目标或
战略与运营目标或关
业绩指标的执行不合理, 关键业绩的执行存
键业绩指标执行不合
战略与运营目 严重偏离且存在方向性 在较小范围的不合
理,严重偏离,对战略
标 错误,对战略与运营目标 理,目标偏离,对战
与运营目标的实现产生
的实现产生严重负面作 略与运营目标的实
明显的消极作用。
用。 现影响轻微。
除上述定量定性指标外,另外明确了通常表明非财务报告内部控制可能存在重大缺陷的
迹象:
1)企业缺乏民主决策程序,如缺乏“三重一大”决策程序;
2)企业决策程序不科学,如决策失误,导致并购不成功;
3)违反国家法律、法规及公司章程;
4)管理人员或技术人员纷纷流失;
5)媒体负面新闻频现;
6)内部控制评价的结果特别是重大或重要缺陷未得到整改;
7)信息披露内部控制失效,导致公司被监管部门公开警示、谴责或处罚。
(三)内部控制评价具体内容
1.内部环境
1)组织结构
公司根据《公司法》、《证券法》、《上市公司治理准则》以及中国证券监督管理委员会有
关规定的要求,建立了股东大会、董事会、监事会以及在董事会领导下的经理层,并建立了
独立董事制度,聘任了三位独立董事,及成立了战略委员会、审计委员会、提名委员会、薪
酬与考核委员会四个专门委员会,形成了公司法人治理机构的基本框架,并明确了股东大会
内部控制自我评价报告 第 4 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
和股东、董事会和董事、监事会和监事、经理层和高级管理人员在内部控制中的职责。
公司制订了《公司章程》、《股东大会议事规则》、《董事会议事规则》、《战略委员会工作
细则》、《审计委员会工作细则》、《提名委员会工作细则》、《薪酬与考核委员会工作细则》、
《监事会议事规则》、《董事会秘书工作细则》等制度,明确了股东大会、董事会、监事会和
经理层的职权范围、议事规则和决策机制。
公司已按照国家法律、法规的规定以及监管部门的要求,设立了符合公司业务规模和经
营管理需要的组织结构;遵循相互监督、相互制约、协调运作的原则设置部门和岗位。各职
能部门之间的职责明确,有效地保证了公司内部控制制度的落实和实施。公司对组织结构继
续进行了持续优化,根据战略发展目标对公司组织管理结构进行相应的调整,使之与业务相
适应。
2)发展战略
公司董事会下设立战略发展委员会,负责发展战略管理工作,对公司长期发展战略、重
大投资决策进行研究并提出建议。公司收集、综合分析内、外部信息,广泛征求内、外部专
家和委员会等各方面的论证意见,制定符合公司实际的发展战略。对公司拟订的重大投资融
资方案、重大资本运作、资产经营项目或其他影响公司发展的重大事项进行研究并提出建议,
并形成提案提交董事会审议,审议通过后,报股东大会批准实施。
3)人力资源政策
公司建立并实施了科学的员工聘用、调配、培训、薪酬管理、考核与评价等人力资源政
策;公司注重对员工素质的培养,并根据实际工作的需要,针对不同岗位展开多种形式的后
续培训教育,使员工们能胜任其工作岗位。公司实行全员劳动合同制,依法与公司员工签订
劳动合同,明确劳工关系;与公司核心技术人员签订保密协议,防止公司商业机密泄露;依
法为员工参加社会养老保险、医疗保险、失业保险及住房公积金等,保障员工依法享受社会
保障待遇;建立和完善人力资源激励和约束机制,设置科学的业绩考核指标体系,对各级管
理人员和全体员工进行考核与评价,切实做到薪酬安排与员工贡献相协调,体现效率优先,
兼顾公平,将员工塑造成为职业化的优秀人才,坚持企业与员工共同成长、共同发展。
4)企业文化
公司通过加大企业文化建设重视程度,统一愿景、使命和价值观,利用内部信息系统、
宣传栏、体育活动等为员工创造更有活力的企业氛围;不定期组织员工开展培训,倡导诚实
守信、爱岗敬业、开拓创新和团队协作精神。通过树立员工的核心价值观,塑造企业形象,
提高公司整体素质和综合实力,增强公司内部凝聚力,降低员工流失率和管理成本,促进公
司持续、快速、健康地发展。
2.风险评估
内部控制自我评价报告 第 5 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
公司根据战略目标及发展思路,结合行业特点,建立了系统、有效的风险评估体系:根
据设定的控制目标,全面系统地收集相关信息,准确识别内部风险和外部风险,及时进行风
险评估,做到风险可控。同时,公司建立了突发事件应急机制,制定了应急预案,明确各类
重大突发事件的监测、报告、处理的程序和时限,建立了督察制度和责任追究制度。
公司定期召开各职能部门行政例会,及时向管理层汇报当期的经营情况、销售采购等数
据信息;管理层每月不定期召开会议,对公司的生产经营、研发情况、销售情况、市场环境
等方面进行汇总分析;公司每年召开年度考核分析会议,对各项数据进行深入分析,总结上
年的经验和教训,并制定下一年生产经营的方针、政策、目标。公司管理层努力在竞争日益
激烈的市场环境下,不断进行管理创新、技术创新,最大限度地降低了风险。
3.控制活动
公司形成了不相容职务分离控制、授权审批控制、会计系统控制等在内的一系列控制程
序,并逐步完善,有效地实现了公司内部控制的目标。
1)不相容职务分离控制
公司对各个部门、业务流程制定了一系列较为详尽的岗位职责分工制度,各项交易业务
的授权审批与具体经办人员分离。
2)授权审批控制
公司按交易金额的大小及交易性质不同,根据《公司章程》及其他各项制度规定,采取
不同的交易授权。对于经常发生的销售业务、采购业务等日常正常业务的成本费用支出、合
同签署等采用逐级授权审批制度;对非经常性业务交易,如对外投资、收购重组、担保、关
联交易等重大事项,按不同的交易额根据公司相关审批管理权限制度的规定进行审批。
3)会计系统控制
公司建立了独立的财务部门,会计人员接受过必要的专业培训,重要岗位人员具有专业
技术证书。母、子公司的财务保持独立,子公司与母公司执行的会计政策保持一致。
公司按照《公司法》、《中华人民共和国会计法》、《企业会计准则》等法律法规及其补充
规定的要求制定了适合公司的会计制度和财务管理制度,并明确制订了会计凭证、会计账簿
和财务报告的处理程序,保证会计资料真实完整。
4)财产保护控制
公司建立了财产日常管理制度及定期清查制度,采取财产记录、实物保管、定期盘点、
账实核对等措施,确保公司财产安全。
5)采购业务控制
公司建立了较为完善的采购业务相关流程,规范了采购计划、采购执行、验收管理、付
款管理等行为,在保证日常采购业务正常开展的同时,不断提高财务业务水平。
内部控制自我评价报告 第 6 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
6)销售业务控制
公司完善了销售与收款业务内部控制,规范了订单处理、合同签订、信用政策、收发货、
款项结算等具体流程,确保公司销售业务有序开展及会计核算及时、准确。
4.信息沟通
公司建立的各项管理制度的内容已涵盖了内外部信息沟通、处理及反馈的程序,在各项
制度里面规定了专门部门负责公司信息、文书的搜集及处理,保证了信息及文书得到系统和
统一的管理,同时保证业务信息和重要的风险信息的安全和保密。已颁布的制度流程基本上
能够保证公司及时、真实和完整的传达内外部信息给管理层以及与外界保持联系。
为进一步加强对外信息的沟通,公司还建立了《重大信息内部报告制度》,对重大信息
的范围、报告程序等都做出了详细的规定,保证公司及时、准确、全面、完整地披露信息。
5.内部监督
公司建立了《内部审计制度》,明确了内部审计部门应依照国家法律、法规和政策以及
公司的规章制度,遵循客观性、政策性和预防为主的原则,对公司及控股、参股公司的经营
活动和内部控制进行独立的审计监督等职责,设立了在董事会的直接领导下的审计委员会,
主要负责公司内、外部审计的沟通、监督和核查工作。
6.主要内部控制程序
1)筹资与投资
公司制定的《融资管理制度》、《对外担保管理制度》、《对外投资管理制度》,对筹资与
投资循环所涉及的主要业务活动如审批权限、组织管理机构、投资的决策程序、投资的转让
与收回、对外投资的人事管理、对外投资的财务管理及审计等进行了明确规定。
公司针对筹资业务所设置的具体流程控制保证公司所有的筹资活动均经过恰当的授权
和审批,确保了正常的资金周转、降低资金成本、减少筹资风险。
公司针对投资业务所设置的流程控制确保公司能够建立行之有效的投资决策与运行机
制,提高资金运作效率,保障公司对外投资的保值、增值。本报告期内,各环节的控制措施
能被有效地执行。
2)募集资金使用
为规范公司募集资金的管理,提高募集资金使用效率,公司根据《公司法》、《证券法》、
《首次公开发行股票并在创业板上市管理办法》、《创业板上市公司证券发行管理暂行办法》
及深圳证券交易所的有关规定制定了《募集资金管理制度》,对募集资金的存放、使用和监
督作了详细有效的规定,实行专项审批,以保证专款专用。
3)资产接触与记录使用控制方法
公司限制未经授权人员对财产的直接接触,采取定期盘点、财产记录、账实核对、财产
内部控制自我评价报告 第 7 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
保险措施,以使各种财产安全完整。公司建立了一系列资产保管制度、会计档案保管制度,
并配备了必要的设备和专职人员,从而使资产的安全、记录的完整得到了根本保证。
4)研究开发
为加强新产品及工艺技术成果的管理,组织好技术成果的鉴定、推广、申报、奖励等,
公司建立了《研发项目管理制度》、《产品研发流程》、《信息安全管理规范》等制度。《研发
项目管理制度》对产品开发的控制及管理、进度的划分及控制、文档及代码的提交和控制、
备份及保密机制等做出了规定。《产品研发流程》对产品开发的研发准备、需求分析、分析
与设计、实现、系统测试、发布、维护等各阶段进行了详细的规定,把产品研发项目的诸多
关键环节进行了流程化、标准化处理,建立起一套完善、实用、高效的产品研发体系,确保
产品获得最终的成功。
5)关联交易
公司建立了《关联交易管理制度》,在关联方关系、关联交易的内容、关联交易的审议
程序和披露等进行了明确规定,确保了关联交易在“公平、公正、公开、等价有偿及不偏离
市场独立第三方的价格或收费标准”的条件下进行,保证公司与各关联人所发生的关联交易
的合法性、公允性、合理性;关联方的识别程序、关联交易发生前的审查决策程序以及关联
股东回避表决制度等控制措施在本报告期内均得到有效地执行。
6)信息披露制度
公司制定了《信息披露管理制度》、《年度报告信息披露重大差错责任追究管理制度》、
《重大信息内部报告制度》和《内幕信息知情人登记与外部报送管理制度》等制度,明确了
公司重大内部信息的报告、传递责任,明确规定了公司信息披露义务人,信息披露的内容,
内幕信息未公开前相关知情人的保密责任,重大信息报送的相关程序,年度报告差错的追究
制度等事项。
7)对子公司的管理
公司依据《公司法》和《深圳证券交易所创业板股票上市规则》等有关规定制定了《子
公司管理制度》,通过委派子公司的董事、监事及高级管理人员等加强对子公司的管理。公
司依据上市公司规范运作的要求对子公司的重大事项进行管理,并要求子公司第一时间报送
重大事项材料。各子公司的重大经营及投资决策等,按照规定在第一时间报送本公司,并定
期提交财务报告。同时公司定期或不定期实施对子公司的审计监督,充分发挥内部审计部的
作用。
四、内部控制缺陷认定及整改情况
(一)财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重
内部控制自我评价报告 第 8 页
�蓝盾信息安全技术股份有限公司
截止 2018 年 12 月 31 日
内部控制自我评价报告
大缺陷和重要缺陷。
(二)非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控
制重大缺陷、重要缺陷。
蓝盾信息安全技术股份有限公司
董 事 会
二〇一九年四月二十五日
内部控制自我评价报告 第 9 页
�
