蓝盾股份:2020年年度内部控制自我评价报告2021-04-30
蓝盾信息安全技术股份有限公司
2020 年年度内部控制自我评价报告
蓝盾信息安全技术股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要
求(以下简称“企业内部控制规范体系”),结合蓝盾信息安全技术股份有限公
司(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监督和专项
监督的基础上,我们对公司截至 2020 年 12 月 31 日的内部控制的有效性进行了
评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其
有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建
立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公
司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假
记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个
别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及
相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存
在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化
可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部
控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准
日,公司不存在财务报告内部控制重大缺陷。董事会认为,公司已按照企业内部
控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控
制。
1
� 根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准
日,公司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内
部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价范围
公司纳入评价范围的主要业务和事项包括:组织架构、人力资源、企业文化、
资金活动、采购业务、资产管理、销售业务、研究与开发、担保业务、财务报告
等多项流程和事项。重点关注的高风险领域主要包括:财务管理、募集资金管理。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系及公司相关制度组织开展内部控制评价工
作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的
认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务
报告内部控制和非财务报告内部控制,研究确定了适用于公司的内部控制缺陷具
体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
财务报告内部控制缺陷的认定标准:财务报告内部控制缺陷主要是指不能合
理保证财务报告可靠性的内部控制设计和运行缺陷。财务报告内部控制缺陷重要
程度主要取决于定量和定性两个方面的因素,具体如下:
类别 重大缺陷 重要缺陷 一般缺陷
利润总额潜 合并会计报表利润总额
错报≥合并会计报表 错报<合并会计报表利
在错报的金 的 3%≤错报<合并会计
利润总额的 5% 润总额的 3%
额 报表利润总额的 5%
定量指标
资产总额潜 合并会计报表资产总额
错报≥合并会计报表 错报<合并会计报表资
在错报的金 的 0.5%≤错报<合并会
资产总额的 1% 产总额的 0.5%
额 计报表资产总额的 1%
2
� 类别 重大缺陷 重要缺陷 一般缺陷
合并会计报表主营业务
经营收入潜 错报≥合并会计报表 收入或营业收入的 1%≤ 错报<合并会计报表主
在错报的金 主营业务收入或营业 错报<合并会计报表主 营业务收入或营业收入
额 收入的 2% 营业务收入或营业收入 的 1%
的 2%
严重违反法律、法规、
规章、政府政策、其 违反法律、法规、规章、 违反法律、法规、规章政
他规范性文件等,导 政府政策、其他规范性文 府政策、其他规范性文件
法律法规 致中央政府或监管机 件等,导致地方政府或监 等,导致地方政府或监管
构的调查,并被限令 管机构的调查,并责令停 机构的调查,并被处以罚
行业退出、吊销营业 业整顿等。 款或罚金。
定性指标 执照、强制关闭等。
战略与运营目标或关
战略与运营目标或关键 战略与运营目标或关键
键业绩指标的执行不
业绩指标执行不合理,严 业绩的执行存在较小范
战略与运营 合理,严重偏离且存
重偏离,对战略与运营目 围的不合理,目标偏离,
目标 在方向性错误,对战
标的实现产生明显的消 对战略与运营目标的实
略与运营目标的实现
极作用。 现影响轻微。
产生严重负面作用。
除上述定量定性指标外,另外明确了通常表明财务报告内部控制可能存在重
大缺陷的迹象:
(1)董事、监事和高级管理人员舞弊;
(2)企业更正已公布的财务报告;
(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程
中未能发现该错报;
(4)企业审计委员会和内部审计机构对内部控制的监督无效。
2、非财务报告内部控制缺陷认定标准
非财务报告内部控制缺陷主要是指不能合理保证公司财务报告可靠性目标
之外的其他目标,如企业战略、合规、运营、资产安全等目标实现的内部控制设
计和运行缺陷。非财务报告内部控制缺陷重要程度主要取决于定量和定性两个方
面的因素,具体如下:
类别 重大缺陷 重要缺陷 一般缺陷
3
� 类别 重大缺陷 重要缺陷 一般缺陷
合并会计报表利润总额
利润总额潜在 错报≥合并会计报表利润 错报<合并 会计报
的 5%≤错报<合并会计
错报的金额 总额的 8% 表利润总额的 5%
报表利润总额的 8%
合并会计报表资产总额
资产总额潜在 错报≥合并会计报表资产 错报<合并 会计报
的 1%≤错报<合并会计
错报的金额 总额的 1.5% 表资产总额的 1%
定量指标 报表资产总额的 1.5%
合并会计报表主营业务
错报≥合并会计报表主营 收入或营业收入的 2%≤ 错报<合并 会计报
经营收入潜在
业务收入或营业收入的 错报<合并会计报表主 表主营业务 收入或
错报的金额
3% 营业务收入或营业收入 营业收入的 2%
的 3%
严重违反法律、法规、规 违反法律、法规、规
违反法律、法规、规章、
章、政府政策、其他规范 章政府政策、其他规
政府政策、其他规范性
性文件等,导致中央政府 范性文件等,导致地
法律法规 文件等,导致地方政府
或监管机构的调查,并被 方政府或监 管机构
或监管机构的调查,并
限令行业退出、吊销营业 的调查,并被处以罚
责令停业整顿等。
执照、强制关闭等。 款或罚金。
定性指标
战略与运营目标或关键 战略与运营 目标或
战略与运营目标或关键
业绩指标的执行不合理, 关键业绩的 执行存
业绩指标执行不合理,
战略与运营目 严重偏离且存在方向性 在较小范围 的不合
严重偏离,对战略与运
标 错误,对战略与运营目标 理,目标偏离,对战
营目标的实现产生明显
的实现产生严重负面作 略与运营目 标的实
的消极作用。
用。 现影响轻微。
除上述定量定性指标外,另外明确了通常表明非财务报告内部控制可能存在
重大缺陷的迹象:
(1)企业缺乏民主决策程序,如缺乏“三重一大”决策程序;
(2)企业决策程序不科学,如决策失误,导致并购不成功;
(3)违反国家法律、法规及公司章程;
(4)管理人员或技术人员纷纷流失;
(5)媒体负面新闻频现;
(6)内部控制评价的结果特别是重大或重要缺陷未得到整改;
(三)内部控制评价具体内容
1、内部环境
4
� (1)组织结构
公司根据《公司法》、《证券法》、《上市公司治理准则》以及中国证券监
督管理委员会有关规定的要求,建立了股东大会、董事会、监事会以及在董事会
领导下的经理层,并建立了独立董事制度,聘任了三位独立董事,及成立了战略
委员会、审计委员会、提名委员会、薪酬与考核委员会四个专门委员会,形成了
公司法人治理机构的基本框架,并明确了股东大会和股东、董事会和董事、监事
会和监事、经理层和高级管理人员在内部控制中的职责。
公司制订了《公司章程》、《股东大会议事规则》、《董事会议事规则》、
《战略委员会工作细则》、《审计委员会工作细则》、《提名委员会工作细则》、
《薪酬与考核委员会工作细则》、《监事会议事规则》、《董事会秘书工作细则》
等制度,明确了股东大会、董事会、监事会和经理层的职权范围、议事规则和决
策机制。
公司已按照国家法律、法规的规定以及监管部门的要求,设立了符合公司业
务规模和经营管理需要的组织结构;遵循相互监督、相互制约、协调运作的原则
设置部门和岗位。各职能部门之间的职责明确,有效地保证了公司内部控制制度
的落实和实施。公司对组织结构继续进行了持续优化,根据战略发展目标对公司
组织管理结构进行相应的调整,使之与业务相适应。
(2)发展战略
公司董事会下设立战略发展委员会,负责发展战略管理工作,对公司长期发
展战略、重大投资决策进行研究并提出建议。公司收集、综合分析内、外部信息,
广泛征求内、外部专家和委员会等各方面的论证意见,制定符合公司实际的发展
战略。对公司拟订的重大投资融资方案、重大资本运作、资产经营项目或其他影
响公司发展的重大事项进行研究并提出建议,并形成提案提交董事会审议,审议
通过后,报股东大会批准实施。
(3)人力资源政策
公司建立并实施了科学的员工聘用、调配、培训、薪酬管理、考核与评价等
人力资源政策;公司注重对员工素质的培养,并根据实际工作的需要,针对不同
岗位展开多种形式的后续培训教育,使员工们能胜任其工作岗位。公司实行全员
5
�劳动合同制,依法与公司员工签订劳动合同,明确劳工关系;与公司核心技术人
员签订保密协议,防止公司商业机密泄露;依法为员工参加社会养老保险、医疗
保险、失业保险及住房公积金等,保障员工依法享受社会保障待遇;建立和完善
人力资源激励和约束机制,设置科学的业绩考核指标体系,对各级管理人员和全
体员工进行考核与评价,切实做到薪酬安排与员工贡献相协调,体现效率优先,
兼顾公平,将员工塑造成为职业化的优秀人才,坚持企业与员工共同成长、共同
发展。
(4)企业文化
公司通过加大企业文化建设重视程度,统一愿景、使命和价值观,利用内部
信息系统、宣传栏、体育活动等为员工创造更有活力的企业氛围;不定期组织员
工开展培训,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神。通过树立员
工的核心价值观,塑造企业形象,提高公司整体素质和综合实力,增强公司内部
凝聚力,降低员工流失率和管理成本,促进公司持续、快速、健康地发展。
2、风险评估
公司根据战略目标及发展思路,结合行业特点,建立了系统、有效的风险评
估体系:根据设定的控制目标,全面系统地收集相关信息,准确识别内部风险和
外部风险,及时进行风险评估,做到风险可控。同时,公司建立了突发事件应急
机制,制定了应急预案,明确各类重大突发事件的监测、报告、处理的程序和时
限,建立了督察制度和责任追究制度。
公司定期召开各职能部门行政例会,及时向管理层汇报当期的经营情况、销
售采购等数据信息;管理层每月不定期召开会议,对公司的生产经营、研发情况、
销售情况、市场环境等方面进行汇总分析;公司每年召开年度考核分析会议,对
各项数据进行深入分析,总结上年的经验和教训,并制定下一年生产经营的方针、
政策、目标。公司管理层努力在竞争日益激烈的市场环境下,不断进行管理创新、
技术创新,最大限度地降低了风险。
3、控制活动
公司形成了不相容职务分离控制、授权审批控制、会计系统控制等在内的一
系列控制程序,并逐步完善,有效地实现了公司内部控制的目标。
6
� (1)不相容职务分离控制
公司对各个部门、业务流程制定了一系列较为详尽的岗位职责分工制度,各
项交易业务的授权审批与具体经办人员分离。
(2)授权审批控制
公司按交易金额的大小及交易性质不同,根据《公司章程》及其他各项制度
规定,采取不同的交易授权。对于经常发生的销售业务、采购业务等日常正常业
务的成本费用支出、合同签署等采用逐级授权审批制度;对非经常性业务交易,
如对外投资、收购重组、担保、关联交易等重大事项,按不同的交易额根据公司
相关审批管理权限制度的规定进行审批。
(3)会计系统控制
公司建立了独立的财务部门,会计人员接受过必要的专业培训,重要岗位人
员具有专业技术证书。母、子公司的财务保持独立,母公司与子公司执行的会计
政策保持一致。
公司按照《公司法》、《中华人民共和国会计法》、《企业会计准则》等法
律法规及其补充规定的要求制定了适合公司的会计制度和财务管理制度,并明确
制订了会计凭证、会计账簿和财务报告的处理程序,保证会计资料真实完整。
(4)财产保护控制
公司建立了财产日常管理制度及定期清查制度,采取财产记录、实物保管、
定期盘点、账实核对等措施,确保公司财产安全。
(5)采购业务控制
公司建立了较为完善的采购业务相关流程,规范了采购计划、采购执行、验
收管理、付款管理等行为,在保证日常采购业务正常开展的同时,不断提高财务
业务水平。
(6)销售业务控制
公司完善了销售与收款业务内部控制,规范了订单处理、合同签订、信用政
策、收发货、款项结算等具体流程,确保公司销售业务有序开展及会计核算及时、
准确。
4、信息沟通
7
� 公司建立的各项管理制度的内容已涵盖了内外部信息沟通、处理及反馈的程
序,在各项制度里面规定了专门部门负责公司信息、文书的搜集及处理,保证了
信息及文书得到系统和统一的管理,同时保证业务信息和重要的风险信息的安全
和保密。已颁布的制度流程基本上能够保证公司及时、真实和完整的传达内外部
信息给管理层以及与外界保持联系。
为进一步加强对外信息的沟通,公司还建立了《重大信息内部报告制度》,
对重大信息的范围、报告程序等都做出了详细的规定,保证公司及时、准确、全
面、完整地披露信息。
5、内部监督
公司建立了《内部审计制度》,明确了内部审计部门应依照国家法律、法规
和政策以及公司的规章制度,遵循客观性、政策性和预防为主的原则,对公司及
控股、参股公司的经营活动和内部控制进行独立的审计监督等职责,设立了在董
事会的直接领导下的审计委员会,主要负责公司内、外部审计的沟通、监督和核
查工作。
6、主要内部控制程序
(1)筹资与投资
公司制定的《融资管理制度》、《对外担保管理制度》、《对外投资管理制
度》,对筹资与投资循环所涉及的主要业务活动如审批权限、组织管理机构、投
资的决策程序、投资的转让与收回、对外投资的人事管理、对外投资的财务管理
及审计等进行了明确规定。
公司针对筹资业务所设置的具体流程控制保证公司所有的筹资活动均经过
恰当的授权和审批,确保了正常的资金周转、降低资金成本、减少筹资风险。
公司针对投资业务所设置的流程控制确保公司能够建立行之有效的投资决
策与运行机制,提高资金运作效率,保障公司对外投资的保值、增值。本报告期
内,各环节的控制措施能被有效地执行。
(2)募集资金使用
为规范公司募集资金的管理,提高募集资金使用效率,公司根据《公司法》、
《证券法》、《创业板上市公司证券发行注册管理办法》及深圳证券交易所的有
8
�关规定制定了《募集资金管理制度》,对募集资金的存放、使用和监督作了详细
有效的规定,实行专项审批,以保证专款专用。
(3)资产接触与记录使用控制方法
公司限制未经授权人员对财产的直接接触,采取定期盘点、财产记录、账实
核对、财产保险措施,以使各种财产安全完整。公司建立了一系列资产保管制度、
会计档案保管制度,并配备了必要的设备和专职人员,从而使资产的安全、记录
的完整得到了根本保证。
(4)研究开发
为加强新产品及工艺技术成果的管理,组织好技术成果的鉴定、推广、申报、
奖励等,公司建立了《研发项目管理制度》、《产品研发流程》、《信息安全管
理规范》等制度。《研发项目管理制度》对产品开发的控制及管理、进度的划分
及控制、文档及代码的提交和控制、备份及保密机制等做出了规定。《产品研发
流程》对产品开发的研发准备、需求分析、分析与设计、实现、系统测试、发布、
维护等各阶段进行了详细的规定,把产品研发项目的诸多关键环节进行了流程
化、标准化处理,建立起一套完善、实用、高效的产品研发体系,确保产品获得
最终的成功。
(5)关联交易
公司建立了《关联交易管理制度》,在关联方关系、关联交易的内容、关联
交易的审议程序和披露等进行了明确规定,确保了关联交易在“公平、公正、公
开、等价有偿及不偏离市场独立第三方的价格或收费标准”的条件下进行,保证
公司与各关联人所发生的关联交易的合法性、公允性、合理性;关联方的识别程
序、关联交易发生前的审查决策程序以及关联股东回避表决制度等控制措施在本
报告期内均得到有效地执行。
(6)信息披露制度
公司制定了《信息披露管理制度》、《年度报告信息披露重大差错责任追究
管理制度》、《重大信息内部报告制度》和《内幕信息知情人登记与外部报送管
理制度》等制度,明确了公司重大内部信息的报告、传递责任,明确规定了公司
信息披露义务人,信息披露的内容,内幕信息未公开前相关知情人的保密责任,
9
�重大信息报送的相关程序,年度报告差错的追究制度等事项。
(7)对子公司的管理
公司依据《公司法》和《深圳证券交易所创业板股票上市规则》等有关规定
制定了《子公司管理制度》,通过委派子公司的董事、监事及高级管理人员等加
强对子公司的管理。公司依据上市公司规范运作的要求对子公司的重大事项进行
管理,并要求子公司第一时间报送重大事项材料。各子公司的重大经营及投资决
策等,按照规定在第一时间报送本公司,并定期提交财务报告。同时公司定期或
不定期实施对子公司的审计监督,充分发挥内部审计部的作用。
四、内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告
内部控制重大缺陷、重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务
报告内部控制重大缺陷、重要缺陷,但存在非财务报告内部控制一般缺陷。
根据《上市公司现场检查办法》(证监会公告[2010]12 号)等规定,中国证
券监督管理委员会广东监管局(以下简称“广东证监局”)对公司进行了现场检
查。公司于 2021 年 3 月 25 日收到广东证监局下发的《行政监管措施决定书》
(〔2021〕15 号)《关于对蓝盾信息安全技术股份有限公司、柯宗庆、柯宗贵、
李德桂、李根森、景丽采取出具警示函措施的决定》(以下简称“《警示函》”)。
《警示函》指出,广东证监局在对公司进行的现场检查中,发现公司存在关
联方资金往来未履行审议程序和信息披露义务、未充分披露应收账款坏账风险、
未及时披露重大债务违约情况、未及时披露重大诉讼信息、未披露重要子公司被
债权人申请破产信息等问题。根据有关规定,广东证监局决定对公司和柯宗庆、
柯宗贵、李德桂、李根森、景丽采取出具警示函的行政监管措施。
公司及相关责任主体高度重视《警示函》提到的问题,已严格按照广东证监
局的要求,积极进行整改。公司会持续加强全体董事、监事、高级管理人员及相
10
�关人员对证券法律法规的学习,强化规范运作意识,继续完善内控管理制度,优
化内部控制管理机制,提升内部控制管理水平,加强合规检查与考核,降低经营
风险,促进公司合规、可持续发展。
五、其他内部控制相关重大事项说明
公司无其他内部控制相关重大事项说明。
蓝盾信息安全技术股份有限公司董事会
2021 年 4 月 30 日
11
�
