信息发展:2018年度内部控制自我评价报告2019-04-11
上海中信信息发展股份有限公司
2018 年度内部控制自我评价报告
上海中信信息发展股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简
称“企业内部控制规范体系”),结合上海中信信息发展股份有限公司(以下简称“公司”
或“本公司”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们
对公司2018年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并
如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行
监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、
高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容
的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真
实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在固有局限性,故仅能
为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对
控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一
定的风险。
二、内部控制的评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在
财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的
要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未
发现非财务报告内部控制重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日
之间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价范围
� 公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
纳入评价范围的主要单位包括:上海中信信息发展股份有限公司、上海金档信息技术有
限公司、光典信息发展有限公司、上海追索信息科技有限公司、追溯云信息发展股份有限公
司。
纳入评价范围的事项包括:内部环境、风险评估、控制活动、信息与沟通、内
部监督。纳入评价范围的主要业务包括:资金活动、采购业务、资产管理、销售业
务、研究与开发、项目管理、担保业务、合同管理、质量保证、信息系统、信息披
露等。
1、内部环境
(1)组织架构
公司按照《公司法》、《证券法》等国家法律法规及规范性文件的相关规定,已经建立
了比较完善的法人治理结构,健全了股东大会、董事会、监事会、独立董事以及相关的议事
规则和内控管理制度,明确了股东大会、董事会、监事会和经理层在决策、执行、监督等方
面的职责权限、程序以及应履行的义务,为公司法人治理的规范化运行提供了有效的制度保
证。股东大会、董事会、监事会分别为公司的最高权力机构、主要决策机构和监督机构,三
者与公司管理层共同构建了分工明确、相互配合、相互制衡的内部控制运行机制。
公司股东大会、董事会、监事会均能按照《公司法》及《公司章程》的要求履行各自的
权利和义务,并按照有关法律、法规和《公司章程》规定的职权及各自的议事规则独立有效
地运作,没有违法、违规的情况发生。
公司按照内部控制规范要求结合自身业务特点合理设置内部机构,使公司各方面管理工
作都能有序进行,防范了经营风险。
(2)内部审计
公司已按《创业板上市公司规范运作指引》的要求在董事会审计委员会下设内审部,内
审部对审计委员会负责。公司依据规模、生产经营特点及有关规定,配置 3 名专职人员从事
内部审计工作,建立健全了内部审计制度,通过开展常规审计、专项审计等业务,对公司内
部控制设计和运行有效性进行检查评价,促进了公司内部控制工作质量的持续提升。对审计
过程中发现的内部控制缺陷向审计委员会汇报,同时有针对性的提出整改意见要求被审计部
门在规定的期限内进行整改。
(3)人力资源
公司高度重视人力资源建设,根据发展战略,结合人力资源现状和未来需求预测,建立
�和实施了招聘、培训、薪酬福利、绩效考核、劳动关系等人事管理制度,通过部门职责和岗
位说明书、任职条件和工作要求,明确界定了各部门及各岗位的目标、职责和权限。人力资
源政策遵循德才兼备、以德为先和公开、公平、公正的原则,通过公开招聘、竞争上岗等多
种方式选聘优秀人才,重点关注选聘对象的价值取向和责任意识。同时,公司切实加强了员
工培训和继续教育,不断提高员工素质。建立和完善人力资源的激励约束机制,设置科学的
业绩考核指标体系,对各级管理人员和全体员工进行严格考核与评价,有效激励员工工作热
情,优化员工队伍。
(4)社会责任
公司重视履行企业社会责任,持续深入贯彻落实国家有关政策措施,紧紧围绕安全管理
的总体目标,强化精细化管理,我们以产品、服务、质量来赢得客户;我们珍惜、信赖、尊
重员工;我们以团队力量完成共同使命和目标;我们用不断的创新获取最大的成就。以此实
现员工自身成长与企业发展的和谐统一。
(5)企业文化
公司培育员工诚实、正直、彼此信任;注重团队合作,有全局观;共同分享知识、经验
和成功;稳健经营;勇于创新,精益求精,不断研发新产品,让客户满意。以诚信为先,以
人为本、同舟共济,追求卓越为企业核心价值观,为各类人才提供了广阔的事业发展空间、
优良的成长环境,使每一位有能力有事业心的人才都能在公司发挥自己的能力,实现自我价
值。
2、风险评估
为促进公司持续、健康、稳定发展,实现经营目标,公司根据既定的发展策略,结合不
同发展阶段和业务拓展情况,全面系统持续地收集相关信息,识别和评估在经营活动中所面
临的内部风险和外部风险,根据风险发生的可能性及其影响程度进行评估,并采取相应的风
险应对措施。通过风险规避、风险降低、风险分担和风险承受等应对策略的综合运用,实现
对风险的有效控制。
3、控制活动
本公司主要控制措施如下:
(1)不相容职务分离控制:公司全面系统地分析、梳理了所有业务流程中所涉及的不相容
职务,实施了相应的分离措施,形成相对合理的各司其职、各负其责、相互制约的工作机制。
(2)授权审批控制:授权审批控制。公司根据常规授权和特别授权的规定,明确了各岗位
办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员均在授权范围内行使
�职权和承担责任。公司对于重大的业务和事项,实行集体决策制度,任何个人不得单独进行
决策或者擅自改变集体决策。
(3)会计系统控制:公司财务部严格执行国家统一的《会计法》和《企业会计准则》等的
有关规定,制订了《财务统一管理制度》,加强公司会计管理,提高会计工作的质量和水平,
提升财务管控能力,有效保证了会计信息及资料的真实、完整。
(4)财产保护控制:公司建立了财产日常管理和定期清查制度,明确财产使用和管理部门
的职责分工,采取财产登记、实务保管、定期盘点、帐实核对等措施,保护财产的安全完整。
(5)预算控制:公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,
规范预算的编制、审定、下达和执行程序,强化预算约束。
(6)绩效考评控制:公司制定和实施了绩效考核管理制度,以明确规范绩效考核工作,坚
持客观公正、规范透明、绩效导向原则,按期组织季度考核、年度考核,使绩效考核结果作
为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
本公司重点控制活动:
公司将上述控制措施在下列主要业务活动中综合运用,并重点关注资金、采购、资产、
销售、研发、项目、担保、合同、质量、信息披露管理等高风险领域,同时对各种业务及事
项实施有效控制,促进内部控制有效运行。
⑴资金活动
公司财务部负责对资金实行管理,建立了《财务统一管理制度》,加强资金业务管理和
控制,保证资金安全;在账户管理方面,公司对银行账户开立、注销、使用进行严格管理,
审批手续完备,资料规范完整,确保银行账户管理高效安全;在资金收付管理方面,公司财
务部负责公司相关经营收付款项的结算,管控层级严格、权责分明、授权核算程序完善。
⑵采购业务
为了进一步规范公司物资采购管理,降低采购工作成本,提高采购工作效率,满足项目
实施的需要,公司完善了《采购管理制度》、《供应商管理制度》、《仓库管理制度》等相
关管理制度。
在采购询价管理方面,公司按照公平、公正和竞争的原则,通过招标、比质比价等方式
选择供应商,经过谈判、评审、审批等程序后与供应商签订采购合同。
在供应商管理方面,公司完善对供应商的评价制度和考核标准,定期对供应商进行评价,
并根据评价结果实行分类管理,建立有效的供应商管理和约束机制。
在验收入库管理方面,公司制定了严格的验收制度,由独立的验收部门或指定专人对所
�购物品或劳务进行验收,并出具验收证明。
在采购付款管理方面,公司建立了授权批准制度,根据付款金额的大小,划分相应层级,
明确审批的授权权限,所有采购款项的支付必须经过权限领导审批。
⑶资产管理
公司建立了较完善的资产管理体系,为了进一步加强和规范公司资产管理,确保资产安
全、完整,防止资产的闲置和流失,提高资产使用效率,公司建立了《资产管理制度》。针
对不同类别的资产,公司制定了相应的管理规定,对资产的申购、入库、领用、付款等实物
流程及相应的账务流程均实行岗位分离,资产管理的关键环节得到有效控制。
在资产申购管理方面,公司使用部门须依据业务发展情况提出资产购置申请,履行固定
资产申请审批流程,通过审核后方可购买。
在资产出入库管理方面,公司资产出入库均经过严格的审核和授权审批,单据均须经过
相关责任人签字;强化仓库管理工作,仓管员以外人员进入仓库须办理进出登记手续,确保
公司资产安全。
在资产盘点管理方面,公司制定了健全、有效的存活盘点制度、固定资产盘点制度等和
相关流程,对盘点范围、盘点部门和人员、盘点票据、盘点前准备、盘点实施、盘点表、复
盘、盘点后续工作等方面有明确的规定。
在资产处置管理方面,建立了严格的资产处理审批制度,对于不能使用、无需使用的资
产均须通过审核和审批方能进行相应处理。
⑷销售业务
销售部门根据公司制定的《销售统一管理制度》、《投标工作管理制度》、《品牌厂商
合作管理制度》及年度销售目标、销售计划开展工作。公司注重新客户的开发和市场调查,
要求销售人员在市场开发过程中充分调查了解客户的需求、信用状况、财务状况和成本控制
水平等信息,根据市场反馈及时调整销售策略。建立健全公司项目立项的科学决策机制,严
格执行公司合同评审程序。明确销售工作职责、工作内容、工作程序,规范销售行为。完善
客户服务和完成项目评估机制,加强对客户的跟踪服务水平,及时反馈客户的意见和要求,
不断提升客户满意度和忠诚度。
⑸研究与开发
公司研发部门专门负责公司新产品、新技术的研发。公司的研发坚持以市场为导向,积
极开发和利用新技术,实现产品开发转换,但同时严格规范研发业务的立项、过程管理、验
收、研究成果的开发和保护等关键控制环节,有效降低研发风险、保证研发质量,提高了研
�发工作的效率和效益。
⑹项目管理
公司制定了包括《项目统一管理制度暨项目管理纲要》在内的不同类别项目的管理制度,
明确了项目管理的工作方法和程序、工作内容、相关部门的职责,做到项目管理各重要环节
都有章可循,对项目管理全过程进行有效的控制。公司重视项目质量安全体系建设,并制定
了相关质量与安全管理制度,严格按照国家、公司相应规范、制度实时监控、检查、验收。
⑺担保业务
公司对外担保的内部控制遵循合法、审慎、安全的原则,严格控制担保风险,公司在《公
司章程》中明确了股东大会、董事会关于对外担保事项的审批权限,并按照《关于规范上市
公司对外担保行为的通知》、《深圳证券交易所创业板股票上市规则》等相关规定,制定了
《对外担保管理制度》,明确规定担保业务批准程序、日常管理、信息披露等环节的控制要
求,确保了公司对外担保活动的内部控制严格、充分、有效,避免和减少了可能发生的损失。
⑻合同管理
公司通过《商务统一管理制度》对合同业务实施统一规范化管理。通过完善合同管理分
级授权管理机制,强化对合同签署和执行的内部控制,防范和降低了公司法律风险,切实维
护公司的合法权益。
在分级授权管理方面,公司根据业务需要已建立了有效的合同管理授权体系,并实行有
效监管。
在合同签订方面,通过资质调查,确保合同对方当事人具备相应的法律资质和履约能力;
严格合同审批,保证合同文本内容完整,没有重大疏漏及法律风险;规范合同盖章流程,确
保仅经过授权审核的合同才能进行盖章。
在合同履行管理方面,完善合同变更、解除、纠纷的上报及审批处理机制,对合同履行
情况实施有效监控,及时提示风险,确保合同全面有效履行,维护公司的合法利益。
⑼质量保证
公司质量部根据《质量管理制度》对各业务管控中心的横向管理进行监督检查,定期对
各业务管控中心的工作成果进行审核评估;协调跨业务管控中心的质量事件及事故,出具客
观的质量评估及建议;为各业务管控中心的质量管理人员提供质量管理方法、工具及处理流
程方面的专业化咨询;负责公司客户满意度调查,对客户投诉的不良问题进行不断地跟踪,
改善,并采取预防措施等。
⑽信息系统
� 公司参考业界较为流行的信息系统控制架构并结合自身实际情况,建立了本公司的信息
系统控制制度,涵盖公司的重要 IT 资产及重要 IT 业务流程,规范了公司应用系统、基础设
施、系统运行和维护等管理,通过不断地培训、及时地跟踪检查,保证各项制度、流程得到
有效执行,确保公司信息安全。公司在信息系统的控制方面没有重大漏洞。
⑾信息披露
公司在信息披露管理中严格遵循《中华人民共和国公司法》、《中华人民共和国证券法》、
《上市公司信息披露管理办法》、《深圳证券交易所创业板股票上市规则》、《深圳证券交
易所创业板上市公司规范运作指引》等法律、法规及《公司章程》的规定,认真履行了上市
公司信息披露义务。公司制定了《信息披露管理制度》,规范信息披露行为,保障投资者的
合法权益,明确公司信息披露的原则、披露的主体及职责、信息披露的内容及披露标准、信
息披露事务的管理、信息传递、审批及披露程序,以保证公司披露的信息披露真实、准确、
完整、及时、公平。报告期内,公司信息披露严格遵循了国家相关法律法规以及公司《信息
披露管理制度》的规定。
4、信息与沟通
公司在持续优化信息管理系统的基础上,关注基础信息质量,关注基础功能使用的规范
性。日常经营过程中,公司通过总裁室会议、各种专题会议等信息沟通渠道,通过各种例会
等决策机制,不断提高管理决策能力,使业务部门和职能部门上传下达的报告线清晰有效,
及时顺畅。与业务往来单位、中介机构、监管部门、投资者,也建立了必要的信息沟通和反
馈渠道,及时获取外部信息。
5、内部监督
董事会审计委员会负责审查和监督内部控制的建立和有效实施情况。公司设立了内审
部,配备了专职人员,在公司的经营管理和内部控制中发挥监督作用。内审部根据《企业内
部控制基本规范》的要求,组织公司及其子公司对内部控制体系进行了较为全面的检查和梳
理,规范了内控流程和完善了相关内控制度。
上述纳入评价范围的单位、业务和事项涵盖了公司经营管理的主要方面,不存在重大
漏洞。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系,结合公司相关制度规定,组织开展年度内部控制评价
工作。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,
结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务
�报告内部控制,研究确定了适用于本公司内部控制缺陷具体认定标准,并与以前年度保持一
致。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
财务报告内部控制缺陷的认定标准直接取决于由于该内部控制缺陷的存在可能导致的
财务报告错报的重要程度。
(1)财务报告内部控制缺陷评价的定量标准
重大缺陷指考虑补偿性控制措施和实际偏差率后,该缺陷总体影响水平高于重要性水平(营
业收入的0.5%);
重要缺陷指考虑补偿性控制措施和实际偏差率后,该缺陷总体影响水平低于重要性水平(营
业收入的0.5%),但高于一般性水平(营业收入的0.1%);
一般缺陷指考虑补偿性控制措施和实际偏差率后,该缺陷总体影响水平低于一般性水平(营
业收入的0.1%);
(2)财务报告内部控制缺陷评价的定性标准
出现下列特征,认定为重大缺陷:
公司董事、监事和高级管理人员的舞弊行为;
公司更正已公布的财务报告;
注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大报错;
审计委员会和内审部对公司的对外财务报告和财务报告内部控制监督无效。
出现下列特征,认定为财务报告重要缺陷:
未依照公认会计准则选择和应用会计政策;
未建立反舞弊程序和控制措施;
对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相
应的补偿性控制;
对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报
表达到真实、准确的目标。
一般缺陷:指除上述重大缺陷和重要缺陷之外的其他控制缺陷。
2、非财务报告内部控制缺陷认定标准
公司非财务报告缺陷内部控制认定主要依据缺陷涉及业务性质的严重程度、直接或潜在
负面影响的性质、影响的范围因素来确定。
(1)非财务报告内部控制缺陷评价的定量标准
� 缺陷等级 直接财产损失 潜在负面影响
已经对外正式披露并对公司定期报告披露造成
重大缺陷 500 万元(含)以上 负面影响;企业关键岗位人员流失严重;被媒
体频频曝光负面新闻
受到国家政府部门处罚,但未对公司定期报告
重要缺陷 50 万元(含)-500 万元 披露造成负面影响;被媒体曝光且产生负面影
响
受到省级(含省级)以下政府部门处罚但未对
一般缺陷 50 万元以下
公司定期报告披露造成负面影响
(2)非财务报告内部控制缺陷评价的定性标准
出现下列特征,认定为重大缺陷:
违反国家法律法规或规范性文件;
重大决策程序不科学;
制度缺失可能导致系统性失效;
重大或重要缺陷不能得到整改;
其他对公司负面影响重大的情形。
其他情形按影响程度分别确定为重要缺陷或一般缺陷。
(三)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重
大缺陷和重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控
制重大缺陷和重要缺陷。
四、其他内部控制相关重大事项说明
报告期内,公司无其他内部控制相关重大事项说明。
上海中信信息发展股份有限公司
董事会
2019 年 4 月 9 日
�
