紫光股份:2017年度内部控制评价报告

紫光股份有限公司
                 2017 年度内部控制评价报告
紫光股份有限公司全体股东:
    根据《企业内部控制基本规范》及其配套指引的规定和其他内部
控制监管要求(以下简称企业内部控制规范体系),结合本公司(以
下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项
监督的基础上,我们对公司及合并范围内的公司 2017 年 12 月 31 日
(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、董事会声明
    按照企业内部控制规范体系的规定,建立健全和有效实施内部控
制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责
任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织
领导企业内部控制体系的日常运行。公司董事会、监事会及董事、监
事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述
或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连
带法律责任。
    公司内部控制的目标是合理保证经营管理合法合规、资产安全、
财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展
战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供
合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或
对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来
内部控制的有效性具有一定的风险。
二、内部控制评价结论
    根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评
价报告基准日,不存在财务报告内部控制重大缺陷。董事会认为,公
司已按照企业内部控制规范体系和相关规定的要求在所有重大方面
保持了有效的财务报告内部控制。
    根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评
价报告基准日,公司未发现非财务报告内部控制重大缺陷。
    自内部控制评价报告基准日至内部控制评价报告发出日之间未
发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
    (一)内部控制评价范围
    公司按照风险导向原则确定纳入评价范围的主要单位、业务和事
项以及高风险领域。纳入评价范围的主要单位包括:股份公司、新华
三集团有限公司、紫光数码(苏州)集团公司、紫光西部数据有限公
司、紫光软件(无锡)集团有限公司、紫光软件系统有限公司、紫光
资产管理有限公司、深圳市紫光信息港有限公司、唐山紫光智能电子
有限公司、北京紫光资源科技有限公司、紫光天泽(北京)信息技术
有限公司、紫光网安科技(北京)有限公司等,纳入评价范围单位资
产总额占公司合并财务报表资产总额的 99.90%,营业收入合计占公
司合并财务报表营业收入总额的 99.98%。纳入评价范围的主要业务
和事项包括:组织架构、战略管理、社会责任、企业文化、证券事务、
筹资担保管理、投资管理、采购管理、销售管理、物业管理、资产管
理、研究与开发、工程项目、业务外包、财务管理、预算管理、人力
资源、信息系统、合同管理、行政综合、风险管理与内部监督等;重
点关注的高风险领域主要包括投资管理风险、资金风险、资产管理风
险、子公司管理风险等。
    上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公
司经营管理的主要方面,不存在重大遗漏。
    公司从内部控制的五个构成要素——内部环境、风险评估、控制
活动、信息沟通和检查监督,对公司的内部控制分别进行评价:
    内部环境
    1、公司治理结构
    根据《公司法》、《证券法》、《公司章程》以及其他有关法律法规
的要求,公司已经建立了股东大会、董事会、监事会以及在董事会领
导下的经营管理层。
    股东大会是公司最高权力机构,通过董事会对公司进行管理和监
督,对公司重大事项进行决策;董事会向股东大会负责,在股东大会
赋予的职权范围内对公司进行管理和决策;监事会是公司的监督机构,
对股东大会负责;公司总裁由董事会聘任,在董事会的领导下,负责
公司日常经营管理活动,落实股东大会和董事会的相关决议。
    董事会下设了审计委员会、薪酬与考核委员会等专门委员会,并
制定了各委员会议事规则,各委员会能按照自身权责良好的开展工作。
公司董事会由七名董事组成,其中独立董事三名。股东大会、董事会、
监事会、经营管理层的建立和运作依照《公司法》、《证券法》、中国
证监会的有关规定以及公司的章程和相关规定进行。董事会、监事会、
经营管理层勤勉尽责,对公司内部控制高度重视,保证了公司规范运
作、科学决策及各项内部控制制度的有效执行。
    2、发展战略
    2017 年,公司继续延续 “云服务”战略。公司“云服务”战略
分为三个层次即云计算基础设施建设服务、云计算行业应用解决方案
服务和云计算平台化服务。在“云服务”战略的指导下,公司将大力
发展纵向贯通以大数据为线索的“云—网—端”产业链,横向垂直深
入以云计算、智慧城市和移动互联网为主要方向的行业应用,做现代
信息系统建设、运营与维护的全产业链服务提供商,推动公司向云服
务提供商的战略升级。
    3、人力资源管理
    公司坚持以人为本,建立和实施了较科学的聘用、培训、考核、
奖惩、晋升和淘汰等人事管理制度,根据公司发展规划制定了有效的
人力资源规划,保障了公司发展目标的实现,实现了人力资源的有效
配置,营造和谐的工作环境和工作关系。此外,公司加强了专业人才
和关键岗位员工的管理,防范人才和资金的流失,有效防止舞弊事件
的发生,充分利用、合理配置公司人力资源,增强了公司凝聚力和竞
争力。
    4、企业文化
    公司高度重视企业文化建设,培养员工的感召力和凝聚力,通过
宣传、教育、培训和文化娱乐活动等途径统一员工思想认识,规范员
工行为,凝聚员工力量,持续提高公司文化建设水平,进一步提升了
公司文化软实力,营造了积极向上、反映全体职工意识的企业文化。
    5、社会责任
    公司积极履行对国家、社会、经济、行业、员工、环境、客户等
利益相关者的责任,坚持科学发展观,走可持续发展道路,在公司日
常经营决策中综合考虑经济、社会、环境等因素,促进了自身和社会
共同可持续发展。
    风险评估
    公司根据自身涉及行业特点以及风险承受度和风险偏好,建立了
有效的风险评估过程。内部审计部牵头组织进行了结合自身实际情况
和外部环境全面系统地进行信息收集,以确保有效识别和应对公司日
常经营管理中面临的内外部风险。通过全方位业务流程梳理,辨识所
面临的潜在风险,对所辨识风险进行定量和定性分析,全面充分评估
了风险对公司目标实现的影响。
    控制活动
    1、不相容职务相互分离控制:公司全面系统地分析、梳理业务
流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、
各负其责、相互制约的工作机制;
    2、授权审批控制:结合各级制度和控制手册,监督执行审批内
容和细化授权层级,落实各流程业务授权体系;
    3、会计系统控制:公司严格执行国家统一的会计准则和制度,
加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理
程序,保证会计信息真实完整。公司利用财务信息系统进行日常的会
计核算,明确岗位职责分工,保障了会计记录的准确性、可靠性;
    4、财产保护控制:公司制定了《资金管理制度》、《固定资产管
理制度》等对货币资金、存货、固定资产等实物资产的验收入库、领
用、发出、保管及处置等关键环节进行控制,采取了职责分工、实物
定期盘点、财产记录、账实核对等措施,定期对应收款项、存货、固
定资产、无形资产等项目中存在的问题和潜在损失进行调查,按照相
关规定合理地计提资产减值准备,并将估计损失、计提准备的依据及
需要核销项目按规定的程序及审批权限报批;
    5、预算控制:公司根据《预算管理制度》,明确各预算单位在预
算管理中的职责权限,规范预算的编制、审定、下达、执行和调整程
序。并加强预算的审批控制,同时与年终考核相结合,确保预算得到
有力执行,有效发挥预算在企业管理中“事前规划,事中控制,事后
分析”的效用;
    6、业务控制:公司根据《内部控制指引》和上市公司规范运作
的要求,结合自身经营特点和需要,制定了较为规范的业务控制制度,
包括采购、销售、研发、合同管理、投资、财务管理、人力资源等一
系列管理制度,以确保各项经营管理工作有章可循;
    7、子公司控制:为加强集团化管理,实现战略协同,公司对各
控股子公司生产经营、风险控制和制度建设等工作进行监督,通过委
派董监事人员、预算管理、重大事项报批报备及各专项审计等方面实
现对子公司的管控。通过一系列措施,保证了控股子公司规范运作和
依法经营;
    8、凭证与记录控制:合理制定了凭证流转程序,经营人员在执
行交易时能及时编制有关凭证,完成的凭证及早送交计划财务部以便
记录,已登账凭证依序归档。各项交易事项均须有相关记录,便于查
询和其他相关业务进行参考比较;
    9、信息披露的控制:公司制订了《信息披露管理办法》,规范了
信息披露行为,依法履行信息披露义务,严格遵守公开、公平、公正
的原则,真实、准确、完整地进行信息披露。能够公开、公平、公正
地对待所有投资者,建立了投资者来访、来电登记制度,热情地接待
投资者的来访和咨询,切实保护了广大投资者及公司的合法权益;
    10、关联交易的控制:公司与关联方之间所发生的关联交易遵循
公平、公开、公允的原则,同时明确公司关联交易必须秉持诚实信用
原则,关联董事和关联股东均回避表决,确保公司及全体股东的合法
权益;
    11、投资的控制:公司的重大投资遵循合法、审慎、安全、有效
的原则,控制投资风险、注重投资效益。《公司章程》、《股东大会议
事规则》、《董事会议事规则》明确了重大投资的权限与程序。为降低
投资风险、确保投资安全、提高投资效率,公司制定了《对外投资管
理制度》,对对外投资的审批和管理作出了全面、明确的规定;
    12、担保的控制:公司对外担保遵循合法、审慎、互利、安全的
原则,严格按照相关规定执行。《公司章程》中明确了股东大会、董
事会关于对外担保事项的审批权限;《对外担保管理制度》进一步明
确规定了对外担保对象的审查、担保审批程序、担保合同的审查和订
立、对外担保的管理、信息披露及担保责任等事项,进一步规范了公
司对外担保的管理,确保公司资产安全。
    信息与沟通
    公司关注信息沟通的顺畅以及信息的安全,对信息收集、处理和
传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统
的安全性高度重视,确保各类内部信息的有效传递及决策的有效执行。
    内部监督
    为了完善公司法人治理结构,保证董事会、监事会依法行使权利、
加强内部控制监督管理,公司制订了《董事会议事规则》、《董事会审
计委员会议事规则》、《监事会议事规则》、《独立董事制度》。
    监事会行使对董事、高级管理人员的管理行为进行监督,检查公
司财务、规范履职等职权,公司为监事会和独立董事行使职权提供了
有效保障。公司审计委员会负责审查企业内部控制,监督内部控制的
有效实施和内部控制自我评价情况。
    在董事会审计委员会直接领导下,内部审计部定期组织对公司的
经营管理和内部控制执行情况进行检查和评价,并报告缺陷及风险,
确保内部控制制度的贯彻和实施。
     (二)内部控制评价工作依据及内部控制缺陷认定标准
     公司依据企业内部控制规范体系及公司制度和内部控制手册组
织开展内部控制评价工作。
     公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和
一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承
受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确
定了适用于本公司的内部控制缺陷具体认定标准。
     公司确定的内部控制缺陷认定标准如下:
     1、财务报告内部控制缺陷认定标准
     (1)公司确定的财务报告内部控制缺陷评价的定量标准如下:
                         重大缺陷               重要缺陷               一般缺陷
                       营业收入总额     营业收入总额的 0.5%<错报   错报≤营业收入
营业收入潜在错报
                       的 1%<错报      ≤营业收入总额的 1%         总额的 0.5%
                       利 润 总 额 的   利润总额的 5%<错报≤利润   错报≤利润总额
利润总额潜在错报
                       10%<错报        总额的 10%                  的 5%
                       资产总额的 1%    资产总额的 0.5%<错报≤资   错报≤资产总额
资产总额潜在错报
                       <错报           产总额的 1%                 的 0.5%
所有者权益(含少数股   所有者权益总     所有者权益总额的 1.5%<错   错报≤所有者权
东权益)潜在错报       额的 3%<错报    报≤所有者权益总额的 3%     益总额的 1.5%
     以上四项认定标准,按照孰高原则认定缺陷。
(2)公司确定的财务报告内部控制缺陷评价的定性标准
   出现以下迹象的,一般被认定为存在财务报告内部控制重大缺陷:
  ① 发现董事、监事和高级管理人员重大舞弊;
 ② 注册会计师发现当期财务报告存在重大错报而内部控制在运行
过程中未能发现该错报;
  ③ 控制环境无效;
  ④ 一经发现并报告给管理层的重大缺陷在合理的时间后未加以改
正;
  ⑤ 因会计差错导致的监管机构处罚;
  ⑥ 其他可能影响报表使用者正确判断的缺陷;
  ⑦ 会计人员不具备应有素质以完成财务报表编制工作。
       出现以下迹象的,一般被认定为存在财务报告内部控制重要缺陷:
 ① 关键岗位人员舞弊;
 ② 合规性监管职能失效,违反法规的行为可能对财务报告的可靠
性产生重大影响;
 ③ 已向管理层汇报但经过合理期限后,管理层仍然没有对重要缺
陷进行纠正。
   2、非财务报告内部控制缺陷认定标准
  (1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
缺陷认定                潜在风险事件可能造成的直接财产损失金额
重大缺陷                8000 万元以上
重要缺陷                2000 万元-8000 万元(含 8000 万元)
一般缺陷                2000 万元(含 2000 万元)以下
  (2)公司确定的非财务报告内部控制缺陷评价的定性标准
    发生这些类似迹象通常表明非财务报告内部控制可能存在重大
缺陷:
  ① 公司缺乏决策程序;
  ② 违犯国家法律、法规,如严重环境污染;
  ③ 核心管理人员或核心技术人员流失严重;
   ④ 内部控制评价的结果特别是重大或重要缺陷未得到整改。
  ⑤ 重要业务缺乏制度控制或制度系统性失效。
    发生这些类似迹象通常表明非财务报告内部控制可能存在重要
缺陷:
  ① 决策程序存在但不够完善
  ② 违反企业内部规章制度,形成损失
  ③ 关键岗位业务人员流失严重
  ④ 重要业务制度或系统存在缺陷
  ⑤ 内部控制重要或一般缺陷未得到整改
    发生这些类似迹象通常表明非财务报告内部控制可能存在一般
缺陷:
  ① 决策程序效率较低
  ② 一般岗位业务人员流失严重
  ③ 媒体出现负面新闻
  ④ 一般业务制度或系统存在缺陷
  ⑤ 存在其他缺陷
   (三)内部控制缺陷认定及整改情况
    1、财务报告内部控制缺陷认定及整改情况
    根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存
在财务报告内部控制重大缺陷、重要缺陷。
    2、非财务报告内部控制缺陷认定及整改情况
     根据上述非财务报告内部控制缺陷的认定标准,报告期内未发
现公司非财务报告内部控制重大缺陷、重要缺陷。
四、内部控制工作的持续完善
    公司现有内部控制制度基本能够适应公司管理要求,能够为编制
真实、完整、公允的财务报表提供合理保证,能够为公司各项业务活
动的健康运行及国家法律法规和公司内部规章制度的贯彻执行提供
保证,能够保护公司资产的安全、完整。
    由于内部控制固有的局限性、内部环境及宏观环境、政策法规的
持续变化,或可导致原有控制活动不适用和出现偏差。内部控制管理
将会根据内外部变化及时进行调整,公司 2017 年业务发展较快变化
较大,因而 2018 年将会继续进行对内部控制体系的完善,使控制环
境进一步改善,以期进一步满足管理要求。
                                              紫光股份有限公司
                                                董事长:于英涛
                                              2018 年 4 月 25 日

关闭窗口