中信国安信息产业股份有限公司 2019 年度内部控制评价报告 中信国安信息产业股份有限公司全体股东： 根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2019年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。 一、重要声明 按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来 内部控制的有效性具有一定的风险。 二、内部控制评价结论 根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷。董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。 三、内部控制评价工作情况 （一）内部控制评价范围 公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括：公司本部和控股子公司中信国安通信有限公司、北京鸿联九五信息产业有限公司、中信国安信息科技有限公司、中信国安恒通科技开发有限公司、中信国安广视网络有限公司、中信国安房地产开发有限公司、中信通信项目管理有限责任公司和西藏国安睿博投资管理有限公司，纳入评价范围单位资产总额占公司合并财务报表资产总额的79.80%，营业收入合计占公司合并财务报表营业收入总额的99.03%。 纳入评价范围的主要业务和事项包括: 主要业务：信息及技术服务业务、高科技新材料业务。 主要事项：控制环境、运营资金、对外担保、人力资源、投资 融资、全面预算、工程管理、销售业务、采购业务、存货管理及合同管理等。 重点关注高风险领域包括：组织结构、战略发展、投资管理、人力资源、资金管理、采购管理、销售管理、财务报告、信息系统和信息披露等。 1、组织结构 公司严格按照《公司法》、《证券法》、《企业内部控制基本规范》等法规要求，以及《公司章程》等规定，建立了以《股东大会议事规则》、《董事会议事规则》、《监事会议事规则》、《董事会专门委员会议事规则》、《董事会审计委员会议事规程》和《总经理议事规则》等为主要规范内容的治理架构，设置了股东大会、董事会和监事会，董事会下设审计委员会、战略与发展委员会、提名委员会及薪酬与考核委员会，明确了决策、执行、监督等方面的职责权限，形成了科学有效的职责分工和制衡机制，清晰的组织架构能够为内部控制有效实施提供保证。股东大会是公司最高权力机构，依法决定公司经营方针、投资计划、财务预决算方案和利润分配等重大事项。董事会是公司决策机构，对股东大会负责，执行股东大会决议并依据《公司章程》的规定履行职责。监事会是公司的监督机构，对股东大会负责，对董事、高级管理人员执行公司职务的行为进行监督，并有权力检查公司财务。管理层由公司董事会按届聘任，并在董事会的直接领导下，组织实施股东大会、董事会决议事项，负责公司日常运作的各项工作。 公司通过对股东大会、董事会、监事会、管理层和企业内部各 层级机构合理设置，科学制订公司在集体决策、具体实施和事后监督等各环节的责任主体和相应职权，明确人员编制及工作程序方面应遵守的制度安排、权责分配和制衡体系，组织结构设计符合公司管理需要，运行合规有效。 2、战略发展 为提升公司核心竞争力和可持续发展能力，根据《中华人民共和国公司法》、《上市公司治理准则》、《公司章程》、《企业内部控制基本规范》及其他有关规定，公司董事会下设战略与发展委员会，主要职能是对公司长期发展战略和重大投资决策进行研究并提出建议。为更好地落实战略与发展委员会规划的战略目标，公司制订了《战略规划管理办法》，确立了包括公司董事会、董事会战略与发展委员会和公司经理办公会在内的三级战略规划管理机构，依据公司中长期发展战略，收集整理内外部信息，征求专家和委员会各方面的论证意见，科学分析宏观经济发展趋势和国家产业政策走向，结合公司行业特点和产品市场需求，紧跟技术发展趋势及行业现状，正确认识自身优势与不足，从而制订符合实际情况的战略发展目标。公司依据发展战略，制定年度工作计划，编制全面预算，并通过多种途径将发展战略及其分解落实情况向各管理层和员工传递。 3、投资管理 为控制投资风险，规范投资行为，使投资活动遵循合法、审慎、安全、有效的原则，注重投资效率，合理配置企业资源，创造良好经济效益，根据《中华人民共和国公司法》、《深圳证券交易所股票上市 规则》、《深圳证券交易所上市公司内控制度指引》等法律法规及《公司章程》等规定，公司制订了《对外投资管理办法》、《授权管理制度》、《控股子公司管理办法》、《对外担保管理办法》、《募集资金管理办法》和《信息披露事务管理制度》等系列管理制度，系统规范了公司不同责任主体在对外投资的立项、审批、实施和监督等方面的行为，明确了投资论证与决策、日常管理、投资分析与报告等方面的要求。公司同时通过《控股子公司对外投资管理办法》、《控股子公司管理办法》《控股子公司重大信息内部报告制度》、《子公司年度经营绩效考核管理办法》等规章制度来加强对控股子公司的管理和重大投资项目的管控，完善子公司治理机制、激励约束机制和考核机制，提高风险防控意识，加强事前报备、事中动态监管、事后评价等关键环节的控制，确保项目顺利实施。公司定期对重大投资项目的可行性、风险性和回报等事项进行研究和动态评估，密切关注相关行业政策并跟踪变化信息，建立全面风险预警机制，适时调整策略，增强公司抗风险能力。对于权益性投资，依据《公司章程》规定，公司通过选派适当人员担任被投资单位董事、监事和财务总监等方式行使相应管理职权，定期获取被投资单位的会计报表和经营管理信息，及时掌握被投资单位的财务及经营管理状况，确保公司合法权益不受侵害。 4、人力资源 公司积极推进人才战略和人才队伍建设，设立人力资源发展目标，制定人力资源总体规划和能力框架体系，优化人力资源整体布局，根据人力资源能力框架要求，明确各岗位职责权限和任职要求。高级 管理人员聘任方面，由董事会提名委员会对公司董事和高管人员的人选、选择标准和选任程序提出建议，由董事会薪酬与考核委员会制订公司董事及高管人员的考核标准并对其进行考核，并负责制订和审查公司董事及高管人员薪酬政策与方案。 公司制订了《招聘管理办法》、《劳动合同管理办法》、《外派人员管理办法》、《职工工资管理办法》、《职工考勤休假管理办法》和《职工绩效考核管理办法》等系列配套制度，详尽规范了公司人力资源管理的各项具体工作及程序，形成了一套涵盖招聘、培训、轮岗、薪酬、考核和激励等各个方面的人力资源管理系统和运行机制。公司遵循公开、公平、公正的原则，通过公开招聘、竞争上岗等多种方式选聘优秀人才，继续实施后备人才培养计划，完善绩效考核和薪酬制度。同时定期对年度人力资源计划执行情况进行评估，完善人力资源政策，吸引优秀管理人才和技术人才，充分调动整体团队的积极性、主动性和创造性，全面提升公司的核心竞争力，为实现公司长期战略规划奠定了可持续发展的人力资源基础。 5、资金管理 为防范资金活动风险，维护资金安全，促进资金合理使用，针对资金在筹资、投资和运营环节的业务风险，根据《会计法》、《现金管理暂行条例》、《企业内部控制基本规范》等规定，公司制订了较为完善的《资金控制制度》，包括：《筹资管理制度》、《募集资金管理制度》、《对外投资管理办法》、《授权管理制度》、《预算管理制度》、《货币资金管理办法》和《银行账户管理办法》等。 公司能够有效安排资金计划，保证公司业务顺利开展。随着公司业务架构调整，进一步优化资产结构配置，增强公司对外投、融资能力，为战略发展提供有力的资金保障。公司按照资金的使用性质和金额大小制定了相应的申请、授权、审批和使用流程，明确筹资、投资和营运等各环节的职责权限和岗位分离要求，充分发挥全面预算管理在资金活动中的作用，严格执行授权审批制和岗位分离制，通过定期银行对账、定期或不定期现金盘点等措施防范资金管理风险，公司内部审计人员根据需要实施货币资金收付业务的审计工作，充分发挥监督作用，实现了资金业务在各个环节的控制管理。公司通过科学的制度设计和有效的制度落实，防范和控制资金风险，保证资金安全。 6、采购管理 为促进公司合理采购，防范采购风险，充分满足生产经营需要，公司制定了《物资采购管理办法》、《招投标管理办法》和《供应商准入和评价制度》等规章制度，并结合自身实际情况不断进行修订和完善，进一步规范了采购业务行为。 控制措施落实方面，根据采购业务主要风险点的分布，公司在采购计划编制、资金请购、供应商选择、采购价格管理、实物到货和验收、款项支付以及会计控制等关键环节，制定了业务流程和控制措施，结合风险控制手册关于具体风险控制措施的要求，进一步优化相关细节，统筹安排采购计划，提高采购效率，降低采购成本，规避管理漏洞，对重要和技术性要求较高的采购业务，组织相关专家论证后进行决策和审批。同时重点规范和落实招标采购业务的审批权限和工 作职责，定期进行岗位轮换。引入供应商评价制度，对供应商的服务情况进行全面系统评价，通过定期检查和评价采购业务过程中可能存在的薄弱环节，降低采购业务风险，确保物资采购满足公司生产经营需要。 公司在采购付款控制方面，明确办理付款手续的职责和权限等相关控制措施，严格按照预算金额，审核相关合同、单据凭证、审批程序等内容，选择合理的付款方式及时办理付款。公司重点加强了预付款和定金的管理，对相关业务定期进行追踪核查，对占用款项的合理性、不可收回风险等情况进行分析。公司针对购买、验收、付款业务的会计系统进行全方位控制，实行不相容职务分离，设立制衡监督机制，详细记录相关业务办理情况，确保会计记录、采购记录与仓储记录相符，并定期通过函证方式与供应商核对往来款项。 7、销售管理 为促进公司销售稳定增长，防范销售风险同时扩大市场份额，公司根据企业内部控制规范体系的要求，围绕销售工作制定了相关的预算、客户等级、往来款、仓库管理、合同管理以及销售收入核算等管理制度及配套实施细则，系统规范了销售业务在计划编制、客户信用、价格制订、合同订立、产品发出及货款回收等主要风险控制环节的管控措施和流程，进一步优化各环节岗位设置，明确销售、发货、收款等环节的审批权限和责任义务。准确记录销售业务各环节情况，加强客户服务跟踪工作，提升客户满意度和忠诚度，实施全过程销售控制。公司通过内部审计等监督方式，定期检查销售业务各项管理制 度、工作流程等设计的合理性及实施的有效性，将销售业务与公司整体风险管理和考核机制相结合，有效降低了潜在的销售风险，确保销售目标顺利实现。 8、财务报告 为规范公司财务报告，保证财务报告的真实、完整，公司按照《会计法》、《证券法》以及财政部、证监会、深交所关于《公开发行证券的公司信息披露编报规则第15号-财务报告的一般规定》、《公开发行证券的公司信息披露内容与格式准则第2号-年度报告的内容与格式》、《深圳证券交易所股票上市规则》、《企业会计准则》、《企业内部控制基本规范》及配套指引等有关规定，制订了会计核算、财务管理和财务报告编制等相关制度，建立包括交易授权、责任分工、凭证与记录、资产使用、稽查、电子信息系统等相关控制程序，并且重点规范财务报告在编制、审核、上报及对外披露等环节的工作流程、责任主体、职责和责任追究，充分利用信息技术为辅助，不断提高工作效率和工作质量，保证财务报告基础信息确认真实、编制准确、上报及时、披露合规，满足企业日常经营活动分析、监管机构信息披露规定和投资者的信息需求。 公司自上市以来，每年均取得由年审会计师事务所出具的标准无保留意见的审计报告。本报告期内，公司未发生重大会计差错更正、重大遗漏信息补充以及业绩预告修正等情况。 9、信息系统 为全面提升企业现代化管理水平，有效助力公司战略发展，公 司不断建立健全信息系统管理体系，制定了一系列信息技术相关制度流程，对计算机使用，网络数据安全，应急处理等方面的管理内容做了明确规定，并加强信息系统的统一规划、技术标准及信息安全管理。公司积极响应国家对网络信息安全策略相关要求，组建专业技术团队对信息系统进行不断开发和完善，对数据库后台接入标准、运维标准、信息安全等方面进行规范管理，配备专人负责公司信息系统的日常维护、备份和权限管理。。通过不断对内部局域网等进行优化，整合计算资源和网络资源，公司管理实现了资源共享和互联互通，以OA为平台，根据内部控制要求，结合组织架构、业务范围、技术能力等因素，将信息化建设与产业业务基础管理相结合，打造高效信息化平台，提升企业经营管理效率，切实发挥信息系统在标准化内部控制中的作用。。 10、信息披露 为规范公司的信息披露行为，确保信息披露的公平性，保护投资者的合法权益，根据证监会《上市公司信息披露管理办法》、《公开发行证券的公司信息披露编报规则》、《公开发行证券的公司信息披露内容与格式准则》和《公开发行证券的公司信息披露规范问答》等相关法律法规的要求，公司制订了一系列信息披露管理办法，主要包括：《董事会秘书工作细则》、《信息披露事务管理制度》、《重大信息内部报告制度》、《外部信息使用人管理制度》、《投资者关系管理制度》《内幕知情人登记管理制度》、《累计投票制实施细则》和《年报信息披露重大差错责任追究制度》等，明确了信息披露的基本原则、信息披露 的管理和责任、信息披露的内容与标准、信息披露的流程、信息披露的保密、信息披露的记录和保管、责任追究等具体内容，公司严格按照上述制度的规定履行信息披露的各项义务，确保公司相关信息披露及时、真实、准确、完整。相关当事人对所披露信息负有保密义务，在未对外公开披露前不得以任何方式向外界透露相关内容，保证了投资人和相关信息使用人的知情权及其合法权益。 上述纳入评价范围的单位、业务和事项涵盖了公司经营管理的主要方面，不存在重大遗漏。 （二)内部控制评价工作依据及内部控制缺陷认定标准 公司依据企业内部控制规范体系及《企业内部控制评价指引》和《深圳证券交易所主板上市公司规范运作指引》等法律法规的要求，结合公司内部控制制度和评价办法，组织开展内部控制评价工作。 公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下： 1.财务报告内部控制缺陷认定标准 公司确定的财务报告内部控制缺陷评价的定量标准如下： （1）重大财务报告相关内控缺陷：该等缺陷可能导致的潜在错报金额占本公司资产总额 3%或净资产 5%及以上的，为重大缺陷。 （2）重要财务报告相关内控缺陷：该等缺陷可能导致的潜在错 报金额占本公司资产总额 1.5%或净资产 2.5%及以上但小于重大财务报告相关内控缺陷定量标准的，为重要缺陷。 （3）一般财务报告相关内控缺陷：低于上述重要性水平的其他潜在错报金额。 公司确定的财务报告内部控制缺陷评价的定性标准如下： （1）重大缺陷：董事、监事或高级管理人员舞弊；公司以前年度存在重大会计差错，更正已披露的财务报告；公司当期财务报告存在重大错报而内部控制未能发现该错报。 （2）重要缺陷：违规泄露财务报告、并购、投资等重大信息，导致公司股价严重波动或给公司形象造成严重负面影响。 （3）一般缺陷：不构成重大缺陷和重要缺陷的财务报告内部控制缺陷，认定为一般缺陷。 2.非财务报告内部控制缺陷认定标准 公司确定的非财务报告内部控制缺陷评价的定量标准如下： （1）重大缺陷：该等缺陷可能导致的直接损失占本公司资产总额 3%或净资产 5%及以上的，则为重大缺陷。 （2）重要缺陷：该等缺陷可能导致的直接损失占本公司资产总额 1.5%或净资产 2.5%及以上但小于重大缺陷定量标准的，则为重要缺陷。 （3）一般缺陷：小于上述缺陷的，为一般缺陷。 公司确定的非财务报告内部控制缺陷评价的定性标准如下： （1）重大缺陷：董事会及其专业委员、监事会和经理层未按照 权限和职责履行；公司重要业务缺乏控制或内部控制系统整体失效。 （2）重要缺陷：内部控制设计未覆盖重要业务和关键风险领域，不能实现控制目标；信息披露内容不真实，受到外部监管机构处罚。 （3）一般缺陷：不构成重大缺陷和重要缺陷的非财务报告内部控制缺陷，认定为一般缺陷。 （三）内部控制缺陷认定及整改情况 1.财务报告内部控制缺陷认定及整改情况 根据上述财务报告内部控制缺陷的认定标准，报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。 2.非财务报告内部控制缺陷认定及整改情况 根据上述非财务报告内部控制缺陷的认定标准，报告期内未发现公司非财务报告内部控制重大缺陷和重要缺陷。 四、其他内部控制相关重大事项说明 无 中信国安信息产业股份有限公司 2020 年 4 月 28 日