绿盟科技集团股份有限公司

2025年度内部控制自我评价报告

绿盟科技集团股份有限公司全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称“企业内部控制规范体系”），结合绿盟科技集团股份有限公司（以下简称“公司”）内部控制制度和评价方法，在内部控制日常监督和专项监督的基础上，我们对公司2025年12月31日（内部控制评价报告基准日）的内部控制有效性进行了自我评价。

一、重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。管理层负责组织领导企业内部控制的日常运行。公司董事会及董事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信

息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二、内部控制评价结论

根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，公司不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响公司内部控制有效性评价结论的因素。

三、内部控制评价工作情况

（一）内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。

纳入评价范围的单位包括：公司以及纳入合并范围的全部子公司。纳入评价范围单位的资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财务报表营业

1收入总额的100%。按照企业内部控制规范体系的要求，内部控制评价围绕内部环境、风

险评估、控制活动、信息与沟通、内部监督五要素，内容涵盖了公司生产经营管理的主要方面。评价过程中遵循了全面性、重要性、客观性的评价原则。重点关注的高风险领域有资金管理、资产管理、销售管理、投资活动、信息披露等模块。

上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。

（二）内部控制评价工作依据及内部控制缺陷认定标准

公司依据企业内部控制规范体系，并结合公司内部控制制度组织开展内部控制评价工作。

公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下：

1、财务报告内部控制缺陷认定标准

（1）定性标准：

评价等级定性标准

重大缺陷*公司董事、高级管理人员的舞弊行为；

*公司更正已公布的财务报告；

*注册会计师发现的而未被公司内部控制识别的当期财务报告中的重大错报；

*审计委员会和审计部门对财务报告内部控制的监督无效。

重要缺陷*未依照公认会计准则选择和应用会计政策；

*未建立反舞弊程序和控制措施；

*对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；

*对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编

制的财务报表达到真实、完整的目标。

一般缺陷除上述重大缺陷、重要缺陷之外的其他控制缺陷。

（2）定量标准：

定量标准以合并财务报表的营业收入、资产总额作为衡量指标。内部控制缺陷可能导致的损失或错报与利润表相关的，以营业收入指标衡量；与资产管理等相关的，以资产总额指标衡量。若同一缺陷同时适用两项指标时，采用孰低原则判断缺陷等级。控制缺陷单独或连同其他缺陷一起可能导致或导致的损失或财务报告错报金额与缺陷评价等

级的关系如下：

评价等级定量标准

重大缺陷*损失或错报≥营业收入的5%；或，

2评价等级定量标准

*损失或错报≥资产总额的5%

*营业收入的5%＞损失或错报≥营业收入的3%；或，重要缺陷

*资产总额的5%＞损失或错报≥资产总额的3%

*营业收入的3%＞损失或错报；或，一般缺陷

*资产总额的3%＞损失或错报

2、非财务报告内部控制缺陷认定标准

（1）定性标准：

公司非财务报告内部控制缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判定。

评价等级定性标准

缺陷发生的可能性大，会严重降低工作效率或效果，或严重加大效果的不重大缺陷确定性，或使之严重偏离战略目标。

缺陷发生的可能性较大，会显著降低工作效率或效果，或显著加大效果的重要缺陷

不确定性，或使之显著偏离战略目标。

缺陷发生的可能性较小，会降低工作效率或效果，或加大效果的不确定性，一般缺陷或使之偏离战略目标。

（2）定量标准：

公司非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的定量标准执行。

（三）内部控制评价具体工作情况

1、内部控制环境

（1）公司治理

公司按照《公司法》及有关法规的要求建立了股东会、董事会以及在董事会领导下

的管理层这一决策和管理体系，并建立健全了独立董事制度。按照《上市公司治理准则》和《上市公司独立董事管理办法》等要求，公司建立了以《公司章程》为基础，以股东会、董事会议事规则等为主要架构的规章体系，并根据相关规定对董事会领导下的各层级组织进行了明确的授权，使各方在议事规则和授权范围内有序开展工作。公司治理的实际状况符合中国证监会发布的有关上市公司治理的规范文件要求。

（2）发展战略

公司长期以来坚持明确的发展战略：在全球范围内，提供基于自身核心竞争力的企业级网络安全解决方案，成为最受客户信赖的网络安全公司。2025年公司坚持该发展战略，并围绕经营目标，做好“3+3+X+Y”战略聚焦。公司董事会下设战略委员会，负责对公司长期发展战略和重大投资决策进行研究并提出建议。公司设立有战略管理中心，定

3期组织战略规划研讨，对战略的健康性和执行情况进行审视。公司始终严谨科学地进行

业务规划和预算编制，将战略落实为长期和短期的工作计划并予以实施。

（3）企业文化公司经历二十多年的发展，凝聚了一批具有同样价值观的伙伴，在“专攻术业，成就所托”的愿景鼓舞下，在专业领域不断精进。公司的文化核心是专业精进、值得信赖、责任担当。强调专业精神、创新精神，同时强调忠于职守、尽心尽责、团队精神和共同发展。公司将企业文化和价值观写入《员工手册》，对每个新员工进行培训、考试，并每人签署《遵纪守法&廉洁自律承诺书》。

（4）人力资源

公司高度重视各岗位所需的核心技能、知识和经验，并建立了公司任职资格等级框架，定义了不同序列的各等级的任职资格标准，完成了全员的任职资格评定及人岗匹配工作，尽力使各岗位匹配拥有相应能力的员工，也使员工能看清自己的努力方向，有目的地学习和积累，从而减少因专业胜任能力不足而发生差错。公司通过绿盟科技大学、网络安全学院等培训平台，针对不同岗位所需的专业技能、管理技能等展开多种形式的培训，同时配合大比武等活动，帮助员工增加知识、提升技能，以与岗位要求相匹配。

为了吸引和留住优秀人才，公司不断优化业绩考核指标体系和激励机制，短期激励和长期激励相配合，物质激励和精神激励相结合，充分调动员工积极性，公平公正选拔干部，为公司经营目标实现提供合格人员保证。

（5）信息系统

公司 IT管理中心负责公司信息系统的规划、建设和维护。建立有 IT系统的中长期规划，并建立各项管理制度，规范 IT开发项目的管理、运维的管理等。此外，公司拟定并执行《IT数据安全及权限管理规范》，合理保证接触控制被严格且有效执行。另外，公司设有独立于 IT管理中心的信息安全管理部，公司内部系统上线前均要经过该部门检查测试。通过这些方式合理保障了公司信息系统的开发质量、安全性和持续正常运转。

2、风险评估

为实现公司运营目标，并使公司持续、健康发展，公司从上到下提倡拥有足够的风险评估意识，及时做好风险识别和防控。公司各级组织根据所要实现的目标，通过定期研讨、述职等会议，以及逐级定期汇报等形式，系统地收集内外信息及变化，结合所处的行业特点、自身的业务特点和发展阶段，管理层对可能出现的政策法规风险、市场风险、经营风险、财务风险和舞弊风险等进行持续有效地识别、计量和评估。根据对风险的分析和排序，管理层确定重点和优先管理的风险，并结合公司风险承受度，权衡风险与收益，确定采用的风险应对策略，并落实在工作中，实现对风险的有效管理。

公司的内部控制体系建设是以各目标项下的风险管理为导向的，将对风险的合理管控融入到具体的政策、流程和系统设计思路中。公司设有专门的流程管理部，建立跨部

4门的流程优化平台和机制，减少或避免流程无法规避已识别且需管理的风险的情况。

3、控制活动

（1）不相容职责分离

公司在部门职责分工、岗位设置、流程设计等方面均考虑了不相容职责相分离的控制原则，实现了实物管理与记账、采购计划与采购执行、具体操作与审核等不相容职责的分离。

（2）授权审批控制

公司以制度或流程的形式明确了各种情况下的授权审批权限及审批程序，并将制度在公司平台上及时发布，同时将流程设置于IT系统，实现系统控制。随审批事项的风险等级升高，提升审批权限级别，并根据业务涉及的领域和复杂程度引入跨部门联合审批。

此外，公司层面设置了总裁办公会及各种专业委员会，重大事项要提交相关的委员会按议事规则决策。

（3）对资金的管理

公司制定了《货币资金管理办法》，明确规定了各种资金活动的控制要求。该办法覆盖的资金领域包括：资金预测、资金支付及授权审批、现金的管理、银行账户管理、

银行存款管理、票据管理、银行印鉴管理，以及相应的监督检查措施等。资金收支及票据保管人员、记账人员及稽核人员做到了严格岗位分离，定期检查、稽核工作在持续有效进行。

关于使用自有资金购买现金管理产品，购买产品的品种、上限、期限、实施方式、风险控制措施等均按照经董事会批准的书面规定严格执行。

（4）对资产的管理

公司物流及生产部门制定并严格执行《物流管理制度及规范》《库存管理程序》《生产部发货管理规范》等，对原材料、在制品与产成品的验收入库、领料发货、保管、处置等关键环节进行了有效控制。公司颁布了《存货管理制度》，对存货的盘点、跌价计提、报废等进行了明确规定，并严格执行。

公司的《固定资产管理规定》明确了固定资产购建、领用、配发、转移、报废、盘

点等管理要求，并严格按要求执行。对于用于售前、工程现场等场景的测试机，公司建立了《测试机管理办法》，集中归口管理。

（5）销售管理

公司根据业务发展及市场需要制定了适合于公司的销售管理政策，并每年根据内、外部环境的变化和风险评估情况及时做出调整。公司建立了渠道销售和大客户直销并存的销售模式，在渠道选择、业务机会跟进、报价、合同评审、发货及收款等环节均制定了合理的管理措施和流程。2025年公司继续加强销售过程管理，在制度和流程上严格规5范销售业务，做到事前认证、审核，事后监督检查。2025年继续重视重大项目的管理，

保持跨部门决策机制，以更好把握风险及合理处置问题。对于应收账款，公司有定期严格复核和催收机制，并将收款与考核及奖励挂钩，不断促进回款。

（6）采购管理

公司长期执行《网安硬件平台供应商认证流程》《采购管理办法》等规定，并形成针对招标、竞争性谈判、询价等不同采购方式的操作指导书，以便员工执行到位。同时做到了需求部门、计划部门与采购部门的分离，并在供应商认证、选择等环节设置了专家或相关独立人员参与的控制措施。此外，在采购流程上强化了需求部门验收的动作。在采购付款方面，财务管理中心始终坚持按合同条款进行资料核验，避免出现漏洞。

（7）研发、生产、交付等质量管理

公司于2004年建立质量管理体系并通过质量体系认证，迄今为止，体系运行保持有效。

* 公司按照 IPD集成产品开发模式建立研发流程，通过项目计划评审、需求评审、里程碑评审、代码审计、测试验证、实验局等方式进行质量控制，保障研发质量满足目标要求。公司于 2021年首次通过 CMMI 5级评估，2024年再次通过 CMMI V3.0研发和安全双领域最高成熟度等级五级评估，标志着公司研发能力与管理水平已经达到国际领先标准。

*公司建立自动化生产系统，并不断升级优化，以降低人为误操作概率，同时提高产能和效率。针对日常交付作业所需技能，对生产、质检人员定期培训，持证上岗，并建立完善的来料检验、生产检验、拷机、包装检验、成品检验等操作指导书，确保生产质量满足要求。

*公司为准确将客户需求转化为可交付物，对提交客户的技术方案进行严格把关，由专业团队进行评审、验证，以确保方案满足客户需求。针对重大项目，公司建立一系列保障机制，从团队、资源、技术能力、流程上予以专项支持，以保障项目质量。

* 在产品与服务交付环节，公司建立 NSPM 工程项目管理体系及各类产品与服务的标准化实施指南，并通过工程方案评审、各阶段的验收，对项目进行度量与监控，以保障交付质量。公司建立明确的售后服务标准，组建专业的售后服务团队，并随着业务发展使之不断提升和精细化。公司坚持定期进行客户回访，了解客户感受，为改进提供输入，持续提升客户满意度。

（8）对外投资

公司注重对外投资的内部控制，已按照《公司法》《证券法》等法律、法规以及规范性文件的要求制定了《对外投资管理制度》并严格执行。该制度明确规定了各种对外投资事项的审批权限、管理分工及职责。投资发生后，公司有专门组织负责跟踪投资执行情况，及时发现投资项目面临的风险，并提请有权人员和组织考虑处置达到临界条件的

6投资。在信息披露方面，公司根据上市规则、《公司章程》等规定，及时披露对外投资信息。2025年公司的对外投资及投资处置活动均严格遵守了相关制度规定。

（9）关联交易

公司建立有《关联交易管理制度》并严格执行。该制度对关联交易和关联人的认定、关联交易的审批权限、价格的管理以及信息披露等均作了严格规定，规范了与关联方的各项交易活动，保证了公司的关联交易符合公平、公正、公开的原则。公司有专门部门维护关联关系清单，清单有变化时及时通知公司内部相关部门，以便执行部门日常能准确识别出关联交易，并及时启动关联交易管理程序。

（10）对外担保为规范公司对外担保行为，有效控制公司对外担保风险，公司建立了《对外担保管理制度》，明确了股东会、董事会关于对外担保事项的审批权限，使对外担保事项处于高度被监管状态。公司对担保申请人执行全面评审程序，并由财务管理中心指定责任人持续关注被担保公司的状况或变化。截至2025年期末，公司只有集团公司对合并报表范围内全资子公司的担保，不存在其他对外担保。

（11）合同管理

公司商务部门制定了《销售合同评审管理规定》《合同专用章管理规定》和《合同文本管理规定》等，明确了合同的评审、签署、原件保管、借阅等要求，清楚界定了责任人、权限等。相关人员严格执行有关控制活动，如检查是否采用适当模板、核对拟盖章纸质版与已审批的电子版是否一致、监督合同原件及时返回并归档等。

（12）信息披露

公司建立了《重大信息内部报告制度》，明确了公司重大信息的范围和内容，并确定了报告义务人和报告程序等。未按制度履行报告义务者将被追究责任并受到相应惩罚。

公司长期以来执行《信息披露管理制度》，该制度详细界定了需信息披露的各种情况，以及相关程序、管理部门和相关人员职责。同时，为规范内幕信息管理，加强内幕信息保密工作，根据《公司法》《证券法》《上市公司信息披露管理办法》《深圳证券交易所创业板股票上市规则》等法律法规规定，制订了《内幕信息知情人管理制度》，其中详细规定了内幕信息保密管理及知情人登记管理等具体措施，并严格执行。

董事会秘书负责管理公司信息披露事务，公司证券事务与投资者关系部为公司信息披露的日常工作部门，在董事会秘书直接领导下，负责公司的信息披露事务。2025年公司及时披露发生的重大事项；在投资者接待中未发生有选择性、私下或提前向特定对象单独披露或者泄露公司非公开重大信息的情况。

（13）预算管理公司根据战略及业务规划编制年度预算。公司财务管理中心负责预算编制的组织和汇总，预算经多轮从上到下及反向的沟通，最后按公司授权经批准后发布执行。公司财7务管理中心会同其他管理部门在日常工作中监督预算的执行情况，严格控制预算外支出，

除非申请预算变更且审批通过。

4、信息与沟通

公司制定了《信息披露管理制度》《重大信息内部报告制度》《财务报告管理制度》等，明确了内部信息的收集、处理和传递程序，通过合理筛选、核对、分析和整合，提高信息的有用性，确保信息准确、快速和有效传递。此外，通过拜访客户及合作伙伴、安排专人收集行业和专业政策及制度变化等，及时获取外部信息，使管理层面对各种变化能够及时采取适当行动。

另外，公司的销售、采购、生产、报销和支付、会计核算等均在系统上执行，且系统正持续优化和改进，以适应业务需要、安全性需要。以此实现业务信息准确、及时和完整地反映到会计核算中。

此外，公司组织架构相对扁平化，内部的各级例会制度、书面定期汇报制度、跨部门定期会议和研讨机制等，使得信息在上下层级之间、跨部门之间得到较充分的传递和讨论。由此加深了各岗位对公司的战略、业务规划、重点工作以及价值观和内部控制要求等方面的理解，提升了组织效率。

公司设立有举报电子邮箱，并将举报邮箱和举报电话公布在公司官网上。公司建立了调查处理举报和保护举报人的机制，由独立部门及时接收和处理内外部举报事项。此外，公司积极加强与业务往来单位、政府监管部门等的沟通，并将内部控制有关要求以政策发布、会议宣讲、合作协议附件等方式传递给公司合作伙伴。

5、内部监督

公司依法设立股东会、董事会，并在董事会下设有审计委员会、薪酬与考核委员会、战略委员会、提名委员会，按照中国证监会《上市公司股东会规则》、公司《股东会议事规则》《董事会议事规则》及各专业委员会工作规则运作，从治理结构上实现对公司各方面重要工作的监督，其中，审计委员会是公司内部控制监督机构。公司设立了内审部，对公司的业务活动、风险管理、内部控制、财务信息等事项进行监督检查，此过程中，接受审计委员会的监督指导，向审计委员会报告工作。公司内部管理团队在日常工作中，根据事项的风险及重要程度，设置相应的事前审核、事后分析和检查机制。以上综合起来，从不同角度对公司的内部管理和风险把控进行有效监督。

（四）内部控制缺陷认定及整改情况

1、财务报告内部控制缺陷认定及整改情况

根据上述财务报告内部控制缺陷的认定标准，报告期内公司不存在财务报告内部控制重大缺陷、重要缺陷。

2、非财务报告内部控制缺陷认定及整改情况

8根据上述非财务报告内部控制缺陷的认定标准，报告期内未发现公司非财务报告内

部控制重大缺陷、重要缺陷。

四、其他内部控制相关重大事项说明

报告期内，公司无需要说明的其他内部控制相关的重大事项。

绿盟科技集团股份有限公司董事会

2026年4月21日

9