科蓝软件:2025年度内部控制评价报告

北京科蓝软件系统股份有限公司

2025年度内部控制自我评价报告

为了逐步完善北京科蓝软件系统股份有限公司（以下简称“公司”或“本公司”）内部治理和

组织结构，形成科学的决策、执行和监督机制，确保公司经营管理合法合规以及经营活动的有序进行，提高经营效率和效果，根据中国证券监督管理委员会、深圳证券交易所等部门对上市公司内部控制的有关要求，以及《中华人民共和国公司法》（以下简称“《公司法》”）、《中华人民共和国证券法》（以下简称“《证券法》”）、《深圳证券交易所上市公司自律监管指引第2号——创业板上市公司规范运作》（以下简称“《创业板上市公司规范运作》”）、《企业内部控制基本规范》等法律法规，在内部控制日常监督和专项监督的基础上，我们对截止到

2025年12月31日公司内部控制的完整性、合理性及有效性进行了自我评价。

一、重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任；内部审计机构对公司内部控制执行情况进行监督；管理层负责组织领导公司内部控制的日常运行。公司董事会及董事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是建立行之有效的风险控制系统、强化风险管理，保证公司各项业务活动的健康运行，规范公司经营行为，保证会计资料、财务报表及相关信息的真实、准确和完整，建立良好的内部控制环境，保证公司资产的安全和完整。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二、基本情况

本公司前身为北京科蓝软件系统有限公司（以下简称“科蓝有限公司”），于1999年11月9日经北京市人民政府以外经贸京资字[1999]0525号《中华人民共和国外商投资企业批准证书》批准设立，设立时系外商独资企业。2012年8月24日，北京市经济技术开发区管委会出具京技管项审字[2012]180号《关于北京科蓝软件系统有限公司转制为内资企业的批复》，同意科蓝有限公司转制为内资企业。2013年11月30日，科蓝有限公司整体变更为股份有限公司。

2017年5月12日，本公司经中国证券监督管理委员会证监许可[2017]690号文《关于核准北京科蓝软件系统股份有限公司首次公开发行股票的批复》的核准，发行社会公众股3286万股，并于2017年6月8日在深圳证券交易所创业板上市交易，股票代码：300663。公司现持有统一社会信用代码为 91110302717741973K的营业执照。公司注册地址：北京市北京经济技术开发区西环南路 18号 A座 450室，法定代表人为王安京。

本公司经营范围：开发、生产电脑软硬件、网络产品；技术咨询、技术服务及售后维修服务；销售自产产品；货物进出口、技术进出口、代理进出口；人力资源服务。本公司为金融软件和全方位一体化数字金融专家级解决方案服务供应商，主营业务是向以银行为主的金融机构提供线上应用软件产品及国产化数据库等技术产品，为银行等金融行业企业提供基于互联网技术的咨询、规划、建设、营运、产品创新以及市场营销等互联网银行一揽子解决方案。主要产品和服务为：互联网渠道系列产品、大中台产品、新一代银行核心产品、分布式事务型数据库、

智慧银行-网点智能设备及安全类产品等。

三、内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括：北京科蓝软件系统股份有限公司、深圳科蓝金信科技发展有限公司、

北京尼客矩阵科技有限公司、SUNJESOFT株式会社、深圳宁泽金融科技有限公司、大陆云盾

电子认证服务有限公司等。纳入评价范围单位资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财务报表营业收入总额的100%。

公司纳入评价范围的事项包括内部环境、风险评估、控制活动、信息与沟通、内部监督；

纳入评价范围的主要业务包括货币资金管理、销售与收款管理、采购与付款管理、项目成本费

用管理、资产管理、对外投资管理、关联交易管理、对外担保管理、信息披露等业务。同时通过风险检查、内部审计等方式对公司内部控制的设计及运行的效率、效果进行独立评价。重点关注的高风险领域包括：货币资金管理、销售与收款管理、采购与付款管理、项目成本费用管理等。

四、内部控制评价结论

根据公司财务报告内部控制重大、重要缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大、重要缺陷。董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

根据公司非财务报告内部控制重大、重要缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大、重要缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

五、公司内部控制体系的建立及实施情况

（一）公司内部控制建设情况

1、内部环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置、内部审计、人力资源政策、企业文化等。内部环境的好坏直接决定着企业其他控制能否实施以及实施的效果。公司遵循不相容职务相分离的原则，合理设置部门和岗位，科学划分职责和权限，形成各司其职、各负其责、相互配合、相互制约的内部控制体系。主要体现在以下几个方面：

（1）治理结构

公司按照《公司法》、《证券法》、《上市公司治理准则》、《企业内控基本规范》、《创业板上市公司规范运作》等法律、法规及规范性文件的要求，建立了规范的公司治理结构和议事规则，制定了符合公司发展要求的各项规则和制度，明确决策、执行、监督等方面的职责权限，形成了科学有效的职责分工和制衡机制。股东会、董事会、审计委员会分别按其职责行使决策权、执行权和监督权。股东会处于决策的核心地位，依法行使对公司经营方针、筹资、投资、利润分配等重大事项的决定权。董事会对股东会负责，执行股东会决议，依法行使企业的经营管理权。董事会下设战略委员会、薪酬与考核委员会、提名委员会和审计委员会等四个专业委员会。董事会8名董事中，有3名独立董事。董事能够依据《董事会议事规则》、《独立董事工作制度》、《创业板上市公司规范运作》等开展工作，按时出席董事会、专门委员会和股东会，勤勉尽责地履行职责和义务。审计委员会对董事会负责，处于监督评价的核心地位。

公司高级管理人员和经理层负责组织实施股东会、董事会决议事项，主持公司的日常经营管理，是决策的执行者。决策层、监督层、经营管理层按照工作规则各司其职，各负其责，相辅相成，相互制衡。

（2）组织结构

随着金融科技行业的快速发展，市场和客户需求持续迭代升级。为了保障公司日常生产经营和管理工作高效有序推进，公司构建了“前台交付、中台赋能、后台支持”的三位一体的部门体系，各体系职能定位清晰、协同联动，支撑公司战略落地与业务持续发展。

前台交付部门聚焦市场拓展与业务落地，涵盖总部营销中心、项目管理中心、特色产品事业群等核心业务单元，同时下设南部大区、中东大区、三北大区等区域交付板块及子公司，形成“总部业务线+区域交付+子公司拓展”的多元交付格局，直接对接市场与客户需求。中台赋能部门围绕客户价值、产品创新与质量安全提升，设立业务发展中心、研发与集中交付中心、科蓝创新研究院、项目安全监督中心四大核心部门。后台支持部门为公司整体运营提供坚实保障，设置运营管理中心、财务法务中心、人力资源组织中心、战略合作部等六大职能板块。各体系部门间各司其职，相互协作、相互牵制。

（3）内部审计

公司设立内审部全面负责内部控制及内部审计工作，根据《内部审计管理制度》的要求，内审部负责公司的内部审计监督工作，包括监督和检查公司内部控制制度的执行情况，评价内部控制的科学性和有效性，提出完善内部控制建议；定期与不定期地对财务、内部控制、重大项目及其业务进行审计和例行检查，控制和防范风险。对在审计或调查过程中发现的内部控制缺陷，依据缺陷性质按照既定的汇报程序向管理层或审计委员会报告，并督促相关部门采取积极措施予以改进和优化。内部审计机构向董事会负责，并接受审计委员会的监督和指导，独立行使审计职权，不受其他部门干涉。

（4）人力资源政策

公司根据自身发展需求，结合实际情况，已建立和实施了聘用、培训、考核、奖惩、晋升和淘汰等人事管理规定。公司将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，重视员工培训，不断提升员工业务专业技术和综合素质。

（5）企业文化

公司多年来矢志不渝的深耕金融科技领域，坚持创新驱动发展，深化科技自立自强，致力于将核心技术牢牢掌握在国人手中。公司重视企业文化建设，提倡用正确的企业价值观引导职工，积极创造适合人才竞争和发展的企业文化氛围，为高素质人才发挥才智、实现价值提供平台和机会，调动了员工的工作积极性。

2、风险评估

为促进公司持续、健康、稳定发展，实现经营目标，公司根据战略目标及发展策略，结合行业特点和业务情况，制定和完善风险管理政策和措施，实施内部控制设计和执行情况的检查和监督，确保业务风险的可知、可防与可控，确保公司经营安全，将风险控制在可接受的范围内。

公司管理层至各层级员工都认识到风险管理对于公司生存、发展和战略目标实现的重要性，并将风险管理体现在了各种日常管理之中。

3、控制活动

（1）授权审批控制

公司各项需审批业务有明确的审批权限及流程，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司的日常审批业务通过在信息化系统平台上进行控制以保证授权审批控制的效率和效果。

（2）不相容职务分离控制

公司根据业务需要设置各业务岗位，并通过岗位职责说明详细阐述各岗位的任职条件、职责权限等，充分考虑到各业务流程中所涉及的不相容职务进行分析、梳理和不相容职务分离的控制要求，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

（3）会计系统控制

公司在严格执行国家统一的《会计法》和《企业会计准则》及相关规定的基础上，进行会计基础管理工作，完善财务报告编制、合并、内部审核、披露、报送、审计等工作流程，建立起了一套较为健全的财务内控体系，保证财务报告的真实、完整和决策有用。

（4）凭证与记录控制

公司严格审核原始凭证并合理制定了凭证流转程序，要求交易执行应及时编制有关凭证并送交会计部门记录，已登账凭证依序归档。公司在审核外部凭证方面，根据各部门、各岗位的职责划分建立了较为完善的相互审核制度，有效杜绝了不合格凭证流入企业。在内部凭证的编制及审核方面，所有凭证都经过签名或盖章。所有交易通过会计内部分工审查、批准、入账与结算，及时编制凭证记录交易，登账后依序归档。

（5）信息技术控制

公司对信息技术控制进行了规范，主要包括信息处理设施安装使用管理程序、网络设备安全配置管理程序，用户访问管理程序、信息系统获取管理程序，信息系统访问与使用监控管理程序等，这些信息技术控制规范相互协同，形成了一套严密的防护网，有力地支撑了公司业务的稳健发展，确保公司在数字化运营过程中信息资产的安全与有效利用。

（6）独立稽查控制公司专门设立内审部，内审部作为董事会下设审计委员会的日常工作执行机构，负责对公

司经营和管理进行审计。对货币资金、凭证和账簿记录、采购、付款、工资管理、账实相符的真实性、准确性、手续的完备程度进行审查、考核。

4、信息与沟通

公司建立了较为有效的内部信息和外部信息沟通渠道，内、外部信息能够有效传递，实现公司内部各管理层级及公司外部投资者、客户、供应商、中介机构、监管部门及新闻媒体的沟通和反馈。

内部沟通方面，公司通过各种例会、办公会等方式管理决策，保证公司的有效运作。公司致力于信息安全管理体系建设，制定了一系列信息安全方针、策略和制度，以保护公司信息资产、积极预防安全事件的而发生。IT支持部负责公司业务运营系统和办公管理系统的规划、开发与管理，组织公司各类需求的开发与维护。

外部信息沟通方面，公司通过《重大信息内部报告制度》、《信息披露管理办法》等制度，详细规定了公司各职能部门、控股子公司的信息报告内容，明确内部控制相关信息的收集、处理和传递程序和范围，确保对信息的合理筛选、核对、分析和整合，并按照监管部门的要求，及时准确地在指定媒体、公司网站披露公司生产经营方面的重大信息，为投资者及时了解公司经营动态提供了保证。

5、内部监督

公司制定了《内部审计管理制度》，明确了审计委员会、内审部在内部监督工作中的职责、权限、内容、程序。内审部作为执行公司日常审计监督的部门，对监督过程中发现的内部控制缺陷，能及时分析缺陷的原因，提出整改方案，并按制度规定向董事会、审计委员会或者管理层报告。公司审计委员会根据《公司章程》、《审计委员会工作细则》等制度行使职权，对公司董事会负责，对董事、高级管理人员执行公司职务的行为、公司治理等重大事项进行监督。

（二）公司内部控制执行情况

1.资金活动管理

为规范公司资金管理，保证资金安全，公司制定了《资金活动管理制度》、《费用报销管理制度》等，对货币资金的收支和保管、费用的报销原则、报销标准及报销流程等建立了严格的授权批准程序，办理货币资金业务的不相容岗位已作分离。公司日常执行中严格遵循有关制度和程序的要求。

2.采购与付款管理公司制定了《采购合同及相关工作要求及流程》，规范了请购与审批、询价、合同签订、供应商管理、付款等采购业务操作，公司根据业务发展情况以及外部环境的变化，不断完善公司采购业务流程，及时更新公司相关的采购与付款制度，确保了相关流程控制的有效性。

3.销售与收款管理

公司制定了一系列销售环节的控制措施，覆盖从市场拓展开始至项目立项、投标评审、合同签订与审核、项目实施进度跟踪，再到销售收入确认、项目回款等各个环节。为更好维护和拓展公司业务，促进公司的销售业绩和利润的稳步提升，制定了《销售人员考核激励管理办法》，同时，为保证正向经营性现金流，由销售人员对业务回款进行实时跟踪，运营管理中心对超期和异常回款进行跟进。

4、成本与费用管理

公司已制定成本核算及费用报销的管理制度，依据制度规定的成本费用支出范围及公司相关管理要求，对成本费用支出实施审核与管控，同时通过 VP 系统实时监控成本费用执行及成本控制情况，针对实际发生的预算差异偏差较大的项目，系统及时向相关人员预警，敦促其采取对应管控措施，保障成本数据的真实可靠与及时准确。

5.固定资产管理

为规范公司固定资产管理，提高其使用效益，公司已建立了较科学的固定资产管理程序，并制定了《公司固定资产管理规定》，对公司固定资产登记、购置、领用、转移、维修、报废等进行了规定。固定资产由保管责任人及其团队管理，行政管理部统一登记并定期盘点，以便及时知晓资产的数量、状态与变动情形，切实保障固定资产的安全完整，促进公司固定资产管理的规范。

6.项目管理

公司为了规范项目实施，对项目实行预算管理，制定了包括《项目管理规范》、《项目质量管理方案》、《项目预算编制制度》在内的一系列项目管理制度。公司对项目立项审批、项目预算编制、预算审批、项目执行、监督、绩效考核等进行了规范，明确了项目管理过程中的项目管理制度及操作规范等。

7.对外投资管理

公司制定了《对外投资管理制度》、《对外投资管理工作细则》、《投资决策管理制度》

对对外投资的投资组织管理机构、决策范围、决策程序、外投资的转让与收回、决策的执行及

监督检查、人事财务管理及审计等作出了明确规定。公司对外投资实行专业管理和逐级审批制度，按照规定的权限和程序办理对外投资业务，确保对外投资全过程得到有效控制。8.关联交易管理为规范公司关联交易，有效控制关联交易风险，公司制定了《关联交易管理制度》。对关联人和关联交易的范围、关联交易价格的确定和管理、关联交易的程序与披露、回避表决等作

出了明确的规定，以保证公司关联交易符合公平、公正、公开的原则，从而合理保证股东和公司的合法权益。

9.对外担保管理

为有效控制公司对外担保风险，公司制定了《融资与对外担保管理制度》，对对外担保的条件、审批程序、执行和风险管理、信息披露等作出了明确规定，确保了公司对外担保活动的内部控制有效执行，有效控制了对外担保风险，保证公司资产安全。

10.募集资金管理

为了有效防范投资风险，规范公司募集资金管理，提高募集资金使用效率和效益，公司制定了《募集资金管理办法》，对募集资金的专户存储、使用、监督和责任追究等相关内容作了明确规定，并及时披露募集资金的使用情况。

11.信息披露管理

为规范公司信息披露行为，加强信息披露事务管理，切实保护投资者的合法权益，公司制定了《信息披露管理制度》《重大信息内部报告制度》《内幕信息知情人登记备案制度》等相

关管理制度，明确规定了信息披露的关联人和关联交易的范围、关联交易价格的确定和管理、关联交易的程序与披露、回避表决等，规范了公司重大信息报告和信息披露行为，确保公司信息披露工作的准确性、及时性与合规性。

六、内部控制评价工作依据及内部控制缺陷认定标准

公司依据企业内部控制规范体系及《创业板上市公司规范运作》、《深圳证券交易所创业板股票上市规则》等相关法律、法规和内部规章制度的要求，组织开展内部控制评价工作。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于公司的内部控制缺陷具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下：

1.财务报告内部控制缺陷认定标准

本公司以来自经常性业务的利润总额为判断财务报告错报（含漏报）重要性定量标准，具体如下：重大缺陷：错报≥利润总额10%。

重要缺陷：利润总额5%≤错报<利润总额10%。

一般缺陷：错报<利润总额5%。

公司确定的财务报告内部控制缺陷评价的定性标准如下：

（1）重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

出现下列特征的，认定为重大缺陷：

A、董事、高级管理人员舞弊；

B、对已经公告的财务报告出现的重大差错进行错报更正；

C、注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；

D、审计委员会以及内部审计部门对财务报告内部控制监督无效。

（2）重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷