威士顿:2024年度内部控制自我评价报告

上海威士顿信息技术股份有限公司

2024年度内部控制自我评价报告

（2025年4月21日已经第四届董事会第十次会议审议通过）

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称“企业内部控制规范体系”），结合上海威士顿信息技术股份有限公司（以下简称“公司”）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2024年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。

一、董事会重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及全体董事、监事、高级管理人员保证本报告内容不存在任何

虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及

相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二、内部控制评价工作情况

(一)内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的单位为母公司。纳入评价范围单位资产总额占公司合并

1财务报表资产总额的96.35%，营业收入合计占公司合并财务报表营业收入总额

的91.78%；纳入评价范围的事项包括内部环境、风险评估、控制活动、信息沟

通、内部监督；纳入评价范围的主要业务包括对外担保、关联交易、对外投资、

财务会计、销售业务、采购业务、存货管理、研发与开发等。纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。

(二)内部控制评价工作依据及内部控制缺陷认定标准

公司依据《企业内部控制基本规范》及其配套指引等相关规定，结合公司相关制度、流程、指引等文件规定，组织开展内部评价工作。公司董事会根据企业内部控制规范对内部控制缺陷的认定要求，结合公司实际情况，区分财务报告内部控制和非财务报告内部控制，按照对影响内控控制目标的严重程度分为：重大缺陷、重要缺陷、一般缺陷，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下：

1、财务报告内部控制缺陷认定标准

（1）公司确定的财务报告内部控制缺陷评价的定量标准如下：

定量标准以营业收入、资产总额作为衡量指标。

内部控制缺陷可能导致或导致的损失与利润表相关的，以营业收入衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于营业收入的

1.00%，则认定为一般缺陷；如果大于等于营业收入1.00%但小于2.00%，则为重

要缺陷；如果大于等于营业收入的2.00%，则认定为重大缺陷。

内部控制缺陷可能导致或导致的损失与资产管理相关的，以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于资产总额的0.50%，则认定为一般缺陷；如果大于等于资产总额的0.50%但小于1.00%认定为重要缺陷；如果大于等于资产总额1.00%，则认定为重大缺陷。

（2）公司确定的财务报告内部控制缺陷评价的定性标准如下：

重大缺陷的迹象包括：*公司董事、监事和高级管理人员的舞弊行为；*

公司更正已公布的财务报告；*注册会计师发现的却未被公司内部控制识别的

2当期财务报告中的重大错报；*审计委员会和审计部门对公司的对外财务报告

和财务报告内部控制监督无效。

重要缺陷的迹象包括：*未依照公认会计准则选择和应用会计政策；*未

建立反舞弊程序和控制措施；*关键岗位人员舞弊；*对于非常规或特殊交易

的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；*对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报

表达到真实、完整的目标。

一般缺陷是指除上述重大缺陷、重要缺陷之外的其他控制缺陷。

2、非财务报告内部控制缺陷认定标准

（1）公司确定的非财务报告内部控制缺陷评价的定量标准如下：

非财务报告内部控制缺陷评价的定量标准参照财务报告内部控制缺陷评价的定量标准执行。

（2）公司确定的非财务报告内部控制缺陷评价的定性标准如下：

重大缺陷的迹象包括：*严重违反国家法律法规被处以严重罚款或承担刑事责任；*重大决策程序不科学；*重要业务缺乏制度或制度系统性失效；*中

高级管理人员和高级技术人员流失严重；*内部控制评价的结果特别是重大缺陷未得到整改。

重要缺陷的迹象包括：*违反规定被处以较大罚款；*决策程序导致出现

一般性失误；*重要业务制度或系统存在较大缺陷；*关键岗位业务人员流失严重；*内部控制评价的结果特别是重要缺陷未得到整改。

除上述重大缺陷、重要缺陷之外的其他控制缺陷为一般缺陷。

非财务报告缺陷认定主要以缺陷对业务流程有效性的影响程度、发生的可能性作判定。

如果缺陷发生的可能性较小，会降低工作效率或效果、或加大效果的不确定性、或使之偏离预期目标为一般缺陷；

如果缺陷发生的可能性较高，会显著降低工作效率或效果、或显著加大效果的不确定性、或使之显著偏离预期目标为重要缺陷；

3如果缺陷发生的可能性高，会严重降低工作效率或效果、或严重加大效果的

不确定性、或使之严重偏离预期目标为重大缺陷。

三、公司内部控制体系

公司不断完善治理结构，形成了股东大会、董事会、监事会和经理层各司其职、各负其责、相互制约的工作机制；同时，明确界定公司内部各部门、岗位的目标、职责和权限，建立相应的授权、检查和问责制度，设立了内部审计部门，确保各部门、岗位之间相互制衡、相互监督。公司内部控制体系由内部环境、风险评估、控制活动、信息沟通和内部监督构成。具体如下：

(一)内部环境

1、治理结构

股东大会：为健全和规范公司股东大会议事规则和决策程序，提升公司的治理水平及工作效率，根据《中华人民共和国公司法》、《上市公司章程指引》、《上市公司股东大会规则》等有关法律、法规、规范性文件及《上海威士顿信息技术股份有限公司章程》的有关规定，制定了《股东大会议事规则》。《股东大会议事规则》对股东大会职责、股东大会的召集、股东大会的提案与通知、股东

大会的召开等程序作了明确的规定，保障股东依法行使股东权利，确保股东大会高效、平稳、有序、规范运作。

董事会：为健全和规范董事会议事程序，提高董事会工作效率和科学决策的水平，保证公司经营活动和管理工作的顺利进行，根据《中华人民共和国公司法》、《上市公司治理准则》等有关法律、法规、规范性文件及《上海威士顿信息技术股份有限公司章程》的有关规定，制定了《董事会议事规则》。公司董事会对股东大会负责，由股东大会选举产生。公司董事会下设战略委员会、提名委员会、薪酬与考核委员会、审计委员会四个专门委员会，专门委员会委员均由公司董事、独立董事担任。公司制定并修订了《董事会议事规则》、《董事会秘书工作制度》、《独立董事工作制度》、《战略委员会工作规则》、《提名委员会工作规则》、《薪酬与考核委员会工作规则》、《审计委员会工作规则》，规定了董事会的组成和职责、董事会议事规则、独立董事工作程序、各专门委员会的

4组成和职责等内容。这些制度的制定并有效执行，保证专门委员会有效履行职责，

为董事会科学决策提供帮助。

监事会：公司设监事会，对股东大会负责并报告工作。为健全和规范公司监事会的议事方式和表决程序，确保监事会的工作效率和科学决策，促使监事和监事会有效地履行监督职责，完善公司法人治理结构，根据《中华人民共和国公司法》等有关法律、法规、规范性文件及《上海威士顿信息技术股份有限公司章程》

的有关规定，制定了《监事会议事规则》。该规则对监事会的构成、监事会的职权、监事会会议的召开、决议等作了明确规定。该规则的制定并有效执行，有利于充分发挥监事会的监督作用。

控股股东和公司：公司与控股股东在人员、资产、财务方面分离，公司经营业务、机构运作、财务核算独立并承担经营责任和风险。公司董事会、监事会和内部管理机构独立运作，确保公司重大决策能够按照法定程序和规范要求作出。

公司尊重并维护员工、供应商等利益相关方的合法权益，与他们共同推动公司健康、持续、稳定发展。

2、组织机构

公司根据自身业务特点和内部控制要求设置了内部组织机构，明确了各自的职责权限，将权利与责任落实到了各责任部门。各部门按照独立运行、相互制衡的原则，通过相应的岗位职责，使各部门职能明确、权责明晰、能有效执行公司管理层的各项决策。

公司组织结构如下：

53、内部监督

公司设有比较完善的内部监督体系，监事会、审计委员会及下设的内审部共同构成公司内部监督体系。几个机构各司其职，为公司内部控制提供保障。

公司董事会下设的审计委员会代表董事会对内控制度的完善性、合理性以及

执行的有效性予以监督检查，审议内部审计部门提交的工作计划和报告等。审计委员会由三名董事组成，会计专业背景的独董担任本委员会的召集人，负责主持委员会工作。

此外，公司制定了《监事会议事规则》。该规则的制定并有效执行，有利于充分发挥监事会的监督作用。

4、人力资源政策

公司重视人力资源储备，努力为各类人才营造可以发挥才智的平台，为职场新人提供学习成长机会。根据项目需求合理调配人力资源，努力调动员工的劳动积极性和主观能动性，为公司今后进一步发展提供了人力资源方面的保障。

5、信息沟通

公司关注信息沟通，关注基础信息的质量和使用的规范性。在日常经营过程中，公司利用多个信息化的平台，提高沟通效率，保存各类数据，规范流程。公司通过总经理办公会、经营例会、项目总结会等信息沟通渠道和决策机制提供管理决策。公司通过各种形式与方法，使业务部门和职能部门上传和下达的报告线清晰有效，内部沟通较为及时顺畅；公司与业务往来单位、中介机构、监管部门、投资者，也建立了必要的信息沟通和反馈渠道，能及时获取外部信息并做出及时反应。

(二)风险评估

公司虽然未设置专门的风险管理部门对风险进行管理，但在内部控制审计执行过程中已对各个环节可能出现的经营风险、财务风险、市场风险、政策法规风

险和道德风险等能够进行一定的识别、计量、评估和监控，对已识别可接受的风险，公司要求量化风险，制定控制和减少风险的方法，并进行持续监测、定期评估；对于已识别不可接受的风险，公司要求必须制定风险处理计划。

6(三)控制活动

公司控制活动是公司根据风险评估结果，采取相应的控制措施，将风险控制在可接受的范围之内。在对外担保、关联交易、对外投资、财务管理、销售、采购、存货、产品研发、质量管理等容易产生风险的业务已建立相关内部控制制度，执行了相关程序，具体情况如下：

1、对外担保为规范公司的对外担保行为，有效控制风险，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国民法典》《上市公司监管指引第8号——上市公司资金往来、对外担保的监管要求》（证监会公告〔2022〕

26号）等相关法律法规及公司章程的规定，并结合公司实际情况，制定了对外担保制度。

该制度要求公司对外担保应当遵循合法、审慎、互利、安全的原则，严格控制担保风险。且公司的对外担保必须经股东大会或董事会审议。公司董事会应当在审议对外担保议案前充分调查被担保人的经营和资信情况，认真审议分析被担保方的财务状况、营运状况、行业前景和信用情况，依法审慎作出决定。

董事会根据《上海威士顿信息技术股份有限公司章程》及本制度有关董事会对外担保审批权限的规定，行使对外担保的决策权。超过《上海威士顿信息技术股份有限公司章程》及本制度规定权限的，董事会应当提出预案，报请股东大会批准。董事会组织管理和实施经股东大会通过的对外担保事项。

2、关联交易

为了规范公司的关联交易行为，保证公司与关联方所发生关联交易的合法性、公允性、合理性，充分保障股东和公司的合法权益，依据《中华人民共和国公司法》、《中华人民共和国证券法》等法律法规和《上海威士顿信息技术股份有限公司章程》等有关规定，制定关联交易决策制度。公司关联交易的内部控制应遵循诚实信用、平等、自愿、公平、公开、公允的原则，不得损害公司和其他股东的利益。

公司应对关联关系对公司的控制和影响的方式、途径、程度及可能的结果等

方面做出实质性判断，并作出不损害公司利益的选择。

7达到《上海威士顿信息技术股份有限公司章程》和本制度等规定的关联交易

由董事会或股东大会审议金额标准，由董事会或股东大会审议。未达到应由董事会或股东大会审议的关联交易金额标准的，可由董事会授权总经理决定。审议关联交易时，关联董事或股东应回避表决。独立董事专门会议应当对重大关联交易进行审议，并对交易的公允性发表意见。公司按规定履行相应的披露义务。

3、对外投资

为维护公司及其股东的合法权益，加强对外投资的内部控制，规范对外投资行为，防范对外投资风险，保证对外投资的安全，提高对外投资的效益，依照《中华人民共和国公司法》等以及国家其他法律、法规的规定，结合《上海威士顿信息技术股份有限公司章程》、《股东大会议事规则》、《董事会议事规则》

等公司制度，制定对外投资管理制度。

公司对外投资行为必须符合国家有关法规及产业政策，符合公司发展战略，有利于增强公司竞争能力，有利于合理配置企业资源，创造良好经济效益，促进公司可持续发展。

公司对外投资实行专业管理和逐级审批制度。对投资的必要性、可行性、收益率进行切实认真的认证研究。对确信为可以投资的，按照本公司发布的投资管理规定，按权限逐层进行审批。经营管理层的审批权限不能超出董事会的授权。

董事会的审批权限不能超出公司股东大会的授权。公司委托理财事项达到标准应由公司董事会或股东大会审议批准，不得将应履行委托理财审议权授予公司董事个人或经营管理层行使。

4、财务管理

为了适应市场经济发展需要，加强内部财务管理，规范公司的财务行为，依据《中华人民共和国会计法》、《企业会计准则》及其他相关规定，结合公司的经营特点和管理要求，制订并完善了《财务管理制度》、《财务印章管理制度》、《货币资金管理制度》、《融资管理制度》、《银行账户及存款管理制度》、

《现金管理》、《票据管理》、《出差管理》、《募集资金管理制度》等相关制度。财务管理的目标是做好各项财务收支的计划、控制、核算、分析和考核工作，依法合理筹集资金，优化资源配置，实现经济效益最大化；财务管理应遵循资金合理配置、成本效益最优、收益风险均衡、分级分权管理、利益关系协调的原则；

8公司财务部是本制度的执行主体，负责管理、考核、监督、控制公司财务的运行情况。在制度执行层面，公司依托信息化平台进行报销支付等资金授权审批管理，可有效防范资金风险。

5、销售和收款

为了促进公司销售稳定增长，扩大市场份额，规范销售行为，防范销售风险，根据《中华人民共和国会计法》、《企业内部控制具体规范》及《企业内部控制应用指引第9号—销售业务》等法律法规，并结合公司的实际情况，制定并完善了《投标管理办法》、《客户信用管理规定》、《销售合同变更程序》、《客户开发与管理程序》、《销售管理程序》、《销售合同审核程序》、《销售价格管理》、《应收账款管理》等制度，通过建立销售业务岗位责任制，明确规定相关部门和岗位的职责与权限，确保办理销售业务的不相容岗位相互分离、制约和监督，并合理采用科学的信用管理技术，不断收集、健全客户信用资料，建立客户信用档案或者数据库，防止向未经信用授权客户发出货品。公司建立销售业务授权制度和审核批准制度，并按照规定的权限和程序办理销售业务。报告期内建立新客户的信用评定标准，借助信息化平台动态跟踪业务交付与销售回款进度。

6、采购和付款

公司建立采购业务岗位责任制，明确规定相关的部门和岗位的职责与权限，确保办理采购业务的不相容岗位相互分离、制约和监督。物资采购遵循严格的合理储备需求指标及采购流程，合理确定采购进度，减少因盲目采购而导致材料的积压闲置。公司在采购活动中有关管理程序，主要包括采购询价、请购与审批、采购与验收、收发货物和安装验收、核算与付款、应付账款管理等环节的基本规范，大部份作业环节在信息系统中实现流程或信息管理。

供应商管理方面遵循供应商管理办法，对供应商的准入和过程进行管理，动态跟踪供应商信息，定期更新合格供应商名录。关注与重点厂商保持稳定合作。

应付账款管理，公司利用信息化系统跟踪采购交付进度，根据合同执行情况和付款账期，合理有序安排商务支付货款，款项支付同样利用信息化系统进行权限控制，可有效防范产生差错。

7、存货管理

9公司建立存货业务岗位责任制，明确规定相关的部门和岗位的职责与权限，

确保办理存货业务的不相容岗位相互分离、制约和监督，可规范存货管理和核算工作，正确核算存货成本，保护存货的安全完整，提高存货的利用效率与效果。

公司存货管理制度主要包括：存货的入库核算流程、存货的日常管理流程、

存货的出库核算流程、存货的盘点清查流程以及存货的期末计价。

8、研究与开发

公司主要在技术研究、产品研发和已有产品技术升级等方面进行研发。技术研究以跟踪、学习和掌握前沿新技术为目标，能够形成基于该技术应用的小型试点，并总结出快速培训和推广应用的方法；产品研发以新产品研发为目标，实现公司新产品评审目标的研发产品，并支持新产品的应用项目实施，更快速的获取客户对新产品的需求反馈，发现新产品的缺陷和问题，逐步完善、优化产品，最终交付可实施版本；已有产品技术升级，是指对原来已经开发的产品进行技术架构升级，人工智能技术的融入，以保障产品的高可用性、技术的先进性，确保产品的生命力。公司的研发管理机制涵盖了公司研发项目从总预算控制、研发立项评审、研发项目费用控制、过程管理、结项验收等方面。

公司项目研发实施立项申请实施审批制管理。审批一般考虑行业需求和机会、技术先进性、公司的优势及其与战略的匹配性。

在项目结项时会对研发成果进行评价，并研发成果进行管理，实施软件产品、著作权以及专利申请，并对项目过程和最终文档的存档备案等。

公司制定并完善的《研发管理制度》、《项目管理制度》、《项目质量管理办法》、《工时管理程序》、《知识产权管理办法》、《人员专业资质管理办法》

等专项制度覆盖项目管理、人才培养、成果转化等内部控制环节，报告期内得到比较有效的执行。

(四)信息披露与沟通

公司制定了《重大信息内部报告制度》，对公司公开信息披露和重大内部信息沟通进行全程控制。对重大信息披露的责任人、范围、内部报告程序等方面做了明确规定，确保公司信息披露的及时、准确、完整。

10四、内部控制评价结论

根据公司财务报告内部控制重大缺陷的认定标准，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

上海威士顿信息技术股份有限公司董事会

二〇二五年四月二十一日