熵基科技:瑞银证券有限责任公司关于熵基科技股份有限公司2024年年度内部控制评价报告的核查意见

瑞银证券有限责任公司关于熵基科技股份有限公司

2024年年度内部控制评价报告的核查意见

瑞银证券有限责任公司（以下简称“瑞银证券”、“保荐机构”）作为熵基科技股

份有限公司（以下简称“熵基科技”、“公司”）首次公开发行股票并在创业板上市的

保荐机构，根据《证券发行上市保荐业务管理办法》、《深圳证券交易所创业板股票上市规则》、《深圳证券交易所上市公司自律监管指引第2号——创业板上市公司规范运作》、《企业内部控制基本规范》等相关法律、法规和规范性文件的要求，对熵基科技2024年年度内部控制评价报告进行了核查，具体核查情况及意见如下：

一、内部控制评价结论

公司董事会认为，根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

二、内部控制评价工作情况

（一）内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括母公司以及纳入合并范围的全部子公司，纳入评价范围单位资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财务报表营业收入总额的100%。纳入评价范围的主要业务和事项包括：

控制环境、风险评估、控制活动、信息与沟通、内部监督五个方面，具体包括但不限于以下方面：治理与组织架构、人力资源、社会责任、企业文化、资金活动、销

1售业务、采购业务、存货管理、研究与开发、会计与财务报告、合同管理、全面预

算、对外投资管理、对外担保管理、关联方及关联方交易、信息系统、信息披露、内部审计等内容。

本年度重点关注的高风险领域主要包括财务报告、信息披露、资金管理、投资决策等。纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。

（二）公司内部控制基本情况

1.控制环境

公司的控制环境反映了治理层和管理层对于控制的重要性的态度，控制环境的好坏直接决定着内部控制制度能否顺利实施及实施的效果。公司本着规范运作的基本理念，正积极努力地营造良好的控制环境。

（1）公司治理及组织架构

在公司治理层面，公司已严格按照国家有关法律法规及公司章程，结合公司实际，明确股东大会、董事会、监事会、董事会专门委员会等机构在公司决策及运营管理中的作用，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。在企业管理层面，公司按照精简、高效的原则设置内部职能机构，明确各部门的职责权限，形成各司其职、相互配合、相互制约的内部控制体系。同时，公司对控股子公司的经营、资金、人员、财务等方面进行集中统一管理，防范经营风险。

（2）内部审计

公司设立内部审计部门，配备专职审计人员，在审计委员会的直接领导下独立行使审计职权，不受其他部门和个人的干涉。内部审计部门定期对公司及控股子公司的财务收支、公司内部管理体系以及内部控制制度的执行情况等进行审计监督，对发现的问题及时提出改进建议并跟踪整改落实情况。

（3）人力资源管理

公司根据国家有关法规政策，结合公司实际情况，制定和完善了一系列有利于企业可持续发展的人力资源政策，包括员工手册、考勤管理、组织绩效管理、员工

2绩效管理、薪酬管理等相关制度，对人员招聘、任用、辞退与辞职、工资薪酬、福

利保障、绩效考核、晋升与奖惩等进行规范管理，形成了良好的吸引人才、培养人才和留住人才的机制。公司根据集团业务发展需要，通过多种招聘途径，选用适合人才，安排在适合岗位，做到人尽其才、人尽其用，同时注重员工的职业道德修养和专业胜任能力的提升，切实加强员工的培训和继续教育，不断提升员工的素质，以保证了公司战略目标及经营计划的实现。

（4）企业文化作为一家具有社会责任感的企业，公司一直将“ZKTeco 熵基‘BioCV 让人与智慧社会更和谐’”作为愿景，也秉承着“一切以客户为中心，以品质为准则，以奋斗者为根本，持续创造价值”的宗旨，并将“以科技改变世界，让人类生活和社会发展更加安全、智慧”作为使命。同时，公司通过开展各种形式的企业文化活动，增强员工的凝聚力和归属感，营造良好的企业发展氛围。

（5）社会责任

公司以“责任、正直、求实、卓越”的核心价值观，坚持依法经营和规范运作，在保证内部正常运营与业务增长的基础上，积极参与社会公益，同步履行社会责任，公司坚持对外捐赠活动，主要包含教育、公益慈善、社区等。未来，公司也将继续努力，为客户、股东、员工和社会不断创造价值。

2.风险评估

公司根据战略目标及发展思路，结合行业特点，建立了系统、有效的风险评估体系，根据设定的控制目标，公司相关职能部门广泛、持续收集相关的内部、外部各种信息，包括收集历史数据、关注宏观经济环境和政策、竞争对手、新技术与新产品、内部运作等方面已经发生和将要发生的变化情况，对收集的信息及时进行风险评估，做到风险可控。公司已建立突发事件应急机制，应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。同时，董事会注意到，公司现有的风险评估机制中还需要对风险识别、预警和危机处理加强方法、制度、机制上的建设，并在突发事件应急机制及责任追究制度上进一步加强。

3.控制活动

3公司主要经营活动都有必要的控制政策及程序，为了保证控制目标的实现，也

为了确保公司的管理和运作均能得到有效的监控，保证内部控制能在经营管理中起到至关重要的作用，公司在交易与授权管理控制、不相容职务分离控制、会计系统控制、货币资金控制、预算控制、各业务环节循环控制等方面建立了有效的控制程序。

（1）交易与授权管理控制

公司在各项业务活动中建立了规范的授权审批流程，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。对于重大的业务和事项，如预算内大额资金的支付、重大投资项目的立项等，设有专门流程及审批权限，确保审批过程的规范、透明和有效。

（2）不相容职务分离控制

公司已全面系统地分析、梳理业务流程中所涉及的不相容职务，通过科学的岗位设置和职责分工，确保授权批准、业务经办、会计记录、财产保管、稽核检查等职责的有效分离，形成相互制约、相互监督的工作机制，防止出现错误和舞弊行为。

（3）会计系统控制

公司严格执行国家统一的会计准则制度，加强会计基础工作，规范财务行为，明确会计凭证、会计账簿和财务会计报告的处理和传递程序，确保财务信息的真实、准确和完整。同时，公司建立了完善的财务信息系统，如 OA 系统、SAP 系统等，提高了会计工作的效率和质量，为财务决策提供了有力支持。

（4）货币资金的内部控制

公司制定了《资金计划管理制度》《现金管理制度》《银行存款管理制度》《费用报销与对外资金支付管理制度》《募集资金管理制度》《远期结售汇管理制度》《委托理财管理制度》等制度，用以规范对货币资金收支以及保管业务的处理，保证公司财产的安全以及财务信息质量的真实可靠。设置与货币资金业务相关财务人员时做到不相容岗位相分离，相关机构和人员可以相互制约，建立严格的货币资金收支审批手续，确保公司货币资金的安全。

4（5）预算控制

公司实施全面预算管理制度，将公司的经营目标、投资计划、财务预算等进行有机结合，对预算的编制、审批、执行、调整等环节进行严格控制。通过预算控制，公司能够合理配置资源，提高资金使用效率，实现经营效益的最大化。

（6）销售与收款循环的内部控制

公司制定了可行的销售计划、销售政策及相关制度，合理的定价机制和信用方式，根据市场变化及时调整销售策略，促进市场占有率的提升，关注重要客户资信变动情况，防范客户信用风险，加强对销售合同审批、发货、对账、收款业务的控制，详细记录销售合同，货物发运凭证，款项收回情况，执行收款进度跟踪与催收等工作流程，确定收款部门及人员，将款项的回收与部门及人员的绩效考核及其奖惩挂钩，保证款项及时安全回收，减少坏账损失的发生。注重客户的货款签收环节，以及与客户的收货往来对账。加强客户售后服务，提升客户满意度和忠诚度，确保实现公司销售目标。

（7）采购与付款循环的内部控制

公司制定了一系列采购管理制度和控制措施，建立供应商评价机制，合理设置采购与付款业务的部门和岗位，明确职责权限，加强采购计划的编制与审批、供应商的选择、采购方式的选择、采购价格的确定、采购合同的签订、货物验收、付款

审批、会计处理审核、定期对账等环节的控制，减少采购与付款有关风险。

（8）生产与仓储循环的内部控制

公司分设不同的人员和岗位执行存货的采购、验收与付款业务，分别对存货的验收与保管、使用与清查、销售与发出、存货处置的申请审批和执行、存货收发存

的记录等不同环节建立适当岗位分工，明确其权限及责任，防止舞弊行为的发生，保证存货的安全完整。公司每月出具库存分析报告，对生产实际成本与标准成本每月进行对比分析，按月出具成本分析报告，查找差异原因并报相关部门审核。定期或不定期组织人员对存货进行盘点，合理安排库存消耗及备货计划，保证存货的真实性，做到账实相符。

（9）固定资产管理的内部控制

5固定资产是企业组织生产的重要资产，为了加强对公司固定资产的管理，公司

对固定资产的取得、移动、处置都制定了一系列的内部控制措施。固定资产的采购由需求部门提出采购申请，采购申请需要按照公司权限逐级审批，固定资产经入库需由行政部对该物料进行固定资产登记造册，固定资产实物统一由行政部门负责管理，使用部门需到行政部门办理领用手续，固定资产申请支付资金时需附上固定资产预算申请单、合同、入库单、验收单、发票，定期组织人员对固定资产进行盘点，保证账实相符。

（10）其他方面的内部控制此外，公司在融资循环、投资循环、研发循环和薪酬循环等方面都制定了一系列的规章制度，以加强内部控制，来规范各环节的操作，从而确保公司的各项业务正常、有序进行。

4.信息与沟通

公司高度重视信息与沟通工作，建立了比较完善的内部沟通机制来保障对内对外信息的透明，保证信息的及时性，有效性。对内沟通方面：公司建立了完善的内部信息传递系统，通过内部办公自动化系统（OA 系统）、内部邮件、内部刊物等多种渠道，及时、准确地传递公司的政策制度、经营信息、工作动态等，确保信息在公司内部各管理层级、各部门、员工之间的有效沟通和共享。同时，公司还建立了员工提案中心，鼓励员工积极反映工作中遇到的问题和提出合理化建议，为公司的决策提供参考依据。对外沟通方面，公司高度重视与投资者、行业协会、中介机构、业务往来单位以及相关监管部门等进行信息的沟通与反馈，并且通过市场调查、网络媒体等渠道，及时获取外部信息。

5.内部监督

公司内部监督主要体现在监事会对董事会和经理层的检查和监督、董事会对

经理层的检查和监督、经理层对各职能部门的检查和监督等方面。在检查和监督的手段方面，除一般的方式方法外，公司建立了独立董事制度和内部审计制度，使控制的各项规章制度落到实处，保证资产的安全与完整，确保在经营活动中产生的财会与非财会信息的真实、完整、有效。总体来看，公司内部的检查和监督活动是及时而有效的。

6（三）内部控制评价工作依据及内部控制缺陷认定标准

1.内部控制评价工作依据

公司依据企业内部控制规范体系，组织开展内部控制评价工作。基本流程包括：

制定内部控制评价方案：以风险为导向，根据年度内部审计工作计划，确定内部控制评价工作范围、具体内容、人员组织、时间安排、费用预算等相关内容，编制内部控制评价方案；

实施内部控制测试：对照内部控制评价标准，按照测试步骤和抽样方法，抽取一定的样本进行检查、测试，填写测试底稿、记录相关测试结果；

认定内部控制缺陷：汇总现场测试结果，与被测试部门充分交换意见，按照规定的程序和标准对内部控制缺陷的性质和严重程度进行认定；

内部控制测试结果沟通：将认定的内部控制缺陷汇总发送给各事业部进行确认，提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；

内部控制评价工作汇报：对于内部控制重大或重要缺陷、风险、事项，审计部须及时报告审计委员会；

编制内部控制评价报告：根据年度内部控制评价结果，按照规定的程序和要求，及时编制内部控制评价报告。

在评价过程中综合运用访谈、穿行测试、实地查验、抽样测试等方法，广泛收集内部控制设计和运行是否有效的证据，如实填写评价工作底稿，分析、识别内部控制缺陷。

2.内部控制缺陷认定标准

内部控制缺陷按照影响公司内部控制目标实现的严重程度，分为重大缺陷、重要缺陷和一般缺陷。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于公司的内部控制缺陷具体认定标准，公司确定的内部控制缺陷认定标准如下：

（1）财务报告内部控制缺陷认定标准

公司确定的财务报告内部控制缺陷评价的定量标准如下：

衡量指标重大缺陷重要缺陷一般缺陷

7资产总额的0.5%≤错报错报＜资产总额的

资产总额错报≥资产总额的1%

＜资产总额的1%0.5%

主营业务收入的1%≤错

错报≥主营业务收入的错报＜主营业务收

主营业务收入报＜主营业务收入总额

2%入总额的1%

的2%

利润总额的2%≤错报＜错报＜利润总额的