汇纳科技股份有限公司
内部控制自我评价报告
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求，结
合汇纳科技股份有限公司（以下简称“公司”）内部控制制度和评价办法，在内部
控制日常监督和专项监督的基础上，我们对公司 2023 年 12 月 31 日的内部控制有
效性进行了自我评价。
一、 重要声明
按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，
并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内
部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监
事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈
述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信
息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有
局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内
部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果
推测未来内部控制的有效性具有一定的风险。
二、 内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不
存在财务报告内部控制重大缺陷。董事会认为，公司已按照企业内部控制规范体系
和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公
司未发现非财务报告内部控制重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有
效性评价结论的因素。
三、 内部控制评价工作情况
公司董事会授权审计委员会负责内部控制评价的具体组织实施工作，对纳入评价范
围的高风险领域和单位进行评价。评价过程中，采用了个别访谈、专题讨论、穿行
测试、抽样和比较分析等适当方法，广泛收集公司内部控制设计及运行是否有效的
证据，如实填写评价工作底稿，分析、识别内部控制缺陷，发现不足，落实整改。
截至 2023 年 12 月 31 日止，覆盖股份公司及下属的 15 家子公司的内部控制规范基
本建立，审计委员会依据该规范持续对各部门和公司进行日常监督和专项检查。同
时审计委员会定期根据审计结果、《企业内控控制基本规范》及相关法规要求，梳
理并完善公司内控体系，保持了内控体系的有效性。
在董事会、监事会、管理层及全体员工的共同努力下，公司参照财政部等五部委联
合发布的《企业内部控制基本规范》等相关规定，已经建立起一套比较完整且运行
有效的内部控制体系，从公司治理层面到各业务流程层面均建立了系统的内部控制
制度及必要的内部监督机制，为公司经营管理的合法合规、资产安全、财务报告及
相关信息的真实完整、提高经营效率和效果、促进企业实现发展战略提供了合理保
障。
(一) 内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
1、 纳入评价范围的主要单位
包括：汇纳科技股份有限公司及 15 家子公司即深圳汇纳科技有限公司、南京
千目信息科技有限公司、匯納科技（香港）有限公司、汇客云（上海）数据服
务有限公司、上海象理数据服务有限公司、成都云盯科技有限公司、沈阳汇纳
科技有限公司、西安汇纳数据科技有限公司、北京汇纳远景科技有限公司、上
海多融科技发展有限公司、北京汇纳政通数据科技有限公司、无锡汇画科技有
限公司、西安汇纳升合科技有限公司、四川汇算智算科技有限公司及广州汇纳
数智科技有限公司。
纳入评价范围单位资产总额占公司合并财务报表资产总额的 100%，营业收入
合计占公司合并财务报表营业收入总额的 100%。
2、 纳入评价范围的主要业务和事项
内审部门从控制环境、风险评估、控制活动、信息与沟通和内部监督五个方面
对公司内部控制的设计及运行的总体情况进行了独立评价,具体评价结果阐述
如下:
(1)控制环境
公司控制环境包括：组织架构、发展战略、人力资源、社会责任、企业文化
1） 组织架构
公司已按照《中华人民共和国公司法》（以下简称《公司法》）、《中华人民
共和国证券法》（以下简称《证券法》）和有关监管部门的要求及《汇纳科技
股份有限公司章程》的规定，建立了组织架构。
按照《公司章程》的规定，股东大会的权力符合《公司法》、《证券法》的规
定，股东大会每年至少召开一次，在《公司法》规定的情形下可召开临时股东
大会。董事会由 9 名董事组成，其中包括独立董事 3 名，董事会经股东大会授
权全面负责公司的经营和管理，制定公司经营计划和投资方案、财务预决算方
案，制定基本管理制度等，是公司的经营决策中心，对股东大会负责。公司监
事会由三名监事组成，其中包括一名职工监事。公司管理层负责制定具体的工
作计划，并及时取得经营、财务信息，对计划执行情况进行考核，并根据实际
执行情况分析结果，对计划做出适当的修订。
公司已制定了董事会的工作流程、监事会的工作流程、经理层的工作流程、董
事会下设专业委员会的设立及工作流程、子（分）公司设立流程、授权体系设
立及变更流程、规定了重大事项的决策方法与流程，达到能正确地、及时地、
有效地对待和控制经营风险及财务风险，保证企业的管理及会计信息的准确
性。
2） 发展战略
董事会战略委员会下设战略与投资评审工作组（以下简称工作组）收集宏观经
济及行业的有关资料，进行公司内、外部调研，并对公司高层领导和部门进行
访谈，广泛征求意见，股份公司相关部门和各子（分）公司同步收集各业务板
块和职能板块的信息；根据汇总收集的资料、征求的意见以及股份公司相关部
门和各子（分）公司提供的信息编制完成股份公司战略规划（初稿），提交股
份公司总经理及全体副总、总部相关部门及子（分）公司讨论，根据反馈意见
修订战略规划初稿；公司为有效地计划、协调和控制经营活动，已合理地确定
了公司的经营计划，保证公司发展战略的全面的有计划的实施。
3） 人力资源
公司组织生产经营活动而录用各种人员，包括与董事、监事、高级管理人员和
全体员工，公司已建立和实施了较科学的聘用、培训、教育管理、考勤、考核、
晋升等人事管理制度，并聘用足够的人员，使其能完成所分配的任务。
4） 社会责任
企业在经营发展过程中履行社会职责和义务，安全生产、产品质量、节约资源、
人员就业、员工权益保护等。
5） 企业文化
企业在生产经营实践中形成的、为整体团队所认同并遵守的价值观、经营理念
形成汇纳的行为规范。以人为本，创造和谐；兼容并蓄，注重特色；讲求实效，
秩序渐进；整体规划，系统运作；领导带头，全员参与，采取积极有效的措施、
积极培育具有企业自身特色的企业文化。
(2)风险评估
公司根据战略目标及发展思路，结合行业特点，根据设定的控制目标，全面系
统地收集相关信息，准确识别内部风险和外部风险，及时进行风险评估，做到
风险可控。公司建立了突发事件应急机制，制定相应的应急预案，明确各类重
大突发事件的监测、报告、处理的程序和时限，以及相关的责任追究制度。
在内部控制的实际执行过程中已对各个环节可能出现的经营风险、财务风险、
市场风险、政策法规风险和道德风险等进行持续有效的识别、计量、评估和监
控，对已识别可接受的风险，公司要求量化风险，制定控制和减少风险的方法，
并进行持续监测、定期评估；对于已识别不可接受的风险，公司要求必须制定
风险处理计划，落实处理计划负责人和完成日期。
(3)控制活动
为了保证公司目标的实现，确保经营管理能够得到完整、有效的监控，在交易
授权、职责划分、凭证与记录控制、资产接触和记录使用以及独立稽核等方面
均建立了有效的内控程序。
a、 不相容业务的分离：明确哪些岗位和职务是不相容的，其次明确规定各个
部门和岗位的职责权限，使不相容岗位和职务之间能够相互监督、相互制约、
形成有效的制衡机制。
b、 授权审批控制：公司的各项业务在 OA 中都体现了授权审批。
c、 会计系统控制：根据公司自身特点制定了较完善的原始凭证收集与审核流
程，形成了齐全的、统一的凭证格式和记录程序，对所有经济业务往来和操作
过程需经相关人员留痕确认进行控制。
d、 运营分析控制：对公司项目的实际运行状况都有相应的管理流程与方法，
保证项目按要求完成。同时对运行情况定期进行分析，提高运营质量。
e、 绩效考评控制：公司建立了有效的绩效管理制度，保证公司预算的执行、
管理的有效。
(4)信息系统与沟通
信息管理系统的正常运转是整个公司正常运转的基础，公司专门设置了信息
管理部。公司信息管理部具体负责公司信息化的建设和管理，归公司总经理直
接领导。
公司已经建立起了信息系统建设的审批及流程，以规范公司信息系统建设管
理工作。
信息管理部具体负责公司内部的信息系统的运