中信建投证券股份有限公司关于北京数字认证股份有限公司 2018 年度内部控制评价报告的核查意见中信建投证券股份有限公司 ( 以下简称中信建投证券或保荐机构 ) 作为北京数字认证股份有限公司 ( 以下简称数字认证或公司 ) 首次公开发行股票并在创业板上市的保荐机构, 根据证券发行上市

中信建投证券股份有限公司关于北京数字认证股份有限公司 2018 年度内部控制评价报告的核查意见中信建投证券股份有限公司 ( 以下简称中信建投证券或保荐机构 ) 作为北京数字认证股份有限公司 ( 以下简称数字认证或公司 ) 首次公开发行股票并在创业板上市的保荐机构, 根据证券发行上市保荐业务管理办法深圳证券交易所创业板股票上市规则企业内部控制基本规范深圳证券交易所创业板上市公司规范运作指引等有关法律法规和规范性文件的要求, 对北京数字认证股份有限公司 2018 年度内部控制自我评价报告进行了审阅核查, 具体情况如下 : 一中信建投证券对数字认证内部控制的核查工作数字认证的保荐机构通过了解公司内部控制的环境审阅公司内控相关制度复核内控流程, 并结合与企业相关人士的沟通情况, 对内部控制的治理环境内部控制的制度建立内部控制的执行情况等方面, 对其内部控制的完整性有效性合理性以及北京数字认证股份有限公司 2018 年度内部控制自我评价报告的真实性客观性进行了核查二内部控制评价范围公司按照风险导向原则确定纳入评价范围的主要单位包括公司及子公司, 详情如下 : 纳入评价范围的主要业务和事项包括公司治理组织结构发展战略人力资源社会责任企业文化风险评价管理子公司管理关联交易管理对外担保管理财务管理募集资金管理投资管理信息沟通管理信息披露管理投资者关系管理等 ; 重点关注的高风险领域主要包括对子公司管理关联交易管理对外担保管理募集资金管理非日常经营交易事项管理信息披露管理等上述纳入评价范围的全资子公司业务和事项以及高风险领域涵盖了公司经营管理的主要方面, 不存在重大遗漏 1

三内部控制评价工作依据及内部控制缺陷认定标准缺陷认定标准类别财务报告非财务报告 1 重大缺陷: 公司董事监事或高级管理人员舞弊行为并给公司造成重要损失和不利影响 ; 公司更正已公告的财务报表 ; 注册会计师发现的却未被公司内部控制识别的当期财务报表重大错报 ; 审计委员会和审计部对公司内部控制监督无效 2 重要缺陷: 未依照公 1 重大缺陷: 决策程序导致重大失误 ; 重要业务缺乏制度控制或系统性失效, 且缺乏有效的补偿性控制 ; 内部控制评价的结果特别是重大缺陷未得到整改 ; 其他对公司产生重大负面影响的情形 2 重要缺陷: 决策程序导致出现一般性失误 ; 重定性标准认会计准则选择和应用会计政策 ; 未建要业务制度或系统存在缺陷 ; 内部立反舞弊程序和控制措施 ; 对于非常规控制评价的结果特别是重要缺陷未或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制 ; 对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实完整的得到整改 ; 其他对公司产生较大负面影响的情形 3 一般缺陷: 决策程序效率不高 ; 一般业务制度或系统存在缺陷 ; 一般缺陷未得到整改目标 3 一般缺陷: 除上述重大缺陷重要缺陷以外的其他控制缺陷 1 重大缺陷: 错报利润总额的 10%; 2 重要缺陷: 利润总额的 5% 错报 < 利润总额的 10%;3 一般缺陷: 错报 1 重大缺陷: 非财务报告内部控制缺陷导致的直接经济损失金额 100 万元 2 重要缺陷:50 万元定量标准 < 利润总额的 5% 非财务报告内部控制缺陷导致的直接经济损失金额 <100 万元 3 一般缺陷 : 非财务报告内部控制缺陷导致的直接经济损失金额 <50 万元四公司基本情况北京数字认证股份有限公司前身为北京数字证书认证中心有限责任公司, 成立于 2001 年 2 月 28 日 2011 年 8 月 31 日, 根据公司股东会决议及公司章程发起人协议规定, 以 2011 年 5 月 31 日的净资产以发起设立的方式整体变更为股份有限公司, 总股本设置为 4,700 万股, 均为每股面值 1 元的人民币普通股其中, 北京市国有资产经营有限责任公司持有 2,199.4308 万股, 占总股本的 46.7964%; 首都信息发展股份有限公司持有 2,098.8414 万股, 占总股本的 44.6562%; 上海市数字证书认证中心有限公司持有 100.5894 万股, 占总股本的 2.1402%; 员工持有 301.1384 万股, 占总股本的 6.4072% 公司于 2011 年 9 月 30 日在北京市工商行政管理局办理了工商登记变更手 2

续 2011 年 12 月 8 日, 公司根据第二次股东大会决议和修改后的章程规定, 公司申请增加注册资本人民币 1,300.00 万元, 变更后的注册资本为人民币 6,000.00 万元其中 : 北京市国有资产经营有限责任公司持股为 2,199.4308 万股, 占变更后股本的 36.6572%; 首都信息发展股份有限公司持股为 2,098.8414 万股, 占变更后股本的 34.9807%; 上海市数字证书认证中心有限公司持股为 100.5894 万股, 占变更后股本的 1.6765%; 北京科桥投资创业中心持股为 500.0000 万股, 占变更后股本的 8.3333%, 自然人持股为 1,101.1384 万股, 占变更后股本的 18.3523% 公司于 2011 年 12 月 31 日在北京市工商行政管理局办理了工商登记变更手续 2016 年 12 月 23 日公司在深圳证券交易所创业板 A 股上市, 首次公开发行 2,000 万股股票, 发行后总股本为 8,000 万股, 股票简称数字认证, 股票代码 300579, 公司统一社会信用代码为 91110108722619411A, 公司注册资本 8,000 万元, 法定代表人徐哲, 注册地址北京市海淀区北四环西路 68 号 1501 号 2017 年 5 月 2 日, 公司根据第二届董事会第二十次会议决议, 选举詹榜华先生为公司第二届董事会董事长, 任期与第二届董事会董事任期一致根据北京数字认证股份有限公司章程的规定, 董事长为公司的法定代表人, 故公司的法定代表人变更为詹榜华先生公司于 2017 年 5 月 9 日在北京市工商管理局办理了工商登记变更, 三证合一号为 91110108722619411A 2018 年 5 月 17 日, 公司根据 2018 年 4 月 18 日通过的 2017 年年度股东大会决议, 以资本公积金向全体股东每 10 股转增 5 股, 转增后公司股本总额为 12,000 万股公司于 2018 年 8 月 3 日在北京市工商管理局办理了工商登记变更根据上市公司行业分类指引, 公司所处行业为软件和信息技术服务业, 细分行业为软件服务公司经营范围 : 电子认证服务 : 数字证书方面的技术开发技术服务技术培训 ; 信息咨询 ( 中介除外 ); 计算机通信网络安全系统的开发 ; 计算机系统安全集成 ; 销售开发后的产品 ( 专项许可项目除外 ) ( 企业依法自主选择经营项目, 开展经营活动 ; 依法须经批准的项目, 经相关部门批准后依批准的内容开展经营 3

活动 ; 不得从事本市产业政策禁止和限制类项目的经营活动 ) 五公司内部控制建立和执行情况 ( 一 ) 控制环境 1 治理结构根据公司法等有关法律法规规范性文件和公司章程, 公司建立了股东大会董事会监事会和经营管理层的法人治理结构, 制定了相应的议事规则, 明确决策执行监督等方面的职责权限, 形成科学有效的职责分工和制衡机制报告期内, 董事会下设战略决策委员会审计委员会提名委员会薪酬与考核委员会四个专门委员会各司其职, 公司涉及重大事项经相关委员会审核后提交董事会审议, 保证独立董事专门委员会在报告期内正常履职发挥作用董事会成员勤勉尽责, 诚信自律, 对公司重大决策事项战略规划及内部控制等方面能提出建设性意见公司总经理由董事会聘任, 在董事会的领导下, 严格按照公司章程及相关规定履行职责, 全面负责公司的日常经营管理活动, 组织实施董事会决议 2 组织机构公司根据职责划分结合公司实际情况, 公司总部设立了行业拓展部门区域拓展部门营销管理部门产品研发部门生产服务部门产品市场部门及包括党群办公室审计部董事会办公室法务部投资部财务部人力资源部综合管理部等在内的职能管理部门 ; 子公司北京安信天行科技有限公司设立了北京销售中心业务拓展中心解决方案中心服务中心云安全中心研发中心及包括市场部财务部人力资源部项目管理部综合管理部等在内的职能管理部门 ; 子公司北京数字医信科技有限公司设立了销售部产品研发部人力财务部等部门 ; 子公司数字认证 ( 武汉 ) 有限责任公司设立了综合管理部报告期内, 公司本部及全资子公司各职能部门均能根据制定的岗位职责, 各司其职各负其责相互协作相互监督公司对全资子公司的经营资金人员财务等重大方面, 按照法律法规及公司章程的规定, 履行必要的监督管理 4

3 内部审计公司审计部对审计委员会负责, 向审计委员会报告工作审计部对公司内部控制的完整性合理性及其实施的有效性财务信息的真实性完整性以及经营活动的效率和效果等进行检查监督 4 人力资源人才是构建公司核心竞争力的重要要素, 经过多年探索与研究, 公司制定了较为科学完善的人员招聘与选拔培训与发展绩效管理晋级与降级退出与优化等人力资源管理制度, 形成了以任职资格与能力管理为基础的人力资源管理体系, 并借助信息系统进一步优化和完善规范科学高效的人力资源管理体系为本公司吸引与保留优秀人才增强核心竞争力实现公司战略提供了制度保障 5 企业文化公司文化理念为以奋斗者为本以客户为中心, 公司愿景是共建可信任的数字世界公司企业文化理念融入于新员工企业化培训团队建设活动以及企业各项管理制度中, 随着公司发展, 不断积淀, 逐渐形成一套涵盖理想信念价值观行为准则和道德规范的企业文化体系 ( 二 ) 风险评估为促进公司持续健康稳定的发展, 公司根据既定的发展策略, 结合不同发展阶段和业务拓展情况, 全面系统持续的收集相关信息, 并结合实际情况及时进行风险评估, 动态地进行风险识别, 对相关的内部风险和外部风险进行分析, 制定相应的风险应对策略同时, 为及时识别监控本公司潜在风险及其发生概率, 确定本公司风险承受能力和限度, 认定该等风险可能带来的损失, 公司各部门责任分离相互监督, 各自在其职责范围内根据各项业务的不同特点对环境风险业务风险财务风险技术风险等各种风险进行预测识别和评估, 确认其可能带来的损失, 并根据识别的风险拟定相应的解决方案, 以防范和应对风险 5

( 三 ) 控制活动 1 内控制度为保证公司经营管理工作正常开展, 公司目前制订了以下三个层次的内部控制制度 : (1) 保障公司法人治理结构的内部控制制度, 由股东大会议事规则董事会议事规则监事会议事规则董事会战略委员会实施细则董事会薪酬与考核委员会实施细则董事会提名委员会实施细则董事会审计委员会实施细则独立董事工作制度总经理工作细则董事会秘书工作制度总经理办公会会议规则等文件组成三会按照章程的规定自主行使权力, 履行义务, 各司其职, 相互制约, 保障公司管理的有效性制定了以总经理办公会会议议事规则为代表的分层次会议及议事制度, 使不同层次的管理控制有序进行 (2) 保障公司日常经营管理活动的内部控制制度关联交易决策制度融资决策制度日常生产经营决策制度非日常经营交易事项决策制度等公司管理类制度保证公司有计划有步骤平衡协调实现公司发展战略目标, 为规范公司经营管理起到有效促进作用内部审计制度财务会计制度对外担保制度合同管理制度预算管理制度日常费用报销制度财务审批权限制度等财务管理制度确保财务报告真实性完整性, 为公司重大决策提供了可靠依据薪酬管理制度绩效管理制度内部竞聘管理细则技术专家委员会管理办法等人力资源管理制度实现公司人力资源的合理配置, 发挥员工的潜能, 确保公司战略目标和经营目标的实现 (3) 保障各子公司日常经营管理活动的内部控制制度, 由母子公司管控体系 BJCA 对二级子公司的管控事项清单股权投资项目管理办法和子公司的经营管理制度等文件组成 2 控制措施公司在交易授权控制责任分工控制凭证记录控制资产接触与记录使用管理等方面实施了有效的控制程序 6

交易授权控制 : 对日常的生产经营活动采用一般授权, 对非日常经营活动则采用特别授权日常经营活动的一般交易由各部门逐级审批或协调处理并将事项和最终处理意见提交总经理审批 ; 重大事项由总经理办公会议或董事会审批责任分工控制 : 对各个部门环节制定了一系列较为详尽的岗位职责分工制度, 将各项交易业务的授权审批与具体经办人员分离等凭证与记录控制 : 制定了较为完善的凭证与记录的控制程序, 制作了统一的单据格式, 对所有经济业务往来和操作过程需经相关人员留痕确认进行控制资产接触与记录使用控制 : 按照分级管理逐级负责责任到人的原则, 公司建立资产三级管理机制公司每半年组织一次全公司范围内的资产盘点, 财务部和资产管理部门对公司资产进行不定期的抽查信息系统控制 : 会计电算化核算系统, 对人员分工和权限系统组织和管理系统设备安全系统维护文件资料保管数据及程序网络及系统安全等重要方面进行控制 3 重点控制 (1) 对子公司的管理控制子公司在公司总体战略目标下依法独立经营自主管理公司根据母子公司管控体系 BJCA 对二级子公司的管控事项清单等制度, 通过行使股东权利和公司提名的董事监事依法实现对子公司的管理和监督公司所属全资子公司如下 : 公司名称业务性质注册资本直接投资额间接投资额北京安信天行科技有限公司系统集成及软件开发 3,000 万元 3,000 万元 - 数字认证 ( 武汉 ) 有限责任公司北京数字医信科技有限公司信息安全及软件服务医药卫生领域信息安全及软件服务 2,000 万元 2,000 万元 - 1,000 万元 1,000 万元 - 7

(2) 关联交易的内部控制公司制定了关联交易决策制度, 规范公司及子公司与公司关联人之间的关联交易决策程序, 防止关联交易损害公司及中小股东的利益 (3) 对外担保的内部控制公司制定了对外担保制度, 规范公司的对外担保行为, 控制公司资产运营风险, 促进公司健康稳定地发展 (4) 募集资金的内部控制公司制定了募集资金管理及使用制度, 对募集资金存放募集资金使用超募资金的使用募集资金投向的变更募集资金的监督和责任等方面进行明确规定, 以保证募集资金专款专用 (5) 非日常经营交易事项的内部控制公司制定了非日常经营交易事项决策制度, 对公司购买或出售资产对外投资提供财务资助租入或租出资产等非日常经营活动交易方面作了明确规定 (6) 信息披露的内部控制公司建立了信息披露事务管理制度, 确保公司信息披露合法真实准确完整及时, 从应当披露的信息与披露标准未公开信息的传递审核披露流程信息披露事务管理部门及其负责人的职责等方面做出规定 ( 四 ) 信息与沟通公司建立了重大信息内部报告制度, 保证公司内部重大信息的快速传递归集和有效管理, 确保公司信息披露的真实及时准确完整, 维护投资者的合法权益公司内部局域网使得各管理层级各部门各业务单位以及员工与管理层之间信息传递更迅速顺畅, 沟通更便捷有效同时, 公司要求对口部门加强与行业协会中介机构业务往来单位以及相关监管部门等进行沟通和反馈, 以及 8

通过市场调查网络传媒等渠道, 及时获取外部信息 ( 五 ) 内部监督公司监事会负责对董事高级管理人员执行公司职务的行为及公司依法运作情况进行监督, 对股东大会负责审计委员会是董事会的专门工作机构, 主要负责公司内外部审计的沟通监督和核查工作, 确保董事会对经理层的有效监督公司审计部负责公司内部审计工作, 对公司内部控制的完整性合理性及其实施的有效性财务信息的真实性完整性以及经营活动的效率和效果等进行检查监督另外, 公司通过开展部门间自查互查抽查纪律大检查等方式, 强化制度的执行和效果验证 ; 通过组织培训学习普法宣传等, 提高员工特别是董监高的守法意识, 依法经营, 完善内部控制, 提升公司治理水平六内部控制评价结论公司现有的内部控制制度已基本建立, 能够适应公司管理的要求和公司发展的需要, 能够较好地保证公司会计资料的真实性合法性完整性, 随着公司不断发展的需要, 公司的内部控制制度还将进一步健全和完善, 并将得到有效的执行七中信建投证券关于数字认证 2018 年度内部控制的核查意见通过对数字认证内部控制制度的建立和实施情况的核查, 中信建投证券认为 : 数字认证结合自身经营特点, 建立了较为完善的法人治理结构和内部控制体系, 在所有重大方面保持了与企业业务经营及管理相关的有效的内部控制, 北京数字认证股份有限公司 2018 年度内部控制自我评价报告全面客观真实地反映了公司内部控制体系建设和运作的实际情况 ( 以下无正文 ) 9

( 此页无正文, 为中信建投证券股份有限公司关于北京数字认证股份有限公司 2018 年度内部控制评价报告的核查意见之签字盖章页 ) 保荐代表人 : 朱明强李华筠中信建投证券股份有限公司 2019 年 3 月 22 日 10