上海数据港股份有限公司 2018年度内部控制评价报告 上海数据港股份有限公司全体股东： 根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2018年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。一.重要声明 按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。 二.内部控制评价结论 1. 公司于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷 □是√否 2. 财务报告内部控制评价结论 √有效□无效 根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。 3. 是否发现非财务报告内部控制重大缺陷 □是√否 根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。 4. 自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素 □适用√不适用 自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。 5. 内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致 √是□否 6. 内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致 √是□否 三.内部控制评价工作情况 (一). 内部控制评价范围 公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。 1.纳入评价范围的主要单位包括：上海数据港股份有限公司（下称“公司”）、杭州瀚融信息技术有限公司、杭州数港科技有限公司、上海长江口数据港科技有限公司、杭州西石科技有限公司、张北数据港信息科技有限公司。 2. 纳入评价范围的单位占比： 指标 占比（%） 纳入评价范围单位的资产总额占公司合并财务报表资产总额之比 100.00 纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之比 100.00 3. 纳入评价范围的主要业务和事项包括: 组织架构、发展战略、社会责任、企业文化、人力资源、筹资管理、投资管理、销售管理、建设管理、运维管理、采购管理、资产管理、担保管理、财务管理、财务报告、全面预算、研发管理、合同管理、信息沟通、信息系统、关联交易、证券事务、内部监督、行政事务等。 4. 重点关注的高风险领域主要包括： 组织管理风险、项目投资风险、采购管理风险、工程管理风险、资产管理风险、收入确认风险、信息系统管理风险等。 5. 上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，是否存 在重大遗漏 □是√否 6. 是否存在法定豁免 □是√否 无 (二). 内部控制评价工作依据及内部控制缺陷认定标准 公司依据企业内部控制规范体系及内部控制制度和内部控制评价方法，组织开展内部控制评价工作。1. 内部控制缺陷具体认定标准是否与以前年度存在调整 □是√否 公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。 2. 财务报告内部控制缺陷认定标准 公司确定的财务报告内部控制缺陷评价的定量标准如下： 指标名称 重大缺陷定量标准 重要缺陷定量标准 一般缺陷定量标准 税前利润 5%税前利润额≤潜在错报 2.5%税前利润额≤潜在错 潜在错报<2.5%税前利润 报＜5%税前利润额 额 收入 1%收入额≤潜在错报 0.5%收入额≤潜在错报＜ 潜在错报<0.5%收入额 1%收入额 净资产 净资产总额1%≤潜在错报 净资产总额0.5%≤潜在错 潜在错报＜0.5%净资产总 报＜1%净资产总额 额 说明: 无 公司确定的财务报告内部控制缺陷评价的定性标准如下： 缺陷性质 定性标准 重大缺陷 出现以下情形的（包括但不限于）一般应认定为财务报告内部控制重大缺陷：1） 发现董事、监事和高级管理人员重大舞弊；2）公司对已经公布的财务报表有重大 更正；3）发现当期财务报表存在重大潜在错报，而内部控制在运行过程中未能发 现该潜在错报；4）公司审计委员会和内部审计机构对内部控制的监督无效；5）一 经发现并报告给管理层的重大缺陷在合理的时间后未加以改正；6）因会计差错导 致的监管机构处罚；7）其他可能影响报表使用者正确判断的缺陷。 重要缺陷 出现以下情形的（包括但不限于），被认定为“重要缺陷”，以及存在“重大缺陷”的 强烈迹象：1）关键岗位人员舞弊；2）合规性监管职能失效，违反法规的行为可能 对财务报告的可靠性产生重大影响；3）已向管理层汇报但经过合理期限后，管理 层仍然没有对重要缺陷进行纠正。 一般缺陷 除上述重大缺陷和重要缺陷之外的其他内部控制缺陷。 说明： 无 3. 非财务报告内部控制缺陷认定标准 公司确定的非财务报告内部控制缺陷评价的定量标准如下： 指标名称 重大缺陷定量标准 重要缺陷定量标准 一般缺陷定量标准 直接财产损失 净资产总额1%≤直接财产 净资产总额0.5%≤直接财 直接财产损失金额＜0.5% 损失金额 产损失金额＜ 1%净资产 净资产总额 总额 说明： 无 公司确定的非财务报告内部控制缺陷评价的定性标准如下： 缺陷性质 定性标准 重大缺陷 （1）法规：严重违规并被证监会等监管机构处以重罚或承担刑事责任；（2）运营： 严重影响（如机房重大事故导致关停或大面积数据丢失）；（3）声誉：负面消息在 全国各地流传，对企业声誉造成重大损害；（4）安全：造成10人以上死亡责任事 故，或者50人以上重伤责任事故；（5）环境：对周围环境造成严重污染或者需要 高额恢复成本；（6）同时，以下迹象通常表明非财务报告内部控制可能存在重大缺 陷：1）对于战略规划、重大对外投资、大额资金支付等事项,缺乏科学的内部集 体决策程序；2）决策程序不科学，如决策失误，导致并购不成功并造成重大损失； 3）严重违犯国家法律、法规造成重大损失，如环境污染等；4）管理人员或技术人 员纷纷流失；5）媒体负面新闻频现；6）内部控制评价的结果特别是重大或重要缺 陷未得到整改；7）重要业务缺乏制度控制或制度系统性失效 重要缺陷 （1）法规：违规并被证监会等监管机构处罚（2）运营：中度影响（如机房故障导 致短时间无法运转或少量数据丢失）（2）声誉：负面消息在某区域流传，对企业声 誉造成中等损害（4）安全：造成3人以上10人以下死亡责任事故，或者10人以 上50人以下责任事故（5）环境：环境污染和破坏在可控范围内，没有造成永久的 环境影响 一般缺陷 （1）法规：轻微违规并已整改（2）运营：一般影响（如个别机柜运转异常）（3） 声誉：负面消息在当地局部流传，对企业声誉造成轻微损害（4）安全：造成3人 以下死亡责任事故，或者10人以下重伤责任事故（5）环境：系统内危害，无外界 污染和环境影响 说明： 无 (三). 内部控制缺陷认定及整改情况 1. 财务报告内部控制缺陷认定及整改情况 1.1.重大缺陷 报告期内公司是否存在财务报告内部控制重大缺陷 □是√否 1.2.重要缺陷 报告期内公司是否存在财务报告内部控制重要缺陷 □是√否 根据上述财务报告内部控制缺陷的认定标准，报告期内发现公司存在财务报告内部控制一般缺陷。造成这些缺陷的原因，主要是由于公司处于快速发展过程中，虽然对关键管理环节进行了实质控制，但部分环节信息传递存在略微滞后、细化程度有待进一步完善。因公司设有内部审计和内部控制自我评价的双重监督机制，内部控制缺陷发现一经发现后，相关责任单位已经落实了整改责任和整改方案，已在报告期内将大多数的一般缺陷予以整改，使得风险可控，不影响公司财务报告内部控制目标的实现。1.4.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重大 缺陷 □是√否 1.5.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重要 缺陷 □是√否 2. 非财务报告内部控制缺陷认定及整改情况 2.1.重大缺陷 报告期内公司是否发现非财务报告内部控制重大缺陷 □是√否 2.2.重要缺陷 报告期内公司是否发现非财务报告内部控制重要缺陷 □是√否 2.3.一般缺陷 根据上述非财务报告内部控制缺陷的认定标准，报告期内发现公司存在非财务报告内部控制一般缺陷。造成这些缺陷的原因，主要是由于公司处于快速发展过程中，虽然对关键管理环节进行了实质控制，但未充分重视对部分控制痕迹的保存工作。因公司设有内部审计和内部控制自我评价的双重监督机制，内部控制缺陷发现一经发现后，相关责任单位已经落实了整改责任和整改方案，已在报告期内将大多数的一般缺陷予以整改，使得风险可控，不影响公司非财务报告内部控制目标的实现。 2.4.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重 大缺陷 □是√否 2.5.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重 要缺陷 □是√否 四.其他内部控制相关重大事项说明 1. 上一年度内部控制缺陷整改情况 √适用□不适用 上一年度不存在重大、重要缺陷，一般缺陷内部控制缺陷发现一经发现后，相关责任单位已经落实了整改责任和整改方案，已在报告期内将大多数的一般缺陷予以整改。因此上一年度内部控制缺陷基本完成整改 2. 本年度内部控制运行情况及下一年度改进方向 □适用□不适用 为了满足外部监管的要求，不断完善公司内部管理，提升风险防范能力，2018年度公司持续优化内部控制体系，完成了以下核心工作：①根据生产经营管理的需要，公司进一步完善销售体系和建设体系的管理要求，明确部门职责、权限划分、程序要求，并且搭建了绩效考核体系，促进公司内控体系的纵深发展。②开展全面的内部控制评价和项目专项评价，持续评估内部控制运行情况，优化现有内部控制体系设计情况，最终实现内部控制体系的良性闭环。③持续推进信息化建设，将信息化作为内部控制体系固化和内部控制缺陷整改的重要手段，进一步提升内控信息化水平。 2019年度，公司将从以下方面持续推动内控工作：①内控体系建设方面，公司将以资产管理为核心持续细化管理要求，并根据内外部环境的变化持续优化现有内控体系。②内控信息化方面，公司将持续推动现有信息化建设工作，进一步提升内控信息化水平，并确保信息系统设计与运行满足内控体系的要求，将信息化作为内控体系落地的重要工具。③内控体系运行方面，公司将持续引进外部资源，强化内部监督职能，以季度项目检查为核心持续查漏补缺，降低企业经营管理风险 3. 其他重大事项说明 √适用□不适用 公司已于2018年5月收到阿里巴巴（中国）有限公司采购部（以下简称“阿里巴巴”）关于《ZH13数据中心需求意向函》及ZH13《数据中心项目园区（建设项目管理委托）需求确认函》、《GH13数据中心需求意向函》及GH13《数据中心项目园区（建设项目管理委托）需求确认函》、《JN13数据中心需求意向函》及JN13《数据中心项目园区（建设项目管理委托）需求确认函》、《NW13数据中心需求意向函》及NW13《数据中心项目园区（建设项目管理委托）需求确认函》、《HB41数据中心需求意向函》及HB41《数据中心项目园区（建设项目管理委托）需求确认函》（以下统称“需求意向函”）；并于2018年5月15日在上海证券交易所及指定报社披露了《上海数据港股份有限公司关于公司收到阿里巴巴需求意向函的公告》。 随着阿里巴巴集团业务的高速发展，阿里巴巴拟与公司在未来一定时间合作建设数据中心。上述数据中心项目，均由公司设立项目公司，负责项目建设及运营管理。 本年度公司与阿里的合作，不但开拓了市场空间，同时优化了公司原有的资产结构，拓宽了业务类型。目前公司已针对该类业务模式初步形成了管理团队，并优化梳理了部分业务流程，确保与该业务有关的风险可控 董事长（已经董事会授权）：罗岚 上海数据港股份有限公司 2019年3月13日