2026年自查报告及整改计划.docxVIP

2026年自查报告及整改计划

第一章2026年度自查背景与范围

1.1组织定位

深圳市南山区西丽湖科技园区“深澜数据有限公司”（以下简称“公司”）成立于2018年4月，主营工业边缘计算网关及SaaS化设备管理平台，2025年营收4.7亿元，员工312人，其中研发118人、交付68人、职能41人、销售85人。

1.2自查触发点

2026年2月8日，国家工信部发布《工业数据安全分类分级管理办法（2026版）》，要求3月31日前完成首次自评；同期深圳市审计局对南山区30家重点软件企业启动“财政补贴资金绩效”穿透式审计，公司2023—2025年累计获得4300万元研发补助在列。

1.3自查范围

时间维度：2025年1月1日至2025年12月31日；

业务维度：研发、采购、生产（外协）、销售、交付、运维、职能、投资八大流程；

系统维度：ERP（SAPS/4HANA2023FPS02）、PLM（Windchill12.1）、MES（自研EdgeMES3.4）、CRM（Salesforce240）、FSSC（金蝶EAS8.5）、HR（北森iTalentX6.7）、OA（泛微e-cology10.0）、代码托管（GitLabEE16.8）、工控网、办公网、IDC、阿里云深圳Region；

法规维度：数据安全、财政补贴、税务、海关、环保、劳动用工、知识产权、出口管制、ESG披露等9类62部法规。

第二章自查方法、工具与抽样

2.1方法

采用“RACI矩阵+穿行测试+穿透追溯”三位一体：

RACI矩阵：将8大流程拆为186个控制点，明确Responsible、Accountable、Consulted、Informed；

穿行测试：每流程选1笔完整业务，从发起到入账全程截图、录屏、打印单据，验证控制点有效性；

穿透追溯：对高风险事项（≥R4）反向追溯至原始凭证，金额50万元以上全部追溯，以下按20%随机。

2.2工具

数据抽取：SAPRFC+Python3.11脚本，自动拉取1.4GB原始凭证明细；

日志分析：ELK7.17集群，解析GitLab、VPN、堡垒机、防火墙4类日志共9.3亿条；

合规比对：自研“合规雷达2.6”内置2026版62部法规1382条义务条款，自动匹配并输出缺口；

访谈记录：飞书妙记转写，平均时长47分钟/人，共96人次；

抽样底稿：使用ExcelPowerQuery随机种子确保可复现。

2.3抽样量

会计凭证：全量49582张；

销售合同：全量1824份；

采购订单：全量3106份；

源代码仓库：Tag为release-2025.*的147个版本全量扫描；

服务器主机：共422台，100%基线核查；

终端电脑：312台，随机94台；

仓库物料：SKU2681种，抽322种，金额覆盖78%。

第三章发现的问题（按风险等级排序）

3.1R5致命（0项）

3.2R4重大（5项）

3.2.1工业数据出境未评估

现象：2025年9月—12月，德国客户Kloeckner通过API接口拉取设备工况日志1.9TB，未履行数据出境安全评估。

依据：《工业数据安全分类分级管理办法》第19条。

影响：顶格罚款50万元+暂停接口+列入电信业务不良名单。

3.2.2研发费用加计扣除缺少留存备查材料

现象：2025年归集研发费用1.13亿元，其中1470万元人工分摊缺少工时系统截屏，无法证明直接从事研发活动。

依据：财税〔2023〕7号公告。

影响：补税+滞纳金约235万元。

3.2.3海关单耗申报错误

现象：2025年4月—2026年1月出口22批次4G模组，单耗由1.18片/台误报为1.02片/台，导致保税料件结余68万片。

依据：《海关行政处罚实施条例》第13条。

影响：补税312万元+罚款0.5倍。

3.2.4环保设施未验收先投产

现象：2025年8月新增SMT贴片线2条，配套VOCs治理设施未验收即量产，被周边居民投诉异味。

依据：《建设项目环境保护条例》第17条。

影响：责令停产+20万元罚款。

3.2.5源代码GPL传染性污染

现象：EdgeMES3.4集成libmodbus5.1.0（LGPL2.1），但静态编译并闭源发布，违反协议。

影响：被版权方起诉