读取中,请稍候

1
附件：
                     上海第一医药股份有限公司
                  2012 年度内部控制评价情况说明
    根据《企业内部控制基本规范》及其配套指引的规定和要求，结合上
海第一医药股份有限公司（下称“公司”）内部控制制度和评价办法，在内
部控制日常监督和专项监督的基础上，我们对公司内部控制的有效性进行
了自我评价。
    建立健全并有效实施内部控制是公司董事会的责任；监事会对董事会
建立与实施内部控制进行监督；经理层负责组织领导公司内部控制的日常
运行。
    公司内部控制的目标是：合理保证经营合法合规、资产安全、财务报
告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。
    由于内部控制存在固有局限性，故仅能对实现上述目标提供合理保证。
    一、内部控制评价工作总体情况
    为贯彻落实中国证券监督管理委员会上海监管局《关于做好上海辖区
上市公司实施内控规范有关工作的通知》的精神，公司于 2012 年 4 月开始
进行内部控制规范实施工作，对公司的内部控制体系进行了完善。
   公司董事会通过审计委员会负责内部控制评价的组织、领导和监督，并
授权审计部及内控执行小组，负责内部控制评价的具体组织实施工作，对
纳入评价范围的高风险领域和单位进行评价，识别内部控制缺陷，提出整
改建议，编制内部控制评价报告并向审计委员会和董事会汇报。
    公司聘请了普华永道咨询（深圳）有限公司上海分公司提供内部控制
咨询服务；公司聘请立信会计师事务所（特殊普通合伙）对公司内部控制
进行独立审计。
    公司内部控制建设的覆盖面达到 100%，自评范围涵盖了公司总部（含
第一医药商店、第一医药批发部）及 2 家子公司，占合并报表资产总额、
收入总额比重均接近 80%。
    按照《企业内部控制基本规范》及其配套的应用与评价指引要求，围
绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素确定评
价范围，具体包括公司层面、业务流程层面和管理流程层面。其中公司层
面包括：内部环境、信息与沟通、内部监督；业务流程层面包括：采购、
销售（批发与零售）、存货（批发与零售）；管理流程层面包括：资产、资
金、投资、预算、人力资源、合同印章、财务报告、成本费用、信息系统
以及税务管理。
    内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价
办法规定的程序执行。公司 2012 年度内部控制评价过程包括：成立内部控
制自评小组，明确工作方案、评价范围、工作职责、进度安排等相关内容。
    在评价过程中，我们采用了个别访谈、实地考察、抽样分析、调查问
卷、专题讨论等方法，广泛收集公司内部控制设计和运行是否有效的证据，
如实填写评价工作底稿，分析、识别内部控制缺陷。根据评价情况，对内
部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，并
与被评价单位（成员企业、部门）进行充分沟通与交流，按照公司内部控
制缺陷及其认定标准编制内部控制缺陷认定汇总表及内控自查监督报告。
    二、内部控制评价具体情况
    ㈠内部环境
    ⑴公司治理与组织架构
    根据现代企业制度的要求，以及《公司法》、《证券法》与有关法律法
规的规定，公司制订了《公司章程》，建立了由股东会、董事会、监事会和
经理层组成的法人治理结构，并制定了《股东大会议事规则》、《董事会议
事规则》、《监事会议事规则》、《总经理工作细则》等一系列较为完善的治
理制度，明确了决策、执行、监督等方面的职责权限，形成科学有效的职
责分工和制衡机制，做到各司其职、规范运作。
    公司董事会由 9 名董事组成，其中 3 名为独立董事。董事会经股东大
会授权，对公司内部控制体系的建立、健全和监督成效负责，建立和完善
内部控制的政策和方案，监督内部控制的执行，对股东大会负责。董事会
分别设立了战略、审计、提名、薪酬与考核四个专门委员会，按照法律法
规、公司章程及各专门委员会议事规则的有关规定执行，各司其职，有效
地支撑董事会决策，发挥专业审核作用。
    监事会是股东大会领导的监督机构，依法监督公司董事、经理和其他
高级管理人员履职情况，对董事会建立与实施内部控制体系的运行情况进
行监督。监事会由 3 人组成，其中包括 1 名职工代表监事。
    在综合考虑公司业务模式及实际运营情况的前提下，公司设立了董事
会办公室、审计部、综合办公室、招商采购部、营运部、人力资源部、财
务部、投资发展部、质管部等职能部门，并明确了各部门的职能划分与汇
报途径，在确保各司其职的基础上形成了互相协作与监督的工作机制。
    ⑵发展战略
    本着增强核心竞争力和可持续发展能力的原则，结合行业发展趋势与
国家医改政策的深化推进，公司制定了五年发展规划，在夯实品牌培育的
基础上，继续深度挖掘可利用的经营资源。公司董事会下设战略委员会，
负责对公司长期发展战略和重大投资决策进行研究并提出建议。董事会严
格审议战略委员会提交的发展战略建议方案，重点关注其全局性、长期性
和可行性。公司依据发展规划分解年度工作计划，并落实到各实体部门，
确保发展规划的有效着落。
    ⑶人力资源
    公司根据《劳动法》与《劳动合同法》制定了可持续发展的人力资源
政策，明确了人力资源引进、开发、使用、培养、考核、激励等制度机制，
确保人力资源的合理配置，提升公司核心竞争力。
    ⑷社会责任
    公司认真履行上市公司的法定义务，高度重视质量安全，关心员工健
康发展，并积极参与各种社会公益活动，切实做到经济效益与社会效益、
短期利益与长远利益、自身发展与社会发展相互协调，实现企业与员工、
企业与社会、企业与环境的健康和谐发展。
    ⑸企业文化
    公司以“呵护人身，永葆第一”为企业理念，以创新型经营理念、个
性化经营模式、延展性经营范围彰显品牌特色，企业核心价值观进一步深
入人心。公司以制度文化建设、行为文化建设和绩效文化建设相配合，通
过开展丰富多彩的企业文化建设活动，大力推进企业文化阵地建设，促进
了全体员工创新推优的工作激情、营造了团结、奋进、务实、和谐的企业
文化氛围。
       ㈡风险评估
       为促进公司持续、健康和稳定发展，根据《企业内部控制基本规范》
的要求，结合自身实际情况，公司梳理出了各业务流程的风险清单，并与
之对应，设立了不同的控制手段。公司通过内控手册的方式将这些控制手
段进行标准化并推广至各部门与下属公司，切实有效地提升了风险防范能
力。
       ㈢控制活动
       公司按照基本规范、应用指引等法律法规以及公司内部控制制度的要
求，制定了涵盖财务审计、业务经验、行政综合、人力资源、质量管理、
投资发展、营运管理等各业务方面的内控制度汇编，同时依据公司现状与
内控规范要求，归纳梳理出了各内控环节的授权审批与职责分工要求，对
公司运营与内部管理予以了进一步细化。
       ㈣信息与沟通
       公司制定了《信息披露事务管理制度》，规范了信息披露的内容和标准，
信息披露的传递、审批程序及披露流程，并指定了信息披露事务管理部门，
并由其负责信息披露事务管理制度的建设、完善和实施。公司严格遵守公
平、公正、公开的原则，真实、准确、完整、规范地履行信息披露义务，
既维护了公司和股东的合法权益，同时也对维护公司与社会投资者的互信
关系起到了积极的促进作用。
       公司制定了《投资者关系管理条例》，规范了公司与投资者和潜在投资
者之间信息沟通，指定公司投资者关系管理事务的责任人、业务主管及职
能部门，并积极运用投资者关系管理平台，通过多种方式加强与投资者之
间的信息交流，一方面通过与投资者的沟通使公司能够掌握投资者与市场
的多元信息，同时也为投资者或潜在投资者了解公司经营管理以及发展情
况，提供了规范的渠道，使之获取全面、完整、真实、准确、及时、公平
的信息。
       公司利用现代化信息平台，使得各管理层级、各部门以及员工与管理
层之间信息传递更迅速、顺畅，沟通更便捷、有效。
    公司建立了反舞弊机制，包括预防、识别和应对舞弊风险的程序，控
制可能存在的舞弊风险。
    ㈤内部监督
    为加强公司内部控制建设，公司建立了多层次、全方位的内部控制检
查和监督体系，通过日常检查、专项检查、年度评价等方式，对公司内部
控制体系设计及执行情况进行有针对性的和持续的监督检查。
    公司监事会负责对董事、高级管理人员的履职情况及公司运营和财务
情况进行监督。董事会下设的审计委员会主要负责公司内、外部审计的沟
通、监督和核查，确保董事会对经理层的有效监督。公司审计部主要负责
公司内部控制制度执行情况的检查、监督，定期或不定期对下属公司的经
营管理、财务、内部控制进行专项审计，对其经济效益的真实性、合理性、
合法性做出合理评价。
    在内部控制建设过程中，针对发现的内部控制缺陷，审计部（或内控
执行小组）责成相关部门制定详细的整改计划，并组织相关部门进行逐项
落实。各相关部门根据各自的内部控制缺陷进行相关制度的修订、完善，
并加强执行。
    在各部门按照内部控制体系运行、并对建设过程中发现的内部控制缺
陷进行整改后，公司开展了内部控制评价工作，以评价公司内部控制体系
的设计和执行的有效性。内部控制评价工作由公司董事会负责，董事会授
权审计部（或内控执行小组）负责内部控制评价的具体组织实施工作。
    三、内部控制缺陷及其认定
    公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺
陷的认定要求，结合公司规模、行业特征、风险偏好、风险承受度及日常
监督和专项监管情况，研究确定了适用于本公司的内部控制缺陷认定标准，
并通过对内部环境、控制活动、控制手段有效性的测试，发现报告期内存
在 14 个一般性缺陷。这些缺陷对公司的财务控制、业务控制、环境控制、
信息控制及运行活动不构成重要负面影响，并在报告年度内能得到纠正或
完善。
       四、内部控制缺陷的整改情况
       针对报告期内发现的内部控制一般性缺陷，公司管理层级各流程负责
人积极讨论整改方案，并结合第三方专业机构的意见，形成了符合内控规
范要求，且切实可行的整改方案，并及时组织落实了整改工作。
       通过持续整改，报告期内存在的一般性缺陷都得到有效整改。整个整
改过程严格遵照工作计划执行，通过落实每项整改内容，形成了较为丰富
的成果，其中包括：经过完善的岗位职责、内控工作展开过程概况汇报、
审批权限划分表、内控制度修订汇编、标准内部控制手册、内控工作内部
审计检查监督报告、内控工作自评报告等一系列有利于提升过程监督、着
重节点控制、促进痕迹管理等作用，操作性、针对性较强的体系性文件和
书证性依据。
       当然，公司在运营过程中难免还会有些不足之处，主要表现为以下方
面：
       ⑴内控制度建设需进一步提高
       公司虽然已建立了一系列内控制度以保障日常运营，但随着业务的不
断发展，仍有部分制度尚待细化，公司将继续根据《企业内部控制基本规
范》以及第三方机构的建议，进一步对制度进行修订与完善，使之与公司
现有业务更为贴近，更具操作性。
       ⑵内控制度执行力有待加强
       内控评价过程中发现部分内控制度执行力度尚有待提高，公司将进一
步强化内控制度的宣传力度，并通过定期与不定期检查的方式加强制度执
行力，确保公司内控制度的有效实施。
       五、内部控制有效性的结论
       公司已经根据基本规范、评价指引及其他相关法律法规的要求，对公
司截至 2012 年 12 月 31 日的内部控制设计与运行的有效性进行了自我评价。
       报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，
并得以有效执行，达到了公司内部控制的目标，不存在重大缺陷。
       自内部控制评价报告基准日至内部控制评价报告发出日之间未发生对
评价结论产生实质性影响的内部控制的重大变化。
    我们也深深的意识到，内部控制必须与公司的经营规模、业务范围、
竞争状况和风险水平的变化等相适应，并应随着运行情况的变化而及时加
以修整与完善。
    未来，公司将继续完善内部控制制度建设，强化内部控制制度执行，
严格内部控制监督检查，促进公司健康、可持续发展。下一年度，公司深
化内控工作的核心内容主要包括：
    ⑴遵循规范，持续完善
    针对企业内控现状与 18 项指引及规范的核对结果，在亦已整改完毕的
14 项一般缺陷的基础上，对属于内控范围的管理要求不断加以固化与持续
完善，推进内控体系建设的有机性与完整性。
    ⑵技防管控，提升能绩
    在公司信息系统升级计划与需求模块制定过程中，结合完善内控关键
节点提高与风险预控能力的总体思路，形成相互依存的监督管理与业务运
行信息系统，以技术手段促进权限管理与信息流向的内控成效。
    ⑶细化培训，强化意识
    结合内控体系运行、监督、自查、自纠、完善与持续提升工作的展开，
在公司内部实施层次化分级培训，提高全体员工对内控制度的正确认识程
度，强化全体员工执行内控制度的自觉性，规范全体员工的岗位与职务行
为，从而在公司上下营造内控文化建设的氛围，推动内控制度执行与监督
向着全员化、全程化和常态化方向迈进。
                                               二○一三年四月十日