上海现代制药股份有限公司
内部控制评价办法
(2022年3月24日经七届十五次董事会审议通过)
第一章 总 则第一条 为进一步规范上海现代制药股份有限公司(下称“公司”)内部控制评价程序,提高经营管理水平和风险防范能力,促进公司持续健康发展,根据相关法律法规、《企业内部控制基本规范》(下称“基本规范”)及配套指引,结合公司实际情况,制定本办法。第二条 公司及所属全资子公司、控股子公司及具有实际控制权的子公司(下称“子公司”)的内部控制评价,适用本办法。
第三条 本办法所称内部控制评价,是指在公司董事会领导下,由公司内部控制评价机构具体组织实施,对内部控制设计和运行的有效性进行全面检查,认定内部控制缺陷、形成评价结论、编制评价报告、依据监管层要求对外披露的过程。第四条 公司实施内部控制评价应遵循下列原则:
(一)全面性原则,评价工作应当包括内部控制的设计与运行,涵盖公司及其所属单位的各种业务和事项。
(二)重要性原则,评价工作应当在全面评价的基础上,以风险为导向,关注影响控制目标的重要业务单位、重大业务事项、高风险领域、关键控制环节和风险点。
(三)客观性原则,评价工作应当准确揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第二章 内部控制评价组织
第五条 董事会是公司内部控制评价的最高决策机构,对内部控制评价报告的真实性负责。董事会审计与风险管理委员会负责组织对风险管理体系的完整性和运行的有效性进行评估和督导。
第六条 经理层是公司内部控制评价的直接责任者,负责配合内部控制评价
的开展,了解公司日常内部控制风险监控结果,根据内部控制缺陷情况,制定内部控制整改方案和措施,对整改过程中出现的重大事项按照董事会授权进行决策。第七条 内部控制评价机构(下称“内控评价机构”)负责内部控制评价的具体实施任务,包括内部控制测试、检查与评价、编制内部控制评价报告。内控评价机构一般应为内部审计部门或公司授权的专门机构,负责制定年度内部控制评价工作计划、有序开展内部控制评价工作。
第三章 内部控制评价内容和范围第八条 公司应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制体系的设计与执行情况进行全面评价。
第九条 公司组织开展内部环境评价,以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合公司内部控制制度,对内部环境的设计及实施运行情况进行认定和评价。
第十条 公司组织开展风险评估机制评价,应以基本规范中有关风险评估的要求,以及应用指引中所列主要风险为依据,结合公司内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
第十一条 公司组织开展控制活动评价,应以基本规范和应用指引的控制措施为依据,结合公司的各类管理制度、流程,对业务事项控制措施的设计和执行情况进行认定和评价。
第十二条 公司组织开展信息与沟通评价,应以内部信息传递、财务报告、信息系统等相关应用指南为依据,结合信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十三条 公司组织开展内部监督评价,应以基本规范有关内部监督的要求以及应用指引中有关日常管控的规定为依据,结合公司对业务事项进行日常监督和专项监督的控制措施,对公司内部监督机制的有效性进行认定和评价。
第十四条 内部控制评价范围原则上应覆盖所有适用的流程及内部控制标准。公司要立足实际,针对经营管理特点,分层次、有重点的开展内部控制评价。
第四章 内部控制评价的程序和方法
第十五条 公司内部控制评价程序一般包括:组成评价工作组、制定评价工作方案、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十六条 内控评价机构应组建内部控制评价工作组,负责具体实施内部控制评价,根据重要性程度决定是否拟定评价工作方案。评价工作方案中应明确纳入评价工作的范围和业务事项,明确评价时间表及人员安排等相关内容。
第十七条 经公司批准,内控评价机构可根据需要委托中介机构实施内部控制评价。为公司提供内部控制审计服务的会计师事务所,不得同时为公司提供内部控制评价服务。
第十八条 内部控制评价工作组对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,研究分析内部控制缺陷。
第十九条 内部控制评价工作应当形成工作底稿,详细记录执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。底稿设计应当规范合理、及时更新、简便易行、便于操作和保存。
第五章 内部控制缺陷的认定
第二十条 内部控制缺陷的分类从环节上分为设计缺陷和运行缺陷,从影响程度上分为重大缺陷、重要缺陷、一般缺陷,从表现形式分为财务报告内部控制缺陷和非财务报告内部控制缺陷,
第二十一条 公司可根据实际情况,从定性和定量两方面确定内部控制缺陷的认定标准。
第二十二条 内控评价机构汇总初步认定的内部控制缺陷和等级,结合日常监督和专项监督发现的内部控制缺陷与持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见。
第二十三条 内控评价机构根据汇总认定的缺陷数量和缺陷等级做出内部控制有效性的结论。对不存在重大缺陷的情况,出具内部控制有效的结论;对存在重大缺陷的情形,不得作出内部控制有效的结论。
第二十四条 公司内部控制缺陷认定标准提交董事会认定通过。认定标准一经确定,必须在不同评价期间保持一致,不得随意变更,并作为内控缺陷认定评
价的参考依据。第二十五条 公司对内部控制缺陷的认定以日常监督和专项监督为基础,由公司内控评价机构进行综合分析后提出认定意见,报请审计与风险管理委员会审核后,由董事会予以最终认定。
第六章 内部控制评价报告及整改第二十六条 内控评价机构根据内部控制检查评价结果,结合公司内部控制的建立和执行情况、内部控制缺陷及整改情况,汇总分析后,按照规定的程序和要求,及时编制内部控制评价报告。第二十七条 内部控制评价报告围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容做出描述。
第二十八条 内部控制评价报告至少应当包括下列内容:
(一)内部控制评价工作的总体情况。
(二)内部控制评价的依据。
(三)内部控制评价的范围。
(四)内部控制评价的程序和方法。
(五)内部控制缺陷及其认定情况。
(六)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(七)内部控制有效性的结论。
第二十九条 公司内部控制评价报告、工作底稿及相关资料根据公司档案管理办法进行妥善保存。
第三十条 公司应对内部控制评价报告中发现的缺陷制定整改方案并实施整改。整改方案要明确整改责任人、整改期限、整改措施、整改方法等。
第三十一条 公司应按照中国证券监督管理委员会、上海证券交易所等监管机构的要求,在报经董事会审议批准后,对外公开披露公司内部控制评价报告。
第七章 附 则
第三十二条 内部控制评价发现的违规经营投资责任追究问题线索,按照《上海现代制药股份有限公司违规经营投资责任追究实施办法(试行)》(国药现代审计[2019]122号)等有关规定执行。
第三十三条 本办法由公司董事会负责解释。第三十四条 本办法自董事会审议通过之日起施行,同时废止《上海现代制药股份有限公司内部控制评价管理办法》(国药现代法律[2013]70号)。
附件:1、内部控制评价方法和抽样规则
2、内部控制缺陷认定标准
附件1:
内部控制评价方法和抽样规则
一、内部控制评价方法
内部控制评价方法主要包括个别访谈法、调查问卷法、资料查阅法、专题讨论法、穿行测试法、抽样测试法、比较分析法、实地查验法和重新执行法,分别应用于内部控制设计有效性评价和执行有效性评价。公司可根据评价内容和范围的不同,选择一种或多种评价方法进行综合评价,确保获取充分、相关、可靠的证据作为支持。
(一)设计有效性评价方法
设计有效性评价是指对企业设计的内部控制单独或连同其他内部控制是否能实现内部控制目标进行评价,可以通过个别访谈、调查问卷、查阅资料、专题讨论和穿行测试实现。
1、个别访谈法,通过口头或书面方式对设计或执行相关人员提出问题,根据被访谈人的回答确定控制是否存在,了解被访谈人对控制的理解。个别访谈原则上应以设计或执行该控制的人员作为对象。
2、调查问卷法,针对重要单位、业务流程或控制要素设计调查问卷,分别对不同层次管理者和员工下发问卷,根据问卷反馈结果对内部控制设计和了解程度做出评价。
3、资料查阅法,获取公司相关制度、会议资料、管理报告、 外部行业研究、业务台账、法律纠纷案件等文档,查阅相关内容并进行汇总分析。
4、专题讨论法,组织不同层级人员就内部控制的重点业务流程和管控要求进行专题讨论,了解公司不同层级对同一内部控制问题的理解。
5、穿行测试法,通过抽取一套贯穿流程全过程的业务记录文档样本,并追踪该样本从起点到终点,来了解整个业务流程设计与执行的情况。
(二)执行有效性评价方法
执行有效性评价是指对企业设计的内部控制措施是否有效被 执行进行评价,可以通过抽样测试、比较分析、实地查验和重新执行实现。
1、抽样测试法,针对公司内部控制业务流程,按业务或交易涉及控制的发
生频率和控制方式,在测试期间内抽取总体样本 中一定比例的业务或交易样本,对其是否符合内部控制设计要求 进行判断,进而评价业务流程控制措施执行的有效性。
2、比较分析法,通过分析比较数据间的关系、趋势或比率来取得评价证据。
3、实地查验法,对公司财产进行实地盘点、清查,对存货出入库等控制环节进行现场查验。
4、重新执行法,以人工或计算机辅助技术,重新独立执行某业务环节中的内部控制程序。
二、内部控制评价抽样规则
抽样规则应根据控制方式和发生频率的不同分别制定。控制方式分为手工控制、自动控制、包含自动化成分的手工控制,其中手工控制和包含自动化成分的手工控制又可分为固定发生频率和非固定发生频率两大类,总样本量计算规则如下:
1、固定发生频率
内部控制措施的执行方式为手工控制或包含自动化成分的手工控制且发生频率固定,测试期间内应抽取的最小样本量可参照下表:
| 控制运行频率 | 控制运行总次数 | 最小样本量 |
| 每年/每半年 | 1 次 | 1 个 |
| 每季度 | 4 次 | 2 个 |
| 每月 | 12 次 | 4 个 |
| 每周 | 52 次 | 10 个 |
| 每日 | 250 次 | 20 个 |
| 每日多次 | 大于 250 次 | 25 个 |
2、非固定发生频率
内部控制措施的执行方式为手工控制或包含自动化成分的手工控制且发生频率非固定,应根据年初到测试执行日的业务量估算控制措施全年预计发生的数量,测试期间内应抽取最小样本量区间可参照下表:
| 预计全年发生交易 | 样本量 |
| 1 次 | 1 个 |
| 2-4 次 | 2 个 |
| 预计全年发生交易 | 样本量 |
| 5-12 次 | 2-5 个 |
| 13-52 次 | 5-15 个 |
| 52-250 次 | 20-40 个 |
| 大于 250 次 | 25-60 个 |
3、自动控制
内部控制措施的执行方式为自动控制,测试期间内应抽取的最小样本量可参照下表:
| 控制类型 | 年度样本总量 |
| 自动控制 | 1 个 |
附件2:
内部控制缺陷认定标准
一、内部控制缺陷按成因分为设计缺陷和运行缺陷
1、设计缺陷,是指缺少为实现控制目标所必需的控制,或现有控制设计不适当,即使正常运行也难以实现控制目标。
2、执行缺陷,是指设计有效、合理且适当的内部控制由于执行不当而形成的内部控制缺陷,包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效执行等。
二、内部控制缺陷按影响程度分为重大缺陷、重要缺陷和一般缺陷
重大缺陷,指一个或多个控制缺陷的组合,可能导致被测试主体严重偏离控制目标。
重要缺陷,指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致被测试主体偏离控制目标。
一般缺陷,指除重大缺陷、重要缺陷之外的其他缺陷。
三、内部控制缺陷按表现形式分为财务报告内部控制缺陷和非财务报告内部控制缺陷,可从定性和定量两方面考虑,分别制定缺陷认定标准
(一)财务报告内部控制缺陷认定标准
1、定性标准
重大缺陷,指单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中的重大错报。出现下列情形的认定为重大缺陷:①董事、监事和高层管理人员滥用职权,发生贪污、受贿、挪用公款等舞弊行为。②公司因发现以前年度存在重大会计差错,更正已上报或披露的财务报告。③公司董事会审计与风险管理委员会和内部审计机构对内部控制监督无效。④外部审计师发现当期财务报告存在重大错报,且内部控制运行未能发现该错报。
重要缺陷,指单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平,仍应引起管理层重视的错报。出现下列情形的认定为重要缺陷:①未经授权进行担保、投资有价证券和处置产权/股权造成经济损失。②违规泄露财务报告、并购、投资等重大信息,导致公司股价严重
波动或公司形象出现严重负面影响。③公司财务人员或相关业务人员权责不清,岗位混乱,涉嫌经济、职务犯罪,被纪检监察部门留置,或移交司法机关。④因执行政策偏差、核算错误等,受到处罚或公司形象出现严重负面影响。⑤销毁、藏匿、随意更改发票/支票等重要原始凭证,造成经济损失。⑥现金收入不入账、公款私存或违反规定设立“小金库”。
一般缺陷,指不构成重大缺陷或重要缺陷的其他缺陷。出现下列情形的认定为一般缺陷:①会计机构负责人缺乏必要的任职资格和胜任能力。②财会岗位职责不清晰,关键的不相容岗位未有效分离。③固定资产和存货未按制度规定清查和盘点,差异处置未经恰当审批或未提出处理意见。④未按制度规定与外部往来单位对账,对账差异未及时处理或未提出处理措施;内部往来及关联方交易出现差异,未及时处理或未提出处理措施。⑤未按规定编制银行存款余额调节表,或调节表差异未及时处理。⑥重要原始凭证如出/入库单、开出发票/支票等不连号或未经审批取消原始凭证。⑦款项支付所需印章(财务专用章和法人印鉴)未分离保管;网上银行账户管理中,网银制单和复核权限、密码及U盾(密码器)未分离保管。⑧会计凭证未按规定装订、保管和归档,或会计凭证丢失。⑨财务信息系统的用户管理或密码管理未按要求执行,或财务信息系统的用户权限设置不符合不相容岗位分离的要求。⑩其他。
2、定量标准
重大缺陷,财务报告错漏占公司合并税前利润5%以上(含5%),占资产总额比例大于1%(含1%)。
重要缺陷,财务报告错漏占公司合并税前利润2%-5%(含2%,不含5%),占资产总额比例在0.5%-1%(含0.5%,不含1%)。
一般缺陷,财务报告错漏占公司合并税前利润小于2%,占资产总额比例小于0.5%。
以上各项参考指标之间是或的关系。只要有一项指标的潜在错报达到重大缺陷的认定标准,则该项缺陷应被认定为重大缺陷。税前利润小于100万元,利润指标不参与定量标准认定。
(二)非财务报告内部控制缺陷认定标准
1、定性标准
重大缺陷,出现以下情形并造成重大影响的,认定为重大缺陷:①造成重大资产损失风险。②被司法机关或监管机构立案调查,主要资产被查封、扣押、冻结或企业面临行政处罚等,对公司正常生产经营造成重大影响。③受到境外国家、地区或国际组织制裁等,企业国际化战略或国际形象产生重大负面影响。④被境内或境外媒体网络刊载,造成重大负面舆情影响。⑤其他对公司影响重大的情形。重要缺陷,出现以下情形并造成较大影响的,认定为重要缺陷:①未落实“三重一大”政策要求,缺乏民主决策程序。②未开展风险评估,内部控制设计未覆盖重要业务和关键风险领域,不能实现控制目标。③未建立信息搜集机制和信息管理制度,内部信息沟通存在严重障碍。对外信息披露未经授权。信息内容不真实,遭受外部监管机构处罚。④关键岗位人员或普通员工流失严重。⑤公司关键岗位员工发生较严重舞弊。⑥未建立举报投诉和举报人保护制度,或举报信息渠道无效。⑦违反国家法律法规和监管机构监管要求,存在一定法律风险和监管风险。⑧全资、控股子公司未按照法律法规建立恰当的治理结构和管理制度,决策层、管理层职责不清,未建立内部控制制度,管理散乱。⑨委派至公司所属企业的代表未按规定履行职责,造成公司利益受损。⑩违反国家法律或内部规定程序,出现安全生产责任事故,在国家级新闻媒体频繁报道,造成公司经济损失和声誉受损;迟报、谎报、瞒报安全生产事故。?媒体负面新闻出现,不良影响较重。一般缺陷,不构成重大缺陷或重要缺陷的其他缺陷:①管理层成员在经营管理中职责权限不清、交叉任职或内部控制建立和实施中分工不当。②企业负责人未履行内部控制职责,长期(一年)未听取内部控制工作汇报。③投资、研发及工程项目无计划/预算或超计划/预算,项目立项、变更、撤销未事先获得批准。
④人力资源岗位职责不清晰,管理混乱,普通员工流失较严重。⑤公司员工发生较轻微舞弊。⑥资产购置、验收、使用、日常管理、报废处置、账务处理等职责不清晰,不相容岗位未实现分离,管理混乱。⑦采购业务的计划、采购、验收、财务、合同管理等职责不清,缺乏相互监督制衡,管理混乱。⑧未按规定审批或未经授权签署合同。⑨未按规定开立或使用银行账户。⑩违反内部规定程序,发生安全生产故障,造成轻微损失和影响。?在一定区域内出现媒体负面新闻,不良影响较轻微。?其他。
2、定量标准
重大缺陷,造成资产损失5,000万元(含)以上。重要缺陷,造成资产损失500 万元(含)以上,5,000万元以下。一般缺陷,造成资产损失小于500万元。