株洲千金药业股份有限公司
内部控制制度
第一章 总则第一条 为加强株洲千金药业股份有限公司(以下简称“公司”)内部控制,促进公司规范运作,保护投资者的合法权益,根据《中华人民共和国公司法》《中华人民共和国证券法》《上市公司治理准则》《上海证券交易所股票上市规则》、《企业内部控制基本规范》、上海证券交易所上市公司自律监管指引、《株洲千金药业股份有限公司章程》(以下简称“《公司章程》”)及其他有关法律、法规、规范性文件之规定,制定本制度。
第二条 公司建立健全内部控制的目标:建立和完善符合现代管理要求及上市公司标准的内部组织结构,建立全面有效的风险管理控制体系,合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实、准确、完整,提高经营效率和效果,促进企业实现持续、健康、稳定发展。
第三条 公司建立健全内部控制,遵循下列基本原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及其所属单位的各类重要业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分
配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
第四条 公司内部控制主要内容为内部控制环境、风险评估、内部控制活动、信息与沟通、内部监督与信息披露等。
第二章 内部控制环境
第五条 内部控制环境主要包括治理结构、机构设置和权责分配、人力资源政策、企业文化等方面内容。
第六条 公司根据相关法律法规和《公司章程》,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
公司股东大会享有法律法规和《公司章程》规定的合法权利,决定公司经营方针、筹资、投资、利润分配等重大事项。
董事会对股东大会负责,依法行使公司的经营决策权。
监事会对股东大会负责,监督公司董事、高级管理人员依法履行职责。
管理层负责组织实施股东大会、董事会决议事项,主持公司的日常经营管理工作。
第七条 公司董事会负责公司内部控制制度的制定、实施和完善,
并定期对内部控制执行情况进行全面检查和效果评估。董事会下设立审计委员会,负责审查公司内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
第八条 监事会负责监督内部控制制度的建立与执行,对董事会、经理层就公司内部控制体系的建立健全、有效实施与评估进行监督。对发现的重大内部控制缺陷,可责令公司进行整改。
第九条 经营层负责经营环节的内部控制体系相关制度的建立和完善,负责推进内部控制制度的执行,检查公司各职能部门和单位制定、执行各专项内部控制相关制度的情况。
第十条 公司各职能部门、子公司(以下简称“各单位”)具体负责建立健全本单位的内部控制制度、规定、办法,组织本单位内部控制制度的有效实施,并做好内部机构设置、岗位职责划分、业务流程安排等,明确权责分配,正确行使职权。各单位应及时纠正本单位内部控制存在的缺陷和问题,并对本单位内部控制不力、不及时纠正内部控制缺陷等承担相应责任。各单位负责人为本单位内部控制工作首要责任人,负责内部控制制度的持续更新,参与和配合完成年度内部控制评价工作。
第十一条 公司审计部负责组织内部控制自我评价工作,并向董事会审计委员会提交内部控制评价报告。
第十二条 公司应加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计工作,对内部控制的有效性进行监督检查。发现内部控制缺陷应当按照内部审
计工作程序进行报告,并有权直接向董事会及其审计委员会、监事会报告。
第十三条 公司应当重视人力资源建设,通过制定、实施人力资源管理等规章制度及管理流程,确保公司内部激励机制和监督约束机制的完善。
第十四条 公司的资产应当独立完整、权属清晰,不被董事、监事、高级管理人员、控股股东、实际控制人及其他关联人占用或者支配。
第十五条 公司建立健全独立的财务核算体系,能够独立作出财务决策,具有规范的财务会计制度和对子公司的财务管理制度。
第三章 风险评估
第十六条 风险评估旨在帮助公司及时识别、系统分析经营活动中与实现内部控制目标相关的内外部风险,确定相应的风险承受度,从而合理确定风险应对策略。
第十七条 公司应当根据设定的风险类别和控制目标,全面系统持续地收集内部信息和外部相关信息,结合公司实际及时进行风险评估。
第十八条 公司识别与评估的内部风险主要有:
(一)董事、监事及高级管理人员的职业操守、员工专业胜任能力等人力资源因素;
(二)组织机构、经营方式、资产管理、业务流程等管理因素;
(三)研究开发、技术投入、信息技术运用等自主创新因素;
(四)财务状况、经营成果、现金流量等财务因素;
(五)营运安全、员工健康、环境保护等安全环保因素;
(六)其他有关内部风险因素。
第十九条 公司识别和评估的外部风险主要有:
(一)经济形势、产业政策、融资环境、市场竞争等经济因素;
(二)法律法规、监管要求等法律因素;
(三)安全稳定、文化传统、社会信用、客户需求等社会因素;(四)
技术进步、工艺改进等科学技术因素;
(五)自然灾害、环境状况等自然环境因素;
(六)其他有关外部风险因素。
第二十条 公司按照风险发生的可能性及其影响程度等方面,采用定性与定量相结合的方法,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。在风险分析中,可以考虑利用专业人员参与风险分析。
第二十一条 公司应建立风险评估机制,对风险进行有效分析,准确识别与实现控制目标相关的内部风险和外部风险,确保风险分析结果的准确性,结合风险承受能力,权衡风险与收益,确定风险应对策略。
第二十二条 公司应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
第二十三条 公司应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
第四章 控制活动
第二十四条 控制活动包括:部门设置、岗位责任、业务规章、业务流程等。采取的控制措施包括:不相容职务分离、授权审批、财产保护、会计核算、财务管理、预算控制、运营分析和绩效考核等。
第二十五条 公司职能部门、子公司,应根据实际工作内容,明确各自工作职责,制定各项业务管理规章制度;应根据实际工作需要对业务流程所涉及的不相容职务,实施相应分离措施,形成各司其职、各负其责、相互制约的工作机制。
第二十六条 公司建立授权管理,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员应当在授权范围内行使职权和承担责任。公司对于重大的业务和事项,应当实行集体决策审批。
第二十七条 公司内部控制体系相关制度应当涵盖经营活动的所有环节,包括销货及收款、采购及付款、存货管理、固定资产管理、货币资金管理、担保与融资、投资管理、研发管理、人力资源管理等环节。除涵盖经营活动各个环节外,公司内部控制体系相关制度还应当包括各方面专项管理制度,包括印章使用管理、预算管理、资产管理、信息系统管理与信息披露管理制度等。
第二十八条 公司应当严格执行企业会计准则,制定财务管理制度和办法,明确财务机构和会计人员岗位职责,对公司财务管理各个环节进行有效控制,确保公司会计管理的内部控制在重大方面具有完整性、合理性及有效性,提高会计工作质量。
第二十九条 财产保护控制要求公司建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司严格限制未经授权的人员接触和处置财产。
第三十条 公司实施全面预算管理制度,明确各职能部门在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
第三十一条 公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第三十二条 公司根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
第三十三条 公司建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员及规范处置程序,确保突发事件得到及时妥善处理。
第五章 信息与沟通第三十四条 信息与沟通控制分为内部信息沟通控制和公开信息披露控制。
第三十五条 公司建立内部信息与反馈机制,制定重大信息内部报告制度,促进内部信息沟通,提高工作效率,增强管理透明度,降低经营风险。
第三十六条 公司制定信息化管理制度,充分利用公司电子信箱、网络、内部刊物,搭建企业内部信息沟通平台。
第三十七条 公司加强对信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
第三十八条 公司制定信息披露管理办法,明确信息披露的原则、内容、程序、责任、保密等内容,切实保护公司、股东、债权人及其他利益相关者的合法权益,提高信息披露质量,确保对外信息披露及时、准确、完整。
第六章 内部监督及信息披露
第三十九条 监督是对内部控制体系设计及运行情况进行监督检查,评估其有效性,发现内部控制缺陷并及时加以改进的一个过程。内部监督分为日常监督和专项监督。
第四十条 公司设审计法务部,对内部控制制度的建立和实施、财务信息的真实性和完整性等情况进行检查监督。审计法务部应当保
持独立性,对董事会审计委员会负责,向审计委员会报告工作。
第四十一条 除法律、法规另有规定外,董事会审计委员会应当督导内部审计部门对下列事项进行检查,出具检查报告并提交审计委员会。检查发现公司存在违法违规、运作不规范等情形的,应当及时向上海证券交易所报告:
(一)公司募集资金使用、提供担保、关联交易、证券投资与衍生品交易、提供财务资助、购买或者出售资产、对外投资等重大事件的实施情况;
(二)公司大额资金往来以及与董事、监事、高级管理人员、控股股东、实际控制人及其关联人资金往来情况。审计委员会应当根据内部审计部门提交的内部审计报告及相关资料,对公司内部控制有效性出具书面的评估意见,并向董事会报告。董事会或者审计委员会认为公司内部控制存在重大缺陷或者重大风险的,或者保荐人、会计师事务所指出公司内部控制有效性存在重大缺陷的,董事会应当及时向上海证券交易所报告并予以披露。公司应当在公告中披露内部控制存在的重大缺陷或者重大风险、已经或者可能导致的后果,以及已采取或者拟采取的措施。
第四十二条 公司董事会或者其审计委员会应当根据内部审计部门出具的评价报告及相关资料,出具年度内部控制自我评价报告。内部控制评价报告应当包括下列内容:
(一)董事会对内部控制评价报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制存在的缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
会计师事务所应当参照主管部门相关规定对公司内部控制评价报告进行核实评价。
第四十三条 董事会或者审计委员会应当根据公司内部审计工作报告及相关信息,评价公司内部控制的建立和实施情况,形成内部控制评价报告。董事会应当在审议年度报告等事项的同时,对公司内部控制评价报告形成决议。公司应当在披露年度报告的同时,披露年度内部控制评价报告,并同时披露会计师事务所出具的内部控制审计报告。
第四十四条 如会计师事务所对公司内部控制有效性出具非标准审计报告,或者指出公司非财务报告内部控制存在重大缺陷的,公司董事会、监事会应当针对所涉及事项作出专项说明,专项说明至少应当包括下列内容:
(一)所涉及事项的基本情况;
(二)该事项对公司内部控制有效性的影响程度;
(三)公司董事会、监事会对该事项的意见;
(四)消除该事项及其影响的具体措施。
第七章 附则第四十五条 本制度未尽事宜,按国家有关法律、法规、部门规章、规范性文件及《公司章程》的规定执行。本制度的规定如与国家日后颁布或修订的法律、法规、部门规章、规范性文件或经合法程序修订后的《公司章程》的规定不一致,按后者的规定执行,公司及时修改本制度。
第四十六条 本制度由公司董事会负责解释。第四十七条 本制度自公司董事会决议通过之日起生效。