国新健康保障服务集团股份有限公司
2024年度内部控制评价报告
国新健康保障服务集团股份有限公司
二零二五年四月
国新健康保障服务集团股份有限公司
2024年度内部控制评价报告
国新健康保障服务集团股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合国新健康保障服务集团股份有限公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,公司对截至2024年12月31日(内部控制评价报告基准日)的内部控制有效性进行了独立评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。公司经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效
果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷和重要缺陷的认定情况,截至内部控制评价报告基准日,公司不存在财务报告内部控制重大缺陷和重要缺陷。董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷和重要缺陷认定情况,截至内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷和重要缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项及高风险领域。
纳入评价范围的主要单位包括:国新健康保障服务集团股份有限公司、国新健康保障服务有限公司、国新益康数据(北京)有限公司、北京益虹医通技术服务有限公司、域创(北京)医疗信息技术有限公司、青岛国新健康产业科技有限公司、北京海协智康科技发展有限公司、国新健康保障服
务(广东)有限公司、国新健康保障服务(湖北)有限公司、国新健康保障服务(浙江)有限公司、海南海虹投资咨询有限公司、海南卫虹医药电子商务有限公司。纳入评价范围单位资产总额占公司合并财务报表资产总额的99%,营业收入合计占公司合并财务报表营业收入总额的100%。
纳入评价范围的主要业务和事项及高风险领域包括:组织架构、内部审计、战略规划及执行、人力资源、财务管理、社会责任、企业文化、分子公司管理、预算管理、资金运营、采购管理、资产管理、业务管理、研究与开发、信息披露、数据安全、合同印章管理、保密管理、关联交易、对外担保等方面。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
四、内部控制执行情况
(一)组织架构
公司建立了股东大会为权力机构、董事会为决策机构、经理层为执行机构,监事会为监督机构的法人治理结构和运行机制,并按照中国证监会《上市公司独立董事管理办法》精神建立了独立董事制度。公司的重大决策、重要人事任免、重大项目安排和大额度资金运作事项等,均按照《公司章程》的规定履行经营管理层、党委会、董事会、股东大会的决策程序,并接受监事会的监督,符合现代企业制度的管理要求。2024年公司修订《公司章程》《股东大会议事规则》《董事会议事规则》《独立董事工作制度》等制度及《权责手册》,
进一步明确了决策、执行、监督等方面的职责权限,形成了科学有效的职责分工和制衡机制。2024年公司顺势设立数字化建设办公室,推进公司信息化和数字化建设、网络与数据安全管理体系建设,加快提升公司数字化水平,保障公司业务安全开展。
(二)内部审计
公司董事会下设审计委员会,负责审查企业内部控制,监督内部控制的有效实施与内部控制自我评价情况,指导与协调内部审计及其他相关事宜。公司审计部对董事会负责并报告工作。配备专职审计人员,审计部根据年度审计工作计划,通过开展常规项目审计、专项审计等工作,对公司内部控制制度和控制流程的建立及实施进行监督检查,对检查中发现的内部控制缺陷和问题,及时向审计委员会报告,保证了审计部工作的独立性。2024年,公司修订了《内部审计管理办法》《违规经营投资责任追究实施办法》《领导人员经济责任审计管理办法》;公司审计部认真履行审计监督职责,围绕公司综合性改革,聚焦流程建设、降本增效、数据安全、内部控制、数据运营等重点领域开展相关审计工作,对公司内部控制制度的健全性、合理性和有效性进行监督检查,确保公司健康有序发展。
(三)战略规划及执行
2024年公司按照综合性改革总体要求,制定未来三年战略规划和年度商业计划,完成了战略洞察、战略制定、战略解码和战略复盘;持续完善市场规划流程,改进市场管理体
系,开展“飞夺泸定桥”“四渡赤水”“淮海战役”“锦州战役”四大战役,以战役拉动、以信息化为支撑,持续推进关键目标和核心流程落地,实现了战略规划到执行流程的闭环。
2024年,公司按照“三医协同、创新驱动、数字生态”部署,加强对外合作,开展市场协同,开拓公司持续发展新空间。巩固医保业务卡位优势,守住医保领域龙头地位。医疗营收持续增长,产品体系进一步丰富。医药业务势头较好,业务模式持续创新。健康服务业务发展迅速,标杆效应初显,服务能力持续提升,成功签约多家央企职工健康服务;聚焦医疗数据应用场景落地,为商保与数据服务业务的发展提供了重要实践场景,加快商保业务领域探索和布局;大力开拓数据要素市场,强化数据安全等资质申请,管理支撑公司各项业务发展,助力公司高质量发展,塑造公司品牌在业内的核心价值,形成公司央企品牌优势。
(四)人力资源管理
公司依据《劳动法》《劳动合同法》等法规,建立人事管理内控制度,包括《薪酬福利管理办法》《员工手册》《绩效管理办法(试行)》等,囊括了人力资源日常管理工作的各个方面。2024年,公司制定《员工离职管理办法》,规范员工离职流程,加强离职后员工从业管理;公司修订制定《干部管理办法》《职位任职资格管理办法(试行)》《招聘管理办法》《负责人履职待遇、业务支出管理实施细则》《员工履职待遇、业务支出管理实施细则》等,推进干部管理的
科学化、制度化和规范化。以促进实现公司战略目标及鼓励员工价值创造为导向,深化组织GSA和个人PBC绩效考核机制,设定组织和个人目标、策略和行动,根据完成情况评定员工绩效奖励,匹配个性化激励方案,及时激励标杆,引领和指导公司上下一致行动。
(五)财务管理
公司根据《会计法》《企业会计准则》等相关法律法规及《公司章程》,结合公司实际情况,制定《财务管理制度》《融资管理办法》《股权投资管理办法》《股权投资投后管理办法》,规范公司财务管理行为,保障会计信息质量,维护股东权益。
公司总经理和总会计师领导公司财务管理工作,对所设立的子公司财务实行垂直管理,子公司财务人员由公司财务部统一委派调遣,对公司财务部负责。对资金收支事项执行严格的授权制度和审批制度,明确各类业务和事项的审批程序、审批人员和审批权限。2024年,公司制定未来三年股东回报规划,完善公司分红机制,增强利润分配的透明度,保证投资者分享公司的发展成果。
(六)社会责任
公司依据深交所《上市公司社会责任指引》、国资委《央企控股上市公司ESG专项报告参考指标体系》、全球报告倡议组织发布的《可持续发展报告标准(GRI Standards)》以及《联合国可持续发展目标》(UN SDGs 2030)要求,遵照客观、规范、透明和全面的原则,发布年度《社会责任报告》,
详细披露公司在积极承担社会责任和促进可持续发展等方面的具体举措、重点实践、亮点案例和关键绩效,旨在回应利益相关方的期望,更好地履行社会责任。
2024年,公司立足自身专业优势,深化对口帮扶行动,为中国国新对口帮扶湖北省利川市的利川市人民医院建设医院全成本核算管理系统,提升医疗保障服务能力,切实增强人民幸福感和获得感,履行社会责任;进一步深化消费帮扶行动,鼓励和引导全体员工参与“央企消费帮扶兴农周”活动,助力帮扶地区农特产品销售和乡村特色产业发展壮大,践行央企责任与担当。
(七)企业文化
公司大力弘扬社会主义核心价值观,以传承央企责任为方向,以“让人人享有公平公正的健康保障服务”为使命,践行“务实、创新、奋斗、健康”的企业价值观。2024年,围绕推进公司战略实施,组织全员学习“四渡赤水战役”“飞夺泸定桥战役”“锦州战役”“淮海战役”等精神内涵,弘扬战役文化,组建“药企DRO业务”和“数据底座”青年突击队,提振青年员工投身干事创业热情,推进战略落实落地;公司依托各社团,常态化开展读书、篮球、足球、乒乓球、健步走等文体活动,丰富员工业余生活;以重要节日、节点为契机,开展文化活动,充分营造喜庆的节日气氛及和谐的工作氛围;持续开展节日福利发放、婚丧嫁娶、夏送清凉冬送温暖以及特困重病职工关怀救助慰问、健康义诊、健康讲座等工作,建立分层分级为员工生日送祝福机制,提升职工
幸福感和获得感。
2024年,公司聚焦上市公司的宣传格局,围绕“外树品牌内聚人心”强化宣传,公司官网、官微、企业内刊协同,共发布新闻200余篇次,拍摄制作宣传视频11部;中国国新官网、《中国证券报》《证券时报》、全景网等主流财经媒体转载和发布80余篇,及时传递公司发展动态,促进了客户及资本市场对公司的正向理解。
(八)资金运营和管理
公司制定《委托理财管理制度》《资金支出管理办法》《募集资金使用管理制度》等管理制度,2024年,公司制定《资金管理办法》,分别对资金预算管理、资金集中管理、资金内部调拨管理、银行账户管理、债务融资管理、资金风险管理和境外资金管理作出规定,进一步加强资金管理,提高资金使用效率,优化资源配置,防范资金风险,确保了资金安全和有效运行;制定《应收账款管理办法(试行)》,推动建立公司应收账款回款调度机制,规定了日常应收账款催收的基本工作要求,将应收账款的回款责任细化至各业务部门和经办人,压实前台回款责任,应收账款管理成效显著;制定《参股企业委派人员管理办法》,规范参股企业委派人员的履职行为,有效保护公司投资权益。
(九)采购管理
公司采购管理依据《采购管理办法》及中国国新相关规定,明确相关采购流程和审批权限,公司针对采购与付款管理环节制定较为完善的控制机制,相应控制制度得到了有效
执行,发挥了较好的控制作用。
(十)资产管理
公司制定《固定资产管理办法》,对固定资产的购入、验收保管、维修、盘点等管理活动作出明确规定,在财务人员之外单设资产管理员并另设资产管理系统,保证了不相容职务分离。固定资产管理执行有效、各项资产保管资料完整、实物安全。对于自研形成无形资产的专利权、著作权证书由专人进行登记造册管理,资料安全得到有效保障。
(十一)业务管理
公司制定《流程管理办法》《项目交付实施管理办法》,删繁就简,打造相互衔接的八大流程,优化管理,提高公司运营效率。战略规划与执行流程下接市场规划与实施流程,连接产品研发、线索到回款流程,线索到回款流程包括定制开发与交付实施两个子流程,辅以客户成功和客户问题解决流程,形成完整的业务管理闭环。
2024年,公司修订《业务事业群运营管理办法》,结合公司业务流程实际运行情况,进一步规范从销售到回款各个环节,建立以客户为中心,以奋斗者为本,以利润为导向,以公司高质量发展为目标的运营管理体系,提高公司运营效率,保障公司经营目标达成;修订《渠道合作管理办法》,规范公司渠道合作行为,推动渠道业务健康发展。
(十二)研究与开发
公司设立产品委员会,制定《产品研发项目管理办法(试行)》《IPD(集成产品开发)流程说明书》等制度,明确产
品开发流程,规范研发管理流程,形成包括项目任务书、研发预算规划、技术评审、决策评审、研发过程文档的收集保存、研发流程中的角色与职责分工等在内全流程规范体系,进一步明确优化研发项目管理,提高公司的核心竞争力。2024年,公司制定《产品研发成本管理办法》,规范公司产品研发成本管理工作,提高产品研发管理水平,执行概算、预算、核算和决算“四算管理”,实现产品研发管理可控。报告期内研发管理各环节的控制制度得到了有效执行,符合相关制度要求。
(十三)信息披露管理
公司根据《公司法》《证券法》《上市公司信息披露管理办法》等相关法律法规,制定《信息披露事务管理制度》《年报信息披露重大差错责任追究制度》《对外信息报送和使用管理制度》《重大信息内部报告制度》,确保公司内部重大信息的快速传递、归集和有效管理,及时准确全面完整地披露,维护投资者合法权益。公司公告的编制、审批及披露等都严格遵照相关规定。
(十四)预算管理
公司制订《全面预算管理办法》,对预算的编制、执行、考核和调整等作出相应规范,保障预算指标设置的科学性、有效性和可操作性,突出经营计划对预算的支撑作用,做好预算执行过程及结果监控。2024年,着力强化“概算-预算-核算-决算”的管理闭环,预算编制流程及预算目标设置的科学性进一步提高。相关制度得到有效执行,在预算管理各环
节中发挥了较好的管理控制作用。
(十五)合同印章管理
公司制定《印章管理办法》,保证印章的安全有效合理使用。公司将合同管理和印章管理的审批、使用固化在OA流程中,并根据业务需要调整流程的审批内容和权限,在提高经营工作效率的同时强化内部控制规范管理,确保公司各项业务正常、有序进行。2024年,公司修订《合同管理办法》进一步规范合同起草、审核、履行、争议解决及归档管理等各环节的管理,防范法律风险,维护公司合法权益。相应制度得到了有效执行,在合同印章管理各环节发挥了较好的管理控制作用。
(十六)数据安全
公司根据《数据安全法》《网络安全法》《个人信息保护法》《儿童个人信息网络保护规定》等相关法律法规,制定《个人信息保护管理办法》《个人信息安全影响评估制度》,规范公司在业务活动中对个人信息的处理流程、个人信息的授权使用及保护,保证了个人敏感信息的安全;制定《数据安全和网络安全基本制度》《数据安全管理办法》《数据规范化使用管理办法》《数据安全和网络安全事件应急管理办法》《网络安全管理办法》《信息工作第三方人员管理办法(试行)》《数据安全和网络安全人员管理办法》《源代码管理办法》,规范公司数据和网络安全管理。
按照“权限分散、不得交叉覆盖”原则设立数据安全和网络安全岗位,明确相关人员职责,保障数据在生命周期各
阶段的管理和使用合法合规;加强产品代码归集管理,强化代码安全防护,保证代码完整性,防止代码泄漏;建立健全公司数据与网络安全应急机制,提高突发安全事件的应急处置能力。
实施数据安全检查和整改,强化技术平台支撑,构建一体化态势感知平台,建立安全漏洞常态化扫描机制,优化上网准入和实名认证系统;提升安全运营水平,推进基于云桌面技术的代码下沉管理,完善超融合平台建设,建立数据两地三备份平台,筑牢数据安全防线。
(十七)保密管理
公司制定《内部信息传递管理制度》《内幕信息知情人登记管理制度》等关于内部信息管理制度,内容涵盖了内部信息沟通、处理和反馈程序,对不同信息的沟通与反馈层级及职责作出明确规定,保证了业务信息和重要风险信息的安全和保密。2024年,公司修订了《保密工作管理办法》《商业秘密和工作敏感信息保护子目录》,进一步细化公司保密范围,规范密级文件管理。公司信息密级的分类、标识、流转等处理流程得到有效执行。
(十八)关联交易管理
公司依据《公司法》《证券法》等相关法律法规及《公司章程》,制定《关联交易管理制度》,规范关联关系和关联交易事项的认定、关联交易的交易原则、关联交易的授权审批权限、关联交易的回避措施、关联交易的信息披露等。公司有效执行关联交易法律、法规、规范性文件及公司内部
控制的规定。
(十九)对外担保管理
公司制定《对外担保管理制度》,就对外担保审批程序、合同管理、信息披露、责任追究等作出规范,公司为关联方提供担保的,不论数额大小,均应当由董事会审议。2024年,公司没有发生对外担保事项。
(二十)分子公司管理
公司制定《分子公司管理办法》,对分子公司股权管理、人事薪酬管理、财务管理、经营决策管理、内部审计监督、投资管理、信息上报、母公司与分子公司之间的关系等方面进行了规范,对分子公司的管控有效执行了相应的内部控制。
五、内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系要求,遵循全面、重要、有效、制衡和成本效益的原则,组织开展了2024年度内部控制评价工作。
公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷认定标准。具体标准如下:
(一)财务报告内部控制缺陷认定标准
1.定性标准:根据影响内控有效的可能性进行划分,可能或很可能严重影响内控有效性的为重大缺陷,极小可能影响内控有效性的为一般缺陷,对内控有效性的影响高于一般
缺陷、低于重大缺陷的为重要缺陷。具体标准如下:
重大缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中的重大错报。出现下列情形的,认定为重大缺陷:
(1)控制环境无效;
(2)董事、监事和高管人员舞弊行为;
(3)外部审计发现当期财务报告存在重大错报,公司在运行过程中未能发现该错报;
(4)已经发现并报告给经理层的重大缺陷在合理的时间内未加以改正;
(5)公司审计委员会和审计部对内部控制的监督无效;
(6)其他可能影响报表使用者正确判断的缺陷。
重要缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平,仍应引起经理层重视的错报。
一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
2.定量标准:以营业收入、资产总额作为衡量标准。内部控制缺陷可能导致或导致的错报与利润表相关的,以营业收入指标衡量;与资产管理相关的,以资产总额衡量。
| 重要程度 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 1、营业收入潜在错报金额 | 错报≥最近一个会计年度合并财务报表营业收入的5% | 最近一个会计年度合并财务报表营业收入的1%≤错报<5% | 错报〈最近一个会计年度合并财务报表营业收入的1%以下 |
| 2、资产总额潜在错报金额 | 错报≥最近一个会计年度合并财务报表资产总额的1% | 最近一个会计年度合并财务报表资产总额的0.5%≤错报<1% | 错报〈最近一个会计年度合并财务报表资产总额的0.5%以下 |
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。
(二)非财务报告内部控制缺陷认定标准
1.定性标准:根据影响内控有效的可能性进行划分,可能或很可能严重影响内控有效性的为重大缺陷,极小可能影响内控有效性的为一般缺陷,对内控有效性的影响高于一般缺陷、低于重大缺陷的为重要缺陷。
出现以下情形的,认定为重大缺陷,其他情形按影响程度分别确定为重要缺陷或一般缺陷。
(1)违反国家法律、法规或规范性文件;
(2)重大决策程序不科学;
(3)制度缺失可能导致系统性失效;
(4)重大或重要缺陷不能得到整改;
(5)其他对公司影响重大的情形。
2.定量标准:以对公司造成负面影响及直接经济损失的金额作为指标衡量。
| 重要程度 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 造成损失金额 | 对公司造成较大负面影响、造成公司直接财产损失金额在最近一个会计年度合并财务报表资产总额的1%以上。 | 对公司造成负面影响、造成公司直接财产损失金额在最近一个会计年度合并财务报表资产总额的0.5%-1%之间。 | 对公司造成负面影响、造成公司直接财产损失在最近一个会计年度合并财务报表资产总额的0.5%以下。 |
根据上述非财务报告内部控制缺陷的认定标准,报告期
内未发现公司非财务报告内部控制重大缺陷和重要缺陷。
六、对公司内部控制的评价意见
经过认真核查,2024年,公司不存在财务报告内部控制重大缺陷和重要缺陷,未发现公司非财务报告内部控制重大缺陷和重要缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。公司董事会认为:公司内部控制机制能够适应公司日常管理的要求和发展的需要,能够对编制真实、公允的财务报表提供合理的保证,能够对公司各项业务活动的健康运行及国家有关法律、法规和公司内部规章制度的贯彻执行提供保证,公司根据业务实际需要持续完善内部控制制度。
国新健康保障服务集团股份有限公司董 事 会二零二五年四月二十四日