重药控股:内部控制评价管理办法(2020年1月)2020-01-17
重药控股股份有限公司
内部控制评价管理办法
第一章 总 则
第一条 为规范重药控股股份有限公司(以下简称“公司”)内部控制评价工作,
确保内部控制有效运行,依据《公司法》、《企业内部控制基本规范》及其配套指引
等法律法规的规定,并结合本公司实际情况,制定本办法。
第二条 本办法所称内部控制评价,是指由公司董事会和管理层实施的,对公司
内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。
内部控制有效性是指公司通过建立与实施内部控制能够为控制目标的实现提供
合理的保证。
第三条 本办法适用范围:本公司(含各部门、事业部)及所属各分、子公司。
子公司包括公司直接或间接控股 50%以上的子公司和其他纳入公司合并会计报
表的子公司。
第四条 公司实施内部控制评价至少应遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所
属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重
大业务事项和高风险领域。
(三)客观性原则。评价应当准确地揭示经营管理的风险状况,如实反映内部控
制设计与运行的有效性。
第五条 评价依据和标准遵循国家有关法律法规、《企业内部控制基本规范》、
《企业内部控制评价配套指引》、公司及下属各分、子公司制度、流程等相关文件。
第二章 内部控制评价的组织和实施
第六条 公司内部控制评价按照“统一领导,分级管理”的原则进行,即公司董事
会负责领导,授权公司审计与合规部负责组织和实施。公司二级企业负责本企业及下
-1-
属子企业(含托管)的内部控制评价工作。
第七条 内部控制评价的职责分工
(一)董事会负责公司内部控制的设计、运作和评价工作,董事会对内部控制评
价报告的真实性负责。
(二)董事会审计委员会对内部控制评价工作进行指导,监督内部控制自我评价
情况,并审阅审计与合规部提交的内部控制评价报告。
(三)监事会对董事会建立与实施内部控制及内部控制评价工作进行监督,并审
议内部控制评价报告。
(四)党委会负责审定内部控制评价报告并提出意见和建议。
(五)总裁办公会负责审议内部控制评价报告并提出意见和建议;对经董事会最
终认定的内部控制缺陷,应组织相关部门或单位制定整改方案、实施整改并督促落实
以保证效果。
(六)审计与合规部负责内部控制评价牵头组织实施工作,对二级企业的内控评价
工作进行指导、监督、检查。
(七)其余各职能部门是内部控制评价的参与单位,配合审计与合规部开展内部
控制评价工作。对发现的内部控制设计和运行缺陷提出整改方案及具体计划,积极整
改,对二级企业的内部控制缺陷的整改工作进行指导、监督、检查。
第八条 公司内部控制评价,一般包括年度评价和日常评价。
年度评价是指公司根据内部控制目标,对公司某一年度建立与实施内部控制的有
效性进行的评价;日常评价是指公司在特定时点对特定范围的内部控制的有效性进行
的评价。
第九条 年度评价为定期评价,在每年年度结束后至年度报告提交董事会审议之
前,应完成定期检查并将内部控制评价报告提交董事会审计委员会审阅;日常评价一
般为不定期评价,根据需要视具体情况而定,不受检查时间和检查次数的限制。
第十条 公司各部门、事业部及各分、子公司应负责组织相关人员按公司审计与
合规部的要求,积极配合并及时提供所需的各项资料。
第三章 内部控制评价的内容
-2-
第十一条 公司应当围绕内部环境、风险评估、控制活动、信息与沟通、内部监
督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
第十二条 评价范围为公司本部及下属各分、子公司所有营运环节及贯穿于经营
活动各环节之中的各项管理制度。
第十三条 公司实施内部控制评价,包括对内部控制设计有效性和运行有效性的
评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设
计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。
第十四条 公司对被评价单位内部控制的有效性进行评价,应当至少涉及下列内
容:
(一)被评价单位内部控制是否在风险评估的基础上涵盖了公司层面的风险和所
有重要的业务流程层面的风险。
(二)被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排
是否科学、阶段性工作要求是否合理。
(三)被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和
授权是否合理。
(四)被评价单位是否开展内部控制自查并上报有关自查报告。
(五)被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的
机制。
(六)被评价单位在评价期间是否出现过重大风险事故等。
第四章 内部控制评价的程序和方法
第十五条 公司内部控制评价程序一般包括:制定评价工作方案、组成评价工作
组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十六条 年度检查评价的程序
(一)组织、召开年度测评会议,明确总体目标及要点。
(二)公司审计与合规部制订工作方案,明确评价范围、工作任务、人员组织、
进度安排等。
(三)公司审计与合规部牵头推进集团本部内部控制评价工作,并抽查下属部分
-3-
企业内部控制评价工作。
(四)公司审计与合规部以汇总的评价结果和认定的内部控制缺陷为基础,综合
内部控制工作整体情况,提请公司党委会、总裁办公会审议,并根据相关意见和建议
客观、公正、完整地编制公司年度内部控制评价报告。
(五)公司董事会审计委员会审议内部控制评价报告,对存在的缺陷和问题提出
相应意见和建议。
(六)公司审计与合规部将审计委员会审议后的内部控制评价报告提交公司董事
会审议并形成决议。公司监事会和独立董事亦应对此报告发表意见。
(七)公司董事会在年度报告披露的同时,按规定披露年度内部控制评价报告。
(八)公司审计与合规部对于检查中发现的内部控制缺陷及实施中存在的问题,
应向董事会报告后进行追踪,以确定相关单位已及时采取适当的改进措施。
第十七条 除定期检查评价外,公司审计与合规部亦应代表董事会对公司内部控
制的建立与执行情况进行不定期检查评价,以规范管理,控制和防范风险。
第十八条 检查评价部门开展内部控制检查评价工作时,应当对被评价单位进行
现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和
比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评
价的具体内容,如实填写评价工作底稿,研究分析内部控制存在的缺陷。
第十九条 公司应当通过评估和测试获取与内部控制有效性相关的证据,并合理
保证证据的充分性和适当性。
证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的适当
性是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运
行状况。
第二十条 内部控制评价人员应当及时记录开展内部控制评价工作的方法和程
序,并以适当形式妥善保存相关证据。
第五章 内部控制缺陷的认定
第二十一条 内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认
定,按照规定的权限和程序进行。
-4-
第二十二条 内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
(一)内部控制缺陷定义
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺
陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
(二)内部控制缺陷认定标准
认
内部缺 定 指标名
重大缺陷 重要缺陷 一般缺陷
陷类型 标 称
准
缺陷或
缺陷组
合可能 利润总额的 3%≤错报<利 错报<利润总额
错报≥利润总额的 5%
对利润 润总额的 5% 的 3%
定 总额的
量 影响
标 缺陷或
准 缺陷组
合可能 资产总额的 0.3%≤错报< 错报<资产总额
错报≥资产总额的 0.5%
对总资 资产总额的 0.5% 的 0.3%
财务报 产的影
告内部 响
控制缺 1)控制环境无效;
陷 2)董事、监事和高级管理人员存
存在一项或多项控制缺
在舞弊行为并给公司造成重大损
陷导致期末财务报告不
失和不利影响;
能达到真实、合理的标
定 3)因重大会计差错公司更正已公 不构成重大缺
准,由于这些内部控制缺
性 迹象表 布的财务报告; 陷和重要缺陷
陷可能导致的错报即使
标 现 4)存在未被内部控制识别的当期 的认定为一般
未达到重要性水平,但仍
准 财务报告中的重大错报; 缺陷。
应引起董事会和管理层
5)公司审计委员会和内部审计机
的重视,就将该缺陷认定
构对内部控制的监督无效;
为重要缺陷。
6)因会计差错可能受到监管机构
的严重处罚。
非财务 定 直接财
报告内 量 产损失 利润总额的 3%≤直接财 直接财产损失<
直接财产损失≥利润总额的 5%
部控制 标 占利润 产损失<利润总额的 5% 利润总额的 3%
缺陷 准 总额比
-5-
直接财
产损失 资产总额的 0.3%≤错报< 错报<资产总额
错报≥资产总额的 0.5%
占资产 资产总额的 0.5% 的 0.3%
总额比
1)公司决策程序不科学
1)严重违反法律法规; 导致一般失误;
2)发生重大安全、环保事故,造 2)全资、控股子公司未
成严重后果; 按照法律法规建立恰当
3)重大决策未经有效集体表决, 的治理结构和管理制度,
定 导致重大失误; 管理散乱; 不构成重大缺
性 迹象表 4)制度体系整体缺失,可能或已 3)一般管理人员及技术 陷和重要缺陷
标 现 经造成本公司控制失效; 人员流失较多; 的认定为一般
准 5)高级管理人员或关键技术岗位 4)发生一般安全事故, 缺陷。
人员流失严重,影响本公司正常 未形成严重后果;
经营活动; 5)信息内容不真实、不
6)内部控制评价的结果特别是重 完整,受到外部监管机构
大重要缺陷未得到整改。 较重处罚。
说明:
① 财务指标值为公司上年度经审计的合并报表数据进行具体应用。
② 上述标准按照每起事件进行认定。如果出现多起事件,按照各自造成的直接财产损失及其影响程度
分别认定缺陷等级。直接财产损失金额以外部审计、总部部门、被检查单位等已经认定的金额为准;
如尚无处理结论,则由内控检查组现场认定。
③ 对于实施 100%检查的会计科目,潜在错报等于发现的实际错报;当采取抽样检查时,潜在错报金
额=相应会计科目同向累计发生额×潜在错报率。
第二十三条 公司审计与合规部应当编制内部控制缺陷认定汇总表,结合日常监
督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影
响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、审计委
员会报告。重大缺陷应当由董事会予以最终认定。
对于经董事会认定的重大缺陷,公司应当及时采取应对策略,切实将风险控制在
可承受范围内,并追究有关部门或相关人员的责任。
第六章 内部控制评价报告
第二十四条 内部控制评价报告应当分内部环境、风险评估、控制活动、信息与
沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情
况、内部控制有效性的结论等作出披露。
-6-
第二十五条 内部控制评价报告一般至少应当包括下列内容:
(一)内部控制评价工作的总体情况。
(二)内部控制评价的依据。
(三)内部控制评价的范围。
(四)内部控制评价的程序和方法。
(五)内部控制缺陷及其认定情况。
(六)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(七)内部控制有效性的结论。
公司对外报送的内部控制评价报告还应包括董事会对内部控制报告真实性的声
明。
第二十六条 内部控制评价报告应当报经董事会批准后对外披露或报送相关部
门。
公司审计与合规部应当关注自内部控制评价报告基准日至内部控制评价报告发
出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论
进行相应调整。
第二十七条 公司应当以每年 12 月 31 日作为年度内部控制评价报告的基准日。
年度内部控制评价报告应于基准日后 4 个月内报出。
第二十八条 公司内部控制评价报告、工作底稿及相关资料,保存时间不少于十
年。
第七章 内部控制评价的监督及考核奖惩
第二十九条 公司所有内部控制评价活动都由董事会审计委员会统一负责监督,
如相关单位对检查评价的过程或结果的公正性存在质疑,可以向该审计委员会反映。
第三十条 公司董事会应当根据评价结论对相关单位、部门或人员实施适当的奖
励和惩戒,纳入考核机制。
第八章 附 则
第三十一条 本办法由公司审计与合规部负责解释。
-7-
第三十二条 本办法没有规定或与法律、行政法规、部门规章、规范性文件及《公
司章程》的规定不一致的,以法律、行政法规、部门规章、规范性文件及《公司章程》
的规定为准。
第三十三条 公司所属二级企业应制订相应的内部控制评价办法或参照本办法执
行。
第三十四条 本办法自董事会审议通过后生效。原相关管理办法与本办法规定不
一致的,以本办法为准。
重药控股份有限公司董事会
2020 年 1 月 16 日
-8-