三博脑科:内部控制鉴证报告2023-04-13
三博脑科医院管理集团股份有限公司
内部控制鉴证报告
信会师报字[2023]第 ZB10070 号
� 三博脑科医院管理集团股份有限公司
内部控制鉴证报告及内部控制自我评价报告
目录 页次
一、 内部控制鉴证报告 1-2
二、 内部控制自我评价报告 1-8
� 内部控制鉴证报告
信会师报字[2023]第 ZB10070 号
三博脑科医院管理集团股份有限公司全体股东:
我们接受委托,三博脑科医院管理集团股份有限公司(以下简称
“贵公司”) 管理层就 2022 年 12 月 31 日贵公司财务报告内部控制有效
性作出的认定执行了鉴证。
一、管理层对内部控制的责任
贵公司管理层的责任是按照《企业内部控制基本规范》的相关规
定建立健全内部控制并保持其有效性,对内部控制的完整性、合理性
及有效性进行评价并发表自我评估意见。
二、注册会计师的责任
我们的责任是在实施鉴证工作的基础上对财务报告内部控制的
有效性发表鉴证结论。
三、工作概述
我们按照《中国注册会计师其他鉴证业务准则第 3101 号——历
史财务信息审计或审阅以外的鉴证业务》的规定执行了鉴证业务。该
准则要求我们遵守中国注册会计师职业道德规范,计划和实施鉴证工
作,以对贵公司是否于 2022 年 12 月 31 日在所有重大方面按照《企
业内部控制基本规范》的相关规定保持有效的财务报告内部控制获取
合理保证。在执行鉴证工作过程中,我们实施了包括了解、测试和评
价内部控制的有效性以及我们认为必要的其他程序。我们相信,我们
的鉴证工作为发表鉴证结论提供了合理的基础。
四、重大固有限制的说明
内部控制具有固有限制,存在由于错误或舞弊而导致错报发生且
未被发现的可能性。此外,由于情况的变化可能导致内部控制变得不
恰当,或降低对控制政策、程序遵循的程度,根据内部控制评价结果
推测未来内部控制有效性具有一定的风险。
内部控制鉴证报告 第 1 页
� 五、鉴证结论
我们认为,贵公司于 2022 年 12 月 31 日按照《企业内部控制基
本规范》的相关规定在所有重大方面保持了有效的财务报告内部控制。
六、报告使用限制
本报告仅供贵公司申请首次公开发行股票并上市之目的使用,不
适用于任何其他目的。
立信会计师事务所 中国注册会计师:杨贵鹏
(特殊普通合伙)
中国注册会计师:刘海山
中国上海 二〇二三年三月十一日
内部控制鉴证报告第 2 页
� 三博脑科医院管理集团股份有限公司
董事会关于内部控制自我评价报告
三博脑科医院管理集团股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要
求(以下简称“企业内部控制规范体系”),结合公司的业务流程,我们对三博
脑科医院管理集团股份有限公司(以下简称“公司”)2022 年 12 月 31 日(内
部控制报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其
有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建
立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公
司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假
记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个
别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及
相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存
在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化
可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部
控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据本公司财务报告内部控制重大缺陷的认定情况,于内部控制自我评价报
告基准日,不存在财务报告内部控制重大缺陷。本公司已按照企业内部控制规范
体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据本公司非财务报告内部控制重大缺陷认定情况,于内部控制自我评价报
告基准日,本公司未发现非财务报告内部控制重大缺陷。
自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间未发
生影响内部控制有效性评价结论的因素。
三、公司建立内部控制的目标和遵循的原则
1、合规性原则。公司的内部控制体系建设应当符合国家法律、行政法规及
有关政府监管部门的监管要求。
2、全面性原则。内部控制应当贯穿公司决策、执行、监督和反馈全过程,
覆盖公司及分、子公司的各种业务和事项,涵盖公司董事会、经理层和全体员工。
内部控制自我评价报告第 1 页
� 3、重要性原则。在全面控制的基础上,应当重点加强重要业务事项和高风
险领域的内部控制体系建设。
4、适应性原则。内部控制应当与公司经营规模、发展阶段、业务范围、业
务特点、竞争状况和风险水平等方面相适应,并随情况的变化及时加以调整。
5、制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流
程等方面形成相互制约、相互监督的运行机制,同时兼顾运营效率。
6、成本效益原则。内部控制应在保证内部控制有效性的前提下,合理权衡
成本与效益的关系,争取以合理的成本实现有效控制。
四、内部控制评价工作情况
(一)内部控制评价范围
公司围绕内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要
素,对公司各业务流程进行评价。纳入评价范围的主要业务和事项包括:治理结
构、发展战略、组织架构、采购业务、投资业务、信息系统、资金活动、财务报
告、全面预算、资产管理、内部信息传递、人力资源等。
重点关注的高风险领域主要包括:
1、医疗风险:公司依赖执业医生根据各个患者的不同情况制定不同的诊疗
方案,但由于医生诊疗过程需要依赖医生的专业判断,其中任何细微的误差都可
能影响治疗效果,导致治疗未能成功、治疗结果不如预期。因此,公司面临一定
的医疗事故或纠纷的风险,该风险医疗事故和差错无法完全杜绝。医疗事故纠纷
会导致公司面临投诉、经济赔偿或法律诉讼,可能对公司的声誉和品牌美誉度产
生不利影响,从而会对公司的日常业务、经营业绩及财务状况产生不利影响。
控制措施:公司指导各医院严格执行国家和行业的诊疗指南、规范操作和护
理规范,并严格遵照执行公司的各项医疗服务与质量管理制度,不断完善医疗质
量控制体系,加强医师队伍的业务技能培训,提高医护人员的诊疗和护理水准;
严格术前筛查,从严掌握适应症,规范病例书写,认真履行告知义务和必要手续,
并配置各种尖端医疗设备以确保诊断的准确率和治疗的有效率;按规定定期召开
医疗质量控制分析会议,确保医疗质量与安全,促进医院医疗技术水平和管理水
平不断发展。
2、人力资源风险:作为技术密集型行业,高素质的技术人才和管理人才对
医疗机构的发展起着非常重要的作用。如果公司不能持续吸引足够的技术人才和
管理人才,并在人才培养和激励方面继续进行机制的创新,公司将在发展过程中
面临人才短缺风险。
控制措施:公司通过搭建医疗教学科研平台,解决高层次专家的引进和高素
质人才的培养问题;通过持续开展各类培训,加强医疗及管理人才的继续教育,
形成良好的学习风气;通过多元化拓展招聘渠道,持续引进公司所需的中高级人
才;通过不断完善核心人才的中长期激励机制,提升员工的认同感与归属感。
内部控制自我评价报告第 2 页
� 3、管理风险:随着公司投资并购步伐的加快和业务规模不断的扩大,管理
的复杂程度及深度与日俱增,公司在管理方面将面临较大挑战。
控制措施:根据公司战略与发展需要,公司不断完善组织架构和区域管理运
行机制,加强内部控制和风险管理,明确集团及各院区的授权审批权限、原则及
责任追究;坚持以内部控制审计为重点的审计职能导向,关注审计发现的后续整
改落实;加快信息系统的实施步伐,确保公司经营管理规范、科学、有效。
(二)内部控制评价工作依据、程序及方法
公司依据企业内部控制规范体系及公司内部控制制度、评价方法,组织开展
内部控制评价工作。
公司内部控制评价程序主要包括:制定评价工作方案、成立内控评价小组、
实施现场测试、认定控制缺陷、汇总评价结果,编制评价报告等环节。评价过程
中,我们采用了实地访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和
比较分析等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,如实
填写评价工作底稿,分析、识别内部控制缺陷。
公司内部评价采用的评价方法是适当的,获取的评价证据是充分的。
(三)内部控制缺陷认定标准
公司根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要
求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内
部控制和非财务报告内部控制,研究确定了适用于公司的内部控制缺陷具体认定
标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准:
项目 一般缺陷 重要缺陷 重大缺陷
资产总额错报额 <0.5%资产总额 0.5%资产总额≤错报<1%资产总额 ≥1%资产总额
营业收入错报额 <0.5%营业收入 0.5%营业收入≤错报<1%营业收入 ≥1%营业收入
利润总额错报额 <3%利润总额 3%利润总额≤错报<5%利润总额 ≥5%利润总额
公司确定的财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目
标。出现下列情形的,认定为存在财务报告内部控制重大缺陷:①公司董事、监
事和高级管理人员严重舞弊;②公司多次更正已公布的财务报告;③注册会计师
发现当期财务报告存在重大错报,而公司内部控制在运行过程中未能发现该错报;
④公司审计委员会和内部审计机构对内部控制的监督无效。
内部控制自我评价报告第 3 页
� 重要缺陷:单独缺陷或连同其他缺陷组合,其严重程度低于重大缺陷,但仍
有可能导致公司偏离控制目标。当公司出现以下迹象时,将认为公司存在财务报
告重要缺陷:①未依照公认会计准则选择和应用会计政策;②对于非常规或特殊
交易的账务处理没有建立相应的控制机制;③对于期末财务报告过程的控制存在
一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。
一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
2、非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准
项目 一般缺陷 重要缺陷 重大缺陷
直接资产损失金额 <0.5%资产总额 0.5%资产总额≤错报<3%资产总额 ≥3%资产总额
直接资产损失金额 <0.5%营业收入 0.5%营业收入≤错报<3%营业收入 ≥3%营业收入
直接资产损失金额 <3%利润总额 3%利润总额≤错报<5%利润总额 ≥5%利润总额
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
公司出现以下情形的,可认定为重大缺陷:
(1)违反国家法律法规或规范性文件、法人治理结构不健全导致重大决策
程序不科学、重大缺陷不能得到整改,其他对公司负面影响重大的情形。
(2)企业在资产管理、资本运营、信息披露、医疗质量与安全、环境保护
等方面发生重大违法违规事件和责任事故,给企业造成重要损失和不利影响,或
者遭受重大行政监管处罚。
(3)公司董事、监事和高级管理人员的舞弊行为,给公司造成重大经济损
失及负面影响。
(4)重大事项违反公司决策程序导致公司重大经济损失。
公司出现以下情形的,可认定为重要缺陷:
(1)公司内部控制制度缺失可能导致重要缺陷不能得到整改,以及其他因
内部控制制度未能有效执行造成较大损失,或负面影响较大的情况。
(2)公司核心岗位人员严重流失的情况。
(3)公司管理中层、员工存在串通舞弊行为,给公司造成较大经济损失及
负面影响。
一般缺陷:除重大缺陷、重要缺陷之外的其他缺陷。
四、内部控制总体执行情况
(一)控制环境
公司已建立了良好的治理架构与组织结构和相关控制制度,重视建设良好
的企业文化,在业务管理、资金管理、会计系统管理、人力资源与薪酬管理、信
息沟通与披露管理等方面形成了较完整的内部控制体系。
内部控制自我评价报告第 4 页
� 1、公司治理结构
公司根据有关法律法规及《公司章程》的要求,设立了董事会、监事会和管
理层,并在公司章程中列明各自的权利义务,制定了其议事规则,相互之间分工
明确、各司其职、各尽其责。
股东大会是公司的权力机构,2022 年公司共召开 4 次股东大会,股东大会
的召集、召开程序符合法律、法规、规范性文件及《公司章程》的规定,出席股
东大会人员的资格、召集人的资格合法有效,股东大会表决程序及表决结果均合
法有效。
董事会是股东大会的执行机构,公司董事会由 9 名成员组成,其中独立董事
3 名,总经理负责公司的日常经营管理工作。同时公司已建立独立董事制度,聘
请专业人士担任独立董事。公司董事会下设战略委员会、提名委员会、审计委员
会、薪酬与考核委员会等议事机构,并制定了各委员会工作实施细则。管理层对
于内控工作高度重视,审计委员会由三位独立董事组成,审计部负责人由董事会
审计委员会提名、董事会聘任。为更好地开展公司的内部审计工作,专门设立了
独立的内部审计机构,审计部门人员熟悉公司业务、具备该职位所需胜任力,了
解公司的实际经营状况。审计部门作为董事会审计委员会的日常工作机构,负责
完成公司《内部审计工作制度》相关规定和审计委员会安排的工作。
监事会是公司的内部监督机构,公司监事会由 3 名监事组成,监事会设主席
1 名,负责对董事、高级管理人员的履职情况进行监督,检查公司财务、经营状
况,列席董事会会议、提议召开临时股东大会,积极参与公司重大事项决策,发
挥专业优势建言献策。监事会对董事会编制的公司定期报告进行审核并提出书面
审核意见,合理合法行使监督权利、发表意见。
2、组织机构
公司根据主营业务及管理的需要,设立了办公室、人力资源部、财务部、医
疗质控部、学科发展部、医疗服务部、品牌宣传部、证券事务部、投资管理部、
医院建设管理部、网络信息中心、采购中心、商业保险部、法务部以及脑科学研
究院,各职能部门分工明确、各司其职、相互制衡、相互监督。根据公司的业务
成长进展,公司持续对各职能部门的核心和重点工作任务进行充分的研讨和完善,
提高组织效率,完善管理和控制机制。
内部控制自我评价报告第 5 页
� 3、制度流程完善
公司各专业部门针对专业工作建立了系统的制度和流程,在全公司内贯彻
执行,提高公司的管理复制和控制能力。如公司制定并持续完善了授权审批管理
制度、医疗设备管理制度、药品及耗材管理制度、全面预算管理制度、科研立项
及学术活动管理办法、信息化管理制度、医疗质控、反商业贿赂及廉洁自律管理
制度等。
随着医院建设项目不断增多,公司为了提高工程建设项目的管理工作,提高
新建或改扩建(含改造)工程项目的管理水平,保质保量地按期完成工程建设任
务,公司 2022 年下发了《三博脑科医院管理集团项目建设管理制度(2022 版)》
以及具体的《三博集团工程建设集团管控项目操作规程》。
4、内部审计
公司在董事会的领导下,设立了审计部,独立于公司其他部门。审计部通过
持续性监督检查与专项监督检查相结合的方式,对公司内部控制运行情况、资金
的使用与管理、财务状况以及业务管理等进行内部审计。通过内部审计起到了对
公司内部控制制度的建立和实施、财务信息的真实性和完整性、经营活动的效率
和效果等情况进行检查监督的作用。
5、人力资源管理
公司在招聘、配置、薪酬、培训、绩效管理、晋升等人力资源管理各方面均
建立了较为完备的管理体系。2022 年,集团人力资源部充分征询了各医院的意
见,结合实际的业务及管理需要对《三博脑科医院管理集团内部人员调动管理规
定〔2022 版)》进行了修订,以进一步规范公司内部人员调动管理工作,保证各
单位人员有序、合理调动,激发人员活力。
(二)风险评估过程
公司风险防范意识强,注重事前风险识别,对所有重大经营决策均广泛征求
相关各方意见,并经过法律评估,坚持合同审查、联签等制度,以对公司所面临
的经营、财务、行业、市场风险等进行充分的评估,并配套建设相应的风险管理
措施,风险管理机制比较完善。同时,公司结合发展现状及未来规划,持续收集
与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
(三)风险控制
公司制定了较为完整的风险控制管理规定,对公司财务结构的确定、筹资结
构的安排、筹资成本的估算和筹资的偿还计划等基本做到事先评估、事中监督、
事后考核;对各种投资都要作可行性研究并根据项目和金额大小确定审批权限,
对投资过程中可能出现的负面因素制定应对预案;建立了财务风险预警制度与经
济合同管理制度,以加强对信用风险与合同风险的评估与控制。
内部控制自我评价报告第 6 页
� (四)控制活动
为合理保证各项目标的实现,公司建立了相关的控制政策和程序,主要包括:
交易授权控制、不相容职务相互分离控制、凭证与记录控制、财产保全控制、独
立稽查控制、风险控制等。
(1)交易授权批准控制:明确了授权批准的范围、权限、程序、责任等相
关内容,公司内部的各级管理层必须在授权范围内行使相应的职权,经办人员也
必须在授权范围内办理经济业务。
公司完善了授权审批制度,对于一般性交易如采购、日常费用报销业务、
医疗纠纷等,公司采取了职能部门负责人、财务负责人、总经理、董事长分级审
批制度,以确保各类业务的审批按程序进行;对于非常规交易事项,如收购、重
大资本支出、股票发行等重大交易事项需经董事会审议批准。通过对不同交易性
质进行分级授权,有效地控制了风险。
(2)不相容职务相互分离控制:建立了岗位责任制度和内部牵制制度,通
过权力、职责的划分,制定了各组成部分及其成员岗位责任制,以防止差错及舞
弊行为的发生,按照合理设置分工,科学划分职责权限,贯彻不相容职务相分离
的原则,形成相互制衡机制。不相容的职务主要包括:授权批准、业务经办、会
计记录、财产保管、监督检查等。
(3)凭证与记录控制:公司严格审核原始凭证并合理制定了凭证流转程序,
要求交易执行应及时编制有关凭证并送交会计部门记录,已登账凭证应依序归档。
(4)财产保全控制:严格限制未经授权的人员对财产的直接接触,采取定
期盘点、财产记录、账实核对、财产保险等措施,以使各种财产安全完整。
(5)独立稽查控制:设置专门的内部审计机构,明确了内部审计机构和其
他内部机构在内部监督中的职责权限,规范了内部监督的程序、方法、要求以及
日常监督和专项监督的范围、频率。对监督过程中发现的内部控制缺陷,能及时
分析缺陷的性质和产生的原因,提出整改方案,并采取适当的形式及时向董事会、
监事会或者管理层报告。
(五)对控制的监督
公司通过对内部控制制度执行定期和不定期的检查,主要包括:公司董事会
检查、审计委员会检查、内部审计部门检查,保证内部控制活动的有效运行。公
司通过内部控制检查监督活动以及监管部门检查整改的有效开展,持续监督检查
公司各项经营活动和主要内部控制制度的执行情况,不断提出改进意见和建议,
有效防范了内部控制的风险,保障了公司经营管理活动的正常进行,对公司加强
规范运作、完善公司治理、提高各项管理水平起到了重要的指导和推动作用。
内部控制自我评价报告第 7 页
������
