ST复华:上海复旦复华科技股份有限公司内部控制评价管理制度

上海复旦复华科技股份有限公司

内部控制评价管理制度

（2026年4月修订）

第一条为了保证上海复旦复华科技股份有限公司（以下简称“公司”）内部

控制体系的持续健全及其持续有效地执行，促进公司内部控制目标的实现，公司需要定期全面评价内控运行情况，揭示和防范风险。根据财政部《企业内部控制基本规范》及其指引、《上海证券交易所上市公司自律监管指引第1号——规范运作》等有关法律法规的规定，结合公司实际情况，制定本制度。本制度适用范围为公司及全资子公司、控股子公司。

第二条内部控制评价，是指公司董事会对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。公司董事会应当对内部控制评价报告的真实性负责。

第三条经营层负责领导公司内部控制的日常运行，指定相应的人员具体负责组织协调内部控制的建立实施及日常工作；经营层负责确认需整改的内部控制缺陷，并确定整改责任人；公司内部控制评价的具体组织实施工作由内部审计机构负责。

第四条各职能部门及子公司的责任

1、各职能部门、子公司负责人为内部控制责任人，应当按照法律法规的要

求建立和不断完善各自的内部控制体系，并在日常工作中按照既定程序操作和运营；

2、各职能部门、子公司负责人为各部门内控流程自我评价工作的负责人，

并对其真实性负责；

3、在内部控制评价过程中，各部门应及时提供内控制度的变化信息，建议

1更新内部控制制度，并定期确认内部控制制度的持续正确性；

4、子公司负责人，负责逐级落实内部控制评价责任，并对其真实性负责。

第五条内控评价小组的职责：

内部审计机构组织内控评价小组具体开展内部控制评价工作，其主要职责包括：

1、根据公司内控制度流程的变化情况，与相关部门共同更新内部控制制度，

确保内部控制制度的持续正确；

2、制定内部控制评价工作方案；

3、根据内部控制评价方案进行现场测试，收集内部控制评价的证据；

4、收集、整理和填制内部控制评价测试底稿；

5、研究分析并初步认定内部控制缺陷，编制内部控制缺陷认定汇总表；

6、编写年度内部控制评价报告，报董事会审议。

第六条内部控制评价应当遵循下列原则:(一)全面性原则。评价工作应当

包括内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。(二)重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域。(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

第七条公司应当根据《企业内部控制基本规范》，应用指引以及本公司的相

关内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

第八条公司组织开展内部环境评价，应当以组织架构、发展战略、人力资

源、公司文化、社会责任等应用指引为依据，结合本公司的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

2第九条公司组织开展风险评估机制评价，应当以《企业内部控制基本规范》

有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本公司的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

第十条公司组织开展控制活动评价，应当以《企业内部控制基本规范》和

各项应用指引中的控制措施为依据，结合本公司的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

第十一条公司组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本公司的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

第十二条公司组织开展内部监督评价，应当以《企业内部控制基本规范》

有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本公司的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

第十三条内部控制评价工作应当形成工作底稿，详细记录公司执行评价工

作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

第十四条内部控制评价程序为:制定评价工作方案，组成评价工作组，实施

现场测试，认定控制缺陷，汇总评价结果，编报评价报告等环节。公司审计总监负责内部控制评价的具体组织实施工作。

第十五条内控评价小组应当拟订评价工作方案，明确评价范围、工作任务、

3人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。公司内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的会计师事务所，不得同时为同一公司提供内部控制评价服务。

第十六条内部控制评价工作组应当对被评价单位进行现场测试，综合运用

个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

第十七条内控评价小组根据独立测试后的结果应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向内部审计机构报告。内部审计机构编制内部审计报告提交审计委员会。

第十八条审计委员会应当根据内部审计机构提交的内部审计报告及相关资料，对公司内部控制有效性出具书面的评估意见，并向董事会报告。董事会或者审计委员会认为公司内部控制存在重大缺陷或者重大风险的，或者保荐人、会计师事务所指出公司内部控制有效性存在重大缺陷的，董事会应当及时向上海证券交易所报告并予以披露。公司应当在公告中披露内部控制存在的重大缺陷或者重大风险、已经或者可能导致的后果，以及已采取或者拟采取的措施。

第十九条公司对于认定的重大缺陷，应当立即采取应对措施，切实将风险

控制在可承受范围之内，并追究有关部门或相关人员的责任。

4第二十条内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

根据基本规范和评价指引对重大缺陷、重要缺陷、一般缺陷的认定要求，结合公司实际，确定具体的内部控制缺陷的认定标准。公司内部控制缺陷认定标准分为财务报告内部控制缺陷认定标准和非财务报告内部控制缺陷认定标准。

（一）财务报告内部控制缺陷认定标准

公司分别按定性标准和定量标准划分确定重大缺陷、重要缺陷和一般缺陷。

1、定性标准

重大缺陷：单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报

告中的重大错报。出现下列情形的，认定为重大缺陷：

（1）发现董事和高级管理人员重大舞弊；

（2）公司对已经公布的财务报表进行重大更正；

（3）外部审计发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；

（4）公司审计委员会和内部审计机构对内部控制的监督无效；

（5）控制环境无效；

（6）已经发现并报告给管理层的重大缺陷在合理的时间后未加以改正；

（7）其他可能影响报表使用者正确判断的缺陷。

重要缺陷：单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报

告中虽然未达到和超过重要性水平，仍应引起管理层重视的错报。

一般缺陷：不构成重大缺陷或重要缺陷的其他内部控制缺陷。

2、定量标准

（1）符合下列条件之一的，可以认定为重大缺陷：

项目缺陷影响

资产总额潜在错报错报≥资产总额1%

营业收入潜在错报错报≥营业收入总额1%

5所有者权益潜在错报错报≥所有者权益总额1%

利润总额潜在错报错报≥利润总额10%

（2）符合下列条件之一的，可以认定为重要缺陷：

项目缺陷影响

资产总额潜在错报资产总额0.5%≤错报＜资产总额1%

营业收入潜在错报营业收入总额0.5%≤错报＜营业收入总额1%

所有者权益潜在错报所有者权益总额0.5%≤错报＜所有者权益总额1%

利润总额潜在错报利润总额3%≤错报＜利润总额10%

（3）符合下列条件之一的，可以认定为一般缺陷：

项目缺陷影响

资产总额潜在错报错报＜资产总额0.5%

营业收入潜在错报错报＜营业收入总额0.5%

所有者权益潜在错报错报＜所有者权益总额0.5%

利润总额潜在错报错报＜利润总额3%

（二）非财务报告内部控制缺陷的认定标准

公司分别按定性标准和定量标准划分确定重大缺陷、重要缺陷和一般缺陷。

1、定性标准

出现以下情形的，认定为重大缺陷，其他情形按影响程度分别确定为重要缺陷或一般缺陷。

（1）违反国家法律、法规或规范性文件并受到处罚；

（2）缺乏决策程序或决策程序不科学，导致重大失误；

（3）重要业务缺乏制度控制或制度系统性失败；

6（4）内部控制评价的结果特别是重大或重要缺陷未得到整改；

（5）其他对公司影响重大的情形。

2、定量标准

缺陷类型直接财产损失金额一般缺陷小于人民币500万元

重要缺陷人民币500万元（含500万元）-人民币1000万元重大缺陷人民币1000万元及以上

第二十一条公司应当根据内部审计机构出具、审计委员会审议后的评价报

告及相关资料，出具年度内部控制评价报告。每年12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。

第二十二条年度内部控制评价报告应当分别对内部环境、风险评估、控制

活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。年度内部控制评价报告应当披露下列内容：

(一)董事会对内部控制报告真实性的声明。

(二)内部控制评价工作的总体情况。

(三)内部控制评价的依据、范围、程序和方法。

(四)内部控制存在的缺陷及其认定情况。

(五)对上一年度内部控制缺陷的整改情况。

(六)对本年度内部控制缺陷拟采取的整改措施。

(七)内部控制有效性的结论。

会计师事务所应当参照主管部门相关规定对公司内部控制评价报告进行核实评价。

7第二十三条公司内部控制监督部门应当关注自内部控制评价报告基准日至

内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

第二十四条董事会、审计委员会应当根据公司内部审计机构出具的评价报

告及相关材料，评价公司内部控制的建立和实施情况，审议形成年度内部控制评价报告。董事会应当在审议年度报告等事项的同时，对公司内部控制评价报告形成决议。

公司应当在披露年度报告的同时，披露年度内部控制评价报告，并同时披露会计师事务所出具的内部控制审计报告。

第二十五条公司实行规范的内控评价文档管理，内部控制评价工作，应形

成相应工作底稿。公司内部控制评价工作组应当建立评价质量交叉复核制度，评价小组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交公司领导审批。对实地或文档进行查验查看时，应记录查验的过程和结果，可以书面记录，也可以复印、拍照、摄像等。总部办公室负责内部控制评价文档的归档管理，对内部控制评价的有关文件资料、工作底稿和证明材料等的电子文档及纸质文档进行妥善保管，保存时间不少于5年。

第二十六条本办法由董事会负责制定并解释，自公司董事会审议批准之日起实施。