公司代码：600998公司简称：九州通

九州通医药集团股份有限公司

2025年度内部控制评价报告

九州通医药集团股份有限公司全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合九州通医药集团股份有限公司（以下简称：公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2025年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。

一.重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。审计委员会对公司建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会及董事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二.内部控制评价结论

1.公司于内部控制评价报告基准日，是否存在财务报告内部控制重大缺陷

□是√否

2.财务报告内部控制评价结论

√有效□无效

根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

3.是否发现非财务报告内部控制重大缺陷

□是√否

根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。4.自内部控制评价报告基准日至内部控制评价报告发出日之间影响内部控制有效性评价结论的因素□适用√不适用自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

5.内部控制审计意见是否与公司对财务报告内部控制有效性的评价结论一致

√是□否

6.内部控制审计报告对非财务报告内部控制重大缺陷的披露是否与公司内部控制评价报告披露一致

√是□否

三.内部控制评价工作情况

(一).内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。

1.纳入评价范围的主要单位包括：上市公司母公司本身及下属控股子公司的主要业务和事项。

2.纳入评价范围的单位占比：

指标占比（%）

纳入评价范围单位的资产总额占公司合并财务报表资产总额之比97.11

纳入评价范围单位的营业收入合计占公司合并财务报表营业收入总额之99.31比

3.纳入评价范围的主要业务和事项包括:

主要评价范围主要包含战略与变革管理、投资管理、融资管理、采购管理、营销管理、人力资源服

务管理、财务管理、质量管理、信息管理、合规管理、资产管理、行政管理、品牌与公共关系、党群关系和纪检监察共计15个一级流程；分公司主要包括除战略与变革管理外的14个一级流程；其他业务评

价范围包括器械业务、物流业务、中药业务、医院纯销业务、零售业务、工业制药业务、总代理业务、专业品类业务等。

4.重点关注的高风险领域主要包括：

战略管理重点关注：战略制定与盘点、重大决策机制、组织管控分权管理、高管授权与审批管理等。

投资管理重点关注：并购项目决策流程、投后管理、对基金及管理公司出资审批流程及清算审批、投资预算申报管理等。

需求到付款管理重点关注：供应商及品种准入、采购订单合理性、采购协议/合同签订流程规范性、

采购付款审批、预付款管理、供应商对账管理等。

市场到回款管理重点关注：客户授信审批管理、年度政策协议/合同签订规范性、出库配送签收管

理、客户对账管理、退货管理、回款管理、风险业务预警及管控等。

库存管理重点关注：采购入库和退出管理、销售出库和退回管理、入库和出库记账、库存盘点等。

人力资源重点关注：亲属回避制度执行情况、薪酬考核方案审批、员工关系风险、人力成本控制等。

财务管理重点关注：资金安全管理、付款授权审批及关键岗位分离、理财融资担保审批流程、预算管理等。信息管理重点关注：应用系统审批流程、IT 授权配置及账号权限管理、IT 项目立项和验收流程、外部网络危险信息攻击防范等；

质量管理重点关注：首营品种、重点控制品种管理、购进退出库存现场管理、冷链管理等。

行政管理重点关注：印章管理、档案管理、安全事故追责管理、招标及结算流程、资产盘点等。

根据上述重点关注的高风险领域，公司重视内部控制体系根据市场环境变化进行调整，优化、完善各个业务板块的标准化流程，持续推动审批线上化。针对关键审批节点效率痛点问题，简化过程、闭环监控，上线流程时效大屏，实现流程效率数字化、可视化，确保流程审批规范性和有效性。进一步优化风险预警体系，更新风险设定阈值，深化动态业务数据分析、运用 AI 智能化工具，推动全链条风险联防联控。同时根据业务场景变化，将风险指标融入业务和财务两个核心维度的流程审计底稿优化中，迭代审计标准和方法。

5.上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，是否存

在重大遗漏

□是√否

6.是否存在法定豁免

□是√否

7.其他说明事项

无

(二).内部控制评价工作依据及内部控制缺陷认定标准

公司依据企业内部控制规范体系及标准化流程与工作底稿，组织开展内部控制评价工作。

1.内部控制缺陷具体认定标准是否与以前年度存在调整

√是□否

公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，相较以前年度调整如下：财务报告内部控制缺陷认定标准不变，非财务报告内部控制缺陷认定的评价定量标准由“利润总额”调整为“直接财产损失”。

2.财务报告内部控制缺陷认定标准

公司确定的财务报告内部控制缺陷评价的定量标准如下：

指标名称重大缺陷定量标准重要缺陷定量标准一般缺陷定量标准

利润总额潜在错以利润总额5%作为财务当潜在错报小于整体重当潜在错报小于利润总

报报告整体重要性水平，当要性水平而大于或等于额的3%时为一般缺陷。

潜在错报大于或等于财利润总额的3%时为重要务报告整体重要性水平缺陷。

时为重大缺陷。

说明:无

公司确定的财务报告内部控制缺陷评价的定性标准如下：

缺陷性质定性标准重大缺陷单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中的重大错报。出现以下情形（包括但不限于），一般应判断为财务报告内部控制的重大缺陷：

*公司董事、高级管理人员在公司管理活动中存在重大舞弊行为；

*公司财务与审计委员会和内部审计机构对内部控制的监督无效；

*存在未被公司内部控制识别的当期财务报告中的重大错报；

*因会计差错更正已公布的财务报告，并导致证券监管机构的重大行政处罚。

重要缺陷单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平仍应引起管理层重视的错报。出现以下情形（包括但不限于），一般应判断为财务报告内部控制的重要缺陷：

*未建立反舞弊程序和控制措施；

*未依照公认会计准则选择和运用会计政策；

*对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财

务报表达到真实、准确的目标；

*对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施相应的补偿性控制。

一般缺陷不构成重大缺陷或重要缺陷的其他内部控制缺陷。

说明：无

3.非财务报告内部控制缺陷认定标准

公司确定的非财务报告内部控制缺陷评价的定量标准如下：

指标名称重大缺陷定量标准重要缺陷定量标准一般缺陷定量标准

直接财产损失直接财产损失≥资产总资产总额1%＞直接财产直接财产损失＜资产总

额1%损失≥资产总额0.5%额0.5%

说明：无

公司确定的非财务报告内部控制缺陷评价的定性标准如下：

缺陷性质定性标准

重大缺陷出现以下情形（包括但不限于），可能存在非财务报告内部控制缺陷的：

*公司严重违法违规被监管部门重罚；

*重大决策不科学，已经或可能造成重大直接财产损失；

*制度体系整体缺失，已经或可能造成企业控制失效。

重要缺陷出现以下情形（包括但不限于），可能存在非财务报告内部控制缺陷的：

*公司违法违规并被处以较大金额的罚款；

*重大决策不科学，已经或可能造成较大直接财产损失；

*重要业务或关键流程缺乏制度控制，可能或已经造成该业务或流程控制失效。

一般缺陷不构成重大缺陷或重要缺陷的其他内部控制缺陷。

说明：无

(三).内部控制缺陷认定及整改情况

1.财务报告内部控制缺陷认定及整改情况

1.1.重大缺陷

报告期内公司是否存在财务报告内部控制重大缺陷

□是√否1.2.重要缺陷报告期内公司是否存在财务报告内部控制重要缺陷

□是√否

1.3.一般缺陷

内部控制流程在日常运行过程中存在偶然性事件导致的一般缺陷问题，但公司设有完善的内部纠偏机制，通过自我评估和内部自审进行监督，财务报告内控缺陷一经发现确认即时采取更正行动，风险可控，对公司财务报告不构成实质性影响。

1.4.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重大

缺陷

□是√否

1.5.经过上述整改，于内部控制评价报告基准日，公司是否存在未完成整改的财务报告内部控制重要

缺陷

□是√否

2.非财务报告内部控制缺陷认定及整改情况

2.1.重大缺陷

报告期内公司是否发现非财务报告内部控制重大缺陷

□是√否

2.2.重要缺陷

报告期内公司是否发现非财务报告内部控制重要缺陷

□是√否

2.3.一般缺陷

内部控制流程在日常运行过程中存在偶然性事件导致的一般缺陷问题，但公司设有完善的内部纠偏机制，通过自我评估和内部自审进行监督，非财务报告内控缺陷一经发现确认即时采取更正行动，风险可控，对公司财务报告不构成实质性影响。

2.4.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重

大缺陷

□是√否

2.5.经过上述整改，于内部控制评价报告基准日，公司是否发现未完成整改的非财务报告内部控制重

要缺陷

□是√否

四.其他内部控制相关重大事项说明

1.上一年度内部控制缺陷整改情况

□适用√不适用

2.本年度内部控制运行情况及下一年度改进方向

√适用□不适用报告期内，公司内部控制工作的重点是从理顺组织与职责、完善体系与执行、强化能力与落地层面、优化风险管理体系与闭环管理机制，强化重大风险与关键岗位的风险管控；持续创新内部管控审计方式方法；对内部控制体系进行分层级、多维度、全方位的检查和评价。

2025年度，公司内部通过多部门联动开展内控与风险体系优化项目，降风险强管控，助力业务合规，其中：

（1）流程提效与组织精简：根据组织调整，搭建多个新生部门流程制度体系，扩大风险拦网面；

梳理集团高风险业务审批事项标准与管控流程，调整优化并签发93个流程，封堵风险漏洞；全面上线

13个集团管控子流程，有效规避了区域随意配置行为，降低执行风险。

（2）持续推进全面财务共享：深化财务全面共享建设，实现资金统收统付、统一融资的闭环管理；

打造业财、总账、费控一体化共享，从接入即共享到打破系统、地域限制，再到操作自动化、数据一体化、提供高效财务支撑，有效降低财务风险。

（3）聚焦关键领域控制活动：采购端上线供应商管理系统，对不合格供应商进行淘汰；销售端推

行“信用分级+账期刚性管控”，严控临时信用调整，回款周期缩短；完成 ERP 系统升级，新增内控规则引擎，实现自动拦截高风险审批单。

（4）联动构筑风险防控体系：多部门协同完成风险管理组织与职责梳理、搭建从风险管理问题发

现到整改的闭环体系；深化重大风险追责机制，赋能关键岗位风险能力的专项培训、任职资格及轮岗工作，全面实现风险联动管控。

2026年，公司还将深耕于完善内控管理体系，包括扩大风险问责机制，完善内部检举机制，实时优

化风险预警标准；推动预警、风险数据共享平台整体规划并上线应用；关注医疗机构合作项目的合规风险控制，必要时建立相关制度；将 AI 工具融入日常风险管理工作中，增强风险识别能力，实现风险管控数字化与智能化。紧跟审计战略规划，全方面进行审计，强化审计结果运用，对内控风险易生点进行即时封漏；进一步提升内控团队风控思维、风险意识、专业素养。

3.其他重大事项说明

□适用√不适用

董事长（已经董事会授权）：刘长云九州通医药集团股份有限公司

2026年4月25日