复旦张江:复旦张江内部审计制度

内部审计制度

上海复旦张江生物医药股份有限公司

内部审计制度

（经2025年11月26日董事会审议通过）

第一章总则

第一条为了进一步规范和加强内部审计工作，提升上海复旦张江生物医药股份有

限公司（以下简称“公司”）内部控制水平和风险防范能力，促进公司可持续发展，保护投资者合法权益，依据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》、中国内部审计准则、《企业内部控制基本规范》及配套指引、《上海证券交易所科创板股票上市规则》、《香港联合交易所有限公司证券上市规则》（与《上海证券交易所科创板股票上市规则》以下合称“《上市规则》”）、《上海证券交易所上市公司自律监管指引第1号——规范运作》等法律、法规、规章和《上海复旦张江生物医药股份有限公司章程》（以下简称“《公司章程》”），结合公司实际情况，特制定本制度。本制度应同时遵守《上海证券交易所科创板股票上市规则》和《香港联合交易所有限公司证券上市规则》的相关规定，如两个上市规则规定不一致时，按从严原则执行。

第二条本制度适用于公司，公司附属子公司、参股公司参照实施。

第三条本制度所称的“内部审计”，是一种独立、客观的确认和咨询活动，它通过

运用系统、规范的方法，审查和评价公司经营活动、内部控制、风险管理、财务信息等事项的适当性和有效性，以促进公司完善治理、增加价值和实现目标。

第二章内部审计机构及人员

第四条公司董事会下设审核委员会，制定审核委员会议事规则并予以披露。

第五条公司设风险管理与内审内控部为内部审计机构，依照国家法律、法规和有

关政策及公司内部制度，独立开展工作及行使内部监督权，发挥监督、评价和服务功能。风险管理与内审内控部向董事会负责，并接受审核委员会的监督指导。

1内部审计制度

第六条内部审计负责人负责风险管理与内审内控部的全面工作，由总经理提名，审核委员会任免；审核委员会参与对内部审计负责人的考核。风险管理与内审内控部根据公司规模、经营特点及相关规定，配备符合工作要求的专职内部审计人员，并作为一个整体应该拥有或可获取其履行职责所需的知识、技能和其他能力。

第七条风险管理与内审内控部可根据内部审计工作需要，从公司其他部门临时抽

调人员组成审计项目组，各部门应积极配合。

第八条内部审计人员应具备的专业知识及业务能力如下：

（一）熟悉相关法律、法规、政策及公司的经营活动和内部控制制度；

（二）掌握审计及相关专业知识，有一定的审计经验或其他相关专业工作经验；

（三）具备调查研究、综合分析、专业判断和文字表达能力，并不断通过后续教育来保持和提高该等专业胜任能力。

第九条内部审计基本原则：

（一）内部审计机构应当保持独立性，不得置于财务部门的领导之下，或者与财务部门合署办公；

（二）风险管理与内审内控部和内部审计人员应当保持独立性和客观性，不得负

责被审计单位的业务活动、内部控制和风险管理的决策与执行；

（三）内部审计人员应当遵守职业道德，在实施内部审计业务时保持应有的职业谨慎；

（四）内部审计人员应当具备相应的专业胜任能力，并通过后续教育加以保持和提高；

（五）内部审计人员应当履行保密义务，对于实施内部审计业务中所获取的信息保密；

（六）内部审计人员办理审计事项，与被审计对象或者审计事项有利害关系的，应当回避。

第十条公司各内部机构、分支机构及子公司应当配合风险管理与内审内控部依法

履行职责，不得妨碍风险管理与内审内控部的工作。

2内部审计制度

第三章内部审计范围及审计内容

第十一条风险管理与内审内控部开展内部审计工作的范围：

（一）资产、负债、所有者权益变动及盈亏真实性的情况；

（二）财务收支预算的执行情况和决算；

（三）投资决策、经营决策情况及其效益；

（四）经营业务和管理活动的合理有效；

（五）重大投资项目的预、决算；

（六）各项内部控制制度的建立健全、执行情况；

（七）经营管理人员的任期和离任经济责任审计；

（八）公司执行相关法律、法规和公司规章制度情况；

（九）其他需要审计的事项。

第十二条风险管理与内审内控部可根据实际情况，对被审计单位实施定期或不定

期、全面或局部审计。

第四章职责和权限

第十三条风险管理与内审内控部的职责包括：

（一）会同公司有关职能部门拟订内部审计制度，经董事会批准后实施；

（二）拟订年度内部审计计划（包括人力资源、预算等），经审核委员会批准后予以实施；

（三）组织开展对公司内部控制完整性、合理性及其实施的有效性进行监督与评价；

（四）组织开展对公司及其子公司、对公司具有重大影响的参股公司的会计资料

及其他有关经济资料，以及所反映的财务收支及有关经济活动的合法性、合规性、真实性和完整性进行审计，包括但不限于财务报告、业绩预告、业绩快报、自愿披露的预测性财务信息等；

（五）组织开展对公司主要业务部门负责人和子公司主要负责人任期和离任经济责任审计；

（六）组织开展对公司基建工程和重大技术改造、大修等的立项、概（预）算、决算和竣工交付使用情况的审计监督；

（七）组织开展对公司改制重组、股权转让、对外投资、兼并破产、签订重大合

同等重要经济行为的审计监督，保证工作程序合法、合规；

（八）组织开展对发生的重大经营异常情况进行专项审计；

（九）组织开展和落实审计后续管理工作，提升审计结果的运用水平。对审计发

现的问题进行跟踪，督促整改；如发现重大缺陷或者重大风险，应及时报告审核委员会，并将审计情况移交相关部门进行处理；

（十）协助建立健全反舞弊机制，确定反舞弊的重点领域、关键环节和主要内容，

3内部审计制度

并在内部审计过程中关注和检查可能存在的舞弊行为。

第十四条风险管理与内审内控部的权限包括：

（一）在公司内部控制流程、风险管控中，享有知情权、监督权和建议权；

（二）根据内审工作的需要，有权要求有关单位按时报送计划、会计报表、预算、决算报表和有关文件资料；

（三）参加有关重要业务工作会议和有关经营和财务的决策会议，并对决策工作提供意见和建议；参与公司有关业务部门研究制定和修改公司有关规章制度并督促落实；

（四）审核被审计单位凭证、帐表、预、决算，检查资金和现场勘察有关资产的

使用、管理，查阅有关合同、协议、董事会决议等有关经营活动方面的文件和会议记录等资料，查阅经注册会计师审核的会计年报以及计算机软件、电子数据等相关资料；

（五）对审计涉及的有关事项和个人进行调查，索取有关文件、资料等证明材料；

（六）对审计工作中发现的风险或重大控制薄弱环节有权及时向董事会或审核委

员会和总经理报告，并进行持续监测；

（七）对正在进行的严重违法违规和严重损失浪费行为，可做出临时制止决定，并及时向审核委员会和总经理报告；

（八）对可能被转移、隐匿、篡改、毁弃的会计凭证、账簿、报表及与经济活动

有关的资料，经审核委员会或总经理授权后可暂时封存；

（九）对阻挠、妨碍内部审计工作，以及提供虚假信息、或拒绝提供有关资料的，经审核委员会或总经理批准，可以采取必要的临时措施，并提出追究有关人员责任的建议；

（十）有权提出改进管理、提高效益的建议和纠正、处理违反相关法律法规或公司内部制度行为的意见；

（十一）审核委员会和总经理可在管理权限范围内授予风险管理与内审内控部必要的处理权；

（十二）有权对相关人员进行质询；

（十三）有权组织或参与对外部中介机构的业务管理；

（十四）经公司分管领导同意，风险管理与内审内控部可以在项目实施过程中按

照公司规定的程序聘请外部中介机构或人员，并对其工作质量进行监督；

（十五）有权对审计过程中发现的带有共性的重大问题，在一定范围内进行通报。

4内部审计制度

第五章审计工作程序

第十五条编制年度内部审计计划

年初风险管理与内审内控部根据风险状况、管理需要和审计资源的配置情况，确定具体审计项目及时间安排，拟定年度内部审计计划，经内审内控部负责人初审后报审核委员会审议通过后实施。

公司应将收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人

提供担保、募集资金使用、委托理财等重大事项作为内部审计计划的必备事项。

第十六条制定项目审计方案

风险管理与内审内控部根据批准的年度内部审计计划或董事会决议，结合具体情况，确定审计项目。在充分了解被审计单位基本情况的基础上，制定项目审计方案，对实施具体审计项目所需要的审计内容、审计程序、人员分工、审计时间等做出安排，并经风险管理与内审内控部负责人审批后实施。

第十七条下达审计通知书

（一）实施审计前，风险管理与内审内控部应提前3个工作日书面通知被审计单位，并提出需要配合的工作条件和提供的有关资料，特殊审计业务可在实施审计时送达通知；

（二）被审计单位接到审计通知书后，应做好接受审计的各项准备工作，包括为内部审计人员提供必要的工作条件以及审计所需的资料等。

第十八条实施审计

（一）内部审计人员根据审计项目的内容和要求，深入调查、了解被审计单位的情况，进行符合性测试和实质性测试，获取审计证据。内部审计人员获取的审计证据应当具备相关性、可靠性和充分性；

（二）内部审计人员应当将获取审计证据的信息清晰、完整地记录在工作底稿中，并按照规定编制与复核审计工作底稿；

（三）对审计中发现的问题，可随时向有关部门和人员提出意见和建议。在审计

过程中如发现内部控制存在重大缺陷或重大风险，应及时向审核委员会报告。

5内部审计制度

第十九条编制审计报告，出具审计意见

（一）内部审计人员应当在实施必要的审计程序后，及时编制审计报告，并征求被审计单位的意见；

（二）被审计单位应当自接到审计报告草稿之日起，在约定的期限内将其书面意

见提交风险管理与内审内控部。逾期没有提出书面意见的，视同无异议，并由内部审计人员予以注明；

（三）被审计单位对审计报告有异议的，审计项目负责人及相关人员应当核实，必要时应当修改审计报告，并形成正式的审计报告；

（四）正式的审计报告应当连同被审计单位的反馈意见，提交风险管理与内审内

控部负责人审核，并经被审计单位和公司管理层确认和审批后，向被审计单位提出整改意见（如有）；

（五）已经出具的审计报告如果存在重要错误或者遗漏，审计项目组应当及时更正，并将更正后的审计报告提交给原审计报告接收者。

第二十条整改落实

（一）风险管理与内审内控部对审计发现的问题，应当督促相关责任部门制定整

改措施和提出整改时间，并对其采取的纠正措施及改进效果进行跟踪检查，监督整改措施的落实情况；

（二）被审计单位或者协助执行的有关单位、部门应当自收到审计报告批示意见之日起，针对审计发现的问题制定整改措施和提出整改时间，并在规定期限内将整改情况书面反馈至风险管理与内审内控部。

第二十一条后续审计

后续审计，是指风险管理与内审内控部为跟踪检查被审计单位针对审计发现的问题所采取的纠正措施及其改进效果，而进行的审查和评价活动。

（一）对审计中发现的问题采取纠正措施，是被审计单位管理层的责任。评价被

审计单位管理层所采取的纠正措施是否及时、合理、有效，是内部审计人员的责任；

（二）风险管理与内审内控部可以在规定期限内，或者在与被审计单位约定的期

限内实施后续审计；风险管理与内审内控部负责人可以适时安排后续审计工作，并将其列入年度内部审计计划；风险管理与内审内控部负责人如果初步认定被审计单位管

理层对审计发现的问题已采取了有效的纠正措施，可以将后续审计作为下次内部审计工作的一部分；

（三）当被审计单位基于成本或者其他方面考虑，决定对审计发现的重大问题不

采取纠正措施并做出书面承诺时，风险管理与内审内控部负责人应当向审核委员会报告。

6内部审计制度

第二十二条定期内部审计工作报告

风险管理与内审内控部应至少每季度向审核委员会报告一次，内容包括但不限于内部审计计划的执行情况以及内部审计工作中发现的问题，并在每一年度结束后向审核委员会提交内部审计工作报告。

内部审计人员对于检查中发现的内部控制缺陷及实施中存在的重大问题，应在内部审计工作报告中据实反映，并在向审核委员会报告后进行追踪，以确定相关部门已及时采取适当的改进措施。

第六章信息披露

第二十三条风险管理与内审内控部在内部控制的检查监督中如发现内部控制存

在重大缺陷或存在重大风险，应及时向审核委员会报告，公司董事会应及时向证券交易所报告并予以公告。

公司应在公告中说明内部控制存在的重大缺陷或者重大风险、已经或者可能导致

的后果、相关责任追究以及已经或者拟采取的补救措施。

第二十四条公司内部控制评价的具体组织实施工作由风险管理与内审内控部负责。公司根据风险管理与内审内控部出具、审核委员会审议后的评价报告及相关资料，出具年度内部控制评价报告。公司内部控制自我评价报告须遵循相关监管机构的规定。

第二十五条公司董事会应在审议年度财务报告等事项的同时，对公司内部控制自

我评价报告形成决议，并由会计师事务所对公司内部控制有效性进行审计及出具内部控制鉴证报告。

第二十六条公司应当在年度报告披露的同时，在指定信息披露媒体上披露内部控制自我评价报告和会计师事务所出具的内部控制鉴证报告。

7内部审计制度

第七章审计档案管理

第二十七条内部审计项目终结，风险管理与内审内控部应及时对办理的审计事项

建立审计档案，对审计工作底稿、审计取证记录、审计报告等文件资料按照档案管理要求整理归档、保管和使用，相关资料和底稿的保存时间不得少于十年。

第二十八条内部审计资料未经批准，不得泄露给其他任何组织或个人。如有特殊

情况需要查阅审计档案，必须经风险管理与内审内控部负责人批准，方可办理查阅手续。

第八章违反规定的责任

第二十九条对违反本制度，有下列行为之一的被审计单位（部门）和个人，由公

司根据情节轻重给予行政处分，或提请有关部门处理：

（一）拒绝或拖延提供有关文件、凭证、帐表、资料和证明材料的；

（二）阻挠内部审计人员行使职权，抗拒破坏监督检查的；

（三）提供虚假信息，隐瞒事实真相的；

（四）拒不执行审计决定的；

（五）打击报复内部审计人员或举报人的；

（六）以上行为情节严重构成犯罪的，依法移交司法机关处理。

第三十条公司对有下列行为之一的内部审计人员，根据情节轻重，给予行政处分：

（一）泄漏机密，以权谋私的；

（二）弄虚作假，徇私舞弊的；

（三）玩忽职守，给公司造成重大损失的；

（四）以上行为情节严重构成犯罪的，依法移交司法机关处理。

第九章附则第三十一条本制度未尽事宜，按国家有关法律、行政法规、规范性文件、《公司章程》及《上市规则》的规定执行；本制度如与国家颁布的法律、行政法规、规范性

文件、经合法程序修改后的《公司章程》或《上市规则》相抵触时，按国家有关法律、行政法规、规范性文件、《公司章程》和《上市规则》的规定执行，并尽快修订本制度、报董事会审议通过。

第三十二条本制度由风险管理与内审内控部负责解释。风险管理与内审内控部根

据公司经营管理的实际情况及时修订完善，并报董事会审议通过后生效。