三诺生物:内部控制评价制度(2025年12月修订）

三诺生物传感股份有限公司

内部控制评价制度

（2025年12月修订）

第一章总则

第一条为规范三诺生物传感股份有限公司（以下简称“公司”）内部控制

评价工作，及时发现公司内部控制缺陷，提出和实施改进方案，确保内部控制有效运行，根据《上市公司章程指引》《企业内部控制基本规范》《企业内部控制评价指引》等法律法规以及《三诺生物传感股份有限公司章程》（以下简称“公司章程”）的有关规定，结合公司具体情况，制定本制度。

第二条本制度所称内部控制评价，是指由公司董事会和审计委员会实施的，对公司内部控制有效性进行全面评价，形成评价结论，出具评价报告的过程。

第三条公司实施内部控制评价，主要遵循以下原则：

（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司及其所属单位的各种业务和事项。

（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

（四）制衡性原则。评价工作应当考虑治理结构、机构设置及权责分配、业

务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（五）适应性原则。评价工作应当与公司经营规模、业务范围、竞争状况和

风险水平等相适应，并随着情况的变化及时加以调整。

（六）成本效益原则。评价工作应当权衡实施成本与预期效益，以适当的成本实现有效评价。

第二章职责分工

1第四条公司董事会是内部控制评价工作的最高决策机构和最终责任者，负

责内部控制评价报告的审批报出，对内部控制评价报告的真实性负责。

第五条董事会授权审计委员会负责内部控制评价的组织、领导、监督工作，其主要职责包括：

（一）审议内部控制评价报告、内控评价工作方案；

（二）审议内控重大缺陷、重要缺陷整改意见；

（三）领导公司内部审计机构开展内部控制评价工作；

（四）协调公司管理层推进内部控制评价工作和缺陷整改工作；

（五）监督公司内部控制的有效实施及自我评价情况。

第六条公司管理层负责为内部控制评价提供必要的行政资源，协调和解决

内部控制评价过程中出现的重大事项，听取内部控制评价的工作安排、工作进展和评价报告，及时掌握公司日常内部控制风险监控结果，组织实施缺陷整改工作。

第七条公司风险合规与审计部在审计委员会指导下，根据经批准的内控评

价工作方案，负责公司内部控制评价的具体组织实施工作并编制内部控制报告。

第八条公司其他部门是内部控制评价的基本主体单位，负责参与本部门内部控制评价工作。

第三章内部控制评价内容

第九条内部控制评价工作主要依据公司内部控制制度和工作程序，围绕内

部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制设计和运行情况进行全面评价。

第十条内部环境评价主要是对内部环境的设计及实际运行情况进行认定和评价，评价内容包括治理结构、机构设置及权责分配、人力资源、企业文化、社会责任等。

第十一条风险评估是公司及时识别、系统分析经营活动中与实现内部控制

目标相关的风险，合理确定风险应对策略的过程，评价内容包括目标设定、信息收集、风险识别、风险分析、风险应对等。

第十二条控制活动是公司根据风险评估结果，采取相应的控制措施，将风

险控制在可承受范围之内，达到控制目标的全过程。

2控制活动评价内容包括：各项业务处理程序的授权批准、职责分工、实物控

制、凭证与记录控制、独立检查程序等。

第十三条信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。评价内容包括信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性等。

第十四条内部监督是公司对内部控制建立与实施情况进行监督检查，评价

内部控制的有效性，发现内部控制缺陷，及时加以改进的过程。内部监督评价内容为内部监督机制的有效性，重点关注审计委员会、审计部等是否在内控设计和运行中的监督作用。

第十五条内控评价工作以工作底稿的形式记录评价工作的内容，包括评价

要素、主要风险点、采取的控制措施、有关证据资料、认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

第四章内部控制评价程序

第十六条公司内部控制评价程序包括：制定评价工作方案、组成评价工作

组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告。

第十七条风险合规与审计部应拟订内控评价工作方案，明确评价范围、工

作任务、人员组织、进度安排和费用预算等相关内容，报董事会审计委员会批准后实施。

第十八条风险合规与审计部根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。

公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的会计师事务所，不得同时为公司提供内部控制评价服务。

第十九条内部控制评价工作组应当对被评价单位进行现场测试，综合运用

个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价部门内部控制设计和运行是否有效的证据，按照评价的具体内

3容，如实填写评价工作底稿，研究分析内部控制缺陷。

第五章内部控制缺陷认定

第二十条内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指公司缺少

为实现控制目标所必需的控制，或现有控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指设计有效的内部控制由于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行

等）而形成的内部控制缺陷。

第二十一条公司对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由风险合规与审计部进行综合汇总分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。

第二十二条内部控制评价工作组根据现场测试获取的证据，对内部控制缺

陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

第二十三条内部控制评价过程中发现的内部控制缺陷按照定量及定性标准

进行认定，包括财务报告相关的内部控制缺陷与非财务报告相关的内部控制缺陷。

定量标准：既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定。

定性标准：可以根据缺陷潜在负面影响的性质、范围等因素确定。

根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，公司内部控制缺陷具体认定标准见下表：

4三诺内部控制缺陷认定标准

一、财务报告重大缺陷重要缺陷一般缺陷

1、公司董事、高级管理人员出

现影响公司财务报表真实性的

舞弊行为，并对公司造成重大损失和不利影响；

2、对已经公告的财务报表出现1、未依照公认会计准则选择和应用重大差错进行错报更正（由于会计政策；政策变化或其他客观因素变化2、未建立反舞弊程序和控制措施；

导致的对以前年度的追溯调整3、对于非常规或特殊交易的账务处

除外）；除重大缺陷、重要缺理没有建立相应的控制机制或没有

定性标准3、注册会计师发现的却未被公陷之外的其他控制司内部控制识别的当期财务报实施且没有相应的补偿性控制；缺陷

告中的重大错报；4、对于期末财务报告过程的控制存

4、审计委员会和风险合规与审在一项或多项缺陷且不能合理保证

计部对公司内部控制监督无编制的财务报表达到真实、准确的效；目标。

5、重要业务缺乏制度控制或制

度体系失效；

6、内部控制重大或重要缺陷未

得到整改；

定量标准(错近 3年平均利润总额的 3%≤A＜近 3 A＜近 3A≥ 3 10% 年平均利润

A) 近年平均利润总额的报金额年平均利润总额的 10% 总额的 3%

二、非财务报告重大缺陷重要缺陷一般缺陷

1、违反国家法律法规或规范性

1、违反国家法律法规并受到较重处1、违反内部规章制

文件并受到重大处罚；

度但未形成损失或

2、决策程序不科学，导致重大罚，或违反企业内部规章制度形成

损失较小；

失误，给公司造成重大财产损较大损失；2、决策程序效率不失；2、决策程序不科学，导致一般失误，高；

3、重大缺陷未得到整改；给公司造成较大财产损失；3、一般缺陷未得到

定性标准4、重要业务缺乏制度控制或制3、重要缺陷未得到整改；整改；

度系统性失效；4、重要业务制度或系统存在重要缺4、一般业务制度或陷；

5系统存在缺陷；、关键核心技术人员流失严

5、关键岗位业务人员流失严重；5、未达到重大缺陷、重；

6、其他对公司负面影响较大的情

6重要缺陷标准的其、其他对公司负面影响重大的形。他内部控制缺陷。

情形。

可能导致直接损失金额小于净资产可能导致直接损失可能导致直接损失金额大于或

定量标准的1.5%但大于或等于净资产总额金额小于净资产的

等于净资产的1.5%

的0.5%0.5%

第二十四条公司内部控制评价工作组建立评价质量交叉复核制度，评价工

作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交风险合规与审计部。

第二十五条风险合规与审计部应当编制内部控制缺陷认定汇总表，结合日

常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向总经理、董事会审计委员会或者董事会报告。重大缺陷由董事会予以最

5终认定。

对于认定的重大缺陷，公司董事会应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

第六章内部控制评价报告

第二十六条内部控制评价报告应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

第二十七条风险合规与审计部应当根据年度内部控制评价结果，结合内部

控制评价工作底稿和内部控制缺陷汇总表等资料，按照本制度规定的程序和要求，及时、客观、公正地编制内部控制评价报告，并报送审计委员会审核，由董事会最终审批后对外披露。

第二十八条内部控制评价报告应当包括下列内容：

（一）董事会对内部控制报告真实性的声明；

（二）内部控制评价工作的总体情况；

（三）内部控制评价的依据；

（四）内部控制评价的范围；

（五）内部控制评价的程序和方法；

（六）内部控制缺陷及其认定情况；

（七）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

（八）内部控制有效性的结论。

第二十九条内部控制评价应每年进行一次，并以12月31日为基准日，内部控制评价报告应于基准日后4个月内报出。

风险合规与审计部应当关注自内部控制评价报告基准日至内部控制评价报

告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。

第三十条内部控制评价的有关文件资料、工作底稿和证明材料等由风险合规与审计部负责妥善保管。

第七章附则

6第三十一条本制度未尽事宜，依照国家有关法律法规、监管机构的有关规

定和公司章程等相关规定执行。本制度与有关法律法规、监管机构的有关规定、公司章程的规定不一致时，按照法律法规、监管机构的相关规定、公司章程的规定执行。

第三十二条本制度由董事会负责修订和解释。

第三十三条本制度自公司董事会审议通过之日后生效并实施。