迪瑞医疗科技股份有限公司
内部控制评价管理制度
第一章总则
第一条为了促进迪瑞医疗科技股份有限公司(以下简称“公司”)全面评价
内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《企业内部控制基本规范》、《企业内部控制评价指引》,制定本制度。
第二条本制度所称内部控制评价,是指企业董事会对内部控制的有效性进
行全面评价、形成评价结论、出具评价报告的过程。
第三条企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第二章内部控制评价的职责分工
第四条董事会负责对内控的有效性进行全面评价、形成结论,出具内控评价报告,并对内控评价报告真实性负责;负责认定公司重大内控缺陷,审批重大内控缺陷的整改措施。
第五条在董事会的领导下由审计部牵头有关人员组成内控评价工作组,具体实施内控评价工作。内控评价工作组负责对公司内部控制设计和运行的有效性进行评价;负责控制缺陷的分析、报告及跟踪;负责对内控评价的一般缺陷、重
1要缺陷、重大缺陷进行初步认定;负责向董事会报告发现的内控缺陷;负责跟踪
缺陷整改的落实情况。
第三章内部控制评价的内容
第六条内部环境评价内容:治理结构、机构设置及权责分配、人力资源、企业文化、社会责任等。
第七条风险评估评价内容:目标设定、风险信息收集、风险识别、风险分
析、风险应对等设计与运行情况。
第八条控制活动评价内容:各项业务处理程序的授权批准、职责分工、实
物控制、凭证与记录控制、独立检查程序等控制措施的设计与运行情况。
第九条信息与沟通评价内容:信息收集、处理和传递的及时性、反舞弊机
制的健全性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内控的有效性。
第十条内部监督评价内容:内部监督机制的有效性,重点关注董事会审计
委员会、审计部等在内控设计和运行中的监督作用。
第十一条内部控制评价工作应当形成工作底稿,详细记录公司执行评价工
作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章内部控制评价程序
第十二条内部控制评价程序一般包括:制定评价工作方案、组成评价工作
组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十三条审计部作为公司内部控制评价部门应当拟订评价工作方案,明确
评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会审批后实施。
第十四条审计部应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
2公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的
会计师事务所,不得同时提供内部控制评价服务。
第十五条内部控制评价工作组应当对被评价单位进行现场测试,综合运用
个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第五章内部控制缺陷认定
第十六条内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由审计部进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
第十七条公司在日常监督、专项监督和年度评价工作中,应当充分发挥内
部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
公司确定的财务报告内部控制缺陷评价的定量标准如下:
项目一般缺陷重要缺陷重大缺陷
2%利润总额≤错报<5%利润总额;或错≥5%利润总额,且绝
利润总额错报额<2%利润总额报≥5%利润总额,且绝对额低于500万对额超过500万元以元上
≥5%资产总额且绝
2%资产总额≤错报<5%资产总额;或错
资产总额错报额<2%资产总额对额超过500万元以
报≥5%资产总额且绝对额低于500万元上
2%营业收入≤错报<5%营业收入;或错≥5%营业收入,且绝
营业收入错报额<2%营业收入报≥5%营业收入,且绝对额低于2000万对额超过2000万元元以上
公司确定的财务报告内部控制缺陷评价的定性标准如下:
缺陷性质定性标准
(1)控制环境无效;
(2)公司董事、高级管理人员舞弊并给企业造成重大损失和不利影响;
重大缺陷
(3)当期财务报告存在重大错报,而对应的控制活动未能识别该错报;
(4)审计委员会和审计部对内部控制的监督无效。
(1)当期财务报告存在重要错报,而对应的控制活动未能识别该错报;
重要缺陷
(2)重要财务控制程序的缺失或失效;
3缺陷性质定性标准
(3)外部审计发现重要错报,而公司内部控制过程中未发现该错报;
(4)虽然未达到和超过该重要性水平,但从性质上看,仍应引起董事会和管理层重视的错报。
一般缺陷未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
公司确定的非财务报告内部控制缺陷评价的定量标准如下:项目一般缺陷重要缺陷重大缺陷
≥5%利润总额,且绝直接财产损失金2%利润总额≤错报<5%利润总额;或错报
<2%利润总额对额超过500万元
额≥5%利润总额,且绝对额低于500万元以上
≥5%资产总额且绝
直接财产损失金2%资产总额≤错报<5%资产总额;或错报
<2%资产总额对额超过500万元
额≥5%资产总额且绝对额低于500万元以上
≥5%营业收入,且绝直接财产损失金2%营业收入≤错报<5%营业收入;或错报
<2%营业收入对额超过2000万元
额≥5%营业收入,且绝对额低于2000万元以上
公司确定的非财务报告内部控制缺陷评价的定性标准如下:缺陷性质定性标准
(1)决策程序导致重大失误;
(2)严重违反国家法律、法规;
(3)重要业务缺乏制度控制或系统性失效且缺乏有效的补偿性控制;
重大缺陷
(4)高级管理人员和高级技术人员流失严重;
(5)内部控制评价的结果特别是重大缺陷未得到整改
(6)其他对公司产生重大负面影响的情形。
(1)决策程序导致出现一般性失误;
(2)重要业务制度或系统存在缺陷;
重要缺陷(3)关键岗位业务人员流失严重;
(4)内部控制评价的结果特别是重要缺陷未得到整改;
(5)其他对公司产生较大负面影响的情形。
(1)决策程序效率不高;
一般缺陷
(2)一般业务制度或系统存在缺陷;
第十八条公司内部控制评价工作组应当建立评价质量交叉复核制度,评价
工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认。
第十九条公司审计部应当编制内部控制缺陷认定汇总表,结合日常监督和
专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、审计委员会或者经理层报告。重大缺陷应当由董事会予以最终认定。
4公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承
受度之内,并追究有关部门或相关人员的责任。
第六章内部控制评价报告
第二十条审计部以汇总的评价结果和评定的内控缺陷为基础,综合内控工
作整体情况,客观、公正地编写内控评价报告,由董事会最终审批。
第二十一条内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十二条内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据、范围、程序和方法。
(四)内部控制存在的缺陷及其认定情况。
(五)对上一年度内部控制缺陷的整改情况。
(六)对本年度内部控制缺陷拟采取的整改措施。
(七)内部控制有效性的结论。
第二十三条公司应当根据年度内部控制评价结果,结合内部控制评价工作
底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
第二十四条内部控制评价报告应当报经董事会批准后对外披露或报送相关部门。
审计部应当关注自内部控制评价报告基准日至内部控制评价报告发出日之
间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第二十五条公司内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
5第二十六条公司应当以每年的12月31日作为年度内部控制评价报告的基准日。
内部控制评价报告应于基准日后4个月内报出。
第二十七条内部控制评价的有关文件资料、工作底稿和证明材料等应当以
纸质或者电子形式由审计部参照《内部审计档案管理制度》相关要求进行归档,妥善保管。
第七章附则
第二十八条本制度未尽事宜,按国家有关法律法规和公司章程的规定执行;
如本制度与国家日后颁布的法律法规或经合法程序修改后的公司章程相抵触,应按国家有关法律法规和公司章程的规定执行,并应及时修改。
第二十九条本制度由公司董事会负责解释并进行修订。
第三十条本制度自董事会审议通过之日起施行。
迪瑞医疗科技股份有限公司
2025年09月28日
6
沪公网安备31011802005267号
