迪瑞医疗科技股份有限公司
内部控制评价管理制度
第一章总则
第一条为了促进迪瑞医疗科技股份有限公司(以下简称“公司”)全面评价
内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《企业内部控制基本规范》《企业内部控制评价指引》,制定本制度。
第二条本制度所称内部控制评价,是指企业董事会对内部控制的有效性进
行全面评价、形成评价结论、出具评价报告的过程。
第三条企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第二章内部控制评价的职责分工
第四条董事会负责对内控的有效性进行全面评价、形成结论,出具内控评价报告,并对内控评价报告真实性负责;负责认定公司重大内控缺陷,审批重大内控缺陷的整改措施。
第五条在董事会的领导下由审计部牵头有关人员组成内控评价工作组,具体实施内控评价工作。内控评价工作组负责对公司内部控制设计和运行的有效性进行评价;负责控制缺陷的分析、报告及跟踪;负责对内控评价的一般缺陷、重
要缺陷、重大缺陷进行初步认定;负责向董事会及审计委员会报告发现的内控缺
1陷;负责跟踪缺陷整改的落实情况。
第三章内部控制评价的内容
第六条内部环境评价内容:治理结构、机构设置及权责分配、人力资源、企业文化、社会责任等。
第七条风险评估评价内容:目标设定、风险信息收集、风险识别、风险分
析、风险应对等设计与运行情况。
第八条控制活动评价内容:各项业务处理程序的授权批准、职责分工、实
物控制、凭证与记录控制、独立检查程序等控制措施的设计与运行情况。
第九条信息与沟通评价内容:信息收集、处理和传递的及时性、反舞弊机
制的健全性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内控的有效性。
第十条内部监督评价内容:内部监督机制的有效性,重点关注董事会审计
委员会、审计部等在内控设计和运行中的监督作用。
第十一条内部控制评价工作应当形成工作底稿,详细记录公司执行评价工
作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第四章内部控制评价程序
第十二条内部控制评价程序一般包括:制定评价工作方案、组成评价工作
组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
第十三条审计部作为公司内部控制评价部门应当拟订评价工作方案,明确
评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会审批后实施。
第十四条审计部应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的
2会计师事务所,不得同时提供内部控制评价服务。
第十五条内部控制评价工作组应当对被评价单位进行现场测试,综合运用
个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
第五章内部控制缺陷认定
第十六条内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由审计部进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
第十七条公司在日常监督、专项监督和年度评价工作中,应当充分发挥内
部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定(见附录),并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
第十八条公司内部控制评价工作组应当建立评价质量交叉复核制度,评价
工作组负责人应当对评价工作底稿进行严格审核,并对所认定的评价结果签字确认。
第十九条公司审计部应当编制内部控制缺陷认定汇总表,结合日常监督和
专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、审计委员会或者经理层报告。重大缺陷应当由董事会予以最终认定。
公司对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
第六章内部控制评价报告
第二十条审计部以汇总的评价结果和评定的内控缺陷为基础,综合内控工
作整体情况,客观、公正地编写内控评价报告,由董事会最终审批。
第二十一条内部控制评价报告应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认
3定及整改情况、内部控制有效性的结论等相关内容作出披露。
第二十二条内部控制评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据、范围、程序和方法。
(四)内部控制存在的缺陷及其认定情况。
(五)对上一年度内部控制缺陷的整改情况。
(六)对本年度内部控制缺陷拟采取的整改措施。
(七)内部控制有效性的结论。
第二十三条公司应当根据年度内部控制评价结果,结合内部控制评价工作
底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
第二十四条内部控制评价报告应当报经董事会批准后对外披露或报送相关部门。
审计部应当关注自内部控制评价报告基准日至内部控制评价报告发出日之
间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第二十五条公司内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
第二十六条公司应当以每年的12月31日作为年度内部控制评价报告的基准日。
内部控制评价报告应于基准日后4个月内报出。
第二十七条内部控制评价的有关文件资料、工作底稿和证明材料等应当以
纸质或者电子形式由审计部参照《内部审计档案管理制度》相关要求进行归档,妥善保管。
4第七章附则
第二十八条本制度未尽事宜,按国家有关法律法规和公司章程的规定执行;
如本制度与国家日后颁布的法律法规或经合法程序修改后的公司章程相抵触,应按国家有关法律法规和公司章程的规定执行,并及时修改。
第二十九条本制度由公司董事会负责解释并进行修订。
第三十条本制度自董事会审议通过之日起施行。
附录:公司内控缺陷分类及认定标准迪瑞医疗科技股份有限公司
2026年4月28日
5迪瑞医疗科技股份有限公司内部控制管理制度
附录:
迪瑞医疗内控缺陷分类及认定标准
一、内控缺陷分类
(一)设计缺陷和运行缺陷
内控缺陷按其成因,可分为设计缺陷和运行缺陷。
1.设计缺陷,是指企业缺少为实现控制目标所必需的控制,或现存控制设计
不适当而形成的内控缺陷。
2.运行缺陷,是指设计有效(合理且适当)的内部控制,由于运行不当,包
括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等而形成的内控缺陷。
(二)重大缺陷、重要缺陷和一般缺陷
按其影响整体控制目标实现的严重程度,可分为重大缺陷、重要缺陷和一般缺陷。
1.重大缺陷,是指一个或多个内控缺陷的组合,可能导致企业严重偏离控制目标。
2.重要缺陷,是指一个或多个内控缺陷的组合,其严重程度和经济后果低于
重大缺陷,但仍有可能导致企业偏离控制目标。
3.一般缺陷,是指除重大缺陷、重要缺陷之外的其他内控缺陷。
(三)财务报告内控缺陷和非财务报告内控缺陷
按是否影响财务报告内控目标,可分为财务报告内控缺陷和非财务报告内控缺陷。
1.财务报告内控缺陷,是指不能及时防止或发现并纠正财务报告错报的设计和运行缺陷。
2.非财务报告内控缺陷,是指不能合理保证除财务报告目标之外的其他目标
达成的设计和运行缺陷。这些目标一般包括战略目标、资产安全目标、经营目标、
第6页共11页迪瑞医疗科技股份有限公司内部控制管理制度合规目标等。
二、内控缺陷认定标准
(一)财务报告内控缺陷认定标准
1.定量标准
判断依据内控缺陷等级(财务潜在或已发生年度错报金额以下简称“X”)
满足以下一个或多个情形:
1.X≥年度利润总额的5%
重大缺陷
2.X≥年度营业收入的1%
3.X≥年度总资产的0.5%
满足以下一个或多个情形:
1.年度利润总额的2.5%≤X<年度利润总额的5%
重要缺陷
2.年度营业收入的0.5%≤X<年度营业收入的1%
3.年度总资产的0.25%≤X<年度总资产的0.5%
满足以下一个或多个情形:
1.X<年度利润总额的2.5%
一般缺陷
2.X<年度营业收入的0.5%
3.X<年度总资产的0.25%
(1)出现以下一个或多个情形的,应认定为内控重大缺陷:
1)财务潜在或已发生年度错报金额大于年度利润总额的5%;
2)财务潜在或已发生年度错报金额大于年度营业收入的1%;
3)财务潜在或已发生年度错报金额大于年度总资产的0.5%。
(2)出现以下一个或多个情形的,应认定为内控重要缺陷:
1)财务潜在或已发生年度错报金额大于年度利润总额的2.5%但小于5%;
2)财务潜在或已发生年度错报金额大于年度营业收入的0.5%但小于1%;
第7页共11页迪瑞医疗科技股份有限公司内部控制管理制度
3)财务潜在或已发生年度错报金额大于年度总资产的0.25%但小于0.5%。
(3)出现以下一个或多个情形的,应认定为内控一般缺陷:
1)财务潜在或已发生年度错报金额小于年度利润总额的2.5%;
2)财务潜在或已发生年度错报金额小于年度营业收入的0.5%;
3)财务潜在或已发生年度错报金额小于年度总资产的0.25%。
2.定性标准
(1)出现以下一个或多个情形的,应认定为内控重大缺陷:
1)公司对财务报告内部控制严重缺失或监督无效,造成重大财务错报;
2)当财务报告存在重大错报,而对应的内部控制活动未能及时识别;
3)发生重大财务报告/信息舞弊或风险事件,给公司造成重大损失及严重负
面影响;
4)财务报告中已发现的内部控制重大缺陷未整改或整改不彻底;
5)其他可能或导致企业严重偏离控制目标的缺陷。
(2)出现以下一个或多个情形的,应认定为内控重要缺陷:
1)公司对财务报告内部控制缺失或监督作用有限,造成较大财务错报;
2)当财务报告存在较大错报,而对应的控制活动未能及时识别;
3)对于非常规或特殊交易的账务处理未建立相应的控制机制或未严格实施;
4)发生财务报告/信息舞弊或风险事件,给公司造成较大损失及负面影响;
5)财务报告中已发现的内部控制重要缺陷未整改或整改不彻底;
6)其他可能或导致企业较大偏离控制目标的缺陷。其他财务报告内部控制缺陷,应认定为内控一般缺陷。
(二)非财务报告内部控制缺陷认定标准
1.定量标准
第8页共11页迪瑞医疗科技股份有限公司内部控制管理制度判断依据内控缺陷等级(违规造成的损失金额以下简称“X”)
满足以下一个或多个情形:
1.X≥年度利润总额的5%
重大缺陷
2.X≥年度营业收入的1%
3.X≥年度总资产的0.5%
满足以下一个或多个情形
1.年度利润总额的2.5%≤X<年度利润总额的5%
重要缺陷
2.年度营业收入的0.5%≤X<年度营业收入的1%
3.年度总资产的0.25%≤X<年度总资产的0.5%
满足以下一个或多个情形:
1.X<年度利润总额的2.5%
一般缺陷
2.X<年度营业收入的0.5%
3.X<年度总资产的0.25%
(1)出现以下一个或多个情形的,应认定为内控重大缺陷:
1)违规造成的损失金额大于年度利润总额的5%;
2)违规造成的损失金额大于年度营业收入的1%;
3)违规造成的损失金额大于年度总资产的0.5%。
(2)出现以下一个或多个情形的,应认定为内控重要缺陷:
1)违规造成的损失金额大于年度利润总额的2.5%但小于5%;
2)违规造成的损失金额大于年度营业收入的0.5%但小于1%;
3)违规造成的损失金额大于年度总资产的0.25%但小于0.5%。
(3)出现以下一个或多个情形的,应认定为内控一般缺陷:
1)违规造成的损失金额小于年度利润总额的2.5%;
第9页共11页迪瑞医疗科技股份有限公司内部控制管理制度
2)违规造成的损失金额小于年度营业收入的0.5%;
3)违规造成的损失金额小于年度总资产的0.25%。
2.定性标准
(1)出现以下一个或多个情形的,应认定为内控重大缺陷:
1)制度严重缺失,内部控制系统性失效,导致公司经营及管理行为严重偏
离控制目标;
2)因涉嫌严重违法违规被司法机关或者省级以上监管机构立案调查,或者
受到重大刑事处罚、行政处罚;
3)民主决策程序失效、决策严重失误或决策执行不到位,造成重大损失;
4)无法保证企业资产安全,或者已经造成重大资产损失;
5)中高级管理人员和关键技术人员严重流失,严重影响公司的经营与发展;
6)发生重大非财务报告/信息舞弊或风险事件,给公司造成重大损失及严重
负面影响;
7)已发现的重大内控缺陷未整改或整改不彻底;
8)其他可能或导致企业严重偏离控制目标的缺陷。
(2)出现以下一个或多个情形的,应认定为内控重要缺陷:
1)公司制度、内部控制系统存在较大缺陷,导致企业经营及管理行为较大
偏离控制目标;
2)因涉嫌违法违规被司法机关或省级以下监管机构立案调查,或者受到较
大刑事处罚、行政处罚;
3)民主决策程序出现失误,造成较大损失;
4)不能合理保证公司资产安全,或者已经造成较大资产损失;
5)中高级管理人员和关键技术人员流失率较高,对企业经营与发展有较大影响;
6)发生非财务报告/信息舞弊或风险事件,给公司造成较大损失及负面影响;
第10页共11页迪瑞医疗科技股份有限公司内部控制管理制度
7)已发现的重要内控缺陷未整改或整改不彻底;
8)其他可能或导致企业较大偏离控制目标的缺陷。其他非财务报告内部控制缺陷,应认定为内控一般缺陷。
三、其他相关说明
(一)上述定量缺陷标准中所涉及的利润总额、营业收入及总资产数据为公
司最近一年经审计的合并报表审定数;若年度利润总额出现负数,则不依赖利润总额标准;只要达到上述三项标准中任何一项,即构成相应类型缺陷。
(二)上述“大于”均含本数,“小于”均不含本数。
沪公网安备31011802005267号
