药石科技:2025年度内部控制自我评价报告

南京药石科技股份有限公司

2025年度内部控制自我评价报告

南京药石科技股份有限公司全体股东：

根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求（以下简称企业内部控制规范体系），结合本公司（以下简称公司）内部控制制度和评价办法，在内部控制日常监督和专项监督的基础上，我们对公司2025年12月31日（内部控制评价报告基准日）的内部控制有效性进行了评价。

一、重要声明

按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。审计委员会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、审计委员会及董事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。

公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。

二、内部控制评价结论

根据公司财务报告内部控制重大缺陷的认定情况，于内部控制评价报告基准日，不存在财务报告内部控制重大缺陷，董事会认为，公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。

根据公司非财务报告内部控制重大缺陷认定情况，于内部控制评价报告基准日，公司未发现非财务报告内部控制重大缺陷。

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。

三、内部控制评价工作情况（一）内部控制评价范围

公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括：南京药石科技股份有限公司（母公司）、PHARMABLOCK（USA）INC(100%控股)、PHARMABLOCK LLC(100%间接控股)、PHARMABLOCK INTERNATIONAL

Co.Limited（100%控股）、药石地平线资本有限公司（100%控股）、PharmaBlock Sciences

(Switzerland) AG（100%控股）、南京天易生物科技有限公司(100%控股)、南京富润凯德生

物医药有限公司（100%控股）、山东药石药业有限公司（100%控股）、浙江晖石药业有限公

司（100%控股）、南京迈晟科技有限责任公司（100%控股）、南京安纳康生物科技有限公司

（100%控股，2025年9月注销）。

纳入评价范围单位资产总额占公司合并财务报表资产总额的100%，营业收入合计占公司合并财务报表营业收入总额的100%。纳入评价范围的主要业务和事项涵盖了：控制环境、风险评估、控制活动、信息与沟通、内部监督五个方面；重点关注的高风险领域包括：募集资

金管理及信息披露、子公司管理、销售与收款、采购与付款以及工程项目管理等。

上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。

1、控制环境

（1）公司治理结构

公司已根据《公司法》以及中国证券监督管理委员会有关规定的要求，建立了股东会、董事会和经理层的现代法人治理结构，并按照中国证监会2001年8月16日颁布的证监发[2001]102号文《关于在上市公司中建立独立董事的指导意见》的精神，建立了独立董事制度，聘任了三位独立董事，形成了公司法人治理机构的基本框架，并明确了股东会和股东、董事会和董事、经理层和高级管理人员在内部控制中的职责。股东会、董事会与管理层之间权责分明、各司其职、协调运作，依法行使各自的决策权、执行权和监督权，从而保证公司安全、高效运转，保障股东的合法利益。

（2）组织机构

公司已按照国家法律、法规的规定以及监管部门的要求，设立了符合公司业务规模和经营管理需要的组织机构，遵循相互监督、相互制约、协调运作的原则设置业务中心、部门和岗位，公司与控制人在业务、资产、人员、机构和财务等方面遵循相互独立的原则。

（3）人力资源

公司董事会设立薪酬与考核委员会主要负责制定、审核公司董事及经理人员的薪酬方案和考核标准。委员会直接对公司董事会负责。

公司设人力资源中心，建立《人力资源管理制度》及《员工手册》，对公司各职能部门的职责、员工聘用、试用、任免、调岗、解职、交接、奖惩等事项进行明确规定，确保相关人员能够胜任；制定并实施人才培养方案，以确保经理层和全体员工能够有效履行职责；公司现有人力资源政策基本能够保证人力资源的稳定和公司各部门对人力资源的需求。

2、风险评估为了保证公司持续、健康、稳定地发展，保障经营目标的顺利实现，公司制定《风险控制管理制度》，建立规范、有效的风险管理控制体系。公司明确风险管理基本原则、组织架构和职责，并结合实际需要，从运营、市场、合规及财务等方面开展了风险因素收集、整理和识别工作，针对风险制定必要的应对策略，确保风险的防范和有效控制。

2025年，公司根据ESG风险管理要求，结合内外部环境变化，重新审查并梳理集团及各业

务体系面临的潜在风险，完善风险事件库，针对评估水平较高的风险点，进行风险控制测试，检验配套制度的完整性及控制执行的有效性，推动风险控制制度的完善和优化，持续完善ESG风险管理框架。

3、控制活动

（1）销售和收款公司从源头加强客户信用等级的分级管理，强化风险管控，制定并完善《销售管理制度》、《代保管制度》等一系列销售与收款制度和操作规范，建立从订单到回款各环节关键管控点，持续优化 ERP 系统设置，不断完善大客户管理及价格优惠政策管理等制度，促进客户关系管理、回款管理、价格折扣管理的规范化。2025年，公司强化客户关系管理，优化升级 CRM 系统，完善线索商机、客户来访接待、订单录入等模块功能。同时，公司进一步加强回款管理，应收账款周转天数缩短，销售回款率上升，资金回笼情况良好。

（2）研发、工艺和生产管理

公司始终着力于“聚焦”、“品质”与“创新”，并制定了涵盖项目立项、工艺研发、生产转化、产品出入库及报告交付等的标准操作规程。公司也成功导入了ISO9000：2008质量管理体系，建立健全质量控制制度和标准。为高效助力集团流程管理体系建设，持续提升公司运营效率和服务质量，2025年公司实施CDMO业务流程变革管理咨询项目，通过持续夯实端到端运营能力，推动组织从经验驱动向流程驱动转型，逐步构建起由14个流程域组成的公司级业务流程架构，其中关于“服务交付”的流程优化，明确工艺可行性和生产可行性的技术评审机制，强化研发、分析与生产之间的流程衔接，助力提升技术转移的规范性和一次成功率，降低项目交付风险，缩短项目整体周期。

（3）EHS管理

公司始终坚持“安全第一、预防为主、综合治理”的安全方针，构建“横向到边、纵向到底”的安全责任制，切实压实各级安全生产责任。公司及各场地均设立 EHS 管理委员会，全面统筹、领导并推动 EHS 管理工作。公司以《环境、职业健康与安全政策》和《环境可持续政策》为核心，建立健全完善的 EHS 管理体系，全面识别、评估运营全过程中 EHS 风险，实施分级分类管控，从源头预防和控制 EHS 风险，有效减少各类 EHS 事故发生。2025 年公司对标国内外先进 EHS 管理标准和优秀实践，持续优化内部管理流程，发布并推行集团级管理规章制度及技术指南，统一指导各场地 EHS 管理工作，实现 EHS 管理的标准化与规范化。同时，集团组织开展 EHS 专项培训和交叉检查，强化 EHS 团队成员专业技能和审核水平，持续提升风险管控能力，保障公司安全、健康、绿色、稳定运营。

（4）采购和付款管理

公司制定了《采购管理制度》《招投标管理规程》《不合格品管理规程》等采购及付款

管理制度，并建立供应商管理及询比价线上平台（SRM系统），供应商准入、招标比价等关键控制环节均已实现系统化管控。同时，公司建立原料动态管控机制，及时处理滞库物料，在保障供应的同时，确保公司库存维持在一个合适及安全的水平。2025年公司不断丰富供应商资源，并通过竞争性采购实现成本优化，并分散供方风险。同时，公司制定《供应商背景调查审核程序》，每年针对关键供应商开展可持续现场审核，提出改善建议并实施跟踪闭环，携手合作伙伴共建绿色、可持续的供应链体系，实现共赢发展。

（5）筹资与投资管理

公司制定了《对外投资管理制度》《对外担保管理制度》，对筹资与投资循环所涉及的主要业务活动如审批权限、组织管理机构、投资的决策程序、投资的转让与收回、对外投资

的人事管理、对外投资的财务管理及审计等进行了明确规定；针对筹资业务所设置的具体流

程控制保证公司所有的筹资活动均经过恰当的授权和审批，确保了正常的资金周转、降低资金成本、减少筹资风险；针对投资业务所设置的流程控制确保公司能够建立行之有效的投资

决策与运行机制，提高资金运作效率，保障本公司对外投资的保值、增值。

（6）关联交易管理公司制定了《关联交易管理制度》，在关联方关系、关联交易的内容、关联交易的审议程序和披露等方面进行了明确规定，确保了关联交易在“公平、公正、公开、等价有偿及不偏离市场独立第三方的价格或收费标准”的条件下进行，保证公司与各关联人所发生的关联交易的合法性、公允性、合理性；2025年内审部对公司关联交易价格公允性及确定依据进行检查，确认相关交易均符合关联交易管理要求。

（7）募集资金管理

公司根据《公司法》《证券法》等法律、法规和规范性文件的规定，制定了《募集资金管理制度》，对募集资金存储、审批、使用、变更、监督等进行明确规定。公司证券部负责募集资金管理、使用及变更有关的信息披露；公司财务中心负责募集资金的日常管理，包括募集资金的存放、使用和台账管理；公司内部审计部定期对募集资金的使用情况进行检查，并及时向董事会审计委员会汇报检查结果。2025年，公司完善了包括预算源头控制、资金审批及付款端管控等内控措施，进一步加强募集资金管控，并在ERP系统中完善关键节点控制设置，确保募集资金使用规范性。

（8）信息披露管理

公司严格遵守《公司法》《证券法》《上市公司信息披露管理办法》《内幕信息知情人登记管理制度》《投资者关系管理制度》等相关制度的要求，由公司董事会统一领导和管理信息披露事务，公司证券部作为信息披露事务的管理部门，具体负责信息披露及投资者关系管理工作。公司对外披露的所有信息均经董事会批准，确保信息披露内容没有虚假、严重误导性陈述或重大遗漏，保证所有信息使用者可同时获悉同样的信息，确保披露的公平性，维护了投资者利益。2025年度，公司真实、准确、及时、完整地履行了信息披露义务，未发生信息泄露事件。

（9）信息与沟通管理

公司制定的《客户信息保密管理制度》《泄密风险管理制度》《涉密区域管理制度》等

涵盖了内外部信息沟通、处理及反馈的控制程序，明确规定内部信息传递的流程和密级管理办法，规范信息系统、数据资料、内部文档等的保护与管理。同时，公司制定《专利管理办法》《著作权管理办法》等制度，鼓励员工开展技术发明创造的同时，加强对内外部信息的保护，强化客户知识产权保护机制，完善 IP 法务保护程序。2025 年度公司持续开展《员工IP 行为规范》、商业秘密保护、钓鱼邮件防范培训等宣贯培训，提升全员的信息安全保护意识，规范内外部交流、客户审计汇报、专利申请、社交媒体等方面的知识产权保护要求，保障企业及客户信息安全。

（10）电子信息系统管理

公司制定了《ERP流程及需求变更管理规程》等制度，对信息系统中业务流程及审批流程的调整、变更、主数据的管理等制定了明确规范。2025年各项电子信息系统控制均得到有效的执行，并以此为基础，启动了公司的智能化转型。公司在原IT部门的基础上成立了智能技术中心，确定了绿色、智能的发展战略，以智能技术中心为抓手推动整个集团的智能化转型。

在智能技术中心下面成立了6个二级部门，作为战略执行的组织保证，并构建“公有云+数据+人工智能”三位一体的顶层设计以数据平台和业务流程IT化为基础，聚焦智能研发、智能制造、智能运营。

（11）内部监督管理

公司制定了《内部审计管理制度》，在董事会下设立审计委员会，并设置内部审计部门，作为审计委员会的专门工作机构，并配置专职审计人员。内部审计部依照国家法律、法规和政策以及本公司的规章制度，遵循客观性、政策性和预防为主的原则，对公司本部及控股、参股公司的经营活动和内部控制进行独立的审计监督。同时，公司制定审计问题分类标准，根据审计问题建立审计处罚机制，推动审计追责机制严格遵守执行。2025年，公司建立审计问题在线跟踪系统，实现审计问题有效闭环，保障合规经营，推动运营效率提升。

（二）内部控制评价工作依据及内部控制缺陷认定标准

公司依据企业内部控制规范体系及其他内部控制监管要求，组织开展内部控制评价工作。

公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险偏好和风险承受度等因素，区分财务报告内部控制和非财务报告内部控制，研究确定了适用于本公司的内部控制缺陷具体认定标准，并与以前年度保持一致。

公司确定的内部控制缺陷认定标准如下：

1.财务报告内部控制缺陷认定标准

（1）公司确定的财务报告内部控制缺陷评价的定量标准如下：

内部控制缺陷可能导致或导致的损失与利润表相关的，以利润总额衡量，如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于等于利润总额的3%，则认定为一般缺陷；

如果超过利润总额的3%但小于等于5%，则为重要缺陷；如果超过利润总额的5%，则认定为重大缺陷。内部控制缺陷可能导致或导致的损失与资产总额相关的，以资产总额衡量，如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额小于等于资产总额的0.5%，则认定为一般缺陷；如果超过资产总额的0.5%但小于等于1%，则为重要缺陷；如果超过资产总额的1%，则认定为重大缺陷。

（2）公司确定的财务报告内部控制缺陷评价的定性标准如下：

*财务报告内部控制重大缺陷的迹象包括：

?公司董事和高级管理人员的舞弊行为；

?公司更正已公布的存在重大错报的财务报告；

?财务控制系统未能防范、发现与纠正的会计核算重大错误或遗漏；

?公司审计委员会和内部审计机构对内部控制的监督无效。

*财务报告内部控制重要缺陷的迹象包括：

?未依照公认会计准则选择和应用会计政策；

?未建立反舞弊程序和控制措施；

?对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；

?对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表

达到真实、完整的目标。