2023年度内部控制评价报告
根据《上市公司自律监管指引第2号——创业板上市公司规范运作》、《企业内部控制基本规范》及其配套指引的规定和要求,内蒙古福瑞医疗科技股份有限公司(以下简称“公司”)对2023年度内部控制的有效性进行了评价。
一、内部控制评价的依据
根据中华人民共和国财政部等五部委联合发布的《企业内部控制基本规范》及《企业内部控制评价指引》的要求,结合公司内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,对公司截至2023年12月31日内部控制的设计与运行的有效性进行评价。
二、建立内部控制制度的目标和遵循的原则
(一)内部控制目标
公司建立内部控制制度的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。 1. 合理保证公司各项业务活动合法合规,确保公司管理的各个方面符合国家有关法律、法规。 2. 建立和完善符合上市公司要求的公司治理结构及内部组织结构,形成科学的决策机制、执行机制和考核机制,保证公司经营管理目标的全面实现。
3. 建立健全行之有效的风险控制系统,强化风险管理,保证公司业务活动的健康运行。 4. 建立良好的公司内部经营环境,保证所有业务活动均按照适当的授权进行,促使公司的经营管理活动协调、有序、高效运行;防止并及时发现、纠正各种错误、舞弊行为,保证对资产的记录和接触、处理均经过适当的授权,确保资产的安全和完整并有效发挥作用,防止毁损、浪费、盗窃并降低减值损失,保护公司财产的安全完整。
5. 规范公司财务行为,保证财务资料真实、合法、完整,提高会计信息质量。
6. 保证公司信息披露的真实、准确、完整。
(二)内部控制遵循的原则
公司内部控制制度的建立与实施应遵循以下基本原则:
1. 全面性原则。内部控制应贯穿决策、执行和监督全过程,覆盖公司及子公司的各种业务和事项。 2. 重要性原则。内部控制应在全面控制的基础上,关注重要业务事项和高风险领域。 3. 制衡性原则。内部控制应在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督、同时兼顾运营效率。 4. 适应性原则。内部控制应在公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。 5. 成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
三、公司的内部控制结构
(一)控制环境
公司自成立以来,为保证经营业务的正常开展和公司战略目标的顺利实现,公司高度重视并大力推进内部控制体系的建设工作,遵循全面性、重要性、制衡性、适应性和成本效益原则,依据企业所处行业、经营方式、资产结构等特点,结合公司业务具体情况,逐步建立了涵盖公司各个业务环节的较为规范的内部控制体系。 公司依法建立了股东大会、董事会、监事会和经理层“三会一层”的法人治理结构,制定了与之相适应的“三会一层”议事规则,明确了决策、执行、监督等方面的职责权限,形成了合理的职责分工和制衡机制,保障了“三会一层”的规范运作。 (1)股东大会是公司的最高权力机构,公司制定《股东大会议事规则》,确保所有股东,特别是中小股东享有平等地位,确保所有股东能够充分行使自己的权利。 (2)董事会是公司的决策管理机构,对公司内部控制体系的建立和监督负责,确立内部控制的政策和方案,监督内部控制的执行。董事会下设了战略、审计、提名、人力资源与薪酬四个委员会,依法设置了规范的人员结构和制定相应的实施细则。 (3)监事会是公司的监督机构,对董事、总经理及其他高级管理人员执行
职务的行为及公司财务状况进行监督及检查,并向股东大会负责并报告工作。 (4)经理层负责制定和执行内部控制制度,通过调控和监督各职能部门规范行使职权,保证公司生产经营管理工作的正常运转。
(二)风险评估过程
公司通过制定和执行各项管理制度,公司“三会”和经理层的职责及制衡机制能够有效运作,公司建立的决策程序和议事规则民主、透明,内部监督和反馈系统基本健全、有效。公司对法人治理结构、风险评估、控制活动、信息沟通、内部控制监督检查等做出了明确规定,保证公司内部控制系统完整、有效,并辅以具体策略和业务流程将公司经营目标通过钉钉工作台明确地传达到每一位员工。
公司制定了《风险评估管理制度》,建立了有效的风险评估过程,通过设置审计委员会等部门以识别和应对公司可能遇到的包括战略风险、经营风险、合法合规风险、财务风险等重大且普遍影响的变化。
(三)控制活动
1. 公司严格按照《公司法》等相关法律法规和现代企业制度要求,完善股东大会、董事会、监事会相应的议事规则和经理层工作制度,并将相关制度公示于证监会指定的信息披露媒体,接受广大投资者的督导。形成权力机构、决策机构、监督机构与经理层之间权责分明、各司其职、相互制衡、科学决策、协调运作的法人治理结构。 2. 建立并完善了公司组织规则和管理机构,能够按照各部门的主要职责,各司其职、各负其责、相互配合、相互制衡,保证了公司经营管理活动有序进行。
3. 公司建立了从编制、审核、批准、执行、分析、调整到考核的全面预算管理流程,通过制定年度计划和预算,对年度利润目标、重点业务目标进行了有效的分解,并层层落实相关责任,通过定期会议督进、数据分析等确保目标得到有效执行。
(四)信息与沟通
在与投资者的信息沟通方面,公司制订了《信息披露管理制度》《投资者关系管理办法》《内幕信息知情人登记备案制度》《年报信息披露重大差错责任追究制度》等管理制度,按照法律法规、证券监管部门及上述公司制度的要求进行对
外信息披露与沟通,并按照《内部信息传递管理制度》的要求规范公司的内部信息沟通,通过月度总经理办公会、月度/季度经营分析会、月度预算执行反馈等多种渠道进行公司内部信息沟通,确保各类信息在公司内及时、有效传递。 在信息化建设方面,公司运用钉钉工作台,适时更新公司业务信息,保证公司业务信息的及时传递,保证公司的制度更新、重大业务信息、企业文化信息等及时、有效传递,帮助提高公司管理效率。
(五)内部控制监督
1. 内部控制检查监督
公司内部审计部门在公司董事会审计委员会的领导下,对公司业务活动、财务收支、重大关联交易行为、各子公司和部门内部控制制度执行情况进行定期和不定期的审计,以充分确定内部控制制度是否得到了有效执行。
2. 完善内部控制制度
为更好地贯彻落实国家财政部、证监会等五部委颁布的《企业内部控制基本规范》,进一步规范公司运营,防治潜在风险,应对监管要求,提升公司治理和管控水平,保证经营目标实现,公司每年的12月结合公司内部控制制度有效性检查监督情况,找出已不能完全适应公司管理和发展要求的内部控制制度和体系中的相关条款,并进行修订完善,以保证内部控制框架体系更有效适应公司整体发展规划。
四、内部控制评价的范围
公司按照风险导向和重要性原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。
纳入评价范围的主要单位包括:内蒙古福瑞医疗科技股份有限公司、内蒙古福瑞药业有限责任公司、呼和浩特市福瑞药业有限责任公司、北京爱肝一生健康管理有限公司、北京福瑞云健康管理股份有限公司、内蒙古福瑞健康管理有限公司、内蒙古福瑞健康产业科技有限公司、内蒙古集瑞医院管理有限公司、成都福瑞互联网医院管理有限公司、泰拉克里昂(深圳)医疗设备有限公司、法国卢森堡(Furui Medical Science Company Luxembourg)。
纳入评价范围单位资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入总额的100%。
纳入评价范围的主要业务和事项包括:组织架构、发展战略、人力资源、社会责任、企业文化、内部审计、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、财务报告、全面预算、合同管理、信息系统、投资者关系管理。公司重点关注的高风险领域主要包括:资金活动、采购业务、资产管理、销售业务、财务报告。
1. 资金活动管理
公司为减少资金管理风险,制定并不断完善了《财务管理制度》《募集资金管理办法》《费用管理规范》《理财产品管理规范》《资金集中管理办法》等一系列管理制度,建立了较为完善的资金额度/费用审批权限,建立了资金集中管理制度,对各级子公司在银行或其他金融机构的存款资金进行资金归集与拨付管理。结合公司日常资金使用的实际情况,公司落实了各个部门和岗位的职责及相互制约的要求与措施,明确了财务总监和财务部门在资金管理中的核心作用,严格把控资金使用程序,严格按照规定权限和程序使用募集资金,合理进行调度资金,防范和控制资金风险,平衡资金的使用,提高资金使用效益。
2. 采购业务管理
公司设立了采购部负责公司采购业务的归口管理,在岗位设置上进行不相容职责的分离,包括供应商的筛选、审核与审批的分离,物料的询价比较与订单审批的分离,采购与验收、入库的分离等,从而有效地避免了因不相容职责未分离而可能引发的风险,使公司物料的采购与供应从源头得到控制。公司为规范物资供应流程,制定并不断完善了《供应商选择评估标准操作流程》《采购招标议标操作程序》《采购标准操作流程》《采购合同管理》等内部控制制度和程序。
3. 资产管理
围绕对存货、固定资产和无形资产三个方面进行科学有效的管理,公司制定了《库存管理规范》《资产管理规范》等一系列制度,对资产购置、验收、调拨转移、维护、使用、报废、盘点、处置等进行了规范。资产管理实行按类分级归口管理,资产的购置、使用和处置需分级审核、审批。公司定期统一组织资产盘点和减值测算,以确保资产实物价值和账面价值的一致。公司严格控制存货规模,以促进存货周转,有效提高资金使用效率。
4. 销售业务管理
公司根据销售业务的特点,制定和完善了《客户管理规范》《收款管理规范》《销售合同管理规范》和《窜货管理规范》等一系列管理制度,对合同签订、发出产品、货款结算、客户信用管理、退货与换货等环节的内部控制程序进行了明确规定,建立科学严密的销售、发货过程控制程序,完善合同的订立与系统审批流程,进一步提升公司的销售与管理水平。
5. 财务报告管理
为规范公司会计核算与信息披露,提高会计信息质量,确保财务报告合法合规、真实完整,保护投资者、债权人及其他利益相关者的合法权益,公司制定了《财务管理规范》,对会计业务处理、会计政策及会计估计变更、财务报告编制与审核等主要控制流程,合理设置了财务报告相关的部门和岗位,明确职责权限,明确了会计核算、报告编制、复核、审批的控制程序及职责分工。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
五、内部控制评价的程序和方法
在开展内部控制体系建设和自我评价工作过程中,公司全面梳理了内控规范实施范围内的业务流程和规章制度,查找主要业务流程、节点、控制点的风险点,编制相应问题或漏洞风险清单,提出改进措施并加以规范,制定内部控制的测试、检查、评价方法和标准。公司内部控制评价工作严格遵循《企业内部控制基本规范》及配套指引和公司内部控制评价手册规定的程序执行,并秉承了合法性、全面性、协调性、合理性等原则。具体包括以下几个方面:
1. 执行风险评估流程,与公司中高级领导层访谈收集风险信息,并进行整理和分析,识别出公司所面临的高风险领域,用于指导年度内控建设和自我评价工作的开展,明确工作范围和工作重点;
2. 开展流程访谈,了解公司目前各项业务流程的内部控制现状,识别关键控制点信息。将风险管控信息与部门/岗位相挂钩,明确风险管控职责,切实落实公司各项内部控制管理要求;
3. 执行穿行测试,验证访谈了解到的流程及相关控制点信息的真实性,对内部控制的设计有效性进行评价,识别内部控制设计缺陷;
4. 执行内部控制测试,按照关键控制活动的发生频率抽取一定数量的样本,对内部控制的执行有效性进行评价,发现内部控制执行缺陷;在内部控制建设与评价工作过程中,从流程的固有风险和控制目标出发,寻找内部控制的薄弱环节,跟踪整改工作的执行情况,并对整改结果执行再测试,验证整改结果的有效性。评价过程中,我们采用了个别访谈、穿行测试和抽样等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,分析、识别内部控制缺陷。
六、内部控制缺陷认定标准
根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,确定了公司的内部控制缺陷具体认定标准。公司确定的内部控制缺陷认定标准如下:
(一)财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准如下:
1. 重大缺陷:潜在错报和漏报金额大于税前利润5%。
2. 重要缺陷:潜在错报和漏报金额大于税前利润2.5%但小于5%。
3. 一般缺陷:潜在错报和漏报金额小于上述标准。
公司确定的财务报告内部控制缺陷评价的定性标准如下:
(1)重大缺陷:内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报。如下迹象通常表明财务报告内部控制可能存在重大缺陷,包括但不限于:
--董事、监事和高级管理层的舞弊行为;
--对已签发的财务报告进行重报,以反映对错报的更正;
--当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;
--审计委员会以及内部审计部门对财务报告内部控制监督无效。
(2)重要缺陷:内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平,但仍应引起公司董事会和管理层重视的错报。
--沟通后的重大缺陷没有在合理的期间得到纠正;
--未依照公认会计准则选择和应用会计政策;--未建立反舞弊程序和控制措施;--对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制;--对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。
(3)一般缺陷:不构成重大缺陷和重要缺陷的内部控制缺陷。
(二)非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
1. 重大缺陷:可能导致的直接损失大于资产总额0.25%,销售收入0.5%或税前利润5%。
2. 重要缺陷:可能导致的直接损失大于资产总额0.125%,销售收入0.25%或税前利润2.5%但小于重大缺陷定量标准。
3. 一般缺陷:可能导致的直接损失小于上述标准。
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
(1)重大缺陷:对存在的问题不采取任何行动有较大的可能导致严重的偏离控制目标。
关于企业安全、环保、社会责任、职业道德、经营状况的负面消息,被全国性媒体持续报道3次以上,受到行业或监管机构关注、调查,在行业范围内造成较大不良影响(发生II级群体性事件)。
(2)重要缺陷:对存在的问题不采取任何行动有一定的可能导致较大的负面影响和目标偏离。
关于企业安全、环保、社会责任、职业道德、经营状况的负面消息,被全国性媒体持续报道2次(含)以下,省、自治区、直辖市政府部门或企业要求报告,对企业声誉造成一定不良影响(发生III级或IV级群体性事件)。
(3)一般缺陷:对存在的问题不采取任何行动可能导致较小范围的目标偏离。
七、内部控制缺陷认定及整改情况
1. 财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。
2. 非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制重大缺陷和重要缺陷。
本年度,审计部对相关控股子公司的内控制度与财务管理制度的执行情况进行了审计;根据审计发现,提出整改措施、限期整改。同时,为落实公司战略、实现经营目标、建立健全管理体制机制,实现制度管人、流程管事、标准做事,公司开展了流程优化专项工作,对公司内控制度进行了完善与流程优化,并将建立长效机制,持续优化。确保内部控制设计与执行有效。
八、内部控制有效性的结论
根据基本规范、评价指引及其他相关法律法规的要求,对公司截至2023年12月31日的内部控制设计与运行的有效性进行了评价;2023年,公司对纳入评价范围的业务与事项均已建立了内部控制,公司的内部控制制度基本设计合理、运行有效,未发现重大缺陷或重要缺陷。现存的内部控制缺陷均为一般缺陷。
在未来发展中,公司将继续强化内控体系建设工作的有效性、管理制度的规范性、工作流程的合理性、重要管理事项的合规性,结合自身发展的实际需要,进一步完善内部控制制度,强化内部控制的执行力,使之适应公司发展需要和国家有关法律法规的要求。
内蒙古福瑞医疗科技股份有限公司董事会
二零二四年四月二十九日