三博脑科医院管理集团股份有限公司
2023年度内部控制自我评价报告
三博脑科医院管理集团股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合公司的业务流程,我们对三博脑科医院管理集团股份有限公司(以下简称“公司”)2023年12月31日(内部控制报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制自我评价报告基准日,不存在财务报告内部控制重大缺陷。公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,于内部控制自我评价报告
基准日,公司未发现非财务报告内部控制重大缺陷。
自内部控制自我评价报告基准日至内部控制自我评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价范围
公司围绕内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素,对公司各业务流程进行评价。纳入评价范围的主要业务和事项包括:治理结构、发展战略、组织架构、采购业务、投资业务、信息系统、资金活动、财务报告、全面预算、资产管理、内部信息传递、医疗质控、人力资源等。
重点关注的高风险领域主要包括:
1、医疗风险:公司依赖执业医生根据各个患者的不同情况制定不同的诊疗方案,但由于医生诊疗过程需要依赖医生的专业判断,其中任何细微的误差都可能影响治疗效果,导致治疗未能成功、治疗结果不如预期。因此,公司面临一定的医疗事故或纠纷的风险,该风险医疗事故和差错无法完全杜绝。医疗事故纠纷会导致公司面临投诉、经济赔偿或法律诉讼,可能对公司的声誉和品牌美誉度产生不利影响,从而会对公司的日常业务、经营业绩及财务状况产生不利影响。
控制措施:公司指导各医院严格执行国家和行业的诊疗指南、规范操作和护理规范,并严格遵照执行公司的各项医疗服务与质量管理制度,不断完善医疗质量控制体系,加强医师队伍的业务技能培训,提高医护人员的诊疗和护理水准;严格术前筛查,从严掌握适应症,规范病例书写,认真履行告知义务和必要手续,并配置各种尖端医疗设备以确保诊断的准确率和治疗的有效率;按规定定期召开医疗质量控制分析会议,确保医疗质量与安全,促进医院医疗技术水平和管理水平不断发展。
2、人力资源风险:作为技术密集型行业,高素质的技术人才和管理人才对医疗机构的发展起着非常重要的作用。如果公司不能持续吸引足够的技术人才和
管理人才,并在人才培养和激励方面继续进行机制的创新,公司将在发展过程中面临人才短缺风险。控制措施:公司通过搭建医疗教学科研平台,解决高层次专家的引进和高素质人才的培养问题;通过持续开展各类培训,塑造三博特色企业文化,培植重视内部控制、合规发展的发展环境,加强医疗及管理人才的继续教育,形成良好的学习风气,培养储备精专业、懂管理、守合规的人才;通过多元化拓展招聘渠道,持续引进公司所需的认同三博企业文化的中高级人才;通过制定股权激励计划,不断完善核心人才和骨干的中长期激励机制,提升员工的认同感与归属感,凝心聚力干事创业。
3、管理风险:随着公司投资并购步伐的加快和业务规模不断的扩大,管理的复杂程度及深度与日俱增,公司在管理方面将面临较大挑战。控制措施:根据公司战略与发展需要,公司不断完善组织架构和区域管理运行机制,优化分工、分责、分权,不相容职务相分离,进行风险隔离,加强内部控制和风险管理,明确集团及各院区的授权审批权限、原则及责任追究;加强内部审计人员队伍建设,在子公司设立内部审计岗,建立系统化垂直型管理机制,保持内部审计人员的独立性,保障内部审计部对内部监督的地位条件、全面覆盖和审计穿透力;坚持以内部控制风险导向审计为重点的审计职能培养,关注审计问题整改落实,加强内部审计成果应用;加快信息管理系统的实施步伐,确保公司经营管理规范、科学、有效、及时。
4、监管风险:随着《国务院关于加强监管防范风险推动资本市场高质量发展的若干意见》等系列政策出台,在当前资本市场强监管时代下,对上市公司“加强信息披露和公司治理监管,构建资本市场防假打假综合惩防体系,严肃整治财务造假、资金占用等重点领域违法违规行为,督促上市公司完善内控体系。”的持续监管政策也将压紧。同时,新《公司法》即将于2024年7月1日实施,对公司、股东、实控人、董事、高管的管理责任、连带责任将进一步压实。公司在
强监管压力下的发展面临更大的挑战。
控制措施:认真领会国九条精神,充分理解资本市场的政治性、人民性,坚持以人民为中心的价值取向,更加有效保护投资者特别是中小投资者合法权益。充分理解强监管、防风险、促高质量发展的主线,坚持稳为基调,强本强基,以自身的高质量发展更好地服务经济社会高质量发展的大局。充分理解目标导向、问题导向,及时补短板、强弱项,夯实管理,强化治理。在公司治理、信息披露、财务管理、资金管理、关联方交易管理方面加强管控,恪守原则,远离红线。
(二)内部控制缺陷认定标准
公司根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于公司的内部控制缺陷具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
公司确定的财务报告内部控制缺陷评价的定量标准:
| 项目 | 一般缺陷 | 重要缺陷 | 重大缺陷 |
| 资产总额错报额 | <0.5%资产总额 | 0.5%资产总额≤错报<3%资产总额 | ≥3%资产总额 |
| 营业收入错报额 | <0.5%营业收入 | 0.5%营业收入≤错报<3%营业收入 | ≥3%营业收入 |
| 利润总额错报额 | <3%利润总额 | 3%利润总额≤错报<5%利润总额 | ≥5%利润总额 |
公司确定的财务报告内部控制缺陷评价的定性标准如下:
重大缺陷:是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。出现下列情形的,认定为存在财务报告内部控制重大缺陷:①公司董事、监事和高级管理人员严重舞弊;①公司多次更正已公布的财务报告;①注册会计师发现当期财务报告存在重大错报,而公司内部控制在运行过程中未能发现该错报;
①公司审计委员会和内部审计机构对内部控制的监督无效。
重要缺陷:单独缺陷或连同其他缺陷组合,其严重程度低于重大缺陷,但仍有可能导致公司偏离控制目标。当公司出现以下迹象时,将认为公司存在财务报告重要缺陷:①未依照公认会计准则选择和应用会计政策;①对于非常规或特殊
交易的账务处理没有建立相应的控制机制;①对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、准确的目标。
一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
2、非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准
| 项目 | 一般缺陷 | 重要缺陷 | 重大缺陷 |
| 直接资产损失金额 | <0.5%资产总额 | 0.5%资产总额≤错报<3%资产总额 | ≥3%资产总额 |
| 直接资产损失金额 | <0.5%营业收入 | 0.5%营业收入≤错报<3%营业收入 | ≥3%营业收入 |
| 直接资产损失金额 | <3%利润总额 | 3%利润总额≤错报<5%利润总额 | ≥5%利润总额 |
公司确定的非财务报告内部控制缺陷评价的定性标准如下:
公司出现以下情形的,可认定为重大缺陷:
(1)违反国家法律法规或规范性文件、法人治理结构不健全导致重大决策程序不科学、重大缺陷不能得到整改,其他对公司负面影响重大的情形。
(2)企业在资产管理、资本运营、信息披露、医疗质量与安全、环境保护等方面发生重大违法违规事件和责任事故,给企业造成重要损失和不利影响,或者遭受重大行政监管处罚。
(3)公司董事、监事和高级管理人员的舞弊行为,给公司造成重大经济损失,及负面影响。
(4)重大事项违反公司决策程序导致公司重大经济损失。
公司出现以下情形的,可认定为重要缺陷:
(1)公司内部控制制度缺失可能导致重要缺陷不能得到整改,以及其他因内部控制制度未能有效执行造成加大损失,或负面影响较大的情况。
(2)公司核心岗位人员严重流失的情况。
(3)公司管理中层、员工存在串通舞弊行为,给公司造成较大经济损失及负面影响。
一般缺陷:除重大缺陷、重要缺陷之外的其他缺陷。
四、内部控制总体执行情况
(一)控制环境
公司已建立了良好的治理架构与组织结构和相关控制制度,重视建设良好的企业文化,在业务管理、资金管理、会计系统管理、人力资源与薪酬管理、信息沟通与披露管理等方面形成了较完整的内部控制体系。
1、公司治理结构
公司根据有关法律法规及《公司章程》的要求,设立了董事会、监事会和管理层,并在公司章程中列明各自的权利义务,制定了其议事规则,相互之间分工明确、各司其职、各尽其责。
股东大会是公司的权力机构,2023年公司共召开4次股东大会,股东大会的召集、召开程序符合法律、法规、规范性文件及《公司章程》的规定,出席股东大会人员的资格、召集人的资格合法有效,股东大会表决程序及表决结果均合法有效。
董事会是股东大会的执行机构,公司董事会由9名成员组成,其中独立董事3名,总经理负责公司的日常经营管理工作。同时公司已建立独立董事制度,聘请专业人士担任独立董事。公司董事会下设审计委员会、战略委员会、提名委员会、薪酬与考核委员会等议事机构,并制定了各委员会工作实施细则。管理层对于内部控制高度重视,审计委员会由两位独立董事和一位董事组成。为更好地开展公司的内部审计工作,专门设立了独立的内部审计机构,审计部门人员熟悉公司业务、具备该职位所需胜任力,了解公司的实际经营状况。审计部门作为董事会审计委员会的日常工作机构,负责完成公司《内部审计工作制度》相关规定和审计委员会安排的工作。
监事会是公司的内部监督机构,公司监事会由3名监事组成,监事会设主席1名,负责对董事、高级管理人员的履职情况进行监督,检查公司财务、经营状况,列席董事会会议、提议召开临时股东大会,积极参与公司重大事项决策,发挥专业优势建言献策。监事会对董事会编制的公司定期报告进行审核并提出书面
审核意见,合理合法行使监督权利、发表意见。
公司根据《公司法》《证券法》《上市公司章程指引》等法律法规、规范性文件的最新规定,结合实际情况,修订了《公司章程》,并经公司于2023年5月26日、6月16日分别召开的第二届董事会第二十一次会议、2022年年度股东大会审议通过,有利于进一步完善公司治理结构,促进公司规范运作。
2、组织机构
公司根据主营业务及管理的需要,设立了办公室、人力资源部、财务部、医疗质控部、学科发展部、医疗服务部、品牌宣传部、证券事务部、投资管理部、医院建设管理部、网络信息中心、采购中心、商业保险部、法务部以及脑科学研究院,各职能部门分工明确、各司其职、相互制衡、相互监督。根据公司的业务成长进展,公司持续对各职能部门的核心和重点工作任务进行充分的研讨和完善,提高组织效率,完善管理和控制机制。
3、制度流程完善
公司各部门针对专业工作建立了系统的制度和流程,在全公司内贯彻执行,提高公司的管理能力。如公司制定并持续完善了合同管理制度、宣传工作管理规定、药品及耗材管理制度、法律事务管理制度、消防安全管理制度、信息化管理制度、医疗质控、医院项目改扩建管理制度、绩效考核管理办法等。
4、信息披露事务管理事项
公司严格遵守《信息披露管理制度》《内幕信息知情人登记管理制度》《重大信息内部报告制度》等相关制度,控制内幕信息知情人员范围,及时登记内幕信息知情人员名单及其个人信息,未发现内幕交易;遵照“真实、准确、完整、及时、公平”的原则开展信息披露工作,认真履行信息披露义务。公司信息报告义务人及时报告重大信息。公司及董事、监事、高级管理人员忠实、勤勉地履行职责,保证公司信息披露的真实、准确、完整。
5、内部审计
公司设立了审计部,独立于公司其他部门,向董事长直接汇报,也是董事会审计委员会日常工作机构。审计部通过持续性监督检查与专项监督检查相结合的方式,对公司内部控制运行情况、资金的使用与管理、财务管理、业务管理及高管履职情况等进行内部审计。通过内部审计起到了对公司内部控制制度的建立和实施、财务信息的真实性和完整性、经营活动的效率和效果等情况进行检查监督的作用。
(二)风险评估过程
公司风险防范意识强,注重事前风险识别,对所有重大经营决策均广泛征求相关各方意见,并经过法律评估,坚持合同审查、联签等制度,以对公司所面临的经营、财务、行业、市场风险等进行充分的评估,并配套建设相应的风险管理措施,风险管理机制比较完善。同时,公司结合发展现状及未来规划,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
(三)风险控制
公司制定了较为完整的风险控制管理规定,对公司财务结构的确定、筹资结构的安排、筹资成本的估算和筹资的偿还计划等基本做到事先评估、事中监督、事后考核;对各种投资都要作可行性研究并根据项目和金额大小确定审批权限,对投资过程中可能出现的负面因素制定应对预案;建立了财务风险预警制度与经济合同管理制度,以加强对信用风险与合同风险的评估与控制。
(四)控制活动
为合理保证各项目标的实现,公司建立了相关的控制政策和程序,主要包括:
交易授权控制、不相容职务相互分离控制、凭证与记录控制、财产保全控制、独立稽查控制、风险控制等。
(1)交易授权批准控制:明确了授权批准的范围、权限、程序、责任等相关内容,公司内部的各级管理层必须在授权范围内行使相应的职权,经办人员也必须在授权范围内办理经济业务。
公司建立了完善的授权审批制度,明确授权审批机制、原则及责任追究,建立合理的授权审批权限,对不同交易性质进行分级授权,以提升公司运营效率、强化内部控制和风险管理。对于日常费用报销业务、医用物资采购、设备采购及运维、工程建设支出、信息化采购、科研支出、医疗纠纷支出等,公司采取了职能部门负责人、财务负责人、总经理、董事长分级审批制度,以确保各类业务的审批按程序进行;对于非常规交易事项,如收购、重大资本支出、对外担保等重大交易事项需按公司各项规定进行审议批准。
(2)不相容职务相互分离控制:建立了岗位责任制度和内部牵制制度,通过权力、职责的划分,制定了各组成部分及其成员岗位责任制,以防止差错及舞弊行为的发生,按照合理设置分工,科学划分职责权限,贯彻不相容职务相分离的原则,形成相互制衡机制。不相容的职务主要包括:授权批准、业务经办、会计记录、财产保管、监督检查等。
(3)凭证与记录控制:公司严格审核原始凭证并合理制定了凭证流转程序,要求交易执行应及时编制有关凭证并送交会计部门记录,已登账凭证应依序归档。
(4)财产保全控制:严格限制未经授权的人员对财产的直接接触,采取定期盘点、财产记录、账实核对、财产保险等措施,以使各种财产安全完整。
(5)独立稽查控制:设置审计部作为专门的内部审计机构,明确了内部审计机构监督稽查地位和独立性,与其他内部机构在内部监督中的职责权限分工,规范了内部监督的程序、方法、要求以及日常监督和专项监督的范围、频率。对监督过程中发现的内部控制缺陷,能及时分析缺陷的性质和产生的原因,提出整改方案,并采取适当的形式及时向董事会、监事会或者管理层报告。
(五)对控制的监督
公司通过对内部控制制度执行定期和不定期的检查,主要包括:公司董事会检查、审计委员会检查、内部审计部门检查,保证内部控制活动的有效运行。公司通过内部控制检查监督活动以及监管部门检查整改的有效开展,持续监督检查
公司各项经营活动和主要内部控制制度的执行情况,不断提出改进意见和建议,有效防范了内部控制的风险,保障了公司经营管理活动的正常进行,对公司加强规范运作、完善公司治理、提高各项管理水平起到了重要的指导和推动作用。
(六)其他内部控制相关重大事项说明
公司不存在影响内部控制有效性的其他重大事项,也无其他内部控制相关重大事项说明。
五、内部控制持续提升计划
公司内部控制是一项长期持续的工作,如何在变化的环境中把握内部控制要点,推进管理和制度创新,促进内部控制的持续有效性一直是公司关注的重点,为适应未来不断发展的需要,公司将及时对内部控制体系进行补充和完善,拟采取下列措施进行持续提升:
1、提高思想意识,强化内控理念。自上而下建立起合规意识,风控意识,敬畏规则意识和忧患意识。加快按照建立科学的现代企业管理制度体系,根据《企业内部控制基本规范》建立“三博基本法”。
2、法人治理方面,强化独立董事履职保障约束,切实发挥独立董事监督作用和外脑专家作用,加强治理优化,注重迭代和运行实践,保障公司决策的科学性、严肃性、有效性。
3、内控管理方面,优化组织架构、科学授权授信,明确责任权利,优化流程,加强审计监督,保障制度落实、促进整改和有效问责,通过压力传导加强管理穿透力,促进财务基础核算、财务管理、资产管理、工程项目资金管理、绩效考核管理等落实落细。
4、风险控制方面,结合实际情况及时梳理、完善公司现有的流程制度体系,调整和优化内部结构,不断加强风险评估体系建设,根据设定的控制目标,全面系统的收集相关信息,准确识别内部风险和外部风险,提高风险预判能力,建立风险自查机制,及时进行风险评估,风险化解尽早尽小,实现对风险的有效控制,
5、体系运行方面,持续加强对内部控制管理制度和业务流程的执行,提高关键重要岗位人员的能力;对公司对外投资、信息建设、医院建设项目、医疗质控加强风险管理防范,促进公司内部控制体系的完善和有效执行。
6、内控监督方面,进一步强化内部审计工作、加快培养和引进内部审计人才,建立内部审计监督管理体系,审计监督关口前移。根据监管要求和内部管理需求,切实履行工作职责,提高审计监督能力,对公司的重要事项、高风险领域进行监督和检查。结合公司实际运营情况确定重点审计领域,把握关键控制点,不断拓展审计工作的深度和广度。同时加强对内控制度执行的日常督导,对督导中发现的问题及时督促整改,有效降低企业经营风险。借助各中介机构服务商在专业工作中的问题发现和服务优势,加强内部培训和增值服务互动,推动公司合规有序向高质量发展。
三博脑科医院管理集团股份有限公司
董事长:张阳2024年4 月17 日