苏州麦迪斯顿医疗科技股份有限公司
内部控制管理制度(2023年2月制订)
第一条 总 则第一条 为加强苏州麦迪斯顿医疗科技股份有限公司(以下简称“公司”)的内部控制,促进公司规范运作和健康发展,保护股东合法权益,依据《中华人民共和国公司法》、《中华人民共和国证券法》、《企业内部控制基本规范》及其配套指引、《上海证券交易所股票上市规则》、《上海证券交易所上市公司自律监管指引第1号——规范运作》等法律、法规以及《苏州麦迪斯顿医疗科技股份有限公司章程》的有关规定,结合公司实际情况,制定本制度。第二条 内部控制是指为了合理保证公司各项经营活动正常运行,实现特定目标而建立的一系列政策和程序构成的有关总体。是指由企业董事会、经营管理层、各业务单位、全体员工共同实施的,旨在合理保证实现以下基本目标的一系列控制活动:
(一)遵循国家法律法规和有关监管要求;
(二)资产的安全、完整;
(三)财务报告及管理信息的真实、可靠和完整;
(四)经营的效率和效果;
(五)企业战略。
第三条 公司建立与实施内部控制,应当遵循下列原则:
(一)全面性原则。内部控制贯穿决策、执行和监督全过程,覆盖公司及其所属单位的各种业务和事项;
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务和高风险领域;
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;
(四)适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整;
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。第四条 本制度适用于股份公司总部及所属分公司、全资子公司、控股子公司(以下简称“各单位”)
第二章 组织机构与职责第五条 公司董事会是内部控制管理的最高领导机构,负责内部控制的建立健全和有效实施。第六条 公司在董事会下设审计委员会,审计委员会负责审查、监督内部控制的有效实施和评价情况,协调内部审计及其他相关事宜。第七条 经营管理层职责:实施风险管理和内部控制,组织、领导公司内部控制体系的设计、日常运行和维护,承担内部控制有效的首要责任。第八条 公司各级业务单位是其所在单位内控有效性的直接责任人,负责具体执行与其工作职能相关的内部控制的日常工作,主要职责包括:
(一)梳理本单位相关业务流程,制定并修订、完善本单位关键控制领域相关制度/细则/手册/操作规范等,并检查相关制度执行情况;
(二)明确所在单位内控管理工作的相关工作机制及职责分工;
(三)加强所在单位控制活动关键控制领域的日常管控,加强重要岗位授权管理和权力制衡,实现重点环节、关键岗位的职责分离;
(四)推动加强所在单位内控信息化建设,推动信息系统的集成应用,将内控体系管控措施嵌入关键业务信息系统,通过信息化手段固化内控体系管控措施,有效发挥信息化管控的刚性约束和监督制衡作用;
(五)积极配合公司内审部发起的各项内部测评、审计、内控检查等内部控制工作,并落实本单位内部控制缺陷整改工作。第九条 内审部负责组织公司整体内控评价工作,实施各类审计、调查工作,以达到监督、评估、修正的目的,向审计委员会和管理层汇报。主要工作职责包括:
(一)制定并修订公司内控体系监督评价、审计相关管理制度;
(二)对公司内部控制制度的健全性、适应性、有效性及执行情况进行评价和检
查监督,并持续跟进内控缺陷的整改情况;
(三)为各级管理层提供具有建设性建议的内控管理报告,支持内控体系的建立、健全;
(四)开展各类审计、反舞弊调查工作;
第十条 公司内审部对相关内部控制体系进行的内控检查、评价和提出的改善建议不能替代各级业务部门对相关本职工作体系承担的设计、运行和维护的职责。
第三章 内部控制制度框架和基本要求第十一条 公司内部控制制度涵盖以下层面:
(一)公司层面;
(二)公司下属部门或附属公司(包括控股子公司、分公司和具有重大影响的参股公司)层面;
(三)公司各业务单元或业务流程环节层面。
第十二条 公司建立与实施有效的内部控制,包括下列基本要素:
(一)内部环境:指公司实施内部控制的基础,包括治理结构、机构设置与权责分配、管理层的经营理念及风格、企业文化、人力资源政策、董事会、审计委员会及内部审计机构设置等;
(二)风险评估:指公司目标设定、风险识别、风险分析和风险应对;
(三)控制活动:指公司控制风险采取的控制措施,主要包括职责分工控制、授权审批控制、会计系统控制、财产保护控制、预算控制、内部报告控制、运营分析控制和绩效考评控制、信息技术控制等;
(四)信息与沟通:信息的收集机制、企业内外部沟通机制;
(五)内部监督:持续性监督检查,专项监督检查,检查报告、改进措施,企业内部控制自我评估。第十三条 公司应不断完善公司治理结构,确保董事会、监事会和股东大会等机构合法运作和科学决策,公司逐步建立有效的激励约束机制,树立风险防范意识,培育良好的企业精神和内部控制文化,调动广大员工的积极性,营造职工充分了解并履行职责的环境。第十四条 公司应明确各部门、岗位的目标、职责和权限,建立相关部门之间、岗位之间的制衡和监督机制,并设立专门负责监督检查的职能部门。
第十五条 公司应不断完善风险评估体系,对经营风险、财务风险、市场风险、政策法规风险等进行持续监控,及时发现、评估公司面临的各类风险。第十六条 公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各预算责任主体和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第十七条 公司内部控制制度涵盖公司所有营运活动,包括但不限于以下业务环节:
(一)销售及收款环节:包括销售、订单合同管理、开具发票、确认收入及应收账款、执行与记录现金收入等的政策及程序;
(二)采购、费用及付款环节:包括采购需求与计划、供应商选择、采购合同管理、采购过程管理、验收货物、质量控制、处理退货、记录供应商账款、核准付款、执行与记录付款、与采购相关联的部门的功能及职责划分等的政策及程序;
(三)生产环节:包括拟定生产计划、生产实施及交货、生产质量控制、计算存货及生产成本等的政策及程序;
(四)研发环节:包括项目立项、研发过程管理、产品设计、技术研发、产品测试、成果验收与保护、研发记录及文件保管等的政策及程序;
(五)存货管理环节:包括存货的采购、验收、存储及保管、领用及销售政策及程序;
(六)固定资产管理环节:包括固定资产的预算、取得、记录、折旧、维护保养、盘点、处置的政策及程序;
(七)资金管理环节:包括货币资金的入账、划出、记录、报告、出纳人员和财务人员的授权和执行等的政策和程序;
(八)关联交易环节:包括关联方的界定和确认,关联交易的定价、授权、执行、报告和记录的政策及程序;
(九)财务报告环节:包括取得原始单据,编制记账凭证登记账簿,编制财务报告的政策和程序;
(十)信息披露环节:包括信息披露管理和重大信息内部报告等的政策和程序;
(十一)人力资源管理环节:包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、退休、计时、决定和计算薪金、计算个人所得税及各项代扣款、薪资
记录、薪资支付、考勤及考核等的政策及程序;
(十二)投资环节:包括投资有价证券、股权、不动产、经营性资产、衍生品及其他长、短期投资、委托理财的决策、执行、保管与处置等的政策及程序。
(十三)担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。第十八条 公司内部控制制度,除包括对经营活动各环节的控制外,还应包括印章使用管理、票据领用管理、预算管理、资产管理、职务授权及代理制度、信息系统管理与信息披露管理制度等。第十九条 公司应当建立健全独立的财务核算体系,能够独立作出财务决策,建立规范的财务会计制度和对分公司、子公司的财务管理制度。第二十条 公司应重点加强对控股子公司的管理控制,加强对关联交易、对外担保、募集资金使用、重大投资、信息披露等活动的控制,并建立相应控制政策和程序。第二十一条 公司应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
第四章 内部控制的检查和监督第二十二条 公司设立内审部负责对公司内部控制制度的建立和实施、财务信息的真实性和完整性等情况进行检查监督。第二十三条 内审部对公司的内部控制情况的检查监督分为日常监督和专项监督,日常监督是指公司对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指公司发展战略、组织机构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。第二十四条 内审部应当按照检查监督情况,评价公司内部控制的有效性,并至少每年向审计委员会提交一次内部控制评价报告。评价报告应当说明审查和评价内部控制的目的、范围、审查结论及对改善内部控制的建议。第二十五条 内审部在检查过程中如发现内部控制存在重大缺陷或重大风险,应当及时向审计委员会报告。
第二十六条 公司董事会根据企业内部控制体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定适用于本公司的内部控制缺陷具体认定标准。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
根据缺陷可能导致的财务报告错报的重要程度,公司采用定性和定量相结合的方法将缺陷划分为重大缺陷、重要缺陷和一般缺陷。公司确定的财务报告内部控制缺陷评价的定量标准如下:
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 总资产潜在错报 | 错报≥1% | 0.5%≤错报<1% | 错报<0.5% |
| 净资产潜在错报 | 错报≥1% | 0.5%≤错报<1% | 错报<0.5% |
| 营业收入潜在错报 | 错报≥1% | 0.5%≤错报<1% | 错报<0.5% |
| 税前利润潜在错报 | 错报≥1% | 0.5%≤错报<1% | 错报<0.5% |
公司确定的财务报告内部控制缺陷评价的定性标准如下:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 1、公司董事、监事和高级管理人员舞弊; 2、公司更正已公布的财务报告; 3、注册会计师发现的却未被公司内部控制识别的当期财务报告中的重大错报; 4、审计委员会和内审部对公司的对外财务报告和财务报告内部控制监督无效。 |
| 重要缺陷 | 1、未依照公认会计准则选择和运用会计政策; 2、未建立反舞弊程序和控制措施; 3、对于非常规和特殊交易的账务处理没有建立相应的控制或没有实施且没有相应的补偿性控制; 4、对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。 |
| 一般缺陷 | 除上述重大缺陷、重要缺陷之外的其他控制缺陷。 |
2、非财务报告内部控制缺陷认定标准
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
| 指标名称 | 重大缺陷定量标准 | 重要缺陷定量标准 | 一般缺陷定量标准 |
| 直接财产损失 | 直接损失金额≥最近一次经审计的净资产的1% | 最近一次经审计的净资产的0.5%≤直接损失金额<最近一次经审计的净资产的1% | 直接损失金额<最近一次经审计的净资产的0.5% |
| 重大负面影响 | 负面事件引起国际、国家主流媒体关注 | 负面事件引起市级主流媒体关注 | 重要缺陷定量标准以下的相关事项 |
公司确定的非财务报告内部控制缺陷评价的定量标准如下:
缺陷性质
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 1、严重缺乏“三重一大”决策程序,决策过程不民主,造成决策严重失误; 2、经营行为严重违反国家有关法律、法规; 3、管理人员或技术人员大量流失; 4、内部控制评价的结果特别是重大缺陷未得到整改; 5、重要业务缺乏制度控制或制度系统性失效;6、其造成的负面影响波及范围极广、普遍引起公众关注,为公司声誉带来无法弥补的损害;7、政府或监管机构已经针对相关方面进行调查。 |
| 重要缺陷 | 除上述重大缺陷的其他情形按影响程度分别确定为重要缺陷或一般缺陷 |
| 一般缺陷 | 除上述重大缺陷的其他情形按影响程度分别确定为重要缺陷或一般缺陷 |
第二十七条 公司董事会或者其审计委员会根据内审部出具的评价报告及相关资料,出具年度内部控制自我评价报告。内部控制评价报告包括以下内容:
(一)董事会对内部控制评价报告真实性的声明;
(二)内部控制评价工作的总体情况;
(三)内部控制评价的依据、范围、程序和方法;
(四)内部控制存在的缺陷及其认定情况;
(五)对上一年度内部控制缺陷的整改情况;
(六)对本年度内部控制缺陷拟采取的整改措施;
(七)内部控制有效性的结论。
第二十八条 公司应当在披露年度报告的同时,披露年度内部控制评价报告,并同时披露会计师事务所出具的内部控制审计报告。第二十九条 如会计师事务所对公司内部控制有效性出具非标准审计报告,或者指出公司非财务报告内部控制存在重大缺陷的,公司董事会、监事会应当针对所涉及事项作出专项说明。第三十条 内部控制制度的健全完备和有效执行情况作为绩效考核的重要指标。公司应对违反内部控制制度和影响内部控制制度执行的有关责任人予以查处。
第五章 内部控制文档管理第三十一条 公司各级业务单位应按照公司《档案管理制度》的要求,以书面或者其他适当形式妥善保存内部控制建立、实施和评价过程中的相关文档记录或者资料,保存时间不少于十年,年度审计报告和自我评价报告应永久保存,确保内
部控制建立、实施和评价过程的可验证性。第三十二条 内部控制档案严格按照国家和公司的相关规定进行管理,并按公司《档案管理制度》履行借阅、复印、封存、销毁等审批手续。
第六章 附 则第三十三条 本制度未尽事宜,依照国家有关法律、法规、规范性文件的有关规定执行。本制度如与国家日后颁布的法律、法规或经合法程序修改后的《公司章程》相抵触时,按国家有关法律、法规和《公司章程》的规定执行。第三十四条 本制度由公司董事会负责解释。第三十五条 本制度自董事会审议通过之日起实施。