云南白药:云南白药集团股份有限公司内部控制评价管理制度

云南白药集团股份有限公司
内部控制评价管理制度
第一章总则
第一条为规范云南白药集团股份有限公司（以下简称“公司”）内部控制评价管理，根据财政部联合五部委制定的《企业内部控制基本规范及其配套指引》、《企业内部控制评价指引》等法律法规和文件精神，结合公司实际情况制定本制度。
第二条本制度适用于公司各部门、事业部、子公司。
第三条本制度所称的内部控制评价，是指由公司董事
会领导的，风控中心具体组织实施，对内部控制设计和运行的有效性进行全面检查，认定内部控制缺陷、形成评价结论、编制评价报告对外披露的过程。
第四条公司内部控制评价应遵循下列原则：
（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司各部门、事业部、子公司；
（二）重要性原则。评价工作应当在全面评价的基础上
关注重要业务单位、重大业务事项和高风险领域；
（三）客观性原则。评价工作应当准确地揭示经营管理
的风险状况，如实反映内部控制设计与运行的有效性。
1第二章组织架构与职责
第五条公司内部控制领导小组下设内部控制评价工作组，内部控制评价工作组负责全公司内部控制体系运行的专项监督与评价工作。
第六条公司董事会负责内部控制缺陷的最终认定，审定内部控制重大缺陷与重要缺陷整改意见，审批公司《内部控制自我评价报告》。
第七条公司董事会下设的审计委员会在董事会授权下
对内部控制评价工作进行指导，监督内部控制评价情况，审核《内部控制自我评价报告》。
第八条监事会负责审议《内部控制自我评价报告》，对董事会建立与实施内部控制进行监督。
第九条风控中心负责内部控制评价工作的具体组织实施，其职责主要包括：
（一）结合公司董事会的要求，拟定合理评价工作方案，组织成立评价工作组，并认真组织实施；
（二）负责汇总分析内部控制评价结果，跟踪内部控制缺陷的整改落实情况；
（三）对发现的内部控制重大缺陷，有权直接向董事会
及其审计委员会、监事会报告；
（四）负责组织内部控制缺陷的认定，组织编写公司《内部控制自我评价报告》，上报审计委员会审核；
（五）负责指导、监督和检查各部门、事业部、子公司开展的内部控制评价工作；
2（六）配合、协调和沟通外部审计师内部控制审计工作事宜。
第十条公司各部门、事业部、子公司相关职责主要包
括：
（一）负责组织本单位的内部控制自查、测试工作；
（二）配合风控中心开展内部控制评价工作；
（三）对发现的设计和运行缺陷积极配合整改，并将整改情况报送风控中心。
第三章内部控制评价依据和内容第十一条根据财政部等五部委颁布的《企业内部控制基本规范及配套指引》、《企业内部控制评价指引》的要求，对公司层面和业务流程层面内部控制的设计与执行情况进行全面评价。其中，公司层面内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督；业务流程层面具
体涵盖财务报告与信息披露、预算管理、资金管理、筹融资
管理、投资管理、销售管理、采购管理、存货管理、生产管
理、对外担保、资产管理、工程项目管理、信息系统管理等。
第十二条公司组织开展内部环境评价，应当以组织架
构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合公司的制度，对内部环境的设计及实施运行情况进行认定和评价。
第十三条公司组织开展风险评估机制评价，应当以《企业内部控制基本规范及配套指引》有关风险评估的要求，结
3合公司的全面风险管理相关制度对日常经营管理过程中的
风险识别、风险分析、应对策略等进行认定和评价。
第十四条公司组织开展控制活动评价，应当以《企业内部控制基本规范及配套指引》中的控制措施为依据，结合公司的制度，对相关控制措施与流程的设计和运行情况进行认定和评价。
第十五条公司组织开展信息与沟通评价，应当以内部
信息传递、财务报告、信息系统等相关应用指引为依据，结合公司的制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。
第十六条公司组织开展内部监督评价，应当以《企业内部控制基本规范及配套指引》和有关内部监督的要求为依据，结合公司内部审计相关制度，对内部监督机制的有效性进行认定和评价。
第四章内部控制评价的程序和方法
第十七条内部控制评价的主体是公司董事会，董事会
可指定审计委员会来承担对内部控制评价的组织、领导、监督职责，并可通过授权风控中心执行内部控制评价的具体组织实施工作。
第十八条公司内部控制评价程序一般包括：准备阶段、实施阶段、汇总评价结果、编报评价报告阶段、报告反馈和跟踪阶段等环节。风控中心负责内部控制评价的具体组织实
4施工作。
（一）准备阶段
1、制定评价工作方案。风控中心应当拟定评价工作方案，根据公司内部监督情况和管理要求，分析经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制定科学合理的评价工作方案，明确评价范围、工作任务、人员组织、进度安排等相关内容，评价工作方案既以全面评价为主，也可以根据需要采用重点评价的方式。
2、组成内部控制评价工作组。风控中心应当根据评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。
（二）实施阶段
1、了解被评价部门、事业部、子公司基本情况。充分
沟通被评价单位企业文化和发展战略、组织机构设置及职责
分工、领导层成员构成及分工等基本情况；
2、确定检查评价范围和重点。评价工作组根据掌握的
情况进一步确定评价范围、检查重点和抽样数量，并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整；
3、开展现场检查测试。评价工作组根据评价人员分工，
被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内
5部控制缺陷。
（三）汇总评价结果、编制评价报告阶段
1、评价工作组汇总评价结果，对初步确定的内部控制
缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及
风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级；
2、风控中心以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制《内部控制自我评价报告》，并报送审计委员会、董事会和监事会，由董事会最终审定。
（四）报告反馈和跟踪阶段
对于认定的内部控制缺陷，风控中心提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，公司应当追究相关人员的责任。
第十九条内部控制评价主要采用风险基础评价法。首先，要评估相关目标实现的风险；其次，识别和确定公司充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性缺陷，确定内部控制是否有效。
具体测试方法包括：
1、个别访谈法。个别访谈法主要用于了解公司内部控
制的现状，在公司层面评价及业务层面评价的了解阶段使用。
6访谈前应根据内部控制评价需求形成访谈提纲，撰写访谈纪要，记录访谈的内容；
2、调查问卷法。调查问卷法主要用于公司层面评价。
调查问卷应尽量扩大对象范围，包括公司各个层级员工，应注意事先保密性。
3、穿行测试法。穿行测试法是指在内部控制流程中任
意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制流程和控制措施设计的有效性，并识别出关键控制点；
4、抽样法。抽样法分为随机抽样和其他抽样。随机抽
样是指按随机原则从样本库中抽取一定数量的样本，其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本；
5、实地查验法。实地查验法主要针对业务层面控制，
它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试；
6、比较分析法。比较分析法是指通过数据分析，识别
评价关注点的方法。数据分析可以是与历史数据、行业标准数据或行业最优数据等进行比较；
7、专题讨论法。对于同时涉及财务、业务、信息技术
等方面的控制缺陷，综合内部各机构、各方面的意见，研究确定缺陷整改方案；
8、其他方法包括观察、抽查、审阅、重新执行、标杆、
7实际工作经验等方法。
第二十条内部控制评价工作组对被评价单位或部门进
行现场测试，综合运用个别访谈、穿行测试、实地查验、抽样和比较分析等方法，广泛收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。
第二十一条内部控制评价工作应当形成工作底稿，详
细记录公司执行评价工作的内容，包括评价要素、评价标准、评价和测试方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
第五章内部控制缺陷的认定
第二十二条公司在确定内部控制缺陷的认定标准时，应当充分考虑内部控制缺陷的重要性及其影响程度。
第二十三条内部控制缺陷的分类从成因或性质上分为
设计缺陷、执行缺陷、设计和执行缺陷，从与财务报告关系分为财务报告内控缺陷和非财务报告内控缺陷，从程度上分为重大缺陷、重要缺陷、一般缺陷。
（一）重大缺陷是指一个或多个控制缺陷的组合，可能
严重影响公司内部控制的有效性，进而导致公司无法及时防范或发现严重偏离控制目标的情形；
（二）重要缺陷是指一个或多个控制缺陷的组合，其严
重程度虽低于重大缺陷，但仍有较大可能导致公司无法及时防范或发现偏离控制目标的情形，须引起公司董事会和经理
8层的重视与关注；
（三）一般缺陷是指除重大缺陷、重要缺陷之外的其他控制缺陷。
第二十四条公司在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用，内部控制工作组根据测试获取的证据，对内部控制缺陷进行初步判断。
第二十五条内部控制缺陷认定标准的制定包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。
第二十六条财务报告内部控制缺陷认定标准：
（一）定性标准缺陷性质定性标准
发现公司董事、监事和高级管理人员存在舞弊；已经发现并报告给管理层的重大内部控制缺陷在经过合理
的时间后，并未加以改正；控制环境无效；审计委员重大缺陷会和内部审计机构对内部控制的监督无效；影响收益趋势的缺陷；外部审计发现的重大错报不是由公司首先发现的；公司更正已经公布的财务报表。
未按照公认会计准则选择和应用相应会计政策；财务
重要缺陷报告存在重大错报、漏报；非常规或特殊交易账务处理未建立相应控制或未实施相应补偿性措施。
除重大缺陷和重要缺陷外的其他缺陷，归类为一般缺一般缺陷陷。
9（二）定量标准
指标名称重大缺陷定量标准重要缺陷定量标准一般缺陷定量标准
错报≥利润总额的利润总额的3%≤错报错报