云南白药集团股份有限公司内部控制评价管理制度

第一章 总则第一条 为规范云南白药集团股份有限公司（以下简称“公司”）内部控制评价管理，根据财政部联合五部委制定的《企业内部控制基本规范及其配套指引》、《企业内部控制评价指引》等法律法规和文件精神，结合公司实际情况制定本制度。

第二条 本制度适用于公司各部门、事业部、子公司。第三条 本制度所称的内部控制评价，是指由公司董事会领导的，风控中心具体组织实施，对内部控制设计和运行的有效性进行全面检查，认定内部控制缺陷、形成评价结论、编制评价报告对外披露的过程。

第四条 公司内部控制评价应遵循下列原则：

（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖公司各部门、事业部、子公司；

（二）重要性原则。评价工作应当在全面评价的基础上关注重要业务单位、重大业务事项和高风险领域；

（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

第二章 组织架构与职责第五条 公司内部控制领导小组下设内部控制评价工作组，内部控制评价工作组负责全公司内部控制体系运行的专项监督与评价工作。

第六条 公司董事会负责内部控制缺陷的最终认定，审定内部控制重大缺陷与重要缺陷整改意见，审批公司《内部控制自我评价报告》。

第七条 公司董事会下设的审计委员会在董事会授权下对内部控制评价工作进行指导，监督内部控制评价情况，审核《内部控制自我评价报告》。

第八条 监事会负责审议《内部控制自我评价报告》，对董事会建立与实施内部控制进行监督。

第九条 风控中心负责内部控制评价工作的具体组织实施，其职责主要包括：

（一）结合公司董事会的要求，拟定合理评价工作方案，组织成立评价工作组，并认真组织实施；

（二）负责汇总分析内部控制评价结果，跟踪内部控制缺陷的整改落实情况；

（三）对发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告；

（四）负责组织内部控制缺陷的认定，组织编写公司《内

部控制自我评价报告》，上报审计委员会审核；

（五）负责指导、监督和检查各部门、事业部、子公司开展的内部控制评价工作；

（六）配合、协调和沟通外部审计师内部控制审计工作事宜。

第十条 公司各部门、事业部、子公司相关职责主要包括：

（一）负责组织本单位的内部控制自查、测试工作；

（二）配合风控中心开展内部控制评价工作；

（三）对发现的设计和运行缺陷积极配合整改，并将整改情况报送风控中心。

第三章 内部控制评价依据和内容

第十一条 根据财政部等五部委颁布的《企业内部控制基本规范及配套指引》、《企业内部控制评价指引》的要求，对公司层面和业务流程层面内部控制的设计与执行情况进行全面评价。其中，公司层面内部控制包括内部环境、风险评估、控制活动、信息与沟通、内部监督；业务流程层面具体涵盖财务报告与信息披露、预算管理、资金管理、筹融资管理、投资管理、销售管理、采购管理、存货管理、生产管理、对外担保、资产管理、工程项目管理、信息系统管理等。

第十二条 公司组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合公司的制度，对内部环境的设计及实施运行情况进行认定和评价。

第十三条 公司组织开展风险评估机制评价，应当以《企业内部控制基本规范及配套指引》有关风险评估的要求，结

合公司的全面风险管理相关制度对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

第十四条 公司组织开展控制活动评价，应当以《企业内部控制基本规范及配套指引》中的控制措施为依据，结合公司的制度，对相关控制措施与流程的设计和运行情况进行认定和评价。

第十五条 公司组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合公司的制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

第十六条 公司组织开展内部监督评价，应当以《企业内部控制基本规范及配套指引》和有关内部监督的要求为依据，结合公司内部审计相关制度，对内部监督机制的有效性进行认定和评价。

第四章 内部控制评价的程序和方法

第十七条 内部控制评价的主体是公司董事会，董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责，并可通过授权风控中心执行内部控制评价的具体组织实施工作。

第十八条 公司内部控制评价程序一般包括：准备阶段、实施阶段、汇总评价结果、编报评价报告阶段、报告反馈和跟踪阶段等环节。风控中心负责内部控制评价的具体组织实

施工作。

（一）准备阶段

1、制定评价工作方案。风控中心应当拟定评价工作方案，根据公司内部监督情况和管理要求，分析经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制定科学合理的评价工作方案，明确评价范围、工作任务、人员组织、进度安排等相关内容，评价工作方案既以全面评价为主，也可以根据需要采用重点评价的方式。

2、组成内部控制评价工作组。风控中心应当根据评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。

（二）实施阶段

1、了解被评价部门、事业部、子公司基本情况。充分沟通被评价单位企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况；

2、确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量，并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整；

3、开展现场检查测试。评价工作组根据评价人员分工，被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内

部控制缺陷。

（三）汇总评价结果、编制评价报告阶段

1、评价工作组汇总评价结果，对初步确定的内部控制缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级；

2、风控中心以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制《内部控制自我评价报告》，并报送审计委员会、董事会和监事会，由董事会最终审定。

（四）报告反馈和跟踪阶段

对于认定的内部控制缺陷，风控中心提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，公司应当追究相关人员的责任。

第十九条 内部控制评价主要采用风险基础评价法。首先，要评估相关目标实现的风险；其次，识别和确定公司充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性缺陷，确定内部控制是否有效。

具体测试方法包括：

1、个别访谈法。个别访谈法主要用于了解公司内部控制的现状，在公司层面评价及业务层面评价的了解阶段使用。

访谈前应根据内部控制评价需求形成访谈提纲，撰写访谈纪要，记录访谈的内容；

2、调查问卷法。调查问卷法主要用于公司层面评价。调查问卷应尽量扩大对象范围，包括公司各个层级员工，应注意事先保密性。

3、穿行测试法。穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制流程和控制措施设计的有效性，并识别出关键控制点；

4、抽样法。抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本，其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本；

5、实地查验法。实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试；

6、比较分析法。比较分析法是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业标准数据或行业最优数据等进行比较；

7、专题讨论法。对于同时涉及财务、业务、信息技术等方面的控制缺陷，综合内部各机构、各方面的意见，研究确定缺陷整改方案；

8、其他方法包括观察、抽查、审阅、重新执行、标杆、

实际工作经验等方法。

第二十条 内部控制评价工作组对被评价单位或部门进行现场测试，综合运用个别访谈、穿行测试、实地查验、抽样和比较分析等方法，广泛收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

第二十一条 内部控制评价工作应当形成工作底稿，详细记录公司执行评价工作的内容，包括评价要素、评价标准、评价和测试方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。

第五章 内部控制缺陷的认定

第二十二条 公司在确定内部控制缺陷的认定标准时，应当充分考虑内部控制缺陷的重要性及其影响程度。

第二十三条 内部控制缺陷的分类从成因或性质上分为设计缺陷、执行缺陷、设计和执行缺陷，从与财务报告关系分为财务报告内控缺陷和非财务报告内控缺陷，从程度上分为重大缺陷、重要缺陷、一般缺陷。

（一）重大缺陷是指一个或多个控制缺陷的组合，可能严重影响公司内部控制的有效性，进而导致公司无法及时防范或发现严重偏离控制目标的情形；

（二）重要缺陷是指一个或多个控制缺陷的组合，其严重程度虽低于重大缺陷，但仍有较大可能导致公司无法及时防范或发现偏离控制目标的情形，须引起公司董事会和经理

层的重视与关注；

（三）一般缺陷是指除重大缺陷、重要缺陷之外的其他控制缺陷。

第二十四条 公司在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用，内部控制工作组根据测试获取的证据，对内部控制缺陷进行初步判断。

第二十五条 内部控制缺陷认定标准的制定包括财务报告内控缺陷认定标准和非财务报告内控缺陷认定标准两类。

第二十六条 财务报告内部控制缺陷认定标准：

（一）定性标准

（二）定量标准

第二十七条 非财务报告内部控制缺陷认定标准：

（一）定性标准

（二）定量标准

第六章 内部控制自我评价报告第二十八条 风控中心应当根据内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照《企业内部控制基本规范及其配套指引》和本制度，并参照相关监管部门的通知、指引等，及时编制公司《内部控制自我评价报告》。

第二十九条 公司《内部控制自我评价报告》应当分内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容做出披露。

第三十条 《内部控制自我评价报告》至少应当披露下列内容：

（一）董事会对《内部控制自我评价报告》真实性的声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏；

（二）内部控制评价工作的总体情况。明确内部控制评价工作的组织、进度安排等；

（三）内部控制评价的依据。说明开展内部控制评价工作所依据的法律法规和规章制度；

（四）内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对《内部控制自我评价报告》真实完整性产生的重大影响等；

（五）内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法；

（六）内部控制缺陷及其认定情况。描述适用本公司的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因：根据内部控制缺陷认定标准，确定

评价期末存在的重大缺陷、重要缺陷和一般缺陷；

（七）内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明公司有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果；

（八）内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得做出内部控制有效的结论，并描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产经营带来相关风险。自《内部控制自我评价报告》基准日至《内部控制自我评价报告》发出日之间发生重大缺陷的，公司内部控制评价小组予以核实，并根据核查结果对评价结论进行相应调整，说明董事会采取的措施。

第三十一条 公司一般以12月31日作为年度《内部控制自我评价报告》的基准日。

第三十二条 《内部控制自我评价报告》需经公司董事会批准，对外披露按相关程序要求办理。在对外披露前，风控中心应关注《内部控制自我评价报告》基准日（12月31日）至《内部控制自我评价报告》发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度决定是否对报告内容进行相应调整。评价报告内容一经调整，需履行原有审批程序后才可正式生效。

第三十三条 内部控制评价的有关文件资料，包括评价

方案、工作底稿和相关支持性证据、缺陷汇总表等应当根据相关管理制度要求妥善归档及保管，保存时间不少于10年。

第七章 内部控制缺陷的整改第三十四条 对于重大缺陷和重要缺陷及整改方案，应向管理层、董事会（或审计委员会）、监事会报告并审定。如果出现不适合向管理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，或存在管理层凌驾于内部控制之上的情形，应当直接向董事会、监事会报告。

公司对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

第三十五条 对公司在日常监督、专项监督和年度评价工作中发现的内部控制缺陷，由风控中心下发管理建议书，相关部门按照管理建议书要求限期整改。

第八章 附则

第三十六条 本制度自董事会审议通过之日起执行。

第三十七条 本制度由公司风控中心负责解释。