亿帆医药股份有限公司2021年度内部控制评价报告
亿帆医药股份有限公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合亿帆医药股份有限公司(以下简称“公司”或“本公司”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2021年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,公司于2021年12月31日不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。
根据公司非财务报告内部控制重大缺陷认定情况,公司于2021年12月31日未发现非财务报告内部控制重大缺陷。
自2021年12月31日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的主要单位包括:公司及所属公司,纳入评价范围单位资产总额占公司合并财务报表资产总额的99%,营业收入合计占公司合并财务报表营业收入总额的99%。
纳入评价范围的主要业务和事项包括:内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,具体包括公司经营业务涉及的与财务报表相关的内部控制:公司治理、资金管理、采购与付款、销售与收款、投资与筹资、资产管理、研究与开发、工程项目、全面预算、担保业务、财务报告和信息系统。
重点关注的高风险领域主要包括资金风险、采购风险、销售风险、投资与筹资风险、资产管理风险、研发风险、工程项目风险、全面预算风险、担保业务风险。
上述纳入评价范围的单位、业务和事项以及高风险领域涵盖了公司经营管理的主要方面,不存在重大遗漏。
(二)内部控制评价工作依据及内部控制缺陷认定标准
公司依据企业内部控制规范体系组织开展内部控制评价工作。公司董事会根据企业内部控制规范体系对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,区分财务报告内部控制和非财务报告内部控制,研究确定了适用于本公司的内部控制缺陷具体认定标准,并与以前年度保持一致。公司确定的内部控制缺陷认定标准如下:
1、财务报告内部控制缺陷认定标准
(1)公司确定的财务报告内部控制缺陷评价的定量标准如下(按照孰低原则):
| 缺陷等级 缺陷影响 | 重大缺陷 | 重要缺陷 | 一般缺陷 |
| 对财务报告的影响 (错漏报占税后净利润%) | ≥5% | 3%~5% | <3% |
| 直接经济损失占销售收入或资产总额% | ≥1% | 0.5%~1% | <0.5% |
(2)公司确定的财务报告内部控制缺陷评价的定性标准如下:
1)重大缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中的重大错报。出现下列情形之一的,认定为重大缺陷:
a)控制环境无效;
b)公司董事、监事和高级管理人员舞弊并给企业造成重大损失和不利影响;
c)外部审计发现当期财务报告存在重大错报,公司未能首先发现;
d)已经发现并报告给管理层的重大缺陷在合理的时间内未加以改正;
e)公司审计委员会和公司审计部对内部控制的监督无效。
2)重要缺陷:公司财务报告内部控制重要缺陷的定性标准:
a)未按公认会计准则选择和应用会计政策;
b)未建立防止舞弊和重要的制衡制度和控制措施;
c)财务报告过程中出现单独或多项缺陷,虽然未达到重大缺陷认定标准,但影响到财务报告的真实、准确目标。
3)一般缺陷:未构成重大缺陷、重要缺陷标准的其他内部控制缺陷。
2、非财务报告内部控制缺陷认定标准
(1)公司确定的非财务报告内部控制缺陷评价的定量标准如下:
定量标准经营业收入、资产总额作为衡量指标。内部控制缺陷可能导致或导致的损失与利润表有关的,以营业收入指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额超过营业收入1%,则认定为重大缺陷;如果超过营业收入0.5%但小于1%,则为重要缺陷;如果小于营业收入的0.5%,则认定为一般缺陷。
内部控制缺陷可能导致或导致的损失与资产管理相关的,以资产总额指标衡量。如果该缺陷单独或连同其他缺陷可能导致的财务报告错报金额超过资产总额1%,则认定为重大缺陷;如果超过资产总额0.5%但小于1%,则为重要缺陷;如果小于资产总额的0.5%,则认定为一般缺陷。
(2)公司确定的非财务报告内部控制缺陷评价的定性标准如下:
1)非财务报告内部控制重大缺陷,出现下列情形的,认定为重大缺陷:
a)违反国家法律、法规或规范性文件;
b)决策程序不科学导致重大决策失误;
c)重要业务制度性缺失或系统性失效;d)重大或重要缺陷不能得到有效整改;e)安全、环保事故对公司造成重大负面影响的情形;f)其他对公司产生重大负面影响的情形。2)非财务报告内部控制重要缺陷:
a)重要业务制度或系统存在的缺陷;b)内部控制内部监督发现的重要缺陷未及时整改;c)其他对公司产生较大负面影响的情形。3)非财务报告内部控制一般缺陷:
a)一般业务制度或系统存在缺陷;b)内部控制内部监督发现的一般缺陷未及时整改。
(三)内部控制评价工作具体情况
1、内部环境:
(1)公司战略
公司建立战略目标、战略规划与业务计划,并通过管理与控制措施,保证目标的实现。按照远期商业计划设立战略目标和经营计划,指导经营行为。根据政策变化和市场情况,及时调整战略和经营计划。通过定期的预算和经营分析及时掌握市场信息和公司运营情况,做出相应的管理决策和应对措施,指导管理和经营行为。
(2)组织结构与权责分配
公司为有效地计划、协调和控制经营活动,已根据战略发展和经营目标,合理设置了与其相一致的组织结构,明确界定了各部门职责和管理权限,并贯彻不相容职务相分离的原则,形成相互制衡机制。公司指定专门的人员具体负责内部稽核,保证与财务报告相关的内部控制制度的贯彻实施。
(3)治理层的参与
公司章程中明确规定了董事会(含下属委员会)、监事会与股东大会的责任和义务等。治理层积极参与监督公司运营及与财务报告相关的内部控制,并且对其产生重大影响。
(4)管理层基调
公司管理层负责公司的运营策略和程序的制定、执行与监督。公司积极建立公司文化,创造良好的工作环境;关注财务报告相关的内部控制,并对其实施有效地监督。公司实施科学民主的决策机制,严格控制越权行为。建立预防、识别舞弊风险的内部控制措施与程序,预防可能存在的舞弊行为,对违背政策和流程的问题及时有效地处理。
(5)员工行为和道德准则
诚信和道德价值观念是控制环境的重要组成部分,公司一贯重视营造良好氛围。公司人力资源部制定了《员工手册》、《员工岗位标准》,包括仪容仪表、言行举止、工作准则、公司财产使用与维护、正确行使职权、知识产权和保密、雇佣关系、避免利益冲突、信息披露、对外交往、安全问题等。
(6)人力资源政策与实务
公司已建立和实施了科学的人事管理制度,并聘用胜任的人员完成岗位职责范围内的工作。公司管理层高度重视特定工作岗位所需的知识、经验和能力,根据实际工作的需要,展开多种形式的培训,充分考虑公司各职能部门和关键岗位的需要,将公司战略、文化、员工守则、举报机制、财务制度、内部控制、企业信息管理等内容纳入培训,使员工能够胜任目前所处的工作岗位。公司实施有激励效果的薪酬管理,保证员工的工作积极性,完成岗位职责。
(7)信息系统环境
公司运营和财务报告使用了稳定且功能适用的信息系统,致力实现信息化办公。系统功能不仅涵盖立项、合同审批、执行和付款、收款等业务执行与审批,而且支持总账、应收、应付、固定资产、项目和资金等财务操作和处理。系统根据公司授权机制下进行相应设置,支持各流程遵循公司规定严格执行。公司建立并维护信息环境,包括信息规划、信息制度和信息资产管理等,依此对信息系统的开发、变更和信息安全等进行管理。公司提供有效资源保障整个信息系统的正常、有效运行。公司管理层一直重视并推广信息化办公,辅助管理决策。
2、风险评估
风险评估作为内部控制活动的基础,为了达到企业目标而确认和分析相关的风险,包括战略风险、财务风险、市场风险、运营风险、法律风险等。公司建立风险识别机制对内部与外部风险因素进行预期与识别,并采取适当的应对措施。
3、控制活动
企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受范围之内。公司在关键业务流程领域,根据风险水平设计并执行了恰当的控制活动。在资金管理、采购与付款、销售与收款、投资与筹资、资产管理、研究与开发、工程项目、全面预算、担保业务、财务报告和信息系统方面建立了交易授权控制、责任分工控制、凭证与记录控制、资产接触与记录使用控制、独立稽查控制。针对主营业务流程的控制,明确了业务流程层面的主要风险、权限职责要求、关键控制的操作要求等,保证将公司内部控制的要求落实到业务领域。尤其在重点关注的高风险领域,实施了有针对性的控制措施。具体如下:
(1)公司针对资金管理建立了较严格的授权批准程序,办理资金业务的不相容岗位相互分离。公司已按国务院《现金管理暂行条例》明确了现金的使用范围及办理现金收支业务时应遵守的规定。公司已按中国人民银行的相关规定制定了银行存款的结算程序。公司对银行账户的开立和撤销执行审批,对现金定期盘点、对银行账户定期检查,通过内部控制加强资金管理和监督。为了规范募集资金的管理和使用,提高资金使用效率和效益,保护投资者权益,公司按照《公司法》、《证券法》、《深圳证券交易所股票上市规则》及《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作》等有关法律、法规和规范性文件的规定,结合公司实际情况,制定了《公司募集资金管理办法》(以下简称“《管理办法》”)。根据《管理办法》,本公司对募集资金实行专户存储,在银行设立募集资金专户,并连同保荐机构共同签署《募集资金三方监管协议》,明确了各方的权利和义务。公司强化了信息披露工作,要求相关人员加强法律法规再学习,严格履行信息披露义务。
(2)公司合理地规划了采购与付款职能和岗位,通过预算和审批程序,建立了成本费用控制体系,汇总报告成本执行情况。
(3)公司对产品的销售成立职能部门,对立项、合同签订、收款与结算、资料归档等流程采取适当的管理措施。公司将收款责任落实到具体责任人,并将销售回款率作为主要考核指标之一。财务部门设置专门岗位收集现金流和应收账款信息,配合销售部门加强账款回收的管理力度。
(4)为严格控制投资和筹资风险,公司重大投资和筹资决策执行严格审查,
对外投资的权限集中于公司本部,执行集中讨论和审批程序。公司持续加强对重大医药技术购买、研发等投资项目管理,强化对重大投资项目前的市场调研、技术论证、可研性研究等事关产品未来面临的技术风险、市场风险等因素。
(5)公司已建立了实物资产管理的岗位责任制度,能对实物资产的验收、领用发出、保管及处置等关键环节进行控制,采取了职责分工、实物定期盘点、资产记录、账实核对等措施,能够较有效地防止各种实物资产的重大损失。
同时针对不同类别资产(包括商誉)分别制定了相应的《资产减值准备计提及核销管理制度》与《财务内部控制制度—商誉》。其中商誉资产管理制度包括:
购买日商誉确认、资产组认定、商誉合理分摊至资产组或资产组组合的制度,商誉减值迹象的判断、商誉减值测试流程与方法及信息披露的要求。
(6)公司已经建立了研究与开发及重大技术购买的管理制度
公司的新药研发由研发中心归口管理,同时负责药品注册相关事项。公司一直坚持以市场为导向的研发策略,通过多维度论证,谨慎立项,制定了严格的前期市场调查、技术论证、可行性研究、价格谈判、合同签署、资金支付等管理制度。
研发品种注重产品梯队的长、中、短期的合理搭配及研发团队的建设;积极开展技术合作,加大研发投入,加快研发进度,持续评估研发过程中面临的各种不确定因素,降低新产品研发失败和不能如期产生效益的风险。
(7)公司已建立了工程项目管理制度、工程预(结)算管理制度
工程管理中心负责公司的工程项目管理,对工程项目的申报、预算、立项、招标、建设、变更、验收等全过程负责,工程审计部定期或不定期对项目进行检查。工程审计部对工程项目管理进行审计,针对存在问题,提出工程结算、建设资金风险,并要求限期给予整改。
为进一步规范公司工程结算与评审行为,结合公司工程结算审核的实际情况和要求, 防范项目结算管理的风险,将“工程预(结)算管理制度”进行修订,对项目管理的职责要求、资料审核、允许偏差范围等方面都给予明确规定,并发文到各下属子(孙)公司执行;为防范项目资金支付的风险,公司将以前执行的“财务审批实施细则”进行修订,并下发到各下属子(孙)公司执行。
(8)公司已建立了全面预算管理制度
公司的财务部门负责公司预算的编制、执行、考核等全过程的具体工作,各子公司基于上年情况和预计可支配资源合理编制年度预算方案,预算方案编制后各单位将年度预算方案进行分解,并下发实施。各子公司应及时跟踪预算执行情况,对预算执行偏差较大的,及时预警并采取有效措施,确保完成预算目标。各子公司定期分析预算执行情况,并召开经济运行分析会议,提出确保预算目标完成的措施及方案。
(9)公司已建立对外担保管理制度
公司对各级子公司担保实行统一管理,各级子公司原则上不得提供对外担保。各级子公司如需提供对外担保,须报上市公司批准,并经上市公司董事会或股东大会审议通过。
公司对担保实行严格审核管理、财务管理中心、业务部门负责担保初审,董事会秘书及董事会秘书处、法务部负责担保的合规性复核;董事会秘书及董事会秘书处负责董事会或股东大会对担保业务进行审批的信息披露工作。
4、信息沟通
公司建立了内部沟通和外部沟通的常规渠道和机制,保障管理经营信息的有效沟通。采取预算和定期的经营分析及时地计划、了解和应对管理经营事项,并且使管理层决策信息有效传达到执行层面。明确信息披露职责和方式,进行合理授权。
5、监督
公司建立了内部审计机制,通过内部审计职能,对内部控制独立的进行分析、评估、建议等,评价经营活动和内部控制的有效性,为管理层、内部审计委员会和董事会加强内部控制体系的建设和完善,改善经营效率和运作方式提供支持。公司不断加强内部审计机构的职能作用及充实内部审计队伍,为更好的履行其监督职能。公司管理层高度重视监管机构和内部控制的各职能部门的报告及建议,并积极采取措施及时纠正控制运行中产生的偏差。
(四)内部控制缺陷认定及整改情况
1、财务报告内部控制缺陷认定及整改情况
根据上述财务报告内部控制缺陷的认定标准,报告期内公司不存在财务报告内部控制重大缺陷和重要缺陷。
2、非财务报告内部控制缺陷认定及整改情况
根据上述非财务报告内部控制缺陷的认定标准,报告期内未发现公司非财务报告内部控制重大缺陷、重要缺陷。为了适应公司业务快速稳定发展的需要,在保证与财务报告相关的内部控制的有效性的基础上,公司高度重视和关注与公司管理相关的内部控制的优化和提升。具体包括以下几个方面:
1) 进一步提高战略规划和风险管理的功能和效力,积极关注和预测政策变化和市场情况,使公司有充分准备地应对变化情况。
2) 不断提升资金管理和应收账款管理,加速资金流转,优化债务结构。
3) 持续开展培训工作,根据政策、市场和管理要求的变化,学习相关法律法规制度准则,及时更新专业知识,不断提高管理人员的水平和员工相应的工作胜任能力。
4)公司应持续加强对涉及募集资金使用与审批的各关键节点的人员进行相关法律与制度的培训,要求严格按照中国证监会《上市公司监管指引第2号—上市公司募集资金管理和使用的监管要求(2022年修订)》、《深圳证券交易所股票上市规则》、《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作》等相关法律法规及公司《管理办法》的规定使用募集资金。公司强化了信息披露工作,要求相关人员加强法律法规再学习,严格履行信息披露义务。
5) 进一步加强内部审计机构的职能作用及充实内部审计队伍,使其能对合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略等进行更有效的监督。
6) 持续完善内部控制体系的建设,使内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整,提高内部控制制度的执行力,加大内部控制的监督检查力度,提升风险的应对和管控能力,促进公司健康、可持续发展。
7) 持续完善内部完善工程结算项目管理:
a)审计部对工程项目管理进行审计,针对存在问题,提出工程结算、建设资金风险,并要求限期给予整改;
b)为进一步规范公司工程结算与评审行为,结合公司工程结算审核的实际情
况和要求, 防范项目结算管理的风险,将《工程预(结)算管理制度》进行修订,对项目管理的职责要求、资料审核、允许偏差范围等方面都给予明确规定,并发文到各下属子(孙)公司执行;
c) 为防范项目资金支付的风险,公司将以前执行的《财务审批实施细则》进行修订,并下发到各下属子(孙)公司执行;8)持续加强对重大医药技术购买、研发等投资项目管理:
a)强化对重大投资项目前的市场调研、技术论证、可行性研究等事关产品未来面临的技术风险、市场风险等因素,涉及技术购买、委托研发加强对交易对手研发能力的调查与评估;
b)为保证项目研发进展的顺利,应持续及时评估并汇报研发过程中面临的各种不确定因素,以避免或降低研发失败的风险。
四、内部控制有效性的结论
公司董事会认为,公司已经建立起的内部控制体系在完整性、合规性、有效性等方面不存在重大缺陷。但由于内部控制固有的局限性、内部环境以及宏观环境、政策法规持续变化,可能导致原有控制活动不适用或出现偏差,对此公司将及时进行内部控制体系的补充和完善,为财务报告的真实性、完整性,以及公司战略、经营目标的实现提供合理保障。
五、其他内部控制相关重大事项说明
无。
亿帆医药股份有限公司董事会
2022年4月13日