天目药业(600671)_公司公告_天目药业：内部控制纲要(2025年8月修订)_公司公告

天目药业：内部控制纲要(2025年8月修订)（下载公告）
公告日期:2025-08-28
杭州天目山药业股份有限公司…………………………………………………………第1页杭州天目山药业股份有限公司内部控制纲要（2025年8月修订）第一章总则第一条为规范我公司及下属子公司、控股其他实体的内部控制管理行为，提高公司经营管理水平和风险防范能力，促进企业可持续发展，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》、中国《企业内部控制基本规范》及相关应用指引等有关法律、法规的规定和《杭州天目山药业股份有限公司章程》的规定，特制定本纲要。第二条本纲要所称内部控制，是指由企业董事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。第三条除股东会制定文件外，公司及下属各部门、单位或公司控股的其他实体（以下简称“公司及下属单位”）制定一切管理性规范（以下简称“公司其他规定”），均应当符合本纲要的基本规定或精神，充分考虑具体业务中内部控制制度的完善。第四条公司及下属单位在规划具体业务和针对具体业务制定管理制度时，应当根据本纲要设计相关内部控制。设计内部控制必须遵循以下基本原则： 1.适应性原则。内部控制应当与公司及下属单位的经营规模或具杭州天目山药业股份有限公司…………………………………………………………第2页体业务的规模、业务范围、竞争状况、业务主要风险及风险水平等相适应，并随着情况的变化及时加以调整。 2.全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖公司及下属单位或具体业务的各项业务或事项、各个流程、各个方面、以及各覆盖期间。 3.重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。 4.制衡性原则。内部控制应当在治理结构、机构设置、岗位分工及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。 5、成本效益原则。内部控制的预期设计和实施成本，应当小于预期可获得的收益；应当以适当的成本实现有效控制。 6.风险防范导向原则。内部控制应当以防范重大风险为导向；重大风险包括错误风险和舞弊风险，也包括内部风险和外部风险、业务设计风险和业务执行风险、项目自身风险和项目实施对其他项目或企业整体的风险、经济风险和法律风险及技术风险等。 7.激励导向原则。内部控制应当能激励各部门和员工的工作积极性、激发各部门和员工的创造性。第五条建立与实施有效的内部控制，应当包括下列要素： 1.内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置、岗位分工及权责分配、内部审计、人力资源政策、企业文化等。杭州天目山药业股份有限公司…………………………………………………………第3页 2.风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 3.控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 4.信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 5.内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第六条本纲要未作规定、或者公司其他规定不违背本纲要的，执行公司其他规定；公司其他规定内容与本纲要有冲突的，执行本纲要规定或规则。本纲要规定或规则与公司股东会议定的规则或制度相冲突的，执行股东会议定的规则或制度，但股东会议定的规则或制度违法的除外。第七条公司内部审计机构负责监控评审本纲要的适用性，如果发现有本纲要规定或规则与相关国家法规、政府规章、行业规范相冲突，应当及时研究提出本纲要的修订案，提交公司董事会审计委员会决议。公司其他部门或单位、人员如果发现有本纲要规定或规则与相关国家法规、政府规章、行业规范相冲突，应当及时报告公司内部审计机构。杭州天目山药业股份有限公司…………………………………………………………第4页第二章内部环境第八条公司按照《中华人民共和国公司法》和《杭州天目山药业股份有限公司章程》规定，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。股东会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东会负责，依法行使企业的经营决策权。董事会下设提名委员会、战略委员会、薪酬与考核委员会、审计委员会四个专门委员会和董事会秘书；公司聘请法律顾问，法律顾问关系归属董事会办公室。董事会按相关国家法规设立独立董事职位。经理层负责组织实施股东会、董事会决议事项，主持企业的生产经营管理工作。经理层负责除审计部以外的公司其他职能部门和各子（分）公司的日常运营。除审计部以外的公司其他职能部门包括采购、生产、营销、财务、运营管理、风控法务等。审计部直接归属董事会审计委员调配和管理，直接向董事会审计委员会负责和报告工作。第九条董事会负责内部控制的建立健全和有效实施。经理层负责组织领导企业内部控制的日常运行。董事会审计委员会负责组织协调内部控制的建立和实施、以及审查和评价公司内部控制。审计部在董事会审计委员会的直接领导下负责对企业内部控制进行日常监督、检查和评价。内部审计机构对监督检查中发现的内部杭州天目山药业股份有限公司…………………………………………………………第5页控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会报告。第十条公司董事会各专门委员会及其主任委员，应当至少每年一次向董事会、股东会或职工大会、公司管理工作大会报告其完成的主要工作和自我工作评价。第十一条公司倡导遵纪守法、诚实守信、爱岗敬业、勇担责任、回报社会、开拓创新和团队协作精神，各部门和单位、员工，应当树立现代法治观念和现代管理理念，强化风险意识。第十二条公司及下属单位应当制定、实施和不断完善相关内部管理制度。公司至少应制定、实施和不断完善以下基本制度：（一）公司治理基本制度，至少应当包括： 1.1.1公司内部控制纲要，以为公司设立组织机构、设定管理岗位、配备管理人员、制定管理制度、规范管理行为等提供依据和指导，防范因管理制度不完整、不合理、不规范等而导致公司运营效率低、管理混乱等风险。 1.1.2公司组织架构，以明确公司组织机构、岗位分工、管理体制和运行机制，防范因内部机构设置不科学、权责分配不合理而导致公司缺乏良性运行机制和执行力，运行效率低下等风险。 1.2.1股东会工作细则，以规范公司股东会的工作程序和行为方式。 1.2.2董事会议事规则，以规范公司董事会的议事方式和决策程序，促使董事和董事会有效地履行其职责，提高董事会规范运作和科杭州天目山药业股份有限公司…………………………………………………………第6页学决策水平。 1.3董事会各专门委员会、独立董事、董事会秘书工作制度，包括提名委员会工作细则、战略委员会工作细则、薪酬与考核委员会工作细则、审计委员会工作细则、董事会秘书工作制度、独立董事制度等，以规范公司董事的产生，优化董事会组成，完善公司治理结构，加强公司决策和管理的科学性，促使公司董事有效地履行职责和提高工作效率，确保公司核心竞争力得以持续强化。 1.4公司经理工作制度，包括总经理工作细则、公司管理人员职业道德和职务行为守则基本规定等，以规范公司高级管理人员的产生，优化公司经理组成，促使公司高级管理人员有效地履行职责，确保公司员工遵纪守法、诚实信用、忠于职守、勤勉敬业，防范职工舞弊等风险。 1.5子公司和控股企业实体管理制度，以理顺与子公司或控股企业实体的关系，加强对子公司的管理，维护公司总体形象和投资利益。 1.6关联交易决策等基本制度，加强公司关联交易管理，保证公司与关联方之间订立的关联交易合同符合公平、公开、公允的原则，确保公司关联交易行为不损害公司、全体股东和债权人的利益，防范关联交易违法风险。 1.7内部审计与监察制度，以确保公司内部控制得以有效实施和不断完善，防范内部控制设计不合理、未一贯运行、部分人凌驾于公司内部控制之上等风险。（二）公司生产经营管理基本制度，至少应当包括：杭州天目山药业股份有限公司…………………………………………………………第7页 2.1.1信息披露管理制度，包括公司信息披露基本制度、内幕信息知情人管理制度、信息披露暂缓与豁免管理制度、投资者关系管理规定等，以确保公司与外部的信息与沟通渠道畅通、信息传递准确有序高效，防范因信息传递不通畅、不准确、不及时而导致外部对公司产生重大误解，因信息传递中泄露商业秘密而削弱企业核心竞争力等风险。 2.1.2内部沟通制度，如重大事项报告制度等，以确保公司内部的信息与沟通渠道畅通、信息传递准确有序高效，防范因报告系统缺失、功能不健全、内容不完整而影响生产经营有序运行，因信息传递不通畅、不及时而导致决策失误、相关政策措施难以落实等风险。 2.2公司战略、创新、风险管理制度，以为公司及下属单位确立经营目标、制定经营管理方案、编制经营管理计划等提供依据和指导，防范公司盲目发展或缺乏发展动力、发展战略频繁变动危及企业生存、不能形成竞争优势等风险。 2.3合同管理制度，以规范公司合同行为，防范因合同内容存在重大疏漏和欺诈、合同未全面履行或监控不当、合同纠纷处理不当等原因而导致公司合法权益受到侵害、诉讼失败、经济利益及信誉和形象受损等风险。 2.4全面预算管理制度，以确保公司一定期间内的全部生产经营活动按计划协调一致、低成本高效率进行，防范公司经营管理活动不协调、运行成本高效率低下、经营缺乏约束或盲目经营、资源浪费、经营目标和发展战略难以实现、预算管理流于形式等风险。杭州天目山药业股份有限公司…………………………………………………………第8页 2.5.1财务管理制度，以保证财务安全高效，防范因筹资或投资决策失误、资金调度不合理、资金活动管控不严、成本费用控制不当等原因而导致企业筹资成本过高、债务危机、资金链断裂或陷入财务困境、资金冗余或资金使用效益低下、资金被挪用侵占或遭受欺诈等风险。 2.5.2会计制度，以保证会计核算准确及时，防范因提供虚假或错误的财务报告、不能有效利用财务报告等原因而导致决策失误、财务和经营风险失控、承担法律责任、声誉受损等风险。 2.6.1资产管理制度，以提高资产使用效能，保证资产安全，防范生产中断、安全事故频发、存货积压或短缺、固定资产更新改造不够和使用效能低下、产能过剩或资源浪费、资产维护不当、资产价值贬损、技术落后或存在重大技术安全隐患、无形资产缺乏核心技术、公司整体资产缺乏可持续发展能力等风险。 2.6.2安全生产规范，以确保公司生产安全和产品质量、按计划有序生产，防范重大安全生产事故、重大产品质量事件、严重生产中断等风险。 2.7人力资源政策与管理制度，以确保企业能以低成本及时获得合格人力资源，确保人力资源激励约束机制合理高效，防范因人力资源缺乏或过剩、结构不合理、开发机制不健全、退出机制不当、员工权益保护不够等原因而公司经营效率低下、关键技术或商业秘密泄露、劳动法律诉讼失败、员工积极性受挫、企业声誉受损等风险。 2.8采购与付款制度，以确保科学采购和合理付款，防范过度采杭州天目山药业股份有限公司…………………………………………………………第9页购或采购不及时、采购物资质次价高、资金损失或信用受损、出现舞弊或遭受欺诈等风险。 2.9销售与收款制度，以确保销售稳定增长和市场份额不断扩大、产品及时销售和货款及时回笼，防范产品积压、应收销货款坏账或遭受欺诈等风险。（三）公司常见重大业务基本管理制度，至少应当包括： 3.1工程项目管理制度，以加强工程项目管理，提高工程质量，保证工程进度，控制工程成本，防范因决策不当、商业贿赂或招标暗箱操作、工程造价信息不对称、技术方案未落实、概预算脱离实际、工程监理不到位、项目资金未落实、竣工验收不规范等原因而导致项目失败或难以实现预期效益、项目投资失控、工程质量低劣、进度延迟或中断、工程交付使用后存在重大隐患、人员涉案等风险。 3.2担保业务管理制度，以规范公司对外担保行为，防范因对担保申请人的资信状况调查不深、审批不严或越权审批、对被担保人出现财务困难或经营陷入困境等状况监控不力、担保过程中存在舞弊行为等原因而导致公司承受担保赔偿损失、遭受欺诈、相关人员涉案等风险。 3.3研发管理制度，以促进企业自主创新，增强核心竞争力，防范因研究项目未经科学论证或论证不充分可能导致创新不足或资源浪费、研发人员配备不合理或研发过程管理不善可能导致研发成本过高及舞弊或研发失败、研究成果转化应用不足和保护措施不力可能导致企业利益受损等风险。杭州天目山药业股份有限公司…………………………………………………………第10页 3.4信息系统建设与管理制度，以促进企业有效实施内部控制，提高企业现代化管理水平，减少人为因素对企业内部控制实施的影响，防范因信息系统缺乏或规划不合理、系统开发不符合内部控制要求、授权管理不当、系统运行维护和安全措施不到位等原因而导致公司无法利用信息技术实施有效控制、经营管理效率低下等风险。（四）其他管理制度第十三条公司应通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。第十四条公司董事会薪酬与考核委员会、公司经理及人力资源部门，应当负责制定、实施和不断完善有利于企业可持续发展的人力资源政策；其他部门和单位应当给予必要的支持和积极配合。人力资源政策应当包括下列内容：（一）员工的聘用、培训、辞退与辞职。（二）员工的薪酬、考核、晋升与奖惩。（三）关键岗位员工的强制休假制度和定期岗位轮换制度。（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。（五）有关人力资源管理的其他政策。第十五条公司及下属单位应当加强企业文化建设，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，引导诚实守信、积极向上、开拓创新、团队协作、重视风险的企业文化，不断提升员工素质，防范员工丧失对企业的信杭州天目山药业股份有限公司…………………………………………………………第11页心和认同感、管理层缺乏经营理念、舞弊事件频繁发生或发生大规模的集体舞弊事件等风险。第三章风险识别、评估与应对第十六条公司及下属单位和员工，应当结合不同发展阶段和业务拓展情况，根据其工作目标和任务，设定控制目标和相应的风险承受度，全面系统持续地收集相关信息，结合实际情况，及时进行风险识别与评估、风险分析，及时调整风险应对策略和进行风险应对。风险承受度是公司、下属单位或部门、员工个人能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平；当公司、下属单位或部门、员工个人的风险承受度水平不一致时，应当选择最低者。第十七条公司及下属单位和员工，应当在事前和事中准确识别与实现控制目标相关的内部风险和外部风险。第十八条识别内部风险应当关注下列因素：（一）相关负责人及执行人员和监管人员的职业操守、专业胜任能力等人力资源因素。（二）组织机构、岗位设置、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。杭州天目山药业股份有限公司…………………………………………………………第12页第十九条识别外部风险应当关注下列因素：（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。第二十条识别风险后，应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。第二十一条在风险分析后，应当根据风险分析的结果，结合风险承受度，权衡风险与收益，应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。制定风险应对策略，应当合理分析、准确掌握相关负责人员、执行人员和关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给公司经营带来重大损失。风险规避是对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。杭州天目山药业股份有限公司…………………………………………………………第13页风险降低是在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。第二十二条董事会战略委员会应当定期识别和评估公司战略层面的风险和重大投资项目风险，检查相应的风险应对策略的适用性；公司经理层应当定期识别和评估公司运营整体层面的风险和重大业务风险，检查相应的风险应对策略的适用性；各职能部门应当定期识别和评估职能范围内业务或事项的风险，检查相应的风险应对策略的适用性。遇有重大业务或事项时，应当组织相关部门或单位、人员进行识别和评估，根据风险分析结果提出适当的风险应对策略。第四章控制活动第二十三条公司及下属单位和员工，应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第二十四条公司及下属单位应当全面系统地分析、梳理业务流杭州天目山药业股份有限公司…………………………………………………………第14页程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。不相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与记录和监督检查等。通常，应当按照一级业务流程和职能划分出不相容职务，并据此设立部门（中心）级职能机构；按照二级子业务流程和职能分出不相容职务，并据此设立科（室）级职能机构；按照三级子业务流程和职能分出不相容职务，并据此设立组级职能机构；按照最小关键不相容职务设立岗位。应当对各部门各级机构和岗位的职能进行科学合理的定位，确定其名称、具体职责和工作要求等，明确各部门各级机构和岗位的权限和相互关系。应当制定公司及下属单位的组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。第二十五条公司及下属单位应当设立授权审批控制制度，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。各级管理人员应当在授权范围内行使职权和承担责任。授权分为常规授权和特别授权。常规授权是指在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指在特殊情况、特定条件下进行的授权。公司及下属单位应当在相关规范或制度文件中明确特别授权的杭州天目山药业股份有限公司…………………………………………………………第15页范围、权限、程序和责任，严格控制特别授权。对于公司发展战略调整、新产品研发或上线、主要资产购置或处置、重大融资和投资、重大担保、重要人事任免、重大合同签订、大额资金支付或使用、重要工程项目招标与决算和结算、全面预算方案、关键内部控制体系建设、公司组织架构调整、重要人力资源政策变更、重大人力资源计划、重要财务政策和会计政策变更、原材料采购和产品销售政策或方案变更等重大业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。第二十六条公司及下属单位应当根据需要依法设置会计机构、配备会计人员、设立会计账簿和进行会计核算。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。财务会计核算应当严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。第二十七条公司及下属单位应当建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。严格限制未经授权的人员接触和处置财产。第二十八条公司及下属单位应当实施和不断完善全面预算管理制度，明确各责任单位在预算管理中的职责权限、授权批准程序杭州天目山药业股份有限公司…………………………………………………………第16页和工作协调机制，强化预算约束。公司设立预算管理委员会履行全面预算管理职责。其具体职责主要是负责拟定预算目标和预算政策，制定预算管理的具体措施和办法，组织编制、平衡预算草案，下达经批准的预算，协调解决预算编制和执行中的问题，考核预算执行情况，督促完成预算目标。其成员由公司总经理或总经理授权人员、以及除审计部门以外的职能部门和子（分）公司负责人组成。预算管理委员会下设预算管理工作机构，由其履行日常预算管理职责。预算管理工作机构一般设在财会部门。财务总监或者分管会计工作的副总经理协助总经理或总经理授权人员负责全面预算管理工作的组织领导。预算管理委员会应当建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学。预算管理工作机构应当为各级各部门或单位编制全面预算提供工作底稿等预算编制工具。财务及其他相关部门和单位，应当及时按要求提供编制全面预算所需要的资料和数据、信息。各级各部门或单位负责编制本部门或单位的预算草案。公司及下属单位应当根据公司发展战略和年度生产经营目标，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，采用固定预算、弹性预算、滚动预算等适当的方法，在预算年度开始前完成全面预算草案的编制工作。预算管理委员会应当对预算管理工作机构在综合平衡基础上提杭州天目山药业股份有限公司…………………………………………………………第17页交的预算方案进行研究论证，从公司发展全局角度提出建议，形成全面预算草案，提交总经理办公会审议，董事长审批。全面预算草案经董事长批准后，即为正式全面预算，应当以公司文件形式下达执行。董事长审核全面预算草案，应当重点关注预算科学性和可行性，确保全面预算与企业发展战略、年度生产经营计划相协调。公司及下属单位应当落实预算执行责任制，确保预算刚性，严格预算执行。对于工程项目、对外投融资等重大预算项目，相关部门和单位应当密切跟踪其实施进度和完成情况，实行严格监控。公司及下属单位应当以年度预算作为组织、协调各项生产经营活动的基本依据，将年度预算细分为季度、月度预算，通过实施分期预算控制，实现年度预算目标。预算管理工作机构应当加强与各预算执行单位的沟通，监控预算执行情况，采用恰当方式及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响，促进全面预算目标的实现。预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度，定期召开预算执行分析会议，通报预算执行情况，研究、解决预算执行中存在的问题，提出改进措施。公司应当建立科学的预算执行考核方法和严格的预算执行考核制度，按照公开、公平、公正原则，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。杭州天目山药业股份有限公司…………………………………………………………第18页第二十九条公司及下属单位应当建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过适用的分析方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。第三十条公司及下属单位应当建立和实施绩效考评制度，科学设置考核指标体系，对公司各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第三十一条公司及下属单位应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。特别是要建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。第五章信息与沟通第三十二条公司及下属单位应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保公司生产经营管理信息在内部各管理层级之间的有效沟通和充分利用，促进内部控制有效运行。第三十三条公司及下属单位应当通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；通过行业协会组织、社会中介机构、业务往来单位、市场杭州天目山药业股份有限公司…………………………………………………………第19页调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。公司及下属单位应当特别关注市场环境、政策变化等外部信息对公司生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到公司内部相关管理层级，以便采取应对策略。公司及下属单位应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。第三十四条公司及下属单位应当根据发展战略和经营管理目标、风险控制和业绩考核要求，本着与全面预算管理相结合原则和成本效益原则，科学规范不同级次内部报告的指标体系，采用适当的形式，全面反映与公司生产经营管理相关的各种内外部信息。内部报告应当简洁明了、通俗易懂、传递及时，便于公司各管理层级和全体员工掌握相关信息，正确履行职责。第三十五条公司及下属单位应当制定严密的内部报告流程，将内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间，以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。重要信息应当及时上报，并可以直接报告董事会、经理层或者高级管理人员。公司及下属单位应当建立内部报告审核制度，确保内部报告信息质量。对于信息沟通过程中发现的问题，应当及时报告并加以解决。第三十六条公司将创造条件，充分利用信息技术，强化内部报杭州天目山药业股份有限公司…………………………………………………………第20页告信息集成和共享，将内部报告纳入公司的统一信息平台，构建科学的内部报告网络体系，充分发挥信息技术在信息与沟通中的作用。第三十七条公司及下属单位应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。第三十八条公司及下属单位应当重视和加强反舞弊机制建设，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。第三十九条公司及下属单位至少应当将下列情形作为反舞弊工作的重点：（一）未经授权或者采取其他不法方式侵占、挪用公司资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。第四十条公司及下属单位应当通过设立员工信箱、投诉热线等方式，鼓励员工及其他利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损公司形象的行为。第四十一条公司及下属单位应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。杭州天目山药业股份有限公司…………………………………………………………第21页举报投诉制度和举报人保护制度应当及时传达至全体员工。第四十二条公司及下属单位管理人员应当充分利用内部报告管理和指导公司的生产经营活动，及时反映全面预算执行情况，协调公司内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保公司实现发展目标。第四十三条公司及下属单位应当有效利用内部报告进行风险评估，准确识别和系统分析公司生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。公司及下属单位对于内部报告反映出的问题应当及时解决；涉及突出问题和重大风险的，应当启动应急预案。第四十四条公司及下属单位应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。第四十五条公司及下属单位应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。第四十六条公司及下属单位应当加强内部信息传递管理，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等，促进内部报告的有效利用，充分发挥内部报告的作用。第六章内部监督杭州天目山药业股份有限公司…………………………………………………………第22页第四十七条公司及下属单位应当根据本纲要制定内部控制监督制度，明确各管理机构和人员在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一方面或者某些方面进行有针对性的监督检查和评价。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。第四十八条公司及下属单位应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。公司及下属单位应当跟踪其下属机构的内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。第四十九条公司及下属单位应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由各级管理机构或单位根据经营业务调整、经营环境变化、业务发展状况、实际杭州天目山药业股份有限公司…………………………………………………………第23页风险水平等自行确定，报上级主管部门或领导审批。第五十条公司及下属单位应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。第五十一条公司内部审计机构对公司及下属单位内部控制防范相关风险的能力进行随时的检查和评价；监察机构对公司及下属单位和关键人员履行风险分析职责情况进行监督和评价。第七章附则第五十二条本纲要经公司董事会审议通过、股东会批准后实施，为公司治理的指导性文件。第五十三条如本纲要存在与国家有关法律、法规不一致的内容，以国家法律、法规为准。第五十四条如本纲要存在与公司章程不一致的内容，在公司章程修改前，以《公司章程》为准。第五十五条当国家有关法律、法规、公司章程修改，或其他需要修改的情况时，本纲要由董事会提出修改方案，提交股东会审议。第五十六条本纲要由公司董事会负责解释。
附件： ↘公告原文阅读

杭州天目山药业股份有限公司…………………………………………………………第1页

杭州天目山药业股份有限公司

内部控制纲要

（2025年8月修订）

第一章总则第一条为规范我公司及下属子公司、控股其他实体的内部控制管理行为，提高公司经营管理水平和风险防范能力，促进企业可持续发展，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》、中国《企业内部控制基本规范》及相关应用指引等有关法律、法规的规定和《杭州天目山药业股份有限公司章程》的规定，特制定本纲要。

第二条本纲要所称内部控制，是指由企业董事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

第三条除股东会制定文件外，公司及下属各部门、单位或公司控股的其他实体（以下简称“公司及下属单位”）制定一切管理性规范（以下简称“公司其他规定”），均应当符合本纲要的基本规定或精神，充分考虑具体业务中内部控制制度的完善。

第四条公司及下属单位在规划具体业务和针对具体业务制定管理制度时，应当根据本纲要设计相关内部控制。设计内部控制必须遵循以下基本原则：

1.适应性原则。内部控制应当与公司及下属单位的经营规模或具

杭州天目山药业股份有限公司…………………………………………………………第2页

体业务的规模、业务范围、竞争状况、业务主要风险及风险水平等相适应，并随着情况的变化及时加以调整。

2.全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖公司及下属单位或具体业务的各项业务或事项、各个流程、各个方面、以及各覆盖期间。

3.重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

4.制衡性原则。内部控制应当在治理结构、机构设置、岗位分工及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

5、成本效益原则。内部控制的预期设计和实施成本，应当小于预期可获得的收益；应当以适当的成本实现有效控制。

6.风险防范导向原则。内部控制应当以防范重大风险为导向；重大风险包括错误风险和舞弊风险，也包括内部风险和外部风险、业务设计风险和业务执行风险、项目自身风险和项目实施对其他项目或企业整体的风险、经济风险和法律风险及技术风险等。

7.激励导向原则。内部控制应当能激励各部门和员工的工作积极性、激发各部门和员工的创造性。

第五条建立与实施有效的内部控制，应当包括下列要素：

1.内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置、岗位分工及权责分配、内部审计、人力资源政策、企业文化等。

杭州天目山药业股份有限公司…………………………………………………………第3页

2.风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

3.控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

4.信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

5.内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

第六条本纲要未作规定、或者公司其他规定不违背本纲要的，执行公司其他规定；公司其他规定内容与本纲要有冲突的，执行本纲要规定或规则。

本纲要规定或规则与公司股东会议定的规则或制度相冲突的，执行股东会议定的规则或制度，但股东会议定的规则或制度违法的除外。

第七条公司内部审计机构负责监控评审本纲要的适用性，如果发现有本纲要规定或规则与相关国家法规、政府规章、行业规范相冲突，应当及时研究提出本纲要的修订案，提交公司董事会审计委员会决议。公司其他部门或单位、人员如果发现有本纲要规定或规则与相关国家法规、政府规章、行业规范相冲突，应当及时报告公司内部审计机构。

杭州天目山药业股份有限公司…………………………………………………………第4页

第二章内部环境第八条公司按照《中华人民共和国公司法》和《杭州天目山药业股份有限公司章程》规定，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

股东会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

董事会对股东会负责，依法行使企业的经营决策权。董事会下设提名委员会、战略委员会、薪酬与考核委员会、审计委员会四个专门委员会和董事会秘书；公司聘请法律顾问，法律顾问关系归属董事会办公室。董事会按相关国家法规设立独立董事职位。

经理层负责组织实施股东会、董事会决议事项，主持企业的生产经营管理工作。经理层负责除审计部以外的公司其他职能部门和各子（分）公司的日常运营。除审计部以外的公司其他职能部门包括采购、生产、营销、财务、运营管理、风控法务等。审计部直接归属董事会审计委员调配和管理，直接向董事会审计委员会负责和报告工作。

第九条董事会负责内部控制的建立健全和有效实施。经理层负责组织领导企业内部控制的日常运行。

董事会审计委员会负责组织协调内部控制的建立和实施、以及审查和评价公司内部控制。

审计部在董事会审计委员会的直接领导下负责对企业内部控制进行日常监督、检查和评价。内部审计机构对监督检查中发现的内部

杭州天目山药业股份有限公司…………………………………………………………第5页

控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会报告。第十条公司董事会各专门委员会及其主任委员，应当至少每年一次向董事会、股东会或职工大会、公司管理工作大会报告其完成的主要工作和自我工作评价。第十一条公司倡导遵纪守法、诚实守信、爱岗敬业、勇担责任、回报社会、开拓创新和团队协作精神，各部门和单位、员工，应当树立现代法治观念和现代管理理念，强化风险意识。

第十二条公司及下属单位应当制定、实施和不断完善相关内部管理制度。公司至少应制定、实施和不断完善以下基本制度：

（一）公司治理基本制度，至少应当包括：

1.1.1公司内部控制纲要，以为公司设立组织机构、设定管理岗位、配备管理人员、制定管理制度、规范管理行为等提供依据和指导，防范因管理制度不完整、不合理、不规范等而导致公司运营效率低、管理混乱等风险。

1.1.2公司组织架构，以明确公司组织机构、岗位分工、管理体制和运行机制，防范因内部机构设置不科学、权责分配不合理而导致公司缺乏良性运行机制和执行力，运行效率低下等风险。

1.2.1股东会工作细则，以规范公司股东会的工作程序和行为方式。

1.2.2董事会议事规则，以规范公司董事会的议事方式和决策程序，促使董事和董事会有效地履行其职责，提高董事会规范运作和科

杭州天目山药业股份有限公司…………………………………………………………第6页

学决策水平。

1.3董事会各专门委员会、独立董事、董事会秘书工作制度，包括提名委员会工作细则、战略委员会工作细则、薪酬与考核委员会工作细则、审计委员会工作细则、董事会秘书工作制度、独立董事制度等，以规范公司董事的产生，优化董事会组成，完善公司治理结构，加强公司决策和管理的科学性，促使公司董事有效地履行职责和提高工作效率，确保公司核心竞争力得以持续强化。

1.4公司经理工作制度，包括总经理工作细则、公司管理人员职业道德和职务行为守则基本规定等，以规范公司高级管理人员的产生，优化公司经理组成，促使公司高级管理人员有效地履行职责，确保公司员工遵纪守法、诚实信用、忠于职守、勤勉敬业，防范职工舞弊等风险。

1.5子公司和控股企业实体管理制度，以理顺与子公司或控股企业实体的关系，加强对子公司的管理，维护公司总体形象和投资利益。

1.6关联交易决策等基本制度，加强公司关联交易管理，保证公司与关联方之间订立的关联交易合同符合公平、公开、公允的原则，确保公司关联交易行为不损害公司、全体股东和债权人的利益，防范关联交易违法风险。

1.7内部审计与监察制度，以确保公司内部控制得以有效实施和不断完善，防范内部控制设计不合理、未一贯运行、部分人凌驾于公司内部控制之上等风险。

（二）公司生产经营管理基本制度，至少应当包括：

杭州天目山药业股份有限公司…………………………………………………………第7页

2.1.1信息披露管理制度，包括公司信息披露基本制度、内幕信息知情人管理制度、信息披露暂缓与豁免管理制度、投资者关系管理规定等，以确保公司与外部的信息与沟通渠道畅通、信息传递准确有序高效，防范因信息传递不通畅、不准确、不及时而导致外部对公司产生重大误解，因信息传递中泄露商业秘密而削弱企业核心竞争力等风险。

2.1.2内部沟通制度，如重大事项报告制度等，以确保公司内部的信息与沟通渠道畅通、信息传递准确有序高效，防范因报告系统缺失、功能不健全、内容不完整而影响生产经营有序运行，因信息传递不通畅、不及时而导致决策失误、相关政策措施难以落实等风险。

2.2公司战略、创新、风险管理制度，以为公司及下属单位确立经营目标、制定经营管理方案、编制经营管理计划等提供依据和指导，防范公司盲目发展或缺乏发展动力、发展战略频繁变动危及企业生存、不能形成竞争优势等风险。

2.3合同管理制度，以规范公司合同行为，防范因合同内容存在重大疏漏和欺诈、合同未全面履行或监控不当、合同纠纷处理不当等原因而导致公司合法权益受到侵害、诉讼失败、经济利益及信誉和形象受损等风险。

2.4全面预算管理制度，以确保公司一定期间内的全部生产经营活动按计划协调一致、低成本高效率进行，防范公司经营管理活动不协调、运行成本高效率低下、经营缺乏约束或盲目经营、资源浪费、经营目标和发展战略难以实现、预算管理流于形式等风险。

杭州天目山药业股份有限公司…………………………………………………………第8页

2.5.1财务管理制度，以保证财务安全高效，防范因筹资或投资决策失误、资金调度不合理、资金活动管控不严、成本费用控制不当等原因而导致企业筹资成本过高、债务危机、资金链断裂或陷入财务困境、资金冗余或资金使用效益低下、资金被挪用侵占或遭受欺诈等风险。

2.5.2会计制度，以保证会计核算准确及时，防范因提供虚假或错误的财务报告、不能有效利用财务报告等原因而导致决策失误、财务和经营风险失控、承担法律责任、声誉受损等风险。

2.6.1资产管理制度，以提高资产使用效能，保证资产安全，防范生产中断、安全事故频发、存货积压或短缺、固定资产更新改造不够和使用效能低下、产能过剩或资源浪费、资产维护不当、资产价值贬损、技术落后或存在重大技术安全隐患、无形资产缺乏核心技术、公司整体资产缺乏可持续发展能力等风险。

2.6.2安全生产规范，以确保公司生产安全和产品质量、按计划有序生产，防范重大安全生产事故、重大产品质量事件、严重生产中断等风险。

2.7人力资源政策与管理制度，以确保企业能以低成本及时获得合格人力资源，确保人力资源激励约束机制合理高效，防范因人力资源缺乏或过剩、结构不合理、开发机制不健全、退出机制不当、员工权益保护不够等原因而公司经营效率低下、关键技术或商业秘密泄露、劳动法律诉讼失败、员工积极性受挫、企业声誉受损等风险。

2.8采购与付款制度，以确保科学采购和合理付款，防范过度采

杭州天目山药业股份有限公司…………………………………………………………第9页

购或采购不及时、采购物资质次价高、资金损失或信用受损、出现舞弊或遭受欺诈等风险。

2.9销售与收款制度，以确保销售稳定增长和市场份额不断扩大、产品及时销售和货款及时回笼，防范产品积压、应收销货款坏账或遭受欺诈等风险。

（三）公司常见重大业务基本管理制度，至少应当包括：

3.1工程项目管理制度，以加强工程项目管理，提高工程质量，保证工程进度，控制工程成本，防范因决策不当、商业贿赂或招标暗箱操作、工程造价信息不对称、技术方案未落实、概预算脱离实际、工程监理不到位、项目资金未落实、竣工验收不规范等原因而导致项目失败或难以实现预期效益、项目投资失控、工程质量低劣、进度延迟或中断、工程交付使用后存在重大隐患、人员涉案等风险。

3.2担保业务管理制度，以规范公司对外担保行为，防范因对担保申请人的资信状况调查不深、审批不严或越权审批、对被担保人出现财务困难或经营陷入困境等状况监控不力、担保过程中存在舞弊行为等原因而导致公司承受担保赔偿损失、遭受欺诈、相关人员涉案等风险。

3.3研发管理制度，以促进企业自主创新，增强核心竞争力，防范因研究项目未经科学论证或论证不充分可能导致创新不足或资源浪费、研发人员配备不合理或研发过程管理不善可能导致研发成本过高及舞弊或研发失败、研究成果转化应用不足和保护措施不力可能导致企业利益受损等风险。

杭州天目山药业股份有限公司…………………………………………………………第10页

3.4信息系统建设与管理制度，以促进企业有效实施内部控制，提高企业现代化管理水平，减少人为因素对企业内部控制实施的影响，防范因信息系统缺乏或规划不合理、系统开发不符合内部控制要求、授权管理不当、系统运行维护和安全措施不到位等原因而导致公司无法利用信息技术实施有效控制、经营管理效率低下等风险。

（四）其他管理制度

第十三条公司应通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。

第十四条公司董事会薪酬与考核委员会、公司经理及人力资源部门，应当负责制定、实施和不断完善有利于企业可持续发展的人力资源政策；其他部门和单位应当给予必要的支持和积极配合。人力资源政策应当包括下列内容：

（一）员工的聘用、培训、辞退与辞职。

（二）员工的薪酬、考核、晋升与奖惩。

（三）关键岗位员工的强制休假制度和定期岗位轮换制度。

（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。

（五）有关人力资源管理的其他政策。

第十五条公司及下属单位应当加强企业文化建设，将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，引导诚实守信、积极向上、开拓创新、团队协作、重视风险的企业文化，不断提升员工素质，防范员工丧失对企业的信

杭州天目山药业股份有限公司…………………………………………………………第11页

心和认同感、管理层缺乏经营理念、舞弊事件频繁发生或发生大规模的集体舞弊事件等风险。

第三章风险识别、评估与应对第十六条公司及下属单位和员工，应当结合不同发展阶段和业务拓展情况，根据其工作目标和任务，设定控制目标和相应的风险承受度，全面系统持续地收集相关信息，结合实际情况，及时进行风险识别与评估、风险分析，及时调整风险应对策略和进行风险应对。风险承受度是公司、下属单位或部门、员工个人能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平；当公司、下属单位或部门、员工个人的风险承受度水平不一致时，应当选择最低者。第十七条公司及下属单位和员工，应当在事前和事中准确识别与实现控制目标相关的内部风险和外部风险。

第十八条识别内部风险应当关注下列因素：

（一）相关负责人及执行人员和监管人员的职业操守、专业胜任能力等人力资源因素。

（二）组织机构、岗位设置、经营方式、资产管理、业务流程等管理因素。

（三）研究开发、技术投入、信息技术运用等自主创新因素。

（四）财务状况、经营成果、现金流量等财务因素。

（五）营运安全、员工健康、环境保护等安全环保因素。

（六）其他有关内部风险因素。

杭州天目山药业股份有限公司…………………………………………………………第12页

第十九条识别外部风险应当关注下列因素：

（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

（二）法律法规、监管要求等法律因素。

（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

（四）技术进步、工艺改进等科学技术因素。

（五）自然灾害、环境状况等自然环境因素。

（六）其他有关外部风险因素。

第二十条识别风险后，应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

第二十一条在风险分析后，应当根据风险分析的结果，结合风险承受度，权衡风险与收益，应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

制定风险应对策略，应当合理分析、准确掌握相关负责人员、执行人员和关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给公司经营带来重大损失。

风险规避是对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

杭州天目山药业股份有限公司…………………………………………………………第13页

风险降低是在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

风险分担是借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

风险承受是对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

第二十二条董事会战略委员会应当定期识别和评估公司战略层面的风险和重大投资项目风险，检查相应的风险应对策略的适用性；公司经理层应当定期识别和评估公司运营整体层面的风险和重大业务风险，检查相应的风险应对策略的适用性；各职能部门应当定期识别和评估职能范围内业务或事项的风险，检查相应的风险应对策略的适用性。遇有重大业务或事项时，应当组织相关部门或单位、人员进行识别和评估，根据风险分析结果提出适当的风险应对策略。

第四章控制活动

第二十三条公司及下属单位和员工，应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

第二十四条公司及下属单位应当全面系统地分析、梳理业务流

杭州天目山药业股份有限公司…………………………………………………………第14页

程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

不相容职务通常包括：可行性研究与决策审批；决策审批与执行；执行与记录和监督检查等。通常，应当按照一级业务流程和职能划分出不相容职务，并据此设立部门（中心）级职能机构；按照二级子业务流程和职能分出不相容职务，并据此设立科（室）级职能机构；按照三级子业务流程和职能分出不相容职务，并据此设立组级职能机构；按照最小关键不相容职务设立岗位。应当对各部门各级机构和岗位的职能进行科学合理的定位，确定其名称、具体职责和工作要求等，明确各部门各级机构和岗位的权限和相互关系。

应当制定公司及下属单位的组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。

第二十五条公司及下属单位应当设立授权审批控制制度，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

各级管理人员应当在授权范围内行使职权和承担责任。授权分为常规授权和特别授权。常规授权是指在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指在特殊情况、特定条件下进行的授权。

公司及下属单位应当在相关规范或制度文件中明确特别授权的

杭州天目山药业股份有限公司…………………………………………………………第15页

范围、权限、程序和责任，严格控制特别授权。对于公司发展战略调整、新产品研发或上线、主要资产购置或处置、重大融资和投资、重大担保、重要人事任免、重大合同签订、大额资金支付或使用、重要工程项目招标与决算和结算、全面预算方案、关键内部控制体系建设、公司组织架构调整、重要人力资源政策变更、重大人力资源计划、重要财务政策和会计政策变更、原材料采购和产品销售政策或方案变更等重大业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

第二十六条公司及下属单位应当根据需要依法设置会计机构、配备会计人员、设立会计账簿和进行会计核算。

从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。

财务会计核算应当严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

第二十七条公司及下属单位应当建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。

严格限制未经授权的人员接触和处置财产。

第二十八条公司及下属单位应当实施和不断完善全面预算管理制度，明确各责任单位在预算管理中的职责权限、授权批准程序

杭州天目山药业股份有限公司…………………………………………………………第16页

和工作协调机制，强化预算约束。公司设立预算管理委员会履行全面预算管理职责。其具体职责主要是负责拟定预算目标和预算政策，制定预算管理的具体措施和办法，组织编制、平衡预算草案，下达经批准的预算，协调解决预算编制和执行中的问题，考核预算执行情况，督促完成预算目标。其成员由公司总经理或总经理授权人员、以及除审计部门以外的职能部门和子（分）公司负责人组成。

预算管理委员会下设预算管理工作机构，由其履行日常预算管理职责。预算管理工作机构一般设在财会部门。财务总监或者分管会计工作的副总经理协助总经理或总经理授权人员负责全面预算管理工作的组织领导。预算管理委员会应当建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学。预算管理工作机构应当为各级各部门或单位编制全面预算提供工作底稿等预算编制工具。财务及其他相关部门和单位，应当及时按要求提供编制全面预算所需要的资料和数据、信息。各级各部门或单位负责编制本部门或单位的预算草案。公司及下属单位应当根据公司发展战略和年度生产经营目标，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，采用固定预算、弹性预算、滚动预算等适当的方法，在预算年度开始前完成全面预算草案的编制工作。预算管理委员会应当对预算管理工作机构在综合平衡基础上提

杭州天目山药业股份有限公司…………………………………………………………第17页

交的预算方案进行研究论证，从公司发展全局角度提出建议，形成全面预算草案，提交总经理办公会审议，董事长审批。全面预算草案经董事长批准后，即为正式全面预算，应当以公司文件形式下达执行。董事长审核全面预算草案，应当重点关注预算科学性和可行性，确保全面预算与企业发展战略、年度生产经营计划相协调。

公司及下属单位应当落实预算执行责任制，确保预算刚性，严格预算执行。对于工程项目、对外投融资等重大预算项目，相关部门和单位应当密切跟踪其实施进度和完成情况，实行严格监控。

公司及下属单位应当以年度预算作为组织、协调各项生产经营活动的基本依据，将年度预算细分为季度、月度预算，通过实施分期预算控制，实现年度预算目标。

预算管理工作机构应当加强与各预算执行单位的沟通，监控预算执行情况，采用恰当方式及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响，促进全面预算目标的实现。

预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度，定期召开预算执行分析会议，通报预算执行情况，研究、解决预算执行中存在的问题，提出改进措施。

公司应当建立科学的预算执行考核方法和严格的预算执行考核制度，按照公开、公平、公正原则，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。

杭州天目山药业股份有限公司…………………………………………………………第18页

第二十九条公司及下属单位应当建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过适用的分析方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

第三十条公司及下属单位应当建立和实施绩效考评制度，科学设置考核指标体系，对公司各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

第三十一条公司及下属单位应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

特别是要建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

第五章信息与沟通

第三十二条公司及下属单位应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保公司生产经营管理信息在内部各管理层级之间的有效沟通和充分利用，促进内部控制有效运行。

第三十三条公司及下属单位应当通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息；通过行业协会组织、社会中介机构、业务往来单位、市场

杭州天目山药业股份有限公司…………………………………………………………第19页

调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。公司及下属单位应当特别关注市场环境、政策变化等外部信息对公司生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到公司内部相关管理层级，以便采取应对策略。

公司及下属单位应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。

第三十四条公司及下属单位应当根据发展战略和经营管理目标、风险控制和业绩考核要求，本着与全面预算管理相结合原则和成本效益原则，科学规范不同级次内部报告的指标体系，采用适当的形式，全面反映与公司生产经营管理相关的各种内外部信息。

内部报告应当简洁明了、通俗易懂、传递及时，便于公司各管理层级和全体员工掌握相关信息，正确履行职责。

第三十五条公司及下属单位应当制定严密的内部报告流程，将内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间，以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。重要信息应当及时上报，并可以直接报告董事会、经理层或者高级管理人员。

公司及下属单位应当建立内部报告审核制度，确保内部报告信息质量。

对于信息沟通过程中发现的问题，应当及时报告并加以解决。

第三十六条公司将创造条件，充分利用信息技术，强化内部报

杭州天目山药业股份有限公司…………………………………………………………第20页

告信息集成和共享，将内部报告纳入公司的统一信息平台，构建科学的内部报告网络体系，充分发挥信息技术在信息与沟通中的作用。

第三十七条公司及下属单位应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。

第三十八条公司及下属单位应当重视和加强反舞弊机制建设，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

第三十九条公司及下属单位至少应当将下列情形作为反舞弊工作的重点：

（一）未经授权或者采取其他不法方式侵占、挪用公司资产，牟取不当利益。

（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。

（三）董事、经理及其他高级管理人员滥用职权。

（四）相关机构或人员串通舞弊。

第四十条公司及下属单位应当通过设立员工信箱、投诉热线等方式，鼓励员工及其他利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损公司形象的行为。

第四十一条公司及下属单位应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。

杭州天目山药业股份有限公司…………………………………………………………第21页

举报投诉制度和举报人保护制度应当及时传达至全体员工。第四十二条公司及下属单位管理人员应当充分利用内部报告管理和指导公司的生产经营活动，及时反映全面预算执行情况，协调公司内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保公司实现发展目标。

第四十三条公司及下属单位应当有效利用内部报告进行风险评估，准确识别和系统分析公司生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。公司及下属单位对于内部报告反映出的问题应当及时解决；涉及突出问题和重大风险的，应当启动应急预案。

第四十四条公司及下属单位应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。

第四十五条公司及下属单位应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。

第四十六条公司及下属单位应当加强内部信息传递管理，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等，促进内部报告的有效利用，充分发挥内部报告的作用。

第六章内部监督

杭州天目山药业股份有限公司…………………………………………………………第22页

第四十七条公司及下属单位应当根据本纲要制定内部控制监督制度，明确各管理机构和人员在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一方面或者某些方面进行有针对性的监督检查和评价。

专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

第四十八条公司及下属单位应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会或者经理层报告。

内部控制缺陷包括设计缺陷和运行缺陷。

公司及下属单位应当跟踪其下属机构的内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。

第四十九条公司及下属单位应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。

内部控制自我评价的方式、范围、程序和频率，由各级管理机构或单位根据经营业务调整、经营环境变化、业务发展状况、实际

杭州天目山药业股份有限公司…………………………………………………………第23页

风险水平等自行确定，报上级主管部门或领导审批。

第五十条公司及下属单位应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。第五十一条公司内部审计机构对公司及下属单位内部控制防范相关风险的能力进行随时的检查和评价；监察机构对公司及下属单位和关键人员履行风险分析职责情况进行监督和评价。

第七章附则

第五十二条本纲要经公司董事会审议通过、股东会批准后实施，为公司治理的指导性文件。

第五十三条如本纲要存在与国家有关法律、法规不一致的内容，以国家法律、法规为准。

第五十四条如本纲要存在与公司章程不一致的内容，在公司章程修改前，以《公司章程》为准。

第五十五条当国家有关法律、法规、公司章程修改，或其他需要修改的情况时，本纲要由董事会提出修改方案，提交股东会审议。

第五十六条本纲要由公司董事会负责解释。

爱股网

天目药业(600671)_公司公告_天目药业：内部控制纲要(2025年8月修订)