普洛药业:内部控制制度

普洛药业股份有限公司
内部控制制度
第一章 总 则
第一条 为规范普洛药业股份有限公司（以下简称“公司”）内部控制管理，提高风险防范与管理水平，维护公司资产安全，保护投资者合法权益，根据《中华人民共和国公司法》《企业内部控制基本规范》《深圳证券交易所股票上市规则》等法律、行政法规、部门规章的有关规定，并结合公司实际，制定本制度。
第二条 本制度所称内部控制是指由公司董事会、审计委员会、经营管理层和全体员工实施的、旨在实现内部控制目标的过程。
第三条 公司内部控制的目标：
（一）遵守国家有关法律法规、部门规章及其他相关规定；
（二）提高公司经营效率和效果，提升风险防范和控制能力，促进公司实现发展战略；
（三）保障公司资产安全，提升管理水平，增进对公司股东的回报；
（四）确保财务报告及相关信息披露真实、准确、完整。
第四条 公司建立与实施内部控制，应当遵循下列原则：
（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖公司及其所属子公司的各种业务和事项。
（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。
（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。
（四）适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。
（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本
第五条 内部控制的职责和权限：
（一）董事会：负责公司内部控制制度（以下简称“内控制度”）的制定和有效执行，并定期对公司内部控制执行情况进行效果评估。
（二）审计委员会：参与公司内控制度的制定，负责监督、检查公司内控制度的执行情况，发现有重大内部控制缺陷的，可责令公司进行整改。
审计委员会在监督及评估内部审计部门工作时，应当履行的主要职责：指导和监督内部审计制度的建立和实施；审阅公司年度内部审计工作计划；督促公司内部审计计划的实施；指导内部审计部门的有效运作。公司内部审计部门须向审计委员会报告工作，内部审计机构提交给管理层的各类审计报告、审计问题的整改计划和整改情况须同时报送审计委员会；向董事会报告内部审计工作进度、质量以及发现的重大问题等；协调内部审计部门与会计师事务所、国家审计机构等外部审计单位之间的关系。
（三）经营管理层：负责落实和推进内控制度的相关规定，检查公司各职能部门及下属公司制定、实施、完善各自专业系统的风险管理和内控制度的情况。
（四）内部审计部门：具体负责内部控制的日常监督、检查，负责内部控制自我评价的现场审计业务，并向审计委员会提交内部控制审计报告；负责具体组织实施公司内部控制评价工作，编制公司年度内部控制评价报告，经审计委员会审核通过后，报请董事会审议。
（五）公司各职能部门：具体执行或实施内控制度，负责配合完成对下属子公司风险管理和内部控制相关情况的检查。
（六）公司下属公司：具体负责制定、实施、完善本单位的风险管理和内控制度。
第六条 公司内部控制主要内容包括：内部控制环境、经营风险评估、内部控制活动、信息与沟通、内部审计监督及内部控制披露等。
第七条 公司内部控制应当涵盖公司经营活动中与财务报告和信息披露事务相关的所有业务环节，包括：销售与收款、采购与付款、存货管理、固定资产管理、资金管理、投资与融资管理、对外担保管理、合同管理、人力资源管理、信息系统管理和信息披露事务管理等。

第八条 公司重点加强对控股子公司的管理控制，加强对关联交易、对外担保、募集资金使用、重大投资、信息披露等活动的控制，并建立相应的控制制度和决策流程。
第二章 内部控制环境
第九条 内部控制环境是公司实施内部控制的基础，主要包括治理结构、机构
设置与权责分配（授权控制）、人力资源政策、企业文化、内部审计机制等内容。
第十条 公司应当根据国家有关法律法规和《公司章程》等有关规定，建立规范的治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制：
（一）股东会是公司最高权力机构；
（二）董事会对股东会负责，根据法律法规、公司章程和股东会授权，行使公司的经营决策权；
（三）审计委员会根据公司章程、股东会授权，独立行使公司监督权，对公司董事、高级管理人员及财务进行监督；
（四）经营管理层负责组织实施股东会、董事会决议事项，根据公司章程和董事会授权，负责公司日常生产经营管理工作；
（五）公司依据经营实际需要设置各职能管理部门及事业部。各职能管理部门贯彻执行职责和业务范围内的规章制度，编制各项业务流程，修订并完善业务管理规范，并负责实施；各职能部门对公司下属公司进行专业指导、监督、及服务，指导执行公司各项规章制度，发现问题督促整改；
（六）公司对下属公司实行主要经济指标绩效考核管理、预算管理、职能部门对口管理及监控。
第十一条 公司应当明确界定各事业部、子公司、部门、岗位的职责、权限和目标，建立相应的逐级授权、检查和问责机制，确保其在授权范围内履行职能；各级授权要适当，职责要分明。对授权实行动态管理，逐步建立完善、有效的评价和反馈机制，对不适用或不适当的授权及时修改或取消。
第十二条 公司应当加强内部审计工作，保证内部审计机构设置、人员配备和
工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查和对内部控制进行自我评价。发现内部控制缺陷应当按照内部审计工作程序进行报告，并有权直接向董事会及其审计委员会报告。
第十三条 公司应当制定人力资源管理等规章制度及管理流程，包括年度指标及述职的绩效管理、用工管理、劳动关系（合同）管理、培训管理等，明确公司职员职务任免、薪酬及福利、考核及奖惩、员工培训、岗位调配等内容，加强职业素质和能力提升与控制。有效实施各子公司和全员的绩效考评体系，确保公司内部激励机制和监督约束机制的完善。
第十四条 公司应当加强企业文化建设，培育积极向上的价值观和社会责任感，规范员工行为，讲责任、重效率，以坚韧意志、开放胸怀，树立科学管理理念，强化风险意识。董事和高级管理人员应当在企业文化建设中发挥主导作用。
第十五条 公司应当加强法制教育，增强董事、高级管理人员和员工的法制观念和意识，严格依法依规决策、经营和监督。
第三章 经营风险评估
第十六条 风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。
第十七条 公司应当根据设定的风险类别和控制目标，全面系统持续地收集内部和外部相关信息，结合实际，及时进行风险评估。
第十八条 公司应当建立风险评估机制，组建风险分析工作小组，采用定性和定量相结合的方法，按照风险发生的可能性及其影响程度，对风险进行有效分析，准确识别与实现控制目标相关的内部风险和外部风险，确保风险分析结果的准确性。
第十九条 公司应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。
风险承受度是指公司能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。
第二十条 公司应当合理分析、准确掌握董事、高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。
第二十一条 公司应当综合运用风险规避、风险降低、风险分担和风险承受等
风险应对策略，实现对风险的有效控制。
第二十二条 公司应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。
第四章 内部控制活动
第二十三条 控制活动是内部控制的具体执行过程，是公司根据风险评估结果，采取相应的控制措施，将风险控制在可承受的水平。主要包括：不相容职务分离、授权审批、财产保护、会计系统、预算控制、运营分析和绩效考评等控制措施。
第二十四条 不相容职务分离控制要求公司全面系统地分析、梳理业务流程中
所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制 约的工作机制。
第二十五条 授权审批控制要求公司根据常规授权和特别授权的规定，明确各
岗位办理业务和事项的权限范围、审批程序和相应责任。
公司应当明确规范特别授权的范围、权限、程序和责任，严格控制特别授权。公司各级管理人员应当在授权范围内行使职权和承担责任。
公司对于重大的业务和事项，应当实行集体决策审批，任何个人不得单独进 行决策或者擅自改变集体决策。
第二十六条 会计系统控制要求公司严格执行国家统一的会计准则制度，加强
会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计 资料真实完整。
公司财务部门应当配备会计专职人员。从事会计工作人员必须取得会计从业 资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。
第二十七条 财产保护控制要求公司加强财产日常管理和定期清查，采取财产
记录、实物保管、定期盘点、账实核对等措施，确保财产安全。
公司应当建立健全独立的财务核算体系，能够独立作出财务决策，具有规范 的财务会计制度及对下属公司的财务管理制度。
公司的资产应当独立完整、权属清晰，不得被董事、高级管理人员、控股股 东、实际控制人及其关联人占用或者支配。

第二十八条 预算控制要求公司实施全面预算管理，明确各责任部门在预算管
理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算管理。
第二十九条 运营分析控制要求公司加强运营情况分析，高级管理人员应当综
合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、 趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加 以改进。
公司应当加强对关联交易、对外担保、募集资金使用、重大投资、信息披露 等活动的控制，按照深圳证券交易所有关规定建立相应制度并严格执行。
第三十条 绩效考评控制要求公司建立和实施绩效考评，科学设置考核指标体
系，对公司内部各责任部门和全体员工的绩效进行定期考核和客观评价，将考评 结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第三十一条 公司应当根据内部控制目标，结合风险应对策略，综合运用控制
措施，对各类业务和事项实施有效控制。
第三十二条 公司应当建立重大风险预警机制和突发事件应急处理机制，明确
风险预警标准，对可能发生的重大风险或突发事件制定应急预案、明确责任人，规 范处理程序，确保突发事件得到及时妥善处理。
第三十三条 公司应当制定法律事务管理制度，对公司及各子公司在经营活动中的一切法律事务进行合法合规性审查，最大限度地保护公司利益，规避公司的法律风险。
第五章 信息与沟通
第三十四条 信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。信息与沟通控制分为内部信息沟通控制和公开信息披露控制。
第三十五条 公司应当建立重大内部信息传递及报告制度，加强信息与沟通管理，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。重要信息应当及时报告董事长和高级管理人员。
第三十六条 公司应