健康元:健康元药业集团股份有限公司内部控制制度(修订版)

健康元药业集团股份有限公司
内部控制制度
（经 2025 年 10 月 24 日九届董事会十三次会议修订）
一、总则
目标
内部控制是指由企业董事会、管理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的达成而提供合理保证的过程。因此，内部控制的目标包括三个方面的内容：经营的效率效果、财务报告的可靠性以及法律法规的遵循性。
原则
1.合法性原则
企业必须在国家法律法规规定的范围内从事其经营活动，不能进行违法经营，更不能借助内部控制来从事非法活动，或通过内部控制来逃避国家法规的监管。
2.有效性原则
有效的内部控制在企业的生产经营过程中能够得到贯彻执行并发挥作用，实现其为提高经营效果、提供可靠财务报告和遵守法律法规提供合理保证的目标，内部控制必须有效，也就是说内部控制必须与公司的治理结构以及内部各部门或单位的特点相适应，必须能发现和化解企业生产经营所遭遇的风险。企业制定的各项内部控制制度要与单位内部管理和经济发展相适应，既要体现企业规模特点和管理水平的差异要求，也要体现经济发展和各项法律、法规制度的要求。这正是内部控制的生命力之所在。
3.审慎性原则
在企业生产经营活动中，企业要达到生存发展的目标，就必须对各类风险进行有效的预防和控制，内部控制作为企业管理的中枢环节，是防范企业风险最为行之有效的一种手段。内部控制的核心是有效防范各种风险，任何制度的建立都要以防范风险、审慎经营为出发点。
4.全面性原则
内部控制的全面性包含两层含义：一方面是指企业根据生产经营的需要，应
该设置的内部控制都已设置；另一方面是指对生产经营活动的全过程进行自始至终的控制。如果内部控制的全面性达不到，则内部控制的有效性就无从谈起。内部控制必须渗透到企业经营管理的各项业务过程和各个操作环节，涵盖所有的部门和岗位，不能留有任何死角。
5.及时性原则
企业新设立的机构或开办新的业务种类或者开拓新的市场，必须树立“内控优先”的思想，必须首先建章立制，采取有效的控制措施，然后再进行相关的业务活动。
6.独立性原则
内部控制的检查、评价部门必须独立于内部控制的建立和执行部门，直接操作人员和直接控制人员必须适当分离，并向不同的管理人员报告工作；在存在管理人员职责交叉的情况下，要为负责控制的人员提供直接向最高管理层报告的渠道。
7.成本效益原则
这是企业行为决策普遍适用的基本原则。内部控制在保护资产完整、信息真实、企业目标实现等方面都会有良好的效果。但是，内部控制的构建和运行是会发生成本的，如内部控制的构建成本、内部控制运行中的人力和物力支出、不适当的内部措施对企业产生的不良影响等。建立内部控制必须遵循效益大于成本的原则，既不能因内部控制的缺陷对企业产生较大的负面影响，也不能一味追求完善而无节制地产生支出。
8.分步走原则
企业在构建内部控制时，应当按照企业自身情况采取分步走的策略。
方法
1.组织规划控制
组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面：一是法人的治理结构问题，涉及董事会、管理层的设置及相关关系；二是管理部门设置及其关系，对财务管理来说，就是如何确定财务管理的广度和深度，由此产生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任，既可能发生
错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有：授权批准职务、业务经办职务、财产保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离：①授权批准职务与执行业务职务相分离；②业务经办职务与审核监督职务相分离；③业务经办职务与会计记录职务相分离；④财产保管职务与会计记录职务相分离；⑤业务经办职务与财产保管职务相分离。
2.授权批准控制
授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制，授权批准按其形式可分为一般授权和特殊授权。所谓一般授权是指对办理常规业务时权力、条件和责任的规定，一般授权时效性较长；而特殊授权是对办理例外业务时权力、条件和责任的规定，一般其时效性较短。不论采用哪一种授权批准方式，企业必须建立授权批准体系，其中包括：①授权批准的范围，通常企业的所有经营活动都应纳入其范围；②授权批准的层次，应根据经济活动的重要性和金额大小确定不同的授权批准层次，从而保证各管理层有权亦有责；③授权批准的责任，应当明确被授权者在履行权力时应对哪些方面负责，应避免授权责任不清，一旦出现问题又难咎其责的情况发生；④授权批准的程序，应规定每一类经济业务审批程序，以便按程序办理审批，以避免越级审批，违规审批的情况发生。
3.文件记录控制
健全、正确的文件记录既是组织规划控制，授权批准控制的手段，又是企业保证工作效率，贯彻企业经营管理方针的基础。文件记录控制内容主要有：建立企业组织机构职能图和授权审批权限一览表。建立全员岗位说明书。企业对于每个工作岗位都应有相应的书面描述，其内容包括：①岗位内容、岗位职责、岗位上下关系和岗位任职条件等。②业务程序手册。企业的业务流程应让相关人员知晓，使每个员工都知道本人在处理业务时所处的地位，前后道作业环节，业务程序手册的编制可采用流程图的方式。流程图是由一定符号组成的，反映业务处理程序及部门之间相互关系的图表，它既是企业管理的有效工具，也是评价内部控制的重要手段。③统一会计政策。尽管国家制定了统一的会计制度，但其中某些会计政策是具有可选择性，因此，从企业内部管理要求出发，必须统一执行所确定的会计政策，以便统一核算、汇总分析和考核，企业会计政策可以专门文件的方式予以颁布。④凭证编号。企业对业务处理的凭证应编制相应的号码，凡有条
件的均应事前编号，凭证编号便于业务的查询，也可避免业务记录的重复和遗漏，并在一定程度上可防范舞弊的发生。⑤统一会计科目。在实行国家统一一级会计科目的基础上，企业应根据经营管理的需要，统一设定明细科目，特别是集团性公司更有必要统一下级公司的会计明细科目，以便统一口径、统一核算、有效分析。
4.全面预算控制
全面预算是企业财务管理的重要组成部分，它是为达到企业既定目标编制的经营、资本、财务等年度收支总体计划，从某种意义上讲，全面预算也是对企业经济业务规划的授权批准。全面预算控制应抓好以下环节：①预算体系的建立，包括预算项目、标准和程序；②预算的编制和审定；③预算指标的下达及相关责任人和部门的落实；④预算执行的授权；⑤预算执行过程的监控；⑥预算差异的分析与调整；⑦预算业绩的考核。全面预算是一项集体性工作，需要企业内各部门人员的协同合作，为此，有条件的企业应设立预算委员会，组织领导企业全面预算工作。
5.实物保全控制
内部控制各种方式都具有保护资产安全的作用,这里所述的实物保全是指对实物资产的直接保护，主要内容有：①限制接近。限制接近主要指严格限制无关人员对实物资产的直接接触,只有经过授权批准的人员才能够接触资产。限制接近的对象包括限制接近现金、其他易变现资产、存货。②定期盘点。建立对资产定期盘点制度,并保证盘点时资产的安全性，通常可采用先核对账册，再盘点实物及时发现并处理盘盈盘亏差异，对盘点中出现的差异应进行调查，对盘亏资产应分析原因、查明责任、完善相关制度。③记录保护。应对企业各种文件资料（尤其是资产、财务、会计等资料）妥善保管，避免记录受损、被盗、被毁的可能。对某些重要资料应留有后备记录，以便在遭受意外损失或毁坏时重新恢复，这在当前计算机处理条件下尤为重要。④财产保险。通过对资产投保（如火灾险、盗窃险、责任险或一切险）增加实物受损后的补偿机会，从而保护实物的安全。⑤资产记录监控。企业应建立资产个体档案，资产增减变动应及时全面予以记录。加强财产所有权证的管理。应改革现有低值易耗品等核销模式，减少仅以备查簿登记的管理形式，使其价值纳入财务报表体系内，从而保证账实的一致性。

6.职工素质控制
内部控制的成效关键在于职工素质的高低程度。职工素质控制的目的在于保证职工忠诚、正直、勤奋、有效的工作能力，从而保证其他内部控制有效实施。职工素质控制包括：①建立严格招聘程序，保证应聘人员符合招聘要求；②制定员工工作规范，用以引导考核员工行为； ③定期对员工进行培训，帮助其提高业务素质，更好完成规定的任务；④加强考核和奖惩力度，应定期对职工业绩进行考核，奖惩分明；⑤对重要岗位员工（如销售、采购、出纳）应建立职业信用保险机制，如签订信用承诺书，保荐人推荐或办理商业信用保险；⑥工作岗位轮换，可以定期或不定期进行工作岗位轮换，通过轮换及时发现存在的错弊情况，甚至可抑制不法分子的不良动机。
7.风险防范控制
企业在市场经济环境中，不可避免会遇到各种风险，因此为防范规避风险，企业应建立风险评估机制。企业常有的风险评估内容有：①筹资风险评估。如企业财务结构的确定、筹资结构的安排，筹资币种金额及期限的制定、筹资成本的估算和筹资的偿还计划都应事先评估，事中监督，事后考核。②投资风险评估。企业对各种债权投资和股权投资都要作可行性研究并根据项目和金额大小确定审批权限，对投资过程中可能出现负面因素应制定应对预案。③信用风险评估。这里所说的信用风险，特指企业应收账款回收过程中遭受损失的可能性。企业应制定客户信用评估指标体系，确定信用授予标准，规定客户信用审批程序，进行信用实施中的实时跟踪。信用活动规模大的企业，可建立独立信用部门，管理信用活动、控制信用风险。④合同风险评估。所谓合同风险是指在合同签订和履行过程中，发生法律纠纷导致企业被诉、败诉的可能性。为防范合同风险，企业应建立合同起草、审批、签订、履行监督和违约时采取应对措施的控制程序，必要时可聘请律师参与。风险防范控制是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别规避和控制。
8.内部报告控制
为满足企业内部管理的时效性和针对性，企业应当建立内部管理报告体系。内部报告体系的建立应体现：反映部门（人）经管责任，符合“例外”管理要求，报告形式和内容简明易懂，并要统筹规划,避免重复。内部报告要根据管理层次
设计报告频率和内容详简，通常高层管理者报告时间隔时间长，内容从重、从简；反之报告间隔短，内容从全、从详。常用的内部报告有：①资金分析报告，包括资金日报、借款还款进度表、贷款融资抵押表、银行账户及印鉴管理表、资金调度表等。②经营分析报告,③费用分析报告。④资产分析报告。⑤投资分析报告,⑥财务分析报告等。
9.电算化控制
随着电子信息技术的发展，企业利用计算机从事经营管理方式越来越普遍，尤其会计电算化和电子商务的发展对信息的安全性提出更严格的要求，为此，加强电算化的控制势在必行。电算化控制内容有：①一般控制，它主要是对电算系统构成（人、硬件、软件）及环境实施的控制，常用的方法有系统组织和管理控制、系统开发和维护控制、文件资料控制、系统设备、数据、程序及网络安全的控制。②应用控制是对电算化处理活动进行的控制，常用的方法有输入控制、处理控制、输出控制。
10.内部审计控制
内部审计是内部控制的一种特殊形式，它是一个企业内部经济活动和管理制度是否合规、合理和有效的独立评价机构，在某种意义上讲是对其他内部控制的再控制。内部审计内容十分广泛,按其目的可分为财务审计、经营审计和管理审计。内部审计在企业应保持相对独立性,应独立于其他经营管理部门，最好受董事会或下属的审计委员会直接领导。
二、内容
1.环境控制：授权、员工素质
1.1 建立合理的组织架构、健全逐级授权制度,确保公司的各项规章制度得以贯彻执行。各级