复星医药内部控制手册

上海复星医药（集团）股份有限公司内部控制自我评价手册二〇一五年三月1手册概述1.1编制目的及编制基础1.1.1编制目的为完善上海复星医药（集团）股份有限公司（以下简称“本公司”）内部控制体系的建设，本公司特制订《上海复星医药（集团）股份有限公司内部控制自我评价手册》（以下简称“本手册”）。其目的是在于确保本公司及其控股子公司/单位（以下简称“本集团”）内部控制体系的有效运行，提高内部控制与风险管理水平，促进本集团健康持续发展，提高本集团运作效果和效率，全面提升企业管理水平和竞争能力，增加企业价值。内部控制自我评价，是指本公司董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。本公司旨在通过本手册明确公司内部控制自我评价机构设置、工作执行、缺陷整改、评价报告等工作流程，将内部控制自我评价工作落实到本集团的各个层面，实现对内部控制体系有效性的持续监控。内部控制自我评价作为内部控制监控的重要手段之一，保证本集团内部控制设计和执行有效。本手册所称“下属单位”，是指本公司下属全资子公司、控股子公司、分公司、事业部等。本集团参股企业等企业机构可在适用情况下参照执行。1.1.2编制基础本手册依据中华人民共和国财政部、中华人民共和国审计署、中国保险监督管理委员会、中国银行业监督管理委员会、中国证券监督管理委员会（以下简称“五部委）”颁布的《企业内部控制基本规范》与《企业内部控制评价指引》、上海证券交易所颁布的《上海证券交易所上市公司内部控制指引》、香港联合交易所有限公司（以下简称“香港联交所”）颁布的《企业管治常规守则》等相关的法规及配套指引、守则，参照美国证券交易委员会推荐的COSO内部控制框架等，结合本集团的具体情况编制而成。1.2内部控制自我评价原则与内容1.2.1内部控制自我评价原则本集团实施内部控制自我评价需遵循全面性、重要性和客观性原则。其中：全面性原则：内部控制自我评价工作包括对内部控制的设计与运行的评价，涵盖公司和下属单位的各种业务和事项。重要性原则：内部控制自我评价工作在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。客观性原则：内部控制自我评价工作应当客观地揭示经营管理的风险状况，如实地反映内部控制设计与运行的有效性。1.2.2内部控制自我评价内容本手册所关注的内容，围绕内部环境、风险评估、控制活动、信息与沟通和内部监督等要素，分为公司层面、业务层面以及信息技术层面，对内部控制设计与运行情况进行全面评价。其中：本集团层面控制：主要指公司和下属单位内控体系中所包含的组织架构、发展战略、社会责任、人力资源、企业文化等控制。业务层面控制：主要指本集团内控体系中包含的资金活动、投资管理、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递等控制。信息技术层面：主要指本集团的信息技术内控体系，主要涉及信息系统的变更控制、访问控制和其他一般IT操作控制，具体反映为信息技术应用流程。2内部控制自我评价机构的设置及其职责2.1董事会及其职责建立、健全和有效实施内部控制，评价内部控制的有效性，形成本公司的年度《内部控制评价报告》，并对该报告的真实性负责是本公司董事会的责任。本公司董事会审计委员会检查、监督内部控制自我评价工作的实施，其职责包括但不限于：（1）审核、确定内部控制自我评价小组（以下简称“评价小组”）；（2）审批年度内部控制自我评价工作方案；（3）听取重大内部控制缺陷的汇报，并监督其改进情况；（4）审议评价小组提交的年度内部控制自我评价情况汇报，形成内部控制评价报告初稿。2.2内部控制自我评价小组及其职责本公司设立内部控制自我评价小组（以下简称“评价小组”），负责内部控制工作的评价、监督和汇报工作。评价小组成员分别由公司审计部人员、各下属单位内部控制自我评价人员组成。评价小组应根据本手册对本集团内部控制进行评价和持续监督，形成有效的内部控制评价体系和持续监督体系，确保内部控制的持续有效，最终实现本集团内部控制的总体目标。2.2.1评价小组的要求评价小组在进行内部控制自我评价工作时，需具备独立性、客观性和专业胜任能力。具体为：（1）独立性：指任何控制的评估或测试工作不得由该控制的实际操作人员进行；（2）客观性：指公正、诚实地执行任务的能力；（3）专业胜任能力：指具备相应的专业技能、知识或经验，有能力完成分派的任务。2.2.2评价小组的职责评价小组的职责包括但不限于：（1）编制年度内部控制自我评价工作方案，报本公司董事会审计委员会审批；（2）设计、修改并维护本集团统一、规范的内部控制自我评价工作标准和工作底稿；（3）开展本集团的内部控制测试和评价，编制工作底稿，形成缺陷汇总表；（4）根据本集团的缺陷整改计划，及时跟踪，监督其整改完成情况；（5）形成年度内部控制自我评价情况汇报报告，报董事会审计委员会审议。本公司审计部应负责组织各下属单位内部控制自我评价人员的辅导和培训，逐步使各下属单位自评人员能独立执行内部控制测试和评价工作。在自我评价工作中，各下属单位内部控制自我评价人员应负责本单位各部门间的工作协调，并具体开展各流程的评价工作。3内部控制自我评价工作流程内部控制自我评价的整体工作流程如下所示：内部控制自我评价工作流程图公司及下属单位内部控制自我评价工作小组董事会下属审计委员会董事会相关文档开始编制内控自评工作方案审批执行设计有效性测试内部控制自我评价工作方案风险控制矩阵工作底稿执行运行有效性测试认定内控缺陷运行有效性测试底稿控制缺陷汇总表内控自评方案的制定制定整改计划确认确认控制缺陷整改计划书是落实整改计划跟踪整改计划的执行整改进度跟踪表内控缺陷整改后续测试情况汇报报告审议审议形成年度内部控制评价报告内部控制评价报告（初稿）结束风险控制矩阵及运行有效性测试底稿是否为整改有难度的重大缺陷否内部控制评价报告控制缺陷整改计划书内部控制测试的执行内部控制缺陷的整改内部控制评价报告的出具对外披露内部控制评价报告形成年度内部控制评价报告（初稿）情况汇报报告4年度内部控制自我评价工作方案的制定4.1内部控制自我评价工作方案编制和审批每年由内部控制自我评价小组编制内部控制自我评价工作方案，经董事会审计委员会审批后执行。该工作方案应当根据国家法律法规要求、企业自身经营特点、发展目标及年度工作重点制定。方案应当明确年度自我评价工作的目的、范围（包括实体范围和业务流程范围）、组织、标准、方法、进度安排、人员安排等。该方案应包括两方面的内容：（1）由本公司审计部独立开展的内部控制自我评价；（2）由下属企业独自开展的内部控制自我评价，其结果及相应的底稿和资料应报送本公司审计部复核，审计部可根据实际情况抽查。评价小组应当在每年年报发布前向本公司董事会审计委员会提交本年度的内部控制自我评价工作方案，经董事会审计委员会审批后方可实施。4.2内部控制自我评价工作方案变更如当年经批准的工作方案发生变化，需由评价小组判断变化的性质，根据实际情况修正该方案；如变更内容大于年度工作方案的三分之一，需报请本公司董事会审计委员会再次审批。5内部控制测试的执行5.1内部控制测试定义内部控制测试，是指由评价小组综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，收集内部控制设计和执行是否有效的证据，以发现内部控制的缺陷，并对内部控制的有效性进行评价的过程。5.2内部控制测试对象凡在本公司《内控手册》中记录的涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的关键内部控制活动及依据全面性、重要性和客观性的原则确定的本集团内部控制活动，均应纳入内部控制测试的对象范围内。内部控制活动根据其发生的时点，可分为预防型控制和检查型控制两大类，其中：（1）预防型控制通常用于正常业务流程的每一项交易，以防止错报的发生；（2）检查型控制通常用于发现流程中可能发生的错报。内部控制活动根据其操作方式，又可分为手工控制和系统控制两大类，其中：（1）手工控制是通过人工操作（包括人工对系统的操作）来执行的控制活动。手工控制的有效性依赖于执行控制活动的执行人的胜任能力和尽责程度。（2）系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有效性依赖于有效的通用计算机控制环境。5.3设计有效性测试设计有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现提供合理保证。设计有效性测试可分为访谈、确定控制目标和相应控制点、穿行测试等步骤。5.3.1访谈访谈的主要目的是通过与相关人员进行访谈，了解各业务流程风险相关的控制措施的状况。在开展本集团的内部控制自我评价工作中，评价小组需制定各业务流程的访谈计划。访谈主要步骤包括：（1）了解相关本集团的背景资料，例如部门设置，职责分工，基础业务说明，业务政策等相关信息；（2）在审阅相关流程控制文档的基础上，如最近一次内控评价工作形成的相关控制文档，初步了解控制活动；（3）根据各个业务流程的性质和难易程度，合理规划访谈时间和访谈对象，编制访谈计划并发给被访谈人，力求提高访谈质量，降低重复访谈次数；（4）根据访谈计划开展访谈，了解业务流程和控制措施，形成访谈记录。5.3.2确定控制目标和相应的控制点评价小组根据《内控手册》、访谈结果，编制本集团各业务流程的《风险控制矩阵工作底稿》（格式参见附件一）。该工作底稿应归集对应的控制目标和相应控制点，特别是关键控制点。关键控制点，是指那些对于抑制风险来说是不可或缺的控制点，这些控制点一般拥有控制力度强且能覆盖其他控制点的作用；在其他控制点失效的情况下，其仍可以保证风险被控制在可接受的范围内。关键控制点的识别与确认一般可以从以下方面考虑：（1）信息传递正确、及时；（2）各式（业务、财务、管理）单据的连续和交接；（3）各式交易的授权层级；（4）独立的复核、审核检查机制；（5）清晰的文档记录及保管；（6）及时有效的业绩审阅；（7）信息处理控制；（8）实物管理控制；（9）必要的职权分离。此外，对本集团战略目标的实现具有深远影响的控制点为关键控制点；如果一个控制点可以防范多个风险，可判断为关键控制点；对于反舞弊的控制点，一般认为均属于关键控制点。通常每一条风险至少需有一个关键控制点与其对应。5.3.3穿行测试5.3.3.1穿行测试目的验证本公司或下属单位的流程实际控制与《内控手册》及风险控制矩阵中所记录的控制内容是否一致，是否存在设计缺陷，各环节是否按照规定运行。5.3.3.2穿行测试频率要求每年至少进行一次穿行测试。5.3.3.3穿行测试样本选取原则（1）样本必须能够代表该流程（或子流程）的典型业务及操作过程；（2）样本需要尽可能覆盖该流程（或子流程）的所有控制点；（3）对于上述样本确实无法覆盖的控制点，可以单独选取额外样本进行测试。5.3.3.4穿行测试样本数量在各个业务流程（或子流程）中，通过选取一个样本，来对其是否有效地贯穿整个流程、覆盖主要关键控制点进行测试。5.3.3.5穿行测试的记录（1）在风险控制矩阵中记录样本穿行测试的过程及结果；（2）如测试过程中发现样本出现异常的控制点，应详细描述该异常特征；（3）测试结果的记录必须忠实于实际测试情况，不得人为改变记录描述；（4）对于穿行测试过程中取得的所有样本资料，均需保留纸质或者电子文档作为证据，并编号。5.3.4设计有效性测试结果设计有效性测试的结果，可分为三种类型：有效、部分有效、无效。5.4运行有效性测试运行有效性是指在内部控制设计有效的前提下，内部控制能够按照设计的控制程序正确地执行，从而为控制目标的实现提供合理保证。5.4.1运行有效性测试的频率本公司或下属单位应开展内部控制运行有效性的测试，包括：每年对部分控制流程进行测试，且至少每三年完成一次对所有控制流程的测试。本公司或下属单位应避免将所有测试集中于某一年度。对于一些重要、风险较大、当年发生重大变更的流程，应当根据重要性水平适当增加测试次数。5.4.2运行有效性测试样本数量根据控制活动发生的频率，运行有效性