尚荣医疗:尚荣医疗内部控制制度

深圳市尚荣医疗股份有限公司
内部控制制度
第一章 总 则
第一条 为规范和加强深圳市尚荣医疗股份有限公司（以下简称“公司”）的内部控制，提高公司经营管理水平和风险防范能力，促进公司规范运作和健康发展，保护投资者合法权益，根据《中华人民共和国公司法》（以下简称《公司法》）、《中华人民共和国证券法》（以下简称《证券法》）、《企业内部控制基本规范》（以下简称《规范》）、《深圳证券交易所股票上市规则》（以下简称《上市规则》）等法律、法规和《公司章程》规定，结合公司实际情况，特制定本制度。第二条 本制度所称内部控制，是指由公司董事会、管理层以及全体员工实施的、旨在实现控制目标的过程。
第三条 本制度适用于公司各部门及各子公司的内部控制管理。
第四条 内部控制制度的目标：
(一) 确保公司经营管理合法、合规和内部规章制度的贯彻执行；
(二) 建立切实有效的风险管理机制，从而保证公司的经营管理和资产安全；
(三) 保证内部、外部的信息有效沟通，财务报告及相关信息的真实、完整；
(四) 建立良性的内部环境，提高经营效率和效果，促进公司实现发展战略。
第五条 内部控制应遵循以下主要原则：
(一) 全面性原则：内部控制应当覆盖所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节；
(二) 重要性原则：内部控制在兼顾全面控制的基础上应突出重点，关注高风险领域和重要业务事项；
(三) 制衡性原则：公司治理机构、部门及岗位的设置和分工应当权责分明、相互制约、相互监督；
(四) 适应性原则：内部控制应当合理体现公司经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并能适时调整及完善；
(五) 成本效益原则：内部控制应当在保证内部控制有效性前提下，合理权衡成本与效益的关系，以合理的成本实现更加有效的控制。

第二章 内部控制的总体框架
第六条 内部控制的基本要素：
(一) 内部环境：企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等；
(二) 风险评估：企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略；
(三) 控制活动：企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受范围内；
(四) 信息与沟通：企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通；
(五) 内部监督评价：企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。
第七条 内部控制制度的层次：
(一) 公司层面：公司按照法律法规、规章及其配套办法、指引等，建立健全内部控制制度，保证其完整性、合理性；
(二) 各部门层面：在符合公司总体战略目标的基础上，针对自身业务环节的特点，建立相应的专业管理制度；
(三) 各类业务层面：内部控制涵盖公司经营活动中所有的业务环节，主要包括但不限于以下环节：
1. 组织架构环节：包括股东会、董事会、经理层和公司内部各层级机构设置、职责权限、人员编制、工作程序的建立、评估、修订等。
2. 发展战略环节：包括发展战略的分析、制订、实施与调整。
3. 人力资源环节：包括人力资源的规划、引进、开发、使用、退出等。
4. 社会责任环节：包括安全生产、产品质量、环境保护与节约资源、促进就业与员工权益保护等。
5. 企业文化环节：包括公司文化的建设、评估与改进等。
6. 资金活动环节：包括筹资、投资、资金运营等。
7. 采购业务环节：包括计划、申请、审批、采购、验收、付款、评估等。
8. 资产管理环节：包括固定资产、仓储存货及无形资产等。
9. 销售业务环节：包括市场与客户开发、信用管理、业务谈判、订单处理、发货与退货处理、开票与收款、记账等。
10. 研究与开发环节：包括基础研究、产品设计、技术开发、产品测试、成果保护、研发记录及文件保管等。
11. 工程项目环节：包括项目的立项、招标、造价、建设、验收、评估等。
12. 担保业务环节：包括调查、评估、审批、执行与监控等。
13. 财务报告环节：包括财务报告的编制、对外提供与分析利用等。
14. 全面预算环节：包括预算的编制、执行与考核等。
15. 合同管理环节：包括合同的谈判、订立、履行、保密与评估等。
16. 内部信息传递环节：包括内部报告的内容设计、及时形成、传递范围和方式与时效、密级分类与使用安全等。
17. 信息系统环节：包括信息系统的规划、开发、运行与维护、安全管理等。18. 信息披露：包括保证信息披露工作的安全、准确、及时，确保公司内部信息报送及时，重大信息披露前不会提前泄露。
19. 内部审计：包括保证内部控制充分、有效执行等。
20. 生产管理：包括规范生产工艺标准、管理表单、品质控制、生产安全管理、生产设备管理、生产文档管理等控制。
21. 质量管理：包括质量体系管理。
第三章 内部环境
第八条 根据国家有关法律法规和《公司章程》建立规范的治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制：(一) 公司股东会是公司最高权力机构，依法行使公司经营方针、筹资、投资、利润分配等重大事项的表决权；
(二) 董事会依据《公司章程》和股东会授权，对公司经营进行决策管理；
(三) 董事会审计委员会依据《公司章程》和股东会授权，独立行使公司监督权，对董事会、经理（总经理）和其他高级管理人员、公司财务进行监督；
(四) 经理（总经理）和其他高级管理人员，依据《公司章程》和董事会授权，对公司日常经营实施管理；
(五) 公司依据经营实际需要设置各职能管理部门及项目部（组）。各职能管理
部门贯彻执行职责和业务范围内的规章制度，编制各项业务流程，修订并完善业务管理规范，并负责实施；各职能部门对分子公司进行专业指导、监督及服务，指导执行公司各项规章制度，发现问题督促整改；
(六) 公司高级管理层负责组织实施股东大会、董事会决议事项，主持公司的经营管理工作。
第九条 公司董事会是内部控制的决策机构，负责与内部控制有关重大事项的决定，负责审定内部控制体系框架及实施计划、内部控制体系管理的重大方针政策、规章制度、方法标准以及公司风险评估报告、内部控制评价报告等。
第十条 公司高级管理层负责内部控制战略规划和有效实施，审计部负责公司内部控制日常管理，包括内部控制体系的建设运行、检查、提出整改建议和督促整改、维护及完善。
第十一条 各部门经理负责建立本单位的符合内部控制要求的管理制度、岗位职责、业务操作流程，并落实到日常工作中。
第十二条 公司应加强对子公司的内部控制管理：
(一) 审计部监督各子公司内部控制体系建设、运行、检查和效果评估；
(二) 公司各职能部门承担对子公司在本专业方面的内部控制管理职能；
(三) 各子公司负责组织建立符合内部控制要求的管理制度、岗位职责和业务操作流程，并落实到日常工作中；
第十三条 制定和实施可持续发展的人力资源政策，包括：
(一) 员工的聘用、培训、劳动关系的终止与解除；
(二) 员工的薪酬、考核、晋升与奖惩；
(三) 有关人力资源管理的其他政策。
第十四条 加强文化建设，培养积极向上的价值观和社会责任感，公司员工应当
认真履行岗位职责，强化风险意识。
第十五条 加强法制教育，增强高级管理人员及员工的法制观念，严格依法决策、
依法办事、依法监督。
第四章 风险评估
第十六条 公司各部门应当根据设定的控制目标，广泛收集与风险管理相关信息。第十七条 公司开展风险评估，应当准确识别与实现控制目标相关的内部风险和
外部风险，确定相应的风险承受度。
第十八条 识别内部风险，重点关注下列因素：
(一) 董事及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；(二) 组织机构、经营方式、资产管理、业务流程等管理因素；
(三) 研究开发、技术投入、信息技术运用等自主创新因素；
(四) 财务状况、经营成果、现金流量等财务因素；
(五) 营运安全、员工健康、环境保护等安全环保因素；
(六) 其他有关内部风险因素。
第十九条 识别外部风险，重点关注下列因素：
(一) 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；
(二) 法律法规、监管要求等法律因素；
(三) 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；
(四) 技术进步、工艺改进等科学技术因素；
(五) 自然灾害、环境状况等自然环境因素；
(六) 其他有关外部风险因素。
第二十条 风险评估应采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。第二十一条 公司根据风险分析的结果，结合风险承受度，权衡风险与收益，综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。
第五章 控制活动
第二十二条 公司结合风险评估结果，预防性控制与检查性控制相结合的方法，将风险控制在可承受范围内，采取的控制措施主要包括但不限于以下：
(一) 不相容职务分离控制：将业务流程中所涉及的不相容职务相互分离，形成各司其职、各负其责、相互制约的工作机制；
(二) 授权审批控制：根据常规授权和特别授权的规定，明确各岗位权限范围、审批程序和相应责任，各级管理人员应当在授权范围内行使职权和承担责任，公司对于重大的业务和事项实行集体决策审批制度；
(三) 会计系统控制：严格执行国家统一的会计准则，加强会计基础工作，明确
会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。公司依法设置会计机构，配备会计专业人员；
(四) 财产保护控制：建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全，公司须严格限制未经授权的人员接触和处置财产；
(五) 预算控制：实施全面预算管理制度，明确各预算责任主体在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束；
(六) 运营分析控制：建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进；
(七) 绩效考评控制：建立和实施绩效考评制度，科学设置考核指标体系，对公司责任部门和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗等的依据；
(八) 重大风险预警机制和突发事件应急处理机制：公司对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。
第二十三条 公司应根据内部控制目标，结合风险应对策略，综合运用控制措施，对本制度第七条所列各业务环节及以下特定风险事项实施有效控制措施：
(一) 对控股公司的控制管理；
(二) 对关联交易的控制管理；
(三) 对外担保的控制管理；
(四) 对募集资金使用的控制管理；
(五) 对重大投资的控制管理；
(六) 对信息披露的控制管理；
(七) 对控股股东及关联方占用公司资金的控制管理。
第六章 信息与沟通
第二十四条 建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，建立明确的管理报告体系，确保信息及时沟通，促进内部控制有效运行。第二十五条 对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提
高信息的有用性。
第二十六条 将内部控制相关信息在各单位、业务环节之间，以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈，信息沟通过程中若发现问题，应