昆明制药内部控制以及全面风险控制制度

年5月29日昆明制药内部控制以及全面风险控制制度文档仅供参考昆明制药

内部控制及全面风险管理办法

第一章总则第一条为推动和指导公司各责任中心、职能部门及子公司建立健全和有效实施内部

控制制度及全面风险管理,提高公司风险管理水平,增强企业竞争力,促进公司持续、稳步、健康发展,保护投资者的合法权益,依据<公司法>、<证券法>及<上海证券交易

所上市公司内部控制指引>等法律、法规,结合公司实际,制定本办法.

第二条本办法所称内部控制是指公司为了保证公司战略目标的实现,而对公司战略

制定和经营活动中存在的风险予以管理的相关制度安排.它是由公司董事会、管理层及全

体员工共同参与的一项活动.具体包括围绕风险管理策略目标,针对企业战略、规划、产

品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、

销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,经过执行风

险管理基本流程,制定并执行的规章制度、程序和措施.

第三条本办法所称企业风险,指未来的不确定性对企业实现其经营目标的影响.企

业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也能够能否

为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风

险(带来损失和盈利的可能性并存).

本办法所称全面风险管理,指企业围绕总体经营目标,经过在企业管理的各个环节

和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管

理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系

统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法.

第四条公司对内部控制及全面风险管理的总体目标:

(一)确保将风险控制在与总体目标相适应并可承受的范围内;

2

(二)确保内外部,特别是公司与股东之间实现真实、可靠的信息沟通,包括

编制和提供真实、可靠的财务报告;

(三)确保遵守有关法律法规;

(四)确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行,

保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确

定性;

(五)确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因

灾害性风险或人为失误而遭受重大损失.

第五条公司开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和

危害,也应把机会风险视为企业的特殊资源,经过对其管理,为公司创造价值,促进经营

目标的实现.

第六条公司本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大

风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管

理工作.经过积累经验,培养人才,逐步建立健全全面风险管理体系.

第七条公司开展内控及全面风险管理工作应与其它管理工作紧密结合,把风险管

理的各项要求融入企业管理和业务流程中创造价值,促进经营目标的实现.

第八条公司应当按照法律、法规、规章以及股票上市规则的规定建立健全内部控制

制度(以下简称内控制度),保证内控制度的完整性、合理性.

第九条董事会对公司内控制度及全面风险管理的建立健全、有效实施及其检查监

督负责,董事会及其全体成员应保证内部控制及全面风险管理相关信息披露内容的真

实、准确、完整.公司董事会授权审计法务部督导本办法的实施.

3

第二章内部控制及全面风险管理的框架

第十条公司内控制度及全面风险管理应按照全面、完整的原则,从以下层面作出安

排:

(一)公司层面;

(二)公司下属各责任中心、职能部门及子公司层面;

(三)公司各业务环节层面.

第十一条公司内部控制及全面风险管理由四大目标(即战略目标、报告目

标、营运目标、遵循目标)和八项相互关联的要素组成,公司建立和实施内控制

度及全面风险管理时,应考虑以下基本要素:

(一)目标设定,指董事会和管理层根据公司的风险偏好设定战略目标.内控环境,

指公司的组织文化以及其它影响员工风险意识的综合因素,包括员工对风险的看法、管理

层风险管理理念和风险偏好、职业道德规范和工作氛围、董事会和监事会对风险的关注和

指导等.

(二)风险确认,指董事会和管理层确认影响公司目标实现的内部和外部风险因素.

(三)风险评估,指董事会和管理层根据风险因素发生的可能性和影响,确定管理风

险的方法.

(四)风险管理策略选择,指董事会和管理层根据公司风险承受能力和风险偏好选择

风险管理策略.

(五)控制活动,指为确保风险管理策略有效执行而制定的制度和程序,包括核准、

授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等.

(六)信息沟通,指产生服务于规划、执行、监督等管理活动的信息并适时向使用者

提供的过程.

4

(七)检查监督,指公司自行检查和监督内部控制运行情况的过程.

第十二条公司下属各责任中心、职能部门及子公司,应在符合公司总体战略目标的

基础上,针对各单位、业务环节的特点,建立相应的内控制度及全面风险管理.

第十三条公司内部控制及全面风险管理一般应涵盖经营活动中所有业务环节,包括但

不限于:

(一)生产环节:包括拟定生产计划、开出用料清单、储存原材料、投入生产、计算

存货生产成本、计算销货成本、质量控制等.

(二)采购及付款环节:包括采购申请、处理采购单、验收货物、填写验收报告或处

理退货、记录应付账款、核准付款、支付现款及其记录等.

(三)销货及收款环节:包括订单处理、信用管理、运送货物、开出销货发

(四)票、确认收入及应收账款、收到现款及其记录等.

(四)固定资产管理环节:包括固定资产的自建、购置、处理、维护、保管与记录等.

(五)货币资金管理环节:包括货币资金的入账、划出、记录、报告、出纳人员和财

务人员的授权等.

(六)关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记

录等.

(七)担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授

权、执行与记录等.

(八)投资环节:包括投资有价证券、股权、不动产、经营性资产、金融衍生品及其

她长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等.

(九)研发环节:包括基础研究、产品设计、技术开发、产品测试、研发记录及文件

保管等.

5

(十)人事管理环节:包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、

退休、计时、计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考

核等.

(十一)媒体管理环节:包括对产品市场推广,资本市场信息披露、新闻采访、内部

刊物等任何形式的关于公司的媒体报道进行事先引导、事后跟踪控制等.

第十四条公司内控制度及全面风险管理除涵盖对经营活动各环节的控制及风险管理

外,还包括贯穿于经营活动各环节之中的各项管理制度,包括但不限于:印章使用管理、

票据领用管理、预算管理、资产管理、质量管理、担保管理、职务授权及代理制度、定期

沟通制度、信息披露管理制度及对子公司的管理制度等.

第十五条因公司使用计算机信息系统,因此信息部或董事会办公室应建立和完善信

息管理的内控制度.信息管理的内控制度至少应涵盖下列内容:

(一)信息处理部门与使用部门权责的划分;

(二)信息处理部门的功能及职责划分;

(三)系统开发及程序修改的控制;

(四)程序及资料的存取、数据处理的控制;

(五)档案、设备、信息的安全控制;

(六)在上海证券交易所网站或公司网站上进行公开信息披露活动的控制.

第十六条公司资产财务部应根据国家财政主管部门的有关规定,建立和完善内部会

计控制规范.

第十七条公司聘请会计师事务所和律师事务所等中介机构协助建立和完善内控制

度及风险管理.

第三章内部控制及全面风险管理设计原则、方法和标准

6

第十八条内部控制及全面风险管理设计的总体思路是:借鉴内部控制理论,参考

内部控制范例,遵循内部控制法规、结合公司管理实际.

内部控制及全面风险管理设计应遵循:合法全面原则、授权牵制原则、协调配合原

则、成本效益原则、整体结构原则、有效适用原则、预防为主原则、信息基础原则.

第十九条内部控制及全面风险管理设计既要有效益又要有效率,同时能适应公司

机构变化和满足特殊要求.重点应进行风险管理组织体系设计、业务流程设计、运

营信息系统设计.

第二十条公司应建立健全风险管理组织体系,主要包括规范的公司法人治

理结构,风险管理职能部门、内部审计部门和法律事务部门以及其它有关职能

部门、业务单位的组织领导机构及其职责.

第二十一条公司内部控制及全面风险管理设计采用的方法是:业务流程图设计.

它是指企业经营过程的一个阶段,由若干项作业组成,而作业由若干项任务组成.为有利

于内部控制及全面风险管理的实施,流程设计应按照编制流程目录、绘出流程图、编制风

险控制文档的基本顺序及标准进行.

编制流程目录:本办法流程目录分为一级至几级流程,各单位可根据实际需要选择流

程级数,并顺序编号(参见模板一)

绘出流程图:本办法流程图描述采用纵向垂直方式,自上而下表示流程的时间或逻辑

顺序,职能带区设置为纵向,并采用一般的流程图符号(如下图所示几何图形),进行绘

制(参见模板二).

形成文档

进程

岗位

判定控制点

7

编制风险控制文档:为配合对流程图的理解,应另行编制文字说明表主要反映各控制

点的控制措施以及对应的控制目标(参见模板三).控制点的描述格式为:"x.xM","x.xA",

"M"表示人工控制,"A"表示自动控制.

第二十三条公司各责任中心或部门,在实际工作中可按照上述内部控制及全面风险

管理设计原则、方法和标准,参考所附的设计模板,结合公司生产、经营、管理等实际情

况,进行关键业务控制流程及其风险控制文档的设计、制订.

第四章专项风险的内部控制

第一节对子公司的管理控制

本办法所称专项风险是指:公司某项特殊业务其未来的不确定性对公司实现经营目标

的影响.本章对特殊业务的内部控制进行了规范,包括对子公司的管理控制和其它风险的

内部控制.

第二十四条公司对控股子公司实行管理控制,主要包括:

(一)依法建立对控股子公司的控制架构,确定控股子公司章程的主要条款,选任董

事、监事、经理及财务负责人等.

(二)根据公司的战略规划,协调控股子公司的经营策略和风险管理策略,督促控股

子公司据以制定相关业务经营计划、风险管理程序.

(三)制定控股子公司的业绩考核与激励约束制度.

(四)制定母子公司业务竞争、关联交易等方面的政策及程序.

(五)制定控股子公司重大事项的内部报告制度.重大事项包括但不限于发展计划及

预算、重大投资、收购出售资产、提供财务资助、为她人提供担保、从事证券及金融衍生

品投资、签订重大合同、海外控股子公司的外汇风险管理等.

(六)定期取得控股子公司月度财务报告和管理报告,并根据相关规定,委托会计师

事务所审计控股子公司的财务报告.

8

第二十五条公司应对控股子公司内控制度的实施及其检查监督工作进行评价.

第二十六条公司应比照上述要求,对分公司和具有重大影响的参股公司的内控制度

作出安排.

第二节其它风险的内部控制

第二十七条公司应根据行业特点、战略目标和风险管理策略的不同,就特有风险作

出相关内控制度安排.

第二十八条公司应制定危机管理控制制度.

第五章内部控制的检查监督及信息披露

第二十九条公司应对内控制度的落实情况进行定期和不定期的检查.董事会及管理

层应经过内控制度的检查监督,发现内控制度是否存在缺陷和实施中是否存在问题,并及

时予以改进,确保内控制度的有效实施.

第三十条公司审计法务部负责内部控制的日常检查监督工作,并根据相关规定以及

公司的实际情况配备专门的内部控制检查监督人员.

第三十一条公司应制定内部控制检查监督办法,该办法至少包括如下内容:

(一)董事会或相关机构对内部控制检查监督的授权;

(二)公司各责任中心、职能部门及子公司对内部控制检查监督的配合义务;

(三)内部控制检查监督的项目、时间、程序及方法;

(四)内部控制检查监督工作报告的方式;

(五)内部控制检查监督工作相关责任的划分;

(六)内部控制检查监督工作的激励制度.

9

第三十二条公司根据自身经营特点制定年度内部控制检查监督计划,并作为评价内

部控制运行情况的依据.

公司应将收购和出售资产、关联交易、提供财务资助、为她人提供担保、募集资金使

用、委托理财等重大事项作为内部控制检查监督计划的必备事项.

第三十三条审计法务部应在检查监督项目结束后提交内部控制检查监督工作报告,

也可在进行其它项目审计时进行内部控制检查,一并提交审计报告.

第三十四条检查监督工作人员对于检查中发现的内部控制缺陷及实施中存在的问

题,应在内部控制检查监督工作报告或审计报告中据实反映,并在报告后进行后续追踪,

以督促相关部门及时采取适当的改进措施.

公司可将前款所发现的内部控制缺陷及实施中存在的问题列为各部门绩效考核的重

要项目.

第三十五条检查监督部门的工作资料,包括内部控制检查监督工作报告、审计报告、

工作底稿及相关资料,应按公司要求及时归档,保存时间不少于十年.

第三十六条公司内部控制的信息披露按照国家相关法律、法规及<上海证券交易所

上市公司内部控制指引>的规定执行.

第六章内部控制及风险管理文化

第三十七条公司应注重建立具有内控及风险意识的企业文化,促进企业风险管理

水平、员工风险管理素质的提升,保障企业内控及风险管理目标的实现.

第三十八条内部控制及风险管理文化建设应融入企业文化建设全过程.大力培育

和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识,将风险

管理意识转化为员工的共同认识和自觉行动,促进企业建立系统、规范、高效的内控及风

险管理机制.

第三十九条公司应在内部各个层面营造内控及风险管理文化氛围.董事会应高度重

视风险管理文化的培育,总裁负责培育风险管理文化的日常工作.董事和高级管理人员应

10

在培育风险管理文化中起表率作用.重要管理及业务流程和风险控制点的管理人员和业务

操作人员应成为培育风险管理文化的骨干.

第四十条公司应大力加强员工法律素质教育,制定员工道德诚信准则,形成人人讲

道德诚信、合法合规经营的风险管理文化.对于不遵守国家法律法规和企业规章制度、弄

虚作假、徇私舞弊等违法及违反道德诚信准则的行为,公司应严肃查处.

第四十一条公司全体员工特别是各级管理人员和业务操作人员应经过多种形式,努

力传播企业风险管理文化,牢固树立风险无处不在、风险无时不在、严格防控纯粹风险、

审慎处理机会风险、岗位风险管理责任重大等意识和理念.

第四十二条内控及风险管理文化建设应与薪酬制度和人事制度相结合,有利于增强

各级管理人员特别是高级管理人员风险意识,防止盲目扩张、片面追求业绩、忽视风险等

行为的发生.

第四十三条公司应建立重要管理及业务流程、风险控制点的管理人员和业务操作人

员岗前内部控制及风险管理培训制度.采取多种途经和形式,加强对内部控制及风险管理

理念、知识、流程、管控核心内容的培训,培养风险管理人才,培育风险管理文化.

第七章附则第四十四条本办法由公司董事会授权审计法务部负责解释.

第四十五条本办法自发文之日起施行.

11

附件:一、采购与付款流程目录(模板一);

二、采购与付款流程图(模板二);

三、采购与付款风险控制文档(模板三).

昆明制药集团股份有限公司

年5月19日第1页共5页采购与付款流程目录

流程编号一级流程二级流程三级流程四级流程

RCM05采购与付款

RCM05.01物资采购

RCM05.01.01请购计划管理

RCM05.01.02采购实施计划

RCM05.01.02.01电子采购

RCM05.01.02.02招标采购

RCM05.01.02.03非招标采购

RCM05.01.03资金计划

RCM05.01.04价格确定及供应商选择

RCM05.01.05合同签订与审批管理

RCM05.01.06物资退换

RCM05.01.07检验入库

RCM05.01.08结算确认负债

RCM05.01.08.01预付账款

RCM05.01.08.02应付账款

RCM05.01.08.03现付账款

RCM05.01.08.04应付票据

RCM05.01.09供应商管理

RCM05.01.10物流管理

RCM05.01.11

采购文档收集、统计、归档RCM05.02固定资产采购

RCM05.03服务采购

RCM05.03.01确认服务需要

RCM05.03.02确认采购方式

RCM05.03.02.01招标采购

RCM05.03.02.02非招标采购

RCM05.03.03编制资金计划

RCM05.03.04供方准入审查

RCM05.03.05签订采购合同

RCM05.03.06验收

RCM05.03.07结算确认负债

RCM05.03.07.01预付账款

RCM05.03.07.02应付账款

RCM05.03.07.03现付账款

RCM05.03.07.04应付票据

RCM05.03.08采购信息统计

第2页共5页物资采购0501-1

采购部财务部门仓储部其它有关部门

物资需求计划岗

01.提出物资需求申

请

需求单

02.负责人审批

采购与付款流程图及其风险控制文档

1.1M

计划岗

03.编制物资请购计划经过

请购单

2.1M

06.负责人审

批1.3M

未经过

05.负责人审核

1.2M

04.是否为预算内

采购岗

07.编制物资采购实

施计划

3.1M

08.负责人审批09.负责人审批

会计岗

10.编制资金计划

资金计划

11.负责人审核

接0501-2

1.4M1.5M

未经过未经过

4.1M

1.6M

未经过

经过

未经过

第3页共5页物资采购0501-2

采购部财务部门仓储部其它有关部门

接0501-1

采购岗

12.选择供应商,

确定采购价格

13.负责人审核

5.1M

采购岗

15.拟定采购合同

1.7M1.8M

14.负责人审批

未经过未经过

6.1A

16.会签、法律事务

处、相关领导审批

1.9M

未经过

负责人

18.监督合同执行

8.1M

负责人

17.签署如同,或

授权她人签署

授权委托书、采

购合同

7.1M

经过

19.检验人员对货

物进行检验

9.1M采购岗

20.编制不合格品

退货或折让处理

方案

退货折让方案

21.负责人审批

10.1M

22.是否为折让产品

采购岗

23.办理退货

不合格

仓储岗

24.办理入库

会计岗

25.收到采购发票

办理会计手续,

结算

10.1M

会计岗

26.定期与采购岗

核对账务

经过

未经过

是

不是

第4页共5页物资采购风险控制文档

单位名称:单位编码:

业务流程名称:采购与付款业务流程编码:05

当前子流程名称:物资采购当前子流程编码:0501

最后更新时间:版本:

编制部门:编制人:

风险类别控制目标的类型

控制点编号经营决策风险违反法律法规财务报告失真资产安全受到威胁营私舞弊风险描述

完整性控制准确性控制有效性控制接触性控制控制目标具体描述

控制类型

(预防性/发现性)

控制频率

(随时,日,周,月度,季度,

年度)

控制实

施证据

控制文件

的文号及

名称

1.1M√√√发现性随