1、内部控制自我评价报告完整版长春高新药技术股份有限公司全体股东: 根据企业内部控制基本规范及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合康龙化成(北京)新药技术股份有限公司(以下简称“公司”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司2019年12月31日(内部控制评价报告基准日)的内部控制有效性进行了评价。 一、重要声明 按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董
2、事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。 二、内部控制评价结论 根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制
3、重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。 根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。 自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。 三、内部控制评价工作情况 (一)内部控制评价范围 纳入评价范围的主要单位包括公司及从事实验室服务、CMC服务、临床研究服务的主要全资子公司、控股子公司。纳入评价范围的主要业务和事项包括:治理机构、组织结构、企业文化建设、信息与沟通、财务管理制度与财务报告、合同管理、对外投资、对外担
4、保、技术研发管理、工程管理、信息披露、人力资源、关联交易。 公司重点关注的高风险领域主要包括:财务管理制度与财务报告、合同管理、对外投资、对外担保、信息披露、关联交易。 公司纳入评价范围的业务和事项具体情况如下:1治理机构 公司严格按照公司法等法律法规的要求,建立健全了股东大会、董事会、监事会等治理机构、议事规则和决策程序,履行公司法和公司章程所规定的各项职责。重大决策事项,如批准公司的经营方针和投资计划,选举和更换董事、监事,修改公司章程等,须由股东大会审议通过。董事会负责执行股东大会做出的决定,向股东大会负责并报告工作。在股东大会授权范围内,决定公司对外投资、收购出售资产、资产抵押、对外担
5、保等事项。对于重大投资项目,超越董事会决策权限的事项必须报股东大会批准。董事长是公司的法定代表人,负责主持股东大会和召集、主持董事会会议,督促、检查董事会决议的执行,及董事会授予的其他职权。监事会是公司的监督机关,向股东大会负责并报告工作,主要负责对董事会编制的公司报告进行审核并提出书面审核意见,检查公司财务,对董事、高级管理人员执行公司职务的行为进行监督等。2组织结构 根据公司经营活动的状况,已建立了的管理架框体系包括科研与生产部门、商务拓展部、人力资源部、财务部、证券事务部、法务部、公共事务部、环境、健康与安全部、工程项目部、采购部、库房部、行政部、资产管理部、信息技术管理部以及内控部等部
6、门,明确规定了各部门的主要职责,形成各司其职、各负其责、相互配合、相互制约、环环相扣的内部控制体系。3企业文化建设 公司培育职工积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。4信息与沟通 公司建立了信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。5财务管理制度与财务报告 公司严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司建立健全了财务管理制度,公司财务部门直接负责编制公司财务报告。针对公司年度财务报告,
7、公司按照规定聘请会计师事务所进行审计,并在审计基础上由会计师事务所出具审计报告。6合同管理 为规范合同管理,正式签订合同前,公司相关业务部门应在与合同方洽谈合同细节后,按审批权限划分,分别经相关部门主管领导审批后,方能正式签订。签订合同的相关业务部门应随时了解、掌握合同的履行情况,发现问题及时处理汇报。否则,造成合同不能履行、不能完全履行的,要追究有关人员的责任。7对外投资 公司已建立健全对外投资事项的相关制度。为规范公司对外投资行为,控制公司经营风险,根据公司法、公司章程及其他有关法律法规的规定,制定了对外投资管理制度,对公司对外投资等事项进行了规定。8对外担保 公司制定了对外担保管理制度,
8、对公司担保事项进行了规定。公司对外担保必须依照公司章程的规定,经董事会或股东大会审议。未经公司董事会或股东大会批准,公司不得对外提供担保,也不得以公司名义签署对外担保的合同、协议或其他类似的法律文件。9技术研发管理 公司建立了研发项目规范化流程,完善了研发管理制度,以确保研发工作的顺利进行。10工程管理 公司制定了相关工程的制度和管理流程,对于主要工程的重要管理事项如进度与质量控制、议标及工程采购管理、合同管理、工程款支付、工程验收等进行了规范,以确保工程工作的顺利进行。11信息披露 为规范公司信息披露管理,公司制定了信息披露管理办法,明确规定了重大信息的范围和内容,以及重大信息的传递、审核、
9、披露流程;对信息披露进行了明确的规定。为了加强信息披露管理,公司制定了年报信息披露重大差错责任追究制度、内幕信息知情人管理制度,明确规定公司及其董事、监事、高级管理人员、股东、实际控制人等相关信息披露义务人在信息披露事务中的权利、义务和责任。12人力资源 公司建立和实施较科学的聘用、培训、轮岗、考核、奖惩、晋升和淘汰等人事管理制度,并聘用足够的人员,使其能完成所分配的任务。公司通过制定积极的人力资源政策,主要关注员工招聘与入职管理、离职管理、请假与考勤管理、绩效考核管理、晋升与调薪管理、薪酬计算与支付管理、社保与公积金管理等。13 关联交易附件3: 企业内部控制审计指引第一章 总 则第一条 为
10、了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据企业内部控制基本规范、中国注册会计师鉴证业务基本准则及相关执业准则,制定本指引。 第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。 第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。 第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。 注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部
11、控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。 第五条 注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以下简称整合审计)。 在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标: (一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见。 (二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。 第二章 计划审计工作 第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督
12、导。 第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响: (一)与企业相关的风险。 (二)相关法律法规和行业概况。 (三)企业组织结构、经营特点和资本结构等相关重要事项。 (四)企业内部控制最近发生变化的程度。 (五)与企业沟通过的内部控制缺陷。 (六)重要性、风险等与确定内部控制重大缺陷相关的因素。 (七)对内部控制有效性的初步判断。 (八)可获取的、与内部控制有效性相关的证据的类型和范围。 第八条 注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。 内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。 第九
13、条 注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。 注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。 与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。 注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。 第三章 实施审计工作 第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是
14、注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。 第十一条 注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注: (一)与内部环境相关的控制。 (二)针对董事会、经理层凌驾于控制之上的风险而设计的控制。 (三)企业的风险评估过程。 (四)对内部信息传递和财务报告流程的控制。 (五)对控制有效性的内部监督和自我评价。 第十二条 注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企业生产经营活动中的重要业务与事项的控制进行测试。 注册会计师应
15、当关注信息系统对内部控制及风险评估的影响。 第十三条 注册会计师在测试企业层面控制和业务层面控制时,应当评价内部控制是否足以应对舞弊风险。 第十四条 注册会计师应当测试内部控制设计与运行的有效性。 如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。 如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。 第十五条 注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。与内部控制相关的风险越高,注册会计师需要获取的证据应越多。 第十六条 注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。 询问本身并不足以提供充分、适当的证据。 第十七条 注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据: (一)尽量在接近企业内部控制自我评价基准
