上海复星医药（集团）股份有限公司
内部控制自我评价手册
二〇一五年三月
1 手册概述
1.1 编制目的及编制基础
1.1.1 编制目的
为完善上海复星医药（集团）股份有限公司（以下简称“本公司”）内部控制体系的建设，本公司特制 订《上海复星医药（集团）股份有限公司内部控制自我评价手册》（以下简称“本手册”）。其目的是在于确 保本公司及其控股子公司/单位（以下简称“本集团”）内部控制体系的有效运行，提高内部控制与风险管 理水平，促进本集团健康持续发展，提高本集团运作效果和效率，全面提升企业管理水平和竞争能力，增 加企业价值。
5.3.4 设计有效性测试结果
设计有效性测试的结果，可分为三种类型：有效、部分有效、无效。 5.4 运行有效性测试
运行有效性是指在内部控制设计有效的前提下，内部控制能够按照设计的控制程序正确地执行，从而 为控制目标的实现提供合理保证。
5 内部控制测试的执行
5.1 内部控制测试定义 内部控制测试，是指由评价小组综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽
样和比较分析等方法，收集内部控制设计和执行是否有效的证据，以发现内部控制的缺陷，并对内部控制 的有效性进行评价的过程。 5.2 内部控制测试对象
凡在本公司《内控手册》中记录的涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要 素的关键内部控制活动及依据全面性、重要性和客观性的原则确定的本集团内部控制活动，均应纳入内部 控制测试的对象范围内。
情况汇报报告
审议
审议
情况汇报报告
内
部
控 制 评 价 报
形成年度内部 控制评价报告
（初稿）
形成年度内部 控制评价报告
内部控制评价 报告（初稿）
告
内部控制评价
的 出
对外披露
报告
具
结束
内部控制评价 报告
4 年度内部控制自我评价工作方案的制定
4.1 内部控制自我评价工作方案编制和审批 每年由内部控制自我评价小组编制内部控制自我评价工作方案，经董事会审计委员会审批后执行。该
内部控制自我评价，是指本公司董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价 结论、出具评价报告的过程。
本公司旨在通过本手册明确公司内部控制自我评价机构设置、工作执行、缺陷整改、评价报告等工作 流程，将内部控制自我评价工作落实到本集团的各个层面，实现对内部控制体系有效性的持续监控。内部 控制自我评价作为内部控制监控的重要手段之一，保证本集团内部控制设计和执行有效。
本手册所称“下属单位”，是指本公司下属全资子公司、控股子公司、分公司、事业部等。本集团参股 企业等企业机构可在适用情况下参照执行。
1.1.2 编制基础
本手册依据中华人民共和国财政部、中华人民共和国审计署、中国保险监督管理委员会、中国银行业 监督管理委员会、中国证券监督管理委员会（以下简称“五部委）”颁布的《企业内部控制基本规范》与《企 业内部控制评价指引》、上海证券交易所颁布的《上海证券交易所上市公司内部控制指引》、香港联合交易 所有限公司（以下简称“香港联交所”）颁布的《企业管治常规守则》等相关的法规及配套指引、守则，参 照美国证券交易委员会推荐的 COSO 内部控制框架等，结合本集团的具体情况编制而成。 1.2 内部控制自我评价原则与内容
关键控制点的识别与确认一般可以从以下方面考虑： （1）信息传递正确、及时； （2）各式（业务、财务、管理）单据的连续和交接； （3）各式交易的授权层级； （4）独立的复核、审核检查机制； （5）清晰的文档记录及保管； （6）及时有效的业绩审阅； （7）信息处理控制； （8）实物管理控制； （9）必要的职权分离。 此外，对本集团战略目标的实现具有深远影响的控制点为关键控制点；如果一个控制点可以防范多个 风险，可判断为关键控制点；对于反舞弊的控制点，一般认为均属于关键控制点。
通常每一条风险至少需有一个关键控制点与其对应。
5.3.3 穿行测试
5.3.3.1 穿行测试目的 验证本公司或下属单位的流程实际控制与《内控手册》及风险控制矩阵中所记录的控制内容是否一致，
是否存在设计缺陷，各环节是否按照规定运行。 5.3.3.2 穿行测试频率
要求每年至少进行一次穿行测试。 5.3.3.3 穿行测试样本选取原则
3 内部控制自我评价工作流程
内部控制自我评价的整体工作流程如下所示：
内部控制自我评价工作流程图
公司及下属单位
内部控制自我评价工 董事会下属审计委员
作小组

会
内
控
开始
自
评
方
案 的 制
编制内控自评 工作方案
审批
定
执行设计有效 性测试
内 部 控 制 测 试 的 执 行
制定整改计划
执行运行有效 性测试
认定内控缺陷
2.2 内部控制自我评价小组及其职责 本公司设立内部控制自我评价小组（以下简称“评价小组”），负责内部控制工作的评价、监督和汇报
工作。评价小组成员分别由公司审计部人员、各下属单位内部控制自我评价人员组成。评价小组应根据本 手册对本集团内部控制进行评价和持续监督，形成有效的内部控制评价体系和持续监督体系，确保内部控 制的持续有效，最终实现本集团内部控制的总体目标。 2.2.1 评价小组的要求
务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递等控 制。
信息技术层面：主要指本集团的信息技术内控体系，主要涉及信息系统的变更控制、访问控制和其他 一般 IT 操作控制，具体反映为信息技术应用流程。
2 内部控制自我评价机构的设置及其职责
2.1 董事会及其职责 建立、健全和有效实施内部控制，评价内部控制的有效性，形成本公司的年度《内部控制评价报告》，
5.3.2 确定控制目标和相应的控制点
评价小组根据《内控手册》、访谈结果，编制本集团各业务流程的《风险控制矩阵工作底稿》（格式参 见附件一）。该工作底稿应归集对应的控制目标和相应控制点，特别是关键控制点。
关键控制点，是指那些对于抑制风险来说是不可或缺的控制点，这些控制点一般拥有控制力度强且能 覆盖其他控制点的作用；在其他控制点失效的情况下，其仍可以保证风险被控制在可接受的范围内。
5.3 设计有效性测试 设计有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现
提供合理保证。 设计有效性测试可分为访谈、确定控制目标和相应控制点、穿行测试等步骤。
5.3.1 访谈
访谈的主要目的是通过与相关人员进行访谈，了解各业务流程风险相关的控制措施的状况。 在开展本集团的内部控制自我评价工作中，评价小组需制定各业务流程的访谈计划。访谈主要步骤包 括： （1）了解相关本集团的背景资料，例如部门设置，职责分工，基础业务说明，业务政策等相关信息； （2）在审阅相关流程控制文档的基础上，如最近一次内控评价工作形成的相关控制文档，初步了解控 制活动； （3）根据各个业务流程的性质和难易程度，合理规划访谈时间和访谈对象，编制访谈计划并发给被访 谈人，力求提高访谈质量，降低重复访谈次数； （4）根据访谈计划开展访谈，了解业务流程和控制措施，形成访谈记录。
（1）样本必须能够代表该流程（或子流程）的典型业务及操作过程； （2）样本需要尽可能覆盖该流程（或子流程）的所有控制点； （3）对于上述样本确实无法覆盖的控制点，可以单独选取额外样本进行测试。 5.3.3.4 穿行测试样本数量 在各个业务流程（或子流程）中，通过选取一个样本，来对其是否有效地贯穿整个流程、覆盖主要关 键控制点进行测试。 5.3.3.5 穿行测试的记录 （1）在风险控制矩阵中记录样本穿行测试的过程及结果； （2）如测试过程中发现样本出现异常的控制点，应详细描述该异常特征； （3）测试结果的记录必须忠实于实际测试情况，不得人为改变记录描述； （4）对于穿行测试过程中取得的所有样本资料，均需保留纸质或者电子文档作为证据，并编号。
1.2.1 内部控制自我评价原则
本集团实施内部控制自我评价需遵循全面性、重要性和客观性原则。其中： 全面性原则：内部控制自我评价工作包括对内部控制的设计与运行的评价，涵盖公司和下属单位的各 种业务和事项。 重要性原则：内部控制自我评价工作在全面评价的基础上，关注重要业务单位、重大业务事项和高风 险领域。 客观性原则：内部控制自我评价工作应当客观地揭示经营管理的风险状况，如实地反映内部控制设计 与运行的有效性。
（3）开展本集团的内部控制测试和评价，编制工作底稿，形成缺陷汇总表； （4）根据本集团的缺陷整改计划，及时跟踪，监督其整改完成情况； （5）形成年度内部控制自我评价情况汇报报告，报董事会审计委员会审议。 本公司审计部应负责组织各下属单位内部控制自我评价人员的辅导和培训，逐步使各下属单位自评人 员能独立执行内部控制测试和评价工作。 在自我评价工作中，各下属单位内部控制自我评价人员应负责本单位各部门间的工作协调，并具体开 展各流程的评价工作。
工作方案应当根据国家法律法规要求、企业自身经营特点、发展目标及年度工作重点制定。方案应当明确 年度自我评价工作的目的、范围（包括实体范围和业务流程范围）、组织、标准、方法、进度安排、人员安 排等。该方案应包括两方面的内容：
（1）由本公司审计部独立开展的内部控制自我评价； （2）由下属企业独自开展的内部控制自我评价，其结果及相应的底稿和资料应报送本公司审计部复核， 审计部可根据实际情况抽查。 评价小组应当在每年年报发布前向本公司董事会审计委员会提交本年度的内部控制自我评价工作方 案，经董事会审计委员会审批后方可实施。 4.2 内部控制自我评价工作方案变更 如当年经批准的工作方案发生变化，需由评价小组判断变化的性质，根据实际情况修正该方案；如变 更内容大于年度工作方案的三分之一，需报请本公司董事会审计委员会再次审批。
内部控制活动根据其发生的时点，可分为预防型控制和检查型控制两大类，其中： （1）预防型控制通常用于正常业务流程的每一项交易，以防止错报的发生； （2）检查型控制通常用于发现流程中可能发生的错报。 内部控制活动根据其操作方式，又可分为手工控制和系统控制两大类，其中： （1）手工控制是通过人工操作（包括人工对系统的操作）来执行的控制活动。手工控制的有效性依赖 于执行控制活动的执行人的胜任能力和尽责程度。 （2）系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有 效性依赖于有效的通用计算机控制环境。