生物谷:内部控制评价报告

证券代码：833266 证券简称：生物谷 公告编号：2025-024
云南生物谷药业股份有限公司
内部控制评价报告
本公司及董事会全体成员保证公告内容的真实、准确和完整，没有虚假记载、 误导性陈述或者重大遗漏，并对其内容的真实性、准确性和完整性承担个别及连 带法律责任。
根据《企业内部控制基本规范》等有关规定，结合云南生物谷药业股份有限公司（以下简称 “公司”）相关制度的要求，公司对截至
2024 年 12 月 31 日的内部控制有效性进行了评价。
一、重要声明
按照企业内部控制规范体系的规定，建立健全和有效实施内部控制、评价其有效性，并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。管理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。由于内部控制存在的固有局限性，故仅能为实现上述目标提供合理保证。此外，由于情况的变化可能导致内部控制变得不恰当，或
对控制政策和程序遵循的程度降低，根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制原则与目标
（一）内部控制评价目标
1、建立和完善符合现代管理要求的公司治理结构和内部组织机构，形成科学的决策机制、执行机制与监督机制，保证公司经营目标的实现。
2、建立有效的风险控制系统，强化风险管理，保证公司经营业务活动的正常有序运行。
3、确保国家有关法律、法规和内部规章制度的贯彻执行。
4、建立良好的内部控制环境，防止并及时发现、纠正各种错误、舞弊行为，保证公司财产的安全、完整、保证股东利益的最大化。
（二）内部控制评价原则
1、内部控制制度的制定必须符合国家有关的法律、法规和政策。
2、内部控制制度应根据公司实际情况，针对业务处理过程中的关键控制点，将该制度落实到决策、执行、监督、反馈等各个环节。
3、内部控制制度应保证公司内部机构、岗位的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位权责分明、相互制约、相互监督。
4、内部控制制度的制定遵循考虑成本与效益的原则,尽量以合理的控制成本达到最佳的控制效果。

三、内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务、事项以及高风险领域。
（一）纳入评价范围的单位
公司纳入评价范围的主要单位包括云南生物谷药业股份有限公司、云南弥勒灯盏花药业有限公司、北京生物谷预防医学研究有限公司、上海灯盏升脉医药生物科技有限公司、红河灯盏花生物技术有限公司。纳入评价范围的主要单位为公司本部及合并范围内子公司，纳入评价范围单位的资产总额占公司合并财务报表资产总额的 100%，营业收入合计占公司合并财务报表营业收入总额的 100%。
（二）纳入评价范围的主要业务和事项
治理结构、发展战略、机构设置、权责分配、不相容岗位是否分离、人力资源政策和激励约束机制、企业文化、社会责任、资金筹集和使用、采购及付款、销售及收款、项目运营及成本控制、资产运行和管理、对外投资、关联交易、对外担保、研发、对子公司的管控、信息披露等。
上述纳入评价范围的业务和事项以及高风险领域涵盖了公司经营管理的主要方面，不存在重大遗漏。
四、内部控制情况
公司严格执行内部控制制度，建立了符合现代管理要求的内部组织结构，形成了科学的决策机制、执行机制和监督机制，保证了公司经营管理目标的实现。现对公司主要内部控制制度的执行情况说明如
下：
（一）内部环境
1、治理结构
公司已根据国家有关法律法规和本公司章程的规定，建立了规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。
公司制定了《股东大会议事规则》，对股东会的性质、职权及股东会的召集与通知、提案、表决、决议等工作程序作出了明确规定。该规则的制定并有效执行，保证了股东会依法行使重大事项的决策权，有利于保障股东的合法权益。
公司董事会由9名董事组成，设董事长1人，其中独立董事3名。下设战略委员会、提名委员会、薪酬与考核委员会及审计委员会四个专门委员会，公司制定了《董事会议事规则》、《独立董事专门会议工作制度》、《独立董事工作制度》、《董事会秘书工作细则》、《董事会提名委员会工作细则》、《董事会战略与投资委员会工作细则》、《董事会薪酬与考核委员会工作细则》、《董事会审计委员会工作细则》、《独立董事战略与投资委员会工作细则》、《独立董事专门会议工作制度》等，规定了董事的选聘程序、董事的义务、董事会的构成和职责、董事会议事规则、独立董事的工作程序、各专门委员会的构成与职责等。这些制度的制定并有效执行，能保证专门委员会有效履行职责，为董事会科学决策提供帮助。
公司监事会由 3 名监事组成，其中 1 名为职工代表。公司制定了
《监事会议事规则》，对监事职责、监事会职权、监事会的召集与通知、决议等作了明确规定。该规则的制定并有效执行，有利于充分发挥监事会的监督作用，保障股东利益、公司利益及员工合法利益不受侵犯。
公司制定了《总经理工作细则》，规定了总经理职责、总经理办公会、总经理报告制度、监督制度等内容。这些制度的制定并有效执行，确保了董事会的各项决策得以有效实施，提高了公司的经营管理水平与风险防范能力。
2、内部组织结构
公司设置了董事会秘书办公室、审计委员会办公室、总经理办公室、营销中心、供应链与运营中心、生产中心、研发部、质量部、财务部、行政人事部和采购部等内部机构。通过合理划分各部门职责及岗位职责，并贯彻不相容职务相分离的原则，使各部门之间形成分工明确、相互配合、相互制衡的机制，确保了公司生产经营活动的有序健康运行,保障了控制目标的实现。
3、人力资源政策
公司重视人力资源建设，制定和实施了包括员工聘用、调配、培训、薪酬管理、考核与评价、奖惩、晋升与淘汰等人事管理制度，有效调动了全体员工的积极性和创造性，促进公司年度经营计划的实现。报告期内，公司按照人事管理制度及时足额为员工发放工资、绩效及各项员工福利，并按照国家规定为员工缴纳各项社会保险和住房公积金。

4、企业文化
公司重视企业文化建设，践行“集优质植物资源，做缺血性心脑血管疾病防治领域领军企业”的愿景，以“关注高危人群，守护血管健康，提高生命质量”作为企业使命，形成了“专注 专业”的企业精神以及“市场为先 善于协作 勇于担当 敢于超越”的核心价值观。公司不断探索新领域、新技术、新工艺和新的管理理念，持续提升公司的核心竞争力。同时，公司十分重视加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作情神，树立现代管理理念，强化风险意识。董事、监事及高级管理人员在企业文化建设中发挥主导作用。企业员工遵守员工手册，认真履行岗位职责。
（二）风险评估
公司根据战略目标及发展思路，结合行业特点，制定和完善风险管理政策和措施，实施内控制度执行情况的检查和监督，确保业务交易风险的可知、可防与可控，确保公司经营安全。将企业风险控制在可承受的范围内，同时避免从事与公司战略目标发展不相符的业务。公司制定了合理的控制目标，建立了有效的风险评估机制，以识别和应对与实现控制目标相关的风险，确定相应的风险承受度。
（三）控制活动
1、不相容职务分离控制
公司已全面系统地分析、梳理业务流程中所涉及的不相容职务，
并实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。不相容的职务主要包括：授权批准与业务执行、业务执行与审核监督、财产保管与会计记录、业务经办与业务稽核等。
2、授权审批控制
公司已将授权审批控制区分一般授权和特别授权，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。对于一般授权，编制了主要业务管理权限表；对于特别授权，明确规范其范围、权限、程序和责任，并严格控制特别授权。
3、会计系统控制
公司严格按照《会计法》《企业会计准则》等进行会计确认和计量、编制财务报告，明确会计凭证、会计账薄和财务报告的处理程序，保证会计资料真实、准确、完整。
会计基础工作完善，会计机构设置完整，会计从业人员按照国家有关会计从业资格的要求配置，保证机构、人员符合相关独立性要求。
4、财产保护控制
公司已建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对、限制接触和处置等措施，确保财产安全。
5、预算控制
公司已实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
6、运营分析控制

公司已建立运营情况分析制度，管理层及时综合地运用生产、购销、投资、筹资、财务等方面的信息，通过定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。
7、绩效考评控制
公司已建立和实施绩效考评制度，设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
8、突发事件应急处理控制
公司已建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。
（四）信息与沟通
公司已建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。
1、信息收集渠道畅通
公司可以通过财务会计资料、经营管理资料、调研报告、专项信息、办公网络等渠道，获取内部信息；也可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。
2、信息传递程序及时
公司能将内部控制相关信息在内部各管理级次、责任单位、业务
环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行及时沟通和反馈，信息沟通过程中发现的问题，能及时报告并加以解决。重要信息能及时传递给董事会、监事会和经理层。
3、信息系统运行安全
公司已建立对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制制度，保证信息系统安全稳定运行。
（五）内部监督
公司已建立内部控制监督制度，明确内部审计机构在内部监督中的职责权限，规范了内部监督的程序、方法、要求以及日常监督和专项监督的范围、频率。对监督过程中发现的内部控制缺陷，能及时分析缺陷的性质和产生的原因，提出整改方案，并采取适当的形式及时向董事会、监事会或者管理层报告。
五、公司关键内部控制的执行情况
（一）资金营运和管理
1、资金管理
公司制定了《资金管理制度》，对资金的收支和保管业务建立了较为严格的授权批准程序，对办理资金业务的不相容岗位进行了分离，使得相关机构和人员之间相互制约，加强款项收付稽核，确保资金的安全。公司没有影响资金安全的重大缺陷。
2、募集资金使用管理

公司制定了《募集资金管理制度》，对募集资金的存储、审批、使用、变更、监督进行了规范。公司在进行项目投资时，资金支出必须严格履行申请和审批手续。凡涉及每一笔募集资金的使用，均须由具体使用部门提出资金使用申请，在董事会授权范围内由财务部审核后，逐级由项目负责人、财务