迪瑞医疗: 内部控制评价管理制度（2026年4月修订）

         迪瑞医疗科技股份有限公司
          内部控制评价管理制度
                第一章 总则
  第一条 为了促进迪瑞医疗科技股份有限公司（以下简称“公司”）全面评价
内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风
险，根据有关法律法规和《企业内部控制基本规范》《企业内部控制评价指引》，
制定本制度。
  第二条 本制度所称内部控制评价，是指企业董事会对内部控制的有效性进
行全面评价、形成评价结论、出具评价报告的过程。
  第三条 企业实施内部控制评价至少应当遵循下列原则：
  （一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及
其所属单位的各种业务和事项。
  （二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、
重大业务事项和高风险领域。
  （三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反
映内部控制设计与运行的有效性。
         第二章 内部控制评价的职责分工
  第四条 董事会负责对内控的有效性进行全面评价、形成结论，出具内控评
价报告，并对内控评价报告真实性负责；负责认定公司重大内控缺陷，审批重大
内控缺陷的整改措施。
  第五条 在董事会的领导下由审计部牵头有关人员组成内控评价工作组，具
体实施内控评价工作。内控评价工作组负责对公司内部控制设计和运行的有效性
进行评价；负责控制缺陷的分析、报告及跟踪；负责对内控评价的一般缺陷、重
要缺陷、重大缺陷进行初步认定；负责向董事会及审计委员会报告发现的内控缺
陷；负责跟踪缺陷整改的落实情况。
         第三章 内部控制评价的内容
  第六条 内部环境评价内容：治理结构、机构设置及权责分配、人力资源、
企业文化、社会责任等。
  第七条 风险评估评价内容：目标设定、风险信息收集、风险识别、风险分
析、风险应对等设计与运行情况。
  第八条 控制活动评价内容：各项业务处理程序的授权批准、职责分工、实
物控制、凭证与记录控制、独立检查程序等控制措施的设计与运行情况。
 第九条 信息与沟通评价内容：信息收集、处理和传递的及时性、反舞弊机
制的健全性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内控
的有效性。
  第十条 内部监督评价内容：内部监督机制的有效性，重点关注董事会审计
委员会、审计部等在内控设计和运行中的监督作用。
  第十一条 内部控制评价工作应当形成工作底稿，详细记录公司执行评价工
作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认
定结果等。
          第四章 内部控制评价程序
  第十二条 内部控制评价程序一般包括：制定评价工作方案、组成评价工作
组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
  第十三条 审计部作为公司内部控制评价部门应当拟订评价工作方案，明确
评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会
审批后实施。
  第十四条 审计部应当根据经批准的评价方案，组成内部控制评价工作组，
具体实施内部控制评价工作。评价工作组应当吸收公司内部相关机构熟悉情况的
业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。
  公司可以委托中介机构实施内部控制评价。为公司提供内部控制审计服务的
会计师事务所，不得同时提供内部控制评价服务。
  第十五条 内部控制评价工作组应当对被评价单位进行现场测试，综合运用
个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，
充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，
如实填写评价工作底稿，研究分析内部控制缺陷。
           第五章 内部控制缺陷认定
  第十六条 内部控制缺陷包括设计缺陷和运行缺陷。公司对内部控制缺陷的
认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由审计部进
行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。
  第十七条 公司在日常监督、专项监督和年度评价工作中，应当充分发挥内
部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，
对内部控制缺陷进行初步认定（见附录），并按其影响程度分为重大缺陷、重要
缺陷和一般缺陷。
  第十八条 公司内部控制评价工作组应当建立评价质量交叉复核制度，评价
工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确
认。
  第十九条 公司审计部应当编制内部控制缺陷认定汇总表，结合日常监督和
专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表
现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向
董事会、审计委员会或者经理层报告。重大缺陷应当由董事会予以最终认定。
  公司对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承
受度之内，并追究有关部门或相关人员的责任。
           第六章 内部控制评价报告
  第二十条 审计部以汇总的评价结果和评定的内控缺陷为基础，综合内控工
作整体情况，客观、公正地编写内控评价报告，由董事会最终审批。
  第二十一条 内部控制评价报告应当分别对内部环境、风险评估、控制活动、
信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认
定及整改情况、内部控制有效性的结论等相关内容作出披露。
  第二十二条 内部控制评价报告至少应当披露下列内容：
  （一）董事会对内部控制报告真实性的声明。
  （二）内部控制评价工作的总体情况。
  （三）内部控制评价的依据、范围、程序和方法。
  （四）内部控制存在的缺陷及其认定情况。
  （五）对上一年度内部控制缺陷的整改情况。
  （六）对本年度内部控制缺陷拟采取的整改措施。
  （七）内部控制有效性的结论。
  第二十三条 公司应当根据年度内部控制评价结果，结合内部控制评价工作
底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制
评价报告。
  第二十四条 内部控制评价报告应当报经董事会批准后对外披露或报送相关
部门。
  审计部应当关注自内部控制评价报告基准日至内部控制评价报告发出日之
间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进
行相应调整。
  第二十五条 公司内部控制审计报告应当与内部控制评价报告同时对外披露
或报送。
  第二十六条 公司应当以每年的 12 月 31 日作为年度内部控制评价报告的基
准日。
  内部控制评价报告应于基准日后 4 个月内报出。
  第二十七条 内部控制评价的有关文件资料、工作底稿和证明材料等应当以
纸质或者电子形式由审计部参照《内部审计档案管理制度》相关要求进行归档，
妥善保管。
              第七章 附则
  第二十八条 本制度未尽事宜，按国家有关法律法规和公司章程的规定执行；
如本制度与国家日后颁布的法律法规或经合法程序修改后的公司章程相抵触，应
按国家有关法律法规和公司章程的规定执行，并及时修改。
  第二十九条 本制度由公司董事会负责解释并进行修订。
  第三十条 本制度自董事会审议通过之日起施行。
  附录：公司内控缺陷分类及认定标准
                       迪瑞医疗科技股份有限公司
迪瑞医疗科技股份有限公司内部控制管理制度
附录：
             迪瑞医疗内控缺陷分类及认定标准
  一、内控缺陷分类
  （一）设计缺陷和运行缺陷
  内控缺陷按其成因，可分为设计缺陷和运行缺陷。
不适当而形成的内控缺陷。
括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到
一贯有效运行等而形成的内控缺陷。
  （二）重大缺陷、重要缺陷和一般缺陷
  按其影响整体控制目标实现的严重程度，可分为重大缺陷、重要缺陷和一般
缺陷。
目标。
重大缺陷，但仍有可能导致企业偏离控制目标。
  （三）财务报告内控缺陷和非财务报告内控缺陷
  按是否影响财务报告内控目标，可分为财务报告内控缺陷和非财务报告内控
缺陷。
和运行缺陷。
达成的设计和运行缺陷。这些目标一般包括战略目标、资产安全目标、经营目标、
                   第 6 页 共 11 页
迪瑞医疗科技股份有限公司内部控制管理制度
合规目标等。
  二、内控缺陷认定标准
  （一）财务报告内控缺陷认定标准
                            判断依据
 内控缺陷等级
             （财务潜在或已发生年度错报金额以下简称“X”）
           满足以下一个或多个情形：
   重大缺陷
           满足以下一个或多个情形：
   重要缺陷
           满足以下一个或多个情形：
  一般缺陷
  （1）出现以下一个或多个情形的，应认定为内控重大缺陷：
  （2）出现以下一个或多个情形的，应认定为内控重要缺陷：
                   第 7 页 共 11 页
迪瑞医疗科技股份有限公司内部控制管理制度
  （3）出现以下一个或多个情形的，应认定为内控一般缺陷：
  （1）出现以下一个或多个情形的，应认定为内控重大缺陷：
面影响；
  （2）出现以下一个或多个情形的，应认定为内控重要缺陷：
缺陷，应认定为内控一般缺陷。
  （二）非财务报告内部控制缺陷认定标准
                   第 8 页 共 11 页
迪瑞医疗科技股份有限公司内部控制管理制度
                                  判断依据
  内控缺陷等级
                 （违规造成的损失金额以下简称“X”）
            满足以下一个或多个情形：
   重大缺陷
            满足以下一个或多个情形
   重要缺陷
            满足以下一个或多个情形：
   一般缺陷
  （1）出现以下一个或多个情形的，应认定为内控重大缺陷：
  （2）出现以下一个或多个情形的，应认定为内控重要缺陷：
  （3）出现以下一个或多个情形的，应认定为内控一般缺陷：
                   第 9 页 共 11 页
迪瑞医疗科技股份有限公司内部控制管理制度
  （1）出现以下一个或多个情形的，应认定为内控重大缺陷：
离控制目标；
受到重大刑事处罚、行政处罚；
负面影响；
  （2）出现以下一个或多个情形的，应认定为内控重要缺陷：
偏离控制目标；
大刑事处罚、行政处罚；
影响；
                  第 10 页 共 11 页
迪瑞医疗科技股份有限公司内部控制管理制度
制缺陷，应认定为内控一般缺陷。
  三、其他相关说明
  （一）上述定量缺陷标准中所涉及的利润总额、营业收入及总资产数据为公
司最近一年经审计的合并报表审定数；若年度利润总额出现负数，则不依赖利润
总额标准；只要达到上述三项标准中任何一项，即构成相应类型缺陷。
  （二）上述“大于”均含本数，“小于”均不含本数。
                  第 11 页 共 11 页