600073 沪市 上海梅林

              上海梅林正广和股份有限公司

                  内部控制管理办法

                    （2021 年修订）

                            第一章  总 则

  第一条  为加强和规范上海梅林正广和股份有限公司（以下简称“公司”）的内部控制，促进公司规范运作和健康发展，保护股东合法权益，根据《公司法》、《证券法》、《企业内部控制基本规范》、《上海证券交易所股票上市规则》、《上海证券交易所上市公司内部控制指引》等法律法规规定，结合公司实际情况，制定本办法。
  第二条  本办法所称内部控制，是指由公司董事会、监事会、管理层以及全体员工实施的、旨在实现控制目标的过程。

  第三条公司董事会对公司内部控制管理办法的制定和有效执行负责。

                      第二章  内部控制的目标和原则

  第四条公司内部控制的目标是：

  （一）合理保证公司经营管理合法合规、贯彻执行内部规章。

  （二）防范经营风险和道德风险。

  （三）保障公司资产的安全、完整。

  （四）确保公司财务报告及相关信息披露及时、公平、真实、准确、完整。
  （五）提高公司经营效益和效率。

  （六）促进公司实现发展战略。

  第五条公司建立与实施内部控制相关制度，应遵循下列原则：

  （一）全面性原则。内部控制应贯穿决策、执行和监督全过程，覆盖公司及下属单位的各种业务和事项。

  （二）有效性原则。公司内任何人不得拥有不受内部控制约束的权力，公司全体人员应当维护内部控制相关制度的有效执行。

  （三）独立性原则。内部控制的监督检查部门独立于公司其他部门，并设立直接

  （四）重要性原则。内部控制应在全面控制的基础上，关注重要业务事项和高风险领域。

  （五）制衡性原则。内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

  （六）适应性原则。内部控制应符合国家有关法律法规和中国证监会的有关规定，与公司经营规模、业务范围、竞争状况及风险水平等相适应，并随环境变化及时加以调整。

  （七）成本效益原则。内部控制权衡实施成本与预期效益，以适当的成本实现有效控制。

  第六条公司建立与实施有效的内部控制，应当包括下列要素：

  （一）控制环境，是指公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

  （二）风险评估，是指公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

  （三）控制活动，是指公司按照经营特点、风险评估结果和风险承受能力，采取规避、降低、分担或接受等风险应对方式，采取相应的风险控制措施，将风险控制在可承受的范围之内。

  （四）信息与沟通，是指公司及相关部门及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效的沟通。

  （五）监督活动，是指公司及内部控制相关工作部门定期和不定期地对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进。

                        第三章  内部控制的内容

  第七条  公司不断完善其治理结构，确保董事会、监事会和股东大会等机构的合法运作和科学决策。公司逐步建立有效的激励约束机制，树立风险防范意识，培育良好的企业精神和企业文化，调动广大员工的积极性，创造全体员工充分了解并履行职责的环境。


  第八条  公司内部控制活动涵盖公司所有的运营环节，包括但不限于销售及收款、采购及付款、资金管理、资产管理、财务报告、人力资源管理、公司治理及三会运作、研发项目管理和信息系统管理等。

  第九条  公司内部控制活动除涵盖对经营活动各环节的控制外，还包括贯穿于经营活动各环节之中的各项管理制度，包括但不限于：印章使用管理、票据领用管理、预算管理、质量管理、担保管理、信息披露管理制度及对附属公司的管理制度等。
  第十条公司主要的内部控制包括以下内容：

  （一）对控股子公司的风险控制。公司应制定对控股子公司的相关控制政策及程序，并在充分考虑控股子公司业务特征等的基础上，督促其建立内部控制有关制度，并对控股子公司内控制度的实施及其检查监督工作进行评价。公司比照对控股子公司的相关要求，对分公司和具有重大影响的参股公司的内控制度作出安排。

  （二）资金管理的内部控制。公司应根据有关法律、法规制定资金管理相关制度，对资金存储、审批、使用、变更、监督和责任追究等内容进行明确规定。

  （三）对关联交易的内部控制。公司应制定关联交易相关制度，明确公司股东大会、董事会、管理层对关联交易事项的审批权限，规定关联交易事项的审批程序和回避表决要求。关联方的认定遵循实质重于形式的原则，多层交易的应追溯穿透至交易的最终自然人或法人。公司发生的关联交易，应遵循市场公平、公正、公开的原则，并依法签订协议，履行合法程序，按照《公司章程》，有关法律法规和《上海证券交易所股票上市规则》等有关规定，履行信息披露义务和办理有关报批程序，保证不通过关联交易损害公司及其他股东的合法权益。

  （四）融资和担保的内部控制。公司应根据《公司法》、《担保法》等有关法律、法规以及《公司章程》的有关规定，制定融资和对外担保相关管理制度。明确规定股东大会、董事会关于融资和对外担保事项的审批权限。在确定审批权限时，公司应执行《上海证券交易所股票上市规则》关于融资和对外担保的相关规定。

  （五）重大投资的内部控制。公司应根据《证券法》、《公司法》等有关法律、法规，结合《公司章程》等有关规定，制定投资决策相关管理制度，明确规定股东大会、董事会对重大投资的审批权限以及相应的审议程序。

  （六）信息披露的内部控制。公司应按《上海证券交易所股票上市规则》所明确的重大信息的范围和内容做好信息披露工作，建立信息披露事务相关管理制度，并指定公司董事会秘书为对外发布信息的主要联系人。


  （七）控股股东及关联方占用公司资金的内部控制。公司应严格防止控股股东、关联方及其附属公司的非经营性资金占用的行为，并持续建立防止控股股东非经营性资金占用的长效机制。

  （八）安全生产的内部控制。公司应按照国家相关法规和行业标准，结合公司实际情况，建立健全公司安全生产相关管理制度，建立有系统、分层次的安全生产保证体系，明确公司各管理层级的安全生产责任，制定有效的安全生产考核管理办法，依靠全体员工共同做好安全生产工作。

                            第四章  控制环境

  第十一条  公司应根据国家有关法律、法规和公司章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

  第十二条  公司董事会负责内部控制相关制度的建立、健全和有效实施；下设审计委员会，负责审查公司内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等；监事会对董事会建立与实施内部控制进行监督；管理层负责组织领导内部控制的日常运行。

  第十三条  公司各部门、分支机构及子公司（以下简称“各单位”）具体负责建立健全本单位的内部控制相关制度，组织本单位内部控制的有效实施，及时纠正本单位内部控制存在的缺陷和问题，并对本单位内部控制不力、不及时纠正内部控制缺陷等承担相应责任。各单位主要负责人为本单位内部控制工作第一责任人。各单位应当设置内部控制岗，负责内部控制相关制度的持续更新，参与和配合年度内部控制评价工作。

  第十四条  公司执行内部审计管理办法，保证内部审计机构设置、人员配备和工作的独立性。审计部是公司内部审计的执行单位，对内部控制的有效性进行监督检查，对监督检查中发现的内部控制重大缺陷，有权直接向董事会及下属审计委员会、监事会报告。

  第十五条  公司董事会、监事会、管理层及全体员工应本着诚实守信的理念，增强法制观念和风险意识，严格依法决策、依法办事、依法监督。

  第十六条  公司建立内部控制实施的激励约束机制，将各单位和全体员工实施
内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。

  第十七条公司规范文化建设，树立风控优先的理念，倡导守法、诚信，培育积极向上的价值观和社会责任感。

                            第五章  风险评估

  第十八条  公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

  第十九条  公司应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。

  第二十条  公司开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

  第二十一条  公司应采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。
  第二十二条  公司根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。

  第二十三条  公司应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

  第二十四条  公司应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

                            第六章  控制活动

  第二十五条  公司结合风险评估结果，通过自动控制与手工控制、预防性控制与检查性控制相结合的方法，将风险控制在可承受度之内。控制措施包括但不限于：不相容职务分离控制、授权审批控制、会计系统控制、预算控制、运营分析控制和绩效考评控制、重大风险预警机制和突发事件应急处理机制等，将风险控制在可承受度之内。

  第二十六条  不相容职务分离控制是指公司全面系统地分析、梳理业务流程中
所涉及的不相容职务，实施相应的系统及系统外分离措施，形成各司其职、各负其责、相互制约的工作机制。

  第二十七条  授权审批控制是指公司根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司各级管理人员应当在授权范围内行使职权和承担责任。

  第二十八条  会计系统控制是指公司严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。公司依法设置会计机构，配备会计从业人员。

  第二十九条  公司实施系统的全面预算管理制度，明确各预算责任主体在预算管理中的职责权限，规范预算的编制、审核和执行程序，强化预算约束。

  第三十条  公司建立运营情况及预算执行情况分析制度，经营层应当综合运用生产、采购、销售、投资、筹资、财务等方面的信息，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

  第三十一条  公司建立和实施绩效考评制度，科学设置考核指标体系，对公司内部各预算责任主体和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

  第三十二条  公司建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

  第三十三条  公司应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

                          第七章  信息与沟通

  第三十四条  公司应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

  第三十五条公司应当对收集的各种内部信息和外部信息进行合