第一章 总则

第一条 為(wèi)加强健康元药业集团股份有(yǒu)限公司（以下简称“公司”）全面风险管理(lǐ)工作，完善全面风险管理(lǐ)體(tǐ)系，提高风险防范与控制水平，合理(lǐ)保证公司经营目标的实现，根据《中华人民(mín)共和國(guó)公司法》《上市公司治理(lǐ)准则》《公司章程》等有(yǒu)关法律、法规规定和要求，结合公司实际，特制定本制度。

第二条 本制度适用(yòng)于公司及其所属全资子公司、控股公司。

第三条 本制度所称的风险是指潜在损失或收益的不确定性。风险存在于公司经营管理(lǐ)的每一项活动中，包括内部风险和外部风险。

第四条 本制度所指全面风险管理(lǐ)，是指公司围绕总體(tǐ)经营目标、通过在管理(lǐ)的各个环节和经营过程中执行风险管理(lǐ)基本流程，培育良好的风险管理(lǐ)文(wén)化，建立健全全面风险管理(lǐ)體(tǐ)系，包括风险管理(lǐ)策略、风险管理(lǐ)解决方案、风险管理(lǐ)的组织职能(néng)體(tǐ)系、风险管理(lǐ)信息系统和内部控制系统，為(wèi)实现风险管理(lǐ)的总體(tǐ)目标提供合理(lǐ)保证的过程和方法。

第五条 本制度所称内部控制系统，指围绕风险管理(lǐ)目标，针对公司战略规划、销售业務(wù)、人力资源、研发管理(lǐ)、质量控制、资金管理(lǐ)、合同管理(lǐ)、采購(gòu)管理(lǐ)、财務(wù)报告与披露、内部审计、法律事務(wù)、安全生产、环境保护、投融资管理(lǐ)、信息系统管理(lǐ)、企业文(wén)化等各项业務(wù)管理(lǐ)及其重要业務(wù)流程，通过执行风险管理(lǐ)基本流程，制定并执行的规章制度、程序和措施。

第六条 全面风险管理(lǐ)目标：

（一）确保将风险控制在与总體(tǐ)目标相适应并可(kě)承受的范围内；

（二）确保公司内外部实现真实、可(kě)靠的信息沟通，包括编制和提供真实、可(kě)靠的财務(wù)报告；

（三）确保遵守有(yǒu)关法律法规；

（四）确保公司有(yǒu)关规章制度和為(wèi)实现经营目标而采取重大措施的贯彻执行，保障经营管理(lǐ)的有(yǒu)效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

（五）确保公司建立针对各项重大风险发生后的危机处理(lǐ)计划，保护企业不因灾害性风险或人為(wèi)失误而遭受重大损失。

第七条 公司全面风险管理(lǐ)遵循全面、重要、合理(lǐ)、制衡、独立的原则，确保风险管理(lǐ)的有(yǒu)效性。

（一）全面性。公司风险管理(lǐ)应当做到事前、事中、事后控制相统一；覆盖公司所有(yǒu)业務(wù)、部门和人员，渗透到决策、执行、监督、反馈等各个环节。

（二）重要性。在全面风险管理(lǐ)的基础上，关注重要业務(wù)、重点项目和高风险领域。

（三）合理(lǐ)性。全面风险管理(lǐ)应与公司经营规模、业務(wù)范围、风险状况及所处的环境相适应，应以合理(lǐ)的成本实现风险管理(lǐ)目标。公司应本着从实际出发，務(wù)求实效的原则，制定开展全面风险管理(lǐ)的总體(tǐ)规划，分(fēn)步予以实施。

（四）制衡性。风险管理(lǐ)应当在治理(lǐ)结构、机构设置及权责分(fēn)配、业務(wù)流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（五）独立性。承担风险管理(lǐ)监督检查职能(néng)的部门应当独立于公司其他(tā)业務(wù)部门。

第二章 全面风险管理(lǐ)组织體(tǐ)系及职责

第八条 公司董事会是公司风险管理(lǐ)的最高决策机构，负责对风险管理(lǐ)工作进行督导；审计委员会负责审核全面风险识别、评估、内部管理(lǐ)及监控程序的有(yǒu)效性，主要职责如下：

（一）审查和评价公司的财務(wù)控制、风险管理(lǐ)及内控制度；

（二）与管理(lǐ)层讨论风险管理(lǐ)及内部控制系统，确保管理(lǐ)层已履行职责建立有(yǒu)效的内部监控系统；

（三）主动或应董事会的委派，就有(yǒu)关风险管理(lǐ)及内部控制组织审计及对审计结果的改进进行研究；

（四）审议风险管理(lǐ)政策及指引以及财務(wù)政策并就此提供建议；

（五）制定风险水平、可(kě)承受风险程度及相关资源分(fēn)配，并向董事会提供建议；

（六）就影响公司的重大风险组合或威胁提出意见，并作出适当的指导；

（七） 审议并向董事会报告所确定的关键风险及相关风险缓解措施（包括危机管理(lǐ)）；

（八）审计委员会认為(wèi)必要的全面风险管理(lǐ)其他(tā)重大事项。

第九条 经营管理(lǐ)层是全面管理(lǐ)工作的执行机构，对该工作的有(yǒu)效性向董事会负责。各职能(néng)部门配合实施风险管理(lǐ)程序，各职能(néng)部门负责人為(wèi)风险管理(lǐ)的第一责任人，主要职责如下：

（一）负责制订和落实风险管理(lǐ)策略及对风险管理(lǐ)的日常工作进行协调；

（二）负责就所辖职责范围相关重大决策、重大风险、重大事件和重要业務(wù)流程的判断标准或判断机制进行研究并提出建议；

（三）组织对所辖职责范围的重大事件和重要业務(wù)流程进行风险评估，提出风险应对策略和内部控制优化建议；

（四）建立健全所辖职责范围相关重大风险的预警、报告机制和应急预案；

（五）完成风险管理(lǐ)的其他(tā)重要工作。

第十条 督审部是公司全面风险管理(lǐ)工作的牵头管理(lǐ)部门，在审计委员会指导下开展全面风险管理(lǐ)工作，主要履行以下职责：

（一）研究提出重大风险的判断标准或判断机制；

（二）组织拟定风险管理(lǐ)相关制度，研究提出风险管理(lǐ)组织體(tǐ)系设置及职责方案；

（三）组织开展全面风险管理(lǐ)的日常工作，包括组织各部门（单位）开展风险识别工作、牵头维护及更新(xīn)集团风险数据库、组织开展风险评估工作形成风险评估报告、组织监督风险应对方案的实施、组织监督风险预警工作、组织监督重大经营风险事件的报送；

（四）统筹指导各单位，参照公司统一的风险管理(lǐ)體(tǐ)系架构，构建本单位风险管理(lǐ)體(tǐ)系，自上而下形成一體(tǐ)化的闭环管理(lǐ)；

（五）负责推进风险管理(lǐ)信息化建设；

（六）负责组织协调风险管理(lǐ)其他(tā)有(yǒu)关工作。

第三章 全面风险管理(lǐ)内容

第十一条 全面风险管理(lǐ)内容主要包括：风险信息收集、风险识别与评估、制定全面风险管理(lǐ)策略、风险应对、风险监控及预警、风险报告、全面风险管理(lǐ)监督与改进。

第十二条 风险信息收集是指公司各职能(néng)部门根据工作实际开展情况，全面、系统、持续地收集和分(fēn)析可(kě)能(néng)影响经营目标的内外部信息。

第十三条 风险识别是指各职能(néng)部门应当根据收集的风险信息，及时识别与沟通所面临的风险，定期评估和分(fēn)析风险形成条件、潜在影响和发生可(kě)能(néng)性，并对潜在风险点进行事前的分(fēn)类、整理(lǐ)和相应的提示。

第十四条 风险评估是指公司应当根据风险的影响程度和发生可(kě)能(néng)性等建立评估标准，对识别的风险进行分(fēn)析计量并进行等级评价或量化排序，确定重点关注和优先控制的风险。

第十五条 制定全面风险管理(lǐ)策略是指公司根据风险评估结果，结合风险发生的原因以及承受度，权衡风险与收益，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理(lǐ)策略。同时公司应定期总结和分(fēn)析已制定的风险管理(lǐ)策略的有(yǒu)效性和合理(lǐ)性，结合实际不断修订和完善。 

第十六条 风险应对是指基于现有(yǒu)的管控體(tǐ)系和活动，制定风险应对策略，以及具體(tǐ)的管控举措。

第十七条 风险监控及预警是指对风险应对策略与管理(lǐ)举措的设计和执行的有(yǒu)效性进行总體(tǐ)评价，提出改进建议。公司各职能(néng)部门对风险进行持续监控，当重大风险发生变化时及时预警。

第十八条 风险报告是指风险管理(lǐ)工作的报告制度分(fēn)為(wèi)定期例行报告、重大专项风险报告、重大事件/风险紧急报告三种：

1.定期例行报告是各职能(néng)部门上报风险管理(lǐ)和内部控制體(tǐ)系建设工作的整體(tǐ)情况、工作进展或者阶段性的成果、主要问题及需要协调解决的资源和事项。

2.重大专项风险报告是各职能(néng)部门对本部门的公司整體(tǐ)重大风险管理(lǐ)专题，以及本部门重大风险管理(lǐ)专题的报告，包括但不限于针对该专项风险的评估、风险容忍度的设定、管理(lǐ)现状、计划的应对方案，内部控制设计与执行情况，风险监控指标的设置，工作进度，或者提出需要协调解决的资源和事项等。

3.重大事件/风险紧急报告是职能(néng)部门在某项重大事件/风险发生之时，紧急向经营管理(lǐ)层上报事件的起因、经过、应对方法、目前状态、造成损失估计等信息，由经营管理(lǐ)层向董事会汇报。

第十九条 全面风险管理(lǐ)监督与改进是指在全面风险管理(lǐ)體(tǐ)系初步建立后，对执行情况及执行效果进行监督评价，并对发现的问题进行改进。

第四章 风险管理(lǐ)基本流程

第二十条 公司各职能(néng)部门应持续开展风险管理(lǐ)的识别与评估，对重大风险的全面风险管理(lǐ)制度关键成因进行分(fēn)析，确定风险预警指标，建立预警机制，对重大风险进行持续不断地监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施。针对风险评估中发现的问题，提出风险管理(lǐ)改进计划。

第二十一条 前述重大风险预警机制及应急预案应报经总裁审查批准，并报督审部备案。对于涉及多(duō)部门的风险预警机制及应急预案，应根据具體(tǐ)情况，报请分(fēn)管副总裁或总裁协调。

第二十二条 公司各职能(néng)部门应按照经总裁审批后下达的重大风险预警机制及应急预案要求开展各项工作，并做好沟通上报工作。

第二十三条 督审部采取定期检查与随机抽查相结合的方式，结合年度审计风控工作计划，通过内部控制审计及专项审计等方式，对各职能(néng)部门风险管理(lǐ)工作效果进行评价并出具报告。

第五章 风险管理(lǐ)考核与责任追究

第二十四条 公司高级管理(lǐ)人员以及各业務(wù)部门/业務(wù)负责人应将风险管理(lǐ)考核纳入经营管理(lǐ)综合考核中，考核结果与员工财務(wù)激励挂钩。

第二十五条 对因决策失误、管理(lǐ)失职、行為(wèi)失当等原因致使本部门出现重大风险、危机事件，并造成有(yǒu)形或无形损失的责任人，公司按照有(yǒu)关问责制度，追究其直接责任或领导责任，并取消相关责任人及责任部门评先、评优资格。

第六章 附则

第二十六条 本制度未尽事宜，按照有(yǒu)关法律、法规、规范性文(wén)件、上海证券交易所的上市规则和《公司章程》等相关规定执行。

第二十七条 本制度自董事会审计委员会审议通过之日起生效并施行。

第二十八条 本制度由督审部负责解释和修订。

健康元药业集团股份有(yǒu)限公司

二〇二三年十月二十五日