第一章 總則

第一條 為(wèi)加強健康元藥業集團股份有(yǒu)限公(gōng)司（以下簡稱“公(gōng)司”）全面風險管理(lǐ)工(gōng)作(zuò)，完善全面風險管理(lǐ)體(tǐ)系，提高風險防範與控制水平，合理(lǐ)保證公(gōng)司經營目标的實現，根據《中(zhōng)華人民(mín)共和國(guó)公(gōng)司法》《上市公(gōng)司治理(lǐ)準則》《公(gōng)司章程》等有(yǒu)關法律、法規規定和要求，結合公(gōng)司實際，特制定本制度。

第二條 本制度适用(yòng)于公(gōng)司及其所屬全資子公(gōng)司、控股公(gōng)司。

第三條 本制度所稱的風險是指潛在損失或收益的不确定性。風險存在于公(gōng)司經營管理(lǐ)的每一項活動中(zhōng)，包括内部風險和外部風險。

第四條 本制度所指全面風險管理(lǐ)，是指公(gōng)司圍繞總體(tǐ)經營目标、通過在管理(lǐ)的各個環節和經營過程中(zhōng)執行風險管理(lǐ)基本流程，培育良好的風險管理(lǐ)文(wén)化，建立健全全面風險管理(lǐ)體(tǐ)系，包括風險管理(lǐ)策略、風險管理(lǐ)解決方案、風險管理(lǐ)的組織職能(néng)體(tǐ)系、風險管理(lǐ)信息系統和内部控制系統，為(wèi)實現風險管理(lǐ)的總體(tǐ)目标提供合理(lǐ)保證的過程和方法。

第五條 本制度所稱内部控制系統，指圍繞風險管理(lǐ)目标，針對公(gōng)司戰略規劃、銷售業務(wù)、人力資源、研發管理(lǐ)、質(zhì)量控制、資金管理(lǐ)、合同管理(lǐ)、采購(gòu)管理(lǐ)、财務(wù)報告與披露、内部審計、法律事務(wù)、安(ān)全生産(chǎn)、環境保護、投融資管理(lǐ)、信息系統管理(lǐ)、企業文(wén)化等各項業務(wù)管理(lǐ)及其重要業務(wù)流程，通過執行風險管理(lǐ)基本流程，制定并執行的規章制度、程序和措施。

第六條 全面風險管理(lǐ)目标：

（一）确保将風險控制在與總體(tǐ)目标相适應并可(kě)承受的範圍内，促進企業實現可(kě)持續發展戰略；

（二）确保公(gōng)司内外部實現真實、可(kě)靠的信息溝通，包括編制和提供真實、可(kě)靠的财務(wù)報告；

（三）确保遵守有(yǒu)關法律法規；

（四）确保公(gōng)司有(yǒu)關規章制度和為(wèi)實現經營目标而采取重大措施的貫徹執行，保障經營管理(lǐ)的有(yǒu)效性，提高經營活動的效率和效果，降低實現經營目标的不确定性；

（五）确保公(gōng)司建立針對各項重大風險發生後的危機處理(lǐ)計劃，保護企業不因災害性風險或人為(wèi)失誤而遭受重大損失。

第七條 公(gōng)司全面風險管理(lǐ)遵循全面、重要、合理(lǐ)、制衡、獨立的原則，确保風險管理(lǐ)的有(yǒu)效性。

（一）全面性。公(gōng)司風險管理(lǐ)應當做到事前、事中(zhōng)、事後控制相統一；覆蓋公(gōng)司所有(yǒu)業務(wù)、部門和人員，滲透到決策、執行、監督、反饋等各個環節。

（二）重要性。在全面風險管理(lǐ)的基礎上，關注重要業務(wù)、重點項目和高風險領域。

（三）合理(lǐ)性。全面風險管理(lǐ)應與公(gōng)司經營規模、業務(wù)範圍、風險狀況及所處的環境相适應，應以合理(lǐ)的成本實現風險管理(lǐ)目标。公(gōng)司應本着從實際出發，務(wù)求實效的原則，制定開展全面風險管理(lǐ)的總體(tǐ)規劃，分(fēn)步予以實施。

（四）制衡性。風險管理(lǐ)應當在治理(lǐ)結構、機構設置及權責分(fēn)配、業務(wù)流程等方面形成相互制約、相互監督，同時兼顧運營效率。

（五）獨立性。承擔風險管理(lǐ)監督檢查職能(néng)的部門應當獨立于公(gōng)司其他(tā)業務(wù)部門。

第二章 全面風險管理(lǐ)組織體(tǐ)系及職責

第八條 公(gōng)司董事會是公(gōng)司風險管理(lǐ)的最高決策機構，負責對風險管理(lǐ)工(gōng)作(zuò)進行督導；戰略與風險管理(lǐ)委員會負責審核全面風險識别、評估、内部管理(lǐ)及監控程序的有(yǒu)效性，主要職責如下：

（一）審查和評價公(gōng)司的财務(wù)控制、風險管理(lǐ)及内控制度；

（二）與管理(lǐ)層讨論風險管理(lǐ)及内部控制系統，确保管理(lǐ)層已履行職責建立有(yǒu)效的内部監控系統；

（三）主動或應董事會的委派，就有(yǒu)關風險管理(lǐ)及内部控制組織審計及對審計結果的改進進行研究；

（四）審議風險管理(lǐ)政策及指引以及财務(wù)政策并就此提供建議；

（五）制定風險水平、可(kě)承受風險程度及相關資源分(fēn)配，并向董事會提供建議；

（六）就影響公(gōng)司的重大風險組合或威脅提出意見，并作(zuò)出适當的指導；

（七） 審議并向董事會報告所确定的關鍵風險及相關風險緩解措施（包括危機管理(lǐ)）；

（八）戰略與風險管理(lǐ)委員會認為(wèi)必要的全面風險管理(lǐ)其他(tā)重大事項。

第九條 經營管理(lǐ)層是全面管理(lǐ)工(gōng)作(zuò)的執行機構，對該工(gōng)作(zuò)的有(yǒu)效性向董事會負責。各職能(néng)部門配合實施風險管理(lǐ)程序，各職能(néng)部門負責人為(wèi)風險管理(lǐ)的第一責任人，主要職責如下：

（一）負責制訂和落實風險管理(lǐ)策略及對風險管理(lǐ)的日常工(gōng)作(zuò)進行協調；

（二）負責就所轄職責範圍相關重大決策、重大風險、重大事件和重要業務(wù)流程的判斷标準或判斷機制進行研究并提出建議；

（三）組織對所轄職責範圍的重大事件和重要業務(wù)流程進行風險評估，提出風險應對策略和内部控制優化建議；

（四）建立健全所轄職責範圍相關重大風險的預警、報告機制和應急預案；

（五）完成風險管理(lǐ)的其他(tā)重要工(gōng)作(zuò)。

第十條 風險管理(lǐ)部是公(gōng)司全面風險管理(lǐ)工(gōng)作(zuò)的牽頭管理(lǐ)部門，在戰略與風險管理(lǐ)委員會指導下開展全面風險管理(lǐ)工(gōng)作(zuò)，主要履行以下職責：

• 研究提出重大風險的判斷标準或判斷機制；
• 組織拟定風險管理(lǐ)相關制度，研究提出風險管理(lǐ)組織體(tǐ)系設置及職責方案；
• 組織開展全面風險管理(lǐ)的日常工(gōng)作(zuò)，包括組織各部門（單位）開展風險識别工(gōng)作(zuò)、牽頭維護及更新(xīn)集團風險數據庫、組織開展風險評估工(gōng)作(zuò)形成風險評估報告、組織監督風險應對方案的實施、組織監督風險預警工(gōng)作(zuò)、組織監督重大經營風險事件的報送；
• 統籌指導各單位，參照公(gōng)司統一的風險管理(lǐ)體(tǐ)系架構，構建本單位風險管理(lǐ)體(tǐ)系，自上而下形成一體(tǐ)化的閉環管理(lǐ)；
• 負責推進風險管理(lǐ)信息化建設；
• 負責組織協調風險管理(lǐ)其他(tā)有(yǒu)關工(gōng)作(zuò)。

第十一條 公(gōng)司建立完善風險管理(lǐ)和内部控制的“三道防線(xiàn)”形式的管理(lǐ)架構，明确“三道防線(xiàn)”相關職能(néng)部門的職責分(fēn)工(gōng)，形成分(fēn)工(gōng)合理(lǐ)、權責明确、相互制衡、監督有(yǒu)效的風險控制管理(lǐ)體(tǐ)系。

（一）各子公(gōng)司、部門為(wèi)第一道防線(xiàn)，對本部門風險管理(lǐ)承擔直接責任，各部門負責人為(wèi)本部門的風控第一責任人。主要負責業務(wù)職責範圍内的風險辨識、評估及風險防控和内部控制的日常工(gōng)作(zuò)。

（二）風險管理(lǐ)部是公(gōng)司風險控制的第二道防線(xiàn)。主要負責事前與事中(zhōng)的風險管理(lǐ)及事後的風險處置。風險管理(lǐ)部直接向董事會戰略與風險管理(lǐ)委員會彙報。

（三）公(gōng)司内部控制部門是公(gōng)司風險控制體(tǐ)系的第三道防線(xiàn)，負責對公(gōng)司風險控制的建立和實施、财務(wù)信息的真實性和完整性、廉政和反腐敗等情況進行監督。公(gōng)司内部控制部門直接向董事會審計委員會彙報，獨立于本公(gōng)司任何部門。

第三章 全面風險管理(lǐ)内容

第十二條 全面風險管理(lǐ)内容主要包括：風險信息收集、風險識别與評估、制定全面風險管理(lǐ)策略、風險應對、風險監控及預警、風險報告、全面風險管理(lǐ)監督與改進。

第十三條 風險信息收集是指公(gōng)司各職能(néng)部門根據工(gōng)作(zuò)實際開展情況，全面、系統、持續地收集和分(fēn)析可(kě)能(néng)影響經營目标的内外部信息。

第十四條 風險識别是指各職能(néng)部門應當根據收集的風險信息，及時識别與溝通所面臨的風險，定期評估和分(fēn)析風險形成條件、潛在影響和發生可(kě)能(néng)性，并對潛在風險點進行事前的分(fēn)類、整理(lǐ)和相應的提示。

第十五條 風險評估是指公(gōng)司應當根據風險的影響程度和發生可(kě)能(néng)性等建立評估标準，對識别的風險進行分(fēn)析計量并進行等級評價或量化排序，确定重點關注和優先控制的風險。

第十六條 制定全面風險管理(lǐ)策略是指公(gōng)司根據風險評估結果，結合風險發生的原因以及承受度，權衡風險與收益，選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等适合的風險管理(lǐ)策略。同時公(gōng)司應定期總結和分(fēn)析已制定的風險管理(lǐ)策略的有(yǒu)效性和合理(lǐ)性，結合實際不斷修訂和完善。 

第十七條 風險應對是指基于現有(yǒu)的管控體(tǐ)系和活動，制定風險應對策略，以及具(jù)體(tǐ)的管控舉措。

第十八條 風險監控及預警是指對風險應對策略與管理(lǐ)舉措的設計和執行的有(yǒu)效性進行總體(tǐ)評價，提出改進建議。公(gōng)司各職能(néng)部門對風險進行持續監控，當重大風險發生變化時及時預警。

第十九條 風險報告是指風險管理(lǐ)工(gōng)作(zuò)的報告制度分(fēn)為(wèi)定期例行報告、重大專項風險報告、重大事件/風險緊急報告三種：

1.定期例行報告是各職能(néng)部門上報風險管理(lǐ)和内部控制體(tǐ)系建設工(gōng)作(zuò)的整體(tǐ)情況、工(gōng)作(zuò)進展或者階段性的成果、主要問題及需要協調解決的資源和事項。

2.重大專項風險報告是各職能(néng)部門對本部門的公(gōng)司整體(tǐ)重大風險管理(lǐ)專題，以及本部門重大風險管理(lǐ)專題的報告，包括但不限于針對該專項風險的評估、風險容忍度的設定、管理(lǐ)現狀、計劃的應對方案，内部控制設計與執行情況，風險監控指标的設置，工(gōng)作(zuò)進度，或者提出需要協調解決的資源和事項等。

3.重大事件/風險緊急報告是職能(néng)部門在某項重大事件/風險發生之時，緊急向經營管理(lǐ)層上報事件的起因、經過、應對方法、目前狀态、造成損失估計等信息，由經營管理(lǐ)層向董事會彙報。

第二十條 全面風險管理(lǐ)監督與改進是指在全面風險管理(lǐ)體(tǐ)系初步建立後，對執行情況及執行效果進行監督評價，并對發現的問題進行改進。

第四章 風險管理(lǐ)基本流程

第二十一條 公(gōng)司各職能(néng)部門應持續開展風險管理(lǐ)的識别與評估，對重大風險的全面風險管理(lǐ)制度關鍵成因進行分(fēn)析，确定風險預警指标，建立預警機制，對重大風險進行持續不斷地監測，及時發布預警信息，制定應急預案，并根據情況變化調整控制措施。針對風險評估中(zhōng)發現的問題，提出風險管理(lǐ)改進計劃。

第二十二條 前述重大風險預警機制及應急預案應報經總裁審查批準，并報風險管理(lǐ)部備案。對于涉及多(duō)部門的風險預警機制及應急預案，應根據具(jù)體(tǐ)情況，報請分(fēn)管副總裁或總裁協調。

第二十三條 公(gōng)司各職能(néng)部門應按照經總裁審批後下達的重大風險預警機制及應急預案要求開展各項工(gōng)作(zuò)，并做好溝通上報工(gōng)作(zuò)。

第二十四條 風險管理(lǐ)部采取定期檢查與随機抽查相結合的方式，結合年度審計風控工(gōng)作(zuò)計劃，通過内部控制審計及專項審計等方式，對各職能(néng)部門風險管理(lǐ)工(gōng)作(zuò)效果進行評價并出具(jù)報告。

第五章 風險管理(lǐ)考核與責任追究

第二十五條 公(gōng)司高級管理(lǐ)人員以及各業務(wù)部門/業務(wù)負責人應将風險管理(lǐ)考核納入經營管理(lǐ)綜合考核中(zhōng)，考核結果與員工(gōng)财務(wù)激勵挂鈎。

第二十六條 對因決策失誤、管理(lǐ)失職、行為(wèi)失當等原因緻使本部門出現重大風險、危機事件，并造成有(yǒu)形或無形損失的責任人，公(gōng)司按照有(yǒu)關問責制度，追究其直接責任或領導責任，并取消相關責任人及責任部門評先、評優資格。

第六章 附則

第二十七條 本制度未盡事宜，按照有(yǒu)關法律、法規、規範性文(wén)件、上海證券交易所的上市規則和《公(gōng)司章程》等相關規定執行。

第二十八條 本制度自董事會戰略與風險管理(lǐ)委員會審議通過之日起生效并施行。

第二十九條 本制度由風險管理(lǐ)部負責解釋和修訂。

健康元藥業集團股份有(yǒu)限公(gōng)司

二〇二四年八月二十七日