高端介入醫療器械企業風險管理制度2020年10月

目 錄第一章總則 3第二章風險管理體系及職責 4第三章風險評估 4第四章風險應對 6第五章風險監督與報告 7第六章附則 8

高端介入醫療器械企業風險管理制度第一章總則第一條為防范和管理xx有限公司（以下簡稱“公司”）各類風險，增強公司市場競爭力，促進公司持續、健康、穩定發展，根據《企業內部控制基本規范》和《xx有限公司章程》（以下簡稱“公司章程”）等有關規定的要求，結合公司的實際情況，特制定本制度。第二條本制度適用于公司及下屬控股子公司、分公司。第三條本制度所稱“風險”，是指未來的不確定性對公司實現其經營發展目標的影響。公司風險一般可分為戰略風險、財務風險、市場風險、運營風險、信息技術風險和法律風險等，按照風險是否存在于企業可將風險分為外部風險和內部風險。第四條本制度所稱“風險管理”，是指由公司董事會、管理層以及其他員工執行的、適用于公司戰略制定和其他各項活動的過程，以識別可能對公司產生影響的潛在風險并進行管理，使之控制在公司可以承受的水平之內，為以下公司目標的實現提供合理的保證：(一)將風險控制在與公司總體目標相適應并可承受的范圍內；(二)實現公司內外部信息溝通的真實、可靠和有效；(三)確保國家有關法律、法規和公司內部規章制度的有效執行；(四)實現經營管理的有效性，提高經營活動的效率和效果；(五)公司建立針對各項重大風險發生后的危機處理計劃，保護公司不因災害性風險或人為失誤而遭受重大損失。第五條公司應當本著從實際出發、務求實效的原則，以對重大風險、重大事件（指重大風險發生后的事實)的管理和重要流程的內部控制為重點，將風險管理的各項要求與公司管理和業務流程進行有機結合，建立健全風險識別和評估機制，完善風險應對措施，通過完整有效的風險記錄和報告，加強監督與考核，有效防范和控制風險可能給公司造成的損失和危害。第二章風險管理體系及職責第六條公司各部門作為風險管理的第一道防線，履行風險管理的主要職責。第七條公司董事會是風險管理的決策機構，負責確定公司風險管理總體目標，了解和掌握公司面臨的各項重大風險以及風險管理現狀，做出有效控制風險的決策。董事會下屬的審計委員會是公司風險管理的監督機構，負責審核公司的風險管理制度、程序和報告和董事會授權的其他事項。第八條董事會授權內審部進行公司風險管理的日常監督與評價工作，向審計委員會匯報。第九條公司風險管理過程主要包括風險識別、風險評價、風險分析、風險應對和風險監督。第三章風險評估第十條風險評估是指公司及時識別、系統分析經營活動中與實現內部控制目標相關的風險。第十一條風險評估由公司內審部組織，也可聘請有資質、信譽好、風險管理專業能力強的中介機構協助實施。第十二條公司按業務、部門和風險類型等對風險進行分類，全面、系統、持續地收集可能影響實現公司經營目標的內外部信息，并結合公司業務特點，識別公司面臨的風險點及其來源、特征、形成條件和潛在影響。公司識別內部風險時關注下列因素：(一)董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素。(二)組織機構、經營方式、資產管理、業務流程等管理因素；(三)研究開發、技術投入、信息技術運用等自主創新因素；(四)財務狀況、經營成果、現金流量等財務因素；(五)營運安全、員工健康、環境保護等安全環保因素；(六)其他有關內部風險因素。公司識別外部風險時關注下列因素：(一)經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素；(二)法律法規、監管要求等法律因素；(三)安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素；(四)技術進步、工藝改進等科學技術因素；(五)自然災害、環境狀況等自然環境因素；(六)其他有關外部風險因素。第十三條內審部在進行風險識別時，應收集來源于公司各部門和下屬各子公司、分公司的信息和反饋，以確保風險識別的完整性和評估的準確性。第十四條公司采取定性與定量相結合的方法，根據風險發生的可能性及其影響程度對識別的風險進行評估，對各種風險進行分析和排序，確定重點關注和優先控制的風險。第十五條對于已經識別的風險，公司各部門和下屬各子公司、分公司應使用以下標準逐一分析風險的影響、發生的可能性，從而最終確定風險的重要程度，并記錄分析結果。(一)確定風險發生的可能性：風險發生可能性共分為低、中、高3級，估計一年內發生的次數情況判定。(二)確定風險的影響：風險如果發生，產生的影響分為小、中、大3級，按每次發生的直接和間接損失的金額來判定。第十六條確定風險的重要程度的目的在于對多項風險進行分級，從而確定各風險管理的優先順序和策略。風險的重要程度等于風險發生可能性的分值與風險影響分值的乘積，并根據結果分為三類：高風險、中風險、低風險。第十七條在內、外部環境和條件發生變化時，內審部應當組織公司各部門和下屬各子公司、分公司持續收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。第四章風險應對第十八條風險應對是指公司根據自身條件和外部環境，依據發展戰略、風險偏好、風險承受度、風險管理有效性標準和風險評估結果，綜合平衡成本與收益，針對不同風險確定相應應對措施并有效實施的過程。風險應對策略主要包含風險規避、風險降低、風險分擔和風險承受等方法。(一)風險規避：指公司對超出風險承受度的風險，通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的對策。(二)風險降低：指公司在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的對策。(三)風險分擔：指公司準備借助他人力量，采取業務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的對策。(四)風險承受：指公司對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的對策。第十九條公司應根據自身條件和外部環境，針對風險發生的概率和損失程度的不同，注重風險與收益的平衡，正確把握風險可能帶來的發展機遇，確定風險應對方案。方案一般應包括：風險解決的具體目標，所需的組織領導，所涉及的管理及業務流程，所需的條件、手段等資源，風險事件發生前、中、后所采取的具體應對措施及風險管理工具。第二十條公司應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。第五章風險監督與報告第二十一條每財政年度初，內審部在綜合公司各部門和下屬各子公司、分公司的風險評估及風險應對措施的基礎上形成公司整體的風險評估報告，評估報告應報送公司管理層，重大風險應報送審計委員會。第二十二條發現對風險識別、風險分析和風險應對策略等方面有重大影響的事項時，公司各部門和下屬各子公司、分公司應當及時告知內審部。第二十三條內審部應當及時評估公司各部門和下屬各子公司、分公司所提交事項的影響程度，并采取適當的措施以及決定是否向審計委員會進行匯報。必要時，內審部應當組織公司各相關部門及各相關子公司重新進行公司整體的風險評估工作，并向審計委員會匯報。審計委員