第一條

依據「公開發行公司建立內部控制制度處理準則」之相關條文規範--公開發行公司宜訂定適當之風險管理政策與程序，建立有效風險管理機制，以評估及監督其風險承擔能力、已承受風險現況、決定風險因應策略及風險管理程序遵循情形而訂定。

第二條

本政策與程序適用於合富醫療控股股份有限公司及分公司、控股子公司。

第三條

風險管理意指公司圍繞總體經營目標，通過在公司管理的各個環節和經營過程中執行風險管理的基本流程，建立健全全面風險管理體系，從而為實現風險管理的總體目標提供合理保證的過程和方法。

第四條

風險管理目標。
風險管理具體目標包括:

1. 一、確保將風險控制在與公司總體目標相適應並可承受的範圍內。
2. 二、確保內外部，尤其是公司與股東之間實現真實、可靠的資訊溝通，包括編制和提供真實、可靠的財務報告等。
3. 三、確保公司遵守有關法律法規。
4. 四、確保公司有關規章制度和為實現經營目標而採取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性。
5. 五、確保公司建立針對各項重大風險發生後的危機處理計畫，保護公司不因災害性風險或人為失誤而遭受重大損失。

第五條

風險管理政策遵循原則。
本公司風險管理政策遵循以下原則：

1. 一、獨立性原則：公司部門及崗位設置應當權責分明，風險控制嵌入業務過程和經營活動，但承擔監督檢查職責的部門和崗位應當獨立於業務活動，強化風險管理和審計在業務開展中的作用。
2. 二、合理性原則：風險管理符合有關法律法規的有關規定，與公司經營規模、業務範圍、風險狀況及公司所處的環境相適應，以合理的成本實現風險管理目標。
3. 三、審慎性原則：風險管理策略及方法根據公司經營戰略、經營方針等內部環境的變化和法律法規等外部環境的改變及時進行完善，對各項創新業務及產品方案，審慎出具風險評估意見。
4. 三、審慎性原則：風險管理策略及方法根據公司經營戰略、經營方針等內部環境的變化和法律法規等外部環境的改變及時進行完善，對各項創新業務及產品方案，審慎出具風險評估意見。

第六條

風險管理組織架構與執掌。

1. 一、董事會：本公司董事會為公司風險管理之最高單位，以遵循法令，推動並落實公司整體風險管理為目標，核定整體之風險管理政策與重大決策，確保風險管理之有效性，並負風險管理最終責任。
2. 二、審計委員會本公司由審計委員會審核公司內部控制制度有效性之考核，確保內部控制有效實施並監督公司存在或潛在風險之控管。

三、內部稽核：為隸屬董事會之獨立部門，職司內部控制及內部稽核，每年應依風險評估提交年度稽核計畫，並將公司風險管理執行情形向審計委員會提出報告。主要工作重點包含：

2. (一)組織編制風險管理計畫並推進計畫的實施，對風險管理的日常工作進行協調、推進、檢查並提出考核與獎懲建議；
3. (二)組織研究跨部門的重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制並提出建議；
4. (三)組織對跨部門的重大事件和重要業務流程進行風險評估，提出風險應對策略和內部控制優化建議；
5. (四)推進相關部門做好風險管理體系的建設工作；
6. (五)風險資料庫的更新維護；
7. (六)結合經濟責任審計、內部控制審計或專項審計，對各有關部門和子公司的風險管理工作及其工作效果進行監督評價。
8. 四、公司各部門和各子公司及分公司：業務風險管理的責任者。主要工作包含：
9. (一)執行風險管理基本流程；
10. (二)研究提出本部門或本公司重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制的建議；
11. (三)研究提出本部門或本公司重大風險的評估報告，提出風險應對策略和內部控制措施優化方案；
12. (四)建立本部門或本公司相關重大風險的預警、報告機制和應急預案；
13. (五)做好風險管理的自我評估與改進工作；
14. (六)做好風險管理文化建設的有關工作。

第七條

風險管理流程。
本公司風險管理流程包括：風險識別、風險評估、風險應對、風險測試、風險監控與再確認、風險管理報告、風險管理持續改進。

1. 一、風險識別

依據公司目標，從企業價值保護和價值創造出發，收集公司外部因風險失控導致損失的案例和內部與風險管理有關的資訊，識別業務中的風險。

1. 二、風險評估

對固有風險、管控能力和基於現有管控舉措之下的剩餘風險採用定性與定量相結合的方法進行評估。

1. 三、風險應對

基於現有的管控體系和活動，制定風險應對策略，以及具體的管控舉措。風險應對策略包括規避風險、管理風險、轉嫁風險和接受風險四大策略。

1. 四、風險測試

基於既定的風險應對策略和具體管理舉措，對風險管理情況和應對能力進行定期測試，並追蹤整改落實情況。

1. 五、風險監控與再確認

對風險應對策略與管理舉措的設計和執行的有效性進行總體評價，提出改進建議。

1. 六、風險管理報告

風險管理工作的報告制度分為定期例行報告、重大專項風險報告、重大事件/風險緊急報告三種，定期(至少每年一次)向審計委員會進行報告；如遇如遇重大風險事件應即時呈報董事會。

1. 七、風險管理持續改進。

在風險管理體系初步建立後，工作流程中風險評估、風險應對、風險測試、風險監控與再確認、風險報告應每年至少循環一次。

第八條

風險管理基本程序。
收集公司外部因風險失控導致損失的案例和內部與風險管理有關的資訊，識別業務中的風險；就風險的影響程度和發生的可能性對風險進行評估；提出風險應對策略並對內部控制措施的有效性進行評估；提出並實施內部控制措施優化方案；風險管理的監督與改進。

第九條

風險管理具體程序。

1. 一、公司各部門和各子公司及分公司應每年開展風險管理的風險識別和自我評估，對重大風險的關鍵成因進行分析，確定風險預警指標，建立預警機制，對重大風險進行持續不斷地監測，及時發佈預警資訊，制定應急預案，並根據情況變化調整控制措施。針對風險評估中發現的問題，提出風險管理改進計畫。
2. 二、稽核室組織對公司各部門和各子公司及分公司的風險管理改進計畫進行匯總分析，在此基礎上編制風險管理工作計畫，經總經理審核後提呈審計委員會報告。對於涉及多部門的風險管理工作計畫或部門反映執行難度較高的風險管理工作計畫，稽核室負責協調各相關部門，並對風險管理工作計畫的實施情況進行跟蹤、推進。
3. 三、公司各部門和各子公司及分公司應按照風險管理工作計畫的內容確實執行。
4. 四、稽核室每年對風險管理各有關部門和各子公司及分公司開展的風險管理工作及工作效果進行評審，並對審計委員會提出風險監控報告；若發現重大風險，危及財務或業務狀況或法令遵循者，應立即採取適當措施並呈報董事會。

第十條

風險資料庫的管理。

1. 一、稽核室負責維護風險資料庫的主文件，並在公司OA系統進行公佈。稽核室指定專人擔任風險資料庫管理員，負責風險資料庫的更新及維護。
2. 二、公司各部門和各子公司及分公司需要對風險資料庫進行變更時，需要提交風險資料庫變更申請單，並提交權責主管審批，並由稽核室風險資料庫管理員在系統中變更。

第十一條

對於風險管理體系建設成績顯著的部門或子公司或分公司，予以專項獎勵。
對於未能完成風險管理體系建設任務的部門或子公司及分公司，直接計入其績效考核之中。
對於嚴重違反法律法規和公司規章制度、徇私舞弊、怠忽職守等行為，依照有關規定給予嚴肅查處，涉嫌犯罪的，依法移交司法機關處理。

第十二條

本公司除應依主管機關規定揭露相關資訊外，並於年報、公司網頁揭露與風險管理有關資訊。

第十三條

本辦法經董事會通過後實施，修正時亦同。
本辦法訂立於2020年11月10日。