三羊马（重庆）物流股份有限公司

内部控制和风险管理制度

第一章总则

第一条为加强和规范三羊马（重庆）物流股份有限公司（以下简称“公司”）内部控制和风险管理，提高公司经营管理水平和风险防范能力，促进公司规范运作和健康发展，保护公司和股东的合法权益，根据《中华人民共和国公司法》《中华人民共和国证券法》《企业内部控制评价指引》《企业内部控制基本规范》《上市公司治理准则》《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作（2025年修订）》等法律法规的规定，结合公司实际，制定本制度。

第二条本制度所称内部控制，是指由公司董事会、经营管理层和全体员工实施的、为实现内部控制目标而提供合理保证的过程。

本制度所称风险管理，是指围绕总体战略目标，建立健全全面风险管理体系，执行风险管理基本流程，培育良好风险管理文化，从而为实现风险管理的总体目标提供合理保证的过程和方法。

第三条公司内部控制和风险管理的目标

（一）确保将风险控制在与总体目标相适应并可承受的范围内；

（二）确保实现公司内外部信息沟通的真实、可靠；

（三）确保经营管理合法合规，保障公司资产安全；

（四）提高公司经营效益和效果，提升风险防范和控制能力，促进实现公司发展战略；

（五）确保财务报告及相关信息披露真实、准确、完整、及时和公平。

（六）确保公司建立针对各项重大风险发生后的危机处理机制，使其不因灾害

性风险或人为失误而遭受重大损失。

第四条公司建立与实施内部控制和风险管理，应当遵循下列原则：

（一）全面性原则。公司内部控制和风险管理应当贯穿决策、执行和监督全过程，覆盖公司及其下属单位的各种业务和全流程。

（二）重要性原则。在全面控制的基础上，重点关注重要业务事项和高风险领域，加强风险的事前防范和过程管控。

（三）制衡性原则。在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（四）适应性原则。与公司经营规模、发展阶段、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

（五）成本效益原则。充分衡量实施成本与降低损失、预期效益间的关系，以适当的成本实现有效控制。

第二章内部控制和风险管理的要求

第五条公司建立完善内部控制和风险管理制度，确保股东会、董事会及其专门委员会等机构合法运作和科学决策，建立有效的激励约束机制，树立风险防范意识，培育良好的企业精神和内部控制文化，创造全体职工充分了解并履行职责的环境。

公司董事会对公司内部控制和风险管理制度的制定和有效执行负责，并定期对内部控制和风险管理制度建设及实施情况进行全面检查和效果评估。

审计委员会负责审查公司内部控制和风险管理，监督内部控制和风险管理的有效实施和内部控制评价情况，协调内部控制审计及其他相关事宜等。

第六条公司经营管理层负责组织领导公司内部控制和风险管理的日常运行，全面推进内部控制和风险管理制度的执行，检查公司各职能部门、分支机构和子公司

（包括全资、控股子公司以及对公司具有重大影响的参股公司，下同）制定、执行各专项内部控制和风险管理制度的情况。第七条公司内部审计部门结合内部审计监督，对公司的业务活动、风险管理、内部控制、财务信息、子公司管理等进行监督检查。公司各职能部门、分支机构和子公司应当配合内部审计机构依法履行职责，不得妨碍内部审计机构的工作。

公司内部审计机构对董事会负责，向董事会审计委员会报告工作。内部审计机构在对公司业务活动、风险管理、内部控制、财务信息、子公司管理等情况进行检查监督过程中，应当接受审计委员会的监督指导。

第三章内部控制的内容

第八条公司建立与实施有效的内部控制，包括下列要素：

（一）内部环境。内部环境是公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（二）风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（三）控制活动。控制活动是公司根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（四）信息与沟通。信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通。

（五）内部监督。内部监督是公司对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

第九条公司的内部控制活动涵盖公司经营活动中与财务报告和信息披露事务相关的所有业务环节，包括但不限于：销货与收款、采购及付款、存货管理、投资与融资管理、人力资源管理、固定资产管理、资金管理、信息系统管理和信息披露

事务管理等。第十条公司依据国家有关法律法规和公司章程，建立科学有效的职责分工和组织架构，确保各项工作责权到位：

（一）股东会是公司最高权力机构；

（二）董事会依据公司章程和股东会授权，对公司经营进行决策管理；

（三）审计委员会依据公司章程和股东会授权，独立行使公司监督权，对董事会、总经理和其他高级管理人员、公司财务进行监督；

（四）总经理和其他高级管理人员，依据公司章程和董事会授权，对公司日常经营实施管理。

（五）公司依据经营实际需要设置各职能管理部门及分支机构。各职能管理部门贯彻执行职责和业务范围内的规章制度，编制各项业务流程，修订并完善业务管理规范，并负责实施；各职能部门对分支机构进行专业指导、监督及服务，指导执行公司各项规章制度，发现问题督促整改。

第十一条公司明确界定各分子公司、各部门、各岗位的职责、权限和目标。建立相应的逐级授权、检查和问责机制，确保其在授权范围内履行职能。对授权实行动态管理，建立有效的评价和反馈机制，对已不适用或不适当的授权及时修改或取消。

第十二条公司内部审计机构对内部控制的有效性进行监督检查和对内部控制进行自我评价。发现内部控制缺陷应当按照内部审计工作程序进行报告，并有权直接向董事会及其审计委员会报告。

第十三条公司重点加强对关联交易、对外担保、募集资金使用、重大投资、信息披露等活动的控制，并建立相应的控制政策和程序；重点加强对子公司的管理控制，并督促其充分结合自身业务特征等因素建立内部控制制度。

第十四条公司加强企业文化建设，培育积极向上的价值观和社会责任感，规

范员工行为，讲责任、重效率，以坚韧意志、开放胸怀，树立科学管理理念，强化风险意识。董事和高级管理人员应当在企业文化建设中发挥主导作用。

第十五条公司制定对外投资管理制度，有目的的规划、实施可持续发展的公司战略，加强投资计划管理，强化项目分析和可行性调研，规范投资行为和决策程序，对投资项目各控制环节实现全过程管理，建立有效的投资风险约束机制，确保投资项目决策的准确性。第十六条公司制定财务管理制度，明确财务机构和会计人员的岗位责任管理、全面预算管理、资金管理、收入管理、结算管理、内部借款、费用开支、会计核算、财务分析、资产管理、税务管理、会计档案管理、资产减值及准备管理、资产损失管理制度，强化公司会计工作行为规范。第十七条公司建立重大内部信息报告制度，以及重大事项报告制度，促进内部信息沟通，提高工作效率，增强管理透明度降低经营风险，建立信息传递与反馈机制。

第十八条公司建立智能办公系统，充分利用公司网站、电子信箱、企业微信、OA办公系统，开辟企业内部信息沟通的平台。建立和维护公司网站，主要对外发布新闻动态、公司简介、投资者关系、企业文化、人才招聘等相关信息。

第十九条公司制定信息披露管理制度，明确信息披露的原则、内容、程序、责任、保密、奖惩等内容，有效保护公司、股东、债权人及其他利益相关者的权益，提高信息披露质量。公司通过建立信息披露责任制度，确保各类信息及时、准确、完整、公平地对外披露。

第四章风险管理的内容

第二十条公司建立完善风险评估体系，对战略风险、经营风险、财务风险和法律风险等进行持续监控，及时发现、评估公司面临的各类风险，并采取必要的控制措施。将全面风险管理和内部控制有机结合，通过风险评估促进内控优化、确保控制活动的方向性与针对性，通过优化流程和制度，实施控制活动有效防范风险。

第二十一条按照公司目标的不同，公司风险可分为：战略风险、经营风险、财务风险和法律风险；

（一）战略风险：没有制定或制定的战略决策不正确，影响战略目标实现的负面因素。

（二）经营风险：经营决策不当，妨碍或影响经营目标实现的因素。

（三）财务风险：包括财务报告失真风险、资产安全受到威胁风险和舞弊风险。

1.财务报告失真风险：没有完全按照相关会计准则、会计制度的规定组织会计核算和编制财务会计报告，没有按规定披露相关信息，导致财务会计报告和信息披露不完整、不准确、不及时。

2.资产安全受到威胁风险：没有建立或实施相关资产管理制度，导致公司的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失。

3.舞弊风险：以故意的行为获得不公平或非正当的收益。

（四）法律风险：没有全面、认真执行国家法律、法规和政策规定以及相关证券监管规定，影响合规性目标实现的因素。

第二十二条公司风险分为重大风险、重要风险和一般风险。公司风险认定标准与公司内部控制缺陷认定标准原则保持一致。

第二十三条公司建立风险评估机制，充分吸收专业人员，组成风险分析工作团队，采用定性和定量相结合的方法，按照风险发生的可能性及其影响程度，对风险进行有效分析，准确识别与实现控制目标相关的内部风险和外部风险，确保风险分析结果的准确性，结合风险承受限度，权衡风险与收益，确定风险应对策略。

第二十四条公司综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

第二十五条公司结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。

第二十六条公司适时制定重大事项议事规范，建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件制定应急预案、明确责任人，规范处理程序，确保突发事件得到及时妥善处理。

第五章内部监督控制

第二十七条公司董事会审计委员会向董事会负责并直接接受董事会领导。董事会审计委员会召集人由独立董事担任且为会计专业人士，经董事会决议通过。

第二十八条董事会审计委员会通过内部审计机构，行使并承担监督检查内部

控制和风险管理制度执行情况、评价内部控制有效性、提出完善内部控制和风险管理以及纠正错弊的建议等工作。

第二十九条内部审计机构向董事会及其审计委员会负责并报告工作。董事会及其审计委员会闭会期间，日常工作受董事长的领导。内部审计机构配置专职的内部审计人员，并应具备会计、管理或与公司主营业务相关专业等方面的专业人员，内部审计机构行使审计管理监督职权，在公司章程赋予的职责和权限范围内保持自身的独立性。

第三十条公司制定内部审计制度，明确内部审计工作的计划制定、审计内容管理、项目实施、报告管理、工作底稿管理、档案管理、工作程序和审计人员管理，强化审计工作质量和效率管理，确保审计工作科学化、规范化。

第三十一条内部审计机构根据公司经营控制目标及董事会要求，确定年度审计工作重点，制定年度审计工作计划，董事会审计委员会批准后实施。

第三十二条公司内部审计机构应对公司内部控制运行和风险管理情况进行检查监督，并将检查中发现的内部控制缺陷和异常事项、改进建议等形成内部审计报告，提交公司董事会审计委员会。审计委员会依据内部审计报告编制内部控制自我评价报告草案报董事会审议。内部审计部门至少每季度向审计委员会报告一次，内容包括内部审计计划的执行情况以及内部审计工作中发现的问题，并至少每年向其提交一次内部审计报告。

第三十三条公司审计委员会应当根据内部审计部门出具的评价报告及相关资料，对与财务报告和信息披露事务相关的内部控制制度的建立和实施情况出具年度内部控制自我评价报告。

自我评价报告至少应包括以下内容：

（一）董事会对内部控制报告真实性的声明；

（二）内部控制评价工作的总体情况；

（三）内部控制评价的依据、范围、程序和方法；

（四）内部控制存在的缺陷及其认定情况；

（五）对上一年度内部控制缺陷的整改情况；

（六）对本年度内部控制缺陷拟采取的整改措施；

（七）内部控制有效性的结论。公司董事会应当在审议年度报告的同时，对内部控制自我评价报告形成决议。审计委员会应当对内部控制自我评价报告发表意见。

公司应当在披露年度报告的同时，在深圳证券交易所网站和符合中国证监会规定条件的媒体上披露内部控制自我评价报告及审计委员会等主体出具的意见。

第三十四条会计师事务所在对公司进行年度审计时，应就公司内部控制自我评价报告出具核实评价意见或单独出具内部控制的审计报告。

第三十五条会计师事务所对公司内部控制有效性表示异议的，公司董事会、审计委员会应针对该异议意见涉及事项做出专项说明，说明至少应包括以下内容：

（一）异议事项的基本情况；

（二）该事项对公司内部控制有效性的影响；

（三）公司董事会、审计委员会对该事项的意见；

（四）消除该事项及其影响的可能性；

（五）消除该事项及其影响的具体措施。

第三十六条内部控制和风险管理制度的健全完备和有效执行情况，应作为绩效考核的重要指标，公司应对违反内部控制和风险管理制度，影响内部控制和风险管理制度执行的有关责任人予以查处。

第三十七条公司内部控制执行和风险管理检查、评估、报告等相关资料保存，

应遵守有关档案管理规定执行。

第六章附则

第三十八条本制度由公司董事会负责解释和修订。第三十九条本制度未尽事宜，按有关法律、行政法规、部门规章和《公司章程》的规定执行；如与国家日后颁布的法律、行政法规、部门规章或者经合法程序修改后的公司章程相抵触时，按有关国家法律、行政法规、部门规章和公司章程的规定执行。

第四十条本制度经公司股东会审议通过之日起生效施行。

三羊马（重庆）物流股份有限公司

2025年12月