宝钢集团有限公司全面风险管理制度

（20xx年7月修订）

1 总 则

1.1为规范宝钢集团有限公司（以下简称集团公司）、子公司及其续延分支（以下简称各子公司）的全面风险管理工作，促进企业持续、健康、稳定发展，根据国务院国有资产监督管理委员会下发的《中央企业全面风险管理指引》、财政部等五部委发布的《内部控制基本规范》的要求，结合集团公司实际情况，特制定本制度。

1.2本制度适用于集团公司、各子公司。

1.3风险定义、分类、分级

1.3.1本制度所指风险，是指未来的不确定性对企业实现经营目标的影响。

1.3.2集团公司对风险进行分类管理，把风险分为纯粹风险（只有带来损失一种可能性）和机会风险两大类（带来损失和盈利的可能性并存）。对于机会风险，可进一步细分为战略与投资风险、供应链运营风险两大类；对于纯粹风险，根据风险来源细分为内部纯粹风险和外部纯粹风险。

1.3.3按照风险发生后对经营目标的影响程度，把风险分为重大风险、重要风险、一般风险。

1.4本制度所指全面风险管理，是指围绕总体战略目标，通过在企业管理的各个环节和经营过程中执行风险管理的

基本流程，培育良好的风险管理文化，建立健全风险管理组织和内部控制体系，为实现风险管理的总体目标提

供合理保证的过程和方法。

1.5全面风险管理的总体目标：

1.5.1确保将风险控制在与总体目标相适应并可承受的范围内；

1.5.2确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，

包括编制和提供真实、可靠的财务报告；

1.5.3确保遵守有关法律法规；

1.5.4确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

1.5.5确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

1.6全面风险管理应遵循以下基本原则：

1.6.1实际出发，务求实效、稳健经营；

1.6.2经营战略与风险策略一致；

1.6.3成本与收益相平衡；

1.6.4责任清晰，责权利相统一。

1.7集团公司以市场为导向把对重大决策、重要业务和流程的风险管理作为重点，以稳健经营为目标，完善重大风险的应对策略，强化重大风险预警和报告机制，加强风险管理的检查监督机制等措施，提升全员风险意识、推动内部控制体系的持续改进，不断提高风险管理的体系能力。

．1.8集团公司各部门和各子公司应加强全面风险管理体系建设，完善内部控制体系，执行风险管理基本流程，不断自我评估与改进，使风险管理融人流程、制度，落实到岗位、固化于系统，成为自身经营、管理各个环节的有机组 成部分。

2职责分工

2.1董事会

作为集团公司重大风险的最终决策者和监督者，就公司全面风险管理工

作的有效性向股东负责。主要负责：

2.1.1批准向国资委提交的宝钢全面风险管理年度报告；

2.1.2审议公司年度重点风险管理计划、重点风险的管控要求并提出指导意见；

2.1.3检查指导风险管理体系的有效运行，了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；

2.1.4 审议风险管理策略和重大风险管理解决方案；

2.1.5批准重大决策的风险评估报告；

2.1.6批准全面风险管理制度。

2.2董事会战略与风险管理委员会

2.2.1对公司中长期发展战略规划进行研究并提出建议；

2.2.2 检查指导全面风险管理体系的有效运行；

2.2.3 审议全面风险管理年度工作计划和年度报告；

2.2.4 审议风险管理策略和重大风险管理解决方案；

2.2.5办理董事会授权的有关全面风险管理的其他事项。

2.3集团公司成立全面风险管理工作领导小组，总经理为组长，公司分管运营改善的高级管理人员为副组长，成员是公司高级管理人员、总部各部门负责人，领导小组就全面风险管理的有效性向董事会负责。公司总经理办公会行使全面风险管理小组职责，主要职责如下：

2.3.1 审议全面风险管理的相关工作制度；

2.3.2审议全面风险管理年度工作计划、工作报告；

2.3.3审议各项公司重大风险的管理策略，对公司各项重大风险的控制有效性进行审查，推进有效控制风险的相关活动，改进和提升风险管理体系能力。

2.4运营改善部是风险管理的综合管理部门，是公司全面风险管理领导小组的办事机构，主要负责：

2.4.1全面风险管理体系建设的综合管理：推进完善风

险管理体系，制（修）订全面风险管理制度，执行风险管理基本流程，推进风险管理、内部控制、

体系管理工作的融合，推进风险管理信息化建设；

2.4.2全面风险管理工作计划的综合管理：组织编制全面风险管理年度工作计划并推进实施，组织编制全面风险管理季度报告和年度报告；

2.4.3公司重大风险管理的指导监督：组织识别、评估公司重大风险并

明确责任单位，落实风险控制目标、预警机制和风险应对的责任体系；跟踪督促责任单位完善控制措施；

2.4.4子公司重要风险管理的指导监督：指导监督子公司识别评估重要风险并完善风险控制措施。围绕重点原料和战略产品的市场风险，结合公司重大风险管控要求，组织推进集团内部跨单元的市场风险信息交流、重大突发

事件的风险评估与跟踪；根据市场变化的实际情况，跟踪、验证研判结论的准确度，协调推进研判指标体系、判断标准以及判断方法的持续改进；

2.4.5开展独立风险评估：对于公司重大规划、重大投资项目以及新业务项目，组织相关部门按照上述重大风险管理的要求，编制独立风险评估报告；

2.4.6总部内控体系建设的综合管理：策划、建设和优

化集团公司总部内控体系，制（修）订内集团公司总部内部控制手册；

2.4.7子公司内控体系建设的指导监督：策划、推进子公司内控体系能力建设，定期总结风险案例、收集国家相关制度规范、修订宝钢集团内部控制自我评估标准；

2.4.8组织总结重大风险应对以及并购整合、业绩改善的优秀实践，并在集团范围内推广共享。

2.5集团公司各部门和各子公司（以下简称本单位）共同构成集团公司风险管理的第一道防线，是所分管业务领域风险管理的第一责任者，主要负责：

2.5.1在日常工作中执行风险管理基本流程，开展各项内部控制活动。开展本专业领域的风险识别、评估、应对和管理改进，把公司风险管理年度工作计划和重点风险管控要求，纳入本单位的重点工作实施推进；

2.5.2研究提出本单位重大风险的评估报告，提出风险应对策略和内部控制措施优化方案，执行公司确定的风险管控要求；

2.5.3建立重大风险的预警机制和应急预案，建立风险识别、预警和应对的长效机制；

2.5.4开展风险事件搜集、分析和整理工作，针对生产经营活动中的重大缺陷或重大风险事件，及时向公司报告，并执行公司有关决议；

2.5.5开展内部控制自我评估，配合审计部门开展内部控制审计评价

工作；

2.5.6根据内控自我评价和审计监督发现的缺陷和问题，进行分析、整

理、改进；

2.5.7各一级子公司必须指定专门部门负责全面风险管理工作，并配备

专职（兼职）的风险管理人员，编制全面风险管理季度简报和年度报告，配合审

计部门开展内部控制审计评价工作，建立全面风险管理例会制度，检查推进计

划的落实情况，研究解决推进过程中的重大事项和问题，同时交流风险管理工

作的经验，实现信息共享。

2.6企业文化部（公共关系部）除承担2.5中的职责外，还要负责：

推进全员诚信体系建设，将风险管理文化建设融入企业文化建设过程，强

化合法合规的风险管理文化。就公司经营管理活动中涉及的舆情风险进行及时揭示、指导和监督，防范和控制公司舆情

风险。

2.7法律事务部除承担2.5中的职责外，还要负责： 制定并完善法律事务管理方面的管理制度，就公司经营管理活动中涉及的法律风险进行及时揭示、指导和监督，防范和控制公司法律风险。

2.8经营财务部除承担2.5中的职责外，还要负责：

2.8.1 制定并完善财务管理制度，优化财务工作流程，建立健全财务风险预警机制，防范和控制公司财务风险；

2.8.2负责综合各单位对重大市场风险的研判意见，紧急状态下，提请公司发布重大市场风险预警、进入紧急状态。负责公司在经营紧急状态下的综合管理，包括：编制各类经营报表并对报表进行分析；落实公司领导各项要

求，将任务分解到各个经营单元；跟踪各单元经营情况，协调解决相应问题等。

2.9监察部除承担2.5中的职责外，还要负责：

推进廉洁文化建设，围绕廉洁从业、尽责履职，制定并完善制度规范，就公

司经营管理活动中涉及的风险进行及时揭示、指导和监督；组织开展反腐倡廉

倾向性问题的收集、汇总、分析和报告。

2.10审计部负责：

2.10.1对各单位开展的风险管理工作进行监督评价，出

具重大风险管

理的监督评价报告，开展内部控制审计评价工作，编制集团公司内部控制审计

评价报告；

2.10.2对在审计过程中发现的重大缺陷或重大风险事项，及时向管理层和董事会（审计委员会）报告；

2.10.3指导各子公司开展内部控制审计评价工作。

2.11经济管理研究院除承担2.5中的职责外，还要负责：

2.11.1 负责宏观经济环境、主要钢铁下游行业、重点钢铁原料和相关多

元产业市场运行规律的研究，为集团公司各部门和各子公司提供专业支撑；独

立研判钢铁主业涉及的大宗商品市场的趋势，并独立发表意见；建立并持续完

善宏观经济形势、产业运行态势及中长期趋势研判相关的判断方法和判断标准；

2.11.2负责公司层面的经济形势分析，提供宏观经济形势分析报告，对重大市场风险进行独立评估并提出预警及应对建议。

2.12人才开发院除承担2.5中的职责外，还要负责：

2.12.1 收集、编制风险管理和内部控制的相关案例，

提出内部控制标准

的完善建议；

2.12.2 以管理实践为平台，组织并购操作、管控对接、业绩改善等案例

的调研，编制并定期更新《钢铁企业并购整合与业绩改善手册》。

2.13宝钢重大突发事件应急管理办公室是公司重大突发事件应急管理的办事机构，主要负责：

2.13.1 履行值守应急、信息汇总和综合协调职责，发挥运转枢纽作用；

2.13.2组织编制、修订《宝钢重大突发事件应急管理办法（总预案）》，组

织审核专项应急预案，指导应急管理预案体系能力建设；

2.13.3 协调重大突发事件的预防、预警、应急演练、应急处置、调查评估、信息发布、应急保障和宣传培训等工作。

3全面风险管理框架

公司对风险进行分类管理，机会风险的管控主要依赖于完善的公司治理和科学的运营管理；纯粹风险的控制主要依赖于健全的内部控制和有效的应急管理。

3.1 战略与投资风险控制

战略与投资风险是指资金到资产的决策过程中存在的

不确定性，由于决

策不可逆的特性，管控方式主要依赖于完善的公司治理、科学的决策机制，审

慎经营，合理把握机会风险和风险控制的平衡，做到决策科学化和规范化。

3.2供应链风险控制

供应链风险是指资产到资金的增值过程中的不确定性，其管控方式主要依赖于科学有效的运营管理，及时预警，快速反应，建立供应链风险识别、预警和应对的长效工作机制。

3.3 内部纯粹风险控制

内部纯粹风险的控制主要依赖于公司完整有效的内部控制体系，建立内部控制自我评估标准，通过自我评估，审计监察，不断完善制度流程，持续改进。

3.4 外部纯粹风险控制

外部纯粹风险的防范主要依赖于公司应急预案管理体系和对突发事件的有效应对，需要定期监控演练，一旦发生风险，快速反应，减少损失，防范风险扩大产生次生风险。 4基本流程

依据《中央企业全面风险管理指引》，参考COSO企业风险管理框架(2004 版)以及结合宝钢实际，确定集团公司全面风险管理基本流程包括：

4.1 风险识别：围绕公司经营目标，广泛收集公司外部因风险失控导致损失的案例和内部与风险管理有关的信息，结合各项业务管理及其重要业务流程，识别其中的风险，并就风险类别、产生原因、风险发生后可能给企业带来的影响等方面进行分析和描述。

4.2 风险评估：对风险发生的可能性和风险发生后对经营目标的影响程度进行评估。根据评估结果，确定重大风险和重要风险，排列管理优先顺序。

4.3风险应对：确定重大风险和重要风险的归口管理部门或责任人，根据现有的管理条件和外部环境，制定各项风险管理策略和风险管理解决方案并组织实施。风险管理策略指确定风险偏好、风险承受度、风险控制预警线以

及选择风险规避、风险降低、风险分担和风险承受等风险管理工具的总体策略；风险解决方案包括风险解决的具体目标，所需的组织领导，所涉及的管理

及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体

应对措施、风险管理工具。

4.4风险管理的监督和改进。对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险解决方案的实施情况进行监督，对风险管理的有效性进行检验，提出改进

建议，并跟踪整改情况；由各风险归口管理部门对风 险管理工作进行自查和检验，及时改进缺陷。

5重大、重要风险管理程序

5.1风险识别与评估

集团公司各部门和各子公司定期开展风险管理的自我评估，及时发现问

题，提出风险管理改进计划，并纳入本单位的持续改进工作和重点推进项目。

运营改善部组织集团层面的风险问卷调查，结合各部门和各子公司的风

险管理重点，进行排序，提出集团公司的重大、重要风险，在此基础上编制全面风险管理年度工作计划，公司审议后报董事会批准后下发执行。

5.2风险监控与应对

各部门和各子公司按照全面风险管理工作计划的要求开展各项工作，集

团公司各部门和各子公司要针对重大、重要风险设置风险预警标准，监控风险信号的状态，提出风险应对策略，准确把握风险控制与收益、效率之间的平衡

关系，优化内部控制措施。

当风险信号触及预警线时，由各专业管理部门发出风险提示，督促业务责任单位快速应对。

重大突发事件的应急管理按照《宝钢重大突发事件应急管理办法（总预

案）》的规定执行。

5.3风险状态的跟踪与报告

5.3.1季度简报

运营改善部牵头组织相关部门对重大、重要风险的状态进行跟踪评估，编制全面风险管理季度简报，包括重大、重要风险的管控状态，发生的风险事件

及其应对方案等内容。季度简报分两类：一是各子公司的季度简报；二是集团

公司的季度简报，由运营改善部签发后报集团公司、送相关部门，并从中选取

季度工作摘要以及集团公司重大、重要风险状态等内容，经降密处理后，定期

提交国务院国资委。

5.3.2子公司全面风险管理年度报告

各子公司编制全面风险管理年度报告，由子公司董事会审定后上报集团

公司（运营改善部），年度报告主要内容包括上年度重大、重要风险的管控情况

和风险管理职能建设情况，下年度预判的重大、重要风险以

及全面风险管理年

度工作计划。

6 审计监督

6.1重大、重要风险管控的审计监督

审计部根据年度审计计划对包括风险管理部门在内的各有关部门和子公

司开展的风险管理工作及工作效果进行专项评审，出具重大、重要风险控制的

监督评价报告，报公司领导审批，各责任单位编制改进计划，持续改进。

6.2 内部控制的审计监督

6.2.1集团总部各部门、各子公司业务部门对内部控制有效性进行自我评估；

6.2.2各子公司审计部门编制本单位内部控制年度审计评价报告，报本单位管理层和董事会，经批准后向集团公司（审计部）报送；

6.2.3集团公司审计部编制集团公司总部内部控制审计评价报告。

6.3宝钢集团内部控制审计评价报告

集团公司审计部结合重大、重要风险的管控以及各单位内部控制的情况，

按照国资委、财政部的相关规定，编制宝钢集团内部控制

审计评价报告，并将

内部控制审计评价的主要结论提交运营改善部，以便持续改进和风险年报

编制。

7 管理层报告

7.1按照国资委的年报编报要求，集团公司运营改善部编制宝钢集团全

面风险管理年度报告；

7.2运营改善部将宝钢集团内部控制审计评价的主要结论纳入全面风

险管理年度报告，上报公司前须经审计部会签；

7.3全面风险管理年度报告经集团公司管理层审议、集团公司董事会审

定批准后，由运营改善部会同审计部，将宝钢全面风险管理报告和内部控制年

度评价报告按国资委要求送相关部门备案。

8 附 则

8.1本制度由集团公司运营改善部负责解释。

8.2 自本制度自实施之日起生效，原集团公司《全面风险管理制度》(BS201056)同时废止。

第二篇：全面风险管理制度

附件1：

全面风险管理制度

第一章总则

第一条为加强中国泛海控股集团有限公司（以下简称“集团公司”）及所属各公司全面风险管理，保障稳健经营，根据财政部等五部委发布的《企业内部控制基本规范》及其18个企业内部控制应用指引，结合集团实际情况，制订本制度。

第二条本制度适用于集团公司各部门、所属各公司及受托管理公司（以下总称为“集团”）的风险管理工作。集团公司所属上市公司、公众公司风险管理工作按照国家法律法规和监管部门的规定要求，结合实际分别制定。三级及以下公司全面风险管理建设工作，由所属各公司负责。

第三条本制度所称风险，是指在集团未来经营管理中，各种不确定性对集团实现其战略及经营目标的影响。集团风险分为集团层面的常见风险与业务流程控制风险两个方面。

第四条本制度所称“全面风险管理”，是集团公司董事会、管理层及各部门、所属各公司和全体员工共同参与的，围绕集团总体战略目标和经营目标，通过在管理的各个环节和经营过程中，执行风险管理的基本流程，对集团运营中要面临的内部的、外部的可能危及集团利益的不确定性，执行相应的控制措施，以获得集团利益的最大化。

1

第五条集团全面风险管理的目标，是通过识别、评估影响集团战略和经营目标实现的内外部风险，建立和落实有效的管理措施，确保将风险控制在与总体目标相适应并在可承受的范围内。

第六条集团全面风险管理遵循全面、重要、制衡、适应、成本效益的原则，确保风险管理的有效性。

（一）全面性原则：风险管理应当做到事前、事中、事后控制相统一；覆盖集团的所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节，确保不存在风险管理的空白或漏洞。

（二）重要性原则：风险管理应当在全面风险管理的基础上，关注重要业务事项和高风险领域。

（三）制衡性原则：风险管理应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（四）适应性原则：风险管理应当与集团经营规模、业务范围、竞争状况以及风险水平等相适应，并随着情况的变化及时加以调整。

（五）成本效益原则：风险管理应考虑实施成本与预期效益的匹配，以适当的成本实现有效控制。

第七条集团全面风险管理涵盖公司治理与经营管理活动中所有环节，包括但不限于：

（一）公司治理环节：主要包括“三会”运作，“三会”和管理层的职权等。

（二）重大资产购买和出售环节：主要包括重大资产自建、购置、处置、维护、保管与记录等。

2

（三）对外投资环节：包括投资有价证券、股权、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等。

（四）对外担保与融资环节：包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。

（五）日常经营环节：主要包括：生产、采购与付款、销售与收款、财务会计管理、全面质量管理、产品研发、人事管理等。

第二章组织体系与职责分工

第八条集团应按照国家有关法律法规和公司章程，建立科学、完善的公司治理结构和组织架构，明确董事会、监事会、管理层和执行层（公司内部各层级）的职责权限、议事规则、工作程序和相关要求的制度安排，确保决策、执行和监督相互分离，形成制衡，避免职权交叉、缺失或职权过于集中，明确责任，减少内耗，形成各司其职、各负其责、相互制约、相互协调的工作机制。

第九条集团公司董事会是全面风险管理工作的决策领导机构，对集团全面风险管理的有效性负最终领导责任。其主要职责如下：

（一）建立完善的公司组织架构并确保其有效运行。

（二）制定集团发展战略，建立全面预算管理制度，明确集团风险管理目标，有效规范集团经营行为。

（三）审批集团全面风险管理制度。

3

（四）审定集团公司全面风险管理组织机构设置及其职责方案。

（五）审批集团全面风险管理年度报告。

（六）监督、评价集团全面风险管理体系建设和运转的有效性。

第十条集团公司管理层负责日常风险管理工作。其主要职责如下：

（一）根据集团发展战略、年度预算以及风险管理目标，确保集团经营目标的实现和年度预算的有效执行。

（二）拟定集团全面风险管理制度和相关的风险管理工作流程，报董事会审批。

（三)拟定集团公司全面风险管理组织机构设置及其职责方案，报董事会审批。

（四）建立健全风险管理监督评价和考核机制，对风险管理实施有效的日常监督检查与评价，并进行严格考核。

（五）向集团公司董事会提交全面风险管理年度报告。

（六）组织集团全面风险管理信息体系和集团风险管理文化建设。

（七）落实集团公司董事会决定的有关全面风险管理的其它事项。

第十一条集团公司设立风险控制总监，负责集团日常风险管理工作的组织、协调和管理。集团公司成立风险控制管理总部作为全面风险管理工作的职能部门，并向集团公司风险控制总监汇报工作。

风险控制总监的职责如下：

4

（一）拟定集团风险管理制度，参与集团重大经营决策以及经营目标、预算目标的设定。

（二）拟订风险管理工作具体管理办法和工作流程。

（三）指导集团风险管理与其他经营计划和管理活动的整合。

（四）提出集团公司全面风险管理组织职能体系建设建议方案。

（五）监督检查集团公司各部门和所属各公司贯彻执行全面风险管理流程情况。

（六）推动集团整体风险管理能力的提升，包括风险管理知识的培训、风险管理意识的增强以及风险管理技能的提高。

（七）组织起草集团全面风险管理年度报告。

（八）负责组织协调集团全面风险管理日常工作。

第十二条全面风险管理是集团各层面、各岗位、每位员工的重要工作职责之一，集团各部门、所属各公司以及每位员工，应充分认识自身的风险管理责任，履行风险管理工作职责，自觉防范和控制风险，将风险管理意识贯穿于集团经营管理的各方面和业务流程的各环节。

第十三条集团公司各部门负责人为本部门风险管理责任人，并指定一名员工为风险管理联系人，负责组织本部门风险识别、风险评估、风险报告及风险控制等工作。

第十四条所属各公司董事会是本公司风险管理的决策领导机构，所属公司董事长或授权风险控制总监为本公司风险管理的第一责任人，执行风险管理制度，履行风险管理职能。

5

所属各公司应结合本公司的实际情况，逐步建立全面风险管理组织体系。

所属各公司风险控制总监由集团公司委派或任命，负责所属公司日常风险管理工作的组织、协调和管理。未独立设置风险控制总监的所属公司应指定分管风险管理的领导，并报集团公司批准。

所属各公司应设立风险管理部门或指定资产财务部门作为本公司风险管理的职能部门。

第十五条集团公司各部门和所属各公司在风险管理过程中主要履行以下职责：

（一）执行集团全面风险管理制度和全面风险管理流程。

（二）研究提出本单位的重大决策风险评估报告，并配合风险管理主管部门开展与本单位有关的风险评估工作。

（三）研究提出由本单位负主导管理责任的重大风险的管控措施。

（四）对本单位的相关风险进行管理监控和分析，向风险管理主管部门提交风险日常监控信息和风险预警信息。

（五）做好本单位有关建立风险管理信息体系的工作。

（六）做好本单位培育风险管理文化的有关工作。

（七）办理风险管理其他有关工作。

第三章风险管理流程

6

第十六条集团风险管理的基本流程包括：风险评估、风险控制、风险监督、改进与报告。

（一）风险评估包括：收集信息、梳理流程、对风险进行识别、分析和评价。

（二）风险控制包括：修订完善集团各项规章制度、明确风险管理目标、制定风险控制措施、建立健全内部控制体系。

（三）风险管理的监督与改进包括：定期对风险管理流程及其有效性进行自我评估；定期集团的风险管理工作进行检查；聘请外部中介机构对集团的风险管理进行检查；逐步建立符合集团实际情况的风险管理指标体系；建立风险提示机制；督促风险管理问题的及时改进。

（四）评估报告：风险管理部门每年向管理层和董事会提交风险评估报告；发生重大风险事项应随时报告。

第四章风险评估

第十七条风险评估是集团风险管理过程中的一个关键环节，它包括收集信息、梳理流程、识别风险，评价风险等几个方面，并通过对风险影响程度的分析，给出集团风险控制的优先次序等。

第十八条收集信息。集团公司各部门、所属各公司应广泛、持续不断地收集与集团经营管理相关的内外部初始信息，包括历史数据和未来预测，建立有效的风险收集与管理系统，对初始信息进行筛选、提炼、对比、分类、组合等必要的管理，以便进行风险评估。这些初

7

始信息主要包括与战略风险、财务风险、市场风险、运营风险、法律风险相关的内外宏观经济形势、经济运行情况、产业与金融政策、市场供需、行业及竞争对手情况、集团战略与内部运行、财务状况以及法律法规等。

第十九条梳理流程。就是对涉及集团经营管理全过程的各项管理及其重要业务流程进行梳理和分类，确定现有流程体系现状，为集团识别风险，优化流程创造条件。

第二十条风险识别。集团应当查找各业务单元、各项重要管理活动及其重要业务流程中有无风险，有哪些风险。识别经营过程中面临的各类风险。

（一）集团公司各部门、所属各公司为风险识别的主要实施单位。

（二）风险识别方法主要包括：风险清单识别法、财务报表分析法、流程识别法、现场调查法等。

（三）风险识别的步骤包括：阅读风险清单、辨识公司常见风险、访谈、绘制流程图、撰写流程说明、识别流程风险点、提出控制措施、填写风险控制矩阵、整理风险识别文档等。

第二十一条风险分析。风险管理部门应当对识别出的风险采用定性与定量相结合的方法进行分析和评估，统一制定各风险的度量单位和风险度量模型，确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。

第二十二条对各种风险之间的相关性进行分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，对风险

8

进行统一集中管理。

第二十三条风险评价。在风险分析和整合的基础上，评价风险可能产生损失的大小以及对集团实现经营目标的影响程度。

第五章风险控制

第二十四条风险控制包括修订完善集团各项规章制度、明确风险管理目标、制定风险控制措施、建立健全内部控制体系。

第二十五条修订完善集团各项规章制度。集团成立制度建设小组，根据调整确定后的公司治理结构、内部机构、三定方案（定岗、定编、定职责）以及各项管理及重要业务流程优化方案，按照财政部等五部委发布的《企业内部控制基本规范》及其18个企业内部控制应用指引，结合集团实际情况，对集团现行各项规章制度进行全面清理、审阅、修订与完善，建立健全全面风险管理制度体系。

第二十六条明确风险管理目标、制定风险控制措施。集团根据风险管理总体目标，针对各类风险或每一项重大风险制定风险控制措施。控制措施主要包括：

（一）解决该项风险所要达到的具体目标。

（二）所涉及的管理及业务流程。

（三）所需要的条件和资源。

（四）所采取的具体措施。

第二十七条风险控制措施的组织实施。根据风险涉及的职能部

9

门和业务单位进行分工，认真组织实施风险控制措施，确保风险得到有效控制。

第二十八条建立健全集团内部控制体系。

（一）根据经营战略与风险管理目标一致、风险控制与运营效率及效果相平衡的原则，集团制定风险解决的内控方案，针对重大风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

（二）集团制定合理、有效的内控措施，包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

（三）不相容职务分离控制要求全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

（四）授权审批控制要求根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

常规授权是指集团在日常经营管理活动中按照既定的职责和程序进行的授权；特别授权是指集团在特殊情况、特定条件下进行的授权。

集团各级管理人员应当在授权范围内行使职权和承担责任。集团对于重大的业务和事项，实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

10

（五）会计系统控制要求严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

集团依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。财务负责人应当具备会计师以上专业技术职务资格。

（六）财产保护控制要求建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。公司严格限制未经授权的人员接触和处置财产。

（七）预算控制要求实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，严格预算考核，强化预算约束。

（八）运营分析控制要求建立运营情况分析制度，管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

（九）绩效考评控制要求建立和实施绩效考评制度，科学设置考核指标体系，对集团内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

（十）集团根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

11

第六章风险的监督、改进与报告

第二十九条风险管理的监督包括集团公司监事会对董事会风险管理工作的监督；集团公司董事会对管理层风险管理工作的监督；集团公司管理层以及风险控制管理总部对其他部门以及所属各公司风险管理工作的监督。

第三十条集团公司董事会负责定期或不定期地对管理层及风险控制管理总部的风险管理工作进行检查，对是否按照有关规定开展风险管理工作及其工作效果进行评价；也可根据工作需要，聘请独立第三方对公司风险管理工作进行独立检查评价。

第三十一条集团公司风险控制管理总部要定期或不定期对各部门和所属各公司风险管理工作实施情况和有效性进行检查和检验，对风险管理解决方案进行评价，提出调整改进建议，出具评价和建议报告。

集团公司风险控制管理总部要以公司重大风险、重大事件和重要决策、重要管理及业务流程为重点，对集团风险管理基本流程实施情况进行监督。

第三十二条集团公司各部门和所属各公司要定期对其风险管理工作进行自查，及时发现缺陷并改进，其自查报告应及时报送给集团公司风险管理总部。

第三十三条集团公司风险控制管理总部要逐步建立符合公司实际情况的风险管理指标体系，并将其作为搜集各部门和所属各公司风

12

险管理信息的基础，用以量化评价考核集团各方面风险管理情况，对风险评估所确定的由其管理的重大风险和其他需关注的风险进行持续的日常监控。

第三十四条建立风险提示机制。对在经营过程中，通过监测、检验、检查发现的风险，风险管理部门以《风险提示函》的形式，及时向有关部门或所属公司发出风险提示，并促进其改进。

第三十五条建立风险评估报告制度。集团风险评估报告分为定期报告和不定期报告。定期风险报告是对某一个阶段公司经营发展中存在的风险和纠正的情况进行的综合报告；不定期专项风险报告是对监控中或风险检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送集团公司领导、相关职能部门。

报告主要包括以下内容：集团总体经营与运行情况；风险管理组织体系和基本流程的建立与维护；公司内控制度及其执行情况；各类风险的评估方法及结果；重大风险事件情况及未来风险的预测；公司日常经营与风险管理的改进建议。

第三十六条集团公司各部门和所属各公司风险管理主管部门在对重大风险的日常监控中，要建立重要事件快速报告制度和报送责任人制度，就业务经营、财务管理、资金运用、工程管理等方面出现的重大问题以及与集团有关的敏感问题、群体性事件、重大突发事件、重大违法违纪事件等情况，在所监控的风险达到预警条件时，相关部门或单位应当立即报告集团公司。所属各公司的风险管理主管部门在

13

发出风险预警报告时，应立即启动风险应急预案，采取风险应对措施，并及时向集团风险控制管理总部报告。

第三十七条对于重大突发风险和跨所属公司并可能对集团造成重大影响的风险，所属各公司的风险管理部门应在发出风险预警报告后立即采取相关措施，尽量控制风险，并随时向风险控制管理总部报告当地重大风险变化情况、原因、趋势及下一步对策建议。风险控制管理总部应立即组织分析情况、统筹制订、实施风险应对方案，尽量降低突发风险对集团的影响，并报董事会。

第三十八条集团风险管理要纳入绩效考核管理，作为绩效考核的一个指标或组成部分。

对因工作失职、渎职而迟报、漏报重要事件，甚至有意见隐瞒不报造成严重后果的，按管理程序将追究有关责任人的责任。

第七章全面风险管理信息体系建设

第三十九条全面风险管理工作应充分利用信息技术手段，建立涵盖风险管理流程和内部控制系统的风险管理信息体系，包括风险管理信息的采集、存储、加工、分析、测试、传递、报告、披露等各项功能。

第四十条风险控制管理总部负责提出风险管理信息体系的功能需求，并与集团信息化管理部门配合，根据集团信息化建设总体规划提出风险管理信息体系的建设规划方案，同时配合集团信息技术专

14

业机构等相关力量，进行集团风险管理信息体系的具体开发、建设和应用工作。

第四十一条集团各部门和所属各公司应确保输入数据的准确性、及时性、可用性和完整性。对输入信息系统的数据，未经特殊的批准程序不得更改。

第四十二条集团公司信息管理部门应确保风险管理信息体系运行的稳定性、安全性和权限管理有效性，并根据实际需要不断进行系统改进、完善或更新。

第八章风险管理文化建设

第四十三条集团大力培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，促进集团全面风险管理目标的实现。

第四十四条集团将风险管理文化融于企业文化建设全过程，在各层面营造风险管理文化的氛围，在企业文化管理的相关政策和制度文件中明确规定风险管理文化的建设要求和内容。

第四十五条集团公司和所属各公司的负责人应在培育风险管理文化中起表率作用，重要业务流程和风险控制点的管理人员和岗位操作人员应成为培育风险管理文化的骨干力量。

第四十六条集团定期对高级管理人员以及全体员工进行风险管理理念、知识、流程以及控制方式等内容的培训，以增强风险管理

15

意识和能力。

第四十七条各级管理人员和岗位操作人员应牢固树立风险无处不在、风险无时不在、合理利用机会风险的意识，发扬光大“人人都是一道屏障”的风险控制文化，树立岗位上的风险管理责任重于泰山的理念。

第四十八条集团公司和所属各公司将通过多种形式广泛、深入、持久地宣传道德诚信准则和风险意识，进行风险管理案例教育，针对不同对象，开展风险管理制度和流程的操作人员岗前风险管理培训。

第九章附则

第四十九条本制度由集团公司风险控制管理总部负责解释。第五十条本制度自印发之日起执行。

16