云南城投:《云南城投置业股份有限公司风险内控合规管理制度》

1目录

第一章总则.................................................3

第二章组织机构及职责............................................6

第三章一体化管理策略...........................................12

第一节风险收集、评估与管理........................................12

第二节内部控制活动............................................17

第三节合规运行..............................................19

第四章风险内控合规管理重点........................................20

第五章风险内控合规管理保障........................................21

第六章信息应用与信息化建设........................................23

第七章附则................................................24

附件一：风险评估标准...........................................25

附件二：重大风险的界定标准........................................31

2第一章总则第一条为建立健全云南城投置业股份有限公司（下称“置业公司”或“公司”）风险管理、内部控制、合规管理

的协同运作机制，将风险管理和合规管理要求嵌入业务流程，促使公司依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标。

依据《中华人民共和国公司法》（下称《公司法》）《企业内部控制基本规范》及配套指引、《云南城投置业股份有限公司章程》（下称《公司章程》）《上海证券交易所上市公司自律监管指引第1号——规范运作》，参照《中央企业全面风险管理指引》《云南省省属企业合规管理指引（试行）》

《云南省省属企业合规管理体系建设工作方案》等文件要求，制定本制度。

第二条本制度适用于置业公司，全资、控股公司可参照执行。

第三条公司贯彻“管理制度化、制度流程化、流程信息化”的内部控制理念，建立健全以风险管理为导向，以合规管理为重点，严格、规范、全面、有效的内部控制体系，形成全面、全员、全过程、全体系的风险防控机制，实现“强内控、促合规、防风险”的管控目标，有力保障公司高质量发展。本制度中下列用语的含义是：

“风险”是指未来的不确定性对公司实现其经营目标的影响。

3“风险事件”是指使风险隐藏的潜在损失转化为现实损

失的媒介，它通常是某个或者一系列的事件。

“风险管理”指公司围绕总体经营目标，通过在管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。

“内部控制”是指由公司董事会、经理层和全体员工实

施的、旨在实现控制目标的过程，目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。

“合规”是指公司及其员工的经营管理行为符合法律法

规、监管规定、行业准则和《公司章程》、规章制度等。

“合规管理”是指公司以有效防控合规风险为目的，以公司经营管理行为和员工履职行为为对象，开展包括制度制定及落实、风险识别、合规审查、风险应对、责任追究、考

核评价、合规培训等有组织、有计划的管理活动。

第四条风险内控合规管理是公司治理体系和治理能力

现代化的重要组成部分，与其他职能管理相互协调、相互促进，为实现以下目标提供合理有效保障：

（一）保证公司经营管理合法合规；

（二）保障公司资产安全；

（三）保证公司财务报告及相关信息真实完整；

（四）确保公司建立针对各项重大风险发生后的应急预案；

4（五）提高公司经营效率和效果；

（六）促进公司实现发展战略目标。

第五条风险内控合规管理应遵循以下原则：

（一）全面性原则。风险内控合规管理体系应覆盖公司的所有管理领域和业务单元。

（二）重要性原则。风险内控合规管理体系应在全面控

制的基础上，关注重要业务事项和高风险领域。

（三）适应性原则。风险内控合规管理体系应根据内、外部环境的变化及时加以调整。

（四）制衡性原则。风险内控合规管理体系应当在治理

结构、机构设置及权责分配、业务流程等方面形成相互制约、

相互监督，同时兼顾运营效率。

（五）成本效益原则。风险内控合规管理体系应当权衡

实施成本与预期效益，以适当的成本实现有效控制。

（六）服务战略，创造价值。合规管理服务公司全面深

化改革转型升级，服务发展大局，推进公司治理能力与治理体系现代化，增强公司风险控制力，提升市场竞争力和价值创造力。

（七）业规同管，强化责任。坚持“业务谁主管，合规谁负责”的原则，做好合规管理与业务开展同策划、同应对、同监督，确保业务合规运行。秉持“高层表率、强化责任”的理念，把加强合规管理作为主要负责人履行推进法治建设

第一责任人职责的重要内容。

第六条风险内控合规管理体系的构建，通过实现组织

5职能协同、工作机制统一、管理制度统一、评价体系统一，

切实推动风险、内控、合规一体化的落地。

（一）组织职能协同：将相关职能放至战略及风险管理

委员会、审计委员会与合规委员会，各项工作协同开展。

（二）工作机制统一：风控管理部负责年度的风险、内

控、合规工作的计划与执行，以及与其他部门的工作协调机制的统一，建立年初布置、年中管控、年末总结的工作机制。

（三）管理制度统一：将风险内控合规管理要求、评价

标准及风险应对措施融入到制度当中，切实做到公司日常的业务流程及管理符合风险内控合规的要求。

（四）评价体系统一：明确一体化管理体系评价工作的

组织形式、评价方式、报告路径、检查评价问题整改及跟踪机制，制定一体化评价的相关检查测试程序，明确一体化检查结果及缺陷认定标准，实现内控自评、合规检查及风险管控工作的整合，在实现评价目标的同时，有效降低管控成本。

第二章组织机构及职责

第七条公司风险内控合规管理的治理机构与职责：

（一）公司党委充分发挥把方向、管大局、保落实的领导作用，保障风险内控合规管理体系建设的决策部署得到全面落实。党委会主要职责包括：

1.全面领导、统筹推进合规管理工作；

2.推动科学立规、严格执规、自觉守规、严惩违规；

63.研究合规管理负责人人选、合规管理牵头部门的设置；

4.对董事会、高级管理人员的合规经营管理情况进行监督；

5.对合规管理的重大事项研究提出意见；

6.按照权限研究或决定对有关违规人员的处理事项。

（二）公司党委下设合规委员会。合规委员会承担合规

管理的组织领导和统筹协调工作，专门负责合规事务，由公司党委书记担任主任，组成人员为党委班子成员，直接对党委会负责。合规委员会主要履行以下合规管理职责：

1.研究决定合规管理重大事项；

2.监督合规管理执行情况；

3.审阅合规有效性评价报告，根据公司合规实际情况，

指导合规整改工作，确保合规管理体系的适当性和有效性；

4.批准公司年度合规管理工作计划及报告。

（三）董事会是风险内控合规管理的决策机构，发挥定

战略、作决策、防风险作用，主要职责包括：

1.批准风险、内控、合规管理组织机构设置、职责方案

以及总法律顾问（首席合规官）的聘任、解聘；

2.批准公司风险内控合规管理体系的建立、实施和完善

的方案；

3.批准公司风险内控合规管理各项基本制度；

4.批准公司重大决策的风险管理策略及应对方案；

5.批准公司年度风险内控合规管理工作计划及报告；

6.批准年度内部控制评价报告、合规有效性评价报告；

77.批准公司风险评估报告；

8.按照权限决定对有关违规人员的处理事项；

9.《公司章程》规定的其他管理职责。

董事会授权战略及风险管理委员会作为公司日常风险

管理的决策机构，战略及风险管理委员会可根据实际情况判断是否将审议事项进一步提交董事会决策。

（四）战略及风险管理委员会、审计委员会分别按照公

司《董事会战略及风险管理委员会实施细则》《董事会审计委员会实施细则》履行风险、内控相关职责。

（五）审计委员会行使《公司法》规定的监事会职权，并按照《公司章程》履行监督职责。

（六）经理层发挥谋经营、抓落实、强管理作用，通过

总经理办公会履行以下职责：

1.组织拟订风险、内控、合规管理组织机构设置、职责方案；

2.组织拟订公司风险内控合规管理体系的方案、实施和

完善的方案；

3.组织实施董事会关于风险内控合规管理的决议，组织

推进风险内控合规体系的建设与运行；

4.组织拟订风险内控合规管理基本制度，批准风险内控

合规管理业务管理制度及具体操作规范；

5.批准公司重大风险事件报告及判定；

6.组织拟订公司重大决策的风险管理策略及应对方案；

7.组织拟订并向董事会提交公司风险评估报告；

88.组织应对重大风险事件；

9.审议公司年度风险内控合规管理工作计划及报告；

10.审议年度内部控制评价报告、合规有效性评价报告；

11.组织推进风险内控合规管理信息化建设；

12.审议批准风险内控合规管理手册、重点领域合规指南等；

13.指导监督各部门和下属单位风险内控合规管理工作；

14.及时制止并纠正不合规的经营行为，按照权限对违规

人员进行责任追究或提出处理建议；

15.完成董事会授权的其他事项。

（七）公司建立合规联席会议制度。合规联席会议决定

公司日常重要合规事项，统筹协调合规管理牵头部门与各业务、监督等部门工作。

（八）公司设立首席合规官，由公司总法律顾问兼任，具体执行党委会、董事会、总经理办公会有关决策部署，参与公司重大决策并提出意见和建议，领导风控管理部开展相关工作，指导下属单位加强风险、内控、合规管理。

第八条公司各部门职责

（一）风控管理部负责公司风险内控合规管理工作，主

要履行以下职责：

1.研究起草公司年度风险内控合规管理工作计划及报告、及业务范围内基本管理制度、业务管理制度和具体操作规范；

2.组织开展公司风险评估；

3.持续关注法律政策变化，组织开展风险识别与预警及

9组织更新风险清单；

4.组织起草及更新风险内控合规管理手册、重点领域合

规指南；

5.负责规章制度、经济合同、重大决策合法合规性审查；

6.参与业务部门对商业伙伴的合规调查；

7.受理合规管理职责范围内的举报，组织或参与对举报

事件的调查，并提出处理意见或建议；

8.组织或协助业务部门、组织人事部开展风险、内控与

合规培训，向部门及员工提供合规咨询；

9.组织或协助业务部门进行合规宣传，培育合规文化；

10.指导公司各部门及各下属单位的风险、内控、合规管

理工作；

11.配合合规检查与考核，督促违规整改和持续改进。

（二）公司各部门及各下属单位按照“业务谁主管、风险内控合规管理谁负责”的原则，承担本业务领域风险内控合规管理的主体责任，同时指定风险内控合规管理专员，负责组织协调本部门（本单位）相关工作，主要履行以下职责：

1.完成本部门（本单位）风险管理信息收集和风险识别，

进行风险评估、制定风险管理策略、提出和实施风险管理解决方案，以及风险监控、风险管理的监督与改进等风险管理全过程的相关工作；

2.研究提出本部门（本单位）管理的重大风险管理策略

及具体应对方案（包括突发风险事件应急预案）；

3.组织落实本部门（本单位）管理的重大风险管控措施

10（包括应急预案）并进行跟踪；

4.组织对本部门（本单位）提交的重大决策事项的风险

评估出具评估意见；

5.主动开展本部门（本单位）合规风险识别和隐患排查工作，发布合规预警，协助风控管理部更新风险库；

6.组织本部门（本单位）合规审查，及时向风控管理部

报告合规风险事项，妥善应对处置合规风险事件；

7.做好本领域合规宣贯和培训、培育合规文化、对商业

伙伴合规调查，配合对违规问题的调查并及时组织整改。

第九条公司审计管理部门依据相关法律法规、国资监管

规定、上级主管单位管控要求及公司内部管理制度等，对公司及下属单位组织开展内部控制评价、合规有效性评价工作。

公司纪检室、审计管理部门依据有关规定，在职权范围内对风险内控合规要求落实情况进行监督，并加强工作协同和衔接，对违规行为进行调查，按照规定开展责任追究。

第十条公司各部门坚决守住“第一道防线”，承担合

规管理主体责任，负责建立健全本部门业务合规管理制度和流程，开展合规风险识别评估，编制风险清单和应对预案；

定期梳理重点岗位合规风险，将合规要求纳入岗位职责；履行对本部门经营管理行为的合规审查，根据相关规定报告合规风险，组织或配合开展应对处置、违规问题调查和培训。

各部门应当设置合规管理员，由业务骨干担任，接受风控管理部业务指导和培训。

公司风控管理部应不断筑牢“第二道防线”，全面牵头

11负责本公司合规管理工作。组织起草合规管理基本制度、专

项制度、年度计划和工作报告等；组织对规章制度、经济合

同、重大决策合法合规性审查；组织开展合规风险识别、预

警和应对处置；受理职责范围内的违规举报，提出处置意见，组织或参与违规行为调查；组织或协助各部门开展合规培训，受理合规咨询，推进合规管理信息化建设。

公司监督追责等部门切实发挥“第三道防线”监督作用，在职权范围内对合规要求落实情况进行监督，对违规行为进行调查，按规定开展责任追究。

第十一条公司全体员工履行全员合规责任，熟悉并遵

守与本岗位职责相关的法律法规、公司内部制度和合规义务，依法合规履行岗位职责，接受合规培训，对自身行为的合法合规性承担责任。

第三章一体化管理策略

第一节风险收集、评估与管理

第十二条按照目标的不同，公司风险分为战略风险、财务风险、市场风险、运营风险、法律风险、合规风险。

第十三条公司各部门结合行业、市场等信息，充分考

虑影响公司战略目标实现的内外部因素，包括政策要求、历史数据、未来预测以及与公司和国内外相关公司发生的风险

损失事件、违规案例、合规义务等，重点监控影响公司及部门目标达成的风险及风险表现，查找各项重要经营活动及重

12要业务流程中存在的风险，并将收集到的风险初始信息报送至风控管理部。风控管理部应对各部门、各下属单位报送的风险信息进行统一筛选和提炼，建立和补充风险信息库，更新和维护公司整体的风险清单。

（一）在战略风险方面，由公司战略投资部及下属单位广泛收集国内外公司战略风险失控导致公司蒙受损失的案例，并收集与公司相关的宏观经济政策、行业状况、市场需求、竞争状况、公司发展战略和规划、投资计划、年度经营

目标、经营战略，以及编制这些战略、规划、计划、目标的有关依据，重点关注对外投资流程中曾发生或易发生错误的业务流程或环节。

（二）在财务风险方面，由公司财务管理中心及下属单

位广泛收集国内外公司财务风险失控导致危机的案例，收集与公司获利能力、资产营运能力、偿债能力、发展能力等指

标相关的重要信息，重点关注成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节。

（三）在市场风险方面，由公司战略投资部及下属单位

广泛收集国内外公司忽视市场风险、缺乏应对措施导致公司

蒙受损失的案例，收集与公司相关的产品或服务的价格及供需变化、主要客户及主要供应商的信用情况、税收政策和利

率、汇率、股票价格指数的变化等方面的重要信息，对现有市场环境进行评估。

（四）在运营风险方面，由公司运营管理中心、组织人

事部及下属单位广泛收集国内外公司忽视市场风险、缺乏应

13对措施导致公司蒙受损失的案例，收集新市场开发、市场营销策略，包括产品或服务定价与销售渠道、市场营销环境状况等，公司组织效能、管理现状、公司文化、中高层管理人员和重要业务流程中专业人员的知识结构、专业经验等方面的信息，重点关注质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节，对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力。

（五）在法律风险方面，由风控管理部及下属单位广泛

收集国内外公司忽视法律法规风险、缺乏应对措施导致公司

蒙受损失的案例，收集影响公司的新法律法规和政策、公司签订的重大协议、公司发生重大法律纠纷案件的情况等方面的信息。

（六）在合规风险方面，由公司各部门及下属单位广泛

收集国内公司在战略管理、财务管理、市场管理、运营管理、

法务及合同管理等方面违反国家相关政策要求，触发合规条款，引发法律责任、受到相关机构处罚、造成经济或声誉损失以及其他负面影响的信息。

第十四条风险评估是在收集风险管理信息的基础上，对所面临的风险进行识别、分析和评价的过程。

风险评估由公司风控管理部不定期组织有关部门和业

务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

风险评估包括固有风险评估及剩余风险评估两部分，公司针对固有风险发生的可能性及对公司目标的影响程度制

14定相应的风险评估标准，针对内控措施的有效性制定相应的有效性评级，综合得出公司的剩余风险（风险评估标准详见附件一）。

基于风险评估结果，公司对识别出的风险进行风险排序，明确风险控制优先级，对于判断为重大风险的事项进行重点关注和优先控制；对于其他风险，公司进行跟踪管理，适时掌握其处理或变化情况。

公司应当对经营期间的重大决策进行风险审核。

第十五条公司根据自身条件和外部环境，围绕公司发展战略，确定风险偏好、风险承受度、风险管理有效性标准，公司综合运用风险规避、风险降低、风险分担和风险承受等

风险应对策略，实现对风险的有效控制。

（一）风险规避，是公司对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略；

（二）风险降低，是公司在权衡成本效益之后，准备采

取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略；

（三）风险分担，是公司准备借助他人力量，采取业

务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略；

（四）风险承受，是公司对在风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失，而直接承受的策略。

15第十六条公司制定重大风险的界定标准（详见附件二），

公司各部门和各下属单位对各业务领域、各单位发生的风险

事件先行研判，若初步判断为重大风险事件的需及时按公司内部决策程序报告及判定。

重大风险事件应由本部各主责部门编写重大风险事件报告，（涉及下属单位风险事件沟通本部业务归口管理部门）提报公司党委会前置研究及总经理办公会审定，若总经理办公会判定确为公司重大风险事件的，应进一步针对审议后的重大风险事件制定重大风险应对方案。

第十七条重大风险应对方案一般包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后期所采取的具体应对措施以及风险管理工具等。

公司本部重大风险应对方案由涉及重大风险事件的本

部各主责部门负责组织编制，风控管理部门负责予以配合，由本部各主责部门提报方案，经风控管理部门审核后提报公司内部决策程序审议。

公司各下属单位的重大风险应对方案由涉及重大风险

事件的各下属单位负责编制，公司本部业务归口管理部门及风控管理部门负责予以配合，由各下属单位提报方案，经风控管理部门审核后提报公司内部决策程序审议。

重大风险应对方案应提报公司总经理办公会审议、党委

会前置研究，后由战略及风险管理委员会审定通过，战略及风险管理委员会认为有必须的可进一步提交董事会进行决

16策。重大风险应对方案应根据相关规定，及时向上级主管单位报告。

公司各部门和各下属单位应按照职责分工认真组织实

施重大风险应对方案，确保各项重大风险应对措施落实到位。

第十八条公司各部门和各下属单位应在风控管理部主

导下定期或不定期对风险管理工作进行自查和检验，并将整改情况报送公司风控管理部。

第二节内部控制活动

第十九条公司以风险为导向结合风险评估结果，通过

手工控制与信息系统控制，预防性控制与发现性控制相结合的方法，运用不相容职务分离、授权审批、财产保护、会计核算、财务管理、预算控制、运营分析和绩效考核以及审计

检查、重大风险预警、建立以总法律顾问制度为核心的公司

法律顾问制度等控制措施，将风险控制在可承受限度之内。

第二十条内部控制活动需满足外部法律法规要求，外规内化。将存在风险的各类业务事项列入控制活动范围，坚持经营战略与风险策略一致、风险控制与运营效率及效果相

平衡的原则，针对风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施。采取建立完善规章制度、建立关键业务事项管理权责指引、建立风险内控合规管理手册

等管理工具，确保各类业务事项的落实。

第二十一条公司内部控制活动涵盖公司所有的业务环节，包括但不限于：组织架构、发展战略、人力资源管理、

17社会责任、公司文化、资金管理、投资管理、融资管理、担

保管理、采购与付款、资产管理、销售与对账、财务报告、

全面预算、法务及合同管理、内部信息传递、信息系统管理、

关联交易、证券事务、内部监督等。

第二十二条公司建立内部信息与沟通机制以及建立公

司与下属单位及参股公司重大内部信息传递机制，以及下属单位及参股公司重大事项报告机制，促进内部信息沟通提高工作效率，增强管理透明度降低经营风险。

第二十三条公司对收集的各种内部信息和外部信息进

行合理筛选、核对、整合，提高信息的有用性。公司各部门须将相关信息在公司内部各管理级次、责任单位、业务环节之间，以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当根据相关规定及时报告并加以解决。重要信息应当根据相关规定及时传递给董事会和经营层。

第二十四条公司制定《信息披露事务管理制度》，明

确信息披露的原则、内容、程序、责任、保密、奖惩等内容，有效保护公司、股东及其他利益相关者的权益，确保对外信息披露及时、准确、完整。

第二十五条公司审计管理部门设置内部审计岗位，为

审计委员会的日常办事机构，行使并承担监督检查内部控制制度执行情况、评价内部控制有效性、提出完善内部控制的纠正措施的建议的职责。

第二十六条公司定期开展内部控制评价工作。董事会

18授权公司审计管理部门为公司内部控制评价实施部门，负责

内部控制评价的具体组织实施工作。

第三节合规运行

第二十七条公司梳理分析风险内控合规体系执行情况，认真查找体系的短板弱项，不断完善风险内控合规制度体系。

根据外部监管新规定以及公司新业务、新变化、新问题，及时做好相关制度留、立、废、改工作，明确重要业务领域和关键环节的内控要求、风险应对措施及违规经营投资责任追究规定。

第二十八条定期或不定期开展风险、内控、合规管理

体系评价，制定风险、内控、合规评价计划，上级评价与自评价相结合、年度定期评价与专项不定期评价相结合，按照风险内控合规管理手册控制活动要求设计评价方案，对风险、内控、合规管理体系运行的有效性进行检查评价，督促整改缺陷问题。

第二十九条加大制度执行监督检查力度，强化责任追究，增强制度刚性约束。建立风险内控合规识别预警及应对机制，全面系统梳理经营管理活动中存在的合规风险，对风险发生的可能性、影响程度、潜在后果等进行系统分析，对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。对可能造成企业重大资产损失或者严重不良影响的重大合规风险事件，应当由首席合规官牵头，风控管理部统筹协调，及时采取措施妥善应对。

19第三十条公司建立完善合规审查机制，将合规审查作

为必经程序嵌入经营管理流程，重大决策事项的合规审查意见应当由首席合规官签字，对决策事项的合规性提出明确意见。业务部门、风控管理部依据职责权限完善审查标准、流程、重点等，定期对审查情况开展后评估。

第四章风险内控合规管理重点

第三十一条公司根据内部环境，在全面推进风险内控

合规管理的基础上，突出重点领域、重点环节和重点人员，切实防范风险。

第三十二条重点领域包括公司治理、市场交易、投资

管理、采购管理、合同管理、资本运作、财务税收、债务管

理、信息安全、工程建设、知识产权、资产租赁、商业伙伴、

安全环保、产品质量、劳动用工、选聘招聘、履职待遇、业

务支出、社会捐赠与赞助等领域。公司根据业务发展逐步建立重点领域合规指南。

第三十三条重点环节：

（一）制度制定环节。强化对规章制度、改革方案等重

要文件的合规审查，确保符合法律法规、监管规定等要求。

（二）经营决策环节。严格落实“三重一大”决策制度，细化各层级决策事项和权限，加强对决策事项的合规论证把关，特别盯防授权、分权、行权、决策、审批、会签等权力行使密切相关的重点环节，保障决策和权力运行依法合规。

20（三）生产运营环节。严格执行合规制度，加强对重点

流程的监督检查，特别盯防商务谈判、订立合同、结算、付款、交割、验收、注册、注销、银行密钥和印章使用等与权

力行使密切相关的重点环节，确保生产经营过程中照章办事、按章操作。

第三十四条重点人员：

（一）权力集中部门和人员。对权力集中的部门和岗位

实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程控制，防止权力滥用；完善内部层级监督和专门监督，建立常态化监督制度；完善纠错问责机制，健全问责方式和程序。

（二）资金密集部门和人员。推进业务、财务、支付一

体化信息系统有效运行，强化现金流量预算管理，实现对大额特殊资金的逐笔监控。

（三）资源资产富集部门和人员。健全管理制度，建立

先进的管理技术和方法，明确资源资产权属，量化资源资产金额，监控资源资产情况，规范资源资产交易。

（四）管理人员。促进管理人员切实增强风险合规内控意识，带头依法依规开展经营管理活动，认真履行风险合规内控管理职责，强化考核与监督问责。

第五章风险内控合规管理保障第三十五条公司将合规管理纳入党委（党总支、党支

21部）法治专题学习，推动公司领导干部强化合规意识，率先做到决策合规。

第三十六条加强合规管理队伍人才建设，以总法律顾

问制度建设为契机，建立专业化、高素质的合规管理队伍，建立健全合规管理工作人员职业发展规划，健全激励机制，拓宽职业发展通道，充分调动积极性和主动性。

第三十七条加强全员培训，建立常态化合规培训机制，公司每年结合合规管理建设的重点工作制定年度培训计划，强化高风险业务重点岗位人员合规培训。培育和推广合规文化，践行依法合规、诚信经营的价值观，不断增强员工的合规意识和行为自觉。将合规作为经营理念和社会责任的重要内容，树立积极正面的合规形象。

第三十八条建立合规承诺机制。实行全员承诺制，置

业公司全体人员应定期签署合规遵循承诺书，书面承诺遵守与本职岗位有关的道德诚信与合规要求。

第三十九条加强考核评价，把风险内控合规情况纳入

对各部门和各下属单位的年度绩效考核。开展全员合规评价，建立员工合规档案，将评价结果作为员工考核、干部任用、评先选优等工作的重要依据。

第四十条建立风险内控合规报告机制，明确合规风险

事件分级分类标准和应对机制。发生合规风险时，相关部门应当及时采取有效措施，并根据相关规定向风控管理部报告。

发生重大合规风险事件，首席合规官应当根据相关规定及时向有关部门报告，并及时报告后续应对和处置进展情况。

22第四十一条设立违规举报平台，公布举报方式。由风

控管理部受理违规举报并应当对收到的违规问题举报进行

调查处理，经核实确有违规行为的，按照公司违规经营问责等相关规定进行相应处理；涉及违反党内纪律规定的，由纪检监察部门根据相关组织纪律进行处理；涉嫌违法犯罪的，移交司法机关处理。

第四十二条根据公司违规行为追责问责机制，明确责任范围，细化问责标准，针对问题线索及时开展调查，严肃追究责任。公司建立经营管理和员工履职违规行为记录机制，风控管理部每半年对相关违规人员的违规事项、行为性质、

发生次数、危害程度等进行记录，形成履职违规行为台账，并与相关部门共享。该记录作为考核评价、职级评定等工作的重要依据。

第四十三条建立违规问题整改机制，对于反复发生的

合规风险和违规问题，要健全制度，优化流程，形成长效机制，持续改进提升。

第六章信息应用与信息化建设

第四十四条根据公司业务发展，逐步加强管理信息化建设，运用信息化手段，加强风险内控合规制度、典型案例、培训、违规行为的信息化记录；运用信息化手段将管理要求

和防控措施嵌入工作流程，强化合规审查和过程管控；将管理信息系统与财务、投资、采购、人资等其他信息系统深度

23融合，实现数据互联共享；利用大数据技术，加强对重点领

域、重点环节的监测预警，强化风险防控。

第七章附则

第四十五条本制度由风控管理部负责解释。

第四十六条本制度经董事会批准，自发布之日起执行，原《风险管理制度》《内部控制管理制度》同时废止。

24附件一：

风险评估标准

风险评估包括固有风险评估及剩余风险评估两部分，具体评估标准如下：

（一）固有风险评估标准

固有风险，即假设该风险在没有任何控制存在的情况下，其妨碍公司实现经营目标的可能性及影响。在考虑每个风险的可能性及影响程度时，应假设现有的控制都不存在，从而对固有风险作出更有效及更客观的评价。

固有风险评级主要从每个风险点的发生可能性和其一

旦发生后对公司目标实现的影响程度这两个维度来进行，每个维度都有“极低”、“低”、“中等”、“高”、“极高”

五个评价等级，分别对应的分数是1、2、3、4、5分。针对每一个风险点，评分人将分别从上述两个维度进行评估，并给出相应的分值。该种风险的大小即风险水平值是“风险发生可能性”和“风险发生影响程度”两个维度评分的乘积，作为确定风险应对策略的依据之一。

1、风险发生可能性

风险发生可能性：指某一风险发生的概率或频率。

风险发生的可能性分为五个等级，分别赋值1至5分，分值越高表示可能性越大，如1分表示该风险发生的可能性极低；5分表示该风险几乎确定会发生。

在考虑风险发生的可能性时，可从相对发生概率和绝对发生次数两个指标考虑，进行评分：

25评分等级12345

风险水平描述极低低中等高极高

风险发生的可业务极少发生，风险业务较少发生，风险业务发生频率中业务发生频率较普业务发生很频能性在极少情况下才会发在较少情况下会发等，风险发生频率通偏高，风险发生繁，风险发生很生或发生的绝对数量生或发生的绝对数中等或发生的绝对频率较普通偏高或频繁或发生绝非常小，几乎从未发量很小，风险近三年数量丌太多，风险发生的绝对数量较对数量很多，风生过，风险近三年没发生过3次以下近三年发生过3次多，风险平均每年险平均每年发有发生过以上5次以下发生2-3次生3次以上

2、风险发生影响程度

风险发生影响程度：指风险失去控制后可能对公司产生

的影响程度，影响包括对公司人、财、物、持续发展的影响、政治、社会、环境影响等。

对于风险的评估应该与公司的战略目标紧密相连，并关注那些对公司战略目标实现有重要影响的风险。从以下定量或定性的任意一方面进行考虑，并给出相应分值。如果判断一项风险涉及两个方面或以上，则以评分最高者的分值作为影响程度的填写分值（取其高原则）。

风险发生的影响程度应综合考虑多方面因素，按照如下方式从战略影响、市场影响、运营影响、合规影响、财务影响五个方面进行分析（以下数据仅为评分的参考标准，请打分人员根据经验自行评判）。风险发生的影响程度分为五个等级，分别赋值1至5分，分值越高表示影响程度依次加强。

26评分等级12345

风险水平极低低中等高极高描述战略影响对公司的战略较小的影响公在一定程度上影响公较大的影响公司战略重大的影响公司

目标的实现产司战略计划的司战略计划的实施，对计划的实施，对战略目战略计划的实施，生轻微的影响实施，没有对战略目标的实现产生标的实现产生一定的对战略目标的实战略目标的实较小的影响，通过公司影响，需要通过较大的现产生很大的影现产生影响的调整可以挽回调整才能够挽回响，丌一定能够通过调整进行挽回市场影响对公司的市场较小的影响公在一定程度上影响公较大的影响公司的市在很大程度上影仹额及社会形司的市场仹司的市场仹额；市场仹场仹额；市场仹额总体响公司的市场仹

象产生轻微影额；市场仹额额总体减少3%-8%；减少8%-10%；额；市场仹额减少响。在县所辖总体减少超过10%；

范围内受到影1%-3%；

响，但该影响较小的影响公在一定程度上影响公较大的影响公司的销在很大程度上影可由所辖公司司的销售额；司的销售额；影响金额售额；影响金额约7，响公司的销售额；

短期内自行消影响金额约3，约3，000万-7，000000万-10，000万元；影响金额约10，除。000万元以万元；000万以上；

下；

较小的影响了短期或有限的社会形暂时的社会形象的下公司的社会形象

公司的社会形象的下降；在网省范围降，但是通过补救措施有重大的下降，需象；在地市范内受到影响，这种影响可以恢复；在全国范围要通过较大的补围内受到影需要较长时间、付出较内受到影响，这种影响救措施，才能够恢响，但该影响大代价消除；需要通过长时间努力、复；在国际范围内需要一定时付出巨额代价消除受到影响，这种影间、付出一定响难以消除代价消除；

损失了少量的损失了一定程度的客损失了一块较大的客损失了一块重大

客户基础（5%户基础（10%-15%）户基础（15%-30%）的客户基础（30%以下）或以上）运营影响对公司的运营在运营系统上在运营系统上的损失在运营系统上的损失在运营系统上的

产生轻微的影的损失导致较导致较大的营运中断，导致重大的营运中断，损失导致严重的响，基本没有小的营运中时间长达3天，在一时间长达3-5天，在影响或正常营运造成人员的伤断，时间长达定范围内影响运营；较大范围内影响运营；的中断，时间长达亡或经济损1-2天，影响5天以上，很大范失；范围较小；围内影响运营；

27评分等级12345

风险水平极低低中等高极高描述对环境或社会成本有限的增成本短期的上升对当承受过多的成本对当过多的成本严重造成短暂的影加对收入和利前的所得和盈利率产前的所得和盈利率产地影响长期的盈响，可丌采取润产生的影响生影响，毛利率下降生影响，毛利率下降利率和生存能力，行劢；相对较小，毛2%；2%-5%；毛利率下降5%以利率下降上；

1%-2%；

负面消息在公某些员工流一定数量的员工流失较大数量的员工流失相当大数量的员

司内部流传，失，职位空缺或无法招聘到，职位空或无法招聘到，职位空工流失或无法招公司声誉没有期长至1个缺期长至1-3个月，缺期长至3个月，职聘到，职位空缺期受损，对员工月，职位空缺职位空缺范围在位空缺范围超过3个月，职位热情有轻微影范围在5%内；5-10%内；10%—20%；空缺范围超过

响20%；

造成轻微的人造成少量的人员受伤，造成一定范围的人员造成较大范围的员受伤，造成1造成1至4人轻伤；受伤，造成5人以上人员受伤，或者出人轻伤；轻伤，或者出现1至2现人员死亡，造成人重伤；大范围的人员轻伤，或3人以上重伤，或者出现死亡的情况；

对环境或社会对环境造成中等影响，造成主要的，长期的环无法弥补的灾难造成一定的影需要一定程度的补救境损害，需执行重大的性环境损害，需要响，但丌破坏措施，需6个月或6补救措施，且要6个3年以上的时间来生态系统，被个月以上的时间才能月到3年左右的时间恢复，或者人类所政府有关部门恢复，出现个别投诉事来恢复，出现较多的公掌握的现代科技关注或需要通件；众投诉事件；尚无法恢复，出现知政府有关部大规模的公众诉门，可丌采取讼事件，被判定需行劢；承担重大刑事责仸；

28评分等级12345

风险水平极低低中等高极高描述

负面消息受到负面消息在某区域流负面消息在全国流传，负面消息流传世媒体关注，在传，被地方政府部门关对公司声誉造成重大界各地，被中央政当地局部流注，对公司声誉造成中损害，被全国性媒体持府部门或监管机传，对公司声等损害，员工对公司的续报道，被中央政府部构高度关注或开誉造成轻微损满意度、决策认同感有门关注，员工对公司的展调查，引起公众害，员工对公所下降可能向外部传满意度、决策认同感严媒体极大关注，对司的满意度、递对公司形象较为丌重下降，向外部传递对公司声誉造成无工作热情受到利的信息公司形象非常丌利的法弥补的损害，员较小影响信息，造成员工较严重工对公司的认同的消极怠工和人才流感极大下降，向外失部传递对公司形象极为丌利的信息，出现严重消极怠工甚至罢工，关键岗位员工离开公司

合规影响对公司的合规在一些丌严重在某些情况下，未能遵未能遵循法律和法规未能遵循法律和行为产生轻微幵且是独立的循法律和法规的要求的要求，虽然重大但仍法规的要求，幵且的影响案例中，未能可恢复经营十分严重，影响公遵循法律和法司的持续经营规的要求

财务影响极轻微的财务轻微的财务损中等的财务损失：公司重大的财务损失：公司特大的财务损失：

损失：公司财失：公司财务财务损失占净资产的财务损失占净资产的公司财务损失占

务损失占净资损失占净资产5‰-1%1%-5%净资产的5%以

产的2‰以下的2‰-5‰上

（二）内控措施有效性的评估

内控措施的有效性：即评估内部控制措施是否确切存在且有效地减低公司固有风险。

评级内部控制措施有效性

29?完善的内控措施已存在，如已制定相关书面制度和流程、岗位说明完善、职责分工明确等。

?所有业务流程已经基本实现信息化，手工操作环节极少，业务流程得到真实记录幵保存，可以极好地保极高障公司运营目标。

?控制得到极好的遵循。

?标准的内控措施已存在幵记录。如已制定相关书面制度和流程、岗位说明标准、职责分工清晰等。