甘肃能化:全面风险管理办法（2026年5月）

甘肃能化股份有限公司

GANSU ENERGY CHEMICAL CO.LTD

全面风险管理办法

2026年5月

1目录

第一章总则.................................................3

第二章风险管理组织体系...........................................5

第三章风险初始信息收集...........................................8

第四章风险评估..............................................11

第五章风险管理策略............................................12

第六章风险解决方案............................................13

第七章风险管理的监督与改进........................................14

第八章风险管理报告............................................15

第九章风险管理信息化系统建设.......................................16

第十章风险管理文化............................................17

第十一章风险管理考核与责任追究......................................17

第十二章附则...............................................18

2第一章总则

第一条为进一步建立健全甘肃能化股份有限公司(以下简称“公司”)全面风险

管理体系，提高整体风险管理水平，增强风险应对能力，保障公司总体战略目标顺利实现，根据《企业内部控制基本规范》《企业内部控制配套指引》及省属国有企业风险监管相关规定，参照《中央企业全面风险管理指引》，依据《甘肃能化股份有限公司内部控制基本规范》规定及要求，结合公司全面风险管理实际，制定本办法。

第二条本办法所称风险，是指公司及所属子企业战略发展过程中，未来的不确

定性对其实现总体经营目标的影响。一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。同时，以能否为其带来盈利机会为标志，也可将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

第三条本办法所称全面风险管理，是指公司及所属子企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育积极向上的风险管理文化，建立健全全面风险管理体系（包括风险管理的组织职能体系、风险管理策略、风险理财措施、风险管理信息系统和内部控制系统等五大子系统），从而为实现风险管理的总体目标提供合理保证的过程和方法。

第四条本办法所称风险管理基本流程，包括以下主要步骤：

（一）收集风险管理初始信息。包括了解公司及所属子企业内部环境，熟悉其目标、战略、风险偏好及经营计划，确定相关潜在风险来源，收集（采用访谈、焦点小组、调查/问卷、观察、会议、流程图等方法及技术）风险信息；

（二）开展风险评估。即量化风险发生可能性及影响值的过程，包括风险辨识（风险识别）、风险分析（风险度量）和风险评价（风险排序）三个步骤；

（三）制定风险管理策略。即风险应对的战略反应过程，包括风险承担、风险规

避、风险转移、风险转换、风险对冲、风险补偿、风险控制等七大策略的运用；

（四）提出和实施风险管理方案。即风险控制活动，包括外包方案及其它内部控制方案等措施的制定和实施；

（五）风险管理的监督和改进。即监控风险管理业绩的过程，包括收集和分析风

3险管理业绩成果信息资料，与目标计划、风险标准比对，分析差异及原因，内部审计验证，以及提出改进建议和各环节风险管理信息的交流、沟通、反馈等。

第五条本办法所称内部控制系统，是指围绕公司及所属子企业风险管理的总体目标，针对其内部控制各项业务及其重要业务流程，通过执行风险管理基本流程，制定并执行的内部控制制度、程序和措施。

第六条公司及所属子企业开展全面风险管理要努力实现以下目标：

（一）确保将风险控制在与公司及所属子企业总体目标相适应并可承受的范围内；

（二）确保公司及所属子企业内外部之间实现真实、可靠的信息，特别是风险管

理相关的信息得以沟通，包括编制和提供真实、可靠的财务报告及风险管理报告；

（三）确保国家有关法律法规在公司及所属子企业范围内能够得到有效的贯彻执行；

（四）确保公司及所属子企业有关内部控制制度、程序和为实现经营目标而采取

的重大措施贯彻实施，保障经营管理的有效性，提高经营活动的效率与效果，减少实现经营目标的不确定性；

（五）确保公司及所属子企业建立针对各项重大风险发生后的危机处理计划或应

急预案机制，保护其不因灾害性风险或人为失误而遭受重大损失，包括重大资产损失、重大生产经营业务中断、重大无法弥补的对公司声誉的负面影响等。

第七条公司及所属子企业在开展全面风险管理工作中，注重防范和控制风险可

能给企业造成损失和危害的同时，鼓励将机会风险视为一种特殊资源，通过风险/收益的权衡或分析，加强风险管理，为其创造价值，促进经营目标实现。

第八条公司及所属子企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。公司所属子企业应全面推进实施工作，尽快建立全面风险管理体系；制定开展全面风险管理的总体规划，分步实施，建立全面风险管理五大子系统。

通过积累经验，培养风险管理人才，逐步建立健全全面风险管理体系。

第九条公司及所属子企业开展全面风险管理工作应与其它管理工作紧密结合，

4把风险管理的各项要求融入企业管理和业务流程中。公司及所属子企业积极探索建立

风险管理的三道防线，即所属子企业各有关业务职能部门和业务单位为第一道防线，风险管理的责任部门和经理层为第二道防线，董事会下设的审计委员会和内部审计机

构为第三道防线，确保各类风险得到有效治理和管控。

第十条本办法适用于公司及所属子企业全面风险管理工作，子企业所属业务单位可以参照本办法制定实施细则。

第二章风险管理组织体系

第十一条公司及所属子企业应建立健全法人治理框架下的全面风险管理组织体系，明确风险管理职能部门、内部审计机构、法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。

第十二条为加强对全面风险管理工作的统一领导，公司及所属子企业成立以党

委书记、董事长为组长，其他领导班子成员为副组长，各职能部门及所属各单位负责人为成员的全面风险管理工作领导小组，负责全面风险管理的领导、组织、协调工作。

第十三条公司及所属子企业全面风险管理工作领导小组下设办公室于内部审计

机构或制定内部机构，负责全面风险管理的业务协调和指导工作。主要职责是：

（一）负责落实企业全面风险管理各项决策，组织协调全面风险管理各项具体工作；

（二）负责制定企业全面风险管理实施方案、全面风险管理办法等制度文件，确

定全面风险管理基本框架及任务分工和风险管理初始信息收集范围，制定风险评估标准及风险等级标准，开展业务培训;

（三）收集、掌握、分析企业全面风险管理工作总体情况，组织开展全面风险管

理评价工作，编制年度全面风险管理报告；

（四）建立全面风险管理数据信息台账，负责整理、汇总、分析风险管理基础信息，研究提出全面风险管理持续改进意见；

（五）指导、督促企业各单位有效开展全面风险管理工作；

（六）负责全面风险管理方面的其它综合性工作。

5第十四条公司及所属子企业董事会就全面风险管理工作的有效性对股东会负责。

主要履行以下职责：

（一）审议并向上级主管部门提交企业年度全面风险管理自我评价报告；

（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险解决方案；

（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；

（四）批准企业重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

（五）批准企业重大决策的风险评估报告；

（六）批准企业内部审计机构提交的全面风险管理报告；

（七）批准企业风险管理措施，纠正和处理企业任何组织或个人超越风险管理制度做出风险性决定的行为；

（八）督导企业风险管理文化的培育；

（九）研究全面风险管理涉及的其它重要事项。

第十五条公司及所属子企业董事会审计委员会对董事会负责，对企业风险管理

制度及状况进行定期评估，提出完善风险管理的建议，履行以下职责：

（一）审议内部审计机构或指定内部机构提交的年度风险管理报告；

（二）审议风险管理策略和重大风险解决方案；

（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；

（四）办理董事会授权的有关全面风险管理的其它事项。

第十六条公司总经理主持全面风险管理的日常工作，负责组织实施董事会有关

全面风险管理的决策事项，就全面风险管理工作的有效性向董事会负责。

第十七条公司及所属子企业指定内部审计机构或其他内部机构为全面风险管理

的职能部门，履行全面风险管理以下职责：

6(一)组织开展全面风险管理业务工作；

(二)指导、监督有关职能部门、业务单位落实全面风险管理工作任务；

(三)负责对全面风险管理进行有效性评估，研究提出全面风险管理的改进方案；

(四)负责组织建立风险管理信息系统；

(五)协调处理涉及风险管理的其它相关工作。

第十八条公司及所属子企业各部门是全面风险管理责任部门，设专职或兼职业

务人员1-2名，对涉及本部门业务范围内的各项风险进行对口管理。各部门主要职责是：

（一）根据企业全面风险管理整体安排，负责本部门各项风险管理工作的组织实

施;

（二）负责做好本部门业务范围内风险信息收集评估和风险管理措施制订等各环

节的工作，提出不断改进和提高风险管理的意见建议，按要求向公司内部审计机构报送风险管理报告和专项风险管理报告；

（三）组织开展本部门业务范围内的风险管理测评，落实整改风险管理缺陷；

（四）指导、督促各单位对口开展风险管理工作，落实风险应对措施。

第十九条公司及所属子企业各业务单位是全面风险管理实施的主体责任单位，接受企业全面风险管理领导小组和风险管理业务部门的领导、组织、协调、指导和监督，贯彻执行企业全面风险管理制度。企业所属各单位应根据实现经营目标的需要，成立全面风险管理工作领导小组，指定内部工作机构和岗位人员，明确工作职责，健全完善全面风险管理制度规范，负责承办本单位职责范围内的全面风险管理具体业务。

主要履行以下职责：

（一）按照企业全面风险管理工作要求，制定并持续完善相关规章制度及业务管控流程，及时将风险管理各项要求融入日常管理和业务流程系统中固化落实；

（二）落实与本单位业务职责相关的风险管理基本要求，包括风险初始信息收集、风险评估（辨识、分析、评价）、提出初步风险管理策略、风险应对方案及持续改进措施等；

7（三）研究提出与本单位业务相关的重大决策、重大风险、重大事件和重要业务

流程的判断标准或判断机制；

（四）编报本单位全面风险管理报告和专项风险管理报告。

第三章风险初始信息收集

第二十条公司及所属子企业广泛、持续不断地收集影响企业实现目标的内、外

部风险信息，作为开展全面风险管理工作的基础依据。各风险管理责任部门及业务单位，通过现有的内部控制信息系统，全面收集影响企业总体目标实现的风险和与风险管理相关的内、外部初始信息（包括历史数据和对未来事项的预测），为开展全面风险管理工作提供基础资料。

第二十一条在战略风险方面，公司及所属子企业与战略相关的各风险管理责任

部门和单位，应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与企业或本单位相关的以下重要信息：

（一）国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；

（二）科技进步、技术创新的有关内容；

（三）市场对企业核心产品、专业化服务的需求，比如市场占有率或份额及发展趋势；

（四）与战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；

（五）主要客户、供应商及竞争对手的有关情况；

（六）与主要竞争对手相比，企业实力与差距；

（七）发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制这些

战略、规划、计划、目标的有关依据；

（八）对外投融资流程中曾发生或易发生错误的业务流程或环节；

（九）其它与企业或本单位战略风险来源相关的重要信息。

以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。

第二十二条在财务风险方面，公司及所属子企业与财务相关的各风险管理责任

部门和单位应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集企业或

8本单位内的以下重要信息（其中有行业平均指标或先进指标的，也应尽可能收集）：

（一）负债、或有负债、偿债能力；

（二）现金流、应收账款及其占销售收入的比重、资金周转率；

（三）产品存货及其占销售成本的比重、应付账款及其占购货额的比重；

（四）制造成本和管理费用、财务费用、营业费用；

（五）盈利能力；

（六）成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；

（七）与企业或本单位相关的行业会计政策、会计估算、与国家会计制度的差异与调节等信息；

（八）其它与企业或本单位财务风险来源有关的重要信息。

以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。

第二十三条在市场风险方面，公司及所属子企业与市场相关的各风险管理责任

部门和单位应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与企业或本单位相关的以下重要信息：

（一）产品或服务及价格的供需变化；

（二）能源、原材料、配件等物资供应的充足性、稳定性和价格变化；

（三）主要客户、主要供应商的信用情况；

（四）税收政策和利率、汇率、股票价格指数的变化；

（五）潜在竞争者、竞争者及其主要产品、替代品情况；

（六）其它与企业市场风险有关的重要信息。

以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。

第二十四条在运营风险方面，公司及所属子企业与运营相关的各风险管理责任

部门和单位应收集与企业或本单位、本行业相关的以下信息：

（一）产品结构、新产品研发；

（二）新市场开发、市场策略，包括产品或服务定价与销售渠道，市场营销环境

9状况；

（三）组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程中专

业人员的知识结构、专业经验；

（四）期货等衍生产品业务中曾发生或易发生错误的流程和环节；

（五）质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；

（六）因内、外部人员的道德操守致使公司或本单位遭受损失或业务控制系统失灵；

（七）给企业或本单位造成损失的自然灾害以及除上述有关情形之外的其它纯粹风险；

（八）对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；

（九）企业或本单位风险管理的现状和能力；

（十）其它与运营风险有关的重要信息。

第二十五条在法律风险方面，公司及所属子企业与法律相关的各风险管理责任

部门和单位应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损

失的案例，并至少收集与企业或本单位相关的以下信息：

（一）国内外与企业或本单位相关的政治、法律环境；

（二）影响企业或本单位的法律法规和政策；

（三）员工道德操守的遵从性；

（四）企业或本单位签订的重大协议、有关买卖合同等业务合同；

（五）企业或本单位发生重大法律纠纷案件的情况；

（六）企业或本单位和竞争对手的知识产权情况；

（七）其它与法律风险有关的重要信息。

第二十六条公司及所属子企业各风险管理责任部门对收集的初始信息应进行必

要的筛选、提炼、对比、分类、组合，为开展风险评估提供依据。

10第四章风险评估

第二十七条风险评估是指依据风险评估标准对所收集的风险初始信息和各项业

务管理及重要业务流程进行辨识、分析和评价，辨明纯粹风险和机会风险，根据风险影响程度确定风险值和风险等级的过程。

（一）风险辨识是指查找公司及所属子企业各项重要经营活动及其重要业务流程

中有无风险，有哪些风险；

（二）风险分析是对辨识出的风险及其特征进行明确的定义描述，分析风险形成

原因、发生条件、风险特征、风险责任主体、关键影响因素、风险要素之间的相互关

系、风险发生可能性的高低、风险发生的条件等。风险分析应重点进行风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行统一集中管理；

（三）风险评估是在风险分析的基础上，依据风险评估标准和方法，评估各类风

险发生的可能性、对经营目标的影响程度和可能持续的时间等；

（四）公司及所属子企业风险评估包括全面风险评估和专项风险评估，全面风险

评估每半年开展一次，专项评估依据工作需要适时开展；

（五）风险评估由公司及所属子企业风险管理各责任部门、业务单位组织实施，风险评估结果形成后，应根据风险发生可能性的高低和对目标的影响程度，绘制风险坐标图，对各项风险进行比较，初步确定各项风险管理的先后顺序，为制定风险管理策略及解决方案提供信息支持。

第二十八条公司及所属子企业各风险管理责任部门和业务单位进行风险评估时，应统一各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。年度风险管理评价工作由内部审计机构或指定内部机构牵头，公司及所属子企业风险管理各责任部门应积极配合组织实施，完成职责分工及业务范围内的任务，及时提交风险评估报告。

第二十九条公司及所属子企业应根据环境的变化，定期对假设前提和参数进行

复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调

11整和改进。公司统一风险评价标准，由内部审计机构根据战略发展及实现总体经营目标需要，视风险管理具体情况制定。

第三十条公司及所属子企业风险管理各责任部门及业务单位应建立分类风险事

件库及报告制度，定期（半年、年度）或不定期实施风险辨识、分析、评价。同时，对新的风险和原有风险发生变化的要重新评估，实现对风险管理信息动态管理。

第五章风险管理策略

第三十一条风险管理策略是指公司及所属子企业根据内部条件和外部环境，围

绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险管理工具的总体策略，并确定风险管理所需人力、财力和物力资源的配置方案。

第三十二条风险管理工具主要包括风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等。

（一）风险承担是指理性地主动承担风险，即在风险规避、风险转移、风险控制

策略均不可行，或采取措施的成本超过承担风险成本的情况下，不对风险采取措施，接受该风险并以内部的经济资源来弥补风险损失；

（二）风险规避是指有意识地放弃风险业务行为，从而完全避免特定的风险；

（三）风险转移是指通过合同、套期、保险、业务外包等形式，将风险发生后的全部或部分财务损失转移给交易对手方或其它第三方来承担；

（四）风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等；

（五）风险对冲是指通过承担多个风险，使相关风险能够互相抵消的方法。使用该方法，必须进行风险组合，而不是对单一风险进行规避、控制。如：资产组合、多种外币结算、战略上的分散经营、套期保值等；

（六）风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。风险

补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。风险补偿的形式有财务补偿、人力补偿、物资补偿等；

（七）风险控制是指在正确识别和分析风险因素的基础上，运用各种合理有效的

12管理、技术手段，降低风险发生概率（防损）和风险损失程度（减损），将风险控制在可接受范围内。

第三十三条公司及所属子企业风险管理各责任部门和业务单位应根据既定的风

险管理策略，制定风险管理解决方案，并确定风险管理所需人力和财力资源。在一般情况下，对战略风险、财务风险、运营风险和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

第三十四条公司及所属子企业风险管理各责任部门根据行业特点统一确定风险

偏好和风险承受度，明确风险的最低限度和最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度时，必须根据公司战略目标及经营目标，准确把握风险与收益（损失/利润）的平衡关系，防止为单纯规避风险而放弃发展机遇。

第三十五条公司及所属子企业风险管理各责任部门根据风险与收益相平衡的原则，依据不同风险在坐标图上的位置分布和风险管理优选顺序，分别制定应对措施组织落实。

第三十六条公司及所属子企业风险管理各责任部门应定期总结和分析已制定的

风险管理策略的有效性和合理性，重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并结合内部控制实际，提出或修正职能区域、业务单位风险策略的有效性标准。

第六章风险解决方案

第三十七条公司及所属子企业风险管理各责任部门根据风险管理策略，针对不

同风险制定解决方案。方案一般包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件手段等资源，风险事件发生前、中、后所采取的具体应对措施及风险管理工具(如：关键风险指标管理、损失事件管理等)。

第三十八条公司及所属子企业风险管理各责任部门如需制定风险外包解决方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护和防止自身对外包

解决的依赖，并制定相应的预防和内部控制措施。

13第三十九条公司及所属子企业风险管理各责任部门制定风险解决的内控方案，

应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相互平衡，围绕职能业务目标，针对重大风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程控制措施；对其它风险所涉及的业务流程，要把关键环节作为控制点，制定和完善相应的内部控制措施。

第四十条公司及所属子企业风险管理各责任部门和业务单位制定和完善内部控制措施，一般至少包括以下内容：

（一）内部控制岗位授权制度；

（二）内部控制报告制度；

（三）内部控制批准制度；

（四）内部控制责任制度；

（五）内部控制审计制度；

（六）内部考核评价制度；

（七）重大风险预警制度；

（八）法律顾问制度；

（九）重要岗位权力制衡制度。

第四十一条公司及所属子企业风险管理各责任部门应按照内部控制设计要求，健全和完善重大风险预警制度，及时发布预警信息，制定应急预案，并根据情况变化及时调整应对措施。

第七章风险管理的监督与改进

第四十二条风险监督是指公司及所属子企业各级风险管理部门和内部审计机构或指定内部机构对各责任单位风险管理开展情况及其效果所开展的定期或不定期的检

查、监督和评价，并出具监督评价报告。风险监督可以与财务检查、安全检查、内控评价、审计、监察等专项工作结合一并开展。

第四十三条风险监督应以重大风险、重大事件和重大决策、重要管理及业务流

程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管

14理解决方案的实施情况进行监督，对风险管理的有效性进行检验，根据变化情况和存

在的缺陷及时加以改进。

第四十四条公司及所属子企业风险管理各责任部门、业务单位应结合内控评价工作，定期对本部门（单位）风险管理工作进行自查和检验，及时发现风险控制缺陷并改进，其检查、检验报告应及时报送公司内部审计机构。

风险控制缺陷分为设计缺陷和执行缺陷：

（一）设计缺陷是指在风险控制设计时缺少为实现控制目标的必要措施或现有的

措施不能满足控制要求，表现为规章制度缺失、不相容职责未有效分离、控制设计不合理等；

（二）执行缺陷是指设计合理及有效的风险控制未被正确地执行，表现为未按设

计方式运行、执行人因未获得必要授权或缺乏胜任能力无法实施等。

第四十五条公司内部审计机构定期或不定期对各责任部门（单位）风险管理工

作实施情况和有效性进行检查，根据要求对风险管理策略进行评估，对跨部门和责任单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告。

第四十六条公司及所属子企业可聘请有资质、信誉好、风险管理业务能力强的

中介机构对全面风险管理工作进行评价，出具风险管理评价和建议专项评价报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：

（一）风险管理基本流程与风险管理策略；

（二）重大风险、重大事件和重要业务流程的风险管理及内控制度落实情况；

（三）风险管理组织体系与信息系统；

（四）全面风险管理总体目标。

第八章风险管理报告

第四十七条公司及所属子企业建立贯穿于整个风险管理的基本流程，畅通上下

级与各部门和各单位的风险管理信息沟通渠道，建立完备的信息报告制度，明确风控相关信息的收集、处理和传递程序，确保信息及时高效的沟通，促进企业全面风险管理体系有效运行。

15第四十八条风险管理报告类型包括全面风险管理报告、专项风险评估报告、重

大风险管控情况报告、实时监督报告、风险提示单等。

（一）全面风险管理报告内容主要包括：上年度重大风险管理情况、年度风险评

估情况、重大风险管理及应对措施等；

（二）专项风险评估报告由公司及所属子企业各责任部门和业务单位负责编制，内容包括专项风险名称、风险具体表象、风险影响程度、风险应对措施、风险管控效

果、改进意见等内容。经由责任部门和业务单位负责人审签后，报公司内部审计机构；

（三）各风险管理责任部门应根据风险信息收集情况，出具风险提示单，督导相关业务单位做好风险防范和应对工作；

（四）公司内部审计机构依据内外部监督检查、专题评价等情况，出具实时监督报告，通报各单位、各部门风险隐患和存在问题，督促问题整改落实。

第四十九条公司及所属子企业各风险管理责任部门和业务单位每年12月前组织

开展年度风险评估工作，形成本业务单元的年度全面风险评估子报告，经本单位相关会议审议通过、主要负责人签字后，于12月10日前报公司内部审计机构。

第五十条公司内部审计机构根据各责任部门和业务单位的全面风险管理报告，对企业全面风险管理整体情况开展评估，确定企业风险等级及排序，编制企业年度全面风险管理报告，提交企业党委会、董事会审议，批准后报上级主管部门。

第九章风险管理信息化系统建设

第五十一条公司及所属子企业致力于建设企业级的风险管理信息系统，涵盖风

险管理流程各环节，应用于风险管理各项工作，提升风险管理预警能力和适时响应水平，推进全面风险管理信息化建设。

第五十二条公司及所属子企业结合组织架构、业务范围、不同单位地域分布、技术能力差异等因素，制定信息系统建设整体规划，加大投入力度，有序开展信息系统开发、运行与维护，为企业全面风险管理和内部控制提供高效的信息技术平台支撑。

第五十三条公司及所属子企业依据全面风险管理业务数据成果，逐步推动风险

管理信息系统与其它信息系统建立集成与共享机制，依托人工智能、大数据等新技术

16应用，深入挖掘风险数据深层管理信息，满足企业整体和跨职能部门、责任单位的风

险管理综合要求。

第五十四条公司及所属子企业应确保风险管理信息系统的稳定运行和安全，并

根据实际需要不断进行改进、完善或更新，严格访问与变更、数据输入与输出、文件储存与保管、网络安全等系统控制管理流程，保证企业全面风险管理信息系统安全稳定运行。

第十章风险管理文化

第五十五条公司及所属子企业大力培育和塑造良好的全面风险管理文化，形成

并宣贯讲道德、重诚信、合法合规经营的风险管理文化理念，并将其转化为员工的共识和自觉行动，增强员工风险管理意识，提高全面风险管理水平，保障企业全面风险管理目标的实现。

（一）公司及所属子企业各级管理人员应在风险管理文化培育中起表率作用，率

先垂范执行风险管理制度和流程，努力营造制度和流程面前人人平等、监督制衡、违规必究的风险管理氛围；

（二）公司及所属子企业应通过多种形式努力向全体员工传播风险管理文化，牢

固树立“风险无处不在、风险无时不在”“严格防控纯粹风险、审慎处置机会风险”“岗位风险管理责任重大”等意识和理念。

第五十六条公司及所属子企业各单位应加强全面风险管理培训、宣贯，建立岗

前风险管理培训制度，采取多种途径和形式，加强对风险管理理念、识别、分析、评价、预警、管控等核心内容的培训，培养风险管理人才，培育风险管理文化。有以下情形的，应组织开展风险培训：

（一）风险管理制度发布或发生重大修订；

（二）发现内部控制存在重大缺陷需要及时堵漏；

（三）新员工入职、关键岗位员工上岗；

（四）其它需要培训的情形。

第十一章风险管理考核与责任追究

17第五十七条公司及所属子企业对全面风险管理实行绩效考核，将全面风险管理

体系建设、风险管理执行等情况纳入责任部门和业务单位负责人年度业绩考核和全员绩效考核体系。所属子企业各业务单位应相应建立全面风险管理考核机制，执行内部绩效考核。

第五十八条公司及所属子企业经营管理部门设置具体管理考核指标，对未能履

行全面风险管理职责、风险管控措施不力的责任部门、业务单位，执行严格考核。对因风险防范不力造成重大风险事件、发生严重负面影响的责任部门或业务单位，依据公司及所属子企业相关规定予以追责。

第五十九条公司及所属子企业任何单位和个人不得对外公布涉及内部全面风险

管理过程的保密文件，凡擅自泄密的，严肃追究有关人员的责任。

第十二章附则

第六十条公司及所属子企业各单位应根据本办法制订其实施细则并报公司上级内部审计主管机构备案。

第六十一条本办法由公司董事会负责解释。

第六十二条本办法经公司董事会审议通过之日起施行。同时废止2023年8月《全面风险管理办法》。

附件：1.公司风险类别及排查任务职责分工表

2.公司统一风险评估及评价标准

3.风险管理常用技术方法简介

4.风险管理专业术语解释

18附件1：

公司风险类别及排查任务职责分工表一类风险排查二类风险三类风险风险责任部门

战略分析风险、战略制定风险、战略实施风险；其它与战略战略管理风险管理有关的重要风险。

投资立项风险，投资实施风险，投资退出风险；其它与战略投资风险投资有关的重要风险。规划发展部战略宏观经济政策风险、微观经济政策风险、行业政策调整风险

风险政策风险、国家产业政策调整风险；其它与政策有关的重要风险。

内部机构设计及运行风险；其它与组织机构设置有关的重要机构设置风险风险。人力资源部......其它涉及战略风险的重要事项。规划发展部预算编制风险、预算审批风险、预算分解和责任落实风险、预

预算管理风险算执行风险、预算调整风险、预算考核风险；其它与预算管理有关的重要风险

筹资风险、建设资金管理风险、运营资金管理风险、库存现

资金管理风险金管理风险、票据管理风险；其它与资金管理有关的重要风险。

财务报告编制风险、财务报告对外提供风险、财务报告分析财务报告风险利用风险；其它与财务报告有关的重要风险。

财务

成本计划风险、成本控制风险；其它与成本管理有关的重要风险成本管理风险财务管理部风险。

存货风险、固定资产风险、无形资产风险；其它与资产管理资产管理风险有关的重要风险。

税务风险、收益分配风险、关键岗位风险；其它与财务有关其它财务风险的重要风险。

定价失衡风险、竞争限制风险、质量失控风险、信息披露风关联交易风险险；其它与关联交易有关的重要风险。

......其它涉及财务风险的重要事项。

行业需求变化风险、新业务推广风险、新业务增长风险；其市场开发风险它与市场开发有关的重要风险。

物资材料市场变化风险；其它与之有关的重要风险。经营管理部产品竞争风险、技术竞争风险、替代品竞争风险；其它与市市场市场竞争风险场竞争有关的重要风险。

风险

产品价格风险、原材料价格风险；其它与价格变动有关的重要风险。经营管理部价格风险

劳动力价格（人力成本）风险；其它与劳动力价格有关的重人力资源部要风险。经营管理部

19利率/汇率银行利率变动风险、物价上涨风险；其它与市场变化有关的风险重要风险。财务管理部市场

风险政策风险、股票交易风险、股价波动风险、利率风险；其它证券市场风险与证券市场变化有关的重要风险。证券部......其它涉及市场风险的重要事项。经营管理部安全生产风险与安全生产有关的所有重要风险。安全环保管理部环保监管风险、环境治理风险、自然灾害风险；其它与环保环保风险有关的重要风险。安全环保管理部研发立项风险、技术（工艺）风险、研发过程控制风险、研

研发风险发人员品德风险、用户沟通风险、设计更改风险、专利风险；其它与研发有关的重要风险。

新技术、新产品、新工艺引进风险；其它与之有关的重要风生产技术部险。规划发展部技术风险

非标设备引进风险、通用设备引进风险；其它与新设备引进有关的重要风险。

公司及子公司治理风险；其它与公司治理有关的重要风险。

公司治理风险财务管理部公司及子公司监管风险；其它与公司监管有关的重要风险。

生产组织管理风险、生产协同风险，其它与生产有关的重要生产风险生产技术部风险。安全环保管理部基建项目开发风险、工程设计风险、施工建设风险、工程验基建风险收风险；其它与基建有关的重要风险。规划发展部运营

风险人力资源规划风险、招聘与配置风险、培训与开发风险、绩人力资源管理

效管理风险、劳动关系风险、薪酬福利风险；其它与人力资风险人力资源部源有关的重要风险。

市场采购风险、供应商管理风险、采购招标风险、库存计划采购管理风险风险；其它与采购管理有关的重要风险。

销售合同风险、销售计划风险、货物发运风险、发票管理风经营管理部

销售管理风险险、货款回收风险、信用管理风险、主要客户流失风险；其它与销售管理有关的重要风险。

基建工程质量管理风险、基建工程质量验收风险及其相关重要风险规划发展部安全生产质量标准化达标风险及其相关重要风险安全环保管理部生产技术部质量风险安全管理质量及其相关重要风险安全环保管理部质量检测工程质量检测及其相关重要风险生产技术部风险规划发展部设备质量检测及其相关重要风险安全环保管理部生产技术部

20信息系统开发风险、信息系统运行与维护风险、系统应用控

信息化风险制风险；其它与信息化有关的重要风险。

信访风险、稳定风险；其它与信访维稳有关的重要风险。

舆情风险媒体信息管控风险、舆情信息风险；其它与舆论宣传有关的重要风险。

运营办公室

风险廉政管理风险、廉政监督风险、廉政责任风险；其它与廉政廉政风险建设有关的重要风险。

保密责任风险、保密管理风险、保密技术风险、保密监督风保密风险险；其它与保密有关的重要风险。

......其它涉及运营风险的重要事项。经营管理部法律法规适用识别风险、规章制度的合规性风险、违法违规合规风险风险；其它与合规性有关的重要风险。

合同谈判风险、合同审核风险、合同签订风险、合同履行风经济合同风险法务合规部

险、合同变更风险；其它与经济合同有关的重要风险。

法律

风险知识产权管理风险、侵权风险；其它与知识产权有关的重要知识产权风险风险。

劳动合同签订风险、劳动合同履行风险、劳动合同终止风险劳动合同风险人力资源部

、劳动争议风险；其它与劳动合同有关的重要风险。法务合规部法律纠纷风险诉讼与仲裁风险；其它与法律纠纷有关的重要风险。法务合规部备注：公司所属子企业及责任单位对照本表列示的风险类别全面排查，并将与之有关的中、高风险分别向此表确定的分工管理职责部门上报。

21附件2:

公司统一风险评估及评价标准

公司风险发生可能性的定性、定量评价标准及其相互对应关系（表1）

备注：由于一定时期的风险发生的概率估计或定性描述，将受到涉及风险相关资产的变现能力，经营管理中人工参与的程度，经营管理中是否涉及大量繁杂的人工计算等因素影响，我们将定期根据省政府国资委下达的年度总体经营目标以及公司确定的风险承受能力及水平，对风险发生的可能性标准进行合理的调整。

22公司风险发生后对目标影响程度的定性、定量评价标准及其相互对应关系（表2）

备注：由于风险影响程度大小是针对既定目标而言的，因此对于不同的经营目标，公司各职能部门及所属子企业应采取不同的衡量标准。公司的风险发生后的影响程度标准将随着省政府国资委下达的年度总体经营目标的变化及公司风险承受能力及水平和实际经营发展需要进行必要的调整。

23附件3：

风险管理常用技术方法简介

一、风险坐标图

风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量等方法。定性方法是直接用文字描述风险发生可能性的高低、风险对目标的影响程度，如极低、低、中等、高、极高等。定量方法是对风险发生可能性的高低、风险对目标影响程度用具有实际意义的数量描述，如对风险发生可能性的高低用概率来表示，对目标影响程度用损失金额来表示。

下表列出某公司对风险发生可能性的定性、定量评估标准及其相互对应关系，供实际操作中参考。

下表列出某公司关于风险发生后对目标影响程度的定性、定量评估标准及其

相互对应关系，供实际操作中参考。

24对风险发生可能性的高低和风险对目标影响程度进行定性或定量评估后，依

据评估结果绘制风险坐标图。如：某公司对9项风险进行了定性评估，风险*发生的可能性为“低”，风险发生后对目标的影响程度为“极低”；……；风险

25*发生的可能性为“极低”，对目标的影响程度为“高”，则绘制风险坐标图如

下：

如某公司对7项风险进行定量评估，其中：风险*发生的可能性为83%，发生后对企业造成的损失为2100万元；风险*发生的可能性为40%，发生后对企业造成的损失为3800万元；…….；而风险*发生的可能性在55%到62%之间，发生后对企业造成的损失在7500万元到9100万元之间，在风险坐标图上用一个区域来表示，则绘制风险坐标图如下：

绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定各风险管理的优先顺序和策略。如：某公司绘制了如下风险坐标图，并将该图划分为A、B、C三个区域，公司决定承担A区域中的各项风险且不再增加控制措施；严格控制B区域中的各项风险且专门补充制定各项控制措施；确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。

26二、蒙特卡罗方法

蒙特卡罗方法是一种随机模拟数学方法。该方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布

。具体操作步骤如下：

1.量化风险。将需要分析评估的风险进行量化，明确其度量单位，得到风险变量，并收集历史相关数据。

2.根据对历史数据的分析，借鉴常用建模方法，建立能描述该风险变量在未

来变化的概率模型。建立概率模型的方法很多，例如：差分和微分方程方法，插值和拟合方法等。这些方法大致分为两类：一类是对风险变量之间的关系及其未来的情况作出假设，直接描述该风险变量在未来的分布类型（如正态分布），并确定其分布参数；另一类是对风险变量的变化过程作出假设，描述该风险变量在未来的分布类型。

3.计算概率分布初步结果。利用随机数字发生器，将生成的随机数字代入上

述概率模型，生成风险变量的概率分布初步结果。

4.修正完善概率模型。通过对生成的概率分布初步结果进行分析，用实验数

据验证模型的正确性，并在实践中不断修正和完善模型。

5.利用该模型分析评估风险情况。

正态分布是蒙特卡罗风险方法中使用最广泛的一类模型。通常情况下，如果一个变量受很多相互独立的随机因素的影响，而其中每一个因素的影响都很

27小，则该变量服从正态分布。在自然界和社会中大量的变量都满足正态分布。描

述正态分布需要两个特征值：均值和标准差。其密度函数和分布函数的一般形式如下：

1 (x-* )

-2

密度函数： * (x) = e 2? - ? ? x ? +?

?2?

(t-* )2

x -

= 1 e 2? 2 dt

分布函数： ?(x) = P(X □ x) ?-? ? 2? - ? ? x ? +?

其中*为均值，σ为标准差。

由于蒙特卡罗方法依赖于模型的选择，因此，模型本身的选择对于蒙特卡罗方法计算结果的精度影响甚大。蒙特卡罗方法计算量很大，通常借助计算机完成。

三、关键风险指标管理

一项风险事件发生可能有多种成因，但关键成因往往只有几种。关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤如下：

1.分析风险成因，从中找出关键成因。

2.将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。

3.以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值

后形成新的数值，该数值即为关键风险指标。

4.建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。

5.制定出现风险预警信息时应采取的风险控制措施。

6.跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。

以易燃易爆危险品储存容器泄漏引发爆炸的风险管理为例。容器泄漏的成因有：使用时间过长、日常维护不够、人为破坏、气候变化等因素，但容器使用时

28间过长是关键成因。如容器使用最高期限为50年，人们发现当使用时间超过45年后，则易发生泄漏。该“45年”即为关键风险指标。为此，制定使用时间超过“45年”后需采取的风险控制措施，一旦使用时间接近或达到“45年”时，发出预警信息，即采取相应措施。

该方法既可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险。使用该方法，要求风险关键成因分析准确，且易量化、易统计、易跟踪监测。

四、压力测试

压力测试是指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题制定改进措施的方法，目的是防止出现重大损失事件。具体操作步骤如下：

1.针对某一风险管理模型或内控流程，假设可能会发生哪些极端情景。极端

情景是指在非正常情况下，发生概率很小，而一旦发生，后果十分严重的事情。

假设极端情景时，不仅要考虑本企业或与本企业类似的其它企业出现过的历史教训，还要考虑历史上不曾出现，但将来可能会出现的事情。

2.评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目

标可能造成的损失。

3.制定相应措施，进一步修改和完善风险管理模型或内控流程。

以信用风险管理为例。如：一个企业已有一个信用很好的交易伙伴，该交易伙伴除发生极端情景，一般不会违约。因此，在日常交易中，该企业只需“常规的风险管理策略和内控流程”即可。采用压力测试方法，是假设该交易伙伴将来发生极端情景(如其财产毁于地震、火灾、被盗)，被迫违约对该企业造成了重大损失。而该企业“常规的风险管理策略和内控流程”在极端情景下不能有效防止重大损失事件，为此，该企业采取了购买保险或相应衍生产品、开发多个交易伙伴等措施。

29附件4：

风险管理专业术语解释

1.风险理财：利用金融手段管理风险的方法，包括：预提风险准备金、购

买保险或使用专业自保公司、衍生产品交易以及风险融资等。

2.情景分析：通过假设、预测、模拟等手段生成未来情景，并分析其对目

标产生影响的方法，包括：历史情景重演法、预期法、因素分解法、随机模拟法等方法。

3.集中趋势法：指根据随机变量的分布情况，计算出该变量分布的集中特

性值(均值、中数、众数等)，从而预测未来情况的方法。它是数据推论方法的一种。

4.失效模式与影响分析：通过辨识系统失去效用后的各种状况，分析其影响，并采取相应措施的方法。

5.事件树分析：以树状图形方式分析风险事件间因果关系的方法。

6.风险偏好：为了实现目标，企业在承担风险的种类、大小等方面的基本态度。

7.风险承受度：企业愿意承担的风险限度，也是企业风险偏好的边界。