中化岩土集团股份有限公司

全面风险管理制度

第一章总则

第一条为加强中化岩土集团股份有限公司（以下简称“公司”）全面风险管理工作，提高风险防范能力，促进公司持续、健康、稳定发展，根据《中华人民共和国公司法》《中华人民共和国证券法》《中华人民共和国企业国有资产法》《上市公司治理准则》《中央企业全面风险管理指引》等法律法规的规定，结合公司实际，制定本制度。

第二条本制度适用于公司及其分公司、全资、控股子公司。

第三条本制度所称“风险”，是指未来的不确定性对公司实现其经营目标的影响。

第四条本制度所称“全面风险管理”，是指围绕公司战略规

划和经营目标，通过在企业各管理环节和运营过程中，建立规范的风险管理组织体系、执行清晰的风险管理流程、培育良好的风

险管理文化、强化风险管理考核与评价，从而为实现风险管理的总体目标提供合理保证的过程和方法。

第五条公司全面风险管理的总体目标是：

（一）建立和规范全面风险管理体系，形成风险控制长效机制，促进公司持续、健康、稳定发展；

（二）逐步采用科学合理的风险量化方法实施风险管理，将

—1—风险控制在与总体目标相适应并可承受的范围内；

（三）保证各项经营管理遵守法律法规、公司规章制度及为

实现战略目标而采取重大措施的贯彻执行，提高经营活动的效率和效果；

（四）确保公司建立针对各项重大风险发生后的危机处理计划，不因灾害性风险或人为失误而遭受重大损失；

（五）确保在风险和收益匹配前提下实现公司整体价值最大化。

第六条公司全面风险管理遵循以下原则：

（一）目标导向原则。全面风险管理应以公司战略目标为导向，通过规范决策程序，执行全面风险管理措施，确保战略目标和规划的实现。

（二）全面性原则。全面风险管理应当全员参与，覆盖投资、建设、运营的管理全周期，贯穿决策、执行、监督、考核与评价全过程。

（三）重要性原则。在全面风险管理基础上，重点关注公司

的重大事项、特殊事项和高风险领域，制定风险应对措施，防范重大风险。

（四）谨慎性原则。应当坚持以事前防范、事中控制为主，事后补救为辅，着重做好风险识别的预判和风险控制的策略。

（五）系统性原则。全面风险管理应系统考虑风险因素之间

的相关性及相互影响，不能孤立或片面地开展风险管理工作。

—2—（六）适时性原则。全面风险管理不是静态的管理，应根据内外部环境的变化，动态持续完善全面风险管理体系。

第七条公司及分子公司主要领导是风险管理工作“第一责任人”，分管领导是风险管理的“主要负责人”，各业务归口部门是风险管理“直接责任人”。

第二章风险管理的组织体系

第八条公司按照风险分层、分类、分级管理的原则，逐步

建立风险管理“三道防线”，将风险管理的工作节点融入公司管理和业务流程中，把风险管理的职责分工落实到岗位和人员，建立健全、持续完善风险管理组织体系，逐步构建健全的公司风险管理组织体系架构。

第一道防线为各部门、各公司，负责在业务前端识别、评估、应对、报告风险；

第二道防线为风险管理归口部门，负责牵头统筹制定各类风

险管理制度和标准，建立风险管理运行机制；

第三道防线为审计部门，负责对风险管理制度和流程设计的有效性以及执行情况进行审计或监督检查。

第九条党总支委员会依据相关规定前置研究全面风险管理相关重大事项。

第十条董事会是全面风险管理的最高决策机构，依据相关

规定履行以下职责：

（一）决定全面风险管理总体目标；

—3—（二）决定重大风险管理策略和风险应对方案；

（三）督导培育全面风险管理文化；

（四）决定与风险管理相关的其他重大事项。

第十一条董事会审计委员会是全面风险管理工作的监督机构，负责依据相关规定履行以下职责：

（一）审议重大风险管理策略和风险应对方案；

（二）指导全面风险管理文化的培育；

（三）审议董事会授权的有关全面风险管理的其他事项。

第十二条总经理办公会是全面风险管理的执行机构，依据

相关规定履行以下职责：

（一）决定风险管理制度；

（二）审议全面风险管理总体目标与风险管理策略；

（三）负责组织协调全面风险管理日常工作；

（四）指导监督风险管理体系建设及运行工作；

（五）审议董事会授权的其他风险管理事项。

第十三条法务风控部是公司全面风险管理归口部门，具体

履行以下职责：

（一）建立健全公司风险管理基本制度和体系；

（二）评估公司风险管理总体工作的有效性，研究提出改进建议；

（三）督促各部门建立健全业务风险管理机制，协助其开展

业务风险识别、分析及风险管理工作；

—4—（四）指导、监督各公司风险管理相关工作，建立公司风险分类清单，定期汇总各部门、各公司风险管理台账，组织开展风险管理检查，督促整改和持续改进。

（五）其他风险管理事项。

第十四条公司各业务归口部门是其专业领域和职责范围内

的各项风险管理的主责单位，具体履行以下职责：

（一）执行公司风险管理制度及要求，建立本部门风险管理台账，定期报公司法务风控部汇总；

（二）负责本部门风险初始信息的收集、识别、分析评估及

应对工作，对风险应对效果进行动态评价，及时优化、调整风险应对方案；

（三）建立完善本部门业务风险管控措施，建立健全业务风

险分级管理机制，按需制定风险应急预案；

（四）负责本业务系统相关风险的监控、预警，指导各公司

开展业务系统内风险信息的收集、识别、分析工作；

（五）监督、指导各公司实施本业务系统内风险应对工作，对各公司较大及以上风险应对有效性进行评价，督促其风险管理问题的整改。

第十五条公司审计部根据相关要求，就审计发现的风险管

理相关问题移交至法务风控部，督促被审计单位及时整改。

第十六条公司纪检工作部门依据工作职责对公司风险管理工作进行监督。

—5—第十七条各公司是公司风险防控的责任主体，应建立健全风险管理制度及风险管理台账，负责本公司各类风险的收集、识别、分析评估及应对工作，对风险应对效果进行动态评价，及时优化、调整风险应对方案，决策处置权限范围内风险事项，遇到应对困难的重大风险或疑难风险，应及时向公司汇报。

第十八条风险管理基本流程包括：（一）风险管理初始信

息收集；（二）风险识别；（三）风险分析与评估；（四）风险应对；（五）风险消除。

第三章风险管理初始信息收集

第十九条风险管理初始信息收集是指以业务流程为依托，广泛、持续不断地收集与风险管理相关各方面内部、外部信息的活动。

第二十条各部门、各公司应对收集的初始信息进行必要的

筛选、提炼、对比、分类、组合，完善业务风险相关描述，并报送风险管理归口部门形成统一的风险清单。

第二十一条组织人事部应重点关注并收集以下风险：

（一）党的路线方针政策落实风险；

（二）企业文化风险；

（三）人力资源风险；

（四）中层管理人员选任及管理风险；

（五）干部考评考核风险；

（六）招聘及录用管理风险；

—6—（七）员工关系管理风险；

（八）人才储备风险；

（九）中层管理人员和关键岗位人员因公/因私出国（境）证件管理风险等。

第二十二条综合管理部应重点关注并收集以下风险：

（一）公司法人治理风险；

（二）组织机构、部门职责设置风险；

（三）制度流程风险；

（四）印章管理风险（公章、合同专用章、法人签名章）；

（五）涉密与网络信息安全风险等。

第二十三条证券事务部（董事会办公室）应重点关注并收

集以下风险：

（一）宏观经济风险；

（二）舆情风险（主要包括股价异常波动、行政处罚、监管调查等事件）；

（三）关联交易风险等。

第二十四条审计部应重点关注并收集审计偏差风险、廉洁从业等风险。

第二十五条市场经营部应重点关注并收集以下风险：

（一）投标市场竞争风险（关注行政处罚情况）；

（二）战略合作伙伴风险；

（三）品牌与声誉风险；

—7—（四）主合同评审风险；

（五）其他战略风险等。

第二十六条财务部应重点关注并收集以下风险：

（一）现金流量风险；

（二）资金管理风险；

（三）预算管理风险；

（四）税务管理风险；

（五）盈利能力风险；

（六）担保风险；

（七）金融业务与衍生品交易风险；

（八）会计报告风险；

（九）信用评级风险；

（十）汇率风险；

（十一）应收账款风险；

（十二）其他财务风险等。

第二十七条资产管理部应重点关注并收集以下风险：

（一）采购管理风险；

（二）投资风险；

（三）资产管理风险；

（四）参股公司运营风险等。

第二十八条技术质量部应重点关注并收集以下风险：

（一）工程质量风险；

—8—（二）研发与开发风险；

（三）信息系统风险；

（四）知识产权风险等。

第二十九条安全生产部应重点关注并收集以下风险：

（一）工程项目管理风险；

（二）成本费用管理风险；

（三）工程项目分包及采购合同评审风险；

（四）安全环保等风险。

第三十条法务风控部应重点关注并收集合同评审、法律纠纷风险。

第四章风险识别

第三十一条风险识别是指查找企业各业务单元、各项重要

经营活动及其重要业务流程中有无风险，有哪些风险。

第三十二条各部门、各公司应对识别到的风险进行编号，编号规则为：公司简称－风险类型－年份－序号（例：公司-法律与合规风险-2025-01）。风险隐患消除的，应保留编号，编号不得重复使用。

第三十三条各部门、各公司应按机构职责、产业划分开展主

责领域内风险识别工作，涉及机构职责、产业划分调整的，应适时重新开展风险识别工作。

第五章风险分析与评估

第三十四条风险分析与评估是指通过对风险重要信息进行

—9—必要的筛选、提炼、组合后对所识别的风险进行明确的定义，以及对风险发生的背景及触发条件进行描述，参考各类风险重要信息对风险类型、风险产生的原因、风险影响程度、风险等级等进行判断的过程。

第三十五条风险类型

公司面临的风险分为战略风险、财务风险、市场风险、运营

风险、法律与合规风险及廉洁风险六大类。

（一）战略风险。主要指未来的不确定性对企业实现其战略、经营目标的影响。包含宏观经济风险、政策风险、业务转型风险、战略合作伙伴风险等。

（二）财务风险。主要指财务基础管理制度不完备，运营日常经费控制不当使公司运营经费支出和日常管理成本未在指标

控制范围内以及在各项财务活动中，因各种内外因素使财务状况不明确，导致公司财务蒙受严重经济损失的不确定性风险。包含现金流量风险、资金管理风险、税务管理风险等。

（三）市场风险。主要指由于市场及相关的外部环境的不确

定性而导致企业市场萎缩、达不到预期的市场效果乃至影响企业

生存与发展的不确定性风险。包含汇率风险、投标市场竞争风险、其他市场风险等。

（四）运营风险。主要指企业在运营过程中，由于外部环境的复杂性和变动性以及主体对环境的认知能力和适应能力的有限性，而导致的运营失败或使运营活动达不到预期目标的不确定—10—性风险。包含公司法人治理风险、工程质量风险、项目管理风险、安全环保风险、人力资源风险等。

（五）法律与合规风险。主要指由于企业外部法律环境发生变化，或由于包括企业自身在内的法律主体未按照法律法规、制度流程或合同约定有效行使权利、履行义务，而对企业造成负面法律后果的不确定性风险。包含法律纠纷风险、合同管理风险、合规管理风险等。

（六）廉洁风险。主要指公司员工在执行公司事务过程中或日常生活中出现谋求私利等腐败行为的不确定性风险。包含廉洁从业风险等。

第三十六条各部门、各公司应以风险识别结果为依据，可采

取集体讨论、专家咨询、情景分析等形式，开展风险分析工作，从内、外部两个方面确定风险产生的原因。

第三十七条各部门、各公司确定风险产生的原因后，应以风

险分析结果为依据，从风险发生的可能性和风险影响程度两个维度进行评价，并根据评价结果，确定风险等级（计算方式详见下表），其中：

（一）风险发生的可能性包括：低（小于30%）、中（大于等于30%小于70%）、高（大于等于70%）；

（二）风险影响程度包括：轻微、中等、重大；

（三）风险等级包括：一般风险、较大风险、重大风险。

风险等级计算矩阵表

—11—风险影响程度风险发生轻微中等重大可能性低一般风险一般风险较大风险中一般风险较大风险较大风险高一般风险较大风险重大风险

第三十八条风险等级具体标准的量化指标，由各部门、各公

司结合公司战略及经营目标，依据业务实际及风险偏好自行制定，并根据业务管控要求和运行结果定期更新。公司风险等级量化指标由公司法务风控部负责牵头汇总整理。

第六章风险应对

第三十九条风险应对是指根据风险偏好和风险承受度选取

风险策略工具，制定解决方案的活动。

第四十条各部门、各公司应根据自身条件、经营特点和外部环境，围绕企业发展战略和经营目标，结合风险偏好、风险承受能力等因素，在进行风险分析与评估的基础上选择合适的风险管理策略，制定风险应对方案，并按照业务管理制度或相关应急预案做好风险应对工作。

第四十一条风险偏好指公司承担风险的基本态度，具体分为

以下三类：

（一）风险回避：预期收益率相同时，偏好于具有低风险的资产；对于具有相同风险的资产，偏好于具有高预期收益率的资产。

（二）风险中立：不回避风险，也不主动追求风险，选择资产的唯一标准是预期收益的大小。

—12—（三）风险追求：主动追求风险，对于喜欢收益的动荡胜于喜欢收益的稳定，当预期收益相同时，选择风险大的。

第四十二条风险承受能力指公司能够承担的风险限度和水平。

第四十三条各部门、各公司可采用一种或多种风险管理策略

工具应对不同风险。风险管理策略工具包含但不限于以下几种：

（一）风险承担：对风险采取接受的态度，从而承担风险带来的后果。对于未能辨识出的风险，只能采用风险承担，对于辨识出的风险也可采用风险承担，重大风险一般不采用风险承担方式。

（二）风险规避：企业回避、停止或退出蕴含某一风险的

活动或环境，避免成为风险所有人，可采取退出某一市场避免激烈竞争、拒绝与低信用等级企业交易等方式。

（三）风险转移：企业通过合同将风险转移到第三方，转

移风险不会降低其可能的严重程度，可采取保险、非保险型的风险转移等方式。

（四）风险转换：通过战略调整等手段将企业面临的风险

转换成另一个风险，一般不会直接降低企业总的风险，可以在低成本或者无成本的情况下达到目的。

（五）风险对冲：指采取各种手段，引入多个风险因素或

承担多个风险，使风险的影响互相抵消，可采取资产组合使用等方式。

—13—（六）风险补偿：企业对风险可能造成的损失采取适当的

补偿措施，表现在企业主动承担风险，并采取措施以补偿可能的损失，补偿形式包括财务补偿、人力补偿、物资补偿等，可采取提取风险准备金与设置应急资本等方式。

（七）风险控制：控制风险事件发生的动因、环境、条件等，达到减轻风险事件发生时的损失或降低风险事件发生概率的目的，可采取设置检查、排查隐患等方式。

第四十四条风险事项消除后，各部门、各公司应及时总结

应对经验，降低风险发生频次。

第七章风险信息报送及管理机制

第四十五条各部门、各公司应定期开展风险识别、分析与

评估、应对工作，形成季度《风险管理台账》（下称台账）及《风险管理报告》（下称报告），于每季度末报送至公司法务风控部。

公司法务风控部应对各部门和子公司报送的台账与报告进行分析研判，形成公司台账与报告，于每季度末将风险台账与报告报送公司经营层，于次年1月底前将年度台账与报告报送董事会成员。

第四十六条台账内容应当持续更新，当风险隐患消失时，无需重复报送。

第八章重大风险事件报送及管理机制

第四十七条重大风险事件是指已造成或者基本确定将造成

对营运、监管、声誉、财务等方面产生重大影响的偶发事件。

—14—第四十八条公司出现重大风险事件时，业务归口部门应及时向分管领导汇报，组织相关单位专题研究，及时优化、调整风险应对方案，妥善处理相关风险。若按照公司“三重一大”制度规定，该事项需报公司决策会审议，待审议通过后执行。

各公司出现重大风险事件时，各公司业务归口部门应及时向分管领导及公司业务归口部门汇报风险管理情况，并按照各公司内部管理规定妥善处理相关风险。

第四十九条公司业务归口部门应对重大风险事件不定期发

布提示函、预警函，及时提示风险。

第九章风险管理文化

第五十条公司将风险管理文化建设作为公司发展战略的重

要组成部分，致力于培育和塑造良好的风险管理文化，促进公司全面风险管理目标的实现。

第五十一条公司员工应遵循良好的行为准则和道德规范，增强风险管理意识。

第五十二条公司建立常态化风险管理培训机制，将风险管理作为管理人员培训必修内容。

第十章评价与考核

第五十三条公司法务风控部牵头对风险管理相关制度和流

程的执行情况进行监督和检查，对风险管理实施效果和效率进行检查、评价。

第五十四条各部门、各公司因违反风险管理相关规定、未

—15—履行或未正确履行职责造成公司发生损失或者不良影响的，公司将根据相关规定进行考核和责任追究。

第十一章附则

第五十五条本制度由法务风控部负责解释。

第五十六条本制度自印发之日起施行。

中化岩土集团股份有限公司

2026年2月11日

—16—