云南能投:云南能源投资股份有限公司全面风险管理制度（2024年1月修订）

云南能源投资股份有限公司
全面风险管理制度
第一章总则
第一条为加强云南能源投资股份有限公司（以下简称“公司”）全面风险管理水平，提高风险管理水平，增强抗风险能力，促进公司持续、健康、稳定发展，根据国务院国资委《中央企业全面风险管理指引》《企业内部控制基本规范》及配套指引等监管规定，结合公司实际情况，制定本制度。
第二条本制度适用于公司总部及各所属公司。本制度所称“所属公司”，是指受公司实际控制的各级全资或控股公司。
第三条本制度所称风险，是指在公司经营发展过程中，影响公司经营目标实现的
各种不确定因素，包括战略风险、运营风险、财务风险、市场风险、法律风险、合规风险等。
第四条全面风险管理的总体目标是公司围绕经营目标，完善、健全风险管理体系和机制，严格执行风险管理的基本程序，及时识别可能影响经营目标实现的潜在风险，并采取相应的风险应对措施，将风险控制在可接受范围内，确保公司经营活动健康、持续进行。
全面风险管理的具体目标是：
（一）确保公司经营管理符合有关法律法规；
（二）确保将风险控制在与总体目标相适应并可接受的范围内；
（三）确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障
经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；
（四）确保公司建立针对各项重大或突发风险的应对计划，减少企业因灾害性风险或人为失误而遭受重大损失的可能；
（五）确保内外部实现真实、可靠的有效信息沟通。
第五条公司风险管理基本程序主要包括以下工作：
（一）收集风险管理初始信息；
（二）开展风险评估；
（三）制定风险管理策略：
（四）提出和实施风险应对措施；
（五）编制风险管理报告；
（六）风险管理的监督与改进。
第六条公司风险管理应遵循以下原则：
（一）全面性原则。风险管理应覆盖公司所有风险类型、业务流程、操作环节和管理层级，贯穿决策、执行、监督、反馈全过程。
（二）重要性原则。在全面风险管理基础上，应对风险进行评估，确定需要重点管
理的风险，特别关注重要、特殊业务事项、“三重一大”事项和高风险领域，有针对性地实施重点风险监测、制定风险应对措施，防范重大风险。
（三）成本效益原则。风险管理应权衡风险与回报、合理平衡实施成本与预期效益，力争用最小的成本实现风险管控的目标。
（四）融合性原则。风险管理应与公司战略制定、经营管理与业务流程相结合，系
统考虑业务与风险因素之间的相关性及相互影响，不能孤立或片面地开展风险应对工作。（五）责任落实原则。公司负责人为公司全面风险管理工作的第一责任人，各部室负责人为本部室全面风险管理工作的第一责任人。风险管理工作责任人应对本公司或本部室风险管理工作负责，确保本公司或本部室不存在重大内部控制缺陷或实质性漏洞。
第七条风险管理是公司的基础管理工作和日常经营管理活动的重要内容。公司开
展全面风险管理应与其他职能管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。
第八条公司各部室、所属公司按权责对等的原则，各司其职、互联互通、相互合作，构建公司横向到边、纵向到底的全面风险管理体系。
第二章全面风险管理组织体系
第九条公司依据组织架构层次建立分级风险管理的组织职能体系，按管理职责对公司及所属公司的全面风险进行管理。
（一）公司层面主要负责全面风险管理体系的组织、统筹、制度建设和由公司层面
负责的业务风险，机构主要包括：董事会、审计委员会、总经理办公会、合规委员会、风险分管领导、风险管理部门、公司本部其他各部室负责人、风险管理工作人员等。
（二）所属公司主要负责建立和完善风险管理制度和开展风险管理工作，机构主要
包括各所属公司董事会（执行董事）、总经理办公会、风险分管领导、风险管理部门（或风险管理职能部室）、其他相关部门负责人及风险管理工作人员等。
第十条公司在前述风险管理组织体系设置的基础上，明确风险管理的三道防线，即各所属公司业务部门和公司层面的业务部室作为风险管理的第一道防线，是所在公司风险管理的直接责任人；风险管理部门及其他所有可以协助业务部门进行风险管控的职
能部门作为风险管理的第二道防线，对公司全面风险管理的日常工作进行综合指导、组织、管理和协调推进；公司审计委员会、审计部门、纪委办公室作为风险管理的第三道防线，对各部室和所属公司风险控制的合理性、完整性、有效性、可靠性作出评价，及时发现存在的问题，提出完善风险控制的建议。
第十一条董事会对公司全面风险管理的有效性负责。
第十二条公司各分管领导对所辖业务范围内各部门和所属公司的风险管理工作进
行指导和监督，审核相关部门和所属公司提出的本单位的主要风险及其应对方案、重大风险预警及监控措施，以及风险评估报告，督促其落实公司要求的各项风险管理措施。
公司总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责企业风险管理组织机构设置及其职责方案，负责审议公司年终风险管理报告。
第十三条公司全面风险管理工作分管领导，负责牵头健全完善公司统一的风控政
策、风控指引、风控指标、风险评估和计量、风险管理制度和流程、风控平台、风险处置系统，参与公司经营、管理以及决策过程中的风险管理工作事宜，确保公司风险管理工作事前引导和控制、事中监督、事后牵头处置，切实防范和化解风险。
第十四条风控与审计法务部是公司风险管理的归口管理部门，该部门对分管的高
级管理人员负责，负责公司全面风险管理体系的建设和整体运转，以及风险管理工作的组织协调。其主要职责包括：
（一）组织制定风险管理制度和建设全面风险管理体系，在公司及所属公司推行并
进行指导、监督和考核评价，并依据实际工作情况持续提升和改进；
（二）组织开展公司风险评估及应对工作，负责对评估结果汇总分析，对公司各部门和所属公司开展的专项风险评估提供指导和支持；
（三）对公司风险管理工作情况进行定期评估，组织推动全面风险管理体系的建设和改进提升，指导所属公司开展风险管理体系建设；
（四）收集、汇总并分析各部门及各所属公司报送的风险管理评估报告，整理重大
风险监控信息，组织汇总风险排查资料，并形成表格、报告；
（五）组织协调跨部门的风险管理事宜，对公司重大风险管理决策提出应对建议；
（六）对重大风险应对方案的执行情况和效果进行监督检查；
（七）负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；协助所属公司制定完善具体风险的管理办法；
（八）根据要求制定公司风险文化培育与宣贯工作方案和计划，协调开展风险管理培训；
（九）落实公司决定的其他与风险管理相关的事项；
（十）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案。
第十五条公司各部室负责本部室专业风险的具体管理，贯彻执行公司风险管理的
各项规章制度，配合公司风险管理部门开展风险管理工作。原则上，公司总部各部室负责归口管理各自职责范围内的主要风险责任事项，涉及到跨部门协调管理的风险事项，根据相关部室的职责范围和具体风险事项的专业性质，由公司决策层确定主要责任部室。
主要风险管理职责可参照以下分工：
风控与审计法务部主要负责：做好全面风险管理体系统筹和组织、评估、重大风险应对，内部审计风险、法律风险、合规风险、廉洁风险、安全风险、监事会工作风险等相关工作；
战略投资与证券事务部主要负责：战略规划风险、产业整合风险、投资分析与管理
风险、矿产资源管理风险等；投资者关系管理风险、资本运作风险管理、信息披露风险、
董办事务风险管理、合规风险、廉洁风险、安全风险等相关工作；
财务管理部主要负责：财务风险、税务筹划与管理风险、预算风险、资金风险、融
资与担保风险、财务信息化风险、财务分析风险、合规风险、廉洁风险、安全风险等相关工作；
经营管理部主要负责：经营计划管理风险、招标与合同管理风险、采购管理（大宗商品）风险、经营监督风险、统计分析风险、工程项目管理风险、安健环风险、合规风
险、廉洁风险、安全风险等相关工作；
党群工作部主要负责：企业文化规划与建设风险、工会组织建设与管理风险、工会
活动组织风险、维权管理、扶贫与帮扶工作风险、经费管理风险、干部队伍建设风险、
合规风险、廉洁风险、安全风险等相关工作；
人力资源部主要负责：人才队伍建设风险、人力资源管理风险、组织和职能建设风
险、合规风险、廉洁风险、安全风险等相关工作；
办公室主要负责：公共关系管理风险、信息系统建设及维护风险、档案和印章管理
风险、办公用品采购风险、后勤管理风险、信息传递和保密风险、舆情危机应对风险、
合规风险、廉洁风险、安全风险等相关工作；
纪委办公室主要负责：纪律建设风险、审查调查风险、作风建设风险、经营过程监
督风险、合规风险、廉洁风险、安全风险等相关工作。
第十六条各所属公司负责本公司具体风险的管理，接受公司风控与审计法务部的
组织、协调、指导，贯彻执行公司风险管理的各项规章制度，配合公司风控与审计法务部开展风险管理工作。各所属公司总经理为本公司风险管理总负责人。
第三章风险初始信息收集
第十七条公司总部及各所属公司应结合日常工作，通过各种渠道，广泛、持续地收集与本单位风险相关的内部、外部初始信息，包括历史数据、未来预测以及本单位和
国内外相关企业发生的风险损失事件案例等，对风险信息进行动态管理。
第十八条公司总部及各所属公司对收集的初始信息应进行必要的筛选、提炼、对
比、分类、组合，以便进行风险识别与评估。
第四章风险识别与评估
第十九条公司所属公司应以收集的风险初始信息为基础，结合对各项重要管理及
业务流程的分析，开展风险识别和评估。对于关键业务流程或重要风险应建立风险监控及预警机制。（详见第七章）
第二十条公司及各所属公司在进行风险识别时，可以采取座谈讨论、问卷调查、案例分析、咨询专业机构意见等方法识别相关的风险因素，特别应注意总结、吸取过去的经验教训和同行业的经验教训，加强对高危性、多发性风险因素的关注。
第二十一条识别内部风险时，主要关注下列因素：
（一）董事、监事、经理及其他高级管理人员的职业操守、廉洁自律，员工专业胜任能力等人力资源因素；
（二）组织机构、决策流程、战略投资、经营方式、资产管理、业务流程等管理因素；
（三）财务状况、经营信息、经营成果、现金流量等财务因素；
（四）营运安全、员工健康、环境保护等安全环保因素；
（五）业务流程关键岗位人员的可胜任性及职业操守等人力资源因素；
（六）其他有关内部风险因素。
第二十二条识别外部风险时，主要关注下列因素：
（一）经济形势、产业政策、投融资环境、市场竞争、资源供给、客户资信、交易
规模、商业模式等经济因素；
（二）法律法规、国资监管要求等法律因素；
（三）安全稳定、社会信用、教育水平、消费者行为等社会因素；
（四）技术进步、技术创新、工艺流程等科学技术因素；
（五）自然灾害、环境状况等自然环境因素；
（六）其他有关外部风险因素。
第二十三条风险评估工作包括定期风险评估和内部控制评价两个方面，由风控与审计法务部牵头组织公司各部室及各所属公司开展。
第二十四条公司本部及各所属公司应以收集的风险初始信息为基础，结合对各项
重要管理及业务流程的分析，开展风险识别和评估。
风险评估工作包括风险辨识、风险分析和风险评价三方面的工作。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
公司本部及各所属公司应采取定期和日常相结合的方式开展风险评估。公司定期评估原则上每年进行一次，由风控与审计法务部牵头组织公司各部门及各所属公司开展，系统地总结公司上年度风险管理工作情况及成效，分析公司当前面临的风险形势，提出相应的风险管理工作建议。并由风控与审计法务部负责组织编制公司风险管理报告，报请各级决策主体审议和审批。
第二十五条各所属公司根据公司要求，组织编制本公司范围内的风险管理报告，并提交公司风控与审计法务部备案。
第二十六条公司整体的风险评估工作原则上由公司内部自行组织实施，必要时也
可聘请有资质、信誉好、风险管理专业能力强的外部专业机构协助实施。
第五章风险管理策略
第二十七条风险管理策略，指公司根据自身条件和外部环境，围绕自身发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。
第二十八条公司本部和各所属公司在确定风险偏好和风险承受度时，要正确认识
和把握风险与收益的平衡，防止和纠正忽视风险、片面追求收益而不讲条件和范围、认为风险越大收益越高的观念和做法；同时，也要避免单纯为规避风险而放弃发展机遇。
第六章风险应对
第二十九条风险应对是指针对不同类型、不同规模、不同概率的风险，结合风险
偏好和可接受风险水平，采取相应的对策、措施或方法，使风险损失对公司日常经营活动的影响降到最低。
风险应对主要包括常规风险应对和重大风险应对。
风险应对的主要方法包括：风险承担、风险规避、风险转移、风险转换、风险对冲、
风险补偿、风险控制等。
公司本部及各所属公司应根据自身业务特点，统一确定风险偏好（即愿意承担哪些风险，承担多大风险）和风险承受度（即根据风险与收益的关系，针对具体风险明确风险的最低限度和不能超过的最高限度）。并据此确定风险的预警线及相应采取的对策。
确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。
第三十条常规风险应对。公司本部及各所属公司应根据风险评估结果，按照职责分工，结合风险偏好和风险承受度，权衡风险与收益，合理确定各类各级风险的应对策略。包括对现有制度与流程加以有效控制，查找差距与不足，补充完善控制措施等。
重大风险应对。针对重要和重大风险，应根据需要在公司整体层面上加以应对。一般应由公司本部各部门及各所属公司会同风险与审计法务部共同研究提出风险应对方案，内容主要包括风险应对具体目标，所需的组织领导和职责分工，所涉及的管理及业务流程，所需的条件和资源，量化的风险预警线，细化的分级控制措施，相关工作的进度安排，监督考核机制等。
第三十一条公司本部及各所属公司应建立健全重大风险预警机制和突发事件应急
处理机制，明确风险预警指标，对可能发生的重大风险和突发事件，制定应急预案，明确责任部门和人员，规范处置程序，开展必要的演练和培训，确保重大风险和突发事件得到及时妥善处理。
第三十二条公司重要和重大风险应对方案由公司各部室根据分工负责组织编制，风控与审计法务部负责予以配合，报公司内部决策程序审议通过。
第三十三条各所属公司的重要和重大风险应对方案由各所属公司负责编制，在本
公司范围内形成统一意见后，上报公司风控与审计法务部，经审议后，按风险级别提交相应的决策主体审批。
第三十四条公司本部及各所属公司应按照职责分工认真组织实施风险应对方案，确保各项风险应对措施落实到位。
第七章风险的监控及预警
第三十五条公司本部及各所属公司应对其管理的重大风险和相关风险进行持续的日常监控。开展风险监控时需要对以下风险信息予以持续关注：
（一）关键风险指标的变化情况；
（二）新出现的风险或原有风险的重大变化；
（三）既定风险应对方案的执行情况及执行效果。
第三十六条公司本部及各所属公司应对风险监控结果进行分析评价，并将监控及分析结果汇总提交公司风控与审计法务部。
第三十七条当风险监控分析结果中关键监控指标达到预警值，公司本部各部门及
各所属公司应以风险监控专项报告形式向公司风控与审计法务部报告，并积极采取防范措施，将实施结果及时提交公司风控与审计法务部。
第三十八条公司风控与审计法务部对在其履行全面风险管理职能时发现的风险事项，应及时进行风险分析，并按风险的级别制定应对方案提交对应的审议主体和决策主体。
第三十九条公司风控与审计法务部根据公司各职能部门及各所属公司提交的风险
监控分析结果以及风险监控专项报告，并结合本部门收集的相关风险信息及机关各部室反馈的相关风险信息，对风险情况进行分析和评价，包括重大风险的变化和应对情况、风险承受度的执行情况、风险排序的变化情况等，并将以上信息归入风险档案，同时根据风险的重大变化提出跨部门的风险应对建议。
第四十条公司风控与审计法务部根据风险监控信息，编制公司重大风险预警及监控报告，报分管领导，必要时交由公司董事会审批。
第八章突发重大风险事件应对
第四十一条公司本部各部门及各所属公司在日常风险监控中，如发生重大突发事件，按相应的应急预案采取措施，并及时向风控与审计法务部、相关的业务管理部门及领导报告。
第九章风险管理的监督与改进
第四十二条风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与
考核评价，包括对风险管理工作执行情况进行定期检查，对风险管理工作任务的完成情况进行考核，并根据监督或考核的结果，对全面风险管理工作进行改进与提升。
第四十三条公司风控与审计法务部联合纪委办公室、办公室负责对公司总部各部
门及各所属公司的风险管理工作进行监督检查，制定风险管理考核办法和考核标准，并开展考核评价工作。
第四十四条风险管理考核内容包括对风险管理建设工作效果的考核和对风险管理工作绩效的考核。公司风控与审计法务部根据公司总部各部门及各所属公司在年度工作计划中提出的风险管理工作目标，与考核对象进行沟通，确定考核指标与考核标准。
第四十五条全面风险管理考核指标和考核标准主要由以下几方面组成：
（一）是否按计划完成了本单位的全面风险管理体系建设；是否按要求参与了风险管理的各项工作；
（二）风险管理职责是否得到了清晰的界定和落实；
（三）重大风险的监控报告和预警应对是否全面、及时、有效；
（四）有无超出预警范围的重大风险发生，并对经营目标造成重大影响。第四十六条公司风控与审计法务部应当定期对公司本部各部门及各所属公司风险
管理工作开展情况及其工作效果进行监督评价，编制监督评价报告并经分管领导审议后提交董事会审批。
第十章风险管理信息系统
第四十七条公司本部和各所属公司，应根据信息化建设的推进进度，将信息技术
应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。
第四十八条风险管理信息系统应该能够进行对各种风险的计量和定量分析、定量测试，能够实时反映重大风险和重要业务流程的监控状态，能够对超过风险预警上限的重大风险实施信息报警，能够满足风险管理内部信息报告制度和上市公司对外信息披露管理制度的要求。
第四十九条风险管理信息系统应实现信息在公司各部室和各所属公司之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部室、所属公司的风险管理综合要求。
第五十条公司及各所属公司应确保风险管理信息系统的稳定运行和安全，并根据
实际需要不断进行改进、完善和更新。
第十一章风险管理文化
第五十一条公司本部及各所属公司要大力培育和塑造良好的风险管理文化，树立
正确的风险管理理念，增强员工风险管理意识，促进全面风险管理目标的实现。
第五十二条各级管理人员和岗位操作人员应当牢固树立风险无处不在、风险无时
不在、严格防控纯粹风险、审慎处置机会风险、岗位风险管理责任重大的意识和理念。
第五十三条应当通过多种形式广泛、深入、持久地宣传道德诚信准则和风险意识，进行正反两方面的风险管理案例教育，针对不同对象，开展风险管理制度和流程的操作人员岗前风险管理培训。
第十二章附则
第五十四条本制度未尽事宜，按照国家有关法律、法规和公司章程的规定执行。
第五十五条本制度由公司董事会审议批准，公司董事会负责解释和修订，自发布之日起生效实施。