粤桂股份:广西粤桂广业控股股份有限公司全面风险管理办法

广西粤桂广业控股股份有限公司
全面风险管理办法
（经2023年3与28日第九届董事会第十三次会议审议通过）
第一章总则第一条为加强广西粤桂广业控股股份有限公司（以下简称“粤桂股份”）及属下各级企业的全面风险管理工作，建立规范、有效的全面风险管理体系和机制，提高风险防范能力，促进粤桂股份战略的实现和经营持续、稳定、高质量发展，根据国务院国资委关于全面风险管理、合规管理及财政部等五部委关于内部控制（以下简称“内控”）
及上市公司内部控制规范运作相关配套指引的相关规定，结合粤桂股份实际，制定本办法。
第二条本办法适用于粤桂股份和所属全资、控股企业（下称“各子公司”）。
第三条粤桂股份及各子公司持续建立健全“以风险管理为导向、以合规为底线、以内控为基础”，严格、规范、全面的大风控体系。
第四条本办法所称风险，是指未来各种不确定性因素对实现粤
桂股份战略及经营目标的影响。企业风险一般可分为战略风险、运营风险、财务风险、市场风险和法律风险等。本办法所称全面风险管理，包括企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中贯彻风险管理与经营管理二位一体的管理理念和决策流程；培育稳
健发展的风险管理文化；依托合规和内控，建立权责明确、相互制衡、快速高效、协同运转的风险管理机制；制定风险管理行动策略、风险应对措施；构建企业内部风险管理职能与其它各管理职能协同的组织体系；建立涵盖风险管理与业务管理相融合的信息系统，从而为保证风险管理总体目标的实现提供科学及高效的工具。
第五条粤桂股份全面风险管理工作的目标：
（一）确保与粤桂股份总体目标相适应。
（二）确保将风险控制在可承受的范围。
（三）确保粤桂股份经营管理遵守有关法律法规。
（四）确保粤桂股份有关规章制度和为实现经营目标而采取的重
大措施得到贯彻执行，保障经营管理的有效性，降低实现经营目标的不确定性。
（五）建立针对各项重大风险（含合规风险，下同）发生后的危
机处理计划，确保不因灾难性风险或人为失误而遭受重大损失。
第六条粤桂股份开展全面风险管理工作应遵循以下原则：
（一）战略导向。全面风险管理为粤桂股份战略服务，结合粤桂
股份经营情况、风险状况及所处环境合理开展，为实现战略目标提供有效支持。
（二）全面覆盖。全面风险管理覆盖全体员工，实现全员参与、全员有责；覆盖粤桂股份各级运营企业各项经营管理活动始终，贯穿计划、决策、执行、监督、反馈等全流程各环节，确保不存在风险管理空白或漏洞。
（三）充分融合。粤桂股份通过不断梳理组织职能、规章制度、业务流程等，推动全面风险管理、合规和内控充分融合。
（四）重点突出。全面风险管理应在全面性基础上，关注重要业
务与事项、高风险领域与环节，采取严格的管理措施，严控重大风险。
第二章全面风险管理组织体系及职责
第七条粤桂股份建立全面风险管理三道防线。粤桂股份公司本
部各部门及各子公司为第一道防线，公司全面风险管理委员会及风险管理职能部门为第二道防线，公司审计委员会和审计部门为第三道防线。
第八条粤桂股份党委会充分发挥“把方向、管大局、促落实”
领导作用，切实加强对风险管理和内控工作的领导，将风险管理和内控重大工作纳入党委研究讨论事项范围，落实党委对涉及风险管理和内控重大事项把关定向职责。
第九条粤桂股份董事会是粤桂股份全面风险管理工作的最高决策机构，履行“定战略、做决策、防风险”职能，职责主要包括：
（一）批准粤桂股份风险管理战略规划和管理策略等；
（二）督导、推动完善大风控管理体系；
（三）研究决定全面风险管理有关重大事项；
（四）审议重大经营管理事项过程中落实“防风险”职责，重点
研判合规性、与出资人要求是否一致、与企业发展战略的契合度，以及风险与收益综合平衡等因素；
（五）公司章程规定的其他风险管理职责。粤桂股份董事长为全
面风险管理工作第一责任人，负责组织领导、建立健全全面风险管理与内控体系工作。粤桂股份全面风险管理职能部门为公司风险管理提供咨询或建议，向公司总经理办公会报告具体工作。
第十条粤桂股份监事会或其他有权监督机构对全面风险管理工
作进行监督，有权检查合规、内控及相关风险应对措施的有效性、完整性。
第十一条粤桂股份经理层负责执行董事会全面风险管理相关决议，批准除基本制度以外的全面风险管理相关制度，就全面风险管理体系建设有效性向董事会负责，建设企业风险管理文化，负责重大风险防控工作。
第十二条粤桂股份设立全面风险管理委员会、合规管理委员会，负责全面风险管理组织实施和统筹协调工作，完善风险管理机制和制度建设，研究全面风险管理重大事项或提出意见建议，指导、监督和考评全面风险管理工作。由公司董事长、法定代表人担任主任、公司总经理任副主任，成员为其他公司领导及下属子公司董事长、总经理、负责全面风险管理的分管领导、监事会主席。
全面风险管理委员会与合规管理委员会合署。
全面风险管理委员会下设全面风险管理工作小组，负责公司全面风险具体日常管理工作，由公司负责公司全面风险管理的分管领导担任组长，成员由粤桂股份本部各部门负责人及公司法务组成。
第十三条粤桂股份战略、投资、经营、财务、证券、法务、人
力、采购、信息管理等业务相关部门为粤桂股份风险识别、控制的主体，主要履行以下职责：（一）贯彻执行粤桂股份全面风险管理制度和流程；
（二）收集、评估本部门业务范围的风险信息并拟订管控方案，组织落实管控措施，负责监控和预警并及时反馈给全面风险管理职能部门；
（三）对本部门负责的业务、事项开展专项风险评估、制订风险评估方案；
（四）配合全面风险管理职能部门编制风险管理相关报告；
（五）协助开展全面风险管理文化宣传工作，以及落实本部门业务相关的其他风险管理工作。
粤桂股份各部门负责人为本部门全面风险管理的第一责任人，负责所在部门全面风险管理，有效控制风险。
第十四条粤桂股份证券事务部（法务风控室）为全面风险管理
职能部门，主要履行以下职责：
（一）制订全面风险管理制度和流程，指导各业务部门和各子公司执行制度和流程；
（二）定期组织开展风险信息收集、识别、分析与评估，组织拟订重大风险管控方案并组织落实；
（三）组织编制粤桂股份全面风险管理年度报告、重大风险事件专项报告；
（四）组织粤桂股份和下属企业的全面风险管理考核工作；
（五）开展全面风险管理文化宣传工作，落实全面风险管理委员会日常工作及交办事项。第十五条粤桂股份董事会审计委员会负责监督粤桂股份及各子公司全面风险管理、合规、内控制度的健全性和有效性。粤桂股份董事会审计部门负责行使独立的审计监督和评价职能，主要履行如下职责：
（一）定期对粤桂股份和各子公司在经营管理过程中的重大风险
管理及全面风险管理体系的有效性实施监督评价，出具监督评价报告或专项报告；必要时，可以聘请有资质的第三方进行。
（二）根据风险评估结果或日常风险监控的结果，对可能存在重大风险的管理环节进行专项检查。
第十六条粤桂股份下属子公司应结合本企业实际，落实全面风
险管理主体责任，各子公司主要负责人是各子公司的全面风险管理第一责任人。
结合粤桂股份全面风险管理要求，各子公司履行以下全面风险管理职责：
（一）建立完善本企业全面风险管理的组织机构及职能、全面风
险管理制度、流程和报告体系，建立风险预警和监督工作机制，开展全面风险管理文化宣传和风险（合规）信息系统建设有关工作；
（二）组织开展本企业的重大风险评估或专项风险评估，制订重大风险管控方案并组织实施；
（三）按要求向粤桂股份提交全面风险（合规）管理年度报告以
及专项报告，组织开展本企业的全面风险（合规）管理考核自评工作并将自评情况提交粤桂股份。第三章全面风险管理基本流程
第一节风险管理计划
第十七条粤桂股份及各子公司于每年底在总结重大风险管控的基础上，分析粤桂股份所面临的外部环境及结合自身经营管理实际，确定下一年度全面风险管理总体目标、重点内容及主要管控措施。
第十八条粤桂股份及各子公司应持续做好年度重大风险管控计划，每年度检视原有重大风险的变化情况和应对方案的执行效果，对于需要继续管控的，连同新的重大风险一起转入下一年度继续管控。
第二节风险信息收集
第十九条粤桂股份各业务部门和各子公司应广泛、持续不断地
收集与经营管理相关的、影响粤桂股份目标实现的内部和外部风险信息。
第二十条粤桂股份全面风险管理职能部门负责将各业务部门、各下属企业收集上报的风险信息进行归集，建立风险信息数据库，作为粤桂股份开展全面风险管理工作的基础。
第三节风险评估
第二十一条风险评估包括风险识别、风险分析和风险评价三个步骤。粤桂股份和各子公司对于初步分析认为特别重要的风险信息应及时向风险管理职能部门和粤桂股份总经理报告。
第二十二条粤桂股份和各子公司根据经营和全面风险管理的需
要确定风险评估的范围和频次，并适时根据内、外部环境变化调整，每年至少应进行一次全面覆盖的风险评估。对于需要提交董事会、总经理办公会审议的事项，根据需要开展专项风险评估。
第二十三条粤桂股份全面风险管理职能部门牵头组织实施年度
风险评估，整理风险评估结果。
第四节风险管控方案的制订与实施
第二十四条粤桂股份全面风险管理职能部门根据风险评估结果，制订风险管控方案，提交总经理办公会审议并呈公司董事会审定。
专项风险评估的方案，由业务对应部门或企业负责组织制订，经风险管理职能部门审核后，作为董事会、总经理办公会决策参考文件之一。
第二十五条粤桂股份应针对高风险点或事项制订覆盖各管理环
节的全流程管控方案，对于中、低风险点或事项，可以其所涉业务流程的关键环节作为控制点，采取相应的管控措施。
第二十六条年度风险管控方案由全面风险管理职能部门组织实施，相关业务部门和各子公司应按照职责分工严格管控，保证各项管控措施落实到位。专项风险管控方案由由业务对应部门或企业组织实施。风控方案实施过程中，风险管理职能部门负责跟踪、评价其可行性、有效性，必要时提出调整的意见建议。
第五节风险预警与风险报告
第二十七条粤桂股份建立风险预警制度。粤桂股份和各子公司
建立重大风险预警系统，对重大风险进行持续监控，及时发布预警信息，及时调整管控措施。
第二十八条各部门应对本业务领域风险进行日常监控，检查内外部环境的变化是否会导致风险评级或排序发生重大变化，及时发布
预警信息、及时采取有效措施应对处置并及时通报全面风险管理职能部门。
第二十九条粤桂股份及各子公司发生重大风险事件，应当成立
由企业主要负责人牵头、全面风险管理委员会、合规委员会统筹领导，相关业务部门组成的工作小组，研究制定重大风险事件处置方案，积极推进风险事件处置，最大限度化解风险、降低损失。
第三十条粤桂股份制定重大风险事件及内控缺陷认定标准，并
根据情况定期更新、调整。
第三十一条粤桂股份实施风险管理报告制度，包括定期报告（年度报告）和专项报告（重大风险事件报告）。
第三十二条粤桂股份每年年初总结上一年度全面风险管理工作情况，开展本年度风险评估工作，确定本年度重大风险管控方案，形成年度报告，提交总经理办公会审议并呈公司董事会审定。各子公司每年度初总结上一年度全面风险管理工作情况，形成年度报告，经企业总经理办公会审议、董事会审定后报送粤桂股份。
第三十三条各子公司发生重大风险事件，应在事件发生后1个
工作日内向粤桂股份提交专项书面报告，对于特别紧急的重大风险事件，除提交专项书面报告外还应第一时间以电话等方式报告粤桂股份业务归口管理部门；其中涉及保密事项，或安全生产、环境保护、社会稳定等领域有相关特别规定的，从其规定。风险事件处置取得重要进展的，应及时做好续报工作；风险事件完成处置或者整改的，于10个工作日内提交完成处置的报告。
第三十四条粤桂股份发生重大风险事件按要求应报有关单位的，应在2个工作日内向有关单位及其派驻粤桂股份的外部董事书面报告。重大风险事件涉及公司商业机密的，按信息披露管理等相关规定执行。
第三十五条粤桂股份委派的外部董事应及时向粤桂股份报告任
职企业生产经营存在的主要问题和风险，以及履职中所发现的重大风险、内控重大缺陷等问题。
第六节全面风险管理监督评价
第三十六条粤桂股份建立全面风险管理监督检查机制，以内审、内控、合规为抓手，加强与业务监督的协同配合，统筹开展专项监督检查和风险排查，减少重复检查，提高监督效能，强化对共性问题、重点领域和重大风险的专项监督。
第三十七条粤桂股份业务部门和各子公司应定期对全面风险管
理工作进行自查，及时发现缺陷并改进，其检查、检验情况应纳入年度全面风险管理报告。
第三十八条粤桂股份全面风险管理职能部门应定期对业务部
门、各子公司全面风险管理工作实施情况和有效性进行监督检查，对存在问题提出调整或改进建议；对于检查发现的重大风险问题，督促其有针对性地制定应对方案，有效做好企业间风险隔离，防止风险由点扩面，避免发生系统性、颠覆性重大经营风险。粤桂股份全面风险管理职能部门负责对各子公司年度全面风险考核，具体按《粤桂股份全面风险管理工作考核评价标准》执行（详见附件5）。
第三十九条粤桂股份董事会审计部门对粤桂股份及下属企业全
面风险管理和内控工作及其工作效果进行审计评价，具体围绕重点业务、关键环节和重要岗位开展，及时将审计中发现的重大风险问题通报所在企业、粤桂股份全面风险管理业务部门和职能部门。
第七节全面风险管理整改提升
第四十条对自查、检查以及审计发现的风险管理问题，粤桂股
份及各子公司应深入查找根源，堵塞管理漏洞，强化过程管控，持续改进提升。
第四十一条对风险管理问题的整改，由所涉业务部门主要负责，其他部门协同配合解决。对各子公司风险管理问题的重大整改事项，粤桂股份各部门应齐抓共管，指导、督促、跟踪各子公司落实整改，确保问题整改落实到位。
第四十二条粤桂股份强化对各企业重大风险隐患和内控缺陷整改工作的跟踪检查力度。粤桂股份将企业落实重大风险隐患和内控缺陷整改工作情况纳入年度考核评价范围。
第四十三条对未按规定落实整改的企业，对企业分管负责人或
主要负责人实施约谈，督促企业落实整改；对整改不力的企业印发提示函和进行通报，促进企业落实整改责任，确保整改效果同时避免重复整改、形式整改等问题。
第四章全面风险管理保障
第四十四条粤桂股份培育稳健的风险（合规）管理文化，形成与粤桂股份相适应的全面风险管理理念、价值准则、职业操守，建立
培训、传达和监督机制，促进全面风险管理水平、员工风险管理素质的提升，保障全面风险管理目标的实现。
第四十五条粤桂股份逐步建立涵盖全面风险管理基本流程的风险（合规）管理信息系统，包括风险信息的收集、识别、分析、评估、传递、预警、报告和披露等各项功能，逐步实现风险评估、监督及考核评价管理信息化。
第四十六条粤桂股份根据业务规模、风险管理水平等因素配备
风险管理人员，持续加强业务培训，提升队伍能力水平。
第四十七条全面风险管理考核评价按照粤桂股份关于全面风险
管理工作考核评价办法等规定执行，考核结果纳入企业经营绩效考核体系。各下属企业对其管理的关键岗位人员及属下企业的风险管理工作进行考核。
第四十八条粤桂股份和各子公司风险管理失职，未能发现风险，或对已出现的风险知情不报、怠于处置，导致风险管控机制失效，或造成损失的，按照粤桂股份相关制度追究相关人员责任。
第五章附则
第四十九条各子公司应根据本办法，制定完善本企业全面风险管理制度和相关专项风险管理制度。
第五十条本办法未尽事宜，按照有关法律、法规、规范性文件、深圳证券交易所的上市、监管规则和《公司章程》等相关规定执行。
第五十一条本办法由粤桂股份董事会负责解释和修订。第五十二条本办法自粤桂股份董事会审议通过之日起生效并施行，《广西粤桂广业控股股份有限公司全面风险管理办法》（粤桂经【2019】6号）同时废止。
附件：
1.全面风险管理流程指引图
2.风险评估标准
3.重大风险事件认定标准
4.内控缺陷认定标准
5.粤桂股份全面风险管理工作考核评价标准附件1全面风险
序号责任单位步骤说明管理流程
1.分析外部环境及结合自身经营管理实际，确定年度全面
本部各部
计划年度风险管理总体目标、重点内容及主要管控措施。2.总结上
1室、各子
工作年度重大风险（含合规风险，下同）的管控情况，确定公司年度继续管控的计划。
1.信息收集要点。在日常管理过程中随时收集本部门和本
企业所涉领域的风险信息如宏观经济政策、法律法规、
产业导向、治理结构、市场状况、财务状况、人力配置、
管理流程、管理措施、信息系统运用、信息沟通和报告
等方面的历史数据和未来预测信息，以及本单位或其他企业风险失控导致企业损失的案例等，包括但不限于：
（1）战略风险方面，应收集与本企业相关的宏观经济政
策、产业导向、技术环境、市场需求、竞争状况等方面
的重要信息，重点关注集团发展战略、规划、投融资计划、年度经营目标以及编制这些战略、规划、计划和目标的有关依据。（2）财务风险方面，应收集本企业盈利能力、负债率、偿债能力、现金流、应收账款、资金周本部各部
转率等指标的重要信息，并关注成本核算、资金集中管室、各子
理、结算，以及与集团相关的行业会计政策、税收政策公司
收集风险等信息。（3）市场风险方面，应收集与本企业相关的市
2
信息场供需、销售价格、竞争对手、主要客户和供应商方面
的重要信息，关注资本市场运作、股票价格指数等方面的信息。（4）运营风险方面，应收集与本企业相关的组织效能、经营策略、资产量、安全、环保、技术更新、
管理现状、人员结构等方面的重要信息，关注现有业务流程运行状况和改进能力，以及风险管理的现状和能力。
（5）法律风险方面，应收集与本企业相关的法律法规、监管规定、章程和规章制度、重大合同、重大法律纠纷
案件、知识产权保护等方面的信息。（6）其他风险方面，应收集与本企业相关的政治和意识形态信息、反恐信息、
舆情信息，本企业党风廉政建设等其他信息。
2.收集风险信息。定期或不定期发起风险信息收集要求，
本部各部各部门和下属企业按要求报送。
室3.建立风险信息库。根据所收集的信息编制风险初始信息表并建立风险信息数据库。
1.识别风险。可采用风险访谈、问卷调查、头脑风暴、小
组讨论等方式，识别各业务单元、各项重要经济活动及本部各部其重要业务流程中的风险点，并在此基础上整理出风险
3评估风险室、各子清单。
公司2.分析风险。对风险清单列示的风险点，从外部环境、内部管理、制度、流程等方面进行成因分析。风险分析不仅要明确集团所面临的风险现状，更要找出诱发风险发生的源头。
3.评价风险。
（1）按类别整理风险清单，编制风险评估标准。
（2）组织相关部门根据风险评估标准对各风险点和风险事项进行集中评价，确定高风险点以及重点管控风险（合规）事项。
1.提出管控建议。根据风险评估结果，针对本部门所涉及
的重大风险，从改进业务流程、组织智能化、制度程序完善等方面提出风险管控措施建议。
2.制订管控方案。根据自身条件、经营特点和外部环境，
围绕企业发展战略和经营目标，结合本企业风险偏好和制订与实本部各部风险承受度，明确各项重大风险的管理目标，选择风险
4施风险管室、各子规避、风险转移等恰当的风险管理策略，提出具体可操
控方案公司作的风险管控措施，形成《重大风险管控方案》《重点管控风险事项》。
3.提交审议。提交总经理办公会审议并呈公司董事会审定。
4.组织实施。职能部门制订实施计划，组织实施；本部各
部室和下属企业按照职责分工，落实管控措施。
1.预警。选择资产负债率、带息负债率、应收账款、重大
合同纠纷标的、市场占有率、三项资产、投资成本控制
与超投比例等能直观反映风险大小的关键指标，建立重大风险预警系统，对重大风险进行持续不断的监控，及本部各部时发布预警信息和调整管控措施。
预警与报
5室、各子2.报告。（1）定期报告。年度全面风险管理报告于规定
告风险
公司时间内正式行文报送粤桂股份。（2）专项报告。各子公司发生重大风险事件，二级企业于1个工作日内报送重大风险事件报告，风险事件处置取得重要进展的，及时做好续报工作，风险事件完成处置或整改的应于10个工作日内提交完成处置的报告。
各子公司1.自查。自查及整改情况纳入年度全面风险管理报告。
2.监督检查。检查及整改情况可一并纳入年度全面风险管
本部各部
6监督评价理报告。室
纪检审计3.审计评价。可采取与年度审计、任期审计或专项审计一部并开展等方式。
整改提升。及时落实整改要求，并专项或纳入季年度风本部各部
控报告反馈整改结果，对重大风险隐患和内控缺陷整改
7整改提升室、各子
情况纳入年度考核评价范围，不断循环往复，持续促进公司改进提升。附件2风险评估标准
一、风险发生可能性标准
风险发生可能性主要包含了风险发生频率和发生必然程度，实际应用时，综合考虑政府执法严厉程度、同行业发生类似事件的频率、集团是否制定完善的内控制度并严格实施等情况。
发生频率发生频率分值发生可能性（针对大型灾害/事件类）（针对日常运营）
5极高（≧95%）今后1年内至少发生1次常常会发生
4高（50%-95%）今后1年内可能发生1次较多情况下发生
3中等（30%-50%）今后2－5年内可能发生1次某些情况下发生
2低（5%-30%）今后5－10年内可能发生1次极少情况下才发生
1极低（