甘肃能化:全面风险管理办法

甘肃能化股份有限公司
GANSU ENERGY CHEMICAL CO.LTD
全面风险管理办法
2023年8月目录
第一章总则.................................................2
第二章风险管理组织体系...........................................4
第三章风险初始信息收集...........................................8
第四章风险评估..............................................11
第五章风险管理策略............................................13
第六章风险解决方案............................................14
第七章风险管理的监督与改进.......................................15
第八章风险管理报告............................................17
第九章风险管理信息化系统建设.....................................18
第十章风险管理文化............................................18
第十一章风险管理考核与责任追究...................................19
第十二章附则...............................................20
第五条
1第一章总则
第一条为进一步建立健全甘肃能化股份有限公司(以下简称公司)全面风险
管理体系，提高整体风险管理水平，增强风险应对能力，保障公司总体战略目标顺利实现，根据《企业内部控制基本规范》《中央企业全面风险管理指引》《企业内部控制配套指引》及省属国有企业风险监管相关规定，依据《甘肃能化股份有限公司内部控制基本规范》规定及要求，结合公司全面风险管理实际，制定本办法。
第二条本办法所称风险，是指公司及所属子企业战略发展过程中，未来的不
确定性对其实现总体经营目标的影响。一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。同时，以能否为其带来盈利机会为标志，也可将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。
第三条本办法所称全面风险管理，是指公司及所属子企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育积极向上的风险管理文化，建立健全全面风险管理体系（包括风险管理的组织职能体系、风险管理策略、风险理财措施、风险管理信息系统和内部控制系统等），从而为实现风险管理的总体目标提供合理保证的过程和方法。
第四条本办法所称风险管理基本流程，包括以下主要步骤：
（一）收集风险管理初始信息。包括了解公司及所属子企业内部环境，熟悉其目标、战略、风险偏好及经营计划，确定相关潜在风险来源，收集（采用访谈、焦点小组、调查/问卷、观察、会议、流程图等方法及技术）风险信息；
（二）开展风险评估。即量化风险发生可能性及影响值的过程，包括风险辨识（风险识别）、风险分析（风险度量）和风险评价（风险排序）三个步骤；
（三）制定风险管理策略。即风险应对的战略反映过程，包括风险承担、风
2险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等七大策略的运用；
（四）提出和实施风险管理方案。即风险控制活动，包括外包方案及其它内部控制方案等措施的制定和实施；
（五）风险管理的监督和改进。即监控风险管理业绩的过程，包括收集和分
析风险管理业绩成果信息资料，与目标计划、风险标准比对，分析差异及原因，内部审计验证，以及提出改进建议和各环节风险管理信息的交流、沟通、反馈等。
第五条本办法所称内部控制系统，是指围绕公司及所属子企业风险管理的总体目标，针对其内部控制各项业务及其重要业务流程，通过执行风险管理基本流程，制定并执行的内部控制制度、程序和措施。
第六条公司及所属子企业开展全面风险管理要努力实现以下目标：
（一）确保将风险控制在与公司及所属子企业总体目标相适应并可承受的范围内；
（二）确保公司及所属子企业内外部之间实现真实、可靠的信息，特别是风
险管理相关的信息得以沟通，包括编制和提供真实、可靠的财务报告及风险管理报告；
（三）确保国家有关法律法规在公司及所属子企业范围内能够得到有效的贯彻执行；
（四）确保公司及所属子企业有关内部控制制度、程序和为实现经营目标而
采取的重大措施贯彻实施，保障经营管理的有效性，提高经营活动的效率与效果，减少实现经营目标的不确定性。
（五）确保公司及所属子企业建立针对各项重大风险发生后的危机处理计划
或应急预案机制，保护其不因灾害性风险或人为失误而遭受重大损失，包括重大资产损失、重大生产经营业务中断、重大无法弥补的对公司声誉的负面影响等。
3第七条公司及所属子企业在开展全面风险管理工作中，注重防范和控制风险
可能给企业造成损失和危害的同时，鼓励将机会风险视为一种特殊资源，通过风险/收益的权衡或分析，加强风险管理，为其创造价值，促进经营目标实现。
第八条公司及所属子企业应本着从实际出发，务求实效的原则，以对重大风
险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。公司所属子企业应全面推进实施工作，尽快建立全面风险管理体系；制定开展全面风险管理的总体规划，分步实施，建立全面风险管理五大子系统。通过积累经验，培养风险管理人才，逐步建立健全全面风险管理体系。
第九条公司及所属子企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。所属子企业可建立风险管理的三道防线，即公司及所属子企业各有关职能部门和业务单位为第一道防线，风险管理的责任部门和经理层为第二道防线，董事会下设的审计委员会和内部审计部门为第三道防线，确保各类风险得到有效治理和管控。
第十条本办法适用于公司及所属子企业全面风险管理工作，子企业所属业务单位可以参照本办法制定实施细则。
第二章风险管理组织体系
第十一条公司及所属子企业应建立健全法人治理框架下的全面风险管理组织体系，明确风险管理职能部门、内部审计机构、法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。
第十二条为加强对全面风险管理工作的统一领导，公司及所属子企业应成立
以企业党委书记、董事长为组长、其它领导班子成员为副组长、各职能部门及所
属各单位负责人为成员的全面风险管理工作领导小组，负责全面风险管理的领导、组织、协调工作。
4第十三条公司及所属子企业全面风险管理工作领导小组下设办公室于内部
审计机构，负责全面风险管理的业务协调、指导工作。主要职责是：
（一）负责落实企业全面风险管理各项决策，组织协调全面风险管理各项具体工作；
（二）负责制定企业全面风险管理实施方案、全面风险管理办法等制度文件，确定全面风险管理基本框架及任务分工和风险管理初始信息收集范围，制定风险评估标准及风险等级标准，开展业务培训;
（三）收集、掌握、分析企业全面风险管理工作总体情况，组织开展全面风
险管理评价工作，编制年度全面风险管理报告；
（四）建立全面风险管理数据信息台账，负责整理、汇总、分析风险管理基础信息，研究提出全面风险管理持续改进意见；
（五）指导、督促企业各单位有效开展全面风险管理工作；
（六）负责全面风险管理方面的其它综合性工作。
第十四条公司及所属子企业董事会就全面风险管理工作的有效性对股东（大）会负责。主要履行以下职责：
（一）审议并向省政府国资委提交企业年度全面风险管理自我评价报告；
（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险解决方案；
（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；
（四）批准企业重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；
（五）批准企业重大决策的风险评估报告；
5（六）批准企业内部审计部门提交的全面风险管理报告；
（七）批准企业风险管理措施，纠正和处理企业任何组织或个人超越风险管理制度做出风险性决定的行为；
（八）督导企业风险管理文化的培育；
（九）研究全面风险管理涉及的其它重要事项。
第十五条公司及所属子企业董事会审计委员会对董事会负责，对企业风险管
理制度及状况进行定期评估，提出完善风险管理的建议，履行以下职责：
（一）审议内部审计机构提交的年度风险管理报告；
（二）审议风险管理策略和重大风险解决方案；
（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；
（四）办理董事会授权的有关全面风险管理的其它事项。
第十六条公司总经理主持全面风险管理的日常工作，负责组织实施董事会有
关全面风险管理的决策事项，就全面风险管理工作的有效性向董事会负责。
第十七条公司及所属子企业指定内部审计机构为全面风险管理的职能部门，履行全面风险管理以下职责：
(一)组织开展全面风险管理业务工作；
(二)指导、监督有关职能部门、业务单位落实全面风险管理工作任务；
(三)负责对全面风险管理进行有效性评估，研究提出全面风险管理的改进方案；
(四)负责组织建立风险管理信息系统；
(五)协调处理涉及风险管理的其它相关工作。
6第十八条公司及所属子企业各部门是全面风险管理责任部门，设专职或兼职
业务人员，对涉及本部门业务范围内的各项风险进行对口管理。各部门主要职责是：
（一）根据企业全面风险管理整体安排，负责本部门各项风险管理工作的组
织实施;
（二）负责做好本部门业务范围内风险信息收集评估和风险管理措施制订等
各环节的工作，提出不断改进和提高风险管理的意见建议，按要求向公司内部审计机构报送风险管理报告和专项风险管理报告；
（三）组织开展本部门业务范围内的风险管理测评，落实整改风险管理缺陷；
（四）指导、督促各单位对口开展风险管理工作，落实风险应对措施。
第十九条公司及所属子企业各业务单位是全面风险管理实施的主体责任单位，接受企业全面风险管理领导小组和风险管理业务部门的领导、组织、协调、指导和监督，贯彻执行企业全面风险管理制度。企业所属各单位应根据实现经营目标的需要，成立全面风险管理工作领导小组，指定专责工作机构和岗位人员，明确工作职责，健全完善全面风险管理制度规范，负责承办本单位职责范围内的全面风险管理具体业务。
主要履行以下职责：
（一）按照企业全面风险管理工作要求，制定并持续完善相关规章制度及业
务管控流程，及时将风险管理各项要求融入日常管理和业务流程系统中固化落实；
（二）落实与本单位业务职责相关的风险管理基本要求，包括风险初始信息
收集、风险评估（辨识、分析、评价）、提出初步风险管理策略、风险应对方案及持续改进措施等；
（三）研究提出与本单位业务相关的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；
7（四）编报本单位全面风险管理报告和专项风险管理报告。
第三章风险初始信息收集
第二十条公司及所属子企业广泛、持续不断地收集影响企业实现目标的内、外部风险信息，作为开展全面风险管理工作的基础依据。各风险管理责任部门及业务单位，通过现有的内部控制信息系统，全面收集影响企业总体目标实现的风险和与风险管理相关的内、外部初始信息（包括历史数据和对未来事项的预测），为开展全面风险管理工作提供基础资料。
第二十一条在战略风险方面，公司及所属子企业与战略相关的各风险管理责
任部门和单位，应广泛收集国内外企业战略风险失控导致企业蒙受损失的案例，并至少收集与企业或本单位相关的以下重要信息：
（一）国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策；
（二）科技进步、技术创新的有关内容；
（三）市场对企业核心产品、专业化服务的需求，比如市场占有率或份额及发展趋势；
（四）与战略合作伙伴的关系，未来寻求战略合作伙伴的可能性；
（五）主要客户、供应商及竞争对手的有关情况；
（六）与主要竞争对手相比，企业实力与差距；
（七）发展战略和规划、投融资计划、年度经营目标、经营战略，以及编制
这些战略、规划、计划、目标的有关依据；
（八）对外投融资流程中曾发生或易发生错误的业务流程或环节；
（九）其它与企业或本单位战略风险来源相关的重要信息。
以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。
8第二十二条在财务风险方面，公司及所属子企业与财务相关的各风险管理责
任部门和单位应广泛收集国内外企业财务风险失控导致危机的案例，并至少收集企业或本单位内的以下重要信息（其中有行业平均指标或先进指标的，也应尽可能收集）：
（一）负债、或有负债、偿债能力；
（二）现金流、应收账款及其占销售收入的比重、资金周转率；
（三）产品存货及其占销售成本的比重、应付账款及其占购货额的比重；
（四）制造成本和管理费用、财务费用、营业费用；
（五）盈利能力；
（六）成本核算、资金结算和现金管理业务中曾发生或易发生错误的业务流程或环节；
（七）与企业或本单位相关的行业会计政策、会计估算、与国家会计制度的差异与调节等信息；
（八）其它与企业或本单位财务风险来源有关的重要信息。
以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。
第二十三条在市场风险方面，公司及所属子企业与市场相关的各风险管理责
任部门和单位应广泛收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受
损失的案例，并至少收集与企业或本单位相关的以下重要信息：
（一）产品或服务及价格的供需变化；
（二）能源、原材料、配件等物资供应的充足性、稳定性和价格变化；
（三）主要客户、主要供应商的信用情况；
（四）税收政策和利率、汇率、股票价格指数的变化；
9（五）潜在竞争者、竞争者及其主要产品、替代品情况；
（六）其它与企业市场风险有关的重要信息。
以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。
第二十四条在运营风险方面，公司及所属子企业与运营相关的各风险管理责
任部门和单位应收集与企业或本单位、本行业相关的以下信息：
（一）产品结构、新产品研发；
（二）新市场开发。市场策略，包括产品或服务定价与销售渠道，市场营销环境状况；
（二）组织效能、管理现状、企业文化，高、中层管理人员和重要业务流程
中专业人员的知识结构、专业经验；
（四）期货等衍生产品业务中曾发生或易发生错误的流程和环节；
（五）质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节；
（六）因内、外部人员的道德操守致使公司或本单位遭受损失或业务控制系统失灵；
（七）给企业或本单位造成损失的自然灾害以及除上述有关情形之外的其它纯粹风险；
（八）对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力；
（九）企业或本单位风险管理的现状和能力；
（十）其它与运营风险有关的重要信息。
以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。
10第二十五条在法律风险方面，公司及所属子企业与法律相关的各风险管理责
任部门和单位应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业
蒙受损失的案例，并至少收集与企业或本单位相关的以下信息：
（一）国内外与企业或本单位相关的政治、法律环境；
（二）影响企业或本单位的法律法规和政策；
（三）员工道德操守的遵从性；
（四）企业或本单位签订的重大协议、有关买卖合同等业务合同；
（五）企业或本单位发生重大法律纠纷案件的情况；
（六）企业或本单位和竞争对手的知识产权情况；
（七）其它与法律风险有关的重要信息。
以上初始信息应纳入公司及所属子企业责任部门及业务单位风险数据库管理。
第二十六条公司及所属子企业各风险管理责任部门对收集的初始信息应进
行必要的筛选、提炼、对比、分类、组合，为开展风险评估提供依据。
第四章风险评估
第二十七条风险评估是指依据风险评估标准对所收集的风险初始信息和各
项业务管理及重要业务流程进行辨识、分析和评价，辨明纯粹风险和机会风险，根据风险影响程度确定风险值和风险等级的过程。
（一）风险辨识是指查找公司及所属子企业各项重要经营活动及其重要业务
流程中有无风险，有哪些风险；
（二）风险分析是对辨识出的风险及其特征进行明确的定义描述，分析风险
形成原因、发生条件、风险特征、风险责任主体、关键影响因素、风险要素之间
的相互关系、风险发生可能性的高低、风险发生的条件等。风险分析应重点进行
11风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相
关性等组合效应，从风险策略上对风险进行统一集中管理；
（三）风险评估是在风险分析的基础上，依据风险评估标准和方法，评估各
类风险发生的可能性、对经营目标的影响程度和可能持续的时间等；
（四）公司及所属子企业风险评估包括全面风险评估和专项风险评估，全面
风险评估每半年开展一次，专项评估依据工作需要适时开展；
（五）风险评估由公司及所属子企业风险管理各责任部门、业务单位组织实施，风险评估结果形成后，应根据风险发生可能性的高低和对目标的影响程度，绘制风险坐标图，对各项风险进行比较，初步确定各项风险管理的先后顺序，为制定风险管理策略及解决方案提供信息支持。
第二十八条公司及所属子企业各风险管理责任部门和业务单位进行风险评估时，应统一各风险的度量单位和风险度量模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。年度风险管理评价工作由内部审计机构牵头，公司及所属子企业风险管理各责任部门应积极配合组织实施，完成职责分工及业务范围内的任务，及时提交风险评估报告。
第二十九条公司及所属子企业应根据环境的变化，定期对假设前提和参数进
行复核和修改，并将定量评估系统的估算结果与实际效果对比，据此对有关参数进行调整和改进。公司统一风险评价标准，由内部审计机构根据战略发展及实现总体经营目标需要，视风险管理具体情况制定。
第三十条公司及所属子企业风险管理各责任部门及业务单位应建立分类风
险事件库及报告制度，定期（半年、年度）或不定期实施风险辨识、分析、评价。
同时，对新的风险和原有风险发生变化的要重新评估，实现对风险管理信息动态管理。
12第五章风险管理策略
第三十一条风险管理策略是指公司及所属子企业根据内部条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险管理工具的总体策略，并确定风险管理所需人力、财力和物力资源的配置方案。
第三十二条风险管理工具主要包括风险承担、风险规避、风险转移、风险转
换、风险对冲、风险补偿、风险控制等。
（一）风险承担是指理性地主动承担风险，即在风险规避、风险转移、风险
控制策略均不可行，或采取措施的成本超过承担风险成本的情况下，不对风险采取措施，接受该风险并以内部的经济资源来弥补风险损失。
（二）风险规避是指有意识地放弃风险业务行为，从而完全避免特定的风险；
（三）风险转移是指通过合同、套期、保险、业务外包等形式，将风险发生后的全部或部分财务损失转移给交易对手方或其它第三方来承担；
（四）风险转换是指企业通过战略调整等手段将企业面临的风险转换成另一个风险。风险转换的手段包括战略调整和衍生产品等；
（五）风险对冲是指通过承担多个风险，使相关风险能够互相抵消的方法。
使用该方法，必须进行风险组合，而不是对单一风险进行规避、控制。如：资产组合、多种外币结算、战略上的分散经营、套期保值等；
（六）风险补偿是指企业对风险可能造成的损失采取适当的措施进行补偿。
风险补偿表现在企业主动承担风险，并采取措施以补偿可能的损失。风险补偿的形式有财务补偿、人力补偿、物资补偿等；
（七）风险控制是指在正确识别和分析风险因素的基础上，运用各种合理有
效的管理、技术手段，降低风险发生概率（防损）和风险损失程度（减损），将风险控制在可接受范围内。
13第三十三条公司及所属子企业风险管理各责任部门和业务单位应根据既定
的风险管理策略，制定风险管理解决方案，并确定风险管理所需人力和财力资源。
在一般情况下，对战略风险、财务风险、运营风险和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。
第三十四条公司及所属子企业风险管理各责任部门根据行业特点统一确定
风险偏好和风险承受度，明确风险的最低限度和最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险承受度时，必须根据公司战略目标及经营目标，准确把握风险与收益（损失/利润）的平衡关系，防止为单纯规避风险而放弃发展机遇。
第三十五条公司及所属子企业风险管理各责任部门根据风险与收益相平衡的原则，依据不同风险在坐标图上的位置分布和风险管理优选顺序，分别制定应对措施组织落实。
第三十六条公司及所属子企业风险管理各责任部门应定期总结和分析已制
定的风险管理策略的有效性和合理性，重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并结合内部控制实际，提出或修正职能区域、业务单位风险策略的有效性标准。
第六章风险解决方案
第三十七条公司及所属子企业风险管理各责任部门根据风险管理策略，针对
不同风险制定解决方案。方案一般包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件手段等资源，风险事件发生前、中、后所采取的具体应对措施及风险管理工具(如：关键风险指标管理、损失事件管理等)。
第三十八条公司及所属子企业风险管理各责任部门如需制定风险外包解决方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护和防止
14自身对外包解决的依赖，并制定相应的预防和内部控制措施。
第三十九条公司及所属子企业风险管理各责任部门制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相互平衡，围绕职能业务目标，针对重大风险所涉及的各项管理及业务流程，制定涵盖各个环节的全流程控制措施；对其它风险所涉及的业务流程，要把关键环节作为控制点，制定和完善相应的内部控制措施。
第四十条公司及所属子企业风险管理各责任部门和业务单位制定和完善内
部控制措施，一般至少包括以下内容：
（一）内部控制岗位授权制度；
（二）内部控制报告制度；
（三）内部控制批准制度；
（四）内部控制责任制度；
（五）内部控制审计制度；
（六）内部考核评价制度；
（七）重大风险预警制度；
（八）法律顾问制度；
（九）重要岗位权力制衡制度。
第四十一条公司及所属子企业风险管理各责任部门应按照内部控制设计要求，健全和完善重大风险预警制度，及时发布预警信息，制定应急预案，并根据情况变化及时调整应对措施。
第七章风险管理的监督与改进
第四十二条风险监督是指公司及所属子企业各级风险管理部门和内部审计
15机构对各责任单位风险管理开展情况及其效果所开展的定期或不定期的检查、监
督和评价，并出具监督评价报告。风险监督可以与财务检查、安全检查、内控评价、审计、监察等专项工作结合一并开展。
第四十三条风险监督应以重大风险、重大事件和重大决策、重要管理及业务
流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。
第四十四条公司及所属子企业风险管理各责任部门、业务单位应结合内控评价工作，定期对本部门（单位）风险管理工作进行自查和检验，及时发现风险控制缺陷并改进，其检查、检验报告应及时报送公司内部审计机构。
风险控制缺陷分为设计缺陷和执行缺陷。
（一）设计缺陷是指在风险控制设计时缺少为实现控制目标的必要措施或现
有的措施不能满足控制要求，表现为规章制度缺失、不相容职责未有效分离、控制设计不合理等。
（二）执行缺陷是指设计合理及有效的风险控制未被正确地执行，表现为未
按设计方式运行、执行人因未获得必要授权或缺乏胜任能力无法实施等。
第四十五条公司内部审计机构定期或不定期对各责任部门（单位）风险管理
工作实施情况和有效性进行检查，根据要求对风险管理策略进行评估，对跨部门和责任单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告。
第四十六条公司及所属子企业可聘请有资质、信誉好、风险管理业务能力强
的中介机构对全面风险管理工作进行评价，出具风险管理评价和建议专项评价报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：
（一）风险管理基本流程与风险管理策略；
16（二）重大风险、重大事件和重要业务流程的风险管理及内控制度落实情况；
（三）风险管理组织体系与信息系统；
（四）全面风险管理总体目标。
第八章风险管理报告
第四十七条公司及所属子企业建立贯穿于整个风险管理的基本流程，畅通上
下级与各部门和各单位的风险管理信息沟通渠道，建立完备的信息报告制度，明确风控相关信息的收集、处理和传递程序，确保信息及时高效的沟通，促进企业全面风险管理体系有效运行。
第四十八条风险管理报告类型包括全面风险管理报告、专项风险评估报告、重大风险管控情况报告、实时监督报告、风险提示单等。
（一）全面风险管理报告内容主要包括：上年度重大风险管理情况、年度风
险评估情况、重大风险管理及应对措施等。
（二）专项风险评估报告由公司及所属子企业各责任部门和业务单位负责编制，内容包括专项风险名称、风险具体表象、风险影响程度、风险应对措施、风险管控效果、改进意见等内容。经由责任部门和业务单位负责人审签后，报公司内部审计机构。
（三）各风险管理责任部门应根据风险信息收集情况，出具风险提示单，督导相关业务单位做好风险防范和应对工作。
（四）公司内部审计机构依据内外部监督检查、专题评价等情况，出具实时
监督报告，通报各单位、各部门风险隐患和存在问题，督促问题整改落实。
第四十九条公司及所属子企业各风险管理责任部门和业务单位每年12月前
组织开展年度风险评估工作，形成本业务单元的年度全面风险评估子报告，经本单位相关会议审议通过、主要负责人签字后，于12月10日前报公司内部审计机构。
17第五十条公司及所属子企业内部审计机构根据各责任部门和业务单位的全
面风险管理报告，对企业全面风险管理整体情况开展评估，确定企业风险等级及排序，编制企业年度全面风险管理报告，提交企业党委会、董事会审议，批准后上报省政府国资委。
第九章风险管理信息化系统建设
第五十一条公司及所属子企业致力于建设企业级的风险管理信息系统，涵盖
风险管理流程各环节，应用于风险管理各项工作，提升风险管理预警能力和适时响应水平，推进全面风险管理信息化建设。
第五十二条公司及所属子企业结合组织架构、业务范围、不同单位地域分布、技术能力差异等因素，制定信息系统建设整体规划，加大投入力度，有序开展信息系统开发、运行与维护，为企业全面风险管理和内部控制提供高效的信息技术平台支撑。
第五十三条公司及所属子企业依据全面风险管理业务数据成果，逐步推动
风险管理信息系统与其它信息系统建立集成与共享机制，依托人工智能、大数据等新技术应用，深入挖掘风险数据深层管理信息，满足企业整体和跨职能部门、责任单位的风险管理综合要求。
第五十四条公司及所属子企业应确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进行改进、完善或更新，严格访问与变更、数据输入与输出、文件储存与保管、网络安全等系统控制管理流程，保证企业全面风险管理信息系统安全稳定运行。
第十章风险管理文化
第五十五条公司及所属子企业大力培育和塑造良好的全面风险管理文化，形
成并宣贯讲道德、重诚信、合法合规经营的风险管理文化理念，并将其转化为员
18工的共识和自觉行动，增强员工风险管理意识，提高全面风险管理水平，保障企
业全面风险管理目标的实现。
（一）公司及所属子企业各级管理人员应在风险管理文化培育中起表率作用，率先垂范执行风险管理制度和流程，努力营造制度和流程面前人人平等、监督制衡、违规必究的风险管理氛围。
（二）公司及所属子企业应通过多种形式努力向全体员工传播风险管理文化，牢固树立“风险无处不在、风险无时不在”“严格防控纯粹风险、审慎处置机会风险”“岗位风险管理责任重大”等意识和理念。
第五十六条公司及所属子企业各单位应加强全面风险管理培训、宣贯，建立
岗前风险管理培训制度，采取多种途径和形式，加强对风险管理理念、识别、分析、评价、预警、管控等核心内容的培训，培养风险管理人才，培育风险管理文化。有以下情形的，应组织开展风险培训：
（一）风险管理制度发布或发生重大修订；
（二）发现内部控制存在重大缺陷需要及时堵漏；
（三）新员工入职、关键岗位员工上岗；
（四）其它需要培训的情形。
第十一章风险管理考核与责任追究
第五十七条公司及所属子企业对全面风险管理实行绩效考核，将全面风险管
理体系建设、风险管理执行等情况纳入责任部门和业务单位负责人年度业绩考核
和全员绩效考核体系。所属子企业各业务单位应相应建立全面风险管理考核机制，执行内部绩效考核。
第五十八条公司及所属子企业经营管理部门设置具体管理考核指标，对未能
履行全面风险管理职责、风险管控措施不力的责任部门、业务单位，执行严格考
19核。对因风险防范不力造成重大风险事件、发生严重负面影响的责任部门或业务单位，依据公司及所属子企业相关规定予以追责。
第五十九条公司及所属子企业任何单位和个人不得对外公布涉及内部全面
风险管理过程的保密文件，凡擅自泄密的，严肃追究有关人员的责任。
第十二章附则
第六十条公司及所属子企业各单位应根据本办法制订其实施细则并报公司上级内部审计主管机构备案。
第六十一条本办法由公司董事会负责解释。
第六十二条本办法经公司董事会审议通过之日起施行。
20