全面風險管理制度

全面風險管理是一個全新的概念，目前主要應用於企業管理領域。其定義是參照了國有資產監督管理委員會20xx年6月發佈的《中央企業全面風險管理指引》。下文是全面風險管理制度，歡迎閱讀!

第一章 總則

第一條 爲推動公司全面風險管理的實施，建立規範、有效的風險控制體系，提高風險防範能力，保證公司生產經營活動的安全、穩健運行，提高經營管理水平，特制定本制度。

第二條 本制度旨在實現公司以下目標提供合理保證：

(1)將風險控制在與公司總體目標相適應並可承受的範圍內;

(2)實現公司內外部信息溝通的真實、可靠;

(3)確保遵循國家法律法規;

(4)提高公司經營的效益及效率;

(5)取保公司建立針對各重大風險的應對策略和方案，使其不因災害性風險或人爲失誤而遭受重大損失。

第三條按照公司目標的不同對風險進行分類，將風險分爲：戰略風險、市場風險、運營風險、財務風險和法律風險五大類。 第二章 全面風險管理組織體系

第四條 爲開展風險管理工作，公司設立三級風險責任體系：

(1)風險決策機構：風險管理決策委員會，由公司班子成員組成，負責重大風險決策和制度發佈。

(2)風險專職機構：全面風險管理辦公室設在企管審計科，負責具體和日常風險管理工作的開展和組織工作，並向公司總經理報告工作。

(3)風險執行機構：公司各職能部門，各部門應設置兼職風險員，開展日常風險工作，執行過程中發現問題及建議及時向全面風險管理辦公室反潰

2

第五條 公司成立全面風險領導小組：

組長：趙慶民

副組長：裴光旭薄其山 王欣 馬兵範

張金波黃新生王洪濤

成員：副總工程師、副總會計師、各單位及部門負責人爲成員。

第六條 風險管理組織體系職責

風險管理決策委員會職責：

(1)對年度風險管理提出總體目標和要求;

(2)審議全面風險管理年度報告和季度報告;

(3)審議風險管理策略和重大風險管理解決方案;

(4)審議重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制，以及重大決策的風險評估報告;

(5)審議風險管理組織機構的設置及其職責方案;

(6)確定、審覈風險管理考覈方案;

(7)審議簽發風險管理制度;

(8)審議內部審計部門提交的風險管理監督評價審計綜合報告;

(9)辦理有關風險管理其他事項。

全面風險管理辦公室職責：

(1)擬定和修訂公司風險管理制度;

(2)組織年度風險管理工作報告;

(3)研究提出全面風險管理工作報告;

(4)做好風險信息彙總;

3

(5)負責組織協調風險管理日常工作;

(6)負責指導、監督有關職能部門風險管理工作;

(7)辦理全面風險管理其他工作。

風險職能部門職責：

(1)執行公司風險管理制度和基本流程;

(2) 研究提出本業務部門重大決策、重大風險、重大事件和重要業務流程的判斷標準和機制;

(3)負責本部門風險信息的收集和評估;

(4)負責本部門內部控制制度改進和完善工作;

(5)及時按規定提交上報風險管理信息、工作報告等;

(6)做好本部門風險預警和監控;

(7)辦理風險管理其他有關工作。

第三章 風險信息的收集和評估

第七條 戰略風險信息收集的內容：

(1)國內外宏觀經濟政策以及經濟運行情況，本行業狀況、國家產業政策;

(2)科技進步、科技創新有關內容;

(3)市場對煤炭產品的需求和要求;

(4)公司主要客戶、供應商及競爭對手的有關情況;

(5)與周邊對手相比，公司實力差距;

(6)公司戰略規劃、投資計劃、年度經營目標、經營戰略以及相關編制依據;

第八條 財務風險信息收集內容：

(1)負債、負債率、償債能力;

4

(2)現金流、應收賬款及其佔銷售收入的比重、資金週轉率;

(3)產品存貨及其佔銷售成本的比重、應付賬款;

(4)製造成本和管理費用、財務費用、銷售費用;

(5)盈利能力;

(6)成本覈算、資金結算和現金管理業務中曾發生或易發生錯誤的業務流程或環節;

(7)與公司現行的行業會計政策、會計估算、稅收政策等信息。

第九條 市場風險信息收集內容：

(1)公司煤炭價格及供需變化;

(2)能源、原材料、關鍵設備、配件等物資供應的充足性、穩定性和價格變化;

(3)主要客戶、主要供應商的信用情況;

(4)稅收政策和利率變化情況;

(5)潛在競爭者和替代品情況;

第十條 運營風險信息收集內容：

(1)產品結構

(2)新市場開發、市場營銷策、市場營銷環境狀況等;

(3)企業組織效能、管理現狀、企業文化、高中層管理人員和重要業務流程中專業人員的知識結構、專業經驗;

(4)質量、安全、環保信息安全等管理中曾發生或易發生的流程和環節;

(5)企業內外部人員道德風險知識企業遭受損失或業務控 5

制系統失靈

(6)給企業造成損失的自然災害以及其他情形;

(7)企業風險管理的現狀和能力;

第十一條 法律風險信息收集內容：

(1)國內外與本企業相關的政治、法律環境;

(2)影響公司的新法律和政策;

(3)員工道德操守的遵從性;

(4)本企業簽訂的重大協議和有關合同;

(5)本企業發生重大法律糾紛案件的情況;

第十二條 風險評估內容

公司內部風險識別：

(1)公司管理人員的職業操守、員工專業勝任能力等人力資源因素;

(2)組織機構、經營方式、資產管理、業務流程等管理因素;

(3)戰略目標制定、執行和戰略評估以及考覈因素;

(4)市場變動、價格變動、信用管理;

(5)研究開發、技術投入、設備採用、信息技術運用等自主創新因素;

(6)財務狀況、經營成果、現金流量等財務因素;

(7)營運安全、員工健康、食堂食品、環境保護等安全環保因素;

(8)法律法規執行、政府公共關係、政策變動執行因素;

(9)外委工程及外部施工人員管理等因素;

6

(10)其他內部風險因素;

外部風險識別：

(1)經濟形勢、產業政策、市場競爭、資源供給等經濟因素;

(2)法律法規、監管要求等頒佈和註銷等法律因素;

(3)政治形勢、文化傳統、社會信用、教育水平等社會因素;

(4)科技進步、工藝改進等科學技術發展因素;

(5)自然災害、環境狀況等自然地理環境因素;

(6)其他外部風險因素。

第十三條 風險評估的方法

(1)全面風險管理辦公室和風險職能部門應當採用定性和定量相結合的方法，按照公司和本部門風險發生的可能性及其影響程度，對識別的風險進行分析，評估和排序，形成風險信息數據庫;

(2)勞動人事科和各職能部門應準確分析和掌握關鍵崗位各級管理人員的風險偏好，採取適當的控制措施，避免因個人風險偏好給企業帶來重大損失;

(4)風險評估主要從風險發生的可能性和影響程度兩個方面進行評估;

第十四條 風險評估的流程

(1)各風險職能部門開展風險信息收集、風險評估等工作，形成本部門風險信息數據庫;各單位和部門收集本部門的風險信息可根據各自實際情況和職能範圍，進行風險收集和評估，並要 7

求提出採取的預防措施，整個風險信息的收集要具體化，實事求是，符合現場實際，不能出現空話、套話。

(2)各風險職能部門將風險信息收集和風險評估結果報全面風險管理辦公室;

(3)全面風險管理辦公室將風險信息和評估結果審覈彙總形成公司風險信息數據庫;

(4)各風險職能部門風險信息收集和評估每季度至少開展一次，並形成風險評估報告;

第四章風險管理策略和解決方案

第十五條 風險管理策略內容：

(1)由風險管理決策委員會提出並制定公司總體策略，主要圍繞公司發展戰略，確定風險偏好，風險承受度，風險有效性標準，制定企業風險管理策略。並配備與風險管理相關的人力和財力資源;

(2)各風險職能部門制定各自重大風險策略：根據公司總體目標，結合本部門實際和職能，險確定風險偏好，風險承受度，風險有效性標準，制定重大風險管理策略，報全面風險管理辦公室審覈，經風險管理決策委員會批准後執行;

(3)風險管理策略工具包括風險承擔、轉移、對衝、轉化、補償、規避、控制等策略形式。

第十六條 風險解決方案內容：包括風險解決的具體目標、組織領導、涉及的管理和業務流程，手段和資源配備，以及事件事前、事中和事後所採取的具體應對措施。

第十七 風險管理策略和解決方案制定流程

8

(1)公司總體策略由風險管理決策委員會制定;

(2)重大風險管理策略和解決方案由各風險職能部門根據公司目標策略和各自職能制定，形成重大風險管理策略和解決方案草案;

(3)各職能部門將重大風險管理策略和解決方案草案報公司全面風險管理辦公室審覈彙總;

(4)公司全面風險管理辦公室對風險管理策略和解決方案進行審覈彙總，重點檢查風險應對策略的完整性和可行性，管理策略是否涵蓋事前、事中、事後三個環節，是否明確責任人，並上報風險管理決策委員會審覈批准。

第五章 風險預警和風險監控管理

第十八條 公司風險預警體系爲五級，分爲綠色(安全)、藍色(關注)、黃色(提示)、橙色(預警)、紅色(危機響應)五個預警空間並分別設定域值指標;

第十九條 風險預警指標可採取定量和定性的方式加以確定，應儘可能採用量化指標作爲預警指標，

第二十條 風險預警指標的確定流程

(1)各風險職能部門年初確定預警指標及指標數值範圍，並報全面風險管理辦公室;

(2)全面風險管理辦公室對年初風險預警指標進行審覈彙總後，報風險管理決策委員會審議;

(3)公司風險管理決策委員會對重大風險預警指標進行審定，並批覆執行。

第二十一條 風險預警分爲一般風險和重大風險預警。對於

一般風險預警各風險職能單位按照風險管理制度執行，將監控和預警情況及時報全面風險管理辦公室。

第二十二條 對於重大風險預警，指標值超出藍色預警範圍，應將預警情況按照制度要求進行上報;指標值超出黃色預警範圍，應將情況直接上報全面風險管理辦公室;指標值超出橙色預警範圍，應將預警情況直接報總經理和風險管理決策委員會;指標值超出紅色預警範圍，直接上報總經理和風險管理決策委員會，並啓動重大風險危險處理預案。

第六章 風險管理監督與改進

第二十三條 風險管理的監督與改進包括持續的風險管理監督和風險管理活動評價。

第二十四條 全面風險管理辦公室應定期和不定期開展風險管理監督檢查工作。重點檢查各風險職能部門風險信息庫是否完善加以改進;日常監控是否及時並加以改進;風險信息報告是否真實，風險管理策略和風險管理解決方案是否有效;檢查重大風險、重大事件、重大決策風險管理的有效性和完備性。

第二十五條 全面風險管理辦公室和各風險職能部門應加強自查工作，不斷改進風險管理流程，完善風險信息庫和風險管理策略，加強風險指標的監控和預警，每季度至少進行自檢一次。

第二十六條 公司全面風險管理辦公室應定期向風險管理決策委員會提交各項重大和重要風險管理的策略和解決方案的落實情況，並接受風險管理決策委員會的監督和考覈。

第七章 風險管理考覈

第二十七條 風險管理考覈原則：

(1)公正原則

(2)可控性原則

(3)適度激勵原則

(4)年度考覈與日常考評相結合原則

第二十七條 風險考覈內容

(1)風險管理組織運行系統：包括組織建立、制度建設、人員配備、日常運行等;

(2)風險信息收集和風險評估情況：包括風險信息收集完備性、信息真實、信息提煉和風類詳細性、風險評估流程完備性、評估分析工具方法的科學性，風險信息數據庫建立和完善等;

(3)風險管理策略和風險解決方案制定和執行情況;

(4)風險預警和監控情況，風險預警指標體系的全面和準確性;

(5)風險管理自查和報告情況：風險自查工作、自查報告上報、風險管理改進和整改工作情況。

(6)風險管理實施階段性評估報告制度。每季度首月中旬，，由全面風險管理辦公室主任組織各成員，召開全面風險信息與評估報告會。根據各單位提報的風險信息及評估報告，由全面風險管理辦公室形成書面評估報告，報全面風險管理領導小組。

第二十八條 風險管理考覈方法採取日常考評和年度考評相結合的方法。考覈過程要同全員業績考覈體系相結合，公司風險管理決策委員會對全面風險管理辦公室進行考覈，全面風險管理辦公室對每月對各風險職能部門進行考覈，主要從風險信息的報送、信息質量、評估報告、預防措施等幾個方面考覈，並將考覈

結果向公司風險管理決策委員會彙報。

第二十九條 年度風險考覈採取現場調查、人員詢問、資料抽查等方法按照評分標準進行打分，考覈評分採用百分制。

第三十條全面風險管理應結合公司全面預算管理開展工作。切實防範日常運營過程中發生的各類生產經營風險，確保公司各項生產經營管理工作安全運行。

第三十一條，公司對全面風險管理工作實行專項獎懲，對考覈結果前三名的分別實施3000元、20xx元、1000元獎勵，後三名者分別給予同等處罰。爲了推動全面風險管理工作順利開展，季度對順利完成全面風險管理工作的相關管理人員給予一定獎勵。

第八章 風險管理報告

第三十二條 建立健全風險管理報告制度，各風險管理部門定期向全面風險管理辦公室報送本部門風險管理報告;全面風險管理辦公室定期向公司風險管理決策委員會上報公司風險管理報告。

第三十三條 風險管理報告內容：

(1)風險信息收集和風險信息數據庫建立完善情況;

(2)風險評估基本情況以及重大風險確定情況;

(3)風險偏好和風險承受度的確定;

(4)風險管理策略以及風險解決方案制定情況;

(5)風險預警和監控情況;

(6)風險管理方案執行情況;

(7)內控制度建立和完善情況;

(8)風險管理方案調整以及方案整改情況;

(9)其他風險管理信息。

第三十四條 年度報告各風險職能部門應對上年度本部門風險管理情況進行認真總結，回顧上年度風險管理工作取得的主要成績存在的問題，下年度工作安排，風險管理意見和建議等內容，並對報告信息的真實性、完整性負責。

第三十五條 全面風險管理辦公室，每年年底，對各風險職能部門年度管理報告進行審覈和彙總，形成公司年度風險管理報告，報公司風險管理決策委員會審議，並對報告信息的真實性、完整性負責。

第三十六條 本管理制度自印發之日起執行，同時亭南煤業公司發〔20xx9〕113號文同時廢止。

二〇一二年四月十一日

第一章總則

第一條爲加強中國泛海控股集團有限公司(以下簡稱“集團公司”)及所屬各公司全面風險管理，保障穩健經營，根據財政部等五部委發佈的《企業內部控制基本規範》及其18個企業內部控制應用指引，結合集團實際情況，制訂本制度。

第二條本制度適用於集團公司各部門、所屬各公司及受託管理公司(以下總稱爲“集團”)的風險管理工作。集團公司所屬上市公司、公衆公司風險管理工作按照國家法律法規和監管部門的規定要求，結合實際分別制定。三級及以下公司全面風險管理建設工作，由所屬各公司負責。

第三條本制度所稱風險，是指在集團未來經營管理中，各種不確定性對集團實現其戰略及經營目標的影響。集團風險分爲集團層面的常見風險與業務流程控制風險兩個方面。

第四條本制度所稱“全面風險管理”，是集團公司董事會、管理層及各部門、所屬各公司和全體員工共同參與的，圍繞集團總體戰略目標和經營目標，通過在管理的各個環節和經營過程中，執行風險管理的基本流程，對集團運營中要面臨的內部的、外部的可能危及集團利益的不確定性，執行相應的控制措施，以獲得集團利益的最大化。

第五條集團全面風險管理的目標，是通過識別、評估影響集團戰略和經營目標實現的內外部風險，建立和落實有效的管理措施，確保將風險控制在與總體目標相適應並在可承受的範圍內。

第六條集團全面風險管理遵循全面、重要、制衡、適應、成本效益的原則，確保風險管理的有效性。

(一)全面性原則：風險管理應當做到事前、事中、事後控制相統一;覆蓋集團的所有業務、部門和人員，滲透到決策、執行、監督、反饋等各個環節，確保不存在風險管理的空白或漏洞。

(二)重要性原則：風險管理應當在全面風險管理的基礎上，關注重要業務事項和高風險領域。

(三)制衡性原則：風險管理應當在治理結構、機構設置及權責分配、業務流程等方面形成相互制約、相互監督，同時兼顧運營效率。

(四)適應性原則：風險管理應當與集團經營規模、業務範圍、競爭狀況以及風險水平等相適應，並隨着情況的變化及時加以調整。

(五)成本效益原則：風險管理應考慮實施成本與預期效益的匹配，以適當的成本實現有效控制。

第七條集團全面風險管理涵蓋公司治理與經營管理活動中所有環節，包括但不限於：

(一)公司治理環節：主要包括“三會”運作，“三會”和管理層的職權等。

(二)重大資產購買和出售環節：主要包括重大資產自建、購置、處置、維護、保管與記錄等。

(三)對外投資環節：包括投資有價證券、股權、金融衍生品及其他長、短期投資、委託理財、募集資金使用的決策、執行、保管與記錄等。

(四)對外擔保與融資環節：包括借款、擔保、承兌、租賃、發行新股、發行債券等的授權、執行與記錄等。

(五)日常經營環節：主要包括：生產、採購與付款、銷售與收款、財務會計管理、全面質量管理、產品研發、人事管理等。

第二章組織體系與職責分工

第八條集團應按照國家有關法律法規和公司章程，建立科學、完善的公司治理結構和組織架構，明確董事會、監事會、管理層和執行層(公司內部各層級)的職責權限、議事規則、工作程序和相關要求的制度安排，確保決策、執行和監督相互分離，形成制衡，避免職權交叉、缺失或職權過於集中，明確責任，減少內耗，形成各司其職、各負其責、相互制約、相互協調的工作機制。

第九條集團公司董事會是全面風險管理工作的決策領導機構，對集團全面風險管理的有效性負最終領導責任。其主要職責如下：

(一)建立完善的公司組織架構並確保其有效運行。

(二)制定集團發展戰略，建立全面預算管理制度，明確集團風險管理目標，有效規範集團經營行爲。

(三)審批集團全面風險管理制度。

(四)審定集團公司全面風險管理組織機構設置及其職責方案。

(五)審批集團全面風險管理年度報告。

(六)監督、評價集團全面風險管理體系建設和運轉的有效性。

第十條集團公司管理層負責日常風險管理工作。其主要職責如下：

(一)根據集團發展戰略、年度預算以及風險管理目標，確保集團經營目標的實現和年度預算的有效執行。

(二)擬定集團全面風險管理制度和相關的風險管理工作流程，報董事會審批。

(三)擬定集團公司全面風險管理組織機構設置及其職責方案，報董事會審批。

(四)建立健全風險管理監督評價和考覈機制，對風險管理實施有效的日常監督檢查與評價，並進行嚴格考覈。

(五)向集團公司董事會提交全面風險管理年度報告。

(六)組織集團全面風險管理信息體系和集團風險管理文化建設。

(七)落實集團公司董事會決定的有關全面風險管理的其它事項。

第十一條集團公司設立風險控制總監，負責集團日常風險管理工作的組織、協調和管理。集團公司成立風險控制管理總部作爲全面風險管理工作的職能部門，並向集團公司風險控制總監彙報工作。

風險控制總監的職責如下：

(一)擬定集團風險管理制度，參與集團重大經營決策以及經營目標、預算目標的設定。

(二)擬訂風險管理工作具體管理辦法和工作流程。

(三)指導集團風險管理與其他經營計劃和管理活動的整合。

(四)提出集團公司全面風險管理組織職能體系建設建議方案。

(五)監督檢查集團公司各部門和所屬各公司貫徹執行全面風險管理流程情況。

(六)推動集團整體風險管理能力的提升，包括風險管理知識的培訓、風險管理意識的增強以及風險管理技能的提高。

(七)組織起草集團全面風險管理年度報告。

(八)負責組織協調集團全面風險管理日常工作。

第十二條全面風險管理是集團各層面、各崗位、每位員工的重要工作職責之一，集團各部門、所屬各公司以及每位員工，應充分認識自身的風險管理責任，履行風險管理工作職責，自覺防範和控制風險，將風險管理意識貫穿於集團經營管理的各方面和業務流程的各環節。

第十三條集團公司各部門負責人爲本部門風險管理責任人，並指定一名員工爲風險管理聯繫人，負責組織本部門風險識別、風險評估、風險報告及風險控制等工作。

第十四條所屬各公司董事會是本公司風險管理的決策領導機構，所屬公司董事長或授權風險控制總監爲本公司風險管理的第一責任人，執行風險管理制度，履行風險管理職能。

所屬各公司應結合本公司的實際情況，逐步建立全面風險管理組織體系。

所屬各公司風險控制總監由集團公司委派或任命，負責所屬公司日常風險管理工作的組織、協調和管理。未獨立設置風險控制總監的所屬公司應指定分管風險管理的領導，並報集團公司批准。

所屬各公司應設立風險管理部門或指定資產財務部門作爲本公司風險管理的職能部門。

第十五條集團公司各部門和所屬各公司在風險管理過程中主要履行以下職責：

(一)執行集團全面風險管理制度和全面風險管理流程。

(二)研究提出本單位的重大決策風險評估報告，並配合風險管理主管部門開展與本單位有關的風險評估工作。

(三)研究提出由本單位負主導管理責任的重大風險的管控措施。

(四)對本單位的相關風險進行管理監控和分析，向風險管理主管部門提交風險日常監控信息和風險預警信息。

(五)做好本單位有關建立風險管理信息體系的工作。

(六)做好本單位培育風險管理文化的有關工作。

(七)辦理風險管理其他有關工作。

第三章風險管理流程

6

第十六條集團風險管理的基本流程包括：風險評估、風險控制、風險監督、改進與報告。

(一)風險評估包括：收集信息、梳理流程、對風險進行識別、分析和評價。

(二)風險控制包括：修訂完善集團各項規章制度、明確風險管理目標、制定風險控制措施、建立健全內部控制體系。

(三)風險管理的監督與改進包括：定期對風險管理流程及其有效性進行自我評估;定期集團的風險管理工作進行檢查;聘請外部中介機構對集團的風險管理進行檢查;逐步建立符合集團實際情況的風險管理指標體系;建立風險提示機制;督促風險管理問題的及時改進。

(四)評估報告：風險管理部門每年向管理層和董事會提交風險評估報告;發生重大風險事項應隨時報告。

第四章風險評估

第十七條風險評估是集團風險管理過程中的一個關鍵環節，它包括收集信息、梳理流程、識別風險，評價風險等幾個方面，並通過對風險影響程度的分析，給出集團風險控制的優先次序等。

第十八條收集信息。集團公司各部門、所屬各公司應廣泛、持續不斷地收集與集團經營管理相關的內外部初始信息，包括歷史數據和未來預測，建立有效的風險收集與管理系統，對初始信息進行篩癬提煉、對比、分類、組合等必要的管理，以便進行風險評估。這些初

始信息主要包括與戰略風險、財務風險、市場風險、運營風險、法律風險相關的內外宏觀經濟形勢、經濟運行情況、產業與金融政策、市場供需、行業及競爭對手情況、集團戰略與內部運行、財務狀況以及法律法規等。

第十九條梳理流程。就是對涉及集團經營管理全過程的各項管理及其重要業務流程進行梳理和分類，確定現有流程體系現狀，爲集團識別風險，優化流程創造條件。

第二十條風險識別。集團應當查找各業務單元、各項重要管理活動及其重要業務流程中有無風險，有哪些風險。識別經營過程中面臨的各類風險。

(一)集團公司各部門、所屬各公司爲風險識別的主要實施單位。

(二)風險識別方法主要包括：風險清單識別法、財務報表分析法、流程識別法、現場調查法等。

(三)風險識別的步驟包括：閱讀風險清單、辨識公司常見風險、訪談、繪製流程圖、撰寫流程說明、識別流程風險點、提出控制措施、填寫風險控制矩陣、整理風險識別文檔等。

第二十一條風險分析。風險管理部門應當對識別出的風險採用定性與定量相結合的方法進行分析和評估，統一制定各風險的度量單位和風險度量模型，確保評估的假設前提、參數、數據來源和評估程序的合理性和準確性。

第二十二條對各種風險之間的相關性進行分析，以便發現各風險之間的自然對衝、風險事件發生的正負相關性等組合效應，對風險

8

進行統一集中管理。

第二十三條風險評價。在風險分析和整合的基礎上，評價風險可能產生損失的大小以及對集團實現經營目標的影響程度。

第五章風險控制

第二十四條風險控制包括修訂完善集團各項規章制度、明確風險管理目標、制定風險控制措施、建立健全內部控制體系。

第二十五條修訂完善集團各項規章制度。集團成立制度建設小組，根據調整確定後的公司治理結構、內部機構、三定方案(定崗、定編、定職責)以及各項管理及重要業務流程優化方案，按照財政部等五部委發佈的《企業內部控制基本規範》及其18個企業內部控制應用指引，結合集團實際情況，對集團現行各項規章制度進行全面清理、審閱、修訂與完善，建立健全全面風險管理制度體系。

第二十六條明確風險管理目標、制定風險控制措施。集團根據風險管理總體目標，針對各類風險或每一項重大風險制定風險控制措施。控制措施主要包括：

(一)解決該項風險所要達到的具體目標。

(二)所涉及的管理及業務流程。

(三)所需要的條件和資源。

(四)所採取的具體措施。

第二十七條風險控制措施的組織實施。根據風險涉及的職能部

門和業務單位進行分工，認真組織實施風險控制措施，確保風險得到有效控制。

第二十八條建立健全集團內部控制體系。

(一)根據經營戰略與風險管理目標一致、風險控制與運營效率及效果相平衡的原則，集團制定風險解決的內控方案，針對重大風險所涉及的各項管理及業務流程，制定涵蓋各個環節的全流程控制措施;對其他風險所涉及的業務流程，要把關鍵環節作爲控制點，採取相應的控制措施。

(二)集團制定合理、有效的內控措施，包括不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。

(三)不相容職務分離控制要求全面系統地分析、梳理業務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。

(四)授權審批控制要求根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的權限範圍、審批程序和相應責任。

常規授權是指集團在日常經營管理活動中按照既定的職責和程序進行的授權;特別授權是指集團在特殊情況、特定條件下進行的授權。

集團各級管理人員應當在授權範圍內行使職權和承擔責任。集團對於重大的業務和事項，實行集體決策審批或者聯籤制度，任何個人不得單獨進行決策或者擅自改變集體決策。

(五)會計系統控制要求嚴格執行國家統一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。

集團依法設置會計機構，配備會計從業人員。從事會計工作的人員，必須取得會計從業資格證書。財務負責人應當具備會計師以上專業技術職務資格。

(六)財產保護控制要求建立財產日常管理制度和定期清查制度，採取財產記錄、實物保管、定期盤點、賬實覈對等措施，確保財產安全。公司嚴格限制未經授權的人員接觸和處置財產。

(七)預算控制要求實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規範預算的編制、審定、下達和執行程序，嚴格預算考覈，強化預算約束。

(八)運營分析控制要求建立運營情況分析制度，管理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發現存在的問題，及時查明原因並加以改進。

(九)績效考評控制要求建立和實施績效考評制度，科學設置考覈指標體系，對集團內部各責任單位和全體員工的業績進行定期考覈和客觀評價，將考評結果作爲確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。

(十)集團根據內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業務和事項實施有效控制。

第六風險的監督、改進與報告

第二十九條風險管理的監督包括集團公司監事會對董事會風險管理工作的監督;集團公司董事會對管理層風險管理工作的監督;集團公司管理層以及風險控制管理總部對其他部門以及所屬各公司風險管理工作的監督。

第三十條集團公司董事會負責定期或不定期地對管理層及風險控制管理總部的風險管理工作進行檢查，對是否按照有關規定開展風險管理工作及其工作效果進行評價;也可根據工作需要，聘請獨立第三方對公司風險管理工作進行獨立檢查評價。

第三十一條集團公司風險控制管理總部要定期或不定期對各部門和所屬各公司風險管理工作實施情況和有效性進行檢查和檢驗，對風險管理解決方案進行評價，提出調整改進建議，出具評價和建議報告。

集團公司風險控制管理總部要以公司重大風險、重大事件和重要決策、重要管理及業務流程爲重點，對集團風險管理基本流程實施情況進行監督。

第三十二條集團公司各部門和所屬各公司要定期對其風險管理工作進行自查，及時發現缺陷並改進，其自查報告應及時報送給集團公司風險管理總部。

第三十三條集團公司風險控制管理總部要逐步建立符合公司實際情況的風險管理指標體系，並將其作爲蒐集各部門和所屬各公司風

險管理信息的基礎，用以量化評價考覈集團各方面風險管理情況，對風險評估所確定的由其管理的重大風險和其他需關注的風險進行持續的日常監控。

第三十四條建立風險提示機制。對在經營過程中，通過監測、檢驗、檢查發現的風險，風險管理部門以《風險提示函》的形式，及時向有關部門或所屬公司發出風險提示，並促進其改進。

第三十五條建立風險評估報告制度。集團風險評估報告分爲定期報告和不定期報告。定期風險報告是對某一個階段公司經營發展中存在的風險和糾正的情況進行的綜合報告;不定期專項風險報告是對監控中或風險檢查中發現的重大風險或風險隱患問題進行的專項報告。風險報告要按照規定的報告程序報送集團公司領導、相關職能部門。

報告主要包括以下內容：集團總體經營與運行情況;風險管理組織體系和基本流程的建立與維護;公司內控制度及其執行情況;各類風險的評估方法及結果;重大風險事件情況及未來風險的預測;公司日常經營與風險管理的改進建議。

第三十六條集團公司各部門和所屬各公司風險管理主管部門在對重大風險的日常監控中，要建立重要事件快速報告制度和報送責任人制度，就業務經營、財務管理、資金運用、工程管理等方面出現的重大問題以及與集團有關的敏感問題、羣體性事件、重大突發事件、重大違法違紀事件等情況，在所監控的風險達到預警條件時，相關部門或單位應當立即報告集團公司。所屬各公司的風險管理主管部門在

發出風險預警報告時，應立即啓動風險應急預案，採取風險應對措施，並及時向集團風險控制管理總部報告。

第三十七條對於重大突發風險和跨所屬公司並可能對集團造成重大影響的風險，所屬各公司的風險管理部門應在發出風險預警報告後立即採取相關措施，儘量控制風險，並隨時向風險控制管理總部報告當地重大風險變化情況、原因、趨勢及下一步對策建議。風險控制管理總部應立即組織分析情況、統籌制訂、實施風險應對方案，儘量降低突發風險對集團的影響，並報董事會。

第三十八條集團風險管理要納入績效考覈管理，作爲績效考覈的一個指標或組成部分。

對因工作失職、瀆職而遲報、漏報重要事件，甚至有意見隱瞞不報造成嚴重後果的，按管理程序將追究有關責任人的責任。

第七章全面風險管理信息體系建設

第三十九條全面風險管理工作應充分利用信息技術手段，建立涵蓋風險管理流程和內部控制系統的風險管理信息體系，包括風險管理信息的採集、存儲、加工、分析、測試、傳遞、報告、披露等各項功能。

第四十條風險控制管理總部負責提出風險管理信息體系的功能需求，並與集團信息化管理部門配合，根據集團信息化建設總體規劃提出風險管理信息體系的建設規劃方案，同時配合集團信息技術專

業機構等相關力量，進行集團風險管理信息體系的具體開發、建設和應用工作。

第四十一條集團各部門和所屬各公司應確保輸入數據的準確性、及時性、可用性和完整性。對輸入信息系統的數據，未經特殊的批准程序不得更改。

第四十二條集團公司信息管理部門應確保風險管理信息體系運行的穩定性、安全性和權限管理有效性，並根據實際需要不斷進行系統改進、完善或更新。

第八章風險管理文化建設

第四十三條集團大力培育和塑造良好的風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，促進集團全面風險管理目標的實現。

第四十四條集團將風險管理文化融於企業文化建設全過程，在各層面營造風險管理文化的氛圍，在企業文化管理的相關政策和制度文件中明確規定風險管理文化的建設要求和內容。

第四十五條集團公司和所屬各公司的負責人應在培育風險管理文化中起表率作用，重要業務流程和風險控制點的管理人員和崗位操作人員應成爲培育風險管理文化的骨幹力量。

第四十六條集團定期對高級管理人員以及全體員工進行風險管理理念、知識、流程以及控制方式等內容的培訓，以增強風險管理

意識和能力。

第四十七條各級管理人員和崗位操作人員應牢固樹立風險無處不在、風險無時不在、合理利用機會風險的意識，發揚光大“人人都是一道屏障”的風險控制文化，樹立崗位上的風險管理責任重於泰山的理念。

第四十八條集團公司和所屬各公司將通過多種形式廣泛、深入、持久地宣傳道德誠信準則和風險意識，進行風險管理案例教育，針對不同對象，開展風險管理制度和流程的操作人員崗前風險管理培訓。

第九章附則

第四十九條本制度由集團公司風險控制管理總部負責解釋。第五十條本制度自印發之日起執行。

第一章 總則

第一條 爲規範公司的風險管理，建立規範、有效的風險控制體系，提高風險防範能力，保證公司安全、穩健運行，提高經營管理水平，按照《公司法》、《會計法》及中國人民銀行相關規定並結合公司經營和管理實際，制定本制度。

第二條 本制度所稱公司風險，指未來的不確定性對公司實現其經營目標的影響。公司風險一般可分爲戰略風險、財務風險、市場風險、運營風險、法律風險等;也可以能否爲公司帶來盈利等機會爲標誌，將風險分爲純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性並存)。

第三條 本制度所稱風險管理，指公司圍繞總體經營目標，通過在公司管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全公司風險管理體系，包括風險管理策略、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而爲實現風險管理的總體目標提供合理保證的過程和方法。

第四條 本制度所稱風險管理基本流程包括以下主要工作：

(一)收集風險管理初始信息;

(二)進行風險評估;

(三)制定風險管理策略;

(四)提出和實施風險管理解決方案;

(五)風險管理的監督與改進。

第五條 本制度所稱內部控制系統，指圍繞風險管理策略目標，針對公司各項業務管理及其重要業務流程，通過執行風險管理基本流程，制定並執行的規章制度、程序和措施。

第六條 公司開展風險管理工作，注重防範和控制風險可能給公司造成損失和危害，把機會風險視爲公司的特殊資源，通過對其管理，爲公司創造價值，促進經營目標的實現。

第七條 公司本着從實際出發，務求實效的原則，以對重大風險、重大事件(指重大風險發生後的事實)的管理和重要流程的內部控制爲重點，積極開展風險管理工作。

第二章 風險管理的目標、原則與框架

第八條本制度旨在公司爲實現以下目標提供合理保證：

1.將風險控制在與總體目標相適應並可承受的範圍內。

2. 確保法律法規的遵循。

3. 提高公司經營的效益及效率。

4. 確保公司建立針對各項重大風險發生後的危機處理計劃，使其不因災害性風險或人爲失誤而遭受重大損失。

第九條公司風險管理應當遵循健全、合理、制衡、獨立的原則，確保風險管理的有效性。

(一) 健全性：風險管理應當做到事前、事中、事後控制相統一;覆蓋公司的所有業務、部門和人員，滲透到決策、執行、監督、反饋等各個環節，確保不存在風險管理的空白或漏洞。

(二) 合理性：風險管理應當符合國家有關法律法規和中國證監會的有關規定，與公司經營規模、業務範圍、風險狀況及公司所處的環境相適應，以合理的成本實現風險管理目標。

(三) 制衡性：公司部門和崗位的設置應當權責分明、相互牽制，一線業務運作與二線管理支持適當分離。

(四) 獨立性：承擔風險管理監督檢查職能的部門應當獨立於公司其他部門。

第十條公司的風險管理通常應涵蓋經營活動中所有業務環節，包括公司戰略、規劃、產品研發、市場運營、業務運營、財務、內部審計、法律事務、人力資源、採購、加工製造、銷售、物流、質量等各項業務管理及其重要業務流程。

第十一條公司內控制度及風險管理除涵蓋對經營活動各環節的控制及風險管理外，還包括貫穿於經營活動各環節之中的各項管理制度，包括但不限於：印章使用管理、票據領用管理、預算管理、資產管理、質量管理、職務授權及代理制度、定期溝通制度及信息披露管理制度的管理制度等。

第三章 風險管理組織體系

第十二條 公司風險管理的組織體系由公司總裁辦公會、審計部、風險管理部、法律顧問、各部門內設的有風險職能的部門或崗位構成。

第十三條總裁辦公會負責提出公司經營管理過程中防範風險的指導意見，審定公司風險控制制度;對公司風險狀況和風險管理能力及水平進行評價，提出完善公司風險管理和內部控制的建議。

第十四條 審計部獨立於公司各部門,負責協助公司識別和評價重大風險問題，幫助公司改進風險管理與控制系統;通過評價控制的效率與效果、促進其持續改善等工作，幫助公司維持有效的控制系統;評價公司治理過程並提出改進公司治理的恰當建議，履行檢查與評價、諮詢與服務的職能。

第十五條風險管理部，全面負責公司的風險管理，建立健全公司風險防範、監控體系，負責公司風險管理制度建設，並監督執行情況;負責公司各業務風險的日常管理，對公司經營管理活動中的各類風險實施有效的事前評估和過程監控，有效化解和降低公司運營風險。

第十六條 法律顧問承擔公司的政策法律事務，爲領導決策和公司業務開展提供法律參考意見;審覈相關法律文書及合同，防範法律風險;負責牽頭處理公司訴訟事務和經濟糾紛事務，代表公司對外處理相關法律事務，維護公司的合法權益。

第十七條 公司各部門負責人爲風險控制的第一責任人，履行風險控制職能，執行具體的風險管理制度，建立部門內權責明確、相互制衡的崗位職責和部門內全面、合理的風控制度，並針對業務主要風險環節制定業務操作流程。

第四章 風險評估

第十八條 公司應建立風險管理綜合信息的收集與積累機制。風險管理綜合信息包括與風險及風險管理相關的宏觀經濟、政策法規、市場狀況、技術革新、公司資源、財務狀況、人力配置、管理措施、工具應用、信息報告等方面的信息。公司及各部門應廣泛地、持續不斷地收集與公司風險及管理相關的信息，並送交風險管理部對相關信息進行整理和修訂，以建設和更新公司的風險管理綜合信息庫。

第十九條 公司對公司各項業務管理及其重要業務流程進行風險評估。風險評估包括風險辨識、風險分析、風險評價三個步驟。

第二十條 風險評估由公司組織各部門實施。

第二十一條 風險辨識是指查找公司各業務單元、各項重要經營活動及其重要業務流程中有無風險，有哪些風險。風險分析是對辨識出的風險及其特徵進行明確的定義描述，分析和描述風險發生可能性的高低、風險發生的條件。風險評價是評估風險對公司實現目標的影響程度、風險的價值等。

第二十二條 進行風險辨識、分析、評價時，採用定性與定量方法相結合的方式進行。定性方法可採用問卷調查、集體討論、專家諮詢、情景分析、政策分

析、行業標杆比較、管理層訪談等。定量方法可採用統計推論(如集中趨勢法)、計算機模擬(如蒙特卡羅分析法)、事件樹分析、壓力測試等。

第二十三條 進行風險定量評估時，統一制定各風險的度量單位和風險度量模型，並通過測試等方法，確保評估系統的假設前提、參數、數據來源和定量評估程序的合理性和準確性。要根據環境的變化，定期對假設前提和參數進行復核和修改，並將定量評估系統的估算結果與實際效果對比，據此對有關參數進行調整和改進。

第二十四條 風險分析包括風險之間的關係分析，以便發現各風險之間的自然對衝、風險事件發生的正負相關性等組合效應，從風險策略上對風險進行統一集中管理。

第二十五條 在評估多項風險時，根據對風險發生可能性的高低和對目標的影響程度的評估，繪製風險座標圖，對各項風險進行比較，初步確定對各項風險的管理優先順序和策略。

第二十六條 公司對風險管理信息實行動態管理，定期或不定期實施風險辨識、分析、評價，以便對新的風險和原有風險的變化重新評估。

第五章 風險管理策略

第二十七條 本制度所稱風險管理策略，指公司根據自身條件和外部環境，圍繞公司發展戰略，確定風險偏好、風險承受度、風險管理有效性標準，選擇風險承擔、風險規避、風險轉移、風險轉換、風險對衝、風險補償、風險控制等適合的風險管理工具的總體策略，並確定風險管理所需人力和財力資源的配置原則。

第二十八條 一般情況下，對戰略、財務、運營和法律風險，可採取風險承擔、風險規避、風險轉換、風險控制等方法。對能夠通過金融手段進行理財的風險，可以採用風險轉移、風險對衝、風險補償等方法。

第二十九條 根據不同業務特點統一確定風險偏好和風險承受度，即公司願意承擔哪些風險，明確風險的最低限度和不能超過的最高限度，並據此確定風險的預警線及相應採取的對策。確定風險偏好和風險承受度，要正確認識和把握風險與收益的平衡，防止和糾正忽視風險，片面追求收益而不講條件、範圍，認爲風險越大、收益越高的觀念和做法;同時，也要防止單純爲規避風險而放棄發展機遇。

第三十條 公司根據風險與收益相平衡的原則以及各風險在風險座標圖上的位置，進一步確定風險管理的優選順序，明確風險管理成本的資金預算和控制風險的組織體系、人力資源、應對措施等總體安排。

第三十一條 定期總結和分析已制定的風險管理策略的有效性和合理性，結合實際不斷修訂和完善。其中，重點檢查依據風險偏好、風險承受度和風險控制預警線實施的結果是否有效，並提出定性或定量的有效性標準。

第六章 風險的監控報告與預警

第三十二條 公司建立風險報告和預警制度。通過有效的溝通和反饋，使公司領導和有關部門及時瞭解公司業務和資產的風險狀況，相應調整風險管理政策和管理措施。

第三十三條 風險管理部對各部門的經營計劃、方案的實施進行實時監控，及時對各類信息進行記錄、彙總、分析和處理，並保留風險管理記錄。各部門或崗位向風險管理部報送本部門業務風險情況。各部門所有涉及風險管理的相關資料必須向風險管理部報備，或向風險管理部開放信息系統。風險管理部有權檢查原始資料。

第三十四條 公司的風險報告分爲定期風險報告和不定期的專項風險報告。定期風險報告是對一個階段公司經營發展中存在的風險和糾正的情況進行的彙總報告;不定期專項風險報告是對監控中或風險專項檢查中發現的重大風險或風險隱患問題進行的專項報告。風險報告要按照規定的報告程序報送公司領導、相關部門和履行垂直管理職責的管理部門。

第三十五條 在風險監控中發現問題時，風險管理部可以進行風險專項檢查，必要時可進行重點審計或組織專項審計。對其它不屬於審計監察部職責範圍內的事項，風險管理部可以向公司有關部門提出風險管理建議。

第三十六條公司相關部門應建立風險預警系統，以發現並應對可能出現的風險：

(一) 建立財務預警系統：公司的財務中心，通過設置並觀察一些敏感性財務指標的變化，對可能或將要面臨的財務危機實現進行預測預報。

(二) 建立經營管理預警系統：公司的經營管理人員，根據各個業務環節特有的性質來設計不同的風險控制機制，徹底掌握風險的來源和可能的影響。

(三) 建立風險信息管理系統。各部門有責任及時、無保留地向公司風險管理部報告有關風險的真實信息。

1、風險管理信息系統應涵蓋風險管理基本流程和內部控制系統各環節包括信息的採集、存儲、加工、分析、測試、傳遞、報告、披露等。

2、公司須採取措施確保向風險管理信息系統輸入的業務數據和風險量化值的一致性、準確性、及時性、可用性和完整性。對輸入信息系統的數據，未經批准，不得更改。

3、風險管理信息系統能夠進行對各種風險的計量和定量分析、定量測試;能夠實時反映風險矩陣和排序頻譜、重大風險和重要業務流程的監控狀態;能夠對超過風險預警上限的重大風險實施信息報警;能夠滿足風險管理內部信息報告制度和公司對外信息披露管理制度的要求。

4、風險管理信息系統須實現信息在各部門之間的集成與共享，既能滿足單項業務風險管理的要求，也能滿足公司整體和各部門的風險管理綜合要求。

5、公司確保風險管理信息系統的穩定運行和安全，並根據實際需要不斷進行改進、完善或更新。

第七章 風險管理解決方案

第三十七條 公司根據風險管理策略，針對各類風險或每一項重大風險制定風險管理解決方案。方案一般需要包括風險解決的具體目標，所需的組織領導，所涉及的管理及業務流程，所需的條件、手段等資源，風險事件發生前、中、後所採取的具體應對措施以及風險管理工具(如：關鍵風險指標管理、損失事件管理等)。

第三十八條 制定風險解決的內控方案，滿足合規的要求，堅持經營戰略與風險策略一致、風險控制與運營效率及效果相平衡的原則，針對重大風險所涉及的各管理及業務流程，制定涵蓋各個環節的全流程控制措施;對其他風險所涉及的業務流程，要把關鍵環節作爲控制點，採取相應的控制措施。

第三十九條 公司制定內控措施，一般至少包括以下內容：

(一) 建立內控崗位授權制度。對內控所涉及的各崗位明確規定授權的對象、條件、範圍和額度等，任何組織和個人不得超越授權做出風險性決定;

(二) 建立內控報告制度。明確規定報告人與接受報告人，報告的時間、內容、頻率、傳遞路線、負責處理報告的部門和人員等;

(三) 建立內控批准制度。對內控所涉及的重要事項，明確規定批准的程序、條件、範圍和額度、必備文件以及有權批准的部門和人員及其相應責任;

(四) 建立內控責任制度。按照權利、義務和責任相統一的原則，明確規定各部門、崗位、人員應負的責任和獎懲制度;

(五) 建立內控審計檢查制度。結合內控的有關要求、方法、標準與流程，明確規定審計檢查的對象、內容、方式和負責審計檢查的部門等;

(六) 建立內控考覈評價制度。把各部門風險管理執行情況與績效薪酬掛鉤;

(七) 建立重大風險預警制度。對重大風險進行持續不斷的監測，及時發佈預警信息，制定應急預案，並根據情況變化調整控制措施;

(八) 建立健全公司法律顧問制度，大力加強公司法律風險防範機制建設，形成由公司決策層主導、公司法律顧問提供業務保障、全體員工共同參與的法律風險責任體系，完善公司重法律糾紛案件的備案管理制度;

(九) 建立重要崗位權力制衡制度，明確規定不相容職責的分離。主要包括：授權批准、業務經辦、會計記錄、財產保管和稽覈檢查等職責。對內控所涉及的重要崗位可設置一崗雙人、雙職、雙責，相互制約;明確該崗位的上級部門或人員對其採取的監督措施和應負的監督責任;將該崗位作爲內部審計的重點等。

第四十條公司建立靈敏高效的危機處理和應急管理機制，以降低風險損失。對新出現的、缺乏風險應急預案的重大風險，風險管理部應立即與公司相關部門協調，組織人員研究制定風險應對方案，並報公司總裁辦公會審批後實施。

第四十一條 當風險已經發生，風險單位負責人必須立即向公司風險管理部報告。風險管理部應及時對風險進行初步的評判，確定是屬於一般性內部風險，還是對企業聲譽、經營活動和內部管理造成強大壓力和負面影響的企業危機。對一般性風險，責成負責人或有關人員負責組織處理;對企業危機，必須按照下列程序處理：

(一) 第一時間成立危機處理小組，該小組應由公司總裁或副總裁擔任組長。小組成員至少應包括：發生危機單位的第一負責人，公司法律顧問、財務中心、總裁辦公會成員、人力資源部、風險管理部等部門負責人及其他相關人員，小組應配備小組祕書及後勤保障人員。公司董事會應授權危機處理小組爲處理危機事件的最高權力機構和協調機構，有權調動公司可用資源，有權獨立代表公司作出聲明、承諾或妥協。

(二)危機處理小組應及時根據現有的資料和情報，以及企業擁有或可支配的資源來制訂危機處理計劃。計劃必須體現出危機處理目標、程序、組織、人員及分工、後勤保 障、行動時間表以及各個階段要實現的目標，同時還應包括社會資源的調動和支配、費用控制和實施責任人及其目標。計劃制訂完成並獲通過後，應立即開始進行物 質資源調配和準備，展開全面的危機處理行動。

(三)危機應按如下程序處理：

1. 對於尚未造成社會影響的事件，在對危機事件進行詳細的調查瞭解和核實的基礎上，根據法律和公理，果斷做出處理決定，以避免事態的進一步惡化。

2. 對於已造成社會影響的事件，應保持與社會各方的良好溝通，及時披露事實真相，以有助於對事件做出客觀公正的報道和評價。

3. 在處理過程中，應處理好與危機事件對方當事人的關係，及時按撫，避免出現糾紛。

4. 在事件處理的全過程，危機處理小組均應與當地政府、監管機構保持緊密聯繫，及時通報事件進展。

(四) 危機事件處理完成後，危機處理小組應及時提交總結報告，如實反映事件的起因、發生過程、處理方法和結果、責任認定、反映的問題等，並提出整改建議或意見，以避免新的風險和危機發生。

第四十二條 對因決策失誤、管理失職、行爲失當等原因致使公司出現風險或危機，並造成有形或無形損失的責任人及部門負責人，公司應追究其直接責任或領導責任。

第四十三條 公司按照各部門的職責分工，認真組織實施風險管理解決方案，確保各項措施落實到位。

第八章 風險管理的監督與改進

第四十四條 公司以重大風險、重大事件和重大決策、重要管理及業務流程爲重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督，採用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據變化情況和存在的缺陷及時加以改進。

第四十五條 公司建立貫穿於整個風險管理基本流程，連接各上下級、各部門的風險管理信息溝通渠道，確保信息溝通的及時、準確、完整，爲風險管理監督與改進奠定基矗

第四十六條 公司各部門定期對風險管理工作進行自查和檢驗，及時發現缺陷並改進，其檢查、檢驗報告及時報送公司風險管理部。

第四十七條 公司風險管理部定期對各部門的風險管理工作實施情況和有效性進行檢查和檢驗，要根據本制度第三十條要求對風險管理策略進行評估，對跨部門的風險管理解決方案進行評價，提出調整或改進建議，出具評價和建議報告，及時報送公司總裁或其委託分管風險管理工作的高級管理人員。

第四十八條 公司審計部至少每年一次對包括風險管理部在內的各部門能否按照有關規定開展風險管理工作及其工作效果進行監督評價，監督評價報告直接報送總裁辦公會及董事會。此項工作也可結合年度審計、任期審計或專項審計工作一併開展。

第九章 風險管理文化

第四十九條 公司須注重建立具有風險意識的公司文化，促進公司風險管理水平、員工風險管理素質的提升，保障公司風險管理目標的實現。

第五十條 風險管理文化建設須融入公司文化建設全過程。大力培育和塑造良好的風險管理文化，樹立正確的風險管理理念，增強員工風險管理意識，將風險管理意識轉化爲員工的共同認識和自覺行動，促進公司建立系統、規範、高效的風險管理機制。

第五十一條 公司在內部各個層面營造風險管理文化氛圍。從董事會開始高度重視風險管理文化的培育，總裁負責培育風險管理文化的日常工作。高級管理人員須在培育風險管理文化中起表率作用。重要管理及業務流程和風險控制點的管理人員和業務操作人員應成爲培育風險管理文化的骨幹。

第五十二條 大力加強員工法律素質教育，制定員工道德誠信準則，形成人人講道德誠信、合法合規經營的風險管理文化。對於不遵守國家法律法規和公司規章制度、弄虛作假、徇私舞弊等違法及違反道德誠信準則的行爲，嚴肅查處。

第五十三條 公司全體員工尤其是各級管理人員和業務操作人員須通過多種形式，努力傳播公司風險管理文化，牢固樹立風險無處不在、風險無時不在、嚴格防控純粹風險、審慎處置機會風險、崗位風險管理責任重大等意識和理念。

第五十四條 風險管理文化建設與薪酬制度和人事制度相結合，有利於增強各級管理人員特別是高級管理人員風險意識，防止盲目擴張、片面追求業績、忽視風險等行爲的發生。

第五十五條 建立重要管理及業務流程、風險控制點的管理人員和業務操作人員崗前風險管理培訓制度。採取多種途經和形式，加強對風險管理理念、知識、流程、管控核心內容的培訓，培養風險管理人才，培育風險管理文化。

第十章 附則

第五十六條 本制度由公司總裁辦公會組織制定並負責解釋。

第五十七條 本制度自印發之日起施行。