风险管理办法

公司全面风险管理办法
第一章总则
第一条为了健全完善风险管理体系，提升企业在复杂多变的经营环境中的风险识别与应对能力，增强企业竞争力、提高股东投资回报，促进企业持续、健康、稳定发展，实现企业发展目标，特制定本办法。

第二条本办法所指的全面风险管理是指根据集团公司风险管理目标，通过风险管理初始信息收集、风险识别、风险评价、风险决策，对风险实施有效控制或选择利用，规避纯粹风险，降低机会风险发生频率，将风险可能造成的损失控制在最低限度或集团公司可承受范围内。

第三条集团公司的风险管理原则:兼顾危险与机会的规避风险和利用风险相统一原则；可能性与影响后果综合分析的风险识别与评价原则;风险可承受且风险成本最小原则;全员、全过程管理原则；责任管理原则。

集团公司风险管理目标：确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失；确保将风险控制在与总体目标相适应并可承受的范围内；通过控制风险和利用机会创造价值，以保证企业目标的实现。

第四条风险管理文化是公司文化的重要和必备组成部分，全体员工应当树立正确的风险理念、价值标准、道德规范和行为方式，将风险管理变成为共同的认识和自觉的行动；企业全面风险管理人人有责。

第五条本办法所称的风险包括：战略风险、财务风险、市场风险、运营风险、法律风险等。

第六条风险应对方式包括：风险回避、风险控制、风险转移、风险自留、风险分散、风险利用等。

第二章风险管理组织体系
第七条集团公司风险管理组织体系由三级构成：
集团公司董事会（董事长办公会）为风险管理组织体系的最高层级；
集团公司全面风险管理领导小组（以下简称一级风险管理小组）为风险管理组织体系的第二层级；
各单位（含直属项目部）全面风险管理最高层级组织为风险管理组织体系的第三层级。

第八条各单位风险管理组织体系与集团公司相同。

第九条各单位（含参照分公司模式管理的直属项目部）风险管理组织体系由二级构成：
各单位全面风险管理领导小组（以下简称二级风险管理小组）为该单位风险管理组织体系的第一层级；
各单位所属各专业分公司、项目部全面风险管理最高层级组织为风险管理组织体系的第二层级。

第十条两级公司各职能部门负责执行本级风险管理小组的风险管理指令，并履行本办法规定的全面风险管理工作职责。

第十一条各级风险管理领导小组组长应当为该单位行政第一负责人。

第十二条集团公司董事会就全面风险管理工作的有效性对股东会负责。

董事会在全面风险管理方面主要履行以下职责：
（一）审议并向股东（大）会提交企业全面风险管理年度工作报告；
（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；
（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；
（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；
（五）批准重大决策的风险评估报告；
（六）批准审计部提交的风险管理监督评价审计报告；
（七）批准风险管理组织机构设置及其职责方案；
（八）批准重大风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；
（九）督导企业风险管理文化的培育；
（十）直接负责识别、评价、应对战略风险；
（十一）全面风险管理其他重大事项。

董事会实施风险管理工作的日常工作机构为董事长办公会。

第十三条集团公司经营层设立一级风险管理领导小组，在本办法授权范围内实施风险管理决策，并向董事长办公会负责和汇报工作，对全面风险管理工作的有效性向董事会负责。

一级风险管理小组由集团公司总经理任组长、法律事务分管领导任常务副组长、其它分管领导任副组长、各部门负责人任组员;一级风险管理小组组长为集团公司全面风险管理工作的第一责任人；风险管理小组的常设办事机构为风险管理办公室，集团公司风险管理办公室设在法律事务部，风险管理办公室主任由集团公司法律事务分管领导担任，副主任由法律事务部负责人担任。

一级风险管理小组在全面风险管理方面主要履行以下职责：
(一) 拟定全面风险管理年度工作报告草案报董事会审议；
(二) 提出风险管理策略和重大风险管理应对方案,报董事长办公会审议，并负责组织实施方案和对重大风险的日常监控；
(三) 提出重大决策、重大风险、重大事件和重要业务流程的判断标准或判断
机制,报董事长办公会审议；
(四) 提出重大决策风险评估报告，报全面风险控制委员会审议;
(五) 提出企业风险管理组织机构设置及其职责方案,报董事长办公会审议；
(六) 对全面风险管理有效性评估和提出全面风险管理的改进方案；
(七) 负责组织建立风险管理信息系统；
(八) 负责组织协调全面风险管理日常工作；
(九) 负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；
(十) 办理授权范围内的风险管理其他有关工作。

第十四条集团公司各部门在一级风险管理小组领导下，负责本系统范围内风险管理工作；集团公司各部门负责人为本系统全面风险管理的第一责任人，应当指定专人具体从事全面风险管理日常工作。

集团公司各部门在全面风险管理工作中，应接受风险管理办公室的组织、协调，并履行以下职责：
(一) 起草全面风险管理年度工作报告涉及本系统部分；
（二）执行风险管理基本流程；
（三）负责执行一级风险管理小组的风险管理指令，并汇报执行情况；
(四) 提出本系统重大风险及判断标准、判断机制；
（五）提出本系统涉及的对内、对外主要业务工作流程并就业务流程各环节制定行为标准；
(六) 建立健全本系统的风险管理内部控制子系统，负责组织协调本系统全面风险管理日常工作；指导各单位制定全面风险管理办法或细则；
(七) 做好本职能部门建立风险管理信息系统的工作；
（八) 对本系统风险管理的有效性进行评估和提出改进方案；
(九) 做好培育风险管理文化的有关工作；
(十) 办理授权范围内的风险管理其他有关工作。

第十五条各单位成立二级风险管理小组，在本办法授权范围内实施风险管理，并向一级风险管理小组负责和汇报工作。

二级风险管理小组由各单位经理任组长、法律事务分管领导任常务副组长、其它分管领导任副组长，各部门负责人任组员；二级风险管理小组组长为本单位全面风险管理第一责任人。

各单位风险管理办公室设在本单位经营管理部，组织机构中未设置经营管理部的，风险管理办公室可以设在与经营管理部职能相近的基它经济管理部门。

二级风险管理小组在全面风险管理方面主要履行以下职责：
(一) 向一级风险管理小组提交本单位风险管理年度工作报告；
(二) 负责组织所属各风险管理职能部门、所管各经营单位和项目部执行风险管理基本流程，并就超出本单位管理授权的风险拟定风险管理方案和及时安排上报；
（三）负责执行集团公司的风险管理指令，并汇报执行情况；
（四）设置所管经营单位、项目部的风险管理组织体系，并报一级风险管理办公室备案；
(五) 对本单位风险管理的有效性进行评估和提出改进方案；
(六) 负责组织建立本单位风险管理信息系统；
(七) 负责组织协调本单位全面风险管理日常工作；
(八) 办理授权范围内的风险管理其他有关工作。

第十六条二级公司各部门受二级风险管理小组领导，在集团公司对口部门指导下负责所在单位对口系统全面风险管理工作，部门负责人为本单位系统全面风险管理第一责任人。

二级公司各部门应当指定专人具体从事全面风险管理日常工作。

二级公司各部门在全面风险管理工作中，应接受所属公司风险管理办公室的组织、协调，并履行以下职责：
(一) 起草本单位全面风险管理年度工作报告涉及本系统部分；
（二）执行风险管理基本流程，并就超出部门授权的风险拟定风险管理方案和及时安排上报；
（三）负责执行本单位风险管理小组或上级对口部门指令，并汇报执行情况
(四) 做好本部门建立风险管理信息系统的工作；
（五) 对本单位系统风险管理的有效性进行评估和提出改进方案；
(六) 做好培育风险管理文化的有关工作；
(七) 负责组织协调本单位系统全面风险管理日常工作；
(八) 办理授权范围内的风险管理其他有关工作。

第三章风险管理基本流程
第十七条全面风险管理基本流程包括：
(一) 收集风险管理初始信息；
(二) 进行风险识别、分析、评价；
(三) 实施风险管理决策，制定风险管理策略；
(四) 提出和实施风险管理应对方案；
(五) 风险管理的监督与改进。

第十八条全面风险管理应以服务集团公司规划发展目标为宗旨,与集团公司内控体系相兼容。

即根据集团公司五年规划确立各项目标，并以目标为导向,通过差异查找识别风险源和实施管理。

第十九条两级公司各部门负责收集与集团公司风险和风险管理相关的内部、外部初始信息（包括历史数据、案例和未来预测），建立风险管理初始信息库。

风险管理初始信息应当涵盖本办法第五条所指风险范围和经营的各个板块。

风险管理初始信息应保持动态更新，以确保风险初始信息的有效性。

第二十条两级公司风险管理小组就两级公司各部门收集的风险信息,以兼顾风险发生可能性与风险发生所能导致的损失或影响后果为原则实施风险预警等级动态评价。

二级风险管理小组确定的风险预警等级需经一级风险管理小组复核通过方可执行。

一级风险管理小组有权调整二级风险管理小组确定的风险预警等级。

第二十一条集团公司风险评价分为蓝色、黄色、橙色、红色、黑色五个预警等级。

集团公司制定风险评估标准，指导风险源的等级划分；同一风险源与风险评估标准相对照，存在有多种风险表现形式时，应当将该风险事件的所有风险表现形式及对应风险预警等级全部列出，并以其中最高风险等级确定该风险源的风险预警等级。

第二十二条被评价为红色、黑色等级的风险源由一级风险管理小组负责牵头制定、修改风险应对方案；被评为橙色及以下等级的风险源由集团公司主责部门（仅限于公司本部发生的风险源）、二级风险管理小组负责牵头制定或修改风险应对方案。

被评价为黄色、橙色等级的风险源，集团公司各部门或二级风险管理小组应在制定风险应对方案后送集团公司全面风险管理办公室备案，一级风险管理小组认为有必要时，可以要求相关部门或二级风险管理小组汇报橙色及以下等级风险源的管理情况，并有权根据管理需要调整相关部门或二级风险管理领导小组制定的风险应对方案。

一级风险管理小组就黑色等级风险源制定或修改的应对方案需经董事长办公会审批同意方可实施。

第二十三条：风险预警等级具备解除条件时，由该风险源管理单位的风险管理办公室提出，经本级风险管理小组批准；二级风险管理小组批准解除风险预警
等级的，还应送由一级风险管理小组核准；黑色风险预警等级解除还需经董事长办公会核准。

第二十四条各级风险管理小组实行定期会议和临时会议两种议事制度。

定期会议又分为全体会议和工作会议二种。

全体会议应当由风险管理小组全体成员参加；工作会议只限于与该次会议议题相关的风险管理小组成员参加，与会议议题相关的非风险管理小组成员经批准可以列席会议。

集团公司定期会议每二月召开一次，各单位定期会议每月召开一次；集团公司定期会议内容已包括了各单位风险会议需决策事宜的，各单位当月定期会议可以取消。

两级公司风险管理小组组长或副组长可以不限时召开风险管理小组临时会议。

第二十五条董事会可以随时要求各级风险管理小组汇报风险管理情况；在认为有必要时，可以直接选择风险应对方式，制定应对措施和应对方案，并下达执行指令。

第二十六条两级公司各部门、各项目部、专业分公司负责具体执行风险应对方案或一、二级风险管理小组或董事会的风险管理指令，并负责跟踪已识别风险信息、监视剩余风险和识别新风险，保证风险管控计划的执行。

第二十七条各风险管理职能部门应每月初向本级风险管理办公室提交一份本系统上月风险管理动态信息表；下级风险管理办公室在收集齐本级各风险管理职能部门风险管理动态信息表后应当及时上报上级风险管理办公室。

动态信息表中应当反映本月新增或更新的风险信息、已识别的涉及本系统的风险源管理效果及现状等内容。

第二十八条集团公司风险管理办公室对相关责任单位、部门和责任人的具体工作进展情况进行跟踪和督办，并根据风险等级，动态向一级风险管理小组常
务副组长、组长、董事长汇报；监察部负责对风险应对方案的执行情况进行全过程绩效监察；审计部应当每年出一期风险审计报告上报董事长，并送达风险管理办公室和监察部。

第二十九条集团公司依据本办法规定风险分类，并结合阶段性风险管理重点工作制定全面风险管理流程手册。

除本办法另有规定外，集团公司各层级风险管理组织应当依据全面风险管理流程手册组织开展风险管理工作。

第四章合同风险管理
第三十条合同风险管理分为签约和履约二个时段。

第三十一条两级公司各部门应依据合同(项目)管理授权，就每一合同(项目)建立风险信息档案；凡合同履约与合同、项目策划、管理流程、行为标准、公司制度发生差异，应当列入合同(项目)风险信息档案中。

合同(项目)风险信息收集还应兼顾国家法律、政策调整、市场环境变化、合同相对方主体运营观察、气象预告等因素。

合同(项目)风险信息档案由合同(项目)授权管理单位各阶段风险牵头管理部门组织其它部门按部门职能划分实施填制。

合同(项目)风险信息档案通过在合同（项目）风险管理各阶段进行传递(或网络传递)实现所有参与合同（项目）风险管理的人员共享。

第三十二条合同(项目)风险信息档案内容可通过履约单位(项目部)上报、定期检查、报表分析等途径获得。

集团公司各部门发现二级公司授权管理合同(项目)的风险信息档案失真或信息缺失的，有权督促更新。

第三十三条两级风险管理小组在合同(项目)管理授权范围内，对合同(项目)风险信息档案进行综合识别、评价后，认为确实存在本办法所指风险的，应确定合同(项目)风险预警等级。

第三十四条合同签约时段风险管理执行集团公司招投标管理和合同评审管
理的有关规定。

其中，市场营销部为工程板块项目(含BT、BOT类投资项目)签约风险的牵头管理部门；投资拓展部为投资类项目(包括房地产开发；不含BT、BOT 类投资项目）签约风险的牵头管理部门；经营管理部为工程板块发包工程合同、工程设备采购合同签约风险的牵头管理部门；物资采购部为工程材料采购合同签约风险的的牵头管理部门；财务部为固定资产投资采购合同签约风险的牵头管理部门。

第三十五条签约评审放过风险应当列入合同风险信息档案，由项目履约时段指定的风险管理牵头部门组织风险防范和跟踪。

签约牵头管理部门应当就签约背景信息、评审放过风险以及签约阶段拟定风险控制或利用措施组织履约管理部门及合同执行机构进行书面合同交底。

第三十六条工程合同履约风险管理分项目实施、项目结算、项目回款三个阶段。

各阶段风险管理工作由牵头部门组织其它相关部门依据风险管理小组指令或风险应对方案实施。

项目实施阶段风险管理牵头部门为工程部；项目结算阶段风险管理牵头部门为经营部；项目结算后的工程回款阶段风险管理牵头部门为财务部。

工程中标后，工程部应当组织相关部门以控制风险为目的编制项目风险策划。

第三十七条工程板块发包工程合同、工程设备采购合同履约风险管理的牵头部门为工程部；工程材料采购合同履约风险管理的牵头部门为物资部；投资类项目合同履约、固定资产投资类采购合同履约风险管理的牵头部门为财务部。

第三十八条两级公司各部门应当每月25日前进行一次全面的合同风险排查，并根据排查结果在每月28日前调整项目风险信息档案。

第五章危机事件管理
第三十九条集团公司设立专门的危机事件应对管理委员会，由董事长任主任，董事会秘书任副主任兼集团公司总发言人，相关业务分管领导为管理委员会
委员。

第四十条危机事件直接列入黑色等级风险事件，由集团公司办公室负责牵头实施管理。

主要负责及时收集危机事件的准确信息、内外部综合协调和沟通联络、信息传递与上报等工作。

因安全事故而引发危机事件时，由安全监督管理部配合办公室实施危机管理；因劳动关系纠纷而引发危机事件时，由人力资源部配合办公室实施危机管理；因民工工资拖欠而引发危机事件时，由财务部、经管部配合办公室实施危机管理；因其他特殊事件引发危机事件时，由相关部门配合办公室实施危机管理。

上述专业部门主要负责及时向分管领导和办公室上报危机事件的准确信息、提出处理意见等工作。

第四十一条因安全事故、劳动关系纠纷、民工工资拖欠或其他特殊事件而诱发不稳定、治安事件时，综合事务部应当配合应对危机，妥善处置，维护稳定。

因安全事故、劳动关系纠纷、民工工资拖欠或其他特殊事件而引起媒体关注时，文化中心应当配合应对危机。

主要承担与报道媒体联系、组织统一对外发表意见等工作。

第四十二条危机事件管理坚持主动性、快速性、真实性、诚意性、专业性和利益兼顾的原则。

发生危机事件时，责任单位和部门应在第一时间迅速上报分管领导和办公室，由集团公司总发言人或总发言人指定人员统一对外发表言论，任何单位或个人不得擅自接受采访或调查，但被采访或调查的员工应尽到善意、友好的指引义务。

第四十三条危机事件应对管理委员会负责根据本办法制定具体的危机预警与应对管理办法。

第六章全面风险管理考核
第四十四条任何单位或部门因未及时收集风险信息，或怠于履行风险管理
小组的风险管理指令，而导致风险损害结果发生或丧失补救机会的，或虽未导致风险损害结果发生和丧失补救机会，但存在有明显的主观故意或放任的，集团公司监察部将依据公司《岗位责任管理实施办法》对相关责任人实施问责追究。

其它单位或个人在责任主体或责任人未及时收集风险信息的前提下，主动替补收集风险信息，并因此而避免或减少了风险损害发生的，集团公司将给予主动收集风险信息的单位或个人适当奖励。

第四十五条集团公司制定《全面风险管理考核办法》，并由集团公司全面风险管理办公室组织全面风险管理考核工作。

第七章其它规定
第四十六条各单位应参照本办法制定本公司全面风险管理办法或实施细则。

但各单位对综合评价为橙色、红色、黑色等级的风险事件，应当及时向集团公司风险管理办公室备案。

集团公司董事长办公会或一级风险管理小组认为有必要时，可以依据本办法中对各单位风险事件的管理程序对二级单位报送的风险事件实施统一的风险管理。

第四十七条本办法解释权归集团公司风险管理办公室。

第四十八条本办法自公布之日实施。