西部创业：全面风险管理办法

宁夏西部创业实业股份有限公司

全面风险管理办法

第一章 总 则

第一条 为进一步加强宁夏西部创业实业股份有限公司全面风险管理工作，提高风险防范能力，促进公司持续、健康、稳定发展，依据《公司法》《中央企业全面风险管理指引》《宁夏西部创业实业股份有限公司章程》等有关规定，结合公司实际，制定本办法。

第二条 本办法适用于宁夏西部创业实业股份有限公司（以下简称公司）及权属子公司全面风险管理工作。

第三条 本办法所指全面风险管理，是指公司依据管理各个环节和经营中执行风险管理的基本流程，形成风险管理文化，建立健全全面风险管理体系，消灭或降低风险事件发生的概率或减少风险事件发生时造成的损失。

第四条 本办法所指风险，是指公司目前及未来发展过程中，各种不确定因素对公司战略发展造成生产经营目标的不利影响。公司将风险分为战略风险、法律风险、市场风险、财务风险、运营风险等五大类。

（一）战略风险：战略定位和战略选择与公司面临的内外部环境不相适应,或战略执行、监控不到位等影响战略目标实现的风

险。

（二）法律风险：因违反法律、法规，或侵害其他利益相关者的权益，而导致公司遭受经济或声誉损失的风险。

（三）市场风险：包括上、下游主要服务对象产品价格和市场变化，影响公司经营目标实现的风险。

（四）财务风险：指融资安排、会计核算与管理以及会计或财务报告失误而对公司造成的损失风险。

（五）运营风险：因公司经营管理、市场开发、信息安全、道德操守等内部发生失误的流程和环节或外部事件给公司造成的经济损失风险。

第二章 全面风险管理的目标和原则

第五条 公司全面风险管理的总体目标：

（一）确保公司生产经营合法合规，各项规章制度得到有效贯彻执行；

（二）将风险控制在与总体目标相适应并可承受范围内；

（三）建立针对重大风险的处理预案，保证公司不因灾害性风险或人为失误而遭受重大损失；

（四）公司规范运作，信息披露真实、准确、完整、及时；

（五）形成良好的风险管理文化，强化全体员工风险管理意识。

第六条 风险管理应遵循以下原则：

（一）统一领导、分级管理原则。建立健全风险管理组织体系和风险管理相关工作制度，执行风险管理基本流程，完善风险管理职能。

（二）风险管理与内部控制相融合原则。在公司内部控制体系的基础上，实现风险管理与内部控制相融合的风险管理体系。

（三）全面性原则。做到对风险的事前防范、事中控制、事后处置相统一，覆盖所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节。

（四）重点管控原则。在全面管理基础上，应以重大风险管控为核心，关注重要业务事项和高风险领域，制定风险应对措施。

（五）成本效益原则。风险管理工作应当权衡管理成本与预期效益，以适当的成本实现有效管理。

（六）持续改进原则。全面风险管理需动态适应公司内、外部环境变化，持续完善风险管理体系。

第三章 全面风险管理组织体系与职责分工

第七条 全面风险管理工作实行分级管理，组织体系包括：

董事会、经理层、风险管理主管部门、公司各部门及子公司。

第八条 董事会是全面风险管理工作的最高领导机构，职责如下：

（一）确定全面风险管理总体目标、风险偏好、风险承受度，风险管理策略和重大风险管理解决方案；

（二）审定全面风险管理机构的设置和职责分工；

（三）审定全面风险管理制度、实施办法；

（四）确定与全面风险管理有关其他重大事项。

第九条 经理层对全面风险管理工作的有效性向董事会负责。经理层负责主持全面风险管理的日常工作。

第十条 审计风控部是公司全面风险管理工作的主管部门，负责组织、监督公司全面风险管理工作，职责如下：

（一）组织拟定全面风险管理办法等相关制度；

（二）组织协调识别、分析、评估、控制各类风险；

（三）编制《全面风险管理年度报告》；

（四）完成与全面风险管理相关的其他工作。

第十一条 各部门、子公司是全面风险管理的具体实施者，应接受风险管理主管部门的组织、协调、指导和监督。主要职责包括：

（一）执行本部门、子公司所辖专业风险管理工作；

（二）开展本部门、子公司所涉及的风险信息收集、识别、分析、控制等管理工作；

（三）编制本部门、子公司年度风险管理报告。

第十二条 各部门、子公司负责人是各自全面风险管理责任人，负责本部门、子公司全面风险管理工作，贯彻执行公司各项

风险管理政策、制度和流程。

第四章 全面风险管理工作流程

第十三条 风险管理初始信息收集，是以业务流程为依托，通过收集与公司风险和风险管理相关的内、外部初始信息，了解公司各主要业务风险、重大业务流程的关键因素，分析行业竞争态势，广泛、持续地收集与风险和风险管理相关的战略、市场、财务、运营、安全、法律合规等方面的内外部信息的活动。

第十四条 公司采取定期集中收集与不定期动态收集方式开展风险管理信息收集工作。

（一）定期集中收集是指风险管理主管部门根据年度风险管理工作计划，每年组织开展一次风险管理初始信息收集工作。风险管理初始信息收集内容主要包括风险名称、风险类别、风险发生可能性、风险影响程度、风险管理策略和解决方案等内容；

（二）不定期动态收集是指各部门、子公司在日常工作中，应持续收集与风险相关的内外部相关信息，实时开展风险的监控和预警工作，对监控指标异常与报警情况分析，形成报告，报送风险管理主管部门。

第十五条 风险管理主管部门应对各部门、子公司报送的风险信息进行统一筛选、提炼和规范管理，建立风险事件库。

第十六条 风险评估可采用定性和定量相结合的方法，包括访谈、讨论、问卷调查、流程图分析、历史数据分析等方式，确定业务流程中有哪些风险及风险等级，补充完善风险事件库。各部门、子公司应定期分析所处的内外部风险环境，对整体所面临的重大风险进行评估。

第十七条 分析风险发生的可能性及影响程度，计算风险值。

风险值=可能性分值×影响程度分值。

（一）风险发生可能性评分标准

（二）影响程度分值标准

第十八条 风险评估应区分出重大风险、重要风险和一般风险。原则上以风险值计算为基础，对所有的风险按照风险值进行排序和分级。

风险分级表

第十九条 各部门、子公司根据风险评估结果，结合风险承受度，制定风险管理解决方案，其中应包括风险解决的具体目标、所涉及业务流程及风险发生的事前预防方案，事中控制方案及事后改进方案。

（一）制定事前预防方案，综合分析可利用的内外部资源，对可能发生的风险采取预防性措施，降低风险发生可能性，将风险影响控制在可承受的范围内，主要包括跟踪检查风险源、规范业务流程、教育培训、制定应急预案等；

（二）制定事中控制方案，综合分析风险事件发生时所能及

时组织的内外部资源，建立迅速响应机制，启动应急处置预案，分析风险可能造成的直接损失和间接损失，完善风险处置程序和办法，将风险损失控制在最小范围之内；

（三）制定事后改进方案，针对已发生的风险事件，提出改进建议，主要包括应急预案的改进、风险处置措施改进等。

第二十条 建立重大风险预警和突发事件应急处理机制，明确预警标准及责任人员，规范处理程序，确保突发事件及时妥善处理。

（一）重大风险应急预案应包括预警规则、处置措施、止损策略和实施步骤、汇报关系、汇报时间等要素；

（二）突发事件应急处理机制应包括明确突发事件责任人，规范应急处理启动和实施流程，建立沟通机制和应急物资储备机制等，确保能在最短时间内，指挥、协调、调集必要的资源投入处置工作。

第二十一条 公司定期对风险管理工作的有效性进行监督检查，及时发现存在的缺陷并改进。

（一）各部门、子公司每年开展一次风险管理情况的检查工作，形成检查报告后报送风险管理主管部门备案；

（二）风险管理主管部门每年对各部门、子公司的风险管理情况进行检查，形成全面风险管理年度报告。

第五章 全面风险管理文化

第二十二条 在公司企业文化建设中，应注重将风险意识融入到企业文化中，培育良好的风险管理文化，树立正确的风险管理理念，增强全员风险管理意识，建立系统、规范、高效的风险管理机制。

第二十三条 树立风险无时不在、无处不在的意识，严格防控风险、审慎处置风险、突出重视风险等风险管理责任理念，不断提升全体员工风险意识。

第六章 全面风险考核与责任追究

第二十四条 对内、外部监督检查发现重大风险隐患和管理缺陷，未采取相应措施并按期整改的，将根据其性质和影响程度对相关部门、子公司进行考核。

第二十五条 对重大风险信息隐瞒不报或漏报，并造成重大损失的，将依据公司有关规定追究相关责任人责任。

第七章 附 则

第二十六条 本办法由审计风控部负责解释。

第二十七条 本办法自董事会审议通过后施行。