国投智能：《全面风险管理制度》

国投智能（厦门）信息股份有限公司

全面风险管理制度

第一章 总 则第一条 为加强国投智能（厦门）信息股份有限公司（以下简称公司）风险管理工作，提高风险管理水平，培育风险管理文化，促进企业高质量发展，制定本制度。

第二条 本制度适用于公司及其分公司、子公司及控股投资企业（以下统称各单位）。子公司、控股投资企业应结合管理实际，参照本制度，制定本公司的风险管理制度，并报备公司审计风控部。

本制度所称子公司，是指公司持股的全资和控股的企业。

本制度所称控股投资企业，是指公司合并报表范围内三级及以下的企业。

子公司、控股投资企业在本制度中合称子企业。

第三条 本制度涉及名词的定义：

(一) 风险：是指未来的不确定性对实现经营目标和战略目标的影响。

(二) 潜在风险：是指可能对企业发展战略、经营管理产生影响，且尚未形成风险事件的各类情形。

(三) 风险事件：是指企业在经营管理活动中发生的已造成损失或不利影响的各类事件。

(四) 全面风险管理：是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理组织、制度、程序与机制、工具与系统、文化等，从而为实现风险管理的总体目标提供合理保证的过程和方法。

(五) 新业务：是指各单位基于市场需求或技术创新开展的，超出原有业务范围，需对可能出现的风险进行预测、评估、论证的业务，包括但不限于：

1、各单位首次开展的，与原有业务无关的业务；

2、各单位首次开展的，与原有业务属于同一产业链，需对风险进行论证的业务；

3、从主业中延伸而来，为主业提供配套、辅助支持服务的业务，拟增加资源投入，发展成主业的业务。

第四条 全面风险管理工作应遵循以下原则：

(一) 全面性原则。坚持“业务做到哪里，风控就要延伸到哪里”，覆盖各单位所有风险种类和不同风险之间的相互影响，实现全级次、全业务、全流程、全员化的风险管理。坚持“风险并表”管理理念，将产生风险和损失时，对公司造成显著影响的非会计并表企业纳入风险管理范围，实现对承担实质性风险业务企业的全面覆盖。

(二) 有效性原则。在确保全面风险管理相对独立的基础上，使风险管理更加贴近市场和业务，坚持实质重于形式，将风险管理各项措施落到实处。

(三) 前瞻性原则。积极研究和辨识外部市场和监管形势变化，主动跟踪、分析、报告内外部重大风险以及对本单位的影响，提高对各类风险的辨识评估、监测预警、分析干预能力，保障各项业务稳健经营。

第五条 全面风险管理由“公司—子公司—控股投资企业”分级分类实施，按业务类别和风险类型，制定相应的管理措施。各单位应建立健全决策风险评估、监测预警、干预应对的管理机制，推动风险事件处置化解，推动职能部门流程改善和管理提升。

第六条 本制度为公司风险管理的基本性制度。公司结合适用范围、效力层级等，构建以本制度为核心，各领域规章制度为基础，覆盖全面、分级分类、管控有效的风险管理制度体系。

第七条 各单位应按照职能分工，针对重点风险管理领域，以及风险较高的业务，制定风险管理专项制度、操作规范或指引。制定时，要严格落实各项风险管理要求，明确相应管控措施，有效防控风险，并根据法律法规、监管政策等变化情况，及时对相关风险管理专项制度进行修订完善，对执行落实情况进行检查。

第八条 各单位应在机构、人员、经费、技术等方面为风险管理工作提供必要条件，保障相关工作有序开展。

第二章 组织架构及职责第一节 公司组织架构和职责

第九条 党委发挥把方向、管大局、保落实的领导作用，推动风险管理要求在公司得到严格遵循和落实，不断提升风险管理水平。

第十条 董事会发挥定战略、作决策、防风险作用，是全面风险管理的最高决策机构，决定公司风险管理体系，对其实施监督。

第十一条 经理层发挥谋经营、抓落实、强管理作用，主要履行以下职责：

（一）组织贯彻落实党委、董事会对风险管理工作的各项要求；

（二）指导各部门、各子企业开展风险管理工作；

（三）批准风险管理相关具体制度；

（四）批准新业务风险评估报告。

公司主要负责人为全面风险管理工作第一责任人，对全面风险管理负主要领导责任；分管风险管理工作的领导统筹组织各项制度和措施的落实，对全面风险管理负分管领导责任。

第十二条 公司设立风险管理委员会，是经理层研究风险管理的议事协调机构。主任由总经理担任，副主任由分管风险管理工作的公司领导担任，负责统筹协调风险管理工作，主要履行以下职责：

(一) 指导公司风险管理体系建设，审核实施情况；

(二) 指导公司各部门开展职责范围内的风险管理工作；

(三) 协调各单位重大风险事件处置；

(四) 审议新业务风险评估报告；

(五) 听取各单位风险管理有关情况的报告；

(六) 其他重要风险管理事项。

第十三条 审计风控部是公司全面风险管理的归口管理部门，主要履行以下职责：

(一) 负责全面风险管理体系建设、评价及日常管理工作；

(二) 对重要子企业的全面风险管理工作开展情况进行检查与考核评价。

(三) 负责组织审核新业务风险评估报告；

(四) 汇总收集各单位风险辨识评估、监测预警、分析研判、干预应对结果，推动风险处置化解；

(五) 建立健全风险报告管理工作机制，收集、汇总、上报风险报告；

(六) 牵头开展全面风险管理文化宣传。

第十四条 公司各部门负责职责范围内的风险管理工作，承担风险管理责任。根据国家开发投资集团有限公司（以下简称国投集团）等上级单位相关制度规定的风险类型，结合部门职责分工，确定各部门承担管理责任的风险类型，并根据内外部环境变化动态调整（详见附件）。各部门在风险管理工作中，应将风险管理理念和方法融入职能管理，以促进和保障企业持续健康发展为出发点，强化风险意识，创新风险管理手段，切实加强对职责或业务范围内潜在风险的辨识、评估和应对。在全面风险管理中，主要履行以下职责：

(一) 研究制定并持续完善本部门管理的具体风险管理制度和工作机制，将风险管理要求嵌入本部门业务管理流程；

(二) 研究制定本部门重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

(三) 开展本部门管理风险的辨识评估、监测预警、分析研判、干预应对、处置化解、管理提升工作；

(四) 实时监控及跟踪本部门管理的各类风险信息，及时按要求提交风险报告或相关风险信息；

(五) 对子企业开展相关风险的专业化管理工作进行监督，提供指导和帮助，加强各部门间相关风险信息的传导和共享；

(六) 根据风险管理要求开展的其他风险工作。

第十五条 公司倡导风险管理全员化，全体员工应履行以下职责：

(一) 主动对各类风险进行辨识评估、监测预警、分析研判、干预应对、处置化解、管理提升，并对履职行为产生的风险隐患承担直接责任；

(二) 主动接受风险培训，加强风险学习；

(三) 公司规章制度规定的其他风险管理职责。

第十六条 各部门应设置1名兼职风险管理员，履行以下职责：

(一) 统筹协调本部门风险管理工作；

(二) 向审计风控部报送本部门风险管理工作开展情况和相关潜在风险；

(三) 向审计风控部提出意见和建议，并接受审计风控部的业务指导。

第二节 子企业组织架构和职责

第十七条 子企业负责本企业的风险管理工作，并对本企业的风险管理工作承担责任。主要职责如下：

(一) 根据外部监管、上级企业要求，组织建立健全适合本企业管理实际的全面风险管理体系；

(二) 明确全面风险管理的归口管理部门，设置专兼职风险管理岗位，切实履行相关职责；

(三) 开展本企业风险辨识评估、监测预警、分析研判、干预应对、处置化解、管理提升等工作；

(四) 开展本企业风险事件的统计、跟踪、分析、报告等工作；

(五) 开展本企业风险事件处置化解；

(六) 组织开展本企业全面风险管理文化宣传。

第十八条 子企业主要负责人为全面风险管理工作第一责任人，对全面风险管理负主要领导责任；分管风险管理工作的领导统筹组织各项制度和措施的落实，对全面风险管理负分管领导责任。

第十九条 子企业的业务及职能部门承担风险管理主体责任，负责本部门职责范围内的风险管理工作。

第三章 运行机制第一节 辨识评估与监测预警

第二十条 风险辨识是指查找各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。风险评估是从风险发生的可能性和影响程度等方面进行评估，包括对风险之间的关系分析，确保评估结果的准确性、客观性和合理性，为风险决策提供充分可靠的评估信息。

第二十一条 各单位应按照职责分工、行业特点、业务实际情况等，对潜在风险实行动态跟踪辨识评估，必要时可聘请有资质、信誉好、专业能力强的外部机构协助实施。

第二十二条 各单位在进行投资并购、改革改制重组等重大经营事项决策前应开展专项风险辨识、评估，并将风险评估报告（含风险应对措施和处置预案）作为重大经营事项决策的必备支撑材料，对超出企业风险承受能力或风险应对措施不到位的决策事项不得组织实施。

前款所述投资并购、改革改制重组等重大经营事项的具体范围按照各单位“三重一大”、投资管理等相关制度执行。

第二十三条 各单位应建立健全业务风险评估机制，结合外部监管、市场环境、战略方向调整及业务结构转型等因素，对存量业务进行风险评估。

第二十四条 各单位在开展新业务前，应对涉及的各类风险进行全面风险评估，编制新业务风险评估报告，风险评估需要围绕新业务拟达成的目标来

进行，目标应尽量具体、可量化。公司的新业务风险评估报告提交公司审计风控部、风险管理委员会初审，提交上级单位审批后，方可开展新业务；子企业的新业务风险评估报告，需由公司总经理审批后，方可开展新业务。在新业务开展后要对各类风险进行动态辨识评估，及时排查应对风险隐患。投资项目涉及新业务的，应在新业务开展前进行全面风险评估。

第二十五条 公司建立各子企业风险预警报告相关管理工作机制。子企业可结合自身行业及经营特点，建立有效的风险预警体系。

第二十六条 各单位要认真分析风险指标异常原因、风险可能的演变趋势和关联影响，做好应对措施。结合外部监管要求变化、市场环境变化、战略方向调整及业务结构转型等因素，动态调整和优化风险指标。

第二十七条 各单位要持续监测外部潜在风险，对于外部重大风险舆情、行业风险，及时开展分析研判和风险排查，将关联影响上报公司有关风险的管理部门和审计风控部。公司有关风险的管理部门应将相关风险及时上报上级单位有关风险的管理部门，审计风控部应同时上报上级单位风险管理部门。

第二节 分析研判与干预应对

第二十八条 涉及安全生产、资源节约与生态环境保护、网络安全、法律纠纷、舆情风险、专项合规和境外经营的风险情况报告，还应按照国家有关部委、我国驻外使领馆或其他政府部门、上级单位及公司有关制度执行。

第二十九条 各单位要对风险形成的原因多角度、多层次分析研判，妥善采取干预应对措施，防止风险蔓延扩散。

第三十条 各单位应加强风险管理工作协同，积极组织开展多种形式的风险信息沟通交流和经验共享，上下联动，左右协调，协同开展风险干预应对。

第三节 处置化解与管理提升

第三十一条 各单位要根据自身条件和外部环境，围绕企业发展战略，合理确定风险偏好，综合选择风险承担、风险规避、风险转移、风险转换、风险对

冲、风险补偿、风险控制等风险管理工具，配置所需的合理资源开展风险处置化解工作。

第三十二条 各单位应结合处置实践和管理需要，不断丰富风险事件处置的手段和经验，综合采取核销、清收、转让、以物抵债等多种方式，推动风险处置化解，防止风险蔓延扩散。

第三十三条 各单位应在潜在风险和风险事件发生后，及时梳理风险反映出来的管理缺陷，着眼于制度建设和执行的漏洞，举一反三，建章建制，推动管理提升。

第四章 风险报告

第三十四条 风险报告分为定期报告和专项报告，定期报告包括风险管理月报和风险事件报告，专项报告包括重大经营风险事件报告、重大潜在风险报告和其他专项报告。

第三十五条 定期报告分为风险管理月报、风险事件报告。

（一）风险管理月报是指各单位根据上级单位、公司要求对报告期内本单位风险管理情况的总结，应于次月3日前报送给公司审计风控部。内容包括但不限于：风险事件情况、潜在风险监测预警情况、管理建议等。

（二）风险事件报告是指各单位按月收集、汇总、分析报告期内本单位风险事件的报告，应于次月3日前报送给公司审计风控部，同时子企业还应按风险类型报送公司有关风险的管理部门。各单位应确保上报及时准确，无风险事件应零报送，未经批准，不得更改。

第三十六条 专项报告分为重大经营风险事件报告、重大潜在风险报告、其他专项报告。

（一）重大经营风险事件报告是指各单位在生产经营管理活动中发生的，对已造成或可能造成重大资产损失或严重不良影响的各类生产经营管理风险事件（安全生产、节能减排、环境保护、维稳事件除外）进行的报告。

（二）重大潜在风险报告是指各单位主动跟踪本单位相关重大潜在风险的报告。

（三）其他专项报告是指各单位根据专项工作要求和其他风险情况进行的报告。

第三十七条 各单位在生产经营管理过程中，有下列风险情形之一的，应当确定为重大经营风险事件并及时报告：

（一）可能对本单位资产、负债、权益和经营成果产生重大影响，影响金额占总资产或者净资产或者净利润10％以上，或者预计损失金额超过5000万元。

（二）可能导致生产经营条件和市场环境发生特别重大变化，影响可持续发展。

（三）因涉嫌严重违法违规被司法机关或者省级以上监管机构立案调查，或者受到重大刑事处罚、行政处罚。

（四）受到其他国家、地区或者国际组织机构管制、制裁等，对本单位或者国家形象产生重大负面影响。

（五）受到国内外媒体报道，造成重大负面舆情影响。

（六）其他情形。

子公司可根据行业特点和业务实际，制定严于上述标准的重大经营风险事件范围和标准。

第三十八条 境外发生的重大经营风险事件，还应按照国家有关部委、我国驻外使领馆或其他政府部门的有关要求执行。

第三十九条 重大经营风险事件报告按照事件发生的不同阶段，分为首报、续报和终报等三种方式。各单位需按本制度规定的风险类型，将重大经营风险事件报告报送公司审计风控部，子企业还应同时报送公司有关风险的管理部门。

首报：各单位要做好重大经营风险实时监测预警工作，对于本单位内部发现或外部监管机构、媒体网络反映的重大经营风险事件，应在风险事件发生后

1日内将相关情况书面报告公司审计风控部，审计风控部在收到报告当日向上级单位风险管理部门报告。报告内容包括事件发生的时间、地点、现状以及可能造成的损失或影响，向企业经营层、董事会及监管部门报告情况，以及采取的干预应对措施等情况。对于特别紧急的重大经营风险事件，相关单位可先以电话等适当便捷的方式进行报告，后按要求补充提交书面报告。

续报：相关单位应当在事件发生后2日内向公司审计风控部报告，审计风控部应在收到报告次日向上级单位风险管理部门报告。报告内容包括事发单位基本情况，事件起因和性质，基本过程、发展趋势判断、风险处置方案、面临问题和困难及建议等情况。

终报：各单位处置化解重大经营风险事件工作结束后，相关单位应于3日内向公司审计风控部报告，审计风控部应在收到报告2日内向上级单位风险管理部门报告。报告内容包括事件基本情况、党组织或董事会审议情况、已采取的措施及结果、涉及的金额及造成的损失及影响、存在的主要问题和困难及原因分析、问题整改情况等。涉及违规违纪违法问题的应当一并报告问责情况。终报应当由本企业主要负责人签字并加盖公章后报送。

各单位发生重大经营风险事件后应当快速反应、及时报告，客观准确反映风险事件情况，确保公司能够及时研判、有效应对、稳妥处置，并举一反三做好风险预警通报工作。

第四十条 重大潜在风险报告应于发现1日内，以电话等适当便捷的方式报告公司审计风控部，并于3日内形成书面材料报告公司审计风控部。审计风控部应在收到报告当天向上级单位风险管理部门报告。

第四十一条 其他专项报告应按专项工作要求时间进行报告。

第四十二条 风险报告实行分级监督管理。公司审计风控部负责汇总并监督管理子公司风险报告，并及时向上级单位风险管理部门报告；子公司负责监督管理控股投资企业风险报告，并及时向公司审计风控部报告。控股投资企业负责管理并及时将本单位的风险情况向子公司报告。

第四十三条 各单位是风险报告工作的责任主体，各单位负责人应当对本单位风险报告的真实性、全面性和及时性负责。

第四十四条 公司应加强风险报告和整改落实工作的监督检查，存在以下情形之一的，将根据情况印发提示函、约谈或通报，情节严重的按照公司有关规定严肃追究相关人员责任：

（一）迟报、漏报、瞒报和谎报的。

（二）对风险报告工作敷衍应付，导致发生重大资产损失或严重不良后果的。

（三）风险事件应对处置不及时、措施不得力，造成重大资产损失或严重不良后果的。

（四）需要追究责任的其他情形。

第四十五条 涉及国家秘密、商业秘密的风险报告，应按照公司及本企业有关规定执行。

第五章 监督检查与考核评价

第四十六条 公司建立健全全面风险管理监督检查工作机制，对子公司进行监督检查，子公司对所属控股投资企业进行监督检查。

第四十七条 公司建立健全全面风险管理考核评价工作机制，将风险管理工作情况纳入对子公司及其负责人绩效考核。

第四十八条 公司建立健全全面风险管理责任追究机制，对风险管理工作中违反相关法律、法规、监管要求或未勤勉尽责造成重大损失或严重负面影响的，按照有关规定严肃追究相关单位和个人的责任。

第六章 附 则

第四十九条 本制度由审计风控部负责解释和修订。国家法律法规另有规定的，从其规定。

第五十条 本制度自发布之日起施行。《全面风险管理制度》（厦美亚柏科﹝2022﹞78号）同步废止。