甘肃省敦煌种业集团股份有限公司
全面风险管理制度
(2026 年修订)
目 录
第一章 总 则
第二章 管理分工
第三章 风险管理基本流程
第四章 风险管理信息化与风险文化建设
第五章 违规责任
第六章 附 则
第一章 总 则
—1—
第一章 总 则
第一条为加强甘肃省敦煌种业集团股份有限公司(以下简称
“公司”)全面风险管理工作,有效防范和控制经营中可能发生
或出现的风险与危机,保障经营管理持续、稳定、健康运行,根
据《中央企业全面风险管理指引》《企业内部控制基本规范》相
关文件,《省属企业全面风险管理工作实施办法(试行)》及相
关法律法规和公司章程,制定本制度。
第二条 本制度适用于公司各部门,各分、子公司(以下简称
各责任主体)的全面风险管理工作。
第三条 本制度所指风险,是指公司发展过程中各种不确定性
对实现战略目标和经营目标的影响。
第四条 本制度所称全面风险管理,是指围绕公司总体战略目
标,通过在管理的各个环节和经营过程中执行风险管理的基本流
程,培育良好的风险管理文化,建立健全风险管理组织和内部控
制体系,从而为风险管理的总体目标提供合理保证的过程和方法。
第五条 风险管理的总体目标:
(一)确保将风险控制在与总体目标相适应并可承受的范围
内,为实现公司经营目标和战略目标提供合理保障。
(二)确保内外部真实、可靠的信息沟通,包括编制和提供
真实、可靠的财务报告。
(三)确保遵守有关法律法规、相关监管要求,确保公司有
—2—
关规章制度和为实现经营目标而采取重大措施的贯彻执行。
(四)确保公司建立重大风险发生后的应急处理机制,保护
公司不因灾害性风险或人为失误而遭受重大损失。
第六条 全面风险管理遵循的原则:
(一)依法治企原则:风险管理应严格遵守国家法律法规及
行业政策要求,以法治为保障,完善内控基础,健全风险评估、
预警与防控机制,确保风险管理在合法合规的框架下高效运行。
(二)战略导向原则:以战略目标为核心,聚焦对战略目标
实现产生重大影响的风险,通过动态监测、分析与风险控制等综
合手段,系统提升风险防控能力,全面保障战略规划的顺利实施。
(三)全面融合原则:风险管理通过治理体系优化、制度流
程设计和文化培育,实现对经营与管理活动各环节的全覆盖,将
风险管理无缝融入日常业务、决策流程和管理行为中,推动风险
管理与业务目标同步发展。
(四)主体责任原则:风险管理应明确“谁开展业务、谁承
担风险管理”责任,各责任主体在职责范围内履行风险管理职责,
各责任主体负责人作为第一责任人,对本科室、本公司风险管理
的成效负总责,确保风险管理责任层层落实,形成横向贯通、纵
向到底的责任体系。
(五)权衡轻重原则:全面风险管理对重要业务、重大事项、
高风险领域及关键环节的风险性质、风险程度经过评估分析,平
衡管理成本和预期收益,确定风险管理优先顺序并实施管控。
—3—
(六)动态管控原则:全面风险管理注重事前预防、事中控
制、事后处置,各专业协同联动并随发展变化及时加以调整和改
进。
(七)协同保障原则:以“五位一体”法治协同保障机制为
核心,充分整合内部审计、风控、内控、法务、合规等核心职能,
通过职责分工、流程融合和信息资源共享,推动风险识别、审核
控制、整改优化等全流程高效联动,确保全面风险管理体系协调
统一,提升治理能力和管理效能。
第七条 公司全面风险管理的三道防线是在风险管理体系中
相互协作、互相支持的三层次风险管理组织及相应尽责履职状态。
各责任主体是第一道防线,承担业务发生时风险源所在第一线的
风险管理职责;各职能部门是第二道防线,组织、协调、督促第
一道防线上各单位履行风险管理职责;内审机构是第三道防线,
评估、评价风险管理体系(含内控建设)健全性及其风险管理功
能的有效性,提出改进建议。
第八条 风险管理策略是各责任主体根据内部条件和外部环
境,围绕公司发展战略和经营目标,确定经营业务或专业管理的
风险偏好、风险承受度、风险管理有效性标准,选择风险承担、
风险规避、风险转移、风险控制等风险管理工具的总体策略,并
确定风险管理所需人力和财力资源的配置原则。
第二章 管理分工
—4—
第九条 公司全面风险管理组织体系由董事会、风控管理委员
会、首席风险官、风险主管部门、各责任主体及各职能部门等构
成。
第十条 公司董事会是全面风险管理工作的最高领导和责任
机构,负责决策或授权批准公司风险管理体系方面的重大事项。
主要负责以下工作:
(一)审议并向监管部门提交公司全面风险管理年度报告;
(二)确定公司风险管理总体目标、风险偏好、风险承受度,
批准风险管理策略和重大风险解决方案;
(三)批准重大决策、重大风险、重大事件和重要业务流程
的判断标准或判断机制,以及公司风险评估报告;
(四)批准风险管理组织机构设置及其职责方案;
(五)批准风险管理措施,纠正和处理任何组织或个人超越
风险管理制度作出风险性决定的行为;
(六)督导企业风险管理文化的培育;
(七)全面风险管理其他重大事项。
第十一条 公司风控管理委员会依据董事会授权负责统筹协
调、领导公司的全面风险管理工作。
第十二条 公司风控管理委员会主要负责以下工作:
(一)指导公司全面风险管理体系建设;
(二)统筹建立、完善三道风险风控管理体系;
(三)统筹协调全面风险管理、内部控制管理工作;
—5—
(四)审议并向董事会提交公司风险管理年度工作报告;
(五)审议重大决策、重大风险、重大事件和重要业务流程
的判断标准或判断机制,审议风险管理策略、风险评估报告;
(六)审议总经理、风险主管部门提交的重大风险解决方案;
(七)审议风险主管部门提交的风险管理重要事项;
(八)办理董事会授权的有关风控管理的其他事项。
第十三条 公司首席风险官主持全面风险管理日常工作,负责
组织领导建立健全覆盖各业务领域、涵盖各责任主体全面有效的
风控体系。
第十四条 公司风险主管部门履行风险管理的日常组织协调
职能,负责建立健全和组织实施公司全面风险管理体系。主要负
责以下工作:
(一)研究提出全面风险管理年度工作报告;
(二)研究提出跨职能部门的重大决策、重大风险、重大事
件和重要业务流程的判断标准或判断机制;
(三)组织有关主体研究提出跨职能部门的重大决策风险评
估报告;
(四)组织有关主体研究提出风险管理策略和跨职能部门的
重大风险管理解决方案,并组织实施该方案,对该风险进行日常
监控;
(五)结合内审机构意见,负责对全面风险管理有效性评估,
研究提出全面风险管理的改进方案;
—6—
(六)负责牵头组织建立风险管理信息系统;
(七)负责组织协调全面风险管理日常工作;
(八)负责指导、监督有关职能部门、各分、子公司开展全
面风险管理工作;
(九)办理风险管理其他有关工作。
第十五条 公司职能部门承担全面风险管理的日常工作,负责
直接管理本部门职责范围内的相关风险,协助与配合公司风险主
管部门推进全面风险管理体系实施,并对各责任主体相关类型的
风险管理工作进行指导、服务和监督。主要负责以下工作:
(一)在本部门职责范围内执行风险管理基本流程,使风险
管理工作融入日常管理、业务工作;
(二)研究提出本部门相关的重大决策、重大风险、重大事
件和重要业务流程的判断标准或判断机制;
(三)研究提出本部门业务相关的风险评估报告;
(四)对本部门所管业务风险预警事宜进行督导;
(五)协调或参与跨职能部门风险管理的相关工作;
(六)做好本部门风险管理信息系统的建设工作;
(七)做好培育风险管理文化的有关工作;
(八)建立健全本职能部门内部控制机制;
(九)办理风险管理其他有关工作。
第十六条 各责任主体主要负责以下工作:
(一)建立健全本单位全面风险管理体系;
—7—
(二)执行、优化风险管理基本流程,持续使风险管理融入
日常业务、管理工作;
(三)研究提出本单位职责范围内重大决策、重大风险、重
大事件和重要业务流程的判断标准或判断机制;
(四)研究决策提出本单位风险评估报告;
(五)研究提出本单位风险管理策略和重大风险管理解决方
案,并负责实施该方案,对该风险进行日常监控;
(六)结合本单位特点,做好培育风险管理文化的有关工作;
(七)做好本单位建立风险管理信息系统的工作;
(八)根据公司风险主管部门与相关职能部门要求,及时完
成全面风险管理相关工作。
第三章 风险管理基本流程
第十七条 各责任主体围绕各自业务和经营实际,对各类风险
开展风险的管理并执行风险管理的基本流程,主要包括风险辨识、
风险评估、风险预警与处置、风险管理的监督和改进。
第十八条 风险辨识:围绕公司经营目标,广泛收集公司内外
部因风险失控导致损失的案例和内部与风险管理有关的信息,结
合各项经营活动、业务管理及其重要业务流程,识别其中的风险,
并就风险类别、产生原因、风险发生后可能给企业带来的影响等
方面进行分析和描述。
第十九条 风险评估:对风险发生的可能性和风险发生后对经
营目标的影响程度进行评估。根据评估结果,确定重大风险和重
—8—
要风险,排列管理优先顺序。
第二十条 风险预警与处置:根据辨识出的重大风险和评估的
重大风险,筛选出关键控制指标,进行数据收集管控,预测后续
可能发生的结果,而采取相应的措施进行提前预防,杜绝或降低
风险发生的可能性,包括风险发生后采取的应急响应程序、提出
的改进措施等。
第二十一条 风险管理的监督和改进:对风险管理初始信息、
风险评估、风险管理策略、关键控制活动及风险解决方案的实施
情况进行监督,对风险管理的有效性进行检验,提出改进建议,
并跟踪整改情况。由风险归口管理部门对风险管理工作进行自查
和检验,及时改进缺陷。
第一节 风险辨识
第二十二条 各责任主体通过建立风险清单库的方式实现对
各业务活动类型风险的管理,风险清单库应结合经营形势实现全
员、全方位、全过程、动态、常态化管控。
风险清单库至少应包含业务活动、风险点、风险等级、防控
措施及内部规章制度等。
第二十三条 风险清单库风险点的识别涵盖《企业内部控制基
本规范》及应用指引所列示,应客观、全面、及时、准确地辨识
与实现经营目标相关的内部风险和外部风险。
内部风险应关注下列因素:
(一)董事、经理及其他高级管理人员或单位负责人的职业
—9—
操守、员工专业胜任能力等人力资源因素;
(二)组织机构、经营方式、资产管理、业务流程等管理因
素;
(三)研究开发、技术投入、信息技术运用等自主创新因素;
(四)财务状况、经营成果、现金流量等财务因素;
(五)营运安全、员工健康、环境保护等安全环保因素;
(六)其他有关内部风险因素。
外部风险应关注下列因素:
(一)经济形势、产业政策、融资环境、市场竞争、资源供
给等经济因素;
(二)法律法规、监管要求等法律因素;
(三)安全稳定、文化传统、社会信用、教育水平、消费者
行为等社会因素;
(四)技术进步、工艺改进等科学技术因素;
(五)自然灾害、环境状况等自然环境因素;
(六)其他有关外部风险因素。
第二十四条 各业务主体应根据辨识出的内部和外部风险,进
行必要的筛选、提炼、对比、分类、组合,经过汇总、整理,编
制风险清单,建立健全分层分级分类的风险清单库。
第二十五条 公司对风险点水平的确定采用定量、定性或二者
结合的分析方法,综合风险发生的可能性和影响程度两个维度值
确定。
— 10 —
风险发生的可能性从一定时期发生的概率或发生次数设定评
分标准,划分为Ⅰ(低)、Ⅱ(中)、Ⅲ(高)三个级别,分别
对应风险发生的可能性为不太可能(0%~35%]、可能(35%~70%]、
很可能(70%~100%]。
风险发生在战略、公司治理、运营、财务、人员、法律、市
场、企业声誉等维度对公司造成的后果和产生的影响设定的影响
程度评分标准,划分为Ⅰ(低)、Ⅱ(中)、Ⅲ(高)三个级别,
分别对应风险影响程度为轻微(0-35]、中度(35-70]、重大(70-100]。
第二十六条 风险评价是综合风险分析结果,对所识别的风险
划分为“一般、中等、重大”三个风险水平等级,或“黄、橙、
红”三个风险预警等级,以确定是否采取进一步控制措施及形成
风险应对方案。(见附件 2:《风险水平评价标准》)
第二节 风险评估
第二十七条 公司风险评估分为年度风险评估和专项风险评
估两类。年度风险评估是指年度内对各责任主体开展的定期评估;
专项风险评估是指由公司职能部门组织的对重大决策风险、突发
风险、专业管理领域特定风险等开展的风险评估。各责任主体可
结合实际开展内部专项风险评估。
第二十八条 各分子公司应结合经营管理实际,于每年 8 月 10
日前完成本单位全面风险管理的自我评估,发现问题,提出重大、
重要风险的管理改进建议,作为持续改进和重点推进工作,纳入
本单位下一年度全面风险管理工作计划。
— 11 —
第二十九条 公司风险主管部门每年定期对各业务主体全面
风险管理情况对标评价,督导核查各单位自我评估情况,并向公
司业务归口管理部门通报年度内评估的重大风险。
第三十条 专项风险评估应结合本单位经营实际组织开展。重
大决策事项风险评估,由重大决策事项论证公司相应职能部门牵
头组织进行,研究并提出风险评估报告;突发风险事件风险评估,
由事发责任主体负责组织提出风险评估报告。(见附件 3:《风
险评估报告内容》)
第三十一条 风险评估应由公司业务归口管理部门、各业务主
体组织实施,可聘请有资质、信誉好、风险管理专业能力强的中
介机构协助实施,保证风险评估定级的准确性与权威性。
第三十二条 各业务主体应根据风险管理策略和风险评估情
况,针对各业务主体业务领域风险管理责任范围内的各类风险或
每一项重大风险,制定风险应对方案。方案一般应包括风险解决
的具体目标,所需的组织领导、管理及业务流程、条件、手段等
资源,以及风险事件发生前、中、后所采取的具体应对措施。
(一)风险应对的外包方案,应注重成本与收益的平衡、外
包工作的质量、自身商业秘密的保护以及对外包方案产生依赖性
风险等,并制定相应的控制措施。
(二)风险应对的内控方案应区分重大和一般风险作出差别
安排。对于重大风险应制定涵盖各业务和管理环节的全流程控制
措施,对其他风险应将所涉及的关键业务流程和环节作为控制点
— 12 —
制定相应的控制措施。
(三)内控措施包括但不限于以下内容:不相容职务分离控
制、授权审批控制、会计系统控制、财产保护控制、预算控制、
运营分析控制和绩效考评控制、内部审计、报告制度等。
第三十三条 各业务主体应建立重要归口业务或经营活动的
突发风险应急管理机制,通过应急演练等方式,确保突发事件得
到及时妥善处理,同时将突发风险及应急有关信息及时报告业务
归口管理部门。各项突发风险处理、应急预案制定以及执行,按
照公司有关突发事件与应急专项制度办理。
第三节 风险预警与处置
第三十四条 公司风险预警指标体系,由公司归口管理业务风
险预警指标和各责任主体风险预警指标构成,由各业务主体负责
实施。(见附件 4:《风险预警指标示例表》)
第三十五条 风险预警指标设置以风险清单库和重大重要风
险数据为基础,重点围绕战略经营目标、投资并购、资源保障、
资金管控、市场供求、合规法务、安全环保等方面,选取其中操
作性强、易量化追踪、经济实用的指标来警示风险的过程。
第三十六条 风险预警指标阈值设立是指依据历史统计数据、
国际通用标准、行业平均水平和业务实践经验等,对选定的风险
指标确定上、中、下限对应的预警阈值区间临界值,对应高度预
警、中度预警和低度预警的过程。
第三十七条 风险预警指标预警监测,是指对比实际的风险水
— 13 —
平处于上、中、下限对应的预警阈值区间情况,给予实际值红色、
黄色、蓝色标注。红色表示该风险的指标值处于高度预警状态;
黄色表示该风险的指标值处于中度预警状态;蓝色表示该风险的
指标值处于低度预警状态。
第三十八条 针对重大决策事项,根据风险评估结果,就风险
发生可能给公司和分子公司造成的损失金额大小和影响程度,分
别做出“一般、较大、重大”的风险说明和提示。
第三十九条 公司归口管理业务风险预警监测发布及处置由
本部门发布预警,并跟踪风险处置情况;公司风险主管部门对高
度预警风险处置情况进行督办和监控。
应急预案,由具体风险管理责任单位负责制定并发布。风险
防控方案是针对风险预警指标涉及的关键控制点,对风险预警信
号进行前瞻性判断,提出防范和控制风险的预防性措施,并将责
任落实到具体业务流程和环节的工作方案。
风险防控方案的制定应充分权衡风险损失成本和风险抑制成
本,风险处置的责任主体权责清晰,方案可落地操作,能切实降
低剩余风险水平,风险防控方案一经审定,必须严格执行。
风险防控方案一般应包括所需要的组织领导,所涉及的管理
及业务流程,所需要的条件、手段等资源,风险事件发生前、中、
后所采取的具体应对措施。具体应对措施应明确责任主体、具体
的岗位和人员。
风险应急预案是指为依法、迅速、科学、有序应对突发事件,
— 14 —
最大程度减少突发事件及其造成的损害而预先制定的应急管理、
指挥、救援计划等工作方案。主要根据情景模拟法制定。预案应
包括预案适用范围、监控和报告路径、组织机构和职责分工、响
应机制及内容、具体应对措施等主要内容。
风险应急预案的制定,要体现风险应对快速响应机制,各级
风险应急预案,经审定之后,一旦触发应急机制必须严格执行。
第四十一条 各业务主体按职能条块、经营范围和经营管理职
责等维度,有计划逐步建立风险监测预警机制,对处于相应预警
阈值的风险及时发布预警,并执行对应方案或应急预案。
第四十二条 风险预警指标体系实施动态管理。各业务主体根
据风险预警体系的实施效果,对预警指标进行补充完善,对阈值
范围进行调整。公司风险主管部门定期监督各责任主体风险预警
指标体系的实施情况。
第四十三条 风险预警处置工作结束后,各业务主体要对风险
发生原因、应急处置过程、应对措施的效果、剩余风险水平,以
及对今后风险管理的持续影响等情况进行综合评估和分析并填报
《风险预警监控台账》(见附件 5)。
第四节 风险管理的监督与改进
第四十四条 各业务主体应定期以重大风险、重要业务和管理
流程为重点,对风险管理的有效性进行测试、检验和评估,根据
变化情况和存在缺陷进行改进。
第四十五条 公司风险主管部门每年对各责任主体风险管理
— 15 —
体系建立、运行情况及有效性进行评测,开展综合或专项检查,
提出风险管理工作改进与提升的意见。
第四十六条 内审机构结合经营管理审计、专项审计等工作,
定期或不定期对公司内控建设工作及其工作效果进行监督评价,
出具相应监督评价报告或建议。
第四十七条 公司风险管理报告分为年度报告、专项报告和突
发风险专题报告三种。
(一)年度报告是指由公司风险主管部门对每年度全面风险
管理及重点风险监控情况形成分析报告,应在本年度第四季度完
成;
(二)专项报告是指由相关业务主体针对有关重要风险事件
的总结反思、重大决策事项的风险评估情况,重大风险预警处置,
重大风险专题调研等专项报告;
(三)突发风险专题报告是指由相关业务主体就突发性风险
事件提交的分析报告。
第四十八条 各责任主体根据公司全面风险评估及日常风险
管理要求,完成本单位风险管理报告并按要求报送公司风险主管
部门。
第四十九条 各业务主体对全面风险管理检查、审计监督评价
等过程中发现的缺陷,须从风险管理体系(含内控)角度,系统
分析其性质、产生原因和影响程度,提出整改方案并组织实施有
效整改,风险主管部门、内审机构跟进督导整改落实情况。
— 16 —
第四章 风险管理信息化与风险文化建设
第五十条 各业务主体应结合实际开展风险管理信息化工作,
建立与其风险管理需要相适应的信息沟通与报告系统,把风险管
理的控制措施和预警指标嵌入到各项管理与业务流程中。
第五十一条 各业务主体应将“分工负责、健全机制、风险预
控、融入日常”的风险防控观融入企业文化建设全过程,促进风
险管理水平、员工风险意识的提升,保障风险管理目标的实现。
第五十二条 各业务主体应将风险管理培训纳入年度培训计
划,逐步建立全体人员岗前和在岗风险管理教育培训制度,保持
教育宣传的连续性、持续性。
第五章 违规责任
第五十三条 出现下列情形之一的,公司风险主管部门应承担
相应责任:
(一)对公司全面风险管理相关制度不健全、不完善,或内
容不合法引发法律责任的,承担直接责任;
(二)对未按要求提交全面风险管理工作报告,造成较大影
响的,承担直接责任;
(三)对未及时组织、协调开展风控工作,造成事态扩大或
不良影响的,承担直接责任;
(四)对组织研究提出的方案,产生重大风险事件或重大影
响的,承担直接责任。
第五十四条 出现下列情形之一的,公司职能部门应承担相应
— 17 —
责任:
(一)明显未履行或不当履行本部门专业管理职责范围内风
险管理责任的,承担直接责任;
(二)对本专业管理职责范围内不履行风险管理责任的主体,
承担管理责任。
第五十五条 出现下列情形之一的,各责任主体承担相应责任:
(一)未建立健全本单位全面风险管理工作机制,对风险管
理体系健全和运行造成较大影响的,承担直接责任;
(二)发生重要风险事件未按要求报告,造成较大影响的,
承担直接责任;
(三)未建立健全重大风险监测预警机制,造成发生重大风
险事件应对不及时的,承担直接责任;
(四)对风险管理检查发现的问题整改不力,造成较大不利
后果的,承担直接责任;
(五)对其他未履行本制度,造成严重影响后果的承担直接
责任。
第五十六条 违反本制度规定,涉及考核、问责情形的,执行
公司考核和问责管理相关制度。
第六章 附 则
第五十七条 安全、环保、职业健康、质量、食品安全等具有
国家或行业公认的(含体系认证)的专项风险管理,与本制度规
定有冲突的,执行相应专项体系标准。
— 18 —
第五十八条 各责任主体根据本制度结合实际制定本单位全
面风险管理制度。
第五十九条 本制度自发布之日起实施,原《甘肃省敦煌种业
集团股份有限公司风险管理制度(试行)》敦煌种业字[2024]95
号同时废止。
— 19 —
首页
微信公众号
证券之星APP
