1. 目的

通过明确企业风险管理的基本原则、运作机制、主要的组织和部门及其角色、职责和权力，以构建并实施企业风险管理体系，从战略规划到执行过程中，减少风险、增加机会、提升绩效。

2. 适用范围

本政策适用于华为投资控股有限公司及其全球范围内直接或间接控制的公司，及其所属各部门、各区域、各驻外机构。

3. 风险分类、分层及应对

3.1 定义

风险：指未来的不确定性对公司实现其经营目标的影响，是企业运营中客观存在的，是在华为的战略规划、外部环境、运营模式及财务系统中识别出来的。

重大风险：是未来可能对竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。下文所提及的风险均指重大风险。

3.2 风险按照主要成因归纳成但不限于以下四种类别：

战略风险：指市场、产品和投资规划或决策等能力有限而影响整个企业中长期生存能力、竞争力、发展方向、战略目标、效益的重要风险，如竞争格局风险等。

外部风险：指外部环境风险及法律法规遵从风险，如政治和政策风险、法律和法规遵从、自然灾害等。

运营风险：指企业在运营过程中由于内部运作、人力和技术能力的有限性导致运营失败、达不到预期运营目标、造成损失的风险，如业务连续性风险等。

财务风险：是指由于多种因素的影响，导致公司资金资产损失、财务结构失衡等对公司当期或长期经营结果和声誉产生影响的风险。如客户信用风险、资本架构风险等。

3.3 风险层级：

3.3.1 企业级风险

未来可能对整个企业集团的竞争格局、声誉、财务状况和经营成果、或长远利益产生重大影响的事件，企业级风险往往跨领域（BG/SBG/区域/各责任中心）。

3.3.2 领域级风险

未来可能对某特定领域（BG/SBG/区域/各责任中心）的竞争格局、声誉、财务状况和经营成果、长远利益产生重大影响的事件。

3.3.3 风险层级调整

领域级风险当其影响程度重大、或影响范围涉及多个领域时也可能上升为企业级风险；企业级风险当其影响降低时也可能下降为领域级风险。

3.4 风险应对的主要措施有：

风险规避: 指考虑到影响预定目标达成的诸多风险因素，结合决策者自身的风险偏好和风险承受能力，做出中止、放弃某种决策方案或调整、改变某种决策方案的风险处理方式。

风险降低: 指采取措施降低风险发生的可能性或影响度，或同时降低两者。

风险转移：指将风险及其可能造成的损失全部或部分转移给他人。常见的方法包括购买保险产品、从事避险交易或外包某项业务。

风险接受：承担风险，不采取措施去干预风险发生的可能性和影响度。

4. 基本原则

4.1 风险管理是业务部门的固有职责，业务部门在获得收益的同时，需承担风险；

4.2 风险管理要与业务管理相结合，特别是在计划和决策过程中；

4.3 风险管理应当从企业整体利益出发，进行跨部门协同管理；

4.4 积极应对风险可能意味着机会，消极应对风险则可能带来损失；

4.5 风险管控的目标并不是一味地将风险降至零，而是根据风险偏好将风险控制在企业可接受范围内。

5. 实施风险管理的角色、职责和权力

董事会、财经委员会、Risk Leader、Risk Owner、企业风险管理部、各业务单元CFO是风险管理的关键角色，其职责和权利如下：

5.1 董事会

董事会作为负责企业经营和管理的最高权力机构，在风险管理中发挥重要作用，其职责如下：

5.1.1 确定高管基调，每年至少一次通过发文、联合声明、宣誓等形式强调风险管理的重要性，建立并不断完善整个企业的风险管理环境；

5.1.2 授权财经委员会负责企业重大风险和合规遵从管控并听取其汇报，必要时进行重大事项决策。

5.2 财经委员会（以下简称财委会）

在董事会授权下作为风险管理的日常决策机构，对识别和管理企业级风险、指导各领域（BG/SBG/区域/各责任中心）的风险管理负责。其主要职责如下：

5.2.1 培育企业风险管理文化；

5.2.2 确定风险管理工作战略、规划、路标；

5.2.3 审议公司风险管理的框架、政策；

5.2.4 决定企业级风险排序，审批企业风险地图及其变更；

5.2.5 审议企业级风险的风险偏好、企业所承受风险的容忍度，报董事会审批；

5.2.6 确保高层领导卷入企业级风险管理，将风险管理融入业务管理体系；

5.2.7 审议公司业务连续性的执行情况；

5.2.8 专题研究和审视、决策涉及公司重大影响的风险；

5.2.9 根据需要审批企业级风险管控的专项预算；

5.2.10 向董事会报告企业级和各领域的风险管控状况。

5.3 Risk Leader

原则上由公司高级管理者担任，财委会按企业风险地图提名，CEO任命，为跨领域企业级风险第一责任人，领导各相关部门完成该项风险管理工作，其个人绩效承诺（PBC）包含风险管理。其主要职责如下：

5.3.1 从公司整体角度，联合相关部门综合评估风险影响，分析风险根因；

5.3.2 分解企业级风险的管控责任，指定Risk Owner；

5.3.3 组建跨领域的风险管理工作组，确保风险管控的有效性；

5.3.4 决定风险管控的目标、范围及里程碑计划，并监控实施；

5.3.5 向财委会汇报该风险的管控状况，确保企业级风险被控制在可接受范围内。

5.4 Risk Owner

原则上由各领域（BG/SBG/区域/各责任中心）主管担任，是所负责领域风险管理的第一责任人，其个人绩效承诺（PBC）包含风险管理。其主要职责如下：

5.4.1 对公司获利或声誉有影响的风险承担管理责任，需要将风险控制在可接受范围内；

5.4.2 各级管理者应将风险管理与业务紧密结合，在战略规划中识别和评估风险，在业务规划中研究并执行风险管理的对策，并在日常运作中监控这些措施的有效性；

5.4.3 及时向财委会或Risk Leader汇报本领域内风险及管控状况；

5.4.4 确保本领域员工理解和正确执行风险管理策略；

5.4.5 参与年度企业风险地图制定。

5.5 企业风险管理部（ERM）

协助财委会及Risk Leader管控企业级风险，是各领域（BG/SBG/区域/各责任中心）风险管理的Partner。其主要职责如下：

5.5.1 对所监管的企业级风险管理框架、相关流程及风险管理项目进行阶段性回顾，协助财委会向董事会汇报；

5.5.2 定期汇总各领域（BG/SBG/区域/各责任中心）识别的重大风险，并进行综合评估形成初始的企业风险地图，报财委会审批；

5.5.3 协助财委会和Risk Leader履行风险管理职责，将风险管理纳入其战略及运作中，包括建立恰当的风险管理项目及对策；

5.5.4 定期评估各领域（BG/SBG/区域/各责任中心）的风险管理执行情况，监控其风险管理的有效性，并促进风险管理能力持续提升；

5.5.5 开发风险管理的统一方法、流程和运作机制；

5.5.6 接受财委会指派，组织及指导跨领域深度风险分析项目（Deep Dive），评估及制定企业级风险管控方案；

5.5.7 协助各领域风险管理团队在风险识别、评估、分析、监控、报告及指标测评中实现最佳实践；

5.5.8 通过培训、工具及业务支持等方式协助建立企业风险管理文化并提升员工对企业风险管理的理解；

5.5.9 向重大风险涉及的委员会，如战略规划委员会、人力资源委员会、审计委员会等汇报风险管理事宜。

5.6 各CFO

作为各领域风险管理的支撑主体，协助本领域Risk Owner承担日常风险管理职责。

5.6.1 CFO是财务风险管理的责任主体，同时负责推动、监控和报告业务风险管理运作情况；

5.6.2 CFO履行风险管理职责，在风险管理中扮演重要角色，是风险管理框架中的关键要素，尤其在运作质量保证、法律及合规遵从、财务及运作信息准确等方面确保企业风险管理的有效性。

6. 运作机制

6.1 企业级风险管控

6.1.1 每年度对重大风险进行包括优先级排序在内的综合评估，经财委会批准形成风险地图；

6.1.2 财委会确定企业级风险应对策略，并提名Risk Leader；

6.1.3 Risk Leader组建跨部门企业级风险管控工作组，按风险管理流程进行风险识别、综合评估和根因分析，制定应对计划并实施，持续监控并形成报告；

6.1.4 Risk Leader例行就风险管控状况向财委会报告。

6.2 风险管理嵌入SP/BP流程

在战略规划和业务规划中识别、评估、应对、监控和报告风险，在做决策时充分考虑风险因素，在执行过程中包含风险应对措施。

6.2.1 在战略规划中进行风险识别、评估并排序，定义总体管控目标和应对策略；

6.2.2 在业务规划中进行根因分析、制定风险应对措施、指定风险责任人及制定预算；

6.2.3 在规划执行和日常运营中实施风险应对措施，监控风险控制状况，定期向Risk Owner报告。

6.3 深度风险分析（Deep Dive）

深度风险分析项目适用于跨业务领域、根因复杂的企业级风险，由财委会批准立项，来源于Risk Leader申请或财委会直接指定。

6.3.1 企业风险管理部协助Risk Leader，组织相关业务部门成立深度风险分析项目组，分析风险根因，形成应对方案；

6.3.2 风险应对方案经财委会批准后，Deep Dive关闭，转正常风险管控，由Risk Leader与业务部门实施并向财委会报告。

7. 风险测评

按照风险暴露、风险管控的结果衡量各相关部门风险管理的绩效，测评指标包括但不限于风险敞口、KRI、计分卡、风险管理成熟度等等，对于直接影响财务结果的风险通常使用风险敞口来测评，对不直接影响财务结果的风险通常采用评估应对计划进展的方式测评。

7.1 风险敞口（Risk Exposure）

是指未加保护的风险，即因债务人违约行为、内部管理不善、外部遵从等导致的可能承受风险的总量。如：应收账款指当期各账期（包括未到期部分）应收账款余额总和，含本金以及在此基础上产生的利息，罚金等其他费用。

7.2 KRI（Key Risk Indicator，关键风险指标）

通过定性和定量的指标来测评风险暴露和风险应对策略的有效性。KRI由Risk Owner制定、维护和监控，且必须得到Risk

Leader和财委会的认可，应尽量利用已有指标嵌入现有的管理体系中。

7.3 风险管理计分卡

用于衡量业务部门风险管理的有效性，由企业风险管理部从以下几个方面对业务部门进行评估：1)组织结构和职责；2）在企业级风险管理中的业务参与程度；3）战略规划中的风险识别；4）业务计划中的风险规划；5）监控和问责。

7.4 风险管理成熟度