证券代码：870370        证券简称：西部重工      主办券商：光大证券

甘肃酒钢集团西部重工股份有限公司

全面风险管理制度

    本公司及董事会全体成员保证公告内容的真实、准确和完整，没有虚假 记载、误导性陈述或者重大遗漏，并对其内容的真实性、准确性和完整性承 担个别及连带法律责任。

一、 审议及表决情况

本制度经公司第六届董事会第十五次会议审议通过，无需提交股东大会审议。

二、 分章节列示制度的主要内容

目 录

    第一章 总 则

    第二章 管理分工

    第三章 风险管理基本流程

    第一节 风险辨识

    第二节 风险评估

    第三节 风险预警与处置

    第四节 风险管理的监督与改进

    第四章 风险管理信息化与风险文化建设

    第五章 违规责任

    第六章 附 则

第一章 总 则

第一条 为加强甘肃酒钢集团西部重工股份有限公司（以下简称公司）风险管理，有效防范和控制经营中可能发生或出现的风险与危机，保障公司战略规划和经营目标顺利实现，根据集团公司《酒泉钢铁（集团）有限责任公司全面风险管理制度》及相关法律法规和公司章程，制定本制度。

第二条 本制度适用于公司各职能部门、经营单元（含子公司）（以下简称各单位）的全面风险管理工作。

第三条 本制度所指风险，是指未来的不确定性对公司实现战略目标和经营目标的影响。

第四条 本制度所称全面风险管理，是指围绕公司总体战略及经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理组织和内部控制体系，从而为风险管理的总体目标提供合理保证的过程和方法。

第五条 全面风险管理目标包括：

    （一）确保将风险控制在与总体目标相适应并可承受的范围内，为实现公司经营目标和战略目标提供合理保障。

    （二）确保内外部真实、可靠的信息沟通，包括编制和提 供真实、可靠的财务报告。

    （三）确保遵守有关法律法规、相关监管要求，确保公司有关规章制度和为实现经营目标而采取重大措施的贯彻执行。

    （四）确保公司建立重大风险发生后的应急处理机制，保护 公司不因灾害性风险或人为失误而遭受重大损失。

第六条 全面风险管理遵循的基本原则

    （一）依法治企原则：风险管理应严格遵守国家法律法规及行业政策要求，以法治为保障，完善内控基础，健全风险评估、预警与防控机制，确保风险管理在合法合规的框架下高效运行。

    （二）战略导向原则：以战略目标为核心，聚焦对战略目标实现产生重大影响的风险，通过动态监测、分析与风险控制等综合手段，系统提升风险防控能力，全面保障战略规划的顺利实施。

    （三）全面融合原则：风险管理通过治理体系优化、制度流程设计和文化培育，实现对经营与管理活动各环节的全覆盖，将风险管理无缝融入日常业务、决策流程和管理行为中，推动风险管理与业务目标同步发展。

    （四）主体责任原则：风险管理应明确“谁开展业务、谁承担风险管理”责任，各单位在职责范围内履行风险管理职责，各单位负责人作为第一责任人，对本单位风险管理的成效负总责，确保风险管理责任层层落实，形成横向贯通、纵向到底的责任体系。

    （五）权衡轻重原则：全面风险管理对重要业务、重大事项、高风险领域及关键环节的风险性质、风险程度经过评估分析，平衡管理成本和预期收益，确定风险管理优先顺序并实施管控。

    （六）动态管控原则：全面风险管理注重事前预防、事中控制、事后处置，各专业协同联动并随发展变化及时加以调整和改进。

    （七）协同保障原则：以“五位一体”法治协同保障机制为核心，充分整合内部审计、风控、法务、内控、合规等核心职能，通过职责分工、流程融合和信息资源共享，推动风险识别、审核控制、整改优化等全流程高效联动，确保全面风险管理体系协调统一，提升治理能力和管理效能。

第七条 公司全面风险管理的三道防线是在风险管理体系中相互协作、互相支持的三层次风险管理组织及相应尽责履职状态。

    （一）各经营单元、子公司是第一道防线，承担业务发生时风险源所在第一线的风险管理职责。

    （二） 各职能部门是第二道防线，组织、协调、督促第一道防线上各单位履行风险管理职责。

    （三） 内审机构是第三道防线，评估、评价风险管理体系（含内控建设）健全性及其风险管理功能的有效性，提出改进建议。

第八条 风险管理策略是各单位根据内部条件和外部环境，围绕公司发展战略和经营目标，（更多内容可关注公众号CIA内审师小站）确定经营业务或专业管理的风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险控制等风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。

第二章 管理分工

第九条 公司风险管理组织体系由董事会、风控管理委员会、首席风险官、风险主管部门、职能部门与各经营单元、子公司构成。子公司设置首席风险官，由主要负责人兼任。

第十条 公司董事会是全面风险管理工作的最高领导和责任机构，负责决策或授权批准公司风险管理体系方面的重大事项。主要负责以下工作：

    （一）审议并向监管部门提交公司全面风险管理年度报告；

    （二）确定公司风险管理总体目标、风险偏好、风险承受度， 批准风险管理策略和重大风险解决方案；

    （三）批准公司重大决策、重大风险、重大事件和重要业务 流程的判断标准或判断机制，以及公司重大风险评估

    （四）批准风险管理组织机构设置及其职责方案；

    （五）批准风险管理措施，纠正和处理任何组织或个人超越 风险管理制度作出风险性决定的行为；

    （六）督导公司风险管理文化的培育；

    （七）全面风险管理其他重大事项。

第十一条 公司风控管理委员会由主任委员、首席风险官、副主任委员和单位委员构成，依据董事会授权负责统筹协调、领导公司的全面风险管理工作。公司第一责任人兼任首席风险官，也可另行聘任其他经营班子成员兼任首席风险官。公司风控管理委员会主要负责以下工作：

    （一）指导公司全面风险管理体系建设；

    （二）统筹建立、完善三道风险风控管理体系；

    （三）统筹协调全面风险管理及内部控制管理工作；

    （四）审议并向董事会提交公司风险管理工作报告；

    （五）审议重大决策、重大风险、重大事件和重要业务流程 的判断标准或判断机制，审议重大风险管理策略、风险评估报告；

    （六）审议总经理、风险管理部门提交的重大风险解决方案；

    （七）审议风险管理部门提交的风险管理重要事项；

    （八）办理董事会授权的有关风控管理的其他事项。

第十二条 公司首席风险官主持全面风险管理日常工主体全面有效的风控体系。

第十三条 公司风险主管部门承担风险管理日常工作的组织 协调，主要负责以下工作：

    （一）研究提出全面风险管理年度工作报告；

    （二）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

    （三）组织有关主体研究提出跨职能部门的重大决策风险评估报告；

    （四）组织有关主体研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并组织实施该方案，对该风险进行日常监控；

    （五）结合内审机构意见，负责对全面风险管理有效性评估， 研究提出全面风险管理的改进方案；

    （六）负责牵头组织建立风险管理信息系统；

    （七）负责组织协调全面风险管理日常工作；

    （八）负责指导、监督有关职能部门、各单位开展全面风险管理工作；

    （九）办理风险管理其他有关工作。

第十四条 各职能部门承担全面风险管理的日常工作，负责直接管理本部门职责范围内的相关风险，协助与配合风险主管部门推进全面风险管理体系实施，并对各经营单元与子公司相关类型的风险管理工作进行指导、服务和监督。主要负责以下工作：

    （一）在职责范围内执行风险管理基本流程，使风险管理工作融入日常管理、业务工作；

    （二）研究提出本部门相关的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

    （三）研究提出本部门业务相关的风险评估报告；

    （四）对本部门所管业务风险预警事宜进行督导；

    （五）协调或参与跨职能部门风险管理的相关工作；

    （六）做好本部门风险管理信息系统的建设工作；

    （七）做好培育风险管理文化的有关工作；

    （八）建立健全本部门内部控制机制；

    （九）办理风险管理其他有关工作。

第十五条 经营单元和子公司主要负责以下工作：

    （一）执行全面风险管理体系要求，接受公司风险管理部门和相关职能部门的组织、协调、指导和监督；

    （二）执行、优化风险管理基本流程，持续使风险管理融入日常业务、管理工作；

    （三）研究提出本单位职责范围内重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

    （四）研究决策提出本单位风险评估报告；

    （五）研究提出本单位风险管理策略和重大风险管理解决方案，并负责实施该方案，对该风险进行日常监控；

    （六） 结合本单位特点，做好培育风险管理文化的有关工作；

    （七）做好本单位建立风险管理信息系统的工作；

    （八）根据风险主管部门与相关职能部门要求，及时完成全面风险管理相关工作。

第三章 风险管理基本流程

第十六条 各单位围绕各自业务和经营实际，对各类风险开展风险的管理并执行风险管理的基本流程，主要包括风险辨识、风险评估、风险预警与处置、风险管理的监督和改进。

第十七条 风险辨识：围绕公司经营目标，广泛收集公司内外部因风险失控导致损失的案例和内部与风险管理有关的信息，结合各项经营活动、业务管理及其重要业务流程，识别其中的风险，并就风险类别、产生原因、风险发生后可能给企业带来的影响等方面进行分析和描述。

第十八条 风险评估：对风险发生的可能性和风险发生后对经营目标的影响程度进行评估。根据评估结果，确定重大风险和重要风险，排列管理优先顺序。

第十九条 风险预警与处置：根据辨识出的重大风险和评估的重大风险，筛选出关键控制指标，进行数据收集管控，预测后续可能发生的结果，而采取相应的措施进行提前预防，杜绝或降低风险发生的可能性，包括风险发生后采取的应急响应程序、提出的改进措施等。

第二十条 风险管理的监督和改进：对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险解决方案的实施 情况进行监督，对风险管理的有效性进行检验，提出改进建议， 并跟踪整改情况。由风险归口管理部门对风险管理工作进行自查 和检验，及时改进缺陷。

 第一节 风险辨识

第二十一条 各单位通过建立风险清单库的方式实现对各业务活动类型风险的管理，风险清单库应结合经营形势实现全员、全方位、全过程、动态、常态化管控。

风险清单库至少应包含业务活动、风险点、风险等级、防控措施及内部规章制度等。

第二十二条 风险清单库风险点的识别涵盖《企业内部控制基本规范》及应用指引所列示，应客观、全面、及时、准确地辨识与实现经营目标相关的内部风险和外部风险。

内部风险应关注下列因素：

    （一）董事、经理及其他高级管理人员或单位负责人的职业操守、员工专业胜任能力等人力资源因素（二）组织机构、经营方式、资产管理、业务流程等管理因素；

    （三）研究开发、技术投入、信息技术运用等自主创新因素；

    （四）财务状况、经营成果、现金流量等财务因素；

    （五）营运安全、员工健康、环境保护等安全环保因素；

    （六）其他有关内部风险因素。

外部风险应关注下列因素：

    （一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；

    （二）法律法规、监管要求等法律因素；

    （三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；

    （四）技术进步、工艺改进等科学技术因素；

    （五）自然灾害、环境状况等自然环境因素；

    （六）其他有关外部风险因素。

第二十三条 各单位应根据辨识出的内部和外部风险，进行必要的筛选、提炼、对比、分类、组合，经过汇总、整理，编制风险清单，建立健全分层分级分类的风险清单库。

第二十四条 公司对风险点水平的确定采用定量、定性或二者结合的分析方法，综合风险发生的可能性和影响程度两个维度值确定。

风险发生的可能性从一定时期发生的概率或发生次数设定评分标准，划分为Ⅰ（低）、Ⅱ（中）、Ⅲ（高）三个级别，分别对应风险发生的可能性为不太可能（0%～35%]、可能（35%～70%]、很可能（70%～100%]。

风险发生在战略、公司治理、运营、财务、人员、法律、市场、企业声誉等维度对公司造成的后果和产生的影响设定的影响程度评分标准，划分为Ⅰ（低）、Ⅱ（中）、Ⅲ（高）三个级别，分别对应风险影响程度为轻微（0-35] 、中度（35-70]、重大（70-100]。

第二十五条 风险评价是综合风险分析结果，对所识别的风险划分为“一般、较大、重大”三个风险水平等级，或“黄、橙、红”三个风险预警等级，以确定是否采取进一步控制措施及形成风险应对方案。（见附件《风险水平评价标准》）

第二节 风险评估

第二十六条 公司风险评估分为年度风险评估和专项风险评估两类。年度风险评估是指风险主管部门年度内对各单位及公司风险现状开展的定期评估；专项风险评估是指由职能部门组织的对重大决策风险、突发风险、专业管理领域特定风险等开展的风险评估。各单位可结合实际开展内部专项风险评估。

第二十七条 各单位结合经营管理实际开展对标评价，并于每年 8 月 30 日前完成公司全面风险管理的自我评估，发现问题，提出重大、重要风险的管理改进建议，作为下一年持续改进和重点推进工作计划。

第二十八条 风险主管部门按季度对各单位进行对标评价，督导核查各单位自我评估情况，并向职能部门通报评价结果。每年对成员单位风险管理体系建立、运行情况及有效性进行评测，提出风险管理工作改进与提升的意见。

第二十九条 专项风险评估应结合公司经营实际组织开展。重大决策事项风险评估，由重大决策事项对应职能部门牵头组织进行，研究并提出风险评估报告；突发风险事件风险评估，由事发责任主体负责组织提出风险评估报告。（见附件《风险评估报告内容》）

第三十条 风险评估应由对应业务职能部门或子公司组织实施，可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施，保证风险评估定级的准确性与权威性。

第三十一条 各单位应根据风险管理策略和风险评估情况，针对本单位风险管理责任范围内的各类风险或每一项重大风险，制定风险应对方案。方案一般应包括风险解决的具体目标，所需的组织领导、管理及业务流程、条件、手段等资源，以及风险事件发生前、中、后所采取的具体应对措施。

    （一）风险应对的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及对外包方案产生依赖性风险等，并制定相应的控制措施。

    （二）风险应对的内控方案应区分重大和一般风险作出差别安排。对于重大风险应制定涵盖各业务和管理环节的全流程控制措施，对其他风险应将所涉及的关键业务流程和环节作为控制点制定相应的控制措施。

    （三）内控措施包括但不限于以下内容：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制、内部审计、报告制度等。

第三十二条 公司建立重要归口业务或经营活动的突发风险应急管理机制，通过应急演练等方式，确保突发事件得到及时妥善处理，同时将突发风险及应急有关信息及时报告业务归口管理部门。各项突发风险处理、应急预案制定以及执行，按照公司应急专项制度办理。

第三节 风险预警与处置

第三十三条 风险预警指标体系，由职能部门重点管控指标及经营单元风险预警指标构成，日常指标运行由各单位自行实施。（见附件《风险预警指标示例表》）

第三十四条 风险预警指标设置以风险清单库和重大重要风险数据为基础，重点围绕战略经营目标、投资并购、资源保障、资金管控、市场供求、合规法务、安全环保等方面，选取其中操作性强、易量化追踪、经济实用的指标来警示风险的过程。

第三十五条 风险预警指标阈值设立是指依据历史统计数据、国际通用标准、行业平均水平和业务实践经验等，对选定的风险指标确定上、中、下限对应的预警阈值区间临界值，对应高度预警、中度预警和低度预警的过程。

第三十六条 风险预警指标预警监测，是指对比实际的风险水平处于上、中、下限对应的预警阈值区间情况，给予实际值红色、黄色、蓝色标注。红色表示该风险的指标值处于高度预警状态；黄色表示该风险的指标值处于中度预警状态；蓝色表示该风险的指标值处于低度预警状态。

第三十七条 针对重大决策事项，根据风险评估结果，就风险发生可能给公司和经营单元造成的损失金额大小和影响程度，分别做出“一般、较大、重大”的风险说明和提示。

第三十八条 职能部门风险预警监测发布及处置由本部门发布预警，并跟踪风险处置情况；风险主管部门对高度预警风险处置情况进行督办和监控。

第三十九条 风险预警处置措施包括风险防控方案和风险应急预案，由具体业务职能部室负责制定并发布。

风险防控方案是针对风险预警指标涉及的关键控制点，对风险预警信号进行前瞻性判断，提出防范和控制风险的预防性措施，并将责任落实到具体业务流程和环节的工作方案。

风险防控方案的制定应充分权衡风险损失成本和风险抑制成本，制定风险处置措施应主体权责清晰，方案可落地操作，能切实降低剩余风险水平，严格执行审定的风险防控方案。

风险防控方案一般应包括所需要的组织领导，所涉及的管理及业务流程，所需要的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施。具体应对措施应明确责任主体、具体的岗位和人员。

风险应急预案是指为依法、迅速、科学、有序应对突发事件，最大程度减少突发事件及其造成的损害而预先制定的应急管理、指挥、救援计划等工作方案。主要根据情景模拟法制定。预案应包括预案适用范围、监控和报告路径、组织机构和职责分工、响应机制及内容、具体应对措施等主要内容。

风险应急预案的制定，要体现风险应对快速响应机制，各级风险应急预案，经审定之后，一旦触发应急机制必须严格执行。

第四十条 各单位应按职能条块、业务范围和管理职责等维度，有计划逐步建立风险监测预警机制，对处于相应预警阈值的风险及时发布预警，并执行对应方案或应急预案。

第四十一条 风险预警指标体系实施动态管理。各单位根据风险预警体系的实施效果，对预警指标进行补充完善，对阈值范围进行调整。风险主管部门定期监督各单位风险预警指标体系的实施情况。

第四十二条 风险预警处置工作结束后，各单位要对风险发生原因、应急处置过程、应对措施的效果、剩余风险水平，以及对今后风险管理的持续影响等情况进行综合评估和分析并填报（见附件《风险预警监控台账》）。

第四节 风险管理的监督与改进

第四十三条 各单位应定期以重大风险、重要业务和管理流程为重点，对风险管理的有效性进行测试、检验和评估，根据变化情况和存在缺陷进行改进。

第四十四条 内审机构结合经营管理审计、专项审计等工作，对公司内控建设工作及其工作效果进行监督评价，出具相应监督评价报告或建议。

第四十五条 公司风险管理报告分为年度报告、专项报告和突发风险专题报告三种。

    （一）年度报告是指由风险主管部门每年度对全面风险管理及重点风险监控情况形成分析报告，应在本年度第四季度完成；

    （二）专项报告是指针对有关重要风险事件的总结反思、重大决策事项的风险评估情况，重大风险预警处置，重大风险专题调研等专项报告；

    （三）突发风险专题报告是指就突发性风险事件提交的分析报告。

第四十六条 各单位根据公司全面风险评估及日常风险管理要求，完成本单位风险管理报告，风险主管部门按要求统一报送集团公司风险主管部门。

第四十七条 各单位对全面风险管理检查、审计监督评价等过程中发现的缺陷，须从风险管理体系（含内控）角度，系统分析其性质、产生原因和影响程度，提出整改方案并组织实施有效整改，风险主管部门、内审机构跟进督导整改落实情况。

第四章 风险管理信息化与风险文化建设

第四十八条 各单位应结合实际开展风险管理信息化工作，建立与其风险管理需要相适应的信息沟通与报告系统，把风险管理的控制措施和预警指标嵌入到各项管理与业务流程中。

第四十九条 各单位应将“分工负责、健全机制、风险预控、融入日常”的风险防控观融入企业文化建设全过程，促进风险管理水平、员工风险意识的提升，保障风险管理目标的实现。

第五十条 各单位应将风险管理培训纳入年度培训计划，逐步建立全体人员岗前和在岗风险管理教育培训制度，保持教育宣传的连续性、持续性。

第五章 违规责任

第五十一条 出现下列情形之一的，风险管理部门应承担相应责任：

    （一）对公司全面风险管理相关制度不健全、不完善，或内容不合法引发法律责任，承担直接责任；

    （二）对未按要求提交全面风险管理工作报告，造成较大影响的承担直接责任；

    （三）对未及时组织、协调开展风控工作，造成事态扩大或不良影响的承担直接责任；

    （四）对组织研究提出的方案，产生重大风险事件或重大影响的承担直接责任。

第五十二条 出现下列情形之一的，各职能部门承担相应责任：

    （一）明显未履行或不当履行本部门专业管理职责范围内风险管理责任的情形承担直接责任；

    （二）对本专业管理职责范围内不履行风险管理责任的主体承担管理责任。

第五十三条 出现下列情形之一的，经营单元承担相应责任：

    （一）未建立健全本单位全面风险管理工作机制，对风险管理体系健全和运行造成较大影响承担直接责任；

    （二）发生重要风险事件未按要求报告造成较大影响的承担直接责任；

    （三）未建立健全重大风险监测预警机制，造成发生重大风险事件应对不及时承担直接责任；

    （四）对风险管理检查发现的问题整改不力，造成较大不利后果的承担直接责任；

    （五）对其他未履行本制度，造成严重影响后果的承担直接责任。

第五十四条 风险管理工作纳入公司绩效考核管理体系，按 照公司年度绩效考核管理相应内容和指标进行。

第五十五条 违反本制度，涉及考核、问责情形的，执行公司考核和问责管理相关制度。

第六章 附 则

第五十六条 安全、环保、职业健康、质量、食品安全等具有国家或行业公认的（含体系认证）的专项风险管理，与本制度规定有冲突的，执行相应专项体系标准。

第五十七条 子公司可根据本制度结合实际制定本单位风险管理的具体办法。

第五十八条 本制度自发布之日起实施，原《甘肃酒钢集团西部重工股份有限公司全面风险管理制度》西重发制〔2023〕74 号；《甘肃酒钢集团西部重工股份有限公司风险预警处置管理办法》西重发制〔2022〕80 号；《甘肃酒钢集团西部重工股份有限公司风险评估管理办法》西重发制〔2021〕248 号；《甘肃酒钢集团西部重工股份有限公司全面风险防控专项检查评价办法》西重发制〔2021〕163 号，同时废止。

                          甘肃酒钢集团西部重工股份有限公司

       董事会

  2025 年 6 月 10 日