华鑫股份(600621)_公司公告_华鑫股份：全面风险管理制度(2025年修订)_公司公告

华鑫股份：全面风险管理制度(2025年修订)（下载公告）
公告日期:2025-08-30
上海华鑫股份有限公司全面风险管理制度第一章总则第一条为建立健全上海华鑫股份有限公司（以下简称“公司”）全面风险管理体系，强化核心竞争力，实现创新发展与风险管理的动态平衡，保障企业持续、健康、稳定发展，根据《中央企业全面风险管理指引》、《企业国有资产监督管理暂行条例》等有关法律法规及规章制度，结合公司实际，制订本制度。第二条公司是风险管理的主导者，风险管理应与自身发展战略、资产规模、经营目标、业务范围和风险状况等相适应，应与当前行业发展实际水平相适应。第三条本制度中所称“风险”，是指在公司发展过程中，各种未来的不确定性对公司实现战略及经营目标的影响。第四条本制度中所称“全面风险管理”，是指公司围绕战略和总体经营目标，通过在管理的各环节和经营过程中执行风险管理基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，为实现风险管理的总体目标提供合理保证的过程和方法。第五条全面风险管理的基本流程主要包括以下内容：（一）收集风险管理初始信息；（二）进行风险评估；（三）制定风险管理策略；（四）制定和实施风险管理解决方案；（五）风险管理的监督与改进。第六条公司各部门应根据风险管理的基本流程，逐步健全和完善本部门的相关制度，把风险管理手段和内控程序融入到现有工作流程中，控制公司层面和各项业务中的风险。第二章组织架构与职责分工第七条公司对风险管理实行统一领导、分级负责、专业监督与全员参与相结合的组织体系和管理架构，明确风险管理的责任归属，建立与业务性质、规模和复杂程度相适应的风险管理体系，并综合管理各类风险以及公司整体风险。第八条全面风险管理组织体系包括董事会（包含董事会下设审计委员会）、经理层、风险管理部门及公司其他部门。第九条公司董事会（包含董事会下设审计委员会）是公司风险管理工作领导机构，对公司全面风险管理工作的有效性负最终领导责任。董事会（包含董事会下设审计委员会）的主要职责包括：（一）审定公司风险管理组织机构设置及其职责方案；（二）批准公司风险管理基本制度；（三）审定公司年度风险管理报告；（四）对公司层面的风险管理重大事项进行决策；（五）督导公司风险文化的培育工作；（六）有关全面风险管理的其他重大事项。第十条公司总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。第十一条公司风险管理部门为公司风险管理工作的主管部门，负责风险管理体系的建设和整体运转，负责公司风险管理工作的组织协调，为公司重大风险管理决策提供专业意见。风险管理部门对总经理或其委托的高级管理人员负责，其主要职责为：（一）拟订公司风险管理相关制度并监督落实；（二）组织开展公司年度风险评估，对各部门开展的专项业务风险评估提供指导和支持；（三）根据风险分析的结果，组织并协助相关部门制定重大风险管理解决方案；（四）拟订公司年度风险管理报告；（五）组织开展全面风险管理日常工作；（六）定期组织开展重大风险排查；（七）制定企业风险管理文化培育与宣贯工作计划或方案，组织风险管理培训；（八）负责指导、监督各部门以及全资、控股子企业开展全面风险管理工作；（九）完成公司交办的其他风险管理相关工作。第十二条公司其他部门负责具体风险的管理，在全面风险管理工作中接受风险管理部门的组织、协调、指导和考核。主要风险管理职责如下：（一）对主导管理的重大风险，根据需要组织开展专项评估，负责组织制订具体的管理解决方案，对管理解决方案的执行情况和风险变化情况进行监控，并将监控信息及时反馈给风险管理部门；（二）对协助管理的重大风险，协助、支持主导管理部门开展风险评估、管理解决方案制订及日常的风险监控工作，根据需要及时将相关信息报送给主导管理部门和风险管理部门；（三）参与公司年度风险评估工作，包括对风险的分析和评价；（四）健全和完善本部门管理职责范围内的具体风险管理办法或制度细则；（五）协助开展风险管理系统的建设和维护工作，包括风险信息的及时录入和更新；（六）做好本部门的风险管理文化培育工作。第十三条公司各部门负责人为本部门风险管理负责人，其风险管理职责包括：（一）根据内控需要组织制定和完善本部门相关的风险管理办法；（二）审查本部门管理职责内的重大风险管理解决方案的合理性与完备性；（三）审阅本部门风险管理报告，及时了解管理责任范围内的风险信息；（四）对部门风险管理重大事项进行决策。第十四条各部门应指定专门的风险管理协调人，负责与风险管理部门的对接。风险管理协调人由本部门负责人指定，报风险管理部门备案。风险管理协调人负责本部门风险管理工作的协调和推进，主要职责包括：（一）协调、推进本部门内部各项风险管理活动的开展；（二）针对本部门管理职责内的重大风险，提出应对建议并拟订管理解决方案；（三）汇总本部门的风险监控信息，拟订本部门的风险管理报告；（四）负责权限范围内的风险管理系统维护工作，包括数据的录入等；（五）完成领导交办的其他风险管理相关工作。第三章风险类别和风险等级指标第十五条按风险类型分类，公司面临的风险主要包括：市场风险、信用风险、流动性风险、操作风险、其他风险等。（一）市场风险是指由于市场价格、利率或汇率的变动等对公司资产价值所产生的影响。（二）信用风险是指因债务人或交易对手方未能履行约定契约中的义务而产生损失的风险。主要包括对手方违约风险、结算风险等。（三）流动性风险是指由于无法以合理的成本及时获得资金以对应资产增长或支付到期义务而产生的风险。流动性风险可分为融资流动性风险和市场流动性风险。（四）操作风险是指由于不完善或者有问题的内部操作流程、人员、系统或者外部事件导致公司遭受损失的风险。发生操作风险的主要原因有： 1.流程：在某项交易过程中，因流程不完善或失效而导致损失的风险。 2.人员：由于员工有意或无意的行为造成损失的风险（包括违反合同职责、内部犯罪行为、职责分离不当、员工缺乏经验、工作疏忽等）。 3.系统：技术或内部系统瘫痪或出现问题导致损失的风险。 4.外部事件：外部事件（例如自然灾害、停电、第三方执行不力等）导致损失的风险。（五）其他风险。主要包括政策性风险、经营风险、合规风险、洗钱风险、法律风险、声誉风险等。政策性风险是指由于所处市场环境变化、国家政策变化、监管政策变化而引发的风险。经营风险是指由于战略选择、业务规模、产品定价、销售手段等经营决策引起的未来收益不确定而造成的风险。合规风险是指因公司或其工作人员的经营管理或执业行为违反法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度，以及行业普遍遵守的职业道德和行为准则而使公司被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失或商业信誉损失的风险。洗钱风险是指公司现有制度和流程可能无法及时发现洗钱及其他不正当活动，各项业务平台可能被不法分子利用进行洗钱或进行其他违法行为，公司被人民银行等金融监管机构处罚的风险，并对公司的声誉造成不良影响。法律风险是指在经营中不懂法律规则、疏于法律审查、逃避法律监管所造成的经济纠纷和涉诉而产生的潜在或已发生的重大经济损失的风险。声誉风险是指由于社会评价降低而对公司造成危险和损失的可能性。战略风险是指公司因重大决策（如兼并与收购、产品定价、市场进入和退出、新产品开发等）失误而导致损失的风险。信息披露风险是指由于信息披露的内容及披露程序违规而被相关管理部门处罚或者被利益攸关方诉讼的可能性。第十六条公司根据风险事件可能造成的损失和对公司的影响程度进行风险分级，分级如下：（一）一级（一般）：风险事件造成公司资产一般损失，一般资产损失是指单笔资产损失在500万元以下（以下均不含本数，下同）或相当于损失发生企业上年末资产总额（单体报表口径，下同）5%以下（孰低，下同），或造成一定不良后果的；（二）二级（较大）：风险事件造成公司资产较大损失，较大资产损失是指单笔资产损失在500万元以上（以上均含本数，下同）、5000万元以下，或相当于损失发生企业上年末资产总额5%以上、10%以下，或造成较大不良后果的；（三）三级（重大）：风险事件造成公司资产重大损失，重大资产损失是指单笔资产损失在5000万元以上或相当于损失发生企业上年末资产总额10%以上，或造成严重不良后果的。第四章公司风险管理流程第一节风险评估第十七条公司应定期分析所处的内外部风险环境，并对公司整体所面临的重大风险进行评估。各部门也应围绕自身的管理活动和经营目标，对可能存在的风险因素进行识别和评价。在制定重大决策前，必须对风险因素进行充分分析和客观评价。第十八条各部门应持续关注并收集与公司战略发展、生产运营相关的各类风险信息。（一）战略风险方面应关注并收集下列重要信息： 1.宏观经济情况及行业政策的变化情况； 2.国际局势、相关区域的地缘政治因素； 3.行业竞争形势、主要竞争对手及战略合作伙伴的情况； 4.前沿技术的发展动态及公司技术更新和生产力发展情况； 5.公司与对标企业的竞争优劣势比较； 6.公司战略规划、经营计划及重大投资的执行情况、经验总结及问题分析； 7.公司的业务布局、不同区域/项目/业务的收益比例、整体业务接替情况。（二）运营风险方面应关注并收集下列重要信息： 1.国际市场的价格走势、重要设备及服务的市场供应和价格变化； 2.公司的组织效能、管理现状、人员保障情况； 3.公司的内控失效事件、违规事件及以上事件处理情况； 4.与运营相关的管理机构、相关政策和操作惯例。（三）财务风险方面应关注并收集下列重要信息： 1.我国货币政策、税收政策及投资管理政策的变化，包括汇率、利率、税种、税率的变化等； 2.国际会计准则、国内会计准则及会计核算方法； 3.资本市场的合规要求； 4.公司的财务结构、资本成本、偿债能力、现金流及投资收益情况； 5.项目的当期收益和持续盈利能力、投资回收情况、成本控制情况。（四）法律风险方面应关注并收集下列重要信息： 1.我国相关重大法律法规变化； 2.公司重大法律纠纷、重大诉讼案件； 3.公司重要合同和协议的订立、执行情况。第十九条各部门在日常工作中，应指定专人持续对与本部门风险管理相关的内外部信息进行收集，包括历史数据和未来预测，并进行整理和记录。各部门应自发地对各类风险信息进行评估。对于本部门管理职责范围内，可能造成较大影响的风险事件，需要制定具体的风险管理解决方案，并由部门负责人督导执行。第二十条各部门应将日常管理工作中发现的风险事件以部门风险管理报告的形式按月报送风险管理部门。报告中应包括对风险事件的描述、对风险影响的分析、本部门拟采取的应对措施，以及其他部门协同管理的建议。第二十一条风险管理部门应对各部门报送的风险信息进行统一的筛选、提炼和规范管理，通过其专业分析和判断，对公司层面的重大风险进行提示，并根据需要组织相关部门制定具体管理解决方案。第二十二条风险管理部门每年组织开展一次公司层面的风险评估工作，负责整理公司重大风险事件列表，制定风险评价的统一标准，并根据事件的来源、影响范围、管理需要等特点，确定参与评估的范围，相关部门应按照要求参与风险评估。部门负责人负责督导本部门的风险评估工作，确保评价信息的独立、客观、全面。第二十三条风险管理部门负责汇总各部门的评估信息，通过对各类风险的综合分析，形成评估结论，确定公司的重大风险。第二十四条风险管理部门根据自身的专业经验，根据评估出的重大风险确定管理重点，落实各部门的管理责任，并对需要协同管理的重大风险，组织研究制定管理解决方案。第二十五条公司应根据需要对重要业务活动和重大决策开展专项风险评估，加强对风险因素的分析评价，并体现为正式的报告内容。第二十六条针对重要业务活动和重大决策的专项风险评估，由主导管理部门组织开展，风险管理部门提供必要的协助并提供专业意见。第二节风险管理策略制定及实施第二十七条风险管理策略是指公司根据内外部环境及发展战略所确定的公司全面风险管理总体策略，包括：公司风险偏好、关键风险指标及其警戒值、公司针对当前重大风险的总体应对策略（即风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等），以及风险管理资源的配置原则。第二十八条风险管理部门应根据公司年度风险评估的结果和公司的发展战略，研究制定或调整公司的风险管理策略。各部门在开展风险管理和业务活动时，必须遵循风险管理策略的要求，注意本部门管理职责范围内的关键风险指标是否被控制在警戒值之内，并按要求定期报告指标的变化情况。第二十九条各部门应当根据公司风险管理策略，结合本部门当年评估出的风险和年度工作计划，制定或修订具体的风险管理解决方案，报风险管理部门备案，并组织实施。风险管理解决方案应包括具体风险的管理控制目标、相关岗位的管理责任分工、针对该风险的具体应对措施。第三十条风险管理部门负责对各部门提出的风险管理解决方案进行整理汇总，提出补充或调整的意见，或跨部门的风险应对建议，反馈给相关部门。第三十一条各部门负责人作为本部门风险管理第一责任人，负责组织实施风险管理解决方案。各部门应将风险控制责任落实到具体岗位，各部门风险管理协调人协助推动方案实施，并负责跟踪其执行情况。第三节风险监控第三十二条公司对重大风险实行持续监控和报告。各部门是风险监控的责任主体，根据公司风险监控报告的要求，对其管理的相关风险进行持续的日常监控，以部门风险管理报告的形式定期报送风险管理部门。第三十三条各部门在开展风险监控时需对以下风险信息予以持续关注：（一）本部门新出现的风险或原有风险的重大变化；（二）既定风险管理解决方案的执行情况及执行效果；（三）关键风险指标的变化情况。各部门应对风险监控结果进行分析评价，包括风险变化的原因、潜在影响、变化趋势以及对跨部门风险管理解决方案的调整建议等。部门风险管理报告中应包括监控结果和分析评价结果。如果各部门负责监控的风险没有明确的风险指标，则各部门可在报告中以定性分析的形式对风险变化情况加以描述。第四节突发重大风险事件应对处置机制第三十四条公司各部门在日常风险监控中，如发生重大突发事件或达到风险预警条件，如关键风险指标发生超出警戒值的异常变化时，应立即向风险管理部门和相关部门提出风险预警。如果公司已经制定了类似事件的应急预案，则同时按应急预案采取相应的应对措施。第三十五条风险管理部门在接到其他部门的风险预警后，如公司未制定类似事件的应急预案，应及时组织相关部门评价该突发事件的影响，并研究制定风险应急方案。对于评估后确认可能对公司造成重大影响的风险，以及需要跨部门协作应对的重大事项，应共同讨论完善风险应急方案，经总经理办公会审议后组织落实。第三十六条负责突发事件应对的各责任部门应及时向风险管理部门反馈事件处理情况，并在部门风险管理报告中说明事件的处理结果。风险管理部门负责跟踪评价应急方案的执行情况和实施效果，并提供必要的技术支持。第三十七条风险管理部门负责对突发风险事件及其处理过程的相关信息进行归档，组织相关部门总结经验，制定完善类似风险事件的风险管理解决方案。第五章风险管理系统和数据第三十八条公司将结合信息化建设总体规划和工作安排，根据需要逐步将信息技术应用于全面风险管理的各项工作中，建立涵盖风险管理基本流程和内部控制需要的风险管理系统，满足风险管理信息的采集、存储、加工、分析、测试、传递、报告、披露等要求。第三十九条风险管理系统应当充分利用已有管理系统的数据采集、存储、加工、分析、传递、报告等功能，结合风险管理需求，实现以下功能：（一）风险历史数据和管理经验的积累和共享；（二）对当前风险的实时辨识和定量分析，动态反映公司的风险情况；（三）对重大风险和重要业务流程的动态监控，超过承受度范围的风险预警。第四十条风险管理部门负责提出风险管理系统的功能需求，并配合信息技术部门开展公司风险管理系统的具体开发、建设和应用工作。第四十一条公司各部门根据本部门的风险管理职责，负责向风险管理系统输入相关风险信息，并确保输入数据的准确性、及时性、可用性和完整性。对输入系统的数据，未经特殊的批准程序不得更改。第四十二条公司信息技术部门应确保风险管理系统运行的稳定性、安全性和权限管理有效性，并根据实际需要不断进行系统改进、完善或更新。第六章内部控制体系与主要风险管理措施第四十三条内部控制体系指围绕风险管理策略目标，针对公司战略规划、产品研发、投融资、市场运营、财务管理、内部审计、法律事务、人力资源、采购等各项管理及业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。第四十四条公司内部控制相关要求详见公司内部控制手册。第七章风险管理文化的建设第四十五条公司应培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，特别是对公司重大风险的管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进公司建立系统、规范、高效的风险管理机制。第四十六条公司应当结合企业文化建设工作，在各层面营造风险管理文化的氛围。各部门负责人应当在培育风险管理文化中起表率作用，重要业务流程和风险控制点的管理人员和岗位操作人员应当成为培育风险管理文化的骨干力量。第四十七条公司应当通过多种形式宣传道德诚信准则和风险意识，进行风险管理案例教育，针对不同对象，开展风险管理培训。第八章风险管理的监督与考核第四十八条风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价，包括对公司风险管理工作执行情况进行定期或不定期检查，对风险管理工作任务的完成情况进行考核，并根据监督或考核的结果，对公司全面风险管理工作进行改进与提升。第四十九条公司风险管理部门负责对各部门的风险管理工作进行监督检查，负责制定公司风险管理考核指标，并开展具体的考核评价工作。第五十条风险管理考核内容包括对风险管理建设工作效果的考核和对风险管理工作绩效的考核。风险管理部门与考核对象进行沟通，确定考核指标与考核标准。考核指标和考核标准的设定，主要考虑以下方面：（一）是否按计划完成了本部门的风险管理建设工作；（二）是否按要求参与了公司风险管理的各项工作；（三）部门内部的风险管理职责是否得到了清晰的界定和落实；（四）重大风险的监控报告和预警应对是否全面、及时、有效；（五）有无超出预警范围的重大风险发生并对公司经营目标造成重大影响。第五十一条公司应定期或不定期对公司风险管理制度执行情况及执行效果进行监督评价，对风险管理工作的监督和评价可结合年度审计、任期审计或专项审计的开展一起进行。第九章附则第五十二条法律法规和准则对风险管理工作负责人及风险管理工作另有规定的，从其规定。第五十三条公司对违反本制度的责任人或责任单位，将依据公司问责制度予以严肃处理。第五十四条本制度由公司风险管理部门负责修订和解释，经公司董事会审议通过后生效，自发布之日起施行。第五十五条本制度未尽事宜，按有关法律、行政法规和规范性文件及公司章程的规定执行。本制度的相关规定如与日后颁布或修改的有关法律、法规、规章和依法定程序修改后的公司章程相抵触，则应根据有关法律、法规、规章和公司章程的规定执行。上海华鑫股份有限公司董事会2025年8月28日
附件： ↘公告原文阅读

上海华鑫股份有限公司全面风险管理制度

第一章总则

第一条为建立健全上海华鑫股份有限公司（以下简称“公司”）全面风险管理体系，强化核心竞争力，实现创新发展与风险管理的动态平衡，保障企业持续、健康、稳定发展，根据《中央企业全面风险管理指引》、《企业国有资产监督管理暂行条例》等有关法律法规及规章制度，结合公司实际，制订本制度。

第二条公司是风险管理的主导者，风险管理应与自身发展战略、资产规模、经营目标、业务范围和风险状况等相适应，应与当前行业发展实际水平相适应。

第三条本制度中所称“风险”，是指在公司发展过程中，各种未来的不确定性对公司实现战略及经营目标的影响。

第四条本制度中所称“全面风险管理”，是指公司围绕战略和总体经营目标，通过在管理的各环节和经营过程中执行风险管理基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，为实现风险管理的总体目标提供合理保证的过程和方法。

第五条全面风险管理的基本流程主要包括以下内容：

（一）收集风险管理初始信息；

（二）进行风险评估；

（三）制定风险管理策略；

（四）制定和实施风险管理解决方案；

（五）风险管理的监督与改进。第六条公司各部门应根据风险管理的基本流程，逐步健全和完善本部门的相关制度，把风险管理手段和内控程序融入到现有工作流程中，控制公司层面和各项业务中的风险。

第二章组织架构与职责分工

第七条公司对风险管理实行统一领导、分级负责、专业监督与全员参与相结合的组织体系和管理架构，明确风险管理的责任归属，建立与业务性质、规模和复杂程度相适应的风险管理体系，并综合管理各类风险以及公司整体风险。第八条全面风险管理组织体系包括董事会（包含董事会下设审计委员会）、经理层、风险管理部门及公司其他部门。

第九条公司董事会（包含董事会下设审计委员会）是公司风险管理工作领导机构，对公司全面风险管理工作的有效性负最终领导责任。

董事会（包含董事会下设审计委员会）的主要职责包括：

（一）审定公司风险管理组织机构设置及其职责方案；

（二）批准公司风险管理基本制度；

（三）审定公司年度风险管理报告；

（四）对公司层面的风险管理重大事项进行决策；

（五）督导公司风险文化的培育工作；

（六）有关全面风险管理的其他重大事项。

第十条公司总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。

第十一条公司风险管理部门为公司风险管理工作的主管部门，负责风险管理体系的建设和整体运转，负责公司风险管理工作的组织协调，为公司重大风险管理决策提供专业意见。风险管理部门对总经理或其委托的高级管理人员负责，其主要职责为：

（一）拟订公司风险管理相关制度并监督落实；

（二）组织开展公司年度风险评估，对各部门开展的专项业务风险评估提供指导和支持；

（三）根据风险分析的结果，组织并协助相关部门制定重大风险管理解决方案；

（四）拟订公司年度风险管理报告；

（五）组织开展全面风险管理日常工作；

（六）定期组织开展重大风险排查；

（七）制定企业风险管理文化培育与宣贯工作计划或方案，组织风险管理培训；

（八）负责指导、监督各部门以及全资、控股子企业开展全面风险管理工作；

（九）完成公司交办的其他风险管理相关工作。

第十二条公司其他部门负责具体风险的管理，在全面风险管理工作中接受风险管理部门的组织、协调、指导和考核。主要风险管理职责如

下：

（一）对主导管理的重大风险，根据需要组织开展专项评估，负责组织制订具体的管理解决方案，对管理解决方案的执行情况和风险变化情况进行监控，并将监控信息及时反馈给风险管理部门；

（二）对协助管理的重大风险，协助、支持主导管理部门开展风险评估、管理解决方案制订及日常的风险监控工作，根据需要及时将相关信息报送给主导管理部门和风险管理部门；

（三）参与公司年度风险评估工作，包括对风险的分析和评价；

（四）健全和完善本部门管理职责范围内的具体风险管理办法或制度细则；

（五）协助开展风险管理系统的建设和维护工作，包括风险信息的及时录入和更新；

（六）做好本部门的风险管理文化培育工作。

第十三条公司各部门负责人为本部门风险管理负责人，其风险管理职责包括：

（一）根据内控需要组织制定和完善本部门相关的风险管理办法；

（二）审查本部门管理职责内的重大风险管理解决方案的合理性与完备性；

（三）审阅本部门风险管理报告，及时了解管理责任范围内的风险信息；

（四）对部门风险管理重大事项进行决策。

第十四条各部门应指定专门的风险管理协调人，负责与风险管理

部门的对接。风险管理协调人由本部门负责人指定，报风险管理部门备案。风险管理协调人负责本部门风险管理工作的协调和推进，主要职责包括：

（一）协调、推进本部门内部各项风险管理活动的开展；

（二）针对本部门管理职责内的重大风险，提出应对建议并拟订管理解决方案；

（三）汇总本部门的风险监控信息，拟订本部门的风险管理报告；

（四）负责权限范围内的风险管理系统维护工作，包括数据的录入等；

（五）完成领导交办的其他风险管理相关工作。

第三章风险类别和风险等级指标

第十五条按风险类型分类，公司面临的风险主要包括：市场风险、信用风险、流动性风险、操作风险、其他风险等。

（一）市场风险是指由于市场价格、利率或汇率的变动等对公司资产价值所产生的影响。

（二）信用风险是指因债务人或交易对手方未能履行约定契约中的义务而产生损失的风险。主要包括对手方违约风险、结算风险等。

（三）流动性风险是指由于无法以合理的成本及时获得资金以对应资产增长或支付到期义务而产生的风险。流动性风险可分为融资流动性风险和市场流动性风险。

（四）操作风险是指由于不完善或者有问题的内部操作流程、人员、系统或者外部事件导致公司遭受损失的风险。发生操作风险的主要原因有：

1.流程：在某项交易过程中，因流程不完善或失效而导致损失的风险。

2.人员：由于员工有意或无意的行为造成损失的风险（包括违反合同职责、内部犯罪行为、职责分离不当、员工缺乏经验、工作疏忽等）。

3.系统：技术或内部系统瘫痪或出现问题导致损失的风险。

4.外部事件：外部事件（例如自然灾害、停电、第三方执行不力等）导致损失的风险。

（五）其他风险。主要包括政策性风险、经营风险、合规风险、洗钱风险、法律风险、声誉风险等。

政策性风险是指由于所处市场环境变化、国家政策变化、监管政策变化而引发的风险。

经营风险是指由于战略选择、业务规模、产品定价、销售手段等经营决策引起的未来收益不确定而造成的风险。

合规风险是指因公司或其工作人员的经营管理或执业行为违反法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度，以及行业普遍遵守的职业道德和行为准则而使公司被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失或商业信誉损失的风险。

洗钱风险是指公司现有制度和流程可能无法及时发现洗钱及其他不正当活动，各项业务平台可能被不法分子利用进行洗钱或进行其他违法行为，公司被人民银行等金融监管机构处罚的风险，并对公司的声誉造成不良影响。

法律风险是指在经营中不懂法律规则、疏于法律审查、逃避法律监管所造成的经济纠纷和涉诉而产生的潜在或已发生的重大经济损失的风险。

声誉风险是指由于社会评价降低而对公司造成危险和损失的可能性。战略风险是指公司因重大决策（如兼并与收购、产品定价、市场进入和退出、新产品开发等）失误而导致损失的风险。信息披露风险是指由于信息披露的内容及披露程序违规而被相关管理部门处罚或者被利益攸关方诉讼的可能性。第十六条公司根据风险事件可能造成的损失和对公司的影响程度进行风险分级，分级如下：

（一）一级（一般）：风险事件造成公司资产一般损失，一般资产损失是指单笔资产损失在500万元以下（以下均不含本数，下同）或相当于损失发生企业上年末资产总额（单体报表口径，下同）5%以下（孰低，下同），或造成一定不良后果的；

（二）二级（较大）：风险事件造成公司资产较大损失，较大资产损失是指单笔资产损失在500万元以上（以上均含本数，下同）、5000万元以下，或相当于损失发生企业上年末资产总额5%以上、10%以下，或造成较大不良后果的；

（三）三级（重大）：风险事件造成公司资产重大损失，重大资产损失是指单笔资产损失在5000万元以上或相当于损失发生企业上年末资产总额10%以上，或造成严重不良后果的。

第四章公司风险管理流程

第一节风险评估

第十七条公司应定期分析所处的内外部风险环境，并对公司整体

所面临的重大风险进行评估。各部门也应围绕自身的管理活动和经营目标，对可能存在的风险因素进行识别和评价。在制定重大决策前，必须对风险因素进行充分分析和客观评价。第十八条各部门应持续关注并收集与公司战略发展、生产运营相关的各类风险信息。

（一）战略风险方面应关注并收集下列重要信息：

1.宏观经济情况及行业政策的变化情况；

2.国际局势、相关区域的地缘政治因素；

3.行业竞争形势、主要竞争对手及战略合作伙伴的情况；

4.前沿技术的发展动态及公司技术更新和生产力发展情况；

5.公司与对标企业的竞争优劣势比较；

6.公司战略规划、经营计划及重大投资的执行情况、经验总结及问题分析；

7.公司的业务布局、不同区域/项目/业务的收益比例、整体业务接替情况。

（二）运营风险方面应关注并收集下列重要信息：

1.国际市场的价格走势、重要设备及服务的市场供应和价格变化；

2.公司的组织效能、管理现状、人员保障情况；

3.公司的内控失效事件、违规事件及以上事件处理情况；

4.与运营相关的管理机构、相关政策和操作惯例。

（三）财务风险方面应关注并收集下列重要信息：

1.我国货币政策、税收政策及投资管理政策的变化，包括汇率、利率、

税种、税率的变化等；

2.国际会计准则、国内会计准则及会计核算方法；

3.资本市场的合规要求；

4.公司的财务结构、资本成本、偿债能力、现金流及投资收益情况；

5.项目的当期收益和持续盈利能力、投资回收情况、成本控制情况。

（四）法律风险方面应关注并收集下列重要信息：

1.我国相关重大法律法规变化；

2.公司重大法律纠纷、重大诉讼案件；

3.公司重要合同和协议的订立、执行情况。第十九条各部门在日常工作中，应指定专人持续对与本部门风险管理相关的内外部信息进行收集，包括历史数据和未来预测，并进行整理和记录。各部门应自发地对各类风险信息进行评估。对于本部门管理职责范围内，可能造成较大影响的风险事件，需要制定具体的风险管理解决方案，并由部门负责人督导执行。

第二十条各部门应将日常管理工作中发现的风险事件以部门风险管理报告的形式按月报送风险管理部门。报告中应包括对风险事件的描述、对风险影响的分析、本部门拟采取的应对措施，以及其他部门协同管理的建议。

第二十一条风险管理部门应对各部门报送的风险信息进行统一的筛选、提炼和规范管理，通过其专业分析和判断，对公司层面的重大风险进行提示，并根据需要组织相关部门制定具体管理解决方案。

第二十二条风险管理部门每年组织开展一次公司层面的风险评估工

作，负责整理公司重大风险事件列表，制定风险评价的统一标准，并根据事件的来源、影响范围、管理需要等特点，确定参与评估的范围，相关部门应按照要求参与风险评估。部门负责人负责督导本部门的风险评估工作，确保评价信息的独立、客观、全面。第二十三条风险管理部门负责汇总各部门的评估信息，通过对各类风险的综合分析，形成评估结论，确定公司的重大风险。

第二十四条风险管理部门根据自身的专业经验，根据评估出的重大风险确定管理重点，落实各部门的管理责任，并对需要协同管理的重大风险，组织研究制定管理解决方案。

第二十五条公司应根据需要对重要业务活动和重大决策开展专项风险评估，加强对风险因素的分析评价，并体现为正式的报告内容。

第二十六条针对重要业务活动和重大决策的专项风险评估，由主导管理部门组织开展，风险管理部门提供必要的协助并提供专业意见。

第二节风险管理策略制定及实施

第二十七条风险管理策略是指公司根据内外部环境及发展战略所确定的公司全面风险管理总体策略，包括：公司风险偏好、关键风险指标及其警戒值、公司针对当前重大风险的总体应对策略（即风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等），以及风险管理资源的配置原则。

第二十八条风险管理部门应根据公司年度风险评估的结果和公司的发展战略，研究制定或调整公司的风险管理策略。各部门在开展风险管理和业务活动时，必须遵循风险管理策略的要求，注意本部门管理职责范围

内的关键风险指标是否被控制在警戒值之内，并按要求定期报告指标的变化情况。

第二十九条各部门应当根据公司风险管理策略，结合本部门当年评估出的风险和年度工作计划，制定或修订具体的风险管理解决方案，报风险管理部门备案，并组织实施。风险管理解决方案应包括具体风险的管理控制目标、相关岗位的管理责任分工、针对该风险的具体应对措施。

第三十条风险管理部门负责对各部门提出的风险管理解决方案进行整理汇总，提出补充或调整的意见，或跨部门的风险应对建议，反馈给相关部门。

第三十一条各部门负责人作为本部门风险管理第一责任人，负责组织实施风险管理解决方案。各部门应将风险控制责任落实到具体岗位，各部门风险管理协调人协助推动方案实施，并负责跟踪其执行情况。

第三节风险监控

第三十二条公司对重大风险实行持续监控和报告。各部门是风险监控的责任主体，根据公司风险监控报告的要求，对其管理的相关风险进行持续的日常监控，以部门风险管理报告的形式定期报送风险管理部门。

第三十三条各部门在开展风险监控时需对以下风险信息予以持续关注：

（一）本部门新出现的风险或原有风险的重大变化；

（二）既定风险管理解决方案的执行情况及执行效果；

（三）关键风险指标的变化情况。

各部门应对风险监控结果进行分析评价，包括风险变化的原因、潜在

影响、变化趋势以及对跨部门风险管理解决方案的调整建议等。部门风险管理报告中应包括监控结果和分析评价结果。如果各部门负责监控的风险没有明确的风险指标，则各部门可在报告中以定性分析的形式对风险变化情况加以描述。

第四节突发重大风险事件应对处置机制第三十四条公司各部门在日常风险监控中，如发生重大突发事件或达到风险预警条件，如关键风险指标发生超出警戒值的异常变化时，应立即向风险管理部门和相关部门提出风险预警。如果公司已经制定了类似事件的应急预案，则同时按应急预案采取相应的应对措施。第三十五条风险管理部门在接到其他部门的风险预警后，如公司未制定类似事件的应急预案，应及时组织相关部门评价该突发事件的影响，并研究制定风险应急方案。对于评估后确认可能对公司造成重大影响的风险，以及需要跨部门协作应对的重大事项，应共同讨论完善风险应急方案，经总经理办公会审议后组织落实。

第三十六条负责突发事件应对的各责任部门应及时向风险管理部门反馈事件处理情况，并在部门风险管理报告中说明事件的处理结果。风险管理部门负责跟踪评价应急方案的执行情况和实施效果，并提供必要的技术支持。

第三十七条风险管理部门负责对突发风险事件及其处理过程的相关信息进行归档，组织相关部门总结经验，制定完善类似风险事件的风险管理解决方案。

第五章风险管理系统和数据

第三十八条公司将结合信息化建设总体规划和工作安排，根据需要逐步将信息技术应用于全面风险管理的各项工作中，建立涵盖风险管理基本流程和内部控制需要的风险管理系统，满足风险管理信息的采集、存储、加工、分析、测试、传递、报告、披露等要求。

第三十九条风险管理系统应当充分利用已有管理系统的数据采集、存储、加工、分析、传递、报告等功能，结合风险管理需求，实现以下功能：

（一）风险历史数据和管理经验的积累和共享；

（二）对当前风险的实时辨识和定量分析，动态反映公司的风险情况；

（三）对重大风险和重要业务流程的动态监控，超过承受度范围的风险预警。

第四十条风险管理部门负责提出风险管理系统的功能需求，并配合信息技术部门开展公司风险管理系统的具体开发、建设和应用工作。

第四十一条公司各部门根据本部门的风险管理职责，负责向风险管理系统输入相关风险信息，并确保输入数据的准确性、及时性、可用性和完整性。对输入系统的数据，未经特殊的批准程序不得更改。

第四十二条公司信息技术部门应确保风险管理系统运行的稳定性、安全性和权限管理有效性，并根据实际需要不断进行系统改进、完善或更新。

第六章内部控制体系与主要风险管理措施

第四十三条内部控制体系指围绕风险管理策略目标，针对公司战略规划、产品研发、投融资、市场运营、财务管理、内部审计、法律事务、人力资源、采购等各项管理及业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。第四十四条公司内部控制相关要求详见公司内部控制手册。

第七章风险管理文化的建设

第四十五条公司应培育和塑造良好的风险管理文化，树立正确的风险管理理念，增强员工风险管理意识，特别是对公司重大风险的管理意识，将风险管理意识转化为员工的共同认识和自觉行动，促进公司建立系统、规范、高效的风险管理机制。

第四十六条公司应当结合企业文化建设工作，在各层面营造风险管理文化的氛围。各部门负责人应当在培育风险管理文化中起表率作用，重要业务流程和风险控制点的管理人员和岗位操作人员应当成为培育风险管理文化的骨干力量。

第四十七条公司应当通过多种形式宣传道德诚信准则和风险意识，进行风险管理案例教育，针对不同对象，开展风险管理培训。

第八章风险管理的监督与考核

第四十八条风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价，包括对公司风险管理工作执行情况进行定期或不

定期检查，对风险管理工作任务的完成情况进行考核，并根据监督或考核的结果，对公司全面风险管理工作进行改进与提升。

第四十九条公司风险管理部门负责对各部门的风险管理工作进行监督检查，负责制定公司风险管理考核指标，并开展具体的考核评价工作。第五十条风险管理考核内容包括对风险管理建设工作效果的考核和对风险管理工作绩效的考核。风险管理部门与考核对象进行沟通，确定考核指标与考核标准。

考核指标和考核标准的设定，主要考虑以下方面：

（一）是否按计划完成了本部门的风险管理建设工作；

（二）是否按要求参与了公司风险管理的各项工作；

（三）部门内部的风险管理职责是否得到了清晰的界定和落实；

（四）重大风险的监控报告和预警应对是否全面、及时、有效；

（五）有无超出预警范围的重大风险发生并对公司经营目标造成重大影响。

第五十一条公司应定期或不定期对公司风险管理制度执行情况及执行效果进行监督评价，对风险管理工作的监督和评价可结合年度审计、任期审计或专项审计的开展一起进行。

第九章附则

第五十二条法律法规和准则对风险管理工作负责人及风险管理工作另有规定的，从其规定。

第五十三条公司对违反本制度的责任人或责任单位，将依据公司问

责制度予以严肃处理。第五十四条本制度由公司风险管理部门负责修订和解释，经公司董事会审议通过后生效，自发布之日起施行。

第五十五条本制度未尽事宜，按有关法律、行政法规和规范性文件及公司章程的规定执行。本制度的相关规定如与日后颁布或修改的有关法律、法规、规章和依法定程序修改后的公司章程相抵触，则应根据有关法律、法规、规章和公司章程的规定执行。

上海华鑫股份有限公司董事会2025年8月28日

最新公告

股市要闻