山河智能:全面风险管理与内部控制管理制度(2025年4月)

全面风险管理与内部控制管理制度
（2025 年 4 月 24 日第八届董事会第二十一次会议审议通过）
第一章 总则
第一条 为规范山河智能装备股份有限公司（以下简称“公司”）风险管理和
内部控制工作，健全风险管理和内部控制组织架构与职能，明确风险管理和内部控制工作目标、原则、内容与方法，建立健全风险管理和内部控制体系并推动其有效运行，提升风险防控能力，根据国务院国有资产监督管理委员会《中央企业全面风险管理指引》、财政部等五部委《企业内部控制基本规范》及配套指引等风险管理相关规定、《公司章程》等相关规章制度，结合公司实际，特制定本制度。
第二条 本制度所称风险，是指未来的不确定性对公司实现战略目标及经营
管理目标的影响。
本制度所称风险管理与内部控制，是指由公司决策、管理、执行、监督等各层级全体人员共同实施的，以“强内控、防风险、促合规”为管控目标，在日常生产经营活动中落实风险管理与内部控制基本要求,为实现公司战略目标及经营管理目标提供合理保证的过程和方法。
第三条 风险管理与内部控制的目标包括：
（一）合规目标。确保风险管理与内部控制相关工作符合外部监管和内部规章制度的要求，促进内部控制整体有效，各项经营管理活动合法合规。
（二）管理提升目标。建立、健全公司各项业务管理机制和管控渠道，优化管控方法与程序，促进管理水平持续提升，管理效率与效益不断提高。
（三）价值创造目标。通过推行风险管理、强化内部控制工作，帮助公司提升风险管理能力，降低风险损失，提升风险管理效益。
第四条 风险管理与内部控制工作需遵循全面性、重要性、制衡性、适应性
和成本效益五项原则，确保风险管理与内部控制的有效性。

（一）全面性原则。风险管理与内部控制应当做到事前、事中、事后控制相统一；覆盖公司的所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节。
（二）重要性原则。在全面控制的基础上，关注重要业务事项和高风险领域，有针对性的采取避免、转移、降低和接受等策略来管理风险。
（三）制衡性原则。风险管理与内部控制应当在治理结构、机构设置及权责分配、业务流程等方面权责分明、相互制约、相互监督，同时兼顾运营效率。
（四）适应性原则。风险管理与内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。
（五）成本效益原则。风险管理与内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制，以合理的成本实现风险管理目标。
第五条 本制度适用于公司及各子公司。
第二章 风险管理和内部控制的组织架构与职责
第六条 公司的风险管理与内部控制的组织架构包括：董事会、全面风险管
理委员会、全面风险管理委员会办公室、各职能及业务部门、审计监察部。
第七条 公司董事会是风险管理与内部控制工作的领导机构，对风险管理与
内部控制工作的有效性负责。其主要职责为：
（一）批准风险管理与内部控制组织机构设置及其职责方案；
（二）批准风险管理与内部控制管理基本制度；
（三）批准风险管理与内部控制工作规划；
（四）督导风险管理与内部控制文化的建设；
（五）批准风险管理与内部控制其他重大事项。
第八条 公司全面风险管理委员会是组织研究山河智能关于风险管理和内部
控制事项的议事机构，其成员由公司高级管理人员组成。全面风险管理委员会主要职责为：
（一）领导、组织风险管理和内部控制工作；

（二）研究风险信息收集、评估结果、内部控制措施等；
（三）研究风险管理策略和重大风险管理应对方案；
（四）研究风险管理和应急处置的相关制度，以及重大决策、重大风险、重大事件和重要业务流程的风险判断标准；
（五）研究重大决策、重大事件的风险评估报告；
（六）对风险预警、管控和应急处理预案提出建议，对潜在风险提出预警；
（七）办理公司交办的其他关于风险管理和内部控制的事项。
公司董事长是全面风险管理委员会主任，负责召集并主持风险委员会工作会议；签署风险委员会文件；风险委员会授予的其他职权。
第九条 全面风险管理委员会下设办公室，是公司风险管理和内部控制工作
的组织管理机构，负责牵头统筹各部门及子公司做好风险管理和内部控制工作，组织落实风险管理和内部控制工作目标和责任。主要包括：
（一）牵头制定/修订全面风险管理和内部控制相关制度、细则；组织协调各部门及子公司制定/修订主责范围内的风险管理和内部控制手册，促进各业务领域内控制度建设和流程优化；
（二）组织开展风险评估，统计风险评估结果，形成风险排序；根据风险评估结果组织公司相关部门制定重大风险应对方案，汇编形成公司全面风险管理年度报告；牵头组织设立主要风险指标体系，统筹相关部门进行风险监测；
（三）负责收集、汇总公司年度重大重要风险当月发展信息，包括年度评估重大风险应对措施的落实情况、重大重要风险变化趋势和风险变化原因等，编制《风险监控月报》，组织重大风险责任部门在月度经营会议上汇报应对措施的落实情况，供公司管理层决策，并督促风险管理责任部门按会议要求推进落实应对措施；
（四）组织开展年度内部控制评价工作，编制年度内部控制自我评价报告；
（五）研究建立风险管理和内部控制考核机制，组织开展公司风险管理和内部控制考核工作；
（六）制订风险管理文化培育与宣贯工作方案和计划，组织风险管理培训；
（七）定期向全面风险管理委员会汇报工作进展；
（八）风险管理与内部控制工作的其它事项。
第十条 公司各职能及业务部门是风险管理和内部控制的实施主体、责任主
体，接受全面风险管理委员会办公室的组织、协调、指导和监督，其第一负责人是风险管理和内部控制体系科学建设、有效运行的第一责任人，全面风险管理工作分管领导是直接责任人。各职能及业务部门确定一名专（兼）职风险管理与内部控制人员或机构，负责本部门风险管理与内部控制具体事务，执行风险管理与内部控制工作制度及流程。各职能及业务部门主要履行以下职责：
（一）负责收集与本部门职能相关的内外部风险信息，对风险信息开展初步识别形成风险清单，参加风险评估填写评估问卷;
（二）负责制定、落实本部门涉及的重大风险应对方案，承担风险预警指标及阈值（含重大风险预警指标和日常经营风险预警指标）制定、监督及报送等系列工作；
（三）负责制定/修订本部门的风险管理与内部控制手册；
（四）负责本部门职责范围内业务的内部控制评价及问题整改工作；
（五）配合完成其他风险管理和内部控制日常工作。
第十一条 公司构建风险管理与内部控制的三道防线，即以各职能及业务部
门为第一道防线，作为风险识别、控制的责任部门；全面风险管理委员会办公室为第二道防线，负责制定风险管理与内部控制相关制度、细则，组织协调开展风险管理与内部控制工作；审计监察部为第三道防线，是公司的监督机构，对公司的风险管理与内部控制工作开展独立监督。
第十二条 各子公司根据自身实际情况，建立健全本单位的风险管理与内部
控制组织与职能，推动内部控制和风险管理各项工作有序开展。
第三章 全面风险管理
第十三条 全面风险管理工作内容：建立完善公司风险数据库，收集风险信
息，评估公司重大风险，制定风险管理策略，建立健全风险预警及应急处理机制，
跟踪、监测及报告重大风险，提升防范化解重大风险能力等。
第十四条 完善风险数据库。风险数据库是开展风险管理工作的基础，各职
能及业务部门应根据日常以及定期风险评估结果进行动态调整和更新，不断改进和完善。
第十五条 收集风险信息。各职能及业务部门要广泛收集内外部风险初始信
息，包括历史数据、环境政策和未来预测，明确风险信息收集的内容、范围、方法，完善风险信息收集渠道。
第十六条 开展风险评估
（一）风险评估按照公司实际情况需要每年至少开展 1 次。
（二）各职能及业务部门要对风险信息进行筛选、提炼、对比、分类、组合，进行风险评估，包括风险辨识和风险分析。
（三）全面风险管理委员会办公室组织各职能及业务部门开展年度重大风险评估工作，根据评分结果确定公司层面的重大风险。
第十七条 制定风险管理策略。各职能及业务部门应根据风险评估结果，结
合自身业务特点，确定风险偏好和风险承受度，权衡风险与收益，合理确定各类各级风险的应对策略，风险管理策略包括：风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等。
第十八条 制定重大风险管理应对方案
（一）重大风险管理应对方案是针对确定的风险管理策略所采取的具体的、可操作的控制措施和方案，包括完善制度、流程，调整部门和岗位职责，完善授权体系，专项应对方案等。
（二）针对评估出来的重大风险，应编制风险预警指标，设计指标计算公式，明确取数来源，合理设定阈值区间，按指标收集频率定期收集数据并向全面风险管理委员会办公室发送。
第十九条 编制全面风险管理年度报告。
（一）全面风险管理委员会办公室汇编重大风险相关部门制定的应对方案，汇编形成公司全面风险管理年度报告，履行内部决策程序后，重大风险相关部门
按应对方案落实应对措施。
（二）各子公司应当按照要求开展年度风险评估工作，形成本单位全面风险管理年度报告，并向全面风险管理委员会办公室报送。
（三）风险识别与评估具体操作按《山河智能装备股份有限公司风险识别与评估操作细则》执行。
第二十条 建立关键风险预警及重大风险事件应急处理机制。
（一）公司各职能及业务部门、各子公司应建立健全关键风险预警机制，通过收集、整理、分析风险动因及其他关键因素，确定关键风险预警指标，确定指标阀值及预警区间，建立并持续完善预警体系。
（二）公司各职能及业务部门、各子公司应加强对重大风险预警指标的过程监控，分析预警阀值的变化情况，及时发布预警信息，及时调整管控措施；加强数据积累，及时根据内、外部环境变化优化风险预警指标、阀值和预警区间。
（三）公司各职能及业务部门、各子公司应建立重大风险事件应急处理机制，对可能发生的重大风险和突发事件，制定应急预案，明确责任部门和人员，规范处理程序，开展必要的演练和培训，确保重大风险和突发事件得到及时妥善处理。
（四）风险预警管理具体操作按《山河智能装备股份有限公司风险预警管理操作细则》执行。
第二十一条 建立重大风险报告机制。
（一）公司风控管理体系建立严格的报告机制，分为定期报告和不定期报告。定期报告包括：《风险监控月报》、全面风险管理年度报告等。不定期报告包括重大（重要）风险事件和重大（重要）内控缺陷报告等专门事项报告。
（二）重大风险责任部门应跟踪监测重大风险管控措施的落实及实施效果，重大风险事件的进展，及时发布预警信息，调整管控措施，于每月结束后 5 个工作日内向公司全面风险管理委员会办公室报送本部门的《风险监控月报》。
第二十二条 建立风险管理的监督与改进机制。
审计监察部应对风险管理初始信息、风险评估、风险管理策略、风险管理应对方案的实施情况进行监督，定期对风险管理基本流程进行检查，及时发现缺陷
并改进，其检查报告应及时报送全面风险管理委员会。
第四章 内部控制管理
第二十三条 内部控制管理主要内容包括建立健全内部控制流程文件，加强
内部监督，落实缺陷整改，推进内控体系信息化建设，提升内控体系执行刚性等。
第二十四条 建立健全内部控制流程文件。
（一）公司各职能及业务部门、各子