第三十条 公司建立风险管理信息系统，在保障共享信 息安全、合规的基础上，促进公司内部风险信息共享，实 现风险统一视图、金融风险信息报送、数据分类统计加总、关键风险指标监测、风险偏好系统化支持以及内部评级、 压力测试、风险计量等功能，推动风险管理实现 IT 硬控制。

国投资本股份有限公司全面风险管理办法

第一章 总 则

第一条 为加强和规范国投资本股份有限公司（以下简称公司）全面风险管理工作， 提高风险管理水平， 根据

《中央企业全面风险管理指引》及相关监管规定，结合公司实际，制定本办法。

第二条 x办法所称全面风险管理是指围绕公司总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理组织职能体系、风险管理信息系统和内部控制系统，为实现可计量、可控制、可承受的风险管理总体目标提供合理保证的过程和方法。

第三条 x办法所指风险是指企业收益的不确定性。主要包括信用风险、市场风险、操作风险、法律风险、合规风险、流动性风险、声誉风险、信息科技风险、洗钱与恐怖融资风险、国别风险、战略风险等。

（一）信用风险，是指由于债务人或交易对手违约或其信用评级、履约能力降低造成损失的风险。

（二）市场风险，是指因市场价格（利率、汇率、股票价格和商品价格）的不利变动而使表内和表外业务发生

损失的风险。

（三）操作风险，是指由不完善或有问题的内部程序、人员和信息科技系统，以及外部事件所造成损失的风险。

（四）法律风险，是指由于提供的产品、服务、信息或从事的交易以及签署的合同协议等文件存在对我方不利的法律缺陷，与客户、交易对手及利益相关方发生法律纠纷（诉讼或仲裁）等不利后果的风险。

（五）合规风险，是指因企业和员工未遵循境内外法律法规、监管规定、行业准则及国际条约、规则等，引发法律责任、受到相关处罚、遭受财务损失和声誉损失的风险。

（六）流动性风险，是指无法以合理成本及时获得充足资金，用于偿付到期债务、履行其他支付义务和满足正常业务开展的其他资金需求的风险。

（七）声誉风险，是指由金融企业行为、从业人员行为或外部事件等，导致利益相关方、社会公众、媒体等对金融企业形成负面评价，从而损害其品牌价值，不利其正常经营，甚至影响到市场稳定和社会稳定的风险。

（八）信息科技风险，是指信息科技在运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷等产生的风险。

（九）洗钱与恐怖融资风险，是指产品或服务被不法分子利用从事洗钱或恐怖融资活动，进而对公司造成不利

影响的风险。

（十）国别风险，是指由于某一国家或地区的经济、政治、社会文化及事件，导致该国家或地区借款人或债务人没有能力或者拒绝偿付债务，或使公司在该国家或地区的业务遭受损失，或使公司遭受其他损失的风险。

（十一）战略风险，是指因缺乏对市场环境的了解、战略定位不当、关键资源能力不足、公司业务条线和机构之间缺乏战略协同、无法形成有效的盈利模式，以及战略推动力和执行力不足，导致对公司盈利、资本、声誉产生影响的现有或潜在风险。

除上述风险外，还包括监管部门或公司要求关注的其他风险。

第四条 公司实行风险并表管理，将符合风险并表管理条件的各控股投资企业纳入公司全面风险管理范围。本办法所称的控股投资企业，是指公司直接或间接出资设立的全资和控股企业，含受托管理的全资或控股的投资企业。

第五条 公司全面风险管理工作应遵循以下原则：

（一）全面性原则。坚持“业务做到哪里，风控就要延伸到哪里”，覆盖各控股投资企业所有风险种类和不同风险之间的相互影响，实现全级次、全业务、全流程、全员化的风险管理。

（二）有效性原则。在确保全面风险管理相对独立的基础上，通过专业的风险管理工具、机制，使风险管理更

加贴近市场和业务，坚持实质重于形式，保证风险管理目标落到实处。

（三）前瞻性原则。积极研究和辨识外部市场和监管 形势变化，主动跟踪、分析、报告外部相关重大风险事件 对本公司的关联影响，提高对各类风险的预警、预判能力，保障公司各项业务稳健经营。

（四）匹配性原则。确保将风险控制在与公司发展战略和经营目标相匹配并可承受的范围内，全面提高公司对风险的掌控力、可控力，保障经营发展不碰红线、不越底线，走在市场曲线的前面。

（五）分级管理原则。分级管理原则指公司与各级控股投资企业形成分级的风险管理体系，公司负责推进全面风险管理体系建设、组织实施风险管理过程、同时对各级控股投资企业面临的重大风险进行再管理；各级控股投资企业对其自身面临的经营、管理风险进行管理。

第二章 组织架构与职责

第六条 公司及各控股投资企业均须建立组织架构健全、职责边界清晰的风险治理架构，建立多层次、相互衔接、 有效制衡的风险管理运行机制。

第七条 公司董事会是公司风险管理最高决策机构，主要职责包括：

（一）确定公司全面风险管理架构和总体目标；

（二）审定公司风险管理基本制度；

（三）审定公司风险偏好；

（四）听取公司风险管理有关情况报告。

董事会下设的审计与风险管理委员会对董事会负责， 在董事会授权范围内推进公司全面风险管理体系建设工作，及其他需履行的职责。

第八条 公司经理层组织贯彻落实公司董事会及其下设委员会、总裁办公会对风险管理工作的各项要求，主要职责包括：

（一）指导公司全面风险管理体系的完善，包括但不限于风险偏好、风险管理信息系统；

（二）听取公司风险管理有关情况的报告，组织研究重大风险事件的应对策略及应对方案；

（三）审议公司风险管理规章制度及管理机制；

（四）协调公司重大风险事件处置；

（五）其他需经理层履行的职责。

经理层下设的公司风险与合规管理委员会（以下简称风险合规委员会）是公司总裁办公会研究风险管理的议事 机构，在经理层授权范围内履行全面风险管理的相关职能。风险合规委员会办公室设在公司风险合规部，是公司全面 风险管理的牵头部门。

第九条 公司风险合规部为负责全面风险管理工作的专职部门，牵头开展全面风险的日常管理工作，主要职责包

括：

（一）根据外部监管、公司管理要求，拟定适合本公司特点的全面风险管理体系，包括但不限于风险偏好；

（二）牵头拟定公司风险管理规章制度及管理机制；

（x）跟踪、分析、报告外部重大风险事件对公司的关联影响；

（四）督导各控股投资企业落实整改重大风险隐患，协调各控股投资企业重大风险事件处置工作；

（五）建立健全本公司风险预警监控指标体系；

（六）负责组织本公司相关风险应对和风险事件处置工作；

（七）编制公司全面风险管理相关报告；

（八）对控股投资企业的全面风险管理工作进行监督检查和考核评价；

（九）组织开展全面风险管理相关培训；

（十）其他需风险合规部履行的职责。

第十条 公司各相关职能部门负责各自职责范围内的主 责风险的归口管理工作，负责研究完善归口风险管控机制，对相关风险开展识别、评估、计量、监测、报告等工作， 并根据内外部环境变化动态调整。

第十一条 各控股投资企业应根据公司风险管理要求，结合本企业管控模式、经营特点等，建立完善全面风险管理组织架构，结合外部监管要求及内部管理现状，设置风

险管理专职部门。各控股投资企业风险管理分管领导及部门负责人变动的，须 3 日内向公司风险合规部报备。

第十二条 各控股投资企业主要职责包括：

（一）根据外部监管、公司管理要求，制定适合本企业特点的全面风险管理体系；

（二）制定本企业的全面风险管理相关制度和工作机制，把风险管理有机融入企业生产经营各环节，形成管理闭环；

（三）跟踪、分析、报告外部重大风险事件对本企业的关联影响；

（四）开展风险管理的日常监测，有效辨识业务开展过程中的各类风险，及时发现风险隐患，制定风险应对措施和处置预案并落实整改；

（五）建立健全本企业风险预警监控指标体系；

（六）负责开展本企业相关风险应对和风险事件处置工作；

（七）编制本企业的全面风险管理相关报告；

（八）组织开展本企业的全面风险管理相关培训；

（九）其他需各控股投资企业履行的职责。

第三章 风险偏好管理

第十三条 风险偏好是指公司在风险承受范围内根据发展战略、年度经营目标以及所面临的宏观经济、经营环境

所愿意承担的风险类型和水平。

第十四条 公司及各控股投资企业须严格按照公司要求，结合自身业务特点、外部监管等，制定风险偏好管理相关 制度，建立完善的风险偏好管理体系。

第十五条 公司对风险偏好的实施情况开展日常监测，跟踪风险偏好实施情况。

第四章 程序与机制

第十六条 风险识别是指查找各业务单元、各项重要经营活动及其重要业务流程中在未来特定期间内是否存在重大风险源。风险评估是从风险发生的可能性和影响程度等方面进行评估，包括对风险之间的关系分析，确保评估结果的准确性、客观性和合理性，为风险决策提供充分可靠的评估信息。

第十七条 公司相关职能部门及控股投资企业应按照职责分工、行业特点、业务实际情况等，对潜在风险源实行动态跟踪辨识、评估，必要时可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。

第十八条 公司及各控股投资企业对能够量化的风险，通过风险计量技术，加强对相关风险的计量。采用内部模型计量风险的，应当遵守相关监管要求，确保风险计量的一致性、客观性和准确性。对难以量化的风险，应当建立风险识别、评估、控制和报告机制，确保相关风险得到有

效管理。

第十九条 公司及各控股投资企业应建立健全风险预警和处置机制，完善金融风险预警监控指标体系，动态跟踪风险预警监控指标变动情况，开展日常风险监测，主动跟踪市场动态，及时进行风险排查，确保金融风险早发现、早预警、早报告、早处置。各控股投资企业应结合本企业处置实践和管理需要，建立健全涵盖核销、清收、转让、重组、以物抵债、资产证券化等处置方式的配套管理制度及操作细则，并及时根据法律法规要求和业务实际修订调整。

第二十条 公司应形成公司风险报告机制。各控股投资企业以公司的风险报告机制为基础，结合监管要求、行业及经营特点，建立完善本企业的风险报告机制，包括定期报告、专项报告、风险信息报告、重大风险事件报告等。

第二十一条 涉及安全生产、资源节约与生态环境保护、网络安全、法律纠纷、舆情风险、专项合规和境外经营的 风险情况报告，还应按照国家有关部委、我国驻外使领馆 或其他政府部门的有关制度执行。

第二十二条 公司建立健全全面风险管理考核评价工作机制，将风险管理工作情况纳入对控股投资企业及其负责人年度绩效考核，按照分级管理进行考核评价。

第二十三条 公司建立健全全面风险管理监督检查工作机制，对所属控股投资企业进行监督检查；控股投资企业

应自主进行内部监督检查。监督检查可采取现场或非现场的方式进行。

第二十四条 公司建立健全全面风险管理责任追究机制，对风险管理工作中违反相关法律、法规、监管要求或未勤 勉尽责造成重大损失或严重负面影响的，向相关企业下发 警示函，约谈相关风险管理负责人，并按照有关规定严肃 追究相关企业和个人的责任。公司及各控股投资企业原则上根据管理层级进行风险管理责任追究，各控股投资企业 应对内部风险管理责任追究做出规定。

第二十五条 公司及各控股投资企业应加强风险管理工作协同，整合各类风险管理力量，调动各类风险管理资源，上下联动，协同开展风险管理工作。在保障信息安全、合 规的基础上，各单位应聚焦风险防控，积极组织开展多种 形式的风险信息沟通交流，做好信息资讯和风险管理经验 的共享，及时发现关联影响，协同开展风险应对工作。

第二十六条 公司及各控股投资企业拟开展任一新业务，须对新业务的风险收益情况进行充分论证，合理评估自身 风险管理能力，严格履行内部审批程序后方可开展，并逐 级报送公司备案，其中：

（一）需向监管机构或自律组织申请获取行政许可的 新业务，公司及相关控股投资企业须逐级提交公司审核后，按要求向监管机构或自律组织申请开展；

（二）已获得监管机构或自律组织准予行政许可，但

超过 2 年未实际开展，拟再次开展的业务，公司及相关控股投资企业须逐级提交公司审核后方可开展。

控股投资企业应重点加强对新业务开展后各类风险的动态辨识评估，及时排查应对风险隐患，并按照公司风险管理报告有关制度要求，定期将新业务风险报告逐级报送公司。

第二十七条 公司及各控股投资企业应当在并表基础上管理集中度风险与大额风险暴露，监控大额风险暴露。公司根据宏观政策、监管要求、公司战略及业务实际等情况设置预警线，动态监测集中度风险与大额风险管理情况并报告。

第二十八条 公司大额风险暴露是指公司并表后的资产组合对单个交易对手或一组有关联的交易对手、行业或地理区域、特定类别的产品等超过公司资本一定比例的风险集中暴露。

第五章 工具与系统

第二十九条 公司及各控股投资企业应根据外部监管、公司要求和本企业业务需要，建立健全压力测试管理机制，对主要风险、主要业务开展压力测试，明确压力测试的方 法流程、情景设计、保障支持、验证评估以及结果运用， 按季度向公司报送压力测试工作开展情况和监管要求变动 情况。

第三十条 公司建立风险管理信息系统，在保障共享信 息安全、合规的基础上，促进公司内部风险信息共享，实 现风险统一视图、金融风险信息报送、数据分类统计加总、关键风险指标监测、风险偏好系统化支持以及内部评级、 压力测试、风险计量等功能，推动风险管理实现 IT 硬控制。

第三十一条 各控股投资企业应按照公司风险管理要求，制定本企业的风险管理信息化建设方案，建立与监管要求、业务发展和风险偏好相适应的风险管理信息系统，将相关 风险管理职能、工具和方法固化到系统中，并在依法合规 的前提下实现数据共享。

第三十二条 公司及各控股投资企业应加强金融风险数据管理，建立统一的数据收集标准以及数据质量管控体系，遵循“谁主管、谁负责”的原则，落实风险数据录入、复 核和动态更新等方面的责任，确保风险数据的准确性、完 整性和一致性，满足风险识别、评估、计量、监测与报告 的要求。

第六章 文化与其他

第三十三条 持续推进全面风险管理体系建设，建立统一的风险管理文化，坚持“风险管理是核心竞争力”的价值导向，树立“严守底线-赋能发展-助力经营-创造价值”的风险管理理念，并自上而下贯穿各单位。

第三十四条 公司建立全面风险管理培训机制，加强对

风险管理理念、知识、流程、工具、系统等的交流和培训，提高全员风险意识和管理水平。公司及各控股投资企业应根据公司要求和自身行业特点、工作需要等，组织开展风 险管理相关交流和培训。

第三十五条 公司建立完善全面风险管理专家库，为公司全面风险管理提供专业支撑。各控股投资企业应根据自身行业特点和工作需要建立本板块风险管理专家库。

第七章 附则

第三十六条 x办法的修改和解释归董事会。

第三十七条 x办法经董事会批准后生效及实施，原

《国投资本股份有限公司风险管理办法》（国投资本〔2019〕 40 号）废止。

附件：

公司各类风险的归口管理部门

序号	归口管理部门	风险类型
1	综合部	信息科技风险
2	投资发展部	战略风险
3	股权管理部	国别风险
4	财务部	流动性风险
5	风险合规部	信用风险、市场风险、操作风险、法律 风险、合规风险、洗钱与恐怖融资风险
6	证券事务部	公司治理风险、公共关系风险
7	党群工作部	声誉风险