国电电力发展股份有限公司内控风险管理规定（试行）

第一章 总则

第一条 为规范和加强国电电力发展股份有限公司（以下简称公司）内控风险管理工作，根据《中华人民共和国公司法》等法律法规、国务院国资委《中央企业全面风险管理指引》（国资发改革〔2006〕108号）、财政部等五部委《企业内部控制基本规范》（财会〔2008〕7号）及其配套指引（财会〔2010〕11号）、国务院国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号），结合公司发展战略和管理实际，制定本规定。

第二条 本规定所称内控风险管理，是指企业为实现战略和经营管理目标，开展风险与控制识别、评估，以获悉所面临的风险及其类别和大小，根据风险偏好和风险承受度，分级分类制定风险应对策略，通过实施一系列制度、程序和方法，对相应业务中的风险实施有效管控，并采用风险监控和内控监督等手段，推动风险应对和控制缺陷整改，以规避或减少风险损失，为实现企业总体目标提供合理保证的动态管理过程。

第三条 公司内控风险管理坚持战略引领、价值创造、创新驱动，树立和强化管理制度化、制度流程化、流程信息化的内控理念，将内控风险管理融入公司治理和经营发展全过程，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制，推进公司健康可持续发展。

第四条 公司建立健全以“风险、内控、合规、追责”与“业绩、对标、监督、评价”两条主线为一体的管控体系，贯穿公司治理、党的建设、生产经营等各方面。将业务流程与制度管控、风险防控、合规监督、违规追责相关联、相匹配、相融合，推动公司各级管理目标到位、责任到位、执行到位。

第五条 公司坚持管理标准化、规范化运作，加强内控风险管理体系建设，建立健全内控风险管理基本制度、全面风险管理手册（含内控风险矩阵）、内部控制手册、内控评价标准、风险监控预警指标体系、内控风险典型案例库和专项风险管理指引等各类专门制度和操作规范。

第六条 内控风险管理遵循以下原则：

（一）坚持战略导向原则。内控风险管理应服务公司“常规电力能源转型排头兵、新能源发展主力军、世界一流企业建设引领者”的战略定位，围绕公司中心任务，建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控风险管理体系，切实发挥内控风险管理对企业的强基固本作用。

（二）全面性与重要性原则。内控风险管理应涵盖企业战略发展、业务运营和管理支持的各个方面，贯穿决策、执行、监督和考核全过程。在全面管控的基础上，聚焦关键业务、改革重点领域、国有资本运营重要环节以及境外国有资产监管等，加强对重大风险的管控。

（三）合规性与制衡性原则。内控风险管理应当遵循国家法律法规和相关政策，遵循国际通行规则，确保内部规章制度合法合规。在治理结构、机构设置、权责分配及业务流程等方面应形成相互制约、相互监督的制衡机制，同时兼顾运营效率。

（四）效益性与适应性原则。内控风险管理应充分权衡实施成本与预期效益，在风险应对策略和控制措施的选择方面以适当的成本实现有效的控制。并主动适应内外部环境变化，持续优化内控风险管理体系及运行机制，确保始终与企业经营规模、业务范围、竞争能力和管理水平保持匹配。

第七条 本规定适用于公司本部、所属各单位（以下简称各单位）。

第二章 组织与职责

第八条 公司党委负责内控风险管理的领导工作，统筹部署全公司内控风险管理工作，研究审议“三重一大”决策范围内的内控风险管理事项。党委成员负责组织协调分管领域内的内控风险管理工作。

第九条 公司董事会是内控风险管理的决策机构，负责总体监控内控风险管理体系的建立健全与有效实施，主要履行以下职责：

（一）贯彻落实国家和控股股东关于企业内控风险管理的规定，决定公司内控风险管理体系；

（二）批准公司内控风险管理制度，确定公司总体风险偏好、风险承受度；

（三）批准公司年度内控体系工作报告、内部控制评价报告等重要文件，定期听取公司内控风险管理工作汇报；

（四）批准公司内控风险管理其他重大事项。

第十条 公司审计委员会是公司董事会下设的专业委员会，主要履行以下职责：

（一）完成董事会委派的有关内控风险管理的监督指导工作；

（二）评估公司内控风险管理制度设计的适当性；

（三）审阅公司内部控制评价报告、外部审计机构出具的内部控制审计报告；

（四）评估公司内部控制评价和审计的结果，督促内控缺陷的整改；

（五）协调董事会授权的其他事宜及相关法律法规中涉及的其他事项。

第十一条 公司监事会依法对董事、高级管理人员履行内控风险管理职责情况进行监督。

第十二条 公司总经理是内控风险管理第一责任人，负责领导建立健全并有效运行覆盖各业务领域、各组织机构、各工作岗位的内控风险管理体系；公司其他领导负责组织拟订分管领域内控风险管理的专项制度、工作方案、应对措施并督导实施，研究分管领域内控风险管理的有关事项。

第十三条 公司经理层是内控风险管理的责任主体，负责内控风险管理体系的建立健全与有效实施，主要履行以下职责：

（一）组织建立与实施内控风险管理体系；

（二）审查公司内控风险管理基本制度、总体风险偏好和风险承受度；

（三）审查公司年度内控体系工作报告、内部控制评价报告，听取公司季度重大风险管控情况和月度风险监控预警情况汇报；

（四）批准公司全面风险管理手册、内部控制手册、内控评价标准、风险监控指标体系、专项风险管理指引等内控风险管理体系文件；

（五）批准公司年度重大风险评估结果和解决方案；

（六）审查公司内控风险管理其他重大事项。

第十四条 公司审计部是公司内控风险管理的归口部门，负责公司内控风险管理的日常工作，主要履行以下职责：

（一）拟订公司内控风险管理基本制度、总体风险偏好和风险承受度；

（二）组织督导公司及各单位建立健全内控风险管理体系和运行机制；

（三）组织建立公司内控风险矩阵、风险评估标准、内控评价标准，形成全面风险管理手册、内部控制手册等内控风险管理体系文件；

（四）组织开展年度风险评估工作，确定风险管理策略，编制重大风险解决方案；

（五）组织建立公司风险预警监控指标体系，开展风险监控预警工作；

（六）审核公司内部控制相关制度和流程；

（七）组织开展内控风险管理体系有效性检查评价和内控专项审计，制订年度内控评价工作方案，跟踪监督缺陷整改落实情况；

（八）组织编制公司年度内控体系工作报告和内部控制评价报告、季度重大风险管控情况报告、月度风险监控预警报告，经审批报送控股股东；

（九）督促开展专项风险评估工作，关注投资并购、改革改制等重大经营事项决策；

（十）对各单位内控风险管理工作进行年度考核评价；

（十一）推进公司内控风险管理信息化建设与应用；

（十二）开展内控风险管理文化培育，组织内控风险管理培训，建立、更新内控风险管理知识体系，培养专业化内控风险人才队伍。

第十五条 公司各职能部门是本部门业务领域内控风险管理的责任主体，主要履行以下职责：

（一）贯彻落实国家、控股股东和公司内控风险管理的有关规定，建立健全本部门业务领域各项管理制度和业务流程；

（二）建立健全本部门业务领域内控风险管理体系和运行机制，并不断持续优化完善；

（三）确定本部门业务领域的风险偏好、风险承受度，组织开展业务领域的内控风险管理工作；

（四）制定并落实本部门业务领域风险管理策略和重大风险解决方案；

（五）建立本部门风险监控预警指标体系，开展风险监控预警和响应处置；

（六）制定本部门业务领域专项风险管理指引，组织开展专项风险评估和应对；

（七）将内控风险管控措施嵌入本部门相关业务信息系统；

（八）开展本部门业务领域内控评价工作，查找内控缺陷并整改落实；

（九）监督检查各单位相关业务领域内控风险管理体系建立与运行情况；

（十）编制本部门年度内控体系工作报告、季度重大风险管控情况报告、月度风险监控预警报告。

公司各部门应指定一名人员作为内控风险管理联络员，负责组织协调本部门的内控风险管理日常工作。

第十六条 各单位应参照公司组织架构履职模式，建立健全本单位内控风险管理组织体系，明确归口管理部门并配备内控风险管理专责人员，其他部门配备兼职联络员。各单位主要履行以下职责：

（一）贯彻落实国家和公司内控风险管理的有关规定，建立健全本单位内控风险管理体系和运行机制，有序开展内控风险管理工作；

（二）组织制定本单位内控风险管理基本制度，确定风险偏好、风险承受度；

（三）按照公司统一要求，开展本单位年度风险评估工作，评估重大风险并落实防控；

（四）按照公司统一要求，对公司统建风险监控预警指标异常、报警状态及时响应，采取必要的应对措施。结合自身情况建立本单位风险监控预警指标体系；

（五）监督检查本单位内控风险管理体系建立与运行情况，并持续优化完善；

（六）组织开展本单位内控评价工作，查找内控缺陷并整改落实；

（七）组织编制本单位年度内控体系工作报告、重大风险季度管控情况、月度风险监控预警报告等重要文件，按要求报送公司。

第十七条 各单位主要负责人是内控风险管理第一责任人，负责领导建立健全并有效运行覆盖各业务领域、各组织机构、各工作岗位的内控风险管理体系；各单位领导班子成员对分管领域的内控风险管理负主要领导责任。

第三章 风险与控制识别

第十八条 风险与控制识别是指企业依据战略和经营管理目标，全面系统持续地收集与风险和内部控制相关的信息，结合企业所处的内外部环境，及时识别影响企业战略和经营管理目标的各类风险，并结合内部控制制度识别相应的控制措施和责任主体，健全和完善内控风险矩阵，为内控风险管理工作奠定基础。

第十九条 公司将未来的不确定性可能对企业实现战略和经营目标产生的影响作为风险管理。

第二十条 公司内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。

第二十一条 公司及各单位应以业务为依托，开展与风险和内部控制相关的信息收集工作，信息内容主要包括历史数据和未来预测，信息来源包括内部信息和外部信息。

（一）内部信息包括但不限于：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素；组织机构、经营方式、资产管理、业务流程等管理因素；研究开发、技术投入、信息技术运用等自主创新因素；财务状况、经营效益、现金流量等财务因素；运营安全、员工健康、环境保护等安全环保因素。

（二）外部信息包括但不限于：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；法律法规、监管要求等法律因素；安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术进步、工艺改进等科学技术因素；自然灾害、环境状况等自然环境因素。

第二十二条 公司及各单位应加强风险识别，查找企业各项业务和经营管理活动中的风险，以及存在何种类别的风险，并对风险内外部成因和可能对企业产生的影响进行描述，分析风险内外部成因，可能对企业产生的影响。

第二十三条 公司及各单位应对已识别的风险事项，结合内外部监管要求，制定控制措施，明确控制责任主体、控制流程、控制方式等，并按照战略、市场、财务、运营、法律等类别进行分类，搭建内控风险矩阵。

第四章 风险评估

第二十四条 风险评估是指企业采用适当的评估方法对识别出的风险，分析风险发生的可能性和条件，评估风险对企业实现战略和经营管理目标的影响程度，并评定风险等级，确定关注重点和优先控制的风险。

（一）风险评估方法包括定性方法和定量方法。定性方法可采用问卷调查、集体投票、管理层访谈等方法；定量方法可采用概率分析、统计推论、压力测试等方法。

（二）风险等级原则上分为三级：一般风险、重要风险和重大风险。一般风险，指发生可能性较低且影响程度较小的风险；重要风险，指发生可能性与影响程度介于一般风险与重大风险之间的风险；重大风险，指发生可能性且影响程度较大的风险。

第二十五条 公司每年统一组织开展年度风险评估工作，公司各部门、各单位应加强对政策、经济运行动态、大宗商品价格以及资本市场指标等变化研判，结合内控监督中发现的重大经营管理缺陷和问题，综合评估内外部风险水平，确定公司年度重大风险。

第二十六条 公司各部门、各单位应适时开展业务领域的专项风险评估。要在投资并购、改革改制等重大经营事项决策前应开展专项风险评估，作为重大经营事项决策的必备支撑。

第二十七条 公司及各单位应对风险评估实行动态管理，结合新形势、新要求，定期或不定期组织实施，以便及时掌握原有风险的变化和新增风险的水平，适时调整风险关注重点和优先控制顺序。

第五章 控制活动

第二十八条 控制活动是指企业根据风险评估结果，结合风险偏好和风险承受度，确定风险应对策略，制定内部控制目标，运用适当的内部控制措施和风险防控机制，对各种业务与风险实施有效控制。

第二十九条 风险应对策略一般包括：风险规避、风险降低、风险分担、风险承受等。

第三十条 内部控制措施主要包括：不相容职务分离控制、授权审批控制、会计系统控制、资产保护控制、预算控制、运营分析控制、绩效考评控制、审计监督控制、信息系统控制等。

（一）不相容职务分离控制。企业要全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

（二）授权审批控制。企业要根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任，严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责。对于重大的业务和事项，应实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。

（三）会计系统控制。企业要严格执行国家会计准则制度，加强会计基础工作，明确会计凭证、会计账薄和财务会计报告的处理程序，保证会计资料真实完整。依法设置会计机构，配备会计从业人员。

（四）资产保护控制。企业要建立资产日常管理制度和定期清查制度，严格限制未经授权的人员接触和处置资产，采取资产记录、实物保管、定期盘点、账实核对等措施，确保资产安全完整。严格限制未经授权的人员接触和处置财产。

（五）预算控制。企业要实施全面预算管理制度，明确各责任主体在预算管理中的职责权限，规范预算编制、审批、下达和执行程序，强化预算约束。

（六）运营分析控制。企业要建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

（七）绩效考评控制。企业要建立和实施绩效考评制度，科学设置考核指标体系，对内部各责任部门和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。

（八）审计监督控制。企业要建立内部审计监督制度，结合内控的有关要求、方法、标准与流程，明确规定审计监督的对象、内容、方式和负责审计检查的部门等，对内部控制有效性进行监督检查。

（九）信息系统控制。企业要将内控措施嵌入各类业务信息系统，通过规范业务系统的审批流程及各层级管理人员权限设置，确保系统自动识别并终止超越权限、逾越程序和审核材料不健全等行为，对各项经营管理决策和执行活动可控制、可追溯、可检查，减少人为违规操纵因素。

第三十一条 控制措施要满足合规的要求，突出关注重点领域、重点环节和重点人员所涉风险的控制措施合规性。

第三十二条 公司及各单位应落实“管业务必须管风险”责任，在具体业务制度的制定、审核和修订中嵌入统一的内控风险管理要求，明确重要业务领域和关键环节的控制要求和风险应对措施，并将违规经营投资责任追究内容纳入企业内部管理制度中。

第三十三条 公司及各单位应建立重大风险全过程管控机制，明确重大风险事前预防、事中控制、事后改进的措施，并根据重大风险变化及措施执行效果，做好风险隔离，防止风险由“点”扩“面”，提高风险防范化解能力。

第三十四条 公司及各单位应建立专项风险治理机制，要认真组织制定并实施负责业务领域风险解决方案，确保各项控制措施落实到位。针对重要业务领域，应制定专项风险管理指引，作为开展专项风险评估与应对的主要依据。

第三十五条 公司及各单位应建立突发风险应急处理机制，制定应急预案、明确责任人员、规范处置程序，定期开展应急培训和演练等，确保突发事件及时妥善处理。

第三十六条 公司建立内控风险典型案例库，收集汇总公司内外部典型性、代表性内控风险管理案例，帮助企业发掘有效消除风险隐患和加强内部控制的可借鉴、可操作的途径，发挥正向先进引领和反向警示教育作用，推动提升内控风险管理水平。

第三十七条 公司及各单位应结合不同发展阶段和业务拓展情况，定期总结和分析已制定的风险应对策略、风险解决内控方案的有效性和合理性，及时修订和完善。

第六章 控制监督

第三十八条 控制监督是指企业对风险变化情况和内部控制的有效性进行监督，客观、真实、准确揭示经营管理中存在的内控缺陷、风险隐患和合规问题，促进内控风险管理持续优化。

第三十九条 公司及各单位应加强风险控制监督，健全完善风险监控预警指标体系，完善风险预警机制，开展风险量化监测。

（一）风险监控指标要与公司战略发展和经营管理核心绩效指标有机融合，按照相关性、敏感性、可行性、可衡量性原则设定，根据风险水平合理设置的预警区间，依托信息系统实现监控与展示。

（二）风险预警机制设置正常、异常和报警三个预警等级及各级预警阈值，明确各风险监控指标的责任主体，规范指标提报或读取路径、报送要求与频率、响应处置程序等。

第四十条 公司建立风险分级分类监控机制，公司和各单位分别负责监控本级面临的风险（公司以监控系统性、组合性重大风险为主），各部门负责监控本部门业务领域的各类风险。

第四十一条 公司各部门、各单位应对负责业务领域的风险监控预警指标按月度进行跟踪，及时分析指标异常或报警原因，深入查找风险变化规律，预判风险发展趋势，采取应对措施积极响应，推动指标改进完善。

第四十二条 公司结合内外部环境变化、历史习惯性高危时段与时点、典型案例等，对风险事件频发、指标持续和频繁报警的部门及单位发布风险提示函，督导改进。

第四十三条 公司建立内部控制监督机制，定期对内控风险管理体系建立与实施情况进行专项审计及内部控制评价，准确揭示风险隐患和内控缺陷，不断完善内控风险管理体系建设。

第四十四条 公司建立内控评价标准，规范评价要素、缺陷认定标准。对发现的内部控制设计缺陷和执行缺陷，要及时分析缺陷的性质和产生原因，提出解决方案。

第四十五条 公司每年组织各单位对内控风险管理体系建设与运行情况进行全面自我评价，各单位应以规范流程、消除盲区、有效运行为重点，组织开展自评。

第四十六条 公司审计部在各单位内控风险自评的基础上，制定监督评价方案，围绕重点业务、关键环节、重要岗位及上一年度风险事件和内控缺陷整改情况，组织开展监督评价，确保每三年覆盖全部单位。

第四十七条 公司对存在内控风险管理不到位、内控自我评价零缺陷、重大风险事件和合规问题频发等业务领域或单位，组织开展专项审计。

第七章 管理改进

第四十八条 管理改进是指企业对控制监督中发现的内控缺陷、风险和合规问题，制定管理改进计划并持续跟踪完善，形成内控风险管理促进业务提升、业务发展推动内控风险管理优化的长效联动机制。

第四十九条 公司及各单位应建立缺陷整改责任机制，对控制监督中发现的内控缺陷、风险隐患，制定管理改进工作方案，明确整改责任主体、整改措施和完成时限，推动企业完善管理制度。

第五十条 公司及各单位应建立缺陷整改督导机制，定期跟踪监督内控缺陷、风险隐患整改情况，实行挂销号管理。对存在未整改、整改效果不明显、同一风险和内控缺陷频发等情况的单位进行通报，对存在潜在风险和典型性、普遍性内控缺陷进行提示。

第五十一条 公司及各单位应建立内控风险管理更新优化机制。根据发展战略和经营管理目标，定期总结、分析内控风险管理体系建设和运行的有效性、合理性，不断优化内控风险管理流程中的各环节，并相应更新内控风险管理体系文件。

第八章 内控风险报告

第五十二条 公司建立沟通与报告机制，明确内控风险管理信息收集、处理和传递程序，确保信息及时沟通报告。内控风险管理报告分为定期报告和不定期报告。

（一）定期报告包括年度内控体系工作报告和内部控制评价报告、季度重大风险管控报告、月度风险监控预警报告。

（二）不定期报告包括重大经营风险事件报告、专项风险评估报告、风险提示等。

第五十三条 公司各部门、各单位应每月向公司审计部报送月度风险监控预警响应处置报告；每季度向公司审计部报送季度重大风险管控报告。

第五十四条 公司各部门、各单位应于每年初向公司审计部报送上年度内控体系工作报告，公司审计部汇总整理形成公司年度内控体系工作报告。

第五十五条 公司各部门、各单位应按照公司年度内控评价工作安排，报送内控自我评价相关文件，按季度报送内控缺陷整改情况。

第五十六条 各单位在日常工作中突发的风险事件（事故）或发现的重大风险隐患，应依据公司《重大经营风险事件报告管理办法》（国电股审〔2020〕493号）及时向公司审计部和相关职能部门报告，不得拖延或谎报、瞒报。

第九章 考核与追责

第五十七条 公司建立内控风险管理考核机制，每年末对存在内控风险管理制度不健全、内控风险管理体系执行不力、瞒报漏报谎报内部控制自评结果、整改落实不到位等情况的单位或个人给予考核，考核意见纳入公司绩效考核体系。

第五十八条 公司建立内控风险管理责任追究机制，依据公司《违规经营投资责任追究工作管理办法》（国电股审〔2021〕1020号）和相关规定，追究有关单位和人员的责任：

（一）因内控风险管理制度缺失或未按制度执行，导致本单位存在重大控制缺陷或发生重大风险造成重大利益损失的；

（二）因存在重大控制缺陷，导致外部审计机构对内部控制有效性出具否定意见的；

（三）存在对重大风险隐患、内部控制缺陷、合规问题等的失察，或瞒报漏报谎报等造成重大资产损失或其他严重不良后果的；

（四）存在其他违反本规定的行为，造成重大资产损失或其他严重不良后果的。

第十章 附则

第五十九条 各单位应根据本规定，结合实际情况，制定本单位内控风险管理制度。

第六十条 本规定由公司董事会解释、修订，并自董事会审议通过之日起生效。原《国电电力发展股份有限公司全面风险管理办法》（国电股法〔2017〕1181号）、《国电电力发展股份有限公司内部控制基本制度》（国电股法〔2017〕1181号）同时废止。