风险管理流程

1.风险管理制度

第一章总则

第一条为公司的风险管理,建立规范、有效的风险控制体系,提高风险

防范能力,保证公司安全、稳健运行,提高经营管理水平,根据《中华人

民共和国公司法》、《企业内部控制基本规范》等法律、法规和规范性

文件的有关规定,结合公司的实际情况,制定本制度。

第二条本制度旨在公司为实现以下目标提供合理保证:(一)将风险

控制在与总体目标相适应并可承受的范围内;(二)实现公司内外部信

息沟通的真实、可靠;(三)确保法律法规的遵循;(四)提高公司经营的

效益及效率;(五)确保公司建立针对各项重大风险发生后的危机处理

计划,使其不因灾害性风险或人为失误而遭受重大损失。

第三条公司风险是指未来的不确定性对公司实现其经营目标的影响。

第四条按照公司目标的不同对风险进行分类,公司风险分为:战略风

险、经营风险、财务风险和法律风险。(一)战略风险:没有制定或制

定的战略决策不正确,影响战略目标实现的负面因素。(二)经营风险:

经营决策的不当,妨碍或影响经营目标实现的因素。(三)财务风险:包

括财务报告失真风险、资产安全受到威胁风险和舞弊风险。1、财务

报告失真风险。没有完全按照相关会计准则的规定组织会计核算和编

制财务会计报告,没有按规定披露相关信息,导致财务会计报告和信息

披露不完整、不准确、不及时。2、资产安全受到威胁风险。没有建

立或实施相关资产管理制度,导致公司的资产如设备、存货、有价证

券和其他资产的使用价值和变现能力的降低或消失。3、舞弊风险。

以故意的行为获得不公平或非正当的收益。(四)法律风险:没有全面、

认真执行国家法律、法规和政策等有关文件的规定,影响合规性目标

实现的因素。

第五条按风险能否为公司带来盈利机会,风险可分为纯粹风险和机

会风险。

第六条按照风险的影响程度,风险可分为一般风险和重要风险。

第七条本制度适用于公司。

第二章风险管理及职责分工

第八条公司各部门为风险管理第一道防线;总经理下设的安全部会为

风险管理第二道防线;董事会为风险管理第三道防线。

第九条公司各部门在风险、控制管理方面的主要职责:(一)公司各部

门按照公司内控部门制定的风险评估的总体方案,根据业务分工,配合

内控项目组识别、分析相关业务流程的风险,确定风险反应方案。(二)

根据识别的风险和确定的风险反应方案,按照公司确定的控制设计方

法和描述工具,设计并记录相关控制,根据风险管理的要求,修改完善

控制设计。包括:建立控制管理制度,按照规定的方法和工具描述业务

流程,编制风险控制文档和程序文件等。(三)组织控制制度的实施,监

督控制制度的实施情况,发现、收集、分析控制缺陷,提出控制缺陷改

进意见并予以实施。对于重大缺陷和实质性漏洞,除向部门分管领导

汇报情况外,还应向公司安全部反馈情况,以便公司监控内部控制体系

的运行情况。(四)配合安全部等部门对控制失效造成重大损失或不

良影响的事件进行调查、处理。

第三章风险管理初始信息的收集

第十一条广泛、持续不断地收集与公司风险和风险管理相关的内部、

外部初始信息,包括历史数据和未来预测,应把收集初始信息的职责分

工落实到各部门。

第十二条在战略风险方面,广泛收集国内外公司战略风险失控导致

公司蒙受损失的案例,并收集与公司相关的宏观经济政策、技术环境、

市场需求、竞争状况等方面的重要信息,重点关注公司发展战略和规

划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规

划、计划、目标的有关依据。

第十三条在财务风险方面,广泛收集国内外公司财务风险失控导致

危机的案例,收集与公司获利能力、资产营运能力、偿债能力、发展

能力指标的重要信息,重点关注成本核算、资金结算和现金管理业务

中曾发生或易发生错误的业务流程或环节。

第十四条在经营风险方面,广泛收集国内外公司忽视市场风险、缺乏

应对措施导致公司蒙受损失的案例,收集与公司产品结构、市场需求、

竞争对手、主要客户和供应商等方面的重要信息,对现有业务流程和

信息系统操作运行情况的进行监管、运行评价及3持续改进,分析公

司风险管理的现状和能力。

第十五条在法律风险方面,广泛收集国内外公司忽视法律法规风险、

缺乏应对措施导致公司蒙受损失的案例,收集与公司法律环境、员工

道德、重大协议合同、重大法律纠纷案件等方面的信息。

第十六条公司对收集的初始信息应进行必要的筛选、提炼、对比、

分类、组合,以便进行风险评估。

第四章风险评估

第十七条公司风险评估主要经过确立风险管理理念和风险接受程度、

目标制定、风险识别、风险分析和风险对策等五个基本程序来进行。

第十八条确立公司风险管理理念和风险接受程度是公司进行风险评

估的基础。(一)公司风险管理理念是公司如何认知整个经营过程(从

战略制定和实施到公司日常活动)中的风险为特征的公司共有的信念

和态度。公司实行稳健的风险管理理念,对于高风险投资项目采取谨

慎介入的态度。(二)风险接受程度是指公司在追求目标实现过程中

愿意接受的风险程度。一般来讲,公司可将风险接受程度分为三

类:“高”、“中”或“低”。公司从定性角度考虑风险接受程度,整体上讲,

公司把风险接受程度确定为“低”类,即公司在经营管理过程中,采取谨

慎的风险管理态度,可以接受较低程度的风险发生。公司的风险接受

程度选择也与公司的风险管理理念保持一致。

第十九条目标制定是风险识别、风险分析和风险对策的前提。公司

必须首先制定目标,在此之后,才能识别和评估影响目标实现的风险并

且采取必要的行动对这些风险实施控制。公司目标包括战略目标、经

营目标、合规性目标和财务报告目标四个方面。目标确定必须符合国

家的法律法规和行业发展规划,符合公司战略发展计划,符合深交所和

监管机构的规定。

第二十条风险识别就是识别可能阻碍实现公司目标、阻碍公司创造

价值或侵蚀现有价值的因素。公司可以采取问卷调查、小组讨论、专

家咨询、情景分析、政策分析、行业标杆比较、访谈法等识别风险。

公司应当准确识别与实现控制目标相关的内部风险和外部风险,以便

确定相应的风险承受度。(一)公司识别内部风险,应当关注下列因素:

1、董事、经理及其他高级管理人员的职业操守、员工专业胜任能力

等人力资源因素。2、组织机构、经营方式、资产管理、业务流程等

管理因素。3、研究开发、技术投入、信息技术运用等自主创新因素。

4、财务状况、经营成果、现金流量等财务因素。5、营运安全、员

工健康、环境保护等安全环保因素。6、其他有关内部风险因素。(二)

公司识别外部风险,应当关注下列因素:1、经济形势、产业政策、融

资环境、市场竞争、资源供给等经济因素。2、法律法规、监管要求

等法律因素。3、安全稳定、文化传统、社会信用、教育水平、消费

者行为等社会因素。4、技术进步、工艺改进等科学技术因素。5、

自然灾害、环境状况等自然环境因素。6、其他有关外部风险因素。

第二十一条风险分析主要从风险发生的可能性和对公司目标的影响

程度两个角度,对识别的风险进行分析和排序,确定关注重点和优先控

制的风险。风险分析方法一般采用定性和定量方法组合而成。在风险

分析不适宜采取定量分析的情况下,或者用于定量分析所需要的足够

可信的数据无法获得,或者获取成本很高时,公司通常使用定性分析法。

公司对风险进行分析,确认哪些风险应当引起重视、哪些风险予以一

般关注,对于需要重视的风险,再进一步划分,分别确认为“重要风险”与

“一般风险”,从而为风险对策奠定基础。风险的重要程度的判断主要

根据风险发生的可能性和影响程度来确定:(一)如果风险发生的可能

性属于“极小可能发生”的,该风险就可不被关注;(二)如果风险发生的

可能性高于或等于“可能发生”,且风险的影响程度小,就将该类风险确

定为一般风险;(三)如果风险发生的可能性等于或高于“风险可能发

生”,且风险的影响程度大,就将该类风险确定为重要风险。公司进行

风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范

的程序开展工作,以确保风险分析结果的准确性。

第二十二条风险对策。公司应该根据风险分析的结果,结合风险发生

的原因以及承受度,权衡分险与收益,选择风险应对方案:规避风险、接

受风险、减少风险或分担风险。5(一)规避风险:指公司对超出风险承

受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减

轻损失的对策。如停止向一个新的地理区域市场扩大业务。(二)减

少风险:指公司在权衡成本效益之后,准备采取适当的控制措施降低风

险或者减轻损失,将风险控制在风险承受度之内的对策。(三)分担风

险:指公司准备借助他人力量,采取业务分包、购买保险等方式和适当

的控制措施,将风险控制在风险承受度之内的对策。(四)接受风险:指

公司对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制

措施降低风险或者减轻损失的策略。公司在确定具体的风险应对方

案时,应考虑以下因素:1、风险应对方案对风险可能性和风险程度的

影响,风险应对方案是否与公司的风险容忍度一致;2、对方案的成本

与收益比较;3、对方案中可能的机遇与相关的风险进行比较;4、充

分考虑多种风险应对方案的组合;5、合理分析、准确掌握董事、经理

及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措

施,避免因个人风险偏好给企业经营带来重大损失;6、结合不同发展

阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别

和风险分析,及时调整风险应对策略。

第五章风险管理解决方案

第二十三条公司根据风险应对策略,针对各类风险或每一项重大风

险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所

需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,

风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。

第二十四条根据经营战略与风险策略一致、风险控制与运营效率及

效果相平衡的原则,公司制定风险解决的内控方案,针对重大风险所涉

及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他

风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措

施。

第二十五条公司制定合理、有效的内控措施,包括以下内容:(一)建立

内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条

件、范围和额度等,任何组织和个人不得超越授权作出风险性决定;(二)

建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内

容、频率、传递路线、负责处理报告的部门和人员等;(三)建立内控

批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、

范围和额度、必备文件以及有权批准的部门和人员及其相应责任;(四)

建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定

各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;(五)建

立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明

确规定审计检查的对象、内容、方式和负责审计检查的部门等;(六)

建立内控考核评价制度。公司应把单位风险管理执行情况与绩效薪酬

挂钩;(七)建立重大风险预警制度和突发事件应急处理机制。明确风

险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确

责任人员、规范处置程序,确保突发事件得到及时妥善处理;(八)建立

健全公司法律顾问制度。大力加强公司法律风险防范机制建设,形成

由公司决策层主导、公司法律顾问提供业务保障、全体员工共同参与

的法律风险责任体系。完善公司重大法律纠纷案件的备案管理制度;

(九)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包

括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。

对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明

确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责

任;将该岗位作为内部审计的重点等。

第二十六条公司应当按照各有关部门和业务单位的职责分工,认真

组织实施风险管理解决方案,确保各项措施落实到位。

第六章风险管理的监督与改进

第二十七条公司建立贯穿于整个风险管理基本流程,连接各上下级、

各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、

准确、完整,为风险管理监督与改进奠定基础。

第二十八条公司各有关部门和业务单位应定期对风险管理工作进行

自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送公司

风险管理职能部门。

第二十九条公司安全部定期或不定期对各有关部门能否按照有关规

定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直

接报送董事会进行审计

2.风险评价管理制度

1.目的:为了充分识别本公司在活动、产品、服务过程可控制和可施

加影响的危害因素，并评价风险，以对其进行有效的控制和管理，特

制定本制度。

2.适用范围:本程序适用于本公司区域内活动、产品和服务全过程中

的危害因素、风险的识别、评价、更新和管理。

3.原则：遵循“科学合理，及时评价，明确风险等级”的原则。

4.风险评价组织机构：

组长：公司法人、董事长

副组长：总经理、副总经理

组员：其他部门负责人以及各车间主任

5.职责

5.1董事长负责组织危害因素的识别和风险的评价，审批危害因素和

风险清单。也可由总经理代替董事长进行识别和评价

5.2安全部负责组织相关部门进行危害因素识别、风险评价、控制策

划和更新。

5.3各部门配合安全部识别本部门的危害因素并评价本部门的风险。

6.工作程序

6.1划分作业活动：由生产技术部门根据工艺流程、生产过程等划分

金鑫各部门、车间的作业活动，并以文件的形式下发给各部门、车间。

各部门要根据公司划分的作业活动，结合生产实际情况形成自己的作

业活动清单。

6.2危害因素识别

6.2.1识别范围

6.2.1.1危害因素识别的范围应包括：

a）规划、设计和建设、投产、运行等阶段；

b)常规和异常活动；

c)事故及潜在的紧急情况；

d)所有进入作业场所的人员（包括合同方和访问者）的活动；

e)原材料、产品的运输和使用过程；

f)作业场所的设施、设备、车辆、安全防护用品；

g)人为因素，包括违反安全操作规程和安全生产规章制度；

h)丢弃、废弃、拆除与处置；

i)气候、地震及其他自然灾害等。

6.2.2识别方法

6.2.2.1危害因素可通过询问、观察、查阅有关资料、全员调查、工

作危害分析、安全检查表、预危险性分析等方法进行识别。

6.2.2.2工作危害分析（JHA）：是从作业活动清单中选定一项作业活

动，将作业活动分解为若干个相连的工作步骤，识别每个工作步骤的

潜在危害因素，然后通过风险评价，判定风险等级，制定控制措施。

6.2.2.3安全检查表分析（SCL）：是一种经验的分析方法，是分析容

易针对拟分析的对象列出一些项目，识别与一般工艺设备和操作有关

的已知类型的危害、设计缺陷以及事故隐患，查出各层次的不安全因

素，然后确定检查项目。再以提问的方式把检查项目按系统的组成顺

序编制成表，以便进行检查或评审。

安全检查表分析可用于对物质、设备、工艺、作业场所或操作规

程的分析。

6.2.2.4预先危险分析（PHA）也可称为危险性预先分析，是在每项

工程、活动之前（如设计、施工、生产之前），或技术改造之后（即

制定操作规程前和使用新工艺等情况之后），对系统存在的危险因素

类型、来源、出现条件、导致事故的后果以及有关防范措施等作一概

略分析的方法。

6.2.3识别的分级管理

6.2.3.1体系内各单位根据文件划分的作业活动识别本部门的危害因

素，填入危害因素登记表，并及时上报安全部，上报数据时优先以电

子版为主。

6.2.3.2安全部根据各部门、车间识别的危害因素，进行审核、登记、

汇总，编制公司的危害因素登记表报公司安办审批，并将审批后的清

单发放到各有关部门和单位。

6.3风险评价

6.3.1风险评价应考虑的因素

风险评价组织在进行风险评价时，应从影响人、财产和环境等三个方

面的可能性和严重程度分析，重点考虑以下因素：

火灾和爆炸；

冲击和撞击；

中毒、窒息和触电；

有毒有害物料、气体的泄露；

其他化学、物理性危害因素；

人机工程因素；

设备的服饰、缺陷；

对环境的可能影响等。

6.3.2风险评价方法、准则

风险评价是评价风险程度并确定其是否在可接受范围的全过程。体系

内各单位可按风险度R=可能性L×后果严重性S，计算出风险值，判

断是否属于可接受风险，确定风险等级。

事件发生的可能性L判断准则见表1，事件后果严重性S判断准则见

表2，风险等级判断准则及控制措施见表3。

表1事件发生的可能性L判断准则

等级标准

5

在现场没有采取防范、监测、保护、控制措施，或危害的发

生不能被发现（没有监测系统），或在正常情况下经常发生此

类事故或事件

4

危害的发生不容易被发现，现场没有检测系统，也未作过任

何监测，或在现场有控制措施，但未有效执行或控制措施不

当，或危害常发生或在预期情况下发生

3

没有保护措施（如没有保护装置、没有个人防护用品等），或

未严格按操作程序执行，或危害的发生容易被发现（现场有

监测系统），或曾经作过监测，或过去曾经发生类似事故或事

件，或在异常情况下发生过类似事故或事件

2

危害一旦发生能及时发现，并定期进行监测，或现场有防范

控制措施，并能有效执行，或过去偶尔发生危险事故或事件

1

有充分、有效的防范、控制、监测、保护措施，或员工安全

卫生意识相当高，严格执行操作规程。极不可能发生事故或

事件

表2事件后果严重性S判断准则

等

级

法律、法规及

其他要求

人

财产损

失/万元

停工公司形象

5

违法法律、法规和

标准

死亡＞50

部分装置（＞2

套）或设备停工

重大国际

国内影响

4

潜在违反法规和

标准

丧失劳动能

力

＞25

2套装置停工、

或设备停工

行业内、省

内影响

3

不符合上级公司

或行业的安全方

针、制度、规定等

截肢、骨折、

听力丧失、

慢性病

＞10

1套装置停工、

或设备停工

地区影响

2

不符合公司的安

全操作规程、规定

轻微受伤、

间歇不舒服

＜10

受影响不大，几

乎不停工

公司及周

边影响

1完全符合无伤亡无损失没有停工

形象没有

受损

表3风险等级判断准则及控制措施

风险度R等级应采取的行动/控制措施实施期限

20~25巨大风险Ⅴ

在采取措施减低危害前，不能继续作

业，对改进措施进行评估

立刻

15~16重大风险Ⅳ

采取紧急措施降低风险，建立运行控制

程序，定期检查、测量及评估

立即或近期

整改

9~12中等Ⅲ

可考虑建立目标、建立操作规程，加强

培训及沟通

2年内治理

4~8可接受Ⅱ

可考虑建立操作规程、作业指导书但需

定期检查

有条件、有经

费时治理

＜4

轻微或可忽

略的风险Ⅰ

无需采取控制措施，但需保存记录

6.3.3风险评价的分级管理

6.3.3.1体系内各部门、车间根据本部门、车间的危害因素，由各部

门、车间领导组织技术员、安全员、设备管理员、材料员等共同讨论

评价出本部门、车间的风险，填入风险评价表，并及时上报安全部，

上报数据时以资料式或电子版式。

6.3.3.2安全部对各单位上报的风险评价表进行审核、确认和汇总。

6.3.3.3安全部根据评价结果列出风险评价表报公司安办审批，并将

审批后的风险清单发放到各有关部门、车间。

6.3.3.4体系内各部门、车间对本部门评价出的风险必须加以控制，

同时各部门、车间可根据本部门、车间实际情况增加本部门、车间的

风险评价。

6.4风险控制的策划

体系内各部门、车间对评价出的风险，根据自身情况、财务状况和可

选技术等因素，确定优先控制的顺序，然后有针对性的制定切实可行

的预防和控制措施加以控制，形成风险控制策划表。具体控制措施包

括工程技术措施、管理措施、教育措施、个体防护措施。

6.5风险控制的实施

6.5.1体系内各部门、车间应将确定的控制措施，按照优先顺序，逐

项进行落实。对确定为重大隐患项目的风险，应该制定隐患治理方案，

明确责任人、责任部门、技术方法、资源、时间表，并定期对方案的

实施情况进行检查，确保隐患治理方案的有效实施。重大隐患项目治

理结束后，有关部门应进行验收，形成报告。

6.5.2安全部应建立重大隐患项目档案，对项目的立项、治理、竣工

验收等过程进行管理。重大隐患档案应包括以下内容：评价报告与技

术结论；评审意见；隐患治理方案，包括资金预算情况等；治理时间

表和责任人；竣工验收报告。

6.5.3体系内各部门、车间应将风险评价的结果、制定的控制措施，

包括修订和新制定的操作规程，及时向从业人员进行宣传、培训教育，

以使从业人员熟悉其岗位和工作环境中的风险，应该采取的控制措施，

保护从业人员的生命安全，保证安全生产。

6.6危害因素的更新

6.6.1为保持信息的有效性，根据公司生产经营的特点，由安全部组

织相关人员对危害因素每年进行一次重新识别、评价和更新。

6.6.2对新建项目，在项目策划时，由项目负责人组织识别、评价，

将识别评价后的危害因素清单报安全部。

6.6.3发生下列情况时，安全部应及时组织相关人员进行识别、评价

与更新。

a)新的或变更的法律法规或其他要求；

b)操作变化或工艺改变；

c)新建、改建、扩建、技改项目；

d)有对事故、事件或其他信息的新认识；

e)组织机构发生大的调整。

第一章总则

第一条为公司的风险管理,建立规范、有效的风险控制体系,提高风险

防范能力,保证公司安全、稳健运行,提高经营管理水平,根据《中华人

民共和国公司法》、《企业内部控制基本规范》等法律、法规和规范性

文件的有关规定,结合公司的实际情况,制定本制度。

第二条本制度旨在公司为实现以下目标提供合理保证:(一)将风险

控制在与总体目标相适应并可承受的范围内;(二)实现公司内外部信

息沟通的真实、可靠;(三)确保法律法规的遵循;(四)提高公司经营的

效益及效率;(五)确保公司建立针对各项重大风险发生后的危机处理

计划,使其不因灾害性风险或人为失误而遭受重大损失。

第三条公司风险是指未来的不确定性对公司实现其经营目标的影响。

第四条按照公司目标的不同对风险进行分类,公司风险分为:战略风

险、经营风险、财务风险和法律风险。(一)战略风险:没有制定或制

定的战略决策不正确,影响战略目标实现的负面因素。(二)经营风险:

经营决策的不当,妨碍或影响经营目标实现的因素。(三)财务风险:包

括财务报告失真风险、资产安全受到威胁风险和舞弊风险。1、财务

报告失真风险。没有完全按照相关会计准则的规定组织会计核算和编

制财务会计报告,没有按规定披露相关信息,导致财务会计报告和信息

披露不完整、不准确、不及时。2、资产安全受到威胁风险。没有建

立或实施相关资产管理制度,导致公司的资产如设备、存货、有价证

券和其他资产的使用价值和变现能力的降低或消失。3、舞弊风险。

以故意的行为获得不公平或非正当的收益。(四)法律风险:没有全面、

认真执行国家法律、法规和政策等有关文件的规定,影响合规性目标

实现的因素。

第五条按风险能否为公司带来盈利机会,风险可分为纯粹风险和机

会风险。

第六条按照风险的影响程度,风险可分为一般风险和重要风险。

第七条本制度适用于公司。

第二章风险管理及职责分工

第八条公司各部门为风险管理第一道防线;总经理下设的安全部会为

风险管理第二道防线;董事会为风险管理第三道防线。

第九条公司各部门在风险、控制管理方面的主要职责:(一)公司各部

门按照公司内控部门制定的风险评估的总体方案,根据业务分工,配合

内控项目组识别、分析相关业务流程的风险,确定风险反应方案。(二)

根据识别的风险和确定的风险反应方案,按照公司确定的控制设计方

法和描述工具,设计并记录相关控制,根据风险管理的要求,修改完善

控制设计。包括:建立控制管理制度,按照规定的方法和工具描述业务

流程,编制风险控制文档和程序文件等。(三)组织控制制度的实施,监

督控制制度的实施情况,发现、收集、分析控制缺陷,提出控制缺陷改

进意见并予以实施。对于重大缺陷和实质性漏洞,除向部门分管领导

汇报情况外,还应向公司安全部反馈情况,以便公司监控内部控制体系

的运行情况。(四)配合安全部等部门对控制失效造成重大损失或不

良影响的事件进行调查、处理。

第三章风险管理初始信息的收集

第十一条广泛、持续不断地收集与公司风险和风险管理相关的内部、

外部初始信息,包括历史数据和未来预测,应把收集初始信息的职责分

工落实到各部门。

第十二条在战略风险方面,广泛收集国内外公司战略风险失控导致

公司蒙受损失的案例,并收集与公司相关的宏观经济政策、技术环境、

市场需求、竞争状况等方面的重要信息,重点关注公司发展战略和规

划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规

划、计划、目标的有关依据。

第十三条在财务风险方面,广泛收集国内外公司财务风险失控导致

危机的案例,收集与公司获利能力、资产营运能力、偿债能力、发展

能力指标的重要信息,重点关注成本核算、资金结算和现金管理业务

中曾发生或易发生错误的业务流程或环节。

第十四条在经营风险方面,广泛收集国内外公司忽视市场风险、缺乏

应对措施导致公司蒙受损失的案例,收集与公司产品结构、市场需求、

竞争对手、主要客户和供应商等方面的重要信息,对现有业务流程和

信息系统操作运行情况的进行监管、运行评价及3持续改进,分析公

司风险管理的现状和能力。

第十五条在法律风险方面,广泛收集国内外公司忽视法律法规风险、

缺乏应对措施导致公司蒙受损失的案例,收集与公司法律环境、员工

道德、重大协议合同、重大法律纠纷案件等方面的信息。

第十六条公司对收集的初始信息应进行必要的筛选、提炼、对比、

分类、组合,以便进行风险评估。

第四章风险评估

第十七条公司风险评估主要经过确立风险管理理念和风险接受程度、

目标制定、风险识别、风险分析和风险对策等五个基本程序来进行。

第十八条确立公司风险管理理念和风险接受程度是公司进行风险评

估的基础。(一)公司风险管理理念是公司如何认知整个经营过程(从

战略制定和实施到公司日常活动)中的风险为特征的公司共有的信念

和态度。公司实行稳健的风险管理理念,对于高风险投资项目采取谨

慎介入的态度。(二)风险接受程度是指公司在追求目标实现过程中

愿意接受的风险程度。一般来讲,公司可将风险接受程度分为三

类:“高”、“中”或“低”。公司从定性角度考虑风险接受程度,整体上讲,

公司把风险接受程度确定为“低”类,即公司在经营管理过程中,采取谨

慎的风险管理态度,可以接受较低程度的风险发生。公司的风险接受

程度选择也与公司的风险管理理念保持一致。

第十九条目标制定是风险识别、风险分析和风险对策的前提。公司

必须首先制定目标,在此之后,才能识别和评估影响目标实现的风险并

且采取必要的行动对这些风险实施控制。公司目标包括战略目标、经

营目标、合规性目标和财务报告目标四个方面。目标确定必须符合国

家的法律法规和行业发展规划,符合公司战略发展计划,符合深交所和

监管机构的规定。

第二十条风险识别就是识别可能阻碍实现公司目标、阻碍公司创造

价值或侵蚀现有价值的因素。公司可以采取问卷调查、小组讨论、专

家咨询、情景分析、政策分析、行业标杆比较、访谈法等识别风险。

公司应当准确识别与实现控制目标相关的内部风险和外部风险,以便

确定相应的风险承受度。(一)公司识别内部风险,应当关注下列因素:

1、董事、经理及其他高级管理人员的职业操守、员工专业胜任能力

等人力资源因素。2、组织机构、经营方式、资产管理、业务流程等

管理因素。3、研究开发、技术投入、信息技术运用等自主创新因素。

4、财务状况、经营成果、现金流量等财务因素。5、营运安全、员

工健康、环境保护等安全环保因素。6、其他有关内部风险因素。(二)

公司识别外部风险,应当关注下列因素:1、经济形势、产业政策、融

资环境、市场竞争、资源供给等经济因素。2、法律法规、监管要求

等法律因素。3、安全稳定、文化传统、社会信用、教育水平、消费

者行为等社会因素。4、技术进步、工艺改进等科学技术因素。5、

自然灾害、环境状况等自然环境因素。6、其他有关外部风险因素。

第二十一条风险分析主要从风险发生的可能性和对公司目标的影响

程度两个角度,对识别的风险进行分析和排序,确定关注重点和优先控

制的风险。风险分析方法一般采用定性和定量方法组合而成。在风险

分析不适宜采取定量分析的情况下,或者用于定量分析所需要的足够

可信的数据无法获得,或者获取成本很高时,公司通常使用定性分析法。

公司对风险进行分析,确认哪些风险应当引起重视、哪些风险予以一

般关注,对于需要重视的风险,再进一步划分,分别确认为“重要风险”与

“一般风险”,从而为风险对策奠定基础。风险的重要程度的判断主要

根据风险发生的可能性和影响程度来确定:(一)如果风险发生的可能

性属于“极小可能发生”的,该风险就可不被关注;(二)如果风险发生的

可能性高于或等于“可能发生”,且风险的影响程度小,就将该类风险确

定为一般风险;(三)如果风险发生的可能性等于或高于“风险可能发

生”,且风险的影响程度大,就将该类风险确定为重要风险。公司进行

风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范

的程序开展工作,以确保风险分析结果的准确性。

第二十二条风险对策。公司应该根据风险分析的结果,结合风险发生

的原因以及承受度,权衡分险与收益,选择风险应对方案:规避风险、接

受风险、减少风险或分担风险。5(一)规避风险:指公司对超出风险承

受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减

轻损失的对策。如停止向一个新的地理区域市场扩大业务。(二)减

少风险:指公司在权衡成本效益之后,准备采取适当的控制措施降低风

险或者减轻损失,将风险控制在风险承受度之内的对策。(三)分担风

险:指公司准备借助他人力量,采取业务分包、购买保险等方式和适当

的控制措施,将风险控制在风险承受度之内的对策。(四)接受风险:指

公司对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制

措施降低风险或者减轻损失的策略。公司在确定具体的风险应对方

案时,应考虑以下因素:1、风险应对方案对风险可能性和风险程度的

影响,风险应对方案是否与公司的风险容忍度一致;2、对方案的成本

与收益比较;3、对方案中可能的机遇与相关的风险进行比较;4、充

分考虑多种风险应对方案的组合;5、合理分析、准确掌握董事、经理

及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措

施,避免因个人风险偏好给企业经营带来重大损失;6、结合不同发展

阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别

和风险分析,及时调整风险应对策略。

第五章风险管理解决方案

第二十三条公司根据风险应对策略,针对各类风险或每一项重大风

险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所

需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,

风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。

第二十四条根据经营战略与风险策略一致、风险控制与运营效率及

效果相平衡的原则,公司制定风险解决的内控方案,针对重大风险所涉

及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他

风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措

施。

第二十五条公司制定合理、有效的内控措施,包括以下内容:(一)建立

内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条

件、范围和额度等,任何组织和个人不得超越授权作出风险性决定;(二)

建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内

容、频率、传递路线、负责处理报告的部门和人员等;(三)建立内控

批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、

范围和额度、必备文件以及有权批准的部门和人员及其相应责任;(四)

建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定

各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;(五)建

立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明

确规定审计检查的对象、内容、方式和负责审计检查的部门等;(六)

建立内控考核评价制度。公司应把单位风险管理执行情况与绩效薪酬

挂钩;(七)建立重大风险预警制度和突发事件应急处理机制。明确风

险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确

责任人员、规范处置程序,确保突发事件得到及时妥善处理;(八)建立

健全公司法律顾问制度。大力加强公司法律风险防范机制建设,形成

由公司决策层主导、公司法律顾问提供业务保障、全体员工共同参与

的法律风险责任体系。完善公司重大法律纠纷案件的备案管理制度;

(九)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包

括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。

对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明

确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责

任;将该岗位作为内部审计的重点等。

第二十六条公司应当按照各有关部门和业务单位的职责分工,认真

组织实施风险管理解决方案,确保各项措施落实到位。

第六章风险管理的监督与改进

第二十七条公司建立贯穿于整个风险管理基本流程,连接各上下级、

各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、

准确、完整,为风险管理监督与改进奠定基础。

第二十八条公司各有关部门和业务单位应定期对风险管理工作进行

自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送公司

风险管理职能部门。

第二十九条公司安全部定期或不定期对各有关部门能否按照有关规

定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直

接报送董事会进行审计

2.风险评价管理制度

1.目的:为了充分识别本公司在活动、产品、服务过程可控制和可施

加影响的危害因素，并评价风险，以对其进行有效的控制和管理，特

制定本制度。

2.适用范围:本程序适用于本公司区域内活动、产品和服务全过程中

的危害因素、风险的识别、评价、更新和管理。

3.原则：遵循“科学合理，及时评价，明确风险等级”的原则。

4.风险评价组织机构：

组长：公司法人、董事长

副组长：总经理、副总经理

组员：其他部门负责人以及各车间主任

5.职责

5.1董事长负责组织危害因素的识别和风险的评价，审批危害因素和

风险清单。也可由总经理代替董事长进行识别和评价

5.2安全部负责组织相关部门进行危害因素识别、风险评价、控制策

划和更新。

5.3各部门配合安全部识别本部门的危害因素并评价本部门的风险。

6.工作程序

6.1划分作业活动：由生产技术部门根据工艺流程、生产过程等划分

金鑫各部门、车间的作业活动，并以文件的形式下发给各部门、车间。

各部门要根据公司划分的作业活动，结合生产实际情况形成自己的作

业活动清单。

6.2危害因素识别

6.2.1识别范围

6.2.1.1危害因素识别的范围应包括：

a）规划、设计和建设、投产、运行等阶段；

b)常规和异常活动；

c)事故及潜在的紧急情况；

d)所有进入作业场所的人员（包括合同方和访问者）的活动；

e)原材料、产品的运输和使用过程；

f)作业场所的设施、设备、车辆、安全防护用品；

g)人为因素，包括违反安全操作规程和安全生产规章制度；

h)丢弃、废弃、拆除与处置；

i)气候、地震及其他自然灾害等。

6.2.2识别方法

6.2.2.1危害因素可通过询问、观察、查阅有关资料、全员调查、工

作危害分析、安全检查表、预危险性分析等方法进行识别。

6.2.2.2工作危害分析（JHA）：是从作业活动清单中选定一项作业活

动，将作业活动分解为若干个相连的工作步骤，识别每个工作步骤的

潜在危害因素，然后通过风险评价，判定风险等级，制定控制措施。

6.2.2.3安全检查表分析（SCL）：是一种经验的分析方法，是分析容

易针对拟分析的对象列出一些项目，识别与一般工艺设备和操作有关

的已知类型的危害、设计缺陷以及事故隐患，查出各层次的不安全因

素，然后确定检查项目。再以提问的方式把检查项目按系统的组成顺

序编制成表，以便进行检查或评审。

安全检查表分析可用于对物质、设备、工艺、作业场所或操作规

程的分析。

6.2.2.4预先危险分析（PHA）也可称为危险性预先分析，是在每项

工程、活动之前（如设计、施工、生产之前），或技术改造之后（即

制定操作规程前和使用新工艺等情况之后），对系统存在的危险因素

类型、来源、出现条件、导致事故的后果以及有关防范措施等作一概

略分析的方法。

6.2.3识别的分级管理

6.2.3.1体系内各单位根据文件划分的作业活动识别本部门的危害因

素，填入危害因素登记表，并及时上报安全部，上报数据时优先以电

子版为主。

6.2.3.2安全部根据各部门、车间识别的危害因素，进行审核、登记、

汇总，编制公司的危害因素登记表报公司安办审批，并将审批后的清

单发放到各有关部门和单位。

6.3风险评价

6.3.1风险评价应考虑的因素

风险评价组织在进行风险评价时，应从影响人、财产和环境等三个方

面的可能性和严重程度分析，重点考虑以下因素：

火灾和爆炸；

冲击和撞击；

中毒、窒息和触电；

有毒有害物料、气体的泄露；

其他化学、物理性危害因素；

人机工程因素；

设备的服饰、缺陷；

对环境的可能影响等。

6.3.2风险评价方法、准则

风险评价是评价风险程度并确定其是否在可接受范围的全过程。体系

内各单位可按风险度R=可能性L×后果严重性S，计算出风险值，判

断是否属于可接受风险，确定风险等级。

事件发生的可能性L判断准则见表1，事件后果严重性S判断准则见

表2，风险等级判断准则及控制措施见表3。

表1事件发生的可能性L判断准则

等级标准

5

在现场没有采取防范、监测、保护、控制措施，或危害的发

生不能被发现（没有监测系统），或在正常情况下经常发生此

类事故或事件

4

危害的发生不容易被发现，现场没有检测系统，也未作过任

何监测，或在现场有控制措施，但未有效执行或控制措施不

当，或危害常发生或在预期情况下发生

3

没有保护措施（如没有保护装置、没有个人防护用品等），或

未严格按操作程序执行，或危害的发生容易被发现（现场有

监测系统），或曾经作过监测，或过去曾经发生类似事故或事

件，或在异常情况下发生过类似事故或事件

2

危害一旦发生能及时发现，并定期进行监测，或现场有防范

控制措施，并能有效执行，或过去偶尔发生危险事故或事件

1有充分、有效的防范、控制、监测、保护措施，或员工安全

卫生意识相当高，严格执行操作规程。极不可能发生事故或

事件

表2事件后果严重性S判断准则

等

级

法律、法规及

其他要求

人

财产损

失/万元

停工公司形象

5

违法法律、法规和

标准

死亡＞50

部分装置（＞2

套）或设备停工

重大国际

国内影响

4

潜在违反法规和

标准

丧失劳动能

力

＞25

2套装置停工、

或设备停工

行业内、省

内影响

3

不符合上级公司

或行业的安全方

针、制度、规定等

截肢、骨折、

听力丧失、

慢性病

＞10

1套装置停工、

或设备停工

地区影响

2

不符合公司的安

全操作规程、规定

轻微受伤、

间歇不舒服

＜10

受影响不大，几

乎不停工

公司及周

边影响

1完全符合无伤亡无损失没有停工

形象没有

受损

表3风险等级判断准则及控制措施

风险度R等级应采取的行动/控制措施实施期限

20~25巨大风险Ⅴ

在采取措施减低危害前，不能继续作

业，对改进措施进行评估

立刻

15~16重大风险Ⅳ

采取紧急措施降低风险，建立运行控制

程序，定期检查、测量及评估

立即或近期

整改

9~12中等Ⅲ

可考虑建立目标、建立操作规程，加强

培训及沟通

2年内治理

4~8可接受Ⅱ

可考虑建立操作规程、作业指导书但需

定期检查

有条件、有经

费时治理

＜4

轻微或可忽

略的风险Ⅰ

无需采取控制措施，但需保存记录

6.3.3风险评价的分级管理

6.3.3.1体系内各部门、车间根据本部门、车间的危害因素，由各部

门、车间领导组织技术员、安全员、设备管理员、材料员等共同讨论

评价出本部门、车间的风险，填入风险评价表，并及时上报安全部，

上报数据时以资料式或电子版式。

6.3.3.2安全部对各单位上报的风险评价表进行审核、确认和汇总。

6.3.3.3安全部根据评价结果列出风险评价表报公司安办审批，并将

审批后的风险清单发放到各有关部门、车间。

6.3.3.4体系内各部门、车间对本部门评价出的风险必须加以控制，

同时各部门、车间可根据本部门、车间实际情况增加本部门、车间的

风险评价。

6.4风险控制的策划

体系内各部门、车间对评价出的风险，根据自身情况、财务状况和可

选技术等因素，确定优先控制的顺序，然后有针对性的制定切实可行

的预防和控制措施加以控制，形成风险控制策划表。具体控制措施包

括工程技术措施、管理措施、教育措施、个体防护措施。

6.5风险控制的实施

6.5.1体系内各部门、车间应将确定的控制措施，按照优先顺序，逐

项进行落实。对确定为重大隐患项目的风险，应该制定隐患治理方案，

明确责任人、责任部门、技术方法、资源、时间表，并定期对方案的

实施情况进行检查，确保隐患治理方案的有效实施。重大隐患项目治

理结束后，有关部门应进行验收，形成报告。

6.5.2安全部应建立重大隐患项目档案，对项目的立项、治理、竣工

验收等过程进行管理。重大隐患档案应包括以下内容：评价报告与技

术结论；评审意见；隐患治理方案，包括资金预算情况等；治理时间

表和责任人；竣工验收报告。

6.5.3体系内各部门、车间应将风险评价的结果、制定的控制措施，

包括修订和新制定的操作规程，及时向从业人员进行宣传、培训教育，

以使从业人员熟悉其岗位和工作环境中的风险，应该采取的控制措施，

保护从业人员的生命安全，保证安全生产。

6.6危害因素的更新

6.6.1为保持信息的有效性，根据公司生产经营的特点，由安全部组

织相关人员对危害因素每年进行一次重新识别、评价和更新。

6.6.2对新建项目，在项目策划时，由项目负责人组织识别、评价，

将识别评价后的危害因素清单报安全部。

6.6.3发生下列情况时，安全部应及时组织相关人员进行识别、评价

与更新。

a)新的或变更的法律法规或其他要求；

b)操作变化或工艺改变；

c)新建、改建、扩建、技改项目；

d)有对事故、事件或其他信息的新认识；

e)组织机构发生大的调整。