一、 风险管理及内部监控治理

（一） 风险管理目标

中国电力之风险管理工作，旨在通过系统化、制度化、常态化的风险识别、评估、应对与监控，确保本集团整体风险水平控制在董事局批准的风险偏好与风险容忍度范围内，保障本集团战略目标实现、经营持续稳定、财务报告真实准确、资产安全完整、合规运营有效，并提升应对外部环境不确定性与变化的能力。风险管理目标具体包括：

（二） 风险管理管治框架

中国电力风险管理管治框架概要

董事局

董事局对本集团的风险管理及内部监控承担最终责任。董事局深知风险管理是本集团实现高质量及可持续发展的重要支撑和基本保障。董事局将风险管理视为创造企业价值的积极手段，并就此大力提升董事局、管理层与全体员工以及全业务系统的风险管理责任。董事局坚持以积极的风险管理活动，构建「价值保护、价值创造、提升核心竞争力」的风险文化，保证本集团高质量可持续发展。

战略层面上，董事局定期透过风险管理委员会研究及厘清本集团业务之全面风险指标体系，监控与此相关的重大风险。经营层面上，本集团亦根据内部及外部变化，动态识别重大风险领域，落实综合防范措施全面覆盖重大风险，并确保管理层于日常经营活动中承担动态监控与持续管控风险之责任。董事局在构建本集团「审慎及负责」的风险管理文化方面发挥主导作用。

风险管理委员会

董事局辖下风险管理委员会分担监督本集团风险管理系统的职责。其亦负责就风险相关事宜向董事局提供意见、检视本集团风险管理政策和评估风险管理系统设计和运作成效。

审核委员会

董事局辖下审核委员会负责检讨本集团的内部监控系统，以及用于解决监控不足之处的行动计划。审核委员会审阅外聘核数师及内审部就业务运作、财务汇报及法律合规相关的监控事宜所得出的调查结果。审核委员会确保制定行动计划以纠正已识别的监控问题，并透过管理层提供的定期汇报，监督审核建议的执行情况。审核委员会亦与内审部及外聘核数师讨论年度审阅范围及审核计划，以确保本集团维持稳健的内部监控。

管理层

管理层负责风险管理及内部监控系统的具体设计及实施，协助风险管理委员会及审核委员会监察该等系统，并确认系统的实施情况及成效。管理层按企业管治框架将当中相关角色、责任及许可权适当授予本集团的不同部门及员工。本公司设有法律与风险管理部，负责统筹监督风险管理、内控制度体系建设职能，涵盖法治建设、合规管理、内控与风险管控、法律事务管理与服务、制度体系优化等工作。法律与风险管理部每年至少向风险管理委员会及董事局提交两次风险管理及内部监控报告。

内部审计

本公司设有内审部，并确保其机构设置、人员配备和工作的独立性，为本集团建立有效的内部监控系统提供合理保证。为积极营造良好的内部监控环境，内审部定期或不定期向审核委员会提供内控评价监督报告，亦每年至少两次向审核委员会及董事局汇报内部审计工作报告。此外，本公司亦成立了审计中心，以标准化及资讯数位化内部审计及风险管理为目标，审计中心为审计内控团队提供系统性支援，并为本集团的发展提供相关人才培训。

（三） 风险管理与监控模型

中国电力依据相关监管指引与国际标准，持续健全风险管理制度体系与配套标准（包括COSO发布的标准和国际标准组织发布的ISO 31000风险管理指引，及其不时更新的内容）。结合国际内部审计协会(IIA)的「三线模型」理念，本公司已对建立的「业务、支持、核证」三道防线风险管理体系进行系统性优化与更新，明确每道防线的职责。模型旨在加强本集团在各部门及职能部门的风险管理能力和合规文化。

三线的角色如下。

（四） 风险管理的工作机制及程序

中国电力经过长期实践探索，已经形成一套稳定运行、机制健全的风险管理工作体系及程序。

全面风险管理的程序

二、 风险管理及内部监控年度检讨

（一） 年度检讨范围及详情

1、 监控环境

监控环境是内部控制的基础，本集团宣导稳健的风险管理文化，重点从治理结构、人力资源管理、内部制度建设等方面构建监控环境，本年度检讨结果如下：

年内，本集团新增及修订了84项制度，重点对燃料采购、安全生产监察、干部人才管理、工程管理、数位化建设等领域制度进行了优化调整，涉及本集团运营的全范畴，确保制度的适用性及合规性。经检讨，内部制度体系完善，覆盖所有核心流程，但部分制度的执行细则不够明确，导致基层执行过程中存在偏差。

2、 风险评估

本集团建立了常态化的风险评估机制，定期开展全面风险评估（本年度至少一次），及时识别各类潜在风险，评估风险等级，制定应对措施，确保风险评估与企业战略及经营计划相匹配。经检讨，本集团风险评估机制运行有效，能够及时识别重大风险并制定应对措施，但风险识别的前瞻性、定量分析能力及部门协同性仍需提升，需进一步完善风险评估体系。具体内容详见本报告上述「风险管理及内部监控年度检讨」相关部分。

3、 内部监控

监控活动是内部监控的核心环节，本集团围绕各核心业务流程及关键控制点，制定了针对性的监控活动，包括审批授权、不相容岗位分离、复核验证、财产保护、预算控制、绩效考评等，本年度重点对以下核心领域的监控活动进行检讨：

4、 资料及传讯

本集团建立了完善的资讯与沟通体系，明确资讯传递的流程、渠道及责任，确保内部资讯及外部资讯的及时传递、共用及回馈；加强管理层与各部门及附属公司之间的沟通协调，建立定期会议沟通机制，及时解决经营管理及内控管理中存在的问题；加强与股东、香港联交所、监管机构、外部审计机构等利益相关方的沟通，及时披露相关资讯，回应利益相关方关切。经检讨，资讯与沟通体系运行有效，但部分跨部门、跨附属公司的资讯传递不够及时，资讯共用机制不够完善，需进一步优化资讯传递流程，提升沟通效率。

5、 监察与监督

本集团建立了多层次的内部监察与监督体系，包括内部审计监督、部门自我监督、审核委员会监督等，确保内部监控体系持续有效运行：

经检讨，本集团内部监督体系完善，监督工作有效开展。

（二） 风险来源

本集团风险来源于内部及外部多维度因素，主要包括：

（三） 二零二五年重大风险识别与应对

二零二五年，本集团继续围绕「世界一流绿色低碳能源供应商」的战略愿景及「低碳赋能美好生活」的使命，结合近期及中长期内外部形势变化进行风险评估。本次风险评估覆盖现有及潜在风险，识别并确定了本集团面临的5项重大风险，具体包括以下方面：安全风险、投资风险、市场风险、大宗商品与物资采购风险及组织与人才管理风险。

本集团采用风险冷热图对风险进行视觉化评估与分级。

按综合评分将风险划分为：

从发生概率及对本集团目标影响程度两个核心维度开展评价，并据此确定风险优先顺序（高╱中╱低），明确风险管控重点。相关重大风险的详情如下：

有关气候变化及环境对本集团构成的风险及机遇，详情请参阅本公司《2025年可持续发展报告》，并载于本公司及香港联交所网站。

（四） 内控缺陷识别及整改建议

1、 制度专项评价

二零二五年，通过开展内控制度专项评价，深入了解制度体系建设现状，重点关注内部制度与国家法律法规、上级管理单位制度冲突、本集团制度自身相互冲突等情况，识别重大内控风险，查找制度缺陷和管理漏洞，评价本集团制度体系的合法性、合规性、完整性、有效性情况，促进完善内控制度体系，确保企业各项经济活动合法合规，保障本集团高质量发展。

本次评价发现：一是部分制度条款与上级制度不一致，涉及14项制度。二是发现6项制度之间相互冲突、制度与权责清单冲突、不同制度对同一事项的规定不一致。三是制度更新不及时。发现未及时更新制度；引用的制度名称错误、制度制定依据已废止或无法获取的制度等81项问题。发现的问题均属于一般缺陷且已整改完成。

2、 内部监控现场评价工作

本次内控现场评价工作与年度审计工作一同开展，选取10家具有代表性的单位进行评价，全面审视各业务环节内部监控的有效性。本次评价共识别内控缺陷110项，涉及制度建设，涵盖法治建设与企业管治、物资与采购管理、生产与工程管理、财务与资产管理、以及综合事务与人力资源等范畴，并进一步区分为设计缺陷4项与执行缺陷106项，全部均属于一般缺陷。

截至二零二五年底，已完成整改105项，涉及企业管治优化、采购流程规范、资产管理强化及安全环保整改等，整改完成率达95.4%，尚未完成整改的缺陷已纳入闭环监督管理，且绝大多数问题已在业务前端得到系统性纠正，有效促进了内控体系从「有形」到「有效」的实质提升。

3、 附属公司内控自评价工作

为持续强化内部监控体系的自主优化能力与常态化监督机制，本集团在全系统范围内组织开展了内控自评价工作。本次自评价覆盖28家附属公司，未来还将逐渐扩展至其他附属公司，以各单位自查与本部重点督导相结合的方式，本集团聚焦三大核心维度进行深度审视。本次自评价工作累计发现问题85项，涉及制度建设、企业管治、生产经营等，全部均属于一般缺陷。所有缺陷均被系统录入统一的「集成应用平台」，实现问题线上登记、责任线上分配、进度即时跟踪与证据云端归档，形成透明、可追溯的整改管理闭环。通过平台持续督导，有效推动了各单位即知即改、立行立改，切实将自我监督转化为管理提升的内生动力。

三、 本年度检讨总结

经综合评估管理层报告、风险管理委员会及审核委员会意见、内部审计结果及外部顾问的独立确认，董事局确认：

本集团的风险管理及内部监控系统在设计上适当；在二零二五年度运行中总体有效；能够为实现《管治守则》原则第D.2.1条所载要求提供合理保证。

该等系统整体上能够满足经营管理、合规运营及财务报告的需要，能够对重大风险进行有效识别、评估、监控及应对。检讨期间，未发现重大监控失效或系统性缺陷。此前识别的管理薄弱环节均已按计划完成整改，内部审计已完成闭环验证。

请参阅本年报中的风险管理委员会报告和审核委员会报告，有关其在报告期内的工作亮点。