一、 風險管理及內部監控治理

（一） 風險管理目標

中國電力之風險管理工作，旨在通過系統化、制度化、常態化的風險識別、評估、應對與監控，確保本集團整體風險水平控制在董事局批准的風險偏好與風險容忍度範圍內，保障本集團戰略目標實現、經營持續穩定、財務報告真實準確、資產安全完整、合規運營有效，並提升應對外部環境不確定性與變化的能力。風險管理目標具體包括：

（二） 風險管理管治框架

中國電力風險管理管治框架概要

董事局

董事局對本集團的風險管理及內部監控承擔最終責任。董事局深知風險管理是本集團實現高質量及可持續發展的重要支撐和基本保障。董事局將風險管理視為創造企業價值的積極手段，並就此大力提升董事局、管理層與全體員工以及全業務系統的風險管理責任。董事局堅持以積極的風險管理活動，構建「價值保護、價值創造、提升核心競爭力」的風險文化，保證本集團高質量可持續發展。

戰略層面上，董事局定期透過風險管理委員會研究及釐清本集團業務之全面風險指標體系，監控與此相關的重大風險。經營層面上，本集團亦根據內部及外部變化，動態識別重大風險領域，落實綜合防範措施全面覆蓋重大風險，並確保管理層於日常經營活動中承擔動態監控與持續管控風險之責任。董事局在構建本集團「審慎及負責」的風險管理文化方面發揮主導作用。

風險管理委員會

董事局轄下風險管理委員會分擔監督本集團風險管理系統的職責。其亦負責就風險相關事宜向董事局提供意見、檢視本集團風險管理政策和評估風險管理系統設計和運作成效。

審核委員會

董事局轄下審核委員會負責檢討本集團的內部監控系統，以及用於解決監控不足之處的行動計劃。審核委員會審閱外聘核數師及內審部就業務運作、財務匯報及法律合規相關的監控事宜所得出的調查結果。審核委員會確保制定行動計劃以糾正已識別的監控問題，並透過管理層提供的定期匯報，監督審核建議的執行情況。審核委員會亦與內審部及外聘核數師討論年度審閱範圍及審核計劃，以確保本集團維持穩健的內部監控。

管理層

管理層負責風險管理及內部監控系統的具體設計及實施，協助風險管理委員會及審核委員會監察該等系統，並確認系統的實施情況及成效。管理層按企業管治框架將當中相關角色、責任及許可權適當授予本集團的不同部門及員工。本公司設有法律與風險管理部，負責統籌監督風險管理、內控制度體系建設職能，涵蓋法治建設、合規管理、內控與風險管控、法律事務管理與服務、制度體系優化等工作。法律與風險管理部每年至少向風險管理委員會及董事局提交兩次風險管理及內部監控報告。

內部審計

本公司設有內審部，並確保其機構設置、人員配備和工作的獨立性，為本集團建立有效的內部監控系統提供合理保證。為積極營造良好的內部監控環境，內審部定期或不定期向審核委員會提供內控評價監督報告，亦每年至少兩次向審核委員會及董事局匯報內部審計工作報告。此外，本公司亦成立了審計中心，以標準化及資訊數位化內部審計及風險管理為目標，審計中心為審計內控團隊提供系統性支援，並為本集團的發展提供相關人才培訓。

（三） 風險管理與監控模型

中國電力依據相關監管指引與國際標準，持續健全風險管理制度體系與配套標準（包括COSO發布的標準和國際標準組織發布的ISO 31000風險管理指引，及其不時更新的內容）。結合國際內部審計協會(IIA)的「三線模型」理念，本公司已對建立的「業務、支持、核證」三道防線風險管理體系進行系統性優化與更新，明確每道防線的職責。模型旨在加強本集團在各部門及職能部門的風險管理能力和合規文化。

三線的角色如下。

（四） 風險管理的工作機制及程序

中國電力經過長期實踐探索，已經形成一套穩定運行、機制健全的風險管理工作體系及程序。

全面風險管理的程序

二、 風險管理及內部監控年度檢討

（一） 年度檢討範圍及詳情

1、 監控環境

監控環境是內部控制的基礎，本集團宣導穩健的風險管理文化，重點從治理結構、人力資源管理、內部制度建設等方面構建監控環境，本年度檢討結果如下：

年內，本集團新增及修訂了84項制度，重點對燃料採購、安全生產監察、幹部人才管理、工程管理、數位化建設等領域制度進行了優化調整，涉及本集團運營的全範疇，確保制度的適用性及合規性。經檢討，內部制度體系完善，覆蓋所有核心流程，但部分制度的執行細則不夠明確，導致基層執行過程中存在偏差。

2、 風險評估

本集團建立了常態化的風險評估機制，定期開展全面風險評估（本年度至少一次），及時識別各類潛在風險，評估風險等級，制定應對措施，確保風險評估與企業戰略及經營計劃相匹配。經檢討，本集團風險評估機制運行有效，能夠及時識別重大風險並制定應對措施，但風險識別的前瞻性、定量分析能力及部門協同性仍需提升，需進一步完善風險評估體系。具體內容詳見本報告上述「風險管理及內部監控年度檢討」相關部分。

3、 內部監控

監控活動是內部監控的核心環節，本集團圍繞各核心業務流程及關鍵控制點，制定了針對性的監控活動，包括審批授權、不相容崗位分離、覆核驗證、財產保護、預算控制、績效考評等，本年度重點對以下核心領域的監控活動進行檢討：

4、 資料及傳訊

本集團建立了完善的資訊與溝通體系，明確資訊傳遞的流程、渠道及責任，確保內部資訊及外部資訊的及時傳遞、共用及回饋；加強管理層與各部門及附屬公司之間的溝通協調，建立定期會議溝通機制，及時解決經營管理及內控管理中存在的問題；加強與股東、香港聯交所、監管機構、外部審計機構等利益相關方的溝通，及時披露相關資訊，回應利益相關方關切。經檢討，資訊與溝通體系運行有效，但部分跨部門、跨附屬公司的資訊傳遞不夠及時，資訊共用機制不夠完善，需進一步優化資訊傳遞流程，提升溝通效率。

5、 監察與監督

本集團建立了多層次的內部監察與監督體系，包括內部審計監督、部門自我監督、審核委員會監督等，確保內部監控體系持續有效運行：

經檢討，本集團內部監督體系完善，監督工作有效開展。

（二） 風險來源

本集團風險來源於內部及外部多維度因素，主要包括：

（三） 二零二五年重大風險識別與應對

二零二五年，本集團繼續圍繞「世界一流綠色低碳能源供應商」的戰略願景及「低碳賦能美好生活」的使命，結合近期及中長期內外部形勢變化進行風險評估。本次風險評估覆蓋現有及潛在風險，識別並確定了本集團面臨的5項重大風險，具體包括以下方面：安全風險、投資風險、市場風險、大宗商品與物資採購風險及組織與人才管理風險。

本集團採用風險冷熱圖對風險進行視覺化評估與分級。

按綜合評分將風險劃分為：

從發生概率及對本集團目標影響程度兩個核心維度開展評價，並據此確定風險優先順序（高╱中╱低），明確風險管控重點。相關重大風險的詳情如下：

有關氣候變化及環境對本集團構成的風險及機遇，詳情請參閱本公司《2025年可持續發展報告》，並載於本公司及香港聯交所網站。

（四） 內控缺陷識別及整改建議

1、 制度專項評價

二零二五年，通過開展內控制度專項評價，深入了解制度體系建設現狀，重點關注內部制度與國家法律法規、上級管理單位制度衝突、本集團制度自身相互衝突等情況，識別重大內控風險，查找制度缺陷和管理漏洞，評價本集團制度體系的合法性、合規性、完整性、有效性情況，促進完善內控制度體系，確保企業各項經濟活動合法合規，保障本集團高質量發展。

本次評價發現：一是部分制度條款與上級制度不一致，涉及14項制度。二是發現6項制度之間相互衝突、制度與權責清單衝突、不同制度對同一事項的規定不一致。三是制度更新不及時。發現未及時更新制度；引用的制度名稱錯誤、制度制定依據已廢止或無法獲取的制度等81項問題。發現的問題均屬於一般缺陷且已整改完成。

2、 內部監控現場評價工作

本次內控現場評價工作與年度審計工作一同開展，選取10家具有代表性的單位進行評價，全面審視各業務環節內部監控的有效性。本次評價共識別內控缺陷110項，涉及制度建設，涵蓋法治建設與企業管治、物資與採購管理、生產與工程管理、財務與資產管理、以及綜合事務與人力資源等範疇，並進一步區分為設計缺陷4項與執行缺陷106項，全部均屬於一般缺陷。

截至二零二五年底，已完成整改105項，涉及企業管治優化、採購流程規範、資產管理強化及安全環保整改等，整改完成率達95.4%，尚未完成整改的缺陷已納入閉環監督管理，且絕大多數問題已在業務前端得到系統性糾正，有效促進了內控體系從「有形」到「有效」的實質提升。

3、 附屬公司內控自評價工作

為持續強化內部監控體系的自主優化能力與常態化監督機制，本集團在全系統範圍內組織開展了內控自評價工作。本次自評價覆蓋28家附屬公司，未來還將逐漸擴展至其他附屬公司，以各單位自查與本部重點督導相結合的方式，本集團聚焦三大核心維度進行深度審視。本次自評價工作累計發現問題85項，涉及制度建設、企業管治、生產經營等，全部均屬於一般缺陷。所有缺陷均被系統錄入統一的「集成應用平台」，實現問題線上登記、責任線上分配、進度即時跟蹤與證據雲端歸檔，形成透明、可追溯的整改管理閉環。通過平台持續督導，有效推動了各單位即知即改、立行立改，切實將自我監督轉化為管理提升的內生動力。

三、 本年度檢討總結

經綜合評估管理層報告、風險管理委員會及審核委員會意見、內部審計結果及外部顧問的獨立確認，董事局確認：

本集團的風險管理及內部監控系統在設計上適當；在二零二五年度運行中總體有效；能夠為實現《管治守則》原則第D.2.1條所載要求提供合理保證。

該等系統整體上能夠滿足經營管理、合規運營及財務報告的需要，能夠對重大風險進行有效識別、評估、監控及應對。檢討期間，未發現重大監控失效或系統性缺陷。此前識別的管理薄弱環節均已按計劃完成整改，內部審計已完成閉環驗證。

請參閱本年報中的風險管理委員會報告和審核委員會報告，有關其在報告期內的工作亮點。