华菱钢铁：关于湖南钢铁集团财务有限公司的风险评估审核报告天健审〔2025〕2-49号

目录

一、风险评估审核报告………………………………………………第1—2页

二、风险评估说明……………………………………………………第3—12页

第

页共12页

关于湖南钢铁集团财务有限公司的

风险评估审核报告

天健审〔2025〕2-49号

湖南华菱钢铁股份有限公司全体股东：

我们审核了后附的湖南钢铁集团财务有限公司（以下简称财务公司）管理层对2024年12月31日与其经营资质、业务和风险状况相关的风险评估说明（以下简称风险评估说明）。

一、对报告使用者和使用目的的限定

本报告仅供湖南华菱钢铁股份有限公司上报深圳证券交易所审核使用，不得用作任何其他目的。

二、管理层的责任

财务公司管理层的责任是建立健全内部控制并保持其有效性，同时按照《企业集团财务公司管理办法》及相关规定编制风险评估说明。

三、注册会计师的责任

我们的责任是在实施审核工作的基础上对财务公司管理层编制的风险评估说明发表意见。

四、工作概述

我们在审核过程中，实施了包括了解、测试和评价财务公司与财务报表相关的风险管理设计合理性和执行有效性情况，以及我们认为必要的其他程序。我们相信，我们的审核工作为发表意见提供了合理的基础。

第

页共12页

五、风险管理的固有局限性风险管理具有固有限制,存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致风险管理变得不恰当，或降低对控制、风险管理政策、程序遵循的程度，根据风险评估结果推测未来风险管理有效性具有一定的风险。

六、审核结论经审核，我们认为:

(一)财务公司具有合法有效的《金融许可证》《营业执照》。

(二)未发现财务公司存在违反国家金融监管机构颁布的《企业集团财务公司管理办法》规定的情形，各项监管指标符合该办法第三十四条的规定要求。

天健会计师事务所（特殊普通合伙）中国注册会计师：

中国·杭州中国注册会计师：

二〇二五年三月二十日

湖南钢铁集团财务有限公司2024年度风险评估说明

根据国家金融监督管理总局（原中国银行保险监督管理委员会）发布的《商业银行内部控制指引》，以及中国证券监督管理委员会发布的《上市公司信息披露管理办法》的有关规定，湖南钢铁集团财务有限公司（以下简称财务公司或公司）对2024年度内部控制、经营情况和风险状况进行了自我评价，现将情况报告如下。

一、基本情况与经营情况

财务公司于2006年10月8日经原中国银行业监督管理委员会湖南银监局批准（金融许可证机构编码：L0057H243010001），同年11月10日在湖南省工商行政管理局登记注册（注册号430000400003434），现法定代表人为肖骥，注册资本为600,000.00万元，目前股东名称、出资额及所占比例如下：

第

页共12页股东名称

财务公司经营范围：吸收成员单位存款；办理成员单位贷款；办理成员单位票据贴现；办理成员单位资金结算与收付；提供成员单位委托贷款、债券承销、非融资性保函、财务顾问、信用鉴证及咨询代理业务；从事同业拆借；办理成员单位票据承兑；从事固定收益类有价证券投资；监管机构批准的其他业务。

财务公司年度财务报表审计数据显示，截至2024年12月31日，财务公司总资产272.84亿元，负债总额202.12亿元，所有者权益70.72亿元。2024年度，财务公司实现营业收入4.53亿元，实现利润总额1.73亿元。

二、内部控制情况

(一)控制环境

财务公司具备完善的法人治理结构，股东会、董事会、监事会和经理层独立运作、有效制衡，总经理受聘于董事会，在董事会的领导下全面负责日常经营管理。董事会下设立战略与投资委员会、风险管理委员会、审计委员会、提名、薪酬与考核委员会；经理层下设投资评审委员会、信贷评审委员会、信息科技管理委员会；公司共设有信贷部、资金部、风险管理部、财务部、综合管理部、稽核部六个职能部门，综合管理部下设信息科技部。公司现有董事5人、监事3人、高级管理人员4人，在职员工共32人。

(二)2024年公司治理体系运行有效

1.“三会”履职情况

(1)召开年度股东会1次，审议通过了《关于审议2023年度董事会工作报告的议案》《关于审议2023年度利润分配方案的议案》等9个议案。

(2)召开年度董事会1次、董事会例会3次，审议通过了《2024年度董事会对主要业务品种和额度授权》《关于向各金融机构申请同业授信额度的议案》等36个议案。

(3)召开年度监事会1次、监事会例会1次，审议通过了《董事、监事、高级管理人员履职评价办法》《关于审议2023年度财务决算报告的议案》等19个议案。

(4)召开领导办公会16次，审议通过了《2024年度费用预算》《关于披露2024年一季度关键审慎监管指标的议案》等50个议案。

2.董事会下设专门委员会履职情况

(1)战略与投资委员会，负责对董事会授权范围内的对外投资业务进行审议；召开会议2次，审议通过了《关于审议2023年度财务决算报告的议案》《关于审议2024年度财务预算报告的议案》等3个议案。

(2)风险管理委员会，负责对公司风险管理工作的组织架构、制度建设和流程安排等事项进行审议；召开会议4次，审议通过了《2024年度董事会对主要业务品种和额度授权》《关于审议公司资本管理办法的议案》等14个议案。

(3)审计委员会，负责对公司内、外审计的沟通、监督和检查工作等事项进行审议，召开会议4次，审议通过了《2023年内部问责工作总结》《关于审议2024年内部审计工作计划的议案》等26个议案。

(4)提名、薪酬与考核委员会，负责对公司高级管理人员绩效薪酬方案、组织绩效考核等事项进行审议，召开会议1次，审议通过了《2023年度经理层人员薪酬结算事宜的汇报》的议案。

3.经理层下设专业委员会履职情况

(1)投资评审委员会，负责对投资业务风险进行评估并为评审提供参考依据；召开会议6次，审议通过了购买“24湖南钢铁GN001（科创票据）”“24湖南钢铁MTN002”“24湖南钢铁MTN003”等6个投资项目。

(2)信贷评审委员会，负责对信贷业务风险进行评估并为评审提供参考依据；

召开会议19次，审议通过了年度统一授信、金融资产风险分类及临时授信等19个议案。

(3)信息科技委员会，负责信息科技工作规划审议、落实信息科技项目预算投入、推进信息科技项目建设等重大事项决策；召开会议2次，审议通过了《2024-2025年信息科技战略规划》《2024年信息科技外包商尽职调查报告》等7个议案。

(三)风险的识别与评估

财务公司制定了一系列内部控制制度，完善了风险管理体系，实行内部审计监督，设立了对董事会负责的内控合规部门（风险管理部）、内部审计部门（稽核部），其中风险管理部负责定期向董事会报送公司全面风险管理情况及相关报告，稽核部负责定期向董事会报送公司内部审计情况及相关报告，建立了内部审计管理办法和操作规程，并对公司及各部门的经济活动进行内部审计和监督。各部门在其职责范围内建立风险评估体系和项目责任管理制度，根据各项业务的不同特点制定各自不同的风险控制制度、标准化操作流程、作业标准和风险防范措施，各部门职责分离、相互监督，对操作中的各种风险进行全周期的预测、评估和控制。

(四)控制活动

为有效控制各项风险，财务公司在各主要业务环节建立了风险控制措施，制定了相应的风险控制制度。

1.资金业务控制。第一，资金调度方面，加强资金调度的计划性，保证了财务公司资金的安全性、流动性和效益性。第二，资金集中管理方面，财务公司采用与各家银行联网的“联动账户”模式，保障了资金的安全、快捷、通畅，同时具有较高的数据安全性。第三，对外融资方面，积极加强与银行同业的合作，通过同业拆借、再贴现、债券回购等方式解决临时性的资金需求，有效保障了各项业务的正常开展以及成员单位正常支付。

2.信贷业务控制。贷前，公司董事会每年度对业务范围进行授权，信贷评审委员会核定成员单位统一授信，同时公司制定有《流动资金贷款操作规程》《贷款单位信用评级办法》等22个信贷制度，信贷部严格在董事会授权和信贷评审委员会核定的业务范围内，按照制度规定开展贷前调查工作，收集核实客户资料，出具调查报告。贷中，风险管理部审查业务资料、流程，出具审查报告，提出风

险点、前提条件以及管理措施。贷后，信贷部与风险管理部定期开展贷后检查和金融资产风险分类，分别出具贷后调查报告与贷后管理报告。

3.投资业务控制。投前，公司董事会对投资业务范围、规模及额度进行授权，信贷评审委员会按照投资规模和公司既定的风险偏好及风险限额，对投资业务品种、额度、期限以交易对手白名单的形式进行审定。投中，按照前、中、后台分离原则，资金部负责项目前期筛选，风险管理部开展项目审查、风险评估、项目交流、会议组织等，投资评审委员会负责项目审议，对投资项目提出具体实施通知，财务部负责账务处理。投后，风险管理部按季度与业务部门一起开展投后检查和金融资产风险分类，分别出具投后管理报告与投后调查报告。

4.内部稽核控制。财务公司稽核部定期对公司各部门的内控制度执行情况、业务和财务活动的合法性、合规性、风险性、准确性、效益性进行监督检查，每月出具月度稽核报告、每季出具专项检查报告，及时对各项业务与管理提出建设性意见和建议。

5.信息系统控制。财务公司在2024年7月正式上线反洗钱功能模块，实现了对可疑交易的线上监测、分析与甄别，基本能够实现反洗钱基础资料分类、报文格式、报送的差错处理及后续结果解析、修正、补报等。截至2024年12月31日，财务公司已完成信贷业务、票据业务、资金业务、同业投资、结算业务、表外业务的额度控制、风险事件管理、预警提醒（指标预警除外）、信贷业务资产分类、监管报送、反洗钱等功能模块的上线工作，其他功能模块按计划推进中。同时，按照监管要求，财务公司于2024年11月聘请了第三方机构对核心业务系统进行了专业评估（每两年开展一次），经过评估，评估机构认为财务公司对核心业务系统的安全建设和运维管理比较重视，采取了相应的安全技术措施和安全管理，建立了一系列安全管理制度。

6.会计业务控制。财务公司制订了完善的财务管理制度和会计管理制度，财务管理、会计核算严格按制度执行，并且通过业财一体化信息系统确保了财务管理与会计核算的严谨合规。

(五)内部控制总体评价

财务公司自成立以来，严守风险底线、不碰合规红线，充分发挥财务公司“集团公司资金保障”和“集团公司资金创效”两大核心职能，做好对集团公司成员单位的金融服务，打造好集团公司资金链安全的“最强防线”。财务公司将防范

和化解金融风险放在全面风险管理工作的首位，以培养员工具有良好职业道德与专业素质及提高员工的风险防范意识作为基础，通过持续完善公司内部制度、加强内部稽核、员工教育、建立考核和激励机制等各项措施，实现了公司内部控制的有效性，整体风险处于合理、可控的水平。

三、风险管理情况

(一)强化关键业务管控，筑牢防火墙

1.针对信贷业务，财务公司坚持审贷分离的原则，在董事会年度业务授权范围内开展了年度统一授信审查、日常业务审查、贷后检查、金融资产风险分类管理等工作。同时，严格落实同业授信管理，实施交易对手准入机制，加强大额风险暴露监测，严防大额授信集中度风险。全年组织召开信贷评审委员会19次，完成对26家成员单位的年度授信核定，成员单位授信总金额达到268.6亿元，完成2次信贷定价审议，完成四个季度金融资产风险五级分类。截至2024年12月末，无不良贷款，金融资产风险分类均为正常，全部贷款均按期收回本息。

2.针对投资业务，财务公司实施项目审查、风险评估、项目交流、会议组织等全流程管理，充分了解交易对手及所投产品，严格按照穿透原则加强审慎、合规管理。财务公司对外投资业务严格按照国家金融监管机构最新指导政策执行，对外投资额度、品种及期限每年经董事会统一授权，所有投资项目均由投资评审委员会审批，发生的所有对外投资业务均须向国家金融监管机构填报备案，确保合规。全年组织召开投资评审委员会6次，审议投资项目6个。截至2024年12月末，所有投资项目均严格按照监管要求进行穿透管理，符合监管导向及合规要求，本息均能按期收回，未出现逾期情况。

3.常态化开展业务自查。财务公司按照监管要求，开展了金融放贷领域专项整治、案件风险、声誉风险等方面的排查20余次，其中：每月开展金融放贷领域专项整治排查，重点排查涉黑涉恶、行业乱象等情况，全年共开展排查12次；每季度开展案件风险、声誉风险排查，重点排查各项业务经营、员工行为、舆情监测等情况，全年共开展排查8次。按照监管要求，于1月份开展了互联网平台发布非法金融活动广告相关情况的排查，于9月份开展了信用风险相关情况的排查。经排查，2024年度财务公司无风险事件，全年累计上报涉及国家金融监督管理总局湖南监管局、人民银行、行业协会、其他外部机构的报告、报表共

101份，全部按照要求及时完成。

4.定期开展压力测试。财务公司在2024年2月开展了信用风险、市场风险、操作风险、流动性风险等压力测试工作，结合国家金融监管机构非现场监管报表（1104报表），针对三种不同的压力情景，分别测试各类风险的加权资产及资本充足率的最终情况。经过测试，财务公司各类风险均在可控范围之内。

5.持续防范各项风险。2024年12月，财务公司按照《湖南省国资委关于加强省属监管企业内部控制体系建设与监督工作的实施意见》(湘国资(2021)107号)和《湖南钢铁集团有限公司内部控制与风险管理实施细则》（湖南钢铁办〔2024〕34号）的文件要求，根据公司实际经营情况，以重大风险、重大事件和重大决策、重要管理及业务流程为重点，通过收集风险管理信息、组织风险评估、制定风险管理策略、提出和实施风险管理解决方案等风险管理流程，经过风险辨识、风险分析、风险评价3个步骤，以不出现风险事件为基本标准，将定性与定量方法相结合，综合评估各类风险情况，做实做细风险预防和管控。经过评估，财务公司各项风险均能得到有效控制，未发生风险事件。

(二)推进合规建设，确保合规经营

1.持续完善制度体系。2024年，财务公司对授权体系进行梳理完善，严格按照逐级授权、区别授权、规范授权的原则，重新签订董事长对总经理的授权委托书、总经理对副总经理的转授权委托书，明确了各级授权的范围、限额、流程与期限等，确保授权制度的贯彻执行。同时，财务公司坚持“内控优先、制度先行”的原则，不断建立健全制度体系，2024年，公司修订制度35个，废止制度1个。截至2024年12月31日，公司共有制度112个，其中，涉及公司治理13个、综合管理28个、信贷管理22个、资金管理6个、投资管理4个、财务管理19个、内部审计2个、风险管理18个。通过不断完善公司制度，进一步提高了管理效率、降低了操作风险，更好地促进公司合规经营、稳健发展。

2.财务公司始终将流程合规作为合规管理的重中之重，不断完善各业务流程。分别于2024年1月、5月、11月对公司所有流程进行了梳理，从提高效率、降低成本、增强透明度和应对市场变化等方面着手，梳理明确了108个业务、管理流程，细化至各部门、各环节人员等，进一步强化了流程管控。

3.不断加强业务监控体系建设。财务公司建立了业务额度监测台账，分别对信贷、投资、同业、表外业务、关联交易的总额度以及单个产品额度进行周统

计，防止出现超额度办理业务的情况；重新建立监管指标体系，结合监管机构的监管会谈、政策文件，设定58个监管、监测指标，全面覆盖了安全性、流动性、合规性、监管红线、关联交易等要求，每月对监管指标进行统计、监测，确保合规经营。

4.进一步规范合同管理。财务公司于2024年6月对现有格式合同重新进行了梳理优化，确定了23份常用合同格式文本，经法律顾问、集团公司法务审核后下发，既降低了操作风险的发生，也提高了工作效率。公司日常合同管理严格执行《合同管理办法》和《印章管理办法》，不定期组织申报、审批、签订、执行情况的全流程合同管理自查，同时对印章刻制、保管、使用范围、使用规定、使用审批、台账登记等进行检查。公司设定了合同管理专员，负责对各部门需要送审的合同进行收集、汇总，并报送法律顾问审核，法律顾问从专业角度对合同进行把关，全年共审查合同19份。2024年，公司未发生因合同条款的合规、完备、规范效力等问题的合同争议、纠纷和诉讼。

(三)内外监督双管齐下，落实整改及时到位

1.问题整改落实情况。2024年，湖南华菱钢铁股份有限公司组织对财务公司进行了2023年度运营检查，财务公司对检查发现的三个问题进行全面落实整改，具体如下：

(1)问题：公司在使用备份数据进行系统测试的情况下，未对重要的数据进行脱敏。可能导致公司真实数据泄露，给公司造成损失。

整改情况：公司于2023年12月5日完成整改工作。由公司信息科技部自行开发，通过自定义生产环境敏感数据信息，采用sm3算法将生产环境的敏感数据脱敏至测试环境。

(2)问题：公司未针对备份数据进行专门的恢复性测试。数据备份的效果，备份数据的完整性和准确性无法保障。

整改情况：公司于2023年12月已做备份数据恢复性测试并形成相应报告，完成整改。

(3)问题：公司缺乏异地灾备机制，容灾能力较弱。可能导致公司在突发状况下数据丢失后无法对其信息系统进行恢复，数据丢失及业务中断的风险较高。

整改情况：公司已完成整改。公司于2023年11月份启动同城数据级灾备建设项目。租赁中国电信公司A级机房做为公司同城灾备中心，在其符合GB50174

(2017)-A级建设标准的磐云数据中心租赁一个服务器机柜存放灾备数据，通过采购国产化数据级灾备服务平台，实现灾备数据实时加密同步传输，确保公司业务备份数据不遭破坏与丢失，达到系统数据异地备份的要求，以有效保障数据安全及业务连续性。项目于2024年1月23日完成验收工作，满足业务连续性的要求。

2.内部审计常态化。财务公司稽核部对各项财务经济活动和金融业务操作是否符合国家政策、法规和公司制度进行稽核检查，形成月度稽核、季度审计报告。2024年，稽核部门共开展月度日常稽核12次、季度专项稽核4次，年度专项审计4项，检查信贷部业务222笔、资金部业务362笔、财务部会计凭证1437份，综合部档案资料等若干，通过稽核检查工作发现问题22个，提出整改意见23条，作出处罚处理2个，截止目前稽核检查发现的问题已经全部整改到位。

(四)加强合规培训，提高员工专业能力

2024年，财务公司分别针对反洗钱、风险管理、监管政策、公司制度、法律法规等组织开展了13次合规培训，通过讲解政策文件、分析案例、答疑解惑、观看视频、邀请律师授课等方式，要求员工严格遵守国家法律法规及监管规定，落实各项业务和管理要求，恪守职业道德操守，廉洁从业。

(五)监管指标

截至2024年12月31日，财务公司各项监控指标全部达到监管规定的要求，不良资产率为零。

第

页共12页序号