国元证券:全面风险管理制度(2017年6月)2017-06-17
国元证券股份有限公司全面风险管理制度
(经2017年6月16日第八届董事会第七次会议审议通过)
第一章 总则
第一条 为促进公司规范经营,加强公司全面风险管理,保障公
司各项业务持续、稳定、健康发展,依据《中华人民共和国证券法》、
《证券公司监督管理条例》、《证券公司风险控制指标管理办法》、《证
券公司全面风险管理规范》等法律、法规和准则,结合公司实际情况,
特制定本制度。
第二条 本制度所称全面风险管理,是指公司董事会、经理层以
及全体员工共同参与,对公司经营中的流动性风险、市场风险、信用
风险、操作风险、声誉风险、洗钱风险等各类风险,进行准确识别、
审慎评估、动态监控、及时应对及全程管理。
第三条 公司全面风险管理的目标是:促进公司业务经营持续健
康发展,确保公司各项业务在可承受的风险范围内有序运作;保障公
司资产和客户受托资产的安全完整;公司经营中整体风险可测、可控、
可承受,最终实现公司的经营战略和发展目标。
第四条 公司全面风险管理工作遵循以下原则:
(一)全面性原则。公司风险管理应当覆盖公司经营所面临的所有
风险类别,以及公司的所有业务、机构和人员,贯穿决策、执行、监
督和反馈的全过程。
(二) 制衡性原则。公司风险管理应当通过制度、流程、系统管
1
�理等方式,实现不同业务环节的相互制约,以及前、中、后台相关部
门、相关岗位之间的相互制衡与监督。履行风险管理职责的部门应独
立于监管对象,客观独立地履行风险管理各项职责。
(三) 针对性原则。公司应对各风险进行等级划分,对不同等级
风险采取不同的资源投入和风险应对措施。重点加强对高等级风险、
内控薄弱环节和新业务风险的识别、监测和管控。
(四) 适应性原则。公司风险管理应当与公司的经营规模、风险
状况、承受能力和创新发展要求等相匹配,符合监管及行业自律要求,
与行业发展实际水平相适应,以合理的成本和措施实现风险管理目标。
第二章 风险管理的组织架构
第五条 公司风险管理组织架构由四个层次构成,分别为:公司
董事会及下设的风险管理委员会;经营管理层及下设的风控与合规委
员会等非常设机构;包括风险监管部、发行审核部、合规管理部、稽
核部、信息技术总部、资金计划部、董事会办公室等在内的履行风险
管理相关职能的部门;各业务部门及内设的风险管理岗位。
第六条 公司董事会是风险管理的最高决策机构,承担全面风险
管理的最终责任,履行以下职责:
(一)推进风险文化建设;
(二)审议批准公司全面风险管理的基本制度;
(三)审议批准公司的风险偏好、风险容忍度以及重大风险限额;
(四)审议公司定期风险评估报告;
2
� (五)任免、考核首席风险官,确定其薪酬待遇;
(六)建立与首席风险官的直接沟通机制;
(七)公司章程规定的其他风险管理职责。
董事会设立风险管理委员会,按照公司章程和董事会《风险管理
委员会工作细则》的规定履行职责和义务。风险管理委员会对董事会
负责,向董事会报告。
第七条 公司监事会承担全面风险管理的监督责任,负责监督检
查董事会和经理层在风险管理方面的履职尽责情况并督促整改。
第八条 公司经营管理层对全面风险管理承担主要责任,履行以
下职责:
(一)制定风险管理制度,并适时调整;
(二)建立健全公司全面风险管理的经营管理架构,明确全面风
险管理职能部门、业务部门以及其他部门在风险管理中的职责分工,
建立部门之间有效制衡、相互协调的运行机制;
(三)制定风险偏好、风险容忍度以及重大风险限额等的具体执
行方案,确保其有效落实;对其进行监督,及时分析原因,并根据董
事会的授权进行处理;
(四)定期评估公司整体风险和各类重要风险管理状况,解决风
险管理中存在的问题并向董事会报告;
(五)建立涵盖风险管理有效性的全员绩效考核体系;
(六)建立完备的信息技术系统和数据质量控制机制;
(七)根据法律法规的要求和董事会授权的其他风险管理职责。
3
� 公司设立风控与合规委员会、信息技术治理委员会、创新业务和
产品终审委员会、自营业务领导小组、经纪业务领导小组、信用业务
领导小组、资产管理业务领导小组 、投行业务及内核领导小组、区
域性股权交易市场内核小组等非常设机构,根据公司授权履行在各自
的业务管理、决策范围内的风险管控职责和义务。
第九条 公司任命一名符合法规要求任职条件的高级管理人员
担任首席风险官,负责组织落实公司全面风险管理的具体工作。首席
风险官不得兼任或者分管与其职责相冲突的职务或者部门。
公司对首席风险官履职提供充分保障,保障首席风险官能够充分
行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履
行职责相关的会议,调阅相关文件资料,获取必要信息。
公司保障首席风险官的独立性。公司股东、董事不得违反规定的
程序,直接向首席风险官下达指令或者干涉其工作。
公司各部门、分支机构及其工作人员发现风险隐患时,应当主动、
及时地向首席风险官报告,首席风险官根据风险隐患重要程度不同,
逐级向公司经营管理层、董事会、监事会和外部监管机构报告。
第十条 公司相关风险管理职能部门在首席风险官的领导下推
动全面风险管理工作,监测、评估、报告公司整体风险水平,并为业
务决策提供风险管理建议,协助、指导和检查各部门、分支机构及子
公司的风险管理工作。
第十一条 公司设立风险监管部、发行审核部、合规管理部与
稽核部等内部监督检查部门,独立履行风险管理职能,对董事会负责,
4
�并同时向公司经营管理层、监事会和首席风险官报告公司风险管理的
情况。公司配备充足的熟悉证券业务与风险管理技能的专业人员,并
提供相应的资源支持,以保障其胜任风险管理工作。
风险监管部负责倡导全员风险意识,进行公司全面风险管理体系
和策略的研究;针对市场风险、信用风险、操作风险等风险类型,及
时识别已开展的各项业务和创新业务可能存在的风险,督导业务部门
在业务运行、业务创新中建立与完善各项内部控制制度和风险管理流
程;通过连接各业务管理系统、建设电子信息监控系统,对公司经营
活动、业务开展事前和事中的风险监管点或风险监管项目实施审核、
监控与管理;建立以净资本为核心的风控指标监控体系,组织进行全
面压力测试和专项压力测试工作;按照公司有关规定与子公司进行风
险监管对接;建立风险监管信息内部报送与传递机制,修正偏差以达
到风险的分担、转移、整合和消除。
发行审核部负责对投行和债券业务进行全程动态监管,建立完善
投行和债券业务的内部控制制度和风险管理流程,对投行和债券项目
进行立项、预审、现场检查、组织内核、底稿验收等质量控制活动,
并就投行及债券业务中的风险事件与合规事项向首席风险官、合规总
监报告。
合规管理部负责督导和协助经理层有效管理公司各业务法律风
险和合规风险,对公司及其工作人员的经营管理和执业行为的合规性
进行审查、 监督和检查,履行合规政策开发、合规审查、合规咨询、
监督检查、培训教育等合规支持和合规控制职责;负责对公司的业务
5
�开展及合同内容的合法性、约定权利义务的对等性、条款的完备性以
及是否存在重大缺陷或显失公平等法律事项进行审核;对已获准的合
同及业务提供相应的法律服务;负责实施公司反洗钱工作,牵头履行
法人机构反洗钱相关职责;管理公司的诉讼案件;协助司法机关查询、
冻结及执行工作;配合公司相关部门开展专项法律培训,防范法律风
险。
稽核部负责对公司所属部门及分支机构的业务、财务、会计及其
他经营管理活动的合法性、合规性、真实性、效益性等履行检查、评
价、报告和建议职能。
第十二条 公司其他风险管理职能部门及其职责:
资金计划部在财务会计部和风险监管部等部门协助下负责公司
及子公司流动性风险管理工作;
信息技术总部是公司信息技术系统的管理部门,负责公司信息技
术风险管理工作,信息技术总部本身的监督评估工作由稽核部聘请外
部机构予以完成;
董事会办公室是公司信息披露、投资者关系、对外沟通等事务的
管理部门,负责公共关系有关声誉风险管理工作;
财务会计部、运营总部和人力资源部等其他业务支持与管理部门,
在各自职责范围内履行相应的风险管理职能。
第十三条 公司各业务部门、分支机构、子公司和高级管理人
员应当全面了解并在决策中充分考虑与业务相关的各类风险,及时识
别、评估、应对、报告相关风险,并承担风险管理有效性的直接责任。
6
�各业务管理部门和分支机构负责人为风险控制的第一责任人,各分管
高管承担相应的领导责任。
第十四条 各业务部门设立风险管理岗位(除另行指定外,由
部门合规管理岗位人员兼任),承担管理职能的业务部门配备专职风
险管理人员,在首席风险官与内部监督检查部门的指导下,负责公司
各项业务管理和风险管理制度的落实,监督执行各项业务操作流程,
与风险管理职能部门建立直接、有效的沟通,对业务操作过程中发现
的内部控制缺陷及风险点及时反馈,提出整改或完善的意见或建议,
有效识别和管理本单位业务经营中面临的各种风险,履行一线风险控
制职能。风险管理人员不得兼任与风险管理职责相冲突的职务。
第三章 风险管理的基本要求
第十五条 根据监管要求并适应经营发展需求,公司制定并持
续完善各项业务风险管理制度,针对不同风险类型制定可操作的风险
识别、评估、监测、应对、报告的方法和流程,并通过评估、稽核、
检查和绩效考核等手段保证风险管理制度的贯彻落实。
第十六条 公司根据自身的整体发展战略,确定风险偏好,制
定风险管理政策。风险管理政策应与公司的发展规划、资本实力、经
营目标和风险管理能力相适应,符合法律法规和监管要求。
第十七条 公司各风险管理职能部门与业务部门共同制定包括
风险容忍度和风险限额等风险控制指标,并通过压力测试等方法计量
风险、评估承受能力、指导资源配置。
7
� 风险指标经相应的授权机构审批后,逐级分解至各部门、分支机
构和子公司,各部门、分支机构和子公司机构应当按照经批准的指标
开展经营活动和风险管控。
第十八条 公司建立并完善压力测试机制,及时根据业务发展
情况和市场变化情况,对公司流动性风险、信用风险、市场风险等各
类风险进行压力测试。
第十九条 公司建立健全授权管理体系,通过制度、流程、系
统等方式,进行有效管理和控制,并确保业务经营活动受到制衡和监
督。
公司所有部门、分支机构及子公司均应在被授予的权限范围内开
展工作,严禁越权从事经营活动。各部门在每年度的内控自我评价时
应对自身及所属关键业务岗位的授权执行情况进行检查。
第二十条 公司投资管理、信息系统运维、清算交收等关键业
务环节须建立操作日志,系统运行日志,操作留痕等措施,从技术上
全面落实风险管理相关制度,实现责任事故的可追溯性,做到责任明
确,有据可查。
第二十一条 公司将风险管理文化建设作为公司发展战略的组
成部分,在全公司推行稳健的风险文化,形成与本公司相适应的风险
管理理念、价值准则、职业操守,建立培训、传达和监督机制,在相
关政策和制度文件中明确规定风险管理文化的建设要求和内容,在各
层面营造风险管理文化的氛围。
第二十二条 公司推行全员风险管理,培养和增强员工的风险
8
�意识和风险收益匹配原则,每一名员工都具有风险管理职能,对风险
管理有效性承担勤勉尽责、审慎防范、及时报告的责任。包括但不限
于:通过学习、经验积累提高风险意识;谨慎处理工作中涉及的风险
因素;发现风险隐患时主动应对并及时履行报告义务;自觉执行公司
各项风险管理制度和流程。
第二十三条 公司对各全资或控股子公司的风险管理工作实行
垂直管理,将其纳入公司统一的全面风险管理体系,各全资或控股子
公司应在母公司整体风险偏好和风险管理制度框架下,建立自身的风
险管理组织架构、制度流程、信息技术系统和风控指标体系,保障全
面风险管理的一致性和有效性。
各全资或控股子公司应当任命一名高级管理人员负责子公司的
全面风险管理工作,子公司负责全面风险管理工作的负责人不得兼任
或者分管与其职责相冲突的职务或者部门。
第二十四条 公司将全面风险管理纳入内部审计范畴,对全面
风险管理的充分性和有效性进行独立、客观的审查和评价。内部审计
发现问题的,审计部门应督促相关责任人及时整改,并跟踪检查整改
措施的落实情况。
第四章 风险的识别与评估
第二十五条 公司各部门通过全面、系统、持续地收集和分析
可能影响实现经营目标的内外部信息,识别公司面临的风险及其来源、
特征、形成条件和潜在影响,并按业务、部门和风险类型等进行分类,
9
�定期或不定期更新各流程内控风险矩阵,修订完善公司相关制度和流
程。
第二十六条 公司根据风险的影响程度和发生可能性等建立风
险等级评估标准,各部门应采取定性与定量相结合的方法,对识别的
风险进行分析计量并进行等级评价或量化排序,确定重点关注和优先
控制的风险。风险管理部门应充分关注风险的关联性,对公司层面的
风险进行总量汇总,审慎评估公司面临的总体风险水平。
第二十七条 公司业务部门和财务部门负责建立金融工具估值
的方法、模型和计量流程,建立业务部门、分支机构、子公司与风险
管理部门、财务部门的协调机制,确保风险计量基础的科学性。金融
工具的估值及风险计量如果存在分歧,以风险管理部门确认的数值为
准。
第二十八条 公司可通过风险价值、信用敞口、敏感性分析、
压力测试等方法或模型来计量和评估市场风险、信用风险等可量化的
风险,审慎评估所选方法或模型的局限性,并采用有效手段进行补充。
风险管理部门应会同相关部门定期或不定期对估值与风险计量模型
的有效性进行检验和评价。
第二十九条 开展创新业务的部门、分支机构和子公司应当充
分了解新业务的运作模式、估值模型,会同风险管理部门合理设定风
险管理的基本假设、评估各主要风险以及压力情景下的潜在损失。
各业务部门、分支机构和子公司制订的重大投资计划和创新业务
方案应包含自身对于计划、方案的风险判断和采取的风险管理措施,
10
�并经相关风险管理职能部门进行风险评估。风险管理职能部门对计划
方案中可能存在的风险进行审查和识别,对其产生结果的影响程度进
行评估,对计划方案中相应的风险管理措施是否充分有效等进行分析,
并出具风险评估报告。
第三十条 公司建立创新业务及产品的风险评估体系,建立专
家审核机制,通过初审、复审和终审的三级审核机制确保新业务、新
产品的组织结构、业务模式、风险状况经过充分论证,符合公司的风
险管理政策,并通过制定相关风险限额和控制流程,履行相应的授权
和审批程序,配备相应的人员、系统、资本及实施培训等措施,确保
新业务、新产品的风险可测、可控、可承受。
公司上线新的业务管理和清算等信息系统,应经过事先模拟测试、
演练、验收后方可正式上线。严禁交易、清算等系统未经测试、验收
即正式上线使用。
第五章 风险监测、检查与应对
第三十一条 公司建立并逐步完善数据治理和质量控制机制。
积累真实、准确、完整的内部和外部数据,用于风险识别、计量、评
估、监测和报告。公司将数据治理纳入公司整体信息技术建设战略规
划,制定数据标准,涵盖数据源管理、数据库建设、数据质量监测等
环节。
第三十二条 公司建立与业务复杂程度和风险指标体系相适应
的风险管控系统,逐步实现覆盖各风险类型、业务条线、各个部门、
11
�分支机构及子公司,对风险进行计量、汇总、预警和监控,以及同一
业务、同一客户相关风险信息的集中管理的目标,以符合公司整体风
险管理的需要。公司每年应制定风险管控信息系统专项预算。
对于风险监控信息系统不能监控的领域,通过业务部门及时报备、
不定期的检查、评估,将各项业务风险纳入监控范围,努力消除各项
风险隐患、不留下风险盲区。
第三十三条 公司业务和风险管理部门建立逐日盯市等机制,
准确计算、动态监控关键风险指标情况,判断和预测各类风险指标的
变化,及时预警超越各类、各级风险限额的情形,并明确不同级别的
异常情况的报告路径和处理办法。
第三十四条 公司根据风险评估和预警结果,选择与公司风险
偏好相适应的风险回避、降低、转移和承受等应对策略,建立合理、
有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等
应对机制。
第三十五条 公司建立以净资本和流动性为核心的风险控制指
标体系,根据自身资产负债状况和业务发展情况,建立动态的风险控
制指标监控和资本补足机制,确保净资本等各项风险控制指标在任一
时点都符合中国证监会的监管要求。
第三十六条 各经营管理部门及职能部门应负责对各自职责范
围内的业务及工作进行检查、评估,督促各项规章制度的执行及各项
风险控制措施的落实。各经营管理部门及分支机构的合规风控岗位人
员每月向合规风控部门全面报告本单位的风险管理情况。
12
� 第三十七条 合规管理部定期或不定期对各部门制度及执业行
为合规性及执行情况进行检查;风险监管部根据公司各阶段风险控制
的不同重点,对重点风险业务进行专项检查,督促相关制度的执行及
风险控制措施的落实;发行审核部对投行和债券业务项目进行检查;
稽核部负责根据监管要求和公司管理需要对公司各部门、各分支机构
进行内控审计、离任审计或全面稽核。
第六章 风险应急处置
第三十八条 公司针对流动性危机、交易系统事故等重大风险
和突发事件建立风险应急机制。各相关部门应根据各自开展业务的规
模、性质、复杂程度、风险水平及组织架构,针对流动性危机、非预
期的市场大幅波动、信息系统事故、关键操作差错等重大风险和突发
事件建立风险应急机制,制订并完善应急处置方案。
第三十九条 各部门制订应急处置机制或流程时需明确应急触
发条件、风险处置的组织体系、措施、方法和程序,并通过压力测试、
应急演练等机制进行持续改进。应急处置方案应包括但不限于以下内
容:
(一)充分、合理设定应急处置的触发条件或情景;
(二)明确风险处置的组织体系、各参与人员或岗位的权限及职
责,建立有针对性的应急措施、方法和操作程序;
(三)应急处置期间的信息沟通途径和报告程序;
(四)应急处置的演练、压力测试和持续改进机制;
13
� (五)出现意外突发事项的原因分析要求与责任追究机制。
第七章 风险报告与处置
第四十条 公司在分支机构、子公司、业务部门、风险管理部
门、经营管理层、董事会之间建立畅通的风险信息沟通机制,确保相
关信息传递与反馈的及时、准确、完整。
第四十一条 公司建立内部风险报告机制,使公司及时掌握各
业务、分支机构及子公司经营中的风险情况,并采取措施促进公司各
经营管理部门、各分支机构和子公司安全稳健地持续经营。
公司的内部风险报告包括定期的风险报告与临时的风险报告两
类:各部门、分支机构和子公司应当定期对各自内部风险管理有效性
的情况进行评估和检查,并向分管领导与合规风控部门提交定期报告;
发生风险管理重大事项的,各部门、分支机构和子公司的所有员工应
当及时、完整和准确地向合规风控部门、相关业务支持部门和管理部
门提交临时报告。
第四十二条 风险管理职能部门、相关业务支持部门和管理部
门在得到风险报告后应互相沟通,对报告所涉及的风险和危害程度进
行评估,并按照各自职责采取相应控制措施化解风险,寻找漏洞、加
强控制。
第四十三条 风险管理职能部门建立有效的风险报告机制,向
首席风险官和公司经营管理层提交公司风险管理日报、月报、年报等
定期报告,反映风险识别、评估结果和应对方案,对重大风险应提供
14
�专项评估报告,确保经营管理层及时、充分了解公司风险状况。
经营管理层应当向董事会定期报告公司风险状况,重大风险情况
应及时报告。
第四十四条 风险管理职能部门发现业务运作存在风险隐患或
风险指标超限额等异常情形时,立即向公司领导报告并与业务部门、
分支机构、子公司及时沟通,了解情况和原因,督促相关责任部门在
规定时间内采取措施进行整改,并及时向首席风险官报告。
第八章 风险管理的评价、考核与问责
第四十五条 公司对各部门、分支机构、子公司的风险管理绩
效定期进行评价,评价结果纳入绩效考核体系。风险管理评分作为公
司对各业务绩效评估(KPI)的评分指标之一,原则上合规风控指标
权重不低于 10%。具体考评办法由公司另行制定。
第四十六条 公司各部门、分支机构、子公司的风险管理评价
由首席风险官、合规总监会同内部监督检查部门负责组织完成,财务、
资金、运营、信息技术及相关管理部门予以配合;对首席风险官和内
部监督检查部门的绩效评价按公司相关绩效考核办法组织完成。
第四十七条 公司通过每年度的内部控制规范实施来定期评估
全面风险管理体系,向董事会报告评估情况,并根据评估结果及时改
进风险管理工作。
第四十八条 公司对业务部门、各管理部门在风险管理方面的
失职行为进行问责。业务部门和归口管理部门未执行公司制度流程或
15
�发现风险、隐患或漏洞没有及时报告并制订规避措施或收到风险通知
书后未及时整改的,公司对业务部门和归口管理部门进行问责,分管
领导承担相应的领导责任。风险管理职能部门未按照制度要求履行相
应职责或发现风险事项未进行风险揭示的,公司对风险管理职能部门
进行问责,分管领导承担相应的领导责任。具体问责方式按照《公司
员工奖惩办法》等制度执行。
第四十九条 公司所有部门和人员应积极配合首席风险官和风
险管理职能部门对公司风险管控情况的检查和评价,不得以任何形式
干预、阻挠,不得隐瞒真实情况,弄虚作假。
对于不配合风险管理工作、拒绝提供资料、提供虚假资料、拒不
执行风险控制措施的,公司将责令其改正,并对负有直接责任的主管
人员和其他责任人员,依照公司有关规定视情节轻重,分别给予经济
处罚、通报批评、警告、记过直至撤职、开除等处理;构成犯罪的,
移交司法机关追究刑事责任。
第九章 附则
第五十条 本制度的修订和解释权归公司董事会,自董事会通
过之日起生效并施行。
16
�
