中信证券股份有限公司
                           全面风险管理制度

                                第一章   总则

    第一条   为使中信证券股份有限公司（下称“中信证券”或“公司”）全面、
及时了解面临的风险状况，提高对风险的预见性和应对能力，增强核心竞争力，
促进战略和经营目标的实现，根据《中华人民共和国证券法》、《证券公司监督管
理条例》、《证券公司风险控制指标管理办法》、《证券公司全面风险管理规范（修
订稿）》和《公司章程》，结合公司实际，制定本制度。
    第二条   本制度所称全面风险管理，是指公司董事会、经营管理层以及全体
员工共同参与，对经营中的流动性风险、市场风险、信用风险、操作风险、洗钱
风险、声誉风险、信息技术风险等各类风险，进行准确识别、审慎评估、动态监
控、及时应对的全程管理。
    第三条   公司全面风险管理的目标是通过建立健全与公司自身发展战略相
适应的全面风险管理体系，为公司各类风险可测、可控和可承受提供合理保证，
保障公司稳健经营。公司全面风险管理体系包括可操作的管理制度、健全的组织
架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风
险应对机制以及良好的风险管理文化。
    第四条   公司全面风险管理应遵循以下原则：
    （一）全面性原则：全面风险管理应覆盖公司所有业务、部门、分支机构、
子公司及比照子公司管理的各类孙公司（以下简称“子公司”）及全体人员，贯
穿决策、执行、监督、反馈全过程。
    公司旨在建立集团层面的全面风险管理体系，将子公司的风险管理纳入统一
体系，对其风险管理工作实行垂直管理，实现风险管理全覆盖。
    （二）制衡性原则：公司建立不同部门/业务线、不同岗位之间的制衡体系，
各级部门/业务线和岗位的设置应当权责分明、相互制衡和相互监督。
    （三）重要性原则：风险管理应当在对风险进行全面掌握的基础上，对重要


                                     1
业务、重大事项、主要操作环节和高风险领域实施重点管理。
    （四）适应性原则：风险管理工作应当与公司业务范围、经营规模、组织架
构和风险状况等相适应，并随着市场、技术、监管及法律环境的变化及时加以调
整和完善。
    （五）成本效益原则：风险管理应当权衡实施成本与预期收益，以适当的成
本实现有效的风险控制。

                          第二章   风险管理组织架构

    第五条   公司全面风险管理组织体系包括董事会及下设的风险管理委员会，
经营管理层及下设的专业委员会，相关内部控制部门与业务部门/业务线。在部
门和业务线层面，确立了由业务部门/业务线承担风险管理的首要责任、风险管
理部及合规部等内部控制部门对各类风险进行专业化管理、稽核审计部负责事后
监督与评价的风险管理三道防线。
    第六条   机构设置：
    （一）董事会是公司风险管理的最高决策机构，负责最终审议批准包括公司
风险偏好、风险容忍度以及重大风险限额在内的公司风险管理总体目标和全面风
险管理基本制度，决定重大风险的解决方案，审议公司定期风险评估报告，任免、
考核首席风险官，确定其薪酬待遇，听取首席风险官的报告，持续监督、检查和
评价公司风险管理工作，推进公司风险文化建设，确保公司建立及维持合适、有
效的风险管理制度及体系。董事会对公司风险管理制度及体系的有效性承担最终
责任。
    董事会风险管理委员会（下称“董事会风管委”）在董事会授权下，负责对
公司风险管理的总体目标、基本政策进行审议和决策；监督和评价公司的风险管
理机制；监督和评价风险管理政策的执行情况；对需董事会审议的重大决策的风
险和重大风险的解决方案进行评估并提出意见；对需董事会审议的合规报告和风
险评估报告进行审议并提出意见等。
    （二）监事会承担全面风险管理的监督责任，负责监督检查董事会和经营管
理层在风险管理方面的履职尽责情况并督促整改。
    （三）经营管理层对公司风险管理的有效性承担主要责任，其职责包括：制
定风险管理制度，建立健全公司全面风险管理架构，制定风险偏好、风险容忍度

                                    2
以及重大风险限额，定期评估公司整体风险和各类重要风险管理状况，解决风险
管理中存在的问题并向董事会报告，建立涵盖风险管理有效性的全员绩效考核体
系，建立完备的信息技术系统和数据质量控制机制，以及风险管理的其他职责。
    经营管理层下设风险管理委员会（下称“公司风管委”），在经营管理层授权
的范围内负责全面风险管理工作。
    公司任命首席风险官负责协调全面风险管理工作，首席风险官应符合《证券
公司全面风险管理规范（修订稿）》规定的任职资格要求，且不得兼任或者分管
与其职责相冲突的职务或者部门。
    公司应对首席风险官履职提供充分保障，保障首席风险官能够充分行使履行
职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议，
调阅相关文件资料，获取必要信息。公司应当保障首席风险官的独立性。公司股
东、董事不得违反规定的程序，直接向首席风险官下达指令或者干涉其工作。公
司各部门、分支机构及其工作人员发现风险隐患时，应当主动、及时地向首席风
险官报告。
    公司首席反洗钱合规官由公司合规总监担任，负责全面审视公司反洗钱合规
事务，对反洗钱、反恐融资重大事务做出指示，确保各个业务部门在反洗钱工作
上协调合作。首席反洗钱官应符合反洗钱有关法律法规中规定的任职资格要求，
直接向董事会及其授权机构、公司执行委员会及其授权机构报告洗钱风险管理情
况，根据《反洗钱管理办法》的规定落实洗钱风险管理偏好和策略。
    （四）在部门设置层面，前、中、后台进行分离，分别行使不同的职责，建
立相应的制约机制，形成由业务部门/业务线、风险管理部及合规部等内部控制
部门、稽核审计部共同构筑的风险管理三道防线。
    业务部门/业务线作为公司风险管理的第一道防线，承担风险管理的第一线
责任，负责建立各项业务的业务管理制度与风险管理制度，对业务风险进行监控、
评估、报告，并将业务风险控制在授权范围内。
    公司风险管理部、合规部等内部控制部门是公司风险管理的第二道防线，其
中：
    公司风险管理部按照金融风险类型划分管理团队，并建立适合业务管理的金
融风险管理架构，负责对公司面临的金融风险进行识别、测量、分析、监控、报


                                   3
告和管理。分析、评价公司总体及业务部门/业务线的金融风险，对优化公司的
风险资源配置提出建议；协助公司风管委制定公司的风险限额等风险管理指标，
监控、报告风险限额等风险管理指标的执行情况；建立和完善金融风险在业务部
门/业务线、内部控制部门、经营管理层间的快速报告、反馈机制，定期向经营
管理层全面揭示公司的整体风险状况，为公司风险管理提供建议；建立全面压力
测试机制，为公司重大决策和日常经营调整提供依据，并满足监管要求；对新产
品、新业务进行事前的风险评估和控制设计；协助、指导和检查各部门、分支机
构及子公司的风险管理工作。
    公司合规部组织拟订并实施公司合规管理的基本制度，为公司经营管理层及
各部门/业务线提供合规建议及咨询，并对其经营管理活动的合法合规性进行监
督；督导公司各部门/业务线根据法律法规和准则的变化，评估、制定、修改、
完善内部管理制度和业务流程等。合规部作为公司反洗钱管理部门，制定公司《洗
钱风险管理策略》，并依据洗钱风险管理策略和制度要求，牵头开展洗钱风险管
理工作，推动公司各部门/业务线落实各项反洗钱工作。
    公司法律部负责控制公司及相关业务的法律风险等。
    公司董事会办公室会同总经理办公室、风险管理部、合规部、人力资源部及
相关部门，共同推进管理公司的声誉风险。
    公司信息技术中心负责管理公司的信息技术风险。
    公司稽核审计部是公司风险管理的第三道防线，全面负责内部稽核审计工作，
计划并实施稽核审计项目，根据国家法律法规和公司内部管理制度的规定，对公
司及所属单位经营管理活动的合法性、内部控制的健全性及有效性进行独立客观
的检查、评价、报告及建议，协助公司对突发事件进行核查。
    其他内部控制部门分别在各部门职责范围内行使相应的风险管理职能。
    第七条   公司应当配备充足的专业人员从事风险管理工作，并提供相应的工
作支持和保障。风险管理人员应当熟悉证券业务并具备相应的风险管理技能，且
不得兼任与风险管理职责相冲突的职务。
    公司风险管理部门员工占公司总部员工的比例及薪酬水平应符合《证券公司
全面风险管理规范（修订稿）》中规定的要求。
    第八条   公司应将全面风险管理纳入内部审计范畴，对全面风险管理的充分


                                   4
性和有效性进行独立、客观的审查和评价。内部审计发现问题的，应督促相关责
任人及时整改，并跟踪检查整改措施的落实情况。

                             第三章   风险管理授权

    第九条     公司应当建立健全授权管理体系，各业务部门/业务线、分支机构
须在授权范围内开展业务，严禁越权从事经营活动。通过制度、流程、系统等方
式，进行有效管理和控制，并确保业务经营活动受到制衡和监督。新产品或新业
务须经公司相应审批流程通过之后方可开展。
    第十条     公司风管委在授权范围内负责制定总体主要风险管理指标和限额，
并在业务部门/业务线间进行分配。
    风险管理部在风管委授权范围内，负责根据业务特点和业务部门/业务线内
部管理结构对风险指标和限额进行细化和分配，形成分层授权限额体系，并对执
行情况进行监控和管理。对风险指标超限额的，应当与业务部门/业务线及时沟
通，了解情况和原因，并依照限额对应层级进行报告和处理。
    第十一条     各业务部门/业务线根据业务开展情况可申请调整风险管理授权，
审批通过后按照通过方案执行。
    第十二条     公司风管委根据经营目标、市场情况以及特殊事件可随时调整业
务部门/业务线的风险管理授权。

                            第四章    风险识别与评估

    第十三条 各业务部门/业务线应当全面、系统、持续地收集和分析可能影
响实现经营目标的内外部信息，及时识别与沟通所面临的风险，定期评估和分析
风险形成条件、潜在影响和发生可能性，并对潜在风险点进行事前的分类、整理
和相应的提示。
    第十四条 公司应当根据风险的影响程度和发生可能性等建立评估标准，采
取定性与定量相结合的方法，对识别的风险进行分析计量并进行等级评价或量化
排序，确定重点关注和优先控制的风险。
    公司应当关注风险的关联性，汇总公司层面的风险总量，审慎评估公司面临
的总体风险水平。
    第十五条 公司应当规范金融工具估值和风险计量的方法、模型和流程。各


                                      5
业务部门/业务线使用的金融工具估值方法和风险计量模型应经风险管理部审核
通过后应用。对于估值模型，应建立业务部门/业务线与风险管理部、计划财务
部的协调机制，确保计量基础的科学性。
    第十六条 公司选择各种有效的方法或模型来计量和评估各类可量化的风
险类型，审慎评估所选方法或模型的局限性，并采用有效手段进行补充。
    第十七条 风险管理部定期对估值与风险计量模型的有效性进行检验和评
价，以确保相关假设、参数、数据来源和计量程序的合理性与可靠性，并根据检
验结果进行调整和改进。
    第十八条 公司根据业务情况和市场情况对各类金融风险定期开展压力测
试工作，并将结果运用到经营决策中。
    第十九条 公司建立《新业务评估流程》，业务部门/业务线须对每项新业务
制定完备的新业务提案，并经由相关内控和支持部门评估通过后方可上线开展。
新业务评估内容包含：新业务的合法、合规性；新业务洗钱风险防控；对公司风
险状况和可接受限额带来的变化，对相关监管指标的影响；需要新设立或变更的
各类内部控制和管理流程、风险缓释措施、监控指标等；自有资金占用情况和盈
利预期；风险计量模型和估值模型；新业务开展所需人力、IT 基础架构、系统
功能的支持情况。

                            第五章   风险监控及应对

    第二十条     公司以及各业务部门/业务线应建立与业务复杂程度和风险管理
指标体系相适应的风险管理信息技术系统，对风险进行计量、汇总、预警和监控，
并实现同一业务、同一客户相关风险信息的集中管理，以符合公司整体风险管理
的需要。
    公司应每年制定风险管理信息技术系统专项预算。
    第二十一条     公司应建立健全数据治理和质量控制机制。积累真实、准确、
完整的内部和外部数据，用于风险识别、计量、评估、监测和报告。
    公司应将数据治理纳入公司整体信息技术建设战略规划，制定数据标准，涵
盖数据源管理、数据库建设、数据质量监测等环节。
    第二十二条     公司针对不同类型风险制定相应的管理方法和流程。公司以及
各业务部门/业务线应采用与自身风险状况相适应的监控手段，建立逐日盯市等

                                     6
事中的监测机制，准确计算并动态监控风险管理指标，及时预警超过各类各级风
险限额的情形。 对于非业务部门，通过设置关键风险指标、执行风险与控制自
我评估程序等手段，对相关风险进行监控。
       第二十三条     各内部控制部门以及业务部门/业务线在业务活动与职能管理
过程中，发现异常情况时应按照汇报关系及时报告。
       第二十四条     公司以及各业务部门/业务线应根据风险评估和监控预警的结
果，根据公司的风险偏好选择相适应的风险回避、降低、转移和承受等策略，采
用资产减值、风险对冲、资本补充、规模调整、资产负债管理等手段进行风险应
对。
       第二十五条     公司针对流动性危机、交易系统事故等重大风险和突发事件建
立风险应急机制，明确应急触发条件、风险处置的组织体系、措施、方法和程序，
并通过压力测试、应急演练等机制进行持续改进。

                               第六章    风险报告与处置

       第二十六条     公司在业务部门/业务线、内部控制部门、经营管理层、董事
会之间建立畅通的风险信息沟通机制，确保相关信息传递与反馈的及时、准确、
完整。
       第二十七条     公司经营管理层应每半年向董事会报告公司风险状况及风险
管理有效性。当公司出现重大风险情况时，公司经营管理层应及时报告董事会。
       第二十八条     公司经营管理层应每年组织对公司全面风险管理体系的有效
性进行评估，公司各业务部门/业务线应根据评估结果及时改进风险管理工作。
       第二十九条     风险管理部根据各业务部门/业务线、各业务的风险汇总情况
并结合监控分析结果情况，向经营管理层提交风险管理日报、月报、季报、半年
报、年报等定期报告，反映风险识别、评估结果和应对方案。
       第三十条     相关内部控制部门应针对重大风险隐患、重大风险事件提供专项
评估报告，对应对措施、处置过程和结果进行分析评估，提出改进建议，并督促
整改。

                              第七章    风险管理文化建设

       第三十一条     公司应通过内部刊物、内部网站等渠道进行风险管理宣传，塑


                                         7
造良好的风险管理文化，树立正确的风险管理理念，增强员工的风险管理意识。
    第三十二条   公司应为员工提供风险管理培训，通过多种渠道和途径介绍风
险管理技术、讲解风险管理案例。

                             第八章   风险管理考核

    第三十三条   公司以及各业务部门/业务线应将风险管理考核纳入经营管理
综合考核中，考核结果与员工奖惩激励挂钩。
    第三十四条   对于违反风险管理授权的责任单位、直接责任人、相关管理人
员及相关人员，应视情节轻重对其处以诫勉谈话、通报批评、降职（降级）、免
职、解除劳动合同等处罚。

                                 第九章   附则

    第三十五条   公司境内外各全资或控股子公司应建立与母公司一致的风险
管理文化与政策，建立完善的风险管理制度和内部控制机制，建立重大事项报告
制度和审议机制，真实、准确、完整、及时、充分地向母公司报告重大业务事项、
重大财务事项以及其他重大风险事项。
    公司相关部门应定期或不定期对各全资或控股子公司的风险管理体系有效
性进行检查和评估。
    公司对于子公司各类具体风险的管理细则可参照本制度的要求另行制定。
    第三十六条   本制度由公司董事会负责解释。
    第三十七条   本制度由董事会审批通过后，自发布之日起实施，修订时亦同。




                 本制度于2016年4月经公司第六届董事会第三次会议审议通过
                     于2017年4月经公司第六届董事会第十二次会议第一次修订
                 于2018年6月经公司第六届董事会第二十四次会议第二次修订
                 于2019年3月经公司第六届董事会第三十八次会议第三次修订




                                      8