浙商证券:浙商证券股份有限公司全面风险管理办法(2021年修订)2021-03-18
浙商证券股份有限公司全面风险管理办法
(2021 年修订)
第一章 总则
第一条 为加强和规范公司全面风险管理工作,提高风险管理能
力,促进公司持续、健康、稳定发展,根据《证券法》、《证券公司
监督管理条例》、《证券公司风险控制指标管理办法》、《证券公司
全面风险管理规范》等法律法规,结合公司《公司章程》和实际情况,
制定本办法。
第二条 本办法所称全面风险管理,是指公司董事会、经理层以
及全体员工共同参与,对公司经营中的流动性风险、市场风险、信用
风险、操作风险、声誉风险、洗钱风险等各类风险,进行准确识别、
审慎评估、动态监控、及时应对及全程管理。
第三条 公司应当建立健全与公司自身发展战略相适应的全面
风险管理体系。全面风险管理体系包括可操作的管理制度、健全的组
织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队
伍、有效的风险应对机制以及良好的风险管理文化。
第四条 公司全面风险管理的总体目标是将风险控制在与公司
总体经营发展目标相适应并可承受的范围内,促进战略目标的实现。
第五条 公司全面风险管理应遵循以下原则:
(一)全面性原则:全面风险管理应当覆盖公司所有部门、分支
机构、子公司及比照子公司管理的各类孙公司(以下简称“子公司”)、
全体人员,贯穿决策、执行、监督、反馈全过程;
1 / 14
� (二)适应性原则:全面风险管理工作应当与外部监管规定、公
司战略目标、经营规模、风险状况等相适应,并根据市场环境及业务
发展变化情况,持续动态地进行调整完善;
(三)独立性原则:公司保障业务部门内设的风险控制部门或岗
位人员、风险管理部及各类专业风险管理部门(以下统称“风险管理
部门”)独立地履行风险管理职责,并在风险管理部门、业务部门内
设风险控制部门或岗位与业务部门之间建立有效的制衡机制;
(四)风险与收益平衡原则:业务开展中应合理平衡好风险和收
益的关系,既要积极防范和控制风险可能造成的损失,又要视风险为
获取收益的特殊资源。
第六条 公司应当在全公司推行稳健的风险文化,形成与本公司
经营理念和企业文化相适应的风险管理文化理念、价值准则、职业操
守,健全培训、传达和监督机制。
第七条 本办法适用于公司全体部门、分支机构、子公司的全面
风险管理工作。
第二章 风险管理组织架构
第八条 公司全面风险管理组织架构由董事会及下设合规与风
控委员会,监事会,经营管理层及下设专业委员会,风险管理部门,
业务部门、分支机构及子公司,审计部等组成。
第九条 公司董事会承担全面风险管理的最终职责,主要包括:
(一)推进风险文化建设;
(二)审议批准公司全面风险管理的基本制度;
(三)审议批准公司的风险偏好、风险容忍度以及重大风险限额;
(四)审议公司定期风险评估报告;
(五)任免、考核首席风险官,确定其薪酬待遇;
2 / 14
� (六)建立与首席风险官的直接沟通机制;
(七)公司章程规定的其他风险管理职责。
董事会下设合规与风险控制委员会根据公司章程和董事会的授
权,对需要董事会决定或审批的风险管理事项进行审议,并履行其他
授权事项。
第十条 公司监事会承担全面风险管理的监督职责,负责监督检
查董事会和经理层在风险管理方面的履职尽责情况并督促整改。
第十一条 公司经理层对全面风险管理承担主要职责,主要包
括:
(一)制定风险管理制度,并适时调整;
(二)建立健全公司全面风险管理的经营管理架构,明确全面风
险管理职能部门、业务部门以及其他部门在风险管理中的职责分工;
(三)制定风险偏好、风险容忍度以及重大风险限额等的具体执
行方案,确保其有效落实;对其进行监督,及时分析原因,并根据董
事会的授权进行处理;
(四)定期评估公司整体风险和各类重要风险管理状况,解决风
险管理中存在的问题并向董事会报告;
(五)建立涵盖风险管理有效性的全员绩效考核体系;
(六)建立完备的风险管理信息技术支撑系统和数据质量控制机
制;
(七)风险管理的其他职责。
经理层下设风险控制委员会在经理层的授权范围内负责相关全
面风险管理工作,各业务管理/决策委员会在经理层的授权下履行风
险管理职责。
3 / 14
� 第十二条 公司任命一名高级管理人员负责全面风险管理工作
(以下简称“首席风险官”)。首席风险官应符合监管规定的任职资
格要求,且不得兼任或者分管与其职责相冲突的职务或者部门,具体
职责包括:
(一)组织推动全面风险管理体系建设,并根据监管要求和公司
业务发展需要持续完善;
(二)组织制订和修订公司风险管理制度,并督促实施;
(三)组织落实公司风险管理政策和决议;
(四)推动公司及子公司建立健全风险管理机制;
(五)定期或不定期组织对公司(含子公司)重点业务风险隐患
检查、评估;
(六)参与公司重大业务、经营决策;
(七)组织对公司各部门及子公司的风险管理考核;
(八)有权机构授权的其他风险管理职责。
第十三条 公司应对首席风险官履职提供充分保障,保障首席风
险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或
者列席与其履行职责相关的会议,调阅相关文件资料,获取必要信息。
公司应当保障首席风险官的独立性。公司股东、董事不得违反规
定的程序,直接向首席风险官下达指令或者干涉其工作。公司各部门、
分支机构、子公司及其工作人员发现风险隐患时,应当主动、及时地
向首席风险官报告。
第十四条 公司设立风险管理部在首席风险官的领导下推动全
面风险管理工作,监测、评估、报告公司整体风险水平,并具体归口
市场风险、信用风险的管理工作,主要职责包括:
4 / 14
� (一)组织落实公司全面风险管理体系建设,推动董事会、经理
层关于全面风险管理工作的各项决定执行;
(二)协同各风险管理部门制订公司层面及各业务风险管理政策,
拟订公司风险偏好、风险容忍度和重大风险限额等的具体执行方案,
并实施监测、预警和报告;
(三)协助、指导和检查公司各部门、分支机构及子公司的风险
管理工作;
(四)对公司重大风险业务、新业务进行独立风险评估;
(五)组织开展风险管理培训,促进公司形成良好的风险文化;
(六)持续完善公司市场风险、信用风险管理流程,开展市场风
险、信用风险的识别、计量、评估、监测、预警、应对、报告和处置
等;
(七)公司要求的其他风险管理职责。
第十五条 计划财务部为流动性风险的管理部门,负责持续完善
公司流动性风险管理流程,制订流动性风险管理政策,分解管理和执
行责任,开展流动性风险识别、评估、监测、预警、应对、报告和处
置等工作。
计划财务部应针对流动性危机建立风险应急机制,明确应急触发
条件、风险处置的组织体系、措施、方法和程序,并通过压力测试、
应急演练等机制进行持续改进。
第十六条 办公室为声誉风险的管理部门,负责持续完善公司声
誉风险管理流程,制订声誉风险管理政策,分解管理和执行责任,开
展声誉风险识别、评估、监测、预警、应对、报告和处置等工作。
第十七条 合规管理部为操作风险、合规风险、洗钱风险的管理
部门,负责持续完善公司操作风险、合规风险及洗钱风险管理流程,
5 / 14
�制订前述风险管理政策,分解管理和执行责任,开展相应风险识别、
评估、监测、预警、应对、报告和处置等工作。
第十八条 法律事务部为法律风险管理部门,负责持续完善公司
法律风险管理流程,制订法律风险管理政策,分解管理和执行责任,
开展风险识别、评估、监测、预警、应对、报告和处置等工作。
第十九条 信息技术事业部为信息安全风险的管理部门,负责持
续完善公司信息安全风险管理流程,制订信息安全风险管理政策,分
解管理和执行责任,开展信息安全风险识别、评估、监测、预警、应
对、报告和处置等工作。
信息技术事业部应针对交易系统事故建立风险应急机制,明确应
急触发条件、风险处置的组织体系、措施、方法和程序,并通过压力
测试、应急演练等机制进行持续改进。
第二十条 投行内核办公室为投资银行类业务风险的整体管理部
门,介入投资银行主要业务环节、把控关键风险节点,负责持续完善
公司投资银行业务的风险管理流程,制订投资银行类业务风险管理制
度,开展投行信用风险的评估、监测、排查、提示、报告等工作。
其他职能部门分别在各部门职责范围内行使相应的风险管理职
能。
第二十一条 公司实施“三道防线”风险管理,科学划分前、中、
后台部门风险管理职责。业务部门、分支机构及子公司是风险管理的
第一道防线,对本机构的各类风险管理工作负责,落实公司及风险管
理部门制定的各项风险管理政策、流程和措施,接受风险管理部门的
指导以及对各类风险管理、执行责任的分解。
业务部门、分支机构及子公司负责人为本机构风险管理的第一责
任人,应当全面了解并在决策中充分考虑与业务相关的各类风险,执
6 / 14
�行所负责业务事前、事中、事后的风险识别、评估、监测、应对、报
告,以及对不同风险类型之间的关联和转化进行及时预警、控制等,
并承担风险管理的直接责任。
第二十二条 公司应将全面风险管理纳入内部审计范畴,自行或
委托具有专业资质的外部专业机构对公司全面风险管理的充分性和
有效性进行独立、客观的审查和评价。内部审计发现问题的,审计部
应督促相关责任人及时整改,并跟踪检查整改措施的落实情况。
第二十三条 公司应当配备充足的专业人员从事风险管理工作,
并提供相应的工作支持和保障。风险管理人员应当熟悉证券业务并具
备相应的风险管理技能,且不得兼任与风险管理职责相冲突的职务。
公司风险管理部门员工任职要求、人数占比及薪酬水平应符合监管要
求。
第二十四条 公司每一名员工对风险管理有效性承担勤勉尽责、
审慎防范、及时报告的责任。包括但不限于:通过学习、经验积累提
高风险意识;谨慎处理工作中涉及的风险因素;发现风险隐患时主动
应对并及时履行报告义务。
第二十五条 公司将子公司纳入全面风险管理体系,各风险管理
部门根据风险管理职责对子公司风险管理工作实行垂直管控。子公司
应在公司整体风险偏好和风险管理制度框架下,建立并实施适合其业
务特点和符合行业监管要求的风险管理组织架构、制度流程、信息技
术系统和风控指标体系,保障全面风险管理的一致性和有效性。
子公司应当任命一名高级管理人员负责子公司的全面风险管理
工作,其任命、解聘、考核等事项需满足监管要求。
7 / 14
� 部分子公司组织机构设置不具备相应条件的,在确保风险管理工
作职责明确且有效落实的前提下,可根据实际情况适当精简或合理调
整其组织机构、名称。外部监管另有要求的从其要求。
第三章 风险指标体系
第二十六条 公司应当建立健全以风险偏好、风险容忍度、风险
限额为核心的授权体系,对各业务和子公司进行逐级授权,确保公司
各单元在被授予的权限范围内开展工作,严禁越权从事经营活动。新
业务(产品)须经公司相应审批流程通过或取得授权之后方可开展。
第二十七条 公司应制定涵盖各类风险和各类业务的风险容忍
度和风险限额等的风险指标体系,并通过压力测试等方法计量风险、
评估承受能力、指导资源配置。整体风险指标经董事会审议批准后,
逐级分解至各部门、分支机构和子公司,风险管理部门和业务部门对
风险指标限额执行情况进行监控和管理。
第二十八条 公司应根据外部监管标准,建立与经营发展战略相
匹配的风险限额管理机制,包括风险限额的设定、授权、分解、调整、
监测、超限处理与报告等。
第四章 风险管理工作机制
第二十九条 公司针对不同风险制定可操作的风险识别、评
估、监测、应对、报告和处置的方法和流程,合理运用压力测试、风
险限额等风险管理工具计量风险,并通过评估、检查、考核与问责等
手段保证风险管理制度的贯彻落实。
第一节 风险识别与评估
第三十条 公司通过信息归集、案例分析和内外部交流等方式,
全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息,
8 / 14
�并结合公司业务特点,识别公司面临的风险及其来源、特征、形成条
件和潜在影响,并按业务、部门和风险类型等进行分类。
第三十一条 公司应当根据风险的影响程度和发生可能性等建
立评估标准,采取定性与定量相结合的方法,对识别的风险进行分析
计量并进行等级评价或量化排序,确定重点关注和优先控制的风险。
公司应当关注风险的关联性,汇总公司层面的风险总量,审慎评
估公司面临的总体风险水平。
第三十二条 公司业务部门、分支机构及子公司是风险评估的主
体责任部门,风险管理部门负责协调和指导,根据要求汇总报送经理
层、上级部门等。
第三十三条 风险评估必要时也可聘请有资质、信誉好、专业能
力强的第三方机构协助实施。
第三十四条 公司应当建立针对新业务的风险管理制度和流程,
公司董事会、经理层、相关业务部门、分支机构、子公司和风险管理
部门都应当充分了解新业务的运作模式、估值模型及风险管理的基本
假设、各主要风险以及压力情景下的潜在损失。
各业务部门制定的创新业务方案应包含业务部门自身对于创新
业务的运作模式、估值方法、风险识别和评估结果以及应采取的风险
管理措施。公司风险管理部门应对创新业务方案出具风险评估意见,
评估公司是否具有相应的人员、系统及资本开展该业务。
第三十五条 公司应当规范金融工具估值的方法、模型和流程,
建立业务部门、分支机构、子公司与风险管理部门、财务部门的协调
机制,确保风险计量基础的科学性。
9 / 14
� 公司风险管理部门应当定期对估值与风险计量模型的有效性进
行检验和评价,确保相关假设、参数、数据来源和计量程序的合理性
与可靠性,并根据检验结果进行调整和改进。
第二节 风险监测与应对
第三十六条 公司应当建立逐日盯市等机制,准确计算、动态监
控关键风险指标情况,判断和预测各类风险指标的变化,及时预警超
越各类、各级风险限额的情形,明确异常情况的报告路径和处理办法。
第三十七条 风险管理部门发现风险指标超限额的,应当与业务
部门、分支机构、子公司及时沟通,了解情况和原因,督促业务部门、
分支机构、子公司采取措施在规定时间内予以有效解决,并及时向首
席风险官报告。
第三十八条 公司应当根据风险评估和预警结果,选择与公司风
险偏好相适应的风险回避、降低、转移和承受等应对策略,建立合理、
有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等
应对机制。
第三节 风险报告与处置
第三十九条 公司应建立风险报告管理机制,明确风险信息的上
报与传递程序,公司风险报告采取分类管理原则,规范风险管理报告
的频率、内容、流程,并明确报送部门、人员和报送责任。
第四十条 公司在各单元、经理层、董事会之间建立畅通的风险
信息沟通机制,确保相关信息传递与反馈的及时、准确、完整。
第四十一条 公司各部门、子公司应定期向风险管理部门及首席
风险官报告业务及经营风险情况;遇到临时性突发性事件时,应第一
时间向风险管理部门和首席风险官报告,必要时向经理层报告。
10 / 14
� 第四十二条 风险管理部汇总公司总量风险及监控分析结果等情
况,及时向经理层提交风险管理日报、月报、年报等定期报告,反应
风险识别、评估结果和应对方案。
第四十三条 公司应建立风险处置管理统筹机制,风险事件的处
置遵循主体责任制要求,公司风险事件发生的各部门、分支机构、各
子公司为风险处置的主体责任机构。
第四十四条 公司应建立风险处置应对机制,包括风险处置等级
分类、处置流程、处置职责分工、处置方案等。
第四十五条 公司风险事件的处置,要坚持合法合规、损失最小
化、及时性的原则。通过积极、稳妥的处置管理,科学准确研判风险
因素及影响程度,有效采取针对性风险控制与处置措施,积极维护公
司合法利益,加快风险处置进程,减少风险事件的经济损失及负面影
响。
第四十六条 风险化解处置完成后,主体责任机构应及时完成总
结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认
定、反映的问题等,并提出整改建议或防范措施,以尽量减少类似风
险和危机发生。
第四十七条 各业务部门、分支机构及子公司应当建立本机构重
大风险和突发事件的应对机制,负责本机构业务的风险应对工作。对
于重大风险和突发事件承担及时报告的责任,严格执行重大突发事件
应急措施,最大限度地降低损失和负面影响。
各风险管理部门负责对风险应对措施落实情况进行持续跟踪检
查,指导并督促相关责任部门及时落实相关风险缓释措施和风险处置
决定,有效开展风险管理工作。
第四节 压力测试
11 / 14
� 第四十八条 公司建立压力测试管理机制,明确压力测试的组织
架构、触发机制、实施流程和测试方法、报告路径、结果应用、评估
评价和保障支持等内容。
第四十九条 压力测试采用以定量分析为主的风险分析方法,定
期或不定期测算压力情景下净资本和流动性等风险控制指标、财务指
标、公司风险限额指标及业务指标的变化情况,对流动性风险、信用
风险、市场风险等各类风险进行压力测试,评估风险承受能力,并采
取必要的应对措施。
第五十条 公司在业务决策过程中应审慎考虑压力测试结果,结
合风险偏好、风险容忍度及风险限额等情况,指导资源配置并做好风
险控制。
第五章 风险管理信息技术系统和数据管理
第五十一条 公司应当建立与业务复杂程度和风险指标体系相
适应的风险管理信息技术系统,覆盖各风险类型、公司各单元,对风
险进行计量、汇总、预警和监控,并实现同一业务、同一客户相关风
险信息的集中管理,以符合公司整体风险管理的需要。公司应每年制
定风险管理信息系统专项预算。
第五十二条 公司风险管理信息系统应具备支持风险信息的搜
集、识别、计量、评估、监测和报告,支持风险指标和限额监控监测、
预警、报告、压力测试等主要功能,支持按照风险类型、业务条线、
机构、客户和交易对手等多维度风险展示和报告,支持公司风险管理
和风险决策的需要。
第五十三条 公司应当建立健全数据治理和质量控制机制。积累
真实、准确、完整的内部和外部数据,用于风险识别、计量、评估、
监测和报告。
12 / 14
� 公司应将数据治理纳入公司整体信息技术建设战略规划,制定数
据标准,涵盖数据源管理、数据库建设、数据质量监测等环节。
第五十四条 公司各业务部门及其他相关部门应履行向风险管
理部门和全面风险管理信息系统提供数据的职责,保证提供数据的准
确性、及时性、可用性和完整性,并纳入全面风险管理考核。
第六章 风险管理文化
第五十五条 公司应通过风险管理文化宣传,树立正确的风险管
理理念,增强员工的风险管理意识,自上而下地建立风险管理人人有
责的公司风险管理文化。
第五十六条 公司应为员工提供风险管理培训,通过多种渠道和
途径介绍风险管理技术、讲解风险管理案例,营造“管理风险创造价
值”的良好氛围。
第七章 考核与问责
第五十七条 公司应当建立与风险管理效果挂钩的绩效考核及
责任追究机制,保障全面风险管理的有效性。
第五十八条 公司风险管理绩效考核对风险管理工作的质量、效
果进行客观评价。各风险管理部门按各自负责的风险类型对各业务部
门的风险管理工作进行考核评分,由风险管理部汇总,考核结果纳入
合规风控绩效考核体系。风险管理部门的风险管理工作由首席风险官
和公司经理层进行考核。
第五十九条 公司建立风险问责及处罚机制,对于违反规定的风
险管理职责或者履职不力导致出现重大风险事项,对公司造成重大损
失的,公司将视情况对相关责任人员采取问责处理,并视情况追究其
相应损失的赔偿责任。
第八章 附则
13 / 14
� 第六十条 本办法由公司董事会负责解释、修订。
第六十一条 本办法自董事会通过之日起生效并实施,原《浙商
证券股份有限公司全面风险管理工作办法》同时废止。
14 / 14
�
