證券企業全面風險管理辦法2020年8月

目 錄第一章總則 3第二章全面風險管理的組織架構 4第三章風險管理系統建設和數據治理 9第四章風險識別與評估 10第五章風險監控及應對 11第六章風險報告與處置 12第七章風險管理文化建設 13第八章風險管理考核 13第九章附則 14

證券企業全面風險管理辦法第一章總則第一條為促進公司規范經營，有效防范與化解風險，保障公司持續、穩定、健康發展，根據《證券公司監督管理條例》《證券公司內部控制指引》《證券公司風險控制指標管理辦法》《證券公司全面風險管理規范》等法律法規及自律規則，制定本辦法。第二條本辦法所稱全面風險管理，是指公司董事會、經營管理層以及全體員工共同參與，對公司經營中的流動性風險、市場風險、信用風險、操作風險、聲譽風險、洗錢風險等各類風險，進行準確識別、審慎評估、動態監控、及時應對及全程管理。第三條公司全面風險管理的目標是通過建立健全與公司自身發展戰略相適應的全面風險管理體系，以保證公司各類風險可測、可控和可承受,保障公司穩健經營。全面風險管理體系應當包括可操作的管理制度、健全的組織架構、可靠的信息技術系統、量化的風險指標體系、專業的人才隊伍、有效的風險應對機制以及良好的風險管理文化。第四條公司全面風險管理應遵循以下原則：(一)全面性原則:全面風險管理應覆蓋公司所有業務、部門、分支機構、子公司以及比照子公司管理的各類孫公司（以下簡稱“子公司”）及全體人員,貫穿決策、執行、監督、反饋全過程。(二)制衡性原則：公司建立不同部門、不同崗位之間的制衡體系，各級部門和崗位的設置應當權責分明、相互制衡和相互監督。(三)重要性原則:風險管理應當在對風險進行全面控制的基礎上,對重要業務、重大事項、主要操作環節和高風險領域實施重點控制。(四)適應性原則:風險管理工作應當與公司業務范圍、經營規模、組織架構和風險狀況等相適應,并隨著市場、技術和法律環境的變化及時加以調整和完善。(五)成本效益原則:風險管理應當權衡實施成本與預期收益,以適當的成本實現有效的風險控制。第五條公司應當制定并持續完善風險管理制度，并針對不同風險類型制定可操作的風險識別、評估、監測、應對、報告的方法和流程。公司應當通過評估、稽核、檢查和績效考核等手段保證風險管理制度的貫徹落實。第六條公司應當建立健全授權管理體系，確保公司所有部門、分支機構及子公司在被授予的權限范圍內開展工作，嚴禁越權從事經營活動。公司通過制度、流程、系統等方式，進行有效管理和控制，并確保業務經營活動受到制衡和監督。第二章全面風險管理的組織架構第七條公司董事會承擔全面風險管理的最終責任，履行以下風險管理職責：（一）推進風險文化建設；（二）審議批準公司全面風險管理的基本制度；（三）審議批準公司的風險偏好、風險容忍度以及重大風險限額；（四）審議公司定期風險評估報告；（五）任免、考核首席風險官，確定其薪酬待遇；（六）建立與首席風險官的直接溝通機制；（七）公司章程規定的其他風險管理職責。董事會可授權董事會風險控制委員會履行其全面風險管理的部分職責。第八條公司董事會風險控制委員會履行以下風險管理職責：（一）負責對公司風險管理的總體目標、基本政策進行審議并提出意見；（二）監督和評價風險管理部門的設置、組織方式、工作程序和效果，并提出改善意見；（三）提出完善公司風險管理和內部控制制度的意見；（四）對需董事會審議的重大決策的風險和重大風險的解決方案進行評估并提出意見；（五）對需董事會審議的合規報告和風險評估報告進行審議并提出意見；（六）監督風險準備金的計提和使用等。第九條公司監事會承擔全面風險管理的監督責任，負責監督檢查董事會和經營管理層在風險管理方面的履職盡責情況并督促整改。第十條公司執行委員會履行以下風險管理職責：（一）制定風險管理制度，并適時調整；（二）建立健全公司全面風險管理的經營管理架構，明確全面風險管理職能部門、業務部門以及其他部門在風險管理中的職責分工，建立部門之間有效制衡、相互協調的運行機制；（三）制定風險偏好、風險容忍度以及重大風險限額等的具體執行方案，確保其有效落實；對執行方案的落實情況行監督，及時分析原因，并根據董事會的授權進行處理；（四）定期評估公司整體風險和各類重要風險管理狀況，解決風險管理中存在的問題并向董事會報告；（五）建立涵蓋風險管理有效性的全員績效考核體系；（六）建立完備的信息技術系統和數據質量控制機制；（七）風險管理的其他職責。執行委員會主任對公司全面風險管理的有效性承擔主要責任，執行委員會委員及分管高管應當對所分管的工作實施有效的風險管理，未盡責的應承擔相應責任。第十一條執行委員會下設風險管理委員會（以下簡稱“風管委”），是審議合規風控事項的專門機構，對執行委員會授權范圍內的合規及風險事項具有決策權，并作為各內部控制部門的協調機構，加強內部控制部門間的協調互動。第十二條公司首席風險官由董事會聘任,首席風險官負責組織落實公司全面風險管理的具體工作。首席風險官不得兼任或者分管與其職責相沖突的職務或者部門。公司應對首席風險官履職提供充分保障,保障首席風險官能夠充分行使履行職責所必要的知情權。首席風險官有權參加或者列席與其履行職責相關的會議,調閱相關文件資料,獲取必要信息。公司應當保障首席風險官的獨立性。公司股東、董事不得違反規定的程序,直接向首席風險官下達指令或者干涉其工作。第十三條風險管理部在首席風險官的領導下負責推動落實公司各項全面風險管理工作，監測、評估、報告公司整體風險水平；為業務決策提供風險管理建議；協助、指導和檢查各部門、分支機構及子公司的風險管理工作。第十四條合規部負責公司合規風險的識別、評估、監控、應對和報告，以及督促、指導總部各部門及分支機構開展反洗錢工作，防范洗錢風險。第十五條稽核審計與法律部負責公司法律風險的識別、評估、監控、應對和報告。第十六條資金運營中心是公司流動性風險的日常管理部門，負責對公司流動性風險實施有效識別、計量、監測和報告，組織或參與公司流動性風險應對預案的擬訂、演練和評估，跟蹤應對預案的實施情況。第十七條戰略客戶與市場部是公司聲譽風險的歸口管理部門，負責建立、健全公司聲譽風險管理體系,對聲譽風險進行識別、評估、監控和報告,指導、協調、監督公司相關部門及分支機構落實公司聲譽風險管理的制度和決策，應對聲譽風險事件。第十八條信息技術中心是公司信息技術風險的日常管理部門，負責建立、健全公司信息技術風險管理體系。信息技術中心牽頭總部各部門及分支機構對信息技術風險進行有效識別、評估、監控、應對和報告。第十九條公司總部各職能部門應在其職責范圍內履行相應的風險管理職能。第二十條公司各業務部門、分支機構及子公司負責人應全面了解并在決策中充分考慮與業務相關的各類風險，及時識別、評估、應對與報告其相關業務的各類風險，針對主要風險點和風險性質,制訂業務制度和流程。各業務部門、分支機構及子公司負責人承擔風險管理有效性的直接責任。第二十一條稽核審計與法律部應將全面風險管理情況納入內部審計范疇，根據公司制度規定對各部門、分支機構、子公司的風險管理情況進行審計，審計發現問題的，應督促相關責任人及時整改，并跟蹤檢查整改措施的落實情況。第二十二條公司全體員工對風險管理的有效性承擔勤勉盡責、審慎防范、及時報告的責任。包括但不限于：通過學習、經驗積累提高風險意識；在執業過程中自覺執行公司各項風險管理制度和流程；謹慎處理工作中涉及的風險因素；主動發現潛在或暴露的風險并向本部門或分支機構負責人報告，必要時可直接向公司首席風險官報告。第二十三條公司應當配備充足的專業人員從事風險管理工作，并提供相應的工作支持和保障。風險管理人員應當熟悉證券業務并具備相應的風險管理技能。公司風險管理部門具備3年以上的證券、金融、會計、信息技術等有關領域工作經歷的人員占公司總部員工比例應不低于2%。公司可在此基礎上結合自身實際情況制定相應標準。風險管理部門人員工作稱職的，其薪酬收入總額應當不低于公司總部業務及業務管理部門同職級人員的平均水平。公司承擔管理職能的業務部門應當配備專職風險管理人員，風險管理人員不得兼任與風險管理職責相沖突的職務。第二十四條公司應當將子公司的風險管理納入統一體系，對其風險管理工作實行垂直管理，要求并確保子公司在整體風險偏好和風險管理制度框架下，建立自身的風險管理組織架構、制度流程、信息技術系統和風控指標體系，保障全面風險管理的一致性和有效性。子公司應當任命一名高級管理人員負責公司的全面風險管理工作，子公司負責全面風險管理工作的負責人不得兼任或者分管與其職責相沖突的職務或者部門。子公司風險管理工作負責人的任命應由公司首席風險官提名，子公司董事會聘任，其解聘應征得公司首席風險官同意。子公司風險管理工作負責人應在首席風險官指導下開展風險管理工作，并向首席風險官履行風險報告義務。子公司風險管理工作負責人應由公司首席風險官考核，考核權重不低于50%。法律法規對證券公司子公司風險管理工作負責人及風險管理工作另有規定的，應符合其規定。第三章風險管理系統建設和數據治理第二十五條公司應當建立與業務復雜程度和風險指標體系相適應的風險管理系統或相關功能模塊，覆蓋各風險類型、業務條線、各個部門、分支機構及子公司，對風險進行識別、計量、監控、預警和報告，并實現同一業務、同一客戶相關風險信息的集中管理，以符合公司整體風險管理的需要。第二十六條公司風險管理系統應當具備以下主要功能，支持風險管理和風險決策的需要：（一）支持風險信息的搜集，完成識別、計量、評估、監測和報告，覆蓋所有類別的主要風險；（二）支持風險控制指標監控、預警和報告；（三）支持風險限額管理，實現監測、預警和報告；（四）支持按照風險類型、業務條線、機構、客戶和交易對手等多維度風險展示和報告；（五）支持壓力測試工作，評估各種不利情景下公司風險承受能力。風險管理系統應當功能完備、權限清晰，能夠與業務系統同步上線運行。第二十七條公司應當建立健全數據治理和數據全生命周期管理機制，將數據治理納入公司整體信息技術建設戰略規劃，建立健全數據標準管理、數據質量管理、數據安全管理、元數據管理等機制，確保數據統一管理、持續可控和安全存儲,不斷提升數據使用價值。公司應積累真實、準確、完整的內部和外部數據，用于風險識別、計量、評估、監測和報告。第四章風險識別與評估第二十八條公司各部門、分支機構及子公司應當全面、系統、持續地收集和分析可能影響實現經營目標的內外部信息,識別公司面臨的風險及其來源、特征、形成條件和潛在影響，并將識別的風險點按業務、部門和風險類型進行分類和整理。第二十九條公司應當根據風險的影響程度和發生可能性等建立評估標準，采取定性與定量相結合的方法，對識別的風險進行分析計量并進行等級評價或量化排序，確定重點關注和優先控制的風險。公司應當關注風險的關聯性，匯總公司層面的風險總量，審慎評估公司面臨的總體風險水平。第三十條公司應當規范金融工具估值的方法、模型和流程，建立業務部門、分支機構、子公司與風險管理部、財務管理部的協調機制，確保風險計量基礎的科學性。金融工具的估值方法及風險計量模型應當經風險管理部確認。公司應當選擇風險價值、信用敞口、壓力測試等方法或模型來計量和評估市場風險、信用風險等可量化的風險類型，但應當充分認識到所選方法或模型的局限性，并采用有效手段進行補充。風險管理部應當定期對估值與風險計量模型的有效性進行檢驗和評價，確保相關假設、參數、數據來源和計量程序的合理性與可靠性，并根據檢驗結果進行調整和改進。第三十一條對于難以通過計量進行評估和預警的風險,公司通過建立制度、標準化業務流程和信息系統等方式對相關風險進行有效識別和管理。第三十二條公司應當建立健全壓力測試機制,及時根據業務發展和市場變化情況開展壓力測試，壓力測試應當涵蓋公司面臨的主要風險，包括市場風險、信用風險、操作風險、流動性風險等風險類型。第三十三條公司在開展新業務（包括新業務模式、產品、服務）前，相關部門、分支機構及子公司應制定新業務方案，對新業務的組織結構、業務模式、估值方法或模型、各主要風險、以及壓力情景下的潛在損失等進行充分分析和說明，組織開展洗錢風險評估，撰寫洗錢風險評估報告，報風險管理部和合規部審核。第三十四條公司開展新業務須符合以下條件：（一）新業務必須合法合規；（二）公司具備相應的人員、系統及資本開展該項業務；（三）公司已充分識別新業務的主要風險，并制定相應的風險管理措施，確保該業務的風險可測、可控、可承受；（四）公司已制定了相應的業務及風險管理制度和流程。第五章風險監控及應對第三十五條公司建立以凈資本和流動性為核心的風險控制指標體系,持續、動態監控凈資本和流動性風險控制指標變化,保證公司業務發展與資本充足水平相匹配,確保公司凈資本和流動性風險控制指標符合監管要求。第三十六條公司應當制定包括風險容忍度和風險限額等的風險指標體系,并通過壓力測試等方法計量風險、評估承受能力、指導資源配置。風險指標應當經公司董事會、執行委員會或其授權機構審批并逐級分解至各部門、分支機構和子公司，公司應對分解后指標的執行情況進行監控和管理。第三十七條公司通過建立逐日盯市等機制，準確計算、動態監控關鍵風險指標情況，判斷和預測各類風險指標的變化，及時預警超越各類、各級風險限額的情形。第三十八條公司各部門、分支機構及子公司在業務活動與職能管理過程中，對其相關業務或管理所涉及的風險進行日常監測、評估，出現異常情況時，應及時向合規部、風險管理部等部門報告。第三十九條風險管理部、資金運營中心等部門利用風險監控系統或相應手段對公司確定的風險指標進行監測,發現風險指標超限額等異常情形的,應當與業務部門、分支機構及子公司及時溝通,了解情況和原因,督促業務部門、分支機構及子公司采取措施并在規定時間內予以有效解決,并及時向相關公司領導、首席風險官報告。第四十條公司應當根據風險評估和監控預警的結果,權衡風險與收益,選擇與公司風險偏好相適應的風險回避、降低、轉移和承受等風險應對策略,建立合理、有效的資產減值、風險對沖、資本補充、規模調整、資產負債管理等應對機制。第四十一條公司應當針對流動性危機、交易系統事故等重大風險和突發事件建立風險應急機制，明確應急觸發條件、風險處置的組織體系、措施、方法和程序，并通過壓力測試、應急演練等機制進行持續改進。第六章風險報告與處置第四十二條風險管理部根據各部門或分支機構、各業務的風險匯總情況并結合監控分析結果情況，形成風險報表或報告，經首席風險官審核后，向經營管理層提交風險管理日報、月報、季報、半年報、年報等定期報告，反映風險識別、評估結果和應對方案。第四十三條合規部、風險管理部、資金運營中心、稽核審計與法律部和戰略客戶與市場部等部門應針對重大