全面风险管理办法

1***公司全面风险管理办法（试行）第一章总则第一条为防范、控制、化解、处理发生或可能出现的风险，保证公司持续、稳定、健康发展，根据《中华人民共和国公司法》、《公司内部控制基本规范》和《公司章程》等规定，结合公司实际情况，特制订本办法。第二条本办法中所称全面风险管理，是指为消除各种不确定性对公司实现战略及经营目标的影响，通过建立健全风险管理体系，在各个管理环节中执行风险管理流程，培育良好的风险管理文化，为实现风险管理的总体目标提供保证的过程和方法。第三条本办法所称风险管理责任单位是指公司各职能部门、分支机构及外派人员。第四条公司风险管理的总体目标是规避和减少风险可能造成的损失，确保公司的持续健康发展。第五条全面风险管理遵循以下原则：（一）全面性原则风险管理涵盖公司的所有部门和岗位，渗透到各项业务和环节中，贯穿于每项业务全过程。通过不断提高员工对风险的识别和防范能力，树立全员风险意识。（二）有效性原则在全面风险管理的理念下，建设全面反映公司风险状况的风险控制体系，确保该体系能有效指导业务，并能有效防范和化解风险。（三）防范和控制原则风险控制关口前移，努力在前期做好风险管理工作，加强风险的事前预防和统筹管理。并能在风险发生时及时识别和处理（四）独立性原则承担风险管理监督检查职能的部门独立于公司其他部门，确保监督检查工作的独立性。（五）成本效益原则风险管理充分考虑成本与效益的关系，公司保持足够的风险投入，以降低风险损失。同时在保证风险可控的前提下，尽量减少冗余步骤，提高处理效率。第二章风险分类及风险管理策略第一节风险分类第六条根据监管部门对**行业风险分类、**行业的风险特性以及公司自身情况，公司所面临的风险分为管理风险、声誉风险、信用风险、合规风险、法律风险和市场风险七大类。第七条管理风险指因公司整体从负责满足监管要求、制定和实施业务战略、设计组织架构、到管理人力资源等各范畴处理不善所产生的风险。第八条声誉风险指一些直接影响客户对公司信任的公司行为所引致的风险。第九条道德风险指内部工作人员在最大限度地增进自身效用的同时做出不利于公司和他人的行动。人员素质不高，放松思想教育是道德风险产生的根本原因。内控不力，管理松弛是道德风险产生的直接原因。第十条信用风险是由于融资方不能或不愿按期还款或投资资金而使公司遭受损失的风险。同时，为公司2托管现金或资产的机构（如银行、保管商等）不稳健亦会引发信用风险。第十一条操作风险由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险，包括内部欺诈、外部欺诈、雇员活动和工作场所的安全问题、客户、产品和业务活动的安全问题、公司维系经营的实物资产损坏、业务中断和系统错误、会计、行政、交付和过程管理等。第十二条合规风险是指公司、各部门或全体员工因不合规行为而可能遭受法律制裁、监管处罚、财务损失或声誉损失的风险。第十三条市场风险是指由于市场的利率、汇率或所投资的产品价格的波动而引起投资亏损的风险，进而影响公司信誉，并有可能危及公司的生存发展。第十四条合规风险和声誉风险是公司面临的最主要风险。其次，道德风险、管理风险、操作风险、信用风险和市场风险等均是公司业务运营中主要承担的风险。各部门和人员应严格遵照公司对风险的分类及定义，针对不同类型的风险采取不同的措施，有效地规避和防范因风险造成的损失。第二节风险管理策略第十五条风险管理策略是指：公司根据内外部环境及董事会制定的公司发展战略，结合财政部等联合颁布的《公司内部控制基本规范》，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则等公司风险管理总体方针准则。第十六条风险管理策略应明确哪些风险是公司不可承受的，并根据内外部形势的变化作相应调整。第十七条风险管理策略由风险与审计委员会制定，经董事会进行评估后确定。经营层负责将公司风险管理策略落实到公司制度和流程管理中，完善各项业务制度和流程，并对风险管理策略的实施情况和效果进行检查和评价。第十八条现有风险管理策略、制度和流程的可行性或有效性，如因内外部环境发生变化而受到严重影响，应及时进行修订和调整。第十九条公司在实施风险管理策略的过程中，应建立和不断完善授权体系，公司所有部门和分支机构必须在公司授权范围内开展工作。并建立有效的信息沟通机制，使风险信息能够及时传递到相关的部门和公司领导。第三章组织体系与职责分工第二十条公司全面风险管理工作实行分级管理，全面风险管理组织体系包括：董事会、监事会、风险与审计委员会、经营层、风险合规管理部、稽核审计部、其他各职能部门及分支机构。公司通过构筑完整的风险管理架构来建立风险管理体系，所有的部门和人员均承担风险管理的职责。风险管理架构如下：1、各部室对本部门的业务流程和操作流程进行日常维护和管理，对本部门所面临的主要风险点进行识别、自我检查和实施关键控制程序。2、风险合规管理部对各部室的主要风险点进行独立的日常监控与管理。3、稽核审计部对各部室的运行过程和结果进行独立的稽核与检查。4、经营层负责领导公司风险管理与内部控制的日常运行，建立健全公司业务与管理流程的风险防范、内部监控体系，有效化解和降低公司整体的运营风险。5、风险与审计委员会负责指导公司风险防范工作，审定公司风险控制制度；对公司风3险状况和风险管理能力及水平进行评价。6、董事会负责从整体上管理和监控公司的风险。7、监事会对公司风险防范、监控体系的工作进度与效果进行监督。第二十一条监事会对董事会、经营层建立健全公司风险防范、监控体系的工作进度与效果进行监督，对董事、高级管理人员违反风险管理制度、风险管理职责而给公司造成重大损失的行为进行查处。监事会主席是监事会负责前述风险工作监督事项的代表和第一责任人。第二十二条董事会作为风险管理架构的最高决策机构，负责管理和监控公司的整体风险，对重大风险事项进行决策，确保公司战略的实现。其全面风险管理的主要职责为：（一）审批风险与审计委员会提交的风险管理事项。（二）决定有关全面风险管理的其它重大事项。第二十三条风险与审计委员会负责提出公司经营管理过程中防范风险的指导意见，审定公司风险控制制度；对公司风险状况和风险管理能力及水平进行评价，提出完善公司风险管理和内部控制的建议，以及履行由董事会规定的其他职责。其全面风险管理的主要职责为：（一）对经营层提交的风险管理事项进行审议，并提交董事会审批。（二）对公司总经理的经营管理是否符合董事会的决策进行审查，并提交董事会审批。（三）推动落实董事会决定的其他风险管理事项。第二十四条经营层负责领导公司风险管理与内部控制的日常运行，总裁是经营层负责风险管理的第一责任人。经营层全面风险管理的主要职责为：（一）对风控总监提交的风险管理事项进行审议，并提交风险与审计委员会审议。（二）审核重大风险关键监控指标和分解指标，以及预期实现关键监控指标的风险承受度，并提交风险与审计委员会审议；（三）建立健全公司业务与管理流程的风险防范、内部监控体系，管理公司各职能部门、各业务单元的日常风险，有效化解和降低公司整体的运营风险。（十）审核风险管理的其他重要事项。第二十五条风控总监行使总裁授权范围内的风险管理职责，主持全面风险管理的日常工作，对总裁负责。其职责为审核风险合规管理部、稽核审计部等下属部门提交的事项，并提交经营层审议。第二十六条风险合规管理部是公司全面风险管理工作的归口管理部门，并将风险管理事项提交风控总监审议。其全面风险管理的具体职责如下：（一）组织开展年度风险评估及应对工作，负责对评估结果汇总分析，对其他部门和分支机构开展的专项业务风险评估提供指导和支持。（二）根据风险评估结果，提出风险管理策略调整建议，组织协助相关部门制定重大风险应对方案。（三）对年度风险管理工作情况进行评估，编制《风险管理报告》（年报和半年报，下同）。（四）组织推动全面风险管理体系的建设和改进提升，协助其他部门和分支机构开展风险管理体系建设。（五）为公司各职能部门管理重大风险提供专业支持，组织协调跨部门的风险管理事宜，对公司重大风险管理提出专业意见和参与重大投资决策。（六）对重大风险应对方案的制定、执行和效果情况进行监督检查。（七）建立风险数据库。对风险管理制度、方案、决议等材料进行修订、调整和归档。（八）拟定和实施风险管理考核方案。4（九）提出风险管理组织机构设置及其职责分工的建议。（十）负责拟定或修订风险管理相关制度并监督落实，指导和协助制定完善具体风险的管理办法和操作流程。（十一）制定企业风险文化培育方案和风险管理培训计划。（十二）提议聘请和更换项目审计、评估机构，监督考核上述机构。（十三）完成公司领导交办的其他风险管理相关工作。第二十七条稽核审计部是公司独立的风险管理监督部门，通过内部审计提出改善风险管理的有效措施，帮助公司维持有效的风险控制系统，并将风险管理监督情况提交风控总监审核。其全面风险管理的具体职责如下：（一）进行内部日常、专项监督与评价。（二）制定并明确《内部控制缺陷认定标准》，跟踪内部控制缺陷整改情况，并就内部监督中发现的重大问题通过风控总监向监事会提请追究相关责任单位或者责任人的建议。（三）针对监督检查过程中发现的内部控制缺陷，包括设计缺陷和运行缺陷。（四）编制《年度审计报告》。（五）提议聘请和更换外部审计机构。第二十八条风险管理责任单位负责人为本部门所涉风险管理事项的第一责任人，履行本部门的风险控制职能，执行具体的风险管理制度，建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的风控制度，并针对本部门业务主要风险环节制定业务操作指引。其全面风险管理的具体职责如下：（一）贯彻执行《全面风险管理办法》，以及其他的风险管理相关制度，配合风险合规管理部、稽核审计部开展风险管理工作；（二）树立全面风险管理理念，积极参与风险管理文化建设；（三）完成日常风险信息报送、年度风险辨识和评估，并形成风险事件列表、风险评估列表；（四）完成年度重大风险关键监控指标和分解指标的确定，以及风险承受度的确定；（五）提出年度重大风险应对策略及具体应对方案，完成剩余风险评估；（六）严格进行项目后期风险管理，并按规定形成检查报告；（七）监控风险事件的变化状态、填报关键指标数据，适时制定和启动应急预案；（八）配合风险合规管理部完成其他风险管理工作。上述第（三）、（四）、（五）、（六）（七）项需报送风险合规管理部。第四章全面风险管理工作流程第一节风险评估第二十九条风险评估是指在信息收集的基础上根据公司内外部环境的变化，对公司所面临的风险进行风险辨识、风险分析、风险评价，包括对公司各项管理制度、各项经营发展计划、经营与投资方案的事前风险评估。公司开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。第三十条公司建立风险管理综合信息的收集与积累机制。各职能部门及分支机构在日常工作中，应持续收集与本公司风险相关的内外部相关信息，包括历史数据和未来预测数据，并进行整理和记录，每季结束后五个工作日内报送风险合规管理部风险考核专员。公司各部门以及人员应在获取重要风险信息后三个工作日内将信息逐级传递至董事会和监事会。第三十一条风险管理部应对各风险管理责任单位报送的风险信息进行统一的筛选、提炼和规范管理，补充风险事件库。通过专业分析、评价、诊断，对重大风险进行提示，组织5相关部门制定具体应对方案。第三十二条风险管理部每年组织开展一次风险评估工作，负责从风险事件库中整理重大风险事件列表，制定风险评价的统一标准，并根据事件的来源、影响范围、管理需要等确定参与评估的范围。通过对各类风险的综合分析，形成评估结论，确定重大风险，经经营层审核后提交风险与审计委员会审议。第三十三条各部门制订的重大经营计划和创新业务方案应包含业务部门自身对于计划、方案的风险判断和采取的风险管理措施，并由风险与审计委员会对计划、方案的市场风险、合规风险、信用风险、操作风险、声誉风险、管理风险和道德风险等进行确认，对风险发生的概率及其产生结果的影响程度