1、证券股份有限公司业务风险管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: 第一章 总 则第一条 为了将公司各项业务风险控制在可控范围之内，确保公司业务规范经营、稳健发展，保证公司的经营目标和经营战略得以实现，特制订本制度。第二条本制度依据中华人民共和国公司法、中华人民共和国证券法、证券公司管理办法、证券公司内部控制指引及其他相关法律法规和中国证监会的有关规定，并结合本公司的实际情况制订。第二章 风险管理的目标和原则第三条公司进行风险管理的总体目标是在符合公司风险控制委员会制订的风险管理政策要求的前提下, 通过建立、实施和维护2、一系列的风险管理制度和流程，以便公司能够在确保资本安全的前提下，审慎地承担风险活动，实现风险调整的资本收益率最大化。具体来说，风险管理的目标如下：1、促进公司业务发展与风险承受能力的平衡，实现公司经营目标和发展战略，不断提升股东权益。 2、保证公司经营运作的合规性，树立“规范经营、健康发展”的经营思想和经营风格。 3、完善公司内部控制制度和流程，形成科学、合理的授权决策机制、执行机制和监督机制。 4、建立行之有效的风险控制系统，形成正确的风险管理理念，营造风险文化的氛围，使得风险管理意识能在公司内部广泛分享，并能扩展到公司所有员工，确保内控机制的建立、完善和各项管理制度的执行。第四条风险管理工3、作应严格遵守以下原则1. 全面性原则：风险管理必须涵盖公司的所有部门和岗位，渗透到各项业务和环节，贯穿于每个业务过程。2. 审慎性原则：风险管理是公司内部控制的核心，因此，公司进行内部控制都必须以审慎经营和防范、化解风险为出发点。3. 有效性原则：公司进行风险管理必须符合中国法律法规的规定，必须具有高度的权威性和有效性。全体员工必须竭力维护风险管理制度的有效执行，任何员工不得有超越或违反制度约束的权利。4. 适时性原则：公司风险管理制度的制订必须具有前瞻性，并且随着公司经营战略、经营方针、经营理念等内部环境的变化和国家法律法规、政策制度等外部环境的改变及时进行相应的修改和完善。5. 定性和定量4、相结合的原则：建立完备的风险管理体系和量化风险管理指标体系，使风险管理制度更具有科学性、客观性和可操作性。6. 独立性原则：公司设立稽核风控部，负责对公司各部门的内部风险进行监督和控制，不受任何其他部门和个人的干涉和影响。7. 相互制衡原则：公司各部门和岗位的设置将形成权责分明、相互制约的机制，建立不同岗位之间的制衡体系，强化风险管理和稽核工作在业务开展中的作用。8. 防火墙原则：公司各部门及其岗位，在物理上和制度上应适当隔离。公司的经纪、投资、投行、资产管理、投资咨询等业务从规章制度、组织及人事管理、资金管理、信息系统控制方面相对独立；电脑部门、财务部门、风险控制部门与业务部门人员不得相互兼5、任。对因业务需要知悉内幕信息的人员，制定严格的批准程序和监督措施。9. 全员性原则：员工是风险控制的基础及第一人，风险控制必须涵盖与公司各项业务相关的全体员工，不断提高员工对风险的识别和防范能力，树立全员风险意识。10. 风险控制与业务发展同等重要原则：风险是证券公司各项业务中客观存在的，如果没有正确的风险管理措施，可能会给公司、股东、客户带来无法估量的损失，因此，公司业务的发展必须建立在内部风险控制制度完善和稳固的基础上，内部风险控制应与公司业务发展放在同等地位上。11. 保密性原则：因业务需要而知悉内幕信息的工作人员严格履行保密的义务，非经正常的工作程序，不得向公司外或公司内部其他人员泄露6、公司信息。第三章 风险管理组织体系第五条 公司建立含有五个层级的风险管理体系1、 第一层次为前台业务部门、后台业务支持部门和行政部门的风险控制；2、 第二层次为稽核风控部的风险管理和控制、独立审计；3、 第三层次为公司的总裁办公会议和风险控制委员会的风险管理和控制;4、 第四层次为公司董事会审计委员会、董事会的风险管理和控制;5、 第五层次为监事会的风险控制。第六条业务部门、业务支持部门和行政部门的风险控制职责 作为公司风险控制的第一道风险控制线，上述部门应不断完善和制订本部门的内部控制制度和风险控制措施，负责做好本部门的风险控制工作，并根据风险情况及时向风险控制部通报。内部控制制度需要明确描7、述下述主要方面：1、 部门定位、岗位设置、岗位设置间的相互制衡说明；2、 部门的汇报路线、在所在业务体系关键业务流程中的角色、与其他部门的工作接口，部门内部的工作流程。风险控制措施描述下述主要方面：1、 部门的风险来源、面临的风险种类、具体的风险点和风险的级别划分；2、 与其他部门交互工作中存在的风险种类、风险点；3、 上述风险的防范和应对措施。第七条稽核风控部的职责1、 独立于公司其他部门，对公司总裁办公会和风险控制委员会负责；2、 执行风险控制委员会的决定；3、 全面处理公司的各项法律事务；4、 执行已经批准的公司风险管理政策；5、 辨别、评估、监控公司业务和交易中的各项风险；6、 建立健8、全风险控制的问责机制和考核机制,对各部门的风险控制工作进行绩效评价；7、 建立健全风险政策、风险识别、风险评估和衡量、风险管理、风险监测、风险报告与分析的循环处理及反馈流程；8、 协助业务部门、业务支持部门和行政部门制订内部控制制度和风险控制措施，由业务部门执行，稽核风控部监督；9、 定期检测、监控、评估公司各部门对本制度的执行情况，确保各项业务严格遵守了这些制度；并根据客观情况需要，对风险管理的执行情况进行定期或不定期的检查；10、 对发现的风险问题进行及时处理,对风险责任人和责任部门提出处理意见；11、 对公司的各项新业务进行全面风险评估，建立新业务的风险监控体系；12、 建立并不断完善覆9、盖各关键风险点的中央监控信息系统，实现实时监控；13、 定期召开与各部门的风险交流会议，分析各类风险问题，提出解决方案，完善公司内部控制体系和风险控制措施；14、 为公司的各项业务建立相应的测量评估模型，对其风险进行精确测量，为建立各个业务部门的风险限额提供意见；15、 提请对发现的风险问题进行稽核，并对稽核结果进行持续跟踪；16、 补充、完善和更新公司的风险管理政策，定期提交公司风险控制委员会审批；17、 定期和不定期编制风险评估报告，报告风险控制委员会和管理层；18、 应该积极主动地向管理层提交风险管理目标、风险管理政策、公司治理结构、内部控制制度等风险控制环境的调整建议，供董事会和管理层10、参考。第八条 稽核风控部的独立审计职责见证券股份有限公司内部稽核工作制度。第九条 风险控制委员会职责见证券股份有限公司风险管理政策。第十条 董事会审计委员会、董事会、监事会的风险管理和控制职责见证券股份有限公司风险管理政策。第十一条 公司的董事会、管理层应该对建立公司良好的风险管理环境负责，具体如下：1、 公司所处的内外部环境，对公司的风险管理效率和效果有很大的影响，董事会和管理层应动态地调整风险管理目标和风险管理政策，为公司的风险管理提供明确的指导；2、 良好的公司治理结构和内部控制制度是风险管理有效性的基础，董事会和管理层应建立有效的公司治理结构和内部控制制度；3、 公司董事会和管理层应拥11、有先进的风险管理理念，充分认识到风险管理对公司发展的重要性，自上而下地推进风险管理工作，明确自身的风险管理责任。愿意为风险管理支付适当的成本；4、 公司应建立内部控制和风险管理的后评价制度，定期对内部控制和风险管理政策的执行情况进行回顾和检讨，并根据国家法律法规、金融监管规章的变化、公司组织架构、经营状况以及市场环境的变化而进行修订；5、 公司稽核风控部稽核人员和风控人员有权获得为正常行使职责而必须的公司经营信息和管理信息，对各部门、各岗位、各业务实施全面的监控和评价。第十二条 公司的稽核风控部应该对建立公司良好的风险管理环境提出合理化建议供管理层和董事会参考，涵盖如下方面：1. 风险管理目标12、；2. 风险管理政策；3. 公司治理结构；4. 内部控制制度。第四章 风险分类标准第十三条 按照公司的风险控制政策，公司对风险的分类采用国际证券管理组织(IOSCO)1998 年的风险分类方式，如下：1、 市场风险；2、 操作风险；3、 流动性风险；4、 信用风险；5、 法律风险；6、 系统风险。第十四条 按照公司风险的来源可分为:1、 经纪业务风险；2、 自营业务风险；3、 资产管理业务风险；4、 投行业务风险；5、 投资咨询业务风险；6、 人力资源管理风险；7、 信息系统运行故障及授权不当风险；8、 创新业务风险。第十五条市场风险是指由于市场价格、利率或汇率的变动等对公司资产价值所产生的影13、响。市场风险是公司所有业务共同面临的风险，尤其是对自营和资产管理业务。第十六条操作风险是指公司由于不充足或不完善的内部流程、人员和系统，或者外部的事件而产生的直接或间接损失。比较大的几项如下1、挪用客户保证金风险；2、信息系统故障风险；3、财务程序不恰当或不正确而导致未能符合财务标准、指引或法规的风险。第十七条流动性风险是指由于资产流动性不足而导致不能及时满足业务部门的资金需求或业务不能正常开展或增加业务成本等风险。第十八条信用风险是指由于交易对手不能履行和约而导致损失的风险。第十九条法律风险为公司违反法律和法规所带来的风险。第二十条系统风险为公司所处市场环境变化、国家政策变化、监管政策变化而14、引发的风险。第五章 风险分级标准第二十一条公司对风险的分级采用影响程度和是否可自行解决两个维度分为五级，分级如下：一级： 对公司的正常运作、经营和信誉影响小，并且可以由出险部门自行解决的风险；二级： 对公司的正常运作、经营和信誉影响小，但出险部门不能自行解决，需要协调其他部门方可解决的风险；三级： 对公司的正常运作、经营和信誉影响较大，并且可以由出险部门自行解决的风险；四级： 对公司的正常运作、经营和信誉影响较大，出险部门不能自行解决，需要协调其他部门方可解决的风险；以及对公司的正常运作、经营和信誉影响重大的风险；五级：对公司的正常运作、经营和信誉造成严重破坏，可能使公司遭受重大经 济损失；可15、能使公司正常运作无法保障（如：公司信息系统出现灾难）；以及其他可能给公司造成重大损失的其他风险。第六章 风险管理一般流程第二十二条公司的风险管理流程是一个循环处理及反馈的流程，分为六个阶段：1、 风险政策；2、 风险识别；3、 风险评估和衡量；4、 风险管理；5、 风险监测；6、 风险报告与分析。第二十三条公司的风险政策是指导公司风险管理的纲领性文件,公司需要依据其要求开展风险识别工作,公司各部门应将在风险管理过程中发现的风险管理政策的盲点和缺欠提交风险控制委员会，由风险控制委员会对风险管理政策进行修改。第二十四条公司的风险识别过程如下1、 稽核风控部是公司各类风险的汇集中心，收集来自公司各部16、门和各业务领域的风险事件和潜在风险；2、 稽核风控部对风险事件或潜在风险按照风险类别和风险来源进行分类。第二十五条风险评估和衡量1、 通过分析风险发生的驱动因素，估计所识别风险发生的概率或者可能性；2、 以定量或定性的方法，评估在不采取风险防范措施的情况下，风险发生时可能造成的损失；3、 分析防范特定风险所可以采取的措施和手段，将风险防范措施的成本与潜在的风险损失进行比较；4、 评估可能的风险损失对公司经营目标产生影响的程度；5、 按照影响大小和是否可自行解决两个维度，按照五级分类原则确定风险级别。第二十六条风险管理1、 按照风险收益平衡原则，决定是否需要采取措施来避免、减少、转移、承担这些风17、险；2、 建立良好的沟通机制，保证对风险的处理及时准确；3、 制订有效措施来避免、减少、转移、承担这些风险。第二十七条风险监测1、 对公司风险的定性和定量评估工作进行监测；2、 评估风险管理、转移策略的有效性和适当性，包括是否将公司的风险水平控制在可接受的水平；3、 建立风险管理的各项预警指标体系，对风险进行监测，在潜在的风险变得严重之前，对其进行识别和管理；4、 清晰记录风险损失事件，对不同类别风险的发生原因、情形和后果进行经验分析，进而为量化模型的建立创造条件。第二十八条风险报告与分析稽核风控部对风险事件进行分析，制作风险管理报告，不断补充、完善和更新公司的风险管理政策。1、制作风险报告的18、目的：1) 使公司的董事会和管理层了解公司面临哪些重要的风险，目前采取了哪些措施来管理这些风险，以及管理的有效性怎样；2) 公司的董事会和管理层需要通过风险管理报告来评估对风险管理的授权是否被适当的执行，公司的风险状况是否与公司整体的风险偏好相一致，公司面临的主要风险是否被控制在可接受的水平；3) 公司的管理层还可以借助外部报告（外部审计和监管当局）来评估内部报告的准确性、及时性和内控建设情况；4) 公司各部门的负责人也可通过审阅风险报告，掌握本部门风险的管理状况。2、风险报告的内容：1) 公司面临或可能面临的重要风险；2) 对风险的评估；3) 对风险管理有效性的评估；4) 风险关键指标；5)19、 重大风险事件、造成的损失及其补救措施；6) 外部与公司风险管理相关的信息等。第七章 风险管理框架和内容第二十九条公司应自觉遵守国家有关法律法规，严格制定各项业务（包括经纪业务、投资银行业务、自营业务、资产管理业务、金融创新业务等）的管理规章、操作流程和岗位手册，并针对各个风险点设置必要的控制程序。第三十条 经纪业务风险管理框架和内容1、 公司负责完善经纪业务总部面对营业部管理的综合管理线路，财务管理部和结算存管中心面对营业部财务部的垂直管理线路；信息技术部面对营业部电脑部的垂直管理线路，确保三条管理线路的相互制约功能有效发挥。2、 经纪业务部负责建立健全经纪业务的内部控制制度，包括如下内容：20、1) 营业部各岗位间的有效制衡机制，防范将代保管的证券进行抵押、回购或卖空、挪用客户资金或将其质押担保等违规操作的发生；2) 统一完善的临柜业务制度和流程、账户管理制度，妥善保管客户资料；3) 重点客户管理、大额资金和证券转移的控制流程；4) 统一的柜台交易系统柜员权限管理办法,严格控制营业部特殊业务权限的使用，防止违规事件发生；5) 对客户的账户进行风险分级，清理违规账户，重点控制高风险账户；6) 健全的营业部的风险报告、差错处理机制和流程、应急处理机制和流程。3、 结算存管中心建立健全客户保证金独立存管体系：1) 保证客户证券和资金的封闭运行；2) 证券交易法人集中清算；3) 对营业部大额21、资金和证券的流动进行监控；4) 完成每日交易清算、对账、结算、交收工作。4、 财务管理部负责自有资金管理和核算工作。5、 信息技术部负责证券的集中交易，交易数据的备份管理和系统操作的留痕处理。6、 稽核风控部建立健全经纪业务的风险监控体系：1) 设置专职经纪业务风险控制岗位；2) 建立对客户资金流和证券流进行监控的集中监控系统，通过不同数据来源数据的比对，发现对账不平事件；通过设置资金、股份变动的报警阈值，对大额变动和非常规业务提出预警；3) 建立定期或不定期调阅经纪业务部特殊业务审批日志，大额资金证券变动审批日志、结算存管部的大额资金证券变动审批日志等风险类业务日志的机制；4) 通过监控系统22、的系统监控日志与报送的相应审批日志的比对，发现经纪业务的风险事件。第三十一条自营业务风险管理框架和内容1、 公司风险控制委员会对自营业务下达风险限额，审批超限申请。2、 公司投资决策委员会制定分级决策授权体系，明确各层次的投资限额和风险限额；并对持仓比例和结构、重大投资项目、操作策略等问题实行集体决策。3、 公司需对自营业务建立恰当的责任分离制度。自营交易决策、自营交易执行、自营账户管理、资金结算、资金划付、会计核算等业务相互分离、相互监督。4、 严格控制自营业务的股东账户和专用席位。自营股东账户应由自营部门以外的部门统一管理，不得假借他人名义或席位从事自营业务，不得将自营账户借给他人使用。523、 自营业务必须使用自有资金和依法筹集的资金，自营交易的资金必须履行严格的资金调度审批手续。6、 保证研究部门和自营业务部门的防火墙有效。7、 自营业务参与相关人员严格执行自营业务保密制度，不得利用职位便利为自己及他人买卖证券或提供咨询意见。8、 稽核风控部设立专职的自营业务风险管理岗位，负责如下事项：1) 对重大决策和股票池进行风险评估；2) 对自营业务的股票池、账户和资金变动进行备案；3) 并对自营业务的操作、浮动盈亏进行实时监控，及时采取止损措施。 第三十二条信息系统控制框架和内容1、 公司应建立目前信息系统的权限分配和管理办法,信息系统超级用户口令管理办法，保证公司的信息系统的使用完全24、符合公司组织体系所要求的相互制衡和防火墙等限制性要求；2、 信息技术部作为公司信息技术的主管部门,垂直管理公司营业部的信息技术人员和信息技术工作；保证符合中国证监会的三分离原则和信息安全等原则；3、 信息技术部需对集中交易系统建立灾难备份系统,对其他信息系统建立数据恢复机制,与业务部门一起制定关键业务连续性经营计划；4、 若由于信息系统不完善，业务差错必须通过修改数据库数据才能完成,则由清算部门填写业务差错处理报告单，经业务部门负责人、清算部门负责人、信息技术部负责人、稽核风控部负责人四方签字确认；其他差错经清算部门经办人、业务部门经办人、信息技术部经办人签字即可；5、 稽核风控部定期或不定期25、对信息系统的权限管理进行检查，对差错处理报告单进行检查。第三十三条投资银行业务风险管理框架和内容1、 公司投资银行委员会、内核小组和稽核风控部、，共同负责投资银行业务的风险防范工作；2、 投资银行总部应建立严格的项目风险评估体系和项目责任管理制度，根据各项投资银行业务和证券品种的不同特点制订各自不同的操作流程、作业标准和风险防范措施；3、 投资银行总部应建立科学的发行人质量评价体系，在认真核查发行人文件的真实性、准确性和完整性基础上，确保推荐优质企业发行上市；4、 公司应建立严密的内核工作规则与程序，不断提高发行申报材料的编制质量，确保证券发行文件不存在严重误导、重大遗漏、虚假和欺诈；5、 投26、资银行总部应强化投资银行业务的风险责任制，尽量降低投资银行业务风险。在实施风险权限管理的基础上，明确各当事人在事前、事中、事后各自不同的风险控制责任；6、 稽核风控部负责对每个投资银行项目的每一个阶段进行独立的风险评估，并可随时要求投资银行总部提供必要的材料，以便于风险评估工作的顺利进行；7、 稽核风控部人员参与内核小组的工作，其对投资银行项目的反对意见必须得到充分重视，若投资银行项目人员和稽核风控部人员意见不一，必须提交风险控制委员会裁决。第三十四条资金风险管理框架和内容1、 坚持资金营运安全性、流动性和效益性相统一的经营原则，强化资金的集中统一管理制度，各分支机构不得自行从事资金的拆借、借27、贷、抵押、担保等融资活动；2、 严格资金业务的授权批准制度，强化重大资金投向的集体决策制度。凡对外开办的每一笔资金业务都要按业务授权进行审核批准，对特别授权的资金业务要经过特别批准；3、 健全资金业务的风险评估和监测制度，严格控制资金流动性风险；4、 各项资金比例严格控制在公司可承受风险范围之内。第三十五条财务系统控制框架和内容1、 公司财务管理部必须依据会计法、会计准则、财务通则、会计基础工作规范、行业会计制度和财务制度等制订公司会计制度、财务制度、会计工作操作流程和会计岗位工作手册，并针对各个风险控制点建立严密的会计控制系统；2、 严格执行公司内各级机构财务部门的垂直领导和财务负责人委派制28、度，在岗位分工的基础上明确各会计岗位职责，严禁需要相互监督的岗位由一人独自操作全过程；3、 坚持正确的会计核算,建立严格的成本控制制度，强化会计的事前、事中和事后监督，加强对重大表外项目（如担保、抵押、未决诉讼、赔偿责任等）的风险管理；4、 严格制订财务收支审批制度和费用报销管理办法，自觉遵守国家财税制度和财经纪律，坚决避免重大财务支出由一个部门、一个主管、一支笔全权决定；5、 制订完善的会计档案保管和财务交接制度。财会部门必须妥善保管密押、业务用章、空白支票等重要凭据和会计档案，严格会计资料的调阅手续，防止会计数据的毁损、散失和泄密；6、 强化财产登记保管和实物资产盘点制度。对自营证券、代保29、管证券、固定资产等重要资产必须进行定期或不定期盘点，及时处理盘盈盘亏并分析总结原因。第三十六条人力资源风险管理框架和内容1、 公司的人力管理政策支持公司对营业部的三条垂直管理线路，明晰公司各部门对风险管理的责任；2、 公司应严格执行国家的劳动法律法规，防止因违反有关法律法规而引起的员工诉讼事件，影响公司声誉；3、 公司应建立并执行关键岗位人员的轮岗制度和强制休假制度，降低内部欺诈风险；4、 公司应建立对关键岗位人员的离任审计制度；5、 公司应建立员工保密制度，保障公司的商业机密；6、 公司应建立科学的人员选拔、任免和激励机制，注重对人员诚信状况、任职能力、任职资格的考察，各项任免决定均有完整记30、录。第三十七条 新产品、新业务控制框架和内容公司应在审慎经营和合法规范的基础上力求金融创新。在充分论证的前提下周密考虑金融创新品种或新业务的法律性质、操作程序、经济后果等，严格控制金融新品种、新业务的法律风险和运行风险。具体内容如下：1、 业务部门提出新产品、新业务的建议；2、 业务部门对新产品、新业务经济和商业的可行性进行评估；3、 业务部门设计新产品和新业务的详细运营流程、岗位设置和风险控制措施；4、 稽核风控部对新产品、新业务的合规性进行审核；5、 稽核风控部评估新产品和新业务所包含的信用风险、市场风险和操作风险并制订相应的风险控制措施；6、 风险控制委员会根据需要设定新产品、新业务的信用风险和市场风险限额；7、 稽核风控部或风险控制委员会通过该新产品、新业务的风险评估，提交公司总裁办公会议审批。 第八章 风险管理报告第三十八条稽核风控部应定期向风险控制委员会和管理层提供风险评估报告，风险管理建议。第三十九条除了一些需要保密的数据外，稽核风控部可通过公司办公网将部分报告内容传递给各业务部门负责人和有关人员。第四十条 稽核风控部的风险报告和反馈机制参照公司风险报告制度执行。第九章 附 则第四十一条本制度由公司稽核风控部制订，由公司风险控制委员会审核，公司总裁办公会议审议批准，本制度将根据实际情况的变化适时进行修改和完善。第四十二条本制度自公司正式发布之日起生效。