1、国际信托股份有限公司风险管理制度编 制： 审 核： 批 准： 版 本 号: ESZAQDGF001 编 制： 审 核： 批 准： 版 本 号: xx省国际信托股份有限公司第六届董事会第十三次会议议案之五 xx省国际信托股份有限公司 风险管理制度 第一章总则 第一条为保证公司业务规范健康发展，保障公司安全稳健运行，保障公司股东和其他利益相关者的合法权益，依据信托公司管理办法、信托公司治理指引等有关监管制度，结合公司实际情况，制定本制度。 第二条本制度适用于公司各部门及各项业务的风险管理 工作。 第三条前款所称风险管理工作，指公司围绕战略目标，在公司管理和业务开展的各环节中进行风险管理和风险控制的2、全过程。 第二章风险管理的原则、目标及要求 第四条风险管理工作应遵循以下原则： （一）全面性原则：风险管理工作须包含公司所面临的所有风险类型，覆盖公司所有部门和岗位，并渗透到各项业务的每一个操作环节； （二）相互制衡原则：部门和岗位设置权责分明、相互牵制，各项业务操作环节交叉控制或监督，防止操作失误或舞弊发生； （三）一致性原则：风险管理策略与公司业务发展战略有机结合，与公司长期发展目标相一致； （四）时效性原则：业务发生时能及时准确识别、控制和管理风险；宏观经济、市场环境及公司经营管理发生变化时，能适时适度调整风险管理措施； （五）定性与定量相结合原则：逐步建立完备的风险控制指标体系，设定定3、性与定量相结合的评估标准，使风险管理工作更具客观性和可操作性。 第五条风险管理的目标： （一）保证公司的经营合法合规及公司各项规章制度的贯彻执行； （二）将风险控制在与公司总体经营目标相适应并可承受的范围内； （三）建立针对重大风险发生后的危机处理计划，防止公司 因风险或危机发生而遭受重大损失； （四）形成良好的风险管理文化，使公司全体员工强化风险管理意识。 第六条公司建立完善的风险管理机制，必须做到领导重视、监督有力、制度缜密、手段科学、应对有备、危机处理、纪律严明。 第七条风险管理措施应在对各类风险识别、分类的基础上，根据各类风险的性质和特点制订，相关要求包括： （一）在相关的业务管理制度4、中制订相应的控制或预防性制度规定及程序规则，包括在流程中设置权限、设置制约关系、明确各环节上的责任等； （二）合规与风险管理部和监察审计部应根据监督、检查的需要，选择相关的控制点进行充分监控和检查，发现问题及时反映、报告； （三）对可能出现的问题制订相应的应对措施，以控制和减 小由此带来的损失； （四）当发生风险控制失效造成实际损失时，根据风险控制失效的原因认定相关责任并对有关责任人进行相应的处理。 第三章风险管理组织体系及职责划分 第八条公司风险管理组织体系由董事会、风险管理与审计委员会、董事长办公会、合规与风险管理部门、法律事务部门、监察审计部门及各部门相应的风险管理岗位组成。 第九条公司5、董事会承担风险管理的最终责任。负责审批公司风险管理战略，审定公司总体风险水平，监控和评价风险管理的有效性和公司管理层在风险管理方面的履职情况。 董事会下设风险管理与审计委员会，履行董事会的风险管理决策职能。负责拟定公司风险管理策略、风险管理总体目标、风险偏好、风险承受度；对公司经营和业务风险控制及管理情况进行监督；向董事会提交公司全面风险管理年度报告。 第十条董事长办公会负责组织执行公司风险管理政策，定期向董事会、监事会报告风险管理情况。 第十一条合规与风险管理部负责建立健全公司风险防范、监控体系，负责公司各项业务风险管理日常工作，对公司经营管理活动中的各类风险实施有效的事前评估和过程监控，有6、效化解和降低公司运营风险。 第十二条法律事务部承担公司的政策法律事务，为领导决策和公司业务开展提供法律参考意见；审核相关法律文书及合同，防范法律风险；负责牵头处理公司诉讼事务和经济纠纷事务， 代表公司对外处理相关法律事务，维护公司的合法权益。 第十三条监察审计部负责检查公司内部风险管理制度的执行情况，对公司内部风险控制制度的合理性、有效性进行审查评价，提出改进意见。对检查中发现的问题，及时向其主管领导报告。 第十四条各部门是公司风险管理的具体实施单位，各部门负责人为风险管理的第一责任人。 各相关部门应在公司基本风险管理制度的基础上，根据具体情况制订具体的管理规定、操作流程及风险控制措施。 第四7、章风险管理策略 第十五条公司在内部管理和业务开展中面临的主要风险有：员工道德风险、业务运作风险、技术系统风险、信息披露风险、公司声誉风险等。 第一节员工道德风险及管理策略 第十六条员工道德风险是指公司员工在执行业务过程中，由于法律意识淡漠、自律性差、责任心不强等因素的影响，可能存在的违法违规、工作态度不严谨失误频出等行为给公司造成损失损害的风险。 第十七条员工道德风险管理策略应从制度、教育、监督、纪律处罚等方面着手，对员工及其行为进行约束和规范。具体措施包括： （一）严格录用程序。进行员工录用时，不仅要考察其业务水平、工作能力，更要重视其道德素养、品行记录和精神面貌； （二）加强员工法律知识和8、职业道德教育。通过经常性的员工教育活动，促使员工真正树立“诚信，务实，创新，奉献”的精神； （三）健全管理制度。通过各项管理制度、操作规程和监督制度，规范、约束员工行为，减少各种故意或无意违规、失误的可能性； （四）建立严格的考核制度，把员工的守法情况和品行记录作为考核的重要指标；建立严格的纪律程序，发现问题及时处理，对违法违规行为及不应有的过失和失误进行处罚； （五）建立淘汰机制。通过实行末位淘汰制，督促员工端正工作态度、提高工作责任心，减少工作差错和失误； （六）加强员工自律意识。实行全员自律承诺制度，通过全员签署遵守公司员工职业操守自律承诺书，营造严格的自律氛围。 第二节业务运作风险及管9、理策略 第十八条业务运作风险指公司在开展业务过程中面临的各种可能导致公司固有资产或信托财产发生损失的风险。主要包括：合规与法律风险、市场风险、决策风险、操作风险、信用风险等。 一、合规与法律风险及控制措施 第十九条合规与法律风险指公司因未遵循法律、法规、规则和准则造成可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险，以及公司在业务经营过程中由于不当的法律文书、违约行为或怠于行使自身法律权利等所造成的风险。 第二十条合规与法律风险控制重点及控制措施： （一）合规与风险管理部应严格按照相关监管规章，对业务部门提交的拟开展业务进行合规性审查，确保公司业务开展符合国家相关法律法规规定； （二）10、优化产品结构和法律文本设计，所有对外法律文书及合同须经法律事务部或外聘的法律顾问审核确认，并严格按公司法律文件审批程序进行审批后办理； （三）对相关投资设置限制和禁止规定，其中对证券投资业务在执行交易的操作系统中做相应的限制设置，以阻止违背有关限制或禁止规定的投资指令和交易指令付诸实施，异常情况能及时提示； （四）合规与风险管理人员、监察审计人员及部门内部风险管理人员应及时检查信托业务及其他业务的执行情况，对有疑问的应及时反映和汇报；对存在风险和危机的应及时制定危机处理 方案。 二、市场风险及控制措施 第二十一条市场风险指公司在业务开展过程中所面临的市场的整体风险，主要包括：宏观经济风险（如财11、政货币政策风险、利率风险、经济周期风险等）、政策风险（突出体现在政府各种经济和非经济政策的变化给业务带来的各种风险）、市场供求风险等。 第二十二条市场风险管理策略：制定与公司业务性质、规模、复杂程度和风险特征相适应的，与公司总体业务发展战略、管理能力、资本实力和能够承担的总体风险水平相一致的市场风险管理原则和程序，对每项业务和产品中的市场风险因素进行分解和分析，及时准确识别业务中的市场风险的类别和性质。具体措施包括： （一）对宏观经济走势、政策变化、投资策略演变及其他影响市场变化的因素进行持续分析研究，为决策提供参考； （二）关注国家宏观政策变化，避开限制类行业和相关项目； （三）进行资产组合12、管理，并动态调整资产配置方案，以规避或降低市场风险； （四）控制行业集中度，控制总体证券投资规模、设定证券投资限制指标和止损点； （五）加强对投资品种的研究和科学论证，按严格的研究流程进行控制，调研提纲和投资价值分析报告均需经部门领导审定； （六）密切监控已开展业务的运行情况，根据市场风险情况及时做出投资调整、提前结束等风险管理措施，避免或降低市场风险引起的损失。 三、决策风险及控制措施 第二十三条决策风险是指由于重大事项决策失误或战略规划的严重偏差可能给自有资金和信托财产造成损失的风险。 第二十四条导致决策风险的因素有客观和主观两个方面。客观因素如信息不充分不可预知的因素发生、决策机制不健全13、等；主观因素如决策者的能力不足，受情绪、成见影响导致判断失误等。决策风险管理策略： （一）建立严格的决策信息采集、传递程序，使决策人能够充分掌握基础决策信息，同时相关决策人也应通过各种方式不断提高自身决策素质和决策能力； （二）制定科学合理的民主集中决策机制，设定合理的决策权限，并坚持标准的分层但不过多层次的审批决策流程，做到既控制风险，又决策高效。 四、操作风险及控制措施 第二十五条操作风险指在业务办理过程中，由于制度和操作流程缺失以及操作不审慎，或者现有制度和流程不能得到有效执行而可能引起的经营风险和损失。 第二十六条操作风险管理策略：加强内控制度建设和落实，合理设置体现制衡原则的岗位职责14、，建立完善的授权制度，按照公司相关管理制度，对违规人员进行问责。具体措施包括： （一）完善公司各项规章制度，使之更加完整、严密，更加符合公司业务拓展和管理实际； （二）强化流程控制，严格执行不兼容岗位分离制度，严格执行复核、审批程序，将合规与风险管理贯穿于业务各环节之中； （三）加强员工教育培训，使其增强责任意识和业务技能，避免出现执行性操作失误； （四）加强对操作流程的监督、检查，及时排除操作风险隐患； （五）明确责任，实行责任追究制度。 五、信用风险及控制措施 第二十七条信用风险指因交易对手违约而造成的财务损失的风险，主要表现为客户交易违约或借款人信用等级下降等所造成的风险。 第二十八条信15、用风险管理策略： （一）严格按照业务流程、制度规定和相应程序开展各项业务，确保决策者充分了解业务涉及的信用风险； （二）对交易对手进行全面、深入的信用调查与分析，形成客观、详实的尽职调查报告； （三）严格落实贷款担保等措施，注意对抵（质）押物权属有效性、合法性进行审查，客观、公正评估抵押物。原则上抵押率不得超过60%； （四）强调事中管理和监控，通过项目实施过程中的业务跟踪及定期的资产五级分类进行风险事中控制； （五）业务部门定期或不定期进行检查，形成项目检查报告，若发现问题及时采取措施有效防范和化解各类信用风险； （六）通过提取信托赔偿准备金和计提资产损失准备金提高公司抵御风险的能力。 第三16、节技术系统风险及管理策略 第二十九条技术系统风险主要有：硬件故障风险、系统软件崩溃风险、应用软件系统崩溃与运行风险、病毒和黑客攻击风险、数据丢失和泄密风险、数据处理重大错误风险等。 第三十条技术系统风险管理措施： （一）硬件故障风险控制：核心部件冗余配置、关键设备双机备份等。 （二）系统软件崩溃风险控制：购买正版软件，获得厂商长期的技术支持；对系统进行双机备份；对所有系统软件、应用软件和数据进行备份，备份数据异地保存。 （三）应用软件系统崩溃与运行风险控制：选择成熟的应用软件和可信的应用软件开发商并经过严格测试验收；与软件开发商签订全面的服务合同，保证故障的及时解决。 （四）病毒和黑客攻击风险17、控制：安装正版防毒软件；设置防火墙；网络实时监控。 （五）数据丢失和泄密风险控制：硬盘热备份；光介质备份；严格的机房管理；操作系统和数据库的双重权限设置；操作系统和数据库的双重身份验证。 （六）数据处理重大错误风险控制：信托柜台系统与清算系统对帐；清算系统与保管行对帐。 （七）不断加大投入，适时升级和更新相关计算机管理系统，避免出现信息系统管理故障。 第四节信息披露风险及管理策略 第三十一条信息披露风险是指公司在进行信息披露活动中，在披露程序、披露内容和披露形式各方面可能出现问题，从而对公司形象及公司经营等产生显著不利影响的风险。 第三十二条信息披露风险管理策略： （一）根据中国证监会、中国银18、监会、深圳证券交易所有关规定，制订严格、规范的信息披露制度。信息披露由专人负责，严格按照信托公司管理办法、中国证监会和深圳证券交易所颁布的有关信息披露实施细则、信托协议和公司规定的披露程序进行信息披露； （二）必要时，公司进行信息披露前，应经会计师事务所、律师事务所等中介机构或公司法律事务部门对披露内容的合法性、合规性进行审查。 第五节声誉风险及管理策略 第三十三条声誉风险指由于公司内部管理或服务出现问题而引起自身外部社会名声、信誉和公众信任度下降，从而对公司外部市场地位产生消极和不良影响的风险。 第三十四条声誉风险一般由于公司操作失误、违反有关规定、资产质量下降不能到期偿债、不能向公众提供高19、质量的金融服务和管理不善等引起。声誉风险管理策略： （一）将公司声誉构建与公司发展战略和企业文化进行有机结合； （二）对可能影响公司声誉的业务予以回避； （三）尽职管理，并充分披露，塑造公司专业和诚信的社会形象。 第五章风险评估及风险对策 第三十五条公司业务开展实行稳健的风险管理理念和程 度适中的风险偏好，对于高风险项目采取谨慎介入的态度。 第三十六条公司根据所确立的风险管理理念，对可能面临的各类风险进行辨识、分析和评价，并据以提出风险对策。 第三十七条公司识别与实现风险管理目标相关的内部风险和外部风险至少应关注以下因素： （一）公司识别内部风险应关注的因素： 1、公司董事、监事、经理及其他高20、级管理人员的职业操守、 员工专业胜任能力等人力资源因素； 2、公司组织机构设置、经营方式、资产管理、业务流程等 管理因素； 3、财务状况、经营成果、现金流量等财务因素； 4、营运安全、员工健康、环境保护等安全环保因素。 （二）公司识别外部风险应关注的因素： 1、经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素； 2、法律法规、监管要求等法律因素； 3、安全稳定、文化传统、社会信用、教育水平、消费者行 为等社会因素； 4、技术进步、工艺改进等科学技术因素； 5、自然灾害、环境状况等自然环境因素。 第三十八条公司风险分析方法一般采用定性和定量方法组合而成。在风险分析不适宜采取定量分析的情21、况下，或者用于定量分析所需要的足够可信的数据无法获得，或获取成本很高时，公司可使用定性分析方法。 第三十九条公司对风险进行分析，应确认哪些风险应当引起重视、哪些风险予以一般关注。风险重要程度的判断主要根据 风险发生的可能性和影响程度来确定。 第四十条公司进行风险分析，应当充分吸收专业人员，以 提高风险分析结果的准确性。 第四十一条公司应该根据风险分析的结果，结合风险发生的原因以及承受度，权衡风险与收益，选择风险对策。 风险应对方案分规避风险、减少风险和接受风险三种。 （一）规避风险：对超出风险承受度的风险，通过放弃或者 停止与该风险相关的业务活动以避免和减轻损失。 （二）减少风险：指公司在权衡22、成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度 之内。 （三）接受风险：指公司对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策 略。 第四十二条公司在确定具体的风险应对方案时，应考虑以 下因素： （一）风险应对方案对风险可能性和风险程度的影响，风险 应对方案是否与公司的风险容忍度一致； （二）风险方案的成本与收益比较； （三）方案中可能的机遇与相关的风险比较； （四）充分考虑多种风险应对方案的组合； （五）合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风 险偏好给公司23、带来重大损失； （六）结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。 第六章风险监控报告及预警 第四十三条公司建立风险监控报告和预警制度。通过有效的沟通和反馈，使公司领导和有关部门及时了解公司业务和资产的风险状况，相应调整风险管理政策和管理措施。 第四十四条各风险管理责任部门对其风险管理情况实施持续监控，对各类风险信息进行记录、汇总、分析和处理，并保留风险管理记录。各部门所有涉及风险管理的相关资料须向合规 与风险管理部门报备。 第四十五条公司的风险报告分为定期风险报告和不定期的专项风险报告。定期风险管理报告是对一个阶段公司经营发展中24、存在的风险和纠正情况进行的汇总报告；不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。 业务部门每月向合规与风险管理部报送项目风险管理月报告，合规与风险管理部负责汇总并提出相应意见后向公司经营管理层等报告。 第四十六条公司相关部门应建立风险预警系统，以发现并 应对可能出现的风险： （一）财务预警系统：公司财务部门通过设置并观察一些敏感性财务指标的变化，对可能或将要面临的财务危机进行预测 预报。 （二）经营管理预警系统：公司业务管理人员根据各个业务环节特有的性质来设计不同的风险控制机制，及时掌握风险的 来源和可能的影响。 （三）全面风险信息报告系统：各部门有25、责任及时无保留地向公司合规与风险管理部门报告有关风险的真实信息。 第四十七条公司应及时对风险进行初步评判，确定是属于一般性风险还是对公司声誉、经营活动和内部管理造成强大压力和负面影响的企业危机。对一般性风险，责成风险单位负责人或有关人员负责组织处理；对可能造成公司危机的重大风险，须由 公司决策后处理。 第七章重大风险管理解决方案 第四十八条公司建立灵敏高效的危机处理和应急管理机制，对新出现的、缺乏风险应急预案的重大风险，风险发生部门应会同合规与风险管理部，与相关部门紧急协调，组织人员及时研究制定风险应急方案，并报公司风险管理与审计委员会审批后 实施。 第四十九条危机处理程序 （一）成立风险和危26、机处理机构 危机发生后，公司应在第一时间成立危机处理小组，该小组由分管风险管理的公司领导担任组长，分管业务部门领导任副组长。小组成员至少应包括：合规与风险管理部、法律事务部、公司法律顾问、监察审计部、综合财务部等部门负责人、发生危机 部门负责人及其他相关人员。 （二）制订危机处理计划 危机处理小组应及时根据现有的资料和情报，以及公司拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理 目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标，同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后，应立 即开始进行物质资源调配和准备，展开27、全面的危机处理行动。 （三）危机处理 1.对于尚未造成社会影响的事件，在对危机事件进行详细的调查了解和核实的基础上，根据法律法规及相关规定，果断做 出处理决定，以避免事态的进一步恶化。 2.对于已造成社会影响的事件，应保持与社会各方的良好沟通，及时披露事实真相，以助对事件做出客观公正的报道和评 价。 3.在处理过程中，应处理好与危机事件对方当事人的关系， 及时安抚，避免出现纠纷。 4.在事件处理的全过程，危机处理小组均应与当地政府、 监管部门保持紧密联系，及时通报事件进展。 （四）教训总结与责任认定 危机事件处理完成后，危机处理小组应及时提交总结报告，如实反映事件的起因、发生过程、处理方法和结28、果、责任认定、反映的问题等，并提出整改建议或意见，以避免新的风险和危机 发生。 第八章风险管理工作的监督与考核 第五十条风险管理工作的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价，包括对公司风险管理相关部门的风险管理工作执行情况进行定期检查，对风险管理工作任务完成情况进行考核，并根据监督或考核的结果，对公司风险管 理工作进行改进与提升。 第五十一条监察审计部对公司风险管理相关制度和流程在各部门的执行情况进行监督和检查，对公司风险管理总体状态和内部控制的效率与效果进行检查和评价，对公司各项经营管理活动和财务收支活动进行审计。 第五十二条合规与风险管理部负责对公司风险管理工作进行总结29、，对发现的问题及时分析原因，改进所发现的风险管理设计和运行的缺陷，并据以修订风险管理相关制度。 第五十三条公司建立多层级风险责任机制。各风险管理责任单位必须评估每一个操作程序所遇到的风险，再把每一个风险细分为次风险，并据此制定风险管理操作程序。各级风险管理单位必须把风险管理的责任落实到每一环节的相关人员，真正做到 风险控制责任到人。 第五十四条明确员工及部门的责、权、利，对于因员工个人风险意识淡漠、操作不当、管理失职等原因致使公司出现风险或危机，或由于部门制度不完备、工作程序不合理，或管理混乱而给公司造成较大风险并带来损失的，应追究直接责任人或领导责任，视其给公司造成的损失及影响程度，由监察审计部提出责令反省、暂停职务、调换岗位等处分处罚处理建议，报请公司批准后，依照纪律或法律法规规定处理。 第五十五条对于完善风险规章制度、防范风险工作积极主动并卓有成效的部门，公司给予表彰与奖励。 第九章附则 第五十六条本制度由公司董事会负责解释。 第五十七条本制度经公司六届董事会xx年8月27日第十三次会议审议通过，从印发之日起实施。