搜索
1中信证券股份有限公司全面风险管理制度第一章总则第一条为使中信证券股份有限公司(下称“中信证券”或“公司”)全面、及时了解面临的风险状况,提高对风险的预见性和应对能力,增强核心竞争力,促进战略和经营目标的实现,根据《中华人民共和国证券法》、《证券公司监督管理条例》、《证券公司风险控制指标管理办法》、《证券公司全面风险管理规范(修订稿)》和《公司章程》,结合公司实际,制定本制度。第二条本制度所称全面风险管理,是指公司董事会、经营管理层以及全体员工共同参与,对经营中的流动性风险、市场风险、信用风险、操作风险、洗钱风险、声誉风险、信息技术风险等各类风险,进行准确识别、审慎评估、动态监控、及时应对的全程管理。第三条公司全面风险管理的目标是通过建立健全与公司自身发展战略相适应的全面风险管理体系,为公司各类风险可测、可控和可承受提供合理保证,保障公司稳健经营。公司全面风险管理体系包括可操作的管理制度、健全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制以及良好的风险管理文化。第四条公司全面风险管理应遵循以下原则:(一)全面性原则:全面风险管理应覆盖公司所有业务、部门、分支机构、子公司及比照子公司管理的各类孙公司(以下简称“子公司”)及全体人员,贯穿决策、执行、监督、反馈全过程。公司旨在建立集团层面的全面风险管理体系,将子公司的风险管理纳入统一体系,对其风险管理工作实行垂直管理,实现风险管理全覆盖。(二)制衡性原则:公司建立不同部门/业务线、不同岗位之间的制衡体系,各级部门/业务线和岗位的设置应当权责分明、相互制衡和相互监督。(三)重要性原则:风险管理应当在对风险进行全面掌握的基础上,对重要业务、重大事项、主要操作环节和高风险领域实施重点管理。(四)适应性原则:风险管理工作应当与公司业务范围、经营规模、组织架2构和风险状况等相适应,并随着市场、技术、监管及法律环境的变化及时加以调整和完善。(五)成本效益原则:风险管理应当权衡实施成本与预期收益,以适当的成本实现有效的风险控制。第二章风险管理组织架构第五条公司全面风险管理组织体系包括董事会及下设的风险管理委员会,经营管理层及下设的专业委员会,相关内部控制部门与业务部门/业务线。在部门和业务线层面,确立了由业务部门/业务线承担风险管理的首要责任、风险管理部及合规部等内部控制部门对各类风险进行专业化管理、稽核审计部负责事后监督与评价的风险管理三道防线。第六条机构设置:(一)董事会是公司风险管理的最高决策机构,负责最终审议批准包括公司风险偏好、风险容忍度以及重大风险限额在内的公司风险管理总体目标和全面风险管理基本制度,决定重大风险的解决方案,审议公司定期风险评估报告,任免、考核首席风险官,确定其薪酬待遇,听取首席风险官的报告,持续监督、检查和评价公司风险管理工作,推进公司风险文化建设,确保公司建立及维持合适、有效的风险管理制度及体系。董事会对公司风险管理制度及体系的有效性承担最终责任。董事会风险管理委员会(下称“董事会风管委”)在董事会授权下,负责对公司风险管理的总体目标、基本政策进行审议和决策;监督和评价公司的风险管理机制;监督和评价风险管理政策的执行情况;对需董事会审议的重大决策的风险和重大风险的解决方案进行评估并提出意见;对需董事会审议的合规报告和风险评估报告进行审议并提出意见等。(二)监事会承担全面风险管理的监督责任,负责监督检查董事会和经营管理层在风险管理方面的履职尽责情况并督促整改。(三)经营管理层对公司风险管理的有效性承担主要责任,其职责包括:制定风险管理制度,建立健全公司全面风险管理架构,制定风险偏好、风险容忍度以及重大风险限额,定期评估公司整体风险和各类重要风险管理状况,解决风3险管理中存在的问题并向董事会报告,建立涵盖风险管理有效性的全员绩效考核体系,建立完备的信息技术系统和数据质量控制机制,以及风险管理的其他职责。经营管理层下设风险管理委员会(下称“公司风管委”),在经营管理层授权的范围内负责全面风险管理工作。公司任命首席风险官负责协调全面风险管理工作,首席风险官应符合《证券公司全面风险管理规范(修订稿)》规定的任职资格要求,且不得兼任或者分管与其职责相冲突的职务或者部门。公司应对首席风险官履职提供充分保障,保障首席风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议,调阅相关文件资料,获取必要信息。公司应当保障首席风险官的独立性。公司股东、董事不得违反规定的程序,直接向首席风险官下达指令或者干涉其工作。公司各部门、分支机构及其工作人员发现风险隐患时,应当主动、及时地向首席风险官报告。(四)在部门设置层面,前、中、后台进行分离,分别行使不同的职责,建立相应的制约机制,形成由业务部门/业务线、风险管理部及合规部等内部控制部门、稽核审计部共同构筑的风险管理三道防线。业务部门/业务线作为公司风险管理的第一道防线,承担风险管理的第一线责任,负责建立各项业务的业务管理制度与风险管理制度,对业务风险进行监控、评估、报告,并将业务风险控制在授权范围内。公司风险管理部、合规部等内部控制部门是公司风险管理的第二道防线,其中:公司风险管理部按照金融风险类型划分管理团队,并建立适合业务管理的金融风险管理架构,负责对公司面临的金融风险进行识别、测量、分析、监控、报告和管理。分析、评价公司总体及业务部门/业务线的金融风险,对优化公司的风险资源配置提出建议;协助公司风管委制定公司的风险限额等风险管理指标,监控、报告风险限额等风险管理指标的执行情况;建立和完善金融风险在业务部门/业务线、内部控制部门、经营管理层间的快速报告、反馈机制,定期向经营管理层全面揭示公司的整体风险状况,为公司风险管理提供建议;建立全面压力测试机制,为公司重大决策和日常经营调整提供依据,并满足监管要求;对新产品、新业务进行事前的风险评估和控制设计;协助、指导和检查各部门、分支机4构及子公司的风险管理工作。公司合规部组织拟订并实施公司合规管理的基本制度,为公司经营管理层及各部门/业务线提供合规建议及咨询,并对其经营管理活动的合法合规性进行监督;督导公司各部门/业务线根据法律法规和准则的变化,评估、制定、修改、完善内部管理制度和业务流程等;依据公司反洗钱有关制度,组织开展洗钱风险防控工作。公司法律部负责控制公司及相关业务的法律风险等。公司董事会办公室会同总经理办公室、风险管理部、合规部、人力资源部及相关部门,共同推进管理公司的声誉风险。公司信息技术中心负责管理公司的信息技术风险。公司稽核审计部是公司风险管理的第三道防线,全面负责内部稽核审计工作,计划并实施稽核审计项目,根据国家法律法规和公司内部管理制度的规定,对公司及所属单位经营管理活动的合法性、内部控制的健全性及有效性进行独立客观的检查、评价、报告及建议,协助公司对突发事件进行核查。其他内部控制部门分别在各部门职责范围内行使相应的风险管理职能。第七条公司应当配备充足的专业人员从事风险管理工作,并提供相应的工作支持和保障。风险管理人员应当熟悉证券业务并具备相应的风险管理技能,且不得兼任与风险管理职责相冲突的职务。公司风险管理部门员工占公司总部员工的比例及薪酬水平应符合《证券公司全面风险管理规范(修订稿)》中规定的要求。第八条公司应将全面风险管理纳入内部审计范畴,对全面风险管理的充分性和有效性进行独立、客观的审查和评价。内部审计发现问题的,应督促相关责任人及时整改,并跟踪检查整改措施的落实情况。第三章风险管理授权第九条公司应当建立健全授权管理体系,各业务部门/业务线、分支机构须在授权范围内开展业务,严禁越权从事经营活动。通过制度、流程、系统等方式,进行有效管理和控制,并确保业务经营活动受到制衡和监督。新产品或新业务须经公司相应审批流程通过之后方可开展。5第十条公司风管委在授权范围内负责制定总体风险限额等风险管理指标,并在业务部门/业务线间进行分配。风险管理部负责对分解后指标的执行情况进行监控和管理,发现风险指标超限额的,应当与业务部门/业务线及时沟通,了解情况和原因,督促其采取措施在规定时间内予以有效解决,并及时向首席风险官报告。第十一条各业务部门/业务线根据业务开展情况可申请调整风险管理授权,审批通过后按照通过方案执行。第十二条公司风管委根据经营目标、市场情况以及特殊事件可随时调整业务部门/业务线的风险管理授权。第四章风险识别与评估第十三条各业务部门/业务线应当全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息,及时识别与沟通所面临的风险,定期评估和分析风险形成条件、潜在影响和发生可能性,并对潜在风险点进行事前的分类、整理和相应的提示。第十四条公司应当根据风险的影响程度和发生可能性等建立评估标准,采取定性与定量相结合的方法,对识别的风险进行分析计量并进行等级评价或量化排序,确定重点关注和优先控制的风险。公司应当关注风险的关联性,汇总公司层面的风险总量,审慎评估公司面临的总体风险水平。第十五条公司应当规范金融工具估值和风险计量的方法、模型和流程。各业务部门/业务线使用的金融工具估值方法和风险计量模型应经风险管理部审核通过后应用。对于估值模型,应建立业务部门/业务线与风险管理部、计划财务部的协调机制,确保计量基础的科学性。第十六条公司选择各种有效的方法或模型来计量和评估各类可量化的风险类型,审慎评估所选方法或模型的局限性,并采用有效手段进行补充。第十七条风险管理部定期对估值与风险计量模型的有效性进行检验和评价,以确保相关假设、参数、数据来源和计量程序的合理性与可靠性,并根据检验结果进行调整和改进。6第十八条公司根据业务情况和市场情况对各类金融风险定期开展压力测试工作,并将结果运用到经营决策中。第十九条公司建立了《新业务评估流程》,业务部门/业务线须对每项新业务制定完备的新业务提案,并经由相关内控和支持部门评估通过后方可上线开展。新业务评估内容包含:新业务的合法、合规性;新业务洗钱风险防控;对公司风险状况和可接受限额带来的变化,对相关监管指标的影响;需要新设立或变更的各类内部控制和管理流程、风险缓释措施、监控指标等;自有资金占用情况和盈利预期;风险计量模型和估值模型;新业务开展所需人力、IT基础架构、系统功能的支持情况。第五章风险监控及应对第二十条公司以及各业务部门/业务线应建立与业务复杂程度和风险管理指标体系相适应的风险管理信息技术系统,对风险进行计量、汇总、预警和监控,并实现同一业务、同一客户相关风险信息的集中管理,以符合公司整体风险管理的需要。公司应每年制定风险管理信息技术系统专项预算。第二十一条公司应建立健全数据治理和质量控制机制。积累真实、准确、完整的内部和外部数据,用于风险识别、计量、评估、监测和报告。公司应将数据治理纳入公司整体信息技术建设战略规划,制定数据标准,涵盖数据源管理、数据库建设、数据质量监测等环节。第二十二条公司针对不同类型风险制定相应的管理方法和流程。公司以及各业务部门/业务线应采用与自身风险状况相适应的监控手段,建立逐日盯市等事中的监测机制,准确计算并动态监控风险管理指标,及时预警超过各类各级风险限额的情形。对于非业务部门,通过设置关键风险指标、执行风险与控制自我评估程序等手段,对相关风险进行监控。第二十三条各内部控制部门以及业务部门/业务线在业务活动与职能管理过程中,发现异常情况时应按照汇报关系及时报告。第二十四条公司以及各业务部门/业务线应根据风险评估和监控预警的结果,根据公司的风险偏好选择相适应的风险回避、降低、转移和承受等策略,采7用资产减值、风险对冲、资本补充、规模调整、资产负债管理等手段进行风险应对。第二十五条公司针对流动性危机、交易系统事故等重大风险和突发事件建立风险应急机制,明确应急触发条件、风险处置的组织体系、措施、方法和程序,并通过压力测试、应急演练等机制进行持续改进。第六章风险报告与处置第二十六条公司在业务部门/业务线、内部控制部门、经营管理层、董事会之间建立畅通的风险信息沟通机制,确保相关信息传递与反馈的及时、准确、完整。第二十七条公司经