长江证券:全面风险管理制度(2019年8月)

      长江证券股份有限公司全面风险管理制度
 (经 2019 年 8 月 28 日公司第八届董事会第三十次会议审议通过)

                           第一章 总 则

    第一条     为加强长江证券股份有限公司(以下简称“公司”)全面

风险管理,保障公司规范经营和各项业务持续稳健发展,根据《中华

人民共和国证券法》《证券公司监督管理条例》《证券公司风险控制指

标管理办法》 证券公司全面风险管理规范》等法律法规及自律规则,

制定本制度。

    第二条     本制度所称全面风险管理,指公司董事会、经营管理层

以及全体员工共同参与,在战略制定和日常运营中,对面临的流动性

风险、市场风险、信用风险、操作风险、洗钱风险、声誉风险等各类

风险,进行准确识别、审慎评估、动态监控、及时应对和全程管理的

持续过程。

    第三条     公司的全面风险管理体系包括可操作的管理制度、健全

的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人

才队伍、有效的风险应对机制。所有子公司以及比照子公司管理的孙

公司均纳入公司全面风险管理体系。

    第四条     公司全面风险管理的基本原则为:

    (一) 全覆盖原则。公司风险管理应当覆盖公司面临的所有风险

类别,以及公司各部门、分支机构、子公司及所有表内外业务,贯穿

决策、执行、监督和反馈的全过程。

    (二) 适应性原则。公司风险管理应当与公司的经营规模、风险
                                 1
状况、承受能力等要素相适应,以合理的成本和措施实现风险管理目

标。

       (三) 制衡性原则。公司风险管理应当通过制度、流程、系统等

方式,实现各管理层级,前、中、后台相关部门和相关岗位之间的相

互衔接、相互监督、有效制衡。

       第五条   公司全面风险管理目标服务于公司战略发展,通过实施

积极的风险管理,保障公司稳健经营、规范发展,在公司各类风险可

承受的前提下,促进最佳效率的风险资本收益,实现股东价值最大化。

       第六条   公司推行稳健的风险管理文化,倡导“人人合规风控”、

“风险与收益相匹配”的风险管理理念。

                      第二章 风险管理组织体系

       第七条   公司构建层次明晰的风险管理组织架构。包括董事会决

策授权,监事会监督检查,经营层直接领导,风险管理职能部门全面

推动,子公司、业务部门和分支机构密切配合各层级,形成自控、互

控、监控的三道防线,从审议、决策、执行和监督等方面确保公司风

险管理的合理有效。

       第八条   董事会是公司风险管理的最高决策机构,对公司全面风

险管理承担最终责任,其主要风险管理职责包括:

       (一)推进风险文化建设;

       (二)决定公司风险管理战略,审议批准公司全面风险管理的基

本制度;

       (三)审议批准公司风险偏好、风险容忍度以及重大风险限额;
                                  2
    (四)审议公司定期风险评估报告;

    (五)任免、考核首席风险官,确定其薪酬待遇,建立与其的直

接沟通机制;

    (六)公司章程规定的其他风险管理职责。

    第九条     董事会设立的风险管理委员会按照公司章程和工作细

则的相关规定,为董事会审议的风险管理相关事项提供评估意见和建

议,并在授权范围内履行全面风险管理的部分职责。

    第十条     监事会承担全面风险管理的监督责任,负责监督检查董

事会和经理层在风险管理方面的履职尽责情况并督促整改。

    第十一条      经营管理层对公司风险管理承担主要责任,其主要

风险管理职责包括:

   (一)执行董事会制定的风险战略,落实风险管理政策,制定具

体的风险管理制度和程序,并适时调整;

   (二)建立健全公司全面风险管理的经营管理架构,明确全面风

险管理职能部门、业务部门以及其他部门在风险管理中的职责分工,

建立部门之间有效制衡、相互协调的运行机制;

    (三)制定风险偏好、风险容忍度以及重大风险限额等的具体执

行方案,确保其有效落实;对其进行监督,及时分析原因,并根据董

事会的授权进行处理;

    (四)按照董事会要求定期或不定期向董事会报告风险状况、采

取的管理措施以及风险管理规划等事项;

    (五)建立涵盖风险管理有效性的全员绩效考核体系;


                                3
    (六)建立完备的信息技术系统和数据质量控制机制;

    (七)风险管理的其他职责。

    第十二条   公司经营管理层下设风险管理委员会,授权履行经

营管理层风险管理的相关职责。

    第十三条   公司设立首席风险官,首席风险官为公司高级管理

人员,负责组织落实公司全面风险管理的具体工作。首席风险官不得

兼任或者分管与其职责相冲突的职务或者部门。

    首席风险官的任职条件需符合监管规定。

    第十四条   公司应对首席风险官履职提供充分保障,保障首席

风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加

或者列席与其履行职责相关的会议,调阅相关文件资料,获取必要信

息。公司应当保障首席风险官的独立性。公司股东、董事不得违反规

定的程序,直接向首席风险官下达指令或者干涉其工作。

    第十五条   公司指定风险管理部为公司履行全面风险管理职责

的专职部门,在首席风险官的领导下组织、推动公司全面风险管理工

作,监测、评估、报告公司整体风险水平,并为业务决策提供风险管

理建议,协助、指导和检查各业务部门、分支机构及子公司的风险管

理工作。 具体职责包括:

    (一)规划并贯彻执行公司风险管理战略,落实董事会与经营管

理层关于全面风险管理的各项决定;

    (二)拟定公司风险偏好、风险容忍度和风险限额等风险控制指

标体系;


                               4
    (三)建立健全公司风险识别、风险评估和衡量、风险应对、风

险监测、风险报告的制度、程序与方法;

    (四)负责对日常业务活动进行风险监测和控制,报告公司各项

风险控制指标执行情况;

    (五)参与对公司新产品、新业务的风险评估,建立新产品、新

业务的风险管理流程;

    (六)对公司金融工具的估值方法和风险计量模型进行审核确认,

并定期进行评估;

    (七)定期和不定期编制各类风险分析报告;

    (八)对各业务部门、分支机构及子公司的风险识别、评估、控

制情况进行指导、监督、检查、评价和报告;

    (九)其他风险管理事项。

    第十六条     法律事务与合规管理部是公司合规风险管理职能部

门,负责公司法律风险、合规风险以及洗钱风险的识别、监控和应对。

    第十七条     财务总部是公司自有资金的归口管理部门,负责公

司流动性风险的管理工作,统筹公司资金来源与融资管理,协调安排

公司资金需求,开展现金流管理。

    第十八条     由董事会秘书室牵头,会同办公室、风险管理部、

法律事务与合规管理部、人力资源部等相关部门共同负责公司声誉风

险的管理工作。

    第十九条     稽核监察部是公司的内部审计机构,负责对公司全

面风险管理的充分性和有效性进行独立、客观的审查和评价,发现问


                               5
题,及时督促相关责任人进行整改,并跟踪检查整改措施的落实情况。

    第二十条     公司各业务部门、分支机构及子公司负责人应当全

面了解并在决策中充分考虑与业务相关的各类风险,及时识别、评估、

应对、报告相关风险,并承担风险管理的直接责任。各业务部门、分

支机构及子公司的具体风险管理职责主要包括:

    (一)业务部门对其相关业务经营管理中的风险进行识别、评估、

监测、应对和报告;

    (二)负责对相关业务活动的风险控制指标进行实时监测和动态

监控,并根据风险控制指标调整业务规模;

    (三)向公司风险管理部门提供与风险管理有关的业务数据及技

术支持;

    (四)向公司风险管理部门履行报告义务。

    第二十一条    公司每一名员工对风险管理有效性承担勤勉尽责、

审慎防范、及时报告的责任,通过培训学习、经验积累提高风险意识,

谨慎处理工作中涉及的风险因素,发现风险隐患时主动化解并及时按

公司规定履行报告义务。

    第二十二条    公司应为风险管理部门配备充足的专业人员从事

风险管理工作,风险管理部门具备 3 年以上的证券、金融、会计、

信息技术等有关领域工作经历的人员占公司总部员工比例应不低于

2%;公司应为风险管理部门的人员提供相应的工作支持和保障,风

险管理部门人员工作称职的,其薪酬收入总额应不低于公司总部业务

及业务管理部门同职级人员的平均水平。


                               6
    第二十三条   公司应为承担管理职能的业务部门配备专职风险

管理人员,并提供必要的工作支持和保障。专职风险管理人员不得兼

任与风险管理职责相冲突的职务。

    第二十四条   公司通过设立合规风控专员的形式,对分支机构的

合规风控进行全面管理,管辖范围覆盖分支机构所有业务、各个部门、

下辖各层级分支机构和全体工作人员,贯穿决策、执行、监督、反馈

等各个环节。

    第二十五条   公司将子公司的风险管理纳入统一体系,对其风险

管理工作实行垂直管理。子公司应在公司整体风险偏好和风险管理制

度框架下,建立自身的风险管理组织架构、制度流程、信息技术系统

和风控指标体系,保障全面风险管理的一致性和有效性。

    子公司应当任命一名高级管理人员负责公司的全面风险管理工

作,不得兼任或者分管与其职责相冲突的职务或者部门。子公司风险

管理工作负责人在公司首席风险官指导下开展风险管理工作,并向首

席风险官履行风险报告义务。

    子公司风险管理工作负责人的任命由公司首席风险官提名,子公

司董事会聘任,由公司首席风险官考核,考核权重不低于 50%,其解

聘应征得公司首席风险官同意。

                  第三章 风险管理政策与机制

                     第一节 风险管理制度

    第二十六条    公司的风险管理制度体系包括风险管理总体纲领

性指导文件,涵盖流动性风险、市场风险、信用风险、操作风险、声
                               7
誉风险、洗钱风险等风险类别的管理办法以及各类具体业务的风险管

理规章、实施细则等。明确了公司整体风险管理目标、原则、组织架

构、授权体系、相关职责、基本程序等,针对不同风险类型和具体业

务制定可操作的风险识别、评估、监测、应对、报告的方法和流程。

       第二十七条     公司风险管理制度应与公司的发展规划、资本实

力、经营目标和风险管理能力相适应,符合法律法规和监管要求,并

通过评估、稽核、检查等手段保证风险管理制度的贯彻落实并持续完

善。

       第二十八条    子公司应建立与公司一致的风险管理文化与管理

制度,建立完善的内部控制机制,建立重大事项报告制度和审议机制。

                         第二节 授权管理体系

       第二十九条     公司不断健全和完善授权管理体系,明确授权程

序、范围、权限和责任,设置了自上而下的分级授权体系。

       董事会在法律法规的规定内对经营管理层开展相关经营活动和

事项进行授权,经营管理层在董事会授权范围内对各业务部门、分支

机构及子公司进行逐级授权,风险管理职能部门对授权落实情况实行

监控、报告,各业务部门、分支机构及子公司在被授予的权限范围内

开展工作,严禁越权从事任何经营活动。

       第三十条     公司建立了以风险偏好、风险容忍度、风险限额为

核心的授权体系,对各业务和子公司进行逐级授权。

       根据公司经营发展战略和外部监管标准,公司制定了涵盖各类风

险和各类业务的风险偏好、风险容忍度和风险限额等的风险指标体系,


                                  8
整体风险指标经董事会审议批准,经营管理层或其授权的各项业务决

策委员会将董事会批准的风险指标逐级分解至各部门、分支机构和子

公司,并对分解后指标的执行情况进行监控和管理。

                       第三节 风险识别与计量

       第三十一条    公司通过信息归集、案例分析和内部交流等方式,

全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息,

并结合公司业务特点,识别公司面临的风险及其来源、特征、形成条

件和潜在影响,并按业务、部门和风险类型等进行分类。

       第三十二条    公司采取定性和定量相结合的方法,按照风险的

影响程度和发生的概率对识别的风险进行分析计量,并进行等级评价

或量化排序,确定关注重点和优先控制的风险,并在考虑风险关联性

的基础上,汇总公司层面的风险总量,审慎评估公司面临的总体风险

水平。

       第三十三条   公司通过组织和制度建设规范金融工具估值的方

法、模型和流程,建立业务部门、分支机构、子公司与风险管理部、

财务总部的协调机制,确保风险计量基础的科学性。金融工具的估值

方法及风险计量模型需由风险管理部门确认。

       第三十四条   公司选择在险价值、信用敞口、敏感性分析、压力

测试等方法或模型来计量和评估市场风险、信用风险、流动性风险等

可量化的风险类型,并采取各种量化工具弥补所选方法和模型的局限

性。

       第三十五条   风险管理部门定期对估值与风险计量模型的有效


                                 9
性进行检验和评价,确保相关假设、参数、数据来源和计量程序的合

理性与可靠性,并根据检验结果进行调整和改进。

       第三十六条   公司通过建立压力测试管理制度,明确压力测试的

决策机制、实施流程和方法、报告路径、结果应用和检查评估、数据

管理、模型保障等内容。根据业务发展情况和市场变化情况,定期或

不定期对公司流动性风险、信用风险、市场风险等各类风险及指标开

展压力测试,评估公司风险承受能力,指导资源配置,并根据测试结

果及时采取相应的控制措施。

       第三十七条   公司针对新业务建立新业务风险管理制度和流程,

明确新业务开展需满足的条件和公司内部审批路径。

       新业务开展前,新业务开展部门、分支机构或子公司应对新业务

的业务模式、估值模型、面临的主要风险以及压力情景下的潜在损失

等情况进行充分分析和说明。风险管理职能部门需对新业务出具评估

报告,评估公司是否有相应的人员、系统及资本开展该项业务,确保

新业务的业务模式、风险状况经过充分论证,符合公司的风险管理政

策。

                       第四节 风险监测与应对

       第三十八条   公司建立逐日盯市等机制,基于动态监控系统,准

确计算、动态监控关键风险指标情况,判断和预测各类风险指标的变

化,及时预警超越各类、各级监管指标、风险容忍度指标及风险限额

指标的情形,建立资本补充与业务规模、结构调整机制,明确不同级

别异常情况的报告路径和处理办法。


                                 10
    第三十九条   公司根据风险评估和预警结果,选择与公司风险偏

好相适应的风险回避、降低、转移和承受等应对策略,建立覆盖各项

业务、各类风险的风险应对机制,包括合理、有效的资产减值、风险

对冲、资本补充、规模调整、资产负债管理等方式,并根据公司实际

情况的变化,及时调整相应的风险应对策略。

    第四十条     公司针对流动性危机、交易系统事故等重大风险和

突发事件建立风险应急机制,明确应急触发条件、风险处置的组织体

系、措施、方法和程序,并通过压力测试、应急演练等机制进行持续

改进。

                    第五节 风险信息与报告

    第四十一条   公司在子公司、分支机构、业务部门、风险管理部

门、经营管理层、董事会之间建立畅通的风险信息沟通机制,确保相

关信息传递与反馈的及时、准确、完整。

    第四十二条   各子公司、业务部门、分支机构定期对自身内部风

险管理的情况进行评估和检查,并向分管领导和风险管理部门报告;

发生风险管理重大事项的,各子公司、业务部门、分支机构需及时、

完整和准确地向风险管理部门提交临时报告。

    第四十三条   风险管理部门向公司经营管理层提交公司风险管

理日报、月报、年报等定期报告,反映风险识别、评估结果和应对方

案,对重大风险提供专项评估报告,确保经营管理层及时、充分了解

公司风险状况。

    第四十四条   风险管理部门发现风险指标超限额等异常情形的,


                              11
及时与子公司、业务部门、分支机构进行沟通,了解情况和原因,督

促子公司、业务部门、分支机构采取措施在规定时间内予以有效解决,

并及时向首席风险官报告。

    第四十五条   公司经营管理层定期向董事会报告公司风险状况,

重大风险情况应当及时报告。

    第四十六条   公司经营管理层根据董事会的授权,定期评估全面

风险管理体系,评估频率至少每年一次,并将评估结果向董事会报告,

并根据评估结果及时改进风险管理工作。

                   第四章 风险管理信息系统

    第四十七条   公司建立与业务复杂程度和风险指标体系相适应

的风险管理信息技术系统,需覆盖各风险类型、业务条线、各个部门、

分支机构及子公司,对风险进行计量、汇总、预警和监控,并实现同

一业务、同一客户相关风险信息的集中管理,以符合公司整体风险管

理的需要。公司每年制定风险管理信息技术系统专项预算,为风险管

理信息技术系统功能的持续完善和优化提供必要的物质保障。

    第四十八条   公司风险管理信息系统具备以下主要功能,支持风

险管理和风险决策的需要。
    (一)支持风险信息的搜集,完成识别、计量、评估、监测和报
告,覆盖所有类别的主要风险;
    (二)支持风险控制指标的实时监控、预警和报告;
    (三)支持风险限额管理,实现实时监测、预警和报告;




                               12
       (四)支持按照风险类型、业务条线、机构、客户和交易对手等
多维度风险展示和报告;
       (五)支持压力测试工作,评估各种不利情景下公司风险承受能
力。

       第四十九条   公司不断完善数据治理,建立健全数据治理和质量

控制机制。确保内外部数据的及时性、真实性、准确性和完整性,用

于风险识别、评估、监测和报告;将数据治理纳入公司整体信息技术

建设战略规划,制定数据标准,涵盖数据源管理、数据库建设、数据

质量监测等环节。

                        第五章 风险管理评价

       第五十条     公司子公司、各部门、分支机构应定期或不定期开

展全面风险管理的有效性进行自我评估,并根据评估结果及时改进风

险管理工作。

       第五十一条   公司风险管理部门负责子公司、各部门、分支机构

全面风险管理工作的日常检查、监督。

       第五十二条   公司稽核监察部负责对子公司、各部门、分支机构

和风险管理部门的风险管理工作进行客观、独立评价,并通过评估、

稽核、检查等手段保证风险管理制度的贯彻落实,定期评估全面风险

管理体系,评估频率至少每年一次,并要求相关部门根据评估结果及

时改进。

       第五十三条   公司风险管理部门协助相关部门建立健全与风险

管理效果挂钩的绩效考核及责任追究机制,保障全面风险管理的有效


                                 13
性。

       第五十四条   公司建立风险管理考核机制,设定合理的考核范围、

内容、标准和方法,将风险管理考核纳入经营管理综合考核之中,考核

结果与员工奖惩激励挂钩,将子公司、各部门及分支机构风险管理工

作列入绩效考核体系,强化风控考评。

       第五十五条   公司建立风险管理责任追究机制。子公司、各部门

及分支机构依据自身职责范围,承担相应的风险管理责任,对违规行

为及造成风险损失的责任人按照相关管理制度进行相应的处罚。

                            第六章 附则

       第五十六条   公司根据本制度的规定和经营管理需要,制定并持

续完善具体的风险管理办法和操作规范,建立可操作的风险识别、评

估、监测、应对、报告的方法和流程。

       第五十七条   本制度自董事会审议通过之日起实施。




                                 14

关闭窗口