公司风险管理制度

第一章       总   则

第一条 为促进公司规范经营，将公司经营风险控制在可控范围之内，保证公司各项业务的持续、稳定、健康发展以及公司的经营目标和经营战略得以实现，依据《中华人民共和国证券法》、中国证券监督管理委员会颁布的《证券公司监督管理条例》、《证券公司内部控制指引》、《证券公司风险控制指标管理办法》，中国证券监督管理委员会关于小微证券公司等法律、法规和准则，特制定本制度。

 第二条 公司风险管理的目标是：保证经营的合法合规及公司内部规章制度的贯彻执行，保障客户及公司资产的安全完整，防范经营风险和道德风险。即在风险最低的前提下，追求收益最大化；在收益一定的前提下，追求风险最小化；以最适宜的风险代价，取得最大的收益。

第三条  风险管理工作应遵守以下原则

（一） 全面性：风险管理必须针对公司面临的所有风险类别，覆盖公司的所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节，确保不存在风险管理的空白或漏洞。

（二）  合规性：风险管理战略必须符合国家有关法律法规、中国证监会和公司章程的有关规定，必须与公司的经营规模、业务范围、风险状况及公司所处的环境相适应，并与公司的长期发展目标保持一致。

（三） 制衡性：公司部门和岗位的设臵应当权责分明、相互牵制，不相容职务应相对分离。

（四） 及时性：风险管理必须在风险发生或发现时及时进行,讲究时效。风险管理策略及方法应当根据公司经营战略、经营方针等内部环境的变化和国家法律法规等外部环境的改变及时进行完善。

（五） 独立性：承担风险管理监督检查职能的部门独立于公司其他部门。

                   第二章      风险管理的组织架构

 第四条 公司风险管理组织架构由四个层次构成，分别为：公司董事会下设的风险管理委员会，经营管理层设立的风险控制委员会，包括风险监管部、合规管理部与稽核部在内的相关风险管理职能部门，以及各业务部门内设的风险管理岗位。

第五条 公司董事会是风险管理的最高决策机构，负责制定风险管理战略和风险管理政策，确定风险管理原则，根据环境的变化和业务的发展不断检验风险管理政策的有效性以使其不断完善，并将风险管理纳入整体经营发展战略。董事会设立风险管理委员会，按照《风险管理委员会工作细则》的规定履行职责和义务，主要负责研究制定公司总体风险控制和管理政策，审查公司风险控制体系及其有效性，监控、检查公司经营管理和业务运作，审查公司内部风险控制制度的落实情况，研究制定公司重要风险的界限以及董事会赋予的其他职责。风险管理委员会对董事会负责，向董事会报告。

 第六条 公司经营管理层设立风险控制委员会，根据公司董事会批准的风险管理准则与风险管理制度履行职责和义务。负责组织实施公司内部控制和风险管理的各项决策和指导意见；审议各项业务创新的风险控制流程和风险控制制度；对各部门和分支机构风险控制状况和违规案例查处情况进行通报，对风险案例相关经营责任人和有关人员提出表彰或处罚意见；建立健全内部控制缺陷的纠正和处理机制，对各类投诉、可疑事件和内控缺陷进行通报和分析，妥善解决各类风险隐患；听取风险管理部门的工作汇报及各项业务的风险控制报告等。

第七条 公司设立合规总监，合规总监是公司的高级管理人员，由公司董事会聘任，并经中国证监会派出机构的认可。合规总监对公司董事会负责，向董事长报告工作，主要负责公司内部管理制度和业务规则的合规性审查并监督执行，对公司重大决策和主要业务活动进行合规审核等方面的工作，并负责与监管部门之间的沟通协调工作。

第八条    公司设立风险监管部、合规管理部与稽核部等内部监督检查部门，独立履行风险管理职能，对董事长负责，并同时向公司经营管理层、监事会和合规总监报告公司风险管理的情况。风险监管部负责倡导全员风险意识,进行公司风险管理体系和策略的研究；及时识别已开展的各项业务和创新业务可能存在的风险，督导业务部门在业务运行、业务创新中建立与完善各项内部控制制度和风险管理流程；通过连接各业务管理系统、建设电子信息监控系统，对公司经营活动、业务开展事前和事中的风险监管点或风险监管项目实施审核、监控与管理；构建业务风险计量评判模型，对相关业务进行风险绩效评估、分析，提出业务改进建议；建立以净资本为核心的风控指标监控体系，组织进行全面压力测试和专项压力测试工作；按照公司有关规定与控股子公司进行风险监管对接；建立风险监管信息内部报送与传递机制，修正偏差以达到风险的分担、转移、整合和消除。合规管理部负责督导和协助经理层有效管理合规风险，对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查，履行合规政策开发、合规审查、合规咨询、监督检查、培训教育等合规支持和合规控制职责；负责对公司的业务开展及合同内容的合法性、约定权利义务的对等性、条款的完备性以及是否存在重大缺陷或显失公平等法律事项进行审核；对已获准的合同及业务提供相应的法律服务；管理公司的诉讼案件；协助司法机关查询、冻结及执行工作；配合公司相关部门开展专项法律培训，防范法律风险。稽核部负责对公司所属部门及分支机构的业务、财务、会计及其他经营管理活动的合法性、合规性、真实性、效益性等履行检查、评价、报告和建议职能，对董事会负责。

第九条 信息技术部、财务会计部、资金计划部、客户资金存管中心和人力资源部在承担本单位内部的风险控制职能外，各自在信息技术、财务会计、资金、客户资产和人力资源管理等方面参与风险的识别、评估、管理和控制，履行相应的风险管理职能。

 第十条 各业务部门和业务管理部门设立风险管理岗位，在合规总监与内部监督检查部门的指导下，负责公司各项业务管理和风险管理制度的落实，监督执行各项业务操作流程，与内部监督检查部门建立直接、有效的沟通，对业务操作过程中发现的内部控制缺陷及风险点及时反馈，提出整改或完善的意见或建议，有效识别和管理本单位业务经营中面临的各种风险。

第三章    风险管理基本要求

第十一条 公司推行全员风险管理，引导员工遵循良好的行为准则和道德规范，增强风险管理意识。每一岗位员工都具有风险管理职能，都应该自觉执行公司各项风险管理制度和流程。

 第十二条 公司将风险管理文化建设作为公司发展战略的组成部分，培育和塑造良好的风险管理文化，并融于企业文化建设的全过程中，在相关政策和制度文件中明确规定风险管理文化的建设要求和内容，在各层面营造风险管理文化的氛围。

 第十三条 公司各业务管理部门负责对所经营的全部业务建立适当的业务管理制度，落实风险管理责任，并根据业务发展情况动态调整。业务管理部门制订的业务制度和流程，须经合规管理部、风险监管部审查。 

第十四条 公司业务管理制度设计中，要充分体现部门岗位之间的制衡和监督的原则，对于涉及资金和信息的关键岗位必须建立双人、双职、双责的制度，前台业务运作与后台管理支持适当分离。

第十五条 公司在法定经营范围内，对经依法批准开展经营的各业务部门和分支机构的业务权限，实行授权管理制度。各业务部门和分支机构必须在被授权范围内办理业务，严禁越权经营。各部门在每年度的内控自我评价时应对自身及所属关键业务岗位的授权执行情况进行检查。

第十六条 各业务管理部门和分支机构负责人为风险控制的第一责任人，履行一线风险控制职能，负责制定和执行本单位的风险管理制度，建立部门内权责明确、相互制衡的岗位职责和内控制度，并针对业务主要风险环节制定业务操作流程。

第十七条 公司建立隔离墙制度，各业务部门之间应按法律法规和监管规定的要求保持相对独立，切实防范公司与客户、客户与客户之间的利益冲突、风险传递及内幕交易行为的发生，保护公司、客户的合法权益。

第十八条   公司所有业务必须建立操作日志,系统运行日志，操作留痕等措施，从技术上全面落实风险管理相关制度，实现责任事故的可追溯性，做到责任明确,有据可查。

第十九条 公司须建立危机处理应急机制，各部门应对重点风险环节和风险隐患制订切实有效的应急应变措施和预案。

第四章     风险识别与评估

第二十条 公司面临的风险分为六类：市场风险、信用风险、流动性风险、操作风险、法律风险及系统性风险。

第二十一条 公司对风险进行分类管理。对于可度量风险，如市场风险、流动性风险，利用指标体系进行监控，并根据实际情况不断进行调整。而对于不可度量的风险指标，如操作风险、法律风险等，通过标准化业务流程等进行管理。

第二十二条    风险监管部根据政策及市场变化、行业发展情况以及公司风险战略调整，运用在险价值模型、敏感性分析、压力测试和情景分析等多种方法，对公司所面临的各类业务风险进行定量和定性分析、评估并报告。

第二十三条   合规管理部与风险监管部在各自的职责范围内对公司各项业务经营和管理过程中已知的和可预测的风险进行梳理，识别风险环节和主要风险点，制定相应的风险控制措施并根据业务开展情况和监管要求的变化及时修订、完善。各业务部门应在本单位业务流程基础上分析判断可能存在的风险点，在分析风险点的基础上，拟定本单位业务管理中的风险管理重点。

第二十四条    内部监督检查部门定期或不定期对各业务部门制定的管理制度和操作流程的执行情况，以及管理制度和操作流程自身的完整性、合理性、有效性进行检查并提出修正意见，相关部门负责整改和落实。

第二十五条    各业务部门制订的重大经营计划和创新业务方案应包含业务部门自身对于计划、方案的风险判断和采取的风险管理措施，并由合规管理部与风险监管部进行风险评估。合规管理部与风险监管部对计划方案中可能存在的风险进行审查和识别，对其产生结果的影响程度进行评估，对计划方案中相应的风险管理措施是否充分有效等进行分析，并出具风险评估报告。严禁开展任何未经风险评估、未落实风险管理措施及未经公司授权的业务。

第二十六条 公司应建立风险管理综合信息的收集与累积机制。风险管理综合信息包括与风险及风险管理相关的经济、政策法规、市场状况、技术革新、公司资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的信息。公司各部门各分支机构应广泛地、持续不断地收集与公司风险及管理相关的信息，并送交风险监管部对相关信息进行整理和修订，以建立和更新公司的风险管理综合信息库。

第五章    风险监控与检查

第二十七条 公司建立符合业务管理、合规风险管理和非现场稽核要求的风险监控系统。风险监控系统和监控结果对内部监督检查部门开放。风险监控系统为外部监管机构预留接口，以便外部监管机构实现同步监管。对于系统不能监控的领域，通过业务部门及时报备、不定期的检查、评估，将各项业务风险纳入监控范围，努力消除各项风险隐患、不留下风险盲区。

第二十八条    公司建立以净资本为核心的风险控制指标体系和各项业务规模与净资本水平的动态挂钩机制，动态、实时地监控净资本及风险控制指标变化，保证公司业务发展与净资本充足水平相匹配，确保公司所有净资本指标均符合中国证监会的监管要求。

第二十九条    各经营管理部门及职能部门应负责对各自职责范围内的业务及工作进行检查、评估，督促各项规章制度的执行及各项风险控制措施的落实。各经营管理部门及分支机构的合规风控岗位人员每月向合规风控部门全面报告本单位的风险管理情况。

第三十条  合规风控部门负责根据公司各阶段风险控制的不同重点，对重点风险业务进行检查，督促相关制度的执行及风险控制措施的落实。稽核部负责根据监管要求和公司管理需要对公司各部门、各分支机构进行适时稽核。

第六章    风险报告与处置

第三十一条 公司建立畅通、高效的信息交流渠道，以及内部员工和客户的信息反馈机制，确保信息准确传递，确保董事会、监事会、经理管理层及监督检查部门及时了解公司的经营和风险状况，确保各类投诉、可疑事件和内控缺陷得到妥善处理。

第三十二条 公司建立内部风险报告制度，使公司及时掌握各业务及分支机构经营中的风险情况，并采取措施，促进公司各经营管理部门和各分支机构安全稳健地持续经营。

第三十三条 公司的内部风险报告包括：定期的风险报告与即时的风险报告两类。定期的风险报告要求相关部门按照要求定期报合规风控部门。即时的风险报告要求各业务部门及分支机构的所有员工，在发现风险后及时向合规风控部门、相关业务支持部门和管理部门报告。

第三十四条 合规风控部门、相关业务支持部门和管理部门在得到风险报告后应互相沟通，并按照各自职责采取相应控制措施化解风险，寻找漏洞、加强控制。

第三十五条 合规风控部门建立有效的风险报告机制，定期向公司董事会和公司领导提供风险报告，并将有关情况通报相关部门；发现业务运作存在风险隐患或风险监控指标值不合规时，立即向公司领导报告并提出处理建议，由相关责任部门负责落实整改。

第三十六条    内部监督检查部门在日常监督、检查、审查、稽核审计过程中，发现经营管理部门日常经营管理存在内控缺陷、风险或风险隐患等情况，需要经营管理部门作出书面解释、分析，采取整改、完善措施，并反馈执行结果的，应当及时发出内控监督文书。

第三十七条 经营管理部门收到内控监督文书后，应当及时、全面、深入地分析风险产生的原因，并根据内控缺陷、风险或风险隐患的性质、风险状况、紧急程度等，制定、落实相应的整改措施或整改计划，并将风险处理结果反馈发文部门。

第三十八条    公司将根据各部门收到风险处置通知书的次数及对提出风险控制措施的执行情况，对相关责任部门的风险管理绩效进行评价。

第七章    风险管理的问责制度

 第三十九条    公司所有部门和人员应积极配合合规总监和内部监督检查部门对公司风险控制情况的检查和评价，不得以任何形式干预、阻挠，不得隐瞒真实情况，弄虚作假。

第四十条 经营管理层应深入分析经营活动中风险管理问题，充分考虑各项经营活动可能存在的风险因素和风险隐患，研究制订涵盖各项业务及相关岗位的风险管理责任的问责制度。

第四十一条   风险管理的责任划分：

  风险监管部负责监控和报告公司的风险敞口和限额使用情况。经营管理部门负责人对各自业务的风险管理具有第一线的责任，财务会计、资金计划、清算存管、信息技术和人力资源等部门在各自职能范围内支持或监督公司的风险管理。

对属于风险管理制度下的规则、制度、办法、规定流程等审核层面的问题或发现风险事项存在未进行风险揭示的，内部监督检查部门是第一责任人，归口管理部门是第二责任人，分管领导承担相应的领导责任。

属于执行方面的问题或发现风险、隐患或漏洞没有及时报告并制订规避措施或收到风险通知书后未及时整改的，执行部门是第一责任人，归口管理部门是第二责任人，分管领导承担相应的领导责任。

第四十二条   风险管理问责的基本规则：

（一）风险管理问责发生时，根据岗位职责规定及责任承担顺序确定责任人；

（二）风险管理问责分为谈话提醒、通报批评、处分、追究经济责任、引咎辞职、移交司法机关。

第四十三条 对于不配合风险管理工作、拒绝提供资料、提供虚假资料、拒不执行风险控制措施的，公司将责令其改正，并对负有直接责任的主管人员和其他责任人员，依照公司有关规定视情节轻重，分别给予经济处罚、通报批评、警告、记过直至撤职、开除等处理；构成犯罪的，移交司法机关追究刑事责任。

                 第八章     风险管理的评价与考核

第四十四条 公司对各部门及分支机构的风险管理绩效定期进行评价，评价结果纳入绩效考核体系。风险管理评分作为公司对各业务绩效评估（KPI）的评分指标之一，指标权重不低于 20％。具体考评办法由公司另行制定。

第四十五条 公司各部门的风险管理评价由合规总监会同内部监督检查部门负责组织完成；对合规总监和内部监督检查部门的绩效评价按公司绩效考核办法组织完成。

 第四十六条 风险管理评价内容包括但不限于：

（一）风险管理涵盖经营活动范围描述；

（二）风险管理制度与公司战略的一致性和适配程度；

（三）风险管理制度和办法、业务流程、岗位职责的制定与执行情况；

 （四）风险管理资源分配的合理性与执行情况；

 （五）风险管理分析报告情况；

 （六）风险管理系统的有效性评价；

 （七）公司确定的其他风险管理规定。

第九章       附   则

第四十七条   本制度的修订和解释权归公司董事会。

第四十八条   本制度自董事会通过之日起生效并施行。

公司风险管理