国元证券:国元证券股份有限公司全面风险管理制度

国元证券股份有限公司
全面风险管理制度
（经 2024 年 8 月 23 日第十届董事会第十六次会议审议通过）
第一章 总则
第一条 为促进公司规范经营，加强公司全面风险管理，保障公司各项业务持续、稳定、健康发展，依据《中华人民共和国证券法》《证券公司监督管理条例》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》等法律、法规和准则，结合公司实际情况，特制定本制度。
第二条 本制度所称全面风险管理，是指公司董事会、经营管理层以及全体员工共同参与，对公司经营中的流动性风险、市场风险、信用风险、操作风险、声誉风险、洗钱风险、结算风险等各类风险，进行准确识别、审慎评估、动态监控、及时应对及全程管理。
第三条 公司全面风险管理的目标是：促进公司业务经营持续健康发展，确保公司各项业务在可承受的风险范围内有序运作；保障公司资产和客户受托资产的安全完整；公司经营中整体风险可测、可控、可承受，最终实现公司的经营战略和发展目标。
第四条 公司全面风险管理工作遵循以下原则：
(一)全面性原则。公司风险管理应当覆盖公司经营所面临的所有风险类别，以及公司的所有业务、机构和人员，贯穿决策、执行、监督和反馈的全过程。
(二) 制衡性原则。公司风险管理应当通过制度、流程、系统管理等方式，实现不同业务环节的相互制约，以及前、中、后台相关部门、相关岗位之间的相互制衡与监督。履行风险管理职责的部门应独立于监管对象，客观独立地履行风险管理各项职责。
(三) 针对性原则。公司应对各风险进行等级划分，对不同等级风险采取不同的资源投入和风险应对措施。重点加强对高等级风险、内控薄弱环节和新业务风险的识别、监测和管控。

(四) 适应性原则。公司风险管理应当与公司的经营规模、风险状况、承受能力和创新发展要求等相匹配，符合监管及行业自律要求，与行业发展实际水平相适应，以合理的成本和措施实现风险管理目标。
第二章 风险管理的组织架构
第五条 公司风险管理组织架构由四个层次构成，分别为：公司董事会及下设的风险管理委员会；经营管理层及下设的风控与合规委员会等非常设机构；包括风险监管部、内核办公室、合规法务部、稽核审计部、信息技术部、资金计划部、董事会办公室、运营总部等在内的履行风险管理相关职能的部门；各业务部门及内设的风险管理岗位。
第六条 公司董事会是风险管理的最高决策机构，承担全面风险管理的最终责任，履行以下职责：
（一）推进风险文化建设；
（二）审议批准公司全面风险管理的基本制度；
（三）审议批准公司的风险偏好、风险容忍度以及重大风险限额；
（四）审议公司定期风险评估报告；
（五）任免、考核首席风险官，确定其薪酬待遇；
（六）建立与首席风险官的直接沟通机制；
（七）公司章程规定的其他风险管理职责。
董事会设立风险管理委员会，按照公司章程和董事会《风险管理委员会工作细则》的规定履行职责和义务。风险管理委员会对董事会负责，向董事会报告。
第七条 公司监事会承担全面风险管理的监督责任，负责监督检查董事会和经营管理层在风险管理方面的履职尽责情况并督促整改。
第八条 公司经营管理层对全面风险管理承担主要责任，履行以下职责：
（一）制定风险管理制度，并适时调整；
（二）建立健全公司全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制；
（三）制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案，确
保其有效落实；对其进行监督，及时分析原因，并根据董事会的授权进行处理；
（四）定期评估公司整体风险和各类重要风险管理状况，解决风险管理中存在的问题并向董事会报告；
（五）建立涵盖风险管理有效性的全员绩效考核体系；
（六）建立完备的信息技术系统和数据质量控制机制；
（七）根据法律法规的要求和董事会授权的其他风险管理职责。
公司设立业务委员会、专业委员会、业务审核小组等非常设机构，根据公司授权履行在各自的业务管理、决策范围内的风险管控职责和义务。
第九条 公司任命一名符合法规要求任职条件的高级管理人员担任首席风险官，负责组织落实公司全面风险管理的具体工作。首席风险官不得兼任或者分管与其职责相冲突的职务或者部门。
公司对首席风险官履职提供充分保障，保障首席风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议，调阅相关文件资料，获取必要信息。
公司保障首席风险官的独立性。公司股东、董事不得违反规定的程序，直接向首席风险官下达指令或者干涉其工作。
公司各部门、分支机构及其工作人员发现风险隐患时，应当主动、及时地向首席风险官报告，首席风险官根据风险隐患重要程度不同，逐级向公司经营管理层、董事会、监事会和外部监管机构报告。
第十条 公司相关风险管理职能部门在首席风险官的领导下推动全面风险管理工作，监测、评估、报告公司整体风险水平，并为业务决策提供全流程（尤其是事前与事中）的风险管理建议，协助、指导和检查各部门、分支机构及子公司的风险管理工作。
第十一条 公司应当配备充足的专业人员从事风险管理工作，并提供相应的工作支持和保障。风险管理人员应当熟悉证券业务并具备相应的风险管理技能。公司风险管理部门具备 3 年以上的证券、金融、会计、信息技术等有关领域工作经历的人员占公司总部员工比例应不低于 2%。
首席风险官和风险管理部门人员工作称职的，其薪酬收入总额应当不低于公司总部业务及业务管理部门同职级人员的平均水平。

第十二条 公司设立风险监管部、内核办公室、合规法务部与稽核审计部等内部监督检查部门，独立履行风险管理职能，对董事会负责，并同时向公司经营管理层、监事会和首席风险官报告公司风险管理的情况。
风险监管部负责倡导全员风险意识，进行公司全面风险管理体系和策略的研究；针对市场风险、信用风险、操作风险、声誉风险等风险类型，及时识别已开展的各项业务和创新业务可能存在的风险，督导业务部门在业务运行、业务创新中建立与完善各项内部控制制度和风险管理流程；通过连接各业务管理系统、建设电子信息监控系统，对公司经营活动、业务开展事前和事中的风险监管点或风险监管项目实施审核、监控与管理；建立以净资本和流动性为核心的风控指标监控体系，组织进行全面压力测试和专项压力测试工作；按照公司有关规定与子公司进行风险监管对接；建立风险监管信息内部报送与传递机制，修正偏差以达到风险的分担、转移、整合和消除。
内核办公室通过参加投行类业务项目立项会、问核会、内核小组、风险事件应急处理小组等方式，介入主要业务环节、把控关键风险节点，实施风险监测和评估，组织投行类项目现场检查，开展风险排查和风险提示等措施，履行对投行类业务风险管理的职责，并就投行类业务中的风险事项与合规事项向首席风险官、合规总监报告。
合规法务部负责督导和协助经营管理层有效管理公司各业务法律风险和合规风险，对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查，履行合规政策开发、合规审查、合规咨询、监督检查、培训教育等合规支持和合规控制职责；负责对公司的业务开展及合同内容的合法性、约定权利义务的对等性、条款的完备性以及是否存在重大缺陷或显失公平等法律事项进行审核；对已获准的合同及业务提供相应的法律服务；负责实施公司反洗钱工作，牵头履行法人机构反洗钱相关职责；管理公司的诉讼案件；协助司法机关查询、冻结及执行工作；配合公司相关部门开展专项法律培训，防范法律风险。
稽核审计部负责对公司及所属机构的法规和制度执行情况、经营管理活动和效益情况进行检查；对财务收支的真实性、合法性、合理性进行审查；对合规管理、内部控制及风险管理情况进行审计评价；对审计发现问题督促整改落实并提出处理意见等。

第十三条 公司其他风险管理职能部门及其职责：
资金计划部在财务会计部和风险监管部等部门协助下负责公司及子公司流动性风险管理工作；
信息技术部是公司信息技术系统的管理部门，负责公司信息技术风险管理工作，信息技术部本身的监督评估工作由稽核审计部聘请外部机构予以完成；
董事会办公室是公司信息披露、投资者关系、对外沟通等事务的管理部门，负责公共关系有关声誉风险管理工作；
运营总部是公司证券交易账户体系、集中交易体系、集中结算体系、集中登记托管体系的建设和管理部门，负责公司结算风险管理工作。
财务会计部和人力资源部等其他业务支持与管理部门，在各自职责范围内履行相应的风险管理职能。
第十四条 公司各业务部门、分支机构、子公司和高级管理人员应当全面了解并在决策中充分考虑与业务相关的各类风险，及时识别、评估、应对、报告相关风险，并承担风险管理有效性的直接责任。各业务管理部门和分支机构负责人为风险控制的第一责任人，各分管高管承担相应的领导责任。
第十五条 各业务部门设立风险管理岗位（由部门合规管理岗位人员兼任，另行指定除外），承担管理职能的业务部门配备专职风险管理人员,在首席风险官与内部监督检查部门的指导下，负责公司各项业务管理和风险管理制度的落实，监督执行各项业务操作流程，与风险管理职能部门建立直接、有效的沟通，对业务操作过程中发现的内部控制缺陷及风险点及时反馈，提出整改或完善的意见或建议，有效识别和管理本单位业务经营中面临的各种风险，履行一线风险控制职能。风险管理人员不得兼任与风险管理职责相冲突的职务。
第三章 风险管理的基本要求
第十六条 根据监管要求并适应经营发展需求，公司制定并持续完善各项业务风险管理制度，针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程，并通过评估、审计、检查和绩效考核等手段保证风险管理制度的贯彻落实。
第十七条 公司根据自身的整体发展战略，确定风险偏好，制定风险管理
政策。风险管理政策应与公司的发展规划、资本实力、经营目标和风险管理能力相适应，符合法律法规和监管要求。
第十八条 公司各风险管理职能部门与业务部门共同制定包括风险容忍度和风险限额等风险控制指标,并通过压力测试等方法计量风险、评估承受能力、指导资源配置。
风险指标经相应的授权机构审批后，逐级分解至各部门、分支机构和子公司，各部门、分支机构和子公司机构应当按照经批准的指标开展经营活动和风险管控。
第十九条 公司建立并完善压力测试机制，及时根据业务发展情况和市场变化情况，对公司流动性风险、信用风险、市场风险等各类风险进行压力测试。
第二十条 公司建立健全授权管理体系，通过制度、流程、系统等方式，进行有效管理和控制，并确保业务经营活动受到制衡和监督。
公司所有部门、分支机构及子公司均应在被授予的权限范围内开展工作，严禁越权从事经营活动。各部门在每年度的内控自我评价时应对自身及所属关键业务岗位的授权执行情况进行检查。
第二十一条 公司投资管理、信息系统运维、清算交收等关键业务环节须建立操作日志,系统运行日志，操作留痕等措施，从技术上全面落实风险管理相关制度，实现责任事故的可追溯性，做到责任明确,有据可查。
第二十二条 公司将风险管理文化建设作为公司发展战略的组成部分，推行稳健经营的风险文化，坚持稳中求进，保持资本稳健、流动性充足、业务发展跟管理能力互相匹配。
公司构建与自身相适应的风险管理理念、价值准则、职业操守，建立培训、传达和监督机制，在相关政策和制度文件中明确规定风险管理文化的建设要求和内容，包括适度拉长考核周期、薪酬延期发放、员工持股计划、建立风险损失和员工考核与晋升挂钩机制等，在各层面营造风险管