华泰证券：风险管理基本制度(2023年修订)

华泰证券股份有限公司风险管理基本制度

（2023年修订）

第一章 总 则第一条 为了提高公司管理和运营的科学性、规范性和有效性，增强对金融风险的防范能力，保障公司各项业务持续、稳定、快速发展，促进战略和经营目标的实现，根据《中华人民共和国证券法》《证券公司监督管理条例》《证券公司内部控制指引》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》等有关规定，特制定本制度。

第二条 根据《证券公司全面风险管理规范》规定，全面风险管理是指公司董事会、经理层以及全体员工共同参与，对公司经营中的流动性风险、市场风险、信用风险、操作风险、声誉风险等各类风险，进行准确识别、审慎评估、动态监控、及时应对及全程管理。

第三条 公司建立健全与自身发展战略相适应的全面风险管理体系。公司全面风险管理体系包括可操作的管理制度、健全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制以及良好的风险管理文化。

第四条 公司全体员工应不断增强风险管理意识和风险敏感度，树立对风险管理的正确认知。公司推行稳健的风险文化，建立培训、传达和监督机制，促进形成与公司发展战略相适应的风险管理理念、价值准则、职业操守。

第五条 公司将境内外所有子公司以及比照子公司管理的各类孙公司（以下简称“子公司”）纳入全面风险管理体系，强化分支机构管理；建立并表管理机制，实现集团风险管理的全覆盖、可监测、能计量、有分析、能应对。

第二章 主要风险及定义

第六条 流动性风险是指公司无法以合理成本及时获得充足资金，以偿付到期债务、履行其他支付义务和满足正常业务开展的资金需求的风险。

第七条 市场风险是指由于市场价格（利率、汇率、股票价格和商品价格等）的波动而引起的公司资产发生损失的风险。

第八条 信用风险是指因融资方、交易对手或发行人等违约导致公司损失的风险。

第九条 操作风险是指由于不完善或有问题的内部程序、人员、系统或外部事件所造成公司损失的风险。

第十条 声誉风险是指由于公司行为或外部事件、及其工作人员违反廉洁规定、职业道德、业务规范、行规行约等相关行为，导致投资者、发行人、监管机构、自律组织、社会公众、媒体等对公司形成负面评价，从而损害公司品牌价值，不利于公司正常经营，甚至影响到市场稳定和社会稳定的风险。

第十一条 信息技术风险是指内、外部原因造成公司网络和信息系统服务能力异常或数据损毁、泄漏，导致网络和信息系统在业务实现、响应速度、处理能力、网络和数据安全等方面不能保障交易与业务管理稳定、高效、安全运行，从而造成损失的风险。

第十二条 合规风险是指因公司或工作人员的经营管理或执业行为违

反法律、法规或准则而使公司被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失或商业信誉损失的风险。

第十三条 法律风险是指公司因未能遵循法律法规规定及要求，致使公司面临诉讼纠纷、赔偿、罚款，导致公司受损失的风险。

第十四条 洗钱风险是指公司的产品或服务被不法分子利用从事洗钱活动，进而对公司在法律、声誉、合规、经营等方面造成不利影响的风险。

公司关注洗钱风险与其他风险之间的关联性和传导性，审慎评估洗钱风险对公司声誉、运营、财务等方面的影响，防范洗钱风险传导与扩散。

第十五条 廉洁风险是指公司员工利用职权谋取私利给公司带来危害性或负面影响的可能性。

各部门、分支机构和子公司对廉洁风险的管理控制负首要责任，对于公司运营和流程管控中发生的廉洁风险信息和事件应及时向公司风险管理部和纪检部门通报。对于严重违纪违规的事件将由纪检部门牵头调查、核实、处理。

第十六条 公司经营中合规风险、法律风险、洗钱风险等其他类型风险的管理，结合该类风险监管要求，根据部门职责定位，分别由对口管理部门牵头另行建立管理体系，制定管理架构、管理政策、管理机制和程序，报公司批准后执行。

第三章 风险管理目标及原则

第十七条 公司风险管理的目标服从且服务于公司发展战略，通过积极管理风险，保障公司稳健经营，规范发展，促进战略和经营目标的实现。公司风险管理的目标为：

（一）通过有效的风险管理，保障公司持续经营且不发生对公司持续

经营造成重要影响的重大风险事件，促进公司发展战略及经营目标的实现；

（二）形成公司良好的风险管理文化，强化全体员工的风险管理意识和责任意识；

（三）全面管理公司经营过程中面临的各种风险，形成具有公司特色和有效的风险管理能力，实现风险管理创造价值，打造风险管理核心竞争力；

（四）合理优化风险资源配置，在不突破风险承受能力的基础上促进最佳效率的风险资本收益。

第十八条 公司风险管理遵循以下原则：

（一）全面性原则。风险管理覆盖公司所有业务、部门、分支机构、子公司及全体人员，贯穿决策、执行、监督、反馈全部过程；

（二）适应性原则。公司风险管理应与公司发展战略、经营目标、业务实际、管理模式、风险状况相适应，根据市场环境及业务发展变化情况，持续动态地进行调整完善；

（三）有效性原则。公司全面风险管理体系及工作机制、管理流程应能够有效管理公司面临的风险，并促进公司业务健康、快速发展；

（四）制衡性原则。公司组织架构及岗位设置应权责分明，相互分离，前中后台相互独立并能够有效制衡和监督；

（五）独立性原则。清晰界定业务部门和风险管理部门的职责和报告路线，并确保风险管理部门的独立性；

（六）重要性原则。公司应当在对风险进行全面管理的基础上，对重要业务、重大事项、重点操作环节和高风险领域实施重点管理。

第四章 风险管理组织架构第十九条 公司建立组织健全、职责边界清晰的风险管理组织架构体系，形成多层次、相互衔接、有效制衡的运行机制。公司风险管理组织架构包括五个主要部分：董事会及合规与风险管理委员会，监事会，经营管理层及风险控制委员会，风险管理部及各风险管理部门，其他各部门、分支机构及子公司。

第二十条 公司董事会承担公司全面风险管理的最终责任。主要职责为：

（一）推进风险文化建设；

（二）审议批准公司全面风险管理的基本制度；

（三）审议批准公司的风险偏好、风险容忍度以及重大风险限额；

（四）审议公司定期风险评估报告；

（五）任免、考核首席风险官，确定其薪酬待遇；

（六）建立与首席风险官的直接沟通机制；

（七）公司章程规定的其他风险管理职责。

第二十一条 公司董事会设合规与风险管理委员会，主要职责为：

（一）对风险管理的总体目标、基本政策进行审议并提出意见；

（二）对需董事会审议的重大决策的风险和重大风险的解决方案进行评估并提出意见；

（三）对需董事会审议的风险评估报告进行审议并提出意见；

（四）董事会授权或公司章程规定的其他职责。

第二十二条 公司监事会承担全面风险管理的监督责任，负责监督检

查董事会和经营管理层在风险管理方面的履职尽责情况并督促整改。

第二十三条 公司经营管理层根据董事会的授权和批准，结合公司经营目标，具体负责实施风险管理工作。公司经营管理层对全面风险管理承担主要责任。主要职责为：

（一）制定风险管理基本制度，并适时调整；

（二）建立健全公司全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制；

（三）制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案，确保其有效落实；对其进行监督，对突破规定要求的情况及时分析原因，并根据董事会的授权进行处理；

（四）定期评估公司整体风险和各类重要风险管理状况，解决风险管理中存在的问题并向董事会报告；

（五）建立涵盖风险管理有效性的全员绩效考核体系；

（六）建立完备的信息技术系统和数据质量控制机制；

（七）董事会授权的其他风险管理职责。

第二十四条 公司经营管理层下设风险控制委员会，根据经营管理层授权负责经营过程中风险管理事项的决策，并对各业务条线进行风险承担的授权。主要职责为：

（一）对公司业务进行风险授权，明确业务风险底线、管理授权及审批程序、风险报告及处置程序，批准公司总体年度风险额度、各项业务年度风险额度及调整，批准公司经营层面及各业务风险管理政策；

（二）批准公司重大风险事件处置方案；

（三）平衡各业务风险与收益，对业务经营计划提出意见，对重大新业务开展前的风险和收益进行评估和决策；

（四）对公司各部门、分支机构及子公司风险管理工作进行评价和考核；

（五）批准公司资本管理方案及年度配置计划，对资本管理有关事项进行决策；

（六）审议公司定期和临时风险报告，指导风险管理相关部门工作；

（七）经营管理层授权的其他风险管理职责。

第二十五条 公司设首席风险官，负责分管领导全面风险管理工作，首席风险官由首席执行官提名，董事会聘任。首席风险官为公司高级管理人员，不得兼任或者分管与其职责相冲突的职务或部门。公司首席风险官的任职条件应符合监管部门及自律组织的有关规定要求。主要职责为：

（一）具体负责领导公司全面风险管理体系建设工作；

（二）牵头制定公司风险管理工作规划，报上级机构批准；

（三）对风险管理部及其他风险管理部门、其他各部门、分支机构、子公司的风险管理工作提出评价和考核意见；

（四）指导各部门、分支机构、子公司的风险管理工作，为公司业务发展提出风险管理建议；

（五）根据授权，审批各业务条线风险限额的调整；

（六）就公司重大风险事件的处置方案提出意见；

（七）经营管理层授权的其他职责。

第二十六条 公司保障首席风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议，调阅相关文件资料，获取必要信息。公司应当保障首席风险官的独立性。公司股东、董事不得违反规定的程序，直接向首席风险官下达指令或者干涉其工作。公司各部门、分支机构及子公司发现风险隐患时，应当主动、及时地向首席风险官报告。

第二十七条 公司指定风险管理部履行全面风险管理职责。风险管理部对经营管理层和公司整体风险负责，主要职责为：

（一）牵头建立完善公司全面风险管理体系，分解落实全面风险管理的各项要求；

（二）监测、计量、评估、报告公司整体风险水平和风险资本运用，对不同风险类型之间的关联和转化进行整体牵头管理；牵头应对和处置公司层面重大风险事件；

（三）负责牵头管理公司的市场风险、信用风险和操作风险，构建专业风险管理体系，并制定相应的风险管理政策，分解管理和执行责任；

（四）牵头各风险管理部门制定公司层面及各业务风险管理政策，并对其他专业风险的管理进行监督和检查；

（五）负责对新业务和重大风险业务或项目组织进行独立风险审核及评估；

（六）统筹管理公司风险管理培训，促进公司形成良好的风险文化；

（七）协助、指导和检查各部门、分支机构、子公司的风险管理工作；

（八）经营管理层规定的其他职责。

第二十八条 公司指定资金运营部负责牵头管理公司的流动性风险；指定信息技术部负责牵头管理公司的信息技术风险；指定战略发展部负责牵头管理公司的声誉风险。各风险管理部门对各自牵头管理的专业风险负责，包括制定风险管理政策，分解管理和执行责任，进行事前、事中、事后的风险识别、监控、评估、判断、应对、报告的牵头管理，对其他部门进行专业风险培训，接受对专业风险领域的咨询，对不同风险类型之间的关联和转化进行预警等。各风险管理部门应接受与之相关风险的管理及执行责任分解和落实。

第二十九条 公司其他各部门、分支机构及子公司对各自条线的各类风险管理工作负责，负责落实公司及各风险管理部门制定的各项政策、流程和措施，接受各风险管理部门的指导以及对各类风险管理、执行责任的分解。各部门、分支机构及子公司负责人是所辖机构风险管理的第一责任人，应当全面了解并在决策中充分考虑与业务相关的各类风险，承担风险管理的直接责任，执行所负责业务领域事前、事中、事后的风险识别、监控、评估、判断、应对、报告，以及对不同风险类型之间的关联和转化进行及时预警、控制等。

第三十条 稽查部应将全面风险管理纳入审计范畴，对全面风险管理的充分性和有效性进行独立、客观的审查和评价，审计发现问题的，应督促相关责任单位及人员及时整改，并跟踪检查整改措施的落实情况。

稽查部负责牵头或委托外部专业机构定期对公司全面风险管理体系

进行评估，各部门、分支机构及子公司应根据评估结果及时改进风险管理工作。

第三十一条 公司全体员工对风险管理有效性承担勤勉尽责、审慎防范、及时报告的责任，包括但不限于：通过学习、经验积累提高风险意识，谨慎处理工作中涉及的风险因素，发现风险隐患时主动化解并及时按公司规定履行报告义务。

第三十二条 公司应当赋予各风险管理部门充足的资源、独立性、授权，保证其能够及时获得风险管理所需的数据和信息，满足履行风险管理职责的需要。公司为各风险管理部门配备与公司业务规模相适应的、熟悉风险管理和业务的专业风险管理人员，以保障其胜任风险管理工作。风险管理部具备3年以上的证券、金融、会计、信息技术等有关领域工作经历的员工占公司总部员工比例应不低于2%。

第三十三条 公司各业务部门应配备专职风险管理人员，风险管理人员不得兼任与风险管理职责相冲突的职务。主要职责为：协助部门负责人从事业务一线具体风险管理工作，及时识别、评估、应对、报告与本部门相关的各类风险；负责协调和落实各风险管理部门的管理方法和任务分解；负责协调和开展本部门内部控制持续优化及操作风险管理工作等。

第三十四条 各风险管理部门及职能部门应指定人员负责牵头落实操作风险及内控管理工作，根据业务流程复杂性及操作风险状况，运营中心、信息技术部应配备专职的风险管理人员不少于1人。主要职责为：协助部门负责人管理本部门运作过程中存在的风险，强化内部控制，防范由于流程、系统、人员或外部事件导致的操作风险，并系统性进行风险控制自我

评估、损失数据收集、关键风险指标管理以及内部控制持续优化等有关风险管理工作。各风险管理部门应对防范本专业风险过程中涉及的操作风险采取有效的控制措施，并运用操作风险管理工具协助相关单位对因管理各专业风险延伸的操作风险进行管理。

第三十五条 各分公司应配备专职合规风控人员。其风险管理相关职责为：落实一线风险识别和评估，协调和开展本单位内部控制持续优化工作；在统一的操作风险管理方法论框架下，运用操作风险三大工具，加强对操作风险的管理；牵头一线风险事件处置，监督检查所辖营业部的风险管理工作等。

第三十六条 公司为风险管理专业人员提供充足的培训机会，不断提升风险管理人员的专业水平。公司确保风险管理人员薪酬在行业内具有较强的竞争力且满足监管部门及自律组织的有关规定要求。

第三十七条 公司将子公司的风险管理纳入统一体系，各子公司在整体风险偏好和风险管理制度框架下，建立自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系，保障全面风险管理的一致性和有效性。

第三十八条 各子公司应当任命一名高级管理人员负责公司的全面风险管理工作，且不得兼任或者分管与其职责相冲突的职务或者部门。子公司风险管理工作负责人的任命由公司首席风险官提名，子公司董事会聘任，其解聘需征得公司首席风险官同意。

子公司风险管理工作负责人在公司首席风险官指导下开展风险管理

工作，并向公司首席风险官、对口风险管理部门履行风险报告义务。子公司风险管理工作负责人由公司首席风险官考核，考核权重不低于50%。

第三十九条 符合条件的子公司应设立风险管理部门，具体负责按公司授权要求建立完善子公司风险管理体系，监测、评估和报告子公司总体风险情况；协调落实公司对口风险管理部门的管理方法和任务分解，主动配合风险管理部门的各项工作。未设立风险管理部门的子公司应当配备专职风险管理人员不少于2人，并提供相适应的工作条件，风险管理人员不得兼任与风险管理职责相冲突的职务。子公司风险管理人员在公司风险管理部门的专业指导下开展风险管理工作，及时识别、评估、应对、报告与本公司相关的各类风险。风险管理岗位设置应遵循独立性原则。公司风险管理部门参与对子公司风险管理部或风险管理岗的评价和考核，有权对子公司风险管理人员的推荐、任免提出意见。

第四十条 各子公司应建立重大事项报告制度，真实、准确、完整、及时、充分地向公司及有关管理部门报告重大业务事项、重大财务事项以及其他重大风险事项。

第五章 风险偏好、风险容忍度和风险限额

第四十一条 公司坚持稳健经营和持续发展，通过承担一定程度可测、可控、可承受的风险，并进行有效管理，保障和促进公司战略目标的实现。

第四十二条 公司总体风险偏好确定为：

（一）主动有效管理经营中各类风险，实现收益、风险和资本的相匹配；

（二）积极争取并保持证监会分类评级AA级及以上；

（三）具备良好的偿债能力，保持公司在中国境内信用外部评级AAA

级；

（四）保持公司年度持续盈利且净资产收益率（ROE）不低于行业平均水平；

（五）保持公司风险覆盖率、资本杠杆率指标持续满足监管预警要求。

第四十三条 在公司总体风险偏好下，各类风险制定不同的风险偏好和容忍度，风险容忍度是指在正常情况下公司风险承受的底线，即允许或能够承担的最大风险程度。

（一）市场风险偏好为积极进取。公司通过积极主动承担可承受的市场风险，通过投资策略优化及采取各种有效措施，获取风险可控下的最大化收益。公司投资业务坚持“低风险、大规模和稳定收益”的基本原则和“通过对冲控制风险、通过杠杆放大收益、通过创新获取超额收益”的核心理念。

市场风险容忍度为：公司整体市场风险VaR值（日，95%的置信度）不超过净资产（按公司上年度财务报表数据进行调整，下同）的1.5%；年度由于市场风险导致的自营业务损失不超过净资产的2.5%。

（二）信用风险偏好为稳健偏进取。公司坚持在不发生重大信用风险事件原则的基础上，在风险收益补偿合理及信用风险总量可控的情况下，适度承担信用风险。

信用风险容忍度为：公司开展融资类业务、投资类业务、担保交收类经纪业务中，年度由于客户、债券发行人等违约导致的损失不超过业务合计日均规模的1%；公司开展交易类业务中，年度由于交易对手违约导致的损失不超过公司净资产的1%。

（三）流动性风险偏好为稳健安全。公司确保不发生对持续经营造成重大影响的流动性风险，全力保障公司各项业务稳健、安全发展。

流动性风险容忍度为：正常情景下，公司流动性监管指标能够持续符合监管要求，流动性状况足以支付到期债务，履行支付义务，满足各项业务的正常开展；压力情景下，公司流动性状况能够满足流动性需求并持续经营不少于30天。

（四）操作风险、信息技术风险和声誉风险偏好为厌恶。公司应重点严加防控此类风险，不断降低此类风险发生的概率和影响。

操作风险容忍度为：不发生重大操作风险事件；正常情况下，年度操作风险直接损失累计不超过近三年平均营业收入的0.5%。

信息技术风险容忍度为：不发生信息安全特别重大事件和重大事件；积极采取管理措施不断降低其他级别信息安全事件的频率和影响；首要保障重要业务系统支持连续性，核心业务系统恢复能力处于同业领先水平。（信息安全事件定义参照《证券期货业网络安全事件报告与调查处理办法》）

声誉风险容忍度为：积极采取管理措施最大程度降低各类风险事件对公司企业品牌和行业地位的影响；同时不发生重大声誉风险事件。

上述风险容忍度量化指标适用于母公司。子公司可以结合自身实际情况制定，履行决策审批程序后分解落实执行。

第四十四条 公司应结合发展战略、市场情况及风险状况变化，调整完善公司的风险偏好和风险容忍度，每两年对风险偏好及风险容忍度进行一次评估。公司风险偏好和风险容忍度的调整需报董事会审议批准。

第四十五条 公司经营管理层或其授权机构应制定董事会批准的风险偏好、风险容忍度以及重大风险限额等的具体执行方案，确保设定要求的有效落实；对突破设定要求的情况进行监督，及时分析原因，向董事会报告，并根据董事会的授权进行处理。

第四十六条 各业务应根据公司风险偏好及风险容忍度，制定各业务的风险指标体系和限额标准，经各风险管理部门评估，首席风险官审批，报公司经营管理层或其授权的机构及人员批准后执行。公司业务风险指标体系和限额标准的制定应综合考虑业务发展计划、可承受的风险程度、对资本指标影响等因素。

第四十七条 公司各业务经营中应通过各项措施保证业务不超过批准的风险限额，并履行一线风险限额监控、预警和处理职责，公司各风险管理部门履行对业务风险限额遵守和使用情况的二级监控，并向经营管理层或其授权的机构及人员报告。

第四十八条 公司各业务经营中如遇市场情况发生重大变化或业务计划调整，需要突破风险限额的，须事前向经营管理层或其授权的机构及人员重新申请限额授权并获得批准。

第六章 风险管理机制和程序

第四十九条 公司针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程，并通过评估、稽核、检查等手段保证风险管理制度的贯彻落实。

第五十条 公司建立健全授权管理体系，确保公司所有部门、分支机构及子公司在被授予的权限范围内开展工作，严禁越权从事经营活动。公司通过制度、流程、系统等方式，对授权进行管理和控制，确保业务经营

活动受到制衡和监督。

第五十一条 公司建立新业务风险管理制度和流程，各部门、分支机构、子公司开展新业务须履行内部审批程序，提供详细的新业务方案。各相关部门、子公司应对新业务基本模式，面临的主要风险及应对措施、运营支持等进行充分论证。风险管理部会同各风险管理部门对新业务进行专项风险评估，出具风险评估报告。

第五十二条 公司建立流动性危机、交易系统事故等重大风险和突发事件的应急机制，明确应急触发条件、风险处置的组织体系、措施、方法和程序，并通过压力测试、应急演练等机制进行持续改进。

第五十三条 公司各部门、分支机构、子公司应根据各业务特点、业务进展状况、管理实际、市场变化情况，定期或不定期对各自业务和管理过程中的风险因素、风险来源进行识别、统计和分析，并根据风险的影响程度和发生可能性等建立评估标准，采取定性与定量相结合的方法，对识别的风险进行分析计量并进行等级评价或量化排序，确定重点关注和优先控制的风险。

第五十四条 公司各风险管理部门应从专业风险管控角度，识别评估各专业风险具体情况，重点关注其他专业风险与其关联性，防范风险向其传导。风险管理部汇总公司层面的风险总量，审慎评估公司面临的总体风险水平。

第五十五条 公司建立风险监控制度和逐日盯市等机制，准确计算、动态监控关键风险指标情况，判断和预测各类风险指标的变化，及时预警超越各类、各级风险限额的情形，明确异常情况的报告路径和处理办法。

公司实行分级监控制度，各业务部门、分支机构、子公司对各自业务风险指标情况进行实时监控，预警和处理，各风险管理部门重点对公司总体风险指标情况进行实时监控、预警和处理，并对业务风险指标监控情况进行监督检查。

第五十六条 公司建立压力测试机制和有关政策，及时根据业务发展情况和市场变化情况，对公司流动性风险、信用风险、市场风险等各类风险进行压力测试。

第五十七条 公司各部门、子公司在开展业务中，应根据业务风险评估结果，选择与公司风险偏好和风险容忍度相适应的风险应对策略，建立合理、有效的资产减值、风险对冲、规模调整等应对机制。风险管理部根据公司总体风险评估结果，针对风险的具体情况，牵头向公司经营管理层提出采取资本补充、资产负债管理等应对措施的建议。

第五十八条 公司建立风险信息报告制度，在分支机构、子公司、各部门、经营管理层及其授权机构、董事会之间建立畅通的风险信息沟通机制，确保相关信息传递与反馈的及时、准确、完整。

第五十九条 公司各部门、子公司在日常经营中，应定期向风险管理部、各风险管理部门及首席风险官报告业务及经营风险情况；在遇到临时突发性风险事件时，应第一时间向公司风险管理部、相关风险管理部门、首席风险官和经营管理层报告。

公司各部门、分支机构、子公司在遇到合规风险、法律风险事件时，也应按照操作风险事件损失数据收集流程报送风险管理部，并及时向首席风险官报告。

第六十条 公司各风险管理部门发现风险指标超限额的，应当与业务

部门、分支机构、子公司及时沟通，了解情况和原因，督促业务部门、分支机构、子公司采取措施在规定时间内予以有效解决，并及时向首席风险官报告。

第六十一条 公司风险管理部应及时向经营管理层、首席风险官报送风险管理日报、月报、年报等定期报告，反映风险识别、评估结果和应对方案。对重大风险应提供专项评估报告，确保经营管理层及其授权机构、首席风险官及时、充分了解公司风险状况。

第六十二条 公司经营管理层每年向董事会报告公司总体风险状况，重大风险情况应及时向董事会报告。公司年度风险管理报告需经董事会审议通过。

第七章 风险管理系统和数据

第六十三条 公司风险管理系统建设应与公司业务发展实际情况及风险指标体系相适应，覆盖各风险类型、业务条线、各部门、分支机构及子公司，并能对风险进行计量、汇总、预警和监控，并实现同一业务、同一客户相关风险信息的集中管理，以符合公司整体风险管理的需要。

第六十四条 公司应高度重视风险管理系统的预算投入，每年制定风险管理信息系统专项预算。

第六十五条 公司风险管理系统应具备风险信息的搜集、识别、评估、计量、风险指标的监控及限额管理、风险展示和报告等主要功能，能够支持公司风险管理和风险决策的需要。

第六十六条 公司应当建立健全数据治理和质量控制机制。积累真实、准确、完整的内部和外部数据，用于风险识别、评估、监测和报告。

公司应将数据治理纳入公司整体信息技术建设战略规划，制定数据标

准，涵盖数据源管理、数据库建设、数据质量监测等环节。

第六十七条 公司建立金融工具估值的方法、模型和流程，建立业务部门、子公司与风险管理部、计划财务部的协调机制，确保金融工具估值的科学性。公司金融工具的估值方法及风险计量模型应当经风险管理部确认。

第六十八条 公司在使用各类量化模型进行计量和评估风险时，应当充分认识到所选方法或模型的局限性，并采用有效手段进行补充。风险管理部定期对估值与风险计量模型的有效性进行检验和评价，确保相关假设、参数、数据来源和计量程序的合理性与可靠性，并根据检验结果进行调整和改进。

第八章 风险管理考核

第六十九条 为保障公司全面风险管理的有效性，公司建立与风险管理效果挂钩的绩效考核及责任追究机制，逐渐将风险管理的有效性纳入全员的绩效考核范围。

第七十条 公司风险管理考核结果将按照一定的比例或合适的方式计入各部门、分支机构、子公司组织及员工的年度绩效考核。对于违反风险管理授权的责任机构、直接责任人、相关管理人员及相关人员，应视情节轻重对其处以通报批评、岗位调整、解除劳动合同等处罚。

第七十一条 公司风险管理考核具体方案由人力资源部、风险管理部及有关部门共同制定，经首席风险官审批，报公司经营管理层及授权机构批准后实施。

第九章 附 则

第七十二条 本制度经公司董事会审议通过后生效，解释权归公司董事会。

第七十三条 本制度支持文件有：《证券公司监督管理条例》《证券公司内部控制指引》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》。

第七十四条 本制度自印发之日起施行。