方正证券:全面风险管理制度
方正证券股份有限公司全面风险管理制度
(2017年3月16日公司第三届董事会第五次会议制定,2018年4月27日公司第三届董事会第十五次会议第一次修订,2020年8月28日公司第四届董事会第七次会议第二次修订,
2023年8月24日公司第五届董事会第二次会议第三次修订)
第一章 总 则第一条 为促进公司规范经营,有效防范与化解风险,保障公司持续、稳定、健康发展,根据《证券公司监督管理条例》《证券公司内部控制指引》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》等法律法规及自律规则,制定本制度。第二条 本制度适用于公司各部门、分支机构、子公司以及比照子公司管理的各类孙公司(以下简称“子公司”)开展的各项业务经营和管理活动。第三条 本制度所称全面风险管理,是指公司董事会、经营管理层以及全体员工共同参与,对公司经营中的流动性风险、市场风险、信用风险、操作风险、声誉风险、洗钱风险、信息技术风险、运营风险等各类风险,进行准确识别、审慎评估、动态监控、及时应对及全程管理。第四条 公司全面风险管理的目标是通过建立健全与公司自身发展战略相适应的全面风险管理体系,以保证公司各类风险可测、可控和可承受,保障公司稳健经营。全面风险管理体系包括可操作的管理制度、健全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制以及良好的风险管理文化。公司定期评估全面风险管理体系,并根据评估结果及时改进风险管理工作。第五条 公司风险管理应遵循一致性、匹配性、全面性、定性与定量相结合、独立性五项原则。
(一)一致性原则:在建立全面风险管理体系时,应确保风险管理目标与战
略发展目标相一致。
(二)匹配性原则:在全面风险管理过程中,应确保公司资本水平与所承担的风险相匹配,所承担的风险与收益相匹配。
(三)全面性原则:全面风险管理应渗透至公司各类业务、分支机构、各相关部门、岗位和人员,贯穿决策、执行和监督等各环节,对各类风险以及不同风险间的相互作用进行全面识别、分析、监控与管理。
(四)定性与定量相结合原则:根据自身业务性质、规模和复杂程度开发相适应的风险量化技术,推广应用先进成熟的风险管理经验,实现定性与定量管理的有机结合。
(五)独立性原则:建立独立的全面风险管理组织架构,赋予风险管理条线足够的授权、人力资源以及其他资源配置,建立科学合理的报告渠道,与业务条线间形成相互制衡的运作机制。
第六条 公司制定并持续完善风险管理制度,并针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程。公司通过评估、稽核、检查和绩效考核等手段保证风险管理制度的贯彻落实。
第七条 公司建立健全授权管理体系,确保公司所有部门、分支机构及子公司在被授予的权限范围内开展工作,严禁越权从事经营活动。公司通过制度、流程、系统等方式,进行有效管理和控制,并确保业务经营活动受到制衡和监督。
第二章 全面风险管理的组织架构
第八条 公司风险管理组织架构由董事会及其下设的风险控制委员会、经营管理层及风险管理委员会、风险管理职能部门、各业务部门(包括分支机构及子公司)四个层级构成。
各业务部门(包括分支机构及子公司)、风险管理职能部门、稽核监察部构成公司风险管理三道防线,建立多层次、相互衔接、有效制衡的运行机制,持续监控管理各类风险。
第九条 公司董事会承担全面风险管理最终责任,履行以下风险管理职责:
(一)推进风险文化建设;
(二)审议批准公司全面风险管理基本制度;
(三)审议批准公司风险偏好、风险容忍度以及重大风险限额;
(四)审议公司定期风险评估报告;
(五)任免、考核首席风险官,确定其薪酬待遇;
(六)建立与首席风险官直接沟通机制;
(七)公司章程规定的其他风险管理职责。
董事会可授权董事会风险控制委员会履行其全面风险管理的部分职责。第十条 公司董事会风险控制委员会履行以下风险管理职责:
(一)负责对公司风险管理的总体目标、基本政策进行审议并提出意见;
(二)监督和评价风险管理部门的设置、组织方式、工作程序和效果,并提出改善意见;
(三)提出完善公司风险管理和内部控制制度的意见;
(四)对需董事会审议的重大决策的风险和重大风险的解决方案进行评估并提出意见;
(五)对需董事会审议的合规报告和风险评估报告进行审议并提出意见;
(六)监督风险准备金的计提和使用等。
第十一条 公司监事会承担全面风险管理的监督责任,负责监督检查董事会和经营管理层在风险管理方面的履职尽责情况并督促整改。
第十二条 公司执行委员会履行以下风险管理职责:
(一)制定风险管理制度,并适时调整;
(二)建立健全公司全面风险管理的经营管理架构,明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工,建立部门之间有效制衡、相互协调的运行机制;
(三)制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案,确保其有效落实;对执行方案的落实情况进行监督,及时分析原因,并根据董事会的授权进行处理;
(四)定期评估公司整体风险和各类重要风险管理状况,解决风险管理中存在的问题并向董事会报告;
(五)建立涵盖风险管理有效性的全员绩效考核体系;
(六)建立完备的信息技术系统和数据质量控制机制;
(七)风险管理的其他职责。
执行委员会主任对公司全面风险管理的有效性承担主要责任,执行委员会委员及分管高管应当对所分管的工作实施有效的风险管理,未尽责的应承担相应责任。
第十三条 风险管理委员会推动公司全面风险管理各项工作,协助经理层建立规范的全面风险管理架构和体系,推进风险管理各项工作有序运行。
风险管理委员会评估重大风险事项,跟进重大风险管理决策的落实,审议公司风险报告、重大决策风险评估报告、重大风险事项和解决方案,推动公司风险管理制度和文化建设,不断增强全员风险防范意识。
第十四条 公司首席风险官由董事会聘任, 首席风险官负责组织落实公司全面风险管理的具体工作。首席风险官不得兼任或者分管与其职责相冲突的职务或者部门。
公司对首席风险官履职提供充分保障,保障首席风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议,调阅相关文件资料,获取必要信息。公司应当保障首席风险官的独立性。公司股东、董事不得违反规定的程序,直接向首席风险官下达指令或者干涉其工作。
第十五条 公司各风险管理职能部门在其职责分工及专业特长范围内协同对相关风险实施管理,保障公司风险管理政策的一致性和有效性。
(一)风险管理部在首席风险官的领导下负责推动落实公司信用风险、市场风险、流动性风险、操作风险管理工作,监测、评估、报告公司整体风险水平;为业务决策提供风险管理建议;协助、指导和检查各部门、分支机构及子公司的风险管理工作。
(二)合规部负责公司合规风险和法律风险的识别、评估、监控、应对和报告,以及督促、指导总部各部门、分支机构及子公司开展反洗钱工作,防范洗钱风险。
(三)资金运营中心是公司流动性风险的日常管理部门,负责对公司流动性风险实施有效识别、计量、监测和报告,组织或参与公司流动性风险应对预案的拟订、演练和评估,跟踪应对预案的实施情况。
(四)董事会办公室是公司声誉风险的归口管理部门,负责建立、健全公司声誉风险管理体系,对声誉风险进行识别、评估、监控和报告,指导、协调、监督公司相关部门及分支机构落实公司声誉风险管理的制度和决策,应对声誉风险事
件。
(五)信息技术管理部是公司信息技术风险的日常管理部门,负责建立、健全公司信息技术风险管理体系。信息技术中心牵头总部各部门及分支机构对信息技术风险进行有效识别、评估、监控、应对和报告。
(六)运营中心是公司运营风险的日常管理部门,负责建立、健全公司运营风险管理体系和与各部门的对接机制。建立与各部门主要运营风险相关的运营指标管理体系,持续监控并优化。协调各部门落实各项运营风险管理措施,包括规则制定、风险监控、流程优化、系统对接等。
第十六条 公司总部其他职能部门在其职责范围内履行相应的风险管理职能。
第十七条 公司各业务部门、分支机构及子公司负责人应全面了解并在决策中充分考虑与业务相关的各类风险,及时识别、评估、应对与报告其相关业务的各类风险,针对主要风险点和风险性质,制订业务制度和流程。
各业务部门、分支机构及子公司负责人承担风险管理有效性的直接责任。
第十八条 稽核监察部将全面风险管理情况纳入内部审计范畴,对全面风险管理的充分性和有效性进行独立、客观的审查和评估。稽核监察部根据公司制度规定对各部门、分支机构、子公司的风险管理情况进行审计,审计发现问题的,应督促相关责任人及时整改,跟踪检查整改措施的落实情况,并向董事会、监事会、经营管理层提交稽核工作报告。
第十九条 公司全体员工对风险管理的有效性承担勤勉尽责、审慎防范、及时报告的责任。包括但不限于:通过学习、经验积累提高风险意识;在执业过程中自觉执行公司各项风险管理制度和流程;谨慎处理工作中涉及的风险因素;主动发现潜在或暴露的风险并向本部门或分支机构负责人报告,必要时可直接向公司首席风险官报告。
第二十条 公司配备充足的专业人员从事风险管理工作,并提供相应的工作支持和保障。风险管理人员应当熟悉证券业务并具备相应的风险管理技能。 公司风险管理部具备3年以上的证券、金融、会计、信息技术等有关领域工作经历的人员占公司总部员工比例应不低于2%。公司可在此基础以上结合自身实际情况制定相应标准。风险管理部人员工作称职的,其薪酬收入总额应当不低
于公司总部业务及业务管理部门同职级人员的平均水平。 公司承担管理职能的业务部门配备专职风险管理人员,风险管理人员不得兼任与风险管理职责相冲突的职务。
第二十一条 公司将子公司的风险管理纳入统一体系,对其风险管理工作实行垂直管理,要求并确保子公司在整体风险偏好和风险管理制度框架下,建立自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系,保障全面风险管理的一致性和有效性。 子公司任命一名高级管理人员负责公司的全面风险管理工作,子公司负责全面风险管理工作的负责人不得兼任或者分管与其职责相冲突的职务或者部门。 子公司风险管理工作负责人的任命由公司首席风险官提名,子公司董事会聘任,其解聘应征得公司首席风险官同意。 子公司风险管理工作负责人在首席风险官指导下开展风险管理工作,并向首席风险官履行风险报告义务。
子公司风险管理工作负责人由公司首席风险官考核,考核权重不低于50%。
法律法规对证券公司子公司风险管理工作负责人及风险管理工作另有规定的,应符合其规定。
第三章 风险管理系统建设和数据治理
第二十二条 公司建立与业务复杂程度和风险指标体系相适应的风险管理系统或相关功能模块,覆盖各风险类型、业务条线、各个部门、分支机构及子公司,对风险进行识别、计量、监控、预警和报告,并实现同一业务、同一客户相关风险信息的集中管理,以符合公司整体风险管理的需要。公司每年制定风险管理信息技术系统专项预算。
第二十三条 公司风险管理系统具备以下主要功能,支持风险管理和风险决策的需要:
(一)支持风险信息的搜集,完成识别、计量、评估、监测和报告,覆盖所有类别的主要风险;
(二)支持风险控制指标监控、预警和报告;
(三)支持风险限额管理,实现监测、预警和报告;
(四)支持按照风险类型、业务条线、机构、客户和交易对手等多维度风险展示和报告;
(五)支持压力测试工作,评估各种不利情景下公司风险承受能力。
风险管理系统应当功能完备、权限清晰,能够与业务系统同步上线运行。
第二十四条 公司建立健全数据治理和数据全生命周期管理机制,将数据治理纳入公司整体信息技术建设战略规划,建立健全数据标准管理、数据质量管理、数据安全管理、元数据管理等机制,确保数据统一管理、持续可控和安全存储, 不断提升数据使用价值。 公司应积累真实、准确、完整的内部和外部数据,用于风险识别、计量、评估、监测和报告。
第四章 风险识别与评估
第二十五条 公司各部门、分支机构及子公司应当全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息,识别公司面临的风险及其来源、特征、形成条件和潜在影响,并将识别的风险点按业务、部门和风险类型进行分类和整理。
第二十六条 公司根据风险的影响程度和发生可能性等建立评估标准,采取定性与定量相结合的方法,对识别的风险进行分析计量并进行等级评价或量化排序,确定重点关注和优先控制的风险。
公司应当关注风险的关联性,汇总公司层面的风险总量,审慎评估公司面临的总体风险水平。
第二十七条 公司规范金融工具估值的方法、模型和流程,建立业务部门、分支机构、子公司与风险管理部、财务管理部的协调机制,确保风险计量基础的科学性。金融工具的估值方法及风险计量模型需经风险管理部确认。
公司选择风险价值、信用敞口、压力测试等方法或模型来计量和评估市场风险、信用风险等可量化的风险类型,充分认识到所选方法或模型的局限性,并采用有效手段进行补充。
风险管理部定期对估值与风险计量模型的有效性进行检验和评价,确保相关假设、参数、数据来源和计量程序的合理性与可靠性,并根据检验结果进行调整和改进。第二十八条 对于难以通过计量进行评估和预警的风险,公司通过建立制度、标准化业务流程和信息系统等方式对相关风险进行有效识别和管理。第二十九条 公司建立健全压力测试机制, 及时根据业务发展和市场变化情况开展压力测试,压力测试涵盖公司面临的主要风险,包括市场风险、信用风险、操作风险、流动性风险等风险类型。第三十条 公司建立针对新业务、新产品、业务新模式的风险管理制度和流程,明确需满足的条件和公司内部审批路径。新业务需经相关部门评估并出具风险审查报告。公司应充分了解新业务模式,并评估公司是否有相应的人员、系统及资本开展该项业务。董事会、经理层、相关业务部门、分支机构、子公司和风险管理部门应当充分了解新业务的运作模式、估值模型及风险管理的基本假设、各主要风险以及压力情景下的潜在损失。
第五章 风险监控及应对
第三十一条 公司建立以净资本和流动性为核心的风险控制指标体系,持续、动态监控净资本和流动性风险控制指标变化,保证公司业务发展与资本充足水平相匹配,确保公司净资本和流动性风险控制指标符合监管要求。
第三十二条 公司制定包括风险容忍度和风险限额等的风险指标体系,并通过压力测试等方法计量风险、评估承受能力、指导资源配置。风险指标应当经公司董事会、执行委员会或其授权机构审批并逐级分解至各部门、分支机构和子公司,公司对分解后指标的执行情况进行监控和管理。
第三十三条 公司通过建立逐日盯市等机制,准确计算、动态监控关键风险指标情况,判断和预测各类风险指标的变化,及时预警超越各类、各级风险限额的情形。
第三十四条 公司各部门、分支机构及子公司在业务活动与职能管理过程中,对其相关业务或管理所涉及的风险进行日常监测、评估,出现异常情况时,应及时向合规部、风险管理部等部门报告。第三十五条 风险管理部、资金运营中心等部门利用风险监控系统或相应手段对公司确定的风险指标进行监测, 发现风险指标超限额等异常情形的,应当与业务部门、分支机构及子公司及时沟通,了解情况和原因,督促业务部门、分支机构及子公司采取措施并在规定时间内予以有效解决,并及时向相关公司领导、首席风险官报告。
第三十六条 公司根据风险评估和监控预警的结果,权衡风险与收益,选择与公司风险偏好相适应的风险回避、降低、转移和承受等风险应对策略,建立合理、有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对机制。
第三十七条 公司针对流动性危机、交易系统事故等重大风险和突发事件建立风险应急机制,明确应急触发条件、风险处置的组织体系、措施、方法和程序,并通过压力测试、应急演练等机制进行持续改进。
第六章 风险报告与处置
第三十八条 风险管理部根据各部门或分支机构、各业务的风险汇总情况并结合监控分析结果情况,形成风险报表或报告,经首席风险官审核后,向经营管理层提交风险管理日报、月报、年报等定期报告,反映风险识别、评估结果和应对方案。
第三十九条 合规部、风险管理部、资金运营中心、稽核监察部、董事会办公室、信息技术管理部、运营中心等部门应针对重大风险隐患、重大风险事件提供专项评估报告,对应对措施、处置过程和结果进行分析评估,提出改进建议,并督促整改。
第四十条 公司执行委员会每年向董事会报告公司风险状况。当公司出现风控指标突破董事会确定的风险限额或监管标准、流动性风险以及其他重大风险情况时,公司执行委员会应当及时报告董事会。
第四十一条 稽核监察部每年组织对公司风险管理体系的有效性进行评估,公司各部门、分支机构及子公司应根据评估结果及时改进风险管理工作。
第七章 风险管理文化建设
第四十二条 公司通过内部刊物、办公网站等方式大力培育和塑造良好的风险管理文化,树立正确的风险管理理念,增强员工风险管理意识。
第四十三条 公司员工及经营管理层应认真遵守公司各项规章制度,牢固树立风险管理的责任意识,深入贯彻公司“风险管理人人有责”、“风险可测、可控、可承受”的风险管理理念。
第四十四条 公司将员工风险意识和风险管理培训纳入公司培训体系,通过多种渠道和途径宣传风险管理理念,加强员工风险管理意识,通过各种风险管理案例持续对员工进行培训。
第八章 风险管理考核
第四十五条 公司建立风险管理的考核机制,设定合理的考核范围、内容、标准和方法,对各考核单位在流动性风险、市场风险、信用风险、操作风险、声誉风险、洗钱风险、信息技术风险、运营风险等风险管理工作中的履职情况进行考核,将风险管理考核纳入经营管理综合考核之中,考核结果与员工奖惩激励挂钩。其中,关于洗钱风险管理的考核,由公司合规部纳入合规性专项考核范畴,其考核权重、考核方式等按照公司合规性专项考核相关制度执行。
第四十六条 公司建立风险管理责任追究机制,对违规行为、造成风险损失的责任人进行问责或处罚。
第九章 附 则
第四十七条 本制度由董事会负责解释和修订。
第四十八条 本制度自董事会审议通过之日起实施。