国元证券(000728)_公司公告_国元证券：全面风险管理制度_公司公告

国元证券：全面风险管理制度（下载公告）
公告日期:2025-07-02
国元证券股份有限公司全面风险管理制度（经2025年6月30日第十届董事会第二十六次会议审议通过）第一章总则第一条为促进公司规范经营，加强公司全面风险管理，提升风险管理能力，增强核心竞争力，保障公司各项业务持续、稳定、健康发展，依据《中华人民共和国证券法》《证券公司监督管理条例》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》等法律法规、监管规定，结合公司实际情况，特制定本制度。第二条本制度所称全面风险管理，是指公司董事会、经理层以及全体员工共同参与，对公司经营中的流动性风险、市场风险、信用风险、操作风险、声誉风险、洗钱风险、结算风险等各类风险，进行准确识别、审慎评估、动态监控、及时报告、妥善应对及全程管理。第三条公司全面风险管理的目标是：建立健全全面风险管理体系，确保承受的风险与总体发展战略目标相适应。促进公司业务经营持续健康发展，确保公司各项业务在可承受的风险范围内有序运作；保障公司资产和客户受托资产的安全完整；公司经营中整体风险可测、可控、可承受，最终实现公司的经营战略和发展目标。第四条公司全面风险管理工作遵循以下原则：（一）全覆盖原则。公司全面风险管理应当覆盖各类业务与管理活动；覆盖所有子公司和分支机构；覆盖所有的部门、岗位和人员；覆盖所有风险类型和不同风险之间的相互影响；覆盖决策、执行、监督、反馈等全部管理流程。（二）前瞻性原则。公司应当坚持预防第一的风险管理理念，加强对风险的早识别、早预警、早暴露、早处置，建立健全覆盖境内外、场内外、线上线下全部业务的全景式、穿透式的管理体系，及时识别并有效管控风险业务，提升风险管理的前瞻性。（三）全局性原则。公司应当关注业务风险外溢及系统性风险的产生及传导，强化跨区域、跨市场、跨境风险识别监测应对，防范风险跨区域、跨市场、跨境传递共振。（四）有效性原则。公司应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，加强对各类风险的发生原因、影响程度、发展变化分析和预测，及时作出应对，有效管控所承担的总体风险和各类风险。（五）匹配性原则。公司全面风险管理体系应当与发展战略、发展阶段、业务特点、风险状况、经营管理情况等相适应，并根据内外部环境变化适时优化调整。第五条公司将风险管理文化建设作为公司发展战略的组成部分，积极培育中国特色金融文化，践行合规、诚信、专业、稳健的证券行业核心价值观，推行稳健经营的风险文化，坚持稳中求进，保持资本稳健、流动性充足、业务发展跟管理能力互相匹配。公司构建与自身相适应的风险管理理念、价值准则、职业操守，建立培训、宣导和监督机制并纳入考核，在相关政策和制度文件中明确规定风险管理文化的建设要求和内容，包括适度拉长考核周期、薪酬延期发放、员工持股计划、建立风险损失和员工考核与晋升挂钩机制等，在各层面营造风险管理文化的氛围。第二章风险管理组织架构第六条公司风险管理组织架构由四个层次构成，分别为：公司董事会及下设的风险管理委员会；经营管理层及下设的风控与合规委员会等非常设机构；包括风险管理部门（风险监管部、内核办公室）、合规部门、内部审计部门、信息科技管理部门（信息技术部、金融科技部）、资金管理部门、董事会办公室、运营总部等在内的履行风险管理相关职能的部门；各业务部门、分支机构、子公司及内设的风险管理岗位。第七条公司董事会是风险管理的最高决策机构，承担全面风险管理的最终责任，履行以下职责：（一）树立与本公司相适应的风险管理理念，全面推进公司风险文化建设；（二）审议批准公司风险管理战略，并推动其在公司经营管理中有效实施；（三）审议批准公司全面风险管理的基本制度；（四）审议批准公司的风险偏好、风险容忍度以及重大风险限额；（五）审议公司定期风险评估报告；（六）任免、考核首席风险官，确定其薪酬待遇；（七）建立与首席风险官的直接沟通机制；（八）公司章程规定的其他风险管理职责。董事会设立风险管理委员会，按照公司章程和董事会《风险管理委员会工作细则》的规定履行职责和义务。风险管理委员会对董事会负责，向董事会报告。第八条公司董事会下设审计委员会（以下简称“审计委员会”）承担全面风险管理的监督责任，负责监督检查董事会和经理层在风险管理方面的履职尽责情况并督促整改，对发生重大风险事件负有主要责任或者领导责任的董事、高级管理人员提出罢免的建议。其中重大风险事件是指对公司经营造成重大损失或重大不利影响等的风险事件。第九条公司经营管理层对全面风险管理承担主要责任，履行以下职责：（一）率先垂范，积极践行中国特色金融文化、行业文化及公司风险文化，恪守公司价值准则和职业操守；（二）制定践行公司风险文化、风险管理理念的相关制度，引导全体员工遵循良好的行为准则和职业操守：（三）拟定风险管理战略，制定风险管理制度，并适时调整；（四）建立健全公司全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制；（五）制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案，确保其有效落实；对其执行情况进行监督，及时分析原因，并根据董事会的授权进行处理；（六）定期评估公司整体风险和各类重要风险管理状况，解决风险管理中存在的问题并向董事会报告；（七）建立体现风险管理有效性的全员绩效考核体系；（八）建立完备的信息技术系统和数据质量控制机制；（九）根据法律法规的要求和董事会授权的其他风险管理职责。公司设立业务委员会、专业委员会、业务审核小组等非常设机构，根据公司授权履行在各自的业务管理、决策范围内的风险管控职责和义务。第十条公司任命一名符合法规要求任职条件的高级管理人员担任首席风险官，负责组织落实公司全面风险管理的具体工作，指导建立风险文化培训、宣导计划，组织拟订风险管理制度、风险偏好等重要风险管理政策，参与公司战略规划和年度经营计划、重大业务、重大风险事件的研究或决策，组织识别、评估、监测、报告公司总体风险及各类风险情况，组织开展公司风险管理相关考核评价。首席风险官不得兼任或者分管与其职责相冲突的职务或者部门。公司对首席风险官履职提供充分保障，保障首席风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议，调阅相关文件资料，获取必要信息。公司保障首席风险官的独立性。公司股东、董事不得违反规定的程序，直接向首席风险官下达指令或者干涉其工作。公司各部门、分支机构及其工作人员发现风险隐患时，应当主动、及时地向首席风险官报告，首席风险官根据风险隐患重要程度不同，逐级向公司经营管理层、审计委员会、董事会和外部监管机构报告。首席风险官年度考核称职的，其薪酬收入总额不低于公司高级管理人员薪酬收入总额的平均水平。第十一条公司在全面风险管理体系框架下，明确各类型风险管理工作的主责部门和职责分工，建立对具体风险类型的管理机制与流程，对各类型风险进行归口管理。主管相关风险类型、相关业务领域的高级管理人员应当负责各自分管范畴的风险管理，并为首席风险官统筹全面风险管理工作提供支持。首席风险官在其他高级管理人员的支持下，牵头进行整体规划、协调、整合，将不同风险类型、不同部门与不同业务的风险管理纳入公司全面风险管理体系并持续优化完善。第十二条公司各部门、分支机构、子公司的负责人承担本单位风险管理有效性的直接责任。主要职责包括：（一）在日常工作中宣导并督促员工积极践行公司风险文化、风险管理理念，遵循价值准则和职业操守；（二）组织落实公司风险管理制度和流程措施、风险偏好、风险限额和风控标准；（三）组织制定并实施本单位业务与管理活动相关风险管理制度、关键业务环节的操作流程；（四）全面了解并在决策中充分考虑与业务、管理活动相关的各类风险，从源头识别、分析、评估和监测本单位的各类风险，并在授权范围内进行风险应对；（五）按照公司风险信息报告机制、流程，组织本单位相关风险管理信息的传递和报送；发生重大风险事项的，应及时向风险管理部门、分管领导、首席风险官、公司经理层报告。各业务管理部门和分支机构负责人为风险控制的第一责任人，各分管高管承担相应的领导责任。各部门、分支机构指定相应的团队或人员组织本单位切实履行一线风控职能，就本单位日常风险管理工作与风险管理部门保持密切沟通。第十三条各业务部门设立风险管理岗位（可由部门合规管理岗位人员兼任，另行指定除外），承担管理职能的业务部门配备专职风险管理人员，在首席风险官与内部监督检查部门的指导下，负责公司各项业务管理和风险管理制度的落实，监督执行各项业务操作流程，与风险管理职能部门建立直接、有效的沟通，对业务操作过程中发现的内部控制缺陷及风险点及时反馈，提出整改或完善的意见或建议，有效识别和管理本单位业务经营中面临的各种风险，履行一线风险控制职能。风险管理人员不得兼任与风险管理职责相冲突的职务。公司风险监管部牵头，每年对业务部门配备的专职风险管理人员在落实公司风险管理政策、制度、管理要求、风险信息报告报送等方面进行评价或提出考核建议。第十四条公司相关风险管理职能部门在首席风险官的领导下推动全面风险管理工作。公司设立风险监管部、内核办公室、合规法务部与稽核审计部等内部监督检查部门，独立履行风险管理职能，对董事会负责，并同时向公司首席风险官、经营管理层和审计委员会报告公司风险管理的情况。风险监管部负责倡导全员风险意识，进行公司全面风险管理体系和策略的研究，牵头履行全面风险管理职责；负责公司及子公司市场风险、信用风险、操作风险、声誉风险等风险管理工作；督导业务部门在业务运行、业务创新中建立与完善各项内部控制制度和风险管理流程；按照公司有关规定与子公司进行风险监管对接。风险监管部牵头各风险管理职能部门履行以下风险管理职责：推动构建并不断完善公司全面风险管理体系；建立公司风险文化培训、宣导及相应的监督考核机制，制定并实施覆盖公司全体员工的风险文化培训、宣导计划；组织拟订风险偏好、风险容忍度和风险限额等，为公司提供决策依据，并监控、监督其执行情况；组织识别公司各项业务与管理环节的风险，参与新业务的风险控制机制设计及方案审核评估；组织开展风险评估，定性描述或定量计量公司风险水平；逐步提升对业务风险调整后收益水平的评估能力，为公司资源配置提供支持；建立通畅的风险信息沟通与传递机制，进行风险报告，为业务决策提供风险管理建议；对各部门、分支机构及子公司进行风险管理考核；组织开发建设风险计量模型，根据公司相关制度要求对金融工具估值模型进行验证评估；推进建设风险管理信息技术系统。内核办公室通过列席投行类项目立项会、参与投行类项目现场检查、风险事件应急处理小组及组织投行类项目内核会议等方式，介入主要业务环节、把控关键风险节点，实施风险监测和评估，开展风险排查和风险提示等，履行对投行类业务风险管理的职责，其中投资银行类业务（含投行、债券、新三板、资产证券化等）存续期项目风险由内核办公室负责，市场风险、操作风险等由内核办公室协助风险监管部进行管控。内核办公室就投行类业务中的风险事项与合规事项向首席风险官、合规总监报告，配合风险监管部履行相关风险管理职责。合规法务部负责协助经营管理层管理公司各项业务法律风险和合规风险，对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查，履行合规管理各项工作职责；牵头开展洗钱风险管理工作，推动落实各项反洗钱工作；办理公司诉讼仲裁案件、逾期风险资产清收及其他法律事务。稽核审计部负责对公司及所属机构的法规和制度执行情况、经营管理活动和效益情况进行检查；对财务收支的真实性、合法性、合理性进行审查；对合规管理、内部控制及风险管理情况进行审计评价；对审计发现问题督促整改落实并提出处理意见等。资金计划部在财务会计部和风险监管部等部门协助下负责公司及子公司流动性风险管理工作。首席信息官负责信息技术管理工作，组织对公司信息技术的风险进行评估及控制。信息科技管理部门（信息技术部、金融科技部）牵头进行公司网络信息安全管理工作，加强日常风险监测及应急演练，各部门负责所在部门信息系统使用安全及数据维护等工作，风险监管部对公司信息安全管理工作进行日常监督，稽核审计部或其聘请的外部专业机构定期或不定期对公司信息科技风险管理工作进行评估。董事会办公室是公司信息披露、投资者关系、对外沟通等事务的管理部门，负责声誉风险中舆情监测、预警，提出舆情应对方案的建议。运营总部是公司证券交易账户体系、集中结算体系、集中登记托管体系的建设和管理部门，负责公司结算风险管理工作。财务会计部、人力资源部和股权管理部等其他业务支持与管理部门，在各自职责范围内履行相应的风险管理职能。第十五条履行风险管理相关职能的部门应在各自工作职责范围内监测公司业务与管理活动中的风险，揭示公司整体及各类风险状况和水平，组织实施风险预警工作；指导和检查各部门、分支机构及子公司的风险管理工作；积极配合风险监管部履行相关风险管理职责。第十六条公司应当配备充足的专业人员从事风险管理工作，并提供相应的工作支持和保障。公司所有承担风险管理职责的人员应当熟悉证券业务并具备相应的风险管理技能。公司加强风险管理人才队伍建设，加大风险管理资源投入。风险管理部门具备3年以上的证券、金融、会计、信息技术等有关领域工作经历的人员占公司总部员工比例应不低于2%。风险管理部门人员工作称职的，其薪酬收入总额应当不低于公司总部业务部门同职级人员的平均水平。第十七条公司推行全员风险管理，培养和增强员工的风险意识，坚持风险与收益匹配原则，每一名员工都是风险管理者，对风险管理有效性承担勤勉尽责、审慎防范、及时报告的责任。包括但不限于：结合岗位职责，在日常工作中积极践行公司风险文化、遵循行为准则和职业操守，通过学习、经验积累提高风险意识；谨慎处理工作中涉及的风险因素；发现风险隐患时主动应对并及时履行报告义务；自觉执行公司各项风险管理制度和流程。第十八条公司将全面风险管理纳入内部审计范畴，内部审计部门应定期对全面风险管理的充分性和有效性进行独立、客观的审查和评价，对公司风险文化建设和推进成果进行评估，频率不低于每三年一次。内部审计发现问题的，审计部门应督促相关责任部门及责任人及时整改，并跟踪检查整改措施的落实情况。第三章风险偏好及指标体系第十九条公司根据自身的整体发展战略，确定风险偏好，各风险管理职能部门与业务部门共同制定包括风险容忍度和风险限额等风险控制指标体系，突出功能性要求和稳慎原则，以净资本等各项风险控制指标持续合规稳健为前提，并通过压力测试等方法计量风险、评估承受能力、指导资源配置。第二十条公司制定风险偏好，明确对风险的基本态度和风险管理的基本策略。公司制定风险偏好时应考虑监管要求、发展目标和资源能力等因素。其中，监管要求包括风险控制指标要求、合规与内部控制要求等；发展目标包括公司战略目标、信用评级目标、分类评价目标、收益要求、较低收入波动要求等；资源能力包括资本实力、融资能力、管理能力等。第二十一条公司以制定的风险偏好为指导，制定包括风险容忍度和风险限额等的风险指标体系，并考虑以下因素：（一）风险指标体系与公司财务预算、资产负债配置计划、各业务线业务计划的制订协调推进，确保公司承担的风险与收益相匹配，与公司经营计划相适应；（二）风险指标与业务规模、业务性质和复杂程度、人员的专业水平和管理经验、风险计量能力等相适应：（三）风险指标定性与定量相结合，覆盖主要风险类型，并便于分解、汇总、日常监测与计量。第二十二条公司的风险偏好和风险指标经相应的授权机构分级审批后，分解至各业务部门、分支机构及子公司，各部门、分支机构和子公司机构应当按照经批准的指标开展经营活动和风险管控。第二十三条公司建立各层级风险指标管理程序，规范风险指标设定、调整、预警与超限报告、跟踪处置的制度流程。第二十四条公司每年对风险偏好和风险指标体系进行整体评估，根据执行情况及内外部因素变化进行持续优化完善。第四章风险管理制度和流程第二十五条根据监管要求并适应经营发展需求，公司制定并持续完善各项业务风险管理制度，针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程，并通过评估、审计、检查和绩效考核等手段保证风险管理制度的贯彻落实，并结合实际情况及时更新、调整、改进相关制度机制。第二十六条公司建立组织健全、职责清晰、有效制衡、激励约束合理的授权管理体系，通过制度、流程、系统、考核评价等方式，进行有效管理和控制，并确保业务经营活动受到制衡和监督。公司各部门、分支机构及子公司均应在被授予的权限范围内开展工作，严禁越权从事经营活动。各部门在每年度的内控自我评价时应对自身及所属关键业务岗位的授权执行情况进行检查。第二十七条公司通过全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息，识别公司面临的风险及其来源、特征、形成条件、驱动因素和潜在影响，按业务、部门和风险类型等进行分类，并关注各类风险的交互影响和转化，定期梳理、总结风险识别结果及驱动因素，及时更新相关管理流程、应急机制等，定期或不定期更新各流程内控风险矩阵，修订完善公司相关制度和流程。第二十八条公司根据风险的影响程度和发生可能性等建立风险等级评估标准和机制，各部门应采取定性与定量相结合的方法，对识别的风险进行分析计量并进行等级评价或量化排序，确定重点关注和优先控制的风险。风险管理部门应充分关注风险的关联性，对公司层面的风险进行总量汇总，审慎评估公司面临的总体风险水平。第二十九条公司建立并完善压力测试机制，明确压力测试的职责分工、触发机制、方法流程、情景设计、保障支持、报告路径以及压力测试结果运用，及时根据业务发展情况和市场变化情况，对公司各类风险进行压力测试。第三十条公司财务部门、风险监管部和相关业务部门负责建立金融工具估值的方法、模型和计量流程，建立业务部门、分支机构、子公司与风险管理部门、财务部门的协调机制，确保风险计量基础的科学性、计量结果的合理性。金融工具的估值模型及风险计量模型如果存在分歧，以风险管理部门确认的数值为准。第三十一条公司可通过风险价值、信用敞口、敏感性分析、压力测试等方法或模型来计量和评估市场风险、信用风险、流动性风险等风险类型，逐步构建、应用计量结果更准确、风险敏感度和可比性更高的内部计量方法或模型，方法或模型充分考虑敏感性、前瞻性与审慎性；审慎评估所选方法或模型的局限性，并采用有效手段进行补充。风险管理部门应会同相关部门定期或不定期对金融工具估值模型与风险计量模型的有效性进行检验和评价，必要时根据相关制度和流程进行调整和改进。第三十二条公司业务和风险管理部门建立逐日盯市等机制，准确计算、动态监控关键风险指标情况，分析、判断和预测各类风险指标的变化，及时预警超越各类、各级风险限额的情形，并明确不同级别的异常情况的报告路径和处理办法。第三十三条公司根据风险评估和预警结果，选择与公司风险偏好相适应的风险回避、降低、转移和承受等应对策略，建立合理、有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对机制，并应合理判断和预测风险的发展变化，适时调整应对措施。公司各风险应对的主责机构应事前规范各风险应对策略的审批机制和操作流程，确保风险应对及时，应对措施合理、适当，风险处置化解有效。第三十四条公司针对流动性危机、交易系统事故等重大风险和突发事件建立风险应急机制。各相关部门应根据各自开展业务的规模、性质、复杂程度、风险水平及组织架构，针对流动性危机、非预期的市场大幅波动、信息系统事故、重大声誉事件、重大操作风险事件等重大风险、突发事件和紧急情况建立风险应急机制，制订并完善应急处置方案。第三十五条各部门制订应急处置机制或流程时需明确应急触发条件。风险处置的组织体系、措施、方法和程序，并通过压力测试、应急演练等机制进行持续改进，确保对重大风险、突发事件管控的及时性和有效性。应急处置方案应包括但不限于以下内容：（一）充分、合理设定应急处置的触发条件或情景；（二）明确风险处置的组织体系、各参与人员或岗位的权限及职责，建立有针对性的应急措施、方法和操作程序；（三）应急处置期间的信息沟通途径和报告程序；（四）应急处置的演练、压力测试和持续改进机制；（五）出现意外突发事项的原因分析要求与责任追究机制。第三十六条公司在董事会、经营管理层、首席风险官、风险管理部门、各部门、分支机构及子公司之间建立畅通的风险信息沟通机制，确保相关信息传递与反馈的及时、准确、完整。第三十七条公司建立内部风险报告机制，使公司及时掌握各业务、分支机构及子公司经营中的风险情况，并采取措施促进公司各经营管理部门、各分支机构和子公司安全稳健地持续经营。公司的内部风险报告包括定期的风险报告与临时的风险报告两类：各部门、分支机构和子公司应当定期对各自内部风险管理有效性的情况进行评估和检查，并向分管领导与合规风控部门提交定期报告；发生风险管理重大事项的，各部门、分支机构和子公司的所有员工应当及时、完整和准确地向合规风控部门、相关业务支持部门和管理部门提交临时报告。第三十八条风险管理职能部门、相关业务支持部门和管理部门在得到风险报告后应互相沟通，对报告所涉及的风险和危害程度进行评估，并按照各自职责采取相应控制措施化解风险、寻找漏洞、加强控制。第三十九条风险管理职能部门建立有效的风险报告机制，向首席风险官和公司经营管理层提交公司风险管理日报、月报、年报等定期报告，反映风险识别、评估结果和应对方案，对重大风险应提供专项评估报告，确保经营管理层及时、充分了解公司风险状况。经营管理层应当向董事会定期报告公司风险状况，重大风险情况应及时报告。第四十条风险管理职能部门发现业务运作存在风险隐患或风险指标超限额等异常情形时，立即向公司领导报告并与业务部门、分支机构、子公司及时沟通，了解情况和原因，督促相关责任部门在规定时间内采取措施予以有效应对，并按照报告路径及时报告。第四十一条公司对各部门、分支机构、子公司的风险管理绩效定期进行评价，评价结果纳入绩效考核体系，评价维度包括风险管理过程及效果。风险管理评分作为公司对各业务绩效评估（KPI）的评分指标之一，原则上合规风控指标权重不低于10%。具体考评办法由公司另行制定。第四十二条公司各部门、分支机构、子公司的风险管理评价由首席风险官、合规总监会同内部监督检查部门负责组织完成，财务、资金、运营、信息技术及相关管理部门予以配合；对首席风险官和内部监督检查部门的绩效评价按公司相关绩效考核办法组织完成。对风险管理部门和人员的考核机制应体现独立性，不得采取业务部门评价、以业务部门的经营业绩作为风险管理部门和人员评价依据等影响考核独立性的方式。第四十三条公司投资管理、信息系统运维、清算交收等关键业务环节须建立操作日志，系统运行日志，操作留痕等措施，从技术上全面落实风险管理相关制度，实现责任事故的可追溯性，做到责任明确，有据可查。第四十四条合规法务部定期或不定期对各部门制度及执业行为合规性及执行情况进行检查；风险监管部根据公司各阶段风险控制的不同重点，对重点风险业务进行专项检查，督促相关制度的执行及风险控制措施的落实；内核办公室对投行和债券业务项目进行检查；稽核审计部负责根据监管要求和公司管理需要对公司各部门、各分支机构进行内控审计、离任审计或全面审计。第四十五条各经营管理部门及职能部门应负责对各自职责范围内的业务及工作进行检查、评估，督促各项规章制度的执行及各项风险控制措施的落实。各经营管理部门及分支机构的合规风控岗位人员每月向合规风控部门全面报告本单位的风险管理情况。第五章子公司风险管理第四十六条公司依法依规通过公司治理程序将子公司（被公司控制）纳入全面风险管理体系，对其风险管理工作实行垂直管理并逐步加强一体化管控，从公司治理、风险偏好与风险指标管理、新业务管理、重大事项管理、风险报告、考核评价等方面强化对子公司的风险管理，子公司应在公司整体风险偏好和风险管理制度框架下，建立健全自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系，保障全面风险管理的一致性和有效性。公司根据具体子公司所属行业监管要求和行业（业务）特点，以穿透管理与授权管理相结合的方式，推进落实子公司风险管理要求。公司将业务和风险对公司的财务状况和风险水平构成重大影响的参股企业按照防控风险的原则建立相应的风险管理机制，通过对参股企业行使股东权利、对其重大事项发表风险管理意见或建议、定期获取其风险管理报告及财务报告、及时关注其公开信息等方式，有效管控参股企业的相关风险。参股企业对公司的重大影响原则上至少应当包括对公司的主要财务指标、主要风险指标的影响达到或超过公司相应指标10%的情形。第四十七条公司各层级子公司原则上应当按照前述纳入全面风险管理体系的范围，分别将其下一层级子公司或其管理的投资机构纳入全面风险管理体系，对其风险管理工作实行垂直管理并逐步加强一体化管控。公司可以按照重要性原则、风险实质等情况，跨级对子公司进行垂直一体化管控。第四十八条各子公司应当任命一名高级管理人员负责子公司的全面风险管理工作；其任命和考核按照子公司合规风控负责人相关管理制度执行。子公司全面风险管理工作的负责人不得兼任或者分管与其职责相冲突的职务或者部门。第四十九条公司各子公司设立专门部门履行风险管理职责，在子公司风险管理负责人的领导下推动子公司的全面风险管理工作。公司通过授权或穿透管理的方式参与对子公司风险管理人员的选拔聘用、岗位职责设定、考核评价等环节，加强对子公司风险管理人员的管理。第五十条公司将子公司纳入整体风险偏好及风险指标体系，在子公司推行基本一致的风险偏好，将子公司各项业务纳入公司整体风险指标体系。第五十一条子公司在公司整体风险管理制度框架体系下制定并持续完善子公司层面的风险管理制度体系。第五十二条公司对子公司的重要风险管理制度、重大新业务、重大资产负债配置方案、重大投资交易或授信、重大风险应对策略等进行审批或出具专业意见。“重要”、“重大”等的具体标准另行制定。第五十三条公司将子公司的各类风险计量模型、金融产品及金融工具的估值模型纳入统一管理，组织对子公司的模型进行验证评估或要求子公司使用公司统一的计量模型等方式，有效控制子公司的模型管理风险。子公司开展资产管理业务、场外衍生品业务等，相关监管机构或自律管理组织对其估值模型有明确规定的，从其规定。第五十四条公司将子公司风险纳入统一监控和报告，逐步通过风险管理信息系统每日获取子公司场内交易业务、标准化投资业务的风险数据，逐月获取子公司场内交易业务、标准化投资业务以外的其他业务风险数据，将子公司风险纳入公司层面进行统一监测和报告。第五十五条公司建立健全子公司风险信息沟通与报告机制，明确子公司向母公司报送定期或不定期风险报告的类型、报送频率、报告内容等具体要求。子公司发生重大资产损失、资产负债结构显著变化、超越重要风险限额、应急事件、重大声誉风险事件、重大操作风险事件等重大风险事项的应在发生之日起一个工作日内向公司进行报告。第五十六条公司将子公司纳入公司年度风险管理绩效考核及责任追究体系，对子公司风险控制过程以及控制效果进行风险管理考核评价；督导子公司建立与风险管理挂钩的绩效考核及责任追究机制，由子公司风险管理负责人组织对子公司各部门进行风险管理考核评价。第五十七条公司制定清晰的境外业务发展战略，综合考虑自身财务状况、内部控制和风险管理水平、对境外子公司的管理和控制能力等因素，合理确定开展境外业务的业务类别、业务模式和业务规模等，将境外子公司纳入全面风险管理体系，确保境外子公司的业务发展与资本规模、展业能力及风险管理水平相适应，并通过以下方式强化对境外子公司的风险管理：（一）母公司指导境外子公司建立清晰的风险管理组织架构，明确母公司具有风险管理职能的部门及人员与境外子公司风险管理部门及人员之间的授权分工，加强对境外子公司风险管理人员的日常工作管理，完善母公司与境外子公司之间风险信息的沟通和报告机制，建立对境外子公司风险管理有效性、风险应对能力等方面的专项检查机制，检查频率不低于每年一次；（二）母公司通过强化重点岗位人员和关键环节管理、开展培训教育、发布廉洁合规提醒等方式，加强境外廉洁合规经营管理；（三）重点关注境外监管制度及市场规则差异、境外市场波动特征、业务复杂程度、跨境资金流动管理要求等境外风险因素。第六章专项领域的风险管理第五十八条开展创新业务的部门、分支机构和子公司应当充分了解新业务、新产品的运作模式、估值模型，识别各类潜在风险，关注信息技术、舆情负面评价、ESG（环境、社会和治理）等风险因素，评估公司是否有相应的人员、系统及资本开展该项业务，从业务可行性、风险识别充分性、控制措施完备性、配置资源充足性等方面进行充分准备、制定业务方案。各业务部门、分支机构和子公司制订的重大投资计划和创新业务方案应包含自身对于计划、方案的风险判断和采取的风险管理措施，并经相关风险管理职能部门进行风险评估。风险管理职能部门对计划方案中可能存在的风险进行审查和识别，对其产生结果的影响程度进行评估，对计划方案中相应的风险管理措施是否充分有效等进行分析，并出具风险评估报告。新业务、新产品的设计人员，参与评估、审核、决策的相关人员都应当充分了解新业务新产品的运作模式、主要风险点及控制措施，以及估值模型及风险管理的基本假设、压力情景下的潜在损失等。第五十九条公司在开展新业务、新产品时，将其纳入公司全面风险管理体系及风险识别、评估、监测、报告、应对等管理流程，并及时上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能。建立创新业务及产品的风险评估体系，确保新业务、新产品的组织结构、业务模式、风险状况经过充分论证，符合公司的风险管理政策，并通过制定相关风险限额和控制流程，履行相应的授权和审批程序，配备相应的人员、系统、资本及实施培训等措施，确保新业务、新产品的风险可测、可控、可承受。公司上线新的业务管理和清算等信息系统，应经过事先模拟测试、演练、验收后方可正式上线。严禁交易、清算等系统未经测试、验收即正式上线使用。第六十条公司建立健全同一业务风险管理机制，建立同一业务的风险管理制度和流程，明确同一业务的定义、分类标准、职责分工以及相应的风险管理要求，并覆盖公司各业务部门和各级子公司。第六十一条公司根据同一业务的定义和分类标准对公司及各级子公司的各项业务进行分类，建立并完善与业务复杂程度和风险指标体系相适应的同一业务风险管理信息技术系统或相关系统功能，对同一业务逐步实行基本一致的风险控制措施，对风险信息汇总管理并实施同一业务层面的风险监测、分析和预警。第六十二条公司建立健全同一客户风险管理机制，明确同一客户的定义、认定标准、业务覆盖范围以及各组织机构的职责分工，建立同一客户风险管理相关风险限额、制度及流程，并覆盖公司各业务部门、分支机构及各级子公司。第六十三条公司根据同一客户认定标准和业务覆盖范围组织实施同一客户的认定，逐步建立并完善同一客户风险管理信息技术系统或相关系统功能，对同一客户信用风险、集中度风险进行管控，对同一客户风险信息汇总管理并逐步应用于尽调、评级、授信、监测等环节。第六十四条公司构建和完善针对资产管理业务、场外衍生品业务等表外业务、场外业务的风险管理机制，主要包括：（一）充分识别表外业务、场外业务风险的复杂性、隐蔽性，严格落实客户准入及适当性管理要求；（二）规范产品设计、指标管控、监测预警、应急处置、信息披露与报送、估值管理等；（三）加强对场外衍生品业务底层资产、资金流向、杠杆水平的穿透式风险管理，关注并防范业务风险外溢和风险传染；（四）建立与业务发展相配套的业务及风险管理信息系统和功能。第七章风险管理信息技术系统和数据第六十五条公司建立并逐步完善数据治理和质量控制机制，将风险数据治理纳入公司级数据治理范围，并明确风险数据治理职责分工，公司各部门、分支机构及子公司对数据质量控制机制进行落实。公司信息技术部和金融科技部将数据治理纳入整体信息技术建设规划，建立数据治理组织架构、数据全生命周期管理和质量控制机制，构建数据架构、制定数据标准、建立数据质量监测及问题处理流程，控制监管报送数据质量，重视数据安全，建立事前控制、事中监控、事后考核评价的数据质量管理体系，为风险识别、计量、评估、监测和报告提供支撑。第六十六条公司建立与自身发展阶段、业务特点、规模、业务复杂程度和风险指标体系相适应的风险管控系统，逐步实现覆盖各风险类型、业务条线、各个部门、分支机构及子公司，对风险进行计量、汇总、预警和监控，以符合公司整体风险管理的需要。公司每年应制定风险管控信息系统专项预算，积极推动风险管理数字化转型，通过引入新技术提升风险数据的质量、风险监测的时效性和风险预警的及时性，逐步推进人工智能在风控领域的应用以提高风控智能化水平。对于风险管控信息系统不能监控的领域，通过业务部门及时报备、不定期的检查、评估，将各项业务风险纳入监控范围，消除各项风险隐患、不留下风险盲区。公司风险管控信息系统具备以下主要功能，支持风险管理和风险决策的需要。（一）支持风险信息的搜集，以及风险计量、评估、监测和报告，覆盖所有类别的主要风险；（二）支持净资本等风险控制指标监控、预警和报告；（三）支持风险限额管理，实现监测、预警和报告；（四）支持对子公司主要风险指标的计算与监控；（五）支持按照风险类型、业务条线、机构、客户和交易对手等多维度风险展示和报告，支持同一业务、同一客户风险信息汇总及风险指标监测和报告；（六）为压力测试工作提供必要的信息技术支持。公司采取有效手段，提升公司相关系统的互通关联功能，避免形成信息孤岛，增强系统对风险的穿透识别及多角度分析能力，提升风险管理效能。第八章风险管理的问责第六十七条公司对发生重大风险事件的部门及个人进行问责，对主动报告、积极处置并有效避免、减轻或挽回损失的部门和个人，可从轻处理。公司对业务部门、各管理部门在风险管理方面的失职行为进行问责。业务部门、归口管理部门未执行公司制度流程或发现风险、隐患或漏洞没有及时报告并制订规避措施或收到风险通知书后未及时整改的，公司对业务部门和归口管理部门及相关责任人进行问责，分管领导承担相应的领导责任。风险管理职能部门未按照制度要求履行相应职责或发现风险事项未进行风险揭示的，公司对风险管理职能部门及相关责任人进行问责，分管领导承担相应的领导责任。具体问责方式按照公司奖惩制度、合规问责制度等制度执行。第六十八条公司所有部门和人员应积极配合首席风险官和风险管理职能部门对公司风险管控情况的检查和评价，不得以任何形式干预、阻挠，不得隐瞒真实情况，弄虚作假。对于不配合风险管理工作、拒绝提供资料、提供虚假资料、拒不执行风险控制措施的，公司将责令其改正，并对负有直接责任的主管人员和其他责任人员，依照公司有关规定视情节轻重，分别给予经济处罚、通报批评、警告、记过直至撤职、开除等处理；构成犯罪的，移交司法机关追究刑事责任。第九章附则第六十九条本制度中所涉及公司部门名称或设置发生变化的，由承接其职责的部门承担相应工作职责。第七十条本制度属基本管理制度，制度修订和解释权归公司董事会，自董事会通过之日起生效并施行，原《国元证券股份有限公司全面风险管理制度》（国证董办字〔2024〕590号）同时废止。
附件： ↘公告原文阅读

国元证券股份有限公司全面风险管理制度

（经2025年6月30日第十届董事会第二十六次会议审议通过）

第一章总则第一条为促进公司规范经营，加强公司全面风险管理，提升风险管理能力，增强核心竞争力，保障公司各项业务持续、稳定、健康发展，依据《中华人民共和国证券法》《证券公司监督管理条例》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》等法律法规、监管规定，结合公司实际情况，特制定本制度。

第二条本制度所称全面风险管理，是指公司董事会、经理层以及全体员工共同参与，对公司经营中的流动性风险、市场风险、信用风险、操作风险、声誉风险、洗钱风险、结算风险等各类风险，进行准确识别、审慎评估、动态监控、及时报告、妥善应对及全程管理。

第三条公司全面风险管理的目标是：建立健全全面风险管理体系，确保承受的风险与总体发展战略目标相适应。促进公司业务经营持续健康发展，确保公司各项业务在可承受的风险范围内有序运作；保障公司资产和客户受托资产的安全完整；公司经营中整体风险可测、可控、可承受，最终实现公司的经营战略和发展目标。

第四条公司全面风险管理工作遵循以下原则：

（一）全覆盖原则。公司全面风险管理应当覆盖各类业务与管理活动；覆盖所有子公司和分支机构；覆盖所有的部门、岗位和人员；覆盖所有风险类型和不同风险之间的相互影响；覆盖决策、执行、监督、反馈等全部管理流程。

（二）前瞻性原则。公司应当坚持预防第一的风险管理理念，加强对风险的早识别、早预警、早暴露、早处置，建立健全覆盖境内外、场内外、线上线下全部业务的全景式、穿透式的管理体系，及时识别并有效管控风险业务，提升风险管理的前瞻性。

（三）全局性原则。公司应当关注业务风险外溢及系统性风险的产生及传导，强化跨区域、跨市场、跨境风险识别监测应对，防范风险跨区域、跨市场、跨境传递共振。

（四）有效性原则。公司应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，加强对各类风险的发生原因、影响程度、发展变化分析和预测，及时作出应对，有效管控所承担的总体风险和各类风险。

（五）匹配性原则。公司全面风险管理体系应当与发展战略、发展阶段、业务特点、风险状况、经营管理情况等相适应，并根据内外部环境变化适时优化调整。

第五条公司将风险管理文化建设作为公司发展战略的组成部分，积极培育中国特色金融文化，践行合规、诚信、专业、稳健的证券行业核心价值观，推行稳健经营的风险文化，坚持稳中求进，保持资本稳健、流动性充足、业务发展跟管理能力互相匹配。公司构建与自身相适应的风险管理理念、价值准则、职业操守，建立培训、宣导和监督机制并纳入考核，在相关政策和制度文件中明确规定风险管理文化的建设要求和内容，包括适度拉长考核周期、薪酬延期发放、员工持股计划、建立风险损失和员工考核与晋升挂钩机制等，在各层面营造风险管理文化的氛围。

第二章风险管理组织架构

第六条公司风险管理组织架构由四个层次构成，分别为：公司董事会及下设的风险管理委员会；经营管理层及下设的风控与合规委员会等非常设机构；包括风险管理部门（风险监管部、内核办公室）、合规部门、内部审计部门、信息科技管理部门（信息技术部、金融科技部）、资金管理部门、董事会办公室、运营总部等在内的履行风险管理相关职能的部门；各业务部门、分支机构、子公司及内设的风险管理岗位。

第七条公司董事会是风险管理的最高决策机构，承担全面风险管理的最终责任，履行以下职责：

（一）树立与本公司相适应的风险管理理念，全面推进公司风险文化建设；

（二）审议批准公司风险管理战略，并推动其在公司经营管理中有效实施；

（三）审议批准公司全面风险管理的基本制度；

（四）审议批准公司的风险偏好、风险容忍度以及重大风险限额；

（五）审议公司定期风险评估报告；

（六）任免、考核首席风险官，确定其薪酬待遇；

（七）建立与首席风险官的直接沟通机制；

（八）公司章程规定的其他风险管理职责。董事会设立风险管理委员会，按照公司章程和董事会《风险管理委员会工作细则》的规定履行职责和义务。风险管理委员会对董事会负责，向董事会报告。

第八条公司董事会下设审计委员会（以下简称“审计委员会”）承担全面风险管理的监督责任，负责监督检查董事会和经理层在风险管理方面的履职尽责情况并督促整改，对发生重大风险事件负有主要责任或者领导责任的董事、高级管理人员提出罢免的建议。其中重大风险事件是指对公司经营造成重大损失或重大不利影响等的风险事件。

第九条公司经营管理层对全面风险管理承担主要责任，履行以下职责：

（一）率先垂范，积极践行中国特色金融文化、行业文化及公司风险文化，恪守公司价值准则和职业操守；

（二）制定践行公司风险文化、风险管理理念的相关制度，引导全体员工遵循良好的行为准则和职业操守：

（三）拟定风险管理战略，制定风险管理制度，并适时调整；

（四）建立健全公司全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制；

（五）制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案，确保其有效落实；对其执行情况进行监督，及时分析原因，并根据董事会的授权进行处理；

（六）定期评估公司整体风险和各类重要风险管理状况，解决风险管理中存在的问题并向董事会报告；

（七）建立体现风险管理有效性的全员绩效考核体系；

（八）建立完备的信息技术系统和数据质量控制机制；

（九）根据法律法规的要求和董事会授权的其他风险管理职责。

公司设立业务委员会、专业委员会、业务审核小组等非常设机构，根据公司授权履行在各自的业务管理、决策范围内的风险管控职责和义务。

第十条公司任命一名符合法规要求任职条件的高级管理人员担任首席风险官，负责组织落实公司全面风险管理的具体工作，指导建立风险文化培训、宣导计划，组织拟订风险管理制度、风险偏好等重要风险管理政策，参与公司战略规划和年度经营计划、重大业务、重大风险事件的研究或决策，组织识别、评估、监测、报告公司总体风险及各类风险情况，组织开展公司风险管理相关考核评价。首席风险官不得兼任或者分管与其职责相冲突的职务或者部门。

公司对首席风险官履职提供充分保障，保障首席风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议，调阅相关文件资料，获取必要信息。

公司保障首席风险官的独立性。公司股东、董事不得违反规定的程序，直接向首席风险官下达指令或者干涉其工作。

公司各部门、分支机构及其工作人员发现风险隐患时，应当主动、及时地向首席风险官报告，首席风险官根据风险隐患重要程度不同，逐级向公司经营管理层、审计委员会、董事会和外部监管机构报告。

首席风险官年度考核称职的，其薪酬收入总额不低于公司高级管理人员薪酬收入总额的平均水平。

第十一条公司在全面风险管理体系框架下，明确各类型风险管理工作的主责部门和职责分工，建立对具体风险类型的管理机制与流程，对各类型风险进行归口管理。主管相关风险类型、相关业务领域的高级管理人员应当负责各自分管范畴的风险管理，并为首席风险官统筹全面风险管理工作提供支持。

首席风险官在其他高级管理人员的支持下，牵头进行整体规划、协调、整合，将不同风险类型、不同部门与不同业务的风险管理纳入公司全面风险管理体系并持续优化完善。

第十二条公司各部门、分支机构、子公司的负责人承担本单位风险管理有效性的直接责任。主要职责包括：

（一）在日常工作中宣导并督促员工积极践行公司风险文化、风险管理理念，遵循价值准则和职业操守；

（二）组织落实公司风险管理制度和流程措施、风险偏好、风险限额和风控标准；

（三）组织制定并实施本单位业务与管理活动相关风险管理制度、关键业务环节的操作流程；

（四）全面了解并在决策中充分考虑与业务、管理活动相关的各类风险，从源头识别、分析、评估和监测本单位的各类风险，并在授权范围内进行风险应对；

（五）按照公司风险信息报告机制、流程，组织本单位相关风险管理信息的传递和报送；发生重大风险事项的，应及时向风险管理部门、分管领导、首席风险官、公司经理层报告。

各业务管理部门和分支机构负责人为风险控制的第一责任人，各分管高管承担相应的领导责任。各部门、分支机构指定相应的团队或人员组织本单位切实履行一线风控职能，就本单位日常风险管理工作与风险管理部门保持密切沟通。

第十三条各业务部门设立风险管理岗位（可由部门合规管理岗位人员兼任，另行指定除外），承担管理职能的业务部门配备专职风险管理人员，在首席风险官与内部监督检查部门的指导下，负责公司各项业务管理和风险管理制度的落实，监督执行各项业务操作流程，与风险管理职能部门建立直接、有效的沟通，对业务操作过程中发现的内部控制缺陷及风险点及时反馈，提出整改或完善的意见或建议，有效识别和管理本单位业务经营中面临的各种风险，履行一线风险控制职能。风险管理人员不得兼任与风险管理职责相冲突的职务。公司风险监管部牵头，每年对业

务部门配备的专职风险管理人员在落实公司风险管理政策、制度、管理要求、风险信息报告报送等方面进行评价或提出考核建议。

第十四条公司相关风险管理职能部门在首席风险官的领导下推动全面风险管理工作。

公司设立风险监管部、内核办公室、合规法务部与稽核审计部等内部监督检查部门，独立履行风险管理职能，对董事会负责，并同时向公司首席风险官、经营管理层和审计委员会报告公司风险管理的情况。

风险监管部负责倡导全员风险意识，进行公司全面风险管理体系和策略的研究，牵头履行全面风险管理职责；负责公司及子公司市场风险、信用风险、操作风险、声誉风险等风险管理工作；督导业务部门在业务运行、业务创新中建立与完善各项内部控制制度和风险管理流程；按照公司有关规定与子公司进行风险监管对接。风险监管部牵头各风险管理职能部门履行以下风险管理职责：推动构建并不断完善公司全面风险管理体系；建立公司风险文化培训、宣导及相应的监督考核机制，制定并实施覆盖公司全体员工的风险文化培训、宣导计划；组织拟订风险偏好、风险容忍度和风险限额等，为公司提供决策依据，并监控、监督其执行情况；组织识别公司各项业务与管理环节的风险，参与新业务的风险控制机制设计及方案审核评估；组织开展风险评估，定性描述或定量计量公司风险水平；逐步提升对业务风险调整后收益水平的评估能力，为公司资源配置提供支持；建立通畅的风险信息沟通与传递机制，进行风险报告，为业务决策提供风险管理建议；对各部门、分支机构及子公司进行风险管理考核；组织开发建设风险计量模型，根据公司相关制度要求对金融工具估值模型进行验证评估；推进建设风险管理信息技术系统。

内核办公室通过列席投行类项目立项会、参与投行类项目现场检查、风险事件应急处理小组及组织投行类项目内核会议等方式，介入主要业务环节、把控关键风险节点，实施风险监测和评估，开展风险排查和风险提示等，履行对投行类业务风险管理的职责，其中投资银行类业务（含投行、债券、新三板、资产证券化等）存续期项目风险由内核办公室负责，市场风险、操作风险等由内核办公室协助风险监管部进行管控。内核办公室就投行类业务中的风险事项与合规事项向首席风险官、

合规总监报告，配合风险监管部履行相关风险管理职责。

合规法务部负责协助经营管理层管理公司各项业务法律风险和合规风险，对公司及其工作人员的经营管理和执业行为的合规性进行审查、监督和检查，履行合规管理各项工作职责；牵头开展洗钱风险管理工作，推动落实各项反洗钱工作；办理公司诉讼仲裁案件、逾期风险资产清收及其他法律事务。

稽核审计部负责对公司及所属机构的法规和制度执行情况、经营管理活动和效益情况进行检查；对财务收支的真实性、合法性、合理性进行审查；对合规管理、内部控制及风险管理情况进行审计评价；对审计发现问题督促整改落实并提出处理意见等。

资金计划部在财务会计部和风险监管部等部门协助下负责公司及子公司流动性风险管理工作。

首席信息官负责信息技术管理工作，组织对公司信息技术的风险进行评估及控制。信息科技管理部门（信息技术部、金融科技部）牵头进行公司网络信息安全管理工作，加强日常风险监测及应急演练，各部门负责所在部门信息系统使用安全及数据维护等工作，风险监管部对公司信息安全管理工作进行日常监督，稽核审计部或其聘请的外部专业机构定期或不定期对公司信息科技风险管理工作进行评估。

董事会办公室是公司信息披露、投资者关系、对外沟通等事务的管理部门，负责声誉风险中舆情监测、预警，提出舆情应对方案的建议。

运营总部是公司证券交易账户体系、集中结算体系、集中登记托管体系的建设和管理部门，负责公司结算风险管理工作。

财务会计部、人力资源部和股权管理部等其他业务支持与管理部门，在各自职责范围内履行相应的风险管理职能。

第十五条履行风险管理相关职能的部门应在各自工作职责范围内监测公司业务与管理活动中的风险，揭示公司整体及各类风险状况和水平，组织实施风险预警工作；指导和检查各部门、分支机构及子公司的风险管理工作；积极配合风险监管部履行相关风险管理职责。

第十六条公司应当配备充足的专业人员从事风险管理工作，并提供相应的工作支持和保障。公司所有承担风险管理职责的人员应当熟悉证券业务并具备相应的风险管理技能。公司加强风险管理人才队伍建设，加大风险管理资源投入。风险管理部门具备3年以上的证券、金融、会计、信息技术等有关领域工作经历的人员占公司总部员工比例应不低于2%。

风险管理部门人员工作称职的，其薪酬收入总额应当不低于公司总部业务部门同职级人员的平均水平。

第十七条公司推行全员风险管理，培养和增强员工的风险意识，坚持风险与收益匹配原则，每一名员工都是风险管理者，对风险管理有效性承担勤勉尽责、审慎防范、及时报告的责任。包括但不限于：结合岗位职责，在日常工作中积极践行公司风险文化、遵循行为准则和职业操守，通过学习、经验积累提高风险意识；谨慎处理工作中涉及的风险因素；发现风险隐患时主动应对并及时履行报告义务；自觉执行公司各项风险管理制度和流程。

第十八条公司将全面风险管理纳入内部审计范畴，内部审计部门应定期对全面风险管理的充分性和有效性进行独立、客观的审查和评价，对公司风险文化建设和推进成果进行评估，频率不低于每三年一次。内部审计发现问题的，审计部门应督促相关责任部门及责任人及时整改，并跟踪检查整改措施的落实情况。

第三章风险偏好及指标体系

第十九条公司根据自身的整体发展战略，确定风险偏好，各风险管理职能部门与业务部门共同制定包括风险容忍度和风险限额等风险控制指标体系，突出功能性要求和稳慎原则，以净资本等各项风险控制指标持续合规稳健为前提，并通过压力测试等方法计量风险、评估承受能力、指导资源配置。

第二十条公司制定风险偏好，明确对风险的基本态度和风险管理的基本策略。公司制定风险偏好时应考虑监管要求、发展目标和资源能力等因素。其中，监管要求包括风险控制指标要求、合规与内部控制要求等；发展目标包括公司战略目标、

信用评级目标、分类评价目标、收益要求、较低收入波动要求等；资源能力包括资本实力、融资能力、管理能力等。

第二十一条公司以制定的风险偏好为指导，制定包括风险容忍度和风险限额等的风险指标体系，并考虑以下因素：

（一）风险指标体系与公司财务预算、资产负债配置计划、各业务线业务计划的制订协调推进，确保公司承担的风险与收益相匹配，与公司经营计划相适应；

（二）风险指标与业务规模、业务性质和复杂程度、人员的专业水平和管理经验、风险计量能力等相适应：

（三）风险指标定性与定量相结合，覆盖主要风险类型，并便于分解、汇总、日常监测与计量。

第二十二条公司的风险偏好和风险指标经相应的授权机构分级审批后，分解至各业务部门、分支机构及子公司，各部门、分支机构和子公司机构应当按照经批准的指标开展经营活动和风险管控。

第二十三条公司建立各层级风险指标管理程序，规范风险指标设定、调整、预警与超限报告、跟踪处置的制度流程。

第二十四条公司每年对风险偏好和风险指标体系进行整体评估，根据执行情况及内外部因素变化进行持续优化完善。

第四章风险管理制度和流程

第二十五条根据监管要求并适应经营发展需求，公司制定并持续完善各项业务风险管理制度，针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程，并通过评估、审计、检查和绩效考核等手段保证风险管理制度的贯彻落实，并结合实际情况及时更新、调整、改进相关制度机制。

第二十六条公司建立组织健全、职责清晰、有效制衡、激励约束合理的授权管理体系，通过制度、流程、系统、考核评价等方式，进行有效管理和控制，并确保业务经营活动受到制衡和监督。

公司各部门、分支机构及子公司均应在被授予的权限范围内开展工作，严禁越权从事经营活动。各部门在每年度的内控自我评价时应对自身及所属关键业务岗位的授权执行情况进行检查。

第二十七条公司通过全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息，识别公司面临的风险及其来源、特征、形成条件、驱动因素和潜在影响，按业务、部门和风险类型等进行分类，并关注各类风险的交互影响和转化，定期梳理、总结风险识别结果及驱动因素，及时更新相关管理流程、应急机制等，定期或不定期更新各流程内控风险矩阵，修订完善公司相关制度和流程。

第二十八条公司根据风险的影响程度和发生可能性等建立风险等级评估标准和机制，各部门应采取定性与定量相结合的方法，对识别的风险进行分析计量并进行等级评价或量化排序，确定重点关注和优先控制的风险。风险管理部门应充分关注风险的关联性，对公司层面的风险进行总量汇总，审慎评估公司面临的总体风险水平。

第二十九条公司建立并完善压力测试机制，明确压力测试的职责分工、触发机制、方法流程、情景设计、保障支持、报告路径以及压力测试结果运用，及时根据业务发展情况和市场变化情况，对公司各类风险进行压力测试。

第三十条公司财务部门、风险监管部和相关业务部门负责建立金融工具估值的方法、模型和计量流程，建立业务部门、分支机构、子公司与风险管理部门、财务部门的协调机制，确保风险计量基础的科学性、计量结果的合理性。金融工具的估值模型及风险计量模型如果存在分歧，以风险管理部门确认的数值为准。

第三十一条公司可通过风险价值、信用敞口、敏感性分析、压力测试等方法或模型来计量和评估市场风险、信用风险、流动性风险等风险类型，逐步构建、应用计量结果更准确、风险敏感度和可比性更高的内部计量方法或模型，方法或模型充分考虑敏感性、前瞻性与审慎性；审慎评估所选方法或模型的局限性，并采用有效手段进行补充。风险管理部门应会同相关部门定期或不定期对金融工具估值模型与风险计量模型的有效性进行检验和评价，必要时根据相关制度和流程进行调整和改进。

第三十二条公司业务和风险管理部门建立逐日盯市等机制，准确计算、动态监控关键风险指标情况，分析、判断和预测各类风险指标的变化，及时预警超越各类、各级风险限额的情形，并明确不同级别的异常情况的报告路径和处理办法。

第三十三条公司根据风险评估和预警结果，选择与公司风险偏好相适应的风险回避、降低、转移和承受等应对策略，建立合理、有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对机制，并应合理判断和预测风险的发展变化，适时调整应对措施。

公司各风险应对的主责机构应事前规范各风险应对策略的审批机制和操作流程，确保风险应对及时，应对措施合理、适当，风险处置化解有效。

第三十四条公司针对流动性危机、交易系统事故等重大风险和突发事件建立风险应急机制。各相关部门应根据各自开展业务的规模、性质、复杂程度、风险水平及组织架构，针对流动性危机、非预期的市场大幅波动、信息系统事故、重大声誉事件、重大操作风险事件等重大风险、突发事件和紧急情况建立风险应急机制，制订并完善应急处置方案。

第三十五条各部门制订应急处置机制或流程时需明确应急触发条件。风险处置的组织体系、措施、方法和程序，并通过压力测试、应急演练等机制进行持续改进，确保对重大风险、突发事件管控的及时性和有效性。应急处置方案应包括但不限于以下内容：

（一）充分、合理设定应急处置的触发条件或情景；

（二）明确风险处置的组织体系、各参与人员或岗位的权限及职责，建立有针对性的应急措施、方法和操作程序；

（三）应急处置期间的信息沟通途径和报告程序；

（四）应急处置的演练、压力测试和持续改进机制；

（五）出现意外突发事项的原因分析要求与责任追究机制。

第三十六条公司在董事会、经营管理层、首席风险官、风险管理部门、各部门、分支机构及子公司之间建立畅通的风险信息沟通机制，确保相关信息传递与反馈的及时、准确、完整。

第三十七条公司建立内部风险报告机制，使公司及时掌握各业务、分支机构及子公司经营中的风险情况，并采取措施促进公司各经营管理部门、各分支机构和子公司安全稳健地持续经营。

公司的内部风险报告包括定期的风险报告与临时的风险报告两类：各部门、分支机构和子公司应当定期对各自内部风险管理有效性的情况进行评估和检查，并向分管领导与合规风控部门提交定期报告；发生风险管理重大事项的，各部门、分支机构和子公司的所有员工应当及时、完整和准确地向合规风控部门、相关业务支持部门和管理部门提交临时报告。

第三十八条风险管理职能部门、相关业务支持部门和管理部门在得到风险报告后应互相沟通，对报告所涉及的风险和危害程度进行评估，并按照各自职责采取相应控制措施化解风险、寻找漏洞、加强控制。

第三十九条风险管理职能部门建立有效的风险报告机制，向首席风险官和公司经营管理层提交公司风险管理日报、月报、年报等定期报告，反映风险识别、评估结果和应对方案，对重大风险应提供专项评估报告，确保经营管理层及时、充分了解公司风险状况。经营管理层应当向董事会定期报告公司风险状况，重大风险情况应及时报告。

第四十条风险管理职能部门发现业务运作存在风险隐患或风险指标超限额等异常情形时，立即向公司领导报告并与业务部门、分支机构、子公司及时沟通，了解情况和原因，督促相关责任部门在规定时间内采取措施予以有效应对，并按照报告路径及时报告。

第四十一条公司对各部门、分支机构、子公司的风险管理绩效定期进行评价，评价结果纳入绩效考核体系，评价维度包括风险管理过程及效果。风险管理评分作为公司对各业务绩效评估（KPI）的评分指标之一，原则上合规风控指标权重不低于10%。具体考评办法由公司另行制定。

第四十二条公司各部门、分支机构、子公司的风险管理评价由首席风险官、合规总监会同内部监督检查部门负责组织完成，财务、资金、运营、信息技术及相关管理部门予以配合；对首席风险官和内部监督检查部门的绩效评价按公司相关绩

效考核办法组织完成。对风险管理部门和人员的考核机制应体现独立性，不得采取业务部门评价、以业务部门的经营业绩作为风险管理部门和人员评价依据等影响考核独立性的方式。

第四十三条公司投资管理、信息系统运维、清算交收等关键业务环节须建立操作日志，系统运行日志，操作留痕等措施，从技术上全面落实风险管理相关制度，实现责任事故的可追溯性，做到责任明确，有据可查。

第四十四条合规法务部定期或不定期对各部门制度及执业行为合规性及执行情况进行检查；风险监管部根据公司各阶段风险控制的不同重点，对重点风险业务进行专项检查，督促相关制度的执行及风险控制措施的落实；内核办公室对投行和债券业务项目进行检查；稽核审计部负责根据监管要求和公司管理需要对公司各部门、各分支机构进行内控审计、离任审计或全面审计。

第四十五条各经营管理部门及职能部门应负责对各自职责范围内的业务及工作进行检查、评估，督促各项规章制度的执行及各项风险控制措施的落实。各经营管理部门及分支机构的合规风控岗位人员每月向合规风控部门全面报告本单位的风险管理情况。

第五章子公司风险管理

第四十六条公司依法依规通过公司治理程序将子公司（被公司控制）纳入全面风险管理体系，对其风险管理工作实行垂直管理并逐步加强一体化管控，从公司治理、风险偏好与风险指标管理、新业务管理、重大事项管理、风险报告、考核评价等方面强化对子公司的风险管理，子公司应在公司整体风险偏好和风险管理制度框架下，建立健全自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系，保障全面风险管理的一致性和有效性。

公司根据具体子公司所属行业监管要求和行业（业务）特点，以穿透管理与授权管理相结合的方式，推进落实子公司风险管理要求。

公司将业务和风险对公司的财务状况和风险水平构成重大影响的参股企业按照防控风险的原则建立相应的风险管理机制，通过对参股企业行使股东权利、对其重

大事项发表风险管理意见或建议、定期获取其风险管理报告及财务报告、及时关注其公开信息等方式，有效管控参股企业的相关风险。参股企业对公司的重大影响原则上至少应当包括对公司的主要财务指标、主要风险指标的影响达到或超过公司相应指标10%的情形。

第四十七条公司各层级子公司原则上应当按照前述纳入全面风险管理体系的范围，分别将其下一层级子公司或其管理的投资机构纳入全面风险管理体系，对其风险管理工作实行垂直管理并逐步加强一体化管控。

公司可以按照重要性原则、风险实质等情况，跨级对子公司进行垂直一体化管控。

第四十八条各子公司应当任命一名高级管理人员负责子公司的全面风险管理工作；其任命和考核按照子公司合规风控负责人相关管理制度执行。子公司全面风险管理工作的负责人不得兼任或者分管与其职责相冲突的职务或者部门。

第四十九条公司各子公司设立专门部门履行风险管理职责，在子公司风险管理负责人的领导下推动子公司的全面风险管理工作。公司通过授权或穿透管理的方式参与对子公司风险管理人员的选拔聘用、岗位职责设定、考核评价等环节，加强对子公司风险管理人员的管理。

第五十条公司将子公司纳入整体风险偏好及风险指标体系，在子公司推行基本一致的风险偏好，将子公司各项业务纳入公司整体风险指标体系。

第五十一条子公司在公司整体风险管理制度框架体系下制定并持续完善子公司层面的风险管理制度体系。

第五十二条公司对子公司的重要风险管理制度、重大新业务、重大资产负债配置方案、重大投资交易或授信、重大风险应对策略等进行审批或出具专业意见。“重要”、“重大”等的具体标准另行制定。

第五十三条公司将子公司的各类风险计量模型、金融产品及金融工具的估值模型纳入统一管理，组织对子公司的模型进行验证评估或要求子公司使用公司统一的计量模型等方式，有效控制子公司的模型管理风险。子公司开展资产管理业务、

场外衍生品业务等，相关监管机构或自律管理组织对其估值模型有明确规定的，从其规定。

第五十四条公司将子公司风险纳入统一监控和报告，逐步通过风险管理信息系统每日获取子公司场内交易业务、标准化投资业务的风险数据，逐月获取子公司场内交易业务、标准化投资业务以外的其他业务风险数据，将子公司风险纳入公司层面进行统一监测和报告。

第五十五条公司建立健全子公司风险信息沟通与报告机制，明确子公司向母公司报送定期或不定期风险报告的类型、报送频率、报告内容等具体要求。子公司发生重大资产损失、资产负债结构显著变化、超越重要风险限额、应急事件、重大声誉风险事件、重大操作风险事件等重大风险事项的应在发生之日起一个工作日内向公司进行报告。

第五十六条公司将子公司纳入公司年度风险管理绩效考核及责任追究体系，对子公司风险控制过程以及控制效果进行风险管理考核评价；督导子公司建立与风险管理挂钩的绩效考核及责任追究机制，由子公司风险管理负责人组织对子公司各部门进行风险管理考核评价。

第五十七条公司制定清晰的境外业务发展战略，综合考虑自身财务状况、内部控制和风险管理水平、对境外子公司的管理和控制能力等因素，合理确定开展境外业务的业务类别、业务模式和业务规模等，将境外子公司纳入全面风险管理体系，确保境外子公司的业务发展与资本规模、展业能力及风险管理水平相适应，并通过以下方式强化对境外子公司的风险管理：

（一）母公司指导境外子公司建立清晰的风险管理组织架构，明确母公司具有风险管理职能的部门及人员与境外子公司风险管理部门及人员之间的授权分工，加强对境外子公司风险管理人员的日常工作管理，完善母公司与境外子公司之间风险信息的沟通和报告机制，建立对境外子公司风险管理有效性、风险应对能力等方面的专项检查机制，检查频率不低于每年一次；

（二）母公司通过强化重点岗位人员和关键环节管理、开展培训教育、发布廉洁合规提醒等方式，加强境外廉洁合规经营管理；

（三）重点关注境外监管制度及市场规则差异、境外市场波动特征、业务复杂程度、跨境资金流动管理要求等境外风险因素。

第六章专项领域的风险管理

第五十八条开展创新业务的部门、分支机构和子公司应当充分了解新业务、新产品的运作模式、估值模型，识别各类潜在风险，关注信息技术、舆情负面评价、ESG（环境、社会和治理）等风险因素，评估公司是否有相应的人员、系统及资本开展该项业务，从业务可行性、风险识别充分性、控制措施完备性、配置资源充足性等方面进行充分准备、制定业务方案。

各业务部门、分支机构和子公司制订的重大投资计划和创新业务方案应包含自身对于计划、方案的风险判断和采取的风险管理措施，并经相关风险管理职能部门进行风险评估。风险管理职能部门对计划方案中可能存在的风险进行审查和识别，对其产生结果的影响程度进行评估，对计划方案中相应的风险管理措施是否充分有效等进行分析，并出具风险评估报告。新业务、新产品的设计人员，参与评估、审核、决策的相关人员都应当充分了解新业务新产品的运作模式、主要风险点及控制措施，以及估值模型及风险管理的基本假设、压力情景下的潜在损失等。

第五十九条公司在开展新业务、新产品时，将其纳入公司全面风险管理体系及风险识别、评估、监测、报告、应对等管理流程，并及时上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能。建立创新业务及产品的风险评估体系，确保新业务、新产品的组织结构、业务模式、风险状况经过充分论证，符合公司的风险管理政策，并通过制定相关风险限额和控制流程，履行相应的授权和审批程序，配备相应的人员、系统、资本及实施培训等措施，确保新业务、新产品的风险可测、可控、可承受。公司上线新的业务管理和清算等信息系统，应经过事先模拟测试、演练、验收后方可正式上线。严禁交易、清算等系统未经测试、验收即正式上线使用。

第六十条公司建立健全同一业务风险管理机制，建立同一业务的风险管理制度和流程，明确同一业务的定义、分类标准、职责分工以及相应的风险管理要求，

并覆盖公司各业务部门和各级子公司。第六十一条公司根据同一业务的定义和分类标准对公司及各级子公司的各项业务进行分类，建立并完善与业务复杂程度和风险指标体系相适应的同一业务风险管理信息技术系统或相关系统功能，对同一业务逐步实行基本一致的风险控制措施，对风险信息汇总管理并实施同一业务层面的风险监测、分析和预警。

第六十二条公司建立健全同一客户风险管理机制，明确同一客户的定义、认定标准、业务覆盖范围以及各组织机构的职责分工，建立同一客户风险管理相关风险限额、制度及流程，并覆盖公司各业务部门、分支机构及各级子公司。

第六十三条公司根据同一客户认定标准和业务覆盖范围组织实施同一客户的认定，逐步建立并完善同一客户风险管理信息技术系统或相关系统功能，对同一客户信用风险、集中度风险进行管控，对同一客户风险信息汇总管理并逐步应用于尽调、评级、授信、监测等环节。

第六十四条公司构建和完善针对资产管理业务、场外衍生品业务等表外业务、场外业务的风险管理机制，主要包括：

（一）充分识别表外业务、场外业务风险的复杂性、隐蔽性，严格落实客户准入及适当性管理要求；

（二）规范产品设计、指标管控、监测预警、应急处置、信息披露与报送、估值管理等；

（三）加强对场外衍生品业务底层资产、资金流向、杠杆水平的穿透式风险管理，关注并防范业务风险外溢和风险传染；

（四）建立与业务发展相配套的业务及风险管理信息系统和功能。

第七章风险管理信息技术系统和数据

第六十五条公司建立并逐步完善数据治理和质量控制机制，将风险数据治理纳入公司级数据治理范围，并明确风险数据治理职责分工，公司各部门、分支机构及子公司对数据质量控制机制进行落实。

公司信息技术部和金融科技部将数据治理纳入整体信息技术建设规划，建立数

据治理组织架构、数据全生命周期管理和质量控制机制，构建数据架构、制定数据标准、建立数据质量监测及问题处理流程，控制监管报送数据质量，重视数据安全，建立事前控制、事中监控、事后考核评价的数据质量管理体系，为风险识别、计量、评估、监测和报告提供支撑。第六十六条公司建立与自身发展阶段、业务特点、规模、业务复杂程度和风险指标体系相适应的风险管控系统，逐步实现覆盖各风险类型、业务条线、各个部门、分支机构及子公司，对风险进行计量、汇总、预警和监控，以符合公司整体风险管理的需要。公司每年应制定风险管控信息系统专项预算，积极推动风险管理数字化转型，通过引入新技术提升风险数据的质量、风险监测的时效性和风险预警的及时性，逐步推进人工智能在风控领域的应用以提高风控智能化水平。

对于风险管控信息系统不能监控的领域，通过业务部门及时报备、不定期的检查、评估，将各项业务风险纳入监控范围，消除各项风险隐患、不留下风险盲区。

公司风险管控信息系统具备以下主要功能，支持风险管理和风险决策的需要。

（一）支持风险信息的搜集，以及风险计量、评估、监测和报告，覆盖所有类别的主要风险；

（二）支持净资本等风险控制指标监控、预警和报告；

（三）支持风险限额管理，实现监测、预警和报告；

（四）支持对子公司主要风险指标的计算与监控；

（五）支持按照风险类型、业务条线、机构、客户和交易对手等多维度风险展示和报告，支持同一业务、同一客户风险信息汇总及风险指标监测和报告；

（六）为压力测试工作提供必要的信息技术支持。

公司采取有效手段，提升公司相关系统的互通关联功能，避免形成信息孤岛，增强系统对风险的穿透识别及多角度分析能力，提升风险管理效能。

第八章风险管理的问责

第六十七条公司对发生重大风险事件的部门及个人进行问责，对主动报告、积极处置并有效避免、减轻或挽回损失的部门和个人，可从轻处理。公司对业务部

门、各管理部门在风险管理方面的失职行为进行问责。业务部门、归口管理部门未执行公司制度流程或发现风险、隐患或漏洞没有及时报告并制订规避措施或收到风险通知书后未及时整改的，公司对业务部门和归口管理部门及相关责任人进行问责，分管领导承担相应的领导责任。风险管理职能部门未按照制度要求履行相应职责或发现风险事项未进行风险揭示的，公司对风险管理职能部门及相关责任人进行问责，分管领导承担相应的领导责任。具体问责方式按照公司奖惩制度、合规问责制度等制度执行。

第六十八条公司所有部门和人员应积极配合首席风险官和风险管理职能部门对公司风险管控情况的检查和评价，不得以任何形式干预、阻挠，不得隐瞒真实情况，弄虚作假。

对于不配合风险管理工作、拒绝提供资料、提供虚假资料、拒不执行风险控制措施的，公司将责令其改正，并对负有直接责任的主管人员和其他责任人员，依照公司有关规定视情节轻重，分别给予经济处罚、通报批评、警告、记过直至撤职、开除等处理；构成犯罪的，移交司法机关追究刑事责任。

第九章附则

第六十九条本制度中所涉及公司部门名称或设置发生变化的，由承接其职责的部门承担相应工作职责。

第七十条本制度属基本管理制度，制度修订和解释权归公司董事会，自董事会通过之日起生效并施行，原《国元证券股份有限公司全面风险管理制度》（国证董办字〔2024〕590号）同时废止。

最新公告

股市要闻