长江证券股份有限公司全面风险管理制度(2023年3月3日经公司第十届董事会第三次会议审议通过)
第一章 总 则第一条 为加强长江证券股份有限公司(以下简称公司)全面风险管理,保障公司规范经营和各项业务持续稳健发展,积极践行“合规、诚信、专业、稳健”行业文化建设核心价值观,根据《中华人民共和国证券法》、《证券公司监督管理条例》、《证券公司风险控制指标管理办法》、《证券公司全面风险管理规范》等法律法规及自律规则,制定本制度。第二条 本制度所称全面风险管理,指公司董事会、经营管理层以及全体员工共同参与,在战略制定和日常运营中,对面临的流动性风险、市场风险、信用风险、操作风险、洗钱风险、声誉风险、信息技术风险、廉洁从业风险等各类风险,进行准确识别、审慎评估、动态监控、及时应对和全程管理的持续过程。第三条 公司的全面风险管理体系包括可操作的管理制度、健全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制以及良好的风险管理文化。所有子公司以及比照子公司管理的孙公司均纳入公司全面风险管理体系。
第四条 公司全面风险管理的基本原则为:
(一) 全覆盖原则。公司风险管理应当覆盖公司面临的所有风险类别,以及公司各部门、分支机构、子公司及所有表内外业务,
贯穿决策、执行、监督和反馈的全过程。
(二) 适应性原则。公司风险管理应当与公司的经营规模、风险状况、承受能力等要素相适应,以合理的成本和措施实现风险管理目标。
(三) 制衡性原则。公司风险管理应当通过制度、流程、系统
等方式,实现各管理层级,前、中、后台相关部门和相关岗位之间的相互衔接、相互监督、有效制衡。
第五条 公司全面风险管理目标服务于公司战略发展,通过实施积极的风险管理,保障公司稳健经营、规范发展,在公司各类风险可承受的前提下,促进最佳效率的风险资本收益,实现股东、客户、员工及社会的价值共赢。
第六条 公司推行稳健的风险管理文化,形成与公司相适应的风险管理理念、价值准则、职业操守,建立培训、传达和监督机制。公司各部门、分支机构、子公司的各项风险管理政策、制度应遵循统一的风险管理文化。
第二章 风险管理组织体系第七条 公司构建层次明晰的风险管理组织架构。包括董事会决策授权,监事会监督检查,经营层直接领导,风险管理职能部门全面推动,子公司、业务部门和分支机构密切配合,各层级形成自控、互控、监控的三道防线,从审议、决策、执行和监督等方面确保公司风险管理的合理有效。第八条 董事会是公司风险管理的最高决策机构,对公司全面风
险管理承担最终责任,其主要风险管理职责包括:
(一)推进风险文化建设;
(二)决定公司风险管理战略,审议批准公司全面风险管理的基本制度;
(三)审议批准公司风险偏好、风险容忍度以及重大风险限额;
(四)审议公司定期风险评估报告;
(五)任免、考核首席风险官,确定其薪酬待遇,建立与其的直接沟通机制;
(六)监管制度和公司章程规定的其他风险管理职责。
第九条 董事会设立的风险管理委员会按照公司章程和工作细则的相关规定,为董事会审议的风险管理相关事项提供评估意见和建议,并在授权范围内履行全面风险管理的部分职责。第十条 监事会承担全面风险管理的监督责任,负责监督检查董事会和经理层在风险管理方面的履职尽责情况并督促整改。第十一条 经营管理层对公司风险管理承担主要责任,其主要风险管理职责包括:
(一)执行董事会制定的风险战略,落实风险管理政策,制定
具体的风险管理制度和程序,并适时调整;
(二)建立健全公司全面风险管理的经营管理架构,明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工,建立部门之间有效制衡、相互协调的运行机制;
(三)制定风险偏好、风险容忍度以及重大风险限额等的具体
执行方案,确保其有效落实;对其进行监督,及时分析原因,并根据董事会的授权进行处理;
(四)按照董事会要求定期或不定期向董事会报告风险状况、采取的管理措施以及风险管理规划等事项;
(五)建立涵盖风险管理有效性的全员绩效考核体系;
(六)建立完备的信息技术系统和数据质量控制机制;
(七)风险管理的其他职责。
第十二条 公司经营管理层下设风险管理委员会,授权履行经营管理层风险管理的相关职责。
第十三条 公司设立首席风险官,首席风险官为公司高级管理人员,负责组织落实公司全面风险管理的具体工作。首席风险官不得兼任或者分管与其职责相冲突的职务或者部门。
首席风险官的任职条件需符合监管规定。
第十四条 公司应对首席风险官履职提供充分保障,保障首席风险官能够充分行使履行职责所必要的知情权。首席风险官有权参加或者列席与其履行职责相关的会议,调阅相关文件资料,获取必要信息。公司应当保障首席风险官的独立性。公司股东、董事不得违反规定的程序,直接向首席风险官下达指令或者干涉其工作。
第十五条 公司指定风险管理部为公司履行全面风险管理职责的专职部门,在首席风险官的领导下组织、推动公司全面风险管理工作,监测、评估、报告公司整体风险水平,并为业务决策
提供风险管理建议,协助、指导和检查各业务部门、分支机构及子公司的风险管理工作。具体职责包括:
(一)规划并贯彻执行公司风险管理战略,落实董事会与经营管理层关于全面风险管理的各项决定;
(二)拟定公司风险偏好、风险容忍度和风险限额等风险控制指标体系;
(三)建立健全公司风险识别、风险评估和衡量、风险应对、风险监测、风险报告的制度、程序与方法;
(四)负责对日常业务活动进行风险监测和控制,报告公司各项风险控制指标执行情况;
(五)参与对公司新产品、新业务的风险评估,建立新产品、新业务的风险管理流程;
(六)对公司金融工具的估值方法和风险计量模型进行审核确认,并定期进行评估;
(七)定期和不定期编制各类风险分析报告;
(八)对各业务部门、分支机构及子公司的风险识别、评估、控制情况进行指导、监督、检查、评价和报告;
(九)其他风险管理事项。
第十六条 法律事务与合规管理部是公司合规风险管理职能部门,负责公司法律风险、合规风险以及洗钱风险的识别、监控和应对。第十七条 财务总部是公司自有资金的归口管理部门,负责公
司流动性风险的管理工作,统筹公司资金来源与融资管理,协调安排公司资金需求,开展现金流管理。第十八条 声誉风险管理工作小组为公司声誉风险管理的常设议事机构。办公室、法律合规部、风险管理部为声誉风险管理工作小组的常设部门,其他相关业务部门根据实际情况参与声誉风险处置工作。办公室为声誉风险管理工作小组的牵头执行部门和声誉风险的归口管理部门。
第十九条 审计部是公司的内部审计机构,负责对公司全面风险管理的充分性和有效性进行独立、客观的审查和评价,发现问题,及时督促相关责任人进行整改,并跟踪检查整改措施的落实情况。第二十条 信息技术总部是公司信息技术管理部门,负责信息技术风险的监控、防范和应对的相关工作。第二十一条 纪检工作部负责组织开展针对公司全员的廉洁从业宣传教育活动,并对公司各单位的廉洁从业工作情况进行检查。
第二十二条 公司各业务部门、分支机构及子公司负责人应当全面了解并在决策中充分考虑与业务相关的各类风险,及时识别、评估、应对、报告相关风险,并承担风险管理的直接责任。各业务部门、分支机构及子公司的具体风险管理职责主要包括:
(一)业务部门对其相关业务经营管理中的风险进行识别、评估、监测、应对和报告;
(二)负责对相关业务活动的风险控制指标进行实时监测和动态监控,并根据风险控制指标调整业务规模;
(三)向公司风险管理部门提供与风险管理有关的业务数据及技术支持;
(四)向公司风险管理部门履行报告义务;
(五)落实公司风险管理文化培育工作。
第二十三条 公司每一名员工对风险管理有效性承担勤勉尽责、审慎防范、及时报告的责任,通过培训学习、经验积累提高风险意识,谨慎处理工作中涉及的风险因素,发现风险隐患时主动化解并及时按公司规定履行报告义务。
第二十四条 公司应为风险管理部门配备充足的专业人员从事风险管理工作,风险管理部门具备3年以上的证券、金融、会计、信息技术等有关领域工作经历的人员占公司总部员工比例应不低于2%;公司应为风险管理部门的人员提供相应的工作支持和保障,风险管理部门人员工作称职的,其薪酬收入总额应不低于公司总部业务及业务管理部门同职级人员的平均水平。
第二十五条 公司应为承担管理职能的业务部门配备专职风险管理人员,并提供必要的工作支持和保障。专职风险管理人员不得兼任与风险管理职责相冲突的职务。
第二十六条 公司通过设立合规风控专员的形式,对分支机构的合规风控进行全面管理,管辖范围覆盖分支机构所有业务、各个部门、下辖各层级分支机构和全体工作人员,贯穿决策、执行、监
督、反馈等各个环节。第二十七条 公司将子公司的风险管理纳入统一体系,对其风险管理工作实行垂直管理。子公司应在公司整体风险偏好和风险管理制度框架下,建立自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系,保障全面风险管理的一致性和有效性。子公司应当任命一名高级管理人员负责公司的全面风险管理工作,不得兼任或者分管与其职责相冲突的职务或者部门。子公司风险管理工作负责人在公司首席风险官指导下开展风险管理工作,并向首席风险官履行风险报告义务。
子公司风险管理工作负责人的任命由公司首席风险官提名,子公司董事会聘任,由公司首席风险官考核,考核权重不低于50%,其解聘应征得公司首席风险官同意。
第三章 风险管理政策与机制
第一节 风险管理制度
第二十八条 公司的风险管理制度体系包括风险管理总体纲领性指导文件,涵盖流动性风险、市场风险、信用风险、操作风险、声誉风险、洗钱风险等风险类别的管理办法以及各类具体业务的风险管理规章、实施细则等。明确了公司整体风险管理目标、原则、组织架构、授权体系、相关职责、基本程序等,针对不同风险类型和具体业务制定可操作的风险识别、评估、监测、应对、报告的方法和流程。
第二十九条 公司风险管理制度应与公司的发展规划、资本实
力、经营目标和风险管理能力相适应,符合法律法规和监管要求,并通过评估、稽核、检查等手段保证风险管理制度的贯彻落实并持续完善。
第三十条 子公司应建立与公司一致的风险管理文化与管理制度,建立完善的内部控制机制,建立重大事项报告制度和审议机制。
第二节 授权管理体系
第三十一条 公司不断健全和完善授权管理体系,明确授权程序、范围、权限和责任,设置了自上而下的分级授权体系。
董事会在法律法规的规定内对经营管理层开展相关经营活动和事项进行授权,经营管理层在董事会授权范围内对各业务部门、分支机构及子公司进行逐级授权,风险管理职能部门对授权落实情况实行监控、报告,各业务部门、分支机构及子公司在被授予的权限范围内开展工作,严禁越权从事任何经营活动。
第三十二条 公司建立了以风险偏好、风险容忍度、风险限额为核心的授权体系,对各业务和子公司进行逐级授权。
根据公司经营发展战略和外部监管标准,公司制定了涵盖各类风险和各类业务的风险偏好、风险容忍度和风险限额等的风险指标体系,整体风险指标经董事会审议批准,经营管理层或其授权的各项业务决策委员会将董事会批准的风险指标逐级分解至各部门、分支机构和子公司,并对分解后指标的执行情况进行监控和管理。
第三节 风险识别与计量
第三十三条 公司通过信息归集、案例分析和内部交流等方式,
全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息,并结合公司业务特点,识别公司面临的风险及其来源、特征、形成条件和潜在影响,并按业务、部门和风险类型等进行分类。第三十四条 公司采取定性和定量相结合的方法,按照风险的影响程度和发生的概率对识别的风险进行分析计量,并进行等级评价或量化排序,确定关注重点和优先控制的风险,并在考虑风险关联性的基础上,汇总公司层面的风险总量,审慎评估公司面临的总体风险水平。第三十五条 公司通过组织和制度建设规范金融工具估值的方法、模型和流程,建立业务部门、分支机构、子公司与风险管理部、财务总部的协调机制,确保风险计量基础的科学性。金融工具的估值方法及风险计量模型需由风险管理部门确认。
第三十六条 公司选择在险价值、信用敞口、敏感性分析、压力测试等方法或模型来计量和评估市场风险、信用风险、流动性风险等可量化的风险类型,并采取各种量化工具弥补所选方法和模型的局限性。第三十七条 风险管理部门定期对估值与风险计量模型的有效性进行检验和评价,确保相关假设、参数、数据来源和计量程序的合理性与可靠性,并根据检验结果进行调整和改进。第三十八条 公司通过建立压力测试管理制度,明确压力测试的决策机制、实施流程和方法、报告路径、结果应用和检查评估、数据管理、模型保障等内容。根据业务发展情况和市场变化情况,
定期或不定期对公司流动性风险、信用风险、市场风险等各类风险及指标开展压力测试,评估公司风险承受能力,指导资源配置,并根据测试结果及时采取相应的控制措施。第三十九条 公司针对新业务建立新业务风险管理制度和流程,明确新业务开展需满足的条件和公司内部审批路径。
新业务开展前,新业务开展部门、分支机构或子公司应对新业务的业务模式、估值模型、面临的主要风险以及压力情景下的潜在损失等情况进行充分分析和说明。风险管理职能部门需对新业务出具评估报告,评估公司是否有相应的人员、系统及资本开展该项业务,确保新业务的业务模式、风险状况经过充分论证,符合公司的风险管理政策。
第四节 风险监测与应对
第四十条 公司建立逐日盯市等机制,基于动态监控系统,准确计算、动态监控关键风险指标情况,判断和预测各类风险指标的变化,及时预警超越各类、各级监管指标、风险容忍度指标及风险限额指标的情形,建立资本补充与业务规模、结构调整机制,明确不同级别异常情况的报告路径和处理办法。
第四十一条 公司根据风险评估和预警结果,选择与公司风险偏好相适应的风险回避、降低、转移和承受等应对策略,建立覆盖各项业务、各类风险的风险应对机制,包括合理、有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等方式,并根据公司实际情况的变化,及时调整相应的风险应对策略。
第四十二条 公司针对流动性危机、交易系统事故等重大风险和突发事件建立风险应急机制,明确应急触发条件、风险处置的组织体系、措施、方法和程序,并通过压力测试、应急演练等机制进行持续改进。
第五节 风险信息与报告
第四十三条 公司在子公司、分支机构、业务部门、风险管理部门、经营管理层、董事会之间建立畅通的风险信息沟通机制,确保相关信息传递与反馈的及时、准确、完整。
第四十四条 各子公司、业务部门、分支机构定期对自身内部风险管理的情况进行评估和检查,并向分管领导和风险管理部门报告;发生风险管理重大事项的,各子公司、业务部门、分支机构需及时、完整和准确地向风险管理部门提交临时报告。第四十五条 风险管理部门向公司经营管理层提交公司风险管理日报、月报、年报等定期报告,反映风险识别、评估结果和应对方案,对重大风险提供专项评估报告,确保经营管理层及时、充分了解公司风险状况。
第四十六条 风险管理部门发现风险指标超限额等异常情形的,及时与子公司、业务部门、分支机构进行沟通,了解情况和原因,督促子公司、业务部门、分支机构采取措施在规定时间内予以有效解决,并及时向首席风险官报告。
第四十七条 公司经营管理层定期向董事会报告公司风险状况,重大风险情况应当及时报告。
第四十八条 公司经营管理层根据董事会的授权,定期评估全面风险管理体系,评估频率至少每年一次,并将评估结果向董事会报告,并根据评估结果及时改进风险管理工作。
第四章 风险管理信息系统
第四十九条 公司建立与业务复杂程度和风险指标体系相适应的风险管理信息技术系统,需覆盖各风险类型、业务条线、各个部门、分支机构及子公司,对风险进行计量、汇总、预警和监控,并实现同一业务、同一客户相关风险信息的集中管理,以符合公司整体风险管理的需要。
公司每年制定风险管理信息技术系统专项预算,为风险管理信息技术系统功能的持续完善和优化提供必要的物质保障。
第五十条 公司风险管理信息系统具备以下主要功能,支持风险管理和风险决策的需要。
(一)支持风险信息的搜集,完成识别、计量、评估、监测和
报告,覆盖所有类别的主要风险;
(二)支持风险控制指标的实时监控、预警和报告;
(三)支持风险限额管理,实现实时监测、预警和报告;
(四)支持按照风险类型、业务条线、机构、客户和交易对手
等多维度风险展示和报告;
(五)支持压力测试工作,评估各种不利情景下公司风险承受
能力。
第五十一条 公司不断完善数据治理,建立健全数据治理和
质量控制机制。确保内外部数据的及时性、真实性、准确性和完整性,用于风险识别、评估、监测和报告;将数据治理纳入公司整体信息技术建设战略规划,制定数据标准,涵盖数据源管理、数据库建设、数据质量监测等环节。
第五章 风险管理评价第五十二条 公司子公司、各部门、分支机构应定期或不定期开展全面风险管理的有效性进行自我评估,并根据评估结果及时改进风险管理工作。
第五十三条 公司风险管理部门负责子公司、各部门、分支机构全面风险管理工作的日常检查、监督。
第五十四条 公司审计部负责对子公司、各部门、分支机构和风险管理部门的风险管理工作进行客观、独立评价,并通过评估、稽核、检查等手段保证风险管理制度的贯彻落实,定期评估全面风险管理体系,评估频率至少每年一次,并要求相关部门根据评估结果及时改进。
第五十五条 公司风险管理部门协助相关部门建立健全与风险管理效果挂钩的绩效考核及责任追究机制,保障全面风险管理的有效性。
第五十六条 公司建立风险管理考核机制,设定合理的考核范围、内容、标准和方法,将风险管理考核纳入经营管理综合考核之中,考核结果与员工奖惩激励挂钩,将子公司、各部门及分支机构风险管理工作列入绩效考核体系,强化风控考评。
第五十七条 公司建立风险管理责任追究机制。子公司、各部门及分支机构依据自身职责范围,承担相应的风险管理责任,对违规行为及造成风险损失的责任人按照相关管理制度进行相应的处罚。
第六章 风险管理文化建设
第五十八条 风险管理文化是指在风险管理活动中形成的为广大员工认同并自觉遵守的风险管理理念、风险价值观念和风险管理行为规范。公司推行专业、稳健、主动、全员的风险管理文化,树立经营风险的管理理念,倡导“风险管理人人有责”“主动管理风险”“风险管理创造价值”的核心风险观。
第五十九条 “风险管理人人有责”意在推行全员风险管理,将风险管理理念和风险管理职责融入每个部门、每个员工的思想和行为中,全员参与,齐抓共管,达到风险管理目标。公司各部门、各机构都应全面了解,充分考虑,及时识别、评估、应对、报告与业务相关的风险;公司每一名员工都要做到审慎防范、勤勉尽责、及时报告的风险管理责任。
第六十条 “主动管理风险”意在强调风险管理不是一味的去“控”和“堵”,而是从源头对风险进行主动的选择、取舍和管理,核心是厘清风险边界,针对各类风险的特征,运用不同的管理策略或交易结构,进行前瞻性的分析、判断和管理,增强事前防控能力,做到能识别、能管理、能承担,实现风险收益的最大化。
第六十一条 “风险管理创造价值”意在突出管理风险的本质
是通过经营风险来获取合理的回报,核心是依托有效的风险识别和计量能力,甄别出各类风险和业务中有价值的部分,通过采取风险回避、转移、分散、对冲等策略获取合理的回报,提升主动经营风险的能力,增进价值创造。第六十二条 公司结合行业及企业文化建设工作,建立培训、传达和监督机制,在各层面营造风险管理文化的氛围,通过多种渠道、多种形式广泛、深入、持久的进行风险管理文化的宣传,增强全员风险管理意识。第六十三条 公司全体员工应认真遵守公司各项规章制度,牢固树立风险管理的责任意识,将公司风险管理理念转化为自觉的认识和行动,促进公司内部系统、规范、高效风险管理机制的建立。第六十四条 公司通过风险管理考评机制,形成长效激励和约束机制,进一步推动和促进风险管理文化的形成和巩固。
第七章 附则第六十五条 公司根据本制度的规定和经营管理需要,制定并持续完善具体的风险管理办法和操作规范,建立可操作的风险识别、评估、监测、应对、报告的方法和流程。第六十六条 本制度自董事会审议通过之日起实施。