方正证券:方正证券股份有限公司全面风险管理制度

方正证券股份有限公司全面风险管理制度

（2025年11月26日公司第五届董事会第十九次会议制定）

第一章总则

第一条为促进公司规范经营，提升风险管理能力，有效防范与化解风险，增强核心竞争力，保障公司持续、稳定、健康发展，根据《证券公司监督管理条例》《证券公司内部控制指引》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》等法律法规及自律规则，制定本制度。

第二条本制度适用于公司各部门、分支机构、子公司以及比照子公司管理

的各类孙公司（以下简称“子公司”）开展的各项业务经营和管理活动。

第三条本制度所称全面风险管理，是指公司董事会、经营管理层以及全体

员工共同参与，对公司经营中的流动性风险、市场风险、信用风险、操作风险、声誉风险、洗钱风险、信息技术风险、运营风险等各类风险，进行准确识别、审慎评估、动态监控、及时报告、妥善应对及全程管理。

第四条公司全面风险管理目标是建立健全全面风险管理体系，保证公司各

类风险可测、可控和可承受，确保承受的风险与总体发展战略目标相适应。

全面风险管理体系包括可操作的管理制度、健全的组织架构、可靠的信息技

术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制以及良好的风险管理文化。

第五条公司全面风险管理遵循全覆盖、前瞻性、全局性、有效性、匹配性五项基本原则。

（一）全覆盖原则。全面风险管理覆盖各类业务与管理活动；覆盖所有子公

司和分支机构；覆盖所有的部门、岗位和人员；覆盖所有风险类型和不同风险之

间的相互影响；覆盖决策、执行、监督、反馈等全部管理流程。

（二）前瞻性原则。公司坚持预防第一的风险管理理念，加强对风险的早识

别、早预警、早暴露、早处置，建立健全覆盖境内外、场内外、线上线下全部业务的全景式、穿透式的管理体系，及时识别并有效管控风险业务，提升风险管理的前瞻性。

1（三）全局性原则。公司关注业务风险外溢及系统性风险的产生及传导，强

化跨区域、跨市场、跨境风险识别监测应对，防范风险跨区域、跨市场、跨境传递共振。

（四）有效性原则。公司将全面风险管理的结果应用于经营管理，根据风险

状况、市场和宏观经济情况评估资本和流动性的充足性，加强对各类风险的发生原因、影响程度、发展变化分析和预测，及时作出应对，有效管控所承担的总体风险和各类风险。

（五）匹配性原则。全面风险管理体系与发展战略、发展阶段、业务特点、风险状况、经营管理情况等相适应，并根据内外部环境变化适时优化调整。

第六条公司积极培育中国特色金融文化，践行合规、诚信、专业、稳健的

证券行业核心价值观，在全公司推行稳健的风险文化，形成与公司相适应的风险管理理念、价值准则、职业操守，建立培训、宣导和监督机制并纳入考核体系。

第二章风险管理组织架构

第七条公司风险管理组织架构由董事会及其下设的风险控制委员会、经营管理层及风险管理委员会、风险管理职能部门、各业务部门（包括分支机构及子公司）四个层级构成。

各业务部门（包括分支机构及子公司）、风险管理职能部门、稽核监察部构

成公司风险管理三道防线，建立部门间密切协作、相互衔接、有效制衡的运行机制，持续监控管理各类风险。

第八条公司董事会承担全面风险管理最终责任，履行以下风险管理职责：

（一）树立与公司相适应的风险管理理念，全面推进公司风险文化建设；

（二）审议批准公司风险管理战略，并推动其在公司经营管理中有效实施；

（三）审议批准公司全面风险管理基本制度；

（四）审议批准公司风险偏好、风险容忍度以及重大风险限额；

（五）审议公司定期风险评估报告；

（六）任免、考核首席风险官，确定其薪酬待遇；

（七）建立与首席风险官直接沟通机制；

（八）公司章程规定的其他风险管理职责。

2董事会可授权董事会风险控制委员会履行其全面风险管理的部分职责。

第九条公司董事会风险控制委员会履行以下风险管理职责：

（一）负责对公司风险管理的总体目标、基本政策进行审议并提出意见；

（二）监督和评价风险管理部门的设置、组织方式、工作程序和效果，并提出改善意见；

（三）提出完善公司风险管理和内部控制制度的意见；

（四）对需董事会审议的重大决策的风险和重大风险的解决方案进行评估并提出意见；

（五）对需董事会审议的风险报告、合规报告和风险评估报告等进行审议并提出意见；

（六）监督风险准备金的计提和使用等。

第十条公司董事会审计委员会承担全面风险管理的监督责任，负责监督检

查董事会和经营管理层在风险管理方面的履职尽责情况并督促整改，对发生重大风险事件负有主要责任或者领导责任的董事、高级管理人员提出罢免的建议。

第十一条公司执行委员会承担全面风险管理主要责任，履行以下风险管理

职责：

（一）率先垂范，积极践行中国特色金融文化、行业文化及公司风险文化，恪守公司价值准则和职业操守；

（二）制定践行公司风险文化、风险管理理念的相关制度，引导全体员工遵循良好的行为准则和职业操守；

（三）拟定风险管理战略，制定风险管理制度，并适时调整；

（四）建立健全公司全面风险管理的经营管理架构，明确全面风险管理职能

部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制；

（五）制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案，确

保其有效落实；对执行情况进行监督，及时分析原因，并根据董事会的授权进行处理；

（六）定期评估公司整体风险和各类重要风险管理状况，解决风险管理中存在的问题并向董事会报告；

（七）建立体现风险管理有效性的全员绩效考核体系；

3（八）建立完备的信息技术系统和数据质量控制机制；

（九）风险管理的其他职责。

执行委员会主任对公司全面风险管理的有效性承担主要责任。

第十二条风险管理委员会推动公司全面风险管理各项工作，协助经理层建

立规范的全面风险管理架构和体系，推进风险管理各项工作有序运行。

风险管理委员会评估重大风险事项，跟进重大风险管理决策的落实，审议公司风险报告、重大决策风险评估报告、重大风险事项和解决方案，推动公司风险管理制度和文化建设，不断增强全员风险防范意识。

第十三条公司首席风险官由董事会聘任负责组织落实公司全面风险管

理的具体工作，指导建立风险文化培训、宣导计划，组织拟订风险管理制度、风险偏好等重要风险管理政策，参与公司战略规划和年度经营计划、重大业务、重大风险事件的研究或决策，组织识别、评估、监测、报告公司总体风险及各类风险情况，组织开展公司风险管理相关考核评价。

首席风险官不得兼任或者分管与其职责相冲突的职务或者部门。

第十四条首席风险官除需满足证券基金经营机构高级管理人员任职条件外，还应当具有与风险管理相关的管理学、经济学、法学、理学、工学专业背景，或通过 FRM、CFA、CPA 资格考试；并具有以下工作经历之一：

（一）从事证券公司风险管理相关工作8年（含）以上，或担任证券公司

风险管理相关部门负责人3年（含）以上；

（二）在证券公司从事业务工作、风险管理工作合计10年（含）以上，或

担任证券公司两个（含）以上业务部门负责人累计达5年（含）以上；

（三）在证券、公募基金、银行、保险业从事风险管理工作合计10年（含）以上，或从事境外成熟市场投资银行风险管理工作8年（含）以上;

（四）在证券监管机构、自律组织的专业监管岗位任职8年（含）以上。

第十五条公司保障首席风险官能够充分行使履行职责所必须的知情权。首席风险官有权参加或者列席与其履行职责相关的会议调阅相关文件资料获取必要信息。公司应当保障首席风险官的独立性。公司股东、董事不得违反规定的程序直接向首席风险官下达指令或者干涉其工作。

第十六条公司在全面风险管理体系框架下，明确各类型风险管理工作的主

责部门和职责分工，建立对具体风险类型的管理机制与流程，对各类型风险进行

4归口管理。主管相关风险类型、相关业务领域的高级管理人员应当负责各自分管

范畴的风险管理，并为首席风险官统筹全面风险管理工作提供支持。

首席风险官在其他高级管理人员的支持下，牵头进行整体规划、协调、整合，将不同风险类型、不同部门与不同业务的风险管理纳入公司全面风险管理体系并持续优化完善。

第十七条公司各部门、分支机构及子公司的负责人承担本单位风险管理的

直接责任，主要职责包括：

（一）在日常工作中宣导并督促员工积极践行公司风险文化、风险管理理念，遵循价值准则和职业操守；

（二）组织落实公司风险管理制度和流程措施、风险偏好、风险限额和风控标准；

（三）组织制定并实施本单位业务与管理活动相关风险管理制度、关键业务环节的操作流程；

（四）全面了解并在决策中充分考虑与业务、管理活动相关的各类风险，从

源头识别、分析、评估和监测本单位的各类风险，并在授权范围内进行风险应对；

（五）按照公司风险信息报告机制、流程，组织本单位相关风险管理信息的

传递和报送；发生重大风险事项的，应及时向风险管理部、分管领导、首席风险官、公司经营管理层报告。

各部门、分支机构负责人指定相应的团队或人员组织本单位切实履行一线风控职能，就本单位日常风险管理工作与风险管理部门保持密切沟通。

公司承担管理职能的业务部门应当配备专职风险管理人员，风险管理人员不得兼任与风险管理职责相冲突的职务。风险管理部每年对业务部门配备的专职风险管理人员在落实公司风险管理政策、制度、管理要求、风险信息报告报送等方面进行评价或提出考核建议。

第十八条风险管理部在首席风险官的领导下推动全面风险管理工作，主要

职责包括：

（一）推动构建并不断完善公司全面风险管理体系；

（二）建立公司风险文化培训、宣导及相应的监督考核机制，制定并实施覆

盖公司全体员工的风险文化培训、宣导计划；

5（三）组织拟订风险偏好、风险容忍度和风险限额等，为公司提供决策依据，

并监控、监督其执行情况；

（四）组织识别公司各项业务与管理环节的风险，参与新业务的风险控制机制设计及方案审核评估；

（五）监测公司业务与管理活动中的风险，揭示公司整体及各类风险状况和水平，组织实施风险预警工作；

（六）组织开展风险评估，定性描述或定量计量公司风险水平；逐步提升对

业务风险调整后收益水平的评估能力，为公司资源配置提供支持；

（七）建立通畅的风险信息沟通与传递机制，进行风险报告，为业务决策提供风险管理建议；

（八）指导和检查各部门、分支机构及子公司的风险管理工作，对各部门、分支机构及子公司进行风险管理考核；

（九）组织开发建设风险计量模型，对金融工具估值模型进行验证评估；

（十）推进建设风险管理信息技术系统。

第十九条合规部负责公司合规风险和法律风险的识别、评估、监控、应对和报告，以及督促、指导总部各部门、分支机构及子公司开展反洗钱工作，防范洗钱风险。

第二十条资金运营中心是公司流动性风险的日常管理部门，负责对公司流

动性风险实施有效识别、计量、监测和报告，组织或参与公司流动性风险应对预案的拟订、演练和评估，跟踪应对预案的实施情况。

第二十一条董事会办公室是公司声誉风险的归口管理部门，负责建立、健

全公司声誉风险管理体系对声誉风险进行识别、评估、监控和报告指导、协调、

监督公司相关部门及分支机构落实公司声誉风险管理的制度和决策，应对声誉风险事件。

第二十二条信息技术管理部是公司信息技术风险的归口管理部门，负责建

立、健全公司信息技术风险管理体系。信息技术中心牵头总部各部门及分支机构对信息技术风险进行有效识别、评估、监控、应对和报告。

第二十三条运营中心是公司运营风险的归口管理部门，负责建立、健全公司运营风险管理体系和与各部门的对接机制。建立与各部门主要运营风险相关的运营指标管理体系，持续监控并优化。协调各部门落实各项运营风险管理措施，

6包括规则制定、风险监控、流程优化、系统对接等。

第二十四条公司各风险管理职能部门在其职责分工及专业特长范围内协

同对相关风险实施管理，保障公司风险管理政策的一致性和有效性。公司总部其他职能部门在其职责范围内履行相应的风险管理职能。

第二十五条公司配备充足的专业人员从事风险管理工作，并提供相应的工作支持和保障。公司所有承担风险管理职责的人员应当熟悉证券业务并具备相应的风险管理技能。

公司加强风险管理人才队伍建设，加大风险管理资源投入。公司风险管理部具备3年以上的证券、金融、会计、信息技术等有关领域工作经历的人员占公司

总部员工比例不低于2%，公司可在此基础以上结合自身实际情况制定相应标准。

风险管理部人员工作称职的，其薪酬收入总额应当不低于公司总部业务部门同职级人员的平均水平。

第二十六条公司每一名员工对风险管理有效性承担勤勉尽责、审慎防范、及时报告的责任。包括但不限于：结合岗位职责，在日常工作中积极践行公司风险文化、遵循行为准则和职业操守，通过学习、经验积累提高风险意识；在执业过程中自觉执行公司各项风险管理制度和流程；谨慎处理工作中涉及的风险因素；

发现风险隐患时主动应对并及时履行报告义务，必要时可直接向公司首席风险官报告。

第二十七条稽核监察部将全面风险管理情况纳入内部审计范畴，定期对全

面风险管理的充分性和有效性进行独立、客观的审查和评估，对公司风险文化建设和推进成果进行评估，频率不低于每三年一次。

稽核监察部根据公司制度规定对各部门、分支机构、子公司的风险管理情况

进行审计，审计发现问题的，应督促相关责任单位及责任人及时整改，跟踪检查整改措施的落实情况，并向党委、董事会审计委员会提交稽核监察工作报告。

第三章风险偏好及指标体系

第二十八条公司明确风险偏好，制定包括风险容忍度和风险限额等的风险

指标体系突出功能性要求和稳慎原则，以净资本等各项风险控制指标持续合规稳健为前提，并通过压力测试等方法计量风险、评估承受能力、指导资源配置。

7第二十九条公司制订风险偏好，明确对风险的基本态度和风险管理的基本策略。公司制订风险偏好时考虑监管要求、发展目标和资源能力等因素。其中，监管要求包括风险控制指标要求、合规与内部控制要求等；发展目标包括公司战

略目标、信用评级目标、分类评价目标、收益要求、较低收入波动要求等；资源

能力包括资本实力、融资能力、管理能力等。

第三十条公司以制定的风险偏好为指导，制定包括风险容忍度和风险限额

等的风险指标体系，并考虑以下因素：

（一）风险指标体系与公司财务预算、资产负债配置计划、各业务线业务计

划的制订协调推进，确保公司承担的风险与收益相匹配，与公司经营计划相适应；

（二）风险指标与业务规模、业务性质和复杂程度、人员的专业水平和管理

经验、风险计量能力等相适应；

（三）风险指标应定性与定量相结合，覆盖主要风险类型，并便于分解、汇

总、日常监测与计量。

第三十一条公司风险偏好和风险指标由公司董事会、经营管理层或其授权

机构分级审批，并分解至各业务部门、分支机构及子公司。公司对分解后指标的执行情况进行监控和管理。

第三十二条公司建立各层级风险指标管理程序，规范风险指标设定、调整、预警与超限报告、跟踪处置的制度流程。

第三十三条公司每年对风险偏好和风险指标体系进行整体评估，根据执行情况及内外部因素变化进行持续优化完善。

第四章风险管理制度和流程

第三十四条公司制定并持续完善风险管理制度，明确风险管理的目标、原

则、组织架构、授权体系、职责分工、基本程序等，并针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程。公司通过评估、稽核、检查和绩效考核等手段保证风险管理制度的贯彻落实，并结合实际情况及时更新、调整、改进相关制度机制。

第三十五条公司建立组织健全、职责清晰、有效制衡、激励约束合理的授

权管理体系，确保公司各部门、分支机构及子公司在被授予的权限范围内开展工

8作，严禁越权从事经营活动。通过制度、流程、系统、考核评价等方式，进行有

效管理和控制，并确保业务经营活动受到制衡和监督。

第三十六条公司各部门、分支机构及子公司全面、系统、持续地收集和分

析可能影响实现经营目标的内外部信息，识别面临的风险及其来源、特征、形成条件、驱动因素和潜在影响，按业务、部门和风险类型等进行分类，并关注各类风险的交互影响和转化，定期梳理、总结风险识别结果及驱动因素，及时更新相关管理流程、应急机制等。

第三十七条公司根据风险的影响程度和发生可能性等建立评估标准和机制，采取定性与定量相结合的方法，对识别的风险进行分析计量并进行等级评价或量化排序，确定重点关注和优先控制的风险。

公司关注风险的关联性，汇总公司层面的风险总量，审慎评估公司面临的总体风险水平。

第三十八条公司建立健全压力测试机制，明确压力测试的职责分工、触发

机制、方法流程、情景设计、保障支持、报告路径以及压力测试结果运用，及时根据内外部经营环境、业务发展情况和市场变化情况，对公司各类风险进行压力测试。

第三十九条公司规范金融工具估值的方法、模型和流程，建立业务部门、分支机构、子公司与风险管理部、财务管理部的协调机制，确保风险计量基础的科学性、计量结果的合理性。金融工具的估值模型及风险计量模型应当经风险管理部门确认。

公司选择风险价值、信用敞口、压力测试等方法或模型来计量和评估市场风

险、信用风险、流动性风险等风险类型，逐步构建、应用计量结果更准确、风险敏感度和可比性更高的内部计量方法或模型，方法或模型应充分考虑敏感性、前瞻性与审慎性；同时充分认识到所选方法或模型的局限性，并采用有效手段进行补充。

风险管理部定期对金融工具估值模型与风险计量模型的有效性进行检验和评价，必要时根据相关制度和流程进行调整和改进，确保相关假设、参数、数据来源和计量程序的合理性与可靠性。

9第四十条公司建立逐日盯市等机制，准确计算、动态监控关键风险指标情况，分析、判断和预测各类风险指标的变化，及时预警超越各类、各级风险限额的情形，明确异常情况的报告路径和处理办法。

第四十一条公司根据风险评估和预警结果，选择与公司风险偏好相适应的

风险回避、降低、转移和承受等应对策略，建立合理、有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对机制，并合理判断和预测风险的发展变化，适时调整应对措施。

公司各类风险应对的主责机构应当事前规范各类风险应对策略的审批机制

和操作流程，确保风险应对及时，应对措施合理、适当，风险处置化解有效。

第四十二条公司针对流动性危机、信息系统事故、重大声誉事件、重大操

作风险事件等突发事件和紧急情况建立风险应急机制，明确应急触发条件、风险处置的组织体系、措施、方法和程序，并通过压力测试、应急演练等机制进行持续改进，确保对重大风险、突发事件管控的及时性和有效性。

第四十三条公司在董事会、经营管理层、首席风险官、风险管理部门、各

部门、分支机构及子公司之间建立畅通的风险信息沟通机制，确保相关信息传递与反馈的及时、准确、完整。

公司各部门、分支机构及子公司在业务活动与职能管理过程中，对其相关业务或管理所涉及的风险进行日常监测、评估，出现异常情况时，应及时向风险管理部门报告。

风险管理部门发现风险指标超限额的，应当与业务部门、分支机构、子公司及时沟通，了解情况和原因，督促业务部门、分支机构、子公司采取措施在规定时间内予以有效应对，并按照报告路径及时报告。

风险管理部门应当向经营管理层提交风险管理日报、月报、年报等定期报告，反映风险识别、评估结果和应对方案，对重大风险提供专项评估报告，确保经营管理层及时、充分了解公司风险状况。

经营管理层应当向董事会定期报告公司风险状况，当公司出现风控指标突破董事会确定的风险限额或监管标准、流动性风险以及其他重大风险情况时，经营管理层应及时报告董事会。

第四十四条公司建立与风险管理过程及效果挂钩的绩效考核机制，设定合

理的考核权重、内容、标准和方法对各考核单位在流动性风险、市场风险、信

10用风险、操作风险、声誉风险、洗钱风险、信息技术风险、运营风险等风险管理

工作中的履职情况进行考核，将风险管理考核纳入经营管理综合考核之中考核结果与员工奖惩激励挂钩。其中，关于洗钱风险管理的考核，由公司合规部纳入合规性专项考核范畴，其考核权重、考核方式等按照公司合规性专项考核相关制度执行。公司保障首席风险官、风险管理部对各部门、分支机构及子公司进行风险管理考核的主导权。

公司对风险管理部门和人员建立科学的考核机制，保障考核机制的独立性，不得采取业务部门评价、以业务部门的经营业绩做为风险管理部门或人员评价依据等影响考核独立性的方式。

第四十五条公司建立风险管理责任追究机制，对发生重大风险事件的部门

及个人进行问责，对主动报告、积极处置并有效避免、减轻或挽回损失的部门和个人，可从轻处理。加强惩戒约束作用，保障全面风险管理的有效性。

第四十六条公司持续深入地推进专业稳健的风险管理文化建设，增强员工风险管理意识。将风险管理纳入培训体系，通过多种渠道和途径宣传风险管理理念，通过各种风险管理案例持续对员工进行培训。

公司经营管理层及员工应认真遵守公司各项规章制度，牢固树立风险管理的责任意识，深入贯彻公司“风险管理人人有责”、“风险可测、可控、可承受”的风险管理理念。

第五章子公司风险管理

第四十七条公司依法依规通过公司治理程序将所有子公司纳入全面风险

管理体系，对其风险管理工作实行垂直管理并逐步加强一体化管控，从公司治理、风险偏好与风险指标管理、新业务管理、重大事项管理、风险报告、考核评价等

方面强化对子公司的风险管理，要求并确保子公司在整体风险偏好和风险管理制度框架下，建立健全自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系，保障全面风险管理的一致性和有效性。

公司根据具体子公司所属行业监管要求和行业（业务）特点，以穿透管理与授权管理相结合的方式，推进落实子公司风险管理要求。

11第四十八条子公司任命一名高级管理人员负责全面风险管理工作，子公司

全面风险管理工作的负责人不得兼任或者分管与其职责相冲突的职务或者部门。

子公司风险管理工作负责人的任命由公司首席风险官提名，子公司董事会聘任，其解聘应征得公司首席风险官同意。

子公司风险管理工作负责人在首席风险官指导下开展风险管理工作，并向首席风险官履行风险报告义务。

公司首席风险官应对子公司风险管理工作负责人进行考核，考核权重占比不低于50%。

第四十九条子公司风险管理部（或风险管理团队）履行风险管理职责，在子公司风险管理负责人的领导下推动子公司的全面风险管理工作。公司通过授权或穿透管理的方式参与对子公司风险管理人员的选拔聘用、岗位职责设定、考核

评价等环节，加强对子公司风险管理人员的管理。

第五十条公司将子公司纳入整体风险偏好及风险指标体系，在子公司推行

一致的风险偏好，将子公司各项业务纳入公司整体风险指标体系。

第五十一条子公司在公司整体风险管理制度框架体系下制定并持续完善子公司层面的风险管理制度体系。

第五十二条公司对子公司的重要风险管理制度、重大新业务、重大资产负

债配置方案、重大投资交易或授信、重大风险应对策略等进行审批或出具专业意见。公司应当明确上述“重要”“重大”等的具体标准，风险管理部就上述标准发表意见。

第五十三条公司将子公司的各类风险计量模型、金融产品及金融工具的估

值模型纳入统一管理，组织对子公司的模型进行验证评估或要求子公司使用公司统一的计量模型等方式，有效控制子公司的模型管理风险。子公司开展资产管理业务、场外衍生品业务等，相关监管机构或自律管理组织对其估值模型有明确规定的，从其规定。

第五十四条公司将子公司风险纳入统一监控和报告，逐步通过风险管理信

息系统每日获取金融业务子公司风险数据，至少逐月获取其他子公司风险数据，将子公司风险纳入公司层面进行统一监测和报告。

第五十五条公司建立健全子公司风险信息沟通与报告机制，明确子公司向

公司报送定期或不定期风险报告的类型、报送频率、报告内容等具体要求。子公

12司发生重大资产损失、资产负债结构显著变化、超越重要风险限额、应急事件、重大声誉风险事件、重大操作风险事件等重大风险事项的，应在发生之日起一个工作日内向公司进行报告。

第五十六条公司将子公司纳入公司年度风险管理绩效考核及责任追究体系，对子公司风险控制过程以及控制效果进行风险管理考核评价；督导子公司建立与风险管理挂钩的绩效考核及责任追究机制，由子公司风险管理负责人组织对子公司各部门进行风险管理考核评价。

第五十七条公司制定清晰的境外业务发展战略，综合考虑自身财务状况、内部控制和风险管理水平、对境外子公司的管理和控制能力等因素，合理确定开展境外业务的业务类别、业务模式和业务规模等，将境外子公司纳入全面风险管理体系，确保境外子公司的业务发展与资本规模、展业能力及风险管理水平相适应。

公司除了将境外子公司纳入全面风险管理体系，对其风险管理工作实行垂直一体化管控以外，还通过以下方式强化对境外子公司的风险管理：

（一）明晰境外子公司的风险管理组织架构，明确公司风险管理部门及人员

与境外子公司风险管理部门及人员之间的授权分工，加强对境外子公司风险管理人员的日常工作管理，完善证券公司与境外子公司之间风险信息的沟通和报告机制，建立对境外子公司风险管理有效性、风险应对能力等方面的专项检查机制，检查频率不低于每年一次；

（二）通过强化重点岗位人员和关键环节管理、开展培训教育、发布廉洁合

规提醒等方式，加强境外廉洁合规经营管理；

（三）重点关注境外监管制度及市场规则差异、境外市场波动特征、业务复

杂程度、跨境资金流动管理要求等境外风险因素。

第六章专项领域的风险管理

第五十八条公司坚守业务本源、稳慎开展业务创新，建立针对新业务、新

产品的风险管理制度和流程，明确需满足的条件和公司内部审批路径，充分了解新业务、新产品模式，识别各类潜在风险，关注信息技术、舆情负面评价、ESG

13（环境、社会和治理）等风险因素，评估公司是否有相应的人员、系统及资本开展该项业务。

新业务、新产品的申请部门应当从业务可行性、风险识别充分性、控制措施

完备性、配置资源充足性等方面进行充分准备、制定业务方案。风险管理部门应对公司新业务、新产品的方案进行评估并出具风险评估报告。新业务、新产品的设计人员，参与评估、审核、决策的相关人员都应当充分了解新业务、新产品的运作模式、主要风险点及控制措施，以及估值模型及风险管理的基本假设、压力情景下的潜在损失等。

公司在开展新业务、新产品时，应将其纳入公司全面风险管理体系及风险识别、评估、监测、报告、应对等管理流程，并及时上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能。

第五十九条公司建立健全同一业务风险管理机制，建立同一业务的风险管

理制度和流程，明确同一业务的定义、分类标准、职责分工以及相应的风险管理要求，并覆盖公司各业务部门和各级子公司。

第六十条公司根据同一业务的定义和分类标准对公司及各级子公司的各

项业务进行分类，建立并完善与业务复杂程度和风险指标体系相适应的同一业务风险管理信息技术系统或相关系统功能，对同一业务逐步实行基本一致的风险控制措施，对风险信息汇总管理并实施同一业务层面的风险监测、分析和预警。

第六十一条公司建立健全同一客户风险管理机制，明确同一客户的定义、认定标准、业务覆盖范围以及各组织机构的职责分工，建立同一客户风险管理相关风险限额、制度及流程，并覆盖公司各业务部门、分支机构及各级子公司。

第六十二条公司根据同一客户认定标准和业务覆盖范围组织实施同一客

户的认定，逐步建立并完善同一客户风险管理信息技术系统或相关系统功能，对同一客户信用风险、集中度风险进行管控，对同一客户风险信息汇总管理并逐步应用于尽调、评级、授信、监测等环节。

第六十三条公司构建和完善针对资产管理业务、场外衍生品业务等表外业

务、场外业务的风险管理机制，主要包括：

（一）充分识别表外业务、场外业务风险的复杂性、隐蔽性，严格落实客户准入及适当性管理要求；

14（二）规范产品设计、指标管控、监测预警、应急处置、信息披露与报送、估值管理等；

（三）加强对场外衍生品业务底层资产、资金流向、杠杆水平的穿透式风险管理，关注并防范业务风险外溢和风险传染；

（四）建立与业务发展相配套的业务及风险管理信息系统和功能。

第七章风险管理信息技术系统和数据

第六十四条公司建立与自身发展阶段、业务特点、规模、业务复杂程度和

风险指标体系相适应的风险管理信息技术系统，覆盖各风险类型、业务条线、各部门、分支机构及子公司，对风险进行计量、汇总、预警和监控，以符合公司整体风险管理的需要。

公司加大风险管理信息技术系统建设投入，每年制定风险管理信息技术系统专项预算，积极推动风险管理数字化转型，通过引入新技术提升风险数据的质量、风险监测的时效性和风险预警的及时性。

第六十五条公司风险管理信息技术系统应当具备以下主要功能，支持风险

管理和风险决策的需要：

（一）支持风险信息的搜集，以及风险计量、评估、监测和报告，覆盖所有类别的主要风险；

（二）支持净资本等风险控制指标监控、预警和报告；

（三）支持风险限额管理，实现监测、预警和报告；

（四）支持对子公司主要风险指标的计算与监控；

（五）支持按照风险类型、业务条线、机构、客户和交易对手等多维度风险

展示和报告；支持同一业务、同一客户风险信息汇总及风险指标监测和报告；

（六）为压力测试工作提供必要的信息技术支持。

风险管理信息技术系统应当功能完备、权限清晰，并采取有效手段，提升公司相关系统的互通关联功能，避免形成信息孤岛，增强系统对风险的穿透识别及多角度分析能力，提升风险管理效能。

第六十六条公司重视风险数据治理，公司级数据治理规划应当覆盖风险数据治理，加大对风险数据治理在人员、技术等方面的资源投入，明确风险数据治15理的职责分工。公司各部门、分支机构及子公司应当积极落实数据质量控制机制，

夯实风险数据治理基础。

公司将数据治理纳入公司整体信息技术建设规划，建立有效的数据治理组织架构、数据全生命周期管理和质量控制机制，构建数据架构、制定数据标准、建立数据质量监测及问题处理流程，有效控制监管报送数据质量，重视数据安全，建立健全事前控制、事中监控、事后考核评价的数据质量管理体系，为风险识别、计量、评估、监测和报告提供支撑。

第八章附则

第六十七条本制度由董事会负责解释和修订。

第六十八条本制度自董事会审议通过之日起实施。