国海证券:国海证券股份有限公司全面风险管理办法（2025年10月修订）

国海证券股份有限公司全面风险管理办法

（经2025年10月30日第十届董事会第十三次会议审议通过）

第一章总则

第一条为规范和加强公司全面风险管理，提升风险管理能力，有效防范、控制和化解风险，保障公司健康、可持续发展，根据《中华人民共和国证券法》《证券公司监督管理条例》《证券公司风险控制指标管理办法》《证券公司全面风险管理规范》《证券公司流动性风险管理指引》《证券公司信用风险管理指引》《证券公司操作风险管理指引》《证券公司市场风险管理指引》《证券公司声誉风险管理指引》等

监管规定和《国海证券股份有限公司公司章程》等有关规定，结合公司业务发展需要和监管要求制订本办法。

第二条本办法所称全面风险管理是指公司董事会、审计委员会、经理层以及全体员工共同参与，对公司经营中面临的流动性风险、市场风险、信用风险、操作风险、声誉风险、信息技术风险、洗钱和恐

怖融资风险（简称洗钱风险）等各类风险进行准确识别、审慎评估、

动态监控、及时报告、妥善应对及全程管理。

第三条公司全面风险管理的目标是建立健全全面风险管理体系，确保承受的风险与公司总体发展战略目标相适应。全面风险管理体系包括可操作的管理制度、健全的组织架构、可靠的信息技术系统、

量化的风险指标体系、专业的人才队伍、有效的风险应对机制。

1第四条全面风险管理的范围涵盖公司经营发展中面临的各类风险，主要包括：

（一）流动性风险：指公司无法以合理成本及时获得充足资金，以偿付到期债务、履行其他支付义务和满足正常业务开展的资金需求的风险。

（二）市场风险：指因市场价格（利率、汇率、股票价格、商品价格等）变动而给公司带来损失的风险。

（三）信用风险：指因融资方、交易对手或发行人等违约导致公司损失的风险。

（四）操作风险：指由不完善或有问题的内部程序、人员、信息

技术系统，以及外部事件造成损失的风险。

（五）声誉风险：指由于公司行为或外部事件、以及公司工作人

员违反廉洁规定、职业道德、业务规范、行规行约等相关行为，导致投资者、发行人、监管机构、自律组织、社会公众、媒体等对公司形

成负面评价，从而损害公司品牌价值，不利于公司正常经营，甚至影响到市场稳定和社会稳定的风险。

（六）信息技术风险：指内、外部原因造成公司网络、信息系统

发生各类技术故障或数据泄漏、信息安全管理不到位等，导致信息系统在业务实现、响应速度、处理能力、数据加密等方面不能保障交易

与业务管理稳定、高效、安全地进行，从而造成损失的风险。

（七）洗钱风险：指公司的产品或服务被不法分子利用从事洗钱

或恐怖融资活动，进而对公司造成不利影响的风险。

2第五条公司全面风险管理应遵循以下原则：

（一）合规性原则。公司风险管理战略应符合国家有关法律法规

和中国证监会及证券业自律组织的有关规定，合法合规是公司一切业务及管理活动开展的基础与前提。

（二）全覆盖原则。公司全面风险管理覆盖各类业务与管理活动；

覆盖所有子公司和分支机构；覆盖所有的部门、岗位和人员；覆盖

所有风险类型和不同风险之间的相互影响；覆盖决策、执行、监督、反馈等全部管理流程。

（三）前瞻性原则。公司坚持预防第一的风险管理理念，加强对

风险的早识别、早预警、早暴露、早处置，建立健全覆盖境内外、场内外、线上线下全部业务的全景式、穿透式的管理体系，及时识别并有效管控风险业务，提升风险管理的前瞻性。

（四）全局性原则。公司关注业务风险外溢及系统性风险的产生及传导，强化跨区域、跨市场、跨境风险识别监测应对，防范风险跨区域、跨市场、跨境传递共振。

（五）有效性原则。公司将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，加强对各类风险的发生原因、影响程度、发展变化分析和预测，及时作出应对，有效管控所承担的总体风险和各类风险。

（六）匹配性原则。公司全面风险管理体系与发展战略、发展

阶段、业务特点、风险状况、经营管理情况等相适应，并根据内外部环境变化适时优化调整。

3（七）平衡性原则。公司在开展业务过程中处理好收益和风险的关系，以实现收益和风险的最优平衡，即在同等风险的前提下实现公司收益的最大化，或者在同等收益的前提下尽可能地减小公司面临的风险。

第六条公司积极培育中国特色金融文化，践行合规、诚信、专

业、稳健的证券行业核心价值观，在全公司推行稳健的风险文化，形成与公司相适应的风险管理理念、价值准则、职业操守，建立培训、宣导和监督机制并纳入考核体系。

第七条公司为全面风险管理工作提供充分和必要的人力、财力、物力和技术支持。

第二章组织架构与职责

第八条公司建立党委统一领导，董事会、审计委员会、经理层、首席风险官，以及各部门、分支机构及子公司、风险管理部门、内审部门组成的组织架构健全、职责边界清晰的全面风险管理组织架构，即董事会及其风险控制委员会、审计委员会——经理层及其风险控制

委员会——首席风险官、风险管理部门、内审部门——各部门、分支机构及子公司。

其中，风险管理部门是指本办法第十八条规定的各类风险类型的归口管理主责部门和第二十条规定的专门风险管理部门，内审部门特指公司稽核审计部。

第九条公司确立风险管理三道防线，即各部门、分支机构及子

公司实施有效自我控制为第一道防线，风险管理部门在事前和事中实

4施专业的风险管理为第二道防线，内审部门实施事后监督、评价为第三道防线。

第十条公司明确党委、董事会、审计委员会、经理层、首席风

险官、风险管理部门、内审部门、以及各部门、分支机构及子公司在

全面风险管理中的职责分工，赋予风险管理组织机构、人员足够的权限与资源，建立各部门、分支机构及子公司、风险管理部门、内审部门之间密切协作、相互衔接、有效制衡的运行机制。

第十一条公司党委对全面风险管理工作进行全面领导，充分发

挥把方向、管大局、促落实的领导作用，按照公司党委会议事规则对全面风险管理相关事项进行前置研究。

第十二条公司董事会承担全面风险管理的最终责任，履行以下

职责：

（一）树立与公司相适应的风险管理理念，全面推进公司风险文化建设；

（二）审议批准公司风险管理战略，并推动其在公司经营管理中有效实施；

（三）审议批准公司全面风险管理基本制度；

（四）审议批准公司的风险偏好、风险容忍度以及重大风险限额；

（五）审议公司定期风险评估报告；

（六）任免、考核首席风险官，确定其薪酬待遇；

（七）建立与首席风险官的直接沟通机制；

（八）公司章程规定的其他风险管理职责。

5董事会可授权其下设的风险管理相关专业委员会履行其全面风

险管理的部分职责。

第十三条公司审计委员会承担全面风险管理的监督责任，负责监督检查董事会和经理层在风险管理方面的履职尽责情况并督促整改，对发生重大风险事件负有主要责任或者领导责任的董事、高级管理人员提出罢免的建议。

第十四条公司经理层对全面风险管理承担主要责任，履行以下

职责：

（一）率先垂范，积极践行中国特色金融文化、行业文化及公司

风险文化，恪守公司价值准则和职业操守；

（二）制定践行公司风险文化、风险管理理念的相关制度，引导全体员工遵循良好的行为准则和职业操守；

（三）拟定风险管理战略，制定风险管理制度，并适时调整；

（四）建立健全公司全面风险管理的经营管理架构，明确全面风

险管理职能部门、业务部门以及其他部门、分支机构和子公司在风险

管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制；

（五）制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案，确保其有效落实；对执行情况进行监督，及时分析原因，并根据董事会的授权进行处理；

（六）定期评估公司整体风险和各类重要风险管理状况，解决风险管理中存在的问题并向董事会报告；

（七）建立体现风险管理有效性的全员绩效考核体系；

6（八）建立完备的信息技术系统和数据质量控制机制；

（九）风险管理的其他职责。

公司经理层可授权下设的投资决策与风险控制委员会以及各二

级委员会，履行经理层的部分风险管理职责。

第十五条公司任命一名高级管理人员担任首席风险官。首席风

险官除需满足证券基金经营机构高级管理人员任职条件外，还应当具有与风险管理相关的管理学、经济学、法学、理学、工学专业背景或

通过 FRM、CFA、CPA 资格考试；并具有以下工作经历之一：

（一）从事证券公司风险管理相关工作8年（含）以上，或担任

证券公司风险管理相关部门负责人3年（含）以上；

（二）在证券公司从事业务工作、风险管理工作合计10年（含）以上，或担任证券公司两个（含）以上业务部门负责人累计达5年（含）以上；

（三）在证券、公募基金、银行、保险业从事风险管理工作合计

10年（含）以上，或从事境外成熟市场投资银行风险管理工作8年

（含）以上；

（四）在证券监管机构、自律组织的专业监管岗位任职8年（含）以上。

第十六条首席风险官负责公司全面风险管理工作，不得兼任或

者分管与其职责相冲突的职务或者部门。首席风险官的主要职责包括：

（一）指导建立风险文化培训、宣导计划，推动公司风险管理专业人员队伍建设和公司风险文化建设；

7（二）组织拟定公司风险管理制度、风险偏好等重要风险管理政策；

（三）参与公司战略规划和年度经营计划、重大业务、重大风险事件的研究或决策；

（四）组织识别、评估、监测、报告公司总体风险及各类风险情况，定期或不定期向公司董事会和经理层报告，按照董事会的相关决议和经理层的工作要求，组织落实各项风险管理措施；

（五）协助公司经理层建立完善涵盖流动性风险、市场风险、信

用风险、操作风险、声誉风险、信息技术风险、洗钱风险等在内的风险管理组织架构；

（六）组织开发和更新风险管理信息技术系统，组织研究确定风

险管理的模型、参数和标准；

（七）组织建立符合公司自身特点的风险管理指标体系，对风险

进行计量、汇总、预警、监控和应对；

（八）保持与证券监管机构和自律组织的联系沟通，主动配合证

券监管机构和自律组织的工作，跟踪和评估监管意见和监管要求的落实情况；

（九）审核公司向董事会和监管机构提交的定期或不定期风险管理报告以及重大风险事项报告；

（十）牵头处置或协助处置重大风险事件，并及时报告公司主要领导和监管部门；

（十一）组织开展公司风险管理相关考核评价。

8（十二）经公司授权的其他职责。

第十七条公司保障首席风险官能够充分行使履行职责所必须的知情权和独立性。首席风险官有权参加或者列席与其履行职责相关的会议，调阅相关文件资料，获取必要信息。

公司股东、董事和高级管理人员不得违反规定的程序直接向首席风险官下达指令或者干涉其工作。

第十八条公司在全面风险管理体系框架下，明确各类型风险管

理工作的主责部门，对各类型风险进行归口管理：

（一）市场风险、信用风险、操作风险由风险管理一部归口管理；

（二）流动性风险由财务管理部归口管理；

（三）声誉风险由办公室归口管理；

（四）洗钱风险由法律合规部归口管理；

（五）信息技术风险由信息技术管理部门即信息技术部、数智运营部归口管理。

各类型风险的归口管理主责部门负责建立对相应类型风险的管

理机制与流程，对各类型风险进行归口管理，包括但不限于：制定风险管理政策，分解并落实相应管理和执行责任，对事前、事中、事后的风险识别、监控、评估、应对、报告进行牵头、统筹管理；对各部

门、分支机构和子公司进行专业风险管理培训，接受各部门、分支机构和子公司对专业风险领域的咨询，对不同风险类型之间的关联和转化进行分析、报告等；在职责范围内负责对各部门、分支机构和子公

司相关风险管理工作开展日常检查、监督等。

9第十九条公司分管相关风险类型、相关业务领域的高级管理人

员负责各自分管范畴的风险管理，并为首席风险官统筹全面风险管理工作提供支持。

首席风险官在其他高级管理人员的支持下，牵头进行整体规划、协调、整合，将不同风险类型、不同部门与不同业务的风险管理纳入公司全面风险管理体系并持续优化完善。

第二十条公司设立专门的风险管理部门即风险管理一部、风险

管理二部，专门履行风险管理职责，在首席风险官的领导下推动公司全面风险管理工作。

（一）风险管理一部主要职责包括：

1.推动构建并不断完善公司全面风险管理体系；

2.建立公司风险文化培训、宣导及相应的监督考核机制，制定并

实施覆盖公司全体员工的风险文化培训、宣导计划；

3.组织拟订风险偏好、风险容忍度和风险限额等，为公司提供决策依据，并监控、监督其执行情况；

4.组织识别公司各项业务与管理环节的风险，建立健全公司风险

识别、风险评估、风险监测、风险应对和报告的制度、程序与方法；

5.牵头建立完善公司新业务风险管理机制，参与对具体新业务的

风险控制机制设计及方案的风险审核和评估，评估意见供公司决策参考；

6.监测公司业务与管理活动中的风险，揭示公司整体及各类风险

状况和水平，组织实施风险预警工作；

107.组织开展风险评估，定性描述或定量计量公司风险水平；逐步

提升对业务风险调整后收益水平的评估能力，为公司资源配置提供支持；

8.推动完善公司业务投资决策授权管理体系建设，并根据业务投

资决策授权对高风险业务提供风险管理建议；

9.建立通畅的风险信息沟通与传递机制，进行风险报告，为业务

决策提供风险管理建议；

10.指导、检查、监督、评价和报告各部门、分支机构及子公司

的风险管理工作，对各部门、分支机构及子公司进行风险管理考核；

11.组织开发建设风险计量模型，对金融工具估值模型进行验证评估，对公司金融工具的估值模型和风险计量模型进行审核确认；

12.推进建设和完善风险管理信息技术系统；

13.其他风险管理事项。

（二）风险管理二部主要职责包括：

1.专职负责投资银行类业务风险管理;

2.作为投资银行业务常设内核机构，牵头开展投资银行业务内核工作；

3.协助首席风险官、风险管理一部履行相关职责。

第二十一条财务管理部负责公司流动性风险管理，主要职责包

括：

（一）制定流动性风险管理制度、策略、措施和流程；

（二）协助风险管理一部设计与流动性风险管理相关的公司整体

11的风险偏好、风险容忍度和风险限额指标等;并监测相应执行情况，

及时报告并处置超限额情况；

（三）负责公司层级流动性风险识别、计量、监测、报告和应对工作；牵头组织流动性风险应急预案制定、演练和评估；

（四）定期向首席风险官报告流动性风险水平、管理状况及重大变化；

（五）组织开展流动性压力测试；

（六）其他流动性风险管理事项。

第二十二条办公室负责公司声誉风险管理，主要职责包括：

（一）制定声誉风险管理制度、策略、措施和流程；

（二）组织对声誉风险进行识别、评估、监控和报告，主动、有

效地防范声誉风险和协调公司相关部门应对声誉风险事件，最大程度地减少对公司造成的损失和负面影响；

（三）组织落实舆情监测、预警、研判和报告，提出舆情应对方案的建议并组织实施；

（四）负责制定声誉风险应对预案，处理公司声誉事件，协调组织声誉事件中的媒体对接和沟通；

（五）汇报公司声誉风险管理状况及重大变化；

（六）指导和检查各部门、分支机构、子公司的声誉风险管理工作；

（七）其他声誉风险管理事项。

第二十三条法律合规部负责公司洗钱风险管理，主要职责包括：

12（一）拟订、修订公司反洗钱管理内部控制制度、政策和程序；

（二）持续检查公司反洗钱管理内部控制制度、政策和程序的执行情况；

（三）识别、评估、监测公司的洗钱风险，提出控制洗钱风险的措施和建议；

（四）建立反洗钱工作协调机制，组织、协调、指导、监督公司业务部门开展客户洗钱风险评估及分类管理工作、业务（含产品、服务）的洗钱风险评估；

（五）组织落实交易监测和名单监控的相关要求，按照规定报告大额交易和可疑交易以及涉嫌洗钱犯罪线索；

（六）其他洗钱风险管理相关事项。

第二十四条公司信息技术管理部门（包括信息技术部、数智运营部），负责公司信息技术风险管理，主要职责包括：

（一）对公司经营管理领域的信息技术风险进行识别、评估、监

控、应对和报告，并在其职责分工及专业特长范围内为其他部门管理信息技术风险提供相关资源和支持；

（二）针对信息系统事故建立风险应急机制，明确应急触发条件、风险处置的组织体系、措施、方法和程序，并通过压力测试、应急演练等机制进行持续改进；

（三）建立健全数据治理和质量控制机制，将数据治理纳入公司

整体信息技术建设战略规划，构建数据架构、制定数据标准、建立数

13据质量监测及问题处理流程；建立健全事前控制、事中监控、事后考

核评价的数据质量管理体系。

（四）建立相关管理制度和技术手段，确保公司的 IT 系统与信

息安全满足行业的有关规范并达到安全等级规范要求，保障业务活动的连续性，保证重要信息的保密、完整及可用，确保信息内容符合法律法规的要求。

（五）其他与信息技术风险管理相关事项。

第二十五条各部门、分支机构及子公司是风险管理的第一责任人，公司各部门、分支机构及子公司的负责人承担本单位风险管理的直接责任，主要职责包括：

（一）在日常工作中宣导并督促本单位员工积极践行公司风险文

化、风险管理理念，遵循价值准则和职业操守；

（二）组织落实公司风险管理制度和流程措施、风险偏好、风险限额和风控标准；

（三）组织制定并实施本单位业务与管理活动相关风险管理制度、关键业务环节的操作流程；

（四）全面了解并在决策中充分考虑与业务、管理活动相关的各类风险，从源头识别、分析、评估和监测本单位的各类风险，并在授权范围内进行风险应对；

（五）按照公司风险信息报告机制、流程，组织本单位相关风险

管理信息的传递和报送；发生重大风险事项的，应及时向风险管理部门、分管领导、首席风险官、公司经理层报告。

14（六）指定相应的团队或人员组织本单位切实履行一线风控职能，

就本单位日常风险管理工作与风险管理部门保持密切沟通。

其中，承担管理职能的业务部门应当配备专职风险管理人员，风险管理人员不得兼任与风险管理职责相冲突的职务。

（七）定期或不定期对业务或管理风险情况进行自查、开展风险

管理自我评估，并根据评估结果及时改进风险管理薄弱环节；根据需要建立并动态优化相应的风险处置程序和应急预案；

（八）配合公司信息技术管理部门、风险管理部门有关数据治理、风险信息技术系统建设等，向其提供与风险管理有关的业务数据及技术支持，协助全面风险管理信息技术系统与有关业务系统对接，并获取相关数据；

（九）牵头管理、处置本部门、分支机构及子公司相应风险，其

他相关部门、分支机构及子公司应当给予协助与配合。发生重大风险事件的，可由公司指定的部门牵头处置，相关部门、分支机构及子公司协助与配合；

（十）其他风险管理相关事项。

第二十六条公司将全面风险管理纳入内部审计范畴。稽核审计

部负责定期对全面风险管理的充分性和有效性进行独立、客观的审查和评价，对公司风险文化建设和推进成果进行评估，频率不低于每三年一次；对于内部审计发现问题的，督促相关责任单位及责任人及时整改，并跟踪检查整改措施的落实情况。

第二十七条公司每一名员工对风险管理有效性承担勤勉尽责、

15审慎防范、及时报告的责任。包括但不限于：结合岗位职责，在日常

工作中积极践行公司风险文化、遵循行为准则和职业操守，通过学习、经验积累提高风险意识；谨慎处理工作中涉及的风险因素；发现风险隐患时主动应对并及时履行报告义务。

第二十八条公司配备充足的专业人员从事风险管理工作，并提供相应的工作支持和保障。所有承担风险管理职责的人员应当熟悉证券业务并具备相应的风险管理技能。

公司通过选育用留等管理机制加强风险管理人才队伍建设，并提供相应的风险管理资源投入。公司风险管理一部、风险管理二部具备

3年以上的证券、金融、会计、信息技术等相关领域工作经历的人员

合计占公司总部员工比例应不低于2%。风险管理一部、风险管理二部人员工作称职的，其薪酬收入总额应当不低于公司总部业务部门同职级人员的平均水平。

第三章风险偏好及指标体系

第二十九条公司明确公司风险偏好，制定包括风险容忍度和风

险限额等的风险指标体系突出功能性要求和稳慎原则，以净资本等各项风险控制指标持续合规稳健为前提，并通过压力测试等方法计量风险、评估承受能力、指导公司资源配置。

第三十条公司制订风险偏好，明确对风险的基本态度和风险管理的基本策略。

公司制订公司风险偏好时，组织风险管理一部、财务管理部、战略管理部、办公室、法律合规部等相关部门研究并统筹考虑监管要求、

16发展目标和资源能力等因素。其中，监管要求包括风险控制指标要求、合规与内部控制要求等；发展目标包括公司战略目标、信用评级目标、

分类评价目标、收益要求、较低收入波动要求等；资源能力包括资本

实力、融资能力、管理能力等。

第三十一条公司以制定的风险偏好为指导，制定包括风险容忍

度和风险限额等的风险指标体系，并考虑以下因素：

（一）风险指标体系与公司财务预算、资产负债配置计划、各业

务线业务计划的制订协调推进，确保公司承担的风险与收益相匹配，与公司经营计划相适应；

（二）风险指标与业务规模、业务性质和复杂程度、人员的专业

水平和管理经验、风险计量能力等相适应；

（三）风险指标定性与定量相结合，覆盖主要风险类型，并便于

分解、汇总、日常监测与计量。

第三十二条公司风险偏好和风险指标由公司董事会、经理层或

其授权机构分级审批，并分解至各业务部门、分支机构及子公司。公司经理层、首席风险官、风险管理部门以及各部门、分支机构及子公司各自在职责范围内对分解后指标的执行情况进行监控和管理。

第三十三条公司风险管理一部组织各部门、分支机构及子公司

建立各层级风险指标管理程序，规范风险指标设定、调整、预警与超限报告、跟踪处置的制度流程。

17第三十四条公司风险管理一部组织各部门、分支机构及子公司

每年对风险偏好和风险指标体系进行整体评估，并根据执行情况及内外部因素变化进行持续优化完善。

第四章风险管理政策与机制

第三十五条公司制定并持续完善风险管理制度，明确风险管理

的目标、原则、组织架构、授权体系、职责分工、基本程序等，并针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程。公司通过评估、稽核、检查和绩效考核等手段保证风险管理制度的贯彻落实，并结合实际情况及时更新、调整、改进相关制度机制。

第三十六条公司建立并不断完善组织健全、职责清晰、有效制

衡、激励约束合理的授权管理体系，明确授权程序、范围、权限和责任。董事会在法律法规规定的范围内授权经理层对业务范围、业务规模、关联交易、对外大额投融资等重大经营事项进行决策；经理层可

在董事会的授权内进行转授权，但累计转授权不得超越董事会对经理层的授权范围。各部门、分支机构及子公司在被授予的权限范围内开展工作，严禁越权从事任何经营活动。公司通过制度、流程、系统、考核评价等方式，进行有效管理和控制，并确保业务经营活动受到制衡和监督。

第五章风险识别与评估

第三十七条公司根据风险管理的目标，采取各种方式，全面、

18系统、持续地收集和分析可能影响实现公司经营管理目标的内外部信息，并结合公司业务和管理特点，识别公司面临的风险点及其来源、特征、形成条件、驱动因素、发生频率和潜在影响程度，并按业务、部门和风险类型等进行分类。

公司密切关注流动性风险、市场风险、信用风险、操作风险、声

誉风险、洗钱风险和信息技术风险等各类风险之间的交互影响和转化，审慎评估对公司声誉、运营、财务等方面的影响，并定期梳理、总结风险识别结果及驱动因素，及时更新相关管理流程、应急机制等。

第三十八条公司采取定性与定量相结合的方法，根据风险发生

的可能性及其影响程度，对识别的风险进行分析计量并进行等级评价或量化排序，确定关注重点和优先控制的风险，且在考虑风险关联性的基础上，汇总公司层面的风险总量，审慎评估公司面临的总体风险水平。

第三十九条公司建立健全常态化压力测试机制，根据业务发展

情况和市场变化情况，定期或不定期对公司各类风险开展压力测试，并根据测试结果及时采取相应的控制措施。压力测试机制包括压力测试的职责分工、触发机制、方法流程、情景设计、保障支持、报告路

径以及压力测试结果运用。公司及时根据内外部经营环境、业务发展情况和市场变化情况，对各类风险进行压力测试。

第四十条公司规范金融工具估值的方法、模型和流程，建立业

务部门、分支机构、子公司与风险管理部门、财务管理部门等的协调机制，确保风险计量基础的科学性、计量结果的合理性。

19第四十一条公司选择风险价值、信用敞口、敏感性分析、压力

测试等模型或方法来计量和评估市场风险、信用风险、流动性风险等

可量化的风险类型，并逐步构建、应用计量结果更准确、风险敏感度和可比性更高的内部计量方法或模型，方法或模型充分考虑敏感性、前瞻性与审慎性，并充分认识所选方法或模型的局限性，采用有效手段进行补充。

第四十二条公司所采用的金融工具的估值模型及风险计量模型应当经公司风险管理一部确认。公司风险管理一部定期对金融工具估值模型与风险计量模型的有效性进行检验和评价，必要时组织各模型相关部门根据公司相关制度和流程进行调整和改进，确保相关假设、参数、数据来源和计量程序的合理性与可靠性。

第四十三条公司采用各种量化工具对风险进行定量分析与计量。

对于难以通过量化工具计量进行评估和预警的风险，公司通过建立完善管理制度、规范流程等方式对相关风险进行有效管理和控制。

第六章风险监测、应对与报告

第四十四条公司建立与自身业务与管理活动特征相适应的逐日

盯市等风险监控机制，准确计算、动态监控关键风险指标情况，分析、判断和预测各类风险指标的变化，及时预警超越各类、各级风险限额指标等情形，明确异常情况的报告路径和处理办法。

第四十五条公司实行风险指标分级监控机制，各部门、分支机

构及子公司对各自业务风险指标情况进行监控、预警和处理，各类型风险归口管理主责部门分别对公司层级相关关键风险指标情况进行

20监控、预警和处理，并根据管理需要及职责分工对业务风险指标监控情况进行监督。

第四十六条各部门、分支机构、子公司及各类型风险归口管理

主责部门在监控各自领域风险过程中如发现异常情况，应及时按照公司相关规定进行报告。

各类型风险归口管理主责部门发现公司层级相关风险指标超限额的，应当与各部门、分支机构、子公司及时沟通，了解情况和原因，督促各部门、分支机构、子公司采取措施在规定时间内予以有效应对，并按照规定的报告路径及时报告。

第四十七条公司针对各项业务风险特征，建立起覆盖各项业务、各类风险的风险应对机制，根据风险评估和预警结果，选择与公司风险偏好相适应的风险回避、降低、转移和承受等应对策略，建立合理、有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对机制。公司根据风险识别、评估情况和公司实际情况，合理判断和预测风险的发展变化，及时调整风险应对策略。

公司各类型风险归口管理主责部门、各业务与管理活动领域的主

责部门应当事前规范各类风险应对策略的审批机制和操作流程，确保风险应对及时，应对措施合理、适当，风险处置化解有效。

第四十八条公司在各部门、分支机构及子公司、风险管理部门、首席风险官、经理层、董事会之间建立健全畅通的风险信息报告和沟通机制，确保相关信息传递与反馈的及时、准确、完整。通过有效的沟通和反馈，确保公司各管理层级和有关部门及时了解公司业务和资

21产的风险状况，相应调整风险管理政策和管理措施。

第四十九条风险管理一部组织编制公司风险管理日报、月报、年报等定期报告，并提交公司经理层，反映风险识别评估结果以及应对方案或建议；针对重大风险，风险管理部门组织涉事部门出具专项评估报告，评估重大风险的影响并提出应对策略。通过向公司经理层提交风险管理有关定期报告及专项评估报告，确保经理层及时、充分了解公司风险状况。

第五十条公司经理层每年向董事会报告公司总体风险状况。当

公司出现重大风险情况时，公司经理层应及时向董事会报告。

第七章子公司风险管理

第五十一条针对控股子公司，公司依法依规通过公司治理程序

将所有控股子公司纳入全面风险管理体系，对其风险管理工作实行垂直管理并逐步加强一体化管控，从公司治理、风险偏好与风险指标管理、新业务管理、重大事项管理、风险报告、考核评价等方面强化对

子公司的风险管理，要求并确保子公司在整体风险偏好和风险管理制度框架下，建立健全自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系，保障全面风险管理的一致性和有效性。

公司根据具体子公司所属行业监管要求和行业（业务）特点，以穿透管理与授权管理相结合的方式，推进落实子公司风险管理要求。

针对参股企业，其业务和风险对公司财务状况和风险水平构成重大影响的，公司按照防控风险的原则构建相应的风险管理机制，通过对参股企业行使股东权利、对其重大事项发表风险管理意见或建议、

22定期获取其风险管理报告及财务报告、及时关注其公开信息等方式，

有效管控参股企业的相关风险。

参股企业对公司的重大影响原则上包括但不限于对公司的主要

财务指标、主要风险指标的影响达到或超过公司相应指标10%的情形。

第五十二条公司各层级子公司原则上应当按照前述纳入全面风

险管理体系的范围，分别将其下一层级子公司或其管理的投资机构纳入全面风险管理体系，对其风险管理工作实行垂直管理并逐步加强一体化管控。

公司可以按照重要性原则、风险实质等情况，根据实际需要，跨级对子公司进行垂直一体化管控。

第五十三条公司子公司应当任命一名高级管理人员负责子公司

的全面风险管理工作，子公司全面风险管理工作的负责人不得兼任或者分管与其职责相冲突的职务或者部门。

子公司风险管理工作负责人的任命由公司首席风险官提名，子公司董事会聘任，其解聘应征得公司首席风险官同意。

子公司风险管理工作负责人在首席风险官指导下开展风险管理工作，并向首席风险官履行风险报告义务。

公司首席风险官对子公司风险管理工作负责人进行考核，考核权重占比不低于50%。

第五十四条公司子公司应当指定或者设立专门部门（或专门岗位）履行风险管理职责，在子公司风险管理负责人的领导下推动子公司的全面风险管理工作。

23公司根据实际情况采用授权或穿透管理的方式参与对子公司风

险管理人员的选拔聘用、岗位职责设定、考核评价等环节，加强对子公司风险管理人员的管理。

第五十五条公司将子公司纳入整体风险偏好及风险指标体系，在子公司推行基本一致的风险偏好，将子公司各项业务纳入公司整体风险指标体系。

第五十六条公司子公司应在公司整体风险管理制度框架体系下制定并持续完善子公司层面的风险管理制度体系。

第五十七条公司子公司管理部门组织对子公司的重要风险管理

制度、重大新业务、重大资产负债配置方案、重大投资交易或授信、重大风险应对策略等进行审批或出具专业意见。

公司各相关事项归口管理部门组织研究制定上述“重要”“重大”

等的具体标准，并在子公司管理相关制度中予以明确，根据实际管理需要适时调整。上述标准需相应风险管理部门发表意见。

第五十八条公司将子公司的各类风险计量模型、金融产品及金

融工具的估值模型纳入统一管理，公司风险管理一部组织对子公司的模型进行验证评估或要求子公司使用公司统一的计量模型，有效控制子公司的模型管理风险。

子公司开展资产管理业务、场外衍生品业务等，相关监管机构或自律管理组织对其估值模型有明确规定的，从其规定。

24第五十九条公司将子公司风险纳入统一监控和报告范围，逐步

通过风险管理信息系统每日获取子公司风险数据，将子公司风险纳入公司层面进行统一监测和报告。

第六十条公司不断建立健全子公司风险信息沟通与报告机制，明确子公司向公司报送定期或不定期风险报告的类型、报送频率、报

告内容等具体要求。子公司发生重大资产损失、资产负债结构显著变化、超越重要风险限额、应急事件、重大声誉风险事件、重大操作风

险事件等重大风险事项的，应在发生之日起一个工作日内向公司进行报告。

第六十一条公司将子公司纳入公司年度风险管理绩效考核及责

任追究体系，对子公司风险控制过程以及控制效果进行风险管理考核评价；督导子公司建立与风险管理挂钩的绩效考核及责任追究机制，由子公司风险管理负责人组织对子公司各部门进行风险管理考核评价。

第六十二条公司拓展境外业务时，公司战略管理部门应组织统

筹制定清晰的境外业务发展战略，综合考虑自身财务状况、内部控制和风险管理水平、对境外子公司的管理和控制能力等因素，合理确定开展境外业务的业务类别、业务模式和业务规模等，将境外子公司纳入全面风险管理体系，确保境外子公司的业务发展与资本规模、展业能力及风险管理水平相适应。

25公司除了将境外子公司纳入全面风险管理体系，对其风险管理工

作实行垂直一体化管控以外，应通过以下方式强化对境外子公司的风险管理：

（一）明晰境外子公司的风险管理组织架构，明确公司风险管理

部门及人员与境外子公司风险管理部门及人员之间的授权分工，加强对境外子公司风险管理人员的日常工作管理，完善公司与境外子公司之间风险信息的沟通和报告机制，建立对境外子公司风险管理有效性、风险应对能力等方面的专项检查机制，检查频率不低于每年一次；

（二）强化重点岗位人员和关键环节管理、开展培训教育、发布

廉洁合规提醒等，加强境外廉洁合规经营管理；

（三）重点关注境外监管制度及市场规则差异、境外市场波动特

征、业务复杂程度、跨境资金流动管理要求等境外风险因素。

第八章专项领域的风险管理

第六十三条公司坚守业务本源、稳慎开展业务创新，建立针对

新业务、新产品的风险管理制度和流程，明确需满足的条件和公司内部审批路径，充分了解新业务、新产品模式，识别各类潜在风险，关注信息技术、舆情负面评价、ESG（环境、社会和治理）等风险因素，评估公司是否有相应的人员、系统及资本开展该项业务。各部门、分支机构及子公司不得开展任何未经风险评估、未落实风险管理措施，以及未经公司授权的业务。

新业务、新产品的申请部门应从业务可行性、风险识别充分性、

控制措施完备性、配置资源充足性等方面进行充分准备、制定业务方

26案。风险管理一部或风险管理二部组织对公司新业务、新产品的方案

进行评估并出具风险评估报告。

新业务、新产品的设计人员，参与评估、审核、决策的相关人员都应充分了解新业务、新产品的运作模式、主要风险点及控制措施，以及估值模型及风险管理的基本假设、压力情景下的潜在损失等。

公司在开展新业务、新产品时，将其纳入公司全面风险管理体系及风险识别、评估、监测、报告、应对等管理流程，申请部门、风险管理部门应组织及时上线与业务活动复杂程度和风险状况相适应的风险管理系统或相关功能。

第六十四条公司建立健全同一业务风险管理机制，建立同一业

务的风险管理制度和流程，明确同一业务的定义、分类标准、职责分工以及相应的风险管理要求，并覆盖公司各业务部门和各级子公司。

第六十五条公司根据同一业务的定义和分类标准对公司及各级

子公司的各项业务进行分类，建立并完善与业务复杂程度和风险指标体系相适应的同一业务风险管理信息技术系统或相关系统功能，对同一业务逐步实行基本一致的风险控制措施，对风险信息汇总管理并实施同一业务层面的风险监测、分析和预警。

第六十六条公司建立健全同一客户风险管理机制，明确同一客

户的定义、认定标准、业务覆盖范围以及各组织机构的职责分工，建立同一客户风险管理相关风险限额、制度及流程，并覆盖公司各业务部门、分支机构及各级子公司。

27第六十七条公司根据同一客户认定标准和业务覆盖范围组织实

施同一客户的认定，逐步建立并完善同一客户风险管理信息技术系统或相关系统功能，对同一客户信用风险、集中度风险进行管控，对同一客户风险信息汇总管理并逐步应用于尽调、评级、授信、监测等环节。

第六十八条公司构建和完善针对资产管理业务、场外衍生品业

务等表外业务、场外业务的风险管理机制，主要包括：

（一）充分识别表外业务、场外业务风险的复杂性、隐蔽性，严格落实客户准入及适当性管理要求；

（二）规范产品设计、指标管控、监测预警、应急处置、信息披露与报送、估值管理等；

（三）加强对场外衍生品业务底层资产、资金流向、杠

杆水平的穿透式风险管理，关注并防范业务风险外溢和风险传染；

（四）建立与业务发展相配套的业务及风险管理信息系统和功能。

第九章风险管理信息技术系统与数据

第六十九条公司建立与自身发展阶段、业务特点、规模、业务

复杂程度和风险指标体系相适应的风险管理信息技术系统，覆盖各风险类型、业务条线、各部门、分支机构及子公司，对风险进行计量、汇总、预警和监控。

公司每年制定风险管理信息技术系统专项预算，加大风险管理信息技术系统建设投入，指定公司信息技术管理部门、风险管理部门共

28同推动风险管理数字化转型，通过引入新技术提升风险数据的质量、风险监测的时效性和风险预警的及时性。

第七十条公司风险管理信息技术系统应不断完善，并至少具备

以下主要功能，支持风险管理和风险决策的需要。

（一）支持风险信息的搜集，以及风险计量、评估、监测和报告，覆盖所有类别的主要风险；

（二）支持净资本等风险控制指标监控、预警和报告；

（三）支持风险限额管理，实现监测、预警和报告；

（四）支持对子公司主要风险指标的计算与监控；

（五）支持按照风险类型、业务条线、机构、客户和交易对手等

多维度风险展示和报告；支持同一业务、同一客户风险信息汇总及风险指标监测和报告；

（六）为压力测试工作提供必要的信息技术支持。

公司采取有效手段，提升公司相关系统的互通关联功能，避免形成信息孤岛，增强系统对风险的穿透识别及多角度分析能力，提升风险管理效能。

第七十一条公司保障风险管理部门优化和完善风险管理信息技

术系统各部门、分支机构及子公司采取系统对接、数据提供、技术支持等措施支持风险管理信息技术系统有效运转和功能发挥。

第七十二条公司建立健全数据治理和质量控制机制。公司重视风险数据治理。公司数据治理规划覆盖风险数据治理，加大对风险数据治理在人员、技术等方面的资源投入，明确风险数据治理的职责分

29工。公司各部门、分支机构及子公司积极落实数据质量控制机制，夯

实风险数据治理基础。

公司将数据治理纳入公司整体信息技术建设战略规划，建立有效的数据治理组织架构、数据全生命周期管理和质量控制机制，构建数据架构、制定数据标准、建立数据质量监测及问题处理流程，有效控制监管报送数据质量，重视数据安全，建立健全事前控制、事中监控、事后考核评价的数据质量管理体系，为风险识别、计量、评估、监测和报告提供支撑。

第十章应急处置

第七十三条公司建立和完善流动性危机、信息系统事故、重大

声誉事件、重大操作风险事件、洗钱风险事件等突发事件和紧急情况

的应急机制，明确应急触发条件、风险处置的组织决策体系、措施、方法和程序，并通过压力测试、应急演练等机制进行持续改进，确保对重大风险、突发事件管控的及时性和有效性。

第七十四条在突发事件和紧急情况处置完成后，应急处置相关

责任部门事后应及时编制总结报告，深入分析突发事件产生原因，评估应急处置效果及存在的问题，提出防范事件再次发生的改进措施和长效机制，并完善应急处置预案。

第七十五条公司定期、不定期组织应急演练，检查评价应急预

案的可操作性和有效性，组织相关部门对应急预案进行修订，增强员工的风险意识，确保员工掌握应急处理技能。

30第十一章风险文化建设

第七十六条公司以“合规、诚信、专业、稳健”行业文化作为

公司风险文化根基，将风险意识融入公司发展战略，平衡短期业绩与长期稳健发展的关系，引导公司全体员工积极践行中国特色金融文化、行业文化及公司风险文化，恪守公司价值准则和职业操守，遵循良好的行为准则和职业操守。

第七十七条公司重视风险文化建设，倡导“全员参与”。公司通