山西证券股份有限公司全面风险管理制度
(经公司第四届董事会第十二次会议审议通过)目录第一章 总则第二章 风险管理组织体系第三章 风险管理政策和机制第四章 风险管理信息技术系统和数据第五章 评价与考核第六章 附则
第一章 总则第一条 为加强和规范山西证券股份有限公司(以下称“公司”)全面风险管理,增强核心竞争力,保障公司业务持续稳健运行,根据《证券公司监督管理条例》、《证券公司风险控制指标管理办法》以及《证券公司全面风险管理规范》等相关法律法规,结合公司实际情况,制订本制度。
第二条 本制度所称风险,是指在公司经营过程中各类因素对公司产生不利影响或损失的可能性,包括流动性风险、市场风险、信用风险、操作风险、洗钱风险、信息技术风险、廉洁从业风险、声誉风险等。
第三条 本制度所称全面风险管理,是指公司董事会、经理层以及全体员工共同参与,对公司经营中的流动性风险、市场风险、信用风险、操作风险、洗钱风险、信息技术风险、廉洁从业风险、声誉风险等各类风险进行准确识别、审慎评估、动态监控、及时应对及全程管理。
第四条 公司全面风险管理的目标是依据诚信、稳健、规范、创新、高效的经营理念,贯彻“风险全面评估、管理同步监督、经营逐级控制”的指导思想,依托技术平台的应用和支持,促使和激励公司
所有部门和每一名员工采用更好的风险管理实践,使公司以最佳的方式承担风险、维护公司声誉、提升股东价值。
第五条 公司全面风险管理应遵循以下原则:
(一)全面性原则:全面风险管理应覆盖公司所有业务、部门、分支机构、子公司及全体人员,贯穿决策、执行、监督、反馈全过程。
(二)制衡性原则:公司建立不同部门、业务线、岗位之间的制衡体系,各级部门、业务线和岗位的设置应当权责分明、相互制衡和相互监督。
(三)重要性原则:风险管理应当在对风险进行全面掌握的基础上,对重要业务、重大事项、主要操作环节和高风险领域实施重点管理。
(四)适应性原则:风险管理工作应当与公司业务范围、经营规模、组织架构和风险状况等相适应,并随着市场、技术、监管及法律环境的变化及时加以调整和完善。
(五)独立性原则:承担公司风险监控、检查职能的部门应当独立于公司其他部门,禁止公司内部任何部门干涉独立行使风险管理职能的行为。
(六)成本效益原则:风险管理应当权衡实施成本与预期收益,以适当的成本实现有效的风险控制。
第六条 公司应当建立健全与自身发展战略相适应的全面风险管理体系。全面风险管理体系应当包括良好的风险管理文化、可操作的管理制度、健全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制。
第七条 公司应将所有子公司以及比照子公司管理的各类孙公司(以下简称“子公司”)纳入全面风险管理体系,强化分支机构风险管理,实现风险管理全覆盖。
第八条 公司应当在全公司推行稳健的风险文化,形成与公司相
适应的风险管理理念、价值准则、职业操守,建立培训、传达和监督机制。
第二章 风险管理组织体系第九条 公司董事会、监事会、经理层、各部门、分支机构及子公司在各自的职责范围内履行全面风险管理的职责,建立多层次、相互衔接、有效制衡的运行机制。
第十条 公司董事会承担全面风险管理的最终责任,履行以下职责:
(一)推进风险文化建设;
(二)审议批准公司全面风险管理的基本制度;
(三)审议批准公司的风险偏好、风险容忍度以及重大风险限额;
(四)审议公司定期风险评估报告;
(五)任免、考核首席风险官,确定其薪酬待遇;
(六)建立与首席风险官的直接沟通机制;
(七)公司章程规定的其他风险管理职责。
董事会可授权其下设的风险管理委员会审议批准公司的风险偏好、风险容忍度以及重大风险限额;审议公司定期风险评估报告等。
第十一条 公司监事会承担全面风险管理的监督责任,负责监督检查董事会和经理层在风险管理方面的履职尽责情况并督促整改。
第十二条 公司经理层对全面风险管理承担主要责任,应当履行以下职责:
(一)制定风险管理制度,并适时调整;
(二)建立健全公司全面风险管理的经营管理架构,明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工,建立部门之间有效制衡、相互协调的运行机制;
(三)制定风险偏好、风险容忍度以及重大风险限额等的具体执行方案,确保其有效落实;对其进行监督,及时分析原因,并根据董
事会的授权进行处理;
(四)定期评估公司整体风险和各类重要风险管理状况,解决风险管理中存在的问题并向董事会报告;
(五)建立涵盖风险管理有效性的全员绩效考核体系;
(六)建立完备的信息技术系统和数据质量控制机制;
(七)风险管理的其他职责。
经理层下设的风险管理执行委员会负责对公司开展的新业务、新产品,以及引起风险控制指标体系变化超出一定比例的相关事项等,进行审议、评估、表决,为经理层决策提供支持。
第十三条 公司应当任命一名具有风险管理相关专业背景、任职经历、履职能力的高级管理人员为首席风险官,由其负责全面风险管理工作。首席风险官不得兼任或者分管与其职责相冲突的职务或者部门。
第十四条 公司应当保障首席风险官能够充分行使履行职责所必须的知情权。首席风险官有权参加或者列席与其履行职责相关的会议,调阅相关文件资料,获取必要信息。公司应当保障首席风险官的独立性。公司股东、董事不得违反规定的程序,直接向首席风险官下达指令或者干涉其工作。
第十五条 公司风险管理部在首席风险官的领导下推动全面风险管理工作,监测、评估、报告公司整体风险水平,并为业务决策提供风险管理建议,协助、指导和检查各部门、分支机构及子公司的风险管理工作。具体负责市场风险、信用风险和操作风险方面的相关工作。
公司合规法律部负责公司法律与合规风险的相关事项;负责风险管理相关的合规咨询与合规问责;协同各部门处理公司因各类风险引发的法律事项;牵头开展洗钱风险管理工作,推动落实各项反洗钱工作;会同纪检等相关部门组织落实廉洁从业管理各项要求。
公司稽核审计部定期对各部门贯彻公司风险政策、落实全面风险
管理工作的情况进行稽核、检查,具体负责对公司全面风险管理的有效性进行评估。
公司计划财务部负责流动性风险管理方面的相关工作。公司董事会办公室负责声誉风险管理方面的相关工作。公司信息技术部门负责信息技术风险管理方面的相关工作。第十六条 公司各业务部门、分支机构及子公司负责人应当全面了解并在决策中充分考虑与业务相关的各类风险,及时识别、评估、应对、报告相关风险,并承担风险管理的直接责任。
第十七条 公司每一名员工对风险管理有效性承担勤勉尽责、审慎防范、及时报告的责任。包括但不限于:通过学习、经验积累提高风险意识;谨慎处理工作中涉及的风险因素;发现风险隐患时主动应对并及时履行报告义务。
第十八条 公司应当配备充足的专业人员从事风险管理工作,并提供相应的工作支持和保障。风险管理人员应当熟悉证券业务并具备相应的风险管理技能。
公司风险管理部门具备3年以上的证券、金融、会计、信息技术等有关领域工作经历的人员占公司总部员工比例应不低于2%。公司可在此基础以上结合自身实际情况制定相应标准。风险管理部门人员工作称职的,其薪酬收入总额应当不低于公司总部业务及业务管理部门同职级人员的平均水平。
公司承担管理职能的业务部门应当配备专职风险管理人员,风险管理人员不得兼任与风险管理职责相冲突的职务。
第十九条 公司应当将子公司的风险管理纳入统一体系,对其风险管理工作实行垂直管理,要求并确保子公司在整体风险偏好和风险管理制度框架下,建立自身的风险管理组织架构、制度流程、信息技术系统和风控指标体系,保障全面风险管理的一致性和有效性。
子公司应当任命一名高级管理人员负责全面风险管理工作,子公
司负责全面风险管理工作的负责人不得兼任或者分管与其职责相冲突的职务或者部门。
子公司风险管理工作负责人的任命应由公司首席风险官提名,子公司董事会聘任,其解聘应征得公司首席风险官同意。
子公司风险管理工作负责人应在首席风险官指导下开展风险管理工作,并向首席风险官履行风险报告义务。
子公司风险管理工作负责人应由公司首席风险官考核,考核权重不低于50%。
第三章 风险管理政策和机制
第二十条 公司应当制定并持续完善风险管理制度,明确风险管理的目标、原则、组织架构、授权体系、相关职责、基本程序等,并针对不同风险类型制定可操作的风险识别、评估、监测、应对、报告的方法和流程。并通过评估、稽核、检查和绩效考核等手段保证风险管理制度的贯彻落实。
第二十一条 公司应当建立健全授权管理体系,确保公司所有部门、分支机构及子公司在被授予的权限范围内开展工作,严禁越权从事经营活动。通过制度、流程、系统等方式,进行有效管理和控制,并确保业务经营活动受到制衡和监督。
第二十二条 公司应当制定包括风险容忍度和风险限额等的风险指标体系,并通过压力测试等方法计量风险、评估承受能力、指导资源配置。风险指标应当经公司董事会、经理层或其授权机构审批并逐级分解至各部门、分支机构和子公司,公司应对分解后指标的执行情况进行监控和管理。
第二十三条 公司应当建立针对新业务的风险管理制度和流程,明确需满足的条件和公司内部审批路径。新业务应当经风险管理部评估并出具评估报告。
公司应充分了解新业务模式,并评估公司是否有相应的人员、系
统及资本开展该项业务。董事会、经理层、相关业务部门、分支机构、子公司和风险管理部门应当充分了解新业务的运作模式、估值模型及风险管理的基本假设、各主要风险以及压力情景下的潜在损失。
第二十四条 公司应当针对流动性危机、交易系统事故等重大风险和突发事件建立风险应急机制,明确应急触发条件、风险处置的组织体系、措施、方法和程序,并通过压力测试、应急演练等机制进行持续改进。
第二十五条 公司应当全面、系统、持续地收集和分析可能影响实现经营目标的内外部信息,及时识别与沟通公司面临的风险,并分析及其来源、特征、形成条件和潜在影响,并按业务、部门和风险类型等进行分类。
第二十六条 公司应当根据风险的影响程度和发生可能性等建立评估标准,采取定性与定量相结合的方法,对识别的风险进行分析计量并进行等级评价或量化排序,确定重点关注和优先控制的风险。公司应当关注风险的关联性,汇总公司层面的风险总量,审慎评估公司面临的总体风险水平。
第二十七条 公司应当建立逐日盯市等机制,准确计算、动态监控关键风险指标情况,判断和预测各类风险指标的变化,及时预警超越各类、各级风险限额的情形,明确异常情况的报告路径和处理办法。
第二十八条 公司应当建立健全压力测试机制,及时根据业务发展情况和市场变化情况,对证券公司流动性风险、信用风险、市场风险等各类风险进行压力测试。
第二十九条 公司应当根据风险评估和预警结果,选择与公司风险偏好相适应的风险回避、降低、转移和承受等应对策略,建立合理、有效的资产减值、风险对冲、资本补充、规模调整、资产负债管理等应对机制。
第三十条 公司应当在分支机构、子公司、业务部门、风险管理
部门、经理层、董事会之间建立畅通的风险信息沟通机制,确保相关信息传递与反馈的及时、准确、完整。
风险管理部门发现风险指标超限额的,应当与业务部门、分支机构、子公司及时沟通,了解情况和原因,督促业务部门、分支机构、子公司采取措施在规定时间内予以有效解决,并及时向首席风险官报告。
风险管理部门应当向经理层提交风险管理日报、月报、年报等定期报告,反映风险识别、评估结果和应对方案,对重大风险应提供专项评估报告,确保经理层及时、充分了解公司风险状况。
经理层应当向董事会定期报告公司风险状况,重大风险情况应及时报告。
第四章 风险管理信息技术系统和数据
第三十一条 公司应当建立与业务复杂程度和风险指标体系相适应的风险管理信息技术系统,覆盖各风险类型、业务条线、各个部门、分支机构及子公司,对风险进行计量、汇总、预警和监控,并实现同一业务、同一客户相关风险信息的集中管理,以符合公司整体风险管理的需要。
公司应每年制定风险管理信息技术系统专项预算。
第三十二条 公司风险管理信息技术系统应当具备以下主要功能,支持风险管理和风险决策的需要。
(一)支持风险信息的搜集,完成识别、计量、评估、监测和报告,覆盖所有类别的主要风险;
(二)支持风险控制指标监控、预警和报告;
(三)支持风险限额管理,实现监测、预警和报告;
(四)支持按照风险类型、业务条线、机构、客户和交易对手等多维度风险展示和报告;
(五)支持压力测试工作,评估各种不利情景下公司风险承受能
力。
第三十三条 公司应当建立健全数据治理和质量控制机制。积累真实、准确、完整的内部和外部数据,用于风险识别、计量、评估、监测和报告。
公司应将数据治理纳入公司整体信息技术建设战略规划,制定数据标准,涵盖数据源管理、数据库建设、数据质量监测等环节。
第三十四条 公司应当规范金融工具估值的方法、模型和流程,建立业务部门、分支机构、子公司与风险管理部门、财务部门的协调机制,确保风险计量基础的科学性。金融工具的估值方法及风险计量模型应当经风险管理部门确认。
公司应当选择风险价值、信用敞口、压力测试等方法或模型来计量和评估市场风险、信用风险等可量化的风险类型,但应当充分认识到所选方法或模型的局限性,并采用有效手段进行补充。
公司风险管理部门应当定期对估值与风险计量模型的有效性进行检验和评价,确保相关假设、参数、数据来源和计量程序的合理性与可靠性,并根据检验结果进行调整和改进。
第五章 评价与考核
第三十五条 公司应当定期评估全面风险管理体系,并根据评估结果及时改进风险管理工作。
各业务部门、分支机构及子公司应当定期对风险管理的有效性进行自评。
第三十六条 公司应将全面风险管理纳入内部审计范畴,对全面风险管理的充分性和有效性进行独立、客观的审查和评价。内部审计发现问题的,应督促相关责任人及时整改,并跟踪检查整改措施的落实情况。
第三十七条 公司应当建立与风险管理效果挂钩的绩效考核及责任追究机制,保障全面风险管理的有效性。
第六章 附则第三十八条 各子公司应当根据本制度要求和监管规定制定相应风险管理制度。
公司相关部门应定期和不定期对子公司风险管理的有效性进行检查和评估。
第三十九条 法律法规对子公司风险管理工作负责人及风险管理工作另有规定的,应符合其规定。
第四十条 本制度由公司董事会负责解释。
第四十一条 本制度自印发之日起施行。2017年4月印发的《山西证券股份有限公司全面风险管理制度》(晋证发字【2017】183号)同时废止。