全面风险管理办法第一章总则第一条为进一步加强公司及下属单位的风险管理工作，明确风险管理战略目标，健全全面风险管理体系，根据国务院国资委《中央企业全面风险管理指引》和财政部等五部委《企业内部控制基本规范》及相关配套指引，结合公司实际，制定本办法。

第二条本办法适用于XX本级及下属各单位的全面风险管理工作。

第三条本办法所称的风险包括但不限于信用风险、市场风险、政策风险、法律风险、信息科技风险、操作风险等。

第四条本办法所称全面风险管理是指围绕公司总体发展战略，在健全的公司治理架构下，通过明确各层级、部门、单位的风险管理职责，采取定性和定量相结合的方法，对公司及下属单位各类风险进行有效的识别、计量、评估、监测、报告、控制或缓释的持续过程。

第五条本办法所称的全面风险管理体系，是指围绕公司总体经营目标，通过在管理各环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化等，建立健全风险治理框架，从而为实现风险管理总体目标提供保证的过程和方法。

第六条本公司全面风险管理框架主要包括如下要素：（一）总体目标及原则；（二）风险管理组织架构及职责；（三）风险管理政策和程序；（四）管理信息系统和数据质量控制机制；（五）内部控制和审计体系。

第二章总体目标及原则第七条公司承担全面风险管理的主体责任，负责建立全面风险管理办法，保障制度执行，全面风险管理要努力实现以下总体目标：（一）确保将风险控制在与公司总体经营发展目标相适应并可承受的范围内，促进公司实现整体战略目标；（二）确保公司实现内外部真实、可靠和有效的信息沟通；（三）确保遵守有关法律法规，履行相应的社会责任；（四）确保经营管理的有效性，提高经营活动的效率和效果；（五）确保公司建立针对各项重大风险发生后的危机处理计划，保护公司不因灾害性风险或人为失误而遭受重大损失。

第八条为确保风险管理的有效性，公司全面风险管理遵循以下基本原则：（一）匹配性原则：全面风险管理体系与业务规模、复杂程度、风险状况和系统重要性等相适应，并根据环境变化予以调整。

（二）全覆盖原则：全面风险管理覆盖各业务种类，包括基金运营、项目投资、资产管理等；覆盖所有部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则：建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

保证风险管理条线能够及时获得所需数据和信息，满足履行风险管理职责的需要。

（四）有效性原则：将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

第三章风险管理组织架构及职责第九条董事会董事会是全面风险管理的最高决策机构，承担全面风险管理的最终责任。

主要职责包括：（一）建立风险文化；（二）审批风险管理策略；（三）根据本公司风险承受能力和经营战略，审批风险管理政策和程序；（四）监督高级管理层开展全面风险管理，明确业务部门和风险管理部门的职责划分和报告路线，并确保风险管理部门的独立性；（五）审议并向市财政局提交全面风险管理报告；（六）审批全面风险和各类重要风险的信息披露；（七）其他与风险管理有关的职责。

董事会下设风险管理委员会，在董事会授权的范围内履行其在全面风险管理工作中的有关职责。

第十条风险管理委员会与其他专门委员会之间定期沟通交流，确保信息充分共享并能够支持风险管理相关决策。

第十一条监事会监事会承担全面风险管理的监督责任，负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。

相关监督检查情况纳入监事会工作报告。

第十二条高级管理层高级管理层主要职责包括：（一）建立适应全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间相互协调、有效制衡的运行机制；（二）负责制定并审核本公司风险管理总体目标并提交董事会审批，制定清晰的执行和问责机制，确保风险管理政策和程序得到充分传达和有效实施；（三）审核风险管理制度及流程，定期评估，必要时调整；（四）评估全面风险和各类重要风险管理状况并向董事会报告；（五）建立完备的管理信息系统和数据质量控制机制；（六）对违反风险管理政策和程序的情况进行监督，根据董事会的授权进行处理；（七）风险管理的其他职责。

第十三条风险管理部门风险管理部作为公司全面风险管理部门牵头履行公司全面风险的日常管理，主要职责包括：（一）实施全面风险管理体系建设；（二）牵头协调识别、计量、评估、监测、控制或缓释全面风险和各类重要风险，及时向高级管理层报告；（三）持续监控风险管理政策和程序的执行情况，对违反风险管理政策和程序的情况及时预警、报告并提出处理建议。

（四）组织开展风险评估，及时发现风险隐患和管理漏洞，持续提高风险管理的有效性。

第十四条相关业务部门公司各业务部门承担风险管理的直接责任，负责落实全面风险管理要求，协助风险管理部门及时识别、评估和控制风险，向风险管理部门、高级管理层双线报告风险事项。

新开办业务、新设业务部门或下属单位应纳入全面风险管理框架，明确风险管理职责与流程，执行全行相关风险管理要求。

第十五条各下属单位公司各下属单位应根据公司全面风险管理办法和相关制度制定和完善业务流程，接受本级风险管理部门的监督和指导，明确风险管理职责，强化风险文化建设。

第十六条监督部门公司监察审计部承担业务部门和风险管理部门履职全面风险管理情况的审计责任，对全面风险管理体系运行有效性进行内部审计，跟踪检查整改措施的实施情况，并及时向董事会提交有关报告。

第四章全面风险管理政策和程序第十七条公司建立风险统一集中管理的制度，确保全面风险管理对各类风险管理的统领性，各类风险管理与全面风险管理政策和程序的一致性，并通过制度的分层与逐级细化，为公司积极、主动、有效地开展全面风险管理工作提供政策指导和依据。

全面风险管理政策制度体系分为四个方面：（一）风险管理规划：公司以满足稳健经营为基本前提，依托公司发展战略规划补充完善风险管理规划，确定我行风险管理方向和范围的中长期目标，设定积极、有效、可控的风险偏好和阈值，用于确定公司为实现战略目标和经营计划而愿意承担的风险类型与总体风险水平。

（二）风险管理政策：公司制定全面风险管理政策，针对各项风险管理活动中的重要经营行为或重要管理活动作出总体要求，作为制定全面风险管理制度的主要依据。

（三）风险管理办法：公司根据监管要求和管理需要，制定风险管理办法，针对总体工作目标、风险治理架构、风险识别与评估、控制与应对等内容作出明确要求与规范。

风险管理办法的制定遵循前瞻性、审慎性及全面性原则，并与公司整体发展战略协调一致。

（四）风险管理实施细则：公司应根据全面风险管理和各单一风险管理的实际，针对具体业务、各下属单位的实际情况明确风险控制和防范规范，并制定相应的实施细则。

第十八条风险加总公司逐步建立风险加总的政策、程序，选取合理可行的加总方法，充分考虑集中度风险及风险之间的相互影响和相互传染，确保在不同层次上和总体上及时识别风险。

第十九条内部模型和风险计量公司逐步建立风险计量技术，遵守相关监管要求，确保风险计量的一致性、客观性和准确性，在此基础上加强对相关风险的缓释、控制和管理。

风险管理部门负责向董事会和高管层汇报风险计量和加总的主要假设、局限性、不确定性和模型使用的固有风险。

第二十条风险管理程序（一）风险收集与识别。

公司根据所处的宏观、微观环境和内部经营环境，基于风险识别判断标准，广泛、持续地收集与公司风险相关的初始数据，并运用定性与定量分析手段，对公司经营活动中存在的各类风险及导致风险的因素进行识别，明确公司面临的主要风险。

（二）风险评估与计量。

公司基于风险识别结果，对主要风险和重要事项进行评估与计量，形成整体风险评估结论，作为资本和风险管理的依据。

对能够量化的风险，通过风险计量技术，加强对相关风险的计量与控制；对于难以量化的风险，逐步建立和完善风险识别、评估、报告和应对机制，确保相关风险得到有效管理。

（三）风险控制与应对。

公司逐步建立和完善风险控制与应对机制，采取适当、有效的措施，对各类风险予以有效控制。

（四）风险监测与报告。

公司定期开展风险监测，及时掌握主要风险状况及发展趋势，建立全面风险管理报告制度，明确报告的内容、频率、路线。

第五章管理信息系统和数据质量第二十一条公司逐步建立并完善与业务规模、风险状况等相匹配的风险管理信息系统和信息科技基础设施，逐步实现在集团和法人层面计量、评估、展示、报告所有风险类别、产品和交易对手风险暴露的规模和构成。

第二十二条公司风险管理信息系统逐步具备以下主要功能，支持风险报告和管理决策的需要：（一）支持识别、计量、评估、监测和报告所有类别的重要风险；（二）支持风险限额管理，对超出风险限额的情况进行实时监测、预警和控制；（三）能够计量、评估和报告所有风险类别、产品和交易对手的风险状况，满足全面风险管理需要。

（四）支持按照业务条线、资产类型、行业地区、集中度等多个维度展示和报告风险暴露情况；（五）支持不同频率的定期报告和压力情况下的数据加工和风险加总需求；（六）支持压力测试工作，评估各种不利情景对公司及主要业务条线的影响。

第二十三条公司建立健全数据质量控制机制，逐步积累真实、准确、连续、完整的内部和外部数据，建立和完善数据仓库、风险数据集市和数据管理系统，用于风险识别、计量、评估、监测、报告，资本和流动性充足情况的评估。

第六章内部控制和审计第二十四条公司合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。

第二十五条公司将全面风险管理纳入内部审计范畴，定期审查和评价全面风险管理的充分性和有效性。

第二十六条公司全面风险管理的内部审计报告直接提交董事会和监事会。

董事会应当针对内部审计发现的问题，督促高级管理层及时采取整改措施。

内部审计部门跟踪检查整改措施的实施情况，并及时向董事会提交有关报告。

第七章风险监控与报告第二十七条公司各有关职能部门和业务单位应定期对风险管理工作进行自查，及时发现缺陷并加以改进，检查评价结果应报风险管理部门备案。

第二十八条风险管理部门应定期汇总各职能部门和业务单位风险管理工作（主要包括风险信息收集、风险识别、风险评估、风险应对策略和措施制订、关键控制活动等）情况，并形成全面风险管理报告，并按程序提交高级管理层及董事会。

第二十九条全面风险管理报告至少包括总体风险和各类风险的整体状况；风险评估、风险管理策略、风险管理程序的执行情况；风险在行业、地区、客户、产品等维度的分布；资本和流动性抵御风险的能力。