风险管理办法

（试 行）

第一章 总 则

第一条 目的和适用范围

为增强公司防范和控制风险的能力，加强风险管理的组织建设、机制建设和制度建设，促进可持续发展，根据国家金融方针政策和有关法律、法规、规章及公司章程的规定，制定本办法。

本办法适用于公司各部门（含分公司、子公司，下同）及全体员工（含试用期员工和实习人员，下同）。

第二条 术语

1．风险：是指对目标产生不利（负面）影响的事件发生的可能性。风险类型包括：战略风险、声誉风险、法律风险、合规风险、信用风险、市场风险、操作风险、流动性风险。

2．战略风险：是指由重大事项的决策失误或战略规划的严重偏差所造成的风险。

3．声誉风险：是指由内部管理与服务的问题引起外部社会名声、信誉和公众信任度下降所造成的风险。

4．法律风险：是指由不当的法律文书、制度或违约行为或怠于行使自身的法律权利等所造成的风险。

5．合规风险：是指因没有遵循法律、规则和准则造成遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

6．信用风险：是指由融资租赁申请人、债务人或市场交易对手违约所造成的风险。

7．市场风险：是指由市场价格（利率、汇率、股票价格和商品价格）的不利变动所造成的表内和表外业务发生损失的风险。

8．操作风险：是指由员工操作不当或不完善，有问题的内部程序，以及系

统或外部事件（如自然灾害）所造成的风险。

9．流动性风险：是指由资金流动性状况出现不足及其波动性所造成的风险。 第三条 风险管理的基本任务

公司风险管理的基本任务是：贯彻执行国家关于防范和处置金融风险的各项政策措施，树立全面风险管理理念，健全风险管理组织体系，改进风险管理监控方法，强化风险全程管理，增强识别、计量、预警、防范和处置风险能力，提高风险管理水平，确保风险在可控目标之内，确保安全经营稳健发展，确保风险收益的优化。

第四条 风险管理的原则

风险管理遵循全面管理、制度优先、预防为主、职责分明的原则。 （一）全面管理原则

资产、负债、所有者权益和收入、支出、损益以及人员、薪酬、奖惩等经营管理的各项事务和每个环节，都全面地进行风险管理，涉及风险控制人人参与，各司其职。

（二）制度优先原则

开展各项事务先制定相应制度，尽可能使制订的制度科学、合理并严格按照制度执行，并对制度执行效力和结果实行全程监控。

（三）预防为主原则

各类风险应防范于未然，以预防预警为主，出现问题及时采取针对性措施予以处置化解。

（四）职责分明原则

防范和处置风险明确各职能部门和责任人，明确相应的权利和义务，对因渎职、失职或营私舞弊造成风险和损失的行为，依法追究相应责任人的责任。

第二章 风险管理的目标和要素

第五条 全面风险管理

全面风险管理是一个过程，它由董事会（包括监事会，下同）、经营管理层和其他人员实施，应用于战略制定并贯穿于公司的各项活动之中，旨在用于识别

可能会影响的潜在事件，管理风险以使其在公司的风险承受能力或风险偏好之内，并为既定目标的实现提供合理保证。

第六条 全面风险管理的目标

全面风险管理框架从不同的侧面关注和管理风险，并力求实现战略目标、经营目标、报告目标、合规目标四个目标，以此促进可持续发展。

战略目标，是指高层次目标，与使命相关联并支撑其使命。 经营目标，是指有效和高效率地利用其资源。 报告目标，是指报告的可靠性。

合规目标，是指符合适用的法律、法规和规章制度。 第七条 全面风险管理的要素

为服务并实现全面风险管理的四个目标，全面风险管理应具备以下相互关联的八个构成要素：

（一）内部环境

董事会批准检查经营决策和重要政策，了解经营中的风险，明确可接受的风险程度，确保经营管理层采取必要的步骤，识别、计量、检测和控制这些风险。

监事会负责监督董事会、经营管理层风险管理的有效性，履行以下职责：监督董事会、经营管理层风险管理的履行情况；监督风险制度的实施，确保被认定的风险薄弱环节得到及时整改。

经营管理层实施董事会通过的经营策略和方针；制定和完善有关的制度和程序，用以识别、计量和监测业务中的风险；建立和完善内部组织结构，明确相互的权利和责任，确保赋予各部门的任务能得到有效执行；执行适当的内控政策，对内控制度执行的有效性和是否完善进行监测。

董事会和经营管理层要促进内部员工职业道德水平的提高，在内部建立一种控制文化，向内部各层级员工强调和宣传内部控制的重要性。所有员工都要了解各自在内部控制中的作用，全面投入内控制度建设。

（二）目标设定

内控制度要与公司经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。设定风险容忍度目标，合理确保发展战略与风险偏好相一致，增长、风险与回报相联系，促进董事会、经营管理层实现全面风险管理的目标。

（三）事件识别

设立履行风险管理职能的专门部门，负责组织制定并实施识别、计量、监测和管理风险的制度、程序和办法，以确保既定目标的实现。建立涵盖各项业务、所有范围的风险管理系统，开发和运用风险量化评价的方法和模型，对目标产生负面影响的事件发生的可能性进行识别和持续的监控。

负责组织建立明确的内部制衡机构和实行双签有效制度，涉及资产、负债、财务和人员等重要事项变动，都不得由一人独自决定。

（四）风险评估

为建立一个有效的内部控制制度，必须有效识别和持续评价面临的各类风险，特别是对经营目标有负面影响的重要风险。内控制度还必须随时加以修改和完善，对新的或者以前没有控制的风险进行控制。

风险管理最重要的两个因素是高质量的风险管理信息系统和高素质的风险分析人员。

（五）风险对策

指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。公司负责组织设计内部控制体系、组织，督促各部门建立和健全内部控制；稽核、审计等监督部门负责组织检查，评价内部控制的健全性和有效性，督促经营管理层纠正内部控制存在的问题。

建立内部控制问题和缺陷的处理纠正机制，经营管理层根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，并督促业务部门和各部门落实。

建立内部控制的风险责任制：董事会、经营管理层对内部控制的有效性负责，并对内部控制失效造成的重大损失承担责任；稽核部门、内部审计部门对检查发现问题隐瞒不报、上报虚假情况或检查监督不力，承担相应的责任；业务部门和各部门及时纠正内部控制存在的问题，并对出现的风险和损失承担相应的责任；合规部门对违反内部控制的员工，依据法律规定和内部管理制度追究责任和予以处分，并承担处理不力的责任。

（六）控制活动

内部控制要成为日常业务中不可分离的一部分，一个有效的内控制度应建立一套适当的内控结构，在业务的每一层级都有明确的内控措施，包括：高层审核，