不同部门采取的内控措施；对是否遵守风险头寸进行检查，并在出现违规情况时进行监督；建立审批、授权及核实制度。为建立有效的内部控制，必须建立适应的责任分离制度，员工不能承担有利益冲突的工作；对于潜在的利益冲突，必须加以识别，尽可能降低到最低限度，且进行仔细、独立地监督。

（七）信息与沟通

有效的内部控制同时也是一个有效的信息数据系统，掌握全面的内部财务、经营、监测信息，以及对内部决策有关的、反映重大事件和条件变化的外部市场信息；信息本身应该是及时可靠的，随时可以获得，并且前后一致。有效的内部控制要求必须建立可靠的信息系统，反映所有重大业务的情况；所有信息，包括以电子方式持有和使用的信息，必须保密，独立监测，并且在意外事件发生时，有完善的措施作为备用手段。

有效的内部控制必须有有效的信息沟通渠道，保证所有员工充分了解和遵守涉及其责任和义务的所有政策和程序，保证其他有关信息能够向恰当的人员沟通。

（八）监控

对内部控制是否有效进行持续的监测，对主要风险进行监测成为日常业务活动的组成部分，同时还由业务部门、风控部门、合规部门、稽核部门、内部审计部门对其进行定期评价。风控部门强调的是对合规风险持续的识别、评估与监测，重视对法律、法规、准则最新发展的持续跟踪、准确理解与研究消化，使之落实于公司的内部制度、工作手册、操作指引当中，并在日常运营中随时发现、提示可能的风险点，同时参与改进、优化业务流程，以有效防范风险的发生。

内部控制还包括完善有效的稽核和内部审计制度，由独立的、经过良好训练的合格员工从事稽核和内部审计工作；稽核和内部审计是内部控制制度监测工作的一部分，直接向董事会报告，向经营管理层报告。对于内部控制中的缺陷，无论由业务部门、稽核部门、内部审计部门或者其他员工发现，都要及时向相关部门报告，并加以及时处理。

内部控制的重大缺陷直接向经营管理层和董事会报告。建立有效的内部控制系统，同业务性质、复杂性以及表内和表外业务中潜在风险相适应，并且随着外部环境和条件的变化而不断完善。

第八条 全面风险管理的认定

认定全面风险管理是否有效，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此，构成要素也是判定全面风险管理有效性的标准。构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在公司的风险容忍度之内。

如果确定全面风险管理在所有四个目标上都是有效的，那么董事会和经营管理层就可以合理保证公司员工了解本机构，在实现其战略和经营目标、企业的报告可靠以及符合适用的法律和法规的程度。

第三章 风险管理的组织体系

第九条 风险管理层级

风险管理层级包括整个董事会、经营管理层、各部门。各个层级都要坚持同样的四个目标；每个层次都必须从八个全面风险管理要素方面实行全程风险管理。

第十条 法人治理机制

规范、完善的法人治理机制通过合理划分股东、董事、经营管理层之间的权利、义务和责任，确保决策的科学性、内部监督的有效性和激励约束的合理性。

第十一条 风险管理的组织体系

风险管理的组织体系是指由受董事会直接领导，以风险评审委员会为核心，以风控部门实施操作，以各部门的风险控制人员为主要参与人员组成的组织结构体系。

风险管理实行统一领导，垂直管理，分级负责。 第十二条 风险评审委员会

公司董事会下设立风险评审委员会，风险评审委员会对董事会负责，对公司的风险管理实行统一领导。

公司设立风控部门，根据风险评审委员会制定的政策，对公司风险进行管理。风控部门作为日常部门开展工作。

各部门均设立风险控制人员。各部门的风险控制人员对本级负责人只承担风险报告任务；下一级风险控制人员对上一级风险控制人员负责，直到对风险评审委员会负责。

风控部门和风险控制人员对管辖内的整个风险控制过程和结果分级负责。董事会对辖内的风险管理负最终责任。

第四章 风险管理的理念和文化

第十三条 风险管理的理念和文化

风险管理是全方位与全员参与的管理。风险管理涉及业务管理的各个环节，因此需要对风险进行全方位的管理。风险存在于业务的每个环节之中，风险管理需要全员参与，全体员工必须营造“全员重视，积极参与，献计献策，齐抓共管”的全面风险管理理念和文化。

第十四条 风险管理报告制度

产生风险的各业务部门和交易领域，应将风险信息及时准确地向风控部门报告，使风控部门和业务部门保持密切有效的联系；同时建立清晰的风险报告路线，除了纵向层级之间的报告，还应包括横向之间的交流，实现信息共享，建立一套具体的风险报告模式，规范风险报告的格式和传递路径，使风险政策能得到很好贯彻。

第十五条 风险管理理念和文化培养

通过加强对员工风险管理理念和文化的灌输、培养和提高，有效增强员工风险管理工作的主观能动性、积极性和自觉性。

第五章 风险管理的范围和过程

第十六条 风险管理的范围

风险管理的范围涵盖各个层级的业务单位和各类型的风险。要实行通盘管理，将战略风险、声誉风险、法律风险、合规风险、信用风险、市场风险、操作风险和流动性风险等不同类型的风险纳入到统一的风险管理范围，并针对每一类风险的特征采取相应的管理流程和办法。

第十七条 风险管理全程管理 风险管理需要实行全程管理。

对风险识别、风险计量、风险评价、风险接受、风险转移、风险补偿等各个环节划清职责，分别把关，风险落实，管理到位。完善业务流程各环节的风险管理制度和风险评价方法，保证所有环节的各类风险都能得到有效控制，建立风险预警机制，加强操作风险、道德风险的防范。

第六章 风险管理的计量和方法

第十八条 风险管理的方法

风险管理需要不断探索新的方法。主要有： （一）既重视审贷分离，又重视全程管理；

（二）既重视单一信用风险管理，又重视信用、市场、操作、流动性多种类型风险管理；

（三）既重视审批授信管理，又重视问题授信管理；

（四）既重视单笔交易单一风险，又重视所有信用敞口总体风险； （五）事前主动引导和事后被动督导并重管理； （六）惩戒功能和激励功能并重管理； （七）单一行业和资产组合并重管理； （八）表内风险和表外风险并重管理； （九）源头控制管理和末端治理管理相结合； （十）定性分析管理和定量分析管理相结合。 第十九条 风险管理的计量

通过定性和定量方法，归集、分析在不同时期、不同客户、不同部门、不同业务以及每个环节的各类风险，全面衡量自身总体风险承受能力。通过对资本、收益、风险的衡量，判断局部风险对整体风险的影响程度以及是否可接受，理性处理风险管理和业务发展的关系。

收集历史资料和数据，设立历史数据库，逐步开发适应公司自身特点的风险分析和控制模型。

定量分析主要结合以下指标进行： （一）资本充足指标