风险管理体系 - 公司全面风险管理体系由管理制度、组织架构等组成[3] - 目标是使风险与战略适应，控制在可承受范围促进业务发展[4] - 原则包括全覆盖、前瞻性、全局性等六项[4][5] - 架构由“三个层级”“三道防线”构成[7] 管理职责 - 董事会对全面风险管理体系完整性和有效性承担最终责任[7] - 董事会下设风险控制委员会履行部分风险管理职责[9] - 经营管理层对全面风险管理承担主要责任[9] - 首席风险官负责全面风险管理工作，需满足任职条件[11] 人员与评估 - 风险管理部3年以上相关领域工作经历人员占总部员工比例不低于2%[17] - 公司至少每三年对风险管理体系进行一次评估[18] 政策与流程 - 分三个层级建立风险管理相关政策及流程，最高层级由经营管理层制定报董事会批准[20] - 董事会至少按年度明确公司风险管理策略并形成偏好体系决议[22] - 设置关键内容指标自上而下分解形成风险偏好体系[22] - 风险管理部拟制风险偏好体系管理办法，由经营管理层审议批准后执行[23] 风险流程 - 风险管理流程包括识别、计量与评估、监测与报告、应对与处置[25] - 各业务开展部门收集与识别风险信息，风险管理部统筹汇总[27] - 重大业务启动前须制定业务风险管理细则等制度[27] - 开展新产品和新业务前应充分识别和评估风险，制定具体管理办法[27] 母公司管理 - 母公司将业务和风险对财务和风险水平影响超10%的参股企业建立风险管理机制[42] - 母公司首席风险官对子公司风险管理负责人考核权重不低于50%[44] - 母公司至少逐月获取其他子公司风险数据，逐步每日获取金融业务子公司风险数据[48] - 子公司发生重大资产损失等情况需在1个工作日内向母公司报告[48] 报告与监测 - 风险管理部门向经营管理层提交风险管理日报、月报、年报等定期报告[33] - 各部门、子公司和分支机构按要求及时反馈业务风险管理定期报告[33] - 各风险归口管理部门定期组织压力测试[38] - 各风险归口管理部门牵头建立应急处理机制并组织演练[38] - 出现风险事件时，风险归口管理部门与事发部门拟定处置方案，经批准后实施[36] - 风险管理部门对风险指标及事件进行动态监测并及时预警[32] 新业务管理 - 开展新业务需充分准备并制定方案，经风险管理职能部门评估[52] - 新业务纳入全面风险管理体系，确保风险可测、可控、可承受[53] 其他机制 - 建立健全同一业务和同一客户风险管理机制[54] - 构建完善表外和场外业务风险管理机制[54] 系统建设 - 建立与公司情况相适应的风险管理信息技术系统并加大投入[57] - 各部门在系统建设时考虑事前风控模块，风险管理部门建立事中、事后监控系统[57] - 风险管理信息系统建设需实现多项功能支持决策[57] 数据与文化 - 建立并完善数据治理和质量控制机制[58] - 通过多种方式建立稳健风险文化，将风险管理纳入绩效考核[62] 规定执行 - 规定由董事会审议批准执行，原相关规定废止[64]