企业集团财务公司全面风险管理指引

企业集团财务公司全面风险管理指引第一条为促进企业集团财务公司构建全面风险管理体系,提升企业集团财务公司风险管理水平，依据《中华人民共和国银行业监督管理法》、《企业集团财务公司管理办法》、《商业银行内部控制指引》、《中央企业全面风险管理指引》、《企业内部控制基本规范》及其他相关法律法规，制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的企业集团财务公司（以下简称“财务公司”）。第三条本指引所称风险是指未来的不确定性对财务公司实现其经营目标的影响。依据银行业风险分类框架，本指引所涉及财务公司的风险一般包括信用风险、市场风险、操作风险、流动性风险、战略风险、声誉风险及国家风险。第四条本指引所称全面风险管理是指财务公司围绕总体经营目标，通过运用适合的风险管理方法，实施风险管理的基本流程，培育良好的风险管理文化，建立健全风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。本指引所称的内部控制是指通过执行风险管理基本流程，对所从事业务管理活动的风险通过制定和实施一系列制度、程序和措施进行事前防范、事中控制、事后监督和纠正的一种机制。内部控制应遵循全面、审慎、有效、独立的原则。全面风险管理涵盖内部控制，内部控制是风险管理不可分割的部分，是风险管理的重要方法和手段。第五条财务公司应根据风险管理整体目标，建立针对不同类型风险的风险管理体系，体系应包括以下基本要素：风险管理组织架构；风险管理政策、策略和程序；风险识别、计量、监测和控制；监督与评价机制；危机处理机制。信用风险、市场风险、操作风险、流动性风险管理体系是财务公司全面风险管理体系的主要组成部分，本指引将在分则部分分别阐述信用风险、市场风险、操作风险、流动性风险的风险管理体系框架。第六条财务公司应通过实施全面风险管理实现以下目标：1.确保遵守有关法律法规；2.确保将风险控制在与总体目标相适应并可承受的范围内；3.确保财务报告和管理信息的真实、可靠、完整；4.实现“经风险调整的收益最大化”的经营管理模式转变,确保风险、成本与收益相匹配，并服务于企业集团整体利益最大化；5.提高财务公司危机处理能力，确保业务连续性；6.提升财务公司核心竞争力。

第二节全面风险管理政策第七条财务公司应结合内外部环境，依据战略目标和发展规划，制定风险管理政策。风险管理政策应与财务公司的业务性质、规模、复杂程度和风险特征相适应，与其总体业务发展战略、管理能力、资本实力和能够承担的总体风险水平相一致，并符合银监会关于风险管理的有关要求。第八条财务公司应根据战略目标和业务特点，统一确定公司风险偏好。公司风险偏好是公司在制定和实施战略目标过程中愿意承担哪些风险及不愿意承担哪些风险。财务公司风险偏好可以分为风险进取型、稳健型、保守型、厌恶型等类型。在确立公司风险偏好时，应考虑公司战略、风险与收益的关系、关键利益相关者的期望、目标的优先级、管理层的领导风格等因素。财务公司可用风险坐标图表述风险偏好。风险偏好的边界是风险承受度，是财务公司能够承担风险的限度。财务公司应明确风险损失不能超过的最高限度，并据此确定风险的预警线及所应采取的对策。财务公司风险承受度是由其资本规模、经营能力和风险管理能力等因素决定的。第九条财务公司应根据风险管理目标，针对不同类型风险的属性特征，采取风险分散、风险对冲、风险转移、风险规避、风险补偿等单一策略或组合策略，并确立风险管理所需资源的配置原则。第十条财务公司在制定风险管理政策时，应考虑不同类型风险之间的相互关系，树立整体风险组合管理观念。在制定单一风险管理策略时，也应考虑风险组合应对措施。第十一条财务公司应按照银监会关于资本管理的要求，为所承担的各项风险提取充足的资本，持续监测风险对资本充足水平的影响，制定维持适当资本充足水平的利润分配制度和资本补充计划。在资本不足时有切实可行的应急安排。财务公司可逐步引入经济资本管理理念，按实际风险水平配置经济资本、进行业绩考核，在全公司和业务经营部门等各个层次上达到风险和盈利的适当平衡。第三节风险管理组织架构第十二条财务公司应建立良好的公司治理结构，健全风险管理组织体系，明确董事会、高级管理层、风险管理部门、内部审计部门以及其他业务与管理部门在实施风险管理中的职责。第十三条董事会是财务公司风险管理的最高决策机构，对风险管理的有效性向股东会负责，主要履行以下职责：1.确定公司风险管理总体目标、政策；2.批准公司年度风险管理报告，定期获得关于风险水平和管理状况的报告；3．批准审计委员会或内部审计部门提交的关于风险管理有效性评价的报告；4.了解和掌握公司面临的重大风险及其风险管理现状，做出有效控制风险的决策；5.决定公司风险管理和内部控制基本制度；6.监督高级管理层对各项风险进行适当管理,确保其采取必要的措施有效地识别、计量、监测与控制风险；7.督导公司风险管理文化的培育。第十四条财务公司应在董事会下设立风险管理委员会。委员应由熟悉公司主要业务流程或具备风险管理经验的董事、外部专家或其他人员担任。风险管理委员会在董事会的授权下，主要履行以下职责：1.审议公司风险管理总体目标、政策；2.审议公司年度风险管理报告，获得关于风险水平和管理状况的报告；3.审议公司重要业务的风险管理方案和重大风险管理应对策略；4.审议公司风险管理组织机构设置及其职责方案；5.审议公司风险管理和内部控制基本制度；6.董事会授权的其他风险管理事宜。第十五条财务公司高级管理层对风险管理工作的有效性向董事会负责，主要履行以下职责：1.根据董事会确定的风险管理战略及政策，负责制定风险管理的策略、程序和方法，定期审查并监督执行，全面掌握公司风险管理状况，定期向董事会提交风险管理报告；2.明确各部门风险管理职责以及风险管理报告的路径、频率、内容，督促各部门切实履行风险管理职责，以确保风险管理体系的正常运行；3.为风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、为风险管理人员提供培训、赋予风险管理人员履行职务所必需的权限等；4.及时检查、修订并监督执行有关风险管理和内部控制制度，纠正内部控制存在的问题；5.负责建立有效的风险管理考核评价机制。经营管理层下设的信贷、投资、资产负债管理等专业委员会应负责各领域相关风险的管理政策、方案、措施的制定与执行控制。第十六条财务公司应设立独立的风险管理部门。如暂无法成立独立部门的，至少应配备风险管理专职人员，并保证其相对独立性。风险管理部门负责风险管理日常工作，主要履行以下职责：1.研究提出风险管理政策、策略和基本流程；2.研究提出公司风险管理体系建设方案，组织拟定和实施涵盖各项业务的风险管理制度、程序和方法；3.组织公司开展风险识别工作，报告风险评估结果；4.设立公司主要风险指标体系，指导相关部门进行风险监测，对风险进行提示；5.组织制定重大风险管理方案，并协助实施；6.研究提出公司风险管理报告；7.分析公司风险管理体系有效性，提出改进方案；8.协助开展公司风险管理培训，培育公司良好的风险管理文化；9.组织协调公司全面风险管理的其他相关工作。第十七条财务公司各业务与管理部门是风险管理的一线部门，主要履行以下职责：1.建立健全本部门的风险管理内部控制措施，确保各项制度、程序和方法的实施；2.开展本部门的风险识别分析与评估计量；3.对本部门职责范围内的风险因素及风险指标进行日常监测；4研究制定本部门的风险管理方案，经批准后实施；5.重大风险发生后，及时采取措施进行危机处理；6.对风险监测、风险事件及处理结果进行及时报告，并定期提交本部门的风险报告；7.配合风险管理部门开展与风险管理相关的其他工作。财务公司可在各部门设立风险管理岗位，负责履行上述风险管理职责。第十八条财务公司内部审计部门应对公司当年重大风险事项的管控情况，以及公司风险管理体系的完整性、有效性进行审计评价、报告并跟踪整改。在公司风险管理体系出现重大变动或者存在严重缺陷的情况下，应扩大内部审计的范围和增加内部审计频率。财务公司内部审计人员应具备相关的专业知识和技能，并经过相应的培训，能够充分理解风险识别、计量、监测、控制的方法和程序。财务公司可根据需要委托社会中介机构对其风险性质、水平及风险管理体系进行审计。

第四节风险管理基本流程第十九条

风险管理基本流程包含风险识别与分析，风险计量与评估，风险监测与报告，风险控制与缓释。第二十条财务公司应在公司层面，通过系统化的方法，识别风险的种类、性质和表现形式，并对识别出的风险因素采取定性或定量的方法进行分析。第二十一条财务公司应针对面临的主要风险，持续收集相关内外部风险信息，包括政策法规变动、行业动态、成功或失败案例、先进风险管理技术方法等，并对初始信息进行必要的加工整理。第二十二条财务公司应以制度形式确定风险识别方法，建立动态的风险识别分析机制。可制作用于风险识别的统一文档、模版，并固化形成定期更新的风险清单，加以维护。第二十三条财务公司应根据风险偏好，制定包括风险发生可能性以及影响程度的风险判断标准，并据此进行风险评估，划分风险等级。第二十四条财务公司应针对不同类型的风险，选择适当的计量方法，逐步建立所需的风险计量模型。财务公司进行风险计量，应考虑客户范围、业务特点、成本与收益的关系。第二十五条财务公司应根据银监会要求和自身的风险管理政策，设置关键风险指标，并明确预警值和目标值，建立风险指标体系。财务公司应通过有效的监控手段，动态监测风险指标的异常变动，判断其是否已达到引起关注的水平或已经超过预警值。第二十六条财务公司应将各项风险指标的监测职责明确到风险管理一线部门，由其对风险指标的变动进行日常监测。风险管理部门进行同步监测。第二十七条财务公司风险管理一线部门应对相关领域的风险变化、风险事件进行监测并及时报告。第二十八条为保证风险管理信息在各层次得到有效传递，财务公司应建立不同频率、不同报送对象的定期、不定期风险管理报告制度。第二十九条财务公司各部门应按照既定的频率与要求向风险管理部门提交部门风险报告，风险管理部门负责拟定公司风险管理报告。第三十条根据不同的报告对象与报告频率，财务公司风险管理报告应包含以下全部或部分内容：1.报告期间风险管理工作开展情况、各项重大风险管控状况；2.风险评估情况及重大风险变动情况描述与分析；3.关键风险指标变动情况分析；4.风险事件原因分析与处理情况跟踪；5.风险管理政策、策略、程序与方法的变动和实施情况；6.下一报告期间风险管理工作计划；7.下一报告期间拟对重大风险采取的管理策略、方案、措施；8.需说明或提议的其他风险管理事项。第三十一条财务公司应对已经识别和计量的风险，采用适当的风险控制措施和合格的风险缓释工具进行有效管理。第三十二条对于风险诱因发生变化、现有控制措施不完善或已失效的情况，财务公司应根据现有控制措施及控制缺陷，提出应对改进方案。第三十三条财务公司在开展新业务、引入新产品、采用新技术前，应充分评估其可能产生的潜在风险影响，并制定相应风险管理措施。第三十四条财务公司应针对不同类型的风险制定相应的应急预案，建立风险应急机制，及时采取应急措施，降低风险损失。

第五节风险管理信息系统第三十五条财务公司建设业务信息系统时，应考虑风险识别、计量、监测、控制的要求，在业务系统中融入风险管理的要素。财务公司应将关键风险指标嵌入业务信息系统，并赋予风险管理部门履行职责的相关权限。第三十六条财务公司应逐步建立涵盖风险管理基本流程的风险管理信息系统。该系统应能够对各项风险进行计量与定量分析、测试；反映风险等级与变动情况；实现风险指标监测功能，对超过预警值的风险进行预警；满足风险管理报告与信息传递需要。第三十七条风险管理信息系统应实现与业务信息系统的有效对接，保证数据获取与各项量化值的一致性。第三十八条风险管理信息系统应实行权限管理，保证风险信息传递的及时性、有效性、安全性。第三十九条财务公司应对风险管理信息系统进行日常维护，确保其安全稳定运行，并根据风险管理工作实际需要进行改进、完善或更新。

第六节风险管理文化第四十条财务公司应建立具有现代风险管理理念的企业文化，营造健康的风险管理文化氛围。董事会应高度重视风险管理文化的培育；高级管理层负责培育风险管理文化的日常工作；董事和高级管理人员应在培育风险管理文化中起表率作用；重要管理及业务流程和风险控制点的管理人员和业务操作人员应成为培育风险管理文化的骨干，强化全员的合规经营及全面风险管理意识。第四十一条财务公司应采用多种途径和形式加强全员风险管理培训，提高从业人员的职业道德、业务素质和风险管理能力。第四十二条财务公司应建立风险问责机制，将风险管理要求融入岗位职责，并与公司薪酬、考核相结合。财务公司绩效考核制度应体现风险管理创造价值的理念。

第七节监督与管理第四十三条财务公司应按照银监会关于信息披露的有关规定，披露其风险管理政策、程序、风险状况的信息，包括但不限于财务会计、统计报表和其他报告等。第四十四条财务公司出现重大风险事项时，应及时向银监会或其派出机构报告。第四十五条对于银监会或其派出机构在监管中发现的有关风险管理问题，财务公司应在规定的时限内提交整改方案，采取整改措施并报告整改进度。

第二部分分则

第二章信用风险管理

第一节定义及目标第四十六条信用风险是指债务人或交易对手未能履行合同约定的义务或信用质量发生变化，影响金融产品价值，从而给债权人或金融产品持有人造成经济损失的风险。第四十七条信用风险管理的目标是通过对信用风险进行识别、计量、监测与控制，将信用风险控制在财务公司可以承受的合理范围内，使风险和收益相匹配，并实现经风险调整后收益的最大化。第四十八条财务公司应依照总则与本章要求，建立与自身业务性质、规模和复杂程度相适应的信用风险管理体系，有效地识别、计量、监测与控制信用风险。第四十九条财务公司应建立完善的信用风险管理内部控制体系，作为财务公司整体内部控制体系的有机组成部分。信用风险管理的内部控制应有利于促进有效的业务运作，提供可靠的信息报告，促使财务公司严格遵守相关法律、行政法规、部门规章及内部的制度和程序，确保信用风险管理体系的有效运行。

第二节信用风险管理政策第五十条财务公司应根据总则的相关要求制定信用风险管理政策、策略、程序和方法。第五十一条财务公司应针对信贷、资金、投资等不同业务的信用风险制定详细和有针对性的风险管理政策和程序，并保持相互之间的一致性。第五十二条财务公司应确保所有涉及信用风险的业务都按照适当的政策与程序办理，并定期、有序地进行复审。第五十三条财务公司应对信用风险实施限额管理。在确定单一客户风险限额时，应考虑客户的最高债务承受能力、在其他金融机构的原有授信以及财务公司的风险承受能力。在确定集团客户风险限额时，应考虑与该集团的整体合作战略、该集团各成员单位的单一客户风险限额。集团整体风险限额应不超过成员单位的风险限额之和。除对客户实施限额管理外，财务公司还可针对行业、区域和资产组合实施限额管理，以有效分散信用风险，降低信用风险集中度。第五十四条财务公司应积极采取措施预见各种信用风险定性或定量方面的变化。当已经明显预见到风险损失的时候，在会计准则允许的范围内，财务公司应及时、足额计提资产减值准备。第五十五条

财务公司应指定专门部门或人员负责信用风险管理工作，明确职责权限。负责信用风险管理的部门或人员应与承担风险的业务经营部门保持相对独立。第五十六条财务公司实施信用风险管理，应考虑信用风险与其他风险的相关性，并协调信用风险管理与其他风险管理的政策和程序。

第三节授信业务信用风险管理基本流程第五十七条财务公司的授信业务是指财务公司向客户直接提供资金，或者对客户在有关经济活动中可能产生的赔偿、支付责任做出的保证。包括贷款、项目融资、贴现、透支、保理等表内授信；以及贷款承诺、保证等表外授信。第五十八条财务公司应根据不同授信品种的特点，对客户申请的授信业务进行分析评价，重点关注可能影响授信安全的因素，有效识别风险。重点识别与分析以下内容：1.客户财务状况、影响因素及变化趋势；2.客户非财务状况，包括公司治理、管理层素质、履约记录、生产装备和技术能力、产品和市场、行业特点以及宏观经济环境等；3.授信用途的合法性、合规性、合理性；4.保证人的主体资格和代偿能力，以及抵押、质押的合法性、充分性和可实现性。第五十九条财务公司应对客户的信用风险进行计量和评估。可逐步建立信用风险内部评级体系，分别进行客户评级和债项评级，并辅以压力测试、情景分析等方法前瞻性地分析财务公司不同条件下的信用风险状况。第六十条在客户信用评级及授信有效期内，发生影响客户资信的重大事项，财务公司应按内部信贷政策的要求，对客户重新进行信用评级。重大事项包括：1.外部政策和市场环境变化；2.客户组织结构、股权或公司高级管理人员发生变动；3.客户的对外担保超过所设定的担保警戒线；4.客户财务收支能力发生重大变化；5.客户涉及重大诉讼；6.客户在其他金融机构交叉违约的历史记录；7.其他。第六十一条财务公司应对所有可能影响信用风险变动的因素进行持续性监测，并形成相应的记录。重点监测以下内容：1.客户是否按约定用途使用授信，是否诚实地全面履行合同；2.授信项目是否正常进行；3.客户的法律地位是否发生变化；4.客户的财务状况及变动趋势；5.授信的偿还情况；6.抵质押品的质量、以及市值的变动情况；7.保证人信用状况及代偿能力变化情况。第六十二条财务公司应向董事会、高级管理层和其他管理人员提供信用风险报告。报告应包括以下部分或全部内容：1.风险缓释结构及变动情况；2.资产风险分类结构及变动情况；3.信用风险管理政策和程序的遵守情况；4.内部和外部审计情况；5.对改进信用风险管理政策、程序以及信用风险应急方案的建议；6.信用风险管理的其他情况。第六十三条财务公司在进行授信业务审批或决策时，应确保信贷审批完全独立于贷款的营销和发放；应对同一客户的贷款、贸易融资、票据承兑和贴现、担保、贷款承诺等各类表内外授信实行一揽子管理，确定总体授信额度；应将展期作为一项新的信用决策，按正常的审批程序办理。第六十四条财务公司应按照银监会要求建立资产风险分类制度，规范资产质量的认定标准和程序，确保资产质量的真实性。第六十五条财务公司应对信用风险有重大影响的情形制定应急处理方案，以减少财务公司可能发生的损失和声誉可能受到的损害。

第四节交易对手信用风险管理流程第六十六条交易对手信用风险是指对资金、证券或外汇交易过程中，交易对手不履行或者不完全履行合同约定的义务，造成财务公司资产损失的风险。交易对手信用风险存在于银行账户和交易账户的各类业务或产品中。第六十七条

财务公司应持续跟踪和分析交易对手的资本实力、资产质量、流动性水平、盈利能力以及履约保障（如交易保证金）等因素，及时识别引起交易对手风险的各种要素的变化。第六十八条财务公司应明确交易对手资质信用评估方法和选择标准，综合考虑运营环境、运营管理、财务状况和风险因素等，采用定性和定量相结合的方法，全面客观地计量和评估交易对手的资质信用和管理风险。第六十九条财务公司可委托外部信用评级机构或使用外部信用评级结果作为评估交易对手信用风险的参考依据，但须按照银监会要求坚持审慎原则，确保外部评级机构具有独立性、专业能力和评级公信力。第七十条财务公司可建立交易对手信用评估模型或系统，但应保证评估过程的系统性和完整性。第七十一条财务公司应持续监测交易对手资质信用因素、风险管理情况和综合风险状况，关注下列因素的变化及其影响：1.交易对手信用评估、违约记录和履约能力等；2.交易对手重大风险、运营损失、利润变化和关联交易等；3.其他异常变化等。第七十二条财务公司应根据交易对手信用评估结果和监测情况，细分交易对手资质信用级别，设置并及时调整交易对手风险限额，按照不同业务类别的特点和风险程度，确定交易对手范围、交易限额、交易方式，以及采取保证人、保证金或抵押物等增信措施。

第三章市场风险管理

第一节定义及目标第七十三条市场风险是指因利率、汇率、股票价格和商品价格的不利变动而使财务公司表内和表外业务发生损失的风险。市场风险存在于财务公司的交易和非交易业务中。第七十四条市场风险的管理目标是通过对市场风险进行识别、计量、监测与控制，将市场风险控制在财务公司可以承受的合理范围内，使风险和收益相匹配，逐步实现经风险调整的收益最大化。第七十五条财务公司应依照总则与本章要求，建立与自身业务性质、规模和复杂程度相适应的市场风险管理体系，有效地识别、计量、监测与控制市场风险。

第二节市场风险管理政策第七十六条财务公司应根据总则的相关要求制定市场风险管理政策、策略、程序和方法。第七十七条财务公司应按照银监会有关要求划分银行账户和交易账户，并根据银行账户和交易账户的性质和特点，采取相应的市场风险识别、计量、监测和控制方法。第七十八条财务公司应针对不同类别的市场风险（如利率风险）和不同业务种类（如投资业务）的市场风险制定详细和有针对性的风险管理政策和程序，并保持相互之间的一致性。第七十九条财务公司应对市场风险进行集中管理，全面识别、计量、监测和控制各部门及分支机构所面临的市场风险，以避免各业务部门及各分支机构之间轧差头寸而造成对市场风险的低估。第八十条财务公司应对市场风险实施限额管理，制定对各类和各级限额的内部审批程序和操作规程，根据业务性质、规模、复杂程度和风险承受能力设定限额，并定期审查和更新。财务公司市场风险限额及其种类、结构应由董事会批准。第八十一条财务公司应对自营投资和受托投资分户管理、分账核算、规范运作。第八十二条财务公司应确定专门部门或人员负责市场风险管理工作。负责市场风险管理的部门或人员应职责明确，监测相关业务经营部门和分支机构对市场风险限额的遵守情况，并建立完善的报告制度。市场风险管理部门和人员应保持相对独立性，特别是独立于从事投资业务的部门或人员。第八十三条财务公司实施市场风险管理，应考虑市场风险与其他风险的相关性，并协调市场风险管理与其他风险管理的政策和程序。

第三节市场风险管理基本流程第八十四条财务公司应按照监管要求，将表内外资产分为银行账户和交易账户资产两大类。其中，以交易为目的或以规避交易账户其它项目的风险为目的而持有的金融工具头寸划入交易账户；除交易账户头寸外的其他表内外资产，包括存款、贷款等不以交易为目的而持有的头寸划入银行帐户。第八十五条财务公司应根据业务性质、规模和复杂程度，对银行账户和交易账户中不同类别的市场风险因素进行分解和分析，及时识别各项业务和产品中的市场风险的类别和性质。第八十六条财务公司应持续跟踪和分析宏观经济形势、宏观经济调控政策、主要金融市场走势以及所持金融工具价格波动等因素，及时识别与分析引起市场风险的各种要素的变化。第八十七条财务公司应采用不同的方法计量银行账户和交易账户中不同类别的市场风险，对所计量的银行账户和交易账户中的市场风险在全公司范围内进行汇总，以便董事会和高级管理层掌握公司的总体市场风险水平。第八十八条财务公司应对交易账户头寸按市值至少每日重估一次价值。第八十九条财务公司应对所面临的市场风险进行计量和评估，可开发和使用风险价值等计量模型，对所承担的市场风险进行量化，并辅以缺口分析、久期分析、外汇敞口分析、敏感性分析、压力测试、情景分析等方法前瞻性的分析财务公司的市场风险状况。第九十条财务公司应根据自身经营状况与特点，建立市场风险指标体系与预警机制。市场风险监测指标包括但不限于投资比例、资产负债利率敏感性比例、利率风险敏感度和投资潜在盈亏率。财务公司可建立资产加权平均久期、凸性、标准差和风险价值等风险参数或指标，定期对市场风险进行监测和预警。第九十一条财务公司应向董事会、高级管理层和其他管理人员提供市场风险报告。报告应包括如下全部或部分内容：1.市场风险头寸和市场风险水平及其结构分析；2.盈亏情况；3.市场风险识别、计量、监测和控制方法及程序的变更情况；4.市场风险管理政策和程序的遵守情况；5.市场风险限额的遵守情况，包括对超限额情况的处理；6.模型的事后检验和压力测试情况；7.内部和外部审计情况；8.市场风险资本分配情况；9.对改进市场风险管理政策、程序以及应急方案的建议。第九十二条财务公司应按地区、业务经营部门、资产组合、金融工具和风险类别制定交易限额和止损限额。财务公司可根据自身情况制定风险限额。财务公司应对超限额情况制定监控和处理程序。超限额情况应及时向相应级别的管理层报告。

第九十三条财务公司应使用银监会规定的压力情景，或根据自身业务性质、市场环境设计压力情景进行压力测试。财务公司应将压力测试结果作为制定市场风险应急处理方案的重要依据，并定期对应急处理方案进行审查和测试，不断更新和完善应急处理方案。第九十四条财务公司应逐步建立市场风险管理信息系统，使其与业务管理系统和非现场监管信息系统数据对接，实时监控各项市场风险指标。

第四章操作风险管理

第一节

定义及目标第九十五条操作风险是指由不完善或有问题的内部程序、人员、信息系统，以及外部事件所造成损失的风险。操作风险包括法律风险、信息科技风险，但不包括战略风险和声誉风险。法律风险是指财务公司因日常经营和业务活动违反或无法满足法律、法规和准则等规定，可能受到法律制裁、监管处罚，或因不能履行合同、发生争议、诉讼或其他法律纠纷而造成经济损失的风险。信息科技风险是指信息科技在财务公司运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷而造成损失的风险。第九十六条操作风险事件包括内部欺诈，外部欺诈，就业制度和工作场所安全，客户、产品和业务活动，实物资产的损坏，营业中断和信息系统瘫痪，执行、交割和流程管理等主要类型。第九十七条操作风险的管理目标是通过对操作风险进行识别、计量、监测与控制，将操作风险控制在财务公司可以承受的合理范围内，降低操作风险给财务公司造成的损失。第九十八条财务公司应依照总则与本章要求，建立与自身业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、计量、监测与控制操作风险。

第二节操作风险管理政策第九十九条财务公司应根据总则的要求制定操作风险管理政策、策略、程序和方法。第一百条财务公司应指定专门部门或人员负责操作风险管理体系的建立和实施。该部门或人员与其他部门应保持相对独立，确保全公司操作风险管理的一致性和有效性。财务公司各部门对其职责范围内操作风险的管理情况负直接责任。财务公司的法律合规、信息科技、安全保卫、人力资源等部门在管理好本部门操作风险的同时，应为其他部门管理操作风险提供相关资源和支持。

第三节

操作风险管理基本流程第一百零一条财务公司应按照有关法律法规以及本公司各项制度的规定，对各项管理及业务流程进行梳理和优化，明确岗位设置和职责，制定操作风险防范措施，并组织落实。第一百零二条财务公司应按风险控制与运营效率及效果相平衡的原则，识别分析各项管理及业务领域的操作风险针对关键风险点制定相应的控制措施。第一百零三条

财务公司可采用流程分析法、情景模拟法、引导会议法、调查问卷法等方法，结合操作风险定义及损失事件分类、操作风险损失事件历史数据、各类业务检查报告等相关资料进行操作风险自我评估。第一百零四条

财务公司可在自我评估的基础上，选择已经识别出的主要操作风险因素，结合财务公司的内、外部操作风险损失事件数据形成统计分析指标，用以评价财务公司整体的操作风险水平，依据风险的影响程度和发生频率有针对性地采取恰当的措施控制操作风险。第一百零五条财务公司应根据相关性、可计量性、风险敏感性和实用性原则，对结算差错率、主要业务信息系统中断时间、客户投诉数量等能够反映操作风险的情况，设置关键风险指标及相应预警值，根据各业务条线操作风险的特点有针对性地进行管理。第一百零六条财务公司应制定有效的程序，对操作风险关键指标持续监测，定期报告操作风险状况和损失情况。针对不断增大的风险，建立预警机制，及时采取措施控制，降低操作风险损失事件的影响程度和发生频率。第一百零七条财务公司应向董事会、高级管理层和其他管理人员提供操作风险报告。报告应包括操作风险状况、损失事件、诱因与对策、关键风险指标和资本水平等内容。第一百零八条财务公司应将加强内部控制建设作为操作风险管理的基础，将建立健全内部控制体系作为识别和控制操作风险的有效手段之一，与此相关的内控措施至少应包括：1.授权机制。财务公司应明确各机构、部门和人员的职责分工，以及授权的对象、条件、范围和额度等。任何机构、部门和个人不得超越授权做出决定；2.重要岗位制衡和监督机制。保证不相容岗位职责的分离；实施重要岗位轮岗轮调、强制休假和离岗审计制度；避免重要岗位权力过于集中，明确监督机制；3.内控审批机制。明确重要事项的审批程序、条件、必备文件等，及批准机构、部门和人员的权责；4.内控报告机制。明确报告人、报告对象、报告时间、报告内容、报告频率、传递路线等；5.风险预警机制。持续监测关键风险指标，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；6.监督检查机制。内部审计部门应定期检查内部控制的执行情况，提出改进意见；适时评价内部控制政策、制度、流程的完善性和有效性。第一百零九条财务公司应采取“以事前防范、事中控制为主，事后补救为辅”的原则，加强法律风险防范机制，具体要求至少应包括：1.持续关注法律法规的最新发展，准确把握其对公司经营的影响，为管理层提出合规建议，并及时对公司各项政策、制度规程和操作程序进行修订，确保其符合法律法规要求；2.法律合规部门应参与重要经营决策事项，列席重要决策会议，对重要决策的合法合规性进行审查把关；3.财务公司应建立合同的全过程管理机制，对主要业务订立和使用标准化格式合同，对其他类型合同应进行法律审查，并跟踪合同的签订、履行和变更情况；4.发现公司利益可能或正在受到损害时，采取紧急处置措施，已进入诉讼或仲裁程序的，积极组织研究案件并进行案件处理，完善重大法律纠纷的管理制度；5.财务公司应建立法律顾问制度，如有必要，可聘请社会律师作为常年法律顾问或具体项目法律顾问；6.财务公司应加强合规文化建设，将合规文化建设融入企业文化建设全过程，促使全体员工在自觉遵守法律、法规和规章制度的前提下进行各项经营管理活动。第一百一十条财务公司可参照银监会对商业银行信息科技风险管理的要求，通过完善信息科技治理，加强信息安全、信息系统开发和测试、信息科技运行和维护、业务连续性和应急处置、外包以及内外部审计监督等方面的管理，进一步提高公司的信息科技风险管理水平，降低运营过程中因自然因素、人为因素、技术漏洞和管理缺陷等引发的操作风险损失。具体要求至少应包括：1.对信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理，开发环境应与经营环境严格分离，确保信息系统的整体安全；2.建立和健全网络管理系统，有效地管理网络的安全、故障、性能、配置等，并对接入国际互联网实施有效的安全管理；

3.及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等，通过认证、加密、内容过滤、入侵监测等技术手段，不断完善安全控制措施，确保信息系统的安全；4.确保计算机硬件设施的物理环境安全，建立计算机中心或数据中心、存储机密信息或放置网络设备等重要信息设备的区域安全保护机制，明确相应的管理职责，采取必要的预防、检测和维护措施，确保计算机硬件物理安全；5.网络设备、操作系统、数据库系统、应用程序等均应设置必要的日志，日志应满足各类内、外部审计的需要；6.严格管理各类数据信息，数据的操作、数据备份介质的存放、转移和销毁等均应有严格的管理制度；7.依据统一管理、最小授权、不兼容岗位分离的原则，对信息系统访问、操作权限进行严格控制，包括根据业务流程设定每个业务级别的控制内容、用户账户密码管理、权限变更等；8.制定与其业务规模和复杂性相适应的信息安全应急和业务连续性方案，建立恢复服务和保证业务连续运行的备用机制，并定期检查、测试其灾难恢复和业务连续机制，确保在出现灾难和业务中断时这些方案和机制的正常执行。财务公司应对数据备份异地存放，逐步建立异地灾难备份中心。第一百一十一条

财务公司可采取购买保险等方式缓释操作风险，并制定相应的书面政策和程序，同时不应忽视内部控制措施的重要作用。第一百一十二条财务公司应逐步收集操作风险损失数据，建立操作风险事件库。可定期对主要操作风险进行压力测试和情景分析，为应对可能发生的重大操作风险损失事件做好充分准备。第一百一十三条财务公司可采用基本指标法或标准法对操作风险进行计量，并计提操作风险资本。第一百一十四条财务公司应逐步建立并完善操作风险管理信息系统。系统至少应记录和存储与操作风险损失相关的数据和操作风险事件信息，支持操作风险和控制措施的自我评估，监测关键风险指标，并提供操作风险报告有关内容。

第五章流动性风险管理

第一节定义及目标第一百一十五条流动性风险是指财务公司无法以合理价格变现资产或以合理成本及时获得充足资金，以应对资产增长或支付到期债务，从而可能损害其清偿能力的风险。第一百一十六条流动性风险管理的目标是通过识别、计量、监测和控制，将财务公司流动性风险控制在可以承受的合理范围内，确保财务公司无论在正常经营环境中还是在压力状态下，都有充足的资金应对资产增长和支付到期债务。第一百一十七条财务公司应依照总则与本章要求，建立与自身业务性质、规模和复杂程度相适应的流动性风险管理体系，有效地识别、计量、监测与控制流动性风险。

第二节流动性风险管理政策第一百一十八条财务公司应根据总则的相关要求，制定流动性风险管理政策、策略、程序和方法。第一百一十九条流动性风险管理政策、策略、程序和方法应充分考虑公司的组织结构、主要业务条线、产品及市场的广度和多样性等因素，涵盖表内外各项业务及可能对流动性产生重大影响的业务部门和分支机构。第一百二十条开展外币业务的财务公司应按币种分别识别、计量、监测和控制流动性风险。对于可自由兑换且业务量较小、对整体流动性风险水平及市场影响均不大的币种，财务公司可将外币流动性与本币流动性合并管理。第一百二十一条财务公司应根据监管要求和内部流动性风险管理政策，综合考虑资产负债结构、业务发展状况、资产质量、融资策略等因素，设定流动性风险限额，并根据限额的