第六十九条 资产公司应当在集团层面上建立全面、独立、专业的风险管理组织体系,明确有关各方的风险管理职责,逐步建立和完善自上而下的风险政策执行、监督评价机制和自下而上的风险报告制度,不断完善垂直化的风险管理组织架构。
第七十条 资产公司董事会对全面风险管理承担最终责任,并向股东大会负责,董事会下设的风险管理委员会和审计委员会根据董事会授权履行相应职责。高级管理层负责全面风险管理的日常工作并向董事会负责。监事会对董事会及高级管理层在全面风险管理中的履职情况进行监督。
第七十一条 资产公司应当根据有关监管规定,结合自身业务特点和全面风险管理的要求,制定风险管理政策、制度和流程,并根据集团发展、技术更新及市场变化等因素,及时修订和完善。
第七十二条 资产公司应当多层次、多维度地识别经营过程中的各类风险,分析风险的成因、组成要素和相关条件。风险识别应综合考虑内部和外部因素,并选择与其自身业务特点和发展阶段相适应的分析技术和方法。
第七十三条 资产公司应当按照相关规定进行风险分类和评估。评估内容包括:战略风险、经营风险、财务风险、法律风险、声誉风险等。根据已识别风险可能给集团造成的影响和损失,确定该风险对实现集团经营目标的影响程度,形成风险管理的依据。
资产公司可采用问卷调查、集体讨论、专家咨询、情景分析和管理层访谈等定性方法对各类风险的成因、特征及后果进行风险评估。具备条件的资产公司可逐步引入统计分析、内部评级法、敏感性分析等定量方法对风险进行量化分析,并随着风险数据的积累和计量水平的提高不断加以改进和完善。
第七十四条 资产公司应根据自身发展战略和条件,结合风险评估和计量结果明确风险管理的重点,并选择合适的风险管理工具,制定相应的风险应对方案。风险应对方案应包括解决该风险要达到的具体目标,涉及的管理业务流程,需要的条件和资源,拟采取的具体措施及风险管理工具等内容。
第七十五条 资产公司应当按照相关监管规定,建立支持全面风险管理的内部控制体系,完善内部控制制度和全流程风险控制措施。内部控制制度和全流程风险控制措施至少应包括以下内容:
(一)有效的内部授权制度;
(二)业务与风险管理审批制度;
(三)风险监测和风险管理报告制度;
(四)重大风险预警和应急处理制度;
(五)风险管理责任制度;
(六)内部审计监督制度;
(七)风险管理考核评价制度;
(八)重要岗位的权力制衡制度;
(九)防火墙和风险隔离制度。
第七十六条 资产公司应当定期对全面风险管理的健全性、合理性和有效性进行监督检查,分析、评价全面风险管理体系的设计和执行结果,发现薄弱环节,不断完善全面风险管理体系,确保全面风险管理工作的持续有效实施。
第七十七条 资产公司当应逐步建立与全面风险管理相适应、涵盖风险管理基本流程和内部控制系统各个环节的风险管理信息系统,包括风险信息的采集、存储、分析、报告、披露等。风险管理信息系统应准确、及时、持续地支持集团风险的识别、监测、预警、管控和报告等工作。
第七十八条 资产公司应当在集团范围内强化风险管理文化建设。董事会成员和高级管理人员应当在培育统一风险管理文化中发挥表率作用,并通过持续开展风险教育与培训,增强全体员工的风险管理意识,努力将风险管理意识转化为全体员工的共同认识和自觉行动,促进公司形成系统、规范、高效的全面风险管理机制。
