第一章 总则
第一条：为了建立健全金融仓储有限公司(以下简称“公司”)风险控制体系，指导、规范风险控制活动，确保公司业务持续稳定发展，以实现公司的总体经营目标和经营战略，特制定本办法。
第二条:本办法结合国内外通行的风险控制方法和风险管理理念，根据公司实际业务需求而制定。
第三条:风险控制是指公司围绕经营目标和经营战略，确定风险控制制度、措施和执行流程，建立健全风险控制体系，培育良好的风险管理文化，从而实现公司风险控制总体目标的一系列行为。
第四条:公司风险控制的总体目标：
(一)有效防范、控制、化解公司业务开展所面临的各种风险，将风险程度和风险损失降到最低，为公司持续经营提供安全保障；
(二)逐步采用科学统一的风险量化方法，建立完整的风险控制体系和操作流程，实现对风险的科学管理；
(三)提高公司经营效率和效果，维护公司声誉和品牌。
第五条:公司风险控制应遵循以下原则：
(一)全面性原则:风险控制应做到事前、事中、事后控制相统一，覆盖公司的所有业务、所有部门和人员，渗透到决策、执行、监督、反馈等各个流程和环节；公司所有部门、所有员工都是风险控制的责任主体，根据部门、岗位职责的要求承担相应的风险控制责任与义务；
(二)持续性原则:风险控制不是静态的制度，而是一个由风险预测、风险识别、风险评估、风险应对和监督反馈优化等流程组成的PDCA管理过程。
(三)职能性原则:公司设立独立的职能部门（风控部），专职对各种风险履行日常检查、监控、评估等风险控制工作；
(四)有效性原则:公司风险控制应与公司经营规模、业务范围、风险状况及公司所处的环境相适应，追求效率与效果统一，利用最经济的成本实现公司风险控制总体目标；
(五) 制衡性原则:公司合理设置内部组织结构，科学规划业务流程，实现决策部门、执行部门与监督检查部门以及各岗位的权责分明和相互牵制。
第二章  主要风险类别及定义
第六条：根据业务特点，公司面临的主要风险有法律风险、操作风险、市场风险、环境风险、信用风险等五大类风险。
第七条:法律风险，是指公司在业务开展过程中，由于法律缺失或合同条文不合理可能导致业务开展面临的风险。
第八条:操作风险，是指公司由于经营战略、管理制度、组织架构设置、操作流程等不完善、不科学，或者由于操作人员违规操作所带来的风险。
第九条:市场风险，是指由于市场的价格波动和金融汇率的变化，或者相关法律法规及监管政策发生变化导致质押物价值损失及变现能力改变。
第十条:环境风险，是指监管环境的改变，给公司业务开展带来的风险。
第十一条:信用风险，是指客户出于自身利益，或是自律性差、责任感不强等原因，利用信息不对称等优势，损害公司及金融机构利益的风险。
第三章  风险控制组织体系及职责
第十二条:公司风险控制的组织体系由总经办、风控部、业务部、监管部以及其他职能部门组成。
第十三条:总经办是公司风险控制的最高决策机构，担负公司风险控制的最终责任。其在风险控制方面的主要职责包括：
(一)确定公司风险控制的总体目标、风险偏好、风险承受度；
(二)决定公司风险控制制度，批准各项风险控制措施和办法；
(三)了解和掌握公司面临的各项重大风险及其风险控制现状，对公司所有风险控制活动进行整体监督和全局指导；
(四)决定公司风险控制组织机构的设置及职责方案；
(五)决定公司风险处理方案；
(六)督导公司风险管理文化的培育；
(七)决定公司风险控制其他重大事项。
第十四条:风险控制部是公司具体负责风险控制和管理的职能部门，组织实施风险控制的具体工作，其主要职责包括：
(一)拟定公司的风险控制制度和各项风险控制措施、办法，报总经办审议和批复；
(二)建立健全公司风险识别、风险评估和衡量、风险应对、风险监测、风险报告的循环处理程序及反馈流程，并协助总经办将其整合、落实到公司各岗位以及业务流程之中；
(三)组织相关部门定期识别、分析各个岗位和流程中的风险，进行评估并提出控制措施的建议；
(四)检查、评估公司业务流程及其他职能部门对于风险控制制度和风险控制措施、办法的执行情况，向总经办报告；
(五)组织业务部和监管部以及其他职能部门对风险控制的实施情况进行总结和反馈，提出完善建议并督促执行；
(六)对监管项目的操作风险进行独立核查，具体职责包括：
    1.对尽职调查工作进行检查，通过突击巡查和日常抽查，掌握监管点风险控制工作的开展情况；
    2.参与项目立项会、风险评估等会议，对拟开展项目进行风险调查，为相关决策提供风险评估意见；
    3.对《监管协议》、《租赁协议》等重要法律文件进行风险评估；
    4.对项目后续管理进行风险监控；
    5.对项目退出方案进行风险评估。
(七)传播公司风险控制理念，培育风险管理文化；
(八)研究公司风险处理机制的建立，在出现风险事件时拟定处理建议、方案，报总经办审议；
(九)办理总经办授权的风险控制其他有关工作。
第十五条:业务部门是项目开展的具体负责部门，也是监管项目风险控制的第一道防线，其在项目风险控制方面的主要职责包括：
(一)在项目开展前负责行业研究、项目筛选、尽职调查，全面识别和评估项目的各种潜在风险；
(二)在项目谈判、组织实施、后续管理以及退出阶段，勤勉尽责、密切跟踪、积极管理，及时发现监管风险并如实报告；
(三)协助、配合风险控制部对项目的风险履行核查、监控职责。
第十六条:监管部是公司风险控制工作的最终落实部门，在风险控制方面的主要职责包括：
(一)执行公司风险控制制度和各项风险控制措施、办法；
(二)协助、配合风险控制部，定期进行本部门各岗位以及业务流程风险点的识别、分析以及评估；
(三)定期总结本部门风险控制措施的实施情况，向总经办和风控部提交反馈意见；
(四)协助风控部，在部门内倡导风险管理文化；
(五)办理风险控制其他有关工作。
第四章 风险控制流程
第十七条:公司的风险控制管理流程如下：
(一)目标设定及制度制定：总经办负责设定公司风险控制的总体目标、风险偏好、风险承受度，据此决定公司基本的风险控制制度，并督促管理层及风控部制订、落实各项风险控制措施。
(二)风险预测、识别和评估：其他职能部门应当在风控部的组织下，定期对部门内各个岗位以及业务流程中的风险点进行识别、分析和评估。
(三)制订并执行风险控制措施：在风险识别、分析和评估的基础上，风控部应制订相应的风险控制措施以及具体的实施办法，各个部门、岗位应当严格执行。
(四)监督与检查风险控制的执行情况：风控部定期或不定期检查评估公司业务流程以及其他职能部门对于风险控制制度和风险控制措施、办法的执行情况，及时向总经办汇报检查评估结果。
(五)反馈与完善风险控制体系：业务部、监管部及其他职能部门及时总结风险控制措施的实施情况，向总经办和风控部提交反馈意见；风控部结合监督检查结果，提出完善建议并督促执行。

图表 1 风险控制流程图

第五章  风险识别、分析和评估
第十八条:风险评估是指在信息收集的基础上根据业务的实际操作环境，对业务所面临的风险进行风险辨识、风险分析、风险评价，包括对公司各项管理制度、各项操作方案的事前风险评估。
公司开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。
第十九条:公司建立风险管理综合信息的收集与积累机制。各职能部门在日常工作中，应持续收集与本公司风险相关的内外部相关信息，包括历史数据和未来预测数据，并进行整理和记录，并报送风控部风险评审专员。公司各部门以及人员应在获取重要风险信息后立即将信息逐级传递至总经办。
第二十条:风控部应对各风险管理责任部门报送的风险信息进行统一的筛选、提炼和规范管理，补充风险事件库。通过专业分析、评价、诊断，对重大风险进行提示，组织相关部门制定具体应对方案。
第二十一条:风控部负责从风险事件库中整理重大风险事件列表，制定风险评价的统一标准，并根据事件的来源、影响范围、管理需要等确定参与评估的范围。通过对各类风险的综合分析，形成评估结论，确定重大风险，报送总经办审核。
第二十二条:各部门制订的操作方案和业务计划应包含业务部门自身对于项目方案的风险判断和采取的风险管理措施，并由风控部对计划、方案的市场风险、合约风险、信用风险、操作风险、声誉风险、管理风险和道德风险等进行确认，对风险发生的概率及其产生结果的影响程度进行评估，对计划、方案中相应的风险管理措施是否充分有效等进行分析，并出具风险评估意见。
第二十三条:公司应当将内部控制相关信息在内部各管理责任部门、业务环节之间，以及企业与外部债权人、客户、中介机构等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。
第六章 风险控制
第二十四条:公司应针对本制度第二章所列各类风险，结合业务实际情况，采用第四章所列风险控制流程，持续不断地研究和推出行之
有效的风险控制措施。
第二十五条:为控制项目风险，公司应采取如下具体措施：
(一)确定科学的风险控制策略，明确业务开展中的各项风险指标；
(二)建立健全公司风险控制结构，实现项目决策、项目执行、项目监督各岗位权责分明、相互制约；
(三)制定合理的风险控制流程和项目管理办法；
(四)完善监管协议的设计，利用法律手段保护权益；
(五)对己开展的项目密切跟踪、积极管理；
(六)加强研究支持，团队经验共享，提升公司整体风险控制水平；
第二十六条：为控制环境管理风险，公司应树立持续发展的经营战略，建立健全风险控制结构、激励机制、监督和约束机制，不断提升公司风险控制管理能力。
第二十七条:为控制市场风险，公司应加强对宏观经济的跟踪研究，及时发现外部环境的变化趋势，为项目开展提供决策依据。
第二十八条:为控制法律风险，公司应随时跟踪、深入研究相关法律法规及监管政策，及时调整业务方案以适应政策变化。
第二十九条:为控制操作风险，公司应强化道德教育和员工自律管理，并提高道德违约成本。
第三十条:为控制信用风险，公司应通过专业的服务、良好的客户关系管理来取得客户信任，当发生风险事件时应做出积极和恰当的反应，以维持客户信任，降低信用风险的损失。
第七章  风险监控报告及预警
第三十一条:风控部负责设置各类业务的风险控制关键指标。
第三十二条：风险管理责任部门应对其管理的风险进行持续的日常监控。开展风险监控时需要对以下风险信息予以持续关注：
(一)关键风险指标的变化情况；
(二)新出现的风险或原有风险的重大变化；
(三)既定风险应对方案的执行情况及执行效果。
第三十三条:风险管理责任部门应对风险监控结果进行分析评价，包括风险变化的原因、潜在影响、变化趋势以及对跨部门风险应对方案的调整建议等，各职能部门及驻场监管人员应每月结束后1个工作日内向风控部上报本部门及监管项目的风险管理情况报告。
第三十四条:当风险监控分析结果中关键监控指标达到预警值，风险管理责任部门应以《风险预警报告》形式立即向风控部报告，并积极采取防范措施，将实施结果及时提交风控部。
第三十五条:风控部根据提交的风险监控分析结果以及《风险预警报告》，对风险情况进行汇总分析和评价，包括年度重大风险的变化和应对情况、风险承受度的执行情况、风险排序的变化情况等，并将以上信息归入风险库存档。同时根据风险的重大变化提出跨部门的风险应对建议。
第八章 突发风险事件应对
第三十六条:公司建立灵敏高效的风险处理和应急管理机制，以降低风险损失。对新出现的、缺乏风险应急预案的风险，相关部门应立即协调，组织人员研究制定风险应对预案，并报公司总经办审批后实施。
第三十七条:当风险已经发生，任何第一手接触或认知到风险的人员均必须向其上一级管理者报告，同时报送风控部。
获得报告信息的上一级管理者应及时组织有关部门、相关人员对风险进行初步的评判，确定是属于哪一级风险，并采取相应措施.
第三十八条:重大风险或风险处理应对程序：
(一)成立风险处理小组
该类危机发生后，公司应在第一时间成立风险处理小组；对于极其重大的风险，该小组应由总经办担任组长；小组成员至少应包括：发生危机部门的第一负责人、监管部、风控部、法律顾问和其他相关人员。
(二)制订风险处理计划
风险处理小组应及时根据现有的资料和信息，以及公司拥有或可支配的资源来制订风险处理计划。计划必须体现出风险处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标。计划制订完成并获通过后，应立即开始进行资源调配和准备，展开全面的风险处理行动。
(三)风险处理
1、对于尚未造成明显影响的事件，在对事件进行详细的调查了解和核实的基础上，根据法律和公司制度，果断做出处理决定，以避免事态的进一步恶化。
2、对于已造成明显影响的事件，应保持与社会各方的良好沟通，及时披露事实真相，以有助于对事件做出客观公正的评价。
3、在处理过程中，应处理好与风险事件相关当事人的关系，及时协调，避免出现纠纷。
4、在事件处理的全过程，风险处理小组均应与金融机构、客户保持紧密联系，及时通报事件进展。
(四)总结与责任认定
风险事件处理完成后，风险处理小组应及时提交总结报告，如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等，并提出整改建议或意见，以避免新的风险发生。把所处理风险事件过程方法记入公司风险事件库，为以后经营业务提供经验。

第九章  风险管理的监督与考核
第三十九条:公司建立风险监督与考核机制。风险管理的监督与考核，是指对风险管理的效果和效率进行持续监督与考核评价，包括对公司各部门及现场监管员风险管理工作执行情况进行定期检查，对风险管理工作任务的完成情况进行考核，并根据监督或考核的结果，对公司风险管理工作进行改进与提升。
第四十条:风控部对各部门风险管理工作进行实时监控，及时对各类信息进行记录、汇总、分析和处理，并保留风险管理记录。各部门向风控部报送本部门业务风险情况。各部门所有涉及风险管理的相关资料必须向风控部报备，风控部有权检查原始资料。
第四十一条:在风险监控中发现问题时，风控部可以决定进行风险专项检查，对不方便检查或无法检查的事项，风控部有权向公司有关部门提出风险管理建议。
第四十二条:风控部负责风险监督与评价。监督与评价分为日常监督与评价、专项监督与评价。
第四十三条:日常监督与评价是指风控部对建立与实施风险控制的情况进行常规、持续的监督检查，对公司风险管理总体状态和内部控制的效率与效果进行检查和评价。
第四十四条:专项监督与评价是指风控部在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对风险控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
第四十五条:公司各职能部门负责人、各员工，有权对涉及所属岗位的风险管理工作开展的自我监督和对下一级员工的风险管理工作实施监督的责任。
第四十六条:内部控制缺陷包括制度缺陷、流程缺陷和执行缺陷。
第四十七条:对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，并及时向总经办报告。
第四十八条:风控部应当跟踪内部控制缺陷整改情况，对于整改不到位的，有权向公司提请追究相关部门或者责任人的责任。
第四十九条:公司应当结合内部监督情况，定期由风控部负责组织对公司内部控制的有效性进行自我评价。
第五十条:公司建立多层级风险责任机制。
(一)公司为第一级风险管理单位，总经办为风险责任承担人，全盘负责本公司的风险管理。
(二)各部门为第二级风险管理单位，每个风险管理单位的负责人为风险责任人，全盘负责本部门的风险管理；
(三)各部门必须评估每一个操作程序所遇到的风险，再把每一个风险的责任落实到每一环节的相关人员，真正做到风险控制到人。
第五十一条:公司制定考核指标和考核标准主要考虑以下方面：
(一)公司风险管理体系或部门风险管理流程的建设工作按计划进度完成情况；
(二)对公司或部门的重大风险进行系统的评估或预防的情况；
(三)根据公司风险管理策略，落实部门有关风险的管理制度和流程及实施的情况；
(四)对公司或部门的风险管理职责进行清晰的界定和落实的情况；
(五)风险相关报告和预警工作的及时、有效性情况；
(六)超出预警范围的重大风险发生并对公司经营目标造成重大影响的情况。
第十章  风险管理文化的建设
第五十二条:公司应将风险管理文化建设作为发展战略的重要组成部分，培育和塑造良好的风险管理文化，促进全面风险管理目标的实现。
第五十三条:公司应营造良好的制度文化环境，将风险管理文化融于公司文化建设的全过程中，在相关政策和制度文件中明确规定风险管理文化的建设要求和内容，在各层面营造风险管理文化的氛围。公司应当加强员工的道德风险意识、风险责任意识和法制观念的培养和教育，增强全员的道德观、责任心和风险意识，维护公司利益。
第五十四条:公司应引导员工遵循良好的行为准则和道德规范，增强风险管理意识，培养按制度办事的习惯。
第五十五条:公司应将对员工风险意识和风险管理的培训纳入培训计划。通过各类风险案例教育，和公司操作制度的教育，对公司全体人员进行岗前和上岗后的持续性风险管理培训。
第五十六条:公司应建立和强化对风险管理考核的激励和约束机制，完善风险考核体系，引导员工逐步形成良好的风险管理意识，并将这种意识运用到工作当中。
第十一章  责任追究
第五十七条:对于员工违反公司风险管理制度的行为，风控部、监管部及其他职能部门均可提出处理建议，报请总经办批准后，由行政人事部落实对具体责任人进行追责和处罚。
第五十八条:对因决策失误、管理失职、行为失当、违规违法等原因致使公司出现风险的责任人及单位负责人，可视情节轻重、损失大小、责任人的态度给予处罚。
第十二章 附则
第五十九条:公司可根据本办法的规定和经营管理的需要，制定具体的实施办法或细则。
第六十条:本办法自总经办审核通过之日起实施。