【正文】 理，是指公司董事會、經營管理層、相關部門及員工共同參與的，對公司經營中的運營風險進行準確識別、審慎評估、動態(tài)監(jiān)控、及時報告和處置的全過程。第五條 公司運營風險管理的目標是根據監(jiān)管要求和公司業(yè)務戰(zhàn)略，在全面風險管理框架下，通過有效的內部制衡，逐步建立與公司的業(yè)務性質、規(guī)模和復雜程度相適應的運營風險管理體系，有效地識別、評估、監(jiān)測、控制、報告運營風險，從而保證業(yè)務正常、持續(xù)、穩(wěn)健地開展。第六條 公司建立與業(yè)務活動及經營管理環(huán)境規(guī)模、性質和復雜程度等相適應的、有效的運營風險管理體系。運營風險管理體系應當包括以下基本要素：（一）董事會和高級管理層的有效監(jiān)控；（二）完善的運營風險管理策略、政策和程序；（三）有效的運營風險識別、計量、監(jiān)測和控制；（四）完備的管理信息系統或采取相應手段，支持運營風險的識別、計量、監(jiān)測和控制；（五）完善的內部控制和獨立的外部審計。第二章 組織體系與職責第七條 董事會是公司風險管理的最高決策機構，對公司運營風險管理負有最終責任，負責審核批準公司運營風險偏好、政策等重大事項，持續(xù)關注運營風險狀況并對運營風險管理情況進行監(jiān)督檢查。第八條 公司風險控制委員會在董事會的授權下，及時掌握和協調、指導公司經營管理活動中的運營風險管理工作。第九條 公司經營管理層在董事會授權范圍內全面負責公司經營層面的運營風險管理，負責制訂、定期審查和監(jiān)督執(zhí)行運營風險管理的政策、程序和具體的操作規(guī)程，并定期向董事會提交運營風險總體情況的報告；全面掌握公司運營風險管理的總體狀況，特別是各項重大的 運營風險事件或項目；為運營風險管理協調并配備適當資源。第十條 公司 首席風險官須充分了解運營風險水平及管理狀況，并及時向董事會及經營管理層報告；對公司運營風險管理中存在的風險隱患進行質詢和調查，并提出整改意見。第十一條 合規(guī)與風險管理部負責公司運營風險管理具體工作的組織和實施，具體職責包括：（一）牽頭組織制訂、修訂和完善公司的各項業(yè)務制度、流程，以有效防范運營風險。（二）協助相關業(yè)務及支持部門識別、評估、監(jiān)測、控制相應業(yè)務條線或相關部門的運營風險。（三）建立公司運營風險事件的處理與問責機制，以及運營風險損失的追究機制。（四）定期/不定期對各業(yè)務及支持部門涉及運營風險管理工作和事項進行合規(guī)檢查、分析、評估并出具相應意見和改進要求。（五）監(jiān)控公司層面各業(yè)務條線的關鍵風險指標，根據監(jiān)管要求變化和業(yè)務發(fā)展狀況予以定期/不定期更新完善。（六）定期分析、評估相關業(yè)務條線運營風險的管理情況，收集和報告公司運營風險事件和損失數據。第十二條 公司各業(yè)務部門作為運營風險管理的第一道防線，承擔本部門運營風險管理的第一責任。部門負責人對相應業(yè)務條線運營風險的管理情況負直接責任，主要職責包括：（一）確保公司運營風險管理的政策、程序和具體的操作規(guī)程等得到遵守和貫徹執(zhí)行。（二）建立本條線識別、評估、計量、控制、監(jiān)測和報告運營風險的方法與程序，組織制訂本條線的業(yè)務制度、流程、風險點及風控措施，報合規(guī)與風險管理部審核同意后實施，并定期修訂完善。（三）定期檢查、分析和評估本部門運營風險管理的總體狀況，及時對薄弱環(huán)節(jié)采取必要的糾正補救措施并通報相關內控和支持部門；對內控和支持部門所提示的運營風險，及時組織落實整改與防范措施。（四）對部門主辦的新業(yè)務、新產品的運營風險進行評估，并制訂對應的控制措施。（五）收集和分析本部門運營風險事件和損失數據，定期向合規(guī)與風險管理部通報，并且應當及時報告重大運營風險事件和損失數據。（六）制訂本部門運營風險的應急預案和業(yè)務連續(xù)性計劃，并定期測試和演練，確保應急預案和業(yè)務連續(xù)性計劃的有效性。（七）公司規(guī)定的其他職責。第十三條 公司各相關業(yè)務部門，應在各自職責范圍內分別做好財務管理、資金和流動性管理、交易管理和清算交收、信息技術安全、人力資源管理、后勤保障以及安全保衛(wèi)等方面的運營風險管理工作，并應在涉及其職責分工及專業(yè)特長的范圍內為其他部門管理運營風險提供資源和支持，以促進公司整體的運營風險管理。第十四條 公司將運營風險管理納入內部審計范疇，審計稽核部負責對運營風險管理的充分性和有效性進行獨立、客觀的審查和評價。審計發(fā)現問題的，應督促相關責任人及時整改 并跟蹤檢查整改措施的落實情況。第三章 運營風險識別、控制和評估第十五條公司建立健全運營風險的識別、評估和控制體系，全面涵蓋公司各項業(yè)務活動。第十六條 公司所面臨的運營風險主要來源于人員因素、內部流程、信息技術系統缺陷以及外部事件等四大類別：（一）人員因素，是指公司員工發(fā)生內部欺詐、失職違規(guī)、沒有授權的行為。員工知識技能匱乏、核心員工流失以及違反用工法律法規(guī)等。（二）內部流程，是指公司制度業(yè)務流程缺失、設計不完善，或者沒有被嚴格執(zhí)行等因素。（三）信息技術系統缺陷，是指信息技術系統設計和系統維護不完善導致不能正常提供全部、部分服務或業(yè)務中斷，具體表現為數據或信息質量低下、違反系統安全規(guī)定、系統設計或開發(fā)的戰(zhàn)略風險，以及系統運行穩(wěn)定性、兼容性、適宜性等問題。（四）外部事件，是指由于監(jiān)管規(guī)定發(fā)生變化、外部人員故意欺詐或非法洗錢以及自然災害等外部突發(fā)事件而影響公司正常經營活動或造成損失。第十七條 公司通過采取內部自我評估、關鍵風險指標法等多種手段，對公司業(yè)務過程中所面臨的運營風險進行識別與評估，并根據實際情況適時驗證評估結果并調整評估程序。第十八條 公司各部門應根據外部法律法規(guī)以及公司制度的有關規(guī)定，對運營風險進行全面、有針對性、持續(xù)的識別和評估，自我評估結果應當留痕備查。第十九條 公司各部門應選擇適當的方法對運營風險進行管理。具體的方法包括：（一）評估運營風險和內部控制（二）損失事件的報告和數據收集；（三）關鍵風險指標的監(jiān)測；（四）新產品和新業(yè)務的風險評估；（五）內部控制的測試和審查；（六）運營風險的報告；（七）其他有效管理運營風險的方法。第二十條 合規(guī)與風險管理部負責指導公司各部門開展運營風險識別和評估工作，并提供相應的運營風險管理咨詢服務。第二十一條 公司各部門應將發(fā)生的風險損失事件，按照要求及時報送合規(guī)與風險管理部，合規(guī)與風險管理部對運營風險對運營風險數據進行匯總整理。第二十二條 合規(guī)與風險管理部通過收集公司的歷史運營風險數據，結合外部相關損失數據，探索采取合理的方法進行風險計量和評估，并進行相應的統計分析和預警等動態(tài)管理措施。第二十三條 當出現以下情況時，公司各部門應向合規(guī)與風險管理部報告并提供有效的運營風險控制措施, 合規(guī)與風險管理部提供必要的支持與協助：（一）新產品和新業(yè)務開發(fā)；（二）新設備和新系統應用；（三）信息技術系統的重大變更；（四）重大事故、險情、案件、隱患發(fā)生時；（五）部門業(yè)務流程發(fā)生較大變化時；（六）組織機構重大變革；（七）關鍵崗位人員流動；（八）外部法律法規(guī)、監(jiān)管要求發(fā)生變化；（九）外部金融相關行業(yè)發(fā)生運營風險損失事件，公司可能面臨類似的風險時；（十）其他可能引發(fā)運營風險的情況。第二十四條 對已識別的運營風險，合規(guī)與風險管理部根據評估結果，組織公司各部門提出相應的控制措施，其控制措施種類包括但不限于以下內容：（一）政策的制訂和更新；（二）從業(yè)人員的資質；（三）不相容職責分離；（四）對文件資料的審查；（五）復核與審批；（六）抽查與檢查；（七）內部審計檢查；（八）盤點與對賬；（九）考核與問責；（十）系統控制：包括權限設置、系統運行規(guī)則的設置、系統自動計算和流轉以及系統自動制單等。第二十五條 公司應當將加強內部控制作為運營風險管理的有效手段，相關的內部控制措施至少應當包括：（一）部門之間具有明確的職責分工以及相關職能的適當分離，以避免潛在的利益沖突；（二）密切監(jiān)測遵守指定風險限額或權限的情況；（三）對接觸和使用公司資產的記錄進行安全監(jiān)控；（四）員工具有與其從事業(yè)務相適應的業(yè)務能力并接受相關培訓；（五）識別與合理預期收益不符及存在隱患的業(yè)務或產品；（六）定期對自營投資賬戶進行復核和對賬；（七）關鍵崗位輪崗輪調、強制性休假制度和離崗審計制度；（八）重要崗位或敏感環(huán)節(jié)員工八小時內外行為規(guī)范；（九）建立客戶和公司員工的投訴與舉報制度；（十）合規(guī)、風控情況納入績效考核；（十一）風險事件查處和相應的信息披露制度。第四章 風險監(jiān)測第二十六條 公司各部門、分支機構及合規(guī)與風險管理部建立與公司業(yè)務發(fā)展和經營管理相適應的關鍵運營風險指標體系，并對指標進行定期監(jiān)測。關鍵運營風險指標包括但不限于失敗交易金額、核心員工流失率、客戶投訴次數、監(jiān)管處罰次數、錯誤和遺漏的頻率以及嚴重程度等。第二十七條 合規(guī)與風險管理部組織各部門建立有效的運營風險損損失件收集機制, 以統一的統計標準、范圍、程序和方法，系統性地收集、整理、跟蹤和分析與運營風險相關的數據和事件信息。第二十八條 公司各部門監(jiān)測各自業(yè)務層面的運營風險，對于風險管理職能部門在監(jiān)測工作中發(fā)現并下發(fā)的運營風險監(jiān)測信息，相關部門應就該監(jiān)測信息進行及時處理并反饋，合規(guī)與風險管理部對監(jiān)測信息的處理情況進行跟蹤，監(jiān)測信息的處理過程應有留痕。第五章 風險報告第二十九條 公司各部門在經營過程中發(fā)現任何運營風險情況，應按規(guī)定定期、不定期向合規(guī)與風險管理部報送，并確保上報內容及時、準確、完整。發(fā)現運營風險指標超出限額或發(fā)生運營風險事件的，業(yè)務部門應及時報告合規(guī)與風險管理部、采取措施及時解決，并向首席風險官報告。第三十條 合規(guī)與風險管理部負責報告公司整體運營風險情況，對各業(yè)務條線的運營風險進行評估，對發(fā)生的運營風險事件進行總結，提出處置建議，常規(guī)事件納入公司風控日報、月報，報告經營管理層。重大運營風險事件應當編制專項報告報送公司管理層。第六章 附則第三十一條 本制度未盡事宜，按有關法律、法規(guī)、規(guī)章、規(guī)范性文件規(guī)定執(zhí)行。第三十二條 本制度由公司負責制定、解釋和修訂，本制度自公布之日起施行。XXX2017年4月15日公司