全面风险管理试行办法

（2012年12月3日印发）

第一章  总则

第一条  为开展全面风险管理工作增强公司竞争力，促进公司持续、健康、稳定发展，参照COSO委员会ERM框架，制定本办法。

第二条  本办法所称风险，指未来的不确定性对公司实现其经营目标的影响。当前公司面临的主要风险可划分为战略风险、财务风险、市场风险、操作风险、项目风险和法律风险等。

第三条  本办法所称战略风险指因各种因素致使公司战略实现存在的不确定性对公司经营目标的影响，导致战略风险的因素有：   

（一）国内外宏观经济以及经济运行情况、行业状况和、国家产业；

（二）科技进步、技术创新；

（三）市场对公司产品或服务的需求；

（四）与合作伙伴的关系，未来寻求合作伙伴的可能性；

（五）公司主要客户、供应商及竞争对手的有关情况；

（六）与主要竞争对手相比，公司的实力与差距；

（七）公司编制战略与规划、投融资计划、年度经营目标、经营战略的依据的充分性、可靠性；

（八）其他因素。

第四条  本办法所称财务风险指因各种因素致使公司财务状况存在的不确定性对公司经营目标的影响，财务风险可进一步划分为利率风险、信用风险、流动性风险和其他财务风险，导致财务风险的因素有： 

（一）市场利率及其波动情况；

（二）主要客户、主要供应商的信用情况；

（三）公司负债、或有负债、负债率和偿债能力；

（四）公司应收账款及其占销售收入的比重、资金周转率； 

（五）存货及其占销售成本的比重、应付账款及其占购货额的比重；

（六）公司盈利能力；

（七）会计准则、会计和会计估计的变化；

（八）其他因素。

第五条  本办法所称市场风险指公司产品和服务的现有和潜在市场中的不确定性对公司经营目标的影响，导致市场风险的因素有：   

（一）潜在竞争者、竞争者及其主要产品、替代品情况；

（二）公司产品和服务的价格及供需变化；

（三）市场对公司产品和服务的质量评价；

（四）现有市场的饱和情况、未开发或未饱和市场的存在情况；

（五）新市场开发，市场营销策略，包括产品或服务定价与销售渠道，市场营销环境状况等；

（六）产品结构、新产品研发；

（七）其他因素。

第六条  本办法所称操作风险指因人员、流程和技术操作等方面的不确定性对公司经营目标的影响，导致操作风险的因素有：   

（一）员工职业道德情况、培训情况；

（二）员工的健康状况和精神状态；

（三）业务外包安排的合理性；

（四）制度完备情况及制度的合理性、可操作性；

（五）业务流程的完备性、规范性；

（六）设备运行维护情况、健康状态；

（七）信息系统运行的一贯性、维护的及时性以及信息系统本身的合理性；

（八）其他因素。

第七条  本办法所称项目风险指项目推进的不确定性对公司经营目标的影响，导致项目风险的因素有：

（一）项目管理的科学性、规范性；

（二）矩阵制组织结构不足的克服程度；

（三）对项目需求的把握程度；

（四）项目计划的充足性；

（五）项目参与者的配合程度；

（六）其他因素。

第  本办法所称法律风险指法律和的不确定性对公司经营目标的影响，导致法律风险的因素有：

（一）与公司相关的政治、法律环境；

（二）影响公司的新法律法规和；

（三）公司签订的重大合同；

（四）公司发生重大法律纠纷案件的情况；

（五）公司和竞争对手的知识产权情况；

（六）其他因素。

第九条  本办法所称全面风险管理，指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，为实现全面风险管理的总体目标提供合理保证的过程和方法。

第十条  本办法所称风险管理基本流程包括风险识别、风险评估、风险应对和风险监察等过程。

第十一条  公司开展全面风险管理的总体目标：

（一）确保将风险控制在与总体目标相适应并可承受的范围内；

（二）确保内外部，尤其是股东与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

（三）确保遵守有关法律法规；

（四）确保股东有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

（五）确保股东建立针对各项重大风险发生后的危机处理计划，保护股东不因灾害性风险或人为失误而遭受重大损失。

第十二条  公司将逐步建立风险管理三道防线，即各业务部门为第一道防线；董事会风险管理委员会和风险控制部门为第二道防线；董事会审计委员会和审计部门为第三道防线。

第十三条  风险管理人人有责：风险控制部门是全面风险管理的首要责任部门；其他部门负责人是本部门开展全面风险管理的第一责任人，其他员工均是全面风险管理的重要参与者，均有权利和义务参与公司全面风险管理工作。

第十四条  公司发展初期，全面风险管理过程中可对市场拓展过程中面临的风险持相对较高的容忍程度，对其他风险持严格的容忍程度，以将公司整体风险控制在一定水平之内。

第十五条  凡识别出风险或知悉风险事件发生的人员，均可直接向风险控制部门或相关公司领导报告风险或发生的风险事件。

第十六条  在实施风险责任追究时，凡曾就该风险向公司报告过的人员，应当减轻或免除责任；凡在风险事件发生后第一个向公司报告的人员，可以减轻或免除责任；其他人员可给予通报表扬等奖励。

第二章  风险识别

第十七条  风险控制部门牵头，业务部门配合，采用头脑风暴法、流程分析法和事故分析法等方法，识别操作风险；业务部门在履行部门职责和业务操作过程中，须关注操作风险因素，一旦发现可能发生操作风险的因素和操作风险，应当立即向分管领导报告。

第十  配合识别操作风险的部门分工如下：

（一）行政管理部负责配合完成采购、存货管理、固定资产和低值易耗品管理、卡片出入库等相关具体流程和确需其配合的其他流程的风险识别；

（二）资金财务部负责配合完成付款、制卡、收款等相关具体流程和确需其配合的其他流程的风险识别；

（三）人力资源部负责配合完成人事及薪金相关具体流程和确需其配合的其他流程的风险识别；

（四）业务管理部负责配合完成销售、清结算循环、商户管理、终端机具管理等相关具体业务流程和确需其配合的其他流程的风险识别；

（五）信息技术部负责配合完成清结算支撑、信息系统管理等相关具体业务流程和确需其配合的其他流程的风险识别；

（六）市场推广部负责配合完成商户拓展相关具体业务流程和确需其配合的其他流程的风险识别；

（七）战略发展部负责配合完成确需其配合的流程的风险识别。

（八）总工程师办公室负责配合完成确需其配合的流程的风险识别。

第十九条  业务部门牵头，风险控制部门配合，采用敏感性分析法和压力测试法等方法，识别非操作风险；风险控制部门在履行职责过程中，应当关注非操作风险因素，一旦发现可能发生非操作风险的因素，应当立即向分管领导报告。

第二十条  牵头识别非操作风险的部门分工如下：

（一）战略发展部负责识别除“技术创新”因素外诱发的战略风险、本部门牵头的项目之项目风险；

（二）信息技术部负责识别“技术创新”等因素诱发的战略风险、本部门牵头的项目之项目风险；

（三）市场推广部负责识别市场风险、本部门牵头的项目之项目风险；

（四）资金财务部负责识别财务风险、本部门牵头的项目之项目风险；

（五）业务管理部负责识别商户日常信用风险、特约商户诱发的风险、持卡人诱发的风险、本部门牵头的项目之项目风险；

（六）风险控制部负责识别法律风险、本部门牵头的项目之项目风险。

第三章  风险评估

第二十一条  风险控制部门牵头，业务部门配合，采用德尔菲（Delphi）法、敏感性分析法和压力测试法等方法，必要时外聘专家，对识别出的风险的重要性和可能性等进行评估。

第二十二条  风险评估应尽量量化，确实无法量化方可采用定性评估。

第二十三条  对评估出的高重要性和高可能性的风险，风险控制部门应当立即向公司领导报告，并同时联合业务部门启动风险应对工作。

第二十四条  凡有确实证据表明风险评估结果存在偏差的，风险控制部门应当及时启动风险再评估工作。

第四章  风险应对

第二十五条  操作风险应对机制为：风险控制部门牵头，业务部门配合，依据风险评估结果，选择风险规避、风险降低、风险分担和风险承受等应对策略，提出建议措施。

配合应对操作风险的部门分工与配合识别操作风险的部门分工相同。

第二十六条  非操作风险应对机制为：业务部门牵头，风险控制部门配合，依据风险评估结果，选择风险规避、风险降低、风险分担和风险承受等应对策略，提出建议措施。

牵头应对非操作风险的部门分工与牵头识别非操作风险的部门分工相同。

第二十七条  重大风险的应对策略和建议措施视情况报经公司办公会、董事会等批准后实施，一般风险的应对策略和建议措施，视情况报经董事长、总经理、分管领导批准后实施。

第五章  风险监察

第二十  风险控制部门应当定期抽检应对措施的执行情况，定期评价其有效性。对于低效或无效的应对措施，风险控制部门应当启动风险应对工作。

第二十九条  内部审计部门应当定期对各部门开展风险管理工作的情况进行内部审计，敦促相关部门有效执行全面风险管理。

第三十条  风险控制部门每年度应当开展一次全面风险管理的评估工作，对公司全面风险管理体系的有效性进行评估，并将报告报送董事会等类似机构。

第六章  附则

第三十一条  各部门设置风控专员，对部门负责人负责，协助部门负责人开展风险管理工作。

第三十二条  本办法由董事会办公室负责解释，经董事会决议通过后实施。