第三方支付公司全面风险管理制度

1、公司风险管理制度第一章 总则第一条 为规公司的风险管理， 建立规、 有效的风险控制体系， 提高风险防 能力，保证公司安全、稳健运行，提高经营管理水平，按照公司法、会计 法及中国人民银行相关规定并结合公司经营和管理实际，制定本制度。第二条 本制度所称公司风险， 指未来的不确定性对公司实现其经营目标的 影响。公司风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风 险等；也可以能否为公司带来盈利等机会为标志，将风险分为纯粹风险（ 只有带来损失一种可能性 ）和机会风险 （ 带来损失和盈利的可能性并存 ）。第三条 本制度所称风险管理， 指公司围绕总体经营目标， 通过在公司管理 的各个环节和经营

2、过程中执行风险管理的基本流程，培育良好的风险管理文化， 建立健全公司风险管理体系， 包括风险管理策略、 风险管理的组织职能体系、 风 险管理信息系统和部控制系统， 从而为实现风险管理的总体目标提供合理保证的 过程和方法。第四条 本制度所称风险管理基本流程包括以下主要工作：（ 一 ） 收集风险管理初始信息；（ 二 ） 进行风险评估；（ 三 ） 制定风险管理策略；（ 四 ） 提出和实施风险管理解决方案；（ 五 ） 风险管理的监督与改进。第五条 本制度所称部控制系统， 指围绕风险管理策略目标， 针对公司各项 业务管理及其重要业务流程， 通过执行风险管理基本流程， 制定并执行的规章制 度、程序和措施。

3、第六条 公司开展风险管理工作， 注重防和控制风险可能给公司造成损失和 危害，把机会风险视为公司的特殊资源，通过对其管理，为公司创造价值，促进 经营目标的实现。第七条 公司本着从实际出发，务效的原则，以对重大风险、重大事件 （ 指 重大风险发生后的事实 ） 的管理和重要流程的部控制为重点，积极开展风险管理 工作。第二章 风险管理的目标、原则与框架第八条 本制度旨在公司为实现以下目标提供合理保证：1. 将风险控制在与总体目标相适应并可承受的围。2. 确保法律法规的遵循。3. 提高公司经营的效益及效率。4. 确保公司建立针对各项重大风险发生后的危机处理计划，使其不因灾害 性风险或人为失误而遭受重大损

4、失。第九条 公司风险管理应当遵循健全、合理、制衡、独立的原则，确保风险 管理的有效性。（一）健全性：风险管理应当做到事前、事中、事后控制相统一；覆盖公 司的所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个环节，确保 不存在风险管理的空白或漏洞。（二）合理性：风险管理应当符合国家有关法律法规和中国证监会的有关 规定，与公司经营规模、业务围、风险状况及公司所处的环境相适应，以合理的 成本实现风险管理目标。（三）制衡性：公司部门和岗位的设置应当权责分明、相互牵制，一线业 务运作与二线管理支持适当分离。（四）独立性：承担风险管理监督检查职能的部门应当独立于公司其他部 门。第十条 公司的风险管理

5、通常应涵盖经营活动中所有业务环节， 包括公司战 略、规划、产品研发、市场运营、业务运营、财务、部审计、法律事务、人力资 源、采购、加工制造、销售、物流、质量等各项业务管理及其重要业务流程。第十一条 公司控制度及风险管理除涵盖对经营活动各环节的控制及风险 管理外，还包括贯穿于经营活动各环节之中的各项管理制度， 包括但不限于： 印 章使用管理、票据领用管理、预算管理、资产管理、质量管理、职务授权及代理 制度、定期沟通制度及信息披露管理制度的管理制度等。第三章 风险管理组织体系第十二条 公司风险管理的组织体系由公司总裁办公会、 审计部、风险管理 部、法律顾问、各部门设的有风险职能的部门或岗位构成。第

6、十三条 总裁办公会负责提出公司经营管理过程中防风险的指导意见， 审 定公司风险控制制度； 对公司风险状况和风险管理能力及水平进行评价， 提出完 善公司风险管理和部控制的建议。第十四条 审计部独立于公司各部门 , 负责协助公司识别和评价重大风险问 题，帮助公司改进风险管理与控制系统； 通过评价控制的效率与效果、 促进其持 续改善等工作， 帮助公司维持有效的控制系统； 评价公司治理过程并提出改进公 司治理的恰当建议，履行检查与评价、咨询与服务的职能。第十五条 风险管理部，全面负责公司的风险管理，建立健全公司风险防、 监控体系， 负责公司风险管理制度建设， 并监督执行情况； 负责公司各业务风险 的日

7、常管理，对公司经营管理活动中的各类风险实施有效的事前评估和过程监 控，有效化解和降低公司运营风险。第十六条 法律顾问承担公司的政策法律事务，为领导决策和公司业务开展 提供法律参考意见； 审核相关法律文书及合同， 防法律风险； 负责牵头处理公司 诉讼事务和经济纠纷事务， 代表公司对外处理相关法律事务， 维护公司的合法权、人益。第十七条 公司各部门负责人为风险控制的第一责任人， 履行风险控制职能， 执行具体的风险管理制度， 建立部门权责明确、 相互制衡的岗位职责和部门全面、 合理的风控制度，并针对业务主要风险环节制定业务操作流程。第四章 风险评估第十八条 公司应建立风险管理综合信息的收集与积累机制

8、。风险管理综合 信息包括与风险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、 公司资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的信息。 公司及各部门应广泛地、 持续不断地收集与公司风险及管理相关的信息， 并送交 风险管理部对相关信息进行整理和修订， 以建设和更新公司的风险管理综合信息 库。第十九条 公司对公司各项业务管理及其重要业务流程进行风险评估。 风险 评估包括风险辨识、风险分析、风险评价三个步骤。第二十条 风险评估由公司组织各部门实施。第二十一条 风险辨识是指查找公司各业务单元、 各项重要经营活动及其重 要业务流程中有无风险， 有哪些风险。 风险分析是对辨识出的

9、风险及其特征进行 明确的定义描述， 分析和描述风险发生可能性的高低、 风险发生的条件。 风险评 价是评估风险对公司实现目标的影响程度、风险的价值等。第二十二条 进行风险辨识、 分析、评价时， 采用定性与定量方法相结合的方式进行。定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分 析、行业标杆比较、管理层访谈等。定量方法可采用统计推论 （如集中趋势法 ） 、 计算机模拟 （ 如蒙特卡罗分析法 ） 、事件树分析、压力测试等。第二十三条 进行风险定量评估时， 统一制定各风险的度量单位和风险度量 模型，并通过测试等方法，确保评估系统的假设前提、参数、数据来源和定量评 估程序的合理性和准确性。

10、 要根据环境的变化， 定期对假设前提和参数进行复核 和修改，并将定量评估系统的估算结果与实际效果对比， 据此对有关参数进行调 整和改进。第二十四条 风险分析包括风险之间的关系分析， 以便发现各风险之间的自 然对冲、风险事件发生的正负相关性等组合效应， 从风险策略上对风险进行统一 集中管理。第二十五条 在评估多项风险时， 根据对风险发生可能性的高低和对目标的 影响程度的评估， 绘制风险坐标图， 对各项风险进行比较， 初步确定对各项风险 的管理优先顺序和策略。第二十六条 公司对风险管理信息实行动态管理， 定期或不定期实施风险辨 识、分析、评价，以便对新的风险和原有风险的变化重新评估。第五章 风险管

11、理策略第二十七条 本制度所称风险管理策略，指公司根据自身条件和外部环境， 围绕公司发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风 险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适 合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原 则。第二十八条 一般情况下，对战略、财务、运营和法律风险，可采取风险承 担、风险规避、风险转换、风险控制等方法。对能够通过金融手段进行理财的风 险，可以采用风险转移、风险对冲、风险补偿等方法。第二十九条 根据不同业务特点统一确定风险偏好和风险承受度， 即公司愿 意承担哪些风险， 明确风险的最低限度和不能超过的最

12、高限度， 并据此确定风险 的预警线及相应采取的对策。 确定风险偏好和风险承受度， 要正确认识和把握风 险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、围，认为风 险越大、收益越高的观念和做法； 同时，也要防止单纯为规避风险而放弃发展机 遇。第三十条 公司根据风险与收益相平衡的原则以及各风险在风险坐标图上 的位置，进一步确定风险管理的优选顺序， 明确风险管理成本的资金预算和控制 风险的组织体系、人力资源、应对措施等总体安排。第三十一条 定期总结和分析已制定的风险管理策略的有效性和合理性， 结 合实际不断修订和完善。 其中，重点检查依据风险偏好、 风险承受度和风险控制 预警线实施的结果

13、是否有效，并提出定性或定量的有效性标准。第六章 风险的监控报告与预警第三十二条 公司建立风险报告和预警制度。通过有效的沟通和反馈，使公 司领导和有关部门及时了解公司业务和资产的风险状况， 相应调整风险管理政策 和管理措施。第三十三条 风险管理部对各部门的经营计划、方案的实施进行实时监控， 及时对各类信息进行记录、汇总、分析和处理，并保留风险管理记录。各部门或 岗位向风险管理部报送本部门业务风险情况。 各部门所有涉及风险管理的相关资 料必须向风险管理部报备， 或向风险管理部开放信息系统。 风险管理部有权检查 原始资料。第三十四条 公司的风险报告分为定期风险报告和不定期的专项风险报告。 定期风险报

14、告是对一个阶段公司经营发展中存在的风险和纠正的情况进行的汇 总报告；不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风 险隐患问题进行的专项报告。 风险报告要按照规定的报告程序报送公司领导、 相 关部门和履行垂直管理职责的管理部门。第三十五条 在风险监控中发现问题时， 风险管理部可以进行风险专项检查， 必要时可进行重点审计或组织专项审计。对其它不属于审计监察部职责围的事 项，风险管理部可以向公司有关部门提出风险管理建议。第三十六条公司相关部门应建立风险预警系统， 以发现并应对可能出现的风 险：（一）建立财务预警系统：公司的财务中心，通过设置并观察一些敏感性 财务指标的变化，对可能或

15、将要面临的财务危机实现进行预测预报。（二）建立经营管理预警系统：公司的经营管理人员，根据各个业务环节 特有的性质来设计不同的风险控制机制，彻底掌握风险的来源和可能的影响。（三）建立风险信息管理系统。各部门有责任及时、无保留地向公司风险 管理部报告有关风险的真实信息。1、风险管理信息系统应涵盖风险管理基本流程和部控制系统各环节包括信 息的采集、存储、加工、分析、测试、传递、报告、披露等。2、公司须采取措施确保向风险管理信息系统输入的业务数据和风险量化值 的一致性、准确性、及时性、可用性和完整性。对输入信息系统的数据，未经批 准，不得更改。3、风险管理信息系统能够进行对各种风险的计量和定量分析、定

16、量测试； 能够实时反映风险矩阵和排序频谱、 重大风险和重要业务流程的监控状态； 能够 对超过风险预警上限的重大风险实施信息报警； 能够满足风险管理部信息报告制 度和公司对外信息披露管理制度的要求。4、风险管理信息系统须实现信息在各部门之间的集成与共享，既能满足单 项业务风险管理的要求，也能满足公司整体和各部门的风险管理综合要求。5、公司确保风险管理信息系统的稳定运行和安全，并根据实际需要不断进 行改进、完善或更新。第七章 风险管理解决方案第三十七条 公司根据风险管理策略， 针对各类风险或每一项重大风险制定 风险管理解决方案。方案一般需要包括风险解决的具体目标，所需的组织领导， 所涉及的管理及业

17、务流程，所需的条件、手段等资源，风险事件发生前、中、后 所采取的具体应对措施以及风险管理工具 （ 如：关键风险指标管理、损失事件管 理等）。第三十八条 制定风险解决的控方案， 满足合规的要求， 坚持经营战略与风 险策略一致、 风险控制与运营效率及效果相平衡的原则， 针对重大风险所涉及的 各管理及业务流程， 制定涵盖各个环节的全流程控制措施； 对其他风险所涉及的 业务流程，要把关键环节作为控制点，采取相应的控制措施。第三十九条 公司制定控措施，一般至少包括以下容：（ 一 ） 建立控岗位授权制度。 对控所涉及的各岗位明确规定授权的对象、 条 件、围和额度等，任何组织和个人不得超越授权做出风险性决定

18、；（ 二） 建立控报告制度。明确规定报告人与接受报告人，报告的时间、容、 频率、传递路线、负责处理报告的部门和人员等；（ 三 ） 建立控批准制度。 对控所涉及的重要事项， 明确规定批准的程序、 条 件、围和额度、必备文件以及有权批准的部门和人员及其相应责任；（ 四） 建立控责任制度。 按照权利、义务和责任相统一的原则， 明确规定各 部门、岗位、人员应负的责任和奖惩制度；（ 五 ） 建立控审计检查制度。结合控的有关要求、方法、标准与流程，明确 规定审计检查的对象、容、方式和负责审计检查的部门等；（ 六 ） 建立控考核评价制度。把各部门风险管理执行情况与绩效薪酬挂钩；（ 七 ） 建立重大风险预警制

19、度。 对重大风险进行持续不断的监测， 及时发布 预警信息，制定应急预案，并根据情况变化调整控制措施；（ 八） 建立健全公司法律顾问制度， 大力加强公司法律风险防机制建设， 形 成由公司决策层主导、 公司法律顾问提供业务保障、 全体员工共同参与的法律风 险责任体系，完善公司重法律纠纷案件的备案管理制度；（ 九） 建立重要岗位权力制衡制度， 明确规定不相容职责的分离。 主要包括： 授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对控所涉及的重 要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员 对其采取的监督措施和应负的监督责任；将该岗位作为部审计的重点等。第四十条 公

20、司建立灵敏高效的危机处理和应急管理机制，以降低风险损 失。对新出现的、 缺乏风险应急预案的重大风险， 风险管理部应立即与公司相关 部门协调，组织人员研究制定风险应对方案，并报公司总裁办公会审批后实施。第四十一条 当风险已经发生，风险单位负责人必须立即向公司风险管理部 报告。风险管理部应及时对风险进行初步的评判， 确定是属于一般性部风险， 还 是对企业声誉、 经营活动和部管理造成强大压力和负面影响的企业危机。 对一般 性风险， 责成负责人或有关人员负责组织处理； 对企业危机， 必须按照下列程序 处理：（一）第一时间成立危机处理小组，该小组应由公司总裁或副总裁担任组 长。小组成员至少应包括：发生危

21、机单位的第一负责人，公司法律顾问、财务中 心、总裁办公会成员、人力资源部、风险管理部等部门负责人及其他相关人员， 小组应配备小组秘书及后勤保障人员。 公司董事会应授权危机处理小组为处理危 机事件的最高权力机构和协调机构， 有权调动公司可用资源， 有权独立代表公司 作出声明、承诺或妥协。（二）危机处理小组应及时根据现有的资料和情报， 以及企业拥有或可支配 的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员 及分工、后勤保 障、行动时间表以及各个阶段要实现的目标，同时还应包括社 会资源的调动和支配、 费用控制和实施责任人及其目标。 计划制订完成并获通过 后，应立即开始进行物 质

22、资源调配和准备，展开全面的危机处理行动。（三）危机应按如下程序处理：1. 对于尚未造成社会影响的事件，在对危机事件进行详细的调查了解和核 实的基础上，根据法律和公理，果断做出处理决定，以避免事态的进一步恶化。2. 对于已造成社会影响的事件，应保持与社会各方的良好沟通，及时披露 事实真相，以有助于对事件做出客观公正的报道和评价。3. 在处理过程中，应处理好与危机事件对方当事人的关系，及时按抚，避 免出现纠纷。4. 在事件处理的全过程，危机处理小组均应与当地政府、监管机构保持紧 密联系，及时通报事件进展。（四）危机事件处理完成后，危机处理小组应及时提交总结报告，如实反 映事件的起因、发生过程、处理

23、方法和结果、责任认定、反映的问题等，并提出 整改建议或意见，以避免新的风险和危机发生。第四十二条 对因决策失误、管理失职、行为失当等原因致使公司出现风险 或危机，并造成有形或无形损失的责任人及部门负责人， 公司应追究其直接责任 或领导责任。第四十三条 公司按照各部门的职责分工，认真组织实施风险管理解决方 案，确保各项措施落实到位。第八章 风险管理的监督与改进第四十四条 公司以重大风险、 重大事件和重大决策、 重要管理及业务流程 为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险 管理解决方案的实施情况进行监督， 采用压力测试、 返回测试、 穿行测试以及风 险控制自我评估等方

24、法对风险管理的有效性进行检验， 根据变化情况和存在的缺 陷及时加以改进。第四十五条 公司建立贯穿于整个风险管理基本流程， 连接各上下级、 各部 门的风险管理信息沟通渠道，确保信息沟通的及时、准确、完整，为风险管理监 督与改进奠定基础。第四十六条 公司各部门定期对风险管理工作进行自查和检验， 及时发现缺 陷并改进，其检查、检验报告及时报送公司风险管理部。第四十七条 公司风险管理部定期对各部门的风险管理工作实施情况和有 效性进行检查和检验， 要根据本制度第三十条要求对风险管理策略进行评估， 对 跨部门的风险管理解决方案进行评价， 提出调整或改进建议， 出具评价和建议报 告，及时报送公司总裁或其委托分管风险管理工作的高级管理人员。第四十八条 公司审计部至少每年一次对包括风险管理部在的各部门能否 按照有关规定开展风险管理工作及其工作效果进行监督评价