私募基金公司运营风险控制制度

XXX公司运营风险控制制度

第一章总则

第一条为加强公司运营风险的管理，提升运营风险的管控能力，根据《证券法》、《证券公司监督管理条例》、《证券公司内部控制指引》、《证券公司全面风险管理规范》等相关法律法规，结合公司实际情况，制订本办法。

第二条运营风险是公司经营管理活动所固有的风险，公司将运营风险管理作为全面风险管理的重要组成内容。公司各业务部门及其各项业务活动、各支持部门及其各项业务支持活动，适用本办法。

第三条本办法所称运营风险，是指由不完善或有问题的内部程序、人员、信息技术系统，以及外部事件所造成损失的风险。其中有关合规风险和法律风险的管理要求，按照外部法律法规和公司合规管理的有关制度与规定执行。

第四条本办法所称运营风险管理，是指公司董事会、经营管理层、相关部门及员工共同参与的，对公司经营中的运营风险进行准确识别、审慎评估、动态监控、及时报告和处置的全过程。

第五条公司运营风险管理的目标是根据监管要求和公司业务战略，在全面风险管理框架下，通过有效的内部制衡，逐步建立与公司的业务性质、规模和复杂程度相适应的运营风险管理体系，有效地识别、评估、监测、控制、报告运营风险，从而保证业务正常、持续、稳健地开展。

第六条公司建立与业务活动及经营管理环境规模、性质和复杂程度等相适应的、有效的运营风险管理体系。运营风险管理体系应当包括以下基本要素：

（一）董事会和高级管理层的有效监控；（二）完善的运营风险管理策略、政策和程序；（三）有效的运营风险识别、计量、监测和控制；（四）完备的管理信息系统或采取相应手段，支持运营风险的识别、计量、监测和控制；（五）完善的内部控制和独立的外部审计。

第二章组织体系与职责

第七条董事会是公司风险管理的最高决策机构，对公司运营风险管理负有最终责任，负责审核批准公司运营风险偏好、政策等重大事项，持续关注运营风险状况并对运营风险管理情况进行监督检查。

第八条公司风险控制委员会在董事会的授权下，及时掌握和协调、指导公司经营管理活动中的运营风险管理工作。

第九条公司经营管理层在董事会授权范围内全面负责公司经营层面的运营风险管理，负责制订、定期审查和监督执行运营风险管理的政策、程序和具体的操作规程，并定期向董事会提交运营风险总体情况的报告；全面掌握公司运营风险管理的总体状况，特别是各项重大的运营风险事件或项目；为运营风险管理协调并配备适当资源。

第十条公司首席风险官须充分了解运营风险水平及管理状况，并及时向董事会及经营管理层报告；对公司运营风险管理中存在的风险隐患进行质询和调查，并提出整改意见。

第十一条合规与风险管理部负责公司运营风险管理具体工作的组织和实施，具体职责包括：（一）牵头组织制订、修订和完善公司的各项业务制度、流程，以有效防范运营风险。（二）协助相关业务及支持部门识别、评估、监测、控制相应业务条线或相关部门的运营风险。（三）建立公司运营风险事件的处理与问责机制，以及运营风险损失的追究机制。（四）定期/不定期对各业务及支持部门涉及运营风险管理工作和事项进行合规检查、分析、评估并出具相应意见和改进要求。（五）监控公司层面各业务条线的关键风险指标，根据监管要求变化和业务发展状况予以定期/不定期更新完善。（六）定期分析、评估相关业务条线运营风险的管理情况，收集和报告公司运营风险事件和损失数据。

第十二条公司各业务部门作为运营风险管理的第一道防线，承担本部门运营风险管理的第一责任。部门负责人对相应业务条线运营风险的管理情况负直接责任，主要职责包括：（一）确保公司运营风险管理的政策、程序和具体的操作规程等得到遵守和贯彻执行。（二）建立本条线识别、评估、计量、控制、监测和报告运营风险的方法与程序，组织制订本条线的业务制度、流程、风险点及风控措施，报合规与风险管理部审核同意后实施，并定期修订完善。（三）定期检查、分析和评估本部门运营风险管理的总体状况，及时对薄弱环节采取必要的纠正补救措施并通报相关内控和支持部门；对内控和支持部门所提示的运营风险，及时组织落实整改与防范措施。（四）对部门主办的新业务、新产品的运营风险进行评估，并制订对应的控制措施。（五）收集和分析本部门运营风险事件和损失数据，定期向合规与风险管理部通报，并且应当及时报告重大运营风险事件和损失数据。（六）制订本部门运营风险的应急预案和业务连续性计划，并定期测试和演练，确保应急预案和业务连续性计划的有效性。（七）公司规定的其他职责。

第十三条公司各相关业务部门，应在各自职责范围内分别做好财务管理、资金和流动性管理、交易管理和清算交收、信息技术安全、人力资源管理、后勤保障以及安全保卫等方面的运营风险管理工作，并应在涉及其职责分工及专业特长的范围内为其他部门管理运营风险提供资源和支持，以促进公司整体的运营风险管理。

第十四条公司将运营风险管理纳入内部审计范畴，审计稽核部负责对运营风险管理的充分性和有效性进行独立、客观的审查和评价。审计发现问题的，应督促相关责任人及时整改并跟踪检查整改措施的落实情况。

第三章运营风险识别、控制和评估

第十五条公司建立健全运营风险的识别、评估和控制体系，全面涵盖公司各项业务活动。第十六条公司所面临的运营风险主要来源于人员因素、内部流程、信息技术系统缺陷以及外部事件等四大类别：（一）人员因素，是指公司员工发生内部欺诈、失职违规、没有授权的行为。员工知识技能匮乏、核心员工流失以及违反用工法律法规等。（二）内部流程，是指公司制度业务流程缺失、设计不完善，或者没有被严格执行等因素。（三）信息技术系统缺陷，是指信息技术系统设计和系统维护不完善导致不能正常提供全部、部分服务或业务中断，具体表现为数据或信息质量低下、违反系统安全规定、系统设计或开发的战略风险，以及系统运行稳定性、兼容性、适宜性等问题。（四）外部事件，是指由于监管规定发生变化、外部人员故意欺诈或非法洗钱以及自然灾害等外部突发事件而影响公司正常经营活动或造成损失。

第十七条公司通过采取内部自我评估、关键风险指标法等多种手段，对公司业务过程中所面临的运营风险进行识别与评估，并根据实际情况适时验证评估结果并调整评估程序。第十八条公司各部门应根据外部法律法规以及公司制度的有关规定，对运营风险进行全面、有针对性、持续的识别和评估，自我评估结果应当留痕备查。

第十九条公司各部门应选择适当的方法对运营风险进行管理。具体的方法包括：（一）评估运营风险和内部控制（二）损失事件的报告和数据收集；（三）关键风险指标的监测；（四）新产品和新业务的风险评估；（五）内部控制的测试和审查；（六）运营风险的报告；（七）其他有效管理运营风险的方法。

第二十条合规与风险管理部负责指导公司各部门开展运营风险识别和评估工作，并提供相应的运营风险管理咨询服务。

第二十一条公司各部门应将发生的风险损失事件，按照要求及时报送合规与风险管理部，合规与风险管理部对运营风险对运营风险数据进行汇总整理。

第二十二条合规与风险管理部通过收集公司的历史运营风险数据，结合外部相关损失数据，探索采取合理的方法进行风险计量和评估，并进行相应的统计分析和预警等动态管理措施。第二十三条当出现以下情况时，公司各部门应向合规与风险管理部报告并提供有效的运营风险控制措施, 合规与风险管理部提供必要的支持与协助：（一）新产品和新业务开发；