新闻动态
基金管理公司风险管理指引(试行)
发布时间:2018-01-25 信息来源:CMAF

第一章 总则

第一条 为促进基金管理公司(以下简称公司)强化风险意 识,增强风险防范能力,建立全面的风险管理体系,促进公司和 行业持续、健康、稳定发展,保护投资者利益,根据基金相关法 律法规和自律规则,制定本指引。

第二条 本指引所称风险管理是指公司围绕总体经营战略, 董事会、管理层到全体员工全员参与,在日常运营中,识别潜在 风险,评估风险的影响程度,并根据公司风险偏好制定风险应对 策略,有效管理公司各环节风险的持续过程。在进行全面风险管 理时,公司应根据公司经营情况重点监测、防范和化解对公司经 营有重要影响的风险。

第三条 公司风险管理的目标是通过建立健全风险管理体系, 确保经营管理合法合规、受托资产安全、财务报告和相关信息真 实、准确、完整,不断提高经营效率,促进公司实现发展战略。

第四条 公司风险管理应当遵循以下基本原则:

(一)全面性原则。公司风险管理必须覆盖公司的所有部门 和岗位,涵盖所有风险类型, 并贯穿于所有业务流程和业务环节。

(二)独立性原则。公司应设立相对独立的风险管理职能部

门或岗位,负责评估、监控、检查和报告公司风险管理状况,并 具有相对独立的汇报路线。

(三)权责匹配原则。公司的董事会、管理层和各个部门应 当明确各自在风险管理体系中享有的职权及承担的责任,做到权 责分明,权责对等。

(四)一致性原则。公司在建立全面风险管理体系时,应确 保风险管理目标与战略发展目标的一致性。

(五)适时有效原则。公司应当根据公司经营战略方针等内 部环境和国家法律法规、市场环境等外部环境的变化及时对风险 进行评估,并对其管理政策和措施进行相应的调整。

第五条 公司应当建立合理有效的风险管理体系,包括完善 的组织架构,全面覆盖公司投资、研究、销售和运营等主要业务 流程、环节的风险管理制度,完备的风险识别、评估、报告、监 控和评价体系,营造良好的风险管理文化。

第六条 公司应当在维护子公司独立法人经营自主权的前提 下,建立覆盖整体的风险管理和内部审计体系,提高整体运营效 率和风险防范能力。

第二章 风险管理的组织架构和职责

第七条 公司应当构建科学有效、职责清晰的风险管理组织 架构,建立和完善与其业务特点、规模和复杂程度相适应的风险 管理体系,董事会、监事会、管理层依法履行职责,形成高效运转、有效制衡的监督约束机制,保证风险管理的贯彻执行。

第八条 董事会应对有效的风险管理承担最终责任,履行以 下风险管理职责:

(一)确定公司风险管理总体目标,制定公司风险管理战略 和风险应对策略;

(二)审议重大事件、重大决策的风险评估意见,审批重大 风险的解决方案,批准公司基本风险管理制度;

(三)审议公司风险管理报告;

(四)可以授权董事会下设的风险管理委员会或其他专门委 员会履行相应风险管理和监督职责。

第九条 公司管理层应对有效的风险管理承担直接责任,履 行以下风险管理职责:

(一)根据董事会的风险管理战略,制定与公司发展战略、 整体风险承受能力相匹配的风险管理制度,并确保风险管理制度 得以全面、有效执行;

(二)在董事会授权范围内批准重大事件、重大决策的风险 评估意见和重大风险的解决方案,并按章程或董事会相关规定履 行报告程序;

(三)根据公司风险管理战略和各职能部门与业务单元职责 分工,组织实施风险解决方案;

(四)组织各职能部门和各业务单元开展风险管理工作;

(五)向董事会或董事会下设专门委员会提交风险管理报告。

第十条 公司管理层可以设立履行风险管理职能的委员会, 协助管理层履行以下职责:

(一)指导、协调和监督各职能部门和各业务单元开展风险 管理工作;

(二)制订相关风险控制政策,审批风险管理重要流程和风 险敞口管理体系,并与公司整体业务发展战略和风险承受能力相 一致;

(三)识别公司各项业务所涉及的各类重大风险,对重大事 件、重大决策和重要业务流程的风险进行评估,制定重大风险的 解决方案;

(四)识别和评估新产品、新业务的新增风险,并制定控制 措施;

(五)重点关注内控机制薄弱环节和那些可能给公司带来重 大损失的事件,提出控制措施和解决方案;

(六)根据公司风险管理总体策略和各职能部门与业务单元 职责分工,组织实施风险应对方案。

第十一条 公司应设立独立于业务体系汇报路径的风险管理 职能部门或岗位,并配备有效的风险管理系统和足够的专业的人 员。风险管理职能部门或岗位对公司的风险管理承担独立评估、 监控、检查和报告职责。

风险管理职能部门或岗位的职责应当包括:

(一)执行公司的风险管理战略和决策,拟定公司风险管理 制度,并协同各业务部门制定风险管理流程、评估指标;

(二)对风险进行定性和定量评估,改进风险管理方法、技 术和模型,组织推动建立、持续优化风险管理信息系统;

(三)对新产品、新业务进行独立监测和评估,提出风险防 范和控制建议;

(四)负责督促相关部门落实公司管理层或其下设风险管理 职能委员会的各项决策和风险管理制度,并对风险管理决策和风 险管理制度执行情况进行检查、评估和报告;

(五)组织推动风险管理文化建设。

第十二条 各业务部门应当执行风险管理的基本制度流程, 定期对本部门的风险进行评估,对其风险管理的有效性负责。

业务部门应当承担如下职责:

(一)遵循公司风险管理政策,研究制定本部门或业务单元 业务决策和运作的各项制度流程并组织实施,具体制定本部门业 务相关的风险管理制度和相关应对措施、控制流程、监控指标等, 或与风险管理职能部门(或岗位)协作制定相关条款,将风险管理 的原则与要求贯穿业务开展的全过程;

(二)随着业务的发展,对本部门或业务单元的主要风险进 行及时的识别、评估、检讨、回顾,提出应对措施或改进方案,

并具体实施;

(三)严格遵守风险管理制度和流程,及时、准确、全面、 客观地将本部门的风险信息和监测情况向管理层和风险管理职能 部门或岗位报告;配合和支持风险管理职能部门或岗位的工作。

第十三条 各部门负责人是其部门风险管理的第一责任人,基金经理(投资经理)是相应投资组合风险管理的第一责任人。

公司所有员工是本岗位风险管理的直接责任人,负责具体风险管 理职责的实施。员工应当牢固树立内控优先和全员风险管理理念, 加强法律法规和公司规章制度培训学习,增强风险防范意识,严 格执行法律法规、公司制度、流程和各项管理规定。

第十四条 公司应当将风险管理纳入各部门和所有员工年度 绩效考核范围。

第三章 风险管理主要环节

第十五条 风险识别、风险评估、风险应对、风险报告和监 控及风险管理体系的评价是风险管理中的主要环节。每一环节应 当相互关联、相互影响、循环互动,并依据内部环境、市场环境、 法规环境等内外部因素的变化及时更新完善。

第十六条 风险识别应当覆盖公司各个业务环节,涵盖所有 风险类型。公司应当对已识别的风险进行定期回顾,并针对新法 规、新业务、新产品、新的金融工具等及时进行了解和研究。

第十七条 公司应在风险识别过程中,对业务流程进行梳理和评估,并对业务流程中的主要风险点,建立相应的控制措施, 明确相应的控制人员,不断完善业务流程。

第十八条 公司可采取定量和定性相结合的方法进行风险评 估,应保持评估方法的一致性,协调好整体风险和单个风险、长 期风险和中短期风险的关系。

第十九条 公司应当建立清晰的风险事件登记制度和风险应 对考评管理制度,明确风险事件的等级、责任追究机制和跟踪整 改要求。

第二十条 公司应当建立清晰的报告监测体系,对风险指标 进行系统和有效的监控,根据风险事件发生频率和事件的影响来 确定风险报告的频率和路径。风险报告应明确风险等级、关键风 险点、风险后果及相关责任、责任部门、责任人、风险处理建议 和责任部门反馈意见等,确保公司管理层能够及时获得真实、准 确、完整的风险动态监控信息,明确并落实各相关部门的监控职 责。

第二十一条 公司应当对风险管理体系进行定期评价,对风 险管理系统的安全性、合理性、适用性和成本与效益进行分析、 检查、评估和修正,以提高风险管理的有效性,并根据检验结果、 外部环境的变化和公司新业务的开展情况进行调整、补充、完善 或重建。

第四章 风险分类及应对

第二十二条 公司应当重点关注市场风险、信用风险、流动性风险、操作风险、合规风险、声誉风险和子公司管控风险等各 类主要风险。

第二十三条 市场风险指因受各种因素影响而引起的证券及 其衍生品市场价格不利波动,使投资组合资产、公司资产面临损 失的风险。市场风险管理的控制目标是严格遵循谨慎、分散风险 的原则,充分考虑客户财产的安全性和流动性,实行专业化管理 和控制,防范、化解市场风险。

市场风险管理主要措施包括:

(一)密切关注宏观经济指标和趋势,重大经济政策动向, 重大市场行动,评估宏观因素变化可能给投资带来的系统性风险, 定期监测投资组合的风险控制指标,提出投资调整应对策略;

(二)密切关注行业的周期性、市场竞争、价格、政策环境, 和个股的基本面变化,构造股票投资组合,分散非系统性风险。 公司应特别加强禁止投资证券的管理,对于市场风险较大的股票 建立内部监督、快速评估机制和定期跟踪机制;

(三)关注投资组合的收益质量风险,可以采用夏普(Sharp) 比率、特雷诺(Treynor)比率和詹森(Jensen)比率等指标衡量;

(四)加强对场外交易(包括价格、对手、品种、交易量、 其他交易条件)的监控,确保所有交易在公司的管理范围之内;

(五)加强对重大投资的监测,对基金重仓股、单日个股交 易量占该股票持仓显著比例、个股交易量占该股流通值显著比例

等进行跟踪分析;

(六)可运用定量风险模型和优化技术,分析各投资组合市 场风险的来源和暴露。可利用敏感性分析,找出影响投资组合收 益的关键因素。可运用情景分析和压力测试技术,评估投资组合 对于大幅和极端市场波动的承受能力。

第二十四条 信用风险是指包括债券发行人出现拒绝支付利 息或到期时拒绝支付本息的违约风险,或由于债券发行人信用质 量降低导致债券价格下跌的风险,及因交易对手违约而产生的交 割风险。信用风险管理的控制目标是对交易对手、投资品种的信 用风险进行有效的评估和防范,将信用风险控制于可接受范围内 的前提下,获得最高的风险调整收益。

信用风险管理主要措施包括:

(一)建立针对债券发行人的内部信用评级制度,结合外部 信用评级,进行发行人信用风险管理;

(二)建立交易对手信用评级制度,根据交易对手的资质、 交易记录、信用记录和交收违约记录等因素对交易对手进行信用 评级,并定期更新;

(三) 建立严格的信用风险监控体系,对信用风险及时发现、 汇报和处理。公司可对其管理的所有投资组合与同一交易对手的 交易集中度进行限制和监控。

第二十五条 流动性风险是指包括因市场交易量不足,导致 不能以合理价格及时进行证券交易的风险,或投资组合无法应付客户赎回要求所引起的违约风险。流动性风险管理的控制目标是通过建立适时、合理、有效的风险管理机制,将流动性风险控制 在可承受的范围之内。

流动性风险管理主要措施包括:

(一)制定流动性风险管理制度,平衡资产的流动性与盈利 性,以适应投资组合日常运作需要;

(二)及时对投资组合资产进行流动性分析和跟踪,包括计 算各类证券的历史平均交易量、换手率和相应的变现周期,关注 投资组合内的资产流动性结构、投资组合持有人结构和投资组合 品种类型等因素的流动性匹配情况;

(三)建立流动性预警机制。当流动性风险指标达到或超出 预警阀值时,应启动流动性风险预警机制,按照既定投资策略调 整投资组合资产结构或剔出个别流动性差的证券,以使组合的流 动性维持在安全水平;

(四)进行流动性压力测试,分析投资者申赎行为,测算当 面临外部市场环境的重大变化或巨额赎回压力时,冲击成本对投 资组合资产流动性的影响,并相应调整资产配置和投资组合。

第二十六条 操作风险是指由于内部程序、人员和系统的不 完备或失效,或外部事件而导致的直接或间接损失的风险,主要 包括制度和流程风险、信息技术风险、业务持续风险、人力资源 风险、新业务风险和道德风险。操作风险管理的控制目标是建立 有效的内部控制机制,尽量减少因人为错误、系统失灵和内部控制的缺陷所产生的操作风险,保障内部风险控制体系有序规范运行。

第二十七条 制度和流程风险是指由于日常运作,尤其是关 键业务操作缺乏制度、操作流程和授权,或制度流程设计不合理 带来的风险,或由于上述制度、操作流程和授权没有得到有效执 行带来的风险,及业务操作的差错率超过可承受范围带来的风险。

制度和流程风险管理主要措施包括:

(一) 建立合规、适用、清晰的日常运作制度体系,包括制 度、日常操作流程,尤其是关键业务操作的制约机制;

(二)制定严格的投资工作流程、授权机制、制约机制,明 确投资决策委员会、投资总监和基金经理的职责权限,建立健全 绩效考核机制;

(三)加强公司印章使用、合同签署及印章和合同保管的管 理,投资部门所有交易合同签署与印章使用都要经过后台部门并 交由后台备案;

(四)加强对员工业务操作技巧的培训,加强程序的控制, 以确保日常操作的差错率能在预先设定的、可以承受范围内;

(五)建立前、后台或关键岗位间职责分工和制约机制。

第二十八条 信息技术风险是指信息技术系统不能提供正常服务,影响公司正常运行的风险;信息技术系统和关键数据的保护、备份措施不足,影响公司业务持续性的风险;重要信息技术系统不使用监管机构或市场通行的数据交互接口影响公司业务正常运行的风险;重要信息技术系统提供商不能提供技术系统生命 周期内持续支持和服务的风险。

信息技术风险管理主要措施包括:

(一)信息技术系统尤其是重要信息技术系统具有确保各种 情况下业务持续运作的冗余能力,包括电力及通讯系统的持续供 应、系统和重要数据的本地备份、异地备份和关键设备的备份等;

(二)信息技术人员具有及时判断、处理各种信息技术事故、 恢复系统运行的专业能力,信息技术部门应建立各种紧急情况下 的信息技术应急预案,并定期演练;

(三)系统程序变更、新系统上线前应经过严格的业务测试 和审批,确保系统的功能性、安全性符合公司风险管理要求;

(四)对网络、重要系统、核心数据库的安全保护、访问和 登录进行严格的控制,关键业务需要双人操作或相互复核,应有 多种备份措施来确保数据安全,和对备份数据准确性的验证措施;

(五)以权限最小化和集中化为原则,严格公司投研、交易、 客户等各类核心数据的管理,防止数据泄露;

(六)选择核心信息技术系统服务商应将服务商在系统生命 周期内的长期支持和服务能力、应急响应能力和与公司运行相关 的其他系统兼容性列为重点考核内容。

第二十九条 业务持续风险是指由于公司危机处理机制、备份机制准备不足,导致危机发生时公司不能持续运作的风险。业务持续风险管理措施主要包括:

(一)建立危机处理决策、执行及责任机构,制定各种可预 期极端情况下的危机处理制度,包括危机认定、授权和责任、业 务恢复顺序、事后检讨和完善等内容,并根据严重程度对危机进 行分级归类和管理;

(二)建立危机预警机制,包括信息监测及反馈机制;

(三)危机处理与业务持续制度应重点保证危机情况下公司 业务的持续;

(四)业务持续管理机制演习至少每年进行一次。

第三十条 人力资源风险是指缺少符合岗位专业素质要求的 员工、过高的关键人员流失率、关键岗位缺乏适用的储备人员和 激励机制不当带来的风险。

人力资源风险管理主要措施包括:

(一)确保关键岗位的人员具有足够的专业资格和能力,并 保持持续业务学习和培训;

(二)建立适当的人力资源政策,避免核心人员流失;

(三)建立关键岗位人员的储备机制;

(四)建立权责匹配、科学长效的考核和激励约束机制。

第三十一条 新业务风险是指由于对新产品、新系统、新项目和新机构等论证不充分或资源配置不足导致的风险。

新业务风险管理主要措施包括:

(一)制订严密的新业务的论证和决策程序;

(二)新业务的风险评估应包括政策环境、市场环境、客户 需求、后台支持能力、供应商和人员储备等方面;

(三)针对新业务的主要操作部门和对新业务开展的支持部 门进行业务培训,及时制定针对新业务的管理制度和业务流程。

第三十二条 道德风险是指员工违背法律法规、公司制度和 职业道德,通过不法手段谋取利益所带来的风险。

道德风险管理主要措施包括:

(一)制订员工守则,使员工行为规范有所依据;

(二)防范员工利用内幕信息或其他非公开信息牟利,防范 商业贿赂,通过制度流程、系统监控、核查检查等控制措施加强 员工管理;

(三)倡导良好的职业道德文化, 定期开展员工职业道德培 训。

第三十三条 合规风险是指因公司及员工违反法律法规、基 金合同和公司内部规章制度等而导致公司可能遭受法律制裁、监 管处罚、重大财务损失和声誉损失的风险。合规风险的控制目标 是确保遵守法律、法规、监管规则和基金合同或独立账户投资方 针的规定,审慎经营。本指引所指合规风险主要包括投资合规性风险、销售合规性风险、信息披露合规性风险和反洗钱合规性风险。

第三十四条 投资合规性风险管理主要措施包括:

(一)建立有效的投资流程和投资授权制度;

(二)通过在交易系统中设置风险参数,对投资的合规风险 进行自动控制,对于无法在交易系统自动控制的投资合规限制, 应通过加强手工监控、多人复核等措施予以控制;

(三)重点监控投资组合投资中是否存在内幕交易、利益输 送和不公平对待不同投资者等行为;

(四)对交易异常行为进行定义,并通过事后评估对基金经 理、交易员和其他人员的交易行为(包括交易价格、交易品种、 交易对手、交易频度、交易时机等)进行监控,加强对异常交易 的跟踪、监测和分析;

(五)每日跟踪评估投资比例、投资范围等合规性指标执行 情况,确保投资组合投资的合规性指标符合法律法规和基金合同 的规定;

(六)关注估值政策和估值方法隐含的风险,定期评估第三 方估值服务机构的估值质量,对于以摊余成本法估值的资产,应 特别关注影子价格及两者的偏差带来的风险,进行情景压力测试 并及时制定风险管理情景应对方案。

第三十五条 销售合规性风险管理主要措施包括:

(一)对宣传推介材料进行合规审核;

(二)对销售协议的签订进行合规审核,对销售机构签约前 进行审慎调查,严格选择合作的基金销售机构;

(三)制定适当的销售政策和监督措施,防范销售人员违法 违规和违反职业操守;

(四)加强销售行为的规范和监督,防止延时交易、商业贿 赂、误导、欺诈和不公平对待投资者等违法违规行为的发生。

第三十六条 信息披露合规性风险管理主要措施包括:

(一)建立信息披露风险责任制,将应披露的信息落实到各 相关部门,并明确其对提供的信息的真实、准确、完整和及时性 负全部责任;

信息披露前应经过必要的合规性审查。

第三十七条 反洗钱合规性风险管理措施主要包括:

(一)建立风险导向的反洗钱防控体系,合理配置资源;

(二)制定严格有效的开户流程,规范对客户的身份认证和 授权资格的认定,对有关客户身份证明材料予以保存;

(三)从严监控客户核心资料信息修改、非交易过户和异户 资金划转;

(四)严格遵守资金清算制度,对现金支付进行控制和监控;

(五)建立符合行业特征的客户风险识别和可疑交易分析机制。

第三十八条 声誉风险是指由公司经营和管理、员工个人违 法违规行为或外部事件导致利益相关方对公司负面评价的风险。 声誉风险管理的控制目标是通过建立与自身业务性质、规模和复 杂程度相适应的声誉风险管理体系,防范、化解声誉风险对公司 利益的损害。

声誉风险主要管理措施包括:

(一)建立有效的公司治理架构、声誉风险管理政策、制度 和流程,对声誉风险事件进行有效管理;

(二)建立声誉风险情景分析,评估重大声誉风险事件可能 产生的影响和后果,并根据情景分析结果制定可行的应急预案, 开展演练;

(三)对于已经识别的声誉风险,应尽可能评估由声誉风险 所导致的流动性风险和信用风险等其他风险的影响,并视情况展 开应对措施。

第三十九条 子公司管控风险是指由于子公司违法违规或重 大经营风险,造成母公司财产、声誉等受到损失和影响的风险。 子公司管控风险管理的控制目标是通过建立覆盖整体的风险管理 体系和完善的风险隔离制度,防范可能出现的风险传递和利益冲 突。

子公司管控风险管理主要措施包括:

(一)根据整体发展战略、公司风险管控能力和子公司经营需求,指导子公司建立健全治理结构;

(二)建立与子公司之间有效的风险隔离制度,严格禁止利 益输送行为,防范可能出现的风险传递和利益冲突;

(三)建立关联交易管理制度,规范与子公司间的关联交易 行为;

(四)定期评估子公司发展方向和经营计划的执行情况;

(五)公司管理的投资组合与子公司管理的投资组合之间, 不得违反有关规定进行交易。

第五章 附则

第四十条 本指引是中国证券投资基金业协会(以下简称“基 金业协会”)评价公司风险管理水平的主要标准,并作为各公司经 营管理中风险管理的参考。各公司可根据自身战略规划、业务发 展实际情况和风险偏好确定本公司的具体风险管理机制、规则和 流程,以使风险管理更加有效。

第四十一条 经中国证监会核准开展公开募集证券投资基金 管理业务的其他资产管理机构,参照本指引执行。

第四十二条 本指引由基金业协会负责解释。

第四十三条 本指引自发布之日起施行。