第一章 总则

第一条为进一步加强业务风险管理能力，预防风险事故的发生，不断提高公司风险管理水平，特制定本管理办法。

第二条本管理办法适用于交易中心内部。

第三条内部风险管理机构。

1、风险管控是通过交易中心各个部门环环相扣共同实施。

2、各项业务的管理部门是业务风险管理的参与部门，各部门应充分协调，资源信息共享，在业务开展的事前、事中、事后各阶段各司其职，对业务的全过程实施有效的全面风险管理。

3、交易中心风险控制部负和人力资源部负责交易中心风险内部控制工作。

第二章 风险内部控制的目标

第四条交易中心风险内部控制目标包括以下五个方面：

（一）保证交易中心内部管理顺畅，保证相关交易规则、管理制度的贯彻和执行；

（二）保证交易中心经营过程的合法合规，防范经营风险和社会道德风险；

（三）保证交易中心财产安全、完整；

（四）保证交易商权益。

第五条公司建立与实施有效的内部控制，包括下列要素：

（一）内部环境。内部环境是公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（二）风险评估。风险评估是公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（三）控制活动。控制活动是公司根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（四）风险应对。针对交易中心可能遇到的相关风险进行应对和处置。

（五）内部监督。内部监督是公司对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进。

第三章 风险内部控制管理

第六条风险内部控制包括：环境控制、风险评估控制、业务控制、信息沟通控制、监督控制。

第一节 环境控制

第七条环境控制：交易中心股东大会享有法律法规和公司章程规定的合法权利，依法行使经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东大会负责，依法行使交易中心的经营决策权。监事会对股东大会负责，监督企业董事、经理及其他高管人员依法履行职责。经理层负责组织实施股东大会、董事会决议事项，主持交易中心的运营管理工作。

第八条交易中心按照业务特点和内部控制要求设置：客服部、交易部、交收部、结算部、风险控制部、数据中心、财务部和人力资源部。明确职责权限，将权利和责任落实到各个责任部门。

第九条交易中心通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程，明确权责分配，强化内部培训，正确行使职权。

第十条以集权有道、分权有序、授权有章、用权有度原则，采用逐级授权、分权、权责利结合授权方式，授予各个部门职权。各个职能部门对所属单位履行指导、监督、协调及服务职责。

第十一条各个业务职能部门岗位采用“单岗双人”、“背靠背”操作的模式并按照操作岗、审批岗分离的原则进行配置。重大事务采用操作、审批、部门领导授权三级审批进行流程管控

第十二条交易中心人力资源部负责制定各个部门工作流程，并对工作流程的执行情况进行监督检查，同时负责全体员工的岗位职责培训工作。通过工作流程的贯彻，培育良好的风险管理文化，建立健全的风险管理体系。

第二节 风险评估

第十三条由交易中心长期发展角度来认识风险，同时兼顾中短期风险。

第十四条积极收集相关信息，识别风险源种类，并对识别出的风险源进行细化、分解，对其发生的概率和损失程度进行合理估计。并以以往经营管理经验，确定业务开展过程中可以接受的风险水平确定风险监控的重点。

第十五条交易中心重点关注的风险事项和风险源可以归纳为：

（一）技术风险：交易系统软、硬件、网络及信息安全可能会出现的相关风险；

（二）资源风险：交易中心相关资源可能会出现的风险，如：交易商、中心业务管理人员、第三方合作资源的流失，出现不能胜任业务发展等；

（三）管理风险：交易中心经营决策过程中可能出现的失误风险；

（四）沟通风险：交易中心与交易商、合作者、相关部门以及交易中心内部职能部门之间出现沟通困难，形成误解所造成的风险。

（五）环境风险：由于交易中心外部环境变化造成的风险，包括并不限于：社会舆论、政策法规、行业环境等。

第三节 控制活动

第十六条风险内部管理基本流程：

（一）收集风险管理初始信息；

（二）风险评估；

（三）制定风险管理策略；

（四）制定和执行风险管理解决方案；

（五）风险管理的监督和改进。

第十七条交易中心采取不相容职务分离控制、授权审批控制、运营分析控制和绩效考核等手段对风险内部管理进行总体控制。

（一）不同职能部门之间职务严格分离，不设置兼任高管职务，力求公正、客观的独立工作环境。

（二）确立业务部门审批流程由申请人、审批人和部门领导授权的三级审批流程。明确审批流程和存档备查制度。

（三）风险控制部实时对交易中心运营情况进行监督检查，对交易中心运营数据进行汇总分析，及时识别风险并予以处置。

（四）人力资源部将风险内部管理实施情况，纳入绩效考核目标进行量化统计分析。

第四节 风险应对

第十八条应对技术风险。数据中心技术人员在严格执行交易中心信息管理制度，做好日常运维工作基础上，对运维数据进行汇总分析，及时发现可能出现的技术风险，并向交易中心领导提出风险警示和处理方案。并在交易中心信息安全管理制度指引下，负责交易中心数字资产、数据安全工作。并在数据中心主管领导授权下，对其他业务部门的交易系统使用权限、账号、密码进行严格控制以保障系统安全性。

（一）严格按照公司人事管理制度，执行账号、权限的分发和回收；

（二）保证信息系统（包括并不限于：交易系统、官方网站、微信公众号等信息系统）账号唯一性且与操作员工号一一绑定；

（三）确保信息系统密码唯一性、安全性并定期对账号密码进行检查，更换密码；

（四）信息系统账号、权限管理遵循人事管理制度要求，做好存档工作。

第十九条应对资源风险。交易中心各个业务部门应时刻关注中心资源状况，及时发现资源配置中出现的异常现象。同时人力资源部和数据中心应加强对交易中心保密工作的监督和管理。确保出现资源流失时，及时回收交易系统使用授权、涉密资料。强化交易中心合作资源的管理及扩展工作确保资源最大化。

第二十条应对管理风险。对于立项阶段的决策失误，应尽早中止减小损失；对于计划不合理，发现时应及时修订计划、重新做出合理安排。

第二十一条应对沟通风险。对发现的沟通障碍，应根据问题的性质及时进行处理，或汇报到相关负责人处及时进行协调解决。沟通应注意如下环节的沟通：与用户的沟通、项目组内部沟通、项目组与合作者间的沟通、相关部门间的沟通等

第二十二条交易中心交易部负责开展行业政策研究，准确把握政策变动方向，降低主营业务收入的政策性影响。风险控制部负责对法律法规和行业标准做出研究，预测可能发生的变化；紧盯经济形势、经济周期、行业态势等多方面的宏观经济研究，提供决策支持

第二十三条数据中心负责对社会舆论进行网络监控。舆情应对应该从“事中”“事后”提到“事前”。在网络舆情监测与应对中，要不断提高网络舆情风险的预警和研判能力。对舆情进行及时汇总分析、甄别，并为交易中心舆情处置提供支持和跟踪。

第四章 内部监督

第二十四条交易中心主要领导对交易中心整体风险控制工作负全责。

第二十五条各职能部门领导对部门内部风险控制管理负主要责任，负责日常风险内控管理。

第二十六条交易中心风险控制部负责交易中心整体风险控制制度的执行和监督管理。风险的发现、风险的评估、处置应对、跟踪工作。并对风险处置过程和结果进行评估，并对风险控制制度进行改进。

第二十七条交易中心人力资源部负责风险控制工作的绩效考核。

第五章 附则

第二十八条本办法由东北亚镁质材料交易中心有限公司负责解释。

第二十九条本风险管理办法自发布之日起实施。