第一章 總則

第一條為進一步加強業務風險管理能力，預防風險事故的發生，不斷提高公司風險管理水平，特制定本管理辦法。

第二條本管理辦法適用于交易中心內部。

第三條內部風險管理機構。

1、風險管控是通過交易中心各個部門環環相扣共同實施。

2、各項業務的管理部門是業務風險管理的參與部門，各部門應充分協調，資源信息共享，在業務開展的事前、事中、事后各階段各司其職，對業務的全過程實施有效的全面風險管理。

3、交易中心風險控制部負和人力資源部負責交易中心風險內部控制工作。

第二章 風險內部控制的目標

第四條交易中心風險內部控制目標包括以下五個方面：

（一）保證交易中心內部管理順暢，保證相關交易規則、管理制度的貫徹和執行；

（二）保證交易中心經營過程的合法合規，防范經營風險和社會道德風險；

（三）保證交易中心財產安全、完整；

（四）保證交易商權益。

第五條公司建立與實施有效的內部控制，包括下列要素：

（一）內部環境。內部環境是公司實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。

（二）風險評估。風險評估是公司及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。

（三）控制活動。控制活動是公司根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。

（四）風險應對。針對交易中心可能遇到的相關風險進行應對和處置。

（五）內部監督。內部監督是公司對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，及時加以改進。

第三章 風險內部控制管理

第六條風險內部控制包括：環境控制、風險評估控制、業務控制、信息溝通控制、監督控制。

第一節 環境控制

第七條環境控制：交易中心股東大會享有法律法規和公司章程規定的合法權利，依法行使經營方針、籌資、投資、利潤分配等重大事項的表決權。董事會對股東大會負責，依法行使交易中心的經營決策權。監事會對股東大會負責，監督企業董事、經理及其他高管人員依法履行職責。經理層負責組織實施股東大會、董事會決議事項，主持交易中心的運營管理工作。

第八條交易中心按照業務特點和內部控制要求設置：客服部、交易部、交收部、結算部、風險控制部、數據中心、財務部和人力資源部。明確職責權限，將權利和責任落實到各個責任部門。

第九條交易中心通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業務流程，明確權責分配，強化內部培訓，正確行使職權。

第十條以集權有道、分權有序、授權有章、用權有度原則，采用逐級授權、分權、權責利結合授權方式，授予各個部門職權。各個職能部門對所屬單位履行指導、監督、協調及服務職責。

第十一條各個業務職能部門崗位采用“單崗雙人”、“背靠背”操作的模式并按照操作崗、審批崗分離的原則進行配置。重大事務采用操作、審批、部門領導授權三級審批進行流程管控

第十二條交易中心人力資源部負責制定各個部門工作流程，并對工作流程的執行情況進行監督檢查，同時負責全體員工的崗位職責培訓工作。通過工作流程的貫徹，培育良好的風險管理文化，建立健全的風險管理體系。

第二節 風險評估

第十三條由交易中心長期發展角度來認識風險，同時兼顧中短期風險。

第十四條積極收集相關信息，識別風險源種類，并對識別出的風險源進行細化、分解，對其發生的概率和損失程度進行合理估計。并以以往經營管理經驗，確定業務開展過程中可以接受的風險水平確定風險監控的重點。

第十五條交易中心重點關注的風險事項和風險源可以歸納為：

（一）技術風險：交易系統軟、硬件、網絡及信息安全可能會出現的相關風險；

（二）資源風險：交易中心相關資源可能會出現的風險，如：交易商、中心業務管理人員、第三方合作資源的流失，出現不能勝任業務發展等；

（三）管理風險：交易中心經營決策過程中可能出現的失誤風險；

（四）溝通風險：交易中心與交易商、合作者、相關部門以及交易中心內部職能部門之間出現溝通困難，形成誤解所造成的風險。

（五）環境風險：由于交易中心外部環境變化造成的風險，包括并不限于：社會輿論、政策法規、行業環境等。

第三節 控制活動

第十六條風險內部管理基本流程：

（一）收集風險管理初始信息；

（二）風險評估；

（三）制定風險管理策略；

（四）制定和執行風險管理解決方案；

（五）風險管理的監督和改進。

第十七條交易中心采取不相容職務分離控制、授權審批控制、運營分析控制和績效考核等手段對風險內部管理進行總體控制。

（一）不同職能部門之間職務嚴格分離，不設置兼任高管職務，力求公正、客觀的獨立工作環境。

（二）確立業務部門審批流程由申請人、審批人和部門領導授權的三級審批流程。明確審批流程和存檔備查制度。

（三）風險控制部實時對交易中心運營情況進行監督檢查，對交易中心運營數據進行匯總分析，及時識別風險并予以處置。

（四）人力資源部將風險內部管理實施情況，納入績效考核目標進行量化統計分析。

第四節 風險應對

第十八條應對技術風險。數據中心技術人員在嚴格執行交易中心信息管理制度，做好日常運維工作基礎上，對運維數據進行匯總分析，及時發現可能出現的技術風險，并向交易中心領導提出風險警示和處理方案。并在交易中心信息安全管理制度指引下，負責交易中心數字資產、數據安全工作。并在數據中心主管領導授權下，對其他業務部門的交易系統使用權限、賬號、密碼進行嚴格控制以保障系統安全性。

（一）嚴格按照公司人事管理制度，執行賬號、權限的分發和回收；

（二）保證信息系統（包括并不限于：交易系統、官方網站、微信公眾號等信息系統）賬號唯一性且與操作員工號一一綁定；

（三）確保信息系統密碼唯一性、安全性并定期對賬號密碼進行檢查，更換密碼；

（四）信息系統賬號、權限管理遵循人事管理制度要求，做好存檔工作。

第十九條應對資源風險。交易中心各個業務部門應時刻關注中心資源狀況，及時發現資源配置中出現的異常現象。同時人力資源部和數據中心應加強對交易中心保密工作的監督和管理。確保出現資源流失時，及時回收交易系統使用授權、涉密資料。強化交易中心合作資源的管理及擴展工作確保資源最大化。

第二十條應對管理風險。對于立項階段的決策失誤，應盡早中止減小損失；對于計劃不合理，發現時應及時修訂計劃、重新做出合理安排。

第二十一條應對溝通風險。對發現的溝通障礙，應根據問題的性質及時進行處理，或匯報到相關負責人處及時進行協調解決。溝通應注意如下環節的溝通：與用戶的溝通、項目組內部溝通、項目組與合作者間的溝通、相關部門間的溝通等

第二十二條交易中心交易部負責開展行業政策研究，準確把握政策變動方向，降低主營業務收入的政策性影響。風險控制部負責對法律法規和行業標準做出研究，預測可能發生的變化；緊盯經濟形勢、經濟周期、行業態勢等多方面的宏觀經濟研究，提供決策支持

第二十三條數據中心負責對社會輿論進行網絡監控。輿情應對應該從“事中”“事后”提到“事前”。在網絡輿情監測與應對中，要不斷提高網絡輿情風險的預警和研判能力。對輿情進行及時匯總分析、甄別，并為交易中心輿情處置提供支持和跟蹤。

第四章 內部監督

第二十四條交易中心主要領導對交易中心整體風險控制工作負全責。

第二十五條各職能部門領導對部門內部風險控制管理負主要責任，負責日常風險內控管理。

第二十六條交易中心風險控制部負責交易中心整體風險控制制度的執行和監督管理。風險的發現、風險的評估、處置應對、跟蹤工作。并對風險處置過程和結果進行評估，并對風險控制制度進行改進。

第二十七條交易中心人力資源部負責風險控制工作的績效考核。

第五章 附則

第二十八條本辦法由東北亞鎂質材料交易中心有限公司負責解釋。

第二十九條本風險管理辦法自發布之日起實施。