第一篇:上市公司南洋科技全面风险管理办法
浙江南洋科技股份有限公司全面风险管理办法
第一章 总 则
第一条 为了防范、控制和化解公司在复杂多变的经营环境中,随时可能发生或出现的风险与危机,保证公司战略目标的实现和公司经营的持续、稳定、健康发展,根据《公司法》、《证券法》、《企业内部控制基 本规范》、《中小企业板上市公司内部审计工作指引》和其他
有关法律法规,结合公司实际情况,特制订本办法。
第二条 本办法适用于公司各部门及各子公司的风险管理工作。
第三条 本办法所称风险,是指在公司未来发展过程中,各种不
确定性对公司实现其战略及经营目标的影响。
第四条 本办法中所称全面风险管理,是指公司围绕战略目标,通过在管理的各环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系,为实现风险管理的总体
目标提供保证的过程和方法。
第二章 风险管理的目标、原则与框架
第五条 公司风险管理的总体目标:
(一)保证经营的合法合规及公司内部规章制度的贯彻执行;
(二)保证将风险控制在与总体目标相适应并可承受的范围内;
(三)确保公司建立针对各项重大风险发生后的危机处理计划,保
护公司不因灾害性风险或人为失误而遭受重大损失;
(四)保证公司内外部,尤其是公司与股东之间实现真实、可靠的
信息沟通,包括编制和提供真实、可靠的财务报告;
(五)形成良好的风险管理文化,使全体员工强化风险管理意识。
第六条 公司风险管理应当遵循全面、重要、合理、制衡、独立 的原则,确保风险管理的有效性。
(一)全面性:风险管理应当做到事前、事中、事后控制相统一;覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,确保不存在风险管理的空白或漏洞。
(二)重要性。风险管理应当在全面风险管理的基础上,关注重要业务事项和高风险领域。
(三)合理性:风险管理应当符合国家有关法律法规、中国证监会和证券交易所的有关规定,与公司经营规模、业务范围、风险状况及
公司所处的环境相适应,以合理的成本实现风险管理目标。
(四)制衡性。风险管理应当在治理结构、机构设置及权责分配、业
务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(五)独立性:承担风险管理监督检查职能的部门应当独立于公司
其他部门。
第七条 全面风险管理通常应涵盖公司治理与经营管理活动中
所有环节,包括但不限于:
(一)公司治理环节:主要包括“三会” 运作,“三会”和管理层的职权等。
(二)证券事务环节:主要包括持股 5%以上股东、董事、监事、高级管理层的诚信规范要求,信息披露,投资者关系管理等。
(三)重大资产购买和出售环节:主要包括重大资产自建、购置、处置、维护、保管与记录等。
(四)对外投资环节:包括投资有价证券、股权、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记
录等。
(五)对外担保与融资环节:包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等。
(六)关联交易环节:包括关联方的界定,关联交易的定价、授权、执行、报告和记录等。
(七)日常经营环节:主要包括:生产、采购与付款、销售与收款、财务会计管理、全面质量管理、产品研发、人事管理等
第三章 风险管理的组织体系与职责分工
第八条 公司风险管理的组织体系由公司审计委员会、内审部、法律顾问、各部门及子公司内设的有风险职能的部门或岗位构成。
第九条 审计委员会由董事会设立,由独立董事担任主任委员,除公司《内部审计制度》规定的职责外,还负责提出公司经营管理过程中防范风险的指导意见,制订公司风险控制制度;对公司风险状况和风险管理能力及水平进行评价,提出完善公司风险管理和内部控制 的建议。
第十条 内审部独立于公司各部门和子公司,负责协助公司识别和评价重大风险问题,帮助公司改进风险管理与控制系统;通过评价控制的效率与效果,促进其持续改善等工作,帮助公司维持有效的控制系统;评价公司治理过程并提出改进公司治理的恰当建议,履行检查与评价、咨询与服务的职能。内审部向审计委员会负责并报告工作,审计委员会对董事会负责并报告工作。
第十一条 内审部下设风险管理职能,全面负责公司的风险管理,建立健全公司风险防范、监控体系,负责公司风险管理制度建设,并监督执行情况;负责公司各业务风险的日常管理,对公司经营管理活动中的各类风险实施有效的事前评估和过程监控,有效化解和降低
公司运营风险。
第十二条 法律顾问承担公司的政策法律事务,为领导决策和公司业务开展提供法律参考意见;审核相关法律文书及合同,防范法律风险;负责牵头处理公司诉讼事务和经济纠纷事务,代表公司对外处
理相关法律事务,维护公司的合法权益。
第十三条 公司各部门和和子公司负责人为风险控制的第一责任人,履行风险控制职能,执行具体的风险管理制度,建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的风控制度,并针
对业务主要风险环节制定业务操作流程。
第四章 风险评估
第十四条 风险评估是指根据公司内外部环境的变化,对公司所面临的风险进行风险辨识、风险分析、风险评价。包括对公司各项管
理制度、各项经营发展计划、经营方案的事前风险评估。
第十五条 公司各项管理制度,应按规定程序征求意见。对其中涉及风险管理的部分是否符合公司风险管理政策,要经内审部进行会
签。
第十六条 公司各部门可以根据本办法,针对本部门业务的特点,制定本部门业务的风险管理实施细则,经内审部会签确认后,按规定程序纳入公司管理制度体系。
第十七条 各部门制订的重大经营计划和创新业务方案应包含业务部门自身对于计划、方案的风险判断和采取的风险管理措施,并由内审部、法律顾问联合进行风险评估。内审部和法律顾问对计划、方案的市场风险、法律风险、信用风险、操作风险、技术风险、政策风险和道德风险等进行确认,对风险发生的概率及其产生结果的影响程度进行评估,对计划、方案中相应的风险管理措施是否充分有效等
进行分析,并出具风险评估报告或法律意见书。
第十八条 公司应建立风险管理综合信息的收集与积累机制。风险管理综合信息包括与风险及风险管理相关的宏观经济、政策法规、市场状况、技术革新、公司资源、财务状况、人力配置、管理措施、工具应用、信息报告等方面的信息。公司及各部门、各子公司应广泛地、持续不断地收集与公司风险及管理相关的信息,并送交内审部对相关信息进行整理和修订,以建设和更新公司的风险管理综合信息库。
第五章 风险管理解决方案的制定与实施
第十九条 根据经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,公司制定风险解决的内控方案,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应 的控制措施。
第二十条 公司制定合理、有效的内控措施,包括以下内容:
不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
第二十一条 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
第二十二条 授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
公司应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指公司在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指公司在特殊情况、特定条件下进行的授权。
公司各级管理人员应当在授权范围内行使职权和承担责任。
公司对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
第二十三条 会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
公司应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。财务负责人应当具备会计师以上专业技术职务资格。
第二十四条 财产保护控制要求公司建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司应当严格限制未经授权的人员接触和处置财产。
第二十五条 预算控制要求公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
第二十六条 运营分析控制要求公司建立运营情况分析制度,管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
第二十七条 绩效考评控制要求公司建立和实施绩效考评制度,科学设置考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
第二十八条 公司应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
第二十九条 公司应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
第六章 风险的监控报告与预警
第三十条 公司建立风险报告和预警制度。通过有效的沟通和反馈,使公司领导和有关部门及时了解公司业务和资产的风险状况,相
应调整风险管理政策和管理措施。
第三十一条 公司的风险报告分为定期风险报告和不定期的专项风险报告。定期风险报告是对一个阶段公司经营发展中存在的风险和纠正的情况进行的汇总报告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送公司领导、相关部门和履行垂直管理
职责的管理部门。
第三十二条 在风险监控中发现问题时,内审部可以进行风险专项检查,必要时可进行重点审计或组织专项审计。对其它不属于内审部职责范围内的事项,内审部可以向公司有关部门提出风险管理建
议。
第三十三条 公司相关部门应建立风险预警系统,以发现并应对可能出现的风险。各部门、子公司有责任及时、无保留地向公司内审部报告有关风险的真实信息。
第七章 风险与危机的处理
第三十四条 公司建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,内审部应立即与公司相关部门协调,组织人员研究制定风险应对方案,并报
公司审计委员会审批后实施。
第三十五条 当风险已经发生,风险单位负责人必须立即向公司
内审部报告(可以越级报告)。
第三十六条 内审部应及时对风险进行初步的评判,确定是属于一般性内部风险,还是对公司声誉、经营活动和内部管理造成强大压力和负面影响的公司危机。对一般性风险,责成单位负责人或有关人
员负责组织处理;对公司危机,必须按照下列程序处理。
第三十七条 危机处理程序:
(一)成立风险和危机的处理机构
危机发生后,公司应在第一时间成立危机处理小组,该小组应由公司总经理或副总经理担任组长。小组成员至少应包括:发生危机单位的第一负责人,公司法律顾问,内审部、证券部、办公室、人力资源部等部门负责人及其他相关人员,小组应配备小组秘书及后勤保障人员。公司董事会应授权危机处理小组为处理危机事件的最高权力机
构和协调机构,有权调动公司可用资源。
(二)制订危机处理计划
危机处理小组应及时根据现有的资料和情报,以及公司拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后,应立即开始进行物质资源调
配和准备,展开全面的危机处理行动。
(三)危机处理
1.对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律、法规和公司管理制度,果断做出处理决定,以避免事态的进一步恶化。
2.对于已造成社会影响的事件,应保持与社会各方的良好沟
通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。
3.在处理过程中,应处理好与危机事件对方当事人的关系,及
时按抚,避免出现纠纷。
4.在事件处理的全过程,危机处理小组均应与当地政府、监管
机构保持紧密联系,及时通报事件进展。
(四)教训总结与责任认定
危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问
题等,并提出整改建议或意见,以避免新的风险和危机发生。
第三十八条 对因决策失误、管理失职、行为失当等原因致使公司出现风险或危机,并造成有形或无形损失的责任人及单位负责人,公司应追究其直接责任或领导责任。
第八章 风险管理的监督与考核
第三十九条 风险管理的监督与考核是指对风险管理的效果和效率进行持续监督与考核评价,包括对公司风险管理相关部门的风险管理工作执行情况进行定期检查,对风险管理工作任务的完成情况进行考核,并根据监督或考核的结果,对公司风险管理工作进行改进与
提升。
第四十条 内审部对公司风险管理相关制度和流程在各部门和子公司的执行情况进行监督和检查,对公司风险管理总体状态和内部控制的效率与效果进行检查和评价,对公司总部及各子公司的各项经营管理活动和财务收支活动进行审计。各类审计报告按照规定程序上
报。
第四十一条 内审部负责对风险管理工作进行总结,对发现的问题应及时分析原因,改进所发现的风险管理设计和运行的缺陷,并据以修订风险管理相关制度。内审部应将有关风险管理资料抄送相关部
门。
第四十二条 公司建立多层级风险责任机制。各部门风险管理工
作纳入绩效考核体系。
(一)公司及各子公司为第一级风险管理单位,公司及各子公司总
经理为风险责任承担人,全盘负责本单位的风险管理。
(二)公司及各子公司按照组织架构细分二级风险单位,每个风险
单位的第一负责人为风险责任承担人,全盘负责本单位的风险管理。
(三)各子公司及其二级风险单位必须评估每一个操作程序所遇到的风险,再把每一个风险细分为次风险,据此制定风险管理的操作程
序。
(四)各级风险单位必须把风险管理的责任落实到每一环节的相关
人员,真正做到风险控制到人。
第四十三条 年度风险管理考核指标与考核标准由内审部与人
力资源部进行沟通确定后,报公司批准下发执行。
第四十四条 考核指标和考核标准的设定,主要考虑以下方面:
(一)公司风险管理体系或部门风险管理流程的建设工作按计划进
度完成情况。
(二)对公司或部门的重大风险进行系统的评估或预防的情况。
(三)根据公司风险管理策略,落实部门有关风险的管理制度和流程及实施的情况。
(四)对公司或部门的风险管理职责进行清晰的界定和落实的情况。
(五)风险相关报告和预警工作的及时、有效性情况。
(六)超出预警范围的重大风险发生并对公司经营目标造成重大影
响的情况。
第四十五条 对于违反公司风险管理制度的,由内审部提出处理
建议,报请公司批准后,由人力资源部落实对具体责任人进行处罚。
第九章 风险管理文化的建设
第四十六条 公司应将风险管理文化建设作为公司发展战略的组成部分,培育和塑造良好的风险管理文化,促进公司全面风险管理
目标的实现。
第四十七条 公司应营造合规经营的制度文化环境。将风险管理文化融于企业文化建设的全过程中,在相关政策和制度文件中明确规定风险管理文化的建设要求和内容,在各层面营造风险管理文化的氛
围。
第四十八条 公司应引导员工遵循良好的行为准则和道德规范,增强风险管理意识,培养按制度规章做事的习惯。
第四十九条 公司应将对员工风险意识和风险管理的培训纳入培训计划。通过各类风险案例教育和公司制度流程培训,对公司全体
人员进行岗前和岗上的持续性风险管理培训。
第十章 附 则
第五十条 公司各部门和子公司应遵照本办法履行相应的职责,公司根据需要制定相应的实施细则和流程。
第五十一条 本办法由内审部负责解释。
第五十二条 本办法自公司董事会批准之日起实施。
第二篇:全面风险管理办法
***公司全面风险管理办法(试行)
第一章 总 则
第一条 为防范、控制、化解、处理发生或可能出现的风险,保证公司持续、稳定、健康发展,根据《中华人民共和国公司法》、《公司内部控制基本规范》和《公司章程》等规定,结合公司实际情况,特制订本办法。
第二条 本办法中所称全面风险管理,是指为消除各种不确定性对公司实现战略及经营目标的影响,通过建立健全风险管理体系,在各个管理环节中执行风险管理流程,培育良好的风险管理文化,为实现风险管理的总体目标提供保证的过程和方法。
第三条 本办法所称风险管理责任单位是指公司各职能部门、分支机构及外派人员。第四条 公司风险管理的总体目标是规避和减少风险可能造成的损失,确保公司的持续健康发展。
第五条 全面风险管理遵循以下原则:
(一)全面性原则
风险管理涵盖公司的所有部门和岗位,渗透到各项业务和环节中,贯穿于每项业务全过程。通过不断提高员工对风险的识别和防范能力,树立全员风险意识。
(二)有效性原则
在全面风险管理的理念下,建设全面反映公司风险状况的风险控制体系,确保该体系能有效指导业务,并能有效防范和化解风险。
(三)防范和控制原则 风险控制关口前移,努力在前期做好风险管理工作,加强风险的事前预防和统筹管理。并能在风险发生时及时识别和处理
(四)独立性原则
承担风险管理监督检查职能的部门独立于公司其他部门,确保监督检查工作的独立性。
(五)成本效益原则
风险管理充分考虑成本与效益的关系,公司保持足够的风险投入,以降低风险损失。同时在保证风险可控的前提下,尽量减少冗余步骤,提高处理效率。
第二章 风险分类及风险管理策略
第一节 风险分类
第六条 根据监管部门对**行业风险分类、**行业的风险特性以及公司自身情况,公司所面临的风险分为管理风险、声誉风险、信用风险、合规风险、法律风险和市场风险七大类。第七条 管理风险 指因公司整体从负责满足监管要求、制定和实施业务战略、设计组织架构、到管理人力资源等各范畴处理不善所产生的风险。
第八条 声誉风险
指一些直接影响客户对公司信任的公司行为所引致的风险。第九条 道德风险
指内部工作人员在最大限度地增进自身效用的同时做出不利于公司和他人的行动。人员素质不高,放松思想教育是道德风险产生的根本原因。内控不力,管理松弛是道德风险产生的直接原因。
第十条 信用风险
是由于融资方不能或不愿按期还款或投资资金而使公司遭受损失的风险。同时,为公司 1 托管现金或资产的机构(如银行、保管商等)不稳健亦会引发信用风险。
第十一条 操作风险
由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险,包括内部欺诈、外部欺诈、雇员活动和工作场所的安全问题、客户、产品和业务活动的安全问题、公司维系经营的实物资产损坏、业务中断和系统错误、会计、行政、交付和过程管理等。
第十二条 合规风险
是指公司、各部门或全体员工因不合规行为而可能遭受法律制裁、监管处罚、财务损失或声誉损失的风险。
第十三条 市场风险
是指由于市场的利率、汇率或所投资的产品价格的波动而引起投资亏损的风险,进而影响公司信誉,并有可能危及公司的生存发展。
第十四条 合规风险和声誉风险是公司面临的最主要风险。其次,道德风险、管理风险、操作风险、信用风险和市场风险等均是公司业务运营中主要承担的风险。各部门和人员应严格遵照公司对风险的分类及定义,针对不同类型的风险采取不同的措施,有效地规避和防范因风险造成的损失。
第二节 风险管理策略
第十五条 风险管理策略是指:公司根据内外部环境及董事会制定的公司发展战略,结合财政部等联合颁布的《公司内部控制基本规范》,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配臵原则等公司风险管理总体方针准则。
第十六条 风险管理策略应明确哪些风险是公司不可承受的,并根据内外部形势的变化作相应调整。
第十七条 风险管理策略由风险与审计委员会制定,经董事会进行评估后确定。经营层负责将公司风险管理策略落实到公司制度和流程管理中,完善各项业务制度和流程,并对风险管理策略的实施情况和效果进行检查和评价。
第十八条 现有风险管理策略、制度和流程的可行性或有效性,如因内外部环境发生变化而受到严重影响,应及时进行修订和调整。
第十九条 公司在实施风险管理策略的过程中,应建立和不断完善授权体系,公司所有部门和分支机构必须在公司授权范围内开展工作。并建立有效的信息沟通机制,使风险信息能够及时传递到相关的部门和公司领导。
第三章 组织体系与职责分工
第二十条 公司全面风险管理工作实行分级管理,全面风险管理组织体系包括:董事会、监事会、风险与审计委员会、经营层、风险合规管理部、稽核审计部、其他各职能部门及分支机构。公司通过构筑完整的风险管理架构来建立风险管理体系,所有的部门和人员均承担风险管理的职责。风险管理架构如下:
1、各部室对本部门的业务流程和操作流程进行日常维护和管理,对本部门所面临的主要风险点进行识别、自我检查和实施关键控制程序。
2、风险合规管理部对各部室的主要风险点进行独立的日常监控与管理。
3、稽核审计部对各部室的运行过程和结果进行独立的稽核与检查。
4、经营层负责领导公司风险管理与内部控制的日常运行,建立健全公司业务与管理流程的风险防范、内部监控体系,有效化解和降低公司整体的运营风险。
5、风险与审计委员会负责指导公司风险防范工作,审定公司风险控制制度;对公司风 2 险状况和风险管理能力及水平进行评价。
6、董事会负责从整体上管理和监控公司的风险。
7、监事会对公司风险防范、监控体系的工作进度与效果进行监督。
第二十一条 监事会对董事会、经营层建立健全公司风险防范、监控体系的工作进度与效果进行监督,对董事、高级管理人员违反风险管理制度、风险管理职责而给公司造成重大损失的行为进行查处。监事会主席是监事会负责前述风险工作监督事项的代表和第一责任人。
第二十二条 董事会作为风险管理架构的最高决策机构,负责管理和监控公司的整体风险,对重大风险事项进行决策,确保公司战略的实现。其全面风险管理的主要职责为:
(一)审批风险与审计委员会提交的风险管理事项。
(二)决定有关全面风险管理的其它重大事项。
第二十三条 风险与审计委员会负责提出公司经营管理过程中防范风险的指导意见,审定公司风险控制制度;对公司风险状况和风险管理能力及水平进行评价,提出完善公司风险管理和内部控制的建议,以及履行由董事会规定的其他职责。其全面风险管理的主要职责为:
(一)对经营层提交的风险管理事项进行审议,并提交董事会审批。
(二)对公司总经理的经营管理是否符合董事会的决策进行审查,并提交董事会审批。
(三)推动落实董事会决定的其他风险管理事项。
第二十四条 经营层负责领导公司风险管理与内部控制的日常运行,总裁是经营层负责风险管理的第一责任人。经营层全面风险管理的主要职责为:
(一)对风控总监提交的风险管理事项进行审议,并提交风险与审计委员会审议。
(二)审核重大风险关键监控指标和分解指标,以及预期实现关键监控指标的风险承受度,并提交风险与审计委员会审议;
(三)建立健全公司业务与管理流程的风险防范、内部监控体系,管理公司各职能部门、各业务单元的日常风险,有效化解和降低公司整体的运营风险。
(十)审核风险管理的其他重要事项。第二十五条 风控总监行使总裁授权范围内的风险管理职责,主持全面风险管理的日常工作,对总裁负责。其职责为审核风险合规管理部、稽核审计部等下属部门提交的事项,并提交经营层审议。
第二十六条 风险合规管理部是公司全面风险管理工作的归口管理部门,并将风险管理事项提交风控总监审议。其全面风险管理的具体职责如下:
(一)组织开展风险评估及应对工作,负责对评估结果汇总分析,对其他部门和分支机构开展的专项业务风险评估提供指导和支持。
(二)根据风险评估结果,提出风险管理策略调整建议,组织协助相关部门制定重大风险应对方案。
(三)对风险管理工作情况进行评估,编制《风险管理报告》(年报和半年报,下同)。
(四)组织推动全面风险管理体系的建设和改进提升,协助其他部门和分支机构开展风险管理体系建设。
(五)为公司各职能部门管理重大风险提供专业支持,组织协调跨部门的风险管理事宜,对公司重大风险管理提出专业意见和参与重大投资决策。
(六)对重大风险应对方案的制定、执行和效果情况进行监督检查。
(七)建立风险数据库。对风险管理制度、方案、决议等材料进行修订、调整和归档。
(八)拟定和实施风险管理考核方案。
(九)提出风险管理组织机构设臵及其职责分工的建议。
(十)负责拟定或修订风险管理相关制度并监督落实,指导和协助制定完善具体风险的管理办法和操作流程。
(十一)制定企业风险文化培育方案和风险管理培训计划。
(十二)提议聘请和更换项目审计、评估机构,监督考核上述机构。
(十三)完成公司领导交办的其他风险管理相关工作。
第二十七条 稽核审计部是公司独立的风险管理监督部门,通过内部审计提出改善风险管理的有效措施,帮助公司维持有效的风险控制系统,并将风险管理监督情况提交风控总监审核。其全面风险管理的具体职责如下:
(一)进行内部日常、专项监督与评价。
(二)制定并明确《内部控制缺陷认定标准》,跟踪内部控制缺陷整改情况,并就内部监督中发现的重大问题通过风控总监向监事会提请追究相关责任单位或者责任人的建议。
(三)针对监督检查过程中发现的内部控制缺陷,包括设计缺陷和运行缺陷。
(四)编制《审计报告》。
(五)提议聘请和更换外部审计机构。
第二十八条 风险管理责任单位负责人为本部门所涉风险管理事项的第一责任人,履行本部门的风险控制职能,执行具体的风险管理制度,建立部门内权责明确、相互制衡的岗位职责和部门内全面、合理的风控制度,并针对本部门业务主要风险环节制定业务操作指引。其全面风险管理的具体职责如下:
(一)贯彻执行《全面风险管理办法》,以及其他的风险管理相关制度,配合风险合规管理部、稽核审计部开展风险管理工作;
(二)树立全面风险管理理念,积极参与风险管理文化建设;
(三)完成日常风险信息报送、风险辨识和评估,并形成风险事件列表、风险评估列表;
(四)完成重大风险关键监控指标和分解指标的确定,以及风险承受度的确定;
(五)提出重大风险应对策略及具体应对方案,完成剩余风险评估;
(六)严格进行项目后期风险管理,并按规定形成检查报告;
(七)监控风险事件的变化状态、填报关键指标数据,适时制定和启动应急预案;
(八)配合风险合规管理部完成其他风险管理工作。上述第(三)、(四)、(五)、(六)
(七)项需报送风险合规管理部。
第四章 全面风险管理工作流程
第一节 风险评估
第二十九条 风险评估是指在信息收集的基础上根据公司内外部环境的变化,对公司所面临的风险进行风险辨识、风险分析、风险评价,包括对公司各项管理制度、各项经营发展计划、经营与投资方案的事前风险评估。
公司开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。
第三十条 公司建立风险管理综合信息的收集与积累机制。各职能部门及分支机构在日常工作中,应持续收集与本公司风险相关的内外部相关信息,包括历史数据和未来预测数据,并进行整理和记录,每季结束后五个工作日内报送风险合规管理部风险考核专员。公司各部门以及人员应在获取重要风险信息后三个工作日内将信息逐级传递至董事会和监事会。
第三十一条 风险管理部应对各风险管理责任单位报送的风险信息进行统一的筛选、提炼和规范管理,补充风险事件库。通过专业分析、评价、诊断,对重大风险进行提示,组织 4 相关部门制定具体应对方案。
第三十二条 风险管理部每年组织开展一次风险评估工作,负责从风险事件库中整理重大风险事件列表,制定风险评价的统一标准,并根据事件的来源、影响范围、管理需要等确定参与评估的范围。通过对各类风险的综合分析,形成评估结论,确定重大风险,经经营层审核后提交风险与审计委员会审议。
第三十三条 各部门制订的重大经营计划和创新业务方案应包含业务部门自身对于计划、方案的风险判断和采取的风险管理措施,并由风险与审计委员会对计划、方案的市场风险、合规风险、信用风险、操作风险、声誉风险、管理风险和道德风险等进行确认,对风险发生的概率及其产生结果的影响程度进行评估,对计划、方案中相应的风险管理措施是否充分有效等进行分析,并出具风险评估意见书。
第三十四条 公司应当将内部控制相关信息在内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。
第三十五条 公司可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。公司应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。
第二节 风险的控制
第三十六条 承担风险控制直接责任的部门应当结合风险评估结果,运用相应的控制措施,将风险控制在可承受度之内。
第三十七条 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
第三十八条 不相容职务分离控制要求公司全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。
第三十九条 授权审批控制要求公司根据收取管理制度中一般授权和临时授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
第四十条 会计系统控制要求公司严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。公司应当依法设臵会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。
第四十一条 财产保护控制要求公司建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。公司应当严格限制未经授权的人员接触和处臵财产。
第四十二条 预算控制要求公司实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
第四十三条 运营分析控制要求公司建立运营情况分析制度,经营层应当综合运用主营业务、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
第四十四条 绩效考评控制要求公司建立和实施绩效考评制度,科学设臵考核指标体系,对公司内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。公司应当建立风险控制的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第四十五条 投资与资产处臵项目控制要求公司建立和实施投资与资产处臵的项目管理办法,明确立项、尽职调查与风险评估、决策、项目组与管理、谈判与签约管理、履约管 5 理、争议处臵、项目后评估等管理流程,控制投资与资产处臵的风险,避免错误决策、不必要的损失或额外成本。
第四十六条 公司应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
第三节 风险监控报告及预警
第四十七条 风险合规管理部负责设臵各类业务的风险控制关键指标。
第四十八条 风险管理责任单位应对其管理的重大风险和相关风险进行持续的日常监控。开展风险监控时需要对以下风险信息予以持续关注:
(一)关键风险指标的变化情况;
(二)新出现的风险或原有风险的重大变化;
(三)既定风险应对方案的执行情况及执行效果。
第四十九条 风险管理责任单位应对风险监控结果进行分析评价,包括风险变化的原因、潜在影响、变化趋势以及对跨部门风险应对方案的调整建议等,各职能部门、分支机构及外派人员应每季度结束后五个工作日内向风险合规管理部上报本部门的风险管理情况报告。
第五十条 当风险监控分析结果中关键监控指标达到预警值,风险管理责任单位应以《风险预警快报》形式三个工作日内向风险合规管理部报告,并积极采取防范措施,将实施结果及时提交风险合规管理部。
第五十一条 风险合规管理部根据提交的风险监控分析结果以及《风险预警快报》,对风险情况进行汇总分析和评价,包括重大风险的变化和应对情况、风险承受度的执行情况、风险排序的变化情况等,并将以上信息归入风险库存档。同时根据风险的重大变化提出跨部门的风险应对建议。
第五十二条 风险合规管理部根据风险监控信息,编制《风险管理报告》,并逐级上报董事会审批。
公司的风险管理报告分为定期(每半)的全面风险管理报告和不定期的专项风险报告。定期的风险管理报告是对一定期限内公司经营发展中存在的风险和纠正的情况进行的汇总报告;不定期专项风险报告是对监控中或风险专项检查中发现的重大风险或风险隐患问题进行的专项报告。风险报告要按照规定的报告程序报送公司领导、相关部门和履行垂直管理职责的管理部门。
第五十三条 董事会应审批《风险管理报告》,及时了解公司风险情况。对于报告中涉及的重大风险应对策略调整方案、风险承受度调整方案和其他需要决策的重大事项,应召开会议进行审批。
第四节 突发重大风险事件应对
第五十四条 公司建立灵敏高效的危机处理和应急管理机制,以降低风险损失。对新出现的、缺乏风险应急预案的重大风险,经营层、相关部门应立即协调,组织人员研究制定风险应对预案,并报公司风险与审计委员会审批后实施。
从便于报告管理和处臵管理的角度出发,公司的突发风险与危机等级划分为:一般性内部风险(指预期经济损失不超过50万元人民币或发生涉讼纠纷金额不超过200万人民币,或声誉受外部微小影响的风险),中等风险(指预期经济损失超过50万元但在500万元人民币以内或发生涉讼纠纷金额达200万人民币以上但在1000万人民币以内,或声誉受外部较大影响但仍可控的风险),重大风险(指预期经济损失超过500万元人民币或发生涉讼纠纷金额超过1000万人民币,或对公司声誉、经营活动和内部管理、资产安全造成强大压力和外部负面影响的事件,或影响公司存续的危机事件)。
第五十五条 当风险已经发生,任何第一手接触或认知到风险的人员均必须向其上一级 6 管理者报告,同时报送风险合规管理部。
接获该报告信息的上一级管理者应及时组织有关部门、相关人员对风险进行初步的评判,确定是属于一般性内部风险、中等风险,还是重大风险。对一般性风险,该接获报告信息的上一级管理者应立即书面向分管副总裁报告;对中等风险,该接获报告信息的上一级管理者应立即向分管副总裁、总裁、董事会风险与审计委员会主任报告并由总裁责成有关机构负责人或有关人员负责组织处理;对重大风险,该接获报告信息的上一级管理者应立即向总裁、董事会风险与审计委员会主任、董事长报告并由董事长责成有关机构负责人或有关人员负责组织处理。对于无法识别风险等级的风险,接获该报告信息的人员应立即向分管副总裁、董事会风险与审计委员会主任报告,以便后者区分风险等级并组织处臵。
第五十六条 对于已经知悉的重大风险或公司危机,董事长、风险与审计委员会主任委员、分管副总裁应尽快启动危机处理程序。
第五十七条 重大风险或公司危机处理应对程序:
(一)成立风险和危机的处理机构
该类危机发生后,公司应在第一时间成立危机处理小组;对于极其重大的危机,该小组应由董事长担任组长;对于其他重大的危机,由董事长指定风险与审计委员会成员、总裁、分管副总裁担任组长。小组成员至少应包括:董事会代表、发生危机单位的第一负责人、营运与财务部、风险合规管理部、稽核审计部负责人及公司法律顾问和其他相关人员。
董事会应授权危机处理小组为处理危机事件的最高权力机构和协调机构,有权调动公司可用资源;危机处理小组组长有权独立代表公司作出声明、承诺或妥协。有必要时,危机处理小组应分为决策组、执行组,分清权责,避免危机处臵中的擅自决策与无人监督。
(二)制订危机处理计划 危机处理小组应及时根据现有的资料和信息,以及公司拥有或可支配的资源来制订危机处理计划。计划必须体现出危机处理目标、程序、组织、人员及分工、后勤保障、行动时间表以及各个阶段要实现的目标,同时还应包括社会资源的调动和支配、费用控制和实施责任人及其目标。计划制订完成并获通过后,应立即开始进行资源调配和准备,展开全面的危机处理行动。
(三)危机处理
1、对于尚未造成社会影响的事件,在对危机事件进行详细的调查了解和核实的基础上,根据法律和公理,果断做出处理决定,以避免事态的进一步恶化。
2、对于已造成社会影响的事件,应保持与社会各方的良好沟通,及时披露事实真相,以有助于对事件做出客观公正的报道和评价。
3、在处理过程中,应处理好与危机事件对方当事人的关系,及时安抚,避免出现纠纷。
4、在事件处理的全过程,危机处理小组均应与当地政府、监管机构保持紧密联系,及时通报事件进展。
(四)总结与责任认定
危机事件处理完成后,危机处理小组应及时提交总结报告,如实反映事件的起因、发生过程、处理方法和结果、责任认定、反映的问题等,并提出整改建议或意见,以避免新的风险和危机发生。
第五章 风险管理的监督与考核
第五十八条 公司建立风险监督与考核机制。风险管理的监督与考核,是指对风险管理的效果和效率进行持续监督与考核评价,包括对公司各部门及分支机构的风险管理工作执行情况进行定期检查,对风险管理工作任务的完成情况进行考核,并根据监督或考核的结果,对公司风险管理工作进行改进与提升。
第五十九条 风险与审计委员会对各部门及分支机构的经营计划、方案的实施进行实时监控,及时对各类信息进行记录、汇总、分析和处理,并保留风险管理记录。各部门及分支机构向风险与审计委员会报送本单位业务风险情况。各部门及分支机构所有涉及风险管理的相关资料必须向风险与审计委员会报备,或向风险与审计委员会开放信息系统。风险与审计委员会有权检查原始资料。
第六十条 在风险监控中发现问题时,风险与审计委员会可以决定进行风险专项检查,必要时可指定稽核审计部进行重点内控审计或组织专项内控审计。对其它不方便检查或无法检查的事项,风险与审计委员会有权向公司有关部门提出风险管理建议。
第六十一条 稽核审计部负责风险内部监督与评价。内部监督与评价分为日常监督与评价、专项监督与评价。
第六十二条 日常监督与评价是指稽核审计部对建立与实施内部控制的情况进行常规、持续的监督检查,对公司风险管理总体状态和内部控制的效率与效果进行检查和评价。第六十三条 专项监督与评价是指稽核审计部在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
第六十四条 公司各职能部门负责人、各员工,有对涉及所属岗位的风险管理工作开展的自我监督和对下一级员工的风险管理工作实施监督的责任,并应当在工作总结时专门说明具体风险管理工作、风险事件处臵、风险管理职能履行等相关事项。
第六十五条 内部控制缺陷包括设计缺陷和运行缺陷。《内部控制缺陷认定标准》由稽核审计部拟定并逐级提交董事长核准。
第六十六条 对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,并及时向风控总监报告。
第六十七条 稽核审计部应当跟踪内部控制缺陷整改情况,对于整改不到位的,有权向公司提请追究相关部室或者责任人的责任。
第六十八条 公司应当结合内部监督情况,定期(每半)由稽核审计部负责组织对公司及分支机构内部控制的有效性进行自我评价,出具风险管理监督评价审计综合报告或系统风险评价报告。
第六十九条 公司建立多层级风险责任机制。各部门风险管理工作纳入风险管理绩效考核体系:
(一)公司为第一级风险管理单位,董事长、总裁为风险责任承担人,全盘负责本公司的风险管理;、副总裁(总监)具体负责下属部门的风险管理。
(二)各部门或分支机构按照组织架构细分为第二级风险管理单位,每个风险管理单位的负责人为风险责任承担人,全盘负责本部门的风险管理;
(三)各部门或分支机构必须评估每一个操作程序所遇到的风险,再把每一个风险细分,并制定风险管理的操作程序;
(四)各级风险单位必须把风险管理的责任落实到每一环节的相关人员,真正做到风险控制到人。
第七十条 风险管理考核指标与考核标准由风险合规管理部负责拟定,经与风险与审计委员会、绩效考核委员会和人力资源部门进行沟通确定后,逐级报公司董事会批准。第七十一条 公司制定考核指标和考核标准主要考虑以下方面:
(一)公司风险管理体系或部门风险管理流程的建设工作按计划进度完成情况;
(二)对公司或部门的重大风险进行系统的评估或预防的情况;
(三)根据公司风险管理策略,落实部门有关风险的管理制度和流程及实施的情况;
(四)对公司或部门的风险管理职责进行清晰的界定和落实的情况;
(五)风险相关报告和预警工作的及时、有效性情况;
(六)超出预警范围的重大风险发生并对公司经营目标造成重大影响的情况。
第六章 风险管理文化的建设 第七十二条 公司应将风险管理文化建设作为发展战略的组成部分,培育和塑造良好的风险管理文化,促进全面风险管理目标的实现。
第七十三条 公司应营造合规经营的制度文化环境,将风险管理文化融于公司文化建设的全过程中,在相关政策和制度文件中明确规定风险管理文化的建设要求和内容,在各层面营造风险管理文化的氛围。公司应当加强员工的道德风险意识、风险责任意识和法制观念的培养和教育,增强全员的道德观、责任心和风险意识,维护公司利益。
第七十四条 公司应引导员工遵循良好的行为准则和道德规范,增强风险管理意识,培养按制度规章办事的习惯。
第七十五条 公司应制定严格的标准,对人员聘用、提拔环节进行控制,做到能上能下、能进能出,人尽其才、才尽其用,根据每一个员工的特点安排合适的岗位。第七十六条 公司在引进高层次高素质人才的同时,应注重对现有员工的培养,形成人才梯次。
第七十七条 公司应将对员工风险意识和风险管理的培训纳入培训计划。通过各类风险案例教育和公司制度流程培训,对公司全体人员进行岗前和上岗后的持续性风险管理培训。第七十八条 公司应建立和强化对风险管理考核的激励和约束机制,完善风险考核体系,引导员工逐步形成良好的风险管理意识,并将这种意识运用到工作当中。
第七章 责任追究
第七十九条 对于员工违反公司风险管理制度的行为,风险合规管理部、稽核审计部或分管副总裁均可提出处理建议,报请总裁批准后,由人力资源部门落实对具体责任人进行追责和处罚。对于经营层、部门负责人违反风险管理制度的行为,风险与审计委员会有权向董事长提出处理建议。对于董事、经营层违反公司风险管理制度的行为,监事会有权向股东大会提出处理建议。
第八十条 对因决策失误、管理失职、行为失当、违规违法等原因致使公司出现一般性风险、中等风险的责任人及单位负责人,可视情节轻重、损失大小、责任人的态度给予责任人降薪降职、解除其职务、除名辞退等处理,并有权要求其赔偿损失。对因决策失误、管理失职、行为失当、违规违法等原因致使公司出现重大风险或危机,并造成有形或无形损失的责任人及单位负责人,应追究其直接责任或领导责任(含刑事责任、行政责任、民事责任),并有权要求其赔偿损失;公司有权解除其职务、终止劳动关系。
第八十一条 对因决策失误、管理失职、违规违法等原因致使公司业务出现风险的,其问责范围和追责程序按公司业务责任追究办法执行。
第八章 附 则
第八十二条 本办法由董事会授权风险与审计委员会负责解释。第八十三条 本办法自颁布之日起实施。
第三篇:商业银行全面风险管理办法
**银行全面风险管理办法
第一章 总则
第一条
为推进全面风险管理体系建设,提升风险管理水平,依据境内外有关监管指引、本行《章程》,并借鉴国际银行业风险管理的经验做法,特制定本办法。
第二条
本办法所称风险,是指对本行实现既定目标可能产生影响的不确定性,这种不确定性既可能带来损失也可能带来收益。本办法主要关注带来损失的不确定性。
(一)信用风险。是指因借款人或交易对手未按照约定履行义务从而使本行业务发生损失的风险。
(二)市场风险。是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使本行表内和表外业务发生损失的风险。
(三)操作风险。是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。
(四)流动性风险。是指因本行无法以合理的成本及时筹集到客户和交易对手当前和未来所需资金而对本行经营所产生的风险。
除上述风险外,本行还关注外部监管部门或本行董事会要求
-1- 关注的其他风险。
第三条 本办法所称全面风险管理是指本行董事会、高级管理层和全行员工各自履行相应职责,有效控制涵盖全行各个业务层次的全部风险,进而为本行各项目标的实现提供合理保证的过程。
第四条 本行风险管理应遵循以下原则:
(一)收益与风险匹配
制定风险管理战略和进行风险管理决策,必须考虑承担的风险是在本行的风险容忍度以内,并有预期的收益覆盖风险,经风险调整的资本收益率能够满足股东的最低要求或符合本行的经营目标。
(二)内部制衡与效率兼顾
本行在风险管理规章制度中明确界定各部门、各级机构和各层级风险管理人员的具体权责,实行前中后台职能相对分离的管理机制。各部门、境内外分支机构和全体员工之间要有效沟通与协调,优化管理流程,不断提高管理效率。
(三)风险分散
本行实现信用风险敞口在国家、地区、行业、产品、期限和币种等维度上的适度分散,防范集中风险。严格遵循监管标准,审慎核定单一客户和关联客户授信额度,有效控制客户信用风险集中度。
本行实现市场风险敞口在国家、地区、市场、产品、期限和 -2-币种等维度上的适度分散,并采用适当的方式实现市场风险的有效分散。
本行统一管理全行的流动性,建立分层次的流动性储备体系,确保融资渠道的多元化。
(四)定量与定性结合
本行着力提升风险计量水平,开发与本行业务性质、规模和复杂程度相适应的风险计量技术,推广应用国际先进银行业成熟的风险管理经验,实现定性分析和定量分析的有机结合。
(五)动态适应性调整
持续不断地检查和评估内外部经营管理环境和竞争格局的变化及其对本行全面风险管理所产生的实质性影响,及时调整风险管理政策、制度和流程,以确保风险管理与本行业务发展战略等相一致。
(六)循序渐进
本办法立足于本行风险管理现状,提出了未来风险管理的发展目标和前瞻性要求,是风险管理的指导性文件,本行将逐步实现本办法的要求。
第二章 内部环境
第五条
风险管理文化、风险容忍度、风险管理战略和组织架构等构成本行风险管理的内部环境,是风险管理所有构成要素的基础。
-3- 第六条 风险管理文化包含了道德和行为准则以及它们的沟通和强化方式,通过风险容忍度、风险管理战略、管理行为等表现出来,本行致力于风险管理文化的建设和传播。
第七条 风险容忍度是在经营管理过程中所愿意承担的风险水平。本行采取定性和定量相结合的方式描述风险容忍度。
第八条 风险管理战略是本行为了实现经营发展目标所制定的一系列风险管理目标、措施等,具有全局性、长远性、纲领性、相对稳定性,并随内外部环境变化实施动态管理。
第九条 董事会及其专门委员会、高级管理层及其专业委员会、风险管理部门和内部审计部门等构成本行风险管理的组织架构。
第十条 董事会按本行《章程》规定履行风险管理的职责,主要包括:制定本行风险管理战略和风险管理的基本管理制度,并监督制度的执行情况等。
第十一条 监事会按本行《章程》和有关监管指引履行风险管理的职责,主要包括:对董事会和高级管理人员的履职情况进行监督,对本行的风险管理情况进行检查监督等。
第十二条 董事会风险管理委员会按本行《章程》及相关工作规则规定履行风险管理的职责,主要包括:审核和修订本行风险管理战略、风险管理政策等,对其实施情况及效果进行监督和评价,并向董事会提出建议等。
第十三条 高级管理层主要负责执行董事会制定的风险管 -4-理战略,制订风险管理的程序和规程,管理本行各项业务所承担的风险。
第十四条 高级管理层风险管理委员会是本行行长进行风险管理的决策机构,风险管理委员会及其下设专业风险管理委员会按照本行《章程》和专业委员会工作规则开展工作。
第十五条 本行设立专门部门牵头负责全面风险管理、信用风险管理、市场风险管理、操作风险管理和流动性风险管理等,推动全面风险管理体系建设。
第十六条 本行各部门、各级机构均应在全面风险管理中承担相应职责,主要包括:传播本行风险管理理念,树立全面风险管理意识;明确员工在风险管理中承担的职责等。
第十七条
内部审计工作按本行《章程》规定履行其在风险管理中的职责,对本行风险管理的效果进行独立客观的监督、检查、评价和报告。
第三章 目标管理
第十八条 目标设定是风险管理的前提。战略目标、经营目标、报告目标和合规目标是实施全面风险管理的重要组成部分。本行建立目标管理责任制,实行分工负责制和逐级负责制。
第十九条 战略目标与公司使命、愿景和宗旨相一致,是设定相关目标及其子目标的导向。
第二十条 经营目标是本行战略目标的具体反映,关注于本
-5- 行经营活动的有效性和效率,保证本行战略目标的实现。
第二十一条 报告目标应与本行战略目标相一致,保证为董事会和高级管理层、监管机构、投资者和客户提供准确、及时、完整的信息,本行建立包括风险报告制度在内的报告工作制度体系以及信息披露制度等。
第二十二条 合规目标应与本行战略目标相一致,保证本行从事的经营管理活动符合相关法律法规和本行规章制度,并确保支持本行经营目标和报告目标的实现。
第四章 风险管理流程
第二十三条 风险管理流程是指包括风险识别、风险度量、风险控制、风险监测与报告等一系列风险管理活动的全过程,应能贯彻执行既定的战略目标,与银行风险管理文化相匹配。
第二十四条 风险识别是指对影响本行各类目标实现的潜在事项或因素予以全面识别,鉴定风险的性质,进行系统分类并查找出风险原因的过程。
第二十五条 风险度量是指在通过风险识别确定风险性质的基础上,对影响目标实现的潜在事项出现的可能性和影响程度进行度量的过程。风险度量通常采取定性与定量结合的方法。
第二十六条 风险控制是指在风险度量的基础上,综合平衡成本与收益,针对不同风险特性确定相应的风险控制策略,采取措施并有效实施的过程。常见的风险控制策略包括:风险规避、-6-风险分散、风险对冲、风险转移、风险补偿等。
第二十七条
风险监测是指监测各种可量化的关键风险指标和不可量化的风险因素的变化和发展趋势,以及风险管理措施的实施质量与效果的过程。
第二十八条 风险报告是指在风险监测的基础上,编制不同层次和种类的风险报告,遵循报告的发送范围、程序和频率,以满足不同风险层级和不同职能部门对于风险状况的多样性需求的过程。
第二十九条 在引进或采取新的产品、业务、程序和系统时,应对其实施风险识别、度量、控制、监测和报告等一系列风险管理活动。
第五章 信用风险管理
第三十条 本行应建立与业务性质、规模和复杂程度相适应的信用风险管理流程,有效识别、度量、控制、监测和报告信用风险,将信用风险控制在本行可以承受的范围内。
第三十一条 本行对产品与业务中的信用风险进行识别,同时关注信用风险与其他风险之间的相关性,防范其他风险导致信用风险损失事件的发生。
第三十二条
引发信用风险的因素包括:国家、地区、行业、客户、交易方式等,本行各级机构应高度重视资产与业务中信用风险在上述维度的集中情况。
-7- 第三十三条 本行信用风险主要来自于信贷资产、信用担保、贷款承诺、衍生产品交易、结算交易等业务。
第三十四条
本行在单一与组合两个层面上对信用风险进行计量与评估。单一信用风险的计量与评估对象包括借款人或交易对象以及特定贷款或交易,组合信用风险的计量与评估对象包括本行各级机构及国家、地区、行业等。
第三十五条 本行应建立和不断完善信用风险计量模型,在实现内部评级初级法的基础上,力争使用高级法来计量信用风险及其对应的资本要求。本行采用压力测试和其他非统计计量方法进行补充。同时,本行重视定性评价在信用风险度量中所起的重要作用。
第三十六条 本行定期对已评定信用风险情况进行复查,当条件改变时及时进行重新评估。
第三十七条 本行应建立完整的授信政策、决策机制和统一授信的业务操作程序,明确尽职要求,定期或在有关法律法规发生变化时,对授信业务规章制度进行评审和修订。
第三十八条 本行对信用风险实施限额管理,制定涵盖国家、地区、行业、客户、产品、以及本行各级机构等多维度的限额指标。
第三十九条 本行不断完善信贷管理流程,实现信贷审查、信贷审批、贷款发放等职能的分离。
第四十条
本行建立信用风险监测程序,对单个债务人或交 -8-易对手的合同执行情况进行监测;对投资组合进行整体监测,防止风险在国别、行业、区域、产品等维度上的过度集中。
第四十一条 本行应建立和完善信用风险报告制度,明确规定信用风险报告应遵循的报送范围、程序和频率,编制不同层次和种类的信用风险报告,以满足不同风险层级和不同职能部门对于信用风险状况的多样性需求。
第四十二条 本行按照有关监管部门关于商业银行资本充足率管理的要求,根据本行信用风险状况和资本实力,为本行所承担的信用风险提取充足的资本。
第六章 市场风险管理
第四十三条 本行致力于建立与业务性质、规模和复杂程度相适应的市场风险管理流程,有效识别、度量、控制、监测和报告市场风险,将市场风险控制在本行可以承受的范围内。
第四十四条 本行明确银行账户和交易账户的划分标准、管理要求和调整程序。根据不同账户的性质和特点,本行采取不同的市场风险识别、计量、控制和监测方法。
第四十五条 本行对业务和产品中的市场风险因素进行分解和分析,及时、准确地识别交易和非交易业务中的市场风险的性质和类别。同时,关注市场风险与其他风险之间的相关性。
第四十六条 引发市场风险的因素主要包括:利率因素、汇率因素(包括黄金)、股票价格因素、商品价格因素等。
-9- 第四十七条 本行应选用适当的方法度量银行账户和交易账户中不同类别的市场风险,对银行账户中的可供出售类资产进行定期估值,逐步实现对交易账户的逐日评估。
第四十八条 市场风险的常用计量方法包括缺口分析、久期分析、外汇敞口分析、敏感性分析、情景分析和运用内部模型计算风险价值等。
第四十九条 本行逐步开发和使用内部模型来计量风险价值,合理选择、定期审查和调整模型技术,对所承担的市场风险进行量化估计。同时,本行采用压力测试和其他非统计类计量方法进行补充。
第五十条 本行对市场风险实施限额管理,制定各类和各级限额的内部审批程序和操作规程,根据业务性质、规模、复杂程度和风险承受能力设定、定期更新限额。
第五十一条 本行采取市场风险对冲手段,在综合考虑对冲成本和收益情况下,运用金融衍生产品等金融工具,在一定程度上实现对市场风险的控制或对冲。
第五十二条 本行应对市场风险有重大影响的情形制定应急处理方案,视情况对应急处理方案进行测试和更新。
第五十三条 本行建立市场风险监测程序,对全行总体市场风险头寸、风险水平、盈亏状况、市场风险限额执行情况等进行持续监测。
第五十四条 本行应建立和完善市场风险报告制度,明确规 - -10定市场风险报告应遵循的报送范围、程序和频率等,编制不同层次和种类的市场风险报告,以满足不同风险层级和不同职能部门对于市场风险状况的多样性需求。
第五十五条 本行按照有关监管部门关于商业银行资本充足率管理的要求,根据本行市场风险状况和资本实力,为本行所承担的市场风险提取充足的资本。
第七章 操作风险管理
第五十六条
本行应建立与业务性质、规模、复杂程度和风险特征相适应的操作风险管理流程,识别、度量、控制、监测和报告操作风险,将操作风险控制在本行可以承受的范围内。
第五十七条 本行的操作风险存在于各类业务和管理活动之中,本行对产品、活动、程序和系统中固有的操作风险进行识别。
第五十八条 操作风险事件包括:内部欺诈,外部欺诈,就业制度和工作场所安全事件,客户、产品和业务活动事件,实物资产的损坏,IT系统事件,执行、交割和流程管理事件等。
第五十九条 本行统一操作风险损失事件的统计口径,积累各类操作风险的发生频率及损失额等历史数据,不断完善内外部损失事件数据库。
第六十条
本行采用自我评估和第三方独立评估等方式对操作风险的影响程度和控制能力进行持续评估。自我评估可由各
-11- 级操作风险管理部门牵头负责,也可以由各级业务部门和支持保障部门自行发起组织。第三方独立评估主要由外部监管部门、外部审计部门、本行内部审计部门进行。
第六十一条 本行应建立和不断完善操作风险计量模型,在实现标准法的基础上,逐步使用高级法来计算本行操作风险及其对应的资本要求。同时,本行采用压力测试和其他非统计类计量方法进行补充。
第六十二条 本行应明确业务及管理活动、业务流程及操作环节的关键风险点和控制措施要点,制定和适时修订相关程序和操作指南等。
第六十三条 本行应建立和完善各级管理层职责明确的审批和授权制度,并确保有效执行。
第六十四条 本行可将部分业务或操作环节外包给外部专业机构处理,但应制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同或服务协议。
第六十五条 本行可将购买保险以及与第三方签订合同作为缓释操作风险的方法,但应制定相关的书面政策和程序。本行同时关注运用保险工具将风险转嫁到其他领域所产生的风险。
第六十六条 本行应制订控制和缓释重大操作风险的政策、程序和步骤,主要包括:风险控制的策略及方法、内部控制制度等。
第六十七条 对关键业务或环节,本行应制订应急和业务连 - -12续方案,建立恢复服务和保证业务连续运行的备用机制,并定期检查、测试灾难恢复和业务连续机制有效性和适用性。
第六十八条 本行建立操作风险监测程序,对关键操作风险指标和操作风险损失事件进行监测分析,及时反映本行操作风险的暴露情况和操作风险资本的变化。
第六十九条 本行应建立和完善操作风险报告制度,明确规定操作风险报告应遵循的报送范围、程序和频率等,编制不同层次和种类的操作风险报告,以满足不同风险层级和不同职能部门对于操作风险状况的多样性需求。
对即时发生或接到的重大突发事件,各部门、各级机构要及时报告。在应急处置过程中,要随时关注事态发展,及时报告后续情况。
第七十条 本行按照有关监管部门关于商业银行资本充足率管理的要求,根据本行操作风险状况和资本实力,为本行所承担的操作风险提取充足的资本。
第八章 流动性风险管理
第七十一条 本行应建立与业务性质、规模、复杂程度和风险特征相适应的流动性风险管理流程,不断完善流动性风险管理机制,及时满足全行业务发展对流动性的需求。
第七十二条 引发流动性风险的因素包括:存款客户支取存款、贷款客户提款、债务人延期支付、资产负债结构不匹配、资
-13- 产变现困难、经营损失和衍生品交易风险等。
第七十三条 本行根据监管部门相关规定,结合本行实际状况制定流动性风险管理指标体系,包括监管指标和内部控制指标。
第七十四条 本行运用多种度量方法分析和预测本行当前和未来、以及在不同情景假设下本外币资金来源与运用变化趋势,持续度量本行的净融资需求。
第七十五条 流动性风险的度量方法包括但不限于:流动性缺口、期限阶梯、敏感性分析、情景分析等。同时,本行采用压力测试和其他非统计类计量方法进行补充。
第七十六条 本行对流动性风险实施限额管理,制定流动性风险限额的内部审批程序和操作规程,根据业务性质、规模、复杂程度和风险承受能力设定、定期审查和更新限额。
第七十七条 本行应建立本外币资金集中管理机制和有效的系统内资金调控机制,强化大额资金运动预测预报、系统内存款和借款、系统内资金拆借和系统内备付金的管理,实现全行流动性的统一调度和流动性风险的统一管理。
第七十八条 在平衡安全性、流动性和盈利性的基础上,本行应调整和配置全行资产负债规模和期限结构,建立分层次的流动性储备体系,优化流动性储备资产规模和结构,及时通过货币市场和资本市场实现流动性管理组合目标。
第七十九条 本行积极开拓融资渠道,实施融资分散化和多 - -14样化管理战略,优化本行资产负债组合。
第八十条 本行应建立紧急情况下的流动性风险应急处理机制,制定处理流动性危机的预案及相关部门的职责与分工。定期对应急处理方案进行测试,不断更新和完善应急处理方案。
第八十一条 本行建立流动性风险的监测程序,实现对潜在重大流动性风险的提前预警。
第八十二条 本行应建立和完善流动性风险报告制度,明确规定流动性风险报告应遵循的报送范围、程序和频率,编制不同层次和种类的流动性风险报告。本行流动性风险报告应能反映本外币流动性风险的管理情况。
第九章 风险管理信息与沟通
第八十三条 本行明确信息收集的范围、标准、过程,以及各部门、各级机构和人员在信息收集与加工过程中的职责,不断提高信息质量。
第八十四条 本行建设覆盖各级机构、业务领域的数据仓库和管理信息系统,及时、准确地提供风险管理所需要的各种数据,以实现对风险的有效识别、计量、监测等。
第八十五条 风险管理信息的沟通方式可分为以下四类:自上而下的纵向沟通、自下而上的纵向沟通、横向沟通与外部沟通。
第八十六条
各部门和各级机构应将本行风险管理战略、政策、制度及相关规定等信息传达给员工,以确保员工了解管理层
-15- 的意图,正确履行所承担的职责。
第八十七条 本行充分重视员工在风险管理中的作用,支持员工将发现的风险及风险管理中存在问题向管理层进行报告,各部门和各级机构须及时处理员工反映的问题。
第八十八条
各部门和各级机构之间应顺畅沟通风险管理信息,实现风险管理信息的共享。
第八十九条 本行高度重视外部建议与意见,制定流程规则来保证沟通渠道的畅通,并使之得到及时处理。
第九十条 本行严格按照相关法律、法规和规章规定的信息披露原则和本行相关的信息披露制度,披露风险管理相关信息。
第十章 监督与评价
第九十一条 本行通过持续监控、个别评价或者两者结合对本行风险管理的有效性进行监督与评价。持续监控发生在风险管理活动的正常进程中,个别评价是对持续监控的补充。
第九十二条 持续监控的信息来源包括:各种业务的经营管理报告和风险管理报告,监管机构向本行出具的监管报告,内部审计机构出具的内部审计报告和外部审计机构出具的外部审计报告及管理建议书等。
第九十三条 管理层在评价本行风险管理的有效性时,可以利用内部审计师和外部审计师的工作。
第九十四条 个别评价通常采取自我评估的形式,评价方法 - -16和工具包括核对清单、调查问卷、流程图技术等。
第九十五条 风险管理缺陷是指在风险管理过程中存在的、影响本行制订和执行战略以及实现目标的问题。本行风险管理缺陷的信息来源于对本行的风险管理进行持续监控和个别评价,以及本行外部方面提供的重要信息,如客户、外部审计师和监管机构等。
收到风险管理缺陷信息的管理人员,应及时向相应的管理部门报告。收到风险管理缺陷报告的管理部门应及时采取矫正措施。
第九十六条 本行应建立风险管理评价制度,对分支机构风险管理水平进行全面考察与定期评价。
第十一章 附则
第九十七条 本办法自201办法3月1日起执行。
-17-
- -18
第四篇:农商行全面风险管理办法
**农商银行全面风险管理办法
第一章 总则
第一条
为推进全面风险管理体系建设,提升风险管理水平,依据境内外有关监管指引、农商行《章程》,并借鉴国际银行业风险管理的经验做法,特制定本办法。
第二条
本办法所称风险,是指对农商行实现既定目标可能产生影响的不确定性,这种不确定性既可能带来损失也可能带来收益。本办法主要关注带来损失的不确定性。
(一)信用风险。是指因借款人或交易对手未按照约定履行义务从而使农商行业务发生损失的风险。
(二)市场风险。是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使农商行表内和表外业务发生损失的风险。
(三)操作风险。是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。
(四)流动性风险。是指因农商行无法以合理的成本及时筹集到客户和交易对手当前和未来所需资金而对农商行经营所产生的风险。
除上述风险外,农商行还关注外部监管部门或农商行董事会
-1- 要求关注的其他风险。
第三条 本办法所称全面风险管理是指农商行董事会、高级管理层和全行员工各自履行相应职责,有效控制涵盖全行各个业务层次的全部风险,进而为农商行各项目标的实现提供合理保证的过程。
第四条 农商行风险管理应遵循以下原则:
(一)收益与风险匹配
制定风险管理战略和进行风险管理决策,必须考虑承担的风险是在农商行的风险容忍度以内,并有预期的收益覆盖风险,经风险调整的资本收益率能够满足股东的最低要求或符合农商行的经营目标。
(二)内部制衡与效率兼顾
农商行在风险管理规章制度中明确界定各部门、各级机构和各层级风险管理人员的具体权责,实行前中后台职能相对分离的管理机制。各部门、境内外分支机构和全体员工之间要有效沟通与协调,优化管理流程,不断提高管理效率。
(三)风险分散
农商行实现信用风险敞口在国家、地区、行业、产品、期限和币种等维度上的适度分散,防范集中风险。严格遵循监管标准,审慎核定单一客户和关联客户授信额度,有效控制客户信用风险集中度。
农商行实现市场风险敞口在国家、地区、市场、产品、期限 -2-和币种等维度上的适度分散,并采用适当的方式实现市场风险的有效分散。
农商行统一管理全行的流动性,建立分层次的流动性储备体系,确保融资渠道的多元化。
(四)定量与定性结合
农商行着力提升风险计量水平,开发与农商行业务性质、规模和复杂程度相适应的风险计量技术,推广应用国际先进银行业成熟的风险管理经验,实现定性分析和定量分析的有机结合。
(五)动态适应性调整
持续不断地检查和评估内外部经营管理环境和竞争格局的变化及其对农商行全面风险管理所产生的实质性影响,及时调整风险管理政策、制度和流程,以确保风险管理与农商行业务发展战略等相一致。
(六)循序渐进
本办法立足于农商行风险管理现状,提出了未来风险管理的发展目标和前瞻性要求,是风险管理的指导性文件,农商行将逐步实现本办法的要求。
第二章 内部环境
第五条
风险管理文化、风险容忍度、风险管理战略和组织架构等构成农商行风险管理的内部环境,是风险管理所有构成要素的基础。
-3- 第六条 风险管理文化包含了道德和行为准则以及它们的沟通和强化方式,通过风险容忍度、风险管理战略、管理行为等表现出来,农商行致力于风险管理文化的建设和传播。
第七条 风险容忍度是在经营管理过程中所愿意承担的风险水平。农商行采取定性和定量相结合的方式描述风险容忍度。
第八条 风险管理战略是农商行为了实现经营发展目标所制定的一系列风险管理目标、措施等,具有全局性、长远性、纲领性、相对稳定性,并随内外部环境变化实施动态管理。
第九条 董事会及其专门委员会、高级管理层及其专业委员会、风险管理部门和内部审计部门等构成农商行风险管理的组织架构。
第十条 董事会按农商行《章程》规定履行风险管理的职责,主要包括:制定农商行风险管理战略和风险管理的基本管理制度,并监督制度的执行情况等。
第十一条 监事会按农商行《章程》和有关监管指引履行风险管理的职责,主要包括:对董事会和高级管理人员的履职情况进行监督,对农商行的风险管理情况进行检查监督等。
第十二条 董事会风险管理委员会按农商行《章程》及相关工作规则规定履行风险管理的职责,主要包括:审核和修订农商行风险管理战略、风险管理政策等,对其实施情况及效果进行监督和评价,并向董事会提出建议等。
第十三条 高级管理层主要负责执行董事会制定的风险管 -4-理战略,制订风险管理的程序和规程,管理农商行各项业务所承担的风险。
第十四条 高级管理层风险管理委员会是农商行行长进行风险管理的决策机构,风险管理委员会及其下设专业风险管理委员会按照农商行《章程》和专业委员会工作规则开展工作。
第十五条 农商行设立专门部门牵头负责全面风险管理、信用风险管理、市场风险管理、操作风险管理和流动性风险管理等,推动全面风险管理体系建设。
第十六条 农商行各部门、各级机构均应在全面风险管理中承担相应职责,主要包括:传播农商行风险管理理念,树立全面风险管理意识;明确员工在风险管理中承担的职责等。
第十七条
内部审计工作按农商行《章程》规定履行其在风险管理中的职责,对农商行风险管理的效果进行独立客观的监督、检查、评价和报告。
第三章 目标管理
第十八条 目标设定是风险管理的前提。战略目标、经营目标、报告目标和合规目标是实施全面风险管理的重要组成部分。农商行建立目标管理责任制,实行分工负责制和逐级负责制。
第十九条 战略目标与公司使命、愿景和宗旨相一致,是设定相关目标及其子目标的导向。
第二十条 经营目标是农商行战略目标的具体反映,关注于
-5- 农商行经营活动的有效性和效率,保证农商行战略目标的实现。
第二十一条 报告目标应与农商行战略目标相一致,保证为董事会和高级管理层、监管机构、投资者和客户提供准确、及时、完整的信息,农商行建立包括风险报告制度在内的报告工作制度体系以及信息披露制度等。
第二十二条 合规目标应与农商行战略目标相一致,保证农商行从事的经营管理活动符合相关法律法规和农商行规章制度,并确保支持农商行经营目标和报告目标的实现。
第四章 风险管理流程
第二十三条 风险管理流程是指包括风险识别、风险度量、风险控制、风险监测与报告等一系列风险管理活动的全过程,应能贯彻执行既定的战略目标,与银行风险管理文化相匹配。
第二十四条 风险识别是指对影响农商行各类目标实现的潜在事项或因素予以全面识别,鉴定风险的性质,进行系统分类并查找出风险原因的过程。
第二十五条 风险度量是指在通过风险识别确定风险性质的基础上,对影响目标实现的潜在事项出现的可能性和影响程度进行度量的过程。风险度量通常采取定性与定量结合的方法。
第二十六条 风险控制是指在风险度量的基础上,综合平衡成本与收益,针对不同风险特性确定相应的风险控制策略,采取措施并有效实施的过程。常见的风险控制策略包括:风险规避、-6-风险分散、风险对冲、风险转移、风险补偿等。
第二十七条
风险监测是指监测各种可量化的关键风险指标和不可量化的风险因素的变化和发展趋势,以及风险管理措施的实施质量与效果的过程。
第二十八条 风险报告是指在风险监测的基础上,编制不同层次和种类的风险报告,遵循报告的发送范围、程序和频率,以满足不同风险层级和不同职能部门对于风险状况的多样性需求的过程。
第二十九条 在引进或采取新的产品、业务、程序和系统时,应对其实施风险识别、度量、控制、监测和报告等一系列风险管理活动。
第五章 信用风险管理
第三十条 农商行应建立与业务性质、规模和复杂程度相适应的信用风险管理流程,有效识别、度量、控制、监测和报告信用风险,将信用风险控制在农商行可以承受的范围内。
第三十一条 农商行对产品与业务中的信用风险进行识别,同时关注信用风险与其他风险之间的相关性,防范其他风险导致信用风险损失事件的发生。
第三十二条
引发信用风险的因素包括:国家、地区、行业、客户、交易方式等,农商行各级机构应高度重视资产与业务中信用风险在上述维度的集中情况。
-7- 第三十三条 农商行信用风险主要来自于信贷资产、信用担保、贷款承诺、衍生产品交易、结算交易等业务。
第三十四条
农商行在单一与组合两个层面上对信用风险进行计量与评估。单一信用风险的计量与评估对象包括借款人或交易对象以及特定贷款或交易,组合信用风险的计量与评估对象包括农商行各级机构及国家、地区、行业等。
第三十五条 农商行应建立和不断完善信用风险计量模型,在实现内部评级初级法的基础上,力争使用高级法来计量信用风险及其对应的资本要求。农商行采用压力测试和其他非统计计量方法进行补充。同时,农商行重视定性评价在信用风险度量中所起的重要作用。
第三十六条 农商行定期对已评定信用风险情况进行复查,当条件改变时及时进行重新评估。
第三十七条 农商行应建立完整的授信政策、决策机制和统一授信的业务操作程序,明确尽职要求,定期或在有关法律法规发生变化时,对授信业务规章制度进行评审和修订。
第三十八条 农商行对信用风险实施限额管理,制定涵盖国家、地区、行业、客户、产品、以及农商行各级机构等多维度的限额指标。
第三十九条 农商行不断完善信贷管理流程,实现信贷审查、信贷审批、贷款发放等职能的分离。
第四十条
农商行建立信用风险监测程序,对单个债务人或 -8-交易对手的合同执行情况进行监测;对投资组合进行整体监测,防止风险在国别、行业、区域、产品等维度上的过度集中。
第四十一条 农商行应建立和完善信用风险报告制度,明确规定信用风险报告应遵循的报送范围、程序和频率,编制不同层次和种类的信用风险报告,以满足不同风险层级和不同职能部门对于信用风险状况的多样性需求。
第四十二条 农商行按照有关监管部门关于商业银行资本充足率管理的要求,根据农商行信用风险状况和资本实力,为农商行所承担的信用风险提取充足的资本。
第六章 市场风险管理
第四十三条 农商行致力于建立与业务性质、规模和复杂程度相适应的市场风险管理流程,有效识别、度量、控制、监测和报告市场风险,将市场风险控制在农商行可以承受的范围内。
第四十四条 农商行明确银行账户和交易账户的划分标准、管理要求和调整程序。根据不同账户的性质和特点,农商行采取不同的市场风险识别、计量、控制和监测方法。
第四十五条 农商行对业务和产品中的市场风险因素进行分解和分析,及时、准确地识别交易和非交易业务中的市场风险的性质和类别。同时,关注市场风险与其他风险之间的相关性。
第四十六条 引发市场风险的因素主要包括:利率因素、汇率因素(包括黄金)、股票价格因素、商品价格因素等。
-9- 第四十七条 农商行应选用适当的方法度量银行账户和交易账户中不同类别的市场风险,对银行账户中的可供出售类资产进行定期估值,逐步实现对交易账户的逐日评估。
第四十八条 市场风险的常用计量方法包括缺口分析、久期分析、外汇敞口分析、敏感性分析、情景分析和运用内部模型计算风险价值等。
第四十九条 农商行逐步开发和使用内部模型来计量风险价值,合理选择、定期审查和调整模型技术,对所承担的市场风险进行量化估计。同时,农商行采用压力测试和其他非统计类计量方法进行补充。
第五十条 农商行对市场风险实施限额管理,制定各类和各级限额的内部审批程序和操作规程,根据业务性质、规模、复杂程度和风险承受能力设定、定期更新限额。
第五十一条 农商行采取市场风险对冲手段,在综合考虑对冲成本和收益情况下,运用金融衍生产品等金融工具,在一定程度上实现对市场风险的控制或对冲。
第五十二条 农商行应对市场风险有重大影响的情形制定应急处理方案,视情况对应急处理方案进行测试和更新。
第五十三条 农商行建立市场风险监测程序,对全行总体市场风险头寸、风险水平、盈亏状况、市场风险限额执行情况等进行持续监测。
第五十四条 农商行应建立和完善市场风险报告制度,明确 - -10规定市场风险报告应遵循的报送范围、程序和频率等,编制不同层次和种类的市场风险报告,以满足不同风险层级和不同职能部门对于市场风险状况的多样性需求。
第五十五条 农商行按照有关监管部门关于商业银行资本充足率管理的要求,根据农商行市场风险状况和资本实力,为农商行所承担的市场风险提取充足的资本。
第七章 操作风险管理
第五十六条
农商行应建立与业务性质、规模、复杂程度和风险特征相适应的操作风险管理流程,识别、度量、控制、监测和报告操作风险,将操作风险控制在农商行可以承受的范围内。
第五十七条 农商行的操作风险存在于各类业务和管理活动之中,农商行对产品、活动、程序和系统中固有的操作风险进行识别。
第五十八条 操作风险事件包括:内部欺诈,外部欺诈,就业制度和工作场所安全事件,客户、产品和业务活动事件,实物资产的损坏,IT系统事件,执行、交割和流程管理事件等。
第五十九条 农商行统一操作风险损失事件的统计口径,积累各类操作风险的发生频率及损失额等历史数据,不断完善内外部损失事件数据库。
第六十条
农商行采用自我评估和第三方独立评估等方式对操作风险的影响程度和控制能力进行持续评估。自我评估可由
-11- 各级操作风险管理部门牵头负责,也可以由各级业务部门和支持保障部门自行发起组织。第三方独立评估主要由外部监管部门、外部审计部门、农商行内部审计部门进行。
第六十一条 农商行应建立和不断完善操作风险计量模型,在实现标准法的基础上,逐步使用高级法来计算农商行操作风险及其对应的资本要求。同时,农商行采用压力测试和其他非统计类计量方法进行补充。
第六十二条 农商行应明确业务及管理活动、业务流程及操作环节的关键风险点和控制措施要点,制定和适时修订相关程序和操作指南等。
第六十三条 农商行应建立和完善各级管理层职责明确的审批和授权制度,并确保有效执行。
第六十四条 农商行可将部分业务或操作环节外包给外部专业机构处理,但应制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同或服务协议。
第六十五条 农商行可将购买保险以及与第三方签订合同作为缓释操作风险的方法,但应制定相关的书面政策和程序。农商行同时关注运用保险工具将风险转嫁到其他领域所产生的风险。
第六十六条 农商行应制订控制和缓释重大操作风险的政策、程序和步骤,主要包括:风险控制的策略及方法、内部控制制度等。
- -12第六十七条 对关键业务或环节,农商行应制订应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,并定期检查、测试灾难恢复和业务连续机制有效性和适用性。
第六十八条 农商行建立操作风险监测程序,对关键操作风险指标和操作风险损失事件进行监测分析,及时反映农商行操作风险的暴露情况和操作风险资本的变化。
第六十九条 农商行应建立和完善操作风险报告制度,明确规定操作风险报告应遵循的报送范围、程序和频率等,编制不同层次和种类的操作风险报告,以满足不同风险层级和不同职能部门对于操作风险状况的多样性需求。
对即时发生或接到的重大突发事件,各部门、各级机构要及时报告。在应急处置过程中,要随时关注事态发展,及时报告后续情况。
第七十条 农商行按照有关监管部门关于商业银行资本充足率管理的要求,根据农商行操作风险状况和资本实力,为农商行所承担的操作风险提取充足的资本。
第八章 流动性风险管理
第七十一条 农商行应建立与业务性质、规模、复杂程度和风险特征相适应的流动性风险管理流程,不断完善流动性风险管理机制,及时满足全行业务发展对流动性的需求。
第七十二条 引发流动性风险的因素包括:存款客户支取存
-13- 款、贷款客户提款、债务人延期支付、资产负债结构不匹配、资产变现困难、经营损失和衍生品交易风险等。
第七十三条 农商行根据监管部门相关规定,结合农商行实际状况制定流动性风险管理指标体系,包括监管指标和内部控制指标。
第七十四条 农商行运用多种度量方法分析和预测农商行当前和未来、以及在不同情景假设下本外币资金来源与运用变化趋势,持续度量农商行的净融资需求。
第七十五条 流动性风险的度量方法包括但不限于:流动性缺口、期限阶梯、敏感性分析、情景分析等。同时,农商行采用压力测试和其他非统计类计量方法进行补充。
第七十六条 农商行对流动性风险实施限额管理,制定流动性风险限额的内部审批程序和操作规程,根据业务性质、规模、复杂程度和风险承受能力设定、定期审查和更新限额。
第七十七条 农商行应建立本外币资金集中管理机制和有效的系统内资金调控机制,强化大额资金运动预测预报、系统内存款和借款、系统内资金拆借和系统内备付金的管理,实现全行流动性的统一调度和流动性风险的统一管理。
第七十八条 在平衡安全性、流动性和盈利性的基础上,农商行应调整和配置全行资产负债规模和期限结构,建立分层次的流动性储备体系,优化流动性储备资产规模和结构,及时通过货币市场和资本市场实现流动性管理组合目标。
- -14第七十九条 农商行积极开拓融资渠道,实施融资分散化和多样化管理战略,优化农商行资产负债组合。
第八十条 农商行应建立紧急情况下的流动性风险应急处理机制,制定处理流动性危机的预案及相关部门的职责与分工。定期对应急处理方案进行测试,不断更新和完善应急处理方案。
第八十一条 农商行建立流动性风险的监测程序,实现对潜在重大流动性风险的提前预警。
第八十二条 农商行应建立和完善流动性风险报告制度,明确规定流动性风险报告应遵循的报送范围、程序和频率,编制不同层次和种类的流动性风险报告。农商行流动性风险报告应能反映本外币流动性风险的管理情况。
第九章 风险管理信息与沟通
第八十三条 农商行明确信息收集的范围、标准、过程,以及各部门、各级机构和人员在信息收集与加工过程中的职责,不断提高信息质量。
第八十四条 农商行建设覆盖各级机构、业务领域的数据仓库和管理信息系统,及时、准确地提供风险管理所需要的各种数据,以实现对风险的有效识别、计量、监测等。
第八十五条 风险管理信息的沟通方式可分为以下四类:自上而下的纵向沟通、自下而上的纵向沟通、横向沟通与外部沟通。
第八十六条
各部门和各级机构应将农商行风险管理战略、-15- 政策、制度及相关规定等信息传达给员工,以确保员工了解管理层的意图,正确履行所承担的职责。
第八十七条 农商行充分重视员工在风险管理中的作用,支持员工将发现的风险及风险管理中存在问题向管理层进行报告,各部门和各级机构须及时处理员工反映的问题。
第八十八条
各部门和各级机构之间应顺畅沟通风险管理信息,实现风险管理信息的共享。
第八十九条 农商行高度重视外部建议与意见,制定流程规则来保证沟通渠道的畅通,并使之得到及时处理。
第九十条 农商行严格按照相关法律、法规和规章规定的信息披露原则和农商行相关的信息披露制度,披露风险管理相关信息。
第十章 监督与评价
第九十一条 农商行通过持续监控、个别评价或者两者结合对农商行风险管理的有效性进行监督与评价。持续监控发生在风险管理活动的正常进程中,个别评价是对持续监控的补充。
第九十二条 持续监控的信息来源包括:各种业务的经营管理报告和风险管理报告,监管机构向农商行出具的监管报告,内部审计机构出具的内部审计报告和外部审计机构出具的外部审计报告及管理建议书等。
第九十三条 管理层在评价农商行风险管理的有效性时,可 - -16以利用内部审计师和外部审计师的工作。
第九十四条 个别评价通常采取自我评估的形式,评价方法和工具包括核对清单、调查问卷、流程图技术等。
第九十五条 风险管理缺陷是指在风险管理过程中存在的、影响农商行制订和执行战略以及实现目标的问题。农商行风险管理缺陷的信息来源于对农商行的风险管理进行持续监控和个别评价,以及农商行外部方面提供的重要信息,如客户、外部审计师和监管机构等。
收到风险管理缺陷信息的管理人员,应及时向相应的管理部门报告。收到风险管理缺陷报告的管理部门应及时采取矫正措施。
第九十六条 农商行应建立风险管理评价制度,对分支机构风险管理水平进行全面考察与定期评价。
第十一章 附则
第九十七条 本办法自201办法3月1日起执行。
-17-
- -18
第五篇:信息科技风险管理办法(最终版)
XXXX银行信息科技风险管理办法 总则
为XXXX银行有效防范银行运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。
本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。机构职责
根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。每年审阅并向银监会及其派出机构报送信息科技风险管理的报告。确保信息科技风险管理工作所需资金。
确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。履行信息科技风险管理其他相关工作。
我行应设立分管信息科技的副行级领导,直接向行长汇报,并参与决策。副行级领导的职责包括:
直接参与本银行与信息科技运用有关的业务发展决策。确保信息科技战略,尤其是信息系统开发战略,符合本银行的总体业务战略和信息科技风险管理策略。
负责建立一个切实有效的信息科技部门,承担本银行的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
组织专业培训,提高人才队伍的专业技能。 履行信息科技风险管理其他相关工作。
科技部负责我行信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施: 验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。审核信息科技员工的道德品行,确保其具备相应的职业操守。
确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
运营管理部职能交叉,要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括:
运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息。
提供机房环境、设备使用、网络运行、系统运行职能交叉,要部门协调等监控信息。记录运行值班过程中所有现象、操作过程等信息日志。对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计。提供维护的统计和报表打印功能。对系统参数等设置变更、维护的要求:
应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性。职能交叉,要部门协调
应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
风险管理部负责信息科技风险管理工作,并直接向分管行领导(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。风险管理部的职责包括: 拟定信息系统风险管理总体政策,并提交高级管理层审查、审批。会同相关业务部门对信息系统风险进行识别、监测; 审核信息系统风险状况。对总行相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测,并进行实时报告。
组织新投产后信息系统的后评价,并识别、评估新信息系统中所包含的风险,审核相应的操作和风险管理程序。
稽核审计部应在部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。稽核审计部负责我行信息系统审计任务,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。信息科技风险管理
我行应制定全面的信息科技风险管理策略,包括但不限于下述领域: 信息分级与保护。
信息系统开发、测试和维护。信息科技运行和维护。访问控制。物理安全。人员安全。
业务连续性计划与应急处置。
我行应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
我行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括: 最高权限用户的审查。
控制对数据和系统的物理和逻辑访问。
访问授权以“必需知道”和“最小授权”为原则。审批和授权。验证和调节。
我行应建立持续的信息科技风险计量和监测机制,其中应包括: 建立信息科技项目实施前及实施后的评价机制。建立定期检查系统性能的程序和标准。
建立信息科技服务投诉和事故处理的报告机制。
建立内部审计、外部审计和监管发现问题的整改处理机制。
安排供应商和业务部门对服务水平协议的完成情况进行定期审查。定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。定期进行运行环境下操作风险和管理控制的检查。定期进行信息科技外包项目的风险状况评价。信息安全
科技部负责建立和实施信息分类和保护体系,应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
科技部应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本银行信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域: 安全制度管理。信息安全组织管理。资产管理。人员安全管理。
物理与环境安全管理。通信与运营管理。访问控制管理。
系统开发与维护管理。信息安全事故管理。业务连续性管理。合规性管理。
应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开我行时,应在系统中及时检查、更新或注销用户身份。
应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
域内应用程序和用户组的重要程度。各种通讯渠道进入域的访问点。
域内配置的网络设备和应用程序使用的网络协议和端口。性能要求或标准。
域的性质,如生产域或测试域、内部域或外部域。不同域之间的连通性。域的可信程度。
应通过以下措施,确保所有计算机操作系统和系统软件的安全:
制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。应通过以下措施,确保所有信息系统安全:
明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。针对信息系统的重要性和敏感程度,采取有效的身份验证方法。加强职责划分,对关键或敏感岗位进行双重控制。在关键的接合点进行输入验证或输出核对。
采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。
确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。以书面或电子格式保存审计痕迹。
要求用户管理员监控和审查未成功的登录和用户账户的修改。
应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类: 交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。
应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定,并报信息科技管理委员会批准。
应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
使用符合国家要求的加密技术和加密设备。
管理、使用密码设备的员工经过专业培训和严格审查。加密强度满足信息机密性的要求。
制定并落实有效的管理流程,尤其是密钥和证书生命周期管理。
配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。
制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。信息系统开发、测试和维护
应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。
采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。
制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:
生产系统与开发系统、测试系统有效隔离。
生产系统与开发系统、测试系统的管理职能相分离。除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
将完成开发和测试环境的程序或系统配置变更应用到生产系统时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。
建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。信息科技运行
在选择数据中心的地理位置时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。应将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。
制定详尽的信息科技运行操作说明。如在信息科技运行手册中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)。建立事故管理及处置机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。我行应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。
建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性维护记录),以确保有效维护设备和设施。制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由信息科技部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。业务连续性管理
根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
内外部资源的故障或缺失(如人员、系统或其他资产)。信息丢失或受损。
外部事件(如战争、地震或台风等)。
应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于: 资源需求(如人员、系统和其他资产)以及获取资源的方式。运行恢复的优先顺序。
与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安排。更新实施业务连续性计划的流程及相关联系信息。验证受中断影响的信息完整性的步骤。
当我行的业务或风险状况发生变化时,对本条一到三进行审核并升级。
我行的业务连续性计划和应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。外包与审计 外包
不得将我行信息科技管理责任外包,应合理谨慎监督外包职能的履行。
实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:
分析外包是否适合我行的组织结构和报告路线、业务战略、总体风险控制,是否满足我行履行对外包服务商的监督义务。
考虑外包协议是否允许我行监测和控制与外包相关的操作风险。
充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。
考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。
关注可能存在的集中风险,如多家我行共用同一外包服务商带来的潜在业务连续性风险。在与外包服务商合同谈判过程中,应考虑的因素包括但不限于: 对外包服务商的报告要求和谈判必要条件。
银行业监管机构和内部审计、外部审计能执行足够的监督。
通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。担保和损失赔偿是否充足。
外包服务商遵守我行有关信息科技风险制度和流程的意愿及相关措施。外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。第三方供应商出现问题时,保证软件持续可用的相关措施。
变更外包协议的流程,以及我行或外包服务商选择变更或终止外包协议的条件,例如: 我行或外包服务商的所有权或控制权发生变化。我行或外包服务商的业务经营发生重大变化。
外包服务商提供的服务不充分,造成我行不能履行监督义务。
在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:
提出定性和定量的绩效指标,评估外包服务商为我行及其相关客户提供服务的充分性。通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。针对绩效不达标的情况调整流程,采取整改措施。加强信息科技相关外包管理工作,确保我行的客户资料等敏感信息的安全,包括但不限于采取以下措施:
实现本银行客户资料与外包服务商其他客户资料的有效隔离。
按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。要求外包服务商保证其相关人员遵守保密规定。
应将涉及本银行客户资料的外包作为重要外包,并告知相关客户。
严格控制外包服务商再次对外转包,采取足够措施确保我行相关信息的安全。确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。我行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。我行所有信息科技外包合同应由科技部、风险管理部、法律合规部和信息科技管理委员会审核通过。我行应设立流程定期审阅和修订服务水平协议。审计
我行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。稽核审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于我行的日常活动,具有适当的授权访问我行的记录。我行内部信息科技审计的责任包括:
制定、实施和调整审计计划,检查和评估我行信息科技系统和内控机制的充分性和有效性。按照第一款规定完成审计工作,在此基础上提出整改意见。检查整改意见是否得到落实。
执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
我行应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每三年进行一次全面审计。我行在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本银行信息科技风险管理标准。我行可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
在委托审计过程中,我行应确保外部审计机构能够对本银行的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。
我行在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
银监会及其派出机构必要时可指定具备相应资质的外部审计机构对我行执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对我行进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的我行应根据该审计报告提出整改计划,并在规定的时间内实施整改。
我行在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本银行的商业秘密和信息科技风险信息,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。附则
本办法由营口沿海银风险管理部负责解释和修订。