第一篇:网上银行安全风险管理指引(征求意见稿)549号文
中国银行业监督管理委员会办公厅
银监办便函 [2011] 549号
关于征求对《网上银行安全风险管理指引》
(征求意见稿)意见的函
各银监局,各国有商业银行,股份制商业银行,邮政储蓄银行,各省级农村信用联社:
为加强网上银行的安全风险管理工作,建立全面的安全风险管理框架和组织架构,明确网上银行安全控制的基本要求,促进网上银行业务健康、持续发展,银监会起草了《网上银行安全风险管理指引》(征求意见稿),现征求各银监局和各银行机构意见.请各银行机构组织管理、业务、科技等相关部门认真研究,提出有针对性的意见,并于11月25日前将意见以书面形式反馈银监会信息中心(同时报送电子版)。
请各银监局将本函转发至辖内各银行机构,各银监局汇总辖内银行机构意见后,于11月25日前以书面形式报送银监会信息中心(同时报送电子版)。
联系人:姜帆
联系电话:010-66278625 传
真:010-66299296 电子邮箱:jiangfan@cbrc.gov.cn
附件: 《网上银行安全风险管理指引》(征求意见搞)
二零一一年十一月四日
网上银行安全风险管理指引
(征求意见稿)
第一章 总则 第二章 组织架构 第三章 安全风险管理框架 第四章 业务安全控制 第五章 技术安全控制 第六章 管理与内部控制 第七章 网上支付安全控制 第八章 客户教育和风险提示 第九章 审计与评估 第十章 监督管理 第十一章 附则
第一章 总
则
第一条
为防范网上银行安全风险,保障客户和商业银行的合法权益,促进网上银行业务的健康、持续发展,依据《中华人民共和国商业银行监督管理法》、《中华人民共和国商业银行法》、《电子商业银行业务管理办法》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》,以及相关的法律法规,制定本指引。
第二条
本指引适用于在中华人民共和国境内依法设立的法人商业银行和农村合作银行、城市信用社、农村信用社。
政策性银行、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
第三条
本指引所称网上银行(以下简称“网银”)是指商业银行利用互联网等开放性公共网络或专用网络为媒介,以客户发出的电子指令为依据,为客户提供网上金融业务的电子渠道类服务。同时,依托公共网络或专用网络在收付款人之间进行资金支付结算的网上支付业务,应统一纳入网上银行的安全风险管理。
第四条
本指引所称网银安全风险,是指商业银行在网银的业务经营和管理过程中,由于环境因素、人员原因、安全漏洞以及管理和流程缺陷导致的操作、法律和声誉等风险。可能导致网银安全风险的威胁和弱点主要存在于内控管理、产品创新和开发、业务运营、系统运维、信息安全保障等环节。
第五条
商业银行应将网银安全风险管理纳入本行的全面风险管理体系,结合自身网银业务特点,建立与全面风险管理体系相一致的网银安全风险管理框架、策略及流程。
第二章 组织架构
第六条
商业银行应建立与网银安全风险管理相适应的组织架构,该组织应包含董事会、高级管理层、网银安全风险管理部门、业务条线部门、信息科技部门、内部审计部门,各部门应明确各自职责并对所负责的网银安全风险进行归口管理。
第七条
董事会对网银安全风险的管理负最终责任,主要职责包括:
(一)负责监督高级管理层对网银安全风险的控制情况,并对网银安全风险及管理状况提出管理和内部控制意见;
(二)审批网银审计报告。
第八条
高级管理层的主要职责:
(一)制定、定期审查和监督执行网银安全风险管理机制和程序;
(二)明确各部门的网银安全风险管理职责,了解掌握网银重大安全风险,确定风险可接受原则和容忍度,审批重大安全风险控制措施,督促各部门履行管理职责,确保网银安全风险管理机制正常运行;
(三)审批网银安全风险评估报告。
第九条
商业银行应指定网银安全风险管理牵头部门,明确牵头部门和其他各相关部门的职责范围、工作流程和沟通协调机制。
第十条
风险管理牵头部门负责组织、推动各部门的网银安全风险管理工作,组织制定和发布有关制度、规定,建立各部门联席会议机制,协调、解决风险管理工作中的重大问题,组织跨部门的应急联动机制和应急预案的演练等。
第十一条
业务条线部门负责网银业务层面的安全风险管理工作,明确本部门的风险管理职责,执行网银业务安全风险自评估或外部评估,对网银的业务运营和操作进行日常合规检查,编制本部门的业务应急预案等。
第十二条
信息科技部门负责网银系统开发、建设和日常运行维护的安全风险管理工作,明确本部门的风险管理职责,执行网银系统安全风险自评估或外部评估,对网银系统的开发和运行维护进行日常合规检查,编制本部门的技术应急预案等。
第十三条
商业银行内部审计部门负责对网银业务和系统进行审计检查,根据审计结果向董事会提交审计报告,跟踪、督导审计发现问题的整改工作。
第三章 安全风险管理框架
第十四条
商业银行应建立网银安全风险管理框架。管理框架应至少包括如下内容:
(一)管理目标及范围;
(二)管理组织架构及职责;
(三)风险管理策略;
(四)风险识别及评价;
(五)风险监测及控制;
(六)审计和评估机制。
第十五条
商业银行的网银安全风险管理策略应至少包括如下内容:
(一)风险评价和定级策略;
(二)风险管理偏好、容忍度及风险参数制订策略;
(三)风险控制策略(接受、降低、缓释、转移、规避、消除等);
(四)成本及效益评价策略;
(五)控制措施有效性评价策略。
第十六条
商业银行应依据监管机构要求、网银业务发展以及内外部环境的变化,通过自我检查、内部审计、外部评估等手段,至少每三年对网银安全风险管理框架、管理策略进行一次修订。
第十七条
商业银行在进行网银安全风险识别时,应首先判断网银在业务运营、系统运维、安全管理等过程中需保护的对象(如人员,服务、流程、系统、数据等),通过综合分析对象的价值及其面临的因环境和人员因素导致的内外部威胁,以及本身存在的管理缺陷、内控缺失和安全漏洞等弱点,正确识别会对客户和商业银行利益造成损害的安全风险。
第十八条
商业银行应制定客观的安全事件影响或损失程度分级标准,至少综合考虑如下因素,所影响的客户或业务范围、服务中断时间、财务损失程度、客户资料泄露规模、舆论影响范围等。
第十九条
商业银行应制定客观的安全事件发生可能性分级标准,至少综合考虑如下因素,自身弱点的可利用程度、当前内外部威胁发生动机的强烈程度、该风险所产生事件在过去一定时期内发生的频率、以及对将来发生趋势的分析等。
第二十条
商业银行应在正确识别网银安全风险的基础上,根据其发生安全事件后的影响或损失程度以及发生可能性的分级标准,评定风险等级。
第二十一条
商业银行应建立网银安全风险的持续监测机制,加强对内外部威胁和自身弱点以及残余风险(包括已接受的风险)的监测,充分利用技术手段实现安全风险监测的自动化,及时掌握网银安全风险的变化情况以及验证已有控制措施的有效性。
第二十二条
商业银行应将能够代表网银安全某一风险领域变化情况并可监测的特征值或指标作为关键风险指标,建立符合本机构组织架构和职责的多层级关键风险指标体系。如资金损失类、案件和安全事件类、异常交易类、客户投诉类、人员管理类、网银服务可用类等关键指标。
第二十三条
商业银行在进行网银安全风险监测时,应建立告警、升级、响应和处理机制,通过关联分析多种信息来源,确定并报告各级别网银安全风险。
第二十四条
商业银行应明确风险报告的内容、频率、形式、对象和路径,确保高级管理层和相关部门及时掌握网银安全风险状况以及影响和陨失情况。第二十五条
商业银行应根据网银安全风险评估结果,结合风险监测获得的风险变化情况,依据风险管理策略,制定风险控制计划和控制措施,并在审核后实施。
第二十六条
商业银行对于未达到预期控制目标或衍生新风险的控制措施,应重新启动评估流程,制定和选择新的风险控制措施。同时应对网银安全风险,包括已接受的风险,定期进行再评估。
第二十七条
商业银行针对网银业务规模增长快速,以及网银外部环境多变的特点,同时结合网银系统的开放、复杂以及技术发展迅速等特征,在风险评估中应及时调整评估重点,积极关注新威胁、新弱点,制定和调整风险控制措施,增强网银安全。
第四章 业务安全控制
第二十八条
商业银行在制定网银业务发展规划、网银系统技术架构和安全策略,以及推出重要产品和业务活动时,应提交高级管理层审批,确保网银发展目标与本行总体业务目标一致。
第二十九条
商业银行在网银产品的业务设计阶段,应重点关注以下因素:产品的可行性和合规性、业务规则的完整性以及一致性和延续性、产品之间的关联性和依赖性、产品易用和安全之间的平稳性等,避免产生潜在安全风险。
第三十条
商业银行在进行网银产品的业务规则设计时,应根据客户和交易类型以及风险级别,制定相应的安全控制要求。控制要求至少应包括以下内容:
(一)双因素身份认证。银行应根据审慎原则,对银行认为的高风险交易,包括但不限于向非同名网银转账汇款、超过一定额度的网上支付等支付结算类业务,使用双因素身份认证。
(二)交易确认。银行可对高风险交易增加除身份认证(含双因素身份认证)以外的交易追加认证,如发送短信动态验证码)。
(三)限额设定。银行对网银转账汇款、网上支付等支付结算类业务,应根据其认证方式不同,设置不同的限额。
(四)交易提醒。银行应提供网银高风险交易短信提醒功能,额度可由银行设定,或由客户自行设定。
(五)落地处理。银行可以根据审慎性原则,对于交易要素不完整、超过额度的转账支付和关注类账户的资金流动(如疑似违规资金变动)等交易进行人工审核。
第三十一条
商业银行在制定业务操作规程或规范时,应明确规定客户开通网银服务时的身份核实方法,包括需客户提供的资料内容和要求,以及银行验证客户资料真实性、有效性和完整性的具体措施。
第三十二条
商业银行在制定业务操作规程或规范时,应明确客户开通网银服务或其重要功能时,需要签订的服务协议内容。内容至少包括:各方的权利义务、风险提示和安全常识、收费标准、差错与争议处理、违约条款、服务和协议终止条件等。
第三十三条
商业银行为保护业务安全和客户权益,应建议客户预留手机号码,且在手机号码变更时及时更新,并要求客户对所提供号码的真实性和有效性负责,以便在网银业务发生重大调整、交易出现差错、交易确认或交易提醒时及时通知客户。
第三十四条
商业银行应在网银业务办理过程中,保留重要凭证和操作记录,对网银开户、安全工具更换、交易认证手机号码更改等重要操作进行流水勾兑稽核,防范内部案件。商业银行应严格后台操作权限的分配,根据参数的影响程度分级审批,对涉及批量客户的计费、限额、功能开关等重要业务规则调整,要做好参数维护方案的审核,严格执行参数维护流程,防范网银后台操作风险。
第三十五条
商业银行应建立网银业务异常交易监控流程,采集分析网银交易信息,主动预防、发现和终止如外部欺诈、身份冒用、虚假交易、套现、洗钱等异常交易,有效防范和化解风险。
第三十六条
商业银行网银业务异常交易监控的范围至少应包括:客户签约、登录、查询、转账、缴费、支付等交易以及与交易相关的行为特征和客户终端信息,监控信息要严格保密,不得泄露。
第三十七条
商业银行网银异常交易风险的事件响应,应与信息科技部门充分沟通,相互配合,建立业务和技术的联动机制,确保异常交易事件响应的及时性、准确性和有效性。
第三十八条
商业银行在处理因交易超时、系统故障或其他原因导致的账务差错或异常交易时,应严格按照申告、核实、批准、调整、留档的程序转人工处理,处理过程的文档应按照商业银行会计档案进行管理。
第三十九条
商业银行的网银服务内容、操作流程、收费标准和服务协议等发生重大调整前,或系统进行重要升级前,应通过多种渠道对外予以公告。
第四十条
商业银行应建立规范的网银业务投诉和客户纠纷处理机制,制定相关登记、统计制度和处理原则、策略,妥善处理,避免风险扩散。处理原则和策略应根据外部环境和网银业务的变化适时调整。
第五章 技术安全控制
第四十一条
商业银行在进行网银技术选择时,应充分考虑网银采用的技术多样和发展迅速的特点,通过原型开发或技术测试等手段积极开展预研,充分评估技术的成熟度、安全性,对涉及新技术、新平台、新架构的选择应进行评审。
第四十二条
商业银行应制定开发和测试的安全规范与技术指南,重点明确客户端安全控制、交易安全控制、权限划分与访问控制、资源控制、密钥与加解密、日志审计等方面的要求,同时应加强人员安全培训和执行情况检查。
第四十三条
商业银行应采取技术措施保证客户端软件自身的完整性,保证敏感程序逻辑的机密性,定期评估客户端安全措施的有效性,针对新的威胁及时更新控制方式和强度。
第四十四条
商业银行提供的客户端软件对客户端环境的设置不应降低客户端系统的安全性,不应影响客户其他软件的正常使用;当客户下载银行客户端时,应提供有效方法便于客户识别程序来源和完整性。
第四十五条
商业银行应采取技术措施保证客户端录入的敏感信息的机密性、完整性,如使用专用的密码输入控件等;应采取技术措施保证银行返回到客户端的重要信息的完整性,如图形显示或短信通知等;应为客户提供必要的防钓鱼欺诈措施,如提供预留验证信息、客户自定义界面样式等功能。
第四十六条
商业银行应充分认识不同类型、不同版本的操作系统或浏览器之间的安全技术差异,在进行客户端代码开发时,采用合理有效的安全控制措施,确保网银的整体安全防护水平。
第四十七条
商业银行应规范网银系统的交易请求入口和权限控制,如禁止通过链接隐藏的方式进行功能屏蔽等。服务器端应对请求数据进行检查,对请求指令的逻辑顺序进行控制,对返回内容进行有效性和安全性检查。对请求数据和返回数据应在满足业务需求的情况下遵循最少原则。
第四十八条
商业银行应根据不同风险等级,为客户提供相匹配的网银身份鉴别和交易认证手段,如静态密码、动态口令卡、动态令牌、文件证书、USB Key、短信认证、语音认证等或其组合。网银身份鉴别和交易认证手段应满足监管要求和业界规范。
第四十九条
商业银行应制定合理的网银系统安全测试计划、分配足够的资源验证安全质量,如对网银代码进行安全审查、对系统进行渗透性测试、对安全控制措施进行查验等,防范引入恶意代码或出现安全漏洞。第五十条
商业银行应对开发、测试环境进行有效的安全控制,确保开发文档、源代码、测试数据等敏感资料的安全保密;应将开发、测试环境与生产环境进行有效隔离,避免开发、测试环境被利用成为攻击入口。
第五十一条
商业银行应定期评估程序代码,开展代码重构与优化,保证程序代码的安全可靠、逻辑清晰、功能明确、组织形式合理,以提高程序代码的安全性和可维护性。
第五十二条
商业银行应合理规划网银的网络安全防护架构,使用网络和安全设备,配置安全策略和控制措施,对网银系统与外部互联网、银行内部业务系统进行边界隔离,严格划分网银内部安全区域,防范内、外部威胁,确保网银系统和银行内部业务系统的安全稳定。
第五十三条
商业银行的网银系统在上线运行时,应针对网银的互联网环境依赖和外部威胁高的特性,在互联网接入点部署安全设备,如防火墙、IDS/IPS、DDoS防护等设备,并设置相应的安全规则,有效降低或消除安全风险。
第五十四条
商业银行应对网银安全设备以及非网银正常操作的交易请求和操作行为进行持续监控,依据攻击或威胁类型建立安全监控指标和监控模型,有效监测网银安全事件,并采取安全控制措施消除内外部攻击和威胁。
第五十五条
商业银行的网银应具有良好的系统异常处理机制。当交易失败或系统异常出错时,应进行友好的客户端提示和引导,同时避免泄露系统和银行内部信息。
第五十六条
商业银行应制定网银紧急补丁的开发响应流程,及时修补安全漏洞,必要时可提供临时性补丁或方案进行紧急处理,避免产生安全事件或事件影响范围扩大。
第五十七条
商业银行在使用开源软件或免费软件时,应经过充分的安全评估,至少包括如下内容,源代码安全检查、稳定和安全性测试、自身技术支持能力评价、可替换能力评估等。
第五十八条
商业银行应每年定期组织网银系统的漏洞扫描和渗透性测试,并形成测试报告。对发现的安全隐患应及时进行修补或升级,确保网银的安全防护能力。
第五十九条
商业银行应定期对自身和同业网银事件进行回顾和技术分析,剖析欺诈过程、识别典型特征,分析自身业务及其现有控制措施的弱点,积极改进控制措施,达到主动防御的目的。
第六章 管理与内部控制
第六十条
商业银行应根据自身业务特点和内部管理需要,结合外部监管要求,制定网银相关的管理制度、操作规程和安全规范,同时 应根据网银业务和技术的变化和发展进行修订和完善。
第六十一条
商业银行应对网银的业务和技术关键和重要岗位的任职人员资格进行审查,保证人员的专业技能和职业操守符合岗位任职要求。
第六十二条
商业银行应建立人员安全保密制度,签订保密协议,对于有权接触网银系统或敏感信息的人员,尤其是外部合作人员,加强权限控制和监控审计。
第六十三条
商业银行应合理设置网银管理和操作岗位、职责,对关键和重要岗位,按照职责分工、权限分离、相互监督的原则,防止不相容岗位出现混岗现象。应建立岗位轮岗、调岗、离职和强制休假的制度,避免因其导致的网银敏感信息和业务、技术资料的泄露。
第六十四条
商业银行在业务运营、后台管理和系统运维过程中,应遵循“最小授权”及“按需使用”的原则设置人员权限。同时,对内部人员提取、修改、删除、销毁网银执行代码、参数和生产数据等关键性操作应建立严格的审批、审核、审计和监督检查机制。
第六十五条
商业银行应设置网银的安全管理岗位,保证网银安全策略、规范、要求的贯彻落实,检查执行落实情况,统一管理与网银有关的安全介质。
第六十六条
商业银行应加强网银的客户、账户、交易等敏感信息的保护,建立包括管理、技术以及物理的信息安全程序和流程,确保敏感信息的安全性、保密性和完整性。
第六十七条
商业银行对网银系统的客户、账户、交易等敏感信息的使用应加强管理、明确职责,采取如分级审批、权限控制、加密签名、数据变形或清洗、记录使用日志等管理和技术手段,确保信息的使用安全。根据使用需求,应采用最小化原则提供数据信息。
第六十八条
商业银行应对网银系统程序的版本制作和发布制定统一的规范,防范正式版本中因含有未清理的测试指令、参数、数据或调试信息导致的安全隐患。
第六十九条
商业银行应对网银页面提供的链接和内容进行统一管理,并保证外部链接和引用内容的有效性、真实性、安全性,定期进行检查和评估。
第七十条
商业银行应加强网银日志的管理,日志记录内容和保存要求应符合监管要求和审计需要,网银日志尤其是交易日志应合理分配日志大小和访问权限,曰志禁止修改,确保其可用性、保密性和完整性。
第七十一条
商业银行应建立密钥和网银安全工具的管理机制,包括密钥的生成、使用、保管、备份、恢复、更换及销毁等过程的控制,以及网银安全工具的采购、制作、保管、发放及销毁的管控。
第七十二条
商业银行应制定网银运行维护的服务管理和控制措施,包括事件处理、问题处理、变更处理等,应明确岗位、职责、处理流程、定级和升降级标准、响应时间、处理时间、可用资源以及各流程间的关联和转换要求等,要注重业务和技术的联动。
第七十三条
商业银行应加强网银系统的容量管理,对网银设备使用率、网络流量、平均和最大交易量等指标进行日常监控和趋势分析,积极关注业务高峰和热点交易对网银系统的影响,结合当前系统设备处理能力和应用设计容量等既定参数,及时提出扩容方案并实施。
第七十四条
商业银行应建立网银应急预案,同时针对网银的安全特点,重点关注信息和网络安全,对DDoS、SQL注入、跨站脚本等攻击和其他入侵行为制定具体的应急场景和处理措施。
第七十五条
商业银行应建立跨部门的网银应急联动机制,加强业务和技术、开发和运维的协调配合,明确应急责任人,在网银突发事件发生时,遵循既定处理流程和相关应急预案进行整体应对和处置。
第七十六条
商业银行应对网银应急联动机制和应急预案定期组织演练和验证,保证应急处理时间和应急处置措旄满足网银业务要求。
第七十七条
商业银行应对应急处置或演练过程中发现的问题进行及时处理,修订应急预案和相关规定,形成持续改进机制。
第七十八条
商业银行应对员工加强风险管理制度和框架、内部管理流程、安全管理知识、外部监管要求等制度和规范的培训,建立长效培训机制,确保员工了解岗位职责以及违反安全规定可能导致的后果,强化员工合规操作的思想意识。
第七章
网上支付安全控制
第七十九条
商业银行在开展网上支付业务过程中,应加强合作商户和第三方支付机构的准入管埋,重点评估其资信情况、经营范围、管理能力、技术安全、服务质量、财务稳健性和行业地位等。
第八十条
商业银行在与合作商户和第三方支付机构合作时,应签订合作协议,明确要求在交易过程中,商户应向商业银行提供的有关商户、商品及资金用途等信息内容,防范外部欺诈和法律风险。
第八十一条 商业银行对于由第三方机构完成安全认证的网上支付业务,应在双方的合作协议中增加先行赔付条款,约定第三方支付机构应在银行开立风险准备金账户,用于先行赔付客户因外部欺诈等产生的资金损失。第三方支付机构缴存的风险准备金,不能低于客户备付金日均余额的10%。
本条款所称备付金日均余额,是指银行根据最近90日内,日均由第三方支付机构完成安全认证的交易备付金余额。
第八十二条
商业银行在与合作商户和第三方支付机构合作时,应采取必要的技术手段确保交易指令的及时性、准确性、保密性、完整性和不可抵赖性,同时要求合作商户和第三方支付机构提供客户详细账单信息,并在网银系统支付页面中显示供客户确认。
第八十三条
商业银行在与合作商户和第三方支付机构合作时,应根据不同业务类型和安全认证方式采取差异化的风险控制策略,谨慎设置交易限额。
第八十四条
商业银行未经客户授权,不得将客户敏感信息提供给第三方支付机构,同时应向客户充分披露银行与合作商户和第三方支付机构的业务流程和责权关系,防范法律风险和声誉风险。
第八十五条
商业银行应建立在特约商户和第三方支付机构发生重大风险时的应对机制,发现其信誉、经营状况恶化、存在违反协议或违法违规等行为的,可以采取相应措施,如终止合作关系等,保护客户和商业银行的权益。
第八章 客户教育和风险提示
第八十六条
商业银行应加强客户宣传和提示,充分解释本行各类网银业务流程和安全控制措施,避免由于客户误解或了解不全导致的投诉、纠纷和损失。在发布网银新产品、业务流程变更、安全控制措施变化时,商业银行更应强化客户宣传和提示。
第八十七条
商业银行应切实承担对网银客户的安全教育责任,至少应包括以下措施;
(一)通过各种宣传渠道向公众明示本行正确的网银官方网址和呼叫中心号码:
(二)在本行网站首页显著位置开设网银安全教育栏目;
(三)印制并向客户配发语言通俗,形象直观的网银安全宣传资料;
(四)明示客户认真核对实际领用网银安全工具(如USB Key、动态令牌、动态口令卡等)与签约回执中安全工具编码信息的一致性;
(五)在网银使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。第八十八条
商业银行应根据外部安全环境的不断变化,及时更新并发布安全防范措施,措施至少包括以下内容:
(一)要求客户预留真实的客户信息,如真实的身份证件、本人有效的手机号码等;
(二)提示客户牢记商业银行的官方网站地址;
(三)提示客户不要在公共计算机或不知情的计算机上登录网银,及时更新操作系统及浏览器的各种补丁,安装并更新防木马、防病毒软件;
(四)提示客户不应将本人的身份证件号码、银行卡号、密码等重要敏感信息告知他人,不应将个人手机、网银安全工具转借他人使用。
(五)要求客户在网银操作完成后应立即退出网银相关界面并移出与终端相连的安全工具。
(六)不要安装或运行来历不明的软件和程序。
(七)不要打开陌生人发送的电子邮件的附件或网站链接。
第八十九条
商业银行应将扫描查找假冒网站及其他针对网银的犯罪活动纳入日常工作程序,检查本行网页上对外链接的可靠性,并开辟专门渠道接受公众举报。发现问题后应立即采取防范措施,并通过本行网站及其他渠道向公众进行通报提示,同时向银监会报告。
第九章 审计与评估
第九十条
商业银行内部审计部门应至少每两年对网银进行一次审计,审计的范围至少应包括以下内容:
(一)管理制度的有效性与完备性;
(二)操作流程的合理性与完整性;
(三)制度和流程的执行情况以及操作的合规性;
(四)风险管理框架和管理策略的适用性;
(五)风险评估、监测和控制的有效性;
(六)客户资料和交易数据的完整性和保密性;
(七)系统的安全管理;
(八)业务连续性与应急管理;
(九)外包的管理;
(十)其他重要风险环节和机制的管理。
第九十一条
商业银行应至少每两年对网银进行一次安全风险评估,基于评估的结果,选择、设计和改进控制措施,制订切实可行的处置计划。评估应由银行内部独立于网银开发、运营和管理的部门,或由具备评估资质的外部专业机构进行。
第九十二条
商业银行选择外部评估机构进行网银安全风险评估时,应签订保密协议或在服务协议中明确保密条款。对于如客户资料、业务数据及商业机密等敏感信息,应在不影响评估客观性、有效性的前提下重点加强安全管理和控制。
第九十三条
商业银行网银安全风险评估的内容,应在电子银行安全评估指引的基础上,全面覆盖本指引所列主要安全风险点和控制措施,并在评估报告中提出改进建议。
第十章
监督管理
第九十四条
商业银行网银系统在投产及发生重大变更前,应遵循监管机构对于银行业金融机构重要信息系统投产及变更的报告要求。
第九十五条
商业银行与外部机构合作时,应在服务协议条款中明确商业银行和监管机构对协议范围内的服务内容进行监督和检查的要求。
第九十六条
商业银行如提供跨境网银服务,应考虑境内外法律法规和监管要求间的差异可能造成的风险,并将其纳入本机构的网银安全风险管理中。
第九十七条
商业银行在网银系统发生计划外服务中断或安全事件时,应按照重要信息系统突发事件应急管理规范的要求,向当地监管机构及时报告,并由监管机构按照规范要求进行处理。
第九十八条
商业银行发生可能影响其它银行业金融机构网银业务开展或对银行业产生区域性、整体性影响的网银安全事件,监管机构应及时发布风险提示,并根据事件处置需要,协助商业银行做好对外沟通协调和获得外部资源的保障支持。
第九十九条
对因安全防范存在严重缺失,导致客户重大资金损失,或导致客户敏感信息批量泄露并产生严重社会影响的,监管机构可责令商业银行对包括高级管理人员在内的责任人进行处罚,情节特别严重的,可暂停商业银行的网银业务。
第一百条
商业银行未经客户授权不得对外提供客户、账户和网银交易信息,国家法律法规许可的情况除外。监管部门应对商业银行的执行情况进行检查。
第一百零一条
监管机构原则上每两年对商业银行的网银风险情况进行一次检查,可采取非现场检查或现场检查的方式。在商业银行网银发生重大事件时,监管部门应派出事件调查组,核实事件的原因及处置过程,并提出相应的监管意见。
第十一章
附
则
第一百零二条
未设董事会的商业银行,应当由其经营决策机构履行本指引中董事会的有关网银风险管理职责。
第一百零三条
本指引由银监会负责解释、修订。第一百零四条
本指引自颁布之日起施行。
第二篇:保险公司风险管理指引
保险公司风险管理指引(试行)
各保险公司、保险资产管理公司,各保监局:
为强化保险公司风险管理,加强保险监管,提高风险防范能力,保监会制定了《保险公司风险管理指引(试行)》。现印发给你们,请各公司结合自身实际,认真贯彻落实。
特此通知
二○○七年四月六日
目录 第一章 总
则 第二章 风险管理组织 第三章 风险评估 第四章 风险控制
第五章 风险管理的监督与改进 第六章 风险管理的监管 第七章 附
则
第一章 总
则
第一条 为指导保险公司加强风险管理,保障保险公司稳健经营,根据《关于规范保险公司治理结构的指导意见(试行)》及其他相关法律法规,制定本指引。
第二条 本指引适用于在中国境内依法设立的保险公司和保险资产管理公司。
保险集团(控股)公司已经按照本指引规定建立覆盖全集团的风险管理体系的,经中国保监会批准,其保险子公司可以不适用本指引。
第三条 本指引所称风险,是指对实现保险经营目标可能产生负面影响的不确定性因素。
第四条 本指引所称风险管理,是指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。
第五条 保险公司应当明确风险管理目标,建立健全风险管理体系,规范风险管理流程,采用先进的风险管理方法和手段,努力实现适当风险水平下的效益最大化。
第六条 保险公司风险管理应当遵循以下原则:
(一)全面管理与重点监控相统一的原则。保险公司应当建立覆盖所有业务流程和操作环节,能够对风险进行持续监控、定期评估和准确预警的全面风险管理体系,同时要根据公司实际有针对性地实施重点风险监控,及时发现、防范和化解对公司经营有重要影响的风险。
(二)独立集中与分工协作相统一的原则。保险公司应当建立全面评估和集中管理风险的机制,保证风险管理的独立性和客观性,同时要强化业务单位的风险管理主体职责,在保证风险管理职能部门与业务单位分工明确、密切协作的基础上,使业务发展与风险管理平行推进,实现对风险的过程控制。
(三)充分有效与成本控制相统一的原则。保险公司应当建立与自身经营目标、业务规模、资本实力、管理能力和风险状况相适应的风险管理体系,同时要合理权衡风险管理成本与效益的关系,合理配置风险管理资源,实现适当成本下的有效风险管理。
第七条 保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统,提高风险管理的信息化水平。
保险公司应当统筹规划风险管理和业务管理信息系统,使风险信息能够在职能部门和业务单位之间实现集成与共享,充分满足对风险进行分析评估和监控管理的各项要求。
第八条 保险公司应当定期对高级管理人员和员工进行风险管理理念、知识、流程以及控制方式等内容的培训,增强风险管理意识,同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相结合,培育和塑造良好的风险管理文化。
返
回
第二章 风险管理组织
第九条 保险公司应当建立由董事会负最终责任、管理层直接领导,以风险管理机构为依托,相关职能部门密切配合,覆盖所有业务单位的风险管理组织体系。
第十条 保险公司可以在董事会下设立风险管理委员会负责风险管理工作。
风险管理委员会成员应当熟悉保险公司业务和管理流程,对保险经营风险及其识别、评估和控制等具备足够的知识和经验。
没有设立风险管理委员会的,由审计委员会承担相应职责。
第十一条 保险公司董事会风险管理委员会应当全面了解公司面临的各项重大风险及其管理状况,监督风险管理体系运行的有效性,对以下事项进行审议并向董事会提出意见和建议:
(一)风险管理的总体目标、基本政策和工作制度;
(二)风险管理机构设置及其职责;
(三)重大决策的风险评估和重大风险的解决方案;
(四)风险评估报告。
第十二条 保险公司可以设立由相关高级管理人员或者部门负责人组成的综合协调机构,由总经理或者总经理指定的高级管理人员担任负责人。风险管理协调机构主要职责如下:
(一)研究制定与保险公司发展战略、整体风险承受能力相匹配的风险管理政策和制度;
(二)研究制定重大事件、重大决策和重要业务流程的风险评估报告以及重大风险的解决方案;
(三)向董事会风险管理委员会和管理层提交风险评估报告;
(四)指导、协调和监督各职能部门和各业务单位开展风险管理工作。
第十三条 保险公司应当设立风险管理部门或者指定工作部门具体负责风险管理相关事务工作。该部门主要职责如下:
(一)对风险进行定性和定量评估,改进风险管理方法、技术和模型;
(二)合理确定各类风险限额,组织协调风险管理日常工作,协助各业务部门在风险限额内开展业务,监控风险限额的遵守情况;
(三)资产负债管理;
(四)组织推动建立风险管理信息系统;
(五)组织推动风险文化建设。
设有本指引第十二条规定的风险管理协调机构的,该部门为其办事机构。
第十四条 保险公司各职能部门和业务单位应当接受风险管理部门的组织、协调和监督,建立健全本职能部门或者业务单位风险管理的子系统,执行风险管理的基本流程,定期对本职能部门或者业务单位的风险进行评估,对其风险管理的有效性负责。
返
回
第三章 风险评估
第十五条 保险公司应当识别和评估经营过程中面临的各类主要风险,包括:保险风险、市场风险、信用风险和操作风险等。
(一)保险风险指由于对死亡率、疾病率、赔付率、退保率等判断不正确导致产品定价错误或者准备金提取不足,再保险安排不当,非预期重大理赔等造成损失的可能性。
(二)市场风险是指由于利率、汇率、股票价格和商品价格等市场价格的不利变动而造成损失,以及由于重大危机造成业务收入无法弥补费用的可能性。
(三)信用风险是指由于债务人或者交易对手不能履行合同义务,或者信用状况的不利变动而造成损失的可能性。
(四)操作风险指由于操作流程不完善、人为过错和信息系统故障等原因导致损失的可能性。
保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。
第十六条 保险公司风险管理部门应当与各职能部门和业务单位建立信息共享机制,广泛搜集、整理与风险管理相关的内外部信息,为风险评估奠定相应的信息基础。
第十七条 保险公司应当在广泛收集信息的基础上,对经营活动和业务流程进行风险评估。风险评估包括风险识别、风险分析、风险评价三个步骤。
风险识别是指识别经营活动及业务流程中是否存在风险以及存在何种风险。
风险分析是指对识别出的风险进行分析,判断风险发生的可能性及风险发生的条件。
风险评价是指评估风险可能产生损失的大小及对保险公司实现经营目标的影响程度。
第十八条 风险评估应当采用定性与定量相结合的方法。定量评估应当统一制定各风险的度量单位和风险度量模型,确保评估的假设前提、参数、数据来源和评估程序的合理性和准确性。
第十九条 保险公司进行风险评估时,应当对各种风险之间的相关性进行分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,对风险进行统一集中管理。
第二十条 风险评估由风险管理部门组织实施,必要时可以聘请中介机构协助实施。
第二十一条 保险公司应当对风险信息实行动态管理,及时识别新的风险,并对原有风险的变化进行重新评估。
返
回
第四章 风险控制
第二十二条 风险控制包括明确风险管理总体策略、制定风险解决方案和方案的组织实施等内容。
第二十三条 制定风险管理总体策略是指保险公司根据自身发展战略和条件,明确风险管理重点,确定风险限额,选择风险管理工具以及配置风险管理资源等的总体安排。
第二十四条 保险公司应当根据风险发生的可能性和对经营目标的影响程度,对各项风险进行分析比较,确定风险管理的重点。
第二十五条 确定风险限额是指保险公司根据自身财务状况、经营需要和各类保险业务的特点,在平衡风险与收益的基础上,确定愿意承担哪些风险及所能承受的最高风险水平,并据此确定风险的预警线。
第二十六条 保险公司针对不同类型的风险,可以选择风险规避、降低、转移或者自留等风险管理工具,确保把风险控制在风险限额以内。
第二十七条 保险公司应当根据风险管理总体策略,针对各类重大风险制定风险解决方案。风险解决方案主要包括解决该项风险所要达到的具体目标,所涉及的管理及业务流程,所需的条件和资源,所采取的具体措施及风险管理工具等内容。
第二十八条 保险公司应当根据各职能部门和业务单位职责分工,认真组织实施风险解决方案,确保风险得到有效控制。
返
回
第五章 风险管理的监督与改进
第二十九条 保险公司应当对风险管理的流程及其有效性进行检验评估,并根据评估结果及时改进。
第三十条 保险公司各职能部门和业务单位应当定期对其风险管理工作进行自查,并将自查报告报送风险管理部门。
第三十一条 保险公司风险管理部门应当定期对各职能部门和业务单位的风险管理工作进行检查评估,并提出改进的建议和措施。
第三十二条 保险公司风险管理部门应当每年至少一次向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容:
(一)风险管理组织体系和基本流程;
(二)风险管理总体策略及其执行情况;
(三)各类风险的评估方法及结果;
(四)重大风险事件情况及未来风险状况的预测;
(五)对风险管理的改进建议。
第三十三条 董事会或者其风险管理委员会可以聘请中介机构对保险公司风险管理工作进行评价,并出具评估报告。
返
回
第六章 风险管理的监管
第三十四条 保险公司应当及时向中国保监会报告本公司发生的重大风险事件。
第三十五条 保险公司应当按照本指引及偿付能力编报规则的要求,在年报中提交经董事会审议的风险评估报告。
第三十六条 中国保监会定期对保险公司及其分支机构的风险管理工作进行检查。检查内容主要包括:
(一)风险管理组织的健全性及履职情况;
(二)风险管理流程的完备性、可操作性和实际运行情况;
(三)重大风险处置的及时性和有效性。
第三十七条 中国保监会可以根据检查结果,对风险管理存在严重缺陷的保险公司出具风险提示函。保险公司应当按照风险提示函的要求及时提交整改方案,采取整改措施并提交整改情况报告。
返
回
第七章 附
则
第三十八条 本指引由中国保监会负责解释。
第三十九条 本指引自二○○七年七月一日起施行。
第三篇:电子银行安全评估指引(征求意见稿)
电子银行安全评估指引
(征求意见稿)
第一章 总则
第一条 为促进电子银行业务的健康发展,保证电子银行业务安全性评估的客观性、及时性、全面性和有效性,依据《中华人民共和国银行业监督管理法》、《中华人民共和国金融机构法》等法律法规和《电子银行业务管理办法》等监管规章,制定本指引。
第二条 电子银行的安全评估,是指对开展电子银行业务的金融机构在电子银行管理过程中的电子银行安全策略、内控制度、系统安全、客户保护等方面,进行的安全测试和风险管理能力等的综合安全考察与评价。
第三条 在中华人民共和国境内开展电子银行业务的金融机构以及利用境内的电子银行系统向境外提供电子银行服务的金融机构,都应定期对电子银行安全进行评估。
第四条 开展电子银行业务的金融机构可以利用外部专业化的评估机构对电子银行安全进行评估,也可以利用内部独立于电子银行业务运营管理部门的评估部门进行电子银行安全评估。
第五条 金融机构的电子银行安全评估工作应纳入金融机构风险管理的总体框架,由金融机构的风险管理委员会或相关机构直接负责。
第六条 金融机构的电子银行安全评估应接受中国银行业监督管理委员会(以下简称中国银监会)的监督指导。
第二章 安全评估机构
第七条 承担金融机构电子银行安全评估工作的机构,可以是外部专业化服务机构,也可以是金融机构内部具备相应条件的相对独立部门。
第八条 外部机构从事电子银行安全评估,应具备以下条件:
(一)具有较为完善的开展电子银行安全评估业务的管理制度和操作规程;
(二)制定了系统全面的内部评估手册或评估指导文件,内容应至少包括评估程序、评估方法和依据、评估标准等;
(三)拥有与电子银行安全评估相关的各类专业人才,了解国际和中国相关行业的行业标准;
(四)其他从事电子银行安全评估应当具备的条件。
第九条 金融机构内部部门从事电子银行安全评估,除应具备第八条规定的有关条件外,还应具备以下条件:
(一)从事电子银行安全评估的部门必须独立于电子银行业务系统开发部门和运营部门;
(二)从事电子银行安全评估的部门未直接参与过有关电子银行设备的选购工作。
第十条 中国银监会负责电子银行安全评估机构资格认定工作。电子银行安全评估机构资格认定工作,每年组织一次。
电子银行安全评估机构在从事金融机构电子银行安全评估业务之前,应向中国银监会申请对其资格进行认定。
第十一条 申请资格认定的电子银行评估机构,应在中国银监会公告的时限内提交以下材料(一式七份):
(一)电子银行安全评估资格认定申请报告;
(二)机构介绍;
(三)安全评估业务管理框架、管理制度、操作规程等;
(四)评估手册或评估指导文件;
(五)主要评估人员简历;
(六)中国银监会要求提供的其他文件和资料。
第十二条 中国银监会收到安全评估机构资格认定的完整材料后三个月内,组织有关专家和监管人员对申请材料进行评议,采用投票的办法决定电子银行安全评估机构是否达到了有关资质要求。
第十三条 中国银监会对评估机构资质评议后,出具《电子银行安全评估机构资格认定意见书》,载明评议意见,对评估机构的资格作出认定。
第十四条 中国银监会出具的《电子银行安全评估机构资格认定意见书》,仅供评估机构与开展电子银行业务的金融机构商恰有关电子银行评估业务时使用,不影响评估机构开展其他经营活动。
评估机构不得将《电子银行安全评估机构资格认定意见书》用于宣传或其他活动。
第十五条 经中国银监会评议并被认为达到有关资质要求的评估机构,每次资格认定的有效期为两年。
经评议未达到认定资格的,评估机构可在下一重新申请资格认定。
第十六条 在有效期内,电子银行安全评估机构如果出现下列情况,中国银监会将撤销已做出的评议和认定意见:
(一)评估机构管理不善,其工作人员泄露被评估机构秘密的;
(二)评估工作质量低下,评估活动出现重要遗漏的;
(三)未按要求提交评估报告,或评估报告中存在不实表述的;
(四)将《电子银行安全评估机构资格认定意见书》用于宣传和其他经营活动的;
(五)存在其他严重不尽职行为的。
第十七条 评估机构有下列行为之一的,中国银监会将在一定期限或无限期不承接评估机构的资格认定请求,银行业金融机构不应再委托该评估机构进行安全评估:
(一)与委托机构合谋,共同隐瞒在安全评估过程中发现的安全漏洞,未按要求写入评估报告;
(二)在评估过程中弄虚作假,编造安全评估报告;
(三)泄漏银行机密信息,或不当使用银行机密资料;
银行业金融机构内部评估机构出现以上情况之一的,中国银监会将按照有关法律法规和行政规章的规定,对相关责任人进行处罚。
第十八条 中国银监会认可的电子银行安全评估机构,以及有关资格认定撤销决定等信息,仅向开展电子银行业务的各金融机构通报,不向社会公布。
第十九条 金融机构不得向第三方泄露中国银监会的有关通报信息,影响外部机构的其他业务活动,也不得将有关信息用于与电子银行安全评估活动无关的其他业务活动。
第二十条 开展电子银行业务的金融机构可以在中国银监会认可的评估机构
范围内,自主选择安全评估机构,签订书面服务协议。
金融机构选择内部部门作为评估机构时,应由电子银行运营部门与评估部门签订评估责任确定书。
第二十一条 金融机构与评估机构签订的服务协议中,必须含有明确的保密条款和保密责任。
第二十二条 安全评估机构应根据评估协议的规定,认真履行评估职责,真实评估被评估机构电子银行运营的安全状况。
第三章安全评估的实施
第二十三条 评估机构在开始电子银行安全评估之前,应就评估的范围、重点、时间与要求等问题,与被评估机构进行充分的沟通,制定评估计划,由双方签字认可。
第二十四条 依据评估计划,评估机构进场对委托机构的电子银行安全进行评估。电子银行安全评估应真实、全面地评价电子银行系统的安全性。
第二十五条 电子银行安全评估至少应包括以下内容:
(一)安全策略;
(二)内控制度建设;
(三)风险管理状况;
(四)系统安全性;
(五)电子银行业务运行连续性计划;
(六)电子银行业务运行应急计划;
(七)电子银行风险预警体系;
(八)其他重要安全环节和机制。
第二十六条 电子银行安全策略的评估,至少应包括以下内容:
(一)安全策略制定的流程与合理性;
(二)系统设计与开发的安全策略;
(三)系统测试与验收的安全策略;
(四)系统运行与维护的安全策略;
(五)系统备份与应急相关策略。
评估机构对金融机构安全策略的评估,不仅要评估安全战略、规章制度和程序是否存在,还要评估这些制度是否能得到贯彻执行,是否能做到及时更新,是否能全面覆盖电子银行业务系统。
第二十七条 电子银行内控制度的评估,应至少包括以下内容:
(一)高级管理层对电子银行安全的认知能力与水平;
(二)安全监控机制的建设与运行;
(三)内部审计制度的建设与运行。
第二十八条 电子银行风险管理状况的评估,应至少包括以下内容:
(一)电子银行管理机构设置的合理性与其他部门的协调性;
(二)电子银行管理部门主要负责人对电子银行的熟知程度;
(三)管理人员配备与培训情况;
(四)电子银行风险管理的规章制度与操作规定、程序等;
(五)电子银行业务风险管理状况;
(六)业务外包管理制度建设与管理状况。
第二十九条 电子银行系统安全性的评估,应至少包括以下内容:
(一)物理安全;
(二)数据通讯安全;
(三)应用系统安全;
(四)密钥管理;
(五)客户信息认证与保密;
(六)入侵监测机制和报告反应机制。
评估机构应突出对数据通讯安全和应用系统安全的评估,客观评价金融机构是否采用了合适的加密技术、合理设计和配置了服务器和防火墙,银行内部运作系统和数据库是否安全等,以及金融机构是否制定了控制和管理修改电子银行系统的制度和控制程序,并能保证各种修改得到及时测试和审核。
第三十条 电子银行业务运行连续性计划,应至少包括以下内容:
(一)电子银行保障业务连续运营的设备和系统能力;
(二)保证业务连续运营的制度安排和执行情况;
第三十一条 电子银行业务运行应急计划,应至少包括以下内容:
(一)电子银行应急制度建设和执行情况;
(二)电子银行应急系统建设;
(三)定期、持续性的检测和演练情况;
(四)应对意外事故或非法攻击的能力。
第三十二条 评估机构进行安全评估的方式,包括审核有关资料、与相关人员谈话等,但在电子银行安全性评估时,必须采取至少一种方法对系统进行测试。
第三十三条 评估机构在进行安全评估时,应根据委托机构的实际情况,确定不同评估内容对电子银行总体风险影响程度的权重,对每项评估内容进行评分,综合计算出所评估机构电子银行的风险等级。
第三十四条 评估完成后,评估机构应及时撰写评估报告,并于评估完成后一个月内向委托机构提交由其法定代表人签字认可的评估报告。
第三十五条 评估报告应至少包括以下内容:
(一)评估的时间、范围及其他协议中重要的约定;
(二)评估的总体框架、程序、主要方法及主要评估人员介绍;
(三)不同评估内容风险权重的确定标准,风险等级的计算方法,以及风险等级的定义;
(四)评估内容与评估活动描述;
(五)评估结论;
(六)其他需要说明的问题;
(七)主要术语定义和所采用的国际或国内标准介绍(可作为附件);
(八)评估工作流程记录表(可作为附件);
(九)参加评估人员名单(可作为附件)。
在评估结论中,评估机构应采用量化的办法,表明被评估机构电子银行的风险等级,并说明被评估机构电子银行安全管理中存在的主要问题与隐患,并说明整改建议。
第三十六条 评估报告完成并提交委托机构后,如需修改,应将修改的原因、依据和修改意见作为附件附在原报告之后,不得直接修改原报告。
第四章 安全评估活动的管理
第三十七条 金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行进行安全评估。
第三十八条 金融机构获准开办电子银行业务后,应当至少每年对电子银行进行一次安全评估。
有下列情形之一的,应立即组织安全评估:
(一)由于安全漏洞导致系统被攻击瘫痪,修复完善的;
(二)电子银行系统进行重大的更新和升级的;
(三)电子银行的基础设施出现重大改变的;
(四)基于电子银行安全管理需要应即时评估的。
第三十九条 评估机构的选择应由金融机构的高级管理层最终确定。评估机构确定后,金融机构必须与评估机构签定评估协议,明确界定评估的任务、双方的权利和义务。
评估协议应由金融机构的高级管理层签署。
第四十条 金融机构原则上只能确定一个评估机构进行评估,若有多个评估机构参与评估,金融机构必须确定一个主要的评估机构协调总体评估工作,负责总体评估报告的制作。
金融机构将电子银行的不同系统委托给不同的评估机构进行安全评估,应当明确每个评估机构的安全评估范围,保证不同的评估范围之间没有遗漏。
第四十一条 金融机构应在签署评估协议后2周内,将评估机构简介、拟采用的评估方案和评估步骤等,报送中国银监会。
第四十二条 中国银监会根据监管工作的需要,可派员参加金融机构电子银行安全评估工作,但不作为正式评估人员,不提供评估意见。
第四十三条 评估机构应本着客观、公正、真实和自主的原则,开展评估活动,并严格保守在评估过程中获悉的商业机密。
第四十四条 在评估过程中,委托机构和评估机构之间应建立信息保密工作机制。
(一)评估过程中,调阅相关资料、复制相关文件或数据等,都应建立登记、签字制度;
(二)调阅的文件资料应在指定的场所阅读,不能复印,不得带出指定场所;
(三)复制的文件或数据不应带出工作场地,如确需带出的,必须详细登记带出数据的原因、时间、责任人等;
(四)评估过程中废弃的文件、材料和不再使用的数据,应立即予以销毁或删除;
(五)评估工作结束后,双方应就有关机密数据、资料等的交接情况签署说明。
第四十五条 金融机构在收到评估机构的评估报告一个月内,应将评估报告抄报中国银监会。
金融机构报送评估报告时,可对评估报告中的有关问题作必要的说明。
第四十六条 未经监管部门批准,电子银行安全评估报告不得作为广告宣传资料使用,也不得提供给除监管部门以外的第三方机构。
第四十七条 对未按有关要求进行的安全评估,或者评估程序、方法和评估报告存在重要缺陷的安全评估,中国银监会可以要求金融机构进行重新评估。
第四十八条 中国银监会根据监管工作的需要,可以自己组织或委托评估机构对电子银行系统进行安全评估,金融机构对于中国银监会组织的安全评估应予以配合。
第四十九条 中国银监会根据监管工作的需要,可直接向评估机构了解其评估的方法、范围和程序等。
第五十条 对于评估报告中所反映出的问题,金融机构应采取有效的措施加以纠正。
第五章 附则
第五十一条 本指引由中国银监会负责解释。
第五十二条 本指引自发布之日起施行。
第四篇:商业银行流动性风险管理指引
商业银行流动性风险管理指引
(第2次征求意见稿)
第一章 总则
第一条 为加强商业银行的流动性风险管理,维护商业银行安全稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律和行政法规,制定本指引。
第二条 在中华人民共和国境内设立的中资商业银行、外商独资银行、中外合资银行、外国银行分行适用本指引。
第三条 本指引所称流动性风险是指商业银行虽然有清偿能力,但无法获得充足资金或无法以合理成本获得充足资金以应对资产增长或到期债务支付的风险。
流动性风险可以分为融资流动性风险和市场流动性风险。融资流动性风险是 指商业银行在不影响日常经营或财务状况的情况下,无法有效满足资金需求的风险;市场流动性风险是指由于市场深度不足或市场动荡,商业银行无法以合理的市场价格出售资产以获得资金的风险。
第四条 流动性风险管理是识别、计量、监测和控制流动性风险的全过程。商业银行应当坚持审慎性原则,充分识别、有效计量、持续监测和适当控制在各个业务环节中的流动性风险,确保商业银行无论在正常经营环境中还是在压力状态下,都有充足的资金应对资产的增长和到期债务的支付。
第五条 中国银行业监督管理委员会(以下简称银监会)依法对商业银行的流动性风险和流动性风险管理实施监督管理。银监会综合运用多种监管手段,督促商业银行建立健全流动性风险管理架构,有效识别、计量、监测和控制流动性风险,维持充足的流动性水平以满足各种资金需求和应对不利的市场状况。当商业银行的流动性风险管理体系存在缺陷或者出现流动性风险时,银监会应当及时采取措施,最大限度地降低流动性风险对金融市场的影响,维护银行体系安全、稳健运行。
第二章:流动性风险管理体系
第六条 流动性风险管理体系是商业银行风险管理体系的组成部分。流动性风险管理体系应当与本行总体发展战略和整体风险管理体系相一致,并与本行的规模、业务性质和复杂程度等相适应。商业银行实施流动性风险管理,应适当考虑流动性风险与其他风险的相关性,并协调流动性风险管理与其他类别风险管理 1 的政策和程序。
第七条 流动性风险管理体系应包括以下基本要素:
(一)董事会及高级管理层的有效监控;
(二)完善的流动性风险管理策略、政策和程序;
(三)完善的流动性风险识别、计量、监测和控制程序;
(四)完善的内部控制和有效的监督机制;
(五)有效完善的信息管理系统;
(六)有效的危机处理机制。
第一节 流动性风险管理的治理结构
第八条 商业银行应建立完善的流动性风险管理治理结构。商业银行应根据政策的制定、执行、监测和监督职能相分离原则,明确董事会及其专门委员会、监事会(监事)、高级管理层及相关部门在流动性风险管理中的作用、职责及报告路线,制定适当的考核及问责机制,以提高流动性风险管理的有效性。
第九条 商业银行的董事会承担流动性风险管理的最终责任,应履行以下职责:
(一)审核批准商业银行的流动性风险管理架构;
(二)审核批准商业银行流动性风险承受度、流动性风险管理策略、重要政策、程序和重要的流动性风险限额,并根据风险管理需要及时对以上内容进行审议修订,审议修订工作至少每年一次;
(三)明确流动性风险管理相关事项的审核部门和审批权限,如具体策略、政策、程序和限额等;
(四)监督高级管理层在风险管理架构内对流动性风险进行适当管理和控制;
(五)持续关注银行的流动性风险状况,定期获得关于流动性风险水平的报告,及时了解流动性风险的重大变化和潜在转变。
(六)对商业银行流动性风险管理信息系统的完整性、准确性和有效性承担最终责任;
(七)批准流动性风险应急方案;
(八)决定与流动性风险相关的信息披露内容;
(九)法律、法规规定的其他职责。
第十条 董事会可以授权其下设的专门委员会履行本法第九条规定的部分职能,获得授权的委员会应当定期向董事会提交有关报告。
第十一条 商业银行的高级管理层负责流动性风险的具体管理工作,应履行 2 以下职责:
(一)根据商业银行的总体发展战略测算其风险承受度,并提请董事会审批;根据总体发展战略及内外部经营环境的变化及时提出对可承受流动性风险水平进行修订的建议,并提请董事会审议。
(二)根据董事会批准的流动性风险承受度,制定流动性风险管理策略、政策、程序、限额,其中策略、重要的政策、程序和限额需提请董事会审批后执行。根据风险管理需要及时对以上内容进行修订,修订工作至少每年进行一次;
(三)根据董事会批准的流动性风险管理策略、政策、程序和限额,对流动性风险实施日常监察和管理,制定并监督执行有关流动性风险管理的内部控制制度;
(四)充分了解并定期评估本行流动性风险水平及管理状况,向董事会定期
(五)建立完善的管理信息系统,以支持流动性风险的识别、计量、监测和控制工作;
(七)定期组织压力测试和情景分析,以评估流动性风险管理指标和限额的合理性;
(八)制定流动性风险应急计划,并提请董事会审批。根据风险管理需要及时进行评估和修订,评估修订工作至少每年进行一次;
(九)识别并了解可能触发应急计划的事件,并建立适当机制对这些触发事件进行监测;
(十)法律、法规规定的其他职责。
第十二条 商业银行应指定专门人员或部门负责流动性风险管理工作。负责流动性风险管理的部门应当职责明确,并与承担流动性风险的业务部门保持相对独立性。
第十三条 商业银行应投入足够的资源以保证流动性风险管理的有效性,不得因业务发展和市场竞争而破环流动性风险管理、控制功能和限额体系、流动性缓冲机制的完整性。
第十四条 监事会(监事)应对董事会及高级管理层在流动性风险管理中的履职情况进行监督。
第二节 流动性风险管理政策和程序
第十五条 商业银行应根据本行经营战略、业务特点和风险偏好测定自身流动性风险承受度,并以此为基础制定流动性风险管理策略、政策和程序。汇报本行流动性风险状况,及时汇报流动性风险的重大变化或潜在转变;
风险承受度可以采用定量方式表达,如在正常情况和压力状况下银行可以承受的未经缓释的流动性风险水平。
第十六条 商业银行应从持续、前瞻的角度制定书面的流动性风险管理策略、政策和程序,并在综合考虑业务发展、技术更新及市场变化等因素的基础上及时对流动性风险管理策略、政策和程序进行评估和修订。评估和修订工作最少每年进行一次。
第十七条 流动性风险管理策略、政策和程序应涵盖银行的表内、外各项业务,以及境内、外所有可能对其流动性风险产生重大影响的业务部门、分支机构和附属公司,并包括正常情况及压力状况下的流动性风险管理。
第十八条 商业银行流动性风险管理策略应充分考虑银行的组织结构、主要业务条线、产品及市场的广度和多样性、以及母国及东道国的监管要求等因素。
第十九条 流动性风险管理策略应明确流动性风险管理的整体模式,并列明有关流动性风险管理特定事项的具体政策,包括但不限于以下内容:
(一)整体的流动性管理政策;
(二)流动性风险的识别、计量和报告体系;
(三)流动性风险管理程序;
(四)资产与负债组合;
(五)流动性风险限额;
(六)在正常及压力情况下的现金流量分析;
(七)不同货币、不同国家、跨境、跨机构及跨业务条线的流动性管理方法;
(八)导致流动性风险增加的潜在因素及相应的监测流程;
(九)压力测试和情景分析;
(十)应急计划。
第二十条 商业银行应制定一套完善、适当的程序以识别、计量、监测和管控流动性风险,并根据业务发展及风险管理政策的变化及时审核与修订。
第二十一条 商业银行应根据本行的规模和业务复杂程度选择流动性风险管理模式,管理模式可以是集中、分散或二者相结合。
无论商业银行采用何种管理模式,都应制定适当的策略、政策和程序,以确保对总体流动性风险水平和各分支机构、附属机构、各业务条线流动性水平进行有效识别、计量、监测和控制,并确保遵守各有关流动性风险监管要求。
第二十二条 商业银行应根据监管要求和内部流动性风险管理政策设定流动性风险限额,并根据限额的性质确定相应的监测频度。
商业银行在确定限额时可参考以下因素:资产负债表的结构,对限额的利用程度,对业务发展的评估,资产质量、融资策略,管理经验,市场流动性等。
第二十三条 商业银行应针对流动性风险管理建立明确的内部评价考核机制,将各主要业务条线形成的流动性风险与其收益挂钩,从而有效地控制整个商业银行的流动性风险水平。条件成熟的银行可建立内部转移定价机制。
第二十四条 商业银行在引入新产品、新机构、新业务部门和新技术手段前,应在可行性研究中对其对流动性风险产生的影响进行充分评估,并制定相应措施。引入并运行后,应加强日常监测,定期评估相应措施的有效性,并根据需要及时进行调整。
第二十五条 商业银行应制定适当的政策、程序和限额以管理总分行之间、分行之间、总分行与附属机构之间以及附属机构之间的资金流动。
第二十六条 外国银行分行无论是否由总行集中进行流动性管理,都应针对在华分行制定独立的流动性风险管理政策、程序和限额,包括监察本地流动性风险的职责及向总行汇报的机制。
第二十七条 商业银行在设立筹备期内,应完成流动性风险管理体系建设工作。开业后,商业银行应及时将经董事会批准的流动性风险承受度、流动性管理策略、重要政策、程序和限额及其修订情况向监管部门报备。
第二十八条 原则上流动性风险管理应按币种分别进行,但在该币种可以自由兑换且业务量较小、对本行流动性风险水平及整体市场影响都较小的情况下,商业银行可按照重要性原则合并管理。在目前的市场条件下,商业银行至少应按本、外币分别识别、计量和监测流动性风险。
对外币实行合并管理的,应向监管部门报备。
第三节 内部控制
第二十九条 商业银行应制定适当的内部控制制度以确保流动性风险管理程序的完整和有效。有效的流动性风险管理内控体系应至少包括以下内容:
(一)良好的内控环境;
(二)充分的程序以识别、计量和评估流动性风险;
(三)完善的信息管理系统;
(四)根据业务发展和市场变化适时更新有关政策和程序。
第三十条 商业银行应将流动性风险管理纳入内部审计的范畴,定期审查和评价流动性风险管理体系的充分性和有效性。内部审计应涵盖流动性风险管理的所有环节,包括但不限于以下内容:
(一)相关的管理架构、内控制度和实施程序是否足以识别、计量、监测和控制流动性风险;
(二)有关流动性风险管理的信息系统是否完善;
(三)有关流动性风险控制的风险限额是否适当;
(四)进行现金流量情况分析和压力测试的基本假设是否适当;
(五)有关流动性风险管理的信息报告是否准确、及时、有效;
(六)是否严格执行既定的流动性风险管理政策和程序。
第三十一条 内审人员应具有独立性,并掌握必要的专业知识和技能以确保对流动性风险管理体系实施独立、充分、有效的审计。
第三十二条 内部审计结果应直接报告董事会,并根据有关规定及时报告监管部门。
董事会应根据内部审计的结果及时调整和完善有关流动性风险管理的政策和程序,并督促高级管理层针对内部审计发现的问题采取及时有效的整改措施。内部审计部门应适时对整改措施的实施情况进行后续审计,并及时向董事会提交审计报告。
第三十三条 有海外分支机构的商业银行,应针对银行整体及分国别的流动性风险管理分别进行审计。
第四节 管理信息系统
第三十四条 商业银行应建立充分、适当的管理信息系统,以便准确、及时、持续地计量、监测、管控和汇报流动性风险状况。管理信息系统应包括但不限于完成以下任务:
(一)按设定的期限每日计算银行的现金流量及期限错配情况,并可根据银行的流动性风险管理模式分币种、按银行整体或按机构、业务条线分别进行计算和分析;
(二)按法规和银行内部管理的要求计算有关流动性风险的比率和限额,并根据需要适时进行监测和控制;
(三)能及时、有效地对银行大额资金流动进行实时监测和控制;
(四)适时报告银行所持有流动性资产的构成和市场价值;
(五)定期核查是否符合已有的流动性风险管理政策和限额;
(六)能及时地、有前瞻性地反映银行的流动性风险发展趋势,以便董事会和高级管理层准确评估银行的流动性风险水平;
(七)能根据假设情景及限制条件实施压力测试。
第三十五条 管理信息系统应能确保董事会、高级管理层及相关部门适时了解以下有关流动性风险管理的事项:
(一)银行现金流量分析;
(二)可动用的流动性资产及资产变现可能性分析;
(三)资金来源及资金运用的集中度情况;
(四)在各类市场中的融资能力
(五)可能引起资产负债波动因素的变化趋势;
(六)流动性风险管理法定指标、政策、限额及风险承受度的执行情况;
(七)其他流动性风险管理中应予关注的事项。
第五节 信息披露
第三十六条 商业银行应定期披露有关流动性风险管理的情况。商业银行披露的内容包括但不限于:
(一)流动性风险管理体系和治理结构,其中应特别说明董事会、专门委员会、高级管理层及相关部门的职责和作用;
(二)流动性风险管理策略和重要政策;
(三)流动性风险管理模式;
(四)识别、计量和监测流动性风险的主要方法和程序;
(五)流动性风险状况的简要分析和说明、能反映其流动性状况的有关指标;
(六)分析影响流动性的因素;
(七)有关压力测试情况的介绍和说明。
第三十七条 在出现流动性危机时,商业银行应适时披露情况说明等资料以提高交易对手、客户及公众的信心,从而最大限度地减少信息不对称可能给银行带来的不利影响。
第三章:流动性管理方法和技术 第一节 资产及负债的流动性风险管理
第三十八条 流动性风险管理是资产负债管理的一部分。在银行确定资产负债结构时需要考虑流动性风险管理,加强资产的流动性和融资来源的稳定性。第三十九条 商业银行资产负债管理应遵循分散性原则。商业银行应制定具体的、明确的资产、负债分散化政策,使资金运用及来源结构向多元化发展,提升商业银行应对市场波动的能力。
第四十条 商业银行应逐步建立集中度限额管理制度,针对流动性资产负债的品种、币种、交易对手、市场、行业、期限、地域等进行集中度限额管理,防止由于资产和负债过度集中引发的流动性风险。
商业银行制定资产负债流动性集中度限额时,同时应该考虑资产负债的到期情况、是否有抵押、债务提供者或借款是否有内部关联以及资产负债本身的历史表现。
第四十一条 商业银行资产负债管理应遵循审慎性原则,商业银行应审慎评估市场风险、信用风险、操作风险等对资产负债业务流动性的影响,密切关注不 同风险间的转化和传递。
(一)商业银行在对资产变现能力进行评估时,要考虑市场容量、交易对手的风险,及其它因素对资产可交易性、资产价格产生的影响。
(二)商业银行确定资产流动性组合时应注意以下事项,以避免资产组合在资产类别、交易对手、地域及经济行业方面承受过度的市场及其他风险。
1、市场的深度及流通程度;
2、持有某债券资产占该债券总量的百分比;
3、债券、票据等资产的信用评级和利用该资产在公开市场或银行间同业拆借市场借取资金的可能性。
(三)商业银行应定期监测交易对手和自身的偿债能力指标状况,当相关指标显示交易对手偿债能力下降时,要及时调整对交易对手的融资授信额度;当相关指标显示自身偿债能力下降时,需要及时调整资产负债结构,提高债务清偿能力。
(四)商业银行应加强未提取的贷款承诺、信用证、保函、银行承兑汇票等或有资产与或有负债管理,监测相关客户信用状况、偿债能力、财务状况,了解商业银行因承兑事项可能发生的垫款和客户可提取的贷款承诺带来的流动性需求,并纳入流动性缺口管理。
(五)商业银行应关注负债的稳定性。
1、商业银行应通过提高核心负债占总负债的比重,提高流动性来源的稳定性,并减少对波动较大的债务的依赖。
2、商业银行应通过优质服务建立与资金来源提供者的关系,并持续关注大额资金提供者的风险状况,定期监测大额资金提供者(如最大十户客户存款)及融资提供者在本行存款的情况,也可以制定存款(或融资)集中程度的触发比率。第四十二条 发行股票和债券是商业银行补充中长期流动性的重要手段,有助于改善期限结构错配状况。商业银行应关注资本市场变化,评估通过发行股票或可转换债券等补充流动性的能力与成本。
第二节 现金流量管理
第四十三条 现金流量管理是识别、计量和监测流动性风险的一种重要工具,商业银行通过计量、监测、控制现金流量和期限错配情况,来发现融资差距和防止过度依赖短期流动性供给。
第四十四条 商业银行将表内外业务可能产生的未来现金流按照一定方法分别计入特定期间的现金流入和现金流出,以现金流入减现金流出取得现金流期限错配净额,并通过累计方式计算出一定期限内的现金流错配净额。
第四十五条 商业银行现金流错配净额计算应涵盖表内外所有资产及负债,8 并按币种形成现金流量报告。
商业银行高级管理层可根据重要性原则选定部分现金流量极少、发生频率低的表内外资产及负债项目不纳入现金流错配净额的计算。该政策需经董事会或其授权专门委员会审核批准,并以书面文件形式记录在案。高级管理层应定期评估该安排的适当性,并及时提出修订意见。
第四十六条 未来现金流可分为确定到期日现金流和不确定到期日现金流。确定到期日现金流系指所有来自外部负债和即将到期资产中有明确到期日的现金流。明确到期日现金流应根据其确切到期日计算。
不确定到期日现金流系指商业银行在到期日现金流不能完全反映流动性风险,或者包括活期存款在内的负债没有明确到期日情况下,商业银行通过行为调整等方法测算的现金流。不确定到期日现金流的计算必须遵循审慎原则。
第四十七条 现金流期限错配分析以短期为重点,但鼓励商业银行开展中期乃至长期的期限错配分析,以及早发现潜在流动性风险。
第四十八条 商业银行应以其融资能力和风险承受度为基础设定现金流期限错配限额(简称现金流限额)。现金流限额应由专门部门设定,并由董事会或由其授权部门审核,根据需要至少每年修订一次。
第四十九条 商业银行应保证每一期限内的现金流错配净额应低于现金流限额,现金流限额可以考虑按以下步骤计算:
(一)商业银行应至少预测其未来确定时间段内融资能力,尤其是来自银行或非银行的批发融资能力,并依压力测试情况下的调减系数对上述预测进行适当调整。
(二)商业银行采取审慎方法计算出售全部或部分无障碍流动性资产如政府和中央银行债券所产生的流动性增项。
(三)商业银行计算现金流量限额时应将或有负债中备用融资额度等作为增项,同时将或有资产中未提取的贷款承诺等作为减项。
(四)商业银行应根据以上步骤计算确定时间段内的现金流量理论限额。为计算更短期限直至隔夜现金流限额,商业银行可以按审慎原则和一定方法计算出每日的限额。
第五十条 商业银行应依审慎原则从紧设定现金流限额,确保有效实施,所有超限额情况都应依规定程序提前向资产负债管理委员会或类似机构申请,经批准后实施。商业银行应确保所有超限额情况均有书面记录,并将所有事先批准申请提前报告资产负债管理委员会或类似机构。
商业银行应对所有未经批准超限额情况实施调查,调查应包括业务部门在内的所有相关部门和人员,并根据调查结果采取有效措施确保现金流在规定期限内 9 恢复至规定限额内,并对任何故意行为给予处分。
第五十一条 现金流限额测算期至少为一个月,鉴于严重的流动性风险问题对市场的影响经常会超过一个月,鼓励商业银行按更长时间段进行测算。
第五十二条 对于不确定到期日现金流原则上应全部计入当日到期资产及负债,但在商业银行能够证明所用测算方法遵循审慎原则并经监管部门审核的情况下,商业银行可对这部分现金流测算进行行为调整。
行为调整既可以是以历史经验为参考,按照资产及负债存量的一定比例测算,也可以是根据充分的历史数据建立模型进行测算。商业银行所使用的测算方法须与其业务性质和复杂程度相适应。
第五十三条 对于不确定到期日现金流测算所使用的行为调整假设要进行充分论证,并经董事会或其授权的专门委员会审核批准后方可使用。所有模型化的假设条件及模拟情况必须书面记录,并可以经受回溯检测。高级管理层应定期对行为调整假设、回溯检查进行评估,以便适应商业银行的发展和外部环境的变化及时做出调整。
第三节 压力测试
第五十四条 商业银行流动性管理应通过压力测试分析银行承受压力事件的能力,考虑并预防未来可能的流动性危机,以提高在流动性压力情况下履行其支付义务的能力。
第五十五条 商业银行应针对影响单个银行或整个银行业的各种情景至少每年进行一次常规压力测试。在必要时应针对未来可能发生的压力情景进行临时性、专门压力测试。商业银行应根据压力测试结果对流动性管理策略、政策和限额进行调整,建立有效的应急预案。
第五十六条 商业银行可以针对单个机构和整个市场设定不同的压力情景。具体压力情景设立可结合银行本身业务特点、复杂程度,针对流动性风险集中的产品、客户和市场设定情景实施压力测试。
针对单个机构压力情景的假设条件包括但不限于:
(一)流动性资产价值的侵蚀;
(二)零售存款的大量流失;
(三)批发性融资来源的可获得性下降;
(四)融资期限的缩短;
(五)交易对手要求追加保证金或担保;
(六)与新开发的复杂产品和交易相关的流动性损耗;
(七)信用评级下调;
(八)母行出现流动性危机的影响。针对整个市场压力情景的假设条件包括但不限于:
(一)市场流动性的突然下降;
(二)对外汇可兑换性以及进入外汇市场的限制的变化;
(三)对中央银行融资工具的渠道的变化;
(四)银行支付结算系统的突然崩溃。
第五十七条 商业银行压力测试应基于专业判断,并在可能情况下,对以往影响银行或市场的类似流动性危机情景进行回溯分析。
所有压力测试情景、条件假设、结果和回溯分析应有书面记录,并报董事会或其授权机构审核确认。
第五十八条 商业银行压力测试应在并表基础上分币种实施,并可针对流动性转移受限等特殊情况对有关地区分行或子行单独实施压力测试。
第五十九条 商业银行应明确设立危机情况下抵御危机的最短生存期,最短不低于一个月,并采取有效措施维持该最短时间内业务融资的能力,直到应急资金到位。
第六十条 商业银行压力测试应全面考虑影响流动性风险的各种因素,包括但不限于以下内容:
(一)假设情景对银行自身以及对所在集团的影响;
(二)政治风险、国家风险和汇兑等限制
(三)资产变现时间及折让程度
第六十一条 商业银行应确保不同压力测试情况下在最短生存时间内现金净流量为正值。如压力测试结果为负值,商业银行应立即采取有效措施提高银行流动性水平。
第六十二条 商业银行应定期向监管部门报告压力测试情况,包括所有压力测试情景、条件假设、结果和回溯分析,及根据压力测试结果对流动性风险管理策略、政策、程序、限额和应急预案的调整情况。
商业银行因特殊原因不能实施压力测试,经银行业监管部门批准后可以暂缓实施。
第四节 应急计划
第六十三条 商业银行应制订并定期更新应急计划。商业银行应急计划应与银行的复杂程度、风险水平、业务、产品和组织架构相匹配,并根据经营和现金流量管理情况设定并监控银行内外部流动性预警指标以分析银行所面临的潜在流动性风险。
第六十四条 商业银行应按照正常市场条件和压力条件分别制定流动性应 急计划,应涵盖银行流动性发生临时性和长期性危机的情况,并预设触发条件及实施程序。
应急计划至少应包括一种银行本身评级降至“非投资级别”的极端情况。应急计划应说明在这种情形下银行如何识别和优化融资渠道和出售资产以减少融资需求。设定的情形包括但不限于:
(一)流动性临时中断,如突然运作故障、电子支付系统出现问题或者物理上的紧急情况使银行产生短期融资需求。
(二)流动性长期变化,如因银行评级调整而产生的流动性问题。
(三)当母行出现流动性危机时,防止流动性风险传递的应对措施。
第六十五条 应急计划通过以下三种方式强化实现流动性管理的最终目标:
(一)保持适量的流动资产;
(二)度量并预测不同情形下银行融资需求;
(三)管理融资渠道。
第六十六条 商业银行应急计划应包括资产方流动性管理策略和负债方流动性管理策略,其中资产方流动性管理策略包括但不限于:
(一)变现多余货币市场资产
(二)出售原定持有到期的证券
(三)在市场上出售流动性证券
(四)出售长期资产、固定资产或某些业务条线
(五)在相关贷款文件中加入证券化或转让条款以便出售流动性较低的资产
负债方融资管理策略包括但不限于:
(一)将本行与集团内其他银行、非银行关联企业融资策略合并考虑
(二)建立融资总体定价策略
(三)制定利用非传统融资渠道的策略
(四)制定零售和批发客户提前支取和解约政策
(五)使用央行信贷便利政策
第六十七条 银行间同业拆借市场是商业银行获取流动负债的重要来源。商业银行应根据经验评估融资能力,关注自身的信用评级状况,定期测试自身在市场借取资金的能力,并将每日及每周的融资需要限制在该能力范围以内,防范交易对手因违约或违反重大的不利条款要求提前偿还借款的风险。
第六十八条 商业银行应急计划应区分集团层次和附属机构分别实施,并可以考虑针对主要业务币种和全球主要区域制订专门的应急计划。如果某些国家或地区法律法规有限制,使得银行集中实施流动性管理不可操作,则这些地区分机构应制订专门的应急计划。
第六十九条 商业银行管理层应定期向董事会报告流动性风险情况和应急计划。必要情况下,应由董事会成员领导并负责应急计划的制定和实施。
第七十条 商业银行应急计划应定期更新,并至少每年由董事会或其授权机构评估一次。商业银行应不定期对应急计划进行演习以确保各项计划措施在紧急情况下的顺利实施。商业银行应于每年4月底前将本行应急计划及其更新、演习情况报监管部门。
第四章 流动性风险监督管理
第一节:原则
第七十一条 商业银行应根据本指引要求,建立和完善与银行业务特点、规模及复杂程度相适应的流动性风险管理架构。鼓励公司治理完善、信息系统先进、数据积累合格、管理水平较高的商业银行采用先进方法管理流动性风险。
第七十二条 银监会在并表基础上对商业银行的整体流动性风险进行考核。商业银行在境外设立的分支机构、子公司应满足东道国监管当局对流动性风险管理的要求。银监会根据我国及东道国法律环境、监管要求及货币管制政策等因素决定是否对境外分支机构、子公司的流动性进行单独考核。
银监会在对外国银行分行、外商独资银行和中外合资银行的流动性风险进行考核时,充分考虑其总行或母行的流动性风险管理政策及母国监管当局流动性监管水平对其的影响。
第七十三条 银监会按本、外币分别考核商业银行流动性风险,并有权根据商业银行外汇业务规模以及对市场的影响按具体币种单独考核商业银行流动性风险。
第二节 监管程序
第七十四条 银监会采取以风险为本的监管模式,对商业银行整体流动性状况及流动性风险管理框架进行综合评价。评价通过现场检查和非现场监测进行,并应当包括与商业银行高级管理层和董事会的定期沟通。
第七十五条 银监会通过非现场监管系统定期采集有关数据,及时分析评价商业银行的流动性风险状况。商业银行应遵守法律法规和行政规章中与流动性风险相关的各项监管指标,银监会依法对商业银行各项流动性风险监管指标的遵循情况进行监管,并在必要时要求商业银行管理层采取有效应急措施以保证各项流动性指标高于最低监管要求。
第七十六条 银监会有权根据商业银行流动性状况对各项流动性风险监管指标的计算方法、计算口径和计算频率等进行调整,并鼓励商业银行设定高于流动 13 性监管指标的内部预警指标,以便管理层及时采取措施避免流动性状况进一步恶化或突破流动性监管指标。
第七十七条 商业银行应按规定及时向银监会及相关部门报送流动性风险管理的监测报表、策略、政策和流程等相关信息资料。
商业银行每年4月底前应向银监会报送上流动性风险管理报告,对相关策略、政策、流程、限额等的调整情况进行说明。
银监会可根据商业银行的规模及其在支付系统和金融市场的地位及风险状况等因素决定商业银行递交流动性风险监测报表和报告的内容和频率。
第七十八条 商业银行在资产急剧扩张时需向监管部门报送有说服力的安全运营计划,说明资金来源和应用情况以及在资产急剧扩张或负债流失情况下的流动性安排及应急计划。
第七十九条 商业银行应当及时向银监会报告下列重大事项:
(一)商业银行大规模出售资产以提高流动性;
(二)商业银行评级的重大调整;
(三)外部市场流动性状况发生重大变化;
(四)商业银行重要融资渠道即将受限或失灵;
(五)本机构或机构所在地区发生挤兑事件;
(六)有关机构对资产或抵押品跨境转移政策的调整;
(七)集团、母行和境外分支机构经营状况或所在国家或地区的政治、经济状况发生重大变化;
(八)集团或母行出现流动性困难;
(九)其他可能对商业银行流动性风险水平及其管理状况产生影响的重大事件。
商业银行应当制定流动性风险重大事项报告制度,并报银监会备案。第八十条 银监会根据商业银行流动性风险评价结果决定对商业银行流动性状况进行现场检查的频率。现场检查的主要内容包括:
(一)董事会和高级管理层在流动性风险管理中的履职情况;
(二)流动性风险管理政策和程序的完善性及其实施情况;
(三)流动性风险识别、计量、监测和控制的有效性;
(四)现金流量分析所用假设前提和参数的合理性、稳定性;
(五)流动性风险限额管理的有效性;
(六)流动性风险内部控制的有效性;
(七)流动性压力测试的有效性;
(八)流动性风险应急预案的有效性;
(九)流动性风险管理信息系统的有效性;
(十)银行内部流动性风险报告的独立性、准确性、可靠性,以及向银监会报送的与流动性风险有关的报表、报告的真实性和准确性;
(十一)负责流动性风险管理工作人员的专业知识、技能和履职情况;
(十二)流动性风险管理内部审计和监督监察机制的有效性;
(十三)流动性风险管理的其他情况。
第八十一条 银监会对商业银行内部流动性风险管理模型的有效性进行审核,并可充分利用外部专业机构的审核结果。
银监会对商业银行流动性压力测试和应急计划的有效性进行评估,特别关注压力情景及假设前提的范围和程度,并根据情况要求对压力测试中使用的情景进行调整。
第八十二条 银监会对高级管理层及董事会如何使用压力测试结果进行评价,包括但不限于:
(一)是否采取具体有效的措施以缓解压力测试暴露出的风险;
(二)是否根据风险的性质和规模,通过修订银行应急融资计划,改变现有经营活动及流动性风险,或增加持有高流动性资产等方式来抵御流动性压力;
(三)是否针对压力测试中发现的风险制定全面的应急融资计划;
(四)是否通过周期测试和内部沟通来增进对应急计划的理解。
第三节 特别监管措施
第八十三条 对于流动性风险管理不审慎,如流动性缺口过大及资金成本过高,流动性管理政策执行不力,流动性报告或报表存在严重问题等的商业银行,银监会有权采取以下特别监管措施:
(一)与商业银行高级管理层、董事会召开审慎性会谈;
(二)增加对商业银行流动性风险的现场检查频率;
(三)要求商业银行增加提交流动性风险报表、报告的频率;
(四)要求商业银行提供额外相关信息;
(五)要求商业银行采取措施以加强流动性风险的管理;
(六)要求商业银行采取措施降低流动性风险;
(七)要求商业银行提高以主动负债形式满足流动性需求的能力。第八十四条 对于流动性指标持续低于预警指标,或者流动性管理体系存在重大缺陷的商业银行,银监会除前款措施外,有权采取进一步特别监管措施:
(一)要求银行通过更加有效的压力测试和更有力的应急融资计划来改善应急计划。
(二)提高法定流动性比率要求;
(三)限制商业银行进行收购或其它大规模业务扩张;
(四)限制商业银行部分业务的发展或某项资金的流动;
(五)提高法定资本充足率要求;
(六)《中华人民共和国银行业监督管理法》以及其他法律、行政法规和部门规章规定的有关措施。
对于集团或母公司出现流动性困难的商业银行,银监会有权限制其与集团或母公司之间的资金来往。
第四节 监管合作
第八十五条 银监会应与境内相关职能部门及商业银行的母国和东道国监管当局建立紧密协调和信息共享的监管合作关系以提高流动性风险管理的有效性。
第八十六条 原则上对跨境商业银行流动性风险的监管以母国监管当局为主,但由于目前中国外汇管理政策,银监会对外商独资银行、中外合资银行及外国银行分行的流动性风险管理将单独考核。
银监会将根据中国外汇管理政策的调整,适时调整流动性风险跨境监管政策。
第八十七条 对于使用由母行开发的管理模型的外资法人银行和外国银行在中国境内分行,银监会可以利用母国监管当局对模型的审验结果,但应对模型的本地适应性进行审验,重点关注以下内容:
(一)模型在中国使用的参数、历史数据的适用性及更新频率;
(二)压力测试与情景测试的适用性;
(三)应急预案的可行性与有效性;
(四)其他
第五章 附则
第八十八条 邮政储蓄银行、农村合作银行、城市信用社及农村信用社等其他银行业金融机构参照本指引执行。法律法规另有规定的,适用其规定。
第八十九条 商业银行最迟应于2010年底前达到本指引要求。因系统开发等特殊原因无法在上述时限内达标的,经监管部门同意后,可适当延期。
第九十条 本指引由银监会负责解释。第九十一条 本指引自发布之日起施行。
附件:
一、商业银行流动性风险内部预警指标可以是定性指标或定量指标,包括 16 但不限于下列内容:
(一)资产快速增长,尤其当业务或产品某一方面出现负面因素或风险显著增大;
(二)资产或负债集中度增加
(三)货币错配程度增加
(四)负债加权平均期限下降
(五)重复接近或违反内部限额和监管指标
(六)特定产品线发展趋势下降碍或风险加剧
(七)银行盈利水平、资产质量和总体财务状况的显著恶化
(八)负面的公众报道
(九)信用评级下调
(十)股票价格下降或债务成本上升
(十一)批发和零售融资成本的上升
(十二)交易对手要求为信用暴露增加额外的担保或拒绝进行新交易
(十三)代理行降低或取消授信额度
(十四)零售存款的流出上升
(十五)获得长期融资的难度加大(十六)发行短期负债的难度加大
二、商业银行应急计划的内容应包括但不限于下列内容:
(一)危机处理小组构成、职责分工和联系方式
(二)危机期间内外部信息沟通和报告
(三)危机处理小组外界的沟通工作:监管部门、分析师、投资人、外部审计师、媒体、大客户和其他利益相关者
(四)内部管理层、资产负债委员会、投资组合经理、交易员、员工和其他人员信息沟通
(五)如何确保资产负债委员会及时收到相关报告,使委员会成员了解银行流动性的严重程度,并采取有效措施
第五篇:商业银行流动性风险管理指引
商业银行流动性风险管理指引
第一章 总则
第一条 为加强商业银行的流动性风险管理,维护商业银行安全稳健运行,根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》以及其他有关法律和行政法规,制定本指引。
第二条 在中华人民共和国境内设立的中资商业银行、外商独资银行、中外合资银行适用本指引。
第三条 本指引所称流动性风险是指商业银行虽然有清偿能力,但无法及时获得充足资金或无法以合理成本及时获得充足资金以应对资产增长或支付到期债务的风险。流动性风险如不能有效控制,将有可能损害商业银行的清偿能力。
流动性风险可以分为融资流动性风险和市场流动性风险。融资流动性风险是指商业银行在不影响日常经营或财务状况的情况下,无法及时有效满足资金需求的风险。市场流动性风险是指由于市场深度不足或市场动荡,商业银行无法以合理的市场价格出售资产以获得资金的风险。
第四条 流动性风险管理是识别、计量、监测和控制流动性风险的全过程。商业银行应当坚持审慎性原则,充分识别、有效计量、持续监测和适当控制银行整体及在各产品、各业务条线、各业务环节、各层机构中的流动性风险,确保商业银行无论在正常经营环境中还是在压力状态下,都有充足的资金应对资产的增长和到期债务的支付。
第五条 中国银行业监督管理委员会(以下简称银监会)依法对商业银行的流动性风险和流动性风险管理实施监督管理。银监会综合运用多种监管手段,督促商业银行建立健全流动性风险管理体系,有效识别、计量、监测和控制流动性风险,维持充足的流动性水平以满足各种资金需求和应对不利的市场状况。当发现商业银行的流动性风险管理体系存在缺陷或出现流动性风险时,银监会有权及时采取措施,最大限度地降低流动性风险对被监管机构的影响,维护银行体系安全、稳健运行,保护存款人利益。
第二章 流动性风险管理体系
第六条 流动性风险管理体系是商业银行风险管理体系的重要组成部分,应与本行的业务规模、性质和复杂程度等相适应。流动性风险管理政策应与本行总体发展战略相一致,与本行总体财务实力相匹配,并充分考虑流动性风险与其他风险的相互影响与转换。
第七条 流动性风险管理体系应包括以下基本要素:
(一)董事会及高级管理层的有效监控。
(二)完善的流动性风险管理策略、政策和程序。
(三)完善的流动性风险识别、计量、监测和控制程序。
(四)完善的内部控制和有效的监督机制。
(五)完善、有效的信息管理系统。
(六)有效的危机处理机制。
第一节 流动性风险管理的治理结构
第八条 商业银行应建立完善的流动性风险管理治理结构。商业银行应根据政策的制定、执行和监督职能相分离原则,明确董事会及其专门委员会、监事会(监事)、高级管理层及其专门委员会、银行相关部门在流动性风险管理中的作用、职责及报告路线,制定适当的考核及问责机制,以提高流动性风险管理的有效性。
第九条 商业银行的董事会承担流动性风险管理的最终责任,应履行以下职责:
(一)审核批准商业银行的流动性风险管理体系。
(二)审核批准商业银行流动性风险承受能力、流动性风险管理策略、重要的政策、程序、流动性风险限额和流动性风险应急计划,并根据风险管理需要及时对以上内容进行审议修订,审议修订工作至少每年一次。
(三)明确流动性风险管理相关事项的审核部门和审批权限,如具体的策略、政策、程序和流动性限额等。
(四)监督高级管理层在风险管理体系内对流动性风险进行适当管理和控制。
(五)持续关注银行的流动性风险状况,定期获得关于流动性风险水平和相关压力测试的报告,及时了解流动性风险的重大变化和潜在转变。
(六)对商业银行流动性风险管理信息系统的完整性、准确性和有效性承担最终责任。
(七)决定与流动性风险相关的信息披露内容。
(八)法律、法规规定的其他职责。
第十条 商业银行的高级管理层负责流动性风险的具体管理工作,应履行以下职责:
(一)根据商业银行的总体发展战略测算其风险承受能力,并提请董事会审批;根据总体发展战略及内外部经营环境的变化及时提出对流动性风险承受能力进行修订的建议,并提请董事会审议。
(二)根据董事会批准的流动性风险承受能力,制定流动性风险管理策略、政策、程序、限额,其中策略、重要的政策、程序和限额需提请董事会审批后执行。
(三)根据董事会批准的流动性风险管理策略、政策、程序和限额,对流动性风险进行管理,制定并监督执行有关流动性风险管理的内部控制制度。
(四)充分了解并定期评估本行流动性风险水平及管理状况,向董事会定期汇报本行流动性风险状况,及时汇报流动性风险的重大变化或潜在转变。
(五)建立完善的管理信息系统,以支持流动性风险的识别、计量、监测和控制工作。
(六)根据董事会批准的相关政策、程序,组织压力测试和情景分析,并定期将测试结果向董事会汇报,推动压力测试成果在战略决策和风险管理中的应用。
(七)制定流动性风险应急计划,并提请董事会审批。
(八)识别并了解可能触发应急计划的事件,并建立适当机制对这些触发事件进行监测。
(九)法律、法规规定的其他职责。第十一条 董事会、高级管理层可以授权其下设的专门委员会履行本指引第九条或第十条规定的部分职能,获得授权的专门委员会应当定期向其授权人提交有关报告。
第十二条 商业银行应指定专门人员或部门负责流动性风险管理工作,负责流动性风险管理的部门应当职责明确,并建立完善的报告制度。流动性风险管理部门和人员应保持相对独立性,特别是独立于从事资金交易的部门。
第十三条 商业银行应投入足够的资源以保证流动性风险管理的有效性,不得因业务发展和市场竞争而破坏流动性风险管理、控制功能和限额体系、流动性缓冲机制的完整性。
第十四条 监事会(监事)应对董事会及高级管理层在流动性风险管理中的履职情况进行监督评价,并每年至少一次向股东大会(股东)报告董事会及高级管理层在流动性风险管理中的履职情况。
第二节 流动性风险管理政策和程序
第十五条 商业银行应根据本行经营战略、业务特点和风险偏好测定自身流动性风险承受能力,并以此为基础制定流动性风险管理策略、政策和程序。
风险承受能力可以采用定量方式表达,如在正常情况和压力状况下银行可以承受的未经缓释的流动性风险水平。
第十六条 商业银行应从持续、前瞻的角度制定书面的流动性风险管理策略、政策和程序,并在综合考虑业务发展、技术更新及市场变化等因素的基础上及时对流动性风险管理策略、政策和程序进行评估和修订。评估和修订工作最少每年进行一次。
第十七条 流动性风险管理策略、政策和程序应涵盖银行的表内外各项业务,以及境内外所有可能对其流动性风险产生重大影响的业务部门、分支机构和附属公司,并包括正常情况和压力状况下的流动性风险管理。
第十八条 商业银行流动性风险管理策略应充分考虑银行的组织结构、主要业务条线、产品及市场的广度和多样性以及母国及东道国的监管要求等因素。
第十九条 流动性风险管理策略应明确流动性风险管理的整体模式,并列明有关流动性风险管理特定事项的具体政策,包括但不限于以下内容:
(一)整体的流动性管理政策。
(二)流动性风险的识别、计量、监测和报告体系。
(三)流动性风险管理程序。
(四)资产与负债组合。
(五)流动性风险限额及超限额处理程序。
(六)现金流量分析。
(七)不同货币、不同国家、跨境、跨机构及跨业务条线的流动性管理方法。
(八)导致流动性风险增加的潜在因素及相应的监测流程。
(九)压力测试和情景分析。
(十)应急计划及流动性风险缓释工具管理。
第二十条 商业银行应根据本行的业务规模和复杂程度选择流动性风险管理模式,管理模式可以是集中、分散或二者相结合。
无论商业银行采用何种管理模式,都应确保对总体流动性风险水平和各分支机构、附属机构、各业务条线流动性水平进行有效识别、计量、监测和控制,并确保遵守各有关流动性风险监管要求。
第二十一条 商业银行应根据监管要求和内部流动性风险管理政策设定流动性风险限额,并根据限额的性质确定相应的监测频度。
商业银行在确定限额时可参考以下因素:资产负债结构、业务发展状况、资产质量、融资策略、管理经验、市场流动性等。
第二十二条 商业银行在设立筹备期内,应完成流动性风险管理体系建设工作。开业后,商业银行应及时将经董事会批准的流动性风险承受能力、流动性管理策略、重要政策、程序和限额及其修订情况向监管部门报备。
第二十三条 原则上流动性风险管理应按币种分别进行,但在该币种可以自由兑换且业务量较小、对本行流动性风险水平及整体市场影响都较小的情况下,商业银行可按照重要性原则合并管理。商业银行至少应按本外币分别识别、计量和监测流动性风险。
对外币实行合并管理的,应向监管部门报备。
第三节 内部控制
第二十四条 商业银行应制定适当的内部控制制度以确保流动性风险管理程序的完整和有效。有效的流动性风险管理内部控制体系应至少包括以下内容:
(一)良好的内部控制环境。
(二)充分的程序以识别、计量、监测和评估流动性风险。
(三)完善的信息管理系统。
(四)根据业务发展和市场变化适时更新有关政策和程序。
第二十五条 商业银行应针对流动性风险管理建立明确的内部评价考核机制,将各分支机构或主要业务条线形成的流动性风险与其收益挂钩,从而有效地防范因过度追求短期内业务扩张和会计利润而放松对流动性风险的控制。条件成熟的银行可将流动性风险纳入内部转移定价机制。
第二十六条 商业银行在引入新产品、新技术手段,建立新机构、新业务部门前,应在可行性研究中充分评估其对流动性风险产生的影响,并制定相应风险管理措施,完善内部控制和信息管理系统。引入并运行后,应加强日常监测,定期评估相应措施的有效性,并根据需要及时进行调整。
第二十七条 商业银行应将流动性风险管理纳入内部审计的范畴,定期审查和评价流动性风险管理体系的充分性和有效性。内部审计应涵盖流动性风险管理的所有环节,包括但不限于以下内容:
(一)相关的管理体系、内部控制制度和实施程序是否足以识别、计量、监测和控制流动性风险。
(二)有关流动性风险管理的信息系统是否完善。
(三)有关流动性风险控制的风险限额是否适当。
(四)进行现金流量分析和压力测试的基本假设是否适当。
(五)有关流动性风险管理的信息报告是否准确、及时、有效。
(六)是否严格执行既定的流动性风险管理政策和程序。第二十八条 内审人员应具有独立性,并掌握必要的专业知识和技能以确保对流动性风险管理体系实施独立、充分、有效的审计。
第二十九条 内部审计结果应直接报告董事会,并根据有关规定及时报告监管部门。董事会应根据内部审计的结果及时调整和完善有关流动性风险管理的政策和程序,并督促高级管理层针对内部审计发现的问题采取及时有效的整改措施。内部审计部门应适时对整改措施的实施情况进行后续审计,并及时向董事会提交审计报告。
第三十条 有海外有分支机构的商业银行,应根据其管理模式,针对银行整体及分国别或地区的流动性风险管理分别进行审计。
第四节 管理信息系统
第三十一条 商业银行应建立完善的管理信息系统,以便准确、及时、持续地计量、监测、管控和汇报流动性风险状况。管理信息系统应包括但不限于完成以下任务:
(一)按设定的期限每日计算银行的现金流量及期限错配情况,并可根据银行的流动性风险管理模式分币种、按银行整体或按机构、业务条线分别进行计算和分析。
(二)按法规和银行内部管理的要求计算有关流动性风险的比率和其他指标,并根据需要适时进行监测和控制。
(三)能及时、有效地对银行大额资金流动进行实时监测和控制。
(四)适时报告银行所持有流动性资产的构成和市场价值。
(五)定期核查是否符合流动性风险管理政策和限额。
(六)能及时地、有前瞻性地反映银行的流动性风险发展趋势,以便董事会和高级管理层准确评估银行的流动性风险水平。
(七)能根据快速变化的外部环境,针对不同的假设情景、限制条件收集、整理相关数据,及时实施情景分析和压力测试。
第三十二条 管理信息系统应能确保董事会、高级管理层及相关部门适时了解以下有关流动性风险管理的事项:
(一)银行现金流量分析。
(二)可动用的流动性资产及资产变现可能性分析。
(三)资金来源及资金运用的集中度情况。
(四)在各类市场中的融资能力。
(五)可能引起资产负债波动因素的变化趋势。
(六)流动性风险管理法定指标、政策、限额及风险承受能力的执行情况。
(七)压力测试和情景分析情况。
(八)其他流动性风险管理中应予关注的事项。
第五节 信息披露
第三十三条 商业银行应定期披露有关流动性风险管理的情况。商业银行披露的内容包括但不限于:
(一)流动性风险管理体系和治理结构,其中应特别说明董事会、专门委员会、高级管理层及相关部门的职责和作用。
(二)流动性风险管理策略和重要政策。
(三)流动性风险管理模式。
(四)识别、计量和监测流动性风险的主要方法和程序。
(五)流动性风险状况的简要分析和说明、能反映其流动性状况的有关指标。
(六)分析影响流动性的因素。
(七)有关压力测试情况的介绍和说明。第三十四条 在出现流动性危机时,商业银行应适时披露情况说明等资料以提高交易对手、客户及公众的信心,从而最大限度地减少信息不对称可能给银行带来的不利影响。
第三章 流动性管理方法和技术
第一节 资产及负债的流动性风险管理
第三十五条 流动性风险管理是资产负债管理的重要组成部分。在银行确定资产负债额度、结构和期限时需要考虑流动性风险管理,加强资产的流动性和融资来源的稳定性。
第三十六条 商业银行资产负债管理应遵循分散性原则。商业银行应制定具体明确的资产、负债分散化政策,使资金运用及来源结构向多元化发展,提升商业银行应对市场波动的能力。
第三十七条 商业银行应建立集中度限额管理制度,针对表内外资产负债的品种、币种、期限、交易对手、风险缓释工具、行业、市场、地域等进行集中度限额管理,防止由于资产负债过度集中引发流动性风险。
第三十八条 商业银行资产负债管理应遵循审慎性原则,应审慎评估信用风险、市场风险、操作风险、声誉风险等对资产负债业务流动性的影响,密切关注不同风险间的转化和传递。
(一)商业银行在对资产变现能力进行评估时,要考虑市场容量、交易对手的风险,以及其他因素对资产可交易性、资产价格产生的影响。
(二)商业银行在确定资产流动性组合时应避免资产组合在资产类别、交易对手、行业、市场、地域等方面承受过度的市场风险及其他风险。
(三)商业银行应定期监测交易对手和自身的偿债能力指标状况,当相关指标显示交易对手偿债能力下降时,要及时调整对交易对手的融资授信额度;当相关指标显示自身偿债能力下降时,需要及时调整资产负债结构,提高债务清偿能力。
(四)商业银行应加强未提取的贷款承诺、信用证、保函、银行承兑汇票等或有资产与或有负债管理,监测相关客户信用状况、偿债能力和财务状况,了解商业银行因履约事项可能发生的垫款和客户可提取的贷款承诺带来的流动性需求,并纳入流动性缺口管理。
商业银行应将为应对声誉风险而对交易对手给予超过合约义务的支付所产生的流动性需求一并纳入流动性缺口管理。
(五)商业银行应关注负债的稳定性。
1.商业银行应通过提高核心负债占总负债的比重,提高流动性来源的稳定性,并减少对波动较大的债务的依赖。
2.商业银行应通过优质服务建立与资金提供者的关系,并持续关注大额资金提供者的风险状况,定期监测大额资金提供者(如最大十户存款客户)及融资提供者在本行存款的情况,并制定存款(或融资)集中度触发比率以及当存款(或融资)集中度达到触发比率时所必须采取的应急措施。
第三十九条 发行股票和债券等是商业银行补充中长期流动性的重要手段,有助于改善期限结构错配状况。商业银行应关注资本市场变化,评估通过发行股票或债券等补充流动性的能力与成本。
第二节 现金流量管理
第四十条 现金流量管理是识别、计量和监测流动性风险的一种重要工具,商业银行通过计量、监测、控制现金流量和期限错配情况,发现融资缺口和防止过度依赖短期流动性供给。
第四十一条 商业银行将表内外业务可能产生的未来现金流按照一定方法分别计入特定期间的现金流入和现金流出,以现金流入减现金流出取得现金流期限错配净额,并通过累计方式计算出一定期限内的现金流错配净额。
第四十二条 商业银行现金流错配净额计算应涵盖表内外所有资产及负债,并按币种形成现金流量报告。
商业银行高级管理层可根据重要性原则选定部分现金流量极少、发生频率低的表内外资产及负债项目不纳入现金流错配净额的计算。该政策需经董事会或其授权专门委员会审核批准,并以书面文件形式记录在案。高级管理层应定期评估该安排的适当性,并及时提出修订意见。
第四十三条 未来现金流可分为确定到期日现金流和不确定到期日现金流。
确定到期日现金流系指所有来自外部负债和即将到期资产中有明确到期日的现金流。不确定到期日现金流系指商业银行在到期日现金流不能完全反映流动性风险,或者包括活期存款在内的没有明确到期日的资产与负债形成的现金流。
第四十四条 确定到期日现金流应按到期日计算现金流,而不确定到期日现金流应按照审慎原则计算现金流,如活期存款作为没有明确到期日的负债应全部计入当日到期负债。但在商业银行能够证明所用测算方法遵循审慎原则并经监管部门审核同意的情况下,商业银行可对部分现金流进行行为调整。商业银行所使用的测算方法须与其业务性质和复杂程度相适应。
第四十五条 商业银行通过行为调整等方法测算现金流,应以充分的历史数据积累为前提,假设条件应经充分论证,并经董事会或其授权的专门委员会审核批准。所有假设条件及模拟情况必须书面记录,并可以经受回溯检测。高级管理层应定期对行为调整假设、回溯检查进行评估,以便适应商业银行的发展和外部环境的变化及时做出调整。
第四十六条 现金流期限错配分析以短期为重点,但鼓励商业银行开展中期乃至长期的期限错配分析,以及早发现潜在流动性风险。
第四十七条 商业银行应以其融资能力和风险承受能力为基础设定现金流期限错配限额(以下简称现金流限额)。现金流限额应由专门部门设定,并由董事会或经其授权部门审核,根据需要至少每年修订一次。
第四十八条 商业银行应保证每一期限内的现金流错配净额低于现金流限额,现金流限额可以按以下步骤计算:
(一)商业银行应至少预测其未来确定时间段内融资能力,尤其是来自银行或非银行的批发融资能力,并依压力测试情况下的调减系数对上述预测进行适当调整。
(二)商业银行采取审慎方法计算出售全部或部分无障碍流动性资产(如政府和中央银行债券)所产生的流动性增项。
(三)商业银行计算现金流限额时应将或有负债中备用融资额度等作为增项,同时将或有资产中未提取的贷款承诺等作为减项。
(四)商业银行应根据以上步骤计算确定时间段内的现金流限额。商业银行可以按审慎原则和一定方法计算出每日的现金流限额。
第四十九条 商业银行应依审慎原则从紧设定现金流限额,所有超限额情况都应依规定程序提前向资产负债管理委员会或类似机构申请,经批准后实施。商业银行应确保所有超限额情况均有书面记录。
商业银行应对所有未经批准超限额的情况实施调查,调查应包括所有相关部门和人员,并根据调查结果采取有效措施确保现金流错配净额在规定期限内恢复至规定限额内,并对任何故意行为给予严肃处理。
第五十条 现金流限额测算期至少为一个月,鼓励商业银行按更长时间段进行测算。
第三节 压力测试
第五十一条 商业银行流动性管理应通过压力测试分析银行承受压力事件的能力,考虑并预防未来可能的流动性危机,以提高在流动性压力情况下履行其支付义务的能力。
第五十二条 商业银行实施压力测试的频度应与其规模、风险水平及在市场上的影响相适应,但至少每季度应进行一次常规压力测试。在出现市场剧烈波动等情况或在银监会要求下,应针对特定压力情景进行临时性、专门压力测试。
商业银行压力测试应在并表基础上分币种实施,并应针对流动性转移受限等特殊情况对有关地区分行或子行单独实施压力测试。
第五十三条 商业银行应针对单个机构和整个市场设定不同的压力情景。商业银行可结合本身业务特点、复杂程度,针对流动性风险集中的产品、业务和机构设定压力情景。压力情景的假设条件包括但不限于:
(一)流动性资产价值的侵蚀。
(二)零售存款的大量流失。
(三)批发性融资来源的可获得性下降。
(四)融资期限缩短和融资成本提高。
(五)交易对手要求追加保证金或担保。
(六)交易对手的可交易额减少或总交易对手减少。
(七)主要交易对手违约或破产。
(八)表外业务、复杂产品和交易、超出合约义务的隐性支持对流动性的损耗。
(九)信用评级下调或声誉风险上升。
(十)母行或子行、分行出现流动性危机的影响。
(十一)多个市场突然出现流动性枯竭。
(十二)外汇可兑换性以及进入外汇市场融资的限制。
(十三)中央银行融资渠道的变化。
(十四)银行支付结算系统突然崩溃。
第五十四条 商业银行压力测试应遵循审慎原则,充分考虑各类风险与流动性风险的内在关联性,深入分析假设情景对其他流动性风险要素的影响及其反作用。
商业银行压力测试应充分反映融资流动性风险与市场流动性风险的高度相关性。必要时,商业银行应针对相关假设情景发生后各风险要素的相互作用实施多轮压力测试。
第五十五条 商业银行压力测试应基于专业判断,并在可能情况下,对以往影响银行或市场的类似流动性危机情景进行回溯分析。
所有压力测试情景、条件假设、结果和回溯分析应有书面记录,对于选择情景、条件假设的基本原则及理由应有详细说明,并报董事会或经其授权机构审核确认,确保董事会或经其授权机构对压力测试的局限性有充分的了解。
第五十六条 压力测试结果应广泛应用于董事会、高级管理层的各类决策过程,包括但不限于风险承受能力、风险限额、战略发展计划、资本计划和流动性计划的制定。
商业银行应根据压力测试结果及时调整资产负债结构,持有充足的高质量流动性资产用以缓冲流动性风险,建立有效的应急计划。
第五十七条 商业银行应明确设立自身事件引发流动性危机情况下抵御危机的最短生存期,最短不低于一个月,并采取有效措施维持该最短时间内融资能力,确保在不同压力情况下最短生存期内现金净流量为正值。
第五十八条 商业银行应定期向监管部门报告压力测试情况,包括所有压力测试情景、条件假设、结果和回溯分析,及根据压力测试结果对流动性风险管理策略、政策、程序、限额和应急计划的调整情况。
第五十九条 商业银行因特殊原因不能实施压力测试,经银监会同意后可以暂缓实施。
第四节 应急计划
第六十条 商业银行应根据本行业务规模、复杂程度、风险水平和组织框架等制定应急计划,并根据经营和现金流量管理情况设定并监控银行内外部流动性预警指标以分析银行所面临的潜在流动性风险。
第六十一条 商业银行应按照正常市场条件和压力条件分别制定流动性应急计划,应涵盖银行流动性发生临时性和长期性危机的情况,并预设触发条件及实施程序。
应急计划至少应包括一种银行本身评级降至“非投资级别”的极端情况。应急计划应说明在这种情形下银行如何优化融资渠道和出售资产以减少融资需求。设定的情形包括但不限于:
(一)流动性临时中断,如突然运作故障、电子支付系统出现问题或者物理上的紧急情况使银行产生短期融资需求。
(二)流动性长期变化,如因银行评级调整而产生的流动性问题。
(三)当母行出现流动性危机时,防止流动性风险传递的应对措施。
(四)市场大幅震荡,流动性枯竭,交易对手减少或交易对手可融资金额大幅减少、融资成本快速上升。
第六十二条 商业银行应急计划应包括资产方流动性管理策略和负债方流动性管理策略。
(一)资产方流动性管理策略包括但不限于: 1.变现多余货币市场资产。2.出售原定持有到期的证券。
3.出售长期资产、固定资产或某些业务条线(机构)。
4.在相关贷款文件中加入专门条款以便提前收回或出售转让流动性较低的资产。
(二)负债方融资管理策略包括但不限于:
1.将本行与集团内关联企业融资策略合并考虑。2.建立融资总体定价策略。
3.制定利用非传统融资渠道的策略。
4.制定零售和批发客户提前支取和解约政策。5.使用中央银行信贷便利政策。
第六十三条 银行间同业拆借市场是商业银行获取短期资金的重要渠道。商业银行应根据经验评估融资能力,关注自身的信用评级状况,定期测试自身在市场借取资金的能力,并将每日及每周的融资需求限制在该能力范围以内,防范交易对手因违约或违反重大的不利条款要求提前偿还借款的风险。
第六十四条 商业银行应急计划应区分集团层次和附属机构层次,并可根据需要针对主要币种和全球主要区域制订专门的应急计划。如果某些国家或地区法律法规有限制,使得银行集中实施流动性管理不可操作,则在上述国家或地区的分支机构应制定专门的应急计划。
第六十五条 商业银行高级管理层应定期向董事会报告流动性风险情况和应急计划。必要情况下,应由董事会成员领导并负责应急计划的制定和实施。
第六十六条 商业银行应根据风险管理需要及时对应急计划进行评估和修订,评估修订工作至少每年进行一次。商业银行应不定期对应急计划进行演习以确保各项计划措施在紧急情况下的顺利实施。商业银行应于每年4月底前将本行应急计划及其更新、演习情况报银监会。
第四章 流动性风险监督管理
第一节 原则
第六十七条 银监会根据本指引要求,督促商业银行建立和完善与银行业务特点、规模及复杂程度相适应的流动性风险管理体系,并鼓励公司治理完善、信息系统先进、数据积累合格、管理水平较高的商业银行采用先进方法管理流动性风险。
第六十八条 银监会在并表基础上对商业银行的整体流动性风险进行考核。商业银行在境外设立的分支机构、子公司应满足东道国监管当局对流动性风险管理的要求。银监会将根据我国和东道国法律环境、监管要求及货币管制政策等因素决定是否对境外分支机构、子公司的流动性进行单独考核。
银监会在对外商独资银行和中外合资银行的流动性风险进行考核时,将充分考虑其母行的流动性风险管理政策及母国监管当局法律法规和流动性监管水平对其的影响。第六十九条 银监会按本外币分别考核商业银行流动性风险,并有权根据商业银行外汇业务规模以及对市场的影响按具体币种单独考核商业银行流动性风险。
第二节 监管程序
第七十条 银监会采取以风险为本的监管模式,对商业银行整体流动性状况及流动性风险管理体系进行综合评价。评价通过现场检查和非现场监测进行,并包括与商业银行高级管理层和董事会的定期沟通。
第七十一条 银监会通过非现场监管系统定期采集有关数据,及时分析评价商业银行的流动性风险状况。
银监会依法对商业银行遵守法律法规和行政规章中各项流动性风险监管指标的情况进行监管,并在必要时要求商业银行管理层采取有效措施以保证各项指标高于最低监管要求。
第七十二条 银监会有权根据商业银行流动性状况对各项流动性风险监管指标的计算方法、计算口径和计算频率等进行调整,并鼓励商业银行设定高于流动性监管指标的内部预警指标,以便管理层及时采取措施避免流动性状况进一步恶化或突破流动性监管指标。
第七十三条 商业银行应按规定及时向银监会及相关部门报送流动性风险管理的监测报表、策略、政策和流程等相关信息资料。
商业银行每年4月底前应向银监会报送上流动性风险管理报告,对相关策略、政策、流程、限额等的调整情况进行说明。
银监会可根据商业银行的规模及其在支付系统和金融市场的地位及风险状况等因素决定商业银行递交流动性风险监测报表和报告的内容和频率。
第七十四条 商业银行在资产急剧扩张时需向监管部门报送有说服力的安全运营计划,说明资金来源和应用情况以及在资产急剧扩张或负债流失情况下的流动性安排及应急计划。
第七十五条 商业银行应当及时向银监会报告下列重大事项:
(一)商业银行评级的重大调整。
(二)商业银行大规模出售资产以提高流动性。
(三)外部市场流动性状况发生重大变化。
(四)商业银行重要融资渠道即将受限或失灵。
(五)本机构或机构所在地区发生挤兑事件。
(六)有关机构对资产或抵押品跨境转移政策的调整。
(七)集团、母行和境外分支机构经营状况或所在国家或地区的政治、经济状况发生重大变化。
(八)集团或母行出现流动性困难。
(九)其他可能对商业银行流动性风险水平及其管理状况产生影响的重大事件。商业银行应当制定流动性风险重大事项报告制度,并报银监会备案。
第七十六条 银监会根据对商业银行流动性风险的评价结果决定对商业银行进行流动性管理现场检查的频率。现场检查的主要内容包括:
(一)董事会和高级管理层在流动性风险管理中的履职情况。
(二)流动性风险管理政策和程序的完善性及其实施情况。
(三)流动性风险识别、计量、监测和控制的有效性。
(四)现金流量分析所用假设前提和参数的合理性、稳定性。
(五)流动性风险限额管理的有效性。
(六)流动性风险内部控制的有效性。
(七)流动性压力测试的有效性。
(八)流动性风险应急计划的有效性。
(九)流动性风险管理信息系统的有效性。
(十)银行内部流动性风险报告的独立性、准确性、可靠性,以及向银监会报送的与流动性风险有关的报表、报告的真实性和准确性。
(十一)负责流动性风险管理工作人员的专业知识、技能和履职情况。
(十二)流动性风险管理内部审计和监督检查机制的有效性。
(十三)流动性风险管理的其他情况。
第七十七条 银监会对商业银行现金流量分析、压力测试和应急计划的有效性进行评估,特别关注假设、情景及参数的合理性,并可根据需要要求商业银行对其进行调整。
第七十八条 银监会对高级管理层及董事会如何使用压力测试结果进行评价,包括但不限于:
(一)是否采取具体有效的措施缓解压力测试暴露出的风险。
(二)是否根据风险的性质和规模,通过修订银行应急融资计划、改变现有经营活动及流动性风险,或增加持有高流动性资产等方式来抵御流动性压力。
(三)是否针对压力测试中发现的风险制定全面的应急融资计划。
(四)是否通过定期测试和内部沟通增进对应急计划的理解。第七十九条 对于流动性风险管理体系存在严重缺陷,流动性管理政策、制度执行不力,流动性报告或报表存在严重问题,且在规定时限内未能实施有效整改措施的商业银行,银监会有权采取下列监管措施:
(一)与商业银行高级管理层、董事会召开审慎性会谈。
(二)增加对商业银行流动性风险的现场检查频率。
(三)要求商业银行增加提交流动性风险报表、报告的频率。
(四)要求商业银行提供额外相关信息。
第八十条 对于流动性指标持续达不到预警指标要求的商业银行,银监会除第七十九条措施外,有权采取进一步的监管措施:
(一)要求银行通过更加有效的压力测试和更有力的应急融资计划改善应急计划。
(二)提高流动性比率要求。
(三)限制商业银行开展收购或其他大规模业务扩张活动。
(四)限制商业银行部分业务的发展或某项资金的流动。
(五)暂停部分或全部市场准入事项。
(六)提高资本充足率要求。
(七)《中华人民共和国银行业监督管理法》以及其他法律、行政法规和部门规章规定的有关措施。
对于集团或母公司出现流动性困难的商业银行,银监会有权限制其与集团或母公司之间的资金往来。
第三节 监管合作
第八十一条 银监会将与境内相关职能部门及商业银行的母国或东道国监管当局建立紧密协调和信息共享的监管合作关系以提高流动性风险管理的有效性。
第八十二条 对于使用母行统一流动性风险管理政策、程序和方法的外资银行,银监会将对其本地适应性进行审核,重点关注以下内容:
(一)原政策、程序和方法的合规性。
(二)现金流量分析有关假设、情景和参数的适用性,历史数据的充足性。
(三)压力测试、情景分析的适用性。
(四)应急计划的可行性与有效性。
第八十三条 在影响单个机构或整个市场的流动性事件发生时,银监会作为母国和东道国监管者,将加强与境内相关职能部门及境外监管部门的沟通联系,充分了解商业银行境外分行或子行流动性状况对境内总行或母行流动性风险的影响以及境外总行或母行流动性状况对境内分行或子行流动性风险的影响。流动性事件包括但不限于:
(一)银行财务状况明显恶化。
(二)银行通过市场融资或吸收存款获取资金的途径即将丧失。
(三)银行或监管部门将进行影响较大的信息披露。
(四)银行信用评级显著调低。
(五)银行资产负债表突然出现系统性的杠杆化或去杠杆化。
(六)监管部门决定对资产或抵押物在法人间的转移或跨境转移进行或放松限制。
(七)出现严重的市场紊乱,对央行或支付清算系统造成明显冲击。
第五章 附则
第八十四条 农村合作银行、外国银行分行和城市信用社、农村信用社等其他银行业金融机构参照本指引执行。法律法规另有规定的,适用其规定。
第八十五条 本指引由银监会负责解释。
第八十六条 本指引自2009年11月1日起施行。商业银行最迟应于2010年底前达到本指引要求。因系统开发等特殊原因无法在上述时限内达标的,经银监会同意后可适当延期。
附件:商业银行流动性风险内部预警指标及应急计划内容 附件
商业银行流动性风险内部预警指标及应急计划内容
一、商业银行流动性风险内部预警指标可以是定性指标或定量指标,包括但不限于下列内容:
(一)资产快速增长,风险显著增大。
(二)资产或负债集中度上升。
(三)货币错配程度增加。
(四)负债加权平均期限下降。
(五)多次接近或违反内部限额和监管指标。
(六)特定业务或产品发展趋势下降或风险加剧。
(七)银行盈利水平、资产质量和总体财务状况显著恶化。
(八)负面的公众报道。
(九)信用评级下调。
(十)股票价格下降或债务成本上升。
(十一)批发和零售融资成本上升。
(十二)交易对手要求为信用暴露增加额外的担保或拒绝进行新交易。
(十三)代理行降低或取消授信额度。
(十四)零售存款的流出上升。
(十五)获得长期融资的难度加大。
二、商业银行应急计划的内容应包括但不限于下列内容:
(一)危机处理小组构成、职责分工和联系方式。
(二)危机期间内外部信息沟通和报告。
1.危机处理小组与外界的沟通工作:政府部门、监管部门、分析师、投资人、外部审计师、媒体、大客户和其他利益相关者。
2.高级管理层、资产负债委员会、投资组合经理、交易员、员工和其他人员信息沟通。3.相应的制度和系统支持,确保资产负债委员会及时收到相关报告,了解银行流动性问题的严重性。
(三)针对假设情景的具体应急措施及其局限性。
点击咨询 