第一篇:农商行电子银行风险评估项目招标文件
无锡农村商业银行电子银行风险评估
项目招标文件
为提升电子银行业务系统的安全性,防范电子银行系统建设、运维以及与技术相关的关键业务运作的风险,整改电子银行银行系统安全隐患,有效提高金融信息化安全保障能力。我行决定对电子银行业务系统做全面的风险评估。为了确保项目建设的质量,依据《中华人民共和国招标投标法》和国家的有关规定,对该项目采用公开招标方式进行本次招标工作。
一、招标项目
1、招标文件编号:WRCB-2016-12-12-xx;
2、项目名称:无锡农村商业银行电子银行风险评估项目;
3、招标内容:电子银行业务系统风险评估;
4、项目实施地点:无锡农村商业银行;
5、项目工期要求:项目签订1月内;
6、投标截止时间:2016年12月19日下午17:00;
7、开标日期:招标方另行通知;
8、投标和开标地点:无锡农村商业银行;
9、本项目采购人:无锡农村商业银行;
10、投标方式:密封投标。
11、联系方式
地址:江苏省无锡市金融二街9号
~1~
邮政编码:214000 电话: 传真: 联系人:
二、投标人资格要求
1、在中华人民共和国境内注册、具有独立法人资格、有能力提供招标项目要求的技术及服务,且具有良好的财务状况和商业信誉;
2、注册资金不少于500万元人民币;
3、投标人需具备丰富的国内银行业科技风险咨询、IT治理、IT审计、信息安全咨询、安全评估等方面的经验,熟悉商业银行重要业务系统和管理流程,并具有多个国内银行业信息安全审计、咨询、评估方面的项目案例;
4、投标人需具有中国信息安全认证中心相关的信息安全风险评估服务资质认证;
5、项目组成员必须(但不限于)具备以下资质:项目成员须具有3年以上的商业银行科技风险咨询项目经验;至少具备CISSP、CISA、ISO27001LA等资质;负责过银行科技风险管理和信息安全评估项目;
以下要求需要提供相应证明复印件,包括但不限于以下文件:(1)企业法人营业执照副本复印件;
~2~
(2)税务登记证副本复印件;(3)组织机构代码证复印件;
(4)投标人代表及法定代表人的有效身份证明;
(5)法定代表人授权书原件(投标代表是法定代表人无需);(6)服务对象、项目经理以及项目成员风险评估案例实施证明复印件;
投标人必须提交以上文件或证明的复印件,所有复印件应是有效、清晰,注明“与原件一致”并加盖投标人公章,否则无效。
三、招标项目内容和要求
1、投标方以书面的形式提供:机构介绍、主要业务领域,项目组成员的名单和详细技术背景资料,包括:学历、项目经验,技术职称,在本项目当中担任的职务;项目建设实施方案及建议;各项服务承诺,如售后服务体系、服务条款、培训服务及其他优惠条件;项目投标价格等;
2、本项目的主要内容见附件;
3、投标人需提供承担过金融行业信息科技风险评估相关合同证明复印件;
4、投标方提供详细的售后服务方案、投标人必须承诺从接到招标书之日起,对从招标活动中获得的招标人相关资料承担保密责任;
~3~
5、提供书面投标书二份(正本一份,副本一份)。
四、投标文件的递交
1、投标方应将投标文件用信封密封,并标明招标编号、投标项目名称及正本或副本。
2、密封信封上注明“开标前不准启封”的字样。
3、招标方将拒收在投标截止时间后送达的投标文件。
4、招标方将拒收投标方通过电报、电子邮件或传真送达的投标文件。
无锡农村商业银行 二〇一六年十二月十二日
~4~
附件:
一、风险评估的对象
此次项目针对我行电子银行渠道业务系统。具体包括:新上线直销银行、互联网支付平台以及原有门户网银、手机银行、微信银行等业务系统。
二、风险评估的目的
1、通过本次风险评估找到与监管部门要求的差距,按照《商业 银行科技风险指引》、《网上银行信息安全通用安全规范》、《电子银行业务管理办法》和《电子银行安全评估指引》等要求,对我行的电子银行业务系统在安全策略、内控制度、风险管理、系统安全、客户保护、电子银行业务运行连续性计划、电子银行业务运行应急计划、电子银行风险预警体系、其他重要安全环节和机制的管理等方面进行安全和管控能力的全面考察与评估。
2、对电子银行系统基础设施,根据风险分析和差异分析,提出 整改方案与措施,完善内控管理制度及运维流程。
3、通过本次风险评估的项目知识转移(包括:方法论和测评技 术),实现对评估知识、方法、技术和工具等的知识转移和团队培养。
三、电子银行风险评估内容
电子银行风险评估内容包括但不限于以下方面:
1、管理体系审核
通过对无锡农商行现有的安全管理体系进行审核,了解现有管理体系文档与相关国家和行业标准的符合情况。安全管理体系
~5~ 的文档包括现有的安全管理策略文档、制度文档、流程文档、方案文档、规范文档、应急计划、连续性计划等。
2、病毒木马分析
病毒木马检测是风险评估中开展威胁分析的重要方法之一,能 够切实发现信息系统遭受的网络攻击,实现网络攻击行为取证、攻击链还原等。
病毒木马检测主要通过对操作系统注册表、运行进程、文件目 录等静态信息进行检查,并与网络监测相结合,综合分析判断主机系统关键位臵是否存在病毒木马,并对病毒木马进行分析,查找病毒木马感染途径,查找风险源头。
3、专项日志分析
日志分析可以发现系统曾实际遭受过的威胁,是风险评估过程 中威胁识别的重要方法之一。日志分析利用系统内产生的各种日志对可能存在的安全威胁进行收集分析,使管理者和工作人员能够掌握系统内切实存在的威胁行为,从而制定有针对性的防御措施,维护系统的安全性。日志分析的对象包括各类主机系统、网络设备、数据库、应用系统等。
4、渗透测试
渗透测试是指在获取用户授权后,通过真实模拟实际的漏洞发 现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞。
(1)漏洞挖掘:漏洞范围覆盖到OWASP Top 10漏洞类型。覆盖
~6~
自研系统、中间件、WEB框架、文件上传组件等。
(2)漏洞跟踪:建立漏洞跟踪机制,关注CNNVD、CNVD、CVE、Wooyun、Sebug、Scap、Exploit-db、Freebuf等漏洞披露平台,及时检测无锡农商银行网站是否存在同类安全漏洞。
5、安全漏洞扫描
安全扫描主要是通过评估工具以本地扫描的方式对评估范围内 的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。
6、网络架构分析
针对ATM机、营业网点、异地支行等接入过程中带来的病毒威 胁,通过在网络边界采取病毒防护措施,将病毒扼杀的网络边界处,防止病毒传播进行内网。
7、安全配臵核查
配臵核查是通过现场人工核查的方式,对安全设备、应用系统、网络设备等基础设施的配臵进行核查,分析现有安全配臵是否满足安全防护的需求。
系统的网络设备和主机的配臵核查应主要考虑以下几个方面:(1)是否最优的划分了VLAN和不同的网段,保证了每个用户 的最小权限原则;
(2)内外网之间、重要的网段之间是否进行了必要的隔离措施; 路由器、交换机等网络设备的配臵是否最优,是否配臵了安全参数;
~7~
(3)安全设备的接入方式是否正确,是否最大化的利用了其安 全功能而又占系统资源最小,是否影响业务和系统的正常运行;
(4)主机服务器的安全配臵策略以及防火墙、入侵检测等安全 系统自身的保护机制是否实现;
~8~
第二篇:2015年信用社农商行电子银行述职报告
2015年述职报告
电子银行部 XXX 时间如梭,转眼间2015年已经在紧张忙碌的工作中度过了。回首这一年的工作,我始终保持着饱满的工作热情和良好的工作态度。通过各级领导及同事的指导与帮助,严格要求自己努力学习专业知识,提高专业技能,完善业务素质,在工作岗位上兢兢业业、勤奋自律。参加工作以来,我拥护党的领导,坚守岗位,立足本职,服从上级安排,积极主动的履行工作职责。我始终遵循银行从业人员职业道德规范,自觉加强相关金融政策及法律法规的学习,构筑牢固理论知识结构,不断提升自身的整体综合素质。
一、XXXX年XX月至XXXX年XX月我被XX项目组抽调借用,参与完成XXXX系统的需求实现与测试工作。再省联社项目组工作期间,始终坚持对自己高标准,严要求,顾全大局,不计得失。因为在项目组工作期间不仅代表着自己,更代表着XXXX的形象。凭着自己十余年来对基层业务的掌握,圆满的完成了XXXX权系统的建设工作,并成功完成了XXXX的试点工作,得到了省联社领导的认可和表扬。我知道这一切与行领导的悉心指导和同事的耐心帮助是分不开的。
二、XXXX年XX月感谢领导信任,我被调至电子银行部工作,主要负责ATM和科技业务工作。面对新的工作任务,我一方面自觉加强学习,虚心求教,不断理清工作思路。另一方面,通过学习规章制度和实践锻炼,理论实践相结合,在具体的工作中形成了清晰的工作思路,去完成本职工作。在短时间内熟悉各项业务操作,明确工作的流
程、方向,提高了工作能力。在各级领导和同事的帮助下,不断进步,捋顺工作中各项情况,找到了切入点,把握住了工作重点和难点,为全区业务系统和自动柜员机更好更安全的运行提供了强有力的保障。
三、作为一名普通的银行工作人员,我深知,没有过硬的业务理论知识和娴熟的操作技术的支撑,就无法为客户提供完善快捷的服务。为了全面提升自己的综合素质,跟上政策规章制度的变化,我自觉利用休息时间,系统的学习了相关规章制度和新下发的各项文件,使自己对现行的政策、规章制度有了一个较为全面的认识。此外,为了迅速适应新时期金融工作开展的需要,增强整体业务学习的系统性和连续性,一年多来,本着谦虚谨慎的学习态度,多渠道的认真学习各项金融知识,密切关注时事政治和宏观经济动向,对于下发的各类文件、资料,不仅仅简单的停留在了解的层面上,更注重对各种资料的融会贯通、学以致用,通过日常工作的开展,不断积累工作经验,在综合业务能力、综合分析能力、协调办事能力、文字语言表达能力等方面,都有了很大的提高。
总体来说2015我在工作中取得了较大成绩。但在金融业日趋激烈的竞争中,我将再接再厉,提高思想政治觉悟,更加努力的学习业务理论知识,继续加强业务实际操作能力,把理论学习与实际操作更有效的结合起来,提升自身业务素质,为丰润农商行的发展贡献自己最大力量。
第三篇:农商行全面风险管理办法
**农商银行全面风险管理办法
第一章 总则
第一条
为推进全面风险管理体系建设,提升风险管理水平,依据境内外有关监管指引、农商行《章程》,并借鉴国际银行业风险管理的经验做法,特制定本办法。
第二条
本办法所称风险,是指对农商行实现既定目标可能产生影响的不确定性,这种不确定性既可能带来损失也可能带来收益。本办法主要关注带来损失的不确定性。
(一)信用风险。是指因借款人或交易对手未按照约定履行义务从而使农商行业务发生损失的风险。
(二)市场风险。是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使农商行表内和表外业务发生损失的风险。
(三)操作风险。是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。
(四)流动性风险。是指因农商行无法以合理的成本及时筹集到客户和交易对手当前和未来所需资金而对农商行经营所产生的风险。
除上述风险外,农商行还关注外部监管部门或农商行董事会
-1- 要求关注的其他风险。
第三条 本办法所称全面风险管理是指农商行董事会、高级管理层和全行员工各自履行相应职责,有效控制涵盖全行各个业务层次的全部风险,进而为农商行各项目标的实现提供合理保证的过程。
第四条 农商行风险管理应遵循以下原则:
(一)收益与风险匹配
制定风险管理战略和进行风险管理决策,必须考虑承担的风险是在农商行的风险容忍度以内,并有预期的收益覆盖风险,经风险调整的资本收益率能够满足股东的最低要求或符合农商行的经营目标。
(二)内部制衡与效率兼顾
农商行在风险管理规章制度中明确界定各部门、各级机构和各层级风险管理人员的具体权责,实行前中后台职能相对分离的管理机制。各部门、境内外分支机构和全体员工之间要有效沟通与协调,优化管理流程,不断提高管理效率。
(三)风险分散
农商行实现信用风险敞口在国家、地区、行业、产品、期限和币种等维度上的适度分散,防范集中风险。严格遵循监管标准,审慎核定单一客户和关联客户授信额度,有效控制客户信用风险集中度。
农商行实现市场风险敞口在国家、地区、市场、产品、期限 -2-和币种等维度上的适度分散,并采用适当的方式实现市场风险的有效分散。
农商行统一管理全行的流动性,建立分层次的流动性储备体系,确保融资渠道的多元化。
(四)定量与定性结合
农商行着力提升风险计量水平,开发与农商行业务性质、规模和复杂程度相适应的风险计量技术,推广应用国际先进银行业成熟的风险管理经验,实现定性分析和定量分析的有机结合。
(五)动态适应性调整
持续不断地检查和评估内外部经营管理环境和竞争格局的变化及其对农商行全面风险管理所产生的实质性影响,及时调整风险管理政策、制度和流程,以确保风险管理与农商行业务发展战略等相一致。
(六)循序渐进
本办法立足于农商行风险管理现状,提出了未来风险管理的发展目标和前瞻性要求,是风险管理的指导性文件,农商行将逐步实现本办法的要求。
第二章 内部环境
第五条
风险管理文化、风险容忍度、风险管理战略和组织架构等构成农商行风险管理的内部环境,是风险管理所有构成要素的基础。
-3- 第六条 风险管理文化包含了道德和行为准则以及它们的沟通和强化方式,通过风险容忍度、风险管理战略、管理行为等表现出来,农商行致力于风险管理文化的建设和传播。
第七条 风险容忍度是在经营管理过程中所愿意承担的风险水平。农商行采取定性和定量相结合的方式描述风险容忍度。
第八条 风险管理战略是农商行为了实现经营发展目标所制定的一系列风险管理目标、措施等,具有全局性、长远性、纲领性、相对稳定性,并随内外部环境变化实施动态管理。
第九条 董事会及其专门委员会、高级管理层及其专业委员会、风险管理部门和内部审计部门等构成农商行风险管理的组织架构。
第十条 董事会按农商行《章程》规定履行风险管理的职责,主要包括:制定农商行风险管理战略和风险管理的基本管理制度,并监督制度的执行情况等。
第十一条 监事会按农商行《章程》和有关监管指引履行风险管理的职责,主要包括:对董事会和高级管理人员的履职情况进行监督,对农商行的风险管理情况进行检查监督等。
第十二条 董事会风险管理委员会按农商行《章程》及相关工作规则规定履行风险管理的职责,主要包括:审核和修订农商行风险管理战略、风险管理政策等,对其实施情况及效果进行监督和评价,并向董事会提出建议等。
第十三条 高级管理层主要负责执行董事会制定的风险管 -4-理战略,制订风险管理的程序和规程,管理农商行各项业务所承担的风险。
第十四条 高级管理层风险管理委员会是农商行行长进行风险管理的决策机构,风险管理委员会及其下设专业风险管理委员会按照农商行《章程》和专业委员会工作规则开展工作。
第十五条 农商行设立专门部门牵头负责全面风险管理、信用风险管理、市场风险管理、操作风险管理和流动性风险管理等,推动全面风险管理体系建设。
第十六条 农商行各部门、各级机构均应在全面风险管理中承担相应职责,主要包括:传播农商行风险管理理念,树立全面风险管理意识;明确员工在风险管理中承担的职责等。
第十七条
内部审计工作按农商行《章程》规定履行其在风险管理中的职责,对农商行风险管理的效果进行独立客观的监督、检查、评价和报告。
第三章 目标管理
第十八条 目标设定是风险管理的前提。战略目标、经营目标、报告目标和合规目标是实施全面风险管理的重要组成部分。农商行建立目标管理责任制,实行分工负责制和逐级负责制。
第十九条 战略目标与公司使命、愿景和宗旨相一致,是设定相关目标及其子目标的导向。
第二十条 经营目标是农商行战略目标的具体反映,关注于
-5- 农商行经营活动的有效性和效率,保证农商行战略目标的实现。
第二十一条 报告目标应与农商行战略目标相一致,保证为董事会和高级管理层、监管机构、投资者和客户提供准确、及时、完整的信息,农商行建立包括风险报告制度在内的报告工作制度体系以及信息披露制度等。
第二十二条 合规目标应与农商行战略目标相一致,保证农商行从事的经营管理活动符合相关法律法规和农商行规章制度,并确保支持农商行经营目标和报告目标的实现。
第四章 风险管理流程
第二十三条 风险管理流程是指包括风险识别、风险度量、风险控制、风险监测与报告等一系列风险管理活动的全过程,应能贯彻执行既定的战略目标,与银行风险管理文化相匹配。
第二十四条 风险识别是指对影响农商行各类目标实现的潜在事项或因素予以全面识别,鉴定风险的性质,进行系统分类并查找出风险原因的过程。
第二十五条 风险度量是指在通过风险识别确定风险性质的基础上,对影响目标实现的潜在事项出现的可能性和影响程度进行度量的过程。风险度量通常采取定性与定量结合的方法。
第二十六条 风险控制是指在风险度量的基础上,综合平衡成本与收益,针对不同风险特性确定相应的风险控制策略,采取措施并有效实施的过程。常见的风险控制策略包括:风险规避、-6-风险分散、风险对冲、风险转移、风险补偿等。
第二十七条
风险监测是指监测各种可量化的关键风险指标和不可量化的风险因素的变化和发展趋势,以及风险管理措施的实施质量与效果的过程。
第二十八条 风险报告是指在风险监测的基础上,编制不同层次和种类的风险报告,遵循报告的发送范围、程序和频率,以满足不同风险层级和不同职能部门对于风险状况的多样性需求的过程。
第二十九条 在引进或采取新的产品、业务、程序和系统时,应对其实施风险识别、度量、控制、监测和报告等一系列风险管理活动。
第五章 信用风险管理
第三十条 农商行应建立与业务性质、规模和复杂程度相适应的信用风险管理流程,有效识别、度量、控制、监测和报告信用风险,将信用风险控制在农商行可以承受的范围内。
第三十一条 农商行对产品与业务中的信用风险进行识别,同时关注信用风险与其他风险之间的相关性,防范其他风险导致信用风险损失事件的发生。
第三十二条
引发信用风险的因素包括:国家、地区、行业、客户、交易方式等,农商行各级机构应高度重视资产与业务中信用风险在上述维度的集中情况。
-7- 第三十三条 农商行信用风险主要来自于信贷资产、信用担保、贷款承诺、衍生产品交易、结算交易等业务。
第三十四条
农商行在单一与组合两个层面上对信用风险进行计量与评估。单一信用风险的计量与评估对象包括借款人或交易对象以及特定贷款或交易,组合信用风险的计量与评估对象包括农商行各级机构及国家、地区、行业等。
第三十五条 农商行应建立和不断完善信用风险计量模型,在实现内部评级初级法的基础上,力争使用高级法来计量信用风险及其对应的资本要求。农商行采用压力测试和其他非统计计量方法进行补充。同时,农商行重视定性评价在信用风险度量中所起的重要作用。
第三十六条 农商行定期对已评定信用风险情况进行复查,当条件改变时及时进行重新评估。
第三十七条 农商行应建立完整的授信政策、决策机制和统一授信的业务操作程序,明确尽职要求,定期或在有关法律法规发生变化时,对授信业务规章制度进行评审和修订。
第三十八条 农商行对信用风险实施限额管理,制定涵盖国家、地区、行业、客户、产品、以及农商行各级机构等多维度的限额指标。
第三十九条 农商行不断完善信贷管理流程,实现信贷审查、信贷审批、贷款发放等职能的分离。
第四十条
农商行建立信用风险监测程序,对单个债务人或 -8-交易对手的合同执行情况进行监测;对投资组合进行整体监测,防止风险在国别、行业、区域、产品等维度上的过度集中。
第四十一条 农商行应建立和完善信用风险报告制度,明确规定信用风险报告应遵循的报送范围、程序和频率,编制不同层次和种类的信用风险报告,以满足不同风险层级和不同职能部门对于信用风险状况的多样性需求。
第四十二条 农商行按照有关监管部门关于商业银行资本充足率管理的要求,根据农商行信用风险状况和资本实力,为农商行所承担的信用风险提取充足的资本。
第六章 市场风险管理
第四十三条 农商行致力于建立与业务性质、规模和复杂程度相适应的市场风险管理流程,有效识别、度量、控制、监测和报告市场风险,将市场风险控制在农商行可以承受的范围内。
第四十四条 农商行明确银行账户和交易账户的划分标准、管理要求和调整程序。根据不同账户的性质和特点,农商行采取不同的市场风险识别、计量、控制和监测方法。
第四十五条 农商行对业务和产品中的市场风险因素进行分解和分析,及时、准确地识别交易和非交易业务中的市场风险的性质和类别。同时,关注市场风险与其他风险之间的相关性。
第四十六条 引发市场风险的因素主要包括:利率因素、汇率因素(包括黄金)、股票价格因素、商品价格因素等。
-9- 第四十七条 农商行应选用适当的方法度量银行账户和交易账户中不同类别的市场风险,对银行账户中的可供出售类资产进行定期估值,逐步实现对交易账户的逐日评估。
第四十八条 市场风险的常用计量方法包括缺口分析、久期分析、外汇敞口分析、敏感性分析、情景分析和运用内部模型计算风险价值等。
第四十九条 农商行逐步开发和使用内部模型来计量风险价值,合理选择、定期审查和调整模型技术,对所承担的市场风险进行量化估计。同时,农商行采用压力测试和其他非统计类计量方法进行补充。
第五十条 农商行对市场风险实施限额管理,制定各类和各级限额的内部审批程序和操作规程,根据业务性质、规模、复杂程度和风险承受能力设定、定期更新限额。
第五十一条 农商行采取市场风险对冲手段,在综合考虑对冲成本和收益情况下,运用金融衍生产品等金融工具,在一定程度上实现对市场风险的控制或对冲。
第五十二条 农商行应对市场风险有重大影响的情形制定应急处理方案,视情况对应急处理方案进行测试和更新。
第五十三条 农商行建立市场风险监测程序,对全行总体市场风险头寸、风险水平、盈亏状况、市场风险限额执行情况等进行持续监测。
第五十四条 农商行应建立和完善市场风险报告制度,明确 - -10规定市场风险报告应遵循的报送范围、程序和频率等,编制不同层次和种类的市场风险报告,以满足不同风险层级和不同职能部门对于市场风险状况的多样性需求。
第五十五条 农商行按照有关监管部门关于商业银行资本充足率管理的要求,根据农商行市场风险状况和资本实力,为农商行所承担的市场风险提取充足的资本。
第七章 操作风险管理
第五十六条
农商行应建立与业务性质、规模、复杂程度和风险特征相适应的操作风险管理流程,识别、度量、控制、监测和报告操作风险,将操作风险控制在农商行可以承受的范围内。
第五十七条 农商行的操作风险存在于各类业务和管理活动之中,农商行对产品、活动、程序和系统中固有的操作风险进行识别。
第五十八条 操作风险事件包括:内部欺诈,外部欺诈,就业制度和工作场所安全事件,客户、产品和业务活动事件,实物资产的损坏,IT系统事件,执行、交割和流程管理事件等。
第五十九条 农商行统一操作风险损失事件的统计口径,积累各类操作风险的发生频率及损失额等历史数据,不断完善内外部损失事件数据库。
第六十条
农商行采用自我评估和第三方独立评估等方式对操作风险的影响程度和控制能力进行持续评估。自我评估可由
-11- 各级操作风险管理部门牵头负责,也可以由各级业务部门和支持保障部门自行发起组织。第三方独立评估主要由外部监管部门、外部审计部门、农商行内部审计部门进行。
第六十一条 农商行应建立和不断完善操作风险计量模型,在实现标准法的基础上,逐步使用高级法来计算农商行操作风险及其对应的资本要求。同时,农商行采用压力测试和其他非统计类计量方法进行补充。
第六十二条 农商行应明确业务及管理活动、业务流程及操作环节的关键风险点和控制措施要点,制定和适时修订相关程序和操作指南等。
第六十三条 农商行应建立和完善各级管理层职责明确的审批和授权制度,并确保有效执行。
第六十四条 农商行可将部分业务或操作环节外包给外部专业机构处理,但应制定与外包业务有关的风险管理政策,确保业务外包有严谨的合同或服务协议。
第六十五条 农商行可将购买保险以及与第三方签订合同作为缓释操作风险的方法,但应制定相关的书面政策和程序。农商行同时关注运用保险工具将风险转嫁到其他领域所产生的风险。
第六十六条 农商行应制订控制和缓释重大操作风险的政策、程序和步骤,主要包括:风险控制的策略及方法、内部控制制度等。
- -12第六十七条 对关键业务或环节,农商行应制订应急和业务连续方案,建立恢复服务和保证业务连续运行的备用机制,并定期检查、测试灾难恢复和业务连续机制有效性和适用性。
第六十八条 农商行建立操作风险监测程序,对关键操作风险指标和操作风险损失事件进行监测分析,及时反映农商行操作风险的暴露情况和操作风险资本的变化。
第六十九条 农商行应建立和完善操作风险报告制度,明确规定操作风险报告应遵循的报送范围、程序和频率等,编制不同层次和种类的操作风险报告,以满足不同风险层级和不同职能部门对于操作风险状况的多样性需求。
对即时发生或接到的重大突发事件,各部门、各级机构要及时报告。在应急处置过程中,要随时关注事态发展,及时报告后续情况。
第七十条 农商行按照有关监管部门关于商业银行资本充足率管理的要求,根据农商行操作风险状况和资本实力,为农商行所承担的操作风险提取充足的资本。
第八章 流动性风险管理
第七十一条 农商行应建立与业务性质、规模、复杂程度和风险特征相适应的流动性风险管理流程,不断完善流动性风险管理机制,及时满足全行业务发展对流动性的需求。
第七十二条 引发流动性风险的因素包括:存款客户支取存
-13- 款、贷款客户提款、债务人延期支付、资产负债结构不匹配、资产变现困难、经营损失和衍生品交易风险等。
第七十三条 农商行根据监管部门相关规定,结合农商行实际状况制定流动性风险管理指标体系,包括监管指标和内部控制指标。
第七十四条 农商行运用多种度量方法分析和预测农商行当前和未来、以及在不同情景假设下本外币资金来源与运用变化趋势,持续度量农商行的净融资需求。
第七十五条 流动性风险的度量方法包括但不限于:流动性缺口、期限阶梯、敏感性分析、情景分析等。同时,农商行采用压力测试和其他非统计类计量方法进行补充。
第七十六条 农商行对流动性风险实施限额管理,制定流动性风险限额的内部审批程序和操作规程,根据业务性质、规模、复杂程度和风险承受能力设定、定期审查和更新限额。
第七十七条 农商行应建立本外币资金集中管理机制和有效的系统内资金调控机制,强化大额资金运动预测预报、系统内存款和借款、系统内资金拆借和系统内备付金的管理,实现全行流动性的统一调度和流动性风险的统一管理。
第七十八条 在平衡安全性、流动性和盈利性的基础上,农商行应调整和配置全行资产负债规模和期限结构,建立分层次的流动性储备体系,优化流动性储备资产规模和结构,及时通过货币市场和资本市场实现流动性管理组合目标。
- -14第七十九条 农商行积极开拓融资渠道,实施融资分散化和多样化管理战略,优化农商行资产负债组合。
第八十条 农商行应建立紧急情况下的流动性风险应急处理机制,制定处理流动性危机的预案及相关部门的职责与分工。定期对应急处理方案进行测试,不断更新和完善应急处理方案。
第八十一条 农商行建立流动性风险的监测程序,实现对潜在重大流动性风险的提前预警。
第八十二条 农商行应建立和完善流动性风险报告制度,明确规定流动性风险报告应遵循的报送范围、程序和频率,编制不同层次和种类的流动性风险报告。农商行流动性风险报告应能反映本外币流动性风险的管理情况。
第九章 风险管理信息与沟通
第八十三条 农商行明确信息收集的范围、标准、过程,以及各部门、各级机构和人员在信息收集与加工过程中的职责,不断提高信息质量。
第八十四条 农商行建设覆盖各级机构、业务领域的数据仓库和管理信息系统,及时、准确地提供风险管理所需要的各种数据,以实现对风险的有效识别、计量、监测等。
第八十五条 风险管理信息的沟通方式可分为以下四类:自上而下的纵向沟通、自下而上的纵向沟通、横向沟通与外部沟通。
第八十六条
各部门和各级机构应将农商行风险管理战略、-15- 政策、制度及相关规定等信息传达给员工,以确保员工了解管理层的意图,正确履行所承担的职责。
第八十七条 农商行充分重视员工在风险管理中的作用,支持员工将发现的风险及风险管理中存在问题向管理层进行报告,各部门和各级机构须及时处理员工反映的问题。
第八十八条
各部门和各级机构之间应顺畅沟通风险管理信息,实现风险管理信息的共享。
第八十九条 农商行高度重视外部建议与意见,制定流程规则来保证沟通渠道的畅通,并使之得到及时处理。
第九十条 农商行严格按照相关法律、法规和规章规定的信息披露原则和农商行相关的信息披露制度,披露风险管理相关信息。
第十章 监督与评价
第九十一条 农商行通过持续监控、个别评价或者两者结合对农商行风险管理的有效性进行监督与评价。持续监控发生在风险管理活动的正常进程中,个别评价是对持续监控的补充。
第九十二条 持续监控的信息来源包括:各种业务的经营管理报告和风险管理报告,监管机构向农商行出具的监管报告,内部审计机构出具的内部审计报告和外部审计机构出具的外部审计报告及管理建议书等。
第九十三条 管理层在评价农商行风险管理的有效性时,可 - -16以利用内部审计师和外部审计师的工作。
第九十四条 个别评价通常采取自我评估的形式,评价方法和工具包括核对清单、调查问卷、流程图技术等。
第九十五条 风险管理缺陷是指在风险管理过程中存在的、影响农商行制订和执行战略以及实现目标的问题。农商行风险管理缺陷的信息来源于对农商行的风险管理进行持续监控和个别评价,以及农商行外部方面提供的重要信息,如客户、外部审计师和监管机构等。
收到风险管理缺陷信息的管理人员,应及时向相应的管理部门报告。收到风险管理缺陷报告的管理部门应及时采取矫正措施。
第九十六条 农商行应建立风险管理评价制度,对分支机构风险管理水平进行全面考察与定期评价。
第十一章 附则
第九十七条 本办法自201办法3月1日起执行。
-17-
- -18
第四篇:农商行公司治理评估报告
XXX农村商业银行
2017公司治理评估报告
按照《中国银监会办公厅关于加强农村商业银行股东股权管理和公司治理有关事项的意见》(银监发【2017】99号)和《商业银行股权管理暂行办法》(银监会令2018第1号)文件要求,现将XXX农村商业银行2017的公司治理评估情况汇报如下:
一、股权管理方面
我行现有股东18户,股本金50,000万元,全部为普通股。其中:法人股8户40,000万元,占股本总额的80%;自然人股10户10,000万元,占股本总额的20%。截止2017年末,股东、股权未发生变化,没有股权质押、没有职工入股及代持等情况,入股资金均为投资人自有资金,股东资质符合监管要求。我行逐步建立了健全的股权管理制度和股权管理系统,对股东资质条件、股权登记确认、股权集中托管、股权变更程序、股权质押行为、股权转让方式和股东重大信息报告等事项明确了管理要求,同时在发生变更时能够及时登记和上报。
二、关联交易控制方面
我行在章程中明确了关联交易相关规定,制定了关联交易制度和办法,董事会下设关联交易控制委员会,独立董事担任主任委员,关联交易管理架构和制度办法较为完善。不存在为股东发放无担保贷款、为股东融资行为提供担保等情况。不存在股东借道同业、信托产品和资产管理产品等方式违规开展关联交易的情况。
三、董事会和监事会履职方面
董事会、监事会及下设的各专门委员会的议事规则和决策机制明确,履职能力能够充分发挥,决策机制、监督机制和激励机制设置的科学合理。董事会在一定范围内授权经营层开展各项业务、审批权限等,经营层定期向董事会报告,确保了我行在有效的监督下高效运作,最大限度地保证公司的发展和股东的利益,通过不断完善的内部制度来协调公司和所有者利益相关者之间的利益关系,以保障我行决策的科学性、有效性。
四、薪酬及考核机制
我行已建立了一套具有自身特点,符合我行长期发展规划和战略目标的绩效薪酬考核体系。符合“稳健经营、合规引领、战略导向、综合平衡、统一执行”的原则。考核指标侧重合规经营类和风险管理类指标。
高管的绩效工资按照50%的比例实行延期支付,延期支付不低于三年,期间如发生重大安全事故、重大风险事故等对已经发放的进行追索。
特此报告。
2018年5月15日
第五篇:农商行未来三年风险战略
湘潭农村商业银行2012-2015年风险管理计划
为促进湘潭农商行建立风险管理体系,完善风险管理机制,真正贯彻落实全面风险管理,有效防范各类风险,确保农商行安全稳健运行和可持续发展。根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》和《农村中小金融机构风险管理机制建设指引》等法律法规及监管要求,结合省联社风险管理工作的部署和我行的发展实际特制定我行2012-2014年风险管理战略。
一、指导思想
贯彻落实《湖南省农村信用社2012年风险管理工作要点》(湘信联办[2012]36号,以下简称《工作要点》)要求,以科学发展观为指导,建立完善风险管理组织体系;制定全面风险管理长效机制建设规划和战略;完善主要业务管理制度和操作流程;建立风险管理队伍;完善风险管理考核办法,建立风险管理监督、考核评价机制;建立风险评价指标体系;建设风险管理信息科技系统;初步建立全面风险管理文化及构建湘潭农村商业银行全面风险管理长效机制。
二、目标任务 工作主要目标和任务:
(一)完善风险管理组织体系,理清各部门风险管理职责 成立风险管理委员会,并制定相应的工作职责和相关制度;完善风险管理部各岗位职责,配齐人员;清理各支行、各部门风险管理职责。
(二)制定全面风险管理长效机制建设规划和战略
(三)完善主要业务管理制度和操作流程
(四)建立风险管理队伍并制定配套管理办法
(五)制定完善风险管理工作考核办法,建立风险管理监督、考核评价机制;完善员工违规行为处罚办法。
(六)建立风险评价指标体系,对风险状况进行科学评估
(七)建设风险管理信息科技系统
开发、引进信息科技系统,探索用科技手段管理风险。
(八)初步建立全面风险管理文化
三、风险管理原则
1、全面性原则。全行三年内要基本实现建立覆盖全部机构、全部风险类别、全部业务流程、全部操作环节、全员参与的风险管理体系,使风险管理贯穿决策、执行和监管的全过程。
2、适应性原则。全行的风险管理组织架构和管理模式应与经营规模、业务范围和风险水平相适应,并根据发展状况适时调整,以合理的成本实现风险管理目标。
3、独立性原则。为了全包全行风险管理部门和人员能够在风险管理过程中有效发挥制衡作用,风险管理部门和人员必须单独设置,并根据风险管理系统的工作程序和路线行使职责,确保风险管理系统运作的独立性。
4、融合发展原则。全行的风险管理以支持业务发展为原则,风险管理要与业务发展紧密结合,以风险管理推动业务稳定发展,通过不断提高风险管理水平提高整体经营管理能力,确保全行的整体价值长期稳定持续增长。
四、风险管理的组织架构
有效的风险管理应建立在管理层次分明,分工明确,职责清楚、报告清晰、相互制衡、运行高效的风险管理组织架构上,明确各层级风险管理职责,加强风险管理条线独立性和专业性。强化风险管理队伍建设,制定实施培训计划,将精通业务、坚持原则的同志充实到风险管理队伍中,积极引进人才充实到风险管理部门的关键岗位,力争用三年时间完善风险管理组织体系。
我行董事会负责建立和保持有效的风险管理体系,明确风险管理职责,对风险管理承担最终责任;下设风险管理委员会,根据董事会授权履行风险管理职责;监事会主要负责监督风险管理体系的建立和运行,根据监事会的计划实话实施全面监督;高级管理层是各行社风险管理执行的主体,对董事会负责,明确各职能部门的风险管理职责,筑牢第一道防线;总行根据业务发展需要设置首席风险官(风险总监),首席风险官负责风险管理条线工作,不得分管前台业务工作,直接对主管副行长负责,总行风险管理部门必须保持独立,逐步实现对信用风险、市场风险、操作风险、流动性风险等的统一管理;各职能部门和分支行是农商行风险管理的第一道防线,明确本部门和机构的风险管理职责,设立风险管理的相关岗位(风险经理),直接隶属风险管理部;风险经理的职责是对部门和支行各类风险进行识别、检测、控制和报告,对风险管理部和支行管理层负责。主要负责对各支行资产负债业务的合法、合规性,贷款资料的齐全性,借款主体的合法性,业务的风险点和环节出具风险审查报告,要求风险经理对每一笔业务出具风险审查报告和风险提示,并且签字和盖章,风险经理要求业务精英和责任心请的客户经理担任。
五、工作规划、时间安排及工作措施
整个工作时间为2012年11月至2015年5月。
第一阶段:完善组织体系,夯实制度基础,制定三年工作规划。时间安排:2012年10-12月。主要措施:
(一)、提出建立风险管理的架构的愿景。
(二)、初步制定和理清有关风险管理的各项规章制度。
(三)、结合自身实际,融合发展原则制定风险管理三年规划。第二阶段:完善风险管理组织架构,理清各部门风险管理职责 时间安排:2013年1-4月。主要措施:
(一)举办一次全面风险管理长效机制建设培训班,提高全体员工风险管理方面的理念和认识。
(二)成立风险管理委员会,完善风险管理委员会工作机制。召开董事会,确定成立风险管理委员会,制定相应的管理制度和职责,制订并完善董事会的风险管理职责。
(三)按照省联社《工作要点》的要求,风险管理部配齐工作人员,专司风险管理职责。
(四)理清各部门风险管理职责,各部室明确一名负责人分管风险管理工作并设立风险管理岗位,配备专职或兼职人员负责各本部门及本业务条线的风险管理工作。
第三阶段:完善主要业务管理制度和操作流程 时间安排:2013年5月至2013年9月。主要措施:
(一)队信贷业务和前台操作业务的各项制度和业务流程进行梳理。
(二)制订、完善信贷业务和前台操作业务的各项制度,对业务流程进行再造。
(三)流程再造初步完成后,进行试用并进一步完善。
(四)对上述主要业务制度、办法印发实施,对再造后的业务流程编制手册,下发各业务岗位执行。
第四阶段:建立风险管理队伍并制定配套管理办法。时间安排:2013年10月至2014年2月。主要措施:
(一)组织机关部室经理和部分支行行长代表,对全行所有支行进行分类,并根据分类结果和各支行业务状况,核定风险经理编制数。
(二)组织制订风险经理管理制度,包括管理办法、选拔、考评与考核办法等。
(三)建立风险管理队伍,从客户经理中选拔一批思想素质过硬、业务素质高、工作经验丰富的客户经理作为风险经理。
第五阶段:制定完善风险管理考核办法,建立风险管理监督、考核评价机制;修订完善《员工违规行为处罚办法》
时间安排:2014年3-6月。主要措施:
(一)制订风险管理工作考核办法,对各部门、各风险管理岗位的履职情况,工作任务完成情况进行考核。
(二)修订和完善《员工违规行为处理办法》,交职代会通过后严格执行。
第六阶段:建立风险评价指标体系。时间安排:2014年7-9月。主要措施:
(一)广泛调研提出相关风险评价指标、制定评价细则。
(二)用风险评价指标体系对本行的风险状况进行测评。
(三)针对测评存在的问题对指标体系进行完善,最终建立一个科学完善的风险评价指标体系。
第七阶段:建设风险管理信息科技系统 时间安排:2014年10月至2014年12月。
引进、开发主要业务风险管理系统,探索用科技手段防范风险的方法。
第八阶段:初步建立全面风险管理文化 时间安排:2015年1月至2015年4月。主要措施:
(一)强化风险管理教育培训,举办全员风险管理培训班,推动风险管理观念及理念转变,普及风险管理基本知识。
(二)通过各种方式,将“风险管理人人有责”、“风险管理创造价值”等理念深入每个员工,营造良好的风险管理文化氛围。
(三)推动全面风险管理文化建设,开展各种活动,如征文比赛,知识抢答赛、演讲比赛等,将全面风险管理文化有机的融入日常工作中。
第九阶段:工作小结和总结阶段
2013年年底对前期工作进行小结,2015年5月底对整个工作进行全面总结。
![下载农商行电子银行风险评估项目招标文件[合集5篇]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 