第一篇:中国银行业风险管理综述-德勤-2009-基于百家金融机构调研的数据分析及洞察
中国银行业风险管理综述
2009年12月11日14:25
(作者为德勤管理咨询金融服务行业高级经理)
全面风险管理已经成为整个金融行业的关注焦点和工作重心,无论是监管层、投资者,还是金融机构本身,都对全面风险管理提出了明确的目标和更高的要求。德勤公司于2008年下半年至2009年初对全球金融行业风险管理状况进行了问卷调查。本次调查囊括了全世界总资产超过19万亿美元的111家金融机构,其中包括9家中国大中型银行和保险公司。是次调查征求了上述公司首席风险官或同等职务人员的意见。
本次调研聚焦于金融风暴下的风险管理,从风险治理、企业风险管理(ERM)、巴塞尔新资本协议与资本管理、关键风险管理(包括信用风险、市场风险、流动性风险、操作风险),以及风险管理系统与技术基础设施等五大领域展现了目前全球金融机构及中国大型金融机构取得的成绩、面临的挑战及亟待完善的方面。
中国监管层在推进金融业全面风险管理建设的过程中功不可没,其坚定的决心和清晰的合规目标要求是中国各大银行实施新资本协议乃至全面风险管理的最重要的外在动力。随着中国成为巴塞尔委员会新的成员国,中国金融体系将在世界经济舞台上扮演更重要的角色,并承担更重要的职责。这样的机遇恰恰也同样对中国金融体系本身的风险管控能力和水平的提升提出了更高的要求。
除了应对严格的监管要求外,面对日益复杂的全球金融环境,以及给全世界带来重大影响的金融危机,国内主要金融机构内在的管理要求和发展需求也是推动全面风险管理建设的核心动力。目前,几家大型银行及部分规模较大的股份制银行都已经结合新资本协议的实施,根据自身的业务特点及管理特色,制定了科学、严谨、合理、可行、具操作意义的全面风险管理建设规划,并正在积极开展具体的实施工作。而其他的股份制商业银行以及城市商业银行都已经将全面风险管理建设作为银行未来几年的战略性工作重点,纳入议事日程,很多银行正在或者准备开展相关的建设规划的工作。
风险治理
加强董事会监管职能已经越来越得到银行的重视。接受调查的国内金融机构中,董事会都承担着重要的职责,包括负责风险偏好制定,风险政策审批,设立风险管理委员会,接受并审核常规风险管理报告,以及总体的风险管理监督等。
越来越多的银行开始设立CRO(首席风险官)或与之相当的职位。受访的国内金融机构中,绝大部分设有CRO或与之相当的职位。在这些机构中,绝大部分的CRO均是向董事会(或董事会下的风险管理委员会)及CEO汇报,在日常风险管理中承担着制定风险管理政策和方法论,对风险进行总体控管,限额制定和监控,制定风险报告机制,向董事会和CEO汇报风险状况等职责。
风险政策与风险偏好的集中建立已经成为趋势。所有的受访机构都表示,风险政策和风险偏好均有建立。60%70%的机构表示,风险政策和风险偏好制定的职能都是集中型;30%40%的机构表示,这些职能不一定是完全集中型的,有可能分散于业务层面,也有可能是分散和集中相结合。
重大风险的管理成效已有进展,但尚需完善。30%的受访机构表示,对重大风险的管理取得了一定的成效;60%的机构表示,对重大风险中的大部分风险类型都取得了一定的管理成效,但对于战略风险、声誉风险和地缘政治风险等风险类型的管理成效不甚理想;10%的银行表示,对于重大风险的管理成效不佳。另外,大型银行的重大风险管理成效在一般情况下普遍好于中小型银行和保险公司。
风险职责与绩效的挂钩应引起进一步重视。50%的受访机构表示,绝大部分员工风险管理责任在很大程度上纳入了业绩目标和报酬中;20%的机构表示,对于部分员工实现了风险与绩效在一定程度上的挂钩,另外30%表示在风险职责与绩效挂钩方面,效果不甚理想。另外,受访机构中,大型银行和领先保险公司在风险职责与绩效挂钩方面比较领先。
企业风险管理
企业风险管理(ERM)体系建设成为银行业的头等大事。70%的受访机构表示,具备ERM管理体系或者正在实施该体系;30%则表示,目前尚不具备ERM管理体系,但是未来可能计划实施。目前尚不具备ERM管理体系的机构绝大部分是保险公司,少部分是小型银行。此外,在上述70%具备或者正在实施ERM体系的金融机构中,相关的政策、职责和汇报机制都已经被董事会或董事会下属的风险管理委员会审批通过。
金融机构对ERM建设的收益基本持正面观点。具备或正在实施ERM体系的机构中,尽管所有的机构对于ERM体系实施都没有量化的价值分析体系,但从总体层面考量,50%的机构表示总价值远大于成本,20%则表示总价值略大于成本。
ERM体系建设中的最大挑战在于人力资源、文化和组织架构调整。绝大部分机构在实施ERM体系的过程中,人力资源、文化、组织架构调整和数据方面将面临巨大挑战。另外,风险方法论、风险量化工具、系统实施及ERM价值展示方面也会面临一定程度的挑战。在未来ERM管理体系的定位方面,绝大多数机构倾向于涵盖比较全面的风险类型,包括除信用、市场和操作风险外的其他重大风险。
巴塞尔新资本协议与资本管理(计量)
新协议实施的定位大部分以高级方法为目标。通过对适用于新资本协议实施的国内银行的调查情况进行分析发现,在目标定位方面,信用风险领域,有2/3的银行目前正在使用或未来计划使用内部评级高级法;1/6的银行目前正在使用或未来计划使用内部评级初级法;还有1/6的银行目前正在使用或未来计划使用标准法。市场风险领域,绝大部分银行目前正在使用或未来计划使用内部模型法。操作风险领域,绝大部分银行目前正在使用或未来计划使用标准法或者标准法的替代形式,有一家四大国有银行计划使用高级计量法(AMA)。
从各银行的新资本协议实施建设情况来看,大部分银行在历史数据积累、模型建设、模型分析和校准、模型使用测试、风险治理和内部控制、资产证券化和风险缓释政策原则等方面都开展了不同深度和广度的工作,后续还有一定的工作需要完成,但是在模型验证、操作风险损失事件数据积累、操作风险高级计量法(AMA)建设、系统实施、压力测试、RWA引擎建设和第三支柱报告等方面,基本处于起步阶段,尚有比较多的工作需要完成。从进度上来看,国内大型银行的实施进度整体处于领先地位。
经济资本已经在一定程度上应用到银行的各个管理领域。受访的金融机构中,经济资本在不同的领域都有一定程度的应用,约20%的机构已经将经济资本用于董事会的战略和政策制定;约40%已经将经济资本用于资本分配;约40%已经将经济资本用于绩效考核;约30%已经将经济资本用于组合管理中;约30%已经将经济资本用于风险定价;约20%已经将经济资本用于准备金计提领域。而那些尚未能够将经济资本运用于上述相关领域的银行表示,未来将出台行动计划,将经济资本的运用覆盖到这些领域。
关键风险管理
本次调研的重点是针对当前金融危机的特性而设计的,包括风险缓释、交易对手信用风险管控以及信贷组合管理的压力测试,以分析和研究金融机构在金融危机环境下信用风险管理的程度和状况。银行账户方面,绝大部分受访银行使用银团贷款、贷款保证、抵质押品作为其信用风险缓释工具,只有个别银行尝试使用净扣、信用衍生工具和信用保险计划等新兴手段作为其信用风险缓释工具;交易账户方面,各银行使用的风险缓释工具有很高的相似性,基本都是保证、资产证券化工具和信用衍生工具等。对于交易对手信用风险暴露的计算,国内大部分金融机构采取的方法较为简单,基本上就是本金加固定比率的方法,但是各银行也表示,目前正在采取行动或计划,未来采用潜在风险暴露法计算。目前,大多数国内银行都或多或少地开展了信贷组合的压力测试,而选取的压力测试风险因素多数集中在利率、违约率和回收率等,也有少数银行采用相关性和利差等因素对信贷组合进行压力测试。但基本上没有银行对于信贷产品尾部风险进行与市场事件相关的压力测试。
2009年1月,巴塞尔委员会发布了更新的市场风险管理框架,强调了市场风险VaR模型对新增风险(包括counterparty default risk和credit migration)的计量以及压力测试后的VaR值的应用。目前,国内仅有个别银行能用VaR覆盖大部分产品,包括固定收益产品、外汇产品、股票、资产支持证券、信用衍生产品以及商品等,其他金融机构VaR模型的产品覆盖情况比较不理想,仅能覆盖个别产品。绝大多数金融机构都在实际风险管理实践中开展了市场风险压力测试,其中大部分金融机构将压力测试结果运用到了解总体风险轮廓、限额制定以及高级管理层汇报中,个别银行还将压力测试结果运用到经济资本分配和详细行动计划制订中。关于压力测试频率,对于交易账户和银行账户市场风险,80%的金融机构可以做到至少每季度进行一次压力测试,对于结构化产品账户和其他账户,70%的金融机构可以做到至少每年一次进行压力测试。绝大多数金融机构基本都采取了净利息收入(NII)的敏感性分析、股权经济价值(EVE)的敏感性分析、风险收益分析和缺口分析进行资产负债管理分析,但是频率从每日到每年不等。针对金融危机,绝大部分金融机构都加强了对流动性风险管理的要求。特别是在部门职能及相关政策完善方面。
受访的国内金融机构中,30%建立了整套的操作风险管理体系;60%的银行建立了操作风险管理政策框架体系,但是涵盖面并不完整,但在调研中均表示对于没有涵盖的层面,目前正在实施中;另有10%的金融机构尚未搭建起操作风险管理框架平台。从调研的情况看,国内绝大部分金融机构在操作风险方法论体系的建设上基本处于较传统管理的阶段,并没有充分建立起相关的科学管理手段,如:风险评估、关键风险指标、损失事件、风险数据库、情景分析等。需要在后续的工作中逐步提升。国内绝大部分金融机构在操作风险管理信息系统方面都处于不具备或者初步具备,这部分也是国内金融机构目前比较欠缺的领域,可能需要在后续的工作中逐步提升。
风险管理系统建设
从调研的情况看,有70%的银行认为,信息系统的严重问题主要集中在系统之间的整合不足,不能整合来自多个风险系统的风险分析结果。此外,交易账户与银行账户信息整合不够,定期及时的报告体系不完善,供应商采购成本和维护成本很高等方面提出了担忧。
大型银行中,大部分都认为市场风险管理(包括风险计量)和资本计算与报告相关系统的实施是未来的建设重点,而部分大型银行也将流动性风险管理系统和经济资本管理系统作为重点投资的对象;中小型银行和其他非银行金融机构虽然同样意识到现有技术系统的问题,仍普遍将各类风险管理系统的建设作为中等或较低优先级的选择。
第二篇:中国银行业风险分析
中国银行业风险分析
——“金融改革与金融安全”课题系列研究报告之七
张承惠
2002-03-14
在银行、证券、保险、信托等领域中,银行业应该是最受重视的部分,改善和强化银行业监管应成为金融监管工作中的首要任务和政策研究的重点。这不仅是因为银行业属于高风险行业,影响千百万储户的切身利益;更是因为经过多年的发展,中国的银行业已经成为金融领域的主导力量和国民经济发展的重要支柱、因为银行业内外部的制度缺陷而产生了独特的风险生成机制、因为银行业将承受金融开放的首要冲击。
一、中国银行业潜伏着巨大的风险
无须讳言,目前中国的银行体系中潜伏着巨大的风险。根据不同的来源,笔者将这些风险分成内源型、外源型和混合型三类。
(一)内源型风险
内源型风险主要由银行内部管理不善、风险控制机制不健全造成。这类风险主要表现在资产负债总量控制失衡、流动性要求难以满足、资产结构中贷款比重过高、贷款合同要素不全、信贷决策失误和贷后管理缺乏、人情贷款和关系贷款、高息揽储恶性竞争、机构重叠分散、银行及分支机构之间缺乏信息沟通造成对恶意贷款人的交叉贷款审查控制不力、违规开立信用证和签发承兑汇票、银行有关人员以权谋私违规操作、搞账外经营和违规自办实业等方面。
需要指出的是,1998年以后,随着全国上下防范金融风险意识的增强和中央银行监管力度的加大,各商业银行通过深化信贷管理体制改革,建立审贷分离制度、统一授信制度和责任追究制度,加强了信贷风险约束,在一定程度上改善了内源型风险的控制机制。
(二)外源型风险
外源型风险由银行业外部各类因素造成,主要表现在四个方面:
第一,社会信用风险。由于社会信用基础薄弱,银行在经营活动中遇到大量因企业不讲信誉而形成的风险,如在申请银行贷款时不披露企业真实经营情况,提供水份大的报表;借款人还款意愿差,有的甚至在借款时就不打算还款,一些银行反映按期履约比例仅为1/3;特别是近年来企业借改制等形式逃废银行债务的情况相当普遍。据不完全统计,至2000年末,在四大国有商业银行开户的6万多家改制企业中,逃废债企业约占50%,逃废银行贷款本息占改制企业全部贷款本息的30%以上。
第二,金融诈骗风险。近年来,金融诈骗的大案要案呈上升趋势(例如,西安一犯罪团伙在1999年11月~2000年8月期间,多次以伪造或变造存款单位预留印鉴等手段将单位大额存款转移至犯罪团伙开设的帐户,涉案金额达8000万余元,涉及工农中建和城市信用社等诸多金融机构。再如,经查明,在1998年10月至2000年9月期间,有三个犯罪团伙伪造假银行承兑汇票102份,票面金额达4.09亿元。这些假汇票在黑龙江、山东、甘肃、福建等地银行贴现57份,金额达2.53亿元,给银行造成重大经济损失。)。这些重大金融诈骗案件地共同特点是:以高息为诱饵;借助高科技仿真度很高难以识别;诈骗金额巨大。在有的地方,不法分子甚至获得了金融机构的经营权,直接利用经营金融机构的便利吸收存款和骗取银行资金。
第三,政府干预风险。对于商业银行来说,中央政府干预与地方政府干预具有不同的方式。首先,作为国有商业银行的所有者代表,中央政府给定银行经营者的目标是多维且互相矛盾的:商业银行既要力争盈利和化解不良资产,又要对亏损的国有企业不断提供贷款以维持其生存;既要提高经营水平,降低成本,又要雇佣大量职工以维持社会安定;既要服从商业准则,又要给政府扶持的行业优先提供融资,如此等等。这种经营目标多维化的结果,必然使得经营人员无所适从,无法对经营成效担负起责任,进而加大了经营风险。
其次,地方政府干预的目的要简单得多,那就是尽可能地从银行获取资金来支持地方经济的发展,因为银行业的风险最终是由中央政府而不是地方政府来承担。在改革初期,地方政府领导通常用直接干预的方式获取银行贷款(例如广东恩平市自1993年起,在市政府的干预下,当地金融机构大量办理高息存款,广泛吸收社会资金,将大量高成本筹集的资金投向非生产领域和账外经营,为偿还到期债务又不得不继续吸收新的高息存款,形成恶性循环。最终形成70~80亿元的资金缺口,引发两次地方性金融危机,导致建行恩平支行被撤销、农行恩平支行停业整顿,20家城乡信用社被关闭。而在广东原省委书记的保护下,始作俑者却由建行恩平支行行长提拔为恩平市副市长、市金融领导小组组长,并在此后的查处中一再受到保护。)。98年以后,随着监管体制的改革和商业银行风险约束的增强,直接干预的方式不太有效了,地方政府便转而采用间接方式,如支持地方企业利用转制逃废银行债务、在某种程度上纵容金融违规活动等等。
第四,其他行业传递风险。近年来,在多方力量的作用下,分业经营的隔火墙开始出现突破口。一是1999年起,中央银行开始允许符合标准的证券公司进入银行间同业拆借市场,并允许银行向个人和注册资本超过3亿元的证券公司提供股票质押贷款。这一政策适应了证券公司和个人扩展融资渠道的需求,为商业银行的提供了新的商业机会,但同时也给银行带来了新的经营风险:一旦股票市场突发性暴跌,质押股票市值下降,银行将可能无法收回贷款而蒙受损失。问题的严重性还在于,由于行业内竞争因素和体制缺陷,银行的经营者很容易产生过大的风险偏好。当股市一路上行时,银行在利益驱动下,往往会通过各种渠道将资金注入股市,从而埋下了更大的隐患(不久前,人民银行查处了沈阳四家银行分支机构自2000年4月至2001年1月,曾违规办理无真实贸易背景的商业汇票承兑贴现23亿多元,其中有5.1亿元流入了股市。)。有人估计,目前各证券公司向商业银行拆借、质押贷的款额已达到5000~7000亿元之多(曾康霖、潘青木,“对我国股市近期暴跌的思考”《经济学消息报》2001年10月12日第一版。),近期中国股票市场出现的暴跌很可能使银行的不良资产比率再度上升。二是去年起中央银行部分放开了大额存款管制,允许银行办理3000万元以上、5年期的保险存款,利率由双方协议决定。由于贷款利率没有放开,缺少与这类负债对应的资产,如果银行过度吸收保险存款,将有可能出现较大风险。三是出于竞争的需要,目前各银行都开办了一些有关证券交易的新业务,如“银券通”、“银证二卡合一”、“卡折炒股”等,使得储蓄帐户与个人股票帐户联通起来,在一定程度上突破了银行业与证券业分业经营的模式。由于新股申购资金波动量很大,这些新业务加大了银行的流动性风险。例如中国银行原来每日头寸保持在20~30亿元左右即可,后来上升至100余亿元。在申购期间,工商银行日头寸需求高达800多亿元。
(三)混合型风险
在很多情况下,外源型风险是通过银行内部管理漏洞发生的,这就是混合型风险。一方面,犯罪分子利用被收买的银行职工作内线,内外勾结实施诈骗;另一方面,由于银行内部管理不善、风险控制机制不健全,也在一定程度上放大了外源型风险(例如据人民银行广东分行统计,从1998年至2000年10月间,发生在全国各地的银行承兑汇票诈骗案中,仅以河源各银行名义开出的银行承兑汇票就达288份,涉及金额12亿元。但实际情况是,从1998年开始,河源各商业银行均未办理过一宗汇票承兑业务。毫无疑问,这些汇票诈骗案都是假冒河源银行名义开展的。但是从侦破情况看,犯罪嫌疑人大多学历不高,最多也就是高中毕业,那么这些不法分子为什么能够熟悉银行内部业务流程并屡屡诈骗成功呢?原因就是不法分子收买了河源银行的工作人员,当贴现行派人来河源查问时,犯罪分子得以冒充银行工作人员在柜台或办公室直接接受查询。他们还勾结邮局工作人员截收贴现银行的查询传真、电报等,然后盗用银行名义回电予以确认。假银行承兑汇票大行其道也暴露出银行内部管理上的漏洞。目前银行间的承兑汇票业务实行全国联行制,有资格办理此种业务的银行才能进入《全国银行行名行号本》,并由各银行的总行定期发布。河源有关银行从1998年起已不再具备汇票承兑资格,实际上贴现银行无须去河源银行查询即可确认以河源银行名义发出的承兑汇票是非法假票。)。
作为上述风险的集中反映,就是银行体系中(特别是四大国有银行)积累了大量的不良资产。在成立四家金融资产管理公司,剥离了国有银行近1.4万亿不良资产之后,2001年一季度末银行体系的平均不良资产率仍保持在25%以上。其中国有独资商业银行28.5%,政策性银行21.4%,其他商业银行16%,城市信用社38.5%,农村信用社47.1%(刘仁慧2001)。问题的严重性还在于,由于不良资产的生成机制并未得到根本改造,不良资产的上升势头很难说已经被彻底抑制。尽管在中央银行的严令之下,四大国有银行不良贷款比率自2000年以来开始持续下降,2001年上半年净下降了2.1个百分点,但由于以下因素,第三季度末比年初下降了2.6个百分点。不良资产统计的真实性受到影响:
第一,在不良资产的帐务处理上存在人为调整因素。由于不良资产认定制度、认定程序和监管技术的缺陷,对不良资产仍然沿用了人工认定的方式,人为调整因素仍在很大程度上影响着统计的真实性。例如为了应对考核指标的压力,基层行完全可以通过办理借新还旧和贷款违规展期来掩盖不良资产。
第二,会计标准落后。目前多数商业银行处于“一逾两呆”与“五级分类”两种不良资产分类方法的衔接时期,国际通行的五级分类法尚未普遍推行,造成不良贷款的认定标准混乱。银行会计科目仍按传统的“一逾两呆”标准设置,考核指标也以此制定。而出于“一逾两呆”固有的不合理性,该标准是无法反映不良资产真实状况的。
第三,风险加权体系与巴塞尔标准存在差异(参见《中国未完成的经济改革》尼古拉斯.R.拉迪著 中国发展出版社1999年出版。)。目前中国银行普遍缺少一套完整的资产管理体系,大多仅依靠帐面数据来评估风险,在风险认定标准、对某些特殊风险(如贷款对象过于集中)的评定等方面掌握偏松。同时风险评价的有关信息极不透明,缺少有效的外部监督。据此国际著名信用评级机构穆迪公司曾指出,中国银行公布的资产充足率是“没有意义的”(同①。)。换言之,中国的银行还普遍缺乏识别风险的能力。
二、加入WTO将使银行业的风险进一步暴露
(一)在强大的竞争对手面前中国银行业将可能进一步丧失竞争力
与证券业和保险业相比,银行业是入世承诺中开放度最大的部门。加入WTO之后,外资银行将成为国内银行的重要竞争对手。这一新格局的要害并不在于竞争主体数量的增加,而在于竞争性质的改变:银行同业之间将由过去资金实力和市场份额的竞争转变为综合实力的竞争。如果说在旧格局下银行依靠大力吸收存款和扩大市场份额还得以生存的话,在新格局中这一生存方式将被淘汰,大而虚弱的银行很快会面临生存危机。
根据国外经验,外资银行进入发展中国家之后,将以其在管理经验、服务水平、经营方式、产品结构等方面的明显优势在经济发达的大城市与本地银行争夺优质客户和表外业务,从而得以在占有较少市场份额、消耗较少资源、承担较小风险的情况下取得较高收入。这种竞争方式给中资银行带来的压力将集中表现在以下方面:
第一,由于失去优质客户和新的利润增长点,盈利能力本已十分低下的银行将更加难以获取经营利润,不良资产的比重可能进一步增加,财务状况可能恶化,清偿能力会逐步丧失。
第二,由于外资银行在开展零售业务方面十分谨慎,中国银行业现有庞大的国内网络优势并不足以构成抵御外资银行竞争的壁垒。相反,数量众多的分支机构却很可能成为中国银行业的包袱,一者银行为维持这些分支机构运行所耗费的资源过多,而其中很多机构并不产生效益;二者过多的分支机构会增加决策层次和信息传递成本,降低经营管理效率,加大风险控制难度。
第三,在对私业务领域,外资银行通常会从高收入人士入手,以其擅长的个人理财、电话银行、网络银行等高技术含量的服务逐步扩展业务(实际上,许多外国银行已经通过发展在线服务将业务扩展到国外,从而避免了建设零售网络的昂贵费用)。鉴于中国社会已经出现了较大的贫富差距,人数较少的富余阶层集中了半数以上的社会财富,高收入客户群的流失很可能会影响中资银行的储蓄存款增长,从而直接影响银行的流动性,因为中国主要银行的流动性一直是依靠高储蓄增长率来维持的(据测算,外资银行只要吸收国内银行6%的存款,就会使内资银行出现流动性风险。)。
(二)市场规则的调整将使中资银行失去政策庇护屏障
市场开放并不是加入世贸组织的全部,规则开放也是中国融入世界经济的必然要求。加入WTO之后,中国必须通过规则开放来引进和吸收国际通行的市场经济规则,调整与之不相适应的制度架构。长期以来,政府在要求国有银行承担政策性职能的同时,也为之提供了保护和超国民待遇,例如成立四家资产管理公司对国有银行的不良资产予以剥离并实施“债转股”、允许其在一定限度内核销呆帐贷款、在开办新业务、开发新商品方面予以照顾、限制股份制商业银行分支网络扩展以减少竞争等等。对于其他商业银行,政府也提供了诸如严格限制新竞争者进入的保护。加入世贸组织之后,尽管政府仍然可以在一定程度上采取保护措施,但是这种保护一定要符合世贸组织的规则并保证充分的透明度和公平性,过去所采用的有针对性的行政性保护措施将真正成为“最后的晚餐”。毫无疑问,习惯于庇护的银行将进一步暴露于风险之中。
(三)来自非银行机构的竞争将进一步分解中国银行的业务基础
在国外金融混业经营的浪潮中,非银行机构正在向传统银行业渗透。投资银行、证券公司、保险公司、资产管理机构、基金管理公司、财务公司、租赁公司甚至一些非金融企业如电讯公司、软件公司、大型零售公司都开始提供与银行类似的服务。入世之后,这类非银行机构将随着自身业务的开展进入中国,并加入与银行竞争的行列。由于这类机构已经具有丰富的商业经验,中国银行将很难与之竞争,银行的业务基础将被削弱。
三、形成银行风险的制度基础
1998年以后,中央银行的监管力度不断加大,监管内容不断增加,在一定程度上抑制了银行风险的上升势头,稳定了金融秩序。但是由于缺乏监管基础,中央银行的监管越来越力不从心,发生风险的源头并未得到根治。
(一)产权制度缺陷决定了银行法人治理结构的先天不足
1.国有商业银行的产权制度缺陷
产权制度缺陷首先突出反映在国有商业银行身上。国家是四大国有银行的唯一所有者,银行产权名为国家所有,实际上却因没有明确的所有者主体、没有明确的所有权要求而虚置。由此造成以下后果:
第一,由于缺乏所有者的监督、激励和约束,银行必然存在巨大的代理风险和普遍的“内部人控制”。这就天生地决定了许多银行经营人员的行为取向是个人或小团体福利的最大化而不担心风险。在这种情况下,要求其建立风险约束的自律机制是不可能的。
第二,由于国家的目标是多元化的,追求利润和最大资本收益率不能成为各级银行内在的动力,商业准则也不能成为银行行为的最高准则。在目标不明、责任不清的情况下,经营者即便有着良好的愿望和素质也很难有大作为。
第三,因为所有者是国家,国有商业银行信用的事实上已经转变为国家信用,无论是民众还是客户,都认为国家银行绝对不会倒闭,对银行的风险熟视无睹,银行因此而缺少来自外部、社会的有效监督。
第四,国有银行对一母同胞的国有企业的赖帐、逃债行为难以给予惩治。而在这种情况下,市场经济最基本的信用制度便由于违约成本过低而一再受到侵犯,银行经营活动的基础日趋脆弱。
2.其他商业银行的产权制度缺陷
与四大国有银行相比,改革开放以后设立的股份制商业银行具有市场化程度较高、机制较为灵活的特点,服务效率因而也相对较高。但是股份制商业银行自身的不足亦不可忽视。目前在股份制银行中,普遍存在着产权制度不健全的问题。由于股份制银行背后的“老板”基本上仍是国有企业,国企自身的所有者缺位问题便依样复制到股份制银行中,使得这些银行均不同程度地带有行政色彩并普遍存在内部人控制和道德风险问题。被关闭的海南发展银行曾制定了70多项管理制度,希望籍此建立有效的内控体系,结果事与愿违,最终仍没有逃脱被经营风险吞噬的结局。一些已经上市的银行如深发展、民生银行等,或者同其他上市公司一样存在国有股“一股独大”问题,普通股东无法对经理人员实行有效监督;或者在相当程度上仍受到政府的控制,在重大事项上(如行长任免)股东很少有发言权,充其量只能算是半官半民的银行。此外,光大、华夏银行尚未完全采用股份制企业制度形式,中信实业银行至今仍全资直属中国国际信托投资公司。这类银行尽管因属于“孙子辈”而较少受到行政干预,商业动机也相对强烈,但仍受到国有企业管理体制的强烈制约。近年来股份制商业银行的发展速度明显减慢,利润增长趋缓,不良资产呈直线上升趋势,表明股份制商业银行已经耗尽了设立初期的制度优势,内部机制等方面的欠缺开始威胁其生存发展。
在城市信用社,产权制度问题更加严重和复杂。从城市信用社的历史沿革来看,信用社基本上均与政府部门和一些特殊机构有着密切的联系(因为在严格的金融管制之下,也只有政府部门和有关机构才有能力争夺金融业务的许可证)。例如某中心城市48家城市信用社中,属于省委、省政府、省人大、省政协的工作部门组建的有9家,属于政府部门所办公司组建的4家,属于市、区政府部门办的12家,属于金融机构所办的13家,属于学校、科研机构所办的2家,属于民主党派和群众组织组建的2家。从信用社的经营情况来看,多数组建单位都将之看成是自己的下属机构,并利用信用社直接向股东关联企业发放贷款,出资组建各种产权关系不清的公司,为组建单位提供福利和安排家属就业等等。由于组建部门并非真正的出资人,经营风险对之不构成任何约束,加之又可以从信用社获取利益,组建部门根本没有监督、约束信用社经营人员行为的动力。经营人员则往往自恃权势背景而恣意妄为,部分股东急功近利的短视为更加助长了信用社的违规经营。在这样的体制之下,经营不善、出现大量不良资产就成了城市信用社的必然归宿。对此,监管部门曾试图通过增资扩股、改变股东结构来改善信用社的经营活动。遗憾的是,由于未触及问题实质,这一努力并未能解决城市信用社的产权约束问题,反而使一些居心不良的人得以借机攫取信用社的经营权从事非法金融活动(据中央电视台《经济半小时》2001年9月7日报道,1993年,湖北“全国优秀青年企业家”林明学获取了湖北省国际信托投资公司下设的恒昌信用社经营权,开始高息揽储并通过信用社攫取资金1亿多元据为己有。1995年,林明学从武汉长江信用社贷款600万元,从工商银行桂林分行贷款600万元,多方筹措资金2200万元,同时虚拟注册了7家企业入股买下了桂林临桂县城市信用社。林担任监事会主席,由下属职工分别担任理事长和信用社主任。控制临桂信用社后,林明学开始将之作为“林家铺子”,任支任取。为满足其需要,信用社高息揽储获得6亿元存款,其中大部分被林以贷款名义非法占有。林还多次利用信用社向工商银行、农业银行等金融机构贷款1亿多元。)。
上述产权问题同样广泛存在于改制以后的城市商业银行。改制以后,大股东一般由各类政府机构改为财政部门。相对于改制前信用社挂靠五花八门的政府机构的情况而言,此举尽管有助于规范其经营行为,但所有者的约束、监督机制仍然没有真正建立起来。
产权制度的缺陷决定了我国商业银行治理结构的先天不足,由于所有者放弃或无法行使权利,银行为高级管理人员所控制,所有者、经营者、监管者和其他相关者之间难以建立有效的利益制衡和互动机制,结果必然会招致巨大的风险。
(二)国有资产管理制度缺陷是国有银行风险生成的重要原因
1.政资不分,缺少专门代表国家行使所有者权利、对国有资产保值增值承担责任的职能机构
在现行国有资产管理制度中,政府作为国家的代表,承担了管理国有资产的职能,这一点是明确的。但是具体到各个政府部门,职责又十分不清楚。看起来目前是由财政部具体负责国有资产的运作和保值增值,可是由于资产管理者和国家财政事务管理者两种身份的性质和目标都不尽相同,财政部门往往很难将两种职能协调于一身。同时作为政府部门,财政也不宜直接进入市场参与竞争,否则便会破坏市场经济的公平原则。此外,国家并没有真正赋予财政部以资产管理人的身份,例如财政无权任命或撤销国有公司的董事长,无权决定企业的兼并、分立、解散、增减资本、发行股票或债券。这些权力或者被分散到各个职能部门(各职能部门内部继续进行分权),或者被集中到更高层次,而这些部门及有关责任人并不对国有资产的运作效果承担任何责任,形成严重的责权失衡。由于缺少专门代表国家行使所有者权利,对国有资产全面负责的职能机构,本应由所有者承担的监督职责不得不转移到其他部门(例如由人民银行来检查银行报表的真实性、查处不良贷款责任人、规定不良资产控制比例,由金融党工委来挑选银行经理人等等)。中央银行在某种程度上成了商业银行的总行,结果是既加大了监督成本,又影响了监管效率。问题的另一个方面是,银行的经理人并不清楚自己应对哪一个政府部门负责,因为这些部门似乎都同等重要。同时他们也无须对经营活动的失误负责,因为很难分清这些失误是经理人员的责任还是多头目标相互冲突的结果,精明的经理人甚至可以利用这种目标的矛盾性来开脱自己的失误和违规行为。
2.政企尚未分清,延续了原有管理方式
四大国有商业银行原本是隶属于政府的专业银行,有着自己的行政级别并按照政府行政系列层层设置机构,银行管理人员被视同干部,享受同级行政官员的待遇,可以由政府部门派遣和调动。随着改革的深入,国有银行的行政色彩正在逐渐淡化,但是政府干预银行经营活动的行为仍时有发生,国有银行在某种程度上依然是政府的政策工具。特别在高级银行职员的管理上,还没有完全摆脱过去的管理方式,行长、总行部门经理和分行行长基本上由政府决定,分别享受副部级待遇和局级待遇,追求行政级别提升仍是高级管理人员的重要激励因素。由于国有银行的政治地位与人民银行几乎平等,后者是很难对之实施严格监管和追究经营者责任的。
其它类型商业银行的情况大同小异,银行的中高层管理人员大多仍由政府选择,董事会的作用十分有限。总的来看,商业银行自主经营、自担风险、以资产收益率最大化为经营目标的体制尚未建立,因此银行也无法真正按照市场经济准则建立风险控制机制和激励机制。
(三)地方政府这一特殊利益群体争夺金融资源的制度因素
在分析中国银行监管问题时,我们发现地方政府屡屡扮演了一个与中央政府相对立的角色。例如,地方政府经常以办公会的形式压银行贷款,或者以职务提升、解决银行关系人员家属子女就业提升等为诱饵或交换条件,诱使其违规发放贷款。在企业利用改制改组逃废银行债务和各类金融诈骗案件中,也经常可以看到地方政府和地方司法部门保护的影子(参见第5页注①。)。从现象看,地方政府过于重视地方利益而缺少全局观念、商业银行内控机制欠缺和分支机构人员素质不高是造成这些问题的重要因素。但是在表象的背后,是否还存在着更加深刻的原因呢?值得研究的问题主要有二:一是在发展经济和保持社会稳定成为评价地方政府政绩主要指标的情况下,地方政府支配金融资源的能力与实际需求是否相符;二是地方政府支配金融资源时,其获取的利益与承担的风险是否对等。笔者认为,由于地方政府组织资源的能力受到严格限制,发展地方经济和保障就业的资金需求很难满足(个别特殊地区除外),同时在制度上,又不存在对地方政府的风险约束,因此地方政府争夺金融资源的行为存在着必然性和合理性。如果不对有关制度进行调整,地方政府的行为乖戾就会永无止境。
上述分析表明,中国银行业的风险在很大程度上是制度缺陷而非监管不力造成的,现行商业银行产权制度和国有资产管理制度已经构成银行内部风险生成的制度基础,如果不对这一基础加以改造而只是一味要求加强监管,则不仅不能有效地控制银行风险,还会压制银行业自身的活力和竞争力。因为监管部门既然不能通过所有者对投资盈亏和企业价值的高度关心来促使其约束经营者行为,不能通过市场来激发银行建立和完善风险控制机制的内在动力,不能在合理的利益和责任关系下,引导地方与中央在银行监管问题上保持一致,那么为了降低风险,就只能用行政管制的手段限制银行经营范围和权限。显然,这种管制必然会影响到银行竞争能力的提高。
第三篇:银行业金融机构全面风险管理指引
中国银监会关于《银行业金融机构全面风险管理指引(征求意见稿)》公开征求意见的公告
为进一步引导银行业金融机构树立全面风险管理意识,完善全面风险管理体系,持续提高风险管理水平,中国银监会起草了《银行业金融机构全面风险管理指引(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径反馈意见:
一、通过电子邮件。
二、通过传真。
三、通过信函方式将意见寄至:北京市西城区金融大街甲15号中国银监会审慎规制局(邮编:100140),并请在信封上注明“全面风险管理征求意见”字样。
意见反馈截止时间为2016年8月6日。[1]
中国银监会
2016年7月6日
银行业金融机构全面风险管理指引[1](征求意见稿)
第一章 总则
第一条(立法依据)为提高银行业金融机构全面风险管理水平,促进银行体系安全稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条(适用范围)本指引适用于在中华人民共和国境内依法设立的银行业金融机构。本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社等吸收公众存款的金融机构以及开发性金融机构、政策性银行。
第三条(总体要求-管理内容)银行业金融机构应当建立全面风险管理体系,采取定性和定量相结合的方法,识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。
各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。
银行业金融机构的全面风险管理体系应当考虑风险之间的关联性,审慎评估各类风险之间的相互影响,防范跨境、跨业风险。
第四条(总体要求-管理原则)银行业金融机构全面风险管理应当遵循以下基本原则:
(一)匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应,并根据环境变化予以调整。
(二)全覆盖原则。全面风险管理应当覆盖各项业务条线,本外币、表内外、境内外业务;覆盖所有分支机构、附属机构,部门、岗位和人员;覆盖所有风险种类和不同风险之间的相互影响;贯穿决策、执行和监督全部管理环节。
(三)独立性原则。银行业金融机构应当建立独立的全面风险管理组织架构,赋予风险管理条线足够的授权、人力资源及其他资源配置,建立科学合理的报告渠道,与业务条线之间形成相互制衡的运行机制。
(四)有效性原则。银行业金融机构应当将全面风险管理的结果应用于经营管理,根据风险状况、市场和宏观经济情况评估资本和流动性的充足性,有效抵御所承担的总体风险和各类风险。第五条(全面风险管理要素)银行业金融机构全面风险管理体系应当包括但不限于以下要素:
(一)风险治理架构;
(二)风险管理策略、风险偏好和风险限额;
(三)风险管理政策和程序;
(四)管理信息系统和数据质量控制机制;
(五)内部控制和审计体系。
第六条(风险文化)银行业金融机构应当在全行层面推行稳健的风险文化,形成与本行相适应的风险管理理念、价值准则、职业操守,建立培训、传达和监督机制,推动全行人员理解和执行。
第七条(责任主体)银行业金融机构应当承担全面风险管理的主体责任,建立全面风险管理制度,保障制度执行,对全面风险管理体系自我评估,健全自我约束机制。
第八条(监督管理)银行业监督管理机构依法对银行业金融机构全面风险管理实施监管。
第九条(披露要求)银行业金融机构应当按照银行业监督管理机构的规定,向公众披露全面风险管理情况。
第二章 风险治理架构
第十条(总体要求)银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构,明确董事会、监事会、高级管理层,业务部门、风险管理部门和内审部门在风险管理中的职责分工,建立多层次、相互衔接、有效制衡的运行机制。
第十一条(董事会职责)银行业金融机构董事会承担全面风险管理的最终责任,履行以下职责:
(一)建立风险文化;
(二)制定风险管理策略;
(三)设定的风险偏好和风险限额;
(四)审批风险管理政策和程序;
(五)监督高级管理层开展全面风险管理;
(六)审议全面风险管理报告;
(七)审批全面风险和各类重要风险的信息披露;
(八)聘任风险总监(首席风险官)或其他高级管理人员,牵头负责全面风险管理;
(九)其他与风险管理有关的职责。
董事会可以授权其下设的风险管理委员会履行其全面风险管理的部分职责。第十二条(委员会间的沟通机制)银行业金融机构应当建立风险管理委员会与董事会下设的战略委员会、审计委员会、提名委员会等其他专门委员会的沟通机制,确保信息充分共享并能够支持风险管理相关决策。
第十三条(监事会职责)银行业金融机构监事会承担全面风险管理的监督责任,负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。相关监督检查情况应当纳入监事会工作报告。第十四条(高级管理层职责)银行业金融机构高级管理层承担全面风险管理的实施责任,执行董事会的决议,应当履行以下职责:
(一)建立适应全面风险管理的经营管理架构,明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工,建立部门之间有效制衡、相互协调的运行机制;
(二)制定清晰的执行和问责机制,确保风险偏好、风险管理策略和风险限额得到充分传达和有效实施;
(三)对董事会设定的风险限额进行细化并执行,包括但不限于行业、区域、客户、产品等维度;
(四)制定风险管理政策和程序,定期评估,必要时调整;
(五)评估全面风险和各类重要风险管理状况并向董事会报告;
(六)建立完备的管理信息系统和数据质量控制机制;
(七)对突破风险偏好、风险限额以及违反风险管理政策和程序的情况进行监督,根据董事会的授权进行处理;
(八)风险管理的其他职责。
第十五条(风险总监或独立高管)规模较大或业务复杂的银行业金融机构应当设立风险总监(首席风险官)。董事会应当将风险总监(首席风险官)纳入高级管理人员。风险总监(首席风险官)或其他牵头负责全面风险管理的高级管理人员应当保持充分的独立性,不得分管业务经营条线,可以直接向董事会报告全面风险管理情况。
调整风险总监(首席风险官)的,应当事先得到董事会批准,并公开披露。银行业金融机构应当向银行业监督管理机构报告风险总监(首席风险官)的调整原因。
第十六条(全面风险管理的职责分工)银行业金融机构应当确定业务条线承担风险管理的直接责任;风险管理条线承担制定政策和流程,日常监测和管理风险的责任;内审部门承担业务部门和风险管理部门履责情况的审计责任。
第十七条(全面风险管理职能部门职责)银行业金融机构应当设立或者指定部门负责全面风险管理,牵头履行全面风险的日常管理,包括但不限于以下职责:
(一)实施全面风险管理体系建设,牵头协调各类具体风险管理部门;
(二)识别、计量、评估、监测、控制或缓释全面风险和各类重要风险,及时向高级管理人员报告;
(三)持续监控风险偏好、风险管理策略、风险限额及风险管理政策和程序的执行情况,对突破风险偏好、风险限额以及违反风险管理政策和程序的情况及时预警、报告并提出处理建议。
(四)组织开展风险评估,及时发现风险隐患和管理漏洞,持续提高风险管理的有效性。
第十八条(分支机构要求)银行业金融机构应当采取必要措施,保证全面风险管理的政策流程在基层分支机构得到理解与执行,建立与基层分支机构风险状况相匹配的风险管理架构。
在境外设有机构的银行业金融机构应当建立适当的境外风险管理框架、政策和流程。第十九条(资源保障)银行业金融机构应当赋予全面风险管理职能部门和各类风险管理部门充足的资源、独立性、授权,保证其能够及时获得风险管理所需的数据和信息,满足履行风险管理职责的需要。
第三章 风险管理策略、风险偏好和风险限额
第二十条(风险管理策略)银行业金融机构应当制定清晰的风险管理策略,至少每年评估其有效性。风险管理策略应当反映风险偏好、风险状况以及市场和宏观经济变化,并在银行内部得到充分传导。
第二十一条(风险偏好总体要求)银行业金融机构应当制定书面的风险偏好,定性指标和定量指标并重。风险偏好的设定应当与战略目标、经营计划、资本规划、绩效考评和薪酬机制衔接,在全行传达并执行。
银行业金融机构应当每年对风险偏好至少进行一次评估。
第二十二条(风险偏好内容)银行业金融机构制定的风险偏好,应当包括但不限于以下内容:
(一)战略目标和经营计划的制定依据,风险偏好与战略目标、经营计划的关联性;
(二)为实现战略目标和经营计划愿意承担的风险总量;
(三)愿意承担的各类风险的最大水平;
(四)风险偏好的定量指标,包括利润、风险、资本、流动性以及其他相关指标的目标值或目标区间。上述定量指标通过风险限额、经营计划、绩效考评等方式传导至业务条线、分支机构、附属机构的安排;
(五)对不能定量的风险偏好的定性描述,包括承担此类风险的原因、采取的管理措施;
(六)资本、流动性抵御总体风险和各类风险的水平;
(七)可能导致风险偏好目标的情形和处置方法。
风险偏好应当明确董事会、高级管理层和首席风险官、业务条线、风险部门和审计部门在制定和实施风险偏好过程中的职责。
第二十三条(风险偏好执行报告)银行业金融机构应当建立监测分析各业务条线、分支机构、附属机构执行风险偏好的机制。
当风险偏好目标被突破时,应当及时分析原因、制定解决方案并实施。
第二十四条(风险偏好调整)银行业金融机构应当建立风险偏好的调整制度。根据业务规模、复杂程度、风险状况的变化,对风险偏好进行调整。
第二十五条(风险限额管理)银行业金融机构应当制定风险限额管理的政策和程序,建立风险限额设定、限额调整、超限额报告和处理制度。
银行业金融机构应当根据风险偏好,按照客户、行业、区域、产品等维度设定风险限额。风险限额应当综合考虑资本、风险集中度、流动性、交易目的等。
全面风险管理职能部门应当对风险限额进行监控,并向董事会和高级管理层报送风险限额使用情况。
第四章 风险管理政策和程序 第二十六条(风险管理政策和程序)银行业金融机构应当制定风险管理政策和程序,包括但不限于以下内容:
(一)全面风险管理的方法,包括各类风险的识别、计量、评估、监测、报告、控制或缓释,风险加总的方法和程序;
(二)风险定性管理和定量管理的方法;
(三)风险管理报告;
(四)压力测试安排;
(五)新产品、重大业务和机构变更的风险评估;
(六)资本和流动性充足情况评估;
(七)应急计划和恢复计划。
第二十七条(风险的识别、计量、评估、监测、报告和控制或缓释)银行业金融机构应当在集团和法人层面对各附属机构、分支机构、业务条线,对表内和表外、境内和境外、本币和外币业务涉及的各类风险,进行识别、计量、评估、监测、报告、控制或缓释。
银行业金融机构应当制定每项业务对应的风险管理政策和程序。未制定的,不得开展该项业务。
银行业金融机构应当有效评估和管理各类风险。对能够量化的风险,应当通过风险计量技术,加强对相关风险的计量、控制、缓释;对难以量化的风险,应当建立风险识别、评估、控制和报告机制,确保相关风险得到有效管理。
第二十八条(政策和程序的一致性)银行业金融机构应当建立风险统一集中管理的制度,确保全面风险管理对各类风险管理的统领性,各类风险管理与全面风险管理政策和程序的一致性。
第二十九条(风险加总的方法和程序)银行业金融机构应当建立风险加总的政策、程序,选取合理可行的加总方法,充分考虑集中度风险及风险之间的相互影响和相互传染,确保在不同层次上和总体上及时识别风险。
第三十条(内部模型)银行业金融机构采用内部模型计量风险的,应当遵守相关监管要求,确保风险计量的一致性、客观性和准确性。董事会和高级管理层应当理解模型结果的局限性、不确定性和模型使用的固有风险。
第三十一条(风险管理报告)银行业金融机构应当建立全面风险管理报告制度,明确报告的内容、频率、路线。
报告内容至少包括总体风险和各类风险的整体状况;风险管理策略、风险偏好和风险限额的执行情况;风险在行业、地区、客户、产品等维度的分布;资本和流动性抵御风险的水平。
第三十二条(压力测试安排)银行业金融机构应当建立压力测试体系,明确压力测试的治理结构、政策文档、方法流程、情景设计、保障支持、验证评估以及压力测试结果运用。
银行业金融机构应当定期开展压力测试。压力测试的开展应当覆盖各类风险和表内外主要业务领域,并考虑各类风险之间的相互影响。
压力测试结果应当运用于银行业金融机构的风险管理和各项经营管理决策中。第三十三条(新产品、重大业务和机构变更的风险评估)银行业金融机构应当建立专门的政策和流程,评估开发新产品或对现有产品进行重大改动、拓展新的业务领域、设立新机构、从事重大收购和投资等可能带来的风险,并建立内部审批流程和退出安排。银行业金融机构开展上述活动时,应当经风险管理部门审查同意,并经董事会或董事会指定的专门委员会批准。
第三十四条(资本和流动性充足情况评估)银行业金融机构应当根据风险偏好和风险状况及时评估资本和流动性的充足情况,确保资本、流动性能够抵御风险。
第三十五条(应急计划)银行业金融机构应当制定应急计划,确保能够及时应对和处理紧急或危机情况。应急计划应当说明可能出现的风险以及在压力情况(包括会严重威胁银行生存能力的压力情景)下应当采取的措施。银行业金融机构的应急计划应当涵盖对境外分支机构和附属机构的应急安排。银行业金融机构应当定期更新、演练或测试上述计划,确保其充分性和可行性。
第三十六条(恢复计划)银行业金融机构应当按照相关监管规定的要求,根据银行的风险状况和系统重要性,制定并定期更新完善本机构的恢复计划,明确本机构在压力情况下能够继续提供持续稳定运营的各项关键性金融服务并恢复正常运营的行动方案。
第三十七条(附属机构)银行业金融机构应当制定覆盖其附属机构的风险管理政策和程序,保持机构风险管理的一致性、有效性。银行业金融机构应当要求并确保各附属机构在整体风险偏好和风险管理政策框架下,建立自身的风险管理组织架构、政策流程,促进全面风险管理的一致性和有效性。
银行业金融机构应当建立健全防火墙制度,规范内部交易,防止风险传染。第三十八条(外包风险管理)银行业金融机构应当制定外包风险管理制度,确定与其风险管理水平相适应的外包活动范围。
第三十九条(风险管理应用)银行业金融机构应当将风险偏好、风险管理策略、风险限额、风险管理政策和程序等要素与资本管理、业务管理相结合,在战略和经营计划制定、新产品审批、内部定价、绩效考评和薪酬政策等日常经营管理中充分应用并得到有效实施。
第四十条(文档管理)银行业金融机构应当对风险偏好、风险管理策略、风险限额、风险管理政策和程序建立规范的文档记录。
第五章 管理信息系统和数据质量
第四十一条(风险管理信息系统)银行业金融机构应当具备完善的风险管理信息系统,能够在集团和法人层面计量、评估、展示、报告、加总所有风险类别、产品和交易对手风险暴露的规模和构成。
第四十二条(系统功能)银行业金融机构相关风险管理信息系统应当具备以下主要功能,支持风险报告和管理决策的需要。
(一)支持识别、计量、评估、监测和报告所有类别的重要风险;
(二)支持风险限额管理,对超出风险限额的情况进行实时监测、预警和控制;
(三)能够计量、评估和报告所有风险类别、产品和交易对手的风险状况,满足全面风险管理需要。
(四)支持按照业务条线、机构、资产类型、行业、地区、集中度等多个维度展示和报告风险暴露情况;
(五)支持不同频率的定期报告和压力情况下的数据加工和风险加总需求;
(六)支持压力测试工作,评估各种不利情景对全行及主要业务条线的影响; 第四十三条(信息科技基础设施)银行业金融机构应当建立与业务规模、风险状况等相匹配的信息科技基础设施。
第四十四条(数据质量)银行业金融机构应当建立健全数据质量控制机制,积累真实、准确、连续、完整的内部和外部数据,用于风险识别、计量、评估、监测、报告,资本和流动性充足情况的评估。
第六章 内部控制和审计
第四十五条(内控要求)银行业金融机构应当合理确定各项业务活动和管理活动的风险控制点,采取适当的控制措施,执行标准统一的业务流程和管理流程,确保规范运作。
第四十六条(内审要求)银行业金融机构应当将全面风险管理纳入内部审计范畴,定期审查和评价全面风险管理的充分性和有效性。
银行业金融机构内部审计活动应独立于业务经营、风险管理和合规管理,遵循独立性、客观性原则,不断提升内部审计人员的专业能力和职业操守。
全面风险管理的内部审计报告应当直接提交董事会和监事会。董事会应当针对内部审计发现的问题,督促高级管理层及时采取整改措施。内部审计部门应当跟踪检查整改措施的实施情况,并及时向董事会提交有关报告。
第七章 监督管理
第四十七条(报备及报告要求)银行业金融机构应当将风险管理策略、风险偏好、风险限额、风险管理政策和程序等报送银行业监督管理机构,并至少按报送全面风险管理报告。
第四十八条(监管内容)银行业监督管理机构应当将银行业金融机构全面风险管理纳入法人监管体系中,并根据本指引全面评估银行业金融机构风险管理体系的健全性和有效性,提出监管意见,督促银行业金融机构持续加以完善。
第四十九条(监管方式)银行业监督管理机构通过非现场监管和现场检查等实施对银行业金融机构全面风险管理的持续监管,具体方式包括但不限于监管评级、风险提示、现场检查、监管通报、监管会谈、与内外部审计师会谈等。
第五十条(监管沟通)银行业监督管理机构应当就全面风险管理情况与银行业金融机构董事会、监事会、高级管理层等进行充分沟通,并视情况在银行董事会、监事会会议上通报。
第五十一条(监管措施)对不能满足本指引及其他关于全面风险管理要求的银行业金融机构,银行业监督管理机构可以要求其制定整改方案,责令限期改正,并视情况采取相应的监管措施。
第八章 附则
第五十二条(与具体风险监管要求的关系)各类具体风险的监管要求按照银行业监督管理机构的有关规制执行。第五十三条(参照执行)经银行业监督管理机构批准设立的其他金融机构参照本指引执行。
第五十四条(施行时间)本指引自2016年 月 日起施行。本指引实施前发布的有关规范性文件如与本指引不一致的,按照本指引执行。[1]
解读一
为提升银行业金融机构全面风险管理水平,引导银行业金融机构更好服务实体经济,银监会近日发布了《银行业金融机构全面风险管理指引》(以下简称《指引》)。银监会有关部门负责人就《指引》相关问题回答了记者的提问。
一、《指引》制定的背景是什么?
答:《指引》制定的背景主要有三方面:一是我国银行业风险管理缺乏统领性规制。近年来,银监会陆续制定了各类审慎监管规则,覆盖了资本管理、信用风险、市场风险、流动性风险、操作风险、并表管理等各个领域,比较系统,但仍然缺乏一个针对全面风险管理的统领性、综合性规则。因此,有必要制定关于全面风险管理的审慎规制,为银行建立完善的全面风险管理体系提供政策依据和指导。二是银行业金融机构全面风险管理实践有待完善。我国银行业在全面风险管理体系建设上已取得一定的成果,但实践中仍然存在以下问题有待完善:第一,全面风险管理的统筹性和有效性有待提升。第二,中小银行业金融机构全面风险管理体系建设起步相对较晚,精细化程度有待提高。第三,银行业金融机构全面风险管理成果的应用较多基于银监会的监管要求,深度和广度仍有很大的拓展空间。三是国际监管改革对风险管理提出了新的要求。2008年国际金融危机后,国际组织和各国监管机构都在积极完善金融机构全面风险管理相关制度。2012年,巴塞尔委员会修订了《有效银行监管核心原则》,完善和细化了原则15“风险管理体系”的各项标准。之后,巴塞尔委员会和金融稳定理事会针对公司治理、风险偏好、风险文化和风险报告等全面风险管理要素陆续发布了一系列政策文件,提出了更具体的要求。《指引》的制定既是积极适应国际监管改革新要求的结果,又有助于提升我国银行业风险管理水平。
二、《指引》制定的主要思路是什么?
答:《指引》的起草主要基于以下思路:一是形成系统化的全面风险管理规制。二是提出风险管理的统领性框架,强化全面性和关联性视角。三是提高可操作性,提供全面风险管理和监管指南。四是引入《核心原则》最低标准,反映国际监管改革最新成果。五是充分考虑各类机构的差异化情况。六是注重与已有规制的衔接。
三、《指引》对全面风险管理有哪些原则性规定?
答:《指引》对银行业金融机构全面风险管理提出四点管理原则:一是匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应,并根据环境变化进行调整。二是全覆盖原则。全面风险管理应当覆盖各个业务条线,包括本外币、表内外、境内外业务;覆盖所有分支机构、附属机构,部门、岗位和人员;覆盖所有风险种类和不同风险之间的相互影响;贯穿决策、执行和监督全部管理环节。三是独立性原则。银行业金融机构应当建立独立的全面风险管理组织架构,赋予风险管理条线足够的授权、人力资源及其他资源配置,建立科学合理的报告渠道,与业务条线之间形成相互制衡的运行机制。四是有效性原则。银行业金融机构应当将全面风险管理的结果应用于经营管理,根据风险状况、市场和宏观经济情况评估资本和流动性的充足性,有效抵御所承担的总体风险和各类风险。
四、《指引》对全面风险管理提出哪些主要要求?
答:《指引》提出了银行业金融机构全面风险管理体系的五个主要要素,包括风险治理架构,风险管理策略、风险偏好和风险限额,风险管理政策和程序,管理信息系统和数据质量控制,内部控制和审计体系等。《指引》对以上要素的具体内容也进行了规定。
其中,关于风险偏好,《指引》规定银行业金融机构应当制定书面的风险偏好,做到定性指标和定量指标并重,并提出了风险偏好应包括的七项具体内容。关于风险限额,《指引》提出,银行业金融机构应当制定风险限额管理的政策和程序,建立风险限额设定、限额调整、超限额报告和处理制度。同时,在风险限额临近监管指标限额时,银行业金融机构应当启动相应的纠正措施和报告程序,采取必要的风险分散措施,并向银行业监督管理机构报告。
五、《指引》对全面风险管理的责任主体提出哪些要求?
答:《指引》采用了风险管理“三道防线”的理念,强调银行业金融机构董事会承担全面风险管理的最终责任。银行业金融机构监事会承担全面风险管理的监督责任,负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。银行业金融机构应当设立或指定部门负责全面风险管理,牵头履行全面风险的日常管理。银行业金融机构各业务经营条线承担风险管理的直接责任。
六、《指引》是否充分考虑各类机构的差异性?
答:《指引》定位于为银行业金融机构完善全面风险管理体系提供系统性指导框架。在此基础上,《指引》充分考虑了各类银行业金融机构的差异化情况。一是区分适用和参照执行。适用范围明确为我国境内设立的银行业金融机构,经银行业监督管理机构批准设立的其他金融机构参照本指引执行。二是明确匹配性原则。考虑到各类机构特点的差异性,《指引》明确提出全面风险管理体系应当与风险状况和系统重要性等相匹配,并根据环境变化进行调整。三是部分条款增加了适用的前提条件。如对规模较大或业务复杂的银行业金融机构提出设立风险总监(首席风险官)的要求。[2]
解读二
银行业金融机构全面风险管理指引[1]
中国银监会就《银行业金融机构全面风险管理指引(征求意见稿)》公开征求意见 为提升银行业金融机构全面风险管理水平,中国银监会起草了《银行业金融机构全面风险管理指引(征求意见稿)》(以下简称《指引》),现向社会公开征求意见。银监会将根据各界反馈意见,进一步修改完善《指引》,适时发布。
近年来,为加强和规范商业银行风险管理,银监会借鉴国际金融监管改革成果,紧密结合我国银行业实际,陆续制定了各类审慎监管规则,覆盖了资本管理、信用风险、市场风险、流动性风险、操作风险、并表管理等各个领域,初步建立起一套较为完整的风险管理规制体系。在此基础上,银监会从现有规则中梳理提炼出共性要素,同时参照巴塞尔银行委员会《有效银行监管核心原则》的基本要求,借鉴国际经验,起草了《指引》,形成了我国银行业全面风险管理的统领性、综合性规则,引导银行业树立全面风险管理意识,建立稳健的风险文化,健全风险管理治理架构和要素,完善全面风险管理体系,持续提高风险管理水平。
《指引》共8章54条,包括总则,风险治理架构,风险管理策略、风险偏好和风险限额,风险管理政策和程序,管理信息系统和数据质量,内部控制和审计,监督管理及附则,强调银行业金融机构按照匹配性、全覆盖、独立性和有效性的原则,建立健全全面风险管理体系,并加强外部监管。
第四篇:银行业金融机构外包风险管理指引
银行业金融机构外包风险管理指引
第一章 总则
第一条 为了规范银行业金融机构的外包活动,保障银行业金融机构业务持续经营,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规,制定本指引。
第二条 在中华人民共和国境内设立的银行业金融机构适用本指引。
第三条 本指引中的外包是指银行业金融机构将原来由自身负责处理的某些业务活动委托给服务提供商进行持续处理的行为。服务提供商包括独立第三方,银行业金融机构母公司或其所属集团设立在中国境内、外的子公司、关联公司或附属机构。
第四条 银行业金融机构的董事会和高级管理层应当承担外包活动的最终责任。
第五条 银行业金融机构开展外包活动应当制定外包的风险管理框架以及相关制度,并将其纳入全面风险管理体系。
第六条 银行业金融机构应当根据审慎经营原则制定其外包战略发展规划,确定与其风险管理水平相适宜的外包活动范围。
第七条 银行业金融机构的战略管理、核心管理以及内部审计等职能不宜外包。
第二章组织结构
第八条 银行业金融机构外包管理的组织架构应当包括董事会、高级管理层及外包管理团队。
第九条 董事会的职责主要包括以下方面:
(一)审议批准外包的战略发展规划;
(二)审议批准外包的风险管理制度;
(三)审议批准本机构的外包范围及相关安排;
(四)定期审阅本机构外包活动相关报告;
(五)定期安排内部审计,确保审计范围涵盖所有的外包安排。
第十条 高级管理层的职责主要包括以下方面:
(一)制定外包战略发展规划;
(二)制定外包风险管理的政策、操作流程和内控制度;
(三)确定外包业务的范围及相关安排;
(四)确定外包管理团队职责,并对其行为进行有效监督。
第十一条 外包管理团队的职责主要包括以下方面:
(一)执行外包风险管理的政策、操作流程和内控制度;
(二)负责外包活动的日常管理,包括尽职调查、合同执行情况的监督及风险状况的监督;
(三)向高级管理层提出有关外包活动发展和风险管控的意见和建议;
(四)在发现外包服务提供商业的业务活动存在缺陷时,采取及时有效的措施;
(五)高级管理层确定的其他职责
第三章风险管理
第十二条 银行业金融机构在制定外包活动政策时,应当评估以下风险因素:
(一)银行业金融机构应当关注外包活动的战略风险、法律风险、声誉风险、合规风险、操作风险、国别风险等风险;
(二)影响外包活动的外部因素;
(三)本机构对外包活动的风险管控能力;
(四)服务提供商的技术能力及专业能力,业务策略和业务规模,业务连续性及破产风险,风险控制能力及外包服务的集中度;
(五)其他关注的事项。
第十三条 银行业金融机构在进行外包活动时应当对服务提供商进行尽职调查,尽职调查应当包括以下事项:
(一)管理能力和行业地位;
(二)财务稳健性;
(三)经营声誉和企业文化;
(四)技术实力和服务质量;
(五)突发事件应对能力;
(六)对银行业的熟悉程度;
(七)对其他银行业金融机构提供服务的情况;
(八)银行业金融机构认为重要的其他事项。银行业金融机构的外包活动涉及多个服务提供商时,应当对这些服务提供商进行关联关系的调查。
第十四条 银行业金融机构开展外包活动时应当签订书面合同或协议,明确双方的权利义务。合同或协议应当包括但不限于以下内容:
(一)外包服务的范围和标准;
(二)外包服务的保密性和安全性的安排;
(三)外包服务的业务连续性的安排;
(四)外包服务的审计和检查;
(五)外包争端的解决机制;
(六)合同或协议变更或终止的过渡安排;
(七)违约责任。
对于具有专业技术性的外包活动,可签订服务标准协议。
第十五条 银行业金融机构在外包活动中应当建立严格的客户信息保密制度,并依法履行告知义务。
第十六条 银行业金融机构在外包合同中应当要求外包服务提供商承诺以下事项:
(一)定期通报外包活动的有关事项;
(二)及时通报外包活动的突发性事件;
(三)配合银行业金融机构接受银行业监督管理机构的检查;
(四)保障客户信息的安全性,当客户信息不安全或客户权利受到影响时,银行业金融机构有权随时终止外包合同;
(五)不得以银行业金融机构的名义开展活动;
(六)银行业金融机构认为应当承诺的其他事项。第十七条 银行业金融机构应当关注外包服务提供商分包的风险,并在合同中明确以下事项:
(一)服务提供商分包的规则;
(二)分包服务提供商应当严格遵守主服务提供商与银行业金融机构确定的外包合同或协议中的相关条款;
(三)主服务商应当确认在业务分包后继续保证对服务水平和系统控制负总责;
(四)不得将外包活动的主要业务分包。
第十八条 银行业金融机构应当在合同中约定服务提供商不得将外包活动转包或变相转包。
第十九条 银行业金融机构在开展跨境外包活动时,应当遵守以下原则:
(一)审慎评估法律和管制风险;
(二)确保客户信息的安全;
(三)选择境外服务提供商时,应当明确其所在国家或地区监管当局已与我国银行业监督管理机构签订谅解备忘录或双方认可的其他约定。
第二十条 银行业金融机构应当事先制定和建立外包突发事件应急预案和机制。通过采取替代方案、寻求合同项下的保险安排等措施,确保业务活动的正常经营。
第二十一条 银行业金融机构应当定期对外包活动进行全面审计与评价。
第四章监督管理
第二十二条 银行业金融机构在开展外包活动时,应当定期向所在地银行业监督管理机构递交本机构外包活动的评估报告。
第二十三条 银行业金融机构在开展外包活动时如遇到对本机构的业务经营、客户信息安全、声誉等产生重大影响事件,应当及时向所在地银行业监督管理机构报告。
第二十四条 银行业监督管理机构及其派出机构根据需要对外包活动进行现场检查,采集外包活动过程中数据信息和相关资料,并将检查结果纳入对该机构的监管评级。
第二十五条 对外包活动存在以下情形的,银行业监督管理机构可以要求银行业金融机构纠正或采取替代方案,并视情况予以问责。
(一)违反相关法律、行政法规及规章;
(二)违反本机构风险管理政策、内控制度及操作流程等;
(三)存在重大风险隐患;
(四)其他认定的情形。
第五章附则
第二十六条 经银行业监督管理机构批准的其他金融机构开展外包活动时遵照本指引执行。
第二十七条 本指引由中国银行业监督管理委员会负责解释。
第二十八条 本指引自发布之日起实施。
第五篇:银行业金融机构信息系统风险管理指引
【发布单位】中国银行业监督管理委员会 【发布文号】
【发布日期】2006-11-01 【生效日期】2006-11-01 【失效日期】 【所属类别】政策参考
【文件来源】中国银行业监督管理委员会
银行业金融机构信息系统风险管理指引
第一章 总 则
第一条第一条 为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《 中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条第二条 本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条第三条 本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条第四条 本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条第五条 信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章 机构职责
第六条第六条 银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条第七条 银行业金融机构应认真履行下列信息系统管理职责:
(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;
(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;
(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;
(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;
(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的报告;
(六)做好本机构信息系统审计工作;
(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;
(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;
(九)开展与信息系统风险管理相关的其他工作。
第八条第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理;信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略,统筹信息系统项目建设,定期评估、报告本机构信息系统风险状况,为决策层提供建议,采取相应的风险控制措施。
第九条第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条第十条 银行业金融机构应设立信息科技部门,统一负责本机构信息系统的规划、研发、建设、运行、维护和监控,提供日常科技服务和运行技术支持;建立或明确专门信息系统风险管理部门,建立、健全信息系统风险管理规章、制度,并协助业务部门及信息科技部门严格执行,提供相关的监管信息;设立审计部门或专门审计岗位,建立健全信息系统风险审计制度,配备适量的合格人员进行信息系统风险审计。
第十一条第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求:
(一)具备良好的职业道德,掌握履行信息系统相关岗位职责所需的专业知识和技能;
(二)未经岗前培训或培训不合格者不得上岗;经考核不适宜的工作人员,应及时进行调整。
第十二条第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设,建立人才激励机制,适应信息技术的发展。
第十三条第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
第三章 总体风险控制
第十四条第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条第十五条 银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制。
第十六条第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁,防止各类突发事故和恶意攻击。
第十七条第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。
第十八条第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构,应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条第十九条 银行业金融机构应严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,实行信息安全等级保护。
第二十条第二十条 银行业金融机构应加强对信息系统的评估和测试,及时进行修补和更新,以保证信息系统的安全性、完整性。
第二十一条第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准,省域数据中心至少应达到国家B类机房标准,省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施,未经授权不得进入。
第二十二条第二十二条 银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。
第二十三条第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当的备品备件。
第二十四条第二十四条 信息系统的网络应参照相关的标准和规范设计、建设;网络设备应兼备技术先进性和产品成熟性;网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要求保证传输带宽;建立完善的网管中心,监测和管理通信线路及网络设备,保障网络安全稳定运行。
第二十五条第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离;加强无线网、互联网接入边界控制;使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段,有效降低外部攻击、信息泄漏等风险。
第二十六条第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理,不得脱离系统采集加工、传输、存取数据;优化系统和数据库安全设置,严格按授权使用系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,保证数据的完整性、保密性。
第二十八条第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
第二十九条第二十九条 银行业金融机构应制定信息系统应急预案,并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
第三十条第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权。信息系统的技术文档资料包括:系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括:交易数据、账务数据、客户数据,以及产生的报表数据等。
第三十一条第三十一条 银行业金融机构在信息系统可能影响客户服务时,应以适当方式告知客户。
第四章 研发风险控制
第三十二条第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条第三十三条 银行业金融机构信息系统研发前应成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作。
第三十四条第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条第三十五条 银行业金融机构业务部门根据本机构业务发展战略,在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条第三十六条 银行业金融机构业务部门编写项目需求说明书,提出风险控制要求,信息科技部门根据项目需求编制项目功能说明书。
第三十七条第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求。
第三十八条第三十八条 银行业金融机构应建立独立的测试环境,以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷,提高系统的整体质量。
第四十条第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练。
第四十一条第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条第四十二条 项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投产使用。
第五章 运行维护风险控制
第四十三条第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条第四十四条 银行业金融机构信息系统运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
第四十五条第四十五条 银行业金融机构信息系统的运行应符合以下要求:
(一)制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息;
(二)提供常见和简便的操作菜单或命令,如信息系统的启动或停止、运行日志的查询等;
(三)提供机房环境、设备使用、网络运行、系统运行等监控信息;
(四)记录运行值班过程中所有现象、操作过程等信息。
第四十六条第四十六条 银行业金融机构信息系统的维护应符合以下要求:
(一)除对信息系统设备和系统环境的维护外,对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
(二)具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计;
(三)提供维护的统计和报表打印功能。
第四十七条第四十七条 银行业金融机构信息系统的变更应符合以下要求:
(一)制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作;
(二)根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性;
(三)应采用软件工具精确判断变更的真实位置和内容,形成变更内容核实清单,实现真实、有效、全面的检验;
(四)软件版本变更后应保留初始版本和所有历史版本,保留所有历史的变更内容核实清单。
第四十八条第四十八条 银行业金融机构在信息系统投产后一定时期内,应组织对系统的后评价,并根据评价及时对系统功能进行调整和优化。
第四十九条第四十九条 银行业金融机构应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
第五十条第五十条 银行业金融机构应实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第六章 外包风险控制
第五十一条第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条第五十二条 银行业金融机构在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全有关规章制度,制定相应的风险防范措施。
第五十三条第五十三条 银行业金融机构应建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质,具有相关专业经验的独立机构完成。
第五十四条第五十四条 银行业金融机构应当与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响,并将其纳入总体安全策略和风险控制之中。
第五十六条第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序,审慎管理外包产生的风险,提高本机构对外包管理的能力。
第五十七条第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略,并应建立针对外包风险的应急计划。
第五十八条第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更,保证外包服务不间断的应急预案。
第五十九条第五十九条 银行业金融机构将敏感的信息系统,以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时,应遵守国家有关法律法规,符合银监会的有关规定,经过董事会或其他决策机构批准,并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。
第七章 审 计
第六十条第六十条 银行业金融机构内设审计部门负责本机构信息系统审计,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。
第六十一条第六十一条 信息系统风险审计应包括:总体风险审计、系统审阅和专项风险审计。
第六十二条第六十二条 总体风险审计是指对本机构所有信息系统共有的公共部分进行审计,实施总体风险控制。根据信息系统的总体风险状况确定审计频率,但至少每3年审计一次。
第六十三条第六十三条 信息系统的系统审阅是指对研发、运行及退出的全过程进行审计,分投产前与投产后的审阅。
第六十四条第六十四条 投产前的系统审阅是指审计人员采用非现场形式,对信息项目开发过程中所提交的有关文档资料进行审阅,指出其中存在的风险,了解是否具有相应的控制措施,并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。
投产前的系统审阅重点:
(一)被外界成功攻破的可能性;
(二)在内部安全控制方面的设计漏洞与缺陷;
(三)项目开发管理方面的问题;
(四)效率与效能;
(五)功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性;
(六)其他需重点审阅的内容。
第六十五条第六十五条 投产前的系统审阅文档资料包括:
(一)项目可行性报告;
(二)项目需求说明书;
(三)项目功能说明书(包括业务与技术方面存在的风险及控制办法);
(四)项目总体技术框架;
(五)项目设计说明书;
(六)项目实施计划;
(七)与第三方签订的外包协议;
(八)测试计划及验收报告;
(九)投产计划;
(十)项目开发例会的会议记录;
(十一)操作手册;
(十二)其他需审阅的文档资料。
对于所含内容较多的文档资料,应对关键交易的数据处理流程、交易接口和其他重要的安全事项进行审阅。
第六十六条第六十六条 投产后的系统审阅是指在信息系统投入生产一段时间后进行的审计,旨在评估对信息系统各项风险的控制是否恰当,能否实现预定的设计目标。投产后的系统审阅应在信息系统投入生产半年后进行,审计报告应对被审计的信息系统提出改进或增加风险控制、能否继续生产等内容的审计建议。
第六十七条第六十七条 信息系统专项风险审计是指对被审计单位发生信息安全事故进行的调查、分析和评估,或原有信息系统进行重大结构调整的审计,或审计部门认为需要对信息系统某项专题进行审计。
第六十八条第六十八条 银行业金融机构信息系统风险审计也可以由银监会及其派出机构依据法律、法规和规章,委托并授权有法定资质的中介评估机构进行。
第六十九条第六十九条 中介机构根据银监会或其派出机构委托或授权对银行业金融机构进行审计时,应出示委托授权书,并依照委托授权书上规定的委托和授权范围进行审计。
第七十条第七十条 中介机构根据授权出具的审计报告经银监会及其派出机构审阅确定后具有法律效力,被审计金融机构应对该审计报告在法定时间内提出整改意见,并按审计报告中提出的建议进行及时整改。
第七十一条第七十一条 中介机构应严格执行法律法规,保守被审计单位的商业秘密和风险信息。审计过程中所有涉及资料的调阅应有交接手续,并不得带离现场或进行修改、复制。
第八章 附 则
第七十二条第七十二条 本指引由中国银行业监督管理委员会负责解释、修订。
第七十三条第七十三条 本指引自颁布之日起施行。
本内容来源于政府官方网站,如需引用,请以正式文件为准。
点击咨询 