第一篇:上市公司南洋科技全面風險管理辦法
浙江南洋科技股份有限公司全面風險管理辦法
第一章 總 則
第一條 為了防范、控制和化解公司在復雜多變的經營環境中,隨時可能發生或出現的風險與危機,保證公司戰略目標的實現和公司經營的持續、穩定、健康發展,根據《公司法》、《證券法》、《企業內部控制基 本規范》、《中小企業板上市公司內部審計工作指引》和其他
有關法律法規,結合公司實際情況,特制訂本辦法。
第二條 本辦法適用于公司各部門及各子公司的風險管理工作。
第三條 本辦法所稱風險,是指在公司未來發展過程中,各種不
確定性對公司實現其戰略及經營目標的影響。
第四條 本辦法中所稱全面風險管理,是指公司圍繞戰略目標,通過在管理的各環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全風險管理體系,為實現風險管理的總體
目標提供保證的過程和方法。
第二章 風險管理的目標、原則與框架
第五條 公司風險管理的總體目標:
(一)保證經營的合法合規及公司內部規章制度的貫徹執行;
(二)保證將風險控制在與總體目標相適應并可承受的范圍內;
(三)確保公司建立針對各項重大風險發生后的危機處理計劃,保
護公司不因災害性風險或人為失誤而遭受重大損失;
(四)保證公司內外部,尤其是公司與股東之間實現真實、可靠的
信息溝通,包括編制和提供真實、可靠的財務報告;
(五)形成良好的風險管理文化,使全體員工強化風險管理意識。
第六條 公司風險管理應當遵循全面、重要、合理、制衡、獨立 的原則,確保風險管理的有效性。
(一)全面性:風險管理應當做到事前、事中、事后控制相統一;覆蓋公司的所有業務、部門和人員,滲透到決策、執行、監督、反饋等各個環節,確保不存在風險管理的空白或漏洞。
(二)重要性。風險管理應當在全面風險管理的基礎上,關注重要業務事項和高風險領域。
(三)合理性:風險管理應當符合國家有關法律法規、中國證監會和證券交易所的有關規定,與公司經營規模、業務范圍、風險狀況及
公司所處的環境相適應,以合理的成本實現風險管理目標。
(四)制衡性。風險管理應當在治理結構、機構設置及權責分配、業
務流程等方面形成相互制約、相互監督,同時兼顧運營效率。
(五)獨立性:承擔風險管理監督檢查職能的部門應當獨立于公司
其他部門。
第七條 全面風險管理通常應涵蓋公司治理與經營管理活動中
所有環節,包括但不限于:
(一)公司治理環節:主要包括“三會” 運作,“三會”和管理層的職權等。
(二)證券事務環節:主要包括持股 5%以上股東、董事、監事、高級管理層的誠信規范要求,信息披露,投資者關系管理等。
(三)重大資產購買和出售環節:主要包括重大資產自建、購置、處置、維護、保管與記錄等。
(四)對外投資環節:包括投資有價證券、股權、金融衍生品及其他長、短期投資、委托理財、募集資金使用的決策、執行、保管與記
錄等。
(五)對外擔保與融資環節:包括借款、擔保、承兌、租賃、發行新股、發行債券等的授權、執行與記錄等。
(六)關聯交易環節:包括關聯方的界定,關聯交易的定價、授權、執行、報告和記錄等。
(七)日常經營環節:主要包括:生產、采購與付款、銷售與收款、財務會計管理、全面質量管理、產品研發、人事管理等
第三章 風險管理的組織體系與職責分工
第八條 公司風險管理的組織體系由公司審計委員會、內審部、法律顧問、各部門及子公司內設的有風險職能的部門或崗位構成。
第九條 審計委員會由董事會設立,由獨立董事擔任主任委員,除公司《內部審計制度》規定的職責外,還負責提出公司經營管理過程中防范風險的指導意見,制訂公司風險控制制度;對公司風險狀況和風險管理能力及水平進行評價,提出完善公司風險管理和內部控制 的建議。
第十條 內審部獨立于公司各部門和子公司,負責協助公司識別和評價重大風險問題,幫助公司改進風險管理與控制系統;通過評價控制的效率與效果,促進其持續改善等工作,幫助公司維持有效的控制系統;評價公司治理過程并提出改進公司治理的恰當建議,履行檢查與評價、咨詢與服務的職能。內審部向審計委員會負責并報告工作,審計委員會對董事會負責并報告工作。
第十一條 內審部下設風險管理職能,全面負責公司的風險管理,建立健全公司風險防范、監控體系,負責公司風險管理制度建設,并監督執行情況;負責公司各業務風險的日常管理,對公司經營管理活動中的各類風險實施有效的事前評估和過程監控,有效化解和降低
公司運營風險。
第十二條 法律顧問承擔公司的政策法律事務,為領導決策和公司業務開展提供法律參考意見;審核相關法律文書及合同,防范法律風險;負責牽頭處理公司訴訟事務和經濟糾紛事務,代表公司對外處
理相關法律事務,維護公司的合法權益。
第十三條 公司各部門和和子公司負責人為風險控制的第一責任人,履行風險控制職能,執行具體的風險管理制度,建立部門內權責明確、相互制衡的崗位職責和部門內全面、合理的風控制度,并針
對業務主要風險環節制定業務操作流程。
第四章 風險評估
第十四條 風險評估是指根據公司內外部環境的變化,對公司所面臨的風險進行風險辨識、風險分析、風險評價。包括對公司各項管
理制度、各項經營發展計劃、經營方案的事前風險評估。
第十五條 公司各項管理制度,應按規定程序征求意見。對其中涉及風險管理的部分是否符合公司風險管理政策,要經內審部進行會
簽。
第十六條 公司各部門可以根據本辦法,針對本部門業務的特點,制定本部門業務的風險管理實施細則,經內審部會簽確認后,按規定程序納入公司管理制度體系。
第十七條 各部門制訂的重大經營計劃和創新業務方案應包含業務部門自身對于計劃、方案的風險判斷和采取的風險管理措施,并由內審部、法律顧問聯合進行風險評估。內審部和法律顧問對計劃、方案的市場風險、法律風險、信用風險、操作風險、技術風險、政策風險和道德風險等進行確認,對風險發生的概率及其產生結果的影響程度進行評估,對計劃、方案中相應的風險管理措施是否充分有效等
進行分析,并出具風險評估報告或法律意見書。
第十八條 公司應建立風險管理綜合信息的收集與積累機制。風險管理綜合信息包括與風險及風險管理相關的宏觀經濟、政策法規、市場狀況、技術革新、公司資源、財務狀況、人力配置、管理措施、工具應用、信息報告等方面的信息。公司及各部門、各子公司應廣泛地、持續不斷地收集與公司風險及管理相關的信息,并送交內審部對相關信息進行整理和修訂,以建設和更新公司的風險管理綜合信息庫。
第五章 風險管理解決方案的制定與實施
第十九條 根據經營戰略與風險策略一致、風險控制與運營效率及效果相平衡的原則,公司制定風險解決的內控方案,針對重大風險所涉及的各管理及業務流程,制定涵蓋各個環節的全流程控制措施;對其他風險所涉及的業務流程,要把關鍵環節作為控制點,采取相應 的控制措施。
第二十條 公司制定合理、有效的內控措施,包括以下內容:
不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。
第二十一條 不相容職務分離控制要求企業全面系統地分析、梳理業務流程中所涉及的不相容職務,實施相應的分離措施,形成各司其職、各負其責、相互制約的工作機制。
第二十二條 授權審批控制要求企業根據常規授權和特別授權的規定,明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。
公司應當編制常規授權的權限指引,規范特別授權的范圍、權限、程序和責任,嚴格控制特別授權。常規授權是指公司在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是指公司在特殊情況、特定條件下進行的授權。
公司各級管理人員應當在授權范圍內行使職權和承擔責任。
公司對于重大的業務和事項,應當實行集體決策審批或者聯簽制度,任何個人不得單獨進行決策或者擅自改變集體決策。
第二十三條 會計系統控制要求企業嚴格執行國家統一的會計準則制度,加強會計基礎工作,明確會計憑證、會計賬簿和財務會計報告的處理程序,保證會計資料真實完整。
公司應當依法設置會計機構,配備會計從業人員。從事會計工作的人員,必須取得會計從業資格證書。財務負責人應當具備會計師以上專業技術職務資格。
第二十四條 財產保護控制要求公司建立財產日常管理制度和定期清查制度,采取財產記錄、實物保管、定期盤點、賬實核對等措施,確保財產安全。公司應當嚴格限制未經授權的人員接觸和處置財產。
第二十五條 預算控制要求公司實施全面預算管理制度,明確各責任單位在預算管理中的職責權限,規范預算的編制、審定、下達和執行程序,強化預算約束。
第二十六條 運營分析控制要求公司建立運營情況分析制度,管理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息,通過因素分析、對比分析、趨勢分析等方法,定期開展運營情況分析,發現存在的問題,及時查明原因并加以改進。
第二十七條 績效考評控制要求公司建立和實施績效考評制度,科學設置考核指標體系,對公司內部各責任單位和全體員工的業績進行定期考核和客觀評價,將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。
第二十八條 公司應當根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各種業務和事項實施有效控制。
第二十九條 公司應當建立重大風險預警機制和突發事件應急處理機制,明確風險預警標準,對可能發生的重大風險或突發事件,制定應急預案、明確責任人員、規范處置程序,確保突發事件得到及時妥善處理。
第六章 風險的監控報告與預警
第三十條 公司建立風險報告和預警制度。通過有效的溝通和反饋,使公司領導和有關部門及時了解公司業務和資產的風險狀況,相
應調整風險管理政策和管理措施。
第三十一條 公司的風險報告分為定期風險報告和不定期的專項風險報告。定期風險報告是對一個階段公司經營發展中存在的風險和糾正的情況進行的匯總報告;不定期專項風險報告是對監控中或風險專項檢查中發現的重大風險或風險隱患問題進行的專項報告。風險報告要按照規定的報告程序報送公司領導、相關部門和履行垂直管理
職責的管理部門。
第三十二條 在風險監控中發現問題時,內審部可以進行風險專項檢查,必要時可進行重點審計或組織專項審計。對其它不屬于內審部職責范圍內的事項,內審部可以向公司有關部門提出風險管理建
議。
第三十三條 公司相關部門應建立風險預警系統,以發現并應對可能出現的風險。各部門、子公司有責任及時、無保留地向公司內審部報告有關風險的真實信息。
第七章 風險與危機的處理
第三十四條 公司建立靈敏高效的危機處理和應急管理機制,以降低風險損失。對新出現的、缺乏風險應急預案的重大風險,內審部應立即與公司相關部門協調,組織人員研究制定風險應對方案,并報
公司審計委員會審批后實施。
第三十五條 當風險已經發生,風險單位負責人必須立即向公司
內審部報告(可以越級報告)。
第三十六條 內審部應及時對風險進行初步的評判,確定是屬于一般性內部風險,還是對公司聲譽、經營活動和內部管理造成強大壓力和負面影響的公司危機。對一般性風險,責成單位負責人或有關人
員負責組織處理;對公司危機,必須按照下列程序處理。
第三十七條 危機處理程序:
(一)成立風險和危機的處理機構
危機發生后,公司應在第一時間成立危機處理小組,該小組應由公司總經理或副總經理擔任組長。小組成員至少應包括:發生危機單位的第一負責人,公司法律顧問,內審部、證券部、辦公室、人力資源部等部門負責人及其他相關人員,小組應配備小組秘書及后勤保障人員。公司董事會應授權危機處理小組為處理危機事件的最高權力機
構和協調機構,有權調動公司可用資源。
(二)制訂危機處理計劃
危機處理小組應及時根據現有的資料和情報,以及公司擁有或可支配的資源來制訂危機處理計劃。計劃必須體現出危機處理目標、程序、組織、人員及分工、后勤保障、行動時間表以及各個階段要實現的目標,同時還應包括社會資源的調動和支配、費用控制和實施責任人及其目標。計劃制訂完成并獲通過后,應立即開始進行物質資源調
配和準備,展開全面的危機處理行動。
(三)危機處理
1.對于尚未造成社會影響的事件,在對危機事件進行詳細的調查了解和核實的基礎上,根據法律、法規和公司管理制度,果斷做出處理決定,以避免事態的進一步惡化。
2.對于已造成社會影響的事件,應保持與社會各方的良好溝
通,及時披露事實真相,以有助于對事件做出客觀公正的報道和評價。
3.在處理過程中,應處理好與危機事件對方當事人的關系,及
時按撫,避免出現糾紛。
4.在事件處理的全過程,危機處理小組均應與當地政府、監管
機構保持緊密聯系,及時通報事件進展。
(四)教訓總結與責任認定
危機事件處理完成后,危機處理小組應及時提交總結報告,如實反映事件的起因、發生過程、處理方法和結果、責任認定、反映的問
題等,并提出整改建議或意見,以避免新的風險和危機發生。
第三十八條 對因決策失誤、管理失職、行為失當等原因致使公司出現風險或危機,并造成有形或無形損失的責任人及單位負責人,公司應追究其直接責任或領導責任。
第八章 風險管理的監督與考核
第三十九條 風險管理的監督與考核是指對風險管理的效果和效率進行持續監督與考核評價,包括對公司風險管理相關部門的風險管理工作執行情況進行定期檢查,對風險管理工作任務的完成情況進行考核,并根據監督或考核的結果,對公司風險管理工作進行改進與
提升。
第四十條 內審部對公司風險管理相關制度和流程在各部門和子公司的執行情況進行監督和檢查,對公司風險管理總體狀態和內部控制的效率與效果進行檢查和評價,對公司總部及各子公司的各項經營管理活動和財務收支活動進行審計。各類審計報告按照規定程序上
報。
第四十一條 內審部負責對風險管理工作進行總結,對發現的問題應及時分析原因,改進所發現的風險管理設計和運行的缺陷,并據以修訂風險管理相關制度。內審部應將有關風險管理資料抄送相關部
門。
第四十二條 公司建立多層級風險責任機制。各部門風險管理工
作納入績效考核體系。
(一)公司及各子公司為第一級風險管理單位,公司及各子公司總
經理為風險責任承擔人,全盤負責本單位的風險管理。
(二)公司及各子公司按照組織架構細分二級風險單位,每個風險
單位的第一負責人為風險責任承擔人,全盤負責本單位的風險管理。
(三)各子公司及其二級風險單位必須評估每一個操作程序所遇到的風險,再把每一個風險細分為次風險,據此制定風險管理的操作程
序。
(四)各級風險單位必須把風險管理的責任落實到每一環節的相關
人員,真正做到風險控制到人。
第四十三條 年度風險管理考核指標與考核標準由內審部與人
力資源部進行溝通確定后,報公司批準下發執行。
第四十四條 考核指標和考核標準的設定,主要考慮以下方面:
(一)公司風險管理體系或部門風險管理流程的建設工作按計劃進
度完成情況。
(二)對公司或部門的重大風險進行系統的評估或預防的情況。
(三)根據公司風險管理策略,落實部門有關風險的管理制度和流程及實施的情況。
(四)對公司或部門的風險管理職責進行清晰的界定和落實的情況。
(五)風險相關報告和預警工作的及時、有效性情況。
(六)超出預警范圍的重大風險發生并對公司經營目標造成重大影
響的情況。
第四十五條 對于違反公司風險管理制度的,由內審部提出處理
建議,報請公司批準后,由人力資源部落實對具體責任人進行處罰。
第九章 風險管理文化的建設
第四十六條 公司應將風險管理文化建設作為公司發展戰略的組成部分,培育和塑造良好的風險管理文化,促進公司全面風險管理
目標的實現。
第四十七條 公司應營造合規經營的制度文化環境。將風險管理文化融于企業文化建設的全過程中,在相關政策和制度文件中明確規定風險管理文化的建設要求和內容,在各層面營造風險管理文化的氛
圍。
第四十八條 公司應引導員工遵循良好的行為準則和道德規范,增強風險管理意識,培養按制度規章做事的習慣。
第四十九條 公司應將對員工風險意識和風險管理的培訓納入培訓計劃。通過各類風險案例教育和公司制度流程培訓,對公司全體
人員進行崗前和崗上的持續性風險管理培訓。
第十章 附 則
第五十條 公司各部門和子公司應遵照本辦法履行相應的職責,公司根據需要制定相應的實施細則和流程。
第五十一條 本辦法由內審部負責解釋。
第五十二條 本辦法自公司董事會批準之日起實施。
第二篇:全面風險管理辦法
***公司全面風險管理辦法(試行)
第一章 總 則
第一條 為防范、控制、化解、處理發生或可能出現的風險,保證公司持續、穩定、健康發展,根據《中華人民共和國公司法》、《公司內部控制基本規范》和《公司章程》等規定,結合公司實際情況,特制訂本辦法。
第二條 本辦法中所稱全面風險管理,是指為消除各種不確定性對公司實現戰略及經營目標的影響,通過建立健全風險管理體系,在各個管理環節中執行風險管理流程,培育良好的風險管理文化,為實現風險管理的總體目標提供保證的過程和方法。
第三條 本辦法所稱風險管理責任單位是指公司各職能部門、分支機構及外派人員。第四條 公司風險管理的總體目標是規避和減少風險可能造成的損失,確保公司的持續健康發展。
第五條 全面風險管理遵循以下原則:
(一)全面性原則
風險管理涵蓋公司的所有部門和崗位,滲透到各項業務和環節中,貫穿于每項業務全過程。通過不斷提高員工對風險的識別和防范能力,樹立全員風險意識。
(二)有效性原則
在全面風險管理的理念下,建設全面反映公司風險狀況的風險控制體系,確保該體系能有效指導業務,并能有效防范和化解風險。
(三)防范和控制原則 風險控制關口前移,努力在前期做好風險管理工作,加強風險的事前預防和統籌管理。并能在風險發生時及時識別和處理
(四)獨立性原則
承擔風險管理監督檢查職能的部門獨立于公司其他部門,確保監督檢查工作的獨立性。
(五)成本效益原則
風險管理充分考慮成本與效益的關系,公司保持足夠的風險投入,以降低風險損失。同時在保證風險可控的前提下,盡量減少冗余步驟,提高處理效率。
第二章 風險分類及風險管理策略
第一節 風險分類
第六條 根據監管部門對**行業風險分類、**行業的風險特性以及公司自身情況,公司所面臨的風險分為管理風險、聲譽風險、信用風險、合規風險、法律風險和市場風險七大類。第七條 管理風險 指因公司整體從負責滿足監管要求、制定和實施業務戰略、設計組織架構、到管理人力資源等各范疇處理不善所產生的風險。
第八條 聲譽風險
指一些直接影響客戶對公司信任的公司行為所引致的風險。第九條 道德風險
指內部工作人員在最大限度地增進自身效用的同時做出不利于公司和他人的行動。人員素質不高,放松思想教育是道德風險產生的根本原因。內控不力,管理松弛是道德風險產生的直接原因。
第十條 信用風險
是由于融資方不能或不愿按期還款或投資資金而使公司遭受損失的風險。同時,為公司 1 托管現金或資產的機構(如銀行、保管商等)不穩健亦會引發信用風險。
第十一條 操作風險
由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險,包括內部欺詐、外部欺詐、雇員活動和工作場所的安全問題、客戶、產品和業務活動的安全問題、公司維系經營的實物資產損壞、業務中斷和系統錯誤、會計、行政、交付和過程管理等。
第十二條 合規風險
是指公司、各部門或全體員工因不合規行為而可能遭受法律制裁、監管處罰、財務損失或聲譽損失的風險。
第十三條 市場風險
是指由于市場的利率、匯率或所投資的產品價格的波動而引起投資虧損的風險,進而影響公司信譽,并有可能危及公司的生存發展。
第十四條 合規風險和聲譽風險是公司面臨的最主要風險。其次,道德風險、管理風險、操作風險、信用風險和市場風險等均是公司業務運營中主要承擔的風險。各部門和人員應嚴格遵照公司對風險的分類及定義,針對不同類型的風險采取不同的措施,有效地規避和防范因風險造成的損失。
第二節 風險管理策略
第十五條 風險管理策略是指:公司根據內外部環境及董事會制定的公司發展戰略,結合財政部等聯合頒布的《公司內部控制基本規范》,確定風險偏好、風險承受度、風險管理有效性標準,選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略,并確定風險管理所需人力和財力資源的配臵原則等公司風險管理總體方針準則。
第十六條 風險管理策略應明確哪些風險是公司不可承受的,并根據內外部形勢的變化作相應調整。
第十七條 風險管理策略由風險與審計委員會制定,經董事會進行評估后確定。經營層負責將公司風險管理策略落實到公司制度和流程管理中,完善各項業務制度和流程,并對風險管理策略的實施情況和效果進行檢查和評價。
第十八條 現有風險管理策略、制度和流程的可行性或有效性,如因內外部環境發生變化而受到嚴重影響,應及時進行修訂和調整。
第十九條 公司在實施風險管理策略的過程中,應建立和不斷完善授權體系,公司所有部門和分支機構必須在公司授權范圍內開展工作。并建立有效的信息溝通機制,使風險信息能夠及時傳遞到相關的部門和公司領導。
第三章 組織體系與職責分工
第二十條 公司全面風險管理工作實行分級管理,全面風險管理組織體系包括:董事會、監事會、風險與審計委員會、經營層、風險合規管理部、稽核審計部、其他各職能部門及分支機構。公司通過構筑完整的風險管理架構來建立風險管理體系,所有的部門和人員均承擔風險管理的職責。風險管理架構如下:
1、各部室對本部門的業務流程和操作流程進行日常維護和管理,對本部門所面臨的主要風險點進行識別、自我檢查和實施關鍵控制程序。
2、風險合規管理部對各部室的主要風險點進行獨立的日常監控與管理。
3、稽核審計部對各部室的運行過程和結果進行獨立的稽核與檢查。
4、經營層負責領導公司風險管理與內部控制的日常運行,建立健全公司業務與管理流程的風險防范、內部監控體系,有效化解和降低公司整體的運營風險。
5、風險與審計委員會負責指導公司風險防范工作,審定公司風險控制制度;對公司風 2 險狀況和風險管理能力及水平進行評價。
6、董事會負責從整體上管理和監控公司的風險。
7、監事會對公司風險防范、監控體系的工作進度與效果進行監督。
第二十一條 監事會對董事會、經營層建立健全公司風險防范、監控體系的工作進度與效果進行監督,對董事、高級管理人員違反風險管理制度、風險管理職責而給公司造成重大損失的行為進行查處。監事會主席是監事會負責前述風險工作監督事項的代表和第一責任人。
第二十二條 董事會作為風險管理架構的最高決策機構,負責管理和監控公司的整體風險,對重大風險事項進行決策,確保公司戰略的實現。其全面風險管理的主要職責為:
(一)審批風險與審計委員會提交的風險管理事項。
(二)決定有關全面風險管理的其它重大事項。
第二十三條 風險與審計委員會負責提出公司經營管理過程中防范風險的指導意見,審定公司風險控制制度;對公司風險狀況和風險管理能力及水平進行評價,提出完善公司風險管理和內部控制的建議,以及履行由董事會規定的其他職責。其全面風險管理的主要職責為:
(一)對經營層提交的風險管理事項進行審議,并提交董事會審批。
(二)對公司總經理的經營管理是否符合董事會的決策進行審查,并提交董事會審批。
(三)推動落實董事會決定的其他風險管理事項。
第二十四條 經營層負責領導公司風險管理與內部控制的日常運行,總裁是經營層負責風險管理的第一責任人。經營層全面風險管理的主要職責為:
(一)對風控總監提交的風險管理事項進行審議,并提交風險與審計委員會審議。
(二)審核重大風險關鍵監控指標和分解指標,以及預期實現關鍵監控指標的風險承受度,并提交風險與審計委員會審議;
(三)建立健全公司業務與管理流程的風險防范、內部監控體系,管理公司各職能部門、各業務單元的日常風險,有效化解和降低公司整體的運營風險。
(十)審核風險管理的其他重要事項。第二十五條 風控總監行使總裁授權范圍內的風險管理職責,主持全面風險管理的日常工作,對總裁負責。其職責為審核風險合規管理部、稽核審計部等下屬部門提交的事項,并提交經營層審議。
第二十六條 風險合規管理部是公司全面風險管理工作的歸口管理部門,并將風險管理事項提交風控總監審議。其全面風險管理的具體職責如下:
(一)組織開展風險評估及應對工作,負責對評估結果匯總分析,對其他部門和分支機構開展的專項業務風險評估提供指導和支持。
(二)根據風險評估結果,提出風險管理策略調整建議,組織協助相關部門制定重大風險應對方案。
(三)對風險管理工作情況進行評估,編制《風險管理報告》(年報和半年報,下同)。
(四)組織推動全面風險管理體系的建設和改進提升,協助其他部門和分支機構開展風險管理體系建設。
(五)為公司各職能部門管理重大風險提供專業支持,組織協調跨部門的風險管理事宜,對公司重大風險管理提出專業意見和參與重大投資決策。
(六)對重大風險應對方案的制定、執行和效果情況進行監督檢查。
(七)建立風險數據庫。對風險管理制度、方案、決議等材料進行修訂、調整和歸檔。
(八)擬定和實施風險管理考核方案。
(九)提出風險管理組織機構設臵及其職責分工的建議。
(十)負責擬定或修訂風險管理相關制度并監督落實,指導和協助制定完善具體風險的管理辦法和操作流程。
(十一)制定企業風險文化培育方案和風險管理培訓計劃。
(十二)提議聘請和更換項目審計、評估機構,監督考核上述機構。
(十三)完成公司領導交辦的其他風險管理相關工作。
第二十七條 稽核審計部是公司獨立的風險管理監督部門,通過內部審計提出改善風險管理的有效措施,幫助公司維持有效的風險控制系統,并將風險管理監督情況提交風控總監審核。其全面風險管理的具體職責如下:
(一)進行內部日常、專項監督與評價。
(二)制定并明確《內部控制缺陷認定標準》,跟蹤內部控制缺陷整改情況,并就內部監督中發現的重大問題通過風控總監向監事會提請追究相關責任單位或者責任人的建議。
(三)針對監督檢查過程中發現的內部控制缺陷,包括設計缺陷和運行缺陷。
(四)編制《審計報告》。
(五)提議聘請和更換外部審計機構。
第二十八條 風險管理責任單位負責人為本部門所涉風險管理事項的第一責任人,履行本部門的風險控制職能,執行具體的風險管理制度,建立部門內權責明確、相互制衡的崗位職責和部門內全面、合理的風控制度,并針對本部門業務主要風險環節制定業務操作指引。其全面風險管理的具體職責如下:
(一)貫徹執行《全面風險管理辦法》,以及其他的風險管理相關制度,配合風險合規管理部、稽核審計部開展風險管理工作;
(二)樹立全面風險管理理念,積極參與風險管理文化建設;
(三)完成日常風險信息報送、風險辨識和評估,并形成風險事件列表、風險評估列表;
(四)完成重大風險關鍵監控指標和分解指標的確定,以及風險承受度的確定;
(五)提出重大風險應對策略及具體應對方案,完成剩余風險評估;
(六)嚴格進行項目后期風險管理,并按規定形成檢查報告;
(七)監控風險事件的變化狀態、填報關鍵指標數據,適時制定和啟動應急預案;
(八)配合風險合規管理部完成其他風險管理工作。上述第(三)、(四)、(五)、(六)
(七)項需報送風險合規管理部。
第四章 全面風險管理工作流程
第一節 風險評估
第二十九條 風險評估是指在信息收集的基礎上根據公司內外部環境的變化,對公司所面臨的風險進行風險辨識、風險分析、風險評價,包括對公司各項管理制度、各項經營發展計劃、經營與投資方案的事前風險評估。
公司開展風險評估,應當準確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。
第三十條 公司建立風險管理綜合信息的收集與積累機制。各職能部門及分支機構在日常工作中,應持續收集與本公司風險相關的內外部相關信息,包括歷史數據和未來預測數據,并進行整理和記錄,每季結束后五個工作日內報送風險合規管理部風險考核專員。公司各部門以及人員應在獲取重要風險信息后三個工作日內將信息逐級傳遞至董事會和監事會。
第三十一條 風險管理部應對各風險管理責任單位報送的風險信息進行統一的篩選、提煉和規范管理,補充風險事件庫。通過專業分析、評價、診斷,對重大風險進行提示,組織 4 相關部門制定具體應對方案。
第三十二條 風險管理部每年組織開展一次風險評估工作,負責從風險事件庫中整理重大風險事件列表,制定風險評價的統一標準,并根據事件的來源、影響范圍、管理需要等確定參與評估的范圍。通過對各類風險的綜合分析,形成評估結論,確定重大風險,經經營層審核后提交風險與審計委員會審議。
第三十三條 各部門制訂的重大經營計劃和創新業務方案應包含業務部門自身對于計劃、方案的風險判斷和采取的風險管理措施,并由風險與審計委員會對計劃、方案的市場風險、合規風險、信用風險、操作風險、聲譽風險、管理風險和道德風險等進行確認,對風險發生的概率及其產生結果的影響程度進行評估,對計劃、方案中相應的風險管理措施是否充分有效等進行分析,并出具風險評估意見書。
第三十四條 公司應當將內部控制相關信息在內部各管理級次、責任單位、業務環節之間,以及企業與外部投資者、債權人、客戶、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題,應當及時報告并加以解決。
第三十五條 公司可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道,獲取內部信息。公司應當利用信息技術促進信息的集成與共享,充分發揮信息技術在信息與溝通中的作用。
第二節 風險的控制
第三十六條 承擔風險控制直接責任的部門應當結合風險評估結果,運用相應的控制措施,將風險控制在可承受度之內。
第三十七條 控制措施一般包括:不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。
第三十八條 不相容職務分離控制要求公司全面系統地分析、梳理業務流程中所涉及的不相容職務,實施相應的分離措施,形成各司其職、各負其責、相互制約的工作機制。
第三十九條 授權審批控制要求公司根據收取管理制度中一般授權和臨時授權的規定,明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。
第四十條 會計系統控制要求公司嚴格執行國家統一的會計準則制度,加強會計基礎工作,明確會計憑證、會計賬簿和財務會計報告的處理程序,保證會計資料真實完整。公司應當依法設臵會計機構,配備會計從業人員。從事會計工作的人員,必須取得會計從業資格證書。會計機構負責人應當具備會計師以上專業技術職務資格。
第四十一條 財產保護控制要求公司建立財產日常管理制度和定期清查制度,采取財產記錄、實物保管、定期盤點、賬實核對等措施,確保財產安全。公司應當嚴格限制未經授權的人員接觸和處臵財產。
第四十二條 預算控制要求公司實施全面預算管理制度,明確各責任單位在預算管理中的職責權限,規范預算的編制、審定、下達和執行程序,強化預算約束。
第四十三條 運營分析控制要求公司建立運營情況分析制度,經營層應當綜合運用主營業務、投資、籌資、財務等方面的信息,通過因素分析、對比分析、趨勢分析等方法,定期開展運營情況分析,發現存在的問題,及時查明原因并加以改進。
第四十四條 績效考評控制要求公司建立和實施績效考評制度,科學設臵考核指標體系,對公司內部各責任單位和全體員工的業績進行定期考核和客觀評價,將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。公司應當建立風險控制的激勵約束機制,將各責任單位和全體員工實施內部控制的情況納入績效考評體系,促進內部控制的有效實施。
第四十五條 投資與資產處臵項目控制要求公司建立和實施投資與資產處臵的項目管理辦法,明確立項、盡職調查與風險評估、決策、項目組與管理、談判與簽約管理、履約管 5 理、爭議處臵、項目后評估等管理流程,控制投資與資產處臵的風險,避免錯誤決策、不必要的損失或額外成本。
第四十六條 公司應當根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各種業務和事項實施有效控制。
第三節 風險監控報告及預警
第四十七條 風險合規管理部負責設臵各類業務的風險控制關鍵指標。
第四十八條 風險管理責任單位應對其管理的重大風險和相關風險進行持續的日常監控。開展風險監控時需要對以下風險信息予以持續關注:
(一)關鍵風險指標的變化情況;
(二)新出現的風險或原有風險的重大變化;
(三)既定風險應對方案的執行情況及執行效果。
第四十九條 風險管理責任單位應對風險監控結果進行分析評價,包括風險變化的原因、潛在影響、變化趨勢以及對跨部門風險應對方案的調整建議等,各職能部門、分支機構及外派人員應每季度結束后五個工作日內向風險合規管理部上報本部門的風險管理情況報告。
第五十條 當風險監控分析結果中關鍵監控指標達到預警值,風險管理責任單位應以《風險預警快報》形式三個工作日內向風險合規管理部報告,并積極采取防范措施,將實施結果及時提交風險合規管理部。
第五十一條 風險合規管理部根據提交的風險監控分析結果以及《風險預警快報》,對風險情況進行匯總分析和評價,包括重大風險的變化和應對情況、風險承受度的執行情況、風險排序的變化情況等,并將以上信息歸入風險庫存檔。同時根據風險的重大變化提出跨部門的風險應對建議。
第五十二條 風險合規管理部根據風險監控信息,編制《風險管理報告》,并逐級上報董事會審批。
公司的風險管理報告分為定期(每半)的全面風險管理報告和不定期的專項風險報告。定期的風險管理報告是對一定期限內公司經營發展中存在的風險和糾正的情況進行的匯總報告;不定期專項風險報告是對監控中或風險專項檢查中發現的重大風險或風險隱患問題進行的專項報告。風險報告要按照規定的報告程序報送公司領導、相關部門和履行垂直管理職責的管理部門。
第五十三條 董事會應審批《風險管理報告》,及時了解公司風險情況。對于報告中涉及的重大風險應對策略調整方案、風險承受度調整方案和其他需要決策的重大事項,應召開會議進行審批。
第四節 突發重大風險事件應對
第五十四條 公司建立靈敏高效的危機處理和應急管理機制,以降低風險損失。對新出現的、缺乏風險應急預案的重大風險,經營層、相關部門應立即協調,組織人員研究制定風險應對預案,并報公司風險與審計委員會審批后實施。
從便于報告管理和處臵管理的角度出發,公司的突發風險與危機等級劃分為:一般性內部風險(指預期經濟損失不超過50萬元人民幣或發生涉訟糾紛金額不超過200萬人民幣,或聲譽受外部微小影響的風險),中等風險(指預期經濟損失超過50萬元但在500萬元人民幣以內或發生涉訟糾紛金額達200萬人民幣以上但在1000萬人民幣以內,或聲譽受外部較大影響但仍可控的風險),重大風險(指預期經濟損失超過500萬元人民幣或發生涉訟糾紛金額超過1000萬人民幣,或對公司聲譽、經營活動和內部管理、資產安全造成強大壓力和外部負面影響的事件,或影響公司存續的危機事件)。
第五十五條 當風險已經發生,任何第一手接觸或認知到風險的人員均必須向其上一級 6 管理者報告,同時報送風險合規管理部。
接獲該報告信息的上一級管理者應及時組織有關部門、相關人員對風險進行初步的評判,確定是屬于一般性內部風險、中等風險,還是重大風險。對一般性風險,該接獲報告信息的上一級管理者應立即書面向分管副總裁報告;對中等風險,該接獲報告信息的上一級管理者應立即向分管副總裁、總裁、董事會風險與審計委員會主任報告并由總裁責成有關機構負責人或有關人員負責組織處理;對重大風險,該接獲報告信息的上一級管理者應立即向總裁、董事會風險與審計委員會主任、董事長報告并由董事長責成有關機構負責人或有關人員負責組織處理。對于無法識別風險等級的風險,接獲該報告信息的人員應立即向分管副總裁、董事會風險與審計委員會主任報告,以便后者區分風險等級并組織處臵。
第五十六條 對于已經知悉的重大風險或公司危機,董事長、風險與審計委員會主任委員、分管副總裁應盡快啟動危機處理程序。
第五十七條 重大風險或公司危機處理應對程序:
(一)成立風險和危機的處理機構
該類危機發生后,公司應在第一時間成立危機處理小組;對于極其重大的危機,該小組應由董事長擔任組長;對于其他重大的危機,由董事長指定風險與審計委員會成員、總裁、分管副總裁擔任組長。小組成員至少應包括:董事會代表、發生危機單位的第一負責人、營運與財務部、風險合規管理部、稽核審計部負責人及公司法律顧問和其他相關人員。
董事會應授權危機處理小組為處理危機事件的最高權力機構和協調機構,有權調動公司可用資源;危機處理小組組長有權獨立代表公司作出聲明、承諾或妥協。有必要時,危機處理小組應分為決策組、執行組,分清權責,避免危機處臵中的擅自決策與無人監督。
(二)制訂危機處理計劃 危機處理小組應及時根據現有的資料和信息,以及公司擁有或可支配的資源來制訂危機處理計劃。計劃必須體現出危機處理目標、程序、組織、人員及分工、后勤保障、行動時間表以及各個階段要實現的目標,同時還應包括社會資源的調動和支配、費用控制和實施責任人及其目標。計劃制訂完成并獲通過后,應立即開始進行資源調配和準備,展開全面的危機處理行動。
(三)危機處理
1、對于尚未造成社會影響的事件,在對危機事件進行詳細的調查了解和核實的基礎上,根據法律和公理,果斷做出處理決定,以避免事態的進一步惡化。
2、對于已造成社會影響的事件,應保持與社會各方的良好溝通,及時披露事實真相,以有助于對事件做出客觀公正的報道和評價。
3、在處理過程中,應處理好與危機事件對方當事人的關系,及時安撫,避免出現糾紛。
4、在事件處理的全過程,危機處理小組均應與當地政府、監管機構保持緊密聯系,及時通報事件進展。
(四)總結與責任認定
危機事件處理完成后,危機處理小組應及時提交總結報告,如實反映事件的起因、發生過程、處理方法和結果、責任認定、反映的問題等,并提出整改建議或意見,以避免新的風險和危機發生。
第五章 風險管理的監督與考核
第五十八條 公司建立風險監督與考核機制。風險管理的監督與考核,是指對風險管理的效果和效率進行持續監督與考核評價,包括對公司各部門及分支機構的風險管理工作執行情況進行定期檢查,對風險管理工作任務的完成情況進行考核,并根據監督或考核的結果,對公司風險管理工作進行改進與提升。
第五十九條 風險與審計委員會對各部門及分支機構的經營計劃、方案的實施進行實時監控,及時對各類信息進行記錄、匯總、分析和處理,并保留風險管理記錄。各部門及分支機構向風險與審計委員會報送本單位業務風險情況。各部門及分支機構所有涉及風險管理的相關資料必須向風險與審計委員會報備,或向風險與審計委員會開放信息系統。風險與審計委員會有權檢查原始資料。
第六十條 在風險監控中發現問題時,風險與審計委員會可以決定進行風險專項檢查,必要時可指定稽核審計部進行重點內控審計或組織專項內控審計。對其它不方便檢查或無法檢查的事項,風險與審計委員會有權向公司有關部門提出風險管理建議。
第六十一條 稽核審計部負責風險內部監督與評價。內部監督與評價分為日常監督與評價、專項監督與評價。
第六十二條 日常監督與評價是指稽核審計部對建立與實施內部控制的情況進行常規、持續的監督檢查,對公司風險管理總體狀態和內部控制的效率與效果進行檢查和評價。第六十三條 專項監督與評價是指稽核審計部在企業發展戰略、組織結構、經營活動、業務流程、關鍵崗位員工等發生較大調整或變化的情況下,對內部控制的某一或者某些方面進行有針對性的監督檢查。專項監督的范圍和頻率應當根據風險評估結果以及日常監督的有效性等予以確定。
第六十四條 公司各職能部門負責人、各員工,有對涉及所屬崗位的風險管理工作開展的自我監督和對下一級員工的風險管理工作實施監督的責任,并應當在工作總結時專門說明具體風險管理工作、風險事件處臵、風險管理職能履行等相關事項。
第六十五條 內部控制缺陷包括設計缺陷和運行缺陷。《內部控制缺陷認定標準》由稽核審計部擬定并逐級提交董事長核準。
第六十六條 對監督過程中發現的內部控制缺陷,應當分析缺陷的性質和產生的原因,提出整改方案,并及時向風控總監報告。
第六十七條 稽核審計部應當跟蹤內部控制缺陷整改情況,對于整改不到位的,有權向公司提請追究相關部室或者責任人的責任。
第六十八條 公司應當結合內部監督情況,定期(每半)由稽核審計部負責組織對公司及分支機構內部控制的有效性進行自我評價,出具風險管理監督評價審計綜合報告或系統風險評價報告。
第六十九條 公司建立多層級風險責任機制。各部門風險管理工作納入風險管理績效考核體系:
(一)公司為第一級風險管理單位,董事長、總裁為風險責任承擔人,全盤負責本公司的風險管理;、副總裁(總監)具體負責下屬部門的風險管理。
(二)各部門或分支機構按照組織架構細分為第二級風險管理單位,每個風險管理單位的負責人為風險責任承擔人,全盤負責本部門的風險管理;
(三)各部門或分支機構必須評估每一個操作程序所遇到的風險,再把每一個風險細分,并制定風險管理的操作程序;
(四)各級風險單位必須把風險管理的責任落實到每一環節的相關人員,真正做到風險控制到人。
第七十條 風險管理考核指標與考核標準由風險合規管理部負責擬定,經與風險與審計委員會、績效考核委員會和人力資源部門進行溝通確定后,逐級報公司董事會批準。第七十一條 公司制定考核指標和考核標準主要考慮以下方面:
(一)公司風險管理體系或部門風險管理流程的建設工作按計劃進度完成情況;
(二)對公司或部門的重大風險進行系統的評估或預防的情況;
(三)根據公司風險管理策略,落實部門有關風險的管理制度和流程及實施的情況;
(四)對公司或部門的風險管理職責進行清晰的界定和落實的情況;
(五)風險相關報告和預警工作的及時、有效性情況;
(六)超出預警范圍的重大風險發生并對公司經營目標造成重大影響的情況。
第六章 風險管理文化的建設 第七十二條 公司應將風險管理文化建設作為發展戰略的組成部分,培育和塑造良好的風險管理文化,促進全面風險管理目標的實現。
第七十三條 公司應營造合規經營的制度文化環境,將風險管理文化融于公司文化建設的全過程中,在相關政策和制度文件中明確規定風險管理文化的建設要求和內容,在各層面營造風險管理文化的氛圍。公司應當加強員工的道德風險意識、風險責任意識和法制觀念的培養和教育,增強全員的道德觀、責任心和風險意識,維護公司利益。
第七十四條 公司應引導員工遵循良好的行為準則和道德規范,增強風險管理意識,培養按制度規章辦事的習慣。
第七十五條 公司應制定嚴格的標準,對人員聘用、提拔環節進行控制,做到能上能下、能進能出,人盡其才、才盡其用,根據每一個員工的特點安排合適的崗位。第七十六條 公司在引進高層次高素質人才的同時,應注重對現有員工的培養,形成人才梯次。
第七十七條 公司應將對員工風險意識和風險管理的培訓納入培訓計劃。通過各類風險案例教育和公司制度流程培訓,對公司全體人員進行崗前和上崗后的持續性風險管理培訓。第七十八條 公司應建立和強化對風險管理考核的激勵和約束機制,完善風險考核體系,引導員工逐步形成良好的風險管理意識,并將這種意識運用到工作當中。
第七章 責任追究
第七十九條 對于員工違反公司風險管理制度的行為,風險合規管理部、稽核審計部或分管副總裁均可提出處理建議,報請總裁批準后,由人力資源部門落實對具體責任人進行追責和處罰。對于經營層、部門負責人違反風險管理制度的行為,風險與審計委員會有權向董事長提出處理建議。對于董事、經營層違反公司風險管理制度的行為,監事會有權向股東大會提出處理建議。
第八十條 對因決策失誤、管理失職、行為失當、違規違法等原因致使公司出現一般性風險、中等風險的責任人及單位負責人,可視情節輕重、損失大小、責任人的態度給予責任人降薪降職、解除其職務、除名辭退等處理,并有權要求其賠償損失。對因決策失誤、管理失職、行為失當、違規違法等原因致使公司出現重大風險或危機,并造成有形或無形損失的責任人及單位負責人,應追究其直接責任或領導責任(含刑事責任、行政責任、民事責任),并有權要求其賠償損失;公司有權解除其職務、終止勞動關系。
第八十一條 對因決策失誤、管理失職、違規違法等原因致使公司業務出現風險的,其問責范圍和追責程序按公司業務責任追究辦法執行。
第八章 附 則
第八十二條 本辦法由董事會授權風險與審計委員會負責解釋。第八十三條 本辦法自頒布之日起實施。
第三篇:商業銀行全面風險管理辦法
**銀行全面風險管理辦法
第一章 總則
第一條
為推進全面風險管理體系建設,提升風險管理水平,依據境內外有關監管指引、本行《章程》,并借鑒國際銀行業風險管理的經驗做法,特制定本辦法。
第二條
本辦法所稱風險,是指對本行實現既定目標可能產生影響的不確定性,這種不確定性既可能帶來損失也可能帶來收益。本辦法主要關注帶來損失的不確定性。
(一)信用風險。是指因借款人或交易對手未按照約定履行義務從而使本行業務發生損失的風險。
(二)市場風險。是指因市場價格(利率、匯率、股票價格和商品價格)的不利變動而使本行表內和表外業務發生損失的風險。
(三)操作風險。是指由不完善或有問題的內部程序、員工和信息科技系統,以及外部事件所造成損失的風險,包括法律風險,但不包括策略風險和聲譽風險。
(四)流動性風險。是指因本行無法以合理的成本及時籌集到客戶和交易對手當前和未來所需資金而對本行經營所產生的風險。
除上述風險外,本行還關注外部監管部門或本行董事會要求
-1- 關注的其他風險。
第三條 本辦法所稱全面風險管理是指本行董事會、高級管理層和全行員工各自履行相應職責,有效控制涵蓋全行各個業務層次的全部風險,進而為本行各項目標的實現提供合理保證的過程。
第四條 本行風險管理應遵循以下原則:
(一)收益與風險匹配
制定風險管理戰略和進行風險管理決策,必須考慮承擔的風險是在本行的風險容忍度以內,并有預期的收益覆蓋風險,經風險調整的資本收益率能夠滿足股東的最低要求或符合本行的經營目標。
(二)內部制衡與效率兼顧
本行在風險管理規章制度中明確界定各部門、各級機構和各層級風險管理人員的具體權責,實行前中后臺職能相對分離的管理機制。各部門、境內外分支機構和全體員工之間要有效溝通與協調,優化管理流程,不斷提高管理效率。
(三)風險分散
本行實現信用風險敞口在國家、地區、行業、產品、期限和幣種等維度上的適度分散,防范集中風險。嚴格遵循監管標準,審慎核定單一客戶和關聯客戶授信額度,有效控制客戶信用風險集中度。
本行實現市場風險敞口在國家、地區、市場、產品、期限和 -2-幣種等維度上的適度分散,并采用適當的方式實現市場風險的有效分散。
本行統一管理全行的流動性,建立分層次的流動性儲備體系,確保融資渠道的多元化。
(四)定量與定性結合
本行著力提升風險計量水平,開發與本行業務性質、規模和復雜程度相適應的風險計量技術,推廣應用國際先進銀行業成熟的風險管理經驗,實現定性分析和定量分析的有機結合。
(五)動態適應性調整
持續不斷地檢查和評估內外部經營管理環境和競爭格局的變化及其對本行全面風險管理所產生的實質性影響,及時調整風險管理政策、制度和流程,以確保風險管理與本行業務發展戰略等相一致。
(六)循序漸進
本辦法立足于本行風險管理現狀,提出了未來風險管理的發展目標和前瞻性要求,是風險管理的指導性文件,本行將逐步實現本辦法的要求。
第二章 內部環境
第五條
風險管理文化、風險容忍度、風險管理戰略和組織架構等構成本行風險管理的內部環境,是風險管理所有構成要素的基礎。
-3- 第六條 風險管理文化包含了道德和行為準則以及它們的溝通和強化方式,通過風險容忍度、風險管理戰略、管理行為等表現出來,本行致力于風險管理文化的建設和傳播。
第七條 風險容忍度是在經營管理過程中所愿意承擔的風險水平。本行采取定性和定量相結合的方式描述風險容忍度。
第八條 風險管理戰略是本行為了實現經營發展目標所制定的一系列風險管理目標、措施等,具有全局性、長遠性、綱領性、相對穩定性,并隨內外部環境變化實施動態管理。
第九條 董事會及其專門委員會、高級管理層及其專業委員會、風險管理部門和內部審計部門等構成本行風險管理的組織架構。
第十條 董事會按本行《章程》規定履行風險管理的職責,主要包括:制定本行風險管理戰略和風險管理的基本管理制度,并監督制度的執行情況等。
第十一條 監事會按本行《章程》和有關監管指引履行風險管理的職責,主要包括:對董事會和高級管理人員的履職情況進行監督,對本行的風險管理情況進行檢查監督等。
第十二條 董事會風險管理委員會按本行《章程》及相關工作規則規定履行風險管理的職責,主要包括:審核和修訂本行風險管理戰略、風險管理政策等,對其實施情況及效果進行監督和評價,并向董事會提出建議等。
第十三條 高級管理層主要負責執行董事會制定的風險管 -4-理戰略,制訂風險管理的程序和規程,管理本行各項業務所承擔的風險。
第十四條 高級管理層風險管理委員會是本行行長進行風險管理的決策機構,風險管理委員會及其下設專業風險管理委員會按照本行《章程》和專業委員會工作規則開展工作。
第十五條 本行設立專門部門牽頭負責全面風險管理、信用風險管理、市場風險管理、操作風險管理和流動性風險管理等,推動全面風險管理體系建設。
第十六條 本行各部門、各級機構均應在全面風險管理中承擔相應職責,主要包括:傳播本行風險管理理念,樹立全面風險管理意識;明確員工在風險管理中承擔的職責等。
第十七條
內部審計工作按本行《章程》規定履行其在風險管理中的職責,對本行風險管理的效果進行獨立客觀的監督、檢查、評價和報告。
第三章 目標管理
第十八條 目標設定是風險管理的前提。戰略目標、經營目標、報告目標和合規目標是實施全面風險管理的重要組成部分。本行建立目標管理責任制,實行分工負責制和逐級負責制。
第十九條 戰略目標與公司使命、愿景和宗旨相一致,是設定相關目標及其子目標的導向。
第二十條 經營目標是本行戰略目標的具體反映,關注于本
-5- 行經營活動的有效性和效率,保證本行戰略目標的實現。
第二十一條 報告目標應與本行戰略目標相一致,保證為董事會和高級管理層、監管機構、投資者和客戶提供準確、及時、完整的信息,本行建立包括風險報告制度在內的報告工作制度體系以及信息披露制度等。
第二十二條 合規目標應與本行戰略目標相一致,保證本行從事的經營管理活動符合相關法律法規和本行規章制度,并確保支持本行經營目標和報告目標的實現。
第四章 風險管理流程
第二十三條 風險管理流程是指包括風險識別、風險度量、風險控制、風險監測與報告等一系列風險管理活動的全過程,應能貫徹執行既定的戰略目標,與銀行風險管理文化相匹配。
第二十四條 風險識別是指對影響本行各類目標實現的潛在事項或因素予以全面識別,鑒定風險的性質,進行系統分類并查找出風險原因的過程。
第二十五條 風險度量是指在通過風險識別確定風險性質的基礎上,對影響目標實現的潛在事項出現的可能性和影響程度進行度量的過程。風險度量通常采取定性與定量結合的方法。
第二十六條 風險控制是指在風險度量的基礎上,綜合平衡成本與收益,針對不同風險特性確定相應的風險控制策略,采取措施并有效實施的過程。常見的風險控制策略包括:風險規避、-6-風險分散、風險對沖、風險轉移、風險補償等。
第二十七條
風險監測是指監測各種可量化的關鍵風險指標和不可量化的風險因素的變化和發展趨勢,以及風險管理措施的實施質量與效果的過程。
第二十八條 風險報告是指在風險監測的基礎上,編制不同層次和種類的風險報告,遵循報告的發送范圍、程序和頻率,以滿足不同風險層級和不同職能部門對于風險狀況的多樣性需求的過程。
第二十九條 在引進或采取新的產品、業務、程序和系統時,應對其實施風險識別、度量、控制、監測和報告等一系列風險管理活動。
第五章 信用風險管理
第三十條 本行應建立與業務性質、規模和復雜程度相適應的信用風險管理流程,有效識別、度量、控制、監測和報告信用風險,將信用風險控制在本行可以承受的范圍內。
第三十一條 本行對產品與業務中的信用風險進行識別,同時關注信用風險與其他風險之間的相關性,防范其他風險導致信用風險損失事件的發生。
第三十二條
引發信用風險的因素包括:國家、地區、行業、客戶、交易方式等,本行各級機構應高度重視資產與業務中信用風險在上述維度的集中情況。
-7- 第三十三條 本行信用風險主要來自于信貸資產、信用擔保、貸款承諾、衍生產品交易、結算交易等業務。
第三十四條
本行在單一與組合兩個層面上對信用風險進行計量與評估。單一信用風險的計量與評估對象包括借款人或交易對象以及特定貸款或交易,組合信用風險的計量與評估對象包括本行各級機構及國家、地區、行業等。
第三十五條 本行應建立和不斷完善信用風險計量模型,在實現內部評級初級法的基礎上,力爭使用高級法來計量信用風險及其對應的資本要求。本行采用壓力測試和其他非統計計量方法進行補充。同時,本行重視定性評價在信用風險度量中所起的重要作用。
第三十六條 本行定期對已評定信用風險情況進行復查,當條件改變時及時進行重新評估。
第三十七條 本行應建立完整的授信政策、決策機制和統一授信的業務操作程序,明確盡職要求,定期或在有關法律法規發生變化時,對授信業務規章制度進行評審和修訂。
第三十八條 本行對信用風險實施限額管理,制定涵蓋國家、地區、行業、客戶、產品、以及本行各級機構等多維度的限額指標。
第三十九條 本行不斷完善信貸管理流程,實現信貸審查、信貸審批、貸款發放等職能的分離。
第四十條
本行建立信用風險監測程序,對單個債務人或交 -8-易對手的合同執行情況進行監測;對投資組合進行整體監測,防止風險在國別、行業、區域、產品等維度上的過度集中。
第四十一條 本行應建立和完善信用風險報告制度,明確規定信用風險報告應遵循的報送范圍、程序和頻率,編制不同層次和種類的信用風險報告,以滿足不同風險層級和不同職能部門對于信用風險狀況的多樣性需求。
第四十二條 本行按照有關監管部門關于商業銀行資本充足率管理的要求,根據本行信用風險狀況和資本實力,為本行所承擔的信用風險提取充足的資本。
第六章 市場風險管理
第四十三條 本行致力于建立與業務性質、規模和復雜程度相適應的市場風險管理流程,有效識別、度量、控制、監測和報告市場風險,將市場風險控制在本行可以承受的范圍內。
第四十四條 本行明確銀行賬戶和交易賬戶的劃分標準、管理要求和調整程序。根據不同賬戶的性質和特點,本行采取不同的市場風險識別、計量、控制和監測方法。
第四十五條 本行對業務和產品中的市場風險因素進行分解和分析,及時、準確地識別交易和非交易業務中的市場風險的性質和類別。同時,關注市場風險與其他風險之間的相關性。
第四十六條 引發市場風險的因素主要包括:利率因素、匯率因素(包括黃金)、股票價格因素、商品價格因素等。
-9- 第四十七條 本行應選用適當的方法度量銀行賬戶和交易賬戶中不同類別的市場風險,對銀行賬戶中的可供出售類資產進行定期估值,逐步實現對交易賬戶的逐日評估。
第四十八條 市場風險的常用計量方法包括缺口分析、久期分析、外匯敞口分析、敏感性分析、情景分析和運用內部模型計算風險價值等。
第四十九條 本行逐步開發和使用內部模型來計量風險價值,合理選擇、定期審查和調整模型技術,對所承擔的市場風險進行量化估計。同時,本行采用壓力測試和其他非統計類計量方法進行補充。
第五十條 本行對市場風險實施限額管理,制定各類和各級限額的內部審批程序和操作規程,根據業務性質、規模、復雜程度和風險承受能力設定、定期更新限額。
第五十一條 本行采取市場風險對沖手段,在綜合考慮對沖成本和收益情況下,運用金融衍生產品等金融工具,在一定程度上實現對市場風險的控制或對沖。
第五十二條 本行應對市場風險有重大影響的情形制定應急處理方案,視情況對應急處理方案進行測試和更新。
第五十三條 本行建立市場風險監測程序,對全行總體市場風險頭寸、風險水平、盈虧狀況、市場風險限額執行情況等進行持續監測。
第五十四條 本行應建立和完善市場風險報告制度,明確規 - -10定市場風險報告應遵循的報送范圍、程序和頻率等,編制不同層次和種類的市場風險報告,以滿足不同風險層級和不同職能部門對于市場風險狀況的多樣性需求。
第五十五條 本行按照有關監管部門關于商業銀行資本充足率管理的要求,根據本行市場風險狀況和資本實力,為本行所承擔的市場風險提取充足的資本。
第七章 操作風險管理
第五十六條
本行應建立與業務性質、規模、復雜程度和風險特征相適應的操作風險管理流程,識別、度量、控制、監測和報告操作風險,將操作風險控制在本行可以承受的范圍內。
第五十七條 本行的操作風險存在于各類業務和管理活動之中,本行對產品、活動、程序和系統中固有的操作風險進行識別。
第五十八條 操作風險事件包括:內部欺詐,外部欺詐,就業制度和工作場所安全事件,客戶、產品和業務活動事件,實物資產的損壞,IT系統事件,執行、交割和流程管理事件等。
第五十九條 本行統一操作風險損失事件的統計口徑,積累各類操作風險的發生頻率及損失額等歷史數據,不斷完善內外部損失事件數據庫。
第六十條
本行采用自我評估和第三方獨立評估等方式對操作風險的影響程度和控制能力進行持續評估。自我評估可由各
-11- 級操作風險管理部門牽頭負責,也可以由各級業務部門和支持保障部門自行發起組織。第三方獨立評估主要由外部監管部門、外部審計部門、本行內部審計部門進行。
第六十一條 本行應建立和不斷完善操作風險計量模型,在實現標準法的基礎上,逐步使用高級法來計算本行操作風險及其對應的資本要求。同時,本行采用壓力測試和其他非統計類計量方法進行補充。
第六十二條 本行應明確業務及管理活動、業務流程及操作環節的關鍵風險點和控制措施要點,制定和適時修訂相關程序和操作指南等。
第六十三條 本行應建立和完善各級管理層職責明確的審批和授權制度,并確保有效執行。
第六十四條 本行可將部分業務或操作環節外包給外部專業機構處理,但應制定與外包業務有關的風險管理政策,確保業務外包有嚴謹的合同或服務協議。
第六十五條 本行可將購買保險以及與第三方簽訂合同作為緩釋操作風險的方法,但應制定相關的書面政策和程序。本行同時關注運用保險工具將風險轉嫁到其他領域所產生的風險。
第六十六條 本行應制訂控制和緩釋重大操作風險的政策、程序和步驟,主要包括:風險控制的策略及方法、內部控制制度等。
第六十七條 對關鍵業務或環節,本行應制訂應急和業務連 - -12續方案,建立恢復服務和保證業務連續運行的備用機制,并定期檢查、測試災難恢復和業務連續機制有效性和適用性。
第六十八條 本行建立操作風險監測程序,對關鍵操作風險指標和操作風險損失事件進行監測分析,及時反映本行操作風險的暴露情況和操作風險資本的變化。
第六十九條 本行應建立和完善操作風險報告制度,明確規定操作風險報告應遵循的報送范圍、程序和頻率等,編制不同層次和種類的操作風險報告,以滿足不同風險層級和不同職能部門對于操作風險狀況的多樣性需求。
對即時發生或接到的重大突發事件,各部門、各級機構要及時報告。在應急處置過程中,要隨時關注事態發展,及時報告后續情況。
第七十條 本行按照有關監管部門關于商業銀行資本充足率管理的要求,根據本行操作風險狀況和資本實力,為本行所承擔的操作風險提取充足的資本。
第八章 流動性風險管理
第七十一條 本行應建立與業務性質、規模、復雜程度和風險特征相適應的流動性風險管理流程,不斷完善流動性風險管理機制,及時滿足全行業務發展對流動性的需求。
第七十二條 引發流動性風險的因素包括:存款客戶支取存款、貸款客戶提款、債務人延期支付、資產負債結構不匹配、資
-13- 產變現困難、經營損失和衍生品交易風險等。
第七十三條 本行根據監管部門相關規定,結合本行實際狀況制定流動性風險管理指標體系,包括監管指標和內部控制指標。
第七十四條 本行運用多種度量方法分析和預測本行當前和未來、以及在不同情景假設下本外幣資金來源與運用變化趨勢,持續度量本行的凈融資需求。
第七十五條 流動性風險的度量方法包括但不限于:流動性缺口、期限階梯、敏感性分析、情景分析等。同時,本行采用壓力測試和其他非統計類計量方法進行補充。
第七十六條 本行對流動性風險實施限額管理,制定流動性風險限額的內部審批程序和操作規程,根據業務性質、規模、復雜程度和風險承受能力設定、定期審查和更新限額。
第七十七條 本行應建立本外幣資金集中管理機制和有效的系統內資金調控機制,強化大額資金運動預測預報、系統內存款和借款、系統內資金拆借和系統內備付金的管理,實現全行流動性的統一調度和流動性風險的統一管理。
第七十八條 在平衡安全性、流動性和盈利性的基礎上,本行應調整和配置全行資產負債規模和期限結構,建立分層次的流動性儲備體系,優化流動性儲備資產規模和結構,及時通過貨幣市場和資本市場實現流動性管理組合目標。
第七十九條 本行積極開拓融資渠道,實施融資分散化和多 - -14樣化管理戰略,優化本行資產負債組合。
第八十條 本行應建立緊急情況下的流動性風險應急處理機制,制定處理流動性危機的預案及相關部門的職責與分工。定期對應急處理方案進行測試,不斷更新和完善應急處理方案。
第八十一條 本行建立流動性風險的監測程序,實現對潛在重大流動性風險的提前預警。
第八十二條 本行應建立和完善流動性風險報告制度,明確規定流動性風險報告應遵循的報送范圍、程序和頻率,編制不同層次和種類的流動性風險報告。本行流動性風險報告應能反映本外幣流動性風險的管理情況。
第九章 風險管理信息與溝通
第八十三條 本行明確信息收集的范圍、標準、過程,以及各部門、各級機構和人員在信息收集與加工過程中的職責,不斷提高信息質量。
第八十四條 本行建設覆蓋各級機構、業務領域的數據倉庫和管理信息系統,及時、準確地提供風險管理所需要的各種數據,以實現對風險的有效識別、計量、監測等。
第八十五條 風險管理信息的溝通方式可分為以下四類:自上而下的縱向溝通、自下而上的縱向溝通、橫向溝通與外部溝通。
第八十六條
各部門和各級機構應將本行風險管理戰略、政策、制度及相關規定等信息傳達給員工,以確保員工了解管理層
-15- 的意圖,正確履行所承擔的職責。
第八十七條 本行充分重視員工在風險管理中的作用,支持員工將發現的風險及風險管理中存在問題向管理層進行報告,各部門和各級機構須及時處理員工反映的問題。
第八十八條
各部門和各級機構之間應順暢溝通風險管理信息,實現風險管理信息的共享。
第八十九條 本行高度重視外部建議與意見,制定流程規則來保證溝通渠道的暢通,并使之得到及時處理。
第九十條 本行嚴格按照相關法律、法規和規章規定的信息披露原則和本行相關的信息披露制度,披露風險管理相關信息。
第十章 監督與評價
第九十一條 本行通過持續監控、個別評價或者兩者結合對本行風險管理的有效性進行監督與評價。持續監控發生在風險管理活動的正常進程中,個別評價是對持續監控的補充。
第九十二條 持續監控的信息來源包括:各種業務的經營管理報告和風險管理報告,監管機構向本行出具的監管報告,內部審計機構出具的內部審計報告和外部審計機構出具的外部審計報告及管理建議書等。
第九十三條 管理層在評價本行風險管理的有效性時,可以利用內部審計師和外部審計師的工作。
第九十四條 個別評價通常采取自我評估的形式,評價方法 - -16和工具包括核對清單、調查問卷、流程圖技術等。
第九十五條 風險管理缺陷是指在風險管理過程中存在的、影響本行制訂和執行戰略以及實現目標的問題。本行風險管理缺陷的信息來源于對本行的風險管理進行持續監控和個別評價,以及本行外部方面提供的重要信息,如客戶、外部審計師和監管機構等。
收到風險管理缺陷信息的管理人員,應及時向相應的管理部門報告。收到風險管理缺陷報告的管理部門應及時采取矯正措施。
第九十六條 本行應建立風險管理評價制度,對分支機構風險管理水平進行全面考察與定期評價。
第十一章 附則
第九十七條 本辦法自201辦法3月1日起執行。
-17-
- -18
第四篇:農商行全面風險管理辦法
**農商銀行全面風險管理辦法
第一章 總則
第一條
為推進全面風險管理體系建設,提升風險管理水平,依據境內外有關監管指引、農商行《章程》,并借鑒國際銀行業風險管理的經驗做法,特制定本辦法。
第二條
本辦法所稱風險,是指對農商行實現既定目標可能產生影響的不確定性,這種不確定性既可能帶來損失也可能帶來收益。本辦法主要關注帶來損失的不確定性。
(一)信用風險。是指因借款人或交易對手未按照約定履行義務從而使農商行業務發生損失的風險。
(二)市場風險。是指因市場價格(利率、匯率、股票價格和商品價格)的不利變動而使農商行表內和表外業務發生損失的風險。
(三)操作風險。是指由不完善或有問題的內部程序、員工和信息科技系統,以及外部事件所造成損失的風險,包括法律風險,但不包括策略風險和聲譽風險。
(四)流動性風險。是指因農商行無法以合理的成本及時籌集到客戶和交易對手當前和未來所需資金而對農商行經營所產生的風險。
除上述風險外,農商行還關注外部監管部門或農商行董事會
-1- 要求關注的其他風險。
第三條 本辦法所稱全面風險管理是指農商行董事會、高級管理層和全行員工各自履行相應職責,有效控制涵蓋全行各個業務層次的全部風險,進而為農商行各項目標的實現提供合理保證的過程。
第四條 農商行風險管理應遵循以下原則:
(一)收益與風險匹配
制定風險管理戰略和進行風險管理決策,必須考慮承擔的風險是在農商行的風險容忍度以內,并有預期的收益覆蓋風險,經風險調整的資本收益率能夠滿足股東的最低要求或符合農商行的經營目標。
(二)內部制衡與效率兼顧
農商行在風險管理規章制度中明確界定各部門、各級機構和各層級風險管理人員的具體權責,實行前中后臺職能相對分離的管理機制。各部門、境內外分支機構和全體員工之間要有效溝通與協調,優化管理流程,不斷提高管理效率。
(三)風險分散
農商行實現信用風險敞口在國家、地區、行業、產品、期限和幣種等維度上的適度分散,防范集中風險。嚴格遵循監管標準,審慎核定單一客戶和關聯客戶授信額度,有效控制客戶信用風險集中度。
農商行實現市場風險敞口在國家、地區、市場、產品、期限 -2-和幣種等維度上的適度分散,并采用適當的方式實現市場風險的有效分散。
農商行統一管理全行的流動性,建立分層次的流動性儲備體系,確保融資渠道的多元化。
(四)定量與定性結合
農商行著力提升風險計量水平,開發與農商行業務性質、規模和復雜程度相適應的風險計量技術,推廣應用國際先進銀行業成熟的風險管理經驗,實現定性分析和定量分析的有機結合。
(五)動態適應性調整
持續不斷地檢查和評估內外部經營管理環境和競爭格局的變化及其對農商行全面風險管理所產生的實質性影響,及時調整風險管理政策、制度和流程,以確保風險管理與農商行業務發展戰略等相一致。
(六)循序漸進
本辦法立足于農商行風險管理現狀,提出了未來風險管理的發展目標和前瞻性要求,是風險管理的指導性文件,農商行將逐步實現本辦法的要求。
第二章 內部環境
第五條
風險管理文化、風險容忍度、風險管理戰略和組織架構等構成農商行風險管理的內部環境,是風險管理所有構成要素的基礎。
-3- 第六條 風險管理文化包含了道德和行為準則以及它們的溝通和強化方式,通過風險容忍度、風險管理戰略、管理行為等表現出來,農商行致力于風險管理文化的建設和傳播。
第七條 風險容忍度是在經營管理過程中所愿意承擔的風險水平。農商行采取定性和定量相結合的方式描述風險容忍度。
第八條 風險管理戰略是農商行為了實現經營發展目標所制定的一系列風險管理目標、措施等,具有全局性、長遠性、綱領性、相對穩定性,并隨內外部環境變化實施動態管理。
第九條 董事會及其專門委員會、高級管理層及其專業委員會、風險管理部門和內部審計部門等構成農商行風險管理的組織架構。
第十條 董事會按農商行《章程》規定履行風險管理的職責,主要包括:制定農商行風險管理戰略和風險管理的基本管理制度,并監督制度的執行情況等。
第十一條 監事會按農商行《章程》和有關監管指引履行風險管理的職責,主要包括:對董事會和高級管理人員的履職情況進行監督,對農商行的風險管理情況進行檢查監督等。
第十二條 董事會風險管理委員會按農商行《章程》及相關工作規則規定履行風險管理的職責,主要包括:審核和修訂農商行風險管理戰略、風險管理政策等,對其實施情況及效果進行監督和評價,并向董事會提出建議等。
第十三條 高級管理層主要負責執行董事會制定的風險管 -4-理戰略,制訂風險管理的程序和規程,管理農商行各項業務所承擔的風險。
第十四條 高級管理層風險管理委員會是農商行行長進行風險管理的決策機構,風險管理委員會及其下設專業風險管理委員會按照農商行《章程》和專業委員會工作規則開展工作。
第十五條 農商行設立專門部門牽頭負責全面風險管理、信用風險管理、市場風險管理、操作風險管理和流動性風險管理等,推動全面風險管理體系建設。
第十六條 農商行各部門、各級機構均應在全面風險管理中承擔相應職責,主要包括:傳播農商行風險管理理念,樹立全面風險管理意識;明確員工在風險管理中承擔的職責等。
第十七條
內部審計工作按農商行《章程》規定履行其在風險管理中的職責,對農商行風險管理的效果進行獨立客觀的監督、檢查、評價和報告。
第三章 目標管理
第十八條 目標設定是風險管理的前提。戰略目標、經營目標、報告目標和合規目標是實施全面風險管理的重要組成部分。農商行建立目標管理責任制,實行分工負責制和逐級負責制。
第十九條 戰略目標與公司使命、愿景和宗旨相一致,是設定相關目標及其子目標的導向。
第二十條 經營目標是農商行戰略目標的具體反映,關注于
-5- 農商行經營活動的有效性和效率,保證農商行戰略目標的實現。
第二十一條 報告目標應與農商行戰略目標相一致,保證為董事會和高級管理層、監管機構、投資者和客戶提供準確、及時、完整的信息,農商行建立包括風險報告制度在內的報告工作制度體系以及信息披露制度等。
第二十二條 合規目標應與農商行戰略目標相一致,保證農商行從事的經營管理活動符合相關法律法規和農商行規章制度,并確保支持農商行經營目標和報告目標的實現。
第四章 風險管理流程
第二十三條 風險管理流程是指包括風險識別、風險度量、風險控制、風險監測與報告等一系列風險管理活動的全過程,應能貫徹執行既定的戰略目標,與銀行風險管理文化相匹配。
第二十四條 風險識別是指對影響農商行各類目標實現的潛在事項或因素予以全面識別,鑒定風險的性質,進行系統分類并查找出風險原因的過程。
第二十五條 風險度量是指在通過風險識別確定風險性質的基礎上,對影響目標實現的潛在事項出現的可能性和影響程度進行度量的過程。風險度量通常采取定性與定量結合的方法。
第二十六條 風險控制是指在風險度量的基礎上,綜合平衡成本與收益,針對不同風險特性確定相應的風險控制策略,采取措施并有效實施的過程。常見的風險控制策略包括:風險規避、-6-風險分散、風險對沖、風險轉移、風險補償等。
第二十七條
風險監測是指監測各種可量化的關鍵風險指標和不可量化的風險因素的變化和發展趨勢,以及風險管理措施的實施質量與效果的過程。
第二十八條 風險報告是指在風險監測的基礎上,編制不同層次和種類的風險報告,遵循報告的發送范圍、程序和頻率,以滿足不同風險層級和不同職能部門對于風險狀況的多樣性需求的過程。
第二十九條 在引進或采取新的產品、業務、程序和系統時,應對其實施風險識別、度量、控制、監測和報告等一系列風險管理活動。
第五章 信用風險管理
第三十條 農商行應建立與業務性質、規模和復雜程度相適應的信用風險管理流程,有效識別、度量、控制、監測和報告信用風險,將信用風險控制在農商行可以承受的范圍內。
第三十一條 農商行對產品與業務中的信用風險進行識別,同時關注信用風險與其他風險之間的相關性,防范其他風險導致信用風險損失事件的發生。
第三十二條
引發信用風險的因素包括:國家、地區、行業、客戶、交易方式等,農商行各級機構應高度重視資產與業務中信用風險在上述維度的集中情況。
-7- 第三十三條 農商行信用風險主要來自于信貸資產、信用擔保、貸款承諾、衍生產品交易、結算交易等業務。
第三十四條
農商行在單一與組合兩個層面上對信用風險進行計量與評估。單一信用風險的計量與評估對象包括借款人或交易對象以及特定貸款或交易,組合信用風險的計量與評估對象包括農商行各級機構及國家、地區、行業等。
第三十五條 農商行應建立和不斷完善信用風險計量模型,在實現內部評級初級法的基礎上,力爭使用高級法來計量信用風險及其對應的資本要求。農商行采用壓力測試和其他非統計計量方法進行補充。同時,農商行重視定性評價在信用風險度量中所起的重要作用。
第三十六條 農商行定期對已評定信用風險情況進行復查,當條件改變時及時進行重新評估。
第三十七條 農商行應建立完整的授信政策、決策機制和統一授信的業務操作程序,明確盡職要求,定期或在有關法律法規發生變化時,對授信業務規章制度進行評審和修訂。
第三十八條 農商行對信用風險實施限額管理,制定涵蓋國家、地區、行業、客戶、產品、以及農商行各級機構等多維度的限額指標。
第三十九條 農商行不斷完善信貸管理流程,實現信貸審查、信貸審批、貸款發放等職能的分離。
第四十條
農商行建立信用風險監測程序,對單個債務人或 -8-交易對手的合同執行情況進行監測;對投資組合進行整體監測,防止風險在國別、行業、區域、產品等維度上的過度集中。
第四十一條 農商行應建立和完善信用風險報告制度,明確規定信用風險報告應遵循的報送范圍、程序和頻率,編制不同層次和種類的信用風險報告,以滿足不同風險層級和不同職能部門對于信用風險狀況的多樣性需求。
第四十二條 農商行按照有關監管部門關于商業銀行資本充足率管理的要求,根據農商行信用風險狀況和資本實力,為農商行所承擔的信用風險提取充足的資本。
第六章 市場風險管理
第四十三條 農商行致力于建立與業務性質、規模和復雜程度相適應的市場風險管理流程,有效識別、度量、控制、監測和報告市場風險,將市場風險控制在農商行可以承受的范圍內。
第四十四條 農商行明確銀行賬戶和交易賬戶的劃分標準、管理要求和調整程序。根據不同賬戶的性質和特點,農商行采取不同的市場風險識別、計量、控制和監測方法。
第四十五條 農商行對業務和產品中的市場風險因素進行分解和分析,及時、準確地識別交易和非交易業務中的市場風險的性質和類別。同時,關注市場風險與其他風險之間的相關性。
第四十六條 引發市場風險的因素主要包括:利率因素、匯率因素(包括黃金)、股票價格因素、商品價格因素等。
-9- 第四十七條 農商行應選用適當的方法度量銀行賬戶和交易賬戶中不同類別的市場風險,對銀行賬戶中的可供出售類資產進行定期估值,逐步實現對交易賬戶的逐日評估。
第四十八條 市場風險的常用計量方法包括缺口分析、久期分析、外匯敞口分析、敏感性分析、情景分析和運用內部模型計算風險價值等。
第四十九條 農商行逐步開發和使用內部模型來計量風險價值,合理選擇、定期審查和調整模型技術,對所承擔的市場風險進行量化估計。同時,農商行采用壓力測試和其他非統計類計量方法進行補充。
第五十條 農商行對市場風險實施限額管理,制定各類和各級限額的內部審批程序和操作規程,根據業務性質、規模、復雜程度和風險承受能力設定、定期更新限額。
第五十一條 農商行采取市場風險對沖手段,在綜合考慮對沖成本和收益情況下,運用金融衍生產品等金融工具,在一定程度上實現對市場風險的控制或對沖。
第五十二條 農商行應對市場風險有重大影響的情形制定應急處理方案,視情況對應急處理方案進行測試和更新。
第五十三條 農商行建立市場風險監測程序,對全行總體市場風險頭寸、風險水平、盈虧狀況、市場風險限額執行情況等進行持續監測。
第五十四條 農商行應建立和完善市場風險報告制度,明確 - -10規定市場風險報告應遵循的報送范圍、程序和頻率等,編制不同層次和種類的市場風險報告,以滿足不同風險層級和不同職能部門對于市場風險狀況的多樣性需求。
第五十五條 農商行按照有關監管部門關于商業銀行資本充足率管理的要求,根據農商行市場風險狀況和資本實力,為農商行所承擔的市場風險提取充足的資本。
第七章 操作風險管理
第五十六條
農商行應建立與業務性質、規模、復雜程度和風險特征相適應的操作風險管理流程,識別、度量、控制、監測和報告操作風險,將操作風險控制在農商行可以承受的范圍內。
第五十七條 農商行的操作風險存在于各類業務和管理活動之中,農商行對產品、活動、程序和系統中固有的操作風險進行識別。
第五十八條 操作風險事件包括:內部欺詐,外部欺詐,就業制度和工作場所安全事件,客戶、產品和業務活動事件,實物資產的損壞,IT系統事件,執行、交割和流程管理事件等。
第五十九條 農商行統一操作風險損失事件的統計口徑,積累各類操作風險的發生頻率及損失額等歷史數據,不斷完善內外部損失事件數據庫。
第六十條
農商行采用自我評估和第三方獨立評估等方式對操作風險的影響程度和控制能力進行持續評估。自我評估可由
-11- 各級操作風險管理部門牽頭負責,也可以由各級業務部門和支持保障部門自行發起組織。第三方獨立評估主要由外部監管部門、外部審計部門、農商行內部審計部門進行。
第六十一條 農商行應建立和不斷完善操作風險計量模型,在實現標準法的基礎上,逐步使用高級法來計算農商行操作風險及其對應的資本要求。同時,農商行采用壓力測試和其他非統計類計量方法進行補充。
第六十二條 農商行應明確業務及管理活動、業務流程及操作環節的關鍵風險點和控制措施要點,制定和適時修訂相關程序和操作指南等。
第六十三條 農商行應建立和完善各級管理層職責明確的審批和授權制度,并確保有效執行。
第六十四條 農商行可將部分業務或操作環節外包給外部專業機構處理,但應制定與外包業務有關的風險管理政策,確保業務外包有嚴謹的合同或服務協議。
第六十五條 農商行可將購買保險以及與第三方簽訂合同作為緩釋操作風險的方法,但應制定相關的書面政策和程序。農商行同時關注運用保險工具將風險轉嫁到其他領域所產生的風險。
第六十六條 農商行應制訂控制和緩釋重大操作風險的政策、程序和步驟,主要包括:風險控制的策略及方法、內部控制制度等。
- -12第六十七條 對關鍵業務或環節,農商行應制訂應急和業務連續方案,建立恢復服務和保證業務連續運行的備用機制,并定期檢查、測試災難恢復和業務連續機制有效性和適用性。
第六十八條 農商行建立操作風險監測程序,對關鍵操作風險指標和操作風險損失事件進行監測分析,及時反映農商行操作風險的暴露情況和操作風險資本的變化。
第六十九條 農商行應建立和完善操作風險報告制度,明確規定操作風險報告應遵循的報送范圍、程序和頻率等,編制不同層次和種類的操作風險報告,以滿足不同風險層級和不同職能部門對于操作風險狀況的多樣性需求。
對即時發生或接到的重大突發事件,各部門、各級機構要及時報告。在應急處置過程中,要隨時關注事態發展,及時報告后續情況。
第七十條 農商行按照有關監管部門關于商業銀行資本充足率管理的要求,根據農商行操作風險狀況和資本實力,為農商行所承擔的操作風險提取充足的資本。
第八章 流動性風險管理
第七十一條 農商行應建立與業務性質、規模、復雜程度和風險特征相適應的流動性風險管理流程,不斷完善流動性風險管理機制,及時滿足全行業務發展對流動性的需求。
第七十二條 引發流動性風險的因素包括:存款客戶支取存
-13- 款、貸款客戶提款、債務人延期支付、資產負債結構不匹配、資產變現困難、經營損失和衍生品交易風險等。
第七十三條 農商行根據監管部門相關規定,結合農商行實際狀況制定流動性風險管理指標體系,包括監管指標和內部控制指標。
第七十四條 農商行運用多種度量方法分析和預測農商行當前和未來、以及在不同情景假設下本外幣資金來源與運用變化趨勢,持續度量農商行的凈融資需求。
第七十五條 流動性風險的度量方法包括但不限于:流動性缺口、期限階梯、敏感性分析、情景分析等。同時,農商行采用壓力測試和其他非統計類計量方法進行補充。
第七十六條 農商行對流動性風險實施限額管理,制定流動性風險限額的內部審批程序和操作規程,根據業務性質、規模、復雜程度和風險承受能力設定、定期審查和更新限額。
第七十七條 農商行應建立本外幣資金集中管理機制和有效的系統內資金調控機制,強化大額資金運動預測預報、系統內存款和借款、系統內資金拆借和系統內備付金的管理,實現全行流動性的統一調度和流動性風險的統一管理。
第七十八條 在平衡安全性、流動性和盈利性的基礎上,農商行應調整和配置全行資產負債規模和期限結構,建立分層次的流動性儲備體系,優化流動性儲備資產規模和結構,及時通過貨幣市場和資本市場實現流動性管理組合目標。
- -14第七十九條 農商行積極開拓融資渠道,實施融資分散化和多樣化管理戰略,優化農商行資產負債組合。
第八十條 農商行應建立緊急情況下的流動性風險應急處理機制,制定處理流動性危機的預案及相關部門的職責與分工。定期對應急處理方案進行測試,不斷更新和完善應急處理方案。
第八十一條 農商行建立流動性風險的監測程序,實現對潛在重大流動性風險的提前預警。
第八十二條 農商行應建立和完善流動性風險報告制度,明確規定流動性風險報告應遵循的報送范圍、程序和頻率,編制不同層次和種類的流動性風險報告。農商行流動性風險報告應能反映本外幣流動性風險的管理情況。
第九章 風險管理信息與溝通
第八十三條 農商行明確信息收集的范圍、標準、過程,以及各部門、各級機構和人員在信息收集與加工過程中的職責,不斷提高信息質量。
第八十四條 農商行建設覆蓋各級機構、業務領域的數據倉庫和管理信息系統,及時、準確地提供風險管理所需要的各種數據,以實現對風險的有效識別、計量、監測等。
第八十五條 風險管理信息的溝通方式可分為以下四類:自上而下的縱向溝通、自下而上的縱向溝通、橫向溝通與外部溝通。
第八十六條
各部門和各級機構應將農商行風險管理戰略、-15- 政策、制度及相關規定等信息傳達給員工,以確保員工了解管理層的意圖,正確履行所承擔的職責。
第八十七條 農商行充分重視員工在風險管理中的作用,支持員工將發現的風險及風險管理中存在問題向管理層進行報告,各部門和各級機構須及時處理員工反映的問題。
第八十八條
各部門和各級機構之間應順暢溝通風險管理信息,實現風險管理信息的共享。
第八十九條 農商行高度重視外部建議與意見,制定流程規則來保證溝通渠道的暢通,并使之得到及時處理。
第九十條 農商行嚴格按照相關法律、法規和規章規定的信息披露原則和農商行相關的信息披露制度,披露風險管理相關信息。
第十章 監督與評價
第九十一條 農商行通過持續監控、個別評價或者兩者結合對農商行風險管理的有效性進行監督與評價。持續監控發生在風險管理活動的正常進程中,個別評價是對持續監控的補充。
第九十二條 持續監控的信息來源包括:各種業務的經營管理報告和風險管理報告,監管機構向農商行出具的監管報告,內部審計機構出具的內部審計報告和外部審計機構出具的外部審計報告及管理建議書等。
第九十三條 管理層在評價農商行風險管理的有效性時,可 - -16以利用內部審計師和外部審計師的工作。
第九十四條 個別評價通常采取自我評估的形式,評價方法和工具包括核對清單、調查問卷、流程圖技術等。
第九十五條 風險管理缺陷是指在風險管理過程中存在的、影響農商行制訂和執行戰略以及實現目標的問題。農商行風險管理缺陷的信息來源于對農商行的風險管理進行持續監控和個別評價,以及農商行外部方面提供的重要信息,如客戶、外部審計師和監管機構等。
收到風險管理缺陷信息的管理人員,應及時向相應的管理部門報告。收到風險管理缺陷報告的管理部門應及時采取矯正措施。
第九十六條 農商行應建立風險管理評價制度,對分支機構風險管理水平進行全面考察與定期評價。
第十一章 附則
第九十七條 本辦法自201辦法3月1日起執行。
-17-
- -18
第五篇:信息科技風險管理辦法(最終版)
XXXX銀行信息科技風險管理辦法 總則
為XXXX銀行有效防范銀行運用信息系統進行業務處理、經營管理和內部控制過程中產生的風險,促進我行各項業務安全、持續、穩健運行,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》、《商業銀行信息科技風險管理指引》、《營口沿海銀操作風險管理指引》,以及國家信息安全相關要求和有關法律法規,制定本管理辦法。
本管理辦法所稱信息科技是指計算機、通信、微電子和軟件工程等現代信息技術,在我行業務交易處理、經營管理和內部控制等方面的應用,并包括進行信息科技治理,建立完整的管理組織架構,制訂完善的管理制度和流程。本管理辦法所稱信息科技風險,是指信息科技在我行運用過程中,由于自然因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。
信息科技風險管理的目標是通過建立有效的機制,實現對我行信息科技風險的識別、計量、監測和控制,促進我行安全、持續、穩健運行,推動業務創新,提高信息技術使用水平,增強核心競爭力和可持續發展能力。機構職責
根據我行信息科技治理的要求,法定代表人是本機構信息科技風險管理的第一責任人,負責組織本管理辦法的貫徹落實, 董事會應履行以下信息科技管理職責: 遵守并貫徹執行國家有關信息科技管理的法律、法規和技術標準,落實中國銀行業監督管理委員會(以下簡稱銀監會)相關監管要求。審查批準信息科技戰略,確保其與銀行的總體業務戰略和重大策略相一致。評估信息科技及其風險管理工作的總體效果和效率。
掌握主要的信息科技風險,確定可接受的風險級別,確保相關風險能夠被識別、計量、監測和控制。
規范職業道德行為和廉潔標準,增強內部文化建設,提高全體人員對信息科技風險管理重要性的認識。
設立一個由來自高級管理層、信息科技部門和主要業務部門的代表組成的專門信息科技管理委員會,負責監督各項職責的落實,定期向董事會和高級管理層匯報信息科技戰略規劃的執行、信息科技預算和實際支出、信息科技的整體狀況。
在建立良好的公司治理的基礎上進行信息科技治理,形成分工合理、職責明確、相互制衡、報告關系清晰的信息科技治理組織結構。加強信息科技專業隊伍的建設,建立人才激勵機制。確保內部審計部門進行獨立有效的信息科技風險管理審計,對審計報告進行確認并落實整改。每年審閱并向銀監會及其派出機構報送信息科技風險管理的報告。確保信息科技風險管理工作所需資金。
確保銀行所有員工充分理解和遵守經其批準的信息科技風險管理制度和流程,并安排相關培訓。
確保本法人機構涉及客戶信息、賬務信息以及產品信息等的核心系統在中國境內獨立運行,并保持最高的管理權限,符合銀監會監管和實施現場檢查的要求,防范跨境風險。及時向銀監會及其派出機構報告本機構發生的重大信息科技事故或突發事件,按相關預案快速響應。
配合銀監會及其派出機構做好信息科技風險監督檢查工作,并按照監管意見進行整改。履行信息科技風險管理其他相關工作。
我行應設立分管信息科技的副行級領導,直接向行長匯報,并參與決策。副行級領導的職責包括:
直接參與本銀行與信息科技運用有關的業務發展決策。確保信息科技戰略,尤其是信息系統開發戰略,符合本銀行的總體業務戰略和信息科技風險管理策略。
負責建立一個切實有效的信息科技部門,承擔本銀行的信息科技職責。確保其履行:信息科技預算和支出、信息科技策略、標準和流程、信息科技內部控制、專業化研發、信息科技項目發起和管理、信息系統和信息科技基礎設施的運行、維護和升級、信息安全管理、災難恢復計劃、信息科技外包和信息系統退出等職責。確保信息科技風險管理的有效性,并使有關管理措施落實到相關的每一個內設機構和分支機構。
組織專業培訓,提高人才隊伍的專業技能。 履行信息科技風險管理其他相關工作。
科技部負責我行信息安全、信息系統開發、測試和維護、信息科技運行、業務連續性管理;應對內部管理職責進行明確的界定,各崗位的人員應具有相應的專業知識和技能,重要崗位應制定詳細完整的工作手冊并適時更新,并對相關人員采取相關的風險防范措施: 驗證個人信息,包括核驗有效身份證件、學歷證明、工作經歷和專業資格證書等信息。審核信息科技員工的道德品行,確保其具備相應的職業操守。
確保員工了解、遵守信息科技策略、指導原則、信息保密、授權使用信息系統、信息科技管理制度和流程等要求,并同員工簽訂相關協議。評估關鍵崗位信息科技員工流失帶來的風險,做好安排候補員工和崗位接替計劃等防范措施;在員工崗位發生變化后及時變更相關信息。
運營管理部職能交叉,要部門協調是信息系統中涉及賬務交易的操作、系統參數變更、事件管理的主要部門。運營管理部的職責包括:
運行與維護應實行職責分離,運行人員應實行專職,不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬件、數據進行維護,除應急外,其他維護應在非工作時間進行。
制定詳細的運行值班操作表,包括規定巡檢時間,操作范圍、內容、辦法、命令以及負責人員等信息。
提供機房環境、設備使用、網絡運行、系統運行職能交叉,要部門協調等監控信息。記錄運行值班過程中所有現象、操作過程等信息日志。對軟件或數據的維護必須通過特定的應用程序進行,添加、刪除和修改數據應通過柜員終端,不得對數據庫進行直接操作;
具備各種詳細的日志信息,包括交易日志和審計日志等,以便維護和審計。提供維護的統計和報表打印功能。對系統參數等設置變更、維護的要求:
應對信息系統配置參數實施嚴格的安全與保密管理,防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途,確定存取權限、方式和授權使用范圍,嚴格審批和登記手續。制訂嚴密的變更處理流程,明確變更控制中各崗位的職責,并遵循流程實施控制和管理;變更前應明確應急和回退方案,無授權不得進行變更操作;
根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性。職能交叉,要部門協調
應對機房環境設施實行日常巡檢,明確信息系統及機房環境設施出現故障時的應急處理流程和預案,有實時交易服務的數據中心應實行24小時值班。
實行事件報告制度,發生信息系統造成重大經濟、聲譽損失和重大影響事件,應即時上報并處理,必要時啟動應急處理預案。
風險管理部負責信息科技風險管理工作,并直接向分管行領導(風險管理委員會)報告工作。該部門應為信息科技突發事件應急響應小組的成員之一,負責協調制定有關信息科技風險管理策略,尤其是在涉及信息安全、業務連續性計劃和合規性風險等方面,為業務部門和信息科技部門提供建議及相關合規性信息,實施持續信息科技風險評估,跟蹤整改意見的落實,監控信息安全威脅和不合規事件的發生。風險管理部的職責包括: 擬定信息系統風險管理總體政策,并提交高級管理層審查、審批。會同相關業務部門對信息系統風險進行識別、監測; 審核信息系統風險狀況。對總行相關業務部門和分支機構信息系統風險狀況及維護、運行情況進行監測,并進行實時報告。
組織新投產后信息系統的后評價,并識別、評估新信息系統中所包含的風險,審核相應的操作和風險管理程序。
稽核審計部應在部門設立專門的信息科技風險審計崗位,負責信息科技審計制度和流程的實施,制訂和執行信息科技審計計劃,對信息科技整個生命周期和重大事件等進行審計。稽核審計部負責我行信息系統審計任務,也可聘請經國家相應監管部門認定資質的中介機構進行信息系統外部審計。信息科技風險管理
我行應制定全面的信息科技風險管理策略,包括但不限于下述領域: 信息分級與保護。
信息系統開發、測試和維護。信息科技運行和維護。訪問控制。物理安全。人員安全。
業務連續性計劃與應急處置。
我行應制定持續的風險識別和評估流程,確定信息科技中存在隱患的區域,評價風險對其業務的潛在影響,對風險進行排序,并確定風險防范措施及所需資源的優先級別(包括外包供應商、產品供應商和服務商)。
我行應依據信息科技風險管理策略和風險評估結果,實施全面的風險防范措施。防范措施應包括:
制定明確的信息科技風險管理制度、技術標準和操作規程等,定期進行更新和公示。
確定潛在風險區域,并對這些區域進行詳細和獨立的監控,實現風險最小化。建立適當的控制框架,以便于檢查和平衡風險;定義每個業務級別的控制內容,包括: 最高權限用戶的審查。
控制對數據和系統的物理和邏輯訪問。
訪問授權以“必需知道”和“最小授權”為原則。審批和授權。驗證和調節。
我行應建立持續的信息科技風險計量和監測機制,其中應包括: 建立信息科技項目實施前及實施后的評價機制。建立定期檢查系統性能的程序和標準。
建立信息科技服務投訴和事故處理的報告機制。
建立內部審計、外部審計和監管發現問題的整改處理機制。
安排供應商和業務部門對服務水平協議的完成情況進行定期審查。定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅。定期進行運行環境下操作風險和管理控制的檢查。定期進行信息科技外包項目的風險狀況評價。信息安全
科技部負責建立和實施信息分類和保護體系,應使所有員工都了解信息安全的重要性,并組織提供必要的培訓,讓員工充分了解其職責范圍內的信息保護流程。
科技部應落實信息安全管理職能。該職能應包括建立信息安全計劃和保持長效的管理機制,提高全體員工信息安全意識,就安全問題向其他部門提供建議,并定期向信息科技管理委員會提交本銀行信息安全評估報告。信息安全管理機制應包括信息安全標準、策略、實施計劃和持續維護計劃。信息安全策略應涉及以下領域: 安全制度管理。信息安全組織管理。資產管理。人員安全管理。
物理與環境安全管理。通信與運營管理。訪問控制管理。
系統開發與維護管理。信息安全事故管理。業務連續性管理。合規性管理。
應建立有效管理用戶認證和訪問控制的流程。用戶對數據和系統的訪問必須選擇與信息訪問級別相匹配的認證機制,并且確保其在信息系統內的活動只限于相關業務能合法開展所要求的最低限度。用戶調動到新的工作崗位或離開我行時,應在系統中及時檢查、更新或注銷用戶身份。
應確保設立物理安全保護區域,包括計算機中心或數據中心、存儲機密信息或放置網絡設備等重要信息科技設備的區域,明確相應的職責,采取必要的預防、檢測和恢復控制措施。應根據信息安全級別,將網絡劃分為不同的邏輯安全域(以下簡稱為域)。應該對下列安全因素進行評估,并根據安全級別定義和評估結果實施有效的安全控制,如對每個域和整個網絡進行物理或邏輯分區、實現網絡內容過濾、邏輯訪問控制、傳輸加密、網絡監控、記錄活動日志等。
域內應用程序和用戶組的重要程度。各種通訊渠道進入域的訪問點。
域內配置的網絡設備和應用程序使用的網絡協議和端口。性能要求或標準。
域的性質,如生產域或測試域、內部域或外部域。不同域之間的連通性。域的可信程度。
應通過以下措施,確保所有計算機操作系統和系統軟件的安全:
制定每種類型操作系統的基本安全要求,確保所有系統滿足基本安全要求。
明確定義包括終端用戶、系統開發人員、系統測試人員、計算機操作人員、系統管理員和用戶管理員等不同用戶組的訪問權限。制定最高權限系統賬戶的審批、驗證和監控流程,并確保最高權限用戶的操作日志被記錄和監察。要求技術人員定期檢查可用的安全補丁,并報告補丁管理狀態。在系統日志中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項,手動或自動監控系統出現的任何異常事件,定期匯報監控情況。應通過以下措施,確保所有信息系統安全:
明確定義終端用戶和信息科技技術人員在信息系統安全中的角色和職責。針對信息系統的重要性和敏感程度,采取有效的身份驗證方法。加強職責劃分,對關鍵或敏感崗位進行雙重控制。在關鍵的接合點進行輸入驗證或輸出核對。
采取安全的方式處理保密信息的輸入和輸出,防止信息泄露或被盜取、篡改。
確保系統按預先定義的方式處理例外情況,當系統被迫終止時向用戶提供必要信息。以書面或電子格式保存審計痕跡。
要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。
應制定相關策略和流程,管理所有生產系統的活動日志,以支持有效的審核、安全取證分析和預防欺詐。日志可以在軟件的不同層次、不同的計算機和網絡設備上完成,日志劃分為兩大類: 交易日志。交易日志由應用軟件和數據庫管理系統產生,內容包括用戶登錄嘗試、數據修改、錯誤信息等。交易日志應按照國家會計準則要求予以保存。系統日志。系統日志由操作系統、數據庫管理系統、防火墻、入侵檢測系統和路由器等生成,內容包括管理登錄嘗試、系統事件、網絡事件、錯誤信息等。系統日志保存期限按系統的風險等級確定,但不能少于一年。
應保證交易日志和系統日志中包含足夠的內容,以便完成有效的內部控制、解決系統故障和滿足審計需要;應采取適當措施保證所有日志同步計時,并確保其完整性。在例外情況發生后應及時復查系統日志。交易日志或系統日志的復查頻率和保存周期應由信息科技部門和有關業務部門共同決定,并報信息科技管理委員會批準。
應采取加密技術,防范涉密信息在傳輸、處理、存儲過程中出現泄露或被篡改的風險,并建立密碼設備管理制度,以確保:
使用符合國家要求的加密技術和加密設備。
管理、使用密碼設備的員工經過專業培訓和嚴格審查。加密強度滿足信息機密性的要求。
制定并落實有效的管理流程,尤其是密鑰和證書生命周期管理。
配備切實有效的系統,確保所有終端用戶設備的安全,并定期對所有設備進行安全檢查,包括臺式個人計算機(PC)、便攜式計算機、柜員終端、自動柜員機(ATM)、存折打印機、讀卡器、銷售終端(POS)和個人數字助理(PDA)等。
制定相關制度和流程,嚴格管理客戶信息的采集、處理、存貯、傳輸、分發、備份、恢復、清理和銷毀。
對所有員工進行必要的培訓,使其充分掌握信息科技風險管理制度和流程,了解違反規定的后果,并對違反安全規定的行為采取零容忍政策。信息系統開發、測試和維護
應有能力對信息系統進行需求分析、規劃、采購、開發、測試、部署、維護、升級和報廢,制定制度和流程,管理信息科技項目的優先排序、立項、審批和控制。項目實施部門應定期向信息科技管理委員會提交重大信息科技項目的進度報告,由其進行審核,進度報告應當包括計劃的重大變更、關鍵人員或供應商的變更以及主要費用支出情況。應在信息系統投產后一定時期內,組織對系統的后評價,并根據評價結果及時對系統功能進行調整和優化。應認識到信息科技項目相關的風險,包括潛在的各種操作風險、財務損失風險和因無效項目規劃或不適當的項目管理控制產生的機會成本,并采取適當的項目管理方法,控制信息科技項目相關的風險。
采取適當的系統開發方法,控制信息系統的生命周期。典型的系統生命周期包括系統分析、設計、開發或外購、測試、試運行、部署、維護和退出。所采用的系統開發方法應符合信息科技項目的規模、性質和復雜度。
制定相關控制信息系統變更的制度和流程,確保系統的可靠性、完整性和可維護性,其中應包括以下要求:
生產系統與開發系統、測試系統有效隔離。
生產系統與開發系統、測試系統的管理職能相分離。除得到管理層批準執行緊急修復任務外,禁止應用程序開發和維護人員進入生產系統,且所有的緊急修復活動都應立即進行記錄和審核。
將完成開發和測試環境的程序或系統配置變更應用到生產系統時,應得到信息科技部門和業務部門的聯合批準,并對變更進行及時記錄和定期復查。
制定并落實相關制度、標準和流程,確保信息系統開發、測試、維護過程中數據的完整性、保密性和可用性。
建立并完善有效的問題管理流程,以確保全面地追蹤、分析和解決信息系統問題,并對問題進行記錄、分類和索引;如需供應商提供支持服務或技術援助,應向相關人員提供所需的合同和相關信息,并將過程記錄在案;對完成緊急恢復起至關重要作用的任務和指令集,應有清晰的描述和說明,并通知相關人員。信息科技運行
在選擇數據中心的地理位置時,應充分考慮環境威脅(如是否接近自然災害多發區、危險或有害設施、繁忙或主要公路),采取物理控制措施,監控對信息處理設備運行構成威脅的環境狀況,并防止因意外斷電或供電干擾影響數據中心的正常運行。
嚴格控制第三方人員(如服務供應商)進入安全區域,如確需進入應得到適當的批準,其活動也應受到監控;針對長期或臨時聘用的技術人員和承包商,尤其是從事敏感性技術相關工作的人員,應制定嚴格的審查程序,包括身份驗證和背景調查。應將信息科技運行與系統開發和維護分離,確保信息科技部門內部的崗位制約;對數據中心的崗位和職責做出明確規定。
按照有關法律法規要求保存交易記錄,采取必要的程序和技術,確保存檔數據的完整性,滿足安全保存和可恢復要求。
制定詳盡的信息科技運行操作說明。如在信息科技運行手冊中說明計算機操作人員的任務、工作日程、執行步驟,以及生產與開發環境中數據、軟件的現場及非現場備份流程和要求(即備份的頻率、范圍和保留周期)。建立事故管理及處置機制,及時響應信息系統運行事故,逐級向相關的信息科技管理人員報告事故的發生,并進行記錄、分析和跟蹤,直到完成徹底的處置和根本原因分析。我行應建立服務臺,為用戶提供相關技術問題的在線支持,并將問題提交給相關信息科技部門進行調查和解決。
建立服務水平管理相關的制度和流程,對信息科技運行服務水平進行考核。
建立連續監控信息系統性能的相關程序,及時、完整地報告例外情況;該程序應提供預警功能,在例外情況對系統性能造成影響前對其進行識別和修正。制定容量規劃,以適應由于外部環境變化產生的業務發展和交易量增長。容量規劃應涵蓋生產系統、備份系統及相關設備。及時進行維護和適當的系統升級,以確保與技術相關服務的連續可用性,并完整保存記錄(包括疑似和實際的故障、預防性和補救性維護記錄),以確保有效維護設備和設施。制定有效的變更管理流程,以確保生產環境的完整性和可靠性。包括緊急變更在內的所有變更都應記入日志,由信息科技部門和業務部門共同審核簽字,并事先進行備份,以便必要時可以恢復原來的系統版本和數據文件。緊急變更成功后,應通過正常的驗收測試和變更管理流程,采用恰當的修正以取代緊急變更。業務連續性管理
根據自身業務的性質、規模和復雜程度制定適當的業務連續性規劃,以確保在出現無法預見的中斷時,系統仍能持續運行并提供服務;定期對規劃進行更新和演練,以保證其有效性。評估因意外事件導致其業務運行中斷的可能性及其影響,包括評估可能由下述原因導致的破壞:
內外部資源的故障或缺失(如人員、系統或其他資產)。信息丟失或受損。
外部事件(如戰爭、地震或臺風等)。
應采取系統恢復和雙機熱備處理等措施降低業務中斷的可能性,并通過應急安排和保險等方式降低影響。
建立維持其運營連續性策略的文檔,并制定對策略的充分性和有效性進行檢查和溝通的計劃。其中包括:
規范的業務連續性計劃,明確降低短期、中期和長期中斷所造成影響的措施,包括但不限于: 資源需求(如人員、系統和其他資產)以及獲取資源的方式。運行恢復的優先順序。
與內部各部門及外部相關各方(尤其是監管機構、客戶和媒體等)的溝通安排。更新實施業務連續性計劃的流程及相關聯系信息。驗證受中斷影響的信息完整性的步驟。
當我行的業務或風險狀況發生變化時,對本條一到三進行審核并升級。
我行的業務連續性計劃和應急演練結果應由信息科技風險管理部門或信息科技管理委員會確認。外包與審計 外包
不得將我行信息科技管理責任外包,應合理謹慎監督外包職能的履行。
實施重要外包(如數據中心和信息科技基礎設施等)應格外謹慎,在準備實施重要外包時應以書面材料正式報告銀監會或其派出機構。
在簽署外包協議或對外包協議進行重大變更前,應做好相關準備,其中包括:
分析外包是否適合我行的組織結構和報告路線、業務戰略、總體風險控制,是否滿足我行履行對外包服務商的監督義務。
考慮外包協議是否允許我行監測和控制與外包相關的操作風險。
充分審查、評估外包服務商的財務穩定性和專業經驗,對外包服務商進行風險評估,考查其設施和能力是否足以承擔相應的責任。
考慮外包協議變更前后實施的平穩過渡(包括終止合同可能發生的情況)。
關注可能存在的集中風險,如多家我行共用同一外包服務商帶來的潛在業務連續性風險。在與外包服務商合同談判過程中,應考慮的因素包括但不限于: 對外包服務商的報告要求和談判必要條件。
銀行業監管機構和內部審計、外部審計能執行足夠的監督。
通過界定信息所有權、簽署保密協議和采取技術防護措施保護客戶信息和其他信息。擔保和損失賠償是否充足。
外包服務商遵守我行有關信息科技風險制度和流程的意愿及相關措施。外包服務商提供的業務連續性保障水平,以及提供相關專屬資源的承諾。第三方供應商出現問題時,保證軟件持續可用的相關措施。
變更外包協議的流程,以及我行或外包服務商選擇變更或終止外包協議的條件,例如: 我行或外包服務商的所有權或控制權發生變化。我行或外包服務商的業務經營發生重大變化。
外包服務商提供的服務不充分,造成我行不能履行監督義務。
在實施雙方關系管理,以及起草服務水平協議時,應考慮的因素包括但不限于:
提出定性和定量的績效指標,評估外包服務商為我行及其相關客戶提供服務的充分性。通過服務水平報告、定期自我評估、內部或外部獨立審計進行績效考核。針對績效不達標的情況調整流程,采取整改措施。加強信息科技相關外包管理工作,確保我行的客戶資料等敏感信息的安全,包括但不限于采取以下措施:
實現本銀行客戶資料與外包服務商其他客戶資料的有效隔離。
按照“必需知道”和“最小授權”原則對外包服務商相關人員授權。要求外包服務商保證其相關人員遵守保密規定。
應將涉及本銀行客戶資料的外包作為重要外包,并告知相關客戶。
嚴格控制外包服務商再次對外轉包,采取足夠措施確保我行相關信息的安全。確保在中止外包協議時收回或銷毀外包服務商保存的所有客戶資料。我行應建立恰當的應急措施,應對外包服務商在服務中可能出現的重大缺失。尤其需要考慮外包服務商的重大資源損失,重大財務損失和重要人員的變動,以及外包協議的意外終止。我行所有信息科技外包合同應由科技部、風險管理部、法律合規部和信息科技管理委員會審核通過。我行應設立流程定期審閱和修訂服務水平協議。審計
我行內部審計部門應根據業務的性質、規模和復雜程度,對相關系統及其控制的適當性和有效性進行監測。稽核審計部門應配備足夠的資源和具有專業能力的信息科技審計人員,獨立于我行的日常活動,具有適當的授權訪問我行的記錄。我行內部信息科技審計的責任包括:
制定、實施和調整審計計劃,檢查和評估我行信息科技系統和內控機制的充分性和有效性。按照第一款規定完成審計工作,在此基礎上提出整改意見。檢查整改意見是否得到落實。
執行信息科技專項審計。信息科技專項審計,是指對信息科技安全事故進行的調查、分析和評估,或審計部門根據風險評估結果對認為必要的特殊事項進行的審計。
我行應根據業務性質、規模和復雜程度,信息科技應用情況,以及信息科技風險評估結果,決定信息科技內部審計范圍和頻率。但至少應每三年進行一次全面審計。我行在進行大規模系統開發時,應要求信息科技風險管理部門和內部審計部門參與,保證系統開發符合本銀行信息科技風險管理標準。我行可以在符合法律、法規和監管要求的情況下,委托具備相應資質的外部審計機構進行信息科技外部審計。
在委托審計過程中,我行應確保外部審計機構能夠對本銀行的硬件、軟件、文檔和數據進行檢查,以發現信息科技存在的風險,國家法律、法規及監管部門規章、規范性文件規定的重要商業、技術保密信息除外。
我行在實施外部審計前應與外部審計機構進行充分溝通,詳細確定審計范圍,不應故意隱瞞事實或阻撓審計檢查。
銀監會及其派出機構必要時可指定具備相應資質的外部審計機構對我行執行信息科技審計或相關檢查。外部審計機構根據銀監會或其派出機構的委托或授權對我行進行審計時,應出示委托授權書,并依照委托授權書上規定的范圍進行審計。外部審計機構根據授權出具的審計報告,經銀監會及其派出機構審閱批準后具有與銀監會及其派出機構出具的檢查報告同等的效力,被審計的我行應根據該審計報告提出整改計劃,并在規定的時間內實施整改。
我行在委托外部審計機構進行外部審計時,應與其簽訂保密協議,并督促其嚴格遵守法律法規,保守本銀行的商業秘密和信息科技風險信息,防止其擅自對本銀行提供的任何文件進行修改、復制或帶離現場。附則
本辦法由營口沿海銀風險管理部負責解釋和修訂。
點擊咨詢 