第一篇：銀行業金融機構信息系統風險管理指引

【發布單位】中國銀行業監督管理委員會 【發布文號】

【發布日期】2006-11-01 【生效日期】2006-11-01 【失效日期】 【所屬類別】政策參考

【文件來源】中國銀行業監督管理委員會

銀行業金融機構信息系統風險管理指引

第一章 總 則

第一條第一條 為有效防范銀行業金融機構運用信息系統進行業務處理、經營管理和內部控制過程中產生的風險，促進我國銀行業安全、持續、穩健運行，根據《 中華人民共和國銀行業監督管理法》、國家信息安全相關要求和信息系統管理的有關法律法規，制定本指引。

第二條第二條 本指引適用于銀行業金融機構。

本指引所稱銀行業金融機構，是指在中華人民共和國境內設立的商業銀行、城市信用合作社、農村合作銀行、農村信用合作社等吸收公眾存款的金融機構以及政策性銀行。

在中華人民共和國境內設立的金融資產管理公司、信托投資公司、財務公司、金融租賃公司、汽車金融公司以及經中國銀行業監督管理委員會（以下簡稱銀監會）及其派出機構批準設立的其他金融機構，適用本指引規定。

第三條第三條 本指引所稱信息系統，是指銀行業金融機構運用現代信息、通信技術集成的處理業務、經營管理和內部控制的系統。

第四條第四條 本指引所稱信息系統風險，是指信息系統在規劃、研發、建設、運行、維護、監控及退出過程中由于技術和管理缺陷產生的操作、法律和聲譽等風險。

第五條第五條 信息系統風險管理的目標是通過建立有效的機制，實現對信息系統風險的識別、計量、評價、預警和控制，推動銀行業金融機構業務創新，提高信息化水平，增強核心競爭力和可持續發展能力。

第二章 機構職責

第六條第六條 銀行業金融機構應建立有效的信息系統風險管理架構，完善內部組織結構和工作機制，防范和控制信息系統風險。

第七條第七條 銀行業金融機構應認真履行下列信息系統管理職責：

（一）貫徹執行國家有關信息系統管理的法律、法規和技術標準，落實銀監會相關監管要求；

（二）建立有效的信息安全保障體系和內部控制規程，明確信息系統風險管理崗位責任制度，并監督落實；

（三）負責組織對本機構信息系統風險進行檢查、評估、分析，及時向本機構專門委員會和銀監會及其派出機構報送相關的管理信息；

（四）及時向銀監會及其派出機構報告本機構發生的重大信息系統事故或突發事件，并按有關預案快速響應；

（五）每年經董事會或其他決策機構審查后向銀監會及其派出機構報送信息系統風險管理的年度報告；

（六）做好本機構信息系統審計工作；

（七）配合銀監會及其派出機構做好信息系統風險監督檢查工作，并按照監管意見進行整改；

（八）組織本機構信息系統從業人員進行信息系統有關的業務、技術和安全培訓；

（九）開展與信息系統風險管理相關的其他工作。

第八條第八條 銀行業金融機構的董事會或其他決策機構負責信息系統的戰略規劃、重大項目和風險監督管理；信息科技管理委員會、風險管理委員會或其他負責風險監督的專業委員會應制定信息系統總體策略，統籌信息系統項目建設，定期評估、報告本機構信息系統風險狀況，為決策層提供建議，采取相應的風險控制措施。

第九條第九條 銀行業金融機構法定代表人或主要負責人是本機構信息系統風險管理責任人。

第十條第十條 銀行業金融機構應設立信息科技部門，統一負責本機構信息系統的規劃、研發、建設、運行、維護和監控，提供日常科技服務和運行技術支持；建立或明確專門信息系統風險管理部門，建立、健全信息系統風險管理規章、制度，并協助業務部門及信息科技部門嚴格執行，提供相關的監管信息；設立審計部門或專門審計崗位，建立健全信息系統風險審計制度，配備適量的合格人員進行信息系統風險審計。

第十一條第十一條 銀行業金融機構從事與信息系統相關工作的人員應符合以下要求：

（一）具備良好的職業道德，掌握履行信息系統相關崗位職責所需的專業知識和技能；

（二）未經崗前培訓或培訓不合格者不得上崗；經考核不適宜的工作人員，應及時進行調整。

第十二條第十二條 銀行業金融機構應加強信息系統風險管理的專業隊伍建設，建立人才激勵機制，適應信息技術的發展。

第十三條第十三條 銀行業金融機構應依據有關法律法規及時和規范地披露信息系統風險狀況。

第三章 總體風險控制

第十四條第十四條 總體風險是指信息系統在策略、制度、機房、軟件、硬件、網絡、數據、文檔等方面影響全局或共有的風險。

第十五條第十五條 銀行業金融機構應根據信息系統總體規劃，制定明確、持續的風險管理策略，按照信息系統的敏感程度對各個集成要素進行分析和評估，并實施有效控制。

第十六條第十六條 銀行業金融機構應采取措施防范自然災害、運行環境變化等產生的安全威脅，防止各類突發事故和惡意攻擊。

第十七條第十七條 銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等；明確與信息系統相關人員的職責權限，建立制約機制，實行最小授權。

第十八條第十八條 在境外設立的我國銀行業金融機構或在境內設立的境外銀行業金融機構，應防范由于境內外信息系統監管制度差異等造成的跨境風險。

第十九條第十九條 銀行業金融機構應嚴格執行國家信息安全相關標準，參照有關國際準則，積極推進信息安全標準化，實行信息安全等級保護。

第二十條第二十條 銀行業金融機構應加強對信息系統的評估和測試，及時進行修補和更新，以保證信息系統的安全性、完整性。

第二十一條第二十一條 銀行業金融機構信息系統數據中心機房應符合國家有關計算機場地、環境、供配電等技術標準。全國性數據中心至少應達到國家A類機房標準，省域數據中心至少應達到國家B類機房標準，省域以下數據中心至少應達到C類機房標準。數據中心機房應實行嚴格的門禁管理措施，未經授權不得進入。

第二十二條第二十二條 銀行業金融機構應重視知識產權保護，使用正版軟件，加強軟件版本管理，優先使用具有中國自主知識產權的軟、硬件產品；積極研發具有自主知識產權的信息系統和相關金融產品，并采取有效措施保護本機構信息化成果。

第二十三條第二十三條 銀行業金融機構與信息系統相關的電子設備的選型、購置、登記、保養、維修、報廢等應嚴格執行相關規程，選用的設備應經過技術論證，測試性能應符合國家有關標準。信息系統所用的服務器等關鍵設備應具有較高的可靠性、充足的容量和一定的容錯特性，并配置適當的備品備件。

第二十四條第二十四條 信息系統的網絡應參照相關的標準和規范設計、建設；網絡設備應兼備技術先進性和產品成熟性；網絡設備和線路應有冗余備份；嚴格線路租用合同管理，按照業務和交易流量要求保證傳輸帶寬；建立完善的網管中心，監測和管理通信線路及網絡設備，保障網絡安全穩定運行。

第二十五條第二十五條 銀行業金融機構應加強網絡安全管理。生產網絡與開發測試網絡、業務網絡與辦公網絡、內部網絡與外部網絡應實施隔離；加強無線網、互聯網接入邊界控制；使用內容過濾、身份認證、防火墻、病毒防范、入侵檢測、漏洞掃描、數據加密等技術手段，有效降低外部攻擊、信息泄漏等風險。

第二十六條第二十六條 銀行業金融機構應加強信息系統加密機、密鑰、密碼、加解密程序等安全要素的管理，使用符合國家安全標準的密碼設備，完善安全要素生成、領取、使用、修改、保管和銷毀等環節管理制度。密鑰、密碼應定期更改。

第二十七條第二十七條 銀行業金融機構應加強數據采集、存貯、傳輸、使用、備份、恢復、抽檢、清理、銷毀等環節的有效管理，不得脫離系統采集加工、傳輸、存取數據；優化系統和數據庫安全設置，嚴格按授權使用系統和數據庫，采用適當的數據加密技術以保護敏感數據的傳輸和存取，保證數據的完整性、保密性。

第二十八條第二十八條 銀行業金融機構應對信息系統配置參數實施嚴格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據敏感程度和用途，確定存取權限、方式和授權使用范圍，嚴格審批和登記手續。

第二十九條第二十九條 銀行業金融機構應制定信息系統應急預案，并定期演練、評審和修訂。省域以下數據中心至少實現數據備份異地保存，省域數據中心至少實現異地數據實時備份，全國性數據中心實現異地災備。

第三十條第三十條 銀行業金融機構應加強對技術文檔資料和重要數據的備份管理；技術文檔資料和重要數據應保留副本并異地存放，按規定年限保存，調用時應嚴格授權。信息系統的技術文檔資料包括：系統環境說明文件、源程序以及系統研發、運行、維護過程中形成的各類技術資料。重要數據包括：交易數據、賬務數據、客戶數據，以及產生的報表數據等。

第三十一條第三十一條 銀行業金融機構在信息系統可能影響客戶服務時，應以適當方式告知客戶。

第四章 研發風險控制

第三十二條第三十二條 研發風險是指信息系統在研發過程中組織、規劃、需求、分析、設計、編程、測試和投產等環節產生的風險。

第三十三條第三十三條 銀行業金融機構信息系統研發前應成立項目工作小組，重大項目還應成立項目領導小組，并指定負責人。項目領導小組負責項目的組織、協調、檢查、監督工作。項目工作小組由業務人員、技術人員和管理人員組成，具體負責整個項目的開發工作。

第三十四條第三十四條 項目工作小組人員應具備與項目要求相適應的業務經驗與專業技術知識，小組負責人需具備組織領導能力,保證信息系統研發質量和進度。

第三十五條第三十五條 銀行業金融機構業務部門根據本機構業務發展戰略，在充分進行市場調查、產品效益分析的基礎上制定信息系統研發項目可行性報告。

第三十六條第三十六條 銀行業金融機構業務部門編寫項目需求說明書，提出風險控制要求，信息科技部門根據項目需求編制項目功能說明書。

第三十七條第三十七條 銀行業金融機構信息科技部門依據項目功能說明書分別編寫項目總體技術框架、項目設計說明書，設計和編碼應符合項目功能說明書的要求。

第三十八條第三十八條 銀行業金融機構應建立獨立的測試環境，以保證測試的完整性和準確性。測試至少應包括功能測試、安全性測試、壓力測試、驗收測試、適應性測試。測試不得直接使用生產數據。

第三十九條第三十九條 銀行業金融機構信息科技部門應根據測試結果修補系統的功能和缺陷，提高系統的整體質量。

第四十條第四十條 銀行業金融機構業務人員、技術人員應根據職責范圍分別編寫操作說明書、技術應急方案、業務連續性計劃、投產計劃、應急回退計劃，并進行演練。

第四十一條第四十一條 開發過程中所涉及的各種文檔資料應經相關部門、人員的簽字確認并歸檔保存。

第四十二條第四十二條 項目驗收應出具由相關負責人簽字的項目驗收報告，驗收不合格不得投產使用。

第五章 運行維護風險控制

第四十三條第四十三條 運行維護風險是指信息系統在運行與維護過程中操作管理、變更管理、機房管理和事件管理等環節產生的風險。

第四十四條第四十四條 銀行業金融機構信息系統運行與維護應實行職責分離，運行人員應實行專職，不得由其他人員兼任。運行人員應按操作規程巡檢和操作。維護人員應按授權和維護規程要求對生產狀態的軟硬件、數據進行維護，除應急外，其他維護應在非工作時間進行。

第四十五條第四十五條 銀行業金融機構信息系統的運行應符合以下要求：

（一）制定詳細的運行值班操作表，包括規定巡檢時間，操作范圍、內容、辦法、命令以及負責人員等信息；

（二）提供常見和簡便的操作菜單或命令，如信息系統的啟動或停止、運行日志的查詢等；

（三）提供機房環境、設備使用、網絡運行、系統運行等監控信息；

（四）記錄運行值班過程中所有現象、操作過程等信息。

第四十六條第四十六條 銀行業金融機構信息系統的維護應符合以下要求：

（一）除對信息系統設備和系統環境的維護外，對軟件或數據的維護必須通過特定的應用程序進行，添加、刪除和修改數據應通過柜員終端，不得對數據庫進行直接操作；

（二）具備各種詳細的日志信息，包括交易日志和審計日志等，以便維護和審計；

（三）提供維護的統計和報表打印功能。

第四十七條第四十七條 銀行業金融機構信息系統的變更應符合以下要求：

（一）制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，并遵循流程實施控制和管理；變更前應明確應急和回退方案，無授權不得進行變更操作；

（二）根據變更需求、變更方案、變更內容核實清單等相關文檔審核變更的正確性、安全性和合法性；

（三）應采用軟件工具精確判斷變更的真實位置和內容，形成變更內容核實清單，實現真實、有效、全面的檢驗；

（四）軟件版本變更后應保留初始版本和所有歷史版本，保留所有歷史的變更內容核實清單。

第四十八條第四十八條 銀行業金融機構在信息系統投產后一定時期內，應組織對系統的后評價，并根據評價及時對系統功能進行調整和優化。

第四十九條第四十九條 銀行業金融機構應對機房環境設施實行日常巡檢，明確信息系統及機房環境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。

第五十條第五十條 銀行業金融機構應實行事件報告制度，發生信息系統造成重大經濟、聲譽損失和重大影響事件，應即時上報并處理，必要時啟動應急處理預案。

第六章 外包風險控制

第五十一條第五十一條 外包風險是指銀行業金融機構將信息系統的規劃、研發、建設、運行、維護、監控等委托給業務合作伙伴或外部技術供應商時形成的風險。

第五十二條第五十二條 銀行業金融機構在進行信息系統外包時，應根據風險控制和實際需要，合理確定外包的原則和范圍，認真分析和評估外包存在的潛在風險，建立健全有關規章制度，制定相應的風險防范措施。

第五十三條第五十三條 銀行業金融機構應建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，并進行必要的盡職調查。評估工作可委托經國家相應監管部門認定資質，具有相關專業經驗的獨立機構完成。

第五十四條第五十四條 銀行業金融機構應當與承包方簽訂書面合同，明確雙方的權利、義務，并規定承包方在安全、保密、知識產權方面的義務和責任。

第五十五條第五十五條 銀行業金融機構應充分認識外包服務對信息系統風險控制的直接和間接影響，并將其納入總體安全策略和風險控制之中。

第五十六條第五十六條 銀行業金融機構應建立完整的信息系統外包風險評估與監測程序，審慎管理外包產生的風險，提高本機構對外包管理的能力。

第五十七條第五十七條 銀行業金融機構的信息系統外包風險管理應當符合風險管理標準和策略，并應建立針對外包風險的應急計劃。

第五十八條第五十八條 銀行業金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制，并制定在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷的應急預案。

第五十九條第五十九條 銀行業金融機構將敏感的信息系統，以及其他涉及國家秘密、商業秘密和客戶隱私數據的管理與傳遞等內容進行外包時，應遵守國家有關法律法規，符合銀監會的有關規定，經過董事會或其他決策機構批準，并在實施外包前報銀監會及其派出機構和法律法規規定需要報告的機構備案。

第七章 審 計

第六十條第六十條 銀行業金融機構內設審計部門負責本機構信息系統審計，也可聘請經國家相應監管部門認定資質的中介機構進行信息系統外部審計。

第六十一條第六十一條 信息系統風險審計應包括：總體風險審計、系統審閱和專項風險審計。

第六十二條第六十二條 總體風險審計是指對本機構所有信息系統共有的公共部分進行審計，實施總體風險控制。根據信息系統的總體風險狀況確定審計頻率，但至少每3年審計一次。

第六十三條第六十三條 信息系統的系統審閱是指對研發、運行及退出的全過程進行審計，分投產前與投產后的審閱。

第六十四條第六十四條 投產前的系統審閱是指審計人員采用非現場形式，對信息項目開發過程中所提交的有關文檔資料進行審閱，指出其中存在的風險，了解是否具有相應的控制措施，并提出評價和建議的過程。信息系統投產前的系統審閱應關注信息系統的安全控制、權限設置、正確性、連貫性、完整性、可審計性和及時性等內容。

投產前的系統審閱重點：

（一）被外界成功攻破的可能性；

（二）在內部安全控制方面的設計漏洞與缺陷；

（三）項目開發管理方面的問題；

（四）效率與效能；

（五）功能、設計和工作流程是否符合法律、法規和內部控制方面的規定并有連續兼容性；

（六）其他需重點審閱的內容。

第六十五條第六十五條 投產前的系統審閱文檔資料包括：

（一）項目可行性報告；

（二）項目需求說明書；

（三）項目功能說明書（包括業務與技術方面存在的風險及控制辦法）；

（四）項目總體技術框架；

（五）項目設計說明書；

（六）項目實施計劃；

（七）與第三方簽訂的外包協議；

（八）測試計劃及驗收報告；

（九）投產計劃；

（十）項目開發例會的會議記錄；

（十一）操作手冊；

（十二）其他需審閱的文檔資料。

對于所含內容較多的文檔資料，應對關鍵交易的數據處理流程、交易接口和其他重要的安全事項進行審閱。

第六十六條第六十六條 投產后的系統審閱是指在信息系統投入生產一段時間后進行的審計，旨在評估對信息系統各項風險的控制是否恰當，能否實現預定的設計目標。投產后的系統審閱應在信息系統投入生產半年后進行，審計報告應對被審計的信息系統提出改進或增加風險控制、能否繼續生產等內容的審計建議。

第六十七條第六十七條 信息系統專項風險審計是指對被審計單位發生信息安全事故進行的調查、分析和評估，或原有信息系統進行重大結構調整的審計，或審計部門認為需要對信息系統某項專題進行審計。

第六十八條第六十八條 銀行業金融機構信息系統風險審計也可以由銀監會及其派出機構依據法律、法規和規章，委托并授權有法定資質的中介評估機構進行。

第六十九條第六十九條 中介機構根據銀監會或其派出機構委托或授權對銀行業金融機構進行審計時，應出示委托授權書，并依照委托授權書上規定的委托和授權范圍進行審計。

第七十條第七十條 中介機構根據授權出具的審計報告經銀監會及其派出機構審閱確定后具有法律效力，被審計金融機構應對該審計報告在法定時間內提出整改意見，并按審計報告中提出的建議進行及時整改。

第七十一條第七十一條 中介機構應嚴格執行法律法規，保守被審計單位的商業秘密和風險信息。審計過程中所有涉及資料的調閱應有交接手續，并不得帶離現場或進行修改、復制。

第八章 附 則

第七十二條第七十二條 本指引由中國銀行業監督管理委員會負責解釋、修訂。

第七十三條第七十三條 本指引自頒布之日起施行。

本內容來源于政府官方網站，如需引用，請以正式文件為準。

第二篇：銀行業金融機構全面風險管理指引

中國銀監會關于《銀行業金融機構全面風險管理指引（征求意見稿）》公開征求意見的公告

為進一步引導銀行業金融機構樹立全面風險管理意識，完善全面風險管理體系，持續提高風險管理水平，中國銀監會起草了《銀行業金融機構全面風險管理指引（征求意見稿）》，現向社會公開征求意見。公眾可以通過以下途徑反饋意見：

一、通過電子郵件。

二、通過傳真。

三、通過信函方式將意見寄至：北京市西城區金融大街甲15號中國銀監會審慎規制局（郵編：100140），并請在信封上注明“全面風險管理征求意見”字樣。

意見反饋截止時間為2016年8月6日。[1]

中國銀監會

2016年7月6日

銀行業金融機構全面風險管理指引[1]（征求意見稿）

第一章 總則

第一條（立法依據）為提高銀行業金融機構全面風險管理水平，促進銀行體系安全穩健運行，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規，制定本指引。

第二條（適用范圍）本指引適用于在中華人民共和國境內依法設立的銀行業金融機構。本指引所稱銀行業金融機構，是指在中華人民共和國境內設立的商業銀行、城市信用合作社、農村信用合作社等吸收公眾存款的金融機構以及開發性金融機構、政策性銀行。

第三條（總體要求-管理內容）銀行業金融機構應當建立全面風險管理體系，采取定性和定量相結合的方法，識別、計量、評估、監測、報告、控制或緩釋所承擔的各類風險。

各類風險包括信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰略風險、信息科技風險以及其他風險。

銀行業金融機構的全面風險管理體系應當考慮風險之間的關聯性，審慎評估各類風險之間的相互影響，防范跨境、跨業風險。

第四條（總體要求-管理原則）銀行業金融機構全面風險管理應當遵循以下基本原則：

（一）匹配性原則。全面風險管理體系應當與風險狀況和系統重要性等相適應，并根據環境變化予以調整。

（二）全覆蓋原則。全面風險管理應當覆蓋各項業務條線，本外幣、表內外、境內外業務；覆蓋所有分支機構、附屬機構，部門、崗位和人員；覆蓋所有風險種類和不同風險之間的相互影響；貫穿決策、執行和監督全部管理環節。

（三）獨立性原則。銀行業金融機構應當建立獨立的全面風險管理組織架構，賦予風險管理條線足夠的授權、人力資源及其他資源配置，建立科學合理的報告渠道，與業務條線之間形成相互制衡的運行機制。

（四）有效性原則。銀行業金融機構應當將全面風險管理的結果應用于經營管理，根據風險狀況、市場和宏觀經濟情況評估資本和流動性的充足性，有效抵御所承擔的總體風險和各類風險。第五條（全面風險管理要素）銀行業金融機構全面風險管理體系應當包括但不限于以下要素：

（一）風險治理架構；

（二）風險管理策略、風險偏好和風險限額；

（三）風險管理政策和程序；

（四）管理信息系統和數據質量控制機制；

（五）內部控制和審計體系。

第六條（風險文化）銀行業金融機構應當在全行層面推行穩健的風險文化，形成與本行相適應的風險管理理念、價值準則、職業操守，建立培訓、傳達和監督機制，推動全行人員理解和執行。

第七條（責任主體）銀行業金融機構應當承擔全面風險管理的主體責任，建立全面風險管理制度，保障制度執行，對全面風險管理體系自我評估，健全自我約束機制。

第八條（監督管理）銀行業監督管理機構依法對銀行業金融機構全面風險管理實施監管。

第九條（披露要求）銀行業金融機構應當按照銀行業監督管理機構的規定，向公眾披露全面風險管理情況。

第二章 風險治理架構

第十條（總體要求）銀行業金融機構應當建立組織架構健全、職責邊界清晰的風險治理架構，明確董事會、監事會、高級管理層，業務部門、風險管理部門和內審部門在風險管理中的職責分工，建立多層次、相互銜接、有效制衡的運行機制。

第十一條（董事會職責）銀行業金融機構董事會承擔全面風險管理的最終責任，履行以下職責：

（一）建立風險文化；

（二）制定風險管理策略；

（三）設定的風險偏好和風險限額；

（四）審批風險管理政策和程序；

（五）監督高級管理層開展全面風險管理；

（六）審議全面風險管理報告；

（七）審批全面風險和各類重要風險的信息披露；

（八）聘任風險總監（首席風險官）或其他高級管理人員，牽頭負責全面風險管理；

（九）其他與風險管理有關的職責。

董事會可以授權其下設的風險管理委員會履行其全面風險管理的部分職責。第十二條（委員會間的溝通機制）銀行業金融機構應當建立風險管理委員會與董事會下設的戰略委員會、審計委員會、提名委員會等其他專門委員會的溝通機制，確保信息充分共享并能夠支持風險管理相關決策。

第十三條（監事會職責）銀行業金融機構監事會承擔全面風險管理的監督責任，負責監督檢查董事會和高級管理層在風險管理方面的履職盡責情況并督促整改。相關監督檢查情況應當納入監事會工作報告。第十四條（高級管理層職責）銀行業金融機構高級管理層承擔全面風險管理的實施責任，執行董事會的決議，應當履行以下職責：

（一）建立適應全面風險管理的經營管理架構，明確全面風險管理職能部門、業務部門以及其他部門在風險管理中的職責分工，建立部門之間有效制衡、相互協調的運行機制；

（二）制定清晰的執行和問責機制，確保風險偏好、風險管理策略和風險限額得到充分傳達和有效實施；

（三）對董事會設定的風險限額進行細化并執行，包括但不限于行業、區域、客戶、產品等維度；

（四）制定風險管理政策和程序，定期評估，必要時調整；

（五）評估全面風險和各類重要風險管理狀況并向董事會報告；

（六）建立完備的管理信息系統和數據質量控制機制；

（七）對突破風險偏好、風險限額以及違反風險管理政策和程序的情況進行監督，根據董事會的授權進行處理；

（八）風險管理的其他職責。

第十五條（風險總監或獨立高管）規模較大或業務復雜的銀行業金融機構應當設立風險總監（首席風險官）。董事會應當將風險總監（首席風險官）納入高級管理人員。風險總監（首席風險官）或其他牽頭負責全面風險管理的高級管理人員應當保持充分的獨立性，不得分管業務經營條線，可以直接向董事會報告全面風險管理情況。

調整風險總監（首席風險官）的，應當事先得到董事會批準，并公開披露。銀行業金融機構應當向銀行業監督管理機構報告風險總監（首席風險官）的調整原因。

第十六條（全面風險管理的職責分工）銀行業金融機構應當確定業務條線承擔風險管理的直接責任；風險管理條線承擔制定政策和流程，日常監測和管理風險的責任；內審部門承擔業務部門和風險管理部門履責情況的審計責任。

第十七條（全面風險管理職能部門職責）銀行業金融機構應當設立或者指定部門負責全面風險管理，牽頭履行全面風險的日常管理，包括但不限于以下職責：

（一）實施全面風險管理體系建設，牽頭協調各類具體風險管理部門；

（二）識別、計量、評估、監測、控制或緩釋全面風險和各類重要風險，及時向高級管理人員報告；

（三）持續監控風險偏好、風險管理策略、風險限額及風險管理政策和程序的執行情況，對突破風險偏好、風險限額以及違反風險管理政策和程序的情況及時預警、報告并提出處理建議。

（四）組織開展風險評估，及時發現風險隱患和管理漏洞，持續提高風險管理的有效性。

第十八條（分支機構要求）銀行業金融機構應當采取必要措施，保證全面風險管理的政策流程在基層分支機構得到理解與執行，建立與基層分支機構風險狀況相匹配的風險管理架構。

在境外設有機構的銀行業金融機構應當建立適當的境外風險管理框架、政策和流程。第十九條（資源保障）銀行業金融機構應當賦予全面風險管理職能部門和各類風險管理部門充足的資源、獨立性、授權，保證其能夠及時獲得風險管理所需的數據和信息，滿足履行風險管理職責的需要。

第三章 風險管理策略、風險偏好和風險限額

第二十條（風險管理策略）銀行業金融機構應當制定清晰的風險管理策略，至少每年評估其有效性。風險管理策略應當反映風險偏好、風險狀況以及市場和宏觀經濟變化，并在銀行內部得到充分傳導。

第二十一條（風險偏好總體要求）銀行業金融機構應當制定書面的風險偏好，定性指標和定量指標并重。風險偏好的設定應當與戰略目標、經營計劃、資本規劃、績效考評和薪酬機制銜接，在全行傳達并執行。

銀行業金融機構應當每年對風險偏好至少進行一次評估。

第二十二條（風險偏好內容）銀行業金融機構制定的風險偏好，應當包括但不限于以下內容：

（一）戰略目標和經營計劃的制定依據，風險偏好與戰略目標、經營計劃的關聯性；

（二）為實現戰略目標和經營計劃愿意承擔的風險總量；

（三）愿意承擔的各類風險的最大水平；

（四）風險偏好的定量指標，包括利潤、風險、資本、流動性以及其他相關指標的目標值或目標區間。上述定量指標通過風險限額、經營計劃、績效考評等方式傳導至業務條線、分支機構、附屬機構的安排；

（五）對不能定量的風險偏好的定性描述，包括承擔此類風險的原因、采取的管理措施；

（六）資本、流動性抵御總體風險和各類風險的水平；

（七）可能導致風險偏好目標的情形和處置方法。

風險偏好應當明確董事會、高級管理層和首席風險官、業務條線、風險部門和審計部門在制定和實施風險偏好過程中的職責。

第二十三條（風險偏好執行報告）銀行業金融機構應當建立監測分析各業務條線、分支機構、附屬機構執行風險偏好的機制。

當風險偏好目標被突破時，應當及時分析原因、制定解決方案并實施。

第二十四條（風險偏好調整）銀行業金融機構應當建立風險偏好的調整制度。根據業務規模、復雜程度、風險狀況的變化，對風險偏好進行調整。

第二十五條（風險限額管理）銀行業金融機構應當制定風險限額管理的政策和程序，建立風險限額設定、限額調整、超限額報告和處理制度。

銀行業金融機構應當根據風險偏好，按照客戶、行業、區域、產品等維度設定風險限額。風險限額應當綜合考慮資本、風險集中度、流動性、交易目的等。

全面風險管理職能部門應當對風險限額進行監控，并向董事會和高級管理層報送風險限額使用情況。

第四章 風險管理政策和程序 第二十六條（風險管理政策和程序）銀行業金融機構應當制定風險管理政策和程序，包括但不限于以下內容：

（一）全面風險管理的方法，包括各類風險的識別、計量、評估、監測、報告、控制或緩釋，風險加總的方法和程序；

（二）風險定性管理和定量管理的方法；

（三）風險管理報告；

（四）壓力測試安排；

（五）新產品、重大業務和機構變更的風險評估；

（六）資本和流動性充足情況評估；

（七）應急計劃和恢復計劃。

第二十七條（風險的識別、計量、評估、監測、報告和控制或緩釋）銀行業金融機構應當在集團和法人層面對各附屬機構、分支機構、業務條線，對表內和表外、境內和境外、本幣和外幣業務涉及的各類風險，進行識別、計量、評估、監測、報告、控制或緩釋。

銀行業金融機構應當制定每項業務對應的風險管理政策和程序。未制定的，不得開展該項業務。

銀行業金融機構應當有效評估和管理各類風險。對能夠量化的風險，應當通過風險計量技術，加強對相關風險的計量、控制、緩釋；對難以量化的風險，應當建立風險識別、評估、控制和報告機制，確保相關風險得到有效管理。

第二十八條（政策和程序的一致性）銀行業金融機構應當建立風險統一集中管理的制度，確保全面風險管理對各類風險管理的統領性，各類風險管理與全面風險管理政策和程序的一致性。

第二十九條（風險加總的方法和程序）銀行業金融機構應當建立風險加總的政策、程序，選取合理可行的加總方法，充分考慮集中度風險及風險之間的相互影響和相互傳染，確保在不同層次上和總體上及時識別風險。

第三十條（內部模型）銀行業金融機構采用內部模型計量風險的，應當遵守相關監管要求，確保風險計量的一致性、客觀性和準確性。董事會和高級管理層應當理解模型結果的局限性、不確定性和模型使用的固有風險。

第三十一條（風險管理報告）銀行業金融機構應當建立全面風險管理報告制度，明確報告的內容、頻率、路線。

報告內容至少包括總體風險和各類風險的整體狀況；風險管理策略、風險偏好和風險限額的執行情況；風險在行業、地區、客戶、產品等維度的分布；資本和流動性抵御風險的水平。

第三十二條（壓力測試安排）銀行業金融機構應當建立壓力測試體系，明確壓力測試的治理結構、政策文檔、方法流程、情景設計、保障支持、驗證評估以及壓力測試結果運用。

銀行業金融機構應當定期開展壓力測試。壓力測試的開展應當覆蓋各類風險和表內外主要業務領域，并考慮各類風險之間的相互影響。

壓力測試結果應當運用于銀行業金融機構的風險管理和各項經營管理決策中。第三十三條（新產品、重大業務和機構變更的風險評估）銀行業金融機構應當建立專門的政策和流程，評估開發新產品或對現有產品進行重大改動、拓展新的業務領域、設立新機構、從事重大收購和投資等可能帶來的風險，并建立內部審批流程和退出安排。銀行業金融機構開展上述活動時，應當經風險管理部門審查同意，并經董事會或董事會指定的專門委員會批準。

第三十四條（資本和流動性充足情況評估）銀行業金融機構應當根據風險偏好和風險狀況及時評估資本和流動性的充足情況，確保資本、流動性能夠抵御風險。

第三十五條（應急計劃）銀行業金融機構應當制定應急計劃，確保能夠及時應對和處理緊急或危機情況。應急計劃應當說明可能出現的風險以及在壓力情況（包括會嚴重威脅銀行生存能力的壓力情景）下應當采取的措施。銀行業金融機構的應急計劃應當涵蓋對境外分支機構和附屬機構的應急安排。銀行業金融機構應當定期更新、演練或測試上述計劃，確保其充分性和可行性。

第三十六條（恢復計劃）銀行業金融機構應當按照相關監管規定的要求，根據銀行的風險狀況和系統重要性，制定并定期更新完善本機構的恢復計劃，明確本機構在壓力情況下能夠繼續提供持續穩定運營的各項關鍵性金融服務并恢復正常運營的行動方案。

第三十七條（附屬機構）銀行業金融機構應當制定覆蓋其附屬機構的風險管理政策和程序，保持機構風險管理的一致性、有效性。銀行業金融機構應當要求并確保各附屬機構在整體風險偏好和風險管理政策框架下，建立自身的風險管理組織架構、政策流程，促進全面風險管理的一致性和有效性。

銀行業金融機構應當建立健全防火墻制度，規范內部交易，防止風險傳染。第三十八條（外包風險管理）銀行業金融機構應當制定外包風險管理制度，確定與其風險管理水平相適應的外包活動范圍。

第三十九條（風險管理應用）銀行業金融機構應當將風險偏好、風險管理策略、風險限額、風險管理政策和程序等要素與資本管理、業務管理相結合，在戰略和經營計劃制定、新產品審批、內部定價、績效考評和薪酬政策等日常經營管理中充分應用并得到有效實施。

第四十條（文檔管理）銀行業金融機構應當對風險偏好、風險管理策略、風險限額、風險管理政策和程序建立規范的文檔記錄。

第五章 管理信息系統和數據質量

第四十一條（風險管理信息系統）銀行業金融機構應當具備完善的風險管理信息系統，能夠在集團和法人層面計量、評估、展示、報告、加總所有風險類別、產品和交易對手風險暴露的規模和構成。

第四十二條（系統功能）銀行業金融機構相關風險管理信息系統應當具備以下主要功能，支持風險報告和管理決策的需要。

（一）支持識別、計量、評估、監測和報告所有類別的重要風險；

（二）支持風險限額管理，對超出風險限額的情況進行實時監測、預警和控制；

（三）能夠計量、評估和報告所有風險類別、產品和交易對手的風險狀況，滿足全面風險管理需要。

（四）支持按照業務條線、機構、資產類型、行業、地區、集中度等多個維度展示和報告風險暴露情況；

（五）支持不同頻率的定期報告和壓力情況下的數據加工和風險加總需求；

（六）支持壓力測試工作，評估各種不利情景對全行及主要業務條線的影響； 第四十三條（信息科技基礎設施）銀行業金融機構應當建立與業務規模、風險狀況等相匹配的信息科技基礎設施。

第四十四條（數據質量）銀行業金融機構應當建立健全數據質量控制機制，積累真實、準確、連續、完整的內部和外部數據，用于風險識別、計量、評估、監測、報告，資本和流動性充足情況的評估。

第六章 內部控制和審計

第四十五條（內控要求）銀行業金融機構應當合理確定各項業務活動和管理活動的風險控制點，采取適當的控制措施，執行標準統一的業務流程和管理流程，確保規范運作。

第四十六條（內審要求）銀行業金融機構應當將全面風險管理納入內部審計范疇，定期審查和評價全面風險管理的充分性和有效性。

銀行業金融機構內部審計活動應獨立于業務經營、風險管理和合規管理，遵循獨立性、客觀性原則，不斷提升內部審計人員的專業能力和職業操守。

全面風險管理的內部審計報告應當直接提交董事會和監事會。董事會應當針對內部審計發現的問題，督促高級管理層及時采取整改措施。內部審計部門應當跟蹤檢查整改措施的實施情況，并及時向董事會提交有關報告。

第七章 監督管理

第四十七條（報備及報告要求）銀行業金融機構應當將風險管理策略、風險偏好、風險限額、風險管理政策和程序等報送銀行業監督管理機構，并至少按報送全面風險管理報告。

第四十八條（監管內容）銀行業監督管理機構應當將銀行業金融機構全面風險管理納入法人監管體系中，并根據本指引全面評估銀行業金融機構風險管理體系的健全性和有效性，提出監管意見，督促銀行業金融機構持續加以完善。

第四十九條（監管方式）銀行業監督管理機構通過非現場監管和現場檢查等實施對銀行業金融機構全面風險管理的持續監管，具體方式包括但不限于監管評級、風險提示、現場檢查、監管通報、監管會談、與內外部審計師會談等。

第五十條（監管溝通）銀行業監督管理機構應當就全面風險管理情況與銀行業金融機構董事會、監事會、高級管理層等進行充分溝通，并視情況在銀行董事會、監事會會議上通報。

第五十一條（監管措施）對不能滿足本指引及其他關于全面風險管理要求的銀行業金融機構，銀行業監督管理機構可以要求其制定整改方案，責令限期改正，并視情況采取相應的監管措施。

第八章 附則

第五十二條（與具體風險監管要求的關系）各類具體風險的監管要求按照銀行業監督管理機構的有關規制執行。第五十三條（參照執行）經銀行業監督管理機構批準設立的其他金融機構參照本指引執行。

第五十四條（施行時間）本指引自2016年 月 日起施行。本指引實施前發布的有關規范性文件如與本指引不一致的，按照本指引執行。[1]

解讀一

為提升銀行業金融機構全面風險管理水平，引導銀行業金融機構更好服務實體經濟，銀監會近日發布了《銀行業金融機構全面風險管理指引》（以下簡稱《指引》）。銀監會有關部門負責人就《指引》相關問題回答了記者的提問。

一、《指引》制定的背景是什么？

答：《指引》制定的背景主要有三方面：一是我國銀行業風險管理缺乏統領性規制。近年來，銀監會陸續制定了各類審慎監管規則，覆蓋了資本管理、信用風險、市場風險、流動性風險、操作風險、并表管理等各個領域，比較系統，但仍然缺乏一個針對全面風險管理的統領性、綜合性規則。因此，有必要制定關于全面風險管理的審慎規制，為銀行建立完善的全面風險管理體系提供政策依據和指導。二是銀行業金融機構全面風險管理實踐有待完善。我國銀行業在全面風險管理體系建設上已取得一定的成果，但實踐中仍然存在以下問題有待完善：第一，全面風險管理的統籌性和有效性有待提升。第二，中小銀行業金融機構全面風險管理體系建設起步相對較晚，精細化程度有待提高。第三，銀行業金融機構全面風險管理成果的應用較多基于銀監會的監管要求，深度和廣度仍有很大的拓展空間。三是國際監管改革對風險管理提出了新的要求。2008年國際金融危機后，國際組織和各國監管機構都在積極完善金融機構全面風險管理相關制度。2012年，巴塞爾委員會修訂了《有效銀行監管核心原則》，完善和細化了原則15“風險管理體系”的各項標準。之后，巴塞爾委員會和金融穩定理事會針對公司治理、風險偏好、風險文化和風險報告等全面風險管理要素陸續發布了一系列政策文件，提出了更具體的要求?！吨敢返闹贫仁欠e極適應國際監管改革新要求的結果，又有助于提升我國銀行業風險管理水平。

二、《指引》制定的主要思路是什么？

答：《指引》的起草主要基于以下思路：一是形成系統化的全面風險管理規制。二是提出風險管理的統領性框架，強化全面性和關聯性視角。三是提高可操作性，提供全面風險管理和監管指南。四是引入《核心原則》最低標準，反映國際監管改革最新成果。五是充分考慮各類機構的差異化情況。六是注重與已有規制的銜接。

三、《指引》對全面風險管理有哪些原則性規定？

答：《指引》對銀行業金融機構全面風險管理提出四點管理原則：一是匹配性原則。全面風險管理體系應當與風險狀況和系統重要性等相適應，并根據環境變化進行調整。二是全覆蓋原則。全面風險管理應當覆蓋各個業務條線，包括本外幣、表內外、境內外業務；覆蓋所有分支機構、附屬機構，部門、崗位和人員；覆蓋所有風險種類和不同風險之間的相互影響；貫穿決策、執行和監督全部管理環節。三是獨立性原則。銀行業金融機構應當建立獨立的全面風險管理組織架構，賦予風險管理條線足夠的授權、人力資源及其他資源配置，建立科學合理的報告渠道，與業務條線之間形成相互制衡的運行機制。四是有效性原則。銀行業金融機構應當將全面風險管理的結果應用于經營管理，根據風險狀況、市場和宏觀經濟情況評估資本和流動性的充足性，有效抵御所承擔的總體風險和各類風險。

四、《指引》對全面風險管理提出哪些主要要求？

答：《指引》提出了銀行業金融機構全面風險管理體系的五個主要要素，包括風險治理架構，風險管理策略、風險偏好和風險限額，風險管理政策和程序，管理信息系統和數據質量控制，內部控制和審計體系等。《指引》對以上要素的具體內容也進行了規定。

其中，關于風險偏好，《指引》規定銀行業金融機構應當制定書面的風險偏好，做到定性指標和定量指標并重，并提出了風險偏好應包括的七項具體內容。關于風險限額，《指引》提出，銀行業金融機構應當制定風險限額管理的政策和程序，建立風險限額設定、限額調整、超限額報告和處理制度。同時，在風險限額臨近監管指標限額時，銀行業金融機構應當啟動相應的糾正措施和報告程序，采取必要的風險分散措施，并向銀行業監督管理機構報告。

五、《指引》對全面風險管理的責任主體提出哪些要求？

答：《指引》采用了風險管理“三道防線”的理念，強調銀行業金融機構董事會承擔全面風險管理的最終責任。銀行業金融機構監事會承擔全面風險管理的監督責任，負責監督檢查董事會和高級管理層在風險管理方面的履職盡責情況并督促整改。銀行業金融機構應當設立或指定部門負責全面風險管理，牽頭履行全面風險的日常管理。銀行業金融機構各業務經營條線承擔風險管理的直接責任。

六、《指引》是否充分考慮各類機構的差異性？

答：《指引》定位于為銀行業金融機構完善全面風險管理體系提供系統性指導框架。在此基礎上，《指引》充分考慮了各類銀行業金融機構的差異化情況。一是區分適用和參照執行。適用范圍明確為我國境內設立的銀行業金融機構，經銀行業監督管理機構批準設立的其他金融機構參照本指引執行。二是明確匹配性原則?？紤]到各類機構特點的差異性，《指引》明確提出全面風險管理體系應當與風險狀況和系統重要性等相匹配，并根據環境變化進行調整。三是部分條款增加了適用的前提條件。如對規模較大或業務復雜的銀行業金融機構提出設立風險總監（首席風險官）的要求。[2]

解讀二

銀行業金融機構全面風險管理指引[1]

中國銀監會就《銀行業金融機構全面風險管理指引（征求意見稿）》公開征求意見 為提升銀行業金融機構全面風險管理水平，中國銀監會起草了《銀行業金融機構全面風險管理指引（征求意見稿）》（以下簡稱《指引》），現向社會公開征求意見。銀監會將根據各界反饋意見，進一步修改完善《指引》，適時發布。

近年來，為加強和規范商業銀行風險管理，銀監會借鑒國際金融監管改革成果，緊密結合我國銀行業實際，陸續制定了各類審慎監管規則，覆蓋了資本管理、信用風險、市場風險、流動性風險、操作風險、并表管理等各個領域，初步建立起一套較為完整的風險管理規制體系。在此基礎上，銀監會從現有規則中梳理提煉出共性要素，同時參照巴塞爾銀行委員會《有效銀行監管核心原則》的基本要求，借鑒國際經驗，起草了《指引》，形成了我國銀行業全面風險管理的統領性、綜合性規則，引導銀行業樹立全面風險管理意識，建立穩健的風險文化，健全風險管理治理架構和要素，完善全面風險管理體系，持續提高風險管理水平。

《指引》共8章54條，包括總則，風險治理架構，風險管理策略、風險偏好和風險限額，風險管理政策和程序，管理信息系統和數據質量，內部控制和審計，監督管理及附則，強調銀行業金融機構按照匹配性、全覆蓋、獨立性和有效性的原則，建立健全全面風險管理體系，并加強外部監管。

第三篇：銀行業金融機構外包風險管理指引

銀行業金融機構外包風險管理指引

第一章 總則

第一條 為了規范銀行業金融機構的外包活動，保障銀行業金融機構業務持續經營，依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等有關法律法規，制定本指引。

第二條 在中華人民共和國境內設立的銀行業金融機構適用本指引。

第三條 本指引中的外包是指銀行業金融機構將原來由自身負責處理的某些業務活動委托給服務提供商進行持續處理的行為。服務提供商包括獨立第三方，銀行業金融機構母公司或其所屬集團設立在中國境內、外的子公司、關聯公司或附屬機構。

第四條 銀行業金融機構的董事會和高級管理層應當承擔外包活動的最終責任。

第五條 銀行業金融機構開展外包活動應當制定外包的風險管理框架以及相關制度，并將其納入全面風險管理體系。

第六條 銀行業金融機構應當根據審慎經營原則制定其外包戰略發展規劃，確定與其風險管理水平相適宜的外包活動范圍。

第七條 銀行業金融機構的戰略管理、核心管理以及內部審計等職能不宜外包。

第二章組織結構

第八條 銀行業金融機構外包管理的組織架構應當包括董事會、高級管理層及外包管理團隊。

第九條 董事會的職責主要包括以下方面：

（一）審議批準外包的戰略發展規劃；

（二）審議批準外包的風險管理制度；

（三）審議批準本機構的外包范圍及相關安排；

（四）定期審閱本機構外包活動相關報告；

（五）定期安排內部審計，確保審計范圍涵蓋所有的外包安排。

第十條 高級管理層的職責主要包括以下方面：

（一）制定外包戰略發展規劃；

（二）制定外包風險管理的政策、操作流程和內控制度；

（三）確定外包業務的范圍及相關安排；

（四）確定外包管理團隊職責，并對其行為進行有效監督。

第十一條 外包管理團隊的職責主要包括以下方面：

（一）執行外包風險管理的政策、操作流程和內控制度；

（二）負責外包活動的日常管理，包括盡職調查、合同執行情況的監督及風險狀況的監督；

（三）向高級管理層提出有關外包活動發展和風險管控的意見和建議；

（四）在發現外包服務提供商業的業務活動存在缺陷時，采取及時有效的措施；

（五）高級管理層確定的其他職責

第三章風險管理

第十二條 銀行業金融機構在制定外包活動政策時，應當評估以下風險因素：

（一）銀行業金融機構應當關注外包活動的戰略風險、法律風險、聲譽風險、合規風險、操作風險、國別風險等風險；

（二）影響外包活動的外部因素；

（三）本機構對外包活動的風險管控能力；

（四）服務提供商的技術能力及專業能力，業務策略和業務規模，業務連續性及破產風險，風險控制能力及外包服務的集中度；

（五）其他關注的事項。

第十三條 銀行業金融機構在進行外包活動時應當對服務提供商進行盡職調查，盡職調查應當包括以下事項：

（一）管理能力和行業地位；

（二）財務穩健性；

（三）經營聲譽和企業文化；

（四）技術實力和服務質量；

（五）突發事件應對能力；

（六）對銀行業的熟悉程度；

（七）對其他銀行業金融機構提供服務的情況；

（八）銀行業金融機構認為重要的其他事項。銀行業金融機構的外包活動涉及多個服務提供商時，應當對這些服務提供商進行關聯關系的調查。

第十四條 銀行業金融機構開展外包活動時應當簽訂書面合同或協議，明確雙方的權利義務。合同或協議應當包括但不限于以下內容：

（一）外包服務的范圍和標準；

（二）外包服務的保密性和安全性的安排；

（三）外包服務的業務連續性的安排；

（四）外包服務的審計和檢查；

（五）外包爭端的解決機制；

（六）合同或協議變更或終止的過渡安排；

（七）違約責任。

對于具有專業技術性的外包活動，可簽訂服務標準協議。

第十五條 銀行業金融機構在外包活動中應當建立嚴格的客戶信息保密制度，并依法履行告知義務。

第十六條 銀行業金融機構在外包合同中應當要求外包服務提供商承諾以下事項：

（一）定期通報外包活動的有關事項；

（二）及時通報外包活動的突發性事件；

（三）配合銀行業金融機構接受銀行業監督管理機構的檢查；

（四）保障客戶信息的安全性，當客戶信息不安全或客戶權利受到影響時，銀行業金融機構有權隨時終止外包合同；

（五）不得以銀行業金融機構的名義開展活動；

（六）銀行業金融機構認為應當承諾的其他事項。第十七條 銀行業金融機構應當關注外包服務提供商分包的風險，并在合同中明確以下事項：

（一）服務提供商分包的規則；

（二）分包服務提供商應當嚴格遵守主服務提供商與銀行業金融機構確定的外包合同或協議中的相關條款；

（三）主服務商應當確認在業務分包后繼續保證對服務水平和系統控制負總責；

（四）不得將外包活動的主要業務分包。

第十八條 銀行業金融機構應當在合同中約定服務提供商不得將外包活動轉包或變相轉包。

第十九條 銀行業金融機構在開展跨境外包活動時，應當遵守以下原則：

（一）審慎評估法律和管制風險；

（二）確?？蛻粜畔⒌陌踩?；

（三）選擇境外服務提供商時，應當明確其所在國家或地區監管當局已與我國銀行業監督管理機構簽訂諒解備忘錄或雙方認可的其他約定。

第二十條 銀行業金融機構應當事先制定和建立外包突發事件應急預案和機制。通過采取替代方案、尋求合同項下的保險安排等措施，確保業務活動的正常經營。

第二十一條 銀行業金融機構應當定期對外包活動進行全面審計與評價。

第四章監督管理

第二十二條 銀行業金融機構在開展外包活動時，應當定期向所在地銀行業監督管理機構遞交本機構外包活動的評估報告。

第二十三條 銀行業金融機構在開展外包活動時如遇到對本機構的業務經營、客戶信息安全、聲譽等產生重大影響事件，應當及時向所在地銀行業監督管理機構報告。

第二十四條 銀行業監督管理機構及其派出機構根據需要對外包活動進行現場檢查，采集外包活動過程中數據信息和相關資料，并將檢查結果納入對該機構的監管評級。

第二十五條 對外包活動存在以下情形的，銀行業監督管理機構可以要求銀行業金融機構糾正或采取替代方案，并視情況予以問責。

（一）違反相關法律、行政法規及規章；

（二）違反本機構風險管理政策、內控制度及操作流程等；

（三）存在重大風險隱患；

（四）其他認定的情形。

第五章附則

第二十六條 經銀行業監督管理機構批準的其他金融機構開展外包活動時遵照本指引執行。

第二十七條 本指引由中國銀行業監督管理委員會負責解釋。

第二十八條 本指引自發布之日起實施。

第四篇：銀行業金融機構信息科技外包風險監管指引

中國銀行業監督管理委員會

銀監發[2013]5號

中國銀監會關于印發銀行業金融機構信息科技外

包風險監管指引的通知

各銀監局，各政策性銀行、國有商業銀行、股份制商業銀行、金融資產管理公司，郵儲銀行，各省級農村信用聯社，銀監會直接監管的信托公司、企業集團財務公司、金融租賃公司：

現將《銀行業金融機構信息科技外包風險監管指引》印發給你們，請遵照執行。

2013年2月16日

銀行業金融機構信息科技外包風險監管指引

第一章 總則

第一條

為規范銀行業金融機構的信息科技外包活動，降低信息科技外包風險，根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規，制定本指引。

第二條

在中華人民共和國境內設立的政策性銀行、商業銀行、農村合作銀行、?。ㄗ灾螀^）農村信用社聯合社適用本指引。銀監會監管的其他金融機構參照本指引執行。第三條

本指引所稱信息科技外包是指銀行業金融機構將原本由自身負責處理的信息科技活動委托給服務提供商進行處理的行為，包含項目外包、人力資源外包等形式。原則上包括以下類型：

（一）研發咨詢類外包：科技管理及科技治理等咨詢設計外包，規劃、需求、系統開發、測試外包；

（二）系統運行維護類外包：包括數據中心（災備中心）、機房配套設施、網絡、系統的運維外包，自助設備、POS機等遠程終端及辦公設備的運維外包；

（三）業務外包中的信息科技活動：市場拓展、業務操作、企業管理、資產處臵等外包中的系統開發、運行維護和數據處理活動。

第四條

本指引所稱關聯外包是指服務提供商為銀行業金融機構的母公司或其所屬集團子公司、關聯公司或附屬機構提供信息科技外包。

第五條

信息科技外包可能產生如下風險，并導致銀行業金融機構的戰略、聲譽、合規風險：

（一）科技能力喪失：銀行業金融機構過度依賴外部資源導致失去科技控制及創新能力，影響業務創新與發展；

（二）業務中斷：支持業務運營的外包服務無法持續提供導致業務中斷；

（三）信息泄露：包含客戶信息在內的銀行業金融機構非公開數據被服務提供商非法獲得或泄露；

（四）服務水平下降：由于外包服務質量問題或內外部協作效率低下，使得銀行業金融機構信息科技服務水平下降。

第六條

本指引所稱機構集中度風險是指銀行業金融機構將信息科技外包服務集中交由少量服務提供商承接而產生的風險，該風險可能造成集中性的服務中斷、質量下降、安全事件等。

第七條

本指引所稱同業托管機構是指作為外包服務提供商為其他同行業金融機構提供信息科技外包服務的銀行業金融機構。

第八條

銀行業金融機構應當將信息科技外包管理納入全面風險管理體系，建立與本機構信息科技戰略目標相適應的外包管理體系，控制或降低由于外包而引發的風險。

第九條

銀行業金融機構應當建立信息科技外包管理組織架構，制定外包管理戰略，定期進行外包風險評估，通過服務提供商準入、評價、退出等手段建立及維護符合自身戰略目標的供應商關系管理策略。

第十條

銀行業金融機構在實施信息科技外包時應當堅持以下原則：

（一）以不妨礙核心能力建設、積極掌握關鍵技術為導向；

（二）保持外包風險、成本和效益的平衡；

（三）強調外包風險的事前控制，保持管控力度；

（四）根據外包管理及技術發展趨勢，持續改進外包策略和措施。

第十一條

銀行業金融機構在實施信息科技外包時，不得將信息科技管理責任外包。

第十二條

對于不涉及銀行客戶及內部信息轉移的信息科技產品采購、維保，及通訊線路租用、支付或清算系統接入等信息科技公共基礎設施服務，銀行業金融機構應當充分評估其信息科技風險，按照本指引第五章要求進行管理。

第二章 外包管理組織架構

第十三條

銀行業金融機構董事會及高級管理層應當嚴格落實信息科技外包風險管理的相關職責, 明確信息科技外包風險管理的主管部門，制定并審批信息科技外包戰略，審議信息科技外包管理流程及制度，督促并監控信息科技外包風險管理效果。

第十四條

信息科技外包風險主管部門的主要職責包括：

（一）對外包風險進行識別、評估與風險提示；

（二）監督、評價外包管理工作，并督促外包風險管理的持續改善；

（三）向高級管理層定期匯報信息科技外包活動相關風險管理情況；

（四）董事會或高級管理層確定的其他信息科技外包風險管理職責。

第十五條

銀行業金融機構應當在信息科技管理部門或信息科技外包活動執行部門內建立信息科技外包管理執行團隊，并配備足夠人員履行以下職責：

（一）實施信息科技外包戰略；

（二）制定并執行信息科技外包管理制度與流程；

（三）執行供應商準入、評價、退出管理，建立并維護供應商關系管理策略；

（四）制定保障外包服務持續性的應急管理方案，并組織實施定期演練；

（五）對外包過程中的各項管理活動進行監控及分析，定期向信息科技及外包風險管理主管部門報告外包活動情況。

第三章 信息科技外包戰略及風險管理

第一節 信息科技外包戰略

第十六條

銀行業金融機構應當以提升信息科技隊伍能力，提高科技管理及創新水平，掌握信息科技核心技能為目標，基于信息科技戰略、外包市場環境、自身風險控制能力和風險偏好制定信息科技外包戰略，包括：不能外包的職能、資源能力建設方案、供應商關系管理策略和外包分級管理策略。

第十七條

銀行業金融機構應當根據自身信息科技戰略明確不能外包的職能。涉及戰略管理、風險管理、內部審計及其他有關信息科技核心競爭力的職能不得外包。第十八條

銀行業金融機構應當根據外包戰略制定資源、能力建設方案，通過補充人員、提升技能、知識轉移等方式，有針對性地獲取或提升管理及技術能力，降低對服務提供商的依賴。

第十九條

銀行業金融機構應當建立與自身規模、市場地位相適應的供應商關系管理策略。通過準入和退出機制合理管控各類高風險服務提供商的數量，實現以下目標：防范行業壟斷和機構集中度風險，通過引入適當的競爭在降低采購成本的同時提高服務質量，合理管控服務提供商的數量從而降低風險及管理成本等。

第二十條

銀行業金融機構可以按照外包服務性質和重要性程度對服務提供商進行分級管理，對不同級別的服務提供商采取差異化的管控措施，在有效管理重要風險的前提下降低管理成本。

第二十一條

銀行業金融機構要同母公司或集團公司協同做好外包服務及服務提供商的管理工作，但應當保持關聯外包有關決策的獨立性，避免因關聯關系而降低外包活動的風險控制水平。

第二節 信息科技外包風險管理

第二十二條

銀行業金融機構信息科技外包風險管理部門應當至少每年開展一次全面的外包風險管理評估，保持評估的獨立性，并向高級管理層提交評估報告。評估內容包括：信息科技外包戰略執行情況、外包信息安全、機構集中度、服務連續性、服務質量、政策及市場變化對外包服務的影響分析等。

第二十三條

銀行業金融機構應當對重要的外包服務提供商進行定期的風險評估，保持評估的獨立性。至少在三年內覆蓋所有重要的服務提供商。評估內容包括：服務提供商合規情況、服務的執行效果等，評估結果應當作為服務提供商準入及退出的重要依據。

第二十四條

銀行業金融機構內部審計部門應當定期開展信息科技外包風險管理審計工作，至少每三年對重要的外包服務活動進行一次全面審計。發生外包風險事件后應當及時開展專項審計。

第四章 信息科技外包管理

第一節 外包風險評估及準入

第二十五條

外包項目立項前，銀行業金融機構應當審慎檢查項目與信息科技外包戰略的一致性，根據項目內容、范圍、性質對其進行風險識別和評估，制定相應的風險處臵措施，不因外包活動的引入而增加整體剩余風險。重大外包項目應向董事會、高管層報告。

第二十六條

銀行業金融機構應當根據供應商關系管理策略，結合風險評估結果及服務提供商的準入標準，對備選服務提供商進行初步篩選，防范引入高機構集中度風險特點的服務提供商、或引入增加整體風險的服務提供商。

第二十七條

對于外包服務提供商為同業托管機構的情況，銀行業金融機構可參照本節內容對其進行管理。

第二節 服務提供商盡職調查

第二十八條

對重要的服務提供商，銀行業金融機構在與其簽訂合同前應當深入開展盡職調查，必要時可聘請第三方機構協助調查。

第二十九條

銀行業金融機構在盡職調查時應當關注服務提供商的技術和行業經驗，包括但不限于：服務能力和支持技術、服務經驗、服務人員技能、市場評價、監管評價等。

第三十條

銀行業金融機構在盡職調查時應當關注服務提供商的內部控制和管理能力，包括但不限于：內部控制機制和管理流程的完善程度、內部控制技術和工具等。

第三十一條

銀行業金融機構在盡職調查時應當關注服務提供商的持續經營狀況，包括但不限于：從業時間、市場地位及發展趨勢、資金的安全性、近期盈利情況等。

第三十二條

對于關聯外包，銀行業金融機構不得因關聯關系而降低對服務提供商的要求，應當在盡職調查階段詳細分析服務提供商技術、內控和管理水平，確認其有足夠能力實施外包

服務、處理突發事件等。

第三十三條

對于外包服務提供商為同業托管機構的情況，銀行業金融機構可參照本節內容對其進行管理。

第三節 外包服務合同及要求

第三十四條

銀行業金融機構在實施外包服務項目前，應當與服務提供商簽訂服務合同。合同應當根據外包服務需求、風險評估及盡職調查結果確定詳細程度和重點。

第三十五條

銀行業金融機構在合同或協議中應當明確以下內容，包括但不限于：

（一）服務范圍、服務內容、工作時限及安排、責任分配、交付物要求以及后續合作中的相關限定條件；

（二）合規與內控要求，對法律法規及銀行業金融機構內部管理制度的遵從要求、監管政策的通報貫徹機制、服務提供商的內控措施；

（三）服務連續性要求，服務提供商的服務連續性管理目標應當滿足銀行業金融機構業務連續性目標要求；

（四）銀行業金融機構監控和檢查的權利、頻率，服務提供商配合其內、外部審計機構檢查，及配合銀行業監管機構檢查的責任；

（五）政策或環境變化因素等在內的合同變更或終止的觸發條件，外包服務提供商在過渡期間應該履行的主要職責及合同變更或終止的過渡安排，包括信息、資料和設施的交接處臵等過渡期間相關服務的安排；

（六）外包服務過程中產生、加工、交互的信息和知識產權的歸屬權以及允許服務提供商使用的內容及范圍，對服務提供商使用合法軟、硬件產品的要求；

（七）服務要求或服務水平條款，至少應當包括如下內容：外包服務的關鍵要素、服務時效和可用性、數據的機密性和完整性要求、變更的控制、安全標準的遵守情況、技術支持水平等；

（八）爭端解決機制、違約及賠償條款，至少包括如下內容：服務質量違約、安全違約、知識產權違約等，及在各種違約情況下的賠償以及外包爭端的解決機制；

（九）報告條款，至少包括常規報告內容和報告頻度、突發事件時的報告路線、報告方式及時限要求。

第三十六條 銀行業金融機構應當在合同或協議中明確服務提供商在安全和保密方面的責任，以及針對安全及保密要求需采取的具體措施。包括但不限于：

（一）禁止服務提供商在合同允許范圍外使用或者披露銀行業金融機構的信息，以防止信息被非授權使用；

（二）在合同或協議中約定服務提供商對銀行客戶信息安全和銀行客戶權利的保護條款、事故處理方式及違約賠償條款；

（三）在合同或協議中約定服務提供商不得以所服務的銀行業金融機構名義開展活動；

（四）服務提供商接觸銀行業金融機構信息時，需滿足安全和保密相關條款的要求；

（五）在發生銀監會規定的信息科技突發事件，或發生可能引發系統性、區域性銀行業信息科技風險類突發事件時，服務提供商應及時向銀行業金融機構報告，包括事件的影響以及處臵

和糾正措施。

第三十七條

銀行業金融機構應當在合同或協議中明確要求服務提供商不得將外包服務轉包和變相轉包。在涉及外包服務分包時應當要求：

（一）不得將外包服務的主要業務分包；

（二）主服務提供商對服務水平負總責，確保分包服務提供商能夠嚴格遵守外包合同或協議；

（三）主服務提供商對分包商進行監控，并對分包商的變更履行通知或報告審批義務。

第四節 外包服務安全管理

第三十八條

銀行業金融機構應當制定和落實信息安全管控措施，防范因外包活動引起的信息泄露、信息篡改、信息不可用、非法入侵、物理環境或設施遭受破壞等風險。具體措施包括：

（一）對外包人員進行信息安全培訓，提高風險管理意識，確保信息安全管控措施在外包服務過程中有效落實；

（二）明確外包活動需要訪問或使用的信息資產，包括場地、辦公設施、計算機、服務器、軟件、數據、信息、物理訪問控制設備、賬號、網絡寬帶、網絡端口等，按“必需知道”和“最小授權”原則進行訪問授權；

（三）對重要或核心的信息系統開發交付物進行源代碼檢查和安全掃描；

（四）定期對服務提供商進行安全檢查，獲取服務提供商自評估或第三方評估報告。

第三十九條

銀行業金融機構對關聯外包服務提供商定期進行的安全檢查，不得以服務提供商的自評估替代，不得因關聯關系而影響檢查的獨立性、客觀性及公正性。

第四十條

銀行業金融機構應當關注外包服務引入的新技術或新應用對現有治理模式及安全架構的沖擊，及時完善信息安全管控體系，避免因新技術或應用的引入而增加額外的信息安全風險。

第五節 外包服務監控與評價

第四十一條

銀行業金融機構應當對外包服務過程進行持續監控，要求服務提供商建立階段性服務目標及任務，并跟蹤任務的執行情況，及時發現和糾正服務過程中存在的各類異常情況。

第四十二條

銀行業金融機構應當根據信息科技外包需求、合同、服務水平協議等建立明確的服務質量監控指標，并進行相應監控。常見指標包括：

（一）信息系統和設備及基礎設施的可用率、設備的開機率；

（二）故障次數、故障解決率、故障的響應時間；

（三）服務的次數、客戶滿意度；

（四）各階段業務需求的及時完成率、程序的缺陷數、需求變更率；

（五）外包人員工作飽和率、外包人員的考核合格率。

第四十三條

銀行業金融機構應當建立明確的服務目錄、服務水平協議以及服務水平監控評價機制,并確保外包服務監控基礎數據和評價結果的真實性和完整性，且數據至少需保存到服務結束后一年。

第四十四條

銀行業金融機構應當對服務提供商的財務、內控及安全管理進行持續監控，關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況，防范外包服務意外終止或服務質量的急劇下降。

第四十五條

銀行業金融機構監控到異常情況時，應當及時督促服務提供商采取糾正措施，情節嚴重的或未及時糾正的，應當約談服務提供商高管人員并限期整改。

第四十六條

外包服務結束時，銀行業金融機構應當對服務提供商進行評價，評價結果應當作為服務提供商準入的重要參考依據。

第四十七條

對于關聯外包，銀行業金融機構董事會及高級管理層應當推動母公司或所屬集團將外包服務質量納入對服務提供商的業績評價范圍，建立外包服務重大事件問責機制。同時，應當要求服務提供商在其內部建立與外包服務水平相關的績效考核機制。

第六節 外包服務中斷與終止

第四十八條

銀行業金融機構應當考慮信息科技外包的引入對業務連續性管理的影響，有針對性地完善業務連續性管理計劃，包括但不限于：

（一）識別出重要業務所涉及的服務提供商和資源；

（二）通過合同、協議等形式明確要求服務提供商提前準備并維護好相關資源；

（三）對服務提供商業務連續性管理進行監控，并評價其管理水平；

（四）在進行業務連續性計劃演練時將相關的服務提供商納入演練范圍。

第四十九條

為降低外包突發事件的可能性及影響，銀行業金融機構應當事先對業務連續性管理造成重大影響的外包服務建立風險控制、緩釋或轉移措施，包括但不限于以下內容：

（一）在外包服務實施過程中持續收集服務提供商相關信息，盡早發現可能導致服務中斷的情況；

（二）與服務提供商事先約定在其服務質量不能滿足合同要求的情況下獲取其外包服務資源的優先權；

（三）要求服務提供商制定服務中斷相關的應急處理預案，如提供備份人員；

（四）對于涉及重要業務的外包服務，銀行業金融機構需考慮預先在其內部配臵相應的人力資源，掌握必要的技能，以在外包服務中斷期間自行維持最低限度的服務能力。

第五十條

銀行業金融機構應當針對重要外包服務中斷的場景，擬定相應的應急計劃，并定期進行演練，考慮因素包括但不限于以下內容：

（一）事件場景，如重要人員流失導致服務無法持續，服務提供商主動退出，因資質變更、被收購、兼并或破產等原因導致的服務提供商被動退出等；

（二）事件持續時間和恢復可能性；

（三）事件影響范圍和可能的應急措施；

（四）服務提供商自行恢復服務的可能性和時間；

（五）備選的服務提供商以及外包服務遷移方案；

（六）外包服務過渡給銀行業金融機構自行運作的可能性、時效及資源需求。

第五十一條

對于無法滿足外包服務要求或發生重大事件的情況，銀行業金融機構應當在充分評估其影響及制定退出計劃的前提下，考慮主動要求服務提供商終止服務，情節特別嚴重的，可考慮取消準入資質，并報監管機構申請對其備案。對于關聯外包，銀行業金融機構不得因為關聯關系而影響服務提供商退出機制的落實。

第五章 機構集中度風險管理

第五十二條

銀行業金融機構應當依據服務提供商所承接外包服務的數量、金額在本行重要信息科技服務中的占比，服務提供商所承接外包服務在銀行業服務市場占比情況，識別具有機構集中度特點的外包服務提供商。同時，還應識別服務提供商之間為集團子公司、關聯公司或附屬機構所產生的機構集中度風險。

第五十三條

銀行業金融機構應當積極采用分散信息科技外包活動、提高自主研發運行能力等形式，降低機構集中度，減少對外包服務提供商的依賴。

第五十四條

銀行業金融機構應當要求具有機構集中度特點的外包服務提供商提供充分的證據，證明其內部控制和管理能力、持續運營能力等。

第五十五條

銀行業金融機構應當要求具有機構集中度特點的外包服務提供商為銀行業金融機構配備相對獨立的資源，包括服務團隊、場地、系統、設備等；并對資源進行定期檢查，確保資源及時到位。

第五十六條

銀行業金融機構應當要求具有機構集中度特點的外包服務提供商在外包服務中斷應急預案中，明確外包服務的優先級，并進行服務中斷應急演練，服務提供商應當至少參與服務交接、敏感信息處臵等演練過程。

第五十七條

銀行業金融機構應當特別加強對具有機構集中度特點的外包服務提供商的財務、內控、安全管理情況的持續監控，建立信息收集機制，及時掌握風險事件情況，防范外包服務意外終止或服務質量急劇下降對本機構產生大面積影響。

第五十八條

銀行業金融機構應當對具有機構集中度特點的外包服務提供商增強監督頻率與力度，必要時可指派專人進行現場監督。

第五十九條

對于具有機構集中度特點的外包服務提供商為同業托管機構的情況，銀行業金融機構可參照本節內容對其進行外包管理。

第六章 跨境及非駐場外包管理

第一節 跨境外包風險管理

第六十條

跨境外包是指在境外其他國家或地區實施的信息科技外包服務活動。

第六十一條

跨境外包除具有本指引前述風險外，還包括由于某一國家或地區經濟、政治、社會變化及事件而產生的國別風險，及由于外包實施場地遠離銀行業金融機構而產生的非駐場風險。

第六十二條

銀行業金融機構應當充分了解并持續監控服務提供商所在國家或地區狀況，通過建立業務連續性計劃防范跨境外包所帶來的國別風險。

第六十三條

銀行業金融機構應當關注國外法律法規、監管要求對其獲取服務提供商外包管理信息可能造成的影響。實施跨境外包應當以不妨礙銀行業金融機構有效履行外包服務監控管理職能及監管機構延伸檢查為前提。

第六十四條

銀行業金融機構在選擇跨境外包時，應當明確其所在國家或地區監管當局已與銀監會簽訂諒解備忘錄或雙方認可的其他約定。

第六十五條

銀行業金融機構在選擇跨境外包時，還應當充分審查評估服務提供商保護客戶信息的能力，并將其作為選擇服務提供商的重要指標。涉及客戶信息的跨境外包，應當在符合監管法規政策并獲得客戶授權的前提下開展。

第六十六條

銀行業金融機構在實施跨境外包時，其合同應當包括法律選擇和司法管轄權的約定，明確爭議解決時所適用的法律及司法管轄權，原則上應當要求服務提供商依照中國的法律解決糾紛。

第二節 非駐場外包風險管理

第六十七條

非駐場外包是指服務提供商不在銀行業金融機構現場提供服務的外包形式。由于銀行業金融機構不能對其內部控制及風險管理措施進行直接管控，應當在信息安全、知識產權保護、質量監控、法律合規等方面加強對服務提供商的風險管理。

第六十八條

銀行業金融機構應當建立針對非駐場外包服務的內部控制及風險管理要求的最低標準，該標準應當作為選擇服務提供商的最低要求。

第六十九條

銀行業金融機構應當對重要的非駐場外包服務進行實地檢查。實地檢查原則上一年不少于一次，檢查結果作為外包服務提供商項目考核及準入的重要指標。

第七十條

銀行業金融機構應當加強對外包服務提供商非駐場外包服務內部控制、質量管理、信息安全的有效性評估，評估結果作為供應商準入的重要依據。對于高風險的服務提供商，銀行業金融機構應當責令其進行限期整改，對于逾期未改的服務提供商應當暫?；蛉∠浞召Y格。

第七十一條

對于非駐場外包服務提供商為同業托管機構的情況，銀行業金融機構可以參照本節內容對其進行外包管理，但同業托管機構須將為其他同行業金融機構提供的信息科技外包服務視同自身信息科技服務的重要組成部分，不得區別對待，降低對自身提供外包服務的風險管控水平。

第七章 銀行業重點外包服務機構風險管理要求

第七十二條

銀行業重點外包服務機構是指集中為銀行業金融機構提供外包服務，同時滿足下述條件，如其外包服務失敗可能導致銀行業大面積數據損毀、丟失、泄露或信息系統服務中斷，造成經濟損失的機構，具體條件如下：

(一)承擔集中存貯客戶數據的業務交易系統外包服務；或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務；或承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務；且上述服務均為非駐場外包服務。

(二)服務的法人銀行業金融機構數量、服務合同金額占有本服務領域市場份額的三分之一以上；或服務的跨區域經營法人銀行業金融機構數量達到3家或以上；或服務的其他類型法人銀行業金融機構數量達到10家或以上。

第七十三條 銀行業金融機構應當根據監管機構發布的銀行業重點外包服務機構風險提示，按照如下要求進行管理：

(一)銀行業重點外包服務機構應當是中華人民共和國境內注冊的獨立法人實體，注冊資本和實收資本不少于1000萬，注冊成立時間不少于3年。

(二)銀行業重點外包服務機構應當擁有健全的組織架構，并針對所提供的外包服務建立有效的風險治理架構，至少應當建立由公司高級管理層直接領導、針對銀行業金融機構外包服務的、專職信息科技風險管理團隊，為持續的外包服務提供保證。

(三)銀行業重點外包服務機構應當建立與所承擔的服務范圍和規模相適應的服務管理體系，建立完善的信息安全、服務質量、服務持續性等管理制度體系，擁有有效的檢查、監控和考核機制，確保管理規范有效執行。

(四)銀行業重點外包服務機構應當具有足夠的技術能力、人力資源和設施、環境，滿足外包服務的質量和安全管理要求。銀行業重點外包服務機構承擔的銀行業金融機構外包服務場地應當設臵在中國境內。第七十四條

銀行業金融機構應當要求銀行業重點外包服務機構具有如下相關領域資質認證:(一)具有完善的信息安全管理體系、業務連續性管理體系，并通過業界公認較為權威的信息安全管理和業務連續性管理資質認證。

(二)具有完善的質量管理體系，并通過業界公認較為權威的質量管理資質認證。

(三)承擔銀行業金融機構數據中心、災備中心機房及基礎設施外包服務的銀行業重點外包服務機構，其機房及基礎設施應當達到國家電子計算機機房最高標準。

(四)承擔集中存貯客戶數據的業務交易系統外包服務，或承擔銀行業金融機構客戶資料、交易數據等敏感信息的批量分析或處理服務的銀行業重點外包服務機構，應當具有完善的運行服務管理體系，并通過業界公認較為權威的運行服務管理資質認證。

第七十五條

銀行業金融機構應當在風險管理、審計方面對銀行業重點外包服務機構提出如下要求：

(一)銀行業重點外包服務機構應當具有信息科技風險的管理體系，有效識別、監測、評估和控制風險。銀行業重點外包服務機構應當至少每季度向所服務的銀行業金融機構報送外包風險監控報告，針對監控發現的潛在風險或風險事件，及時采取控制或緩釋措施。

(二)銀行業重點外包服務機構應當每年聘請獨立的審計機構,對自身外包服務進行風險評估,風險評估報告需報送所服務的銀行業金融機構，并抄送銀監會或其派出機構。

(三)銀行業重點外包服務機構應當對其外包服務團隊成員進行背景調查，確保其過往無不良記錄，且應當與項目成員簽訂保密協議，并保留至少10年的法律追訴期。

第八章 監督管理

第七十六條

銀行業金融機構開展以下信息科技外包服務時,應當在外包合同簽訂前二十個工作日向銀監會或其派出機構報告，針對銀行業金融機構信息科技外包風險，銀監會及其派出機構可以采取風險提示、約見談話、監管質詢等措施。

（一）信息科技工作整體外包；

（二）數據中心或災備中心整體外包；

（三）涉及將銀行業金融機構客戶資料、交易數據等敏感信息交由服務提供商進行分析或處理的信息科技外包；

（四）以非駐場形式實施的、集中存貯客戶數據的業務交易系統外包；

（五）關聯外包；

（六）涉及跨境的信息科技外包；

（七）其他銀監會認為重要的信息科技外包。

第七十七條

銀行業金融機構信息科技外包活動中發生如下重大事件時，應當在兩個工作日內向銀監會或其派出機構報告。

（一）銀行業金融機構客戶信息等敏感數據泄露；

（二）數據損毀或者重要業務運營中斷；

（三）由于不可抗力或服務提供商重大經營、財務問題，導致或可能導致多家銀行業金融機構外包服務中斷;

（四）其他重大的服務提供商違法違規事件；

（五）銀監會規定需要報告的其他重大事件。

第七十八條

銀行業金融機構在開展外包風險管理評估工作后，應當將風險評估報告報送銀監會或其派出機構。

第七十九條

銀監會及其派出機構對銀行業金融機構信息科技外包工作進行監督和檢查，監督檢查結果納入對銀行業金融機構的監管評級。

第八十條

對于風險較高的信息科技外包服務，銀監會或其派出機構可以要求銀行業金融機構暫緩、中止該類外包服務，直至銀行業金融機構、外包服務提供商有效改正。

第八十一條

銀行業金融機構違反本指引規定的，銀監會或其派出機構可要求其糾正或采取替代方案，并視情況予以問責。因管理過失導致外包活動嚴重危及銀行業金融機構穩健運行、損害存款人和其他客戶合法權益的，依法追究銀行業金融機構管理責任。

第八十二條

銀監會實行銀行業信息科技外包服務活動風險監測機制，定期對銀行業金融機構發布銀行業重點外包服務機構名單和風險提示，防范因高機構集中度外包服務導致的系統性、區域性信息科技風險。第八十三條

銀監會應當對具有機構集中度特點的銀行業金融機構信息科技外包服務進行重點風險監測、評估，根據需要，可以要求銀行業金融機構與重點外包服務機構會談，就其外包服務活動和風險的重大事項作出說明。

第八十四條

銀監會應當組織銀行業金融機構實地核查銀行業重點外包服務機構承擔的銀行業金融機構信息科技服務活動，原則上每兩年進行一次，也可以委托其他第三方機構審計的形式實施。

第八十五條

銀監會可以根據銀行業金融機構信息科技服務活動風險評估和實地核查結果，對銀行業金融機構發出監管提示，要求其督促銀行業重點外包服務機構對風險問題實施整改。

第八十六條

銀行業重點外包服務機構應當配合銀行業金融機構及銀監會的風險監測和實地核查。

第八十七條

銀監會組織相關銀行業金融機構對銀行業信息科技外包服務提供商建立服務管理記錄，并對其進行風險評估和評級。

第八十八條

服務提供商在外包服務中存在以下情形的，銀監會定期向銀行業發布服務提供商風險預警，公布機構名單、服務信息等，要求銀行業金融機構禁止相關服務提供商承擔銀行業信息科技外包服務，禁止期至少為兩年。外包服務提供商兩年內仍未整改的，延長其禁止期。

（一）違反國家法律、法規和監管政策，情節嚴重的；

（二）竊取、泄露銀行業金融機構敏感信息，情節嚴重的；

（三）因管理過失，多次發生重要信息系統服務中斷或數據損毀、丟失、泄露事件的；

（四）服務質量低下并給多家銀行業金融機構造成損失，多次提示仍未整改的；

（五）對風險監測和實地檢查發現的問題，逾期仍未整改的；

（六）存在其他違法違規行為，或發生其他重大信息科技風險事件的。

第八十九條

銀監會負責監督銀行業金融機構對信息科技外包服務提供商實施準入管理。對于存在重大風險的外包活動，銀行業金融機構應當立即評估外包的適當性，對信息科技外包服務提供商進行風險預警提示，要求其進行整改并設定期限；逾期未整改的，禁止其承擔信息科技外包服務。

第九章 附則

第九十條

本指引由銀監會負責解釋、修訂。第九十一條

本指引自公布之日起施行。

第五篇：銀行業金融機構數據治理指引

銀行業金融機構數據治理指引

（征求意見稿）

第一章 總則

第一條（立法依據）為指導銀行業金融機構加強數據治理，提高數據質量，發揮數據價值，提升經營管理能力，根據《中華人民共和國銀行業監督管理法》等法律法規，制定本指引。

第二條（適用范圍）本指引適用于中華人民共和國境內經銀行業監督管理機構批準設立的銀行業金融機構。

本指引所稱銀行業金融機構，是指在中華人民共和國境內設立的商業銀行、農村信用合作社等吸收公眾存款的金融機構、政策性銀行以及國家開發銀行。

第三條（數據治理定義）數據治理是指通過建立組織架構，明確董事會、高級管理層、部門等職責要求，制定和實施系統化的制度、流程和方法，確保數據統一管理、高效運行，并在經營管理中充分發揮價值的動態過程。

第四條（數據治理總體要求）銀行業金融機構應當將數據治理納入公司治理范疇，建立自上而下、協調一致的數據治理體系。

第五條（數據治理原則）銀行業金融機構數據治理應當遵循以下基本原則：

（一）全覆蓋原則：覆蓋數據的全生命周期；覆蓋業務經營、風險管理和內部控制流程中的全部數據；覆蓋內部數據和外部數據；覆蓋所有分支機構和附屬機構；覆蓋監管數據。

（二）匹配性原則：數據治理應當與管理模式、業務規模、風險狀況等相適應，并根據情況變化進行調整。

（三）持續性原則：數據治理應當持續開展，建立長效機制。

（四）有效性原則：數據治理應當推動數據真實準確客觀反映銀行業金融機構實際情況，并有效應用于經營管理。

第六條（監管數據）銀行業金融機構應當將監管數據納入數據治理，建立工作機制和流程，確保監管數據報送工作有效組織開展，監管數據質量持續提升。

法定代表人或主要負責人對監管數據質量承擔最終責任。第七條（依法監督）銀行業監督管理機構依據本指引對銀行業金融機構數據治理情況實施監管。

第二章 數據治理架構

第八條（總體要求）銀行業金融機構應當建立組織架構健全、職責邊界清晰的數據治理架構，明確董事會、監事會、高級管理層和相關部門的職責分工，建立多層次、相互銜接的運行機制。

第九條（董事會職責）銀行業金融機構董事會應當制定數據戰略，審批與數據治理相關的重大事項，督促高級管理層提升數據治理有效性，對數據治理承擔最終責任。

第十條（監事會職責）銀行業金融機構監事會負責對董事會和高級管理層在數據治理方面的履職盡責情況進行監督評價。第十一條（高管層職責）銀行業金融機構高級管理層負責建立數據治理體系，制定和實施問責機制與數據質量控制機制，組織評估數據治理的有效性和執行情況，并定期向董事會報告。

銀行業金融機構可根據實際情況設立首席數據官。首席數據官任職資格許可應符合中資商業銀行行政許可事項的相關要求。

第十二條（歸口管理部門）銀行業金融機構應當確定并授權歸口管理部門牽頭負責實施數據治理體系建設，協調落實數據管理運行機制，組織推動數據在經營管理流程中充分發揮作用，負責監管數據相關工作，設置監管數據相關工作專職崗位。

第十三條（業務部門）業務部門應當負責本業務領域的數據治理，管理業務條線數據源，確保準確記錄和及時維護，落實數據質量控制機制，執行監管數據相關工作要求。

第十四條（崗位設置）銀行業金融機構應當在數據治理歸口管理部門設立滿足工作需要的專職崗位，在其他相關業務部門設置專職或兼職崗位。

第十五條（團隊建設）銀行業金融機構應當建立一支滿足數據治理工作需要的專業隊伍，按對人員進行系統培訓。科學規劃職業成長通道，確定合理薪酬水平。

第十六條（數據文化建設）銀行業金融機構應當建立良好的數據文化，樹立數據是重要資產和數據應真實客觀的理念與準則，強化用數意識，遵循依規用數、科學用數的職業操守。

第三章 數據管理 第十七條（制定數據戰略）銀行業金融機構應當結合自身發展戰略、監管要求等，制定數據戰略并確保有效執行和修訂。

第十八條（數據管理制度）銀行業金融機構應當制定全面科學有效的數據管理制度，包括但不限于組織管理、部門職責、協調機制、安全保密、系統保障、監督檢查和數據質量控制等方面，并根據監管要求和管理實際，持續評價更新。

第十九條（監管統計制度）銀行業金融機構應當制定與監管數據相關的監管統計管理制度和業務制度，及時發布并定期評價和更新，報銀行業監督管理機構備案。制度出現重大變化的，應當及時向銀行業監督管理機構報告。

第二十條（數據標準）銀行業金融機構應當建立覆蓋全部數據的標準化規劃，遵循統一的業務規范和技術標準。數據標準應當符合國家標準化政策及監管規定。

第二十一條（信息系統）銀行業金融機構應當持續完善信息系統，覆蓋各項業務和管理數據，并具有可拓展性。信息系統應當有完備的數據字典和維護流程。

第二十二條（監管統計系統）銀行業金融機構應當建立適應監管數據報送工作需要的信息系統，實現流程控制的程序化，提高監管數據加工的自動化程度。

第二十三條（數據共享）銀行業金融機構應當加強數據采集的統一管理，明確系統間數據交換流程和標準，實現各類數據有效共享。第二十四條（數據安全）銀行業金融機構應當建立數據安全策略與標準，依法合規采集、應用數據，依法保護客戶隱私，劃分數據安全等級，明確訪問權限，監控訪問行為，完善數據安全技術，定期審計數據安全。

第二十五條（資料存儲）銀行業金融機構應當加強數據資料統一管理，建立全面嚴密的管理流程、歸檔制度，明確存檔交接、口徑梳理等要求，保證數據可比性。

第二十六條（應急預案）銀行業金融機構應當建立數據應急預案，根據業務影響分析，組織開展應急演練，完善處置流程，保證在系統服務異常以及危機等情景下數據的完整、準確和連續。

第二十七條（數據治理問責機制）銀行業金融機構應當建立問責機制，定期監控數據管理、數據質量控制、數據價值實現等方面問題，依據有關規定對高級管理層和相關部門及責任人予以問責。

第二十八條（自我評估機制）銀行業金融機構應當建立數據治理自我評估機制，明確評估周期、流程、結果應用、組織保障等要素的相關要求。

評估內容應覆蓋數據治理架構、數據管理、數據安全、數據質量和數據價值實現等方面，并按向銀行業監督管理機構報送。

第四章 數據質量控制 第二十九條（質量控制要求）銀行業金融機構應當確立數據質量管理目標，建立控制機制，保證數據的真實性、準確性、連續性、完整性和及時性。

第三十條（業務制度—質量控制手段）銀行業金融機構各項業務制度應當充分考慮數據質量管理需要，涉及指標含義清晰明確，取數規則統一，并根據業務變化及時更新。

第三十一條（技術工具—質量控制手段）銀行業金融機構應當加強數據源頭管理，確保將業務信息全面準確及時錄入信息系統。信息系統應當能自動提示異常變動及錯誤情況。

第三十二條（日常監控）銀行業金融機構應當建立數據質量監控體系，覆蓋數據全生命周期，對數據質量持續監測、分析、反饋和糾正。

第三十三條（檢查制度）銀行業金融機構應當建立數據質量現場檢查制度，定期組織實施，原則上不低于每年一次，對重大問題要按照既定的報告路徑提交，并按流程實施整改。

第三十四條（考核評價）銀行業金融機構應當建立數據質量考核評價體系，考核結果納入本機構績效考核體系，實現數據質量持續提升。

第三十五條（整改制度）銀行業金融機構應當建立數據質量整改制度，對日常監控、檢查和考核評價過程中發現的問題，及時組織整改，并對整改情況跟蹤評價，確保整改落實到位。

第三十六條（監管數據報送）銀行業金融機構應當按照監管 要求報送法人和集團的相關數據，保證同一監管指標在監管報送與對外披露之間的一致性。如有重大差異，應當及時向銀行業監督管理機構解釋說明。

第三十七條（監管數據質量管控）銀行業金融機構應當建立監管數據質量管控制度，包括但不限于：關鍵監管指標數據質量承諾、數據異常變動分析和報告、重大差錯通報以及問責等。

第五章 數據價值實現

第三十八條（數據價值實現要求）銀行業金融機構應當在風險管理、業務經營與內部控制中加強數據應用，實現數據驅動，提高管理精細化程度，發揮數據價值。

第三十九條（風險管理有效性）銀行業金融機構應當充分運用數據分析，合理制定風險管理策略、風險偏好、風險限額以及風險管理政策和程序，監控執行情況并適時優化調整，提升風險管理體系的有效性。

全球系統重要性銀行應遵循更高的標準，對照有效風險數據加總與風險報告評估要點的相關要求，強化風險管理。

第四十條（風險監控）銀行業金融機構應當持續改善風險管理方法，有效識別、計量、評估、監測、報告和控制各類風險。

第四十一條（數據加總能力）銀行業金融機構應當提高數據加總能力，明確數據加總范圍、方法、流程，加總結果要求，滿足在正常經營、壓力情景以及危機狀況下風險管理的數據需要。

加總內容包括但不限于交易對手、產品、地域、行業、客戶 以及其他相關的分類。加總技術應當主要采取自動化方式。

第四十二條（風險報告）銀行業金融機構應當加強數據分析應用能力，提高風險報告質量，明確風險報告數據準確性保障措施，覆蓋重要風險領域和新風險，提供風險處置的決策與建議以及未來風險發展趨勢。

第四十三條（風險定價）銀行業金融機構應當加強數據積累，優化風險計量，持續完善風險定價模型，優化風險定價體系。

第四十四條（重大收購、資產剝離）銀行業金融機構應當充分評估兼并收購、資產剝離等業務對自身數據治理能力的影響。有重大影響的，應當明確整改計劃和時間表，滿足銀行集團風險管理要求。

第四十五條（新產品評估）銀行業金融機構應當明確新產品新服務的數據管理相關要求，確保清晰評估成本、風險和收益，并作為準入標準。

第四十六條（客戶營銷）銀行業金融機構應當通過數據分析挖掘，準確理解客戶需求，提供精準產品服務，提升客戶服務質量和服務水平。

第四十七條（業務流程優化）銀行業金融機構應當通過量化分析業務流程，減少管理冗余，提高經營效率，降低經營成本。

第四十八條（業務創新）銀行業金融機構應當充分運用大數據技術，實現業務創新、產品創新和服務創新。

第四十九條（內部控制評價制度）銀行業金融機構應當按照 可量化導向，完善內部控制評價制度和內部控制評價質量控制機制，前瞻性識別內部控制流程的缺陷，評估影響程度并及時處理，持續提升內部控制的有效性。

第六章 監督管理

第五十條（監管方式—持續監管）銀行業監督管理機構應當通過非現場監管和現場檢查對銀行業金融機構數據治理情況進行持續監管。

第五十一條（監管方式—審計）銀行業監督管理機構可根據需要，要求銀行業金融機構通過內部審計機構或委托外部審計機構對其數據治理情況進行審計，并及時報送審計報告。

第五十二條（監管措施）對不能滿足本指引有關要求的銀行業金融機構，銀行業監督管理機構可以采取相應監管措施，包括但不限于：

（一）要求其制定整改方案，責令限期改正；

（二）與公司治理評價結果或監管評級掛鉤；

（三）《中華人民共和國銀行業監督管理法》以及其他法律、行政法規和部門規章規定的有關措施。

第七章 附則

第五十三條（施行范圍）外國銀行分行以及銀行業監督管理機構負責監管的其他金融機構參照執行本指引。

第五十四條（解釋權）本指引由銀行業監督管理機構負責解釋。第五十五條（執行和廢止）本指引自印發之日起施行?！躲y行監管統計數據質量管理良好標準（試行）》（銀監發〔2011〕63號）同時廢止。