第一篇:網上銀行安全風險管理指引(征求意見稿)549號文
中國銀行業監督管理委員會辦公廳
銀監辦便函 [2011] 549號
關于征求對《網上銀行安全風險管理指引》
(征求意見稿)意見的函
各銀監局,各國有商業銀行,股份制商業銀行,郵政儲蓄銀行,各省級農村信用聯社:
為加強網上銀行的安全風險管理工作,建立全面的安全風險管理框架和組織架構,明確網上銀行安全控制的基本要求,促進網上銀行業務健康、持續發展,銀監會起草了《網上銀行安全風險管理指引》(征求意見稿),現征求各銀監局和各銀行機構意見.請各銀行機構組織管理、業務、科技等相關部門認真研究,提出有針對性的意見,并于11月25日前將意見以書面形式反饋銀監會信息中心(同時報送電子版)。
請各銀監局將本函轉發至轄內各銀行機構,各銀監局匯總轄內銀行機構意見后,于11月25日前以書面形式報送銀監會信息中心(同時報送電子版)。
聯系人:姜帆
聯系電話:010-66278625 傳
真:010-66299296 電子郵箱:jiangfan@cbrc.gov.cn
附件: 《網上銀行安全風險管理指引》(征求意見搞)
二零一一年十一月四日
網上銀行安全風險管理指引
(征求意見稿)
第一章 總則 第二章 組織架構 第三章 安全風險管理框架 第四章 業務安全控制 第五章 技術安全控制 第六章 管理與內部控制 第七章 網上支付安全控制 第八章 客戶教育和風險提示 第九章 審計與評估 第十章 監督管理 第十一章 附則
第一章 總
則
第一條
為防范網上銀行安全風險,保障客戶和商業銀行的合法權益,促進網上銀行業務的健康、持續發展,依據《中華人民共和國商業銀行監督管理法》、《中華人民共和國商業銀行法》、《電子商業銀行業務管理辦法》、《商業銀行操作風險管理指引》、《商業銀行信息科技風險管理指引》,以及相關的法律法規,制定本指引。
第二條
本指引適用于在中華人民共和國境內依法設立的法人商業銀行和農村合作銀行、城市信用社、農村信用社。
政策性銀行、村鎮銀行、貸款公司、金融資產管理公司、信托公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。
第三條
本指引所稱網上銀行(以下簡稱“網銀”)是指商業銀行利用互聯網等開放性公共網絡或專用網絡為媒介,以客戶發出的電子指令為依據,為客戶提供網上金融業務的電子渠道類服務。同時,依托公共網絡或專用網絡在收付款人之間進行資金支付結算的網上支付業務,應統一納入網上銀行的安全風險管理。
第四條
本指引所稱網銀安全風險,是指商業銀行在網銀的業務經營和管理過程中,由于環境因素、人員原因、安全漏洞以及管理和流程缺陷導致的操作、法律和聲譽等風險。可能導致網銀安全風險的威脅和弱點主要存在于內控管理、產品創新和開發、業務運營、系統運維、信息安全保障等環節。
第五條
商業銀行應將網銀安全風險管理納入本行的全面風險管理體系,結合自身網銀業務特點,建立與全面風險管理體系相一致的網銀安全風險管理框架、策略及流程。
第二章 組織架構
第六條
商業銀行應建立與網銀安全風險管理相適應的組織架構,該組織應包含董事會、高級管理層、網銀安全風險管理部門、業務條線部門、信息科技部門、內部審計部門,各部門應明確各自職責并對所負責的網銀安全風險進行歸口管理。
第七條
董事會對網銀安全風險的管理負最終責任,主要職責包括:
(一)負責監督高級管理層對網銀安全風險的控制情況,并對網銀安全風險及管理狀況提出管理和內部控制意見;
(二)審批網銀審計報告。
第八條
高級管理層的主要職責:
(一)制定、定期審查和監督執行網銀安全風險管理機制和程序;
(二)明確各部門的網銀安全風險管理職責,了解掌握網銀重大安全風險,確定風險可接受原則和容忍度,審批重大安全風險控制措施,督促各部門履行管理職責,確保網銀安全風險管理機制正常運行;
(三)審批網銀安全風險評估報告。
第九條
商業銀行應指定網銀安全風險管理牽頭部門,明確牽頭部門和其他各相關部門的職責范圍、工作流程和溝通協調機制。
第十條
風險管理牽頭部門負責組織、推動各部門的網銀安全風險管理工作,組織制定和發布有關制度、規定,建立各部門聯席會議機制,協調、解決風險管理工作中的重大問題,組織跨部門的應急聯動機制和應急預案的演練等。
第十一條
業務條線部門負責網銀業務層面的安全風險管理工作,明確本部門的風險管理職責,執行網銀業務安全風險自評估或外部評估,對網銀的業務運營和操作進行日常合規檢查,編制本部門的業務應急預案等。
第十二條
信息科技部門負責網銀系統開發、建設和日常運行維護的安全風險管理工作,明確本部門的風險管理職責,執行網銀系統安全風險自評估或外部評估,對網銀系統的開發和運行維護進行日常合規檢查,編制本部門的技術應急預案等。
第十三條
商業銀行內部審計部門負責對網銀業務和系統進行審計檢查,根據審計結果向董事會提交審計報告,跟蹤、督導審計發現問題的整改工作。
第三章 安全風險管理框架
第十四條
商業銀行應建立網銀安全風險管理框架。管理框架應至少包括如下內容:
(一)管理目標及范圍;
(二)管理組織架構及職責;
(三)風險管理策略;
(四)風險識別及評價;
(五)風險監測及控制;
(六)審計和評估機制。
第十五條
商業銀行的網銀安全風險管理策略應至少包括如下內容:
(一)風險評價和定級策略;
(二)風險管理偏好、容忍度及風險參數制訂策略;
(三)風險控制策略(接受、降低、緩釋、轉移、規避、消除等);
(四)成本及效益評價策略;
(五)控制措施有效性評價策略。
第十六條
商業銀行應依據監管機構要求、網銀業務發展以及內外部環境的變化,通過自我檢查、內部審計、外部評估等手段,至少每三年對網銀安全風險管理框架、管理策略進行一次修訂。
第十七條
商業銀行在進行網銀安全風險識別時,應首先判斷網銀在業務運營、系統運維、安全管理等過程中需保護的對象(如人員,服務、流程、系統、數據等),通過綜合分析對象的價值及其面臨的因環境和人員因素導致的內外部威脅,以及本身存在的管理缺陷、內控缺失和安全漏洞等弱點,正確識別會對客戶和商業銀行利益造成損害的安全風險。
第十八條
商業銀行應制定客觀的安全事件影響或損失程度分級標準,至少綜合考慮如下因素,所影響的客戶或業務范圍、服務中斷時間、財務損失程度、客戶資料泄露規模、輿論影響范圍等。
第十九條
商業銀行應制定客觀的安全事件發生可能性分級標準,至少綜合考慮如下因素,自身弱點的可利用程度、當前內外部威脅發生動機的強烈程度、該風險所產生事件在過去一定時期內發生的頻率、以及對將來發生趨勢的分析等。
第二十條
商業銀行應在正確識別網銀安全風險的基礎上,根據其發生安全事件后的影響或損失程度以及發生可能性的分級標準,評定風險等級。
第二十一條
商業銀行應建立網銀安全風險的持續監測機制,加強對內外部威脅和自身弱點以及殘余風險(包括已接受的風險)的監測,充分利用技術手段實現安全風險監測的自動化,及時掌握網銀安全風險的變化情況以及驗證已有控制措施的有效性。
第二十二條
商業銀行應將能夠代表網銀安全某一風險領域變化情況并可監測的特征值或指標作為關鍵風險指標,建立符合本機構組織架構和職責的多層級關鍵風險指標體系。如資金損失類、案件和安全事件類、異常交易類、客戶投訴類、人員管理類、網銀服務可用類等關鍵指標。
第二十三條
商業銀行在進行網銀安全風險監測時,應建立告警、升級、響應和處理機制,通過關聯分析多種信息來源,確定并報告各級別網銀安全風險。
第二十四條
商業銀行應明確風險報告的內容、頻率、形式、對象和路徑,確保高級管理層和相關部門及時掌握網銀安全風險狀況以及影響和隕失情況。第二十五條
商業銀行應根據網銀安全風險評估結果,結合風險監測獲得的風險變化情況,依據風險管理策略,制定風險控制計劃和控制措施,并在審核后實施。
第二十六條
商業銀行對于未達到預期控制目標或衍生新風險的控制措施,應重新啟動評估流程,制定和選擇新的風險控制措施。同時應對網銀安全風險,包括已接受的風險,定期進行再評估。
第二十七條
商業銀行針對網銀業務規模增長快速,以及網銀外部環境多變的特點,同時結合網銀系統的開放、復雜以及技術發展迅速等特征,在風險評估中應及時調整評估重點,積極關注新威脅、新弱點,制定和調整風險控制措施,增強網銀安全。
第四章 業務安全控制
第二十八條
商業銀行在制定網銀業務發展規劃、網銀系統技術架構和安全策略,以及推出重要產品和業務活動時,應提交高級管理層審批,確保網銀發展目標與本行總體業務目標一致。
第二十九條
商業銀行在網銀產品的業務設計階段,應重點關注以下因素:產品的可行性和合規性、業務規則的完整性以及一致性和延續性、產品之間的關聯性和依賴性、產品易用和安全之間的平穩性等,避免產生潛在安全風險。
第三十條
商業銀行在進行網銀產品的業務規則設計時,應根據客戶和交易類型以及風險級別,制定相應的安全控制要求。控制要求至少應包括以下內容:
(一)雙因素身份認證。銀行應根據審慎原則,對銀行認為的高風險交易,包括但不限于向非同名網銀轉賬匯款、超過一定額度的網上支付等支付結算類業務,使用雙因素身份認證。
(二)交易確認。銀行可對高風險交易增加除身份認證(含雙因素身份認證)以外的交易追加認證,如發送短信動態驗證碼)。
(三)限額設定。銀行對網銀轉賬匯款、網上支付等支付結算類業務,應根據其認證方式不同,設置不同的限額。
(四)交易提醒。銀行應提供網銀高風險交易短信提醒功能,額度可由銀行設定,或由客戶自行設定。
(五)落地處理。銀行可以根據審慎性原則,對于交易要素不完整、超過額度的轉賬支付和關注類賬戶的資金流動(如疑似違規資金變動)等交易進行人工審核。
第三十一條
商業銀行在制定業務操作規程或規范時,應明確規定客戶開通網銀服務時的身份核實方法,包括需客戶提供的資料內容和要求,以及銀行驗證客戶資料真實性、有效性和完整性的具體措施。
第三十二條
商業銀行在制定業務操作規程或規范時,應明確客戶開通網銀服務或其重要功能時,需要簽訂的服務協議內容。內容至少包括:各方的權利義務、風險提示和安全常識、收費標準、差錯與爭議處理、違約條款、服務和協議終止條件等。
第三十三條
商業銀行為保護業務安全和客戶權益,應建議客戶預留手機號碼,且在手機號碼變更時及時更新,并要求客戶對所提供號碼的真實性和有效性負責,以便在網銀業務發生重大調整、交易出現差錯、交易確認或交易提醒時及時通知客戶。
第三十四條
商業銀行應在網銀業務辦理過程中,保留重要憑證和操作記錄,對網銀開戶、安全工具更換、交易認證手機號碼更改等重要操作進行流水勾兌稽核,防范內部案件。商業銀行應嚴格后臺操作權限的分配,根據參數的影響程度分級審批,對涉及批量客戶的計費、限額、功能開關等重要業務規則調整,要做好參數維護方案的審核,嚴格執行參數維護流程,防范網銀后臺操作風險。
第三十五條
商業銀行應建立網銀業務異常交易監控流程,采集分析網銀交易信息,主動預防、發現和終止如外部欺詐、身份冒用、虛假交易、套現、洗錢等異常交易,有效防范和化解風險。
第三十六條
商業銀行網銀業務異常交易監控的范圍至少應包括:客戶簽約、登錄、查詢、轉賬、繳費、支付等交易以及與交易相關的行為特征和客戶終端信息,監控信息要嚴格保密,不得泄露。
第三十七條
商業銀行網銀異常交易風險的事件響應,應與信息科技部門充分溝通,相互配合,建立業務和技術的聯動機制,確保異常交易事件響應的及時性、準確性和有效性。
第三十八條
商業銀行在處理因交易超時、系統故障或其他原因導致的賬務差錯或異常交易時,應嚴格按照申告、核實、批準、調整、留檔的程序轉人工處理,處理過程的文檔應按照商業銀行會計檔案進行管理。
第三十九條
商業銀行的網銀服務內容、操作流程、收費標準和服務協議等發生重大調整前,或系統進行重要升級前,應通過多種渠道對外予以公告。
第四十條
商業銀行應建立規范的網銀業務投訴和客戶糾紛處理機制,制定相關登記、統計制度和處理原則、策略,妥善處理,避免風險擴散。處理原則和策略應根據外部環境和網銀業務的變化適時調整。
第五章 技術安全控制
第四十一條
商業銀行在進行網銀技術選擇時,應充分考慮網銀采用的技術多樣和發展迅速的特點,通過原型開發或技術測試等手段積極開展預研,充分評估技術的成熟度、安全性,對涉及新技術、新平臺、新架構的選擇應進行評審。
第四十二條
商業銀行應制定開發和測試的安全規范與技術指南,重點明確客戶端安全控制、交易安全控制、權限劃分與訪問控制、資源控制、密鑰與加解密、日志審計等方面的要求,同時應加強人員安全培訓和執行情況檢查。
第四十三條
商業銀行應采取技術措施保證客戶端軟件自身的完整性,保證敏感程序邏輯的機密性,定期評估客戶端安全措施的有效性,針對新的威脅及時更新控制方式和強度。
第四十四條
商業銀行提供的客戶端軟件對客戶端環境的設置不應降低客戶端系統的安全性,不應影響客戶其他軟件的正常使用;當客戶下載銀行客戶端時,應提供有效方法便于客戶識別程序來源和完整性。
第四十五條
商業銀行應采取技術措施保證客戶端錄入的敏感信息的機密性、完整性,如使用專用的密碼輸入控件等;應采取技術措施保證銀行返回到客戶端的重要信息的完整性,如圖形顯示或短信通知等;應為客戶提供必要的防釣魚欺詐措施,如提供預留驗證信息、客戶自定義界面樣式等功能。
第四十六條
商業銀行應充分認識不同類型、不同版本的操作系統或瀏覽器之間的安全技術差異,在進行客戶端代碼開發時,采用合理有效的安全控制措施,確保網銀的整體安全防護水平。
第四十七條
商業銀行應規范網銀系統的交易請求入口和權限控制,如禁止通過鏈接隱藏的方式進行功能屏蔽等。服務器端應對請求數據進行檢查,對請求指令的邏輯順序進行控制,對返回內容進行有效性和安全性檢查。對請求數據和返回數據應在滿足業務需求的情況下遵循最少原則。
第四十八條
商業銀行應根據不同風險等級,為客戶提供相匹配的網銀身份鑒別和交易認證手段,如靜態密碼、動態口令卡、動態令牌、文件證書、USB Key、短信認證、語音認證等或其組合。網銀身份鑒別和交易認證手段應滿足監管要求和業界規范。
第四十九條
商業銀行應制定合理的網銀系統安全測試計劃、分配足夠的資源驗證安全質量,如對網銀代碼進行安全審查、對系統進行滲透性測試、對安全控制措施進行查驗等,防范引入惡意代碼或出現安全漏洞。第五十條
商業銀行應對開發、測試環境進行有效的安全控制,確保開發文檔、源代碼、測試數據等敏感資料的安全保密;應將開發、測試環境與生產環境進行有效隔離,避免開發、測試環境被利用成為攻擊入口。
第五十一條
商業銀行應定期評估程序代碼,開展代碼重構與優化,保證程序代碼的安全可靠、邏輯清晰、功能明確、組織形式合理,以提高程序代碼的安全性和可維護性。
第五十二條
商業銀行應合理規劃網銀的網絡安全防護架構,使用網絡和安全設備,配置安全策略和控制措施,對網銀系統與外部互聯網、銀行內部業務系統進行邊界隔離,嚴格劃分網銀內部安全區域,防范內、外部威脅,確保網銀系統和銀行內部業務系統的安全穩定。
第五十三條
商業銀行的網銀系統在上線運行時,應針對網銀的互聯網環境依賴和外部威脅高的特性,在互聯網接入點部署安全設備,如防火墻、IDS/IPS、DDoS防護等設備,并設置相應的安全規則,有效降低或消除安全風險。
第五十四條
商業銀行應對網銀安全設備以及非網銀正常操作的交易請求和操作行為進行持續監控,依據攻擊或威脅類型建立安全監控指標和監控模型,有效監測網銀安全事件,并采取安全控制措施消除內外部攻擊和威脅。
第五十五條
商業銀行的網銀應具有良好的系統異常處理機制。當交易失敗或系統異常出錯時,應進行友好的客戶端提示和引導,同時避免泄露系統和銀行內部信息。
第五十六條
商業銀行應制定網銀緊急補丁的開發響應流程,及時修補安全漏洞,必要時可提供臨時性補丁或方案進行緊急處理,避免產生安全事件或事件影響范圍擴大。
第五十七條
商業銀行在使用開源軟件或免費軟件時,應經過充分的安全評估,至少包括如下內容,源代碼安全檢查、穩定和安全性測試、自身技術支持能力評價、可替換能力評估等。
第五十八條
商業銀行應每年定期組織網銀系統的漏洞掃描和滲透性測試,并形成測試報告。對發現的安全隱患應及時進行修補或升級,確保網銀的安全防護能力。
第五十九條
商業銀行應定期對自身和同業網銀事件進行回顧和技術分析,剖析欺詐過程、識別典型特征,分析自身業務及其現有控制措施的弱點,積極改進控制措施,達到主動防御的目的。
第六章 管理與內部控制
第六十條
商業銀行應根據自身業務特點和內部管理需要,結合外部監管要求,制定網銀相關的管理制度、操作規程和安全規范,同時 應根據網銀業務和技術的變化和發展進行修訂和完善。
第六十一條
商業銀行應對網銀的業務和技術關鍵和重要崗位的任職人員資格進行審查,保證人員的專業技能和職業操守符合崗位任職要求。
第六十二條
商業銀行應建立人員安全保密制度,簽訂保密協議,對于有權接觸網銀系統或敏感信息的人員,尤其是外部合作人員,加強權限控制和監控審計。
第六十三條
商業銀行應合理設置網銀管理和操作崗位、職責,對關鍵和重要崗位,按照職責分工、權限分離、相互監督的原則,防止不相容崗位出現混崗現象。應建立崗位輪崗、調崗、離職和強制休假的制度,避免因其導致的網銀敏感信息和業務、技術資料的泄露。
第六十四條
商業銀行在業務運營、后臺管理和系統運維過程中,應遵循“最小授權”及“按需使用”的原則設置人員權限。同時,對內部人員提取、修改、刪除、銷毀網銀執行代碼、參數和生產數據等關鍵性操作應建立嚴格的審批、審核、審計和監督檢查機制。
第六十五條
商業銀行應設置網銀的安全管理崗位,保證網銀安全策略、規范、要求的貫徹落實,檢查執行落實情況,統一管理與網銀有關的安全介質。
第六十六條
商業銀行應加強網銀的客戶、賬戶、交易等敏感信息的保護,建立包括管理、技術以及物理的信息安全程序和流程,確保敏感信息的安全性、保密性和完整性。
第六十七條
商業銀行對網銀系統的客戶、賬戶、交易等敏感信息的使用應加強管理、明確職責,采取如分級審批、權限控制、加密簽名、數據變形或清洗、記錄使用日志等管理和技術手段,確保信息的使用安全。根據使用需求,應采用最小化原則提供數據信息。
第六十八條
商業銀行應對網銀系統程序的版本制作和發布制定統一的規范,防范正式版本中因含有未清理的測試指令、參數、數據或調試信息導致的安全隱患。
第六十九條
商業銀行應對網銀頁面提供的鏈接和內容進行統一管理,并保證外部鏈接和引用內容的有效性、真實性、安全性,定期進行檢查和評估。
第七十條
商業銀行應加強網銀日志的管理,日志記錄內容和保存要求應符合監管要求和審計需要,網銀日志尤其是交易日志應合理分配日志大小和訪問權限,曰志禁止修改,確保其可用性、保密性和完整性。
第七十一條
商業銀行應建立密鑰和網銀安全工具的管理機制,包括密鑰的生成、使用、保管、備份、恢復、更換及銷毀等過程的控制,以及網銀安全工具的采購、制作、保管、發放及銷毀的管控。
第七十二條
商業銀行應制定網銀運行維護的服務管理和控制措施,包括事件處理、問題處理、變更處理等,應明確崗位、職責、處理流程、定級和升降級標準、響應時間、處理時間、可用資源以及各流程間的關聯和轉換要求等,要注重業務和技術的聯動。
第七十三條
商業銀行應加強網銀系統的容量管理,對網銀設備使用率、網絡流量、平均和最大交易量等指標進行日常監控和趨勢分析,積極關注業務高峰和熱點交易對網銀系統的影響,結合當前系統設備處理能力和應用設計容量等既定參數,及時提出擴容方案并實施。
第七十四條
商業銀行應建立網銀應急預案,同時針對網銀的安全特點,重點關注信息和網絡安全,對DDoS、SQL注入、跨站腳本等攻擊和其他入侵行為制定具體的應急場景和處理措施。
第七十五條
商業銀行應建立跨部門的網銀應急聯動機制,加強業務和技術、開發和運維的協調配合,明確應急責任人,在網銀突發事件發生時,遵循既定處理流程和相關應急預案進行整體應對和處置。
第七十六條
商業銀行應對網銀應急聯動機制和應急預案定期組織演練和驗證,保證應急處理時間和應急處置措旄滿足網銀業務要求。
第七十七條
商業銀行應對應急處置或演練過程中發現的問題進行及時處理,修訂應急預案和相關規定,形成持續改進機制。
第七十八條
商業銀行應對員工加強風險管理制度和框架、內部管理流程、安全管理知識、外部監管要求等制度和規范的培訓,建立長效培訓機制,確保員工了解崗位職責以及違反安全規定可能導致的后果,強化員工合規操作的思想意識。
第七章
網上支付安全控制
第七十九條
商業銀行在開展網上支付業務過程中,應加強合作商戶和第三方支付機構的準入管埋,重點評估其資信情況、經營范圍、管理能力、技術安全、服務質量、財務穩健性和行業地位等。
第八十條
商業銀行在與合作商戶和第三方支付機構合作時,應簽訂合作協議,明確要求在交易過程中,商戶應向商業銀行提供的有關商戶、商品及資金用途等信息內容,防范外部欺詐和法律風險。
第八十一條 商業銀行對于由第三方機構完成安全認證的網上支付業務,應在雙方的合作協議中增加先行賠付條款,約定第三方支付機構應在銀行開立風險準備金賬戶,用于先行賠付客戶因外部欺詐等產生的資金損失。第三方支付機構繳存的風險準備金,不能低于客戶備付金日均余額的10%。
本條款所稱備付金日均余額,是指銀行根據最近90日內,日均由第三方支付機構完成安全認證的交易備付金余額。
第八十二條
商業銀行在與合作商戶和第三方支付機構合作時,應采取必要的技術手段確保交易指令的及時性、準確性、保密性、完整性和不可抵賴性,同時要求合作商戶和第三方支付機構提供客戶詳細賬單信息,并在網銀系統支付頁面中顯示供客戶確認。
第八十三條
商業銀行在與合作商戶和第三方支付機構合作時,應根據不同業務類型和安全認證方式采取差異化的風險控制策略,謹慎設置交易限額。
第八十四條
商業銀行未經客戶授權,不得將客戶敏感信息提供給第三方支付機構,同時應向客戶充分披露銀行與合作商戶和第三方支付機構的業務流程和責權關系,防范法律風險和聲譽風險。
第八十五條
商業銀行應建立在特約商戶和第三方支付機構發生重大風險時的應對機制,發現其信譽、經營狀況惡化、存在違反協議或違法違規等行為的,可以采取相應措施,如終止合作關系等,保護客戶和商業銀行的權益。
第八章 客戶教育和風險提示
第八十六條
商業銀行應加強客戶宣傳和提示,充分解釋本行各類網銀業務流程和安全控制措施,避免由于客戶誤解或了解不全導致的投訴、糾紛和損失。在發布網銀新產品、業務流程變更、安全控制措施變化時,商業銀行更應強化客戶宣傳和提示。
第八十七條
商業銀行應切實承擔對網銀客戶的安全教育責任,至少應包括以下措施;
(一)通過各種宣傳渠道向公眾明示本行正確的網銀官方網址和呼叫中心號碼:
(二)在本行網站首頁顯著位置開設網銀安全教育欄目;
(三)印制并向客戶配發語言通俗,形象直觀的網銀安全宣傳資料;
(四)明示客戶認真核對實際領用網銀安全工具(如USB Key、動態令牌、動態口令卡等)與簽約回執中安全工具編碼信息的一致性;
(五)在網銀使用過程中應在電腦屏幕上向用戶醒目提示相關的安全注意事項等。第八十八條
商業銀行應根據外部安全環境的不斷變化,及時更新并發布安全防范措施,措施至少包括以下內容:
(一)要求客戶預留真實的客戶信息,如真實的身份證件、本人有效的手機號碼等;
(二)提示客戶牢記商業銀行的官方網站地址;
(三)提示客戶不要在公共計算機或不知情的計算機上登錄網銀,及時更新操作系統及瀏覽器的各種補丁,安裝并更新防木馬、防病毒軟件;
(四)提示客戶不應將本人的身份證件號碼、銀行卡號、密碼等重要敏感信息告知他人,不應將個人手機、網銀安全工具轉借他人使用。
(五)要求客戶在網銀操作完成后應立即退出網銀相關界面并移出與終端相連的安全工具。
(六)不要安裝或運行來歷不明的軟件和程序。
(七)不要打開陌生人發送的電子郵件的附件或網站鏈接。
第八十九條
商業銀行應將掃描查找假冒網站及其他針對網銀的犯罪活動納入日常工作程序,檢查本行網頁上對外鏈接的可靠性,并開辟專門渠道接受公眾舉報。發現問題后應立即采取防范措施,并通過本行網站及其他渠道向公眾進行通報提示,同時向銀監會報告。
第九章 審計與評估
第九十條
商業銀行內部審計部門應至少每兩年對網銀進行一次審計,審計的范圍至少應包括以下內容:
(一)管理制度的有效性與完備性;
(二)操作流程的合理性與完整性;
(三)制度和流程的執行情況以及操作的合規性;
(四)風險管理框架和管理策略的適用性;
(五)風險評估、監測和控制的有效性;
(六)客戶資料和交易數據的完整性和保密性;
(七)系統的安全管理;
(八)業務連續性與應急管理;
(九)外包的管理;
(十)其他重要風險環節和機制的管理。
第九十一條
商業銀行應至少每兩年對網銀進行一次安全風險評估,基于評估的結果,選擇、設計和改進控制措施,制訂切實可行的處置計劃。評估應由銀行內部獨立于網銀開發、運營和管理的部門,或由具備評估資質的外部專業機構進行。
第九十二條
商業銀行選擇外部評估機構進行網銀安全風險評估時,應簽訂保密協議或在服務協議中明確保密條款。對于如客戶資料、業務數據及商業機密等敏感信息,應在不影響評估客觀性、有效性的前提下重點加強安全管理和控制。
第九十三條
商業銀行網銀安全風險評估的內容,應在電子銀行安全評估指引的基礎上,全面覆蓋本指引所列主要安全風險點和控制措施,并在評估報告中提出改進建議。
第十章
監督管理
第九十四條
商業銀行網銀系統在投產及發生重大變更前,應遵循監管機構對于銀行業金融機構重要信息系統投產及變更的報告要求。
第九十五條
商業銀行與外部機構合作時,應在服務協議條款中明確商業銀行和監管機構對協議范圍內的服務內容進行監督和檢查的要求。
第九十六條
商業銀行如提供跨境網銀服務,應考慮境內外法律法規和監管要求間的差異可能造成的風險,并將其納入本機構的網銀安全風險管理中。
第九十七條
商業銀行在網銀系統發生計劃外服務中斷或安全事件時,應按照重要信息系統突發事件應急管理規范的要求,向當地監管機構及時報告,并由監管機構按照規范要求進行處理。
第九十八條
商業銀行發生可能影響其它銀行業金融機構網銀業務開展或對銀行業產生區域性、整體性影響的網銀安全事件,監管機構應及時發布風險提示,并根據事件處置需要,協助商業銀行做好對外溝通協調和獲得外部資源的保障支持。
第九十九條
對因安全防范存在嚴重缺失,導致客戶重大資金損失,或導致客戶敏感信息批量泄露并產生嚴重社會影響的,監管機構可責令商業銀行對包括高級管理人員在內的責任人進行處罰,情節特別嚴重的,可暫停商業銀行的網銀業務。
第一百條
商業銀行未經客戶授權不得對外提供客戶、賬戶和網銀交易信息,國家法律法規許可的情況除外。監管部門應對商業銀行的執行情況進行檢查。
第一百零一條
監管機構原則上每兩年對商業銀行的網銀風險情況進行一次檢查,可采取非現場檢查或現場檢查的方式。在商業銀行網銀發生重大事件時,監管部門應派出事件調查組,核實事件的原因及處置過程,并提出相應的監管意見。
第十一章
附
則
第一百零二條
未設董事會的商業銀行,應當由其經營決策機構履行本指引中董事會的有關網銀風險管理職責。
第一百零三條
本指引由銀監會負責解釋、修訂。第一百零四條
本指引自頒布之日起施行。
第二篇:保險公司風險管理指引
保險公司風險管理指引(試行)
各保險公司、保險資產管理公司,各保監局:
為強化保險公司風險管理,加強保險監管,提高風險防范能力,保監會制定了《保險公司風險管理指引(試行)》。現印發給你們,請各公司結合自身實際,認真貫徹落實。
特此通知
二○○七年四月六日
目錄 第一章 總
則 第二章 風險管理組織 第三章 風險評估 第四章 風險控制
第五章 風險管理的監督與改進 第六章 風險管理的監管 第七章 附
則
第一章 總
則
第一條 為指導保險公司加強風險管理,保障保險公司穩健經營,根據《關于規范保險公司治理結構的指導意見(試行)》及其他相關法律法規,制定本指引。
第二條 本指引適用于在中國境內依法設立的保險公司和保險資產管理公司。
保險集團(控股)公司已經按照本指引規定建立覆蓋全集團的風險管理體系的,經中國保監會批準,其保險子公司可以不適用本指引。
第三條 本指引所稱風險,是指對實現保險經營目標可能產生負面影響的不確定性因素。
第四條 本指引所稱風險管理,是指保險公司圍繞經營目標,對保險經營中的風險進行識別、評估和控制的基本流程以及相關的組織架構、制度和措施。
第五條 保險公司應當明確風險管理目標,建立健全風險管理體系,規范風險管理流程,采用先進的風險管理方法和手段,努力實現適當風險水平下的效益最大化。
第六條 保險公司風險管理應當遵循以下原則:
(一)全面管理與重點監控相統一的原則。保險公司應當建立覆蓋所有業務流程和操作環節,能夠對風險進行持續監控、定期評估和準確預警的全面風險管理體系,同時要根據公司實際有針對性地實施重點風險監控,及時發現、防范和化解對公司經營有重要影響的風險。
(二)獨立集中與分工協作相統一的原則。保險公司應當建立全面評估和集中管理風險的機制,保證風險管理的獨立性和客觀性,同時要強化業務單位的風險管理主體職責,在保證風險管理職能部門與業務單位分工明確、密切協作的基礎上,使業務發展與風險管理平行推進,實現對風險的過程控制。
(三)充分有效與成本控制相統一的原則。保險公司應當建立與自身經營目標、業務規模、資本實力、管理能力和風險狀況相適應的風險管理體系,同時要合理權衡風險管理成本與效益的關系,合理配置風險管理資源,實現適當成本下的有效風險管理。
第七條 保險公司應當建立涵蓋風險管理基本流程和控制環節的信息系統,提高風險管理的信息化水平。
保險公司應當統籌規劃風險管理和業務管理信息系統,使風險信息能夠在職能部門和業務單位之間實現集成與共享,充分滿足對風險進行分析評估和監控管理的各項要求。
第八條 保險公司應當定期對高級管理人員和員工進行風險管理理念、知識、流程以及控制方式等內容的培訓,增強風險管理意識,同時將風險管理績效與薪酬制度、人事制度和責任追究制度相結合,培育和塑造良好的風險管理文化。
返
回
第二章 風險管理組織
第九條 保險公司應當建立由董事會負最終責任、管理層直接領導,以風險管理機構為依托,相關職能部門密切配合,覆蓋所有業務單位的風險管理組織體系。
第十條 保險公司可以在董事會下設立風險管理委員會負責風險管理工作。
風險管理委員會成員應當熟悉保險公司業務和管理流程,對保險經營風險及其識別、評估和控制等具備足夠的知識和經驗。
沒有設立風險管理委員會的,由審計委員會承擔相應職責。
第十一條 保險公司董事會風險管理委員會應當全面了解公司面臨的各項重大風險及其管理狀況,監督風險管理體系運行的有效性,對以下事項進行審議并向董事會提出意見和建議:
(一)風險管理的總體目標、基本政策和工作制度;
(二)風險管理機構設置及其職責;
(三)重大決策的風險評估和重大風險的解決方案;
(四)風險評估報告。
第十二條 保險公司可以設立由相關高級管理人員或者部門負責人組成的綜合協調機構,由總經理或者總經理指定的高級管理人員擔任負責人。風險管理協調機構主要職責如下:
(一)研究制定與保險公司發展戰略、整體風險承受能力相匹配的風險管理政策和制度;
(二)研究制定重大事件、重大決策和重要業務流程的風險評估報告以及重大風險的解決方案;
(三)向董事會風險管理委員會和管理層提交風險評估報告;
(四)指導、協調和監督各職能部門和各業務單位開展風險管理工作。
第十三條 保險公司應當設立風險管理部門或者指定工作部門具體負責風險管理相關事務工作。該部門主要職責如下:
(一)對風險進行定性和定量評估,改進風險管理方法、技術和模型;
(二)合理確定各類風險限額,組織協調風險管理日常工作,協助各業務部門在風險限額內開展業務,監控風險限額的遵守情況;
(三)資產負債管理;
(四)組織推動建立風險管理信息系統;
(五)組織推動風險文化建設。
設有本指引第十二條規定的風險管理協調機構的,該部門為其辦事機構。
第十四條 保險公司各職能部門和業務單位應當接受風險管理部門的組織、協調和監督,建立健全本職能部門或者業務單位風險管理的子系統,執行風險管理的基本流程,定期對本職能部門或者業務單位的風險進行評估,對其風險管理的有效性負責。
返
回
第三章 風險評估
第十五條 保險公司應當識別和評估經營過程中面臨的各類主要風險,包括:保險風險、市場風險、信用風險和操作風險等。
(一)保險風險指由于對死亡率、疾病率、賠付率、退保率等判斷不正確導致產品定價錯誤或者準備金提取不足,再保險安排不當,非預期重大理賠等造成損失的可能性。
(二)市場風險是指由于利率、匯率、股票價格和商品價格等市場價格的不利變動而造成損失,以及由于重大危機造成業務收入無法彌補費用的可能性。
(三)信用風險是指由于債務人或者交易對手不能履行合同義務,或者信用狀況的不利變動而造成損失的可能性。
(四)操作風險指由于操作流程不完善、人為過錯和信息系統故障等原因導致損失的可能性。
保險公司還應當對戰略規劃失誤和公司治理結構不完善等給公司帶來不利影響的其他風險予以關注。
第十六條 保險公司風險管理部門應當與各職能部門和業務單位建立信息共享機制,廣泛搜集、整理與風險管理相關的內外部信息,為風險評估奠定相應的信息基礎。
第十七條 保險公司應當在廣泛收集信息的基礎上,對經營活動和業務流程進行風險評估。風險評估包括風險識別、風險分析、風險評價三個步驟。
風險識別是指識別經營活動及業務流程中是否存在風險以及存在何種風險。
風險分析是指對識別出的風險進行分析,判斷風險發生的可能性及風險發生的條件。
風險評價是指評估風險可能產生損失的大小及對保險公司實現經營目標的影響程度。
第十八條 風險評估應當采用定性與定量相結合的方法。定量評估應當統一制定各風險的度量單位和風險度量模型,確保評估的假設前提、參數、數據來源和評估程序的合理性和準確性。
第十九條 保險公司進行風險評估時,應當對各種風險之間的相關性進行分析,以便發現各風險之間的自然對沖、風險事件發生的正負相關性等組合效應,對風險進行統一集中管理。
第二十條 風險評估由風險管理部門組織實施,必要時可以聘請中介機構協助實施。
第二十一條 保險公司應當對風險信息實行動態管理,及時識別新的風險,并對原有風險的變化進行重新評估。
返
回
第四章 風險控制
第二十二條 風險控制包括明確風險管理總體策略、制定風險解決方案和方案的組織實施等內容。
第二十三條 制定風險管理總體策略是指保險公司根據自身發展戰略和條件,明確風險管理重點,確定風險限額,選擇風險管理工具以及配置風險管理資源等的總體安排。
第二十四條 保險公司應當根據風險發生的可能性和對經營目標的影響程度,對各項風險進行分析比較,確定風險管理的重點。
第二十五條 確定風險限額是指保險公司根據自身財務狀況、經營需要和各類保險業務的特點,在平衡風險與收益的基礎上,確定愿意承擔哪些風險及所能承受的最高風險水平,并據此確定風險的預警線。
第二十六條 保險公司針對不同類型的風險,可以選擇風險規避、降低、轉移或者自留等風險管理工具,確保把風險控制在風險限額以內。
第二十七條 保險公司應當根據風險管理總體策略,針對各類重大風險制定風險解決方案。風險解決方案主要包括解決該項風險所要達到的具體目標,所涉及的管理及業務流程,所需的條件和資源,所采取的具體措施及風險管理工具等內容。
第二十八條 保險公司應當根據各職能部門和業務單位職責分工,認真組織實施風險解決方案,確保風險得到有效控制。
返
回
第五章 風險管理的監督與改進
第二十九條 保險公司應當對風險管理的流程及其有效性進行檢驗評估,并根據評估結果及時改進。
第三十條 保險公司各職能部門和業務單位應當定期對其風險管理工作進行自查,并將自查報告報送風險管理部門。
第三十一條 保險公司風險管理部門應當定期對各職能部門和業務單位的風險管理工作進行檢查評估,并提出改進的建議和措施。
第三十二條 保險公司風險管理部門應當每年至少一次向管理層和董事會提交風險評估報告。風險評估報告主要包括以下內容:
(一)風險管理組織體系和基本流程;
(二)風險管理總體策略及其執行情況;
(三)各類風險的評估方法及結果;
(四)重大風險事件情況及未來風險狀況的預測;
(五)對風險管理的改進建議。
第三十三條 董事會或者其風險管理委員會可以聘請中介機構對保險公司風險管理工作進行評價,并出具評估報告。
返
回
第六章 風險管理的監管
第三十四條 保險公司應當及時向中國保監會報告本公司發生的重大風險事件。
第三十五條 保險公司應當按照本指引及償付能力編報規則的要求,在年報中提交經董事會審議的風險評估報告。
第三十六條 中國保監會定期對保險公司及其分支機構的風險管理工作進行檢查。檢查內容主要包括:
(一)風險管理組織的健全性及履職情況;
(二)風險管理流程的完備性、可操作性和實際運行情況;
(三)重大風險處置的及時性和有效性。
第三十七條 中國保監會可以根據檢查結果,對風險管理存在嚴重缺陷的保險公司出具風險提示函。保險公司應當按照風險提示函的要求及時提交整改方案,采取整改措施并提交整改情況報告。
返
回
第七章 附
則
第三十八條 本指引由中國保監會負責解釋。
第三十九條 本指引自二○○七年七月一日起施行。
第三篇:電子銀行安全評估指引(征求意見稿)
電子銀行安全評估指引
(征求意見稿)
第一章 總則
第一條 為促進電子銀行業務的健康發展,保證電子銀行業務安全性評估的客觀性、及時性、全面性和有效性,依據《中華人民共和國銀行業監督管理法》、《中華人民共和國金融機構法》等法律法規和《電子銀行業務管理辦法》等監管規章,制定本指引。
第二條 電子銀行的安全評估,是指對開展電子銀行業務的金融機構在電子銀行管理過程中的電子銀行安全策略、內控制度、系統安全、客戶保護等方面,進行的安全測試和風險管理能力等的綜合安全考察與評價。
第三條 在中華人民共和國境內開展電子銀行業務的金融機構以及利用境內的電子銀行系統向境外提供電子銀行服務的金融機構,都應定期對電子銀行安全進行評估。
第四條 開展電子銀行業務的金融機構可以利用外部專業化的評估機構對電子銀行安全進行評估,也可以利用內部獨立于電子銀行業務運營管理部門的評估部門進行電子銀行安全評估。
第五條 金融機構的電子銀行安全評估工作應納入金融機構風險管理的總體框架,由金融機構的風險管理委員會或相關機構直接負責。
第六條 金融機構的電子銀行安全評估應接受中國銀行業監督管理委員會(以下簡稱中國銀監會)的監督指導。
第二章 安全評估機構
第七條 承擔金融機構電子銀行安全評估工作的機構,可以是外部專業化服務機構,也可以是金融機構內部具備相應條件的相對獨立部門。
第八條 外部機構從事電子銀行安全評估,應具備以下條件:
(一)具有較為完善的開展電子銀行安全評估業務的管理制度和操作規程;
(二)制定了系統全面的內部評估手冊或評估指導文件,內容應至少包括評估程序、評估方法和依據、評估標準等;
(三)擁有與電子銀行安全評估相關的各類專業人才,了解國際和中國相關行業的行業標準;
(四)其他從事電子銀行安全評估應當具備的條件。
第九條 金融機構內部部門從事電子銀行安全評估,除應具備第八條規定的有關條件外,還應具備以下條件:
(一)從事電子銀行安全評估的部門必須獨立于電子銀行業務系統開發部門和運營部門;
(二)從事電子銀行安全評估的部門未直接參與過有關電子銀行設備的選購工作。
第十條 中國銀監會負責電子銀行安全評估機構資格認定工作。電子銀行安全評估機構資格認定工作,每年組織一次。
電子銀行安全評估機構在從事金融機構電子銀行安全評估業務之前,應向中國銀監會申請對其資格進行認定。
第十一條 申請資格認定的電子銀行評估機構,應在中國銀監會公告的時限內提交以下材料(一式七份):
(一)電子銀行安全評估資格認定申請報告;
(二)機構介紹;
(三)安全評估業務管理框架、管理制度、操作規程等;
(四)評估手冊或評估指導文件;
(五)主要評估人員簡歷;
(六)中國銀監會要求提供的其他文件和資料。
第十二條 中國銀監會收到安全評估機構資格認定的完整材料后三個月內,組織有關專家和監管人員對申請材料進行評議,采用投票的辦法決定電子銀行安全評估機構是否達到了有關資質要求。
第十三條 中國銀監會對評估機構資質評議后,出具《電子銀行安全評估機構資格認定意見書》,載明評議意見,對評估機構的資格作出認定。
第十四條 中國銀監會出具的《電子銀行安全評估機構資格認定意見書》,僅供評估機構與開展電子銀行業務的金融機構商恰有關電子銀行評估業務時使用,不影響評估機構開展其他經營活動。
評估機構不得將《電子銀行安全評估機構資格認定意見書》用于宣傳或其他活動。
第十五條 經中國銀監會評議并被認為達到有關資質要求的評估機構,每次資格認定的有效期為兩年。
經評議未達到認定資格的,評估機構可在下一重新申請資格認定。
第十六條 在有效期內,電子銀行安全評估機構如果出現下列情況,中國銀監會將撤銷已做出的評議和認定意見:
(一)評估機構管理不善,其工作人員泄露被評估機構秘密的;
(二)評估工作質量低下,評估活動出現重要遺漏的;
(三)未按要求提交評估報告,或評估報告中存在不實表述的;
(四)將《電子銀行安全評估機構資格認定意見書》用于宣傳和其他經營活動的;
(五)存在其他嚴重不盡職行為的。
第十七條 評估機構有下列行為之一的,中國銀監會將在一定期限或無限期不承接評估機構的資格認定請求,銀行業金融機構不應再委托該評估機構進行安全評估:
(一)與委托機構合謀,共同隱瞞在安全評估過程中發現的安全漏洞,未按要求寫入評估報告;
(二)在評估過程中弄虛作假,編造安全評估報告;
(三)泄漏銀行機密信息,或不當使用銀行機密資料;
銀行業金融機構內部評估機構出現以上情況之一的,中國銀監會將按照有關法律法規和行政規章的規定,對相關責任人進行處罰。
第十八條 中國銀監會認可的電子銀行安全評估機構,以及有關資格認定撤銷決定等信息,僅向開展電子銀行業務的各金融機構通報,不向社會公布。
第十九條 金融機構不得向第三方泄露中國銀監會的有關通報信息,影響外部機構的其他業務活動,也不得將有關信息用于與電子銀行安全評估活動無關的其他業務活動。
第二十條 開展電子銀行業務的金融機構可以在中國銀監會認可的評估機構
范圍內,自主選擇安全評估機構,簽訂書面服務協議。
金融機構選擇內部部門作為評估機構時,應由電子銀行運營部門與評估部門簽訂評估責任確定書。
第二十一條 金融機構與評估機構簽訂的服務協議中,必須含有明確的保密條款和保密責任。
第二十二條 安全評估機構應根據評估協議的規定,認真履行評估職責,真實評估被評估機構電子銀行運營的安全狀況。
第三章安全評估的實施
第二十三條 評估機構在開始電子銀行安全評估之前,應就評估的范圍、重點、時間與要求等問題,與被評估機構進行充分的溝通,制定評估計劃,由雙方簽字認可。
第二十四條 依據評估計劃,評估機構進場對委托機構的電子銀行安全進行評估。電子銀行安全評估應真實、全面地評價電子銀行系統的安全性。
第二十五條 電子銀行安全評估至少應包括以下內容:
(一)安全策略;
(二)內控制度建設;
(三)風險管理狀況;
(四)系統安全性;
(五)電子銀行業務運行連續性計劃;
(六)電子銀行業務運行應急計劃;
(七)電子銀行風險預警體系;
(八)其他重要安全環節和機制。
第二十六條 電子銀行安全策略的評估,至少應包括以下內容:
(一)安全策略制定的流程與合理性;
(二)系統設計與開發的安全策略;
(三)系統測試與驗收的安全策略;
(四)系統運行與維護的安全策略;
(五)系統備份與應急相關策略。
評估機構對金融機構安全策略的評估,不僅要評估安全戰略、規章制度和程序是否存在,還要評估這些制度是否能得到貫徹執行,是否能做到及時更新,是否能全面覆蓋電子銀行業務系統。
第二十七條 電子銀行內控制度的評估,應至少包括以下內容:
(一)高級管理層對電子銀行安全的認知能力與水平;
(二)安全監控機制的建設與運行;
(三)內部審計制度的建設與運行。
第二十八條 電子銀行風險管理狀況的評估,應至少包括以下內容:
(一)電子銀行管理機構設置的合理性與其他部門的協調性;
(二)電子銀行管理部門主要負責人對電子銀行的熟知程度;
(三)管理人員配備與培訓情況;
(四)電子銀行風險管理的規章制度與操作規定、程序等;
(五)電子銀行業務風險管理狀況;
(六)業務外包管理制度建設與管理狀況。
第二十九條 電子銀行系統安全性的評估,應至少包括以下內容:
(一)物理安全;
(二)數據通訊安全;
(三)應用系統安全;
(四)密鑰管理;
(五)客戶信息認證與保密;
(六)入侵監測機制和報告反應機制。
評估機構應突出對數據通訊安全和應用系統安全的評估,客觀評價金融機構是否采用了合適的加密技術、合理設計和配置了服務器和防火墻,銀行內部運作系統和數據庫是否安全等,以及金融機構是否制定了控制和管理修改電子銀行系統的制度和控制程序,并能保證各種修改得到及時測試和審核。
第三十條 電子銀行業務運行連續性計劃,應至少包括以下內容:
(一)電子銀行保障業務連續運營的設備和系統能力;
(二)保證業務連續運營的制度安排和執行情況;
第三十一條 電子銀行業務運行應急計劃,應至少包括以下內容:
(一)電子銀行應急制度建設和執行情況;
(二)電子銀行應急系統建設;
(三)定期、持續性的檢測和演練情況;
(四)應對意外事故或非法攻擊的能力。
第三十二條 評估機構進行安全評估的方式,包括審核有關資料、與相關人員談話等,但在電子銀行安全性評估時,必須采取至少一種方法對系統進行測試。
第三十三條 評估機構在進行安全評估時,應根據委托機構的實際情況,確定不同評估內容對電子銀行總體風險影響程度的權重,對每項評估內容進行評分,綜合計算出所評估機構電子銀行的風險等級。
第三十四條 評估完成后,評估機構應及時撰寫評估報告,并于評估完成后一個月內向委托機構提交由其法定代表人簽字認可的評估報告。
第三十五條 評估報告應至少包括以下內容:
(一)評估的時間、范圍及其他協議中重要的約定;
(二)評估的總體框架、程序、主要方法及主要評估人員介紹;
(三)不同評估內容風險權重的確定標準,風險等級的計算方法,以及風險等級的定義;
(四)評估內容與評估活動描述;
(五)評估結論;
(六)其他需要說明的問題;
(七)主要術語定義和所采用的國際或國內標準介紹(可作為附件);
(八)評估工作流程記錄表(可作為附件);
(九)參加評估人員名單(可作為附件)。
在評估結論中,評估機構應采用量化的辦法,表明被評估機構電子銀行的風險等級,并說明被評估機構電子銀行安全管理中存在的主要問題與隱患,并說明整改建議。
第三十六條 評估報告完成并提交委托機構后,如需修改,應將修改的原因、依據和修改意見作為附件附在原報告之后,不得直接修改原報告。
第四章 安全評估活動的管理
第三十七條 金融機構在申請開辦電子銀行業務時,應當按照有關規定對完成測試的電子銀行進行安全評估。
第三十八條 金融機構獲準開辦電子銀行業務后,應當至少每年對電子銀行進行一次安全評估。
有下列情形之一的,應立即組織安全評估:
(一)由于安全漏洞導致系統被攻擊癱瘓,修復完善的;
(二)電子銀行系統進行重大的更新和升級的;
(三)電子銀行的基礎設施出現重大改變的;
(四)基于電子銀行安全管理需要應即時評估的。
第三十九條 評估機構的選擇應由金融機構的高級管理層最終確定。評估機構確定后,金融機構必須與評估機構簽定評估協議,明確界定評估的任務、雙方的權利和義務。
評估協議應由金融機構的高級管理層簽署。
第四十條 金融機構原則上只能確定一個評估機構進行評估,若有多個評估機構參與評估,金融機構必須確定一個主要的評估機構協調總體評估工作,負責總體評估報告的制作。
金融機構將電子銀行的不同系統委托給不同的評估機構進行安全評估,應當明確每個評估機構的安全評估范圍,保證不同的評估范圍之間沒有遺漏。
第四十一條 金融機構應在簽署評估協議后2周內,將評估機構簡介、擬采用的評估方案和評估步驟等,報送中國銀監會。
第四十二條 中國銀監會根據監管工作的需要,可派員參加金融機構電子銀行安全評估工作,但不作為正式評估人員,不提供評估意見。
第四十三條 評估機構應本著客觀、公正、真實和自主的原則,開展評估活動,并嚴格保守在評估過程中獲悉的商業機密。
第四十四條 在評估過程中,委托機構和評估機構之間應建立信息保密工作機制。
(一)評估過程中,調閱相關資料、復制相關文件或數據等,都應建立登記、簽字制度;
(二)調閱的文件資料應在指定的場所閱讀,不能復印,不得帶出指定場所;
(三)復制的文件或數據不應帶出工作場地,如確需帶出的,必須詳細登記帶出數據的原因、時間、責任人等;
(四)評估過程中廢棄的文件、材料和不再使用的數據,應立即予以銷毀或刪除;
(五)評估工作結束后,雙方應就有關機密數據、資料等的交接情況簽署說明。
第四十五條 金融機構在收到評估機構的評估報告一個月內,應將評估報告抄報中國銀監會。
金融機構報送評估報告時,可對評估報告中的有關問題作必要的說明。
第四十六條 未經監管部門批準,電子銀行安全評估報告不得作為廣告宣傳資料使用,也不得提供給除監管部門以外的第三方機構。
第四十七條 對未按有關要求進行的安全評估,或者評估程序、方法和評估報告存在重要缺陷的安全評估,中國銀監會可以要求金融機構進行重新評估。
第四十八條 中國銀監會根據監管工作的需要,可以自己組織或委托評估機構對電子銀行系統進行安全評估,金融機構對于中國銀監會組織的安全評估應予以配合。
第四十九條 中國銀監會根據監管工作的需要,可直接向評估機構了解其評估的方法、范圍和程序等。
第五十條 對于評估報告中所反映出的問題,金融機構應采取有效的措施加以糾正。
第五章 附則
第五十一條 本指引由中國銀監會負責解釋。
第五十二條 本指引自發布之日起施行。
第四篇:商業銀行流動性風險管理指引
商業銀行流動性風險管理指引
(第2次征求意見稿)
第一章 總則
第一條 為加強商業銀行的流動性風險管理,維護商業銀行安全穩健運行,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》以及其他有關法律和行政法規,制定本指引。
第二條 在中華人民共和國境內設立的中資商業銀行、外商獨資銀行、中外合資銀行、外國銀行分行適用本指引。
第三條 本指引所稱流動性風險是指商業銀行雖然有清償能力,但無法獲得充足資金或無法以合理成本獲得充足資金以應對資產增長或到期債務支付的風險。
流動性風險可以分為融資流動性風險和市場流動性風險。融資流動性風險是 指商業銀行在不影響日常經營或財務狀況的情況下,無法有效滿足資金需求的風險;市場流動性風險是指由于市場深度不足或市場動蕩,商業銀行無法以合理的市場價格出售資產以獲得資金的風險。
第四條 流動性風險管理是識別、計量、監測和控制流動性風險的全過程。商業銀行應當堅持審慎性原則,充分識別、有效計量、持續監測和適當控制在各個業務環節中的流動性風險,確保商業銀行無論在正常經營環境中還是在壓力狀態下,都有充足的資金應對資產的增長和到期債務的支付。
第五條 中國銀行業監督管理委員會(以下簡稱銀監會)依法對商業銀行的流動性風險和流動性風險管理實施監督管理。銀監會綜合運用多種監管手段,督促商業銀行建立健全流動性風險管理架構,有效識別、計量、監測和控制流動性風險,維持充足的流動性水平以滿足各種資金需求和應對不利的市場狀況。當商業銀行的流動性風險管理體系存在缺陷或者出現流動性風險時,銀監會應當及時采取措施,最大限度地降低流動性風險對金融市場的影響,維護銀行體系安全、穩健運行。
第二章:流動性風險管理體系
第六條 流動性風險管理體系是商業銀行風險管理體系的組成部分。流動性風險管理體系應當與本行總體發展戰略和整體風險管理體系相一致,并與本行的規模、業務性質和復雜程度等相適應。商業銀行實施流動性風險管理,應適當考慮流動性風險與其他風險的相關性,并協調流動性風險管理與其他類別風險管理 1 的政策和程序。
第七條 流動性風險管理體系應包括以下基本要素:
(一)董事會及高級管理層的有效監控;
(二)完善的流動性風險管理策略、政策和程序;
(三)完善的流動性風險識別、計量、監測和控制程序;
(四)完善的內部控制和有效的監督機制;
(五)有效完善的信息管理系統;
(六)有效的危機處理機制。
第一節 流動性風險管理的治理結構
第八條 商業銀行應建立完善的流動性風險管理治理結構。商業銀行應根據政策的制定、執行、監測和監督職能相分離原則,明確董事會及其專門委員會、監事會(監事)、高級管理層及相關部門在流動性風險管理中的作用、職責及報告路線,制定適當的考核及問責機制,以提高流動性風險管理的有效性。
第九條 商業銀行的董事會承擔流動性風險管理的最終責任,應履行以下職責:
(一)審核批準商業銀行的流動性風險管理架構;
(二)審核批準商業銀行流動性風險承受度、流動性風險管理策略、重要政策、程序和重要的流動性風險限額,并根據風險管理需要及時對以上內容進行審議修訂,審議修訂工作至少每年一次;
(三)明確流動性風險管理相關事項的審核部門和審批權限,如具體策略、政策、程序和限額等;
(四)監督高級管理層在風險管理架構內對流動性風險進行適當管理和控制;
(五)持續關注銀行的流動性風險狀況,定期獲得關于流動性風險水平的報告,及時了解流動性風險的重大變化和潛在轉變。
(六)對商業銀行流動性風險管理信息系統的完整性、準確性和有效性承擔最終責任;
(七)批準流動性風險應急方案;
(八)決定與流動性風險相關的信息披露內容;
(九)法律、法規規定的其他職責。
第十條 董事會可以授權其下設的專門委員會履行本法第九條規定的部分職能,獲得授權的委員會應當定期向董事會提交有關報告。
第十一條 商業銀行的高級管理層負責流動性風險的具體管理工作,應履行 2 以下職責:
(一)根據商業銀行的總體發展戰略測算其風險承受度,并提請董事會審批;根據總體發展戰略及內外部經營環境的變化及時提出對可承受流動性風險水平進行修訂的建議,并提請董事會審議。
(二)根據董事會批準的流動性風險承受度,制定流動性風險管理策略、政策、程序、限額,其中策略、重要的政策、程序和限額需提請董事會審批后執行。根據風險管理需要及時對以上內容進行修訂,修訂工作至少每年進行一次;
(三)根據董事會批準的流動性風險管理策略、政策、程序和限額,對流動性風險實施日常監察和管理,制定并監督執行有關流動性風險管理的內部控制制度;
(四)充分了解并定期評估本行流動性風險水平及管理狀況,向董事會定期
(五)建立完善的管理信息系統,以支持流動性風險的識別、計量、監測和控制工作;
(七)定期組織壓力測試和情景分析,以評估流動性風險管理指標和限額的合理性;
(八)制定流動性風險應急計劃,并提請董事會審批。根據風險管理需要及時進行評估和修訂,評估修訂工作至少每年進行一次;
(九)識別并了解可能觸發應急計劃的事件,并建立適當機制對這些觸發事件進行監測;
(十)法律、法規規定的其他職責。
第十二條 商業銀行應指定專門人員或部門負責流動性風險管理工作。負責流動性風險管理的部門應當職責明確,并與承擔流動性風險的業務部門保持相對獨立性。
第十三條 商業銀行應投入足夠的資源以保證流動性風險管理的有效性,不得因業務發展和市場競爭而破環流動性風險管理、控制功能和限額體系、流動性緩沖機制的完整性。
第十四條 監事會(監事)應對董事會及高級管理層在流動性風險管理中的履職情況進行監督。
第二節 流動性風險管理政策和程序
第十五條 商業銀行應根據本行經營戰略、業務特點和風險偏好測定自身流動性風險承受度,并以此為基礎制定流動性風險管理策略、政策和程序。匯報本行流動性風險狀況,及時匯報流動性風險的重大變化或潛在轉變;
風險承受度可以采用定量方式表達,如在正常情況和壓力狀況下銀行可以承受的未經緩釋的流動性風險水平。
第十六條 商業銀行應從持續、前瞻的角度制定書面的流動性風險管理策略、政策和程序,并在綜合考慮業務發展、技術更新及市場變化等因素的基礎上及時對流動性風險管理策略、政策和程序進行評估和修訂。評估和修訂工作最少每年進行一次。
第十七條 流動性風險管理策略、政策和程序應涵蓋銀行的表內、外各項業務,以及境內、外所有可能對其流動性風險產生重大影響的業務部門、分支機構和附屬公司,并包括正常情況及壓力狀況下的流動性風險管理。
第十八條 商業銀行流動性風險管理策略應充分考慮銀行的組織結構、主要業務條線、產品及市場的廣度和多樣性、以及母國及東道國的監管要求等因素。
第十九條 流動性風險管理策略應明確流動性風險管理的整體模式,并列明有關流動性風險管理特定事項的具體政策,包括但不限于以下內容:
(一)整體的流動性管理政策;
(二)流動性風險的識別、計量和報告體系;
(三)流動性風險管理程序;
(四)資產與負債組合;
(五)流動性風險限額;
(六)在正常及壓力情況下的現金流量分析;
(七)不同貨幣、不同國家、跨境、跨機構及跨業務條線的流動性管理方法;
(八)導致流動性風險增加的潛在因素及相應的監測流程;
(九)壓力測試和情景分析;
(十)應急計劃。
第二十條 商業銀行應制定一套完善、適當的程序以識別、計量、監測和管控流動性風險,并根據業務發展及風險管理政策的變化及時審核與修訂。
第二十一條 商業銀行應根據本行的規模和業務復雜程度選擇流動性風險管理模式,管理模式可以是集中、分散或二者相結合。
無論商業銀行采用何種管理模式,都應制定適當的策略、政策和程序,以確保對總體流動性風險水平和各分支機構、附屬機構、各業務條線流動性水平進行有效識別、計量、監測和控制,并確保遵守各有關流動性風險監管要求。
第二十二條 商業銀行應根據監管要求和內部流動性風險管理政策設定流動性風險限額,并根據限額的性質確定相應的監測頻度。
商業銀行在確定限額時可參考以下因素:資產負債表的結構,對限額的利用程度,對業務發展的評估,資產質量、融資策略,管理經驗,市場流動性等。
第二十三條 商業銀行應針對流動性風險管理建立明確的內部評價考核機制,將各主要業務條線形成的流動性風險與其收益掛鉤,從而有效地控制整個商業銀行的流動性風險水平。條件成熟的銀行可建立內部轉移定價機制。
第二十四條 商業銀行在引入新產品、新機構、新業務部門和新技術手段前,應在可行性研究中對其對流動性風險產生的影響進行充分評估,并制定相應措施。引入并運行后,應加強日常監測,定期評估相應措施的有效性,并根據需要及時進行調整。
第二十五條 商業銀行應制定適當的政策、程序和限額以管理總分行之間、分行之間、總分行與附屬機構之間以及附屬機構之間的資金流動。
第二十六條 外國銀行分行無論是否由總行集中進行流動性管理,都應針對在華分行制定獨立的流動性風險管理政策、程序和限額,包括監察本地流動性風險的職責及向總行匯報的機制。
第二十七條 商業銀行在設立籌備期內,應完成流動性風險管理體系建設工作。開業后,商業銀行應及時將經董事會批準的流動性風險承受度、流動性管理策略、重要政策、程序和限額及其修訂情況向監管部門報備。
第二十八條 原則上流動性風險管理應按幣種分別進行,但在該幣種可以自由兌換且業務量較小、對本行流動性風險水平及整體市場影響都較小的情況下,商業銀行可按照重要性原則合并管理。在目前的市場條件下,商業銀行至少應按本、外幣分別識別、計量和監測流動性風險。
對外幣實行合并管理的,應向監管部門報備。
第三節 內部控制
第二十九條 商業銀行應制定適當的內部控制制度以確保流動性風險管理程序的完整和有效。有效的流動性風險管理內控體系應至少包括以下內容:
(一)良好的內控環境;
(二)充分的程序以識別、計量和評估流動性風險;
(三)完善的信息管理系統;
(四)根據業務發展和市場變化適時更新有關政策和程序。
第三十條 商業銀行應將流動性風險管理納入內部審計的范疇,定期審查和評價流動性風險管理體系的充分性和有效性。內部審計應涵蓋流動性風險管理的所有環節,包括但不限于以下內容:
(一)相關的管理架構、內控制度和實施程序是否足以識別、計量、監測和控制流動性風險;
(二)有關流動性風險管理的信息系統是否完善;
(三)有關流動性風險控制的風險限額是否適當;
(四)進行現金流量情況分析和壓力測試的基本假設是否適當;
(五)有關流動性風險管理的信息報告是否準確、及時、有效;
(六)是否嚴格執行既定的流動性風險管理政策和程序。
第三十一條 內審人員應具有獨立性,并掌握必要的專業知識和技能以確保對流動性風險管理體系實施獨立、充分、有效的審計。
第三十二條 內部審計結果應直接報告董事會,并根據有關規定及時報告監管部門。
董事會應根據內部審計的結果及時調整和完善有關流動性風險管理的政策和程序,并督促高級管理層針對內部審計發現的問題采取及時有效的整改措施。內部審計部門應適時對整改措施的實施情況進行后續審計,并及時向董事會提交審計報告。
第三十三條 有海外分支機構的商業銀行,應針對銀行整體及分國別的流動性風險管理分別進行審計。
第四節 管理信息系統
第三十四條 商業銀行應建立充分、適當的管理信息系統,以便準確、及時、持續地計量、監測、管控和匯報流動性風險狀況。管理信息系統應包括但不限于完成以下任務:
(一)按設定的期限每日計算銀行的現金流量及期限錯配情況,并可根據銀行的流動性風險管理模式分幣種、按銀行整體或按機構、業務條線分別進行計算和分析;
(二)按法規和銀行內部管理的要求計算有關流動性風險的比率和限額,并根據需要適時進行監測和控制;
(三)能及時、有效地對銀行大額資金流動進行實時監測和控制;
(四)適時報告銀行所持有流動性資產的構成和市場價值;
(五)定期核查是否符合已有的流動性風險管理政策和限額;
(六)能及時地、有前瞻性地反映銀行的流動性風險發展趨勢,以便董事會和高級管理層準確評估銀行的流動性風險水平;
(七)能根據假設情景及限制條件實施壓力測試。
第三十五條 管理信息系統應能確保董事會、高級管理層及相關部門適時了解以下有關流動性風險管理的事項:
(一)銀行現金流量分析;
(二)可動用的流動性資產及資產變現可能性分析;
(三)資金來源及資金運用的集中度情況;
(四)在各類市場中的融資能力
(五)可能引起資產負債波動因素的變化趨勢;
(六)流動性風險管理法定指標、政策、限額及風險承受度的執行情況;
(七)其他流動性風險管理中應予關注的事項。
第五節 信息披露
第三十六條 商業銀行應定期披露有關流動性風險管理的情況。商業銀行披露的內容包括但不限于:
(一)流動性風險管理體系和治理結構,其中應特別說明董事會、專門委員會、高級管理層及相關部門的職責和作用;
(二)流動性風險管理策略和重要政策;
(三)流動性風險管理模式;
(四)識別、計量和監測流動性風險的主要方法和程序;
(五)流動性風險狀況的簡要分析和說明、能反映其流動性狀況的有關指標;
(六)分析影響流動性的因素;
(七)有關壓力測試情況的介紹和說明。
第三十七條 在出現流動性危機時,商業銀行應適時披露情況說明等資料以提高交易對手、客戶及公眾的信心,從而最大限度地減少信息不對稱可能給銀行帶來的不利影響。
第三章:流動性管理方法和技術 第一節 資產及負債的流動性風險管理
第三十八條 流動性風險管理是資產負債管理的一部分。在銀行確定資產負債結構時需要考慮流動性風險管理,加強資產的流動性和融資來源的穩定性。第三十九條 商業銀行資產負債管理應遵循分散性原則。商業銀行應制定具體的、明確的資產、負債分散化政策,使資金運用及來源結構向多元化發展,提升商業銀行應對市場波動的能力。
第四十條 商業銀行應逐步建立集中度限額管理制度,針對流動性資產負債的品種、幣種、交易對手、市場、行業、期限、地域等進行集中度限額管理,防止由于資產和負債過度集中引發的流動性風險。
商業銀行制定資產負債流動性集中度限額時,同時應該考慮資產負債的到期情況、是否有抵押、債務提供者或借款是否有內部關聯以及資產負債本身的歷史表現。
第四十一條 商業銀行資產負債管理應遵循審慎性原則,商業銀行應審慎評估市場風險、信用風險、操作風險等對資產負債業務流動性的影響,密切關注不 同風險間的轉化和傳遞。
(一)商業銀行在對資產變現能力進行評估時,要考慮市場容量、交易對手的風險,及其它因素對資產可交易性、資產價格產生的影響。
(二)商業銀行確定資產流動性組合時應注意以下事項,以避免資產組合在資產類別、交易對手、地域及經濟行業方面承受過度的市場及其他風險。
1、市場的深度及流通程度;
2、持有某債券資產占該債券總量的百分比;
3、債券、票據等資產的信用評級和利用該資產在公開市場或銀行間同業拆借市場借取資金的可能性。
(三)商業銀行應定期監測交易對手和自身的償債能力指標狀況,當相關指標顯示交易對手償債能力下降時,要及時調整對交易對手的融資授信額度;當相關指標顯示自身償債能力下降時,需要及時調整資產負債結構,提高債務清償能力。
(四)商業銀行應加強未提取的貸款承諾、信用證、保函、銀行承兌匯票等或有資產與或有負債管理,監測相關客戶信用狀況、償債能力、財務狀況,了解商業銀行因承兌事項可能發生的墊款和客戶可提取的貸款承諾帶來的流動性需求,并納入流動性缺口管理。
(五)商業銀行應關注負債的穩定性。
1、商業銀行應通過提高核心負債占總負債的比重,提高流動性來源的穩定性,并減少對波動較大的債務的依賴。
2、商業銀行應通過優質服務建立與資金來源提供者的關系,并持續關注大額資金提供者的風險狀況,定期監測大額資金提供者(如最大十戶客戶存款)及融資提供者在本行存款的情況,也可以制定存款(或融資)集中程度的觸發比率。第四十二條 發行股票和債券是商業銀行補充中長期流動性的重要手段,有助于改善期限結構錯配狀況。商業銀行應關注資本市場變化,評估通過發行股票或可轉換債券等補充流動性的能力與成本。
第二節 現金流量管理
第四十三條 現金流量管理是識別、計量和監測流動性風險的一種重要工具,商業銀行通過計量、監測、控制現金流量和期限錯配情況,來發現融資差距和防止過度依賴短期流動性供給。
第四十四條 商業銀行將表內外業務可能產生的未來現金流按照一定方法分別計入特定期間的現金流入和現金流出,以現金流入減現金流出取得現金流期限錯配凈額,并通過累計方式計算出一定期限內的現金流錯配凈額。
第四十五條 商業銀行現金流錯配凈額計算應涵蓋表內外所有資產及負債,8 并按幣種形成現金流量報告。
商業銀行高級管理層可根據重要性原則選定部分現金流量極少、發生頻率低的表內外資產及負債項目不納入現金流錯配凈額的計算。該政策需經董事會或其授權專門委員會審核批準,并以書面文件形式記錄在案。高級管理層應定期評估該安排的適當性,并及時提出修訂意見。
第四十六條 未來現金流可分為確定到期日現金流和不確定到期日現金流。確定到期日現金流系指所有來自外部負債和即將到期資產中有明確到期日的現金流。明確到期日現金流應根據其確切到期日計算。
不確定到期日現金流系指商業銀行在到期日現金流不能完全反映流動性風險,或者包括活期存款在內的負債沒有明確到期日情況下,商業銀行通過行為調整等方法測算的現金流。不確定到期日現金流的計算必須遵循審慎原則。
第四十七條 現金流期限錯配分析以短期為重點,但鼓勵商業銀行開展中期乃至長期的期限錯配分析,以及早發現潛在流動性風險。
第四十八條 商業銀行應以其融資能力和風險承受度為基礎設定現金流期限錯配限額(簡稱現金流限額)。現金流限額應由專門部門設定,并由董事會或由其授權部門審核,根據需要至少每年修訂一次。
第四十九條 商業銀行應保證每一期限內的現金流錯配凈額應低于現金流限額,現金流限額可以考慮按以下步驟計算:
(一)商業銀行應至少預測其未來確定時間段內融資能力,尤其是來自銀行或非銀行的批發融資能力,并依壓力測試情況下的調減系數對上述預測進行適當調整。
(二)商業銀行采取審慎方法計算出售全部或部分無障礙流動性資產如政府和中央銀行債券所產生的流動性增項。
(三)商業銀行計算現金流量限額時應將或有負債中備用融資額度等作為增項,同時將或有資產中未提取的貸款承諾等作為減項。
(四)商業銀行應根據以上步驟計算確定時間段內的現金流量理論限額。為計算更短期限直至隔夜現金流限額,商業銀行可以按審慎原則和一定方法計算出每日的限額。
第五十條 商業銀行應依審慎原則從緊設定現金流限額,確保有效實施,所有超限額情況都應依規定程序提前向資產負債管理委員會或類似機構申請,經批準后實施。商業銀行應確保所有超限額情況均有書面記錄,并將所有事先批準申請提前報告資產負債管理委員會或類似機構。
商業銀行應對所有未經批準超限額情況實施調查,調查應包括業務部門在內的所有相關部門和人員,并根據調查結果采取有效措施確保現金流在規定期限內 9 恢復至規定限額內,并對任何故意行為給予處分。
第五十一條 現金流限額測算期至少為一個月,鑒于嚴重的流動性風險問題對市場的影響經常會超過一個月,鼓勵商業銀行按更長時間段進行測算。
第五十二條 對于不確定到期日現金流原則上應全部計入當日到期資產及負債,但在商業銀行能夠證明所用測算方法遵循審慎原則并經監管部門審核的情況下,商業銀行可對這部分現金流測算進行行為調整。
行為調整既可以是以歷史經驗為參考,按照資產及負債存量的一定比例測算,也可以是根據充分的歷史數據建立模型進行測算。商業銀行所使用的測算方法須與其業務性質和復雜程度相適應。
第五十三條 對于不確定到期日現金流測算所使用的行為調整假設要進行充分論證,并經董事會或其授權的專門委員會審核批準后方可使用。所有模型化的假設條件及模擬情況必須書面記錄,并可以經受回溯檢測。高級管理層應定期對行為調整假設、回溯檢查進行評估,以便適應商業銀行的發展和外部環境的變化及時做出調整。
第三節 壓力測試
第五十四條 商業銀行流動性管理應通過壓力測試分析銀行承受壓力事件的能力,考慮并預防未來可能的流動性危機,以提高在流動性壓力情況下履行其支付義務的能力。
第五十五條 商業銀行應針對影響單個銀行或整個銀行業的各種情景至少每年進行一次常規壓力測試。在必要時應針對未來可能發生的壓力情景進行臨時性、專門壓力測試。商業銀行應根據壓力測試結果對流動性管理策略、政策和限額進行調整,建立有效的應急預案。
第五十六條 商業銀行可以針對單個機構和整個市場設定不同的壓力情景。具體壓力情景設立可結合銀行本身業務特點、復雜程度,針對流動性風險集中的產品、客戶和市場設定情景實施壓力測試。
針對單個機構壓力情景的假設條件包括但不限于:
(一)流動性資產價值的侵蝕;
(二)零售存款的大量流失;
(三)批發性融資來源的可獲得性下降;
(四)融資期限的縮短;
(五)交易對手要求追加保證金或擔保;
(六)與新開發的復雜產品和交易相關的流動性損耗;
(七)信用評級下調;
(八)母行出現流動性危機的影響。針對整個市場壓力情景的假設條件包括但不限于:
(一)市場流動性的突然下降;
(二)對外匯可兌換性以及進入外匯市場的限制的變化;
(三)對中央銀行融資工具的渠道的變化;
(四)銀行支付結算系統的突然崩潰。
第五十七條 商業銀行壓力測試應基于專業判斷,并在可能情況下,對以往影響銀行或市場的類似流動性危機情景進行回溯分析。
所有壓力測試情景、條件假設、結果和回溯分析應有書面記錄,并報董事會或其授權機構審核確認。
第五十八條 商業銀行壓力測試應在并表基礎上分幣種實施,并可針對流動性轉移受限等特殊情況對有關地區分行或子行單獨實施壓力測試。
第五十九條 商業銀行應明確設立危機情況下抵御危機的最短生存期,最短不低于一個月,并采取有效措施維持該最短時間內業務融資的能力,直到應急資金到位。
第六十條 商業銀行壓力測試應全面考慮影響流動性風險的各種因素,包括但不限于以下內容:
(一)假設情景對銀行自身以及對所在集團的影響;
(二)政治風險、國家風險和匯兌等限制
(三)資產變現時間及折讓程度
第六十一條 商業銀行應確保不同壓力測試情況下在最短生存時間內現金凈流量為正值。如壓力測試結果為負值,商業銀行應立即采取有效措施提高銀行流動性水平。
第六十二條 商業銀行應定期向監管部門報告壓力測試情況,包括所有壓力測試情景、條件假設、結果和回溯分析,及根據壓力測試結果對流動性風險管理策略、政策、程序、限額和應急預案的調整情況。
商業銀行因特殊原因不能實施壓力測試,經銀行業監管部門批準后可以暫緩實施。
第四節 應急計劃
第六十三條 商業銀行應制訂并定期更新應急計劃。商業銀行應急計劃應與銀行的復雜程度、風險水平、業務、產品和組織架構相匹配,并根據經營和現金流量管理情況設定并監控銀行內外部流動性預警指標以分析銀行所面臨的潛在流動性風險。
第六十四條 商業銀行應按照正常市場條件和壓力條件分別制定流動性應 急計劃,應涵蓋銀行流動性發生臨時性和長期性危機的情況,并預設觸發條件及實施程序。
應急計劃至少應包括一種銀行本身評級降至“非投資級別”的極端情況。應急計劃應說明在這種情形下銀行如何識別和優化融資渠道和出售資產以減少融資需求。設定的情形包括但不限于:
(一)流動性臨時中斷,如突然運作故障、電子支付系統出現問題或者物理上的緊急情況使銀行產生短期融資需求。
(二)流動性長期變化,如因銀行評級調整而產生的流動性問題。
(三)當母行出現流動性危機時,防止流動性風險傳遞的應對措施。
第六十五條 應急計劃通過以下三種方式強化實現流動性管理的最終目標:
(一)保持適量的流動資產;
(二)度量并預測不同情形下銀行融資需求;
(三)管理融資渠道。
第六十六條 商業銀行應急計劃應包括資產方流動性管理策略和負債方流動性管理策略,其中資產方流動性管理策略包括但不限于:
(一)變現多余貨幣市場資產
(二)出售原定持有到期的證券
(三)在市場上出售流動性證券
(四)出售長期資產、固定資產或某些業務條線
(五)在相關貸款文件中加入證券化或轉讓條款以便出售流動性較低的資產
負債方融資管理策略包括但不限于:
(一)將本行與集團內其他銀行、非銀行關聯企業融資策略合并考慮
(二)建立融資總體定價策略
(三)制定利用非傳統融資渠道的策略
(四)制定零售和批發客戶提前支取和解約政策
(五)使用央行信貸便利政策
第六十七條 銀行間同業拆借市場是商業銀行獲取流動負債的重要來源。商業銀行應根據經驗評估融資能力,關注自身的信用評級狀況,定期測試自身在市場借取資金的能力,并將每日及每周的融資需要限制在該能力范圍以內,防范交易對手因違約或違反重大的不利條款要求提前償還借款的風險。
第六十八條 商業銀行應急計劃應區分集團層次和附屬機構分別實施,并可以考慮針對主要業務幣種和全球主要區域制訂專門的應急計劃。如果某些國家或地區法律法規有限制,使得銀行集中實施流動性管理不可操作,則這些地區分機構應制訂專門的應急計劃。
第六十九條 商業銀行管理層應定期向董事會報告流動性風險情況和應急計劃。必要情況下,應由董事會成員領導并負責應急計劃的制定和實施。
第七十條 商業銀行應急計劃應定期更新,并至少每年由董事會或其授權機構評估一次。商業銀行應不定期對應急計劃進行演習以確保各項計劃措施在緊急情況下的順利實施。商業銀行應于每年4月底前將本行應急計劃及其更新、演習情況報監管部門。
第四章 流動性風險監督管理
第一節:原則
第七十一條 商業銀行應根據本指引要求,建立和完善與銀行業務特點、規模及復雜程度相適應的流動性風險管理架構。鼓勵公司治理完善、信息系統先進、數據積累合格、管理水平較高的商業銀行采用先進方法管理流動性風險。
第七十二條 銀監會在并表基礎上對商業銀行的整體流動性風險進行考核。商業銀行在境外設立的分支機構、子公司應滿足東道國監管當局對流動性風險管理的要求。銀監會根據我國及東道國法律環境、監管要求及貨幣管制政策等因素決定是否對境外分支機構、子公司的流動性進行單獨考核。
銀監會在對外國銀行分行、外商獨資銀行和中外合資銀行的流動性風險進行考核時,充分考慮其總行或母行的流動性風險管理政策及母國監管當局流動性監管水平對其的影響。
第七十三條 銀監會按本、外幣分別考核商業銀行流動性風險,并有權根據商業銀行外匯業務規模以及對市場的影響按具體幣種單獨考核商業銀行流動性風險。
第二節 監管程序
第七十四條 銀監會采取以風險為本的監管模式,對商業銀行整體流動性狀況及流動性風險管理框架進行綜合評價。評價通過現場檢查和非現場監測進行,并應當包括與商業銀行高級管理層和董事會的定期溝通。
第七十五條 銀監會通過非現場監管系統定期采集有關數據,及時分析評價商業銀行的流動性風險狀況。商業銀行應遵守法律法規和行政規章中與流動性風險相關的各項監管指標,銀監會依法對商業銀行各項流動性風險監管指標的遵循情況進行監管,并在必要時要求商業銀行管理層采取有效應急措施以保證各項流動性指標高于最低監管要求。
第七十六條 銀監會有權根據商業銀行流動性狀況對各項流動性風險監管指標的計算方法、計算口徑和計算頻率等進行調整,并鼓勵商業銀行設定高于流動 13 性監管指標的內部預警指標,以便管理層及時采取措施避免流動性狀況進一步惡化或突破流動性監管指標。
第七十七條 商業銀行應按規定及時向銀監會及相關部門報送流動性風險管理的監測報表、策略、政策和流程等相關信息資料。
商業銀行每年4月底前應向銀監會報送上流動性風險管理報告,對相關策略、政策、流程、限額等的調整情況進行說明。
銀監會可根據商業銀行的規模及其在支付系統和金融市場的地位及風險狀況等因素決定商業銀行遞交流動性風險監測報表和報告的內容和頻率。
第七十八條 商業銀行在資產急劇擴張時需向監管部門報送有說服力的安全運營計劃,說明資金來源和應用情況以及在資產急劇擴張或負債流失情況下的流動性安排及應急計劃。
第七十九條 商業銀行應當及時向銀監會報告下列重大事項:
(一)商業銀行大規模出售資產以提高流動性;
(二)商業銀行評級的重大調整;
(三)外部市場流動性狀況發生重大變化;
(四)商業銀行重要融資渠道即將受限或失靈;
(五)本機構或機構所在地區發生擠兌事件;
(六)有關機構對資產或抵押品跨境轉移政策的調整;
(七)集團、母行和境外分支機構經營狀況或所在國家或地區的政治、經濟狀況發生重大變化;
(八)集團或母行出現流動性困難;
(九)其他可能對商業銀行流動性風險水平及其管理狀況產生影響的重大事件。
商業銀行應當制定流動性風險重大事項報告制度,并報銀監會備案。第八十條 銀監會根據商業銀行流動性風險評價結果決定對商業銀行流動性狀況進行現場檢查的頻率。現場檢查的主要內容包括:
(一)董事會和高級管理層在流動性風險管理中的履職情況;
(二)流動性風險管理政策和程序的完善性及其實施情況;
(三)流動性風險識別、計量、監測和控制的有效性;
(四)現金流量分析所用假設前提和參數的合理性、穩定性;
(五)流動性風險限額管理的有效性;
(六)流動性風險內部控制的有效性;
(七)流動性壓力測試的有效性;
(八)流動性風險應急預案的有效性;
(九)流動性風險管理信息系統的有效性;
(十)銀行內部流動性風險報告的獨立性、準確性、可靠性,以及向銀監會報送的與流動性風險有關的報表、報告的真實性和準確性;
(十一)負責流動性風險管理工作人員的專業知識、技能和履職情況;
(十二)流動性風險管理內部審計和監督監察機制的有效性;
(十三)流動性風險管理的其他情況。
第八十一條 銀監會對商業銀行內部流動性風險管理模型的有效性進行審核,并可充分利用外部專業機構的審核結果。
銀監會對商業銀行流動性壓力測試和應急計劃的有效性進行評估,特別關注壓力情景及假設前提的范圍和程度,并根據情況要求對壓力測試中使用的情景進行調整。
第八十二條 銀監會對高級管理層及董事會如何使用壓力測試結果進行評價,包括但不限于:
(一)是否采取具體有效的措施以緩解壓力測試暴露出的風險;
(二)是否根據風險的性質和規模,通過修訂銀行應急融資計劃,改變現有經營活動及流動性風險,或增加持有高流動性資產等方式來抵御流動性壓力;
(三)是否針對壓力測試中發現的風險制定全面的應急融資計劃;
(四)是否通過周期測試和內部溝通來增進對應急計劃的理解。
第三節 特別監管措施
第八十三條 對于流動性風險管理不審慎,如流動性缺口過大及資金成本過高,流動性管理政策執行不力,流動性報告或報表存在嚴重問題等的商業銀行,銀監會有權采取以下特別監管措施:
(一)與商業銀行高級管理層、董事會召開審慎性會談;
(二)增加對商業銀行流動性風險的現場檢查頻率;
(三)要求商業銀行增加提交流動性風險報表、報告的頻率;
(四)要求商業銀行提供額外相關信息;
(五)要求商業銀行采取措施以加強流動性風險的管理;
(六)要求商業銀行采取措施降低流動性風險;
(七)要求商業銀行提高以主動負債形式滿足流動性需求的能力。第八十四條 對于流動性指標持續低于預警指標,或者流動性管理體系存在重大缺陷的商業銀行,銀監會除前款措施外,有權采取進一步特別監管措施:
(一)要求銀行通過更加有效的壓力測試和更有力的應急融資計劃來改善應急計劃。
(二)提高法定流動性比率要求;
(三)限制商業銀行進行收購或其它大規模業務擴張;
(四)限制商業銀行部分業務的發展或某項資金的流動;
(五)提高法定資本充足率要求;
(六)《中華人民共和國銀行業監督管理法》以及其他法律、行政法規和部門規章規定的有關措施。
對于集團或母公司出現流動性困難的商業銀行,銀監會有權限制其與集團或母公司之間的資金來往。
第四節 監管合作
第八十五條 銀監會應與境內相關職能部門及商業銀行的母國和東道國監管當局建立緊密協調和信息共享的監管合作關系以提高流動性風險管理的有效性。
第八十六條 原則上對跨境商業銀行流動性風險的監管以母國監管當局為主,但由于目前中國外匯管理政策,銀監會對外商獨資銀行、中外合資銀行及外國銀行分行的流動性風險管理將單獨考核。
銀監會將根據中國外匯管理政策的調整,適時調整流動性風險跨境監管政策。
第八十七條 對于使用由母行開發的管理模型的外資法人銀行和外國銀行在中國境內分行,銀監會可以利用母國監管當局對模型的審驗結果,但應對模型的本地適應性進行審驗,重點關注以下內容:
(一)模型在中國使用的參數、歷史數據的適用性及更新頻率;
(二)壓力測試與情景測試的適用性;
(三)應急預案的可行性與有效性;
(四)其他
第五章 附則
第八十八條 郵政儲蓄銀行、農村合作銀行、城市信用社及農村信用社等其他銀行業金融機構參照本指引執行。法律法規另有規定的,適用其規定。
第八十九條 商業銀行最遲應于2010年底前達到本指引要求。因系統開發等特殊原因無法在上述時限內達標的,經監管部門同意后,可適當延期。
第九十條 本指引由銀監會負責解釋。第九十一條 本指引自發布之日起施行。
附件:
一、商業銀行流動性風險內部預警指標可以是定性指標或定量指標,包括 16 但不限于下列內容:
(一)資產快速增長,尤其當業務或產品某一方面出現負面因素或風險顯著增大;
(二)資產或負債集中度增加
(三)貨幣錯配程度增加
(四)負債加權平均期限下降
(五)重復接近或違反內部限額和監管指標
(六)特定產品線發展趨勢下降礙或風險加劇
(七)銀行盈利水平、資產質量和總體財務狀況的顯著惡化
(八)負面的公眾報道
(九)信用評級下調
(十)股票價格下降或債務成本上升
(十一)批發和零售融資成本的上升
(十二)交易對手要求為信用暴露增加額外的擔保或拒絕進行新交易
(十三)代理行降低或取消授信額度
(十四)零售存款的流出上升
(十五)獲得長期融資的難度加大(十六)發行短期負債的難度加大
二、商業銀行應急計劃的內容應包括但不限于下列內容:
(一)危機處理小組構成、職責分工和聯系方式
(二)危機期間內外部信息溝通和報告
(三)危機處理小組外界的溝通工作:監管部門、分析師、投資人、外部審計師、媒體、大客戶和其他利益相關者
(四)內部管理層、資產負債委員會、投資組合經理、交易員、員工和其他人員信息溝通
(五)如何確保資產負債委員會及時收到相關報告,使委員會成員了解銀行流動性的嚴重程度,并采取有效措施
第五篇:商業銀行流動性風險管理指引
商業銀行流動性風險管理指引
第一章 總則
第一條 為加強商業銀行的流動性風險管理,維護商業銀行安全穩健運行,根據《中華人民共和國銀行業監督管理法》《中華人民共和國商業銀行法》以及其他有關法律和行政法規,制定本指引。
第二條 在中華人民共和國境內設立的中資商業銀行、外商獨資銀行、中外合資銀行適用本指引。
第三條 本指引所稱流動性風險是指商業銀行雖然有清償能力,但無法及時獲得充足資金或無法以合理成本及時獲得充足資金以應對資產增長或支付到期債務的風險。流動性風險如不能有效控制,將有可能損害商業銀行的清償能力。
流動性風險可以分為融資流動性風險和市場流動性風險。融資流動性風險是指商業銀行在不影響日常經營或財務狀況的情況下,無法及時有效滿足資金需求的風險。市場流動性風險是指由于市場深度不足或市場動蕩,商業銀行無法以合理的市場價格出售資產以獲得資金的風險。
第四條 流動性風險管理是識別、計量、監測和控制流動性風險的全過程。商業銀行應當堅持審慎性原則,充分識別、有效計量、持續監測和適當控制銀行整體及在各產品、各業務條線、各業務環節、各層機構中的流動性風險,確保商業銀行無論在正常經營環境中還是在壓力狀態下,都有充足的資金應對資產的增長和到期債務的支付。
第五條 中國銀行業監督管理委員會(以下簡稱銀監會)依法對商業銀行的流動性風險和流動性風險管理實施監督管理。銀監會綜合運用多種監管手段,督促商業銀行建立健全流動性風險管理體系,有效識別、計量、監測和控制流動性風險,維持充足的流動性水平以滿足各種資金需求和應對不利的市場狀況。當發現商業銀行的流動性風險管理體系存在缺陷或出現流動性風險時,銀監會有權及時采取措施,最大限度地降低流動性風險對被監管機構的影響,維護銀行體系安全、穩健運行,保護存款人利益。
第二章 流動性風險管理體系
第六條 流動性風險管理體系是商業銀行風險管理體系的重要組成部分,應與本行的業務規模、性質和復雜程度等相適應。流動性風險管理政策應與本行總體發展戰略相一致,與本行總體財務實力相匹配,并充分考慮流動性風險與其他風險的相互影響與轉換。
第七條 流動性風險管理體系應包括以下基本要素:
(一)董事會及高級管理層的有效監控。
(二)完善的流動性風險管理策略、政策和程序。
(三)完善的流動性風險識別、計量、監測和控制程序。
(四)完善的內部控制和有效的監督機制。
(五)完善、有效的信息管理系統。
(六)有效的危機處理機制。
第一節 流動性風險管理的治理結構
第八條 商業銀行應建立完善的流動性風險管理治理結構。商業銀行應根據政策的制定、執行和監督職能相分離原則,明確董事會及其專門委員會、監事會(監事)、高級管理層及其專門委員會、銀行相關部門在流動性風險管理中的作用、職責及報告路線,制定適當的考核及問責機制,以提高流動性風險管理的有效性。
第九條 商業銀行的董事會承擔流動性風險管理的最終責任,應履行以下職責:
(一)審核批準商業銀行的流動性風險管理體系。
(二)審核批準商業銀行流動性風險承受能力、流動性風險管理策略、重要的政策、程序、流動性風險限額和流動性風險應急計劃,并根據風險管理需要及時對以上內容進行審議修訂,審議修訂工作至少每年一次。
(三)明確流動性風險管理相關事項的審核部門和審批權限,如具體的策略、政策、程序和流動性限額等。
(四)監督高級管理層在風險管理體系內對流動性風險進行適當管理和控制。
(五)持續關注銀行的流動性風險狀況,定期獲得關于流動性風險水平和相關壓力測試的報告,及時了解流動性風險的重大變化和潛在轉變。
(六)對商業銀行流動性風險管理信息系統的完整性、準確性和有效性承擔最終責任。
(七)決定與流動性風險相關的信息披露內容。
(八)法律、法規規定的其他職責。
第十條 商業銀行的高級管理層負責流動性風險的具體管理工作,應履行以下職責:
(一)根據商業銀行的總體發展戰略測算其風險承受能力,并提請董事會審批;根據總體發展戰略及內外部經營環境的變化及時提出對流動性風險承受能力進行修訂的建議,并提請董事會審議。
(二)根據董事會批準的流動性風險承受能力,制定流動性風險管理策略、政策、程序、限額,其中策略、重要的政策、程序和限額需提請董事會審批后執行。
(三)根據董事會批準的流動性風險管理策略、政策、程序和限額,對流動性風險進行管理,制定并監督執行有關流動性風險管理的內部控制制度。
(四)充分了解并定期評估本行流動性風險水平及管理狀況,向董事會定期匯報本行流動性風險狀況,及時匯報流動性風險的重大變化或潛在轉變。
(五)建立完善的管理信息系統,以支持流動性風險的識別、計量、監測和控制工作。
(六)根據董事會批準的相關政策、程序,組織壓力測試和情景分析,并定期將測試結果向董事會匯報,推動壓力測試成果在戰略決策和風險管理中的應用。
(七)制定流動性風險應急計劃,并提請董事會審批。
(八)識別并了解可能觸發應急計劃的事件,并建立適當機制對這些觸發事件進行監測。
(九)法律、法規規定的其他職責。第十一條 董事會、高級管理層可以授權其下設的專門委員會履行本指引第九條或第十條規定的部分職能,獲得授權的專門委員會應當定期向其授權人提交有關報告。
第十二條 商業銀行應指定專門人員或部門負責流動性風險管理工作,負責流動性風險管理的部門應當職責明確,并建立完善的報告制度。流動性風險管理部門和人員應保持相對獨立性,特別是獨立于從事資金交易的部門。
第十三條 商業銀行應投入足夠的資源以保證流動性風險管理的有效性,不得因業務發展和市場競爭而破壞流動性風險管理、控制功能和限額體系、流動性緩沖機制的完整性。
第十四條 監事會(監事)應對董事會及高級管理層在流動性風險管理中的履職情況進行監督評價,并每年至少一次向股東大會(股東)報告董事會及高級管理層在流動性風險管理中的履職情況。
第二節 流動性風險管理政策和程序
第十五條 商業銀行應根據本行經營戰略、業務特點和風險偏好測定自身流動性風險承受能力,并以此為基礎制定流動性風險管理策略、政策和程序。
風險承受能力可以采用定量方式表達,如在正常情況和壓力狀況下銀行可以承受的未經緩釋的流動性風險水平。
第十六條 商業銀行應從持續、前瞻的角度制定書面的流動性風險管理策略、政策和程序,并在綜合考慮業務發展、技術更新及市場變化等因素的基礎上及時對流動性風險管理策略、政策和程序進行評估和修訂。評估和修訂工作最少每年進行一次。
第十七條 流動性風險管理策略、政策和程序應涵蓋銀行的表內外各項業務,以及境內外所有可能對其流動性風險產生重大影響的業務部門、分支機構和附屬公司,并包括正常情況和壓力狀況下的流動性風險管理。
第十八條 商業銀行流動性風險管理策略應充分考慮銀行的組織結構、主要業務條線、產品及市場的廣度和多樣性以及母國及東道國的監管要求等因素。
第十九條 流動性風險管理策略應明確流動性風險管理的整體模式,并列明有關流動性風險管理特定事項的具體政策,包括但不限于以下內容:
(一)整體的流動性管理政策。
(二)流動性風險的識別、計量、監測和報告體系。
(三)流動性風險管理程序。
(四)資產與負債組合。
(五)流動性風險限額及超限額處理程序。
(六)現金流量分析。
(七)不同貨幣、不同國家、跨境、跨機構及跨業務條線的流動性管理方法。
(八)導致流動性風險增加的潛在因素及相應的監測流程。
(九)壓力測試和情景分析。
(十)應急計劃及流動性風險緩釋工具管理。
第二十條 商業銀行應根據本行的業務規模和復雜程度選擇流動性風險管理模式,管理模式可以是集中、分散或二者相結合。
無論商業銀行采用何種管理模式,都應確保對總體流動性風險水平和各分支機構、附屬機構、各業務條線流動性水平進行有效識別、計量、監測和控制,并確保遵守各有關流動性風險監管要求。
第二十一條 商業銀行應根據監管要求和內部流動性風險管理政策設定流動性風險限額,并根據限額的性質確定相應的監測頻度。
商業銀行在確定限額時可參考以下因素:資產負債結構、業務發展狀況、資產質量、融資策略、管理經驗、市場流動性等。
第二十二條 商業銀行在設立籌備期內,應完成流動性風險管理體系建設工作。開業后,商業銀行應及時將經董事會批準的流動性風險承受能力、流動性管理策略、重要政策、程序和限額及其修訂情況向監管部門報備。
第二十三條 原則上流動性風險管理應按幣種分別進行,但在該幣種可以自由兌換且業務量較小、對本行流動性風險水平及整體市場影響都較小的情況下,商業銀行可按照重要性原則合并管理。商業銀行至少應按本外幣分別識別、計量和監測流動性風險。
對外幣實行合并管理的,應向監管部門報備。
第三節 內部控制
第二十四條 商業銀行應制定適當的內部控制制度以確保流動性風險管理程序的完整和有效。有效的流動性風險管理內部控制體系應至少包括以下內容:
(一)良好的內部控制環境。
(二)充分的程序以識別、計量、監測和評估流動性風險。
(三)完善的信息管理系統。
(四)根據業務發展和市場變化適時更新有關政策和程序。
第二十五條 商業銀行應針對流動性風險管理建立明確的內部評價考核機制,將各分支機構或主要業務條線形成的流動性風險與其收益掛鉤,從而有效地防范因過度追求短期內業務擴張和會計利潤而放松對流動性風險的控制。條件成熟的銀行可將流動性風險納入內部轉移定價機制。
第二十六條 商業銀行在引入新產品、新技術手段,建立新機構、新業務部門前,應在可行性研究中充分評估其對流動性風險產生的影響,并制定相應風險管理措施,完善內部控制和信息管理系統。引入并運行后,應加強日常監測,定期評估相應措施的有效性,并根據需要及時進行調整。
第二十七條 商業銀行應將流動性風險管理納入內部審計的范疇,定期審查和評價流動性風險管理體系的充分性和有效性。內部審計應涵蓋流動性風險管理的所有環節,包括但不限于以下內容:
(一)相關的管理體系、內部控制制度和實施程序是否足以識別、計量、監測和控制流動性風險。
(二)有關流動性風險管理的信息系統是否完善。
(三)有關流動性風險控制的風險限額是否適當。
(四)進行現金流量分析和壓力測試的基本假設是否適當。
(五)有關流動性風險管理的信息報告是否準確、及時、有效。
(六)是否嚴格執行既定的流動性風險管理政策和程序。第二十八條 內審人員應具有獨立性,并掌握必要的專業知識和技能以確保對流動性風險管理體系實施獨立、充分、有效的審計。
第二十九條 內部審計結果應直接報告董事會,并根據有關規定及時報告監管部門。董事會應根據內部審計的結果及時調整和完善有關流動性風險管理的政策和程序,并督促高級管理層針對內部審計發現的問題采取及時有效的整改措施。內部審計部門應適時對整改措施的實施情況進行后續審計,并及時向董事會提交審計報告。
第三十條 有海外有分支機構的商業銀行,應根據其管理模式,針對銀行整體及分國別或地區的流動性風險管理分別進行審計。
第四節 管理信息系統
第三十一條 商業銀行應建立完善的管理信息系統,以便準確、及時、持續地計量、監測、管控和匯報流動性風險狀況。管理信息系統應包括但不限于完成以下任務:
(一)按設定的期限每日計算銀行的現金流量及期限錯配情況,并可根據銀行的流動性風險管理模式分幣種、按銀行整體或按機構、業務條線分別進行計算和分析。
(二)按法規和銀行內部管理的要求計算有關流動性風險的比率和其他指標,并根據需要適時進行監測和控制。
(三)能及時、有效地對銀行大額資金流動進行實時監測和控制。
(四)適時報告銀行所持有流動性資產的構成和市場價值。
(五)定期核查是否符合流動性風險管理政策和限額。
(六)能及時地、有前瞻性地反映銀行的流動性風險發展趨勢,以便董事會和高級管理層準確評估銀行的流動性風險水平。
(七)能根據快速變化的外部環境,針對不同的假設情景、限制條件收集、整理相關數據,及時實施情景分析和壓力測試。
第三十二條 管理信息系統應能確保董事會、高級管理層及相關部門適時了解以下有關流動性風險管理的事項:
(一)銀行現金流量分析。
(二)可動用的流動性資產及資產變現可能性分析。
(三)資金來源及資金運用的集中度情況。
(四)在各類市場中的融資能力。
(五)可能引起資產負債波動因素的變化趨勢。
(六)流動性風險管理法定指標、政策、限額及風險承受能力的執行情況。
(七)壓力測試和情景分析情況。
(八)其他流動性風險管理中應予關注的事項。
第五節 信息披露
第三十三條 商業銀行應定期披露有關流動性風險管理的情況。商業銀行披露的內容包括但不限于:
(一)流動性風險管理體系和治理結構,其中應特別說明董事會、專門委員會、高級管理層及相關部門的職責和作用。
(二)流動性風險管理策略和重要政策。
(三)流動性風險管理模式。
(四)識別、計量和監測流動性風險的主要方法和程序。
(五)流動性風險狀況的簡要分析和說明、能反映其流動性狀況的有關指標。
(六)分析影響流動性的因素。
(七)有關壓力測試情況的介紹和說明。第三十四條 在出現流動性危機時,商業銀行應適時披露情況說明等資料以提高交易對手、客戶及公眾的信心,從而最大限度地減少信息不對稱可能給銀行帶來的不利影響。
第三章 流動性管理方法和技術
第一節 資產及負債的流動性風險管理
第三十五條 流動性風險管理是資產負債管理的重要組成部分。在銀行確定資產負債額度、結構和期限時需要考慮流動性風險管理,加強資產的流動性和融資來源的穩定性。
第三十六條 商業銀行資產負債管理應遵循分散性原則。商業銀行應制定具體明確的資產、負債分散化政策,使資金運用及來源結構向多元化發展,提升商業銀行應對市場波動的能力。
第三十七條 商業銀行應建立集中度限額管理制度,針對表內外資產負債的品種、幣種、期限、交易對手、風險緩釋工具、行業、市場、地域等進行集中度限額管理,防止由于資產負債過度集中引發流動性風險。
第三十八條 商業銀行資產負債管理應遵循審慎性原則,應審慎評估信用風險、市場風險、操作風險、聲譽風險等對資產負債業務流動性的影響,密切關注不同風險間的轉化和傳遞。
(一)商業銀行在對資產變現能力進行評估時,要考慮市場容量、交易對手的風險,以及其他因素對資產可交易性、資產價格產生的影響。
(二)商業銀行在確定資產流動性組合時應避免資產組合在資產類別、交易對手、行業、市場、地域等方面承受過度的市場風險及其他風險。
(三)商業銀行應定期監測交易對手和自身的償債能力指標狀況,當相關指標顯示交易對手償債能力下降時,要及時調整對交易對手的融資授信額度;當相關指標顯示自身償債能力下降時,需要及時調整資產負債結構,提高債務清償能力。
(四)商業銀行應加強未提取的貸款承諾、信用證、保函、銀行承兌匯票等或有資產與或有負債管理,監測相關客戶信用狀況、償債能力和財務狀況,了解商業銀行因履約事項可能發生的墊款和客戶可提取的貸款承諾帶來的流動性需求,并納入流動性缺口管理。
商業銀行應將為應對聲譽風險而對交易對手給予超過合約義務的支付所產生的流動性需求一并納入流動性缺口管理。
(五)商業銀行應關注負債的穩定性。
1.商業銀行應通過提高核心負債占總負債的比重,提高流動性來源的穩定性,并減少對波動較大的債務的依賴。
2.商業銀行應通過優質服務建立與資金提供者的關系,并持續關注大額資金提供者的風險狀況,定期監測大額資金提供者(如最大十戶存款客戶)及融資提供者在本行存款的情況,并制定存款(或融資)集中度觸發比率以及當存款(或融資)集中度達到觸發比率時所必須采取的應急措施。
第三十九條 發行股票和債券等是商業銀行補充中長期流動性的重要手段,有助于改善期限結構錯配狀況。商業銀行應關注資本市場變化,評估通過發行股票或債券等補充流動性的能力與成本。
第二節 現金流量管理
第四十條 現金流量管理是識別、計量和監測流動性風險的一種重要工具,商業銀行通過計量、監測、控制現金流量和期限錯配情況,發現融資缺口和防止過度依賴短期流動性供給。
第四十一條 商業銀行將表內外業務可能產生的未來現金流按照一定方法分別計入特定期間的現金流入和現金流出,以現金流入減現金流出取得現金流期限錯配凈額,并通過累計方式計算出一定期限內的現金流錯配凈額。
第四十二條 商業銀行現金流錯配凈額計算應涵蓋表內外所有資產及負債,并按幣種形成現金流量報告。
商業銀行高級管理層可根據重要性原則選定部分現金流量極少、發生頻率低的表內外資產及負債項目不納入現金流錯配凈額的計算。該政策需經董事會或其授權專門委員會審核批準,并以書面文件形式記錄在案。高級管理層應定期評估該安排的適當性,并及時提出修訂意見。
第四十三條 未來現金流可分為確定到期日現金流和不確定到期日現金流。
確定到期日現金流系指所有來自外部負債和即將到期資產中有明確到期日的現金流。不確定到期日現金流系指商業銀行在到期日現金流不能完全反映流動性風險,或者包括活期存款在內的沒有明確到期日的資產與負債形成的現金流。
第四十四條 確定到期日現金流應按到期日計算現金流,而不確定到期日現金流應按照審慎原則計算現金流,如活期存款作為沒有明確到期日的負債應全部計入當日到期負債。但在商業銀行能夠證明所用測算方法遵循審慎原則并經監管部門審核同意的情況下,商業銀行可對部分現金流進行行為調整。商業銀行所使用的測算方法須與其業務性質和復雜程度相適應。
第四十五條 商業銀行通過行為調整等方法測算現金流,應以充分的歷史數據積累為前提,假設條件應經充分論證,并經董事會或其授權的專門委員會審核批準。所有假設條件及模擬情況必須書面記錄,并可以經受回溯檢測。高級管理層應定期對行為調整假設、回溯檢查進行評估,以便適應商業銀行的發展和外部環境的變化及時做出調整。
第四十六條 現金流期限錯配分析以短期為重點,但鼓勵商業銀行開展中期乃至長期的期限錯配分析,以及早發現潛在流動性風險。
第四十七條 商業銀行應以其融資能力和風險承受能力為基礎設定現金流期限錯配限額(以下簡稱現金流限額)。現金流限額應由專門部門設定,并由董事會或經其授權部門審核,根據需要至少每年修訂一次。
第四十八條 商業銀行應保證每一期限內的現金流錯配凈額低于現金流限額,現金流限額可以按以下步驟計算:
(一)商業銀行應至少預測其未來確定時間段內融資能力,尤其是來自銀行或非銀行的批發融資能力,并依壓力測試情況下的調減系數對上述預測進行適當調整。
(二)商業銀行采取審慎方法計算出售全部或部分無障礙流動性資產(如政府和中央銀行債券)所產生的流動性增項。
(三)商業銀行計算現金流限額時應將或有負債中備用融資額度等作為增項,同時將或有資產中未提取的貸款承諾等作為減項。
(四)商業銀行應根據以上步驟計算確定時間段內的現金流限額。商業銀行可以按審慎原則和一定方法計算出每日的現金流限額。
第四十九條 商業銀行應依審慎原則從緊設定現金流限額,所有超限額情況都應依規定程序提前向資產負債管理委員會或類似機構申請,經批準后實施。商業銀行應確保所有超限額情況均有書面記錄。
商業銀行應對所有未經批準超限額的情況實施調查,調查應包括所有相關部門和人員,并根據調查結果采取有效措施確保現金流錯配凈額在規定期限內恢復至規定限額內,并對任何故意行為給予嚴肅處理。
第五十條 現金流限額測算期至少為一個月,鼓勵商業銀行按更長時間段進行測算。
第三節 壓力測試
第五十一條 商業銀行流動性管理應通過壓力測試分析銀行承受壓力事件的能力,考慮并預防未來可能的流動性危機,以提高在流動性壓力情況下履行其支付義務的能力。
第五十二條 商業銀行實施壓力測試的頻度應與其規模、風險水平及在市場上的影響相適應,但至少每季度應進行一次常規壓力測試。在出現市場劇烈波動等情況或在銀監會要求下,應針對特定壓力情景進行臨時性、專門壓力測試。
商業銀行壓力測試應在并表基礎上分幣種實施,并應針對流動性轉移受限等特殊情況對有關地區分行或子行單獨實施壓力測試。
第五十三條 商業銀行應針對單個機構和整個市場設定不同的壓力情景。商業銀行可結合本身業務特點、復雜程度,針對流動性風險集中的產品、業務和機構設定壓力情景。壓力情景的假設條件包括但不限于:
(一)流動性資產價值的侵蝕。
(二)零售存款的大量流失。
(三)批發性融資來源的可獲得性下降。
(四)融資期限縮短和融資成本提高。
(五)交易對手要求追加保證金或擔保。
(六)交易對手的可交易額減少或總交易對手減少。
(七)主要交易對手違約或破產。
(八)表外業務、復雜產品和交易、超出合約義務的隱性支持對流動性的損耗。
(九)信用評級下調或聲譽風險上升。
(十)母行或子行、分行出現流動性危機的影響。
(十一)多個市場突然出現流動性枯竭。
(十二)外匯可兌換性以及進入外匯市場融資的限制。
(十三)中央銀行融資渠道的變化。
(十四)銀行支付結算系統突然崩潰。
第五十四條 商業銀行壓力測試應遵循審慎原則,充分考慮各類風險與流動性風險的內在關聯性,深入分析假設情景對其他流動性風險要素的影響及其反作用。
商業銀行壓力測試應充分反映融資流動性風險與市場流動性風險的高度相關性。必要時,商業銀行應針對相關假設情景發生后各風險要素的相互作用實施多輪壓力測試。
第五十五條 商業銀行壓力測試應基于專業判斷,并在可能情況下,對以往影響銀行或市場的類似流動性危機情景進行回溯分析。
所有壓力測試情景、條件假設、結果和回溯分析應有書面記錄,對于選擇情景、條件假設的基本原則及理由應有詳細說明,并報董事會或經其授權機構審核確認,確保董事會或經其授權機構對壓力測試的局限性有充分的了解。
第五十六條 壓力測試結果應廣泛應用于董事會、高級管理層的各類決策過程,包括但不限于風險承受能力、風險限額、戰略發展計劃、資本計劃和流動性計劃的制定。
商業銀行應根據壓力測試結果及時調整資產負債結構,持有充足的高質量流動性資產用以緩沖流動性風險,建立有效的應急計劃。
第五十七條 商業銀行應明確設立自身事件引發流動性危機情況下抵御危機的最短生存期,最短不低于一個月,并采取有效措施維持該最短時間內融資能力,確保在不同壓力情況下最短生存期內現金凈流量為正值。
第五十八條 商業銀行應定期向監管部門報告壓力測試情況,包括所有壓力測試情景、條件假設、結果和回溯分析,及根據壓力測試結果對流動性風險管理策略、政策、程序、限額和應急計劃的調整情況。
第五十九條 商業銀行因特殊原因不能實施壓力測試,經銀監會同意后可以暫緩實施。
第四節 應急計劃
第六十條 商業銀行應根據本行業務規模、復雜程度、風險水平和組織框架等制定應急計劃,并根據經營和現金流量管理情況設定并監控銀行內外部流動性預警指標以分析銀行所面臨的潛在流動性風險。
第六十一條 商業銀行應按照正常市場條件和壓力條件分別制定流動性應急計劃,應涵蓋銀行流動性發生臨時性和長期性危機的情況,并預設觸發條件及實施程序。
應急計劃至少應包括一種銀行本身評級降至“非投資級別”的極端情況。應急計劃應說明在這種情形下銀行如何優化融資渠道和出售資產以減少融資需求。設定的情形包括但不限于:
(一)流動性臨時中斷,如突然運作故障、電子支付系統出現問題或者物理上的緊急情況使銀行產生短期融資需求。
(二)流動性長期變化,如因銀行評級調整而產生的流動性問題。
(三)當母行出現流動性危機時,防止流動性風險傳遞的應對措施。
(四)市場大幅震蕩,流動性枯竭,交易對手減少或交易對手可融資金額大幅減少、融資成本快速上升。
第六十二條 商業銀行應急計劃應包括資產方流動性管理策略和負債方流動性管理策略。
(一)資產方流動性管理策略包括但不限于: 1.變現多余貨幣市場資產。2.出售原定持有到期的證券。
3.出售長期資產、固定資產或某些業務條線(機構)。
4.在相關貸款文件中加入專門條款以便提前收回或出售轉讓流動性較低的資產。
(二)負債方融資管理策略包括但不限于:
1.將本行與集團內關聯企業融資策略合并考慮。2.建立融資總體定價策略。
3.制定利用非傳統融資渠道的策略。
4.制定零售和批發客戶提前支取和解約政策。5.使用中央銀行信貸便利政策。
第六十三條 銀行間同業拆借市場是商業銀行獲取短期資金的重要渠道。商業銀行應根據經驗評估融資能力,關注自身的信用評級狀況,定期測試自身在市場借取資金的能力,并將每日及每周的融資需求限制在該能力范圍以內,防范交易對手因違約或違反重大的不利條款要求提前償還借款的風險。
第六十四條 商業銀行應急計劃應區分集團層次和附屬機構層次,并可根據需要針對主要幣種和全球主要區域制訂專門的應急計劃。如果某些國家或地區法律法規有限制,使得銀行集中實施流動性管理不可操作,則在上述國家或地區的分支機構應制定專門的應急計劃。
第六十五條 商業銀行高級管理層應定期向董事會報告流動性風險情況和應急計劃。必要情況下,應由董事會成員領導并負責應急計劃的制定和實施。
第六十六條 商業銀行應根據風險管理需要及時對應急計劃進行評估和修訂,評估修訂工作至少每年進行一次。商業銀行應不定期對應急計劃進行演習以確保各項計劃措施在緊急情況下的順利實施。商業銀行應于每年4月底前將本行應急計劃及其更新、演習情況報銀監會。
第四章 流動性風險監督管理
第一節 原則
第六十七條 銀監會根據本指引要求,督促商業銀行建立和完善與銀行業務特點、規模及復雜程度相適應的流動性風險管理體系,并鼓勵公司治理完善、信息系統先進、數據積累合格、管理水平較高的商業銀行采用先進方法管理流動性風險。
第六十八條 銀監會在并表基礎上對商業銀行的整體流動性風險進行考核。商業銀行在境外設立的分支機構、子公司應滿足東道國監管當局對流動性風險管理的要求。銀監會將根據我國和東道國法律環境、監管要求及貨幣管制政策等因素決定是否對境外分支機構、子公司的流動性進行單獨考核。
銀監會在對外商獨資銀行和中外合資銀行的流動性風險進行考核時,將充分考慮其母行的流動性風險管理政策及母國監管當局法律法規和流動性監管水平對其的影響。第六十九條 銀監會按本外幣分別考核商業銀行流動性風險,并有權根據商業銀行外匯業務規模以及對市場的影響按具體幣種單獨考核商業銀行流動性風險。
第二節 監管程序
第七十條 銀監會采取以風險為本的監管模式,對商業銀行整體流動性狀況及流動性風險管理體系進行綜合評價。評價通過現場檢查和非現場監測進行,并包括與商業銀行高級管理層和董事會的定期溝通。
第七十一條 銀監會通過非現場監管系統定期采集有關數據,及時分析評價商業銀行的流動性風險狀況。
銀監會依法對商業銀行遵守法律法規和行政規章中各項流動性風險監管指標的情況進行監管,并在必要時要求商業銀行管理層采取有效措施以保證各項指標高于最低監管要求。
第七十二條 銀監會有權根據商業銀行流動性狀況對各項流動性風險監管指標的計算方法、計算口徑和計算頻率等進行調整,并鼓勵商業銀行設定高于流動性監管指標的內部預警指標,以便管理層及時采取措施避免流動性狀況進一步惡化或突破流動性監管指標。
第七十三條 商業銀行應按規定及時向銀監會及相關部門報送流動性風險管理的監測報表、策略、政策和流程等相關信息資料。
商業銀行每年4月底前應向銀監會報送上流動性風險管理報告,對相關策略、政策、流程、限額等的調整情況進行說明。
銀監會可根據商業銀行的規模及其在支付系統和金融市場的地位及風險狀況等因素決定商業銀行遞交流動性風險監測報表和報告的內容和頻率。
第七十四條 商業銀行在資產急劇擴張時需向監管部門報送有說服力的安全運營計劃,說明資金來源和應用情況以及在資產急劇擴張或負債流失情況下的流動性安排及應急計劃。
第七十五條 商業銀行應當及時向銀監會報告下列重大事項:
(一)商業銀行評級的重大調整。
(二)商業銀行大規模出售資產以提高流動性。
(三)外部市場流動性狀況發生重大變化。
(四)商業銀行重要融資渠道即將受限或失靈。
(五)本機構或機構所在地區發生擠兌事件。
(六)有關機構對資產或抵押品跨境轉移政策的調整。
(七)集團、母行和境外分支機構經營狀況或所在國家或地區的政治、經濟狀況發生重大變化。
(八)集團或母行出現流動性困難。
(九)其他可能對商業銀行流動性風險水平及其管理狀況產生影響的重大事件。商業銀行應當制定流動性風險重大事項報告制度,并報銀監會備案。
第七十六條 銀監會根據對商業銀行流動性風險的評價結果決定對商業銀行進行流動性管理現場檢查的頻率。現場檢查的主要內容包括:
(一)董事會和高級管理層在流動性風險管理中的履職情況。
(二)流動性風險管理政策和程序的完善性及其實施情況。
(三)流動性風險識別、計量、監測和控制的有效性。
(四)現金流量分析所用假設前提和參數的合理性、穩定性。
(五)流動性風險限額管理的有效性。
(六)流動性風險內部控制的有效性。
(七)流動性壓力測試的有效性。
(八)流動性風險應急計劃的有效性。
(九)流動性風險管理信息系統的有效性。
(十)銀行內部流動性風險報告的獨立性、準確性、可靠性,以及向銀監會報送的與流動性風險有關的報表、報告的真實性和準確性。
(十一)負責流動性風險管理工作人員的專業知識、技能和履職情況。
(十二)流動性風險管理內部審計和監督檢查機制的有效性。
(十三)流動性風險管理的其他情況。
第七十七條 銀監會對商業銀行現金流量分析、壓力測試和應急計劃的有效性進行評估,特別關注假設、情景及參數的合理性,并可根據需要要求商業銀行對其進行調整。
第七十八條 銀監會對高級管理層及董事會如何使用壓力測試結果進行評價,包括但不限于:
(一)是否采取具體有效的措施緩解壓力測試暴露出的風險。
(二)是否根據風險的性質和規模,通過修訂銀行應急融資計劃、改變現有經營活動及流動性風險,或增加持有高流動性資產等方式來抵御流動性壓力。
(三)是否針對壓力測試中發現的風險制定全面的應急融資計劃。
(四)是否通過定期測試和內部溝通增進對應急計劃的理解。第七十九條 對于流動性風險管理體系存在嚴重缺陷,流動性管理政策、制度執行不力,流動性報告或報表存在嚴重問題,且在規定時限內未能實施有效整改措施的商業銀行,銀監會有權采取下列監管措施:
(一)與商業銀行高級管理層、董事會召開審慎性會談。
(二)增加對商業銀行流動性風險的現場檢查頻率。
(三)要求商業銀行增加提交流動性風險報表、報告的頻率。
(四)要求商業銀行提供額外相關信息。
第八十條 對于流動性指標持續達不到預警指標要求的商業銀行,銀監會除第七十九條措施外,有權采取進一步的監管措施:
(一)要求銀行通過更加有效的壓力測試和更有力的應急融資計劃改善應急計劃。
(二)提高流動性比率要求。
(三)限制商業銀行開展收購或其他大規模業務擴張活動。
(四)限制商業銀行部分業務的發展或某項資金的流動。
(五)暫停部分或全部市場準入事項。
(六)提高資本充足率要求。
(七)《中華人民共和國銀行業監督管理法》以及其他法律、行政法規和部門規章規定的有關措施。
對于集團或母公司出現流動性困難的商業銀行,銀監會有權限制其與集團或母公司之間的資金往來。
第三節 監管合作
第八十一條 銀監會將與境內相關職能部門及商業銀行的母國或東道國監管當局建立緊密協調和信息共享的監管合作關系以提高流動性風險管理的有效性。
第八十二條 對于使用母行統一流動性風險管理政策、程序和方法的外資銀行,銀監會將對其本地適應性進行審核,重點關注以下內容:
(一)原政策、程序和方法的合規性。
(二)現金流量分析有關假設、情景和參數的適用性,歷史數據的充足性。
(三)壓力測試、情景分析的適用性。
(四)應急計劃的可行性與有效性。
第八十三條 在影響單個機構或整個市場的流動性事件發生時,銀監會作為母國和東道國監管者,將加強與境內相關職能部門及境外監管部門的溝通聯系,充分了解商業銀行境外分行或子行流動性狀況對境內總行或母行流動性風險的影響以及境外總行或母行流動性狀況對境內分行或子行流動性風險的影響。流動性事件包括但不限于:
(一)銀行財務狀況明顯惡化。
(二)銀行通過市場融資或吸收存款獲取資金的途徑即將喪失。
(三)銀行或監管部門將進行影響較大的信息披露。
(四)銀行信用評級顯著調低。
(五)銀行資產負債表突然出現系統性的杠桿化或去杠桿化。
(六)監管部門決定對資產或抵押物在法人間的轉移或跨境轉移進行或放松限制。
(七)出現嚴重的市場紊亂,對央行或支付清算系統造成明顯沖擊。
第五章 附則
第八十四條 農村合作銀行、外國銀行分行和城市信用社、農村信用社等其他銀行業金融機構參照本指引執行。法律法規另有規定的,適用其規定。
第八十五條 本指引由銀監會負責解釋。
第八十六條 本指引自2009年11月1日起施行。商業銀行最遲應于2010年底前達到本指引要求。因系統開發等特殊原因無法在上述時限內達標的,經銀監會同意后可適當延期。
附件:商業銀行流動性風險內部預警指標及應急計劃內容 附件
商業銀行流動性風險內部預警指標及應急計劃內容
一、商業銀行流動性風險內部預警指標可以是定性指標或定量指標,包括但不限于下列內容:
(一)資產快速增長,風險顯著增大。
(二)資產或負債集中度上升。
(三)貨幣錯配程度增加。
(四)負債加權平均期限下降。
(五)多次接近或違反內部限額和監管指標。
(六)特定業務或產品發展趨勢下降或風險加劇。
(七)銀行盈利水平、資產質量和總體財務狀況顯著惡化。
(八)負面的公眾報道。
(九)信用評級下調。
(十)股票價格下降或債務成本上升。
(十一)批發和零售融資成本上升。
(十二)交易對手要求為信用暴露增加額外的擔保或拒絕進行新交易。
(十三)代理行降低或取消授信額度。
(十四)零售存款的流出上升。
(十五)獲得長期融資的難度加大。
二、商業銀行應急計劃的內容應包括但不限于下列內容:
(一)危機處理小組構成、職責分工和聯系方式。
(二)危機期間內外部信息溝通和報告。
1.危機處理小組與外界的溝通工作:政府部門、監管部門、分析師、投資人、外部審計師、媒體、大客戶和其他利益相關者。
2.高級管理層、資產負債委員會、投資組合經理、交易員、員工和其他人員信息溝通。3.相應的制度和系統支持,確保資產負債委員會及時收到相關報告,了解銀行流動性問題的嚴重性。
(三)針對假設情景的具體應急措施及其局限性。
點擊咨詢 