【正文】 第二章 外包管理組織架構(gòu)第十三條銀行業(yè)金融機構(gòu)董事會及高級管理層應(yīng)當(dāng)嚴格落實信息科技外包風(fēng)險管理的相關(guān)職責(zé), 明確信息科技外包風(fēng)險管理的主管部門，制定并審批信息科技外包戰(zhàn)略，審議信息科技外包管理流程及制度，督促并監(jiān)控信息科技外包風(fēng)險管理效果。第五條信息科技外包可能產(chǎn)生如下風(fēng)險，并導(dǎo)致銀行業(yè)金融機構(gòu)的戰(zhàn)略、聲譽、合規(guī)風(fēng)險：（一）科技能力喪失：銀行業(yè)金融機構(gòu)過度依賴外部資源導(dǎo)致失去科技控制及創(chuàng)新能力，影響業(yè)務(wù)創(chuàng)新與發(fā)展；（二）業(yè)務(wù)中斷：支持業(yè)務(wù)運營的外包服務(wù)無法持續(xù)提供導(dǎo)致業(yè)務(wù)中斷；（三）信息泄露：包含客戶信息在內(nèi)的銀行業(yè)金融機構(gòu)非公開數(shù)據(jù)被服務(wù)提供商非法獲得或泄露；（四）服務(wù)水平下降：由于外包服務(wù)質(zhì)量問題或內(nèi)外部協(xié)作效率低下，使得銀行業(yè)金融機構(gòu)信息科技服務(wù)水平下降。本指引實施前已有規(guī)范性文件如與本指引不一致的，按照本指引執(zhí)行。第七章 監(jiān)督管理第四十七條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將風(fēng)險管理策略、風(fēng)險偏好、重大風(fēng)險管理政策和程序等報送銀行業(yè)監(jiān)督管理機構(gòu)，并至少按報送全面風(fēng)險管理報告。第四十三條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立與業(yè)務(wù)規(guī)模、風(fēng)險狀況等相匹配的信息科技基礎(chǔ)設(shè)施。第三十七條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定覆蓋其附屬機構(gòu)的風(fēng)險管理政策和程序，保持風(fēng)險管理的一致性、有效性。第三十三條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立專門的政策和流程，評估開發(fā)新產(chǎn)品、對現(xiàn)有產(chǎn)品進行重大改動、拓展新的業(yè)務(wù)領(lǐng)域、設(shè)立新機構(gòu)、從事重大收購和投資等可能帶來的風(fēng)險，并建立內(nèi)部審批流程和退出安排。第三十條 銀行業(yè)金融機構(gòu)采用內(nèi)部模型計量風(fēng)險的，應(yīng)當(dāng)遵守相關(guān)監(jiān)管要求，確保風(fēng)險計量的一致性、客觀性和準(zhǔn)確性。第四章 風(fēng)險管理政策和程序第二十六條 銀行業(yè)金融機構(gòu)應(yīng)當(dāng)制定風(fēng)險管理政策和程序，包括但不限于以下內(nèi)容：（一）全面風(fēng)險管理的方法，包括各類風(fēng)險的識別、計量、評估、監(jiān)測、報告、控制或緩釋，風(fēng)險加總的方法和程序；（二）風(fēng)險定性管理和定量管理的方法；（三）風(fēng)險管理報告；（四）壓力測試安排；（五）新產(chǎn)品、重大業(yè)務(wù)和機構(gòu)變更的風(fēng)險評估；（六）資本和流動性充足情況評估；（七）應(yīng)急計劃和恢復(fù)計劃。當(dāng)風(fēng)險偏好目標(biāo)被突破時，應(yīng)當(dāng)及時分析原因，制定解決方案并實施。風(fēng)險管理策略應(yīng)當(dāng)反映風(fēng)險偏好、風(fēng)險狀況以及市場和宏觀經(jīng)濟變化，并在銀行內(nèi)部得到充分傳導(dǎo)。調(diào)整風(fēng)險總監(jiān)（首席風(fēng)險官）應(yīng)當(dāng)事先得到董事會批準(zhǔn)，并公開披露。董事會可以授權(quán)其下設(shè)的風(fēng)險管理委員會履行其全面風(fēng)險管理的部分職責(zé)。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將全面風(fēng)險管理的結(jié)果應(yīng)用于經(jīng)營管理，根據(jù)風(fēng)險狀況、市場和宏觀經(jīng)濟情況評估資本和流動性的充足性，有效抵御所承擔(dān)的總體風(fēng)險和各類風(fēng)險。銀行業(yè)金融機構(gòu)的全面風(fēng)險管理體系應(yīng)當(dāng)考慮風(fēng)險之間的關(guān)聯(lián)性，審慎評估各類風(fēng)險之間的相互影響，防范跨境、跨業(yè)風(fēng)險。第七十三條第七十三條 本指引自頒布之日起施行。投產(chǎn)后的系統(tǒng)審閱應(yīng)在信息系統(tǒng)投入生產(chǎn)半年后進行，審計報告應(yīng)對被審計的信息系統(tǒng)提出改進或增加風(fēng)險控制、能否繼續(xù)生產(chǎn)等內(nèi)容的審計建議。根據(jù)信息系統(tǒng)的總體風(fēng)險狀況確定審計頻率，但至少每3年審計一次。第五十五條第五十五條 銀行業(yè)金融機構(gòu)應(yīng)充分認識外包服務(wù)對信息系統(tǒng)風(fēng)險控制的直接和間接影響，并將其納入總體安全策略和風(fēng)險控制之中。第四十八條第四十八條 銀行業(yè)金融機構(gòu)在信息系統(tǒng)投產(chǎn)后一定時期內(nèi)，應(yīng)組織對系統(tǒng)的后評價，并根據(jù)評價及時對系統(tǒng)功能進行調(diào)整和優(yōu)化。第四十二條第四十二條 項目驗收應(yīng)出具由相關(guān)負責(zé)人簽字的項目驗收報告，驗收不合格不得投產(chǎn)使用。第三十六條第三十六條 銀行業(yè)金融機構(gòu)業(yè)務(wù)部門編寫項目需求說明書，提出風(fēng)險控制要求，信息科技部門根據(jù)項目需求編制項目功能說明書。重要數(shù)據(jù)包括：交易數(shù)據(jù)、賬務(wù)數(shù)據(jù)、客戶數(shù)據(jù)，以及產(chǎn)生的報表數(shù)據(jù)等。密鑰、密碼應(yīng)定期更改。數(shù)據(jù)中心機房應(yīng)實行嚴格的門禁管理措施，未經(jīng)授權(quán)不得進入。第十五條第十五條 銀行業(yè)金融機構(gòu)應(yīng)根據(jù)信息系統(tǒng)總體規(guī)劃，制定明確、持續(xù)的風(fēng)險管理策略，按照信息系統(tǒng)的敏感程度對各個集成要素進行分析和評估，并實施有效控制。第七條第七條 銀行業(yè)金融機構(gòu)應(yīng)認真履行下列信息系統(tǒng)管理職責(zé)：（一）貫徹執(zhí)行國家有關(guān)信息系統(tǒng)管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實銀監(jiān)會相關(guān)監(jiān)管要求；（二）建立有效的信息安全保障體系和內(nèi)部控制規(guī)程，明確信息系統(tǒng)風(fēng)險管理崗位責(zé)任制度，并監(jiān)督落實；（三）負責(zé)組織對本機構(gòu)信息系統(tǒng)風(fēng)險進行檢查、評估、分析，及時向本機構(gòu)專門委員會和銀監(jiān)會及其派出機構(gòu)報送相關(guān)的管理信息；（四）及時向銀監(jiān)會及其派出機構(gòu)報告本機構(gòu)發(fā)生的重大信息系統(tǒng)事故或突發(fā)事件，并按有關(guān)預(yù)案快速響應(yīng)；（五）每年經(jīng)董事會或其他決策機構(gòu)審查后向銀監(jiān)會及其派出機構(gòu)報送信息系統(tǒng)風(fēng)險管理的報告；（六）做好本機構(gòu)信息系統(tǒng)審計工作；（七）配合銀監(jiān)會及其派出機構(gòu)做好信息系統(tǒng)風(fēng)險監(jiān)督檢查工作，并按照監(jiān)管意見進行整改；（八）組織本機構(gòu)信息系統(tǒng)從業(yè)人員進行信息系統(tǒng)有關(guān)的業(yè)務(wù)、技術(shù)和安全培訓(xùn)；（九）開展與信息系統(tǒng)風(fēng)險管理相關(guān)的其他工作。第三篇：銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引【發(fā)布單位】中國銀行業(yè)監(jiān)督管理委員會 【發(fā)布文號】【發(fā)布日期】20061101 【生效日期】20061101 【失效日期】 【所屬類別】政策參考【文件來源】中國銀行業(yè)監(jiān)督管理委員會銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引第一章 總 則第一條第一條 為有效防范銀行業(yè)金融機構(gòu)運用信息系統(tǒng)進行業(yè)務(wù)處理、經(jīng)營管理和內(nèi)部控制過程中產(chǎn)生的風(fēng)險，促進我國銀行業(yè)安全、持續(xù)、穩(wěn)健運行，根據(jù)《 中華人民共和國銀行業(yè)監(jiān)督管理法》、國家信息安全相關(guān)要求和信息系統(tǒng)管理的有關(guān)法律法規(guī)，制定本指引。第四章監(jiān)督管理第二十二條 銀行業(yè)金融機構(gòu)在開展外包活動時，應(yīng)當(dāng)定期向所在地銀行業(yè)監(jiān)督管理機構(gòu)遞交本機構(gòu)外包活動的評估報告。第十五條 銀行業(yè)金融機構(gòu)在外包活動中應(yīng)當(dāng)建立嚴格的客戶信息保密制度，并依法履行告知義務(wù)。第九條 董事會的職責(zé)主要包括以下方面：（一）審議批準(zhǔn)外包的戰(zhàn)略發(fā)展規(guī)劃；（二）審議批準(zhǔn)外包的風(fēng)險管理制度；（三）審議批準(zhǔn)本機構(gòu)的外包范圍及相關(guān)安排；（四）定期審閱本機構(gòu)外包活動相關(guān)報告；（五）定期安排內(nèi)部審計，確保審計范圍涵蓋所有的外包安排。第二條 在中華人民共和國境內(nèi)設(shè)立的銀行業(yè)金融機構(gòu)適用本指引。三是部分條款增加了適用的前提條件。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)設(shè)立或指定部門負責(zé)全面風(fēng)險管理，牽頭履行全面風(fēng)險的日常管理。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)將全面風(fēng)險管理的結(jié)果應(yīng)用于經(jīng)營管理，根據(jù)風(fēng)險狀況、市場和宏觀經(jīng)濟情況評估資本和流動性的充足性，有效抵御所承擔(dān)的總體風(fēng)險和各類風(fēng)險。六是注重與已有規(guī)制的銜接。2012年，巴塞爾委員會修訂了《有效銀行監(jiān)管核心原則》，完善和細化了原則15“風(fēng)險管理體系”的各項標(biāo)準(zhǔn)。近年來，銀監(jiān)會陸續(xù)制定了各類審慎監(jiān)管規(guī)則，覆蓋了資本管理、信用風(fēng)險、市場風(fēng)險、流動性風(fēng)險、操作風(fēng)險、并表管理等各個領(lǐng)域，比較系統(tǒng)，但仍然缺乏一個針對全面風(fēng)險管理的統(tǒng)領(lǐng)性、綜合性規(guī)則。第五十一條（監(jiān)管措施）對不能滿足本指引及其他關(guān)于全面風(fēng)險管理要求的銀行業(yè)金融機構(gòu)，銀行業(yè)監(jiān)督管理機構(gòu)可以要求其制定整改方案，責(zé)令限期改正，并視情況采取相應(yīng)的監(jiān)管措施。銀行業(yè)金融機構(gòu)內(nèi)部審計活動應(yīng)獨立于業(yè)務(wù)經(jīng)營、風(fēng)險管理和合規(guī)管理，遵循獨立性、客觀性原則，不斷提升內(nèi)部審計人員的專業(yè)能力和職業(yè)操守。第四十條（文檔管理）銀行業(yè)金融機構(gòu)應(yīng)當(dāng)對風(fēng)險偏好、風(fēng)險管理策略、風(fēng)險限額、風(fēng)險管理政策和程序建立規(guī)范的文檔記錄。銀行業(yè)金融機構(gòu)的應(yīng)急計劃應(yīng)當(dāng)涵蓋對境外分支機構(gòu)和附屬機構(gòu)的應(yīng)急安排。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)定期開展壓力測試。對能夠量化的風(fēng)險，應(yīng)當(dāng)通過風(fēng)險計量技術(shù)，加強對相關(guān)風(fēng)險的計量、控制、緩釋；對難以量化的風(fēng)險，應(yīng)當(dāng)建立風(fēng)險識別、評估、控制和報告機制，確保相關(guān)風(fēng)險得到有效管理。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)根據(jù)風(fēng)險偏好，按照客戶、行業(yè)、區(qū)域、產(chǎn)品等維度設(shè)定風(fēng)險限額。第二十二條（風(fēng)險偏好內(nèi)容）銀行業(yè)金融機構(gòu)制定的風(fēng)險偏好，應(yīng)當(dāng)包括但不限于以下內(nèi)容：（一）戰(zhàn)略目標(biāo)和經(jīng)營計劃的制定依據(jù)，風(fēng)險偏好與戰(zhàn)略目標(biāo)、經(jīng)營計劃的關(guān)聯(lián)性；（二）為實現(xiàn)戰(zhàn)略目標(biāo)和經(jīng)營計劃愿意承擔(dān)的風(fēng)險總量；（三）愿意承擔(dān)的各類風(fēng)險的最大水平；（四）風(fēng)險偏好的定量指標(biāo)，包括利潤、風(fēng)險、資本、流動性以及其他相關(guān)指標(biāo)的目標(biāo)值或目標(biāo)區(qū)間。第十八條（分支機構(gòu)要求）銀行業(yè)金融機構(gòu)應(yīng)當(dāng)采取必要措施，保證全面風(fēng)險管理的政策流程在基層分支機構(gòu)得到理解與執(zhí)行，建立與基層分支機構(gòu)風(fēng)險狀況相匹配的風(fēng)險管理架構(gòu)。第十五條（風(fēng)險總監(jiān)或獨立高管）規(guī)模較大或業(yè)務(wù)復(fù)雜的銀行業(yè)金融機構(gòu)應(yīng)當(dāng)設(shè)立風(fēng)險總監(jiān)（首席風(fēng)險官）。第九條（披露要求）銀行業(yè)金融機構(gòu)應(yīng)當(dāng)按照銀行業(yè)監(jiān)督管理機構(gòu)的規(guī)定，向公眾披露全面風(fēng)險管理情況。（三）獨立性原則。本指引所稱銀行業(yè)金融機構(gòu)，是指在中華人民共和國境內(nèi)設(shè)立的商業(yè)銀行、城市信用合作社、農(nóng)村信用合作社等吸收公眾存款的金融機構(gòu)以及開發(fā)性金融機構(gòu)、政策性銀行。第一篇：銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引中國銀監(jiān)會關(guān)于《銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引（征求意見稿）》公開征求意見的公告為進一步引導(dǎo)銀行業(yè)金融機構(gòu)樹立全面風(fēng)險管理意識，完善全面風(fēng)險管理體系，持續(xù)提高風(fēng)險管理水平，中國銀監(jiān)會起草了《銀行業(yè)金融機構(gòu)全面風(fēng)險管理指引（征求意見稿）》，現(xiàn)向社會公開征求意見。第三條（總體要求管理內(nèi)容）銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立全面風(fēng)險管理體系，采取定性和定量相結(jié)合的方法，識別、計量、評估、監(jiān)測、報告、控制或緩釋所承擔(dān)的各類風(fēng)險。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立獨立的全面風(fēng)險管理組織架構(gòu)，賦予風(fēng)險管理條線足夠的授權(quán)、人力資源及其他資源配置，建立科學(xué)合理的報告渠道，與業(yè)務(wù)條線之間形成相互制衡的運行機制。第二章 風(fēng)險治理架構(gòu)第十條（總體要求）銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立組織架構(gòu)健全、職責(zé)邊界清晰的風(fēng)險治理架構(gòu)，明確董事會、監(jiān)事會、高級管理層，業(yè)務(wù)部門、風(fēng)險管理部門和內(nèi)審部門在風(fēng)險管理中的職責(zé)分工，建立多層次、相互銜接、有效制衡的運行機制。董事會應(yīng)當(dāng)將風(fēng)險總監(jiān)（首席風(fēng)險官）納入高級管理人員。在境外設(shè)有機構(gòu)的銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立適當(dāng)?shù)木惩怙L(fēng)險管理框架、政策和流程。上述定量指標(biāo)通過風(fēng)險限額、經(jīng)營計劃、績效考評等方式傳導(dǎo)至業(yè)務(wù)條線、分支機構(gòu)、附屬機構(gòu)的安排；（五）對不能定量的風(fēng)險偏好的定性描述，包括承擔(dān)此類風(fēng)險的原因、采取的管理措施；（六）資本、流動性抵御總體風(fēng)險和各類風(fēng)險的水平；（七）可能導(dǎo)致風(fēng)險偏好目標(biāo)的情形和處置方法。風(fēng)險限額應(yīng)當(dāng)綜合考慮資本、風(fēng)險集中度、流動性、交易目的等。第二十八條（政策和程序的一致性）銀行業(yè)金融機構(gòu)應(yīng)當(dāng)建立風(fēng)險統(tǒng)一集中管理的制度，確保全面風(fēng)險管理對各類風(fēng)險管理的統(tǒng)領(lǐng)性，各類風(fēng)險管理與全面風(fēng)險管理政策和程序的一致性。壓力測試的開展應(yīng)當(dāng)覆蓋各類風(fēng)險和表內(nèi)外主要業(yè)務(wù)領(lǐng)域，并考慮各類風(fēng)險之間的相互影響。銀行業(yè)金融機構(gòu)應(yīng)當(dāng)定期更新、演練或測試上述計劃，確保其充分性和可行性。第五章 管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量第四十一條（風(fēng)險管理信息系統(tǒng)）銀行業(yè)金融機構(gòu)應(yīng)當(dāng)具備完善的風(fēng)險管理信息系統(tǒng)，能夠在集團和法人層面計量、評估、展示、報告、加總所有風(fēng)險類別、產(chǎn)品和交易對手風(fēng)險暴露的規(guī)模和構(gòu)成。全面風(fēng)險管理的內(nèi)部審計報告應(yīng)當(dāng)直接提交董事會和監(jiān)事會。第八章 附則第五十二條（與具體風(fēng)險監(jiān)管要求的關(guān)系）各類具體風(fēng)險的監(jiān)管要求按照銀行業(yè)監(jiān)督管理機構(gòu)的有關(guān)規(guī)制執(zhí)行。因此，有必要制定關(guān)于全面風(fēng)險管理的審慎規(guī)制，為銀行建立完善的全面風(fēng)險管理體系提供政策依據(jù)和指導(dǎo)。之后，巴塞爾委員會和金融穩(wěn)定理事會針對公司治理、風(fēng)險偏好、風(fēng)險文化和風(fēng)險報告等全面風(fēng)險管理要素陸續(xù)發(fā)布了一系列政策文件，提出了更具體的要求。三、《指引》對全面風(fēng)險管理有哪些原則性規(guī)定？答：《指引》對銀行業(yè)金融機構(gòu)全面風(fēng)險管理提出四點管理原則：一是匹配性原則。四、《指引》對全面風(fēng)險管理提出哪些主要要求？答：《指引》提出了銀行業(yè)金融機構(gòu)全面風(fēng)險管理體系的五個主要要素，包括風(fēng)險治理架構(gòu)，風(fēng)險管理策略、風(fēng)險偏好和風(fēng)險限額，風(fēng)險管理政策和程序，管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制，內(nèi)部控制和審計體系等。銀行業(yè)金融機構(gòu)各業(yè)務(wù)經(jīng)營條線承擔(dān)風(fēng)險管理的直接責(zé)任。如對規(guī)模較大或業(yè)務(wù)復(fù)雜的銀行業(yè)金融機構(gòu)提出設(shè)立風(fēng)險總監(jiān)（首席風(fēng)險官）的要求。第三條 本指引中的外包是指銀行業(yè)金融機構(gòu)將原來由自身負責(zé)處理的某些業(yè)務(wù)活動委托給服務(wù)提供商進行持續(xù)處理的行為。第十條 高級管理層的職責(zé)主要包括以下方面：（一）制定外包戰(zhàn)略發(fā)展規(guī)劃；（二）制定外包風(fēng)險管理的政策、操作流程和內(nèi)控制度；（三）確定外包業(yè)務(wù)的范圍及相關(guān)安排；（四）確定外包管理團隊職責(zé)，并對其行為進行有效監(jiān)督。第十六條 銀行業(yè)金融機構(gòu)在外包合同中應(yīng)當(dāng)要求外包服務(wù)提供商承諾以下事項：（一）定期通報外包活動的有關(guān)事項；（二）及時通報外包活動的突發(fā)性事件；（三）配合銀行業(yè)金融機構(gòu)接受銀行業(yè)監(jiān)督管理機構(gòu)的檢查；（四）保障客戶信息的安全性，當(dāng)客戶信息不安全或客戶權(quán)利受到影響時，銀行業(yè)金融機構(gòu)有權(quán)隨時終止外包合同；（五）不得以銀行業(yè)金融機構(gòu)的名義開展活動；（六）銀行業(yè)金融機構(gòu)認為應(yīng)當(dāng)承諾的其他事項。第二十三條 銀行業(yè)金融機構(gòu)在開展外包活動時如遇到對本機構(gòu)的業(yè)務(wù)經(jīng)營、客戶信息安全、聲譽等產(chǎn)生重大影響事件，應(yīng)當(dāng)及時向所在地銀行業(yè)監(jiān)督管理機構(gòu)報告。第二條第二條 本指引適用于銀行業(yè)金融機構(gòu)。第八條第八條 銀行業(yè)金融機構(gòu)的董事會或其他決策機構(gòu)負責(zé)信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風(fēng)險監(jiān)督管理；信息科技管理委員會、風(fēng)險管理委員會或其他負責(zé)風(fēng)險監(jiān)督的專業(yè)委員會應(yīng)制定信息系統(tǒng)總體策略，統(tǒng)籌信息系統(tǒng)項目建設(shè)，定期評估、報告本機構(gòu)信息系統(tǒng)風(fēng)險狀況，為決策層提供建議，采取相應(yīng)的風(fēng)險控制措施。第十六條第十六條 銀行業(yè)金融機構(gòu)應(yīng)采取措施防范自然災(zāi)害、運行環(huán)境變化等產(chǎn)生的安全威脅，防止各類突發(fā)事故和惡意攻擊。第二十二條第二十二條 銀行業(yè)金融機構(gòu)應(yīng)重視知識產(chǎn)權(quán)保護，使用正版軟件，加強軟件版本管理，優(yōu)先使用具有中國自主知識產(chǎn)權(quán)的軟、硬件產(chǎn)品；積極研發(fā)具有自主知識產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護本機構(gòu)信息化成果。第二十七條第二十七條 銀行業(yè)金融機構(gòu)應(yīng)加強數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、