【正文】 更內容核實清單。第四十九條第四十九條 銀行業(yè)金融機構應對機房環(huán)境設施實行日常巡檢，明確信息系統(tǒng)及機房環(huán)境設施出現故障時的應急處理流程和預案，有實時交易服務的數據中心應實行24小時值班。第六章 外包風險控制第五十一條第五十一條 外包風險是指銀行業(yè)金融機構將信息系統(tǒng)的規(guī)劃、研發(fā)、建設、運行、維護、監(jiān)控等委托給業(yè)務合作伙伴或外部技術供應商時形成的風險。第五十三條第五十三條 銀行業(yè)金融機構應建立健全外包承包方評估機制，充分審查、評估承包方的經營狀況、財務實力、誠信歷史、安全資質、技術服務能力和實際風險控制與責任承擔水平，并進行必要的盡職調查。第五十四條第五十四條 銀行業(yè)金融機構應當與承包方簽訂書面合同，明確雙方的權利、義務，并規(guī)定承包方在安全、保密、知識產權方面的義務和責任。第五十六條第五十六條 銀行業(yè)金融機構應建立完整的信息系統(tǒng)外包風險評估與監(jiān)測程序，審慎管理外包產生的風險，提高本機構對外包管理的能力。第五十八條第五十八條 銀行業(yè)金融機構應與外包承包方建立有效的聯絡、溝通和信息交流機制，并制定在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷的應急預案。第七章 審 計第六十條第六十條 銀行業(yè)金融機構內設審計部門負責本機構信息系統(tǒng)審計，也可聘請經國家相應監(jiān)管部門認定資質的中介機構進行信息系統(tǒng)外部審計。第六十二條第六十二條 總體風險審計是指對本機構所有信息系統(tǒng)共有的公共部分進行審計，實施總體風險控制。第六十三條第六十三條 信息系統(tǒng)的系統(tǒng)審閱是指對研發(fā)、運行及退出的全過程進行審計，分投產前與投產后的審閱。信息系統(tǒng)投產前的系統(tǒng)審閱應關注信息系統(tǒng)的安全控制、權限設置、正確性、連貫性、完整性、可審計性和及時性等內容。第六十五條第六十五條 投產前的系統(tǒng)審閱文檔資料包括：（一）項目可行性報告；（二）項目需求說明書；（三）項目功能說明書（包括業(yè)務與技術方面存在的風險及控制辦法）；（四）項目總體技術框架；（五）項目設計說明書；（六）項目實施計劃；（七）與第三方簽訂的外包協(xié)議；（八）測試計劃及驗收報告；（九）投產計劃；（十）項目開發(fā)例會的會議記錄；（十一）操作手冊；（十二）其他需審閱的文檔資料。第六十六條第六十六條 投產后的系統(tǒng)審閱是指在信息系統(tǒng)投入生產一段時間后進行的審計，旨在評估對信息系統(tǒng)各項風險的控制是否恰當，能否實現預定的設計目標。第六十七條第六十七條 信息系統(tǒng)專項風險審計是指對被審計單位發(fā)生信息安全事故進行的調查、分析和評估，或原有信息系統(tǒng)進行重大結構調整的審計，或審計部門認為需要對信息系統(tǒng)某項專題進行審計。第六十九條第六十九條 中介機構根據銀監(jiān)會或其派出機構委托或授權對銀行業(yè)金融機構進行審計時，應出示委托授權書，并依照委托授權書上規(guī)定的委托和授權范圍進行審計。第七十一條第七十一條 中介機構應嚴格執(zhí)行法律法規(guī)，保守被審計單位的商業(yè)秘密和風險信息。第八章 附 則第七十二條第七十二條 本指引由中國銀行業(yè)監(jiān)督管理委員會負責解釋、修訂。本內容來源于政府官方網站，如需引用，請以正式文件為準。公眾可以通過以下途徑反饋意見：一、通過電子郵件。三、通過信函方式將意見寄至：北京市西城區(qū)金融大街甲15號中國銀監(jiān)會審慎規(guī)制局（郵編：100140），并請在信封上注明“全面風險管理征求意見”字樣。[1]中國銀監(jiān)會2016年7月6日銀行業(yè)金融機構全面風險管理指引[1]（征求意見稿）第一章 總則第一條（立法依據）為提高銀行業(yè)金融機構全面風險管理水平，促進銀行體系安全穩(wěn)健運行，根據《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本指引。本指引所稱銀行業(yè)金融機構，是指在中華人民共和國境內設立的商業(yè)銀行、城市信用合作社、農村信用合作社等吸收公眾存款的金融機構以及開發(fā)性金融機構、政策性銀行。各類風險包括信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰(zhàn)略風險、信息科技風險以及其他風險。第四條（總體要求管理原則）銀行業(yè)金融機構全面風險管理應當遵循以下基本原則：（一）匹配性原則。（二）全覆蓋原則。（三）獨立性原則。（四）有效性原則。第五條（全面風險管理要素）銀行業(yè)金融機構全面風險管理體系應當包括但不限于以下要素：（一）風險治理架構；（二）風險管理策略、風險偏好和風險限額；（三）風險管理政策和程序；（四）管理信息系統(tǒng)和數據質量控制機制；（五）內部控制和審計體系。第七條（責任主體）銀行業(yè)金融機構應當承擔全面風險管理的主體責任，建立全面風險管理制度，保障制度執(zhí)行，對全面風險管理體系自我評估，健全自我約束機制。第九條（披露要求）銀行業(yè)金融機構應當按照銀行業(yè)監(jiān)督管理機構的規(guī)定，向公眾披露全面風險管理情況。第十一條（董事會職責）銀行業(yè)金融機構董事會承擔全面風險管理的最終責任，履行以下職責：（一）建立風險文化；（二）制定風險管理策略；（三）設定的風險偏好和風險限額；（四）審批風險管理政策和程序；（五）監(jiān)督高級管理層開展全面風險管理；（六）審議全面風險管理報告；（七）審批全面風險和各類重要風險的信息披露；（八）聘任風險總監(jiān)（首席風險官）或其他高級管理人員，牽頭負責全面風險管理；（九）其他與風險管理有關的職責。第十二條（委員會間的溝通機制）銀行業(yè)金融機構應當建立風險管理委員會與董事會下設的戰(zhàn)略委員會、審計委員會、提名委員會等其他專門委員會的溝通機制，確保信息充分共享并能夠支持風險管理相關決策。相關監(jiān)督檢查情況應當納入監(jiān)事會工作報告。第十五條（風險總監(jiān)或獨立高管）規(guī)模較大或業(yè)務復雜的銀行業(yè)金融機構應當設立風險總監(jiān)（首席風險官）。風險總監(jiān)（首席風險官）或其他牽頭負責全面風險管理的高級管理人員應當保持充分的獨立性，不得分管業(yè)務經營條線，可以直接向董事會報告全面風險管理情況。銀行業(yè)金融機構應當向銀行業(yè)監(jiān)督管理機構報告風險總監(jiān)（首席風險官）的調整原因。第十七條（全面風險管理職能部門職責）銀行業(yè)金融機構應當設立或者指定部門負責全面風險管理，牽頭履行全面風險的日常管理，包括但不限于以下職責：（一）實施全面風險管理體系建設，牽頭協(xié)調各類具體風險管理部門；（二）識別、計量、評估、監(jiān)測、控制或緩釋全面風險和各類重要風險，及時向高級管理人員報告；（三）持續(xù)監(jiān)控風險偏好、風險管理策略、風險限額及風險管理政策和程序的執(zhí)行情況，對突破風險偏好、風險限額以及違反風險管理政策和程序的情況及時預警、報告并提出處理建議。第十八條（分支機構要求）銀行業(yè)金融機構應當采取必要措施，保證全面風險管理的政策流程在基層分支機構得到理解與執(zhí)行，建立與基層分支機構風險狀況相匹配的風險管理架構。第十九條（資源保障）銀行業(yè)金融機構應當賦予全面風險管理職能部門和各類風險管理部門充足的資源、獨立性、授權，保證其能夠及時獲得風險管理所需的數據和信息，滿足履行風險管理職責的需要。風險管理策略應當反映風險偏好、風險狀況以及市場和宏觀經濟變化，并在銀行內部得到充分傳導。風險偏好的設定應當與戰(zhàn)略目標、經營計劃、資本規(guī)劃、績效考評和薪酬機制銜接，在全行傳達并執(zhí)行。第二十二條（風險偏好內容）銀行業(yè)金融機構制定的風險偏好，應當包括但不限于以下內容：（一）戰(zhàn)略目標和經營計劃的制定依據，風險偏好與戰(zhàn)略目標、經營計劃的關聯性；（二）為實現戰(zhàn)略目標和經營計劃愿意承擔的風險總量；（三）愿意承擔的各類風險的最大水平；（四）風險偏好的定量指標，包括利潤、風險、資本、流動性以及其他相關指標的目標值或目標區(qū)間。風險偏好應當明確董事會、高級管理層和首席風險官、業(yè)務條線、風險部門和審計部門在制定和實施風險偏好過程中的職責。當風險偏好目標被突破時，應當及時分析原因、制定解決方案并實施。根據業(yè)務規(guī)模、復雜程度、風險狀況的變化，對風險偏好進行調整。銀行業(yè)金融機構應當根據風險偏好，按照客戶、行業(yè)、區(qū)域、產品等維度設定風險限額。全面風險管理職能部門應當對風險限額進行監(jiān)控，并向董事會和高級管理層報送風險限額使用情況。第二十七條（風險的識別、計量、評估、監(jiān)測、報告和控制或緩釋）銀行業(yè)金融機構應當在集團和法人層面對各附屬機構、分支機構、業(yè)務條線，對表內和表外、境內和境外、本幣和外幣業(yè)務涉及的各類風險，進行識別、計量、評估、監(jiān)測、報告、控制或緩釋。未制定的，不得開展該項業(yè)務。對能夠量化的風險，應當通過風險計量技術，加強對相關風險的計量、控制、緩釋；對難以量化的風險，應當建立風險識別、評估、控制和報告機制，確保相關風險得到有效管理。第二十九條（風險加總的方法和程序）銀行業(yè)金融機構應當建立風險加總的政策、程序，選取合理可行的加總方法，充分考慮集中度風險及風險之間的相互影響和相互傳染，確保在不同層次上和總體上及時識別風險。董事會和高級管理層應當理解模型結果的局限性、不確定性和模型使用的固有風險。報告內容至少包括總體風險和各類風險的整體狀況；風險管理策略、風險偏好和風險限額的執(zhí)行情況；風險在行業(yè)、地區(qū)、客戶、產品等維度的分布；資本和流動性抵御風險的水平。銀行業(yè)金融機構應當定期開展壓力測試。壓力測試結果應當運用于銀行業(yè)金融機構的風險管理和各項經營管理決策中。銀行業(yè)金融機構開展上述活動時，應當經風險管理部門審查同意，并經董事會或董事會指定的專門委員會批準。第三十五條（應急計劃）銀行業(yè)金融機構應當制定應急計劃，確保能夠及時應對和處理緊急或危機情況。銀行業(yè)金融機構的應急計劃應當涵蓋對境外分支機構和附屬機構的應急安排。第三十六條（恢復計劃）銀行業(yè)金融機構應當按照相關監(jiān)管規(guī)定的要求，根據銀行的風險狀況和系統(tǒng)重要性，制定并定期更新完善本機構的恢復計劃，明確本機構在壓力情況下能夠繼續(xù)提供持續(xù)穩(wěn)定運營的各項關鍵性金融服務并恢復正常運營的行動方案。銀行業(yè)金融機構應當要求并確保各附屬機構在整體風險偏好和風險管理政策框架下，建立自身的風險管理組織架構、政策流程，促進全面風險管理的一致性和有效性。第三十八條（外包風險管理）銀行業(yè)金融機構應當制定外包風險管理制度，確定與其風險管理水平相適應的外包活動范圍。第四十條（文檔管理）銀行業(yè)金融機構應當對風險偏好、風險管理策略、風險限額、風險管理政策和程序建立規(guī)范的文檔記錄。第四十二條（系統(tǒng)功能）銀行業(yè)金融機構相關風險管理信息系統(tǒng)應當具備以下主要功能，支持風險報告和管理決策的需要。（四）支持按照業(yè)務條線、機構、資產類型、行業(yè)、地區(qū)、集中度等多個維度展示和報告風險暴露情況；（五）支持不同頻率的定期報告和壓力情況下的數據加工和風險加總需求；（六）支持壓力測試工作，評估各種不利情景對全行及主要業(yè)務條線的影響； 第四十三條（信息科技基礎設施）銀行業(yè)金融機構應當建立與業(yè)務規(guī)模、風險狀況等相匹配的信息科技基礎設施。第六章 內部控制和審計第四十五條（內控要求）銀行業(yè)金融機構應當合理確定各項業(yè)務活動和管理活動的風險控制點，采取適當的控制措施，執(zhí)行標準統(tǒng)一的業(yè)務流程和管理流程，確保規(guī)范運作。銀行業(yè)金融機構內部審計活動應獨立于業(yè)務經營、風險管理和合規(guī)管理，遵循獨立性、客觀性原則，不斷提升內部審計人員的專業(yè)能力和職業(yè)操守。董事會應當針對內部審計發(fā)現的問題，督促高級管理層及時采取整改措施。第七章 監(jiān)督管理第四十七條（報備及報告要求）銀行業(yè)金融機構應當將風險管理策略、風險偏好、風險限額、風險管理政策和程序等報送銀行業(yè)監(jiān)督管理機構，并至少按報送全面風險管理報告。第四十九條（監(jiān)管方式）銀行業(yè)監(jiān)督管理機構通過非現場監(jiān)管和現場檢查等實施對銀行業(yè)金融機構全面風險管理的持續(xù)監(jiān)管，具體方式包括但不限于監(jiān)管評級、風險提示、現場檢查、監(jiān)管通報、監(jiān)管會談、與內外部審計師會談等。第五十一條（監(jiān)管措施）對不能滿足本指引及其他關于全面風險管理要求的銀行業(yè)金融機構，銀行業(yè)監(jiān)督管理機構可以要求其制定整改方案，責令限期改正，并視情況采取相應的監(jiān)管措施。第五十三條（參照執(zhí)行）經銀行業(yè)監(jiān)督管理機構批準設立的其他金融機構參照本指引執(zhí)行。本指引實施前發(fā)布的有關規(guī)范性文件如與本指引不一致的，按照本指引執(zhí)行。銀監(jiān)會有關部門負責人就《指引》相關問題回答了記者的提問。近年來，銀監(jiān)會陸續(xù)制定了各類審慎監(jiān)管規(guī)則，覆蓋了資本管理、信用風險、市場風險、流動性風險、操作風險、并表管理等各個領域，比較系統(tǒng)，但仍然缺乏一個針對全面風險管理的統(tǒng)領性、綜合性規(guī)則。二是銀行業(yè)金融機構全面風險管理實踐有待完善。第二，中小銀行業(yè)金融機構全面風險管理體系建設起步相對較晚，精細化程度有待提高。三是國際監(jiān)管改革對風險管理提出了新的要求。2012年，巴塞爾委員會修訂了《有效銀行監(jiān)管核心原則》，完善和細化了原則15“風險管理體系”的各項標準。《指引》的制定既是積極適應國際監(jiān)管改革新要求的結果，又有助于提升我國銀行業(yè)風險管理水平。二是提出風險管理的統(tǒng)領性框架，強化全面性和關聯性視角。四是引入《核心原則》最低標準，反映國際監(jiān)管改革最新成果。六是注重與已有規(guī)制的銜接。全面風險管理體系應當與風險狀況和系統(tǒng)重要性等相適應，并根據環(huán)境變化進行調整。全面風險管理應當覆蓋各個業(yè)務條線，包括本外幣、表內外、境內外業(yè)務；覆蓋所有分支機構、附屬機構，部門、崗位和人員；覆蓋所有風險種類和不同風險之間的相互影響；貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。銀行業(yè)金融機構應當建立獨立的全面風險管理組織架構，賦予風險管理條線足夠的授權、人力資源及其他資源配置，建立科學合理的報告渠道，與業(yè)務條線之間形成相互制衡的運行機制。銀行業(yè)金融機構應當將全面風險管理的結果應用于經營管理，根據風險狀況、市場和宏觀經濟情況評估資本和流動性的充足性，有效抵御所承擔的總體風險和各類風險?！吨敢穼σ陨弦氐木唧w內容也進行了規(guī)定。關于風險限額，《指引》提出，銀行業(yè)金融機構應當制定風險限額管理的政策和程序，建立風險限額設定、限額調整、超限額報告和處理制度。五、《指引》對全面風險管理的責任主體提出哪些要求？答：《指引》采用了風險管理“三道防線”的理念，強調銀行業(yè)金融機構董事會承擔全面風險管理的最終責任。銀行業(yè)金融機構應當設立或指定部門負責全面風險管理，牽頭履行全面風險的日常管理。六、《指引》是否充分考慮各類機構的差異性？答：《指引》定位于為銀行業(yè)金融機構完善全面風險管理