中國銀監會關于印發銀行業金融機構全面風險管理指引的通知
中國銀監會關于印發銀行業金融機構全面風險管理指引的通知
中國銀行業監督管理委員會
中國銀監會關于印發銀行業金融機構全面風險管理指引的通知
中國銀監會關于印發銀行業金融機構全面風險管理指引的通知
銀監發〔2016〕44號
各銀監局,各政策性銀行、大型銀行、股份制銀行,郵儲銀行,外資銀行,金融資產管理公司,其他會管金融機構:
現將《銀行業金融機構全面風險管理指引》印發給你們,請遵照執行。
2016年9月27日
(此件發至銀監分局與地方法人銀行業金融機構)
銀行業金融機構全面風險管理指引
第一章 總則
第一條 為提高銀行業金融機構全面風險管理水平,促進銀行業體系安全穩健運行,根據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等法律法規,制定本指引。
第二條 本指引適用于在中華人民共和國境內依法設立的銀行業金融機構。
本指引所稱銀行業金融機構,是指在中華人民共和國境內設立的商業銀行、農村信用合作社等吸收公眾存款的金融機構、政策性銀行以及國家開發銀行。
第三條 銀行業金融機構應當建立全面風險管理體系,采取定性和定量相結合的方法,識別、計量、評估、監測、報告、控制或緩釋所承擔的各類風險。
各類風險包括信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰略風險、信息科技風險以及其他風險。
銀行業金融機構的全面風險管理體系應當考慮風險之間的關聯性,審慎評估各類風險之間的相互影響,防范跨境、跨業風險。
第四條 銀行業金融機構全面風險管理應當遵循以下基本原則:
(一)匹配性原則。全面風險管理體系應當與風險狀況和系統重要性等相適應,并根據環境變化進行調整。
(二)全覆蓋原則。全面風險管理應當覆蓋各個業務條線,包括本外幣、表內外、境內外業務;覆蓋所有分支機構、附屬機構,部門、崗位和人員;覆蓋所有風險種類和不同風險之間的相互影響;貫穿決策、執行和監督全部管理環節。
(三)獨立性原則。銀行業金融機構應當建立獨立的全面風險管理組織架構,賦予風險管理條線足夠的授權、人力資源及其他資源配置,建立科學合理的報告渠道,與業務條線之間形成相互制衡的運行機制。
(四)有效性原則。銀行業金融機構應當將全面風險管理的結果應用于經營管理,根據風險狀況、市場和宏觀經濟情況評估資本和流動性的充足性,有效抵御所承擔的總體風險和各類風險。
第五條 銀行業金融機構全面風險管理體系應當包括但不限于以下要素:
(一)風險治理架構;
(二)風險管理策略、風險偏好和風險限額;
(三)風險管理政策和程序;
(四)管理信息系統和數據質量控制機制;
(五)內部控制和審計體系。
第六條 銀行業金融機構應當推行穩健的風險文化,形成與本機構相適應的風險管理理念、價值準則、職業操守,建立培訓、傳達和監督機制,推動全體工作人員理解和執行。
第七條 銀行業金融機構應當承擔全面風險管理的主體責任,建立全面風險管理制度,保障制度執行,對全面風險管理體系進行自我評估,健全自我約束機制。
第八條 銀行業監督管理機構依法對銀行業金融機構全面風險管理實施監管。
第九條 銀行業金融機構應當按照銀行業監督管理機構的規定,向公眾披露全面風險管理情況。
第二章 風險治理架構
第十條 銀行業金融機構應當建立組織架構健全、職責邊界清晰的風險治理架構,明確董事會、監事會、高級管理層、業務部門、風險管理部門和內審部門在風險管理中的職責分工,建立多層次、相互銜接、有效制衡的運行機制。
第十一條 銀行業金融機構董事會承擔全面風險管理的最終責任,履行以下職責:
(一)建立風險文化;
(二)制定風險管理策略;
(三)設定風險偏好和確保風險限額的設立;
(四)審批重大風險管理政策和程序;
(五)監督高級管理層開展全面風險管理;
(六)審議全面風險管理報告;
(七)審批全面風險和各類重要風險的信息披露;
(八)聘任風險總監(首席風險官)或其他高級管理人員,牽頭負責全面風險管理;
(九)其他與風險管理有關的職責。
董事會可以授權其下設的風險管理委員會履行其全面風險管理的部分職責。
第十二條 銀行業金融機構應當建立風險管理委員會與董事會下設的戰略委員會、審計委員會、提名委員會等其他專門委員會的溝通機制,確保信息充分共享并能夠支持風險管理相關決策。
第十三條 銀行業金融機構監事會承擔全面風險管理的監督責任,負責監督檢查董事會和高級管理層在風險管理方面的履職盡責情況并督促整改。相關監督檢查情況應當納入監事會工作報告。
第十四條 銀行業金融機構高級管理層承擔全面風險管理的實施責任,執行董事會的決議,履行以下職責:
(一)建立適應全面風險管理的經營管理架構,明確全面風險管理職能部門、業務部門以及其他部門在風險管理中的職責分工,建立部門之間相互協調、有效制衡的運行機制;
(二)制定清晰的執行和問責機制,確保風險管理策略、風險偏好和風險限額得到充分傳達和有效實施;
(三)根據董事會設定的風險偏好,制定風險限額,包括但不限于行業、區域、客戶、產品等維度;
(四)制定風險管理政策和程序,定期評估,必要時予以調整;
(五)評估全面風險和各類重要風險管理狀況并向董事會報告;
(六)建立完備的管理信息系統和數據質量控制機制;
(七)對突破風險偏好、風險限額以及違反風險管理政策和程序的情況進行監督,根據董事會的授權進行處理;
(八)風險管理的其他職責。
第十五條 規模較大或業務復雜的銀行業金融機構應當設立風險總監(首席風險官)。董事會應當將風險總監(首席風險官)納入高級管理人員。風險總監(首席風險官)或其他牽頭負責全面風險管理的高級管理人員應當保持充分的獨立性,獨立于操作和經營條線,可以直接向董事會報告全面風險管理情況。
調整風險總監(首席風險官)應當事先得到董事會批準,并公開披露。銀行業金融機構應當向銀行業監督管理機構報告調整風險總監(首席風險官)的原因。
第十六條 銀行業金融機構應當確定業務條線承擔風險管理的直接責任;風險管理條線承擔制定政策和流程,監測和管理風險的責任;內審部門承擔業務部門和風險管理部門履職情況的審計責任。
第十七條 銀行業金融機構應當設立或者指定部門負責全面風險管理,牽頭履行全面風險的日常管理,包括但不限于以下職責:
(一)實施全面風險管理體系建設;
(二)牽頭協調識別、計量、評估、監測、控制或緩釋全面風險和各類重要風險,及時向高級管理人員報告;
(三)持續監控風險管理策略、風險偏好、風險限額及風險管理政策和程序的執行情況,對突破風險偏好、風險限額以及違反風險管理政策和程序的情況及時預警、報告并提出處理建議;
(四)組織開展風險評估,及時發現風險隱患和管理漏洞,持續提高風險管理的有效性。
第十八條 銀行業金融機構應當采取必要措施,保證全面風險管理的政策流程在基層分支機構得到理解與執行,建立與基層分支機構風險狀況相匹配的風險管理架構。
在境外設有機構的銀行業金融機構應當建立適當的境外風險管理框架、政策和流程。
第十九條 銀行業金融機構應當賦予全面風險管理職能部門和各類風險管理部門充足的資源、獨立性、授權,保證其能夠及時獲得風險管理所需的數據和信息,滿足履行風險管理職責的需要。
第三章 風險管理策略、風險偏好和風險限額
第二十條 銀行業金融機構應當制定清晰的風險管理策略,至少每年評估一次其有效性。風險管理策略應當反映風險偏好、風險狀況以及市場和宏觀經濟變化,并在銀行內部得到充分傳導。
第二十一條 銀行業金融機構應當制定書面的風險偏好,做到定性指標和定量指標并重。風險偏好的設定應當與戰略目標、經營計劃、資本規劃、績效考評和薪酬機制銜接,在機構內傳達并執行。
銀行業金融機構應當每年對風險偏好至少進行一次評估。
第二十二條 銀行業金融機構制定的風險偏好,應當包括但不限于以下內容:
(一)戰略目標和經營計劃的制定依據,風險偏好與戰略目標、經營計劃的關聯性;
(二)為實現戰略目標和經營計劃愿意承擔的風險總量;
(三)愿意承擔的各類風險的最大水平;
(四)風險偏好的定量指標,包括利潤、風險、資本、流動性以及其他相關指標的目標值或目標區間。上述定量指標通過風險限額、經營計劃、績效考評等方式傳導至業務條線、分支機構、附屬機構的安排;
(五)對不能定量的風險偏好的定性描述,包括承擔此類風險的原因、采取的管理措施;
(六)資本、流動性抵御總體風險和各類風險的水平;
(七)可能導致偏離風險偏好目標的情形和處置方法。
銀行業金融機構應當在書面的風險偏好中明確董事會、高級管理層和首席風險官、業務條線、風險部門在制定和實施風險偏好過程中的職責。
第二十三條 銀行業金融機構應當建立監測分析各業務條線、分支機構、附屬機構執行風險偏好的機制。
當風險偏好目標被突破時,應當及時分析原因,制定解決方案并實施。
第二十四條 銀行業金融機構應當建立風險偏好的調整制度。根據業務規模、復雜程度、風險狀況的變化,對風險偏好進行調整。
第二十五條 銀行業金融機構應當制定風險限額管理的政策和程序,建立風險限額設定、限額調整、超限額報告和處理制度。
銀行業金融機構應當根據風險偏好,按照客戶、行業、區域、產品等維度設定風險限額。風險限額應當綜合考慮資本、風險集中度、流動性、交易目的等。
全面風險管理職能部門應當對風險限額進行監控,并向董事會或高級管理層報送風險限額使用情況。
風險限額臨近監管指標限額時,銀行業金融機構應當啟動相應的糾正措施和報告程序,采取必要的風險分散措施,并向銀行業監督管理機構報告。
第四章 風險管理政策和程序
第二十六條 銀行業金融機構應當制定風險管理政策和程序,包括但不限于以下內容:
(一)全面風險管理的方法,包括各類風險的識別、計量、評估、監測、報告、控制或緩釋,風險加總的方法和程序;
(二)風險定性管理和定量管理的方法;
(三)風險管理報告;
(四)壓力測試安排;
(五)新產品、重大業務和機構變更的風險評估;
(六)資本和流動性充足情況評估;
(七)應急計劃和恢復計劃。
第二十七條 銀行業金融機構應當在集團和法人層面對各附屬機構、分支機構、業務條線,對表內和表外、境內和境外、本幣和外幣業務涉及的各類風險,進行識別、計量、評估、監測、報告、控制或緩釋。
銀行業金融機構應當制定每項業務對應的風險管理政策和程序。未制定的,不得開展該項業務。
銀行業金融機構應當有效評估和管理各類風險。對能夠量化的風險,應當通過風險計量技術,加強對相關風險的計量、控制、緩釋;對難以量化的風險,應當建立風險識別、評估、控制和報告機制,確保相關風險得到有效管理。
第二十八條 銀行業金融機構應當建立風險統一集中管理的制度,確保全面風險管理對各類風險管理的統領性、各類風險管理與全面風險管理政策和程序的一致性。
第二十九條 銀行業金融機構應當建立風險加總的政策、程序,選取合理可行的加總方法,充分考慮集中度風險及風險之間的相互影響和相互傳染,確保在不同層次上和總體上及時識別風險。
第三十條 銀行業金融機構采用內部模型計量風險的,應當遵守相關監管要求,確保風險計量的一致性、客觀性和準確性。董事會和高級管理層應當理解模型結果的局限性、不確定性和模型使用的固有風險。
第三十一條 銀行業金融機構應當建立全面風險管理報告制度,明確報告的內容、頻率和路線。
報告內容至少包括總體風險和各類風險的整體狀況;風險管理策略、風險偏好和風險限額的執行情況;風險在行業、地區、客戶、產品等維度的分布;資本和流動性抵御風險的能力。
第三十二條 銀行業金融機構應當建立壓力測試體系,明確壓力測試的治理結構、政策文檔、方法流程、情景設計、保障支持、驗證評估以及壓力測試結果運用。
銀行業金融機構應當定期開展壓力測試。壓力測試的開展應當覆蓋各類風險和表內外主要業務領域,并考慮各類風險之間的相互影響。
壓力測試結果應當運用于銀行業金融機構的風險管理和各項經營管理決策中。
第三十三條 銀行業金融機構應當建立專門的政策和流程,評估開發新產品、對現有產品進行重大改動、拓展新的業務領域、設立新機構、從事重大收購和投資等可能帶來的風險,并建立內部審批流程和退出安排。銀行業金融機構開展上述活動時,應當經風險管理部門審查同意,并經董事會或董事會指定的專門委員會批準。
第三十四條 銀行業金融機構應當根據風險偏好和風險狀況及時評估資本和流動性的充足情況,確保資本、流動性能夠抵御風險。
第三十五條 銀行業金融機構應當制定應急計劃,確保能夠及時應對和處理緊急或危機情況。應急計劃應當說明可能出現的風險以及在壓力情況(包括會嚴重威脅銀行生存能力的壓力情景)下應當采取的措施。銀行業金融機構的應急計劃應當涵蓋對境外分支機構和附屬機構的應急安排。銀行業金融機構應當定期更新、演練或測試上述計劃,確保其充分性和可行性。
第三十六條 銀行業金融機構應當按照相關監管要求,根據風險狀況和系統重要性,制定并定期更新完善本機構的恢復計劃,明確本機構在壓力情況下能夠繼續提供持續穩定運營的各項關鍵性金融服務并恢復正常運營的行動方案。
第三十七條 銀行業金融機構應當制定覆蓋其附屬機構的風險管理政策和程序,保持風險管理的一致性、有效性。銀行業金融機構應當要求并確保各附屬機構在整體風險偏好和風險管理政策框架下,建立自身的風險管理組織架構、政策流程,促進全面風險管理的一致性和有效性。
銀行業金融機構應當建立健全風險隔離制度,規范內部交易,防止風險傳染。
第三十八條 銀行業金融機構應當制定外包風險管理制度,確定與其風險管理水平相適應的外包活動范圍。
第三十九條 銀行業金融機構應當將風險管理策略、風險偏好、風險限額、風險管理政策和程序等要素與資本管理、業務管理相結合,在戰略和經營計劃制定、新產品審批、內部定價、績效考評和薪酬激勵等日常經營管理中充分應用并有效實施。
第四十條 銀行業金融機構應當對風險管理策略、風險偏好、風險限額、風險管理政策和程序建立規范的文檔記錄。
第五章 管理信息系統和數據質量
第四十一條 銀行業金融機構應當具備完善的風險管理信息系統,能夠在集團和法人層面計量、評估、展示、報告所有風險類別、產品和交易對手風險暴露的規模和構成。
第四十二條 銀行業金融機構相關風險管理信息系統應當具備以下主要功能,支持風險報告和管理決策的需要:
(一)支持識別、計量、評估、監測和報告所有類別的重要風險;
(二)支持風險限額管理,對超出風險限額的情況進行實時監測、預警和控制;
(三)能夠計量、評估和報告所有風險類別、產品和交易對手的風險狀況,滿足全面風險管理需要;
(四)支持按照業務條線、機構、資產類型、行業、地區、集中度等多個維度展示和報告風險暴露情況;
(五)支持不同頻率的定期報告和壓力情況下的數據加工和風險加總需求;
(六)支持壓力測試工作,評估各種不利情景對銀行業金融機構及主要業務條線的影響。
第四十三條 銀行業金融機構應當建立與業務規模、風險狀況等相匹配的信息科技基礎設施。
第四十四條 銀行業金融機構應當建立健全數據質量控制機制,積累真實、準確、連續、完整的內部和外部數據,用于風險識別、計量、評估、監測、報告,以及資本和流動性充足情況的評估。
第六章 內部控制和審計
第四十五條 銀行業金融機構應當合理確定各項業務活動和管理活動的風險控制點,采取適當的控制措施,執行標準統一的業務流程和管理流程,確保規范運作。
第四十六條 銀行業金融機構應當將全面風險管理納入內部審計范疇,定期審查和評價全面風險管理的充分性和有效性。
銀行業金融機構內部審計活動應獨立于業務經營、風險管理和合規管理,遵循獨立性、客觀性原則,不斷提升內部審計人員的專業能力和職業操守。
全面風險管理的內部審計報告應當直接提交董事會和監事會。董事會應當針對內部審計發現的問題,督促高級管理層及時采取整改措施。內部審計部門應當跟蹤檢查整改措施的實施情況,并及時向董事會提交有關報告。
第七章 監督管理
第四十七條 銀行業金融機構應當將風險管理策略、風險偏好、重大風險管理政策和程序等報送銀行業監督管理機構,并至少按年度報送全面風險管理報告。
第四十八條 銀行業監督管理機構應當將銀行業金融機構全面風險管理納入法人監管體系中,并根據本指引全面評估銀行業金融機構風險管理體系的健全性和有效性,提出監管意見,督促銀行業金融機構持續加以完善。
第四十九條 銀行業監督管理機構通過非現場監管和現場檢查等實施對銀行業金融機構全面風險管理的持續監管,具體方式包括但不限于監管評級、風險提示、現場檢查、監管通報、監管會談、與內外部審計師會談等。
第五十條 銀行業監督管理機構應當就全面風險管理情況與銀行業金融機構董事會、監事會、高級管理層等進行充分溝通,并視情況在銀行業金融機構董事會、監事會會議上通報。
第五十一條 對不能滿足本指引及其他規范性文件中關于全面風險管理要求的銀行業金融機構,銀行業監督管理機構可以要求其制定整改方案,責令限期改正,并視情況采取相應的監管措施。
第八章 附則
第五十二條 各類具體風險的監管要求按照銀行業監督管理機構的有關規定執行。
第五十三條 經銀行業監督管理機構批準設立的其他金融機構參照本指引執行。
第五十四條 本指引自2016年11月1日起施行。本指引實施前已有規范性文件如與本指引不一致的,按照本指引執行。
