中國銀行業(yè)監(jiān)督管理委員會

中國銀監(jiān)會關于印發(fā)銀行業(yè)金融機構全面風險管理指引的通知

銀監(jiān)發(fā)〔2016〕44號


各銀監(jiān)局，各政策性銀行、大型銀行、股份制銀行，郵儲銀行，外資銀行，金融資產(chǎn)管理公司，其他會管金融機構：
現(xiàn)將《銀行業(yè)金融機構全面風險管理指引》印發(fā)給你們，請遵照執(zhí)行。

2016年9月27日
（此件發(fā)至銀監(jiān)分局與地方法人銀行業(yè)金融機構）




銀行業(yè)金融機構全面風險管理指引

第一章 總則

第一條 為提高銀行業(yè)金融機構全面風險管理水平，促進銀行業(yè)體系安全穩(wěn)健運行，根據(jù)《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等法律法規(guī)，制定本指引。
第二條 本指引適用于在中華人民共和國境內(nèi)依法設立的銀行業(yè)金融機構。
本指引所稱銀行業(yè)金融機構，是指在中華人民共和國境內(nèi)設立的商業(yè)銀行、農(nóng)村信用合作社等吸收公眾存款的金融機構、政策性銀行以及國家開發(fā)銀行。
第三條 銀行業(yè)金融機構應當建立全面風險管理體系，采取定性和定量相結合的方法，識別、計量、評估、監(jiān)測、報告、控制或緩釋所承擔的各類風險。
各類風險包括信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰(zhàn)略風險、信息科技風險以及其他風險。
銀行業(yè)金融機構的全面風險管理體系應當考慮風險之間的關聯(lián)性，審慎評估各類風險之間的相互影響，防范跨境、跨業(yè)風險。
第四條 銀行業(yè)金融機構全面風險管理應當遵循以下基本原則：
（一）匹配性原則。全面風險管理體系應當與風險狀況和系統(tǒng)重要性等相適應，并根據(jù)環(huán)境變化進行調(diào)整。
（二）全覆蓋原則。全面風險管理應當覆蓋各個業(yè)務條線，包括本外幣、表內(nèi)外、境內(nèi)外業(yè)務；覆蓋所有分支機構、附屬機構，部門、崗位和人員；覆蓋所有風險種類和不同風險之間的相互影響；貫穿決策、執(zhí)行和監(jiān)督全部管理環(huán)節(jié)。
（三）獨立性原則。銀行業(yè)金融機構應當建立獨立的全面風險管理組織架構，賦予風險管理條線足夠的授權、人力資源及其他資源配置，建立科學合理的報告渠道，與業(yè)務條線之間形成相互制衡的運行機制。
（四）有效性原則。銀行業(yè)金融機構應當將全面風險管理的結果應用于經(jīng)營管理，根據(jù)風險狀況、市場和宏觀經(jīng)濟情況評估資本和流動性的充足性，有效抵御所承擔的總體風險和各類風險。
第五條 銀行業(yè)金融機構全面風險管理體系應當包括但不限于以下要素：
（一）風險治理架構；
（二）風險管理策略、風險偏好和風險限額；
（三）風險管理政策和程序；
（四）管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機制；
（五）內(nèi)部控制和審計體系。
第六條 銀行業(yè)金融機構應當推行穩(wěn)健的風險文化，形成與本機構相適應的風險管理理念、價值準則、職業(yè)操守，建立培訓、傳達和監(jiān)督機制，推動全體工作人員理解和執(zhí)行。
第七條 銀行業(yè)金融機構應當承擔全面風險管理的主體責任，建立全面風險管理制度，保障制度執(zhí)行，對全面風險管理體系進行自我評估，健全自我約束機制。
第八條 銀行業(yè)監(jiān)督管理機構依法對銀行業(yè)金融機構全面風險管理實施監(jiān)管。
第九條 銀行業(yè)金融機構應當按照銀行業(yè)監(jiān)督管理機構的規(guī)定，向公眾披露全面風險管理情況。

第二章 風險治理架構

第十條 銀行業(yè)金融機構應當建立組織架構健全、職責邊界清晰的風險治理架構，明確董事會、監(jiān)事會、高級管理層、業(yè)務部門、風險管理部門和內(nèi)審部門在風險管理中的職責分工，建立多層次、相互銜接、有效制衡的運行機制。
第十一條 銀行業(yè)金融機構董事會承擔全面風險管理的最終責任，履行以下職責：
（一）建立風險文化；
（二）制定風險管理策略；
（三）設定風險偏好和確保風險限額的設立；
（四）審批重大風險管理政策和程序；
（五）監(jiān)督高級管理層開展全面風險管理；
（六）審議全面風險管理報告；
（七）審批全面風險和各類重要風險的信息披露；
（八）聘任風險總監(jiān)（首席風險官）或其他高級管理人員，牽頭負責全面風險管理；
（九）其他與風險管理有關的職責。
董事會可以授權其下設的風險管理委員會履行其全面風險管理的部分職責。
第十二條 銀行業(yè)金融機構應當建立風險管理委員會與董事會下設的戰(zhàn)略委員會、審計委員會、提名委員會等其他專門委員會的溝通機制，確保信息充分共享并能夠支持風險管理相關決策。
第十三條 銀行業(yè)金融機構監(jiān)事會承擔全面風險管理的監(jiān)督責任，負責監(jiān)督檢查董事會和高級管理層在風險管理方面的履職盡責情況并督促整改。相關監(jiān)督檢查情況應當納入監(jiān)事會工作報告。
第十四條 銀行業(yè)金融機構高級管理層承擔全面風險管理的實施責任，執(zhí)行董事會的決議，履行以下職責：
（一）建立適應全面風險管理的經(jīng)營管理架構，明確全面風險管理職能部門、業(yè)務部門以及其他部門在風險管理中的職責分工，建立部門之間相互協(xié)調(diào)、有效制衡的運行機制；
（二）制定清晰的執(zhí)行和問責機制，確保風險管理策略、風險偏好和風險限額得到充分傳達和有效實施；
（三）根據(jù)董事會設定的風險偏好，制定風險限額，包括但不限于行業(yè)、區(qū)域、客戶、產(chǎn)品等維度；
（四）制定風險管理政策和程序，定期評估，必要時予以調(diào)整；
（五）評估全面風險和各類重要風險管理狀況并向董事會報告；
（六）建立完備的管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量控制機制；
（七）對突破風險偏好、風險限額以及違反風險管理政策和程序的情況進行監(jiān)督，根據(jù)董事會的授權進行處理；
（八）風險管理的其他職責。
第十五條 規(guī)模較大或業(yè)務復雜的銀行業(yè)金融機構應當設立風險總監(jiān)（首席風險官）。董事會應當將風險總監(jiān)（首席風險官）納入高級管理人員。風險總監(jiān)（首席風險官）或其他牽頭負責全面風險管理的高級管理人員應當保持充分的獨立性，獨立于操作和經(jīng)營條線，可以直接向董事會報告全面風險管理情況。
調(diào)整風險總監(jiān)（首席風險官）應當事先得到董事會批準，并公開披露。銀行業(yè)金融機構應當向銀行業(yè)監(jiān)督管理機構報告調(diào)整風險總監(jiān)（首席風險官）的原因。
第十六條 銀行業(yè)金融機構應當確定業(yè)務條線承擔風險管理的直接責任；風險管理條線承擔制定政策和流程，監(jiān)測和管理風險的責任；內(nèi)審部門承擔業(yè)務部門和風險管理部門履職情況的審計責任。
第十七條 銀行業(yè)金融機構應當設立或者指定部門負責全面風險管理，牽頭履行全面風險的日常管理，包括但不限于以下職責：
（一）實施全面風險管理體系建設；
（二）牽頭協(xié)調(diào)識別、計量、評估、監(jiān)測、控制或緩釋全面風險和各類重要風險，及時向高級管理人員報告；
（三）持續(xù)監(jiān)控風險管理策略、風險偏好、風險限額及風險管理政策和程序的執(zhí)行情況，對突破風險偏好、風險限額以及違反風險管理政策和程序的情況及時預警、報告并提出處理建議；
（四）組織開展風險評估，及時發(fā)現(xiàn)風險隱患和管理漏洞，持續(xù)提高風險管理的有效性。
第十八條 銀行業(yè)金融機構應當采取必要措施，保證全面風險管理的政策流程在基層分支機構得到理解與執(zhí)行，建立與基層分支機構風險狀況相匹配的風險管理架構。
在境外設有機構的銀行業(yè)金融機構應當建立適當?shù)木惩怙L險管理框架、政策和流程。
第十九條 銀行業(yè)金融機構應當賦予全面風險管理職能部門和各類風險管理部門充足的資源、獨立性、授權，保證其能夠及時獲得風險管理所需的數(shù)據(jù)和信息，滿足履行風險管理職責的需要。

第三章 風險管理策略、風險偏好和風險限額

第二十條 銀行業(yè)金融機構應當制定清晰的風險管理策略，至少每年評估一次其有效性。風險管理策略應當反映風險偏好、風險狀況以及市場和宏觀經(jīng)濟變化，并在銀行內(nèi)部得到充分傳導。
第二十一條 銀行業(yè)金融機構應當制定書面的風險偏好，做到定性指標和定量指標并重。風險偏好的設定應當與戰(zhàn)略目標、經(jīng)營計劃、資本規(guī)劃、績效考評和薪酬機制銜接，在機構內(nèi)傳達并執(zhí)行。
銀行業(yè)金融機構應當每年對風險偏好至少進行一次評估。
第二十二條 銀行業(yè)金融機構制定的風險偏好，應當包括但不限于以下內(nèi)容：
（一）戰(zhàn)略目標和經(jīng)營計劃的制定依據(jù)，風險偏好與戰(zhàn)略目標、經(jīng)營計劃的關聯(lián)性；
（二）為實現(xiàn)戰(zhàn)略目標和經(jīng)營計劃愿意承擔的風險總量；
（三）愿意承擔的各類風險的最大水平；
（四）風險偏好的定量指標，包括利潤、風險、資本、流動性以及其他相關指標的目標值或目標區(qū)間。上述定量指標通過風險限額、經(jīng)營計劃、績效考評等方式傳導至業(yè)務條線、分支機構、附屬機構的安排；
（五）對不能定量的風險偏好的定性描述，包括承擔此類風險的原因、采取的管理措施；
（六）資本、流動性抵御總體風險和各類風險的水平；
（七）可能導致偏離風險偏好目標的情形和處置方法。
銀行業(yè)金融機構應當在書面的風險偏好中明確董事會、高級管理層和首席風險官、業(yè)務條線、風險部門在制定和實施風險偏好過程中的職責。
第二十三條 銀行業(yè)金融機構應當建立監(jiān)測分析各業(yè)務條線、分支機構、附屬機構執(zhí)行風險偏好的機制。
當風險偏好目標被突破時，應當及時分析原因，制定解決方案并實施。
第二十四條 銀行業(yè)金融機構應當建立風險偏好的調(diào)整制度。根據(jù)業(yè)務規(guī)模、復雜程度、風險狀況的變化，對風險偏好進行調(diào)整。
第二十五條 銀行業(yè)金融機構應當制定風險限額管理的政策和程序，建立風險限額設定、限額調(diào)整、超限額報告和處理制度。
銀行業(yè)金融機構應當根據(jù)風險偏好，按照客戶、行業(yè)、區(qū)域、產(chǎn)品等維度設定風險限額。風險限額應當綜合考慮資本、風險集中度、流動性、交易目的等。
全面風險管理職能部門應當對風險限額進行監(jiān)控，并向董事會或高級管理層報送風險限額使用情況。
風險限額臨近監(jiān)管指標限額時，銀行業(yè)金融機構應當啟動相應的糾正措施和報告程序，采取必要的風險分散措施，并向銀行業(yè)監(jiān)督管理機構報告。

第四章 風險管理政策和程序

第二十六條 銀行業(yè)金融機構應當制定風險管理政策和程序，包括但不限于以下內(nèi)容：
（一）全面風險管理的方法，包括各類風險的識別、計量、評估、監(jiān)測、報告、控制或緩釋，風險加總的方法和程序；
（二）風險定性管理和定量管理的方法；
（三）風險管理報告；
（四）壓力測試安排；
（五）新產(chǎn)品、重大業(yè)務和機構變更的風險評估；
（六）資本和流動性充足情況評估；
（七）應急計劃和恢復計劃。
第二十七條 銀行業(yè)金融機構應當在集團和法人層面對各附屬機構、分支機構、業(yè)務條線，對表內(nèi)和表外、境內(nèi)和境外、本幣和外幣業(yè)務涉及的各類風險，進行識別、計量、評估、監(jiān)測、報告、控制或緩釋。
銀行業(yè)金融機構應當制定每項業(yè)務對應的風險管理政策和程序。未制定的，不得開展該項業(yè)務。
銀行業(yè)金融機構應當有效評估和管理各類風險。對能夠量化的風險，應當通過風險計量技術，加強對相關風險的計量、控制、緩釋；對難以量化的風險，應當建立風險識別、評估、控制和報告機制，確保相關風險得到有效管理。
第二十八條 銀行業(yè)金融機構應當建立風險統(tǒng)一集中管理的制度，確保全面風險管理對各類風險管理的統(tǒng)領性、各類風險管理與全面風險管理政策和程序的一致性。
第二十九條 銀行業(yè)金融機構應當建立風險加總的政策、程序，選取合理可行的加總方法，充分考慮集中度風險及風險之間的相互影響和相互傳染，確保在不同層次上和總體上及時識別風險。
第三十條 銀行業(yè)金融機構采用內(nèi)部模型計量風險的，應當遵守相關監(jiān)管要求，確保風險計量的一致性、客觀性和準確性。董事會和高級管理層應當理解模型結果的局限性、不確定性和模型使用的固有風險。
第三十一條 銀行業(yè)金融機構應當建立全面風險管理報告制度，明確報告的內(nèi)容、頻率和路線。
報告內(nèi)容至少包括總體風險和各類風險的整體狀況；風險管理策略、風險偏好和風險限額的執(zhí)行情況；風險在行業(yè)、地區(qū)、客戶、產(chǎn)品等維度的分布；資本和流動性抵御風險的能力。
第三十二條 銀行業(yè)金融機構應當建立壓力測試體系，明確壓力測試的治理結構、政策文檔、方法流程、情景設計、保障支持、驗證評估以及壓力測試結果運用。
銀行業(yè)金融機構應當定期開展壓力測試。壓力測試的開展應當覆蓋各類風險和表內(nèi)外主要業(yè)務領域，并考慮各類風險之間的相互影響。
壓力測試結果應當運用于銀行業(yè)金融機構的風險管理和各項經(jīng)營管理決策中。
第三十三條 銀行業(yè)金融機構應當建立專門的政策和流程，評估開發(fā)新產(chǎn)品、對現(xiàn)有產(chǎn)品進行重大改動、拓展新的業(yè)務領域、設立新機構、從事重大收購和投資等可能帶來的風險，并建立內(nèi)部審批流程和退出安排。銀行業(yè)金融機構開展上述活動時，應當經(jīng)風險管理部門審查同意，并經(jīng)董事會或董事會指定的專門委員會批準。
第三十四條 銀行業(yè)金融機構應當根據(jù)風險偏好和風險狀況及時評估資本和流動性的充足情況，確保資本、流動性能夠抵御風險。
第三十五條 銀行業(yè)金融機構應當制定應急計劃，確保能夠及時應對和處理緊急或危機情況。應急計劃應當說明可能出現(xiàn)的風險以及在壓力情況（包括會嚴重威脅銀行生存能力的壓力情景）下應當采取的措施。銀行業(yè)金融機構的應急計劃應當涵蓋對境外分支機構和附屬機構的應急安排。銀行業(yè)金融機構應當定期更新、演練或測試上述計劃，確保其充分性和可行性。
第三十六條 銀行業(yè)金融機構應當按照相關監(jiān)管要求，根據(jù)風險狀況和系統(tǒng)重要性，制定并定期更新完善本機構的恢復計劃，明確本機構在壓力情況下能夠繼續(xù)提供持續(xù)穩(wěn)定運營的各項關鍵性金融服務并恢復正常運營的行動方案。
第三十七條 銀行業(yè)金融機構應當制定覆蓋其附屬機構的風險管理政策和程序，保持風險管理的一致性、有效性。銀行業(yè)金融機構應當要求并確保各附屬機構在整體風險偏好和風險管理政策框架下，建立自身的風險管理組織架構、政策流程，促進全面風險管理的一致性和有效性。
銀行業(yè)金融機構應當建立健全風險隔離制度，規(guī)范內(nèi)部交易，防止風險傳染。
第三十八條 銀行業(yè)金融機構應當制定外包風險管理制度，確定與其風險管理水平相適應的外包活動范圍。
第三十九條 銀行業(yè)金融機構應當將風險管理策略、風險偏好、風險限額、風險管理政策和程序等要素與資本管理、業(yè)務管理相結合，在戰(zhàn)略和經(jīng)營計劃制定、新產(chǎn)品審批、內(nèi)部定價、績效考評和薪酬激勵等日常經(jīng)營管理中充分應用并有效實施。
第四十條 銀行業(yè)金融機構應當對風險管理策略、風險偏好、風險限額、風險管理政策和程序建立規(guī)范的文檔記錄。

第五章 管理信息系統(tǒng)和數(shù)據(jù)質(zhì)量

第四十一條 銀行業(yè)金融機構應當具備完善的風險管理信息系統(tǒng)，能夠在集團和法人層面計量、評估、展示、報告所有風險類別、產(chǎn)品和交易對手風險暴露的規(guī)模和構成。
第四十二條 銀行業(yè)金融機構相關風險管理信息系統(tǒng)應當具備以下主要功能，支持風險報告和管理決策的需要：
（一）支持識別、計量、評估、監(jiān)測和報告所有類別的重要風險；
（二）支持風險限額管理，對超出風險限額的情況進行實時監(jiān)測、預警和控制；
（三）能夠計量、評估和報告所有風險類別、產(chǎn)品和交易對手的風險狀況，滿足全面風險管理需要；
（四）支持按照業(yè)務條線、機構、資產(chǎn)類型、行業(yè)、地區(qū)、集中度等多個維度展示和報告風險暴露情況；
（五）支持不同頻率的定期報告和壓力情況下的數(shù)據(jù)加工和風險加總需求；
（六）支持壓力測試工作，評估各種不利情景對銀行業(yè)金融機構及主要業(yè)務條線的影響。
第四十三條 銀行業(yè)金融機構應當建立與業(yè)務規(guī)模、風險狀況等相匹配的信息科技基礎設施。
第四十四條 銀行業(yè)金融機構應當建立健全數(shù)據(jù)質(zhì)量控制機制，積累真實、準確、連續(xù)、完整的內(nèi)部和外部數(shù)據(jù)，用于風險識別、計量、評估、監(jiān)測、報告，以及資本和流動性充足情況的評估。

第六章 內(nèi)部控制和審計

第四十五條 銀行業(yè)金融機構應當合理確定各項業(yè)務活動和管理活動的風險控制點，采取適當?shù)目刂拼胧�，�?zhí)行標準統(tǒng)一的業(yè)務流程和管理流程，確保規(guī)范運作。
第四十六條 銀行業(yè)金融機構應當將全面風險管理納入內(nèi)部審計范疇，定期審查和評價全面風險管理的充分性和有效性。
銀行業(yè)金融機構內(nèi)部審計活動應獨立于業(yè)務經(jīng)營、風險管理和合規(guī)管理，遵循獨立性、客觀性原則，不斷提升內(nèi)部審計人員的專業(yè)能力和職業(yè)操守。
全面風險管理的內(nèi)部審計報告應當直接提交董事會和監(jiān)事會。董事會應當針對內(nèi)部審計發(fā)現(xiàn)的問題，督促高級管理層及時采取整改措施。內(nèi)部審計部門應當跟蹤檢查整改措施的實施情況，并及時向董事會提交有關報告。

第七章 監(jiān)督管理

第四十七條 銀行業(yè)金融機構應當將風險管理策略、風險偏好、重大風險管理政策和程序等報送銀行業(yè)監(jiān)督管理機構，并至少按年度報送全面風險管理報告。
第四十八條 銀行業(yè)監(jiān)督管理機構應當將銀行業(yè)金融機構全面風險管理納入法人監(jiān)管體系中，并根據(jù)本指引全面評估銀行業(yè)金融機構風險管理體系的健全性和有效性，提出監(jiān)管意見，督促銀行業(yè)金融機構持續(xù)加以完善。
第四十九條 銀行業(yè)監(jiān)督管理機構通過非現(xiàn)場監(jiān)管和現(xiàn)場檢查等實施對銀行業(yè)金融機構全面風險管理的持續(xù)監(jiān)管，具體方式包括但不限于監(jiān)管評級、風險提示、現(xiàn)場檢查、監(jiān)管通報、監(jiān)管會談、與內(nèi)外部審計師會談等。
第五十條 銀行業(yè)監(jiān)督管理機構應當就全面風險管理情況與銀行業(yè)金融機構董事會、監(jiān)事會、高級管理層等進行充分溝通，并視情況在銀行業(yè)金融機構董事會、監(jiān)事會會議上通報。
第五十一條 對不能滿足本指引及其他規(guī)范性文件中關于全面風險管理要求的銀行業(yè)金融機構，銀行業(yè)監(jiān)督管理機構可以要求其制定整改方案，責令限期改正，并視情況采取相應的監(jiān)管措施。

第八章 附則

第五十二條 各類具體風險的監(jiān)管要求按照銀行業(yè)監(jiān)督管理機構的有關規(guī)定執(zhí)行。
第五十三條 經(jīng)銀行業(yè)監(jiān)督管理機構批準設立的其他金融機構參照本指引執(zhí)行。
第五十四條 本指引自2016年11月1日起施行。本指引實施前已有規(guī)范性文件如與本指引不一致的，按照本指引執(zhí)行。