中国银监会关于印发银行业金融机构全面风险管理指引的通知银监发〔2016〕44号各银监局,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构全面风险管理指引》印发给你们,请遵照执行。2016年9月27日银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平,促进银行业体系安全稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。第三条银行业金融机构应当建立全面风险管理体系,采取定性和定量相结合的方法,识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。银行业金融机构的全面风险管理体系应当考虑风险之间的关联性,审慎评估各类风险之间的相互影响,防范跨境、跨业风险。第四条银行业金融机构全面风险管理应当遵循以下基本原则:(一)匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应,并根据环境变化进行调整。(二)全覆盖原则。全面风险管理应当覆盖各个业务条线,包括本外币、表内外、境内外业务;覆盖所有分支机构、附属机构,部门、岗位和人员;覆盖所有风险种类和不同风险之间的相互影响;贯穿决策、执行和监督全部管理环节。(三)独立性原则。银行业金融机构应当建立独立的全面风险管理组织架构,赋予风险管理条线足够的授权、人力资源及其他资源配置,建立科学合理的报告渠道,与业务条线之间形成相互制衡的运行机制。(四)有效性原则。银行业金融机构应当将全面风险管理的结果应用于经营管理,根据风险状况、市场和宏观经济情况评估资本和流动性的充足性,有效抵御所承担的总体风险和各类风险。第五条银行业金融机构全面风险管理体系应当包括但不限于以下要素:(一)风险治理架构;(二)风险管理策略、风险偏好和风险限额;(三)风险管理政策和程序;(四)管理信息系统和数据质量控制机制;(五)内部控制和审计体系。第六条银行业金融机构应当推行稳健的风险文化,形成与本机构相适应的风险管理理念、价值准则、职业操守,建立培训、传达和监督机制,推动全体工作人员理解和执行。第七条银行业金融机构应当承担全面风险管理的主体责任,建立全面风险管理制度,保障制度执行,对全面风险管理体系进行自我评估,健全自我约束机制。第八条银行业监督管理机构依法对银行业金融机构全面风险管理实施监管。第九条银行业金融机构应当按照银行业监督管理机构的规定,向公众披露全面风险管理情况。第二章风险治理架构第十条银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构,明确董事会、监事会、高级管理层、业务部门、风险管理部门和内审部门在风险管理中的职责分工,建立多层次、相互衔接、有效制衡的运行机制。第十一条银行业金融机构董事会承担全面风险管理的最终责任,履行以下职责:(一)建立风险文化;(二)制定风险管理策略;(三)设定风险偏好和确保风险限额的设立;(四)审批重大风险管理政策和程序;(五)监督高级管理层开展全面风险管理;(六)审议全面风险管理报告;(七)审批全面风险和各类重要风险的信息披露;(八)聘任风险总监(首席风险官)或其他高级管理人员,牵头负责全面风险管理;(九)其他与风险管理有关的职责。董事会可以授权其下设的风险管理委员会履行其全面风险管理的部分职责。第十二条银行业金融机构应当建立风险管理委员会与董事会下设的战略委员会、审计委员会、提名委员会等其他专门委员会的沟通机制,确保信息充分共享并能够支持风险管理相关决策。第十三条银行业金融机构监事会承担全面风险管理的监督责任,负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。相关监督检查情况应当纳入监事会工作报告。第十四条银行业金融机构高级管理层承担全面风险管理的实施责任,执行董事会的决议,履行以下职责:(一)建立适应全面风险管理的经营管理架构,明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工,建立部门之间相互协调、有效制衡的运行机制;(二)制定清晰的执行和问责机制,确保风险管理策略、风险偏好和风险限额得到充分传达和有效实施;(三)根据董事会设定的风险偏好,制定风险限额,包括但不限于行业、区域、客户、产品等维度;(四)制定风险管理政策和程序,定期评估,必要时予以调整;(五)评估全面风险和各类重要风险管理状况并向董事会报告;(六)建立完备的管理信息系统和数据质量控制机制;(七)对突破风险偏好、风险限额以及违反风险管理政策和程序的情况进行监督,根据董事会的授权进行处理;(八)风险管理的其他职责。第十五条规模较大或业务复杂的银行业金融机构应当设立风险总监(首席风险官)。董事会应当将风险总监(首席风险官)纳入高级管理人员。风险总监(首席风险官)或其他牵头负责全面风险管理的高级管理人员应当保持充分的独立性,独立于操作和经营条线,可以直接向董事会报告全面风险管理情况。调整风险总监(首席风险官)应当事先得到董事会批准,并公开披露。银行业金融机构应当向银行业监督管理机构报告调整风险总监(首席风险官)的原因。第十六条银行业金融机构应当确定业务条线承担风险管理的直接责任;风险管理条线承担制定政策和流程,监测和管理风险的责任;内审部门承担业务部门和风险管理部门履职情况的审计责任。第十七条银行业金融机构应当设立或者指定部门负责全面风险管理,牵头履行全面风险的日常管理,包括但不限于以下职责:(一)实施全面风险管理体系建设;(二)牵头协调识别、计量、评估、监测、控制或缓释全面风险和各类重要风险,及时向高级管理人员报告;(三)持续监控风险管理策略、风险偏好、风险限额及风险管理政策和程序的执行情况,对突破风险偏好、风险限额以及违反风险管理政策和程序的情况及时预警、报告并提出处理建议;(四)组织开展风险评估,及时发现风险隐患和管理漏洞,持续提高风险管理的有效性。第十八条银行业金融机构应当采取必要措施,保证全面风险管理的政策流程在基层分支机构得到理解与执行,建立与基层分支机构风险状况相匹配的风险管理架构。在境外设有机构的银行业金融机构应当建立适当的境外风险管理框架、政策和流程。第十九条银行业金融机构应当赋予全面风险管理职能部门和各类风险管理部门充足的资源、独立性、授权,保证其能够及时获得风险管理所需的数据和信息,满足履行风险管理职责的需要。第三章风险管理策略、风险偏好和风险限额第二十条银行业金融机构应当制定清晰的风险管理策略,至少每年评估一次其有效性。风险管理策略应当反映风险偏好、风险状况以及市场和宏观经济变化,并在银行内部得到充分传导。第二十一条银行业金融机构应当制定书面的风险偏好,做到定性指标和定量指标并重。风险偏好的设定应当与战略目标、经营计划、资本规划、绩效考评和薪酬机制衔接,在机构内传达并执行。银行业金融机构应当每年对风险偏好至少进行一次评估。第二十二条银行业金融机构制定的风险偏好,应当包括但不限于以下内容:(一)战略目标和经营计划的制定依据,风险偏好与战略目标、经营计划的关联性;(二)为实现战略目标和经营计划愿意承担的风险总量;(三)愿意承担的各类风险的最大水平;(四)风险偏好的定量指标,包括利润、风险、资本、流动性以及其他相关指标的目标值或目标区间。上述定量指标通过风险限额、经营计划、绩效考评等方式传导至业务条线、分支机构、附属机构的安排;(五)对不能定量的风险偏好的定性描述,包括承担此类风险的原因、采取的管理措施;(六)资本、流动性抵御总体风险和各类风险的水平;(七)可能导致偏离风险偏好目标的情形和处置方法。银行业金融机构应当在书面的风险偏好中明确董事会、高级管理层和首席风险官、业务条线、风险部门在制定和实施风险偏好过程中的职责。第二十三条银行业金融机构应当建立监测分析各业务条线、分支机构、附属机构执行风险偏好的机制。当风险偏好目标被突破时,应当及时分析原因,制定解决方案并实施。第二十四条银行业金融机构应当建立风险偏好的调整制度。根据业务规模、复杂程度、风险状况的变化,对风险偏好进行调整。第二十五条银行业金融机构应当制定风险限额管理的政策和程序,建立风险限额设定、限额调整、超限额报告和处理制度。银行业金融机构应当根据风险偏好,按照客户、行业、区域、产品等维度设定风险限额。风险限额应当综合考虑资本、风险集中度、流动性、交易目的等。全面风险管理职能部门应当对风险限额进行监控,并向董事会或高级管理层报送风险限额使用情况。风险限额临近监管指标限额时,银行业金融机构应当启动相应的纠正措施和报告程序,采取必要的风险分散措施,并向银行业监督管理机构报告。第四章风险管理政策和程序第二十六条银行业金融机构应当制定风险管理政策和程序,包括但不限于以下内容:(一)全面风险管理的方法,包括各类风险的识别、计量、评估、监测、报告、控制或缓释,风险加总的方法和程序;(二)风险定性管理和定量管理的方法;(三)风险管理报告;(四)压力测试安排;(五)新产品、重大业务和机构变更的风险评估;(六)资本和流动性充足情况评估;(七)应急计划和恢复计划。第二十七条银行业金融机构应当在集团和法人层面对各附属机构、分支机构、业务条线,对表内和表外、境内和境外、本币和外币业务涉及的各类风险,进行识别、计量、评估、监测、报告、控制或缓释。银行业金融机构应当制定每项业务对应的风险管理政策和程序。未制定的,不得开展该项业务。银行业金融机构应当有效评估和管理各类风险。对能够量化的风险,应当通过风险计量技术,加强对相关风险的计量、控制、缓释;对难以量化的风险,应当建立风险识别、评估、控制和报告机制,确保相关风险得到有效管理。第二十八条银行业金融机构应当建立风险统一集中管理的制度,确保全面风险管理对各类风险管理的统领性、各类风险管理与全面风险管理政策和程序的一致性。第二十九条银行业金融机构应当建立风险加总的政策、程序,选取合理可行的加总方法,充分考虑集中度风险及风险之间的相互影响和相互传染,确保在不同层次上和总体上及时识别风险。第三十条银行业金融机构采用内部模型计量风险的,应当遵守相关监管要求,确保风险计量的一致性、客观性和准确性。董事会和高级管理层应当理解模型结果的局限性、不确定性和模型使用的固有风险。第三十一条银行业金融机构应当建立全面风险管理报告制度,明确报告的内容、频率和路线。报告内容至少包括总体风险和各类风险的整体状况;风险管理策略、风险偏好和风险限额的执行情况;风险在行业、地区、客户、产品等维度的分布;资本和流动性抵御风险的能力。第三十二条银行业金融机构应当建立压力测试体系,明确压力测试的治理结构、政策文档、方法流程、情景设计、保障支持、验证评估以及压力测试结果运用。银行业金融机构应当定期开展压力测试。压力测试的开展应当覆盖各类风险和表内外主要业务领域,并考虑各类风险之间的相互影响。压力测试结果应当运用于银行业金融机构的风险管理和各项经营管理决策中。第三十三条银行业金融机构应当建立专门的政策和流程,评估开发新产品、对现有产品进行重大改动、拓展新的业务领域、设立新机构、从事重大收购和投资等可能带来的风险,并建立内部审批流程和退出安排。银行业金融机构开展上述活动时,应当经风险管理部门审查同意,并经董事会或董事会指定的专门委员会批准。第三十四条银行业金融机构应当根据风险偏好和风险状况及时评估资本和流动性的充足情况,确保资本、流动性能够抵御风险。第三十五条银行业金融机构应当制定应急计划,确保能够及时应对和处理紧急或危机情况。应急计划应当说明可能出现的风险以及在压力情况(包括会严重威胁银行生存能力的压力情景)下应当采取的措施。银行业金融机构的应急计划应当涵盖对境外分支机构和附属机构的应急安排。银行业金融机构应当定期更新、演练或测试上述计划