《银行业金融机构全面风险管理指引》2016年10月

第一章 总则第一条为提高银行业金融机构全面风险管理水平，促进银 行业体系安全稳健运行，根据中华人民共和国银行业监督管理法、 中华人民共和国商业银行法等法律法规，制定本指引。第二条 本指引适用于在中华人民共和国境内依法设立的银行 业金融机构。本指引所称银行业金融机构，是指在中华人民共和国境内设立的 商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行 以及国家开发银行。第三条银行业金融机构应当建立全面风险管理体系，采取定性 和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释 所承担的各类风险。各类风险包括信用风险、市场风险、流动性风险、操作风险、国 别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以 及其他风险。银行业金融机构的全面风险管理体系应当考虑风险之间的关联 性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。第四条 银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。（二）全覆盖原则。全面风险管理应当覆盖各个业务条线，包括 本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、 岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决 策、执行和监督全部管理环节。（三）独立性原则。银行业金融机构应当建立独立的全面风险管 理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配 置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行 机制。（四）有效性原则。银行业金融机构应当将全面风险管理的结果 应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流 动性的充足性，有效抵御所承担的总体风险和各类风险。第五条银行业金融机构全面风险管理体系应当包括但不 限于以下要素：（一）风险治理架构；（二）风险管理策略、风险偏好和风险限额；（三）风险管理政策和程序；（四）管理信息系统和数据质量控制机制；（五）内部控制和审计体系。第六条银行业金融机构应当推行稳健的风险文化，形成与本机 构相适应的风险管理理念、价值准则、职业操守，建立培训、传达和 监督机制，推动全体工作人员理解和执行。第七条银行业金融机构应当承担全面风险管理的主体责任，建 立全面风险管理制度，保障制度执行，对全面风险管理体系进行自我 评估，健全自我约束机制。第八条银行业监督管理机构依法对银行业金融机构全面风险 管理实施监管。第九条银行业金融机构应当按照银行业监督管理机构的规定， 向公众披露全面风险管理情况。第二章 风险治理架构第十条银行业金融机构应当建立组织架构健全、职责边界清晰 的风险治理架构，明确董事会、监事会、高级管理层、业务部门、风 险管理部门和内审部门在风险管理中的职责分工，建立多层次、相互 衔接、有效制衡的运行机制。第十一条银行业金融机构董事会承担全面风险管理的最终责 任，履行以下职责：（一）建立风险文化；（二）制定风险管理策略；（三）设定风险偏好和确保风险限额的设立；（四）审批重大风险管理政策和程序；（五）监督高级管理层开展全面风险管理；（六）审议全面风险管理报告；（七）审批全面风险和各类重要风险的信息披露；（八）聘任风险总监（首席风险官）或其他高级管理人员，牵头 负责全面风险管理；（九）其他与风险管理有关的职责。董事会可以授权其下设的风险管理委员会履行其全面风险管理 的部分职责。第十二条银行业金融机构应当建立风险管理委员会与董事会 下设的战略委员会、审计委员会、提名委员会等其他专门委员会的沟 通机制，确保信息充分共享并能够支持风险管理相关决策。第十三条银行业金融机构监事会承担全面风险管理的监督责 任，负责监督检查董事会和高级管理层在风险管理方面的履职尽责情 况并督促整改。相关监督检查情况应当纳入监事会工作报告。第十四条银行业金融机构高级管理层承担全面风险管理的实 施责任，执行董事会的决议，履行以下职责：（一）建立适应全面风险管理的经营管理架构，明确全面风险管 理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立 部门之间相互协调、有效制衡的运行机制；（二）制定清晰的执行和问责机制，确保风险管理策略、风险偏好和风险限额得到充分传达和有效实施;（三）根据董事会设定的风险偏好，制定风险限额，包括但不限 于行业、区域、客户、产品等维度；（四）制定风险管理政策和程序，定期评估，必要时予以调整；（五）评估全面风险和各类重要风险管理状况并向董事会报告；（六）建立完备的管理信息系统和数据质量控制机制；（七）对突破风险偏好、风险限额以及违反风险管理政策和程序 的情况进行监督，根据董事会的授权进行处理；（八）风险管理的其他职责。第十五条规模较大或业务复杂的银行业金融机构应当设立风 险总监（首席风险官）。董事会应当将风险总监（首席风险官）纳入 高级管理人员。风险总监（首席风险官）或其他牵头负责全面风险管 理的高级管理人员应当保持充分的独立性，独立于操作和经营条线， 可以直接向董事会报告全面风险管理情况。调整风险总监（首席风险官）应当事先得到董事会批准，并公开 披露。银行业金融机构应当向银行业监督管理机构报告调整风险总监 （首席风险官）的原因。第十六条银行业金融机构应当确定业务条线承担风险管理的 直接责任；风险管理条线承担制定政策和流程，监测和管理风险的责 任；内审部门承担业务部门和风险管理部门履职情况的审计责任。第十七条 银行业金融机构应当设立或者指定部门负责全面风险管理，牵头履行全面风险的日常管理，包括但不限于以下职责：（一）实施全面风险管理体系建设；（二）牵头协调识别、计量、评估、监测、控制或缓释全面风险 和各类重要风险，及时向高级管理人员报告；（三）持续监控风险管理策略、风险偏好、风险限额及风险管理 政策和程序的执行情况，对突破风险偏好、风险限额以及违反风险管 理政策和程序的情况及时预警、报告并提出处理建议；（四）组织开展风险评估，及时发现风险隐患和管理漏洞，持续 提高风险管理的有效性。第十八条银行业金融机构应当采取必要措施，保证全面风险管 理的政策流程在基层分支机构得到理解与执行，建立与基层分支机构 风险状况相匹配的风险管理架构。在境外设有机构的银行业金融机构应当建立适当的境外风险管 理框架、政策和流程。第十九条银行业金融机构应当赋予全面风险管理职能部门和 各类风险管理部门充足的资源、独立性、授权，保证其能够及时获得 风险管理所需的数据和信息，满足履行风险管理职责的需要。第三章风险管理策略、风险偏好和风险限额第二十条银行业金融机构应当制定清晰的风险管理策略，至少 每年评估一次其有效性。风险管理策略应当反映风险偏好、风险状况 以及市场和宏观经济变化，并在银行内部得到充分传导。第二十一条银行业金融机构应当制定书面的风险偏好，做到定 性指标和定量指标并重。风险偏好的设定应当与战略目标、经营计划、 资本规划、绩效考评和薪酬机制衔接，在机构内传达并执行。银行业金融机构应当每年对风险偏好至少进行一次评估。第二十二条 银行业金融机构制定的风险偏好，应当包括但不限 于以下内容：（一）战略目标和经营计划的制定依据，风险偏好与战略目标、 经营计划的关联性；（二）为实现战略目标和经营计划愿意承担的风险总量；（三）愿意承担的各类风险的最大水平；（四）风险偏好的定量指标，包括利润、风险、资本、流动性以 及其他相关指标的目标值或目标区间。上述定量指标通过风险限额、 经营计划、绩效考评等方式传导至业务条线、分支机构、附属机构的 安排；（五）对不能定量的风险偏好的定性描述，包括承担此类风险的 原因、采取的管理措施；（六）资本、流动性抵御总体风险和各类风险的水平；（七）可能导致偏离风险偏好目标的情形和处置方法。银行业金融机构应当在书面的风险偏好中明确董事会、高级管理 层和首席风险官、业务条线、风险部门在制定和实施风险偏好过程中 的职责。第二十三条银行业金融机构应当建立监测分析各业务条线、分 支机构、附属机构执行风险偏好的机制。当风险偏好目标被突破时，应当及时分析原因，制定解决方案并 实施。第二十四条银行业金融机构应当建立风险偏好的调整制度。根 据业务规模、复杂程度、风险状况的变化，对风险偏好进行调整。第二十五条银行业金融机构应当制定风险限额管理的政策和 程序，建立风险限额设定、限额调整、超限额报告和处理制度。银行业金融机构应当根据风险偏好，按照客户、行业、区域、产 品等维度设定风险限额。风险限额应当综合考虑资本、风险集中度、 流动性、交易目的等。全面风险管理职能部门应当对风险限额进行监控，并向董事会或 高级管理层报送风险限额使用情况。风险限额临近监管指标限额时，银行业金融机构应当启动相应的 纠正措施和报告程序，采取必要的风险分散措施，并向银行业监督管 理机构报告。第四章风险管理政策和程序第二十六条银行业金融机构应当制定风险管理政策和程序，包 括但不限于以下内容：（一）全面风险管理的方法，包括各类风险的识别、计量、评估、 监测、报告、控制或缓释，风险加总的方法和程序；（二）风险定性管理和定量管理的方法；（三）风险管理报告；（四）压力测试安排；（五）新产品、重大业务和机构变更的风险评估；（六）资本和流动性充足情况评估；（七）应急计划和恢复计划。第二十七条银行业金融机构应当在集团和法人层面对各附属 机构、分支机构、业务条线，对表内和表外、境内和境外、本币和外 币业务涉及的各类风险，进行识别、计量、评估、监测、报告、控制 或缓释。银行业金融机构应当制定每项业务对应的风险管理政策和程序。 未制定的，不得开展该项业务。银行业金融机构应当有效评估和管理各类风险。对能够量化的风 险，应当通过风险计量技术，加强对相关风险的计量、控制、缓释； 对难以量化的风险，应当建立风险识别、评估、控制和报告机制，确 保相关风险得到有效管理。第二十八条 银行业金融机构应当建立风险统一集中管理的制 度，确保全面风险管理对各类风险管理的统领性、各类风险管理与全 面风险管理政策和程序的一致性。第二十九条银行业金融机构应当建立风险加总的政策、程序， 选取合理可行的加总方法，充分考虑集中度风险及风险之间的相互影 响和相互传染，确保在不同层次上和总体上及时识别风险。第三十条银行业金融机构采用内部模型计量风险的，应当 遵守相关监管要求，确保风险计量的一致性、客观性和准确性。董事 会和高级管理层应当理解模型结果的局限性、不确定性和模型使用的 固有风险。第三十一条银行业金融机构应当建立全面风险管理报告制度， 明确报告的内容、频率和路线。报告内容至少包括总体风险和各类风险的整体状况；风险管理策 略、风险偏好和风险限额的执行情况；风险在行业、地区、客户、产 品等维度的分布；资本和流动性抵御风险的能力。第三十二条银行业金融机构应当建立压力测试体系，明确压力 测试的治理结构、政策文档、方法流程、情景设计、保障支持、验证 评估以及压力测试结果运用。银行业金融机构应当定期开展压力测试。压力测试的开展应当覆 盖各类风险和表内外主要业务领域，并考虑各类风险之间的相互影 响。压力测试结果应当运用于银行业金融机构的风险管理和各项经 营管理决策中。第三十三条 银行业金融机构应当建立专门的政策和流程,评估 开发新产品、对现有产品进行重大改动、拓展新的业务领域、设立新 机构、从事重大收购和投资等可能带来的风险，并建立内部审批流程 和退出安排。银行业金融机构开展上述活动时，应当经风险管理部门 审查同意，并经董事会或董事会指定的专门委员会批准。第三十四条银行业金融机构应当根据风险偏好和风险状况及 时评估资本和流动性的充足情况，确保资本、流动性能够抵御风险。第三十五条银行业金融机构应当制定应急计划，确保能够及时 应对和处理紧急或危机情况。应急计划应当说明可能出现的风险以及 在压力情况（包括会严重威胁银行生存能力的压力情景）下应当采取 的措施。银行业金融机构的应急计划应当涵盖对境外分支机构和附属 机构的应急安排。银行业金融机构应当定期更新、演练或测试上述计 划，确保其充分性和可行性。第三十六条银行业金融机构应当按照相关监管要求，根据风险 状况和系统重要性，制定并定期更新完善本机构的恢复计划，明确本 机构在压力情况下能够继续提供持续稳定运营的各项关键性金融服 务并恢复正常运营的行动方案。第三十七条 银行业金融机构应当制定覆盖其附属机构的风险 管理政策和程序，保持风险管理的一致性、有效性。银行业金融机构 应当要求并确保各附属机构在整体风险偏好和风险管理政策框架下， 建立自身的风险管理组织架构、政策流程，促进全面风险管理的一致 性和有效性。银行业金融机构应当建立健全风险隔离制度，规范内部交易，防 止风险传染。第三十八条银行业金融机构应当制定外包风险管理制度,确定与其风险管理水平相适应的外包活动范围。第三十九条银行业金融机构应当将风险管理策略、风险偏好、 风险限额、风险管理政策和程序等要素与资本管理、业务管理相结合， 在战略和经营计划制定、新产品审批、内部定价、绩效考评和薪酬激 励等日常经营管理中充分应用并有效实施。第四十条 银行业金融机构应当对风险管理策略、风险偏好、风 险限额、风险管理政策和程序建立规范的文档记录。第五章管理信息系统和数据质量第四十一条银行业金融机构应当具备完善的风险管理信息系 统，能够在集团和法人层面计量、评估、展示、报告所有风险类别、 产品和交易对手风险暴露的规模和构成。第四十二条 银行业金融机构相关风险管理信息系统应当具备 以下主要功能，支持风险报告和管理决策的需要：（一）支持识别、计量、评估、监测和报告所有类别的重要风险；（二）支持风险限额管理，对超出风险限额的情况进行实时监测、 预警和控制；（三）能够计量、评估和报告所有风险类别、产品和交易对手的 风险状况，满足全面风险管理需要；（四）支持按照业务条线、机构、资产类型、行业、地区、集中 度等多个维度展示和报告风险暴露情况；（五）支持不同频率的定期报告和压力情况下的数据加工和风险 加总需求；（六）支持压力测试工作，评估各种不利情景对银行业金融机构 及主要业务条线的影响。第四十三条 银行业金融机构应当建立与业务规模、风险状况等 相匹配的信息科技基础设施。第四十四条银行业金融机构应当建立健全数据质量控制机制， 积累真实、准确、连续、完整的内部和外部数据，用于风险识别、计 量、评估、监测、报告，以及资本和流动性充足情况的评估。第六章 内部控制和审计第四十五条银行业金融机构应当合理确定各项业务活动和管 理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流 程和管理流程，确保规范运作。第四十六条银行业金融机构应当将全面风险管理纳入内部审 计范畴，定期审查和评价全面风险管理的充分性和有效性。银行业金融机构内部审计活动应独立于业务经营、风险管理和合 规管理，遵循独立性、客观性原则，不断提升内部审计人员的专业能 力和职业操守。全面风险管理的内部审计报告应当直接提交董事会和监事会。董 事会应当针对内部审计发现的问题，督促高级管理层及时采取整改措 施。内部审计部门应当跟踪检查整改措施的实施情况，并及时向董事 会提交有关报告。第七章 监督管理第四十七条银行业金融机构应当将风险管理策略、风险偏好、 重大风险管理政策和程序等报送银行业监督管理机构，并至少按年度 报送全面风险管理报告。第四十八条银行业监督管理机构应当将银行业金融机构全面 风险管理纳入法人监管体系中，并根据本指引全面评估银行业金融机 构风险管理体系的健全性和有效性，提出监管意见，督促银行业金融 机构持续加以完善。第四十九条银行业监督管理机构通过非现场监管和现场检查 等实施对银行业金融机构全面风险管理的持续监管，具体方式包括但 不限于监管评级、风险提示、现场检查、监管通报、监管会谈、与内 外部审计师会谈等。第五十条银行业监督管理机构应当就全面风险管理情况与银 行业金融机构董事会、监事会、高级管理层等进行充分沟通，并视情 况在银行业金融机构董事会、监事会会议上通报。第五十一条 对不能满足本指引及其他规范性文件中关于全面 风险管理要求的银行业金融机构，银行业监督管理机构可以要求其制 定整改方案，责令限期改正，并视情况采取相应的监管措施。第八章 附则第五十二条各类具体风险的监管要求按照银行业监督管理机 构的有关规定执行。第五十三条经银行业监督管理机构批准设立的其他金融机构 参照本指引执行。第五十四条 本指引自2016年11月1日起施行。本指引实施前 已有规范性文件如与本指引不一致的，按照本指引执行。