全面风险管理办法

附件全面风险管理办法第一章 总则第一条 制定目的及依据为保证本行安全稳健运行，全面有效地监控本行各类风险，通过采用 全面风险管理方式，将风险损失控制在可承受的范围，从而获取风险调整 后的股东回报最大化，根据中华人民共和国商业银行法中华人民共 和国银行业监督管理法银行业金融机构全面风险管理指引等法律法 规和规章，结合本行实际，制定本办法。第二条 相关定义本办法属于基本办法。本办法中的风险是指未来结果出现收益或损失 的不确定性，始终存在于商业银行的所有经营活动和操作环节中。本行面 临的主要风险包括信用风险、市场风险、操作风险、流动性风险、合规风 险、信息科技风险、声誉风险、战略风险、洗钱风险等。信用风险是指债务人或交易对手未能履行合同所规定的义务或信用 质量发生变化，影响金融产品价值，从而给债权人或金融产品持有人造成 经济损失的风险。市场风险是指金融资产价格和商品价格的波动给商业银行表内外头 寸造成损失的风险。市场风险可以分为利率风险、汇率风险、股票价格风 险和商品价格风险。操作风险是指由不完善或有问题的内部程序、人员和信息科技系统， 以及外部事件所造成损失的风险。流动性风险是指商业银行无法及时获得或者无法以合理成本获得充 足资金，以偿付到期债务或其他支付义务、满足资产增长或其他业务发展 需要的风险。合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律 制裁、监管处罚、重大财务损失和声誉损失的风险。信息科技风险是指信息科技在银行运用过程中，由于自然因素、人为 因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。声誉风险是指由商业银行经营、管理及其他行为或外部事件导致利益 相关方对商业银行负面评价的风险。战略风险是指商业银行在追求短期商业目的和长期发展目标的过程 中，因不适当的发展规划和战略决策给商业银行造成损失或不利影响的风 险。洗钱风险是指商业银行未运用有效手段预防个别机构或个人通过各 种方式掩饰、隐瞒毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走 私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪等犯罪所 得及其收益的来源和性质的洗钱活动或未根据反洗钱相关法律法规规定 采取相应措施，而对银行产生的风险。第二章 内涵和原则第三条 全面风险管理的内涵全面风险管理是指将资产业务、负债业务、中间业务等不同业务类型 中，涉及信用风险、市场风险、操作风险等各类不同风险类型，都纳入统 一的风险管理范围，对各类风险依据统一进行计量并加总，最后对风险进 行集中控制和管理。第四条 全面风险管理的重大原则（一）全覆盖原则 全面风险管理覆盖表内外各业务条线；覆盖所有机构、部门、岗位和 人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和 监督全部管理环节。（二）独立性原则 风险管理部门应与业务发展相独立，其可按照相关风险管理制度，在 不受任何外界因素干扰或左右的情况下开展工作，做到识别及时、准确计 量、充分揭示、有效控制各类业务经营中的风险，并具备独立于业务经营 部门直接向董事会报告的渠道。（三）匹配性原则 平衡业务活动中收益与可接受风险的关系，确保在尽可能减少损失的 前提下，争取较高收益；将资本优先配置在低风险高收益业务或一般风险 业务中，控制高资本占用业务的比例，实现股东收益最大化。（四）有效性原则 本行应当将全面风险管理的结果应用于经营管理，根据风险状况、市 场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风 险和各类风险。（五）合规操作原则 遵循中华人民共和国商业银行法等法律法规，符合中国人民银行 和中国银行保险监督管理委员会（以下简称“中国银保监会”）的相关监 管规定及政策指引等，以及按照银行业协会的行业协议以及有关社会惯例 进行相关操作。第三章 风险管理组织架构和职责分工第五条 风险管理组织架构构建 “三会一层”公司治理中的风险管理体系，明确“前中后三道 防线”的风险管理组织架构，划分业务部门、风险管理部门、审计部门各 自的风险管理职责，逐步实现风险条线化管理，建立一支专业的风险管理 队伍。（一）股东大会 根据股份有限公司章程行使风险管理相关职能。（二）董事会 董事会承担本行风险管理的最终责任，具体职责如下：1. 建立风险文化；2. 制定风险管理策略；3. 设定风险偏好和确保风险限额的设立；4. 审批重大风险管理政策和程序；5. 监督高级管理层开展全面风险管理；6. 审议全面风险管理报告；7. 审批全面风险和各类重要风险的信息披露；8. 聘任高级管理人员，牵头负责全面风险管理；9. 其他与风险管理有关的职责。本行董事会下设风险管理委员会，根据董事会的授权履行全面风险管 理的部分职责。（三）监事会 对本行风险管理等进行监督检查并督促整改。（四）高级管理层高级管理层负责执行董事会的决策，组织开展风险识别、计量、控制、 监控、报告等各项风险管理工作，向董事会报告风险管理工作和风险状况。1. 行长。承担业务经营风险，拟订风险管理的规划、政策制度以及风 险资本分配方案等，并向董事会提出建议；向董事会报告全面风险管理状 况和风险管理工作情况；推动落实董事会审批的风险管理战略、规划、政 策制度以及组织建设等。2. 分管风险管理条线工作行领导。根据行长授权组织开展本行风险管 理工作。3. 分管其他业务条线工作行领导。负责分管部门的风险管理，将本行 风险管理战略、政策、流程和方法具体落实到分管业务领域。第六条 风险管理职责分工（一）整体分工本行风险管理机构由风险管理部、授信审批部、计划财务部、法律合 规部、信息科技部、综合管理部、运营管理部、监察审计部等职责部门构 成。全面风险管理工作由风险管理部门牵头负责，包括推动全面风险管理 体系和组织架构的建设，对各管理部门、前台风险经营部门进行风险检查、 评估等，具体各类风险由相关职能部门分别负责日常管理和控制。其中：1. 信用风险由风险管理部牵头负责，涉及部门主要包括各业务部门、 授信审批部、运营管理部等；2. 市场风险由风险管理部牵头负责，涉及部门主要包括机构业务部、 计划财务部等；3. 操作风险由风险管理部牵头负责，涉及部门包括本行所有部门,其 中运营管理部作为会计操作风险管理的牵头责任部门；4. 流动性风险由计划财务部牵头负责，涉及部门主要包括机构业务部等；5. 合规风险由法律合规部牵头负责，涉及部门包括本行所有部门；6. 洗钱风险由法律合规部牵头负责，涉及部门包括本行所有部门；7. 信息科技风险由信息科技部牵头负责，涉及部门主要包括综合管理 部、各系统使用部门等；8. 声誉风险由综合管理部牵头负责，涉及部门包括本行所有部门；9. 战略风险由综合管理部牵头负责。（二）各部门职能明细1. 风险管理部，是本行全面风险管理、信用风险、操作风险、市场风 险管理的牵头责任部门，是董事会及高级经营层下设风险管理委员会的办 公机构。具体负责：（1）全面风险管理方面 独立监控、评估、推动完善业务条线的风险管理组织架构、工具方 法、流程和信息系统； 负责拟定并在髙级管理领导下组织实施全面风险管理战略、政策和 流程； 牵头组织实施巴塞尔新资本协议，开发符合监管要求的风险计量工 具； 监控本行关键风险指标和重大风险事项，汇集风险信息，组织实施 风险报告制度； 牵头拟定并监督执行风险限额和组合管理方案;建立内部评级体系, 明确评级标准,开展资产风险分类、减值测试及审查和批复，确定本行资 产减值结果； 分析、评价区域、行业风险水平，牵头组织开展压力测试，检查各 部门风险管理状况； 建立并不断完善本行各类风险管理信息系统，准确计量全行承担的 风险总量； 按季度向分管风险行领导、风险管理委员会工作小组提交全面风险 管理情况分析报告；（2）信用风险及操作风险管理方面 制定信用评级标准，不断更新完善评级方法、指标； 负责本行贷后管理工作，识别、监测、评估贷后风险，实施贷后风 险预警； 负责不良资产的处置，制定并组织实施不良资产处置政策及制度办 法； 牵头组织梳理和发布本行操作风险点，建立操作风险关键指标和损 失数据库，实施操作风险评估、分类、分级管理； 建立并不断完善信用风险、操作风险管理信息系统，准确计量本行 承担的风险总量。 按季度向分管风险行领导、风险管理委员会工作小组提交归口风险 管理情况分析报告；（3）市场风险方面 根据总体发展战略测算市场风险的承受能力；根据总体发展战略及 内外部经营环境的变化及时提出对市场风险承受能力进行修订的建议； 制定市场风险管理策略、政策、程序、限额； 识别、评估新产品、新业务中所包含的市场风险； 监测相关业务经营部门和分支机构对市场风险限额的遵守情况，报告超限额情况； 按季度向分管风险行领导、风险管理委员会工作小组提交归口风险管理情况分析报告； 其他风险管理职责。2. 计划财务部，是本行流动性风险等风险管理的牵头责任部门。具体 负责：（1）根据总体发展战略测算流动性风险的承受能力；根据总体发展 战略及内外部经营环境的变化及时提出对流动性风险承受能力进行修订 的建议；（2）制定流动性风险管理策略、政策、程序、限额；（3）充分了解并按季度评估本行流动性风险水平及管理状况，向分 管行领导、风险管理委员会工作小组按季度汇报本行流动性风险状况，及 时汇报流动性风险的重大变化或潜在转变；（4）建立完善的管理信息系统，以支持流动性风险的识别、计量、 监测和控制工作；（5）按季度开展流动性压力测试工作，并形成测试报告按季度向分 管行领导、风险管理委员会工作小组汇报，推动压力测试成果在战略决策 和风险管理中的应用；制定流动性风险应急计划，识别并了解可能触发应 急计划的事件，并建立适当机制对这些触发事件进行监测；（6）负责监管资本、经济资本的计量、监测及分析工作；（7）按季度向分管风险行领导、风险管理委员会工作小组提交归口 风险管理情况分析报告；（8）其他风险管理职责。3. 法律合规部，是本行合规风险及洗钱风险管理的牵头责任部门。具 体负责：（1）制定和完善内控、合规风险管理制度、办法，形成制度体系， 建立有效管理机制；（2）负责审核评价本行各项制度、程序和操作指南的合法合规性， 组织、协调和督促各部门对各项制度、程序和操作指南进行梳理和编辑， 确保各项制度、程序和操作指南符合法律、规则和准则的要求；（3）负责组织制定有关合规管理程序、合规手册、员工行为准则等 合规指南，并评估合规风险管理程序和合规指南的适当性，为员工恰当执 行法律、准则提供指导；（4）识别和评估与本行经营活动相关的合规风险，包括识别合同风 险、控制诉讼风险，为新产品和新业务的开发提供必要的合法合规性审核 和测试，识别和评估新业务方式的拓展、新客户关系的建立以及客户关系 的性质发生重大变化等所产生的合规风险；（5）按季度开展内控合规检查和评价，完善评价体系；（6）负责牵头开展洗钱风险管理工作，识别、评估、监测本行的洗 钱风险，提出控制洗钱风险的措施和建议，及时向高级管理层报告；（7）建立反洗钱工作协调机制，指导业务部门及其他职能部门开展 洗钱风险管理工作；（8）组织或协调各相关部门开展客户洗钱风险分类管理工作；（9）负责保持与监管机构日常的工作联系，跟踪和评估监管意见和 监管要求的落实情况；（10）按季度向分管风险行领导、风险管理委员会工作小组提交归口 风险管理情况分析报告；（11）其他风险管理职责。4. 信息科技部，是本行信息科技风险管理的牵头责任部门。具体负责：（1）负责建立分工合理、职责明确、相互制衡、报告关系清晰的信 息科技治理组织结构；（2）制定符合本行总体业务规划的信息科技战略、信息科技运行计 划和信息科技风险控制策略、制度；（3）开展持续的信息科技风险识别、评估，做好日常信息科技风险 的控制和防范工作；（4）负责本行信息系统、设备、各类软件的风险管理，承担信息科 技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科 技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科 技外包和信息系统退出等职责；（5）建立信息科技应急预案和业务连续性计划；（6）负责建立和实施信息分类和保护体系，建立信息安全计划和保 持长效的管理机制，提高全体员工信息安全意识，就安全问题向其他部门 提供建议，并按季度向信息科技管理委员会提交本银行信息安全评估报告 信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划；（7）按季度向分管风险行领导、风险管理委员会工作小组提交归口 风险管理情况分析报告；（8）其他风险管理职责。5. 综合管理部，是本行声誉风险、战略风险管理的牵头责任部门。具 体负责：（1）制定适用于本行的声誉风险与战略风险管理政策，建立本行声 誉风险与战略风险管理体系，监控本行声誉风险与战略风险管理的总体状 况和有效性；（2）建立和制定声誉风险管理机制、办法、相关制度和要求，主动、 有效地防范声誉风险和应对声誉事件，最大程度地减少对社会公众造成的 损失和负面影响；（3）采取必要措施，持续、有效监测、控制和报告声誉风险，及时 应对声誉事件，制定声誉事件应急处置预案；（4）信息发布和新闻工作归口管理，及时准确地向公众发布信息， 主动接受舆论监督，为正常的新闻采访活动提供便利和必要保障；舆情信 息研判，实时关注舆情信息，及时澄清虚假信息或不完整信息；（5）重大声誉事件发生后第一时间（6 小时内）报告相关行领导，并 及时向中国银保监会或其派出机构报告有关情况；（6）建立投诉处理监督评估,从维护客户关系、履行告知义务、解决 客户问题、确保客户合法权益、提升客户满意度等方面实施监督和评估；（7）开展声誉风险排查，按季度分析声誉风险和声誉事件的发生因 素和传导途径；（8）按季度向分管风险行领导、风险管理委员会工作小组提交归口 风险管理情况分析报告；（9）其他风险管理职责。6. 监察审计部，主要作为风险管理的后台监督部门。具体负责：（1）负责监督评价风险管理战略、偏好、政策和程序的执行情况；（2）评价风险管理及监控流程是否充分和有效；（3）监督和评价本行内部控制的健全性、合理性和有效性；（4）实施各类业务风险的现场或非现场审计，依照相关规定揭示和 报告审计过程中发现的问题；（5）建立完善审计管理系统，促进审计工作的信息化、系统化、科学化。7. 运营管理部，是会计操作风险管理的牵头责任部门，以及其他风险 管理的配合部门。具体负责:（1）建立和完善营运风险管理体系，负责制定并组织实施本行营运 管理相关规章制度和操作流程；优化会计业务的后台处理流程，通过集中 处理方式防范操作风险；（2）负责本行会计业务操作风险的管理，包括对“授权管理、印鉴 密押、空白凭证、金库尾箱、查询对账、账户管理”会计六个领域的检查、 监控；（3）负责对授信放款环节进行最后合规审核，对放款通知书要求进 行系统核实，包括但不限于金额、利率、押品等信息；（4）配合其他部门组织实施涉及本部门的风险管理，及时报告、防 范和控制本部门的各类风险。8. 其他各部门。负责在本部门组织实施风险管理政策、制度和流程； 及时报告、防范和控制本部门的各类风险。第四章 风险管理策略、风险偏好和风险限额第七条 风险管理策略风险管理策略是本行为了实现经营发展目标所制定的一系列风险管 理目标、措施等，具有全局性、长远性、相对稳定性，并随国内外部环境 变化实施动态管理。应实现风险治理构架清晰化、风险制度体系健全化、 风险管理流程科学化、风险管理团队专业化、风险管理技术先进化。风险管理策略应能有效保持良好的资产质量及充足的拨备覆盖水平， 并满足经营目标需要，通过识别、计量、监测、控制、评估、报告等风险 管理机制，规避风险损失，优化资源配置，实现风险调整后收益率最大化。风险管理策略由董事会根据战略规划制定，主要通过风险偏好、限额 管理、风险政策、制度流程等路径实现。高级管理层应根据董事会提出的 风险策略制定具体政策、程序和方法，并经董事会审查批准后方可实施。第八条 风险偏好风险偏好是商业银行在追求实现战略目标的过程中，愿意且能够承担 的风险类型和风险总量，是董事会在考虑利益相关者期望、外部经营环境 以及自身实际的基础上，最终确定的风险管理的底线。风险偏好应采取定性描述和定量指标相结合的方式，风险偏好指标选 取应体现全面性、重要性、稳定性、合规性，在风险偏好设置与实施过程 中要持续地监测与报告，至少每年度对风险偏好进行一次评估，必要时及 时调整。第九条 风险限额风险限额是风险偏好落地的一种手段，是在综合考虑本行经营战略、 风险偏好和资本管理等因素，选取的反映本行风险总量及结构的风险指标 并设定控制上下限值，是本行风险偏好的具体量化。风险限额指标实行分级分类管理。是以风险偏好为基本依据，综合考 虑资本、风险集中度、流动性、交易目的等要求，从本行承担的主要风险 类别、主要业务领域等不同维度选取制定的，分为信用风险、市场风险、 操作风险、流动性风险、战略风险、声誉风险、洗钱风险等专项风险限额。风险管理部门应对风险限额进行实时监控，并向董事会或高级管理层报送风险限额使用情况。当风险限额临近监管指标限额时，应当启动相应 的纠正措施和报告程序，采取必要的风险分散措施，并向中国银保监会或 其派出机构报告。第五章 全面风险管理政策和程序第十条 风险管理政策体系本办法是本行风险管理工作的纲领性文件，根据本办法确定全面风险 管理战略和重大原则。在本办法基础上，本行进一步制定相应的管理办法、规章制度，对各 类风险的识别、计量、评估、监测、报告、控制或缓释，风险加总的方法 和程序进行明确，确立本行风险定性管理和定量管理的方法，建立健全有 效的风险管理报告体系，确立各类风险的压力测试方法、路径和安排，制 定新产品、重大业务和机构变更的风险评估机制，制定资本和流动性充足 情况评估机制。本行将根据发展战略、监管要求、风险管理执行情况、金融市场及政 策变化、资本和其他资源变化等情况，按季度或不按季度检视与修订风险 管理政策。第十一条 风险管理流程（一）风险的识别与评估方法本行应对各机构、人员、流程、外部因素、各类业务、产品进行风险 识别与评估，识别与评估其中可能发生的风险因素、发生损失概率、产生 的后果和程度，确定风险类别、性质和等级。本行风险识别与评估常用的方法是“专家意见法”和“风险工具法”。 前者是按照相应的专业或业务，组成若干专家评审小组，利用专家经验， 参考相关评审资料和规章制度，对本行的业务、管理及支持保障流程予以 识别，对各个业务流程中的关键控制环节进行判断，找出风险点，确认风 险的来源、路径及其影响范围。后者是指在银行发生或预测可能发生险情、 重大风险损失或经济金融环境或政策发生重大变化时，运用在风险价值法(VAR)、情景分析法、敏感度分析以及压力测试、矩阵法等风险识别与评 估工具对信用风险、市场风险、操作风险、流动性风险、洗钱风险等进行 识别与评估。在各类风险的分政策中应当对风险的识别与评估方法作进一 步的细化，并考虑各类风险相互影响、合并放大可能产生更严重后果的情 况。本行应逐步建立全面严密的压力测试程序，按季度对小概率但极严重 的假设事件造成的损失进行模拟和估计，以评估本行在极端不利情况下的 抵御风险能力。本行致力提高风险识别与评估能力，各类风险管理牵头部门统一制定 各类风险的度量单位和风险度量模型，逐步提高定量评估所占比例。(二) 风险的识别与评估流程 本行风险识别与评估流程依据策划识别评估再评审结果处 理等五个阶段顺序进行。1. 策划阶段是对风险识别与评估的时机选择以及人员组织的准备；2. 识别阶段是在各项业务流程、各项业务活动中辨识出风险的发生概 率、发生的条件、严重程度的过程。对识别不同风险类别和不同业务活动 的风险需要采用不同的方法和工具；3. 评估阶段是本行采用风险评估方法，根据法律和监管要求，依据已 经识别的风险性质和状况，对风险的偏好与容忍度进行评估，确定风险价 值和风险控制的措施和降低风险影响的方案；4. 再评审阶段是在本行发生险情、重大风险损失时，对风险识别与评 估的方法、过程及结果进行必要的重新评审与改进；5. 结果处理阶段是对评估结果的处理，即将评估结果形成适宜的文件， 作为建立和维护本行风险管理体系中各项决策的基础，并为持续改进风险 控制绩效提供衡量基准。（三）风险监测 本行的风险监测体系由监测政策、监测人员、监测标准、监测信息系 统和监测报告路径组成。本行应建立完整的风险监测指标体系，为风险监测活动提供依据和标 准，并基于风险识别、评估和计量结果持续进行优化。风险监测应做到实时监测、事中控制，及时跟踪已识别风险的变化情 况，并根据变化的程度与可能发生的风险事件及时调整风险应对计划。对 监测到的已发生风险应及时评估分析可能损失，并采取适当的应对措施。本行采取的风险监测方法包括人员监测，政策、制度、流程监测，限 额监测等。本行应运用先进的风险信息监测处理系统，对各类客户的预警信号进 行识别与分析，衡量其风险状况，及时采取适当措施，形成化解风险的动 态监控过程。（四）风险控制 本行应对已确定的风险及可能产生的损失，推出风险的优先级，并根 据风险性质和本行对风险的承受能力，针对已识别的各类风险，制定相应 的控制程序。控制各类风险的程序应是电子文档化和体系化的，可以快速查询并持 续完善，以利于采用合适的方法来化解、缓释或者忍受风险。本行应当对重大风险或危机情景制定并不断完善应急处理方案，以减 少可能的损失和损害。本行应逐步提高通过风险预防、风险规避、风险分散、风险转移、风 险对冲和风险补偿等应对方法来控制风险的能力。第十二条 风险报告体系本行的风险报告体系由风险报告政策、报告人员、报告机制、风险报 告信息系统组成。本行的风险报告机制包括报告路线、频率、处理职责、 反馈路线以及对各部门报告内容的具体要求。本行各部门应每季度向分管 行领导提交风险管理报告，并同时报送风险管理部；风险管理部汇总本行 风险管理信息，每季度综合评估本行风险管理状况和风险管理过程，形成 风险管理综合报告，提交至分管行长、行长及风险管理委员会工作小组； 行长每年向董事会、监事会提交本行风险管理报告。全面风险管理报告应至少包括如下内容:（一）总体风险和各类风险的整体状况；（二）风险管理策略、风险偏好和风险限额执行情况；（三）风险在行业、地区、客户、产品等维度的分布；（四）资本和流动性抵御风险的能力。本行按照有关规定按季度向投资者、监管当局、社会公众披露风险管 理状况。第六章 内部控制与审计体系第十三条 内部控制内部控制是通过制定和实施一系列制度、程序和方法，对风险进行事 前防范、事中控制、事后监督和纠正的动态过程和机制，是全面风险管理 的重要组成部分。法律合规部作为内控管理部门，对本行风险管理、内部控制制度建设 执行情况进行检查，结合检查所发现的问题对内控状况进行评价，向高管 层和董事会报告，并督促内控管理部门和执行单位及时整改。第十四条 审计体系 审计体系应包含内部审计和外部审计监管两个层面。 监察审计部作为内部审计的负责部门，是风险管理的第三道防线，应 按季度对风险管理体系部门和环节的可靠性、有效性进行独立审计。审计 范围既包括风险产生部门，也包括风险管理部门。审计报告应按照有关规 定分别向高管层、监事会和董事会提交。被审计机构应对审计中发现的问 题提出改进方案并落实整改，并且在引入显著提高本行风险承担水平的新 产品和新业务、风险管理体系出现重大变动或者存在严重缺陷的情况下， 应当增大内部审计的范围和频率。外部审计监管方面，风险管理部门、风险产生部门应将外部审计结果、 监管机构的检查报告及时报告高管层，高管层认为必要时，应向董事会报 告。风险管理部门和风险产生部门对检查发现问题进行整改，并将整改情 况报告高级管理层，承担联系外部机构的部门应进行内外部充分沟通，消 除双方误解，提高外部审计和监管检查对本行风险管理工作的指导作用。第七章 风险管理信息系统与风险模型第十五条 风险管理信息系统本行应建立完整、合理、有效风险数据管理平台，涵盖信用风险、市 场风险、操作风险、洗钱风险等主要风险类别，真正实现对全面风险包括 信息科技风险的识别、评估、计量、监测和控制，明确数据定义和数据标 准，促进本行安全、持续、稳健运行，推动业务创新。本行应创造条件，逐步开发或完善涉及各大风险的管理信息系统，包 括信用评级、客户内部评级、债项评级、风险监控与预警、资产组合管理、 限额管理、资本配置管理、风险定价管理、基于RAROC的绩效考核、资产 负债管理、内控合规管理、操作风险管理、洗钱风险管理、审计管理系统 等。本行应建立明确的系统、数据使用规则，并对使用对象、使用权限、 使用范围等进行明确规定，确保信息安全、运营稳定。数据信息安全应纳 入信息科技风险管理的范畴，本行应制定风险管理信息的共享规则，明确 信息收集的范围、标准、过程，以及各部门和人员在信息收集与加工过程 中的职责。第十六条 风险模型本行将逐步引进、开发和完善各风险的计量模型，建立风险模型的方 法应符合有关法律法规和监管机构的规定。风险模型建立后，须经过验证， 并经审批后才能投产。风险模型在应用过程中，如发现与实际结果有较大 偏差等异样情况，须及时进行模型的重检、修正。风险模型的参数设置必 须有严格的管理程序，不得擅自更改风险模型参数设置。风险模型的维护 必须每年至少进行一次。特殊情况下，可增加维护的次数。风险管理部负责组织推动各类风险模型的建立、维护和管理。监察审 计部应对风险模型的正确性、稳定性、适用性和应用过程中存在的风险等 进行后评价。第八章 附则第十七条 本办法由风险管理部负责解释和修订。第十八条 本办法自印发之日起施行。