中国银监会关于印发银行业金融机构全面风险管理指引的通知

引的通知

⽂号：银监发[2016]44号

颁布⽇期：2016-09-27

执⾏⽇期：2016-11-01

时效性：现⾏有效

效⼒级别：部门规章

⽬录

第⼀章总则

第⼆章风险治理架构

第三章风险管理策略、风险偏好和风险限额

第四章风险管理和程序

第五章管理信息系统和数据质量

第六章内部控制和审计

第七章监督管理

第⼋章附则

各银监局，各性银⾏、⼤型银⾏、股份制银⾏，邮储银⾏，外资银⾏，⾦融资产管理公司，其他会管⾦融机构：现将《银⾏业⾦融机构全⾯风险管理指引》印发给你们，请遵照执⾏。

2016年9⽉27⽇

银⾏业⾦融机构全⾯风险管理指引

第⼀章总则

第⼀条为提⾼银⾏业⾦融机构全⾯风险管理⽔平，促进银⾏业体系安全稳健运⾏，根据《中华⼈民共和国银⾏业监督管理法》、《中华⼈民共和国商业银⾏法》等法律法规，制定本指引。

第⼆条本指引适⽤于在中华⼈民共和国境内依法设⽴的银⾏业⾦融机构。

本指引所称银⾏业⾦融机构，是指在中华⼈民共和国境内设⽴的商业银⾏、农村信⽤合作社等吸收公众存款的⾦融机构、性银⾏以及国家开发银⾏。

第三条银⾏业⾦融机构应当建⽴全⾯风险管理体系，采取定性和定量相结合的⽅法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信⽤风险、市场风险、流动性风险、操作风险、国别风险、银⾏账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银⾏业⾦融机构的全⾯风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银⾏业⾦融机构全⾯风险管理应当遵循以下基本原则：

（⼀）匹配性原则。全⾯风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进⾏调整。（⼆）全覆盖原则。全⾯风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分⽀机构、附属机构，部门、岗位和⼈员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执⾏和监督全部管理环节。

（三）独⽴性原则。银⾏业⾦融机构应当建⽴独⽴的全⾯风险管理组织架构，赋予风险管理条线⾜够的授权、⼈⼒资源及其他资源配置，建⽴科学合理的报告渠道，与业务条线之间形成相互制衡的运⾏机制。

（四）有效性原则。银⾏业⾦融机构应当将全⾯风险管理的结果应⽤于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充⾜性，有效抵御所承担的总体风险和各类风险。

第五条银⾏业⾦融机构全⾯风险管理体系应当包括但不限于以下要素：

（⼀）风险治理架构；

（⼆）风险管理策略、风险偏好和风险限额；

（三）风险管理和程序；

（四）管理信息系统和数据质量控制机制；

（五）内部控制和审计体系。

第六条银⾏业⾦融机构应当推⾏稳健的风险⽂化，形成与本机构相适应的风险管理理念、价值准则、职业操守，建⽴培训、传达和监督机制，推动全体⼯作⼈员理解和执⾏。

第七条银⾏业⾦融机构应当承担全⾯风险管理的主体责任，建⽴全⾯风险管理制度，保障制度执⾏，对全⾯风险管理体系进⾏⾃我评估，健全⾃我约束机制。

第⼋条银⾏业监督管理机构依法对银⾏业⾦融机构全⾯风险管理实施监管。

第九条银⾏业⾦融机构应当按照银⾏业监督管理机构的规定，向公众披露全⾯风险管理情况。

第⼆章风险治理架构

第⼗条银⾏业⾦融机构应当建⽴组织架构健全、职责边界清晰的风险治理架构，明确董事会、监事会、⾼级管理层、业务部门、风险管理部门和内审部门在风险管理中的职责分⼯，建⽴多层次、相互衔接、有效制衡的运⾏机制。第⼗⼀条银⾏业⾦融机构董事会承担全⾯风险管理的最终责任，履⾏以下职责：

（⼀）建⽴风险⽂化；

（⼆）制定风险管理策略；

（三）设定风险偏好和确保风险限额的设⽴；

（四）审批重⼤风险管理和程序；

（五）监督⾼级管理层开展全⾯风险管理；

（六）审议全⾯风险管理报告；

（七）审批全⾯风险和各类重要风险的信息披露；

（⼋）聘任风险总监（⾸席风险官）或其他⾼级管理⼈员，牵头负责全⾯风险管理；

（九）其他与风险管理有关的职责。

董事会可以授权其下设的风险管理委员会履⾏其全⾯风险管理的部分职责。

第⼗⼆条银⾏业⾦融机构应当建⽴风险管理委员会与董事会下设的战略委员会、审计委员会、提名委员会等其他专门委员会的沟通机制，确保信息充分共享并能够⽀持风险管理相关决策。

第⼗三条银⾏业⾦融机构监事会承担全⾯风险管理的监督责任，负责监督检查董事会和⾼级管理层在风险管理⽅⾯的履职尽责情况并督促整改。相关监督检查情况应当纳⼊监事会⼯作报告。

第⼗四条银⾏业⾦融机构⾼级管理层承担全⾯风险管理的实施责任，执⾏董事会的决议，履⾏以下职责：

（⼀）建⽴适应全⾯风险管理的经营管理架构，明确全⾯风险管理职能部门、业务部门以及其他部门在风险管理中的职责分⼯，建⽴部门之间相互协调、有效制衡的运⾏机制；

（⼆）制定清晰的执⾏和问责机制，确保风险管理策略、风险偏好和风险限额得到充分传达和有效实施；

（三）根据董事会设定的风险偏好，制定风险限额，包括但不限于⾏业、区域、客户、产品等维度；

（四）制定风险管理和程序，定期评估，必要时予以调整；

（五）评估全⾯风险和各类重要风险管理状况并向董事会报告；

（六）建⽴完备的管理信息系统和数据质量控制机制；

（七）对突破风险偏好、风险限额以及违反风险管理和程序的情况进⾏监督，根据董事会的授权进⾏处理；（⼋）风险管理的其他职责。

第⼗五条规模较⼤或业务复杂的银⾏业⾦融机构应当设⽴风险总监（⾸席风险官）。董事会应当将风险总监（⾸席风险官）纳⼊⾼级管理⼈员。风险总监（⾸席风险官）或其他牵头负责全⾯风险管理的⾼级管理⼈员应当保持充分的独⽴性，独⽴于操作和经营条线，可以直接向董事会报告全⾯风险管理情况。

调整风险总监（⾸席风险官）应当事先得到董事会批准，并公开披露。银⾏业⾦融机构应当向银⾏业监督管理机构报告调整风险总监（⾸席风险官）的原因。

第⼗六条银⾏业⾦融机构应当确定业务条线承担风险管理的直接责任；风险管理条线承担制定和流程，监测和管理风险的责任；内审部门承担业务部门和风险管理部门履职情况的审计责任。

第⼗七条银⾏业⾦融机构应当设⽴或者指定部门负责全⾯风险管理，牵头履⾏全⾯风险的⽇常管理，包括但不限于以下职责：

（⼀）实施全⾯风险管理体系建设；

（⼆）牵头协调识别、计量、评估、监测、控制或缓释全⾯风险和各类重要风险，及时向⾼级管理⼈员报告；（三）持续监控风险管理策略、风险偏好、风险限额及风险管理和程序的执⾏情况，对突破风险偏好、风险限额以及违反风险管理和程序的情况及时预警、报告并提出处理建议；

（四）组织开展风险评估，及时发现风险隐患和管理漏洞，持续提⾼风险管理的有效性。

第⼗⼋条银⾏业⾦融机构应当采取必要措施，保证全⾯风险管理的流程在基层分⽀机构得到理解与执⾏，建⽴与基层分⽀机构风险状况相匹配的风险管理架构。

在境外设有机构的银⾏业⾦融机构应当建⽴适当的境外风险管理框架、和流程。

第⼗九条银⾏业⾦融机构应当赋予全⾯风险管理职能部门和各类风险管理部门充⾜的资源、独⽴性、授权，保证其能够及时获得风险管理所需的数据和信息，满⾜履⾏风险管理职责的需要。

第三章风险管理策略、风险偏好和风险限额

第⼆⼗条银⾏业⾦融机构应当制定清晰的风险管理策略，⾄少每年评估⼀次其有效性。风险管理策略应当反映风险偏好、风险状况以及市场和宏观经济变化，并在银⾏内部得到充分传导。

第⼆⼗⼀条银⾏业⾦融机构应当制定书⾯的风险偏好，做到定性指标和定量指标并重。风险偏好的设定应当与战略⽬标、经营计划、资本规划、绩效考评和薪酬机制衔接，在机构内传达并执⾏。

银⾏业⾦融机构应当每年对风险偏好⾄少进⾏⼀次评估。

第⼆⼗⼆条银⾏业⾦融机构制定的风险偏好，应当包括但不限于以下内容：

（⼀）战略⽬标和经营计划的制定依据，风险偏好与战略⽬标、经营计划的关联性；

（⼆）为实现战略⽬标和经营计划愿意承担的风险总量；

（三）愿意承担的各类风险的最⼤⽔平；（四）风险偏好的定量指标，包括利润、风险、资本、流动性以及其他相关指标的⽬标值或⽬标区间。上述定量指标通过风险限额、经营计划、绩效考评等⽅式传导⾄业务条线、分⽀机构、附属机构的安排；

（五）对不能定量的风险偏好的定性描述，包括承担此类风险的原因、采取的管理措施；

（六）资本、流动性抵御总体风险和各类风险的⽔平；

（七）可能导致偏离风险偏好⽬标的情形和处置⽅法。

银⾏业⾦融机构应当在书⾯的风险偏好中明确董事会、⾼级管理层和⾸席风险官、业务条线、风险部门在制定和实施风险偏好过程中的职责。

第⼆⼗三条银⾏业⾦融机构应当建⽴监测分析各业务条线、分⽀机构、附属机构执⾏风险偏好的机制。

当风险偏好⽬标被突破时，应当及时分析原因，制定解决⽅案并实施。

第⼆⼗四条银⾏业⾦融机构应当建⽴风险偏好的调整制度。根据业务规模、复杂程度、风险状况的变化，对风险偏好进⾏调整。

第⼆⼗五条银⾏业⾦融机构应当制定风险限额管理的和程序，建⽴风险限额设定、限额调整、超限额报告和处理制度。

银⾏业⾦融机构应当根据风险偏好，按照客户、⾏业、区域、产品等维度设定风险限额。风险限额应当综合考虑资本、风险集中度、流动性、交易⽬的等。

全⾯风险管理职能部门应当对风险限额进⾏监控，并向董事会或⾼级管理层报送风险限额使⽤情况。

风险限额临近监管指标限额时，银⾏业⾦融机构应当启动相应的纠正措施和报告程序，采取必要的风险分散措施，并向银⾏业监督管理机构报告。

第四章风险管理和程序

第⼆⼗六条银⾏业⾦融机构应当制定风险管理和程序，包括但不限于以下内容：

（⼀）全⾯风险管理的⽅法，包括各类风险的识别、计量、评估、监测、报告、控制或缓释，风险加总的⽅法和程序；

（⼆）风险定性管理和定量管理的⽅法；

（三）风险管理报告；

（四）压⼒测试安排；

（五）新产品、重⼤业务和机构变更的风险评估；

（六）资本和流动性充⾜情况评估；

（七）应急计划和恢复计划。

第⼆⼗七条银⾏业⾦融机构应当在集团和法⼈层⾯对各附属机构、分⽀机构、业务条线，对表内和表外、境内和境外、本币和外币业务涉及的各类风险，进⾏识别、计量、评估、监测、报告、控制或缓释。

银⾏业⾦融机构应当制定每项业务对应的风险管理和程序。未制定的，不得开展该项业务。

银⾏业⾦融机构应当有效评估和管理各类风险。对能够量化的风险，应当通过风险计量技术，加强对相关风险的计量、控制、缓释；对难以量化的风险，应当建⽴风险识别、评估、控制和报告机制，确保相关风险得到有效管理。第⼆⼗⼋条银⾏业⾦融机构应当建⽴风险统⼀集中管理的制度，确保全⾯风险管理对各类风险管理的统领性、各类风险管理与全⾯风险管理和程序的⼀致性。

第⼆⼗九条银⾏业⾦融机构应当建⽴风险加总的、程序，选取合理可⾏的加总⽅法，充分考虑集中度风险及风险之间的相互影响和相互传染，确保在不同层次上和总体上及时识别风险。

第三⼗条银⾏业⾦融机构采⽤内部模型计量风险的，应当遵守相关监管要求，确保风险计量的⼀致性、客观性和准确性。董事会和⾼级管理层应当理解模型结果的局限性、不确定性和模型使⽤的固有风险。

第三⼗⼀条银⾏业⾦融机构应当建⽴全⾯风险管理报告制度，明确报告的内容、频率和路线。

报告内容⾄少包括总体风险和各类风险的整体状况；风险管理策略、风险偏好和风险限额的执⾏情况；风险在⾏业、地区、客户、产品等维度的分布；资本和流动性抵御风险的能⼒。

第三⼗⼆条银⾏业⾦融机构应当建⽴压⼒测试体系，明确压⼒测试的治理结构、⽂档、⽅法流程、情景设计、保障⽀持、验证评估以及压⼒测试结果运⽤。

银⾏业⾦融机构应当定期开展压⼒测试。压⼒测试的开展应当覆盖各类风险和表内外主要业务领域，并考虑各类风险之间的相互影响。

压⼒测试结果应当运⽤于银⾏业⾦融机构的风险管理和各项经营管理决策中。

第三⼗三条银⾏业⾦融机构应当建⽴专门的和流程，评估开发新产品、对现有产品进⾏重⼤改动、拓展新的业务领域、设⽴新机构、从事重⼤收购和投资等可能带来的风险，并建⽴内部审批流程和退出安排。银⾏业⾦融机构开展上述活动时，应当经风险管理部门审查同意，并经董事会或董事会指定的专门委员会批准。

第三⼗四条银⾏业⾦融机构应当根据风险偏好和风险状况及时评估资本和流动性的充⾜情况，确保资本、流动性能够抵御风险。

第三⼗五条银⾏业⾦融机构应当制定应急计划，确保能够及时应对和处理紧急或危机情况。应急计划应当说明可能出现的风险以及在压⼒情况（包括会严重威胁银⾏⽣存能⼒的压⼒情景）下应当采取的措施。银⾏业⾦融机构的应急计划应当涵盖对境外分⽀机构和附属机构的应急安排。银⾏业⾦融机构应当定期更新、演练或测试上述计划，确保其充分性和可⾏性。

第三⼗六条银⾏业⾦融机构应当按照相关监管要求，根据风险状况和系统重要性，制定并定期更新完善本机构的恢复计划，明确本机构在压⼒情况下能够继续提供持续稳定运营的各项关键性⾦融服务并恢复正常运营的⾏动⽅案。第三⼗七条银⾏业⾦融机构应当制定覆盖其附属机构的风险管理和程序，保持风险管理的⼀致性、有效性。银⾏业⾦融机构应当要求并确保各附属机构在整体风险偏好和风险管理框架下，建⽴⾃⾝的风险管理组织架构、流程，促进全⾯风险管理的⼀致性和有效性。

银⾏业⾦融机构应当建⽴健全风险隔离制度，规范内部交易，防⽌风险传染。

第三⼗⼋条银⾏业⾦融机构应当制定外包风险管理制度，确定与其风险管理⽔平相适应的外包活动范围。

第三⼗九条银⾏业⾦融机构应当将风险管理策略、风险偏好、风险限额、风险管理和程序等要素与资本管理、业务管理相结合，在战略和经营计划制定、新产品审批、内部定价、绩效考评和薪酬激励等⽇常经营管理中充分应⽤并有效实施。

第四⼗条银⾏业⾦融机构应当对风险管理策略、风险偏好、风险限额、风险管理和程序建⽴规范的⽂档记录。第五章管理信息系统和数据质量

第四⼗⼀条银⾏业⾦融机构应当具备完善的风险管理信息系统，能够在集团和法⼈层⾯计量、评估、展⽰、报告所有风险类别、产品和交易对⼿风险暴露的规模和构成。

第四⼗⼆条银⾏业⾦融机构相关风险管理信息系统应当具备以下主要功能，⽀持风险报告和管理决策的需要：（⼀）⽀持识别、计量、评估、监测和报告所有类别的重要风险；

（⼆）⽀持风险限额管理，对超出风险限额的情况进⾏实时监测、预警和控制；

（三）能够计量、评估和报告所有风险类别、产品和交易对⼿的风险状况，满⾜全⾯风险管理需要；

（四）⽀持按照业务条线、机构、资产类型、⾏业、地区、集中度等多个维度展⽰和报告风险暴露情况；

（五）⽀持不同频率的定期报告和压⼒情况下的数据加⼯和风险加总需求；

（六）⽀持压⼒测试⼯作，评估各种不利情景对银⾏业⾦融机构及主要业务条线的影响。

第四⼗三条银⾏业⾦融机构应当建⽴与业务规模、风险状况等相匹配的信息科技基础设施。

第四⼗四条银⾏业⾦融机构应当建⽴健全数据质量控制机制，积累真实、准确、连续、完整的内部和外部数据，⽤于风险识别、计量、评估、监测、报告，以及资本和流动性充⾜情况的评估。

第六章内部控制和审计

第四⼗五条银⾏业⾦融机构应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执⾏标准统⼀的业务流程和管理流程，确保规范运作。

第四⼗六条银⾏业⾦融机构应当将全⾯风险管理纳⼊内部审计范畴，定期审查和评价全⾯风险管理的充分性和有效性。

银⾏业⾦融机构内部审计活动应独⽴于业务经营、风险管理和合规管理，遵循独⽴性、客观性原则，不断提升内部审计⼈员的专业能⼒和职业操守。

全⾯风险管理的内部审计报告应当直接提交董事会和监事会。董事会应当针对内部审计发现的问题，督促⾼级管理层及时采取整改措施。内部审计部门应当跟踪检查整改措施的实施情况，并及时向董事会提交有关报告。

第七章监督管理

第四⼗七条银⾏业⾦融机构应当将风险管理策略、风险偏好、重⼤风险管理和程序等报送银⾏业监督管理机构，并⾄少按年度报送全⾯风险管理报告。

第四⼗⼋条银⾏业监督管理机构应当将银⾏业⾦融机构全⾯风险管理纳⼊法⼈监管体系中，并根据本指引全⾯评估银⾏业⾦融机构风险管理体系的健全性和有效性，提出监管意见，督促银⾏业⾦融机构持续加以完善。

第四⼗九条银⾏业监督管理机构通过⾮现场监管和现场检查等实施对银⾏业⾦融机构全⾯风险管理的持续监管，具体⽅式包括但不限于监管评级、风险提⽰、现场检查、监管通报、监管会谈、与内外部审计师会谈等。

第五⼗条银⾏业监督管理机构应当就全⾯风险管理情况与银⾏业⾦融机构董事会、监事会、⾼级管理层等进⾏充分沟通，并视情况在银⾏业⾦融机构董事会、监事会会议上通报。

第五⼗⼀条对不能满⾜本指引及其他规范性⽂件中关于全⾯风险管理要求的银⾏业⾦融机构，银⾏业监督管理机构可以要求其制定整改⽅案，责令限期改正，并视情况采取相应的监管措施。

第⼋章附则

第五⼗⼆条各类具体风险的监管要求按照银⾏业监督管理机构的有关规定执⾏。

第五⼗三条经银⾏业监督管理机构批准设⽴的其他⾦融机构参照本指引执⾏。

第五⼗四条本指引⾃2016年11⽉1⽇起施⾏。本指引实施前已有规范性⽂件如与本指引不⼀致的，按照本指引执⾏。

备注：

本条例⽣效时间为：2016.11.01,截⾄2022年仍然有效

最近更新：2021.12.03