GB_T42422-2023金融机构风险管理框架.docx

ICS3.06CCS11GE中华人民共和家标准GB/T424222023金融机构风险管理框架Financia1.institutionriskmanagementFramework202303H7实施2023-03T7发布国家市场监督管理总局总*国家标准化管理委员会发布目次前言I1范囹2规范性引用文件3术语和定义4基本要求5风险管理原则5.1 匹配性原则5.2 全典靛原则5.3 独立性原则5.4 有效性区则55预见性原则5.6 合规性原则25.7 最小影响原则26风险管理框架26.1 风险治理架构26.2 风险管理策略、风险偏好和风险限额26.3 风险管理政策和程序36.4 压力测试36.5 风险管理信息系统和数据旭做46.6 内部控制和内部审计46.7 应急机制5参考文献6本文件按照GB，T1.1-20204标准化工作导则第1部分：标准化文件的结构和起草规则3的规定起草.请注您本文件的某些内容可能涉及专利。木文件的发布机构不承担识别专利的行任.本文件由全国金融标准化技术委员会(SAC"C180)提出并(111.1.本文件起草单位：中国标准化研究院、中国金融教育发展基金会、北京基金小镇管理委员会、中金金融认证中心有限公司、中央财经大学、中国农业银行股份有限公司、交通银行股份有限公司、中国工商银行股份有限公司、中国银行股份有限公司、中国银行业仍会、北京金融信息化研究所有限贵任公司、中国建设锹行股份有限公E、国泰君安证券股份有限公司、上海市信息安全测评认证中心、清华大学.本文件主要起草人：黄帅、杨子我、王微微.李晓怒、周一触、R安已、谢宗晓、李健、王辉、荀琴、郭刽代芭富伟、陈颖、脚、史强I、说聘、徐强以黄联、如以李宽、杨赤、李陆边叫俞枫、李宏达、工博璐、郭大港。金融机构风险管理框架1n本文件规定了金购机构风险管理法本要求，确立了风险管理原则和风险管理框架等。本文件适用于金融机构风险管理体系建设和实务。地方金融组税可参考本文件开展风险管理体系建设和风险管理实务.2提范性引用文件下列文件中的内容通过文中的现冠性引用而构成本文件必不可少的条款.其中.注日期的引用文件，仪该日期对应的版本适用于本文件：不注日期的引用文件.我最新版本（包括所有的修改垠）适用于本文件，GB/T423392023金驰机构风险管理术谱3术通和定义GBT423392023界定的术语和定义适用于本文件，4 ME求金融机构应建立健全风险管埋体系，制定风险管埋策略，运用风险管理方法和工具，根据白身的风险偏好，控制和管理所承担的信用风险、市场风险、流动性风险、操作风险、国别风险、声誉风险、战略风险、信息科技风险、合规风险、银行账簿利率风险、保险风险、交叉性金融W脍、信息安全风脸、行为风险等各类风险,定期对风险管理体系进行评砧,根擀评估结果改进风险管理工作.5 AJtmM5.1 egcttra风险管理与金融机构的风险状况和系统重要性等相适应，并根据环境变化进行调整,5.2 UUM风险管理覆虚佥融机构所有业务，所有分支机构、附同机构、部门、岗位和人员，所有风险种类和不同风险之间的相互影响，贯穿包括决策、执行和整将在内的全部管理环节,加强金融机构与股东和实际控制人等之间的关联交易管理，防范道谊风险.5.3 MX1.ttAN风险管理组织架构独立于其他业务条找，赋予风险管理条城足够的授权、人力资源及其他资源配置，建立科学合理的报告槃道，6 4风险管理的结果应用于金融机构的经营管理，根据风险状况、市场和宏观经济情况评估资木和流动性的充足性,疗效抵御所承担的总体风险和各类风险.7 .5HU1.ttJKM强化风险狡冽分析,合埋预见各种可能出现的风险，协网各项业务发展.8 .6a*ttM遵箭国家相关政策和标准开展风险管理工作.9 .7MM三M风险管理活动对业务系统正常运行的可能影响降到最低限度,保障业务系统的稳定运行.6AJimHUI1.1.1 金融机构应建立组织架构筵全、职责边界清幽的风险治理架构,明确革事会'监事会,高级管理层、业务部门、风险管埋部门和内审部11在风险管理中的职责分工.1.1.2 金融机构应确定业务部门承担风险管理的直接责任，风险管理部n承担制定风险管理政策和流程，监测和管理风险的贡任，内审部门承担业务部门和Mj瑜管理部门叫职情况的审计由任。1.1.3 金融机构应建立风险管理策珞、设定风险偏好和风险限额，建立多层次,相互协调、有效制衡的运行机制.确保风险管理策略、风险偏好和风险限额得到充分传达和有效实施.且定期评估,必要时优化和词整.金融机构应赋予风险管理职能部门和各类风险管理部门充足的资源.独立性和授权.1.1.4 金融机构应采取定性和定量燧占合的方法，识别,分析、评估'计量,监测'报告、控制或缓释所承担的各类风险.并考虑不同风险的关联性审慎评估风险之间的相互影响.防范跨境、跨业风险.1.1.5 2AItraiBtvMMmiAItnv1.1.6 ZiAMam金融机构应制定清晰的风险管理策略，至少每年评估一次风险管理策略以判定其有效性.风险管理策略应反映风险偏好、风险状况及外部环境变化.并在机构内部得到充分传导和理解.1.1.7 AIMH?金融机构应结合战略目标、经营计划、资木规划、绩效考评和薪明机制等制定风险偏好,定期对风险偏好进行评估，风险偏好应涵芾以下内容：a）故珞目标和经首计划的制定依据，风险偏好与战略目标、经甘计划的美联性；b）为实现战略日标和经营计划愿意承担的风险总量：c）愿意承担的各类风险的最大水平：d）风险儡好的定量指标，或难以求化风险偏好的定性描述：e）资本、流动性抵御总体风险和各类风除的水平；0风险偏好的调整机制和处词方法：g）其他需要权衡风险才能归出决策的事宜，1.1.8 AXMM金融机肉应淙合考虑资本、风除集中反、流动性、交易F1.标等因素，制定风险限额管理的政策和程序，建立风险限的设定和调整、超限额的报告和处理机制，6.3 AimmuttWF金融机构的风险管埋政策和程序应涵盖以下内容：a）风险管理的方法，包括各类风险的识别、分析、评估、计量、监测、报告、控M1.阚棒,风险加急的方法利程序；b）压力测试安排：C）产品、重大业务和机构变更的风险评估：d）资本和流动性充足情况评估：e）应急计划,恢复计划：0反洗钱和反恐怖融资：g）伯恩科技风险的防范：h）关联交易行为规范和关联交易风险的防范；i）声誉风险的防越与化耨：j）其他涉及风险相关的流程.6.4 SRhC&1*«金塔!机构应也立与规模、业务凭杂程度和风险状况相适应的压力测试体系,根据环境变化进行调整，并将其纳入各个层次的风险管理活动。压力测试体系如成如卜，a）治理结构：b）政策文档：c）方法流程：（1）情景设计：C）保障支持：0验证评估.&42压力M试S施完整的压力测试包括以下流程：a）定义测试目标；b）确定风险因素：C）设计压力情景：<1）收集测试数据：C）设定假设条件：n确定测试方法：g）进行压力测试：10测试结果分析；i）确定潜在风险和脆弱环节：j）汇报测试结果；k）采取改进措施。&43压力蛔实Ik金融机构应定期开展全面的压力测试，压力测试应涵盖各类主要风险和表内外各个主要业务领域,并充分考虑各项业务间的相互作用和反馈效应，以及风险因子与承压指标间可能存在的非税性关系，整合各类风险的压力测试结果，据此反映金融机构风险的整体情况.&5&&1AJtnttAM金融机构应建立与风险偏好、业务规模、风险状况等匹配的风险管理伯恩系统，利用大数掘、人工智能等技术优化各类风险管理伯息系统，将数字化风控工具收入业务流程，计疑、评估、监测、报告所有风隐类别、产品和交易对手风险暴就的规模和构成。风险管理信息系统主要功能如下：3）支持识别、计同、评估、监测和报告所有类别的狗要风险：b）支持风险限额管埋,对超出风险限额的情况进行实时监测、预警和控制：O能步计依、评估和报告所有风险类别、产品和交易对手的风险状况，满足全面风险管理需要：d）支持按照业务条跳、机构、资产类型、行业、地区、集中度等多个维度展示和报告风哙暴“情况：O支持不同频率的定期报告和压力情况下的数据加工及风险加总需求：n支持压力测试J1.作，评估各种不利情景对金融机构及主要业务条线的影响.&&2MM金融机构应建设与业务规模、风险状况等相匹配的信息科技基础设施，健全数据质琏控制体系，枳累其实、掂确、连续、完将的内部和外部数据，用于JA险识别、计愤、评估、监测、报告,以及资本和流动性充足情况的评估,通过数据能力建设保证数据旗量，具体内容如葭a）健全数据治理体系,制定大数据发展战略,成立数据管理部门，发挥数据治理体系建设组织推动和管理步谓作用，加强业务条城数据团队建设，完善数据治理制度，运用科技手段推动数据治理系统化、自动化和智能化.完善考核评价机制，强化数据治理检查、监督与司法.b）增强数据管理能力。构建覆盖全生命周期的数据资产管理体系，优化数据架构,加强数据资产积景.建立大数据平台，全面整合内外部数据，实现全域数据的统一管理、集中开发和他合共享,加强数据权限管控,完善数据权限审核规则和机制.C）加强数据桢联控制。对数据源头管理，建设以数据认货为聪础的数据质量管控机制，建立数据标准体系，强化共用数据和基础性数据管理.d）提升数据应用能力J加强数据在业务住营、风险管埋、内部控制中的应用,提高数据加总能），激活数据要素潜能。提高大数据分析财实时业务应用、风险监测、管理决策的支持能力.加强对数据应刖全流程的效果评价.6.6&&1FMBfiM金融机构应建立内部控制制度体系，对各项业务活动和笆理活动制定全面、系统、规范的业务制哎和管理制度，并定期进行评估.内部控制主要包括内部环境、风险评估、控制活动、内部监督、信息和沟通等要本，具体如卜'：a）内部环境包括治理结构、机构设置及权费分配、内部审计、人力资源政策、企业文化等：b）风险评估包括设置目标、风除识别、风险分析簪：C）控制活动包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制：小内部监督包括监督活动、缺陷认定和货任追究：O信息和沟通包括信息收集、信息传递、信息共享和反舞弊机制.&&2内部审计应独立于业务经营、网检管理和合规管理，并对业务经营、风I的管理和合规管理的有效性实施评价，遵循独立性、客观性原则，不断提升内部审计人员的专业能力和职业操守。内部审计事项包括：a）公司治理的健全性和有效性；b）经营管理的合规性和我实性：O内部控制的适当性和有效性：d）风险管理的全面性和有效性：C）会计记录及财务报告的完整性和准确性：0信息系统的持续性、可靠性和安全性：g）机构运营、绩效考评、薪酬管理和高级管理人员版联情况：h）监管部门监督检杳发现问题的整改情况及监管部门指定项目的审计工作；i）消费者权益保护机制健全性和有效性：j）其他需要进行审计的事项。&7ffijMIM金融机构应针对更大风险和突发事件建立风险应急机制明确应急触发条件、风险处区的组织体系、措施、方法和程序，并通过压力测试、应急演练等机Mia行持续改进.考文IK（IJJR1T0238.12021金融从业规范风险管理2ISO31（XX）RiskmanagenwntGuide1.ines（3ISO37000:2021Governanceoforganizations-GUidanCe4ISO37301:2021Comp1.iancemanagementsystemsRequirementswithguidanceforuse（5）ISO80（X）-1:2022Dataqua1.ityPartIzOvcnicw6银行业金融机构全面风险管理指引（银监发（2016），14号）7商业银行内部控制指引（银监发（2014）40号）8商业银行内部审计指引（银监发（2016）12号）9根行保险机构公司治理准则（银保监发（2021）M号）10商业银行压力测试指引（银监发（2014）49号）11银行保障机构关联交易管理办法（银保监发（2022）1号）U2银行保I脸机构声誉风险管理办法（试行）（银保监发（2021）4号）13银行保险机构信息科技外包风险监管办法（银保监发（2021）号）14保降公司风险管理指引（试行乂保监发（2007）23号）15中国第二代偿付能力监管制度体系整体框架（保监发（2013）42号）口6保险公司偿忖能力监管规则（11）（银保监发（2021）51号）17：保隐公司内部控制基本准则（保监发（2010）69号）18保嗓公司内部审计指引（试行乂保监发（2007）26号）19证券公司全面风险管理规范（中证协发（2014）36号）20证券公司风险控制指标管理办法（证监会令第34号）21金融控股公司监督管理试行办法（中国人民银行令（2020）第I号）22汽车金融公司管理办法中国银行业监督管理委员会令（2003年笫，号）23金融机构反洗钱和反恐怖触资监督管理办法（中国人民银行令（2021）第3号）24JGUidanCeonSupervisoryInteractionwithFinancia1.InstitutionsonRiskCu1.1.urcAFraineworkforAssessingRiskCu1.ture（FSB>25Princip1.esforanEfTectiveRiskAppetiteFramework（FSB）（26EntepriseRiskManageiweniIntegratingwithStrategyandPerfOn1.1.aMe（2017）（27）RiskManagementFrameworkAsianInfrastructureInvestmentBank（2019）28李扬.金融学大辞典M北京：中国令融出版社，201429巴塞尔委员会.第三版巴塞尔协议：改革最终方案M.中国银行保唆监督管理委员会，洋.北京：中国金谢）出版社，2C0）