商业银行信息科技风险现场检查指南
商业银行信息科技风险现场检查指南
目录
第一部分概述
1. 指南说明
1.1 目的及适用范围
信息科技与银行业务高度融合,已成为银行业金融机构提高运营效率、实现经营战略和加快金融创新的重要手段。与此同时,银行业对信息科技的高度依赖,使得信息科技风险成为影响银行业稳健运行的主要隐患之一。银监会按照科学发展观要求,与时俱进,大力加强信息科技风险监管,充分利用现场检查这一监管手段,深入检查银行机构在信息科技治理、风险管理、信息安全、业务连续性、电子银行等领域的科技风险及管理情况,发现问题、排查隐患,督促银行及时整改。商业银行信息科技风险现场检查工作,既是银监会深入掌握银行信息化建设、科技管理整体情况的有效方法,也是对银行机构信息科技风险状况进行准确分析和评价的重要手段,对及时预警风险,提高银行机构信息科技风险管控能力和水平,保护存款人和公众利益,维护金融体系安全和稳定有着重要的意义。
为提高信息科技风险现场检查质量,规范检查行为,银监会在“管法人、管风险、管内控、提高透明度”监管理念指导下,全面总结信息科技现场检查经验,充分借鉴国外监管机构的检查规范和最佳实践,编写了《商业银行信息科技风险现场检查指南》(以下简称《指南》)。《指南》编制的主要目的在于:一是明确了商业银行目前主要的信息科技风险领域、主要风险点,阐明了检查思路和主要方法,帮助检查人员明确检查目标,从而提高信息科技风险现场检查的有效性和针对性,提升现场检查质量,为银监会及各级派出机构开展信息科技风险现场检查提供全面和有针对性的指导。二是提供了评价银行信息科技风险管理各领域状况的参考标准,并提出了具体的检查要求和步骤,进一步规范了信息科技风险现场检查的程序、手段和行为,是银监会及各级派出机构实施现场检查工作的一个重要参考依据和检查指导工具。三是指明了商业银行信息科技风险防控的重点领域、方向和关键风险点,提出了风险识别、预警和控制的具体手段,商业银行可以充分借鉴《指南》内的信息科技风险防控原则和指导思想,应用到银行信息科技建设和管理实践中,成为指导银行全面开展科技风险防控、提升管理能力的有力武器。
《指南》主要适用于在中华人民共和国境内依法设立的国有商业银行、股份制商业银行、城市商业银行的信息科技风险现场检查。政策性银行、农村商业银行、农村合作银行、城市信用社、农村信用社的信息科技风险现场检查,应考虑区域经济水平、机构规模与公司治理结构差异,按照本指南的风险防控原则,结合实际情况进行检查。村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构的信息科技风险现场检查可参考本《指南》。
1.2 编写原则
一、突出风险为本的监管理念。《指南》坚持法人监管、风险为本的监管理
念,紧扣信息科技风险这一中心,详细说明了商业银行信息科技风险管理中的300多个关键风险点,明确提出了具体的控制要求和检查方法、步骤,涵盖了商业银行信息科技风险管控的各个方面和环节。
二、坚持分类监管的原则。《指南》参照相关行业标准和规范,指出了商业银行信息科技风险控制所应达到的标准,同时兼顾不同类型银行机构的特点体现分类监管原则,针对不同的被检查主体,在检查目标上有所区别和侧重,以便于监管人员正确把握检查标准和尺度,对商业银行的指导更具有针对性。
三、体现监管引领作用。《指南》借鉴了国际银行业信息科技风险管理和监管的最新理念,也充分吸收了国内先进银行的成功经验,商业银行可以对照《指南》分析差距,将《指南》要求作为持续提高信息科技风险管控水平的目标。
1.3 指南框架
《指南》强调:商业银行信息科技风险管理应以科技治理为核心,通过完善科技治理架构,形成有效内控机制,将信息科技风险管控理念贯穿于系统开发、测试和运营维护的信息系统生命周期管理全过程。
《指南》包含4个部分和附录,共26章节。第一部分“概述”主要介绍了编制《指南》的目的和适应范围、阐述了《指南》的编写原则等内容。第二部分“科技管理”包含12个章节,提出了对商业银行信息科技治理、信息科技风险管理、信息安全管理、信息系统生命周期管理、信息系统运行管理、业务连续性管理、应急管理、灾难备份管理、数据管理、外包管理、内部审计、外部审计的基本要求、检查内容和检查方法、步骤等。第三部分“基础设施”包含5个章节,提出了对商业银行计算机房、网络通讯、操作系统、数据库管理系统、第三方中间件等基础设施的基本要求、检查内容和检查方法、步骤等。第四部分“应用系统”包含4个章节,提出了对商业银行核心业务系统、电子银行系统、银行卡系统、第三方存管系统的基本要求、检查内容和检查方法、步骤等。
附录包含4个章节,收录了常用检查方法和常用操作命令,常用操作命令包括主要网络设备常用操作命令、主要操作系统常用操作命令、主要数据库管理系统常用操作命令等。
第二部分科技管理
2. 信息科技治理
商业银行的董事会和高级管理层应根据本银行的发展战略,运用先进管理理念加强信息科技治理,提高信息技术使用效益,推动商业银行的业务创新,增强核心竞争力和可持续发展能力。
提示:在对商业银行的信息科技治理情况进行检查和评价时,可根据银行机构的实际情况,按照分类监管、循序渐进的原则,合理把握标准与尺度。如,有的银行机构还不具备建立专门信息科技管理委员会的条件时,可以指定其他委员会暂时代行其职责,也可以由一个专门的管理协调小组或由一个已存在的机构(例如董事会)承担其职责。又如:在监管部门没有对商业银行首席信息官制度作出更加明确的规定或银行机构还不具备设立首席信息官的条件时,可以指定一位具有科技从业背景或工作经验的高管人员承担首席信息官的工作职责。
2.1 董事会及高级管理层
检查项1 :董事会
基本要求:(1)董事会应对银行的信息科技治理负有最终责任。(2)董事会应及时听取信息科技管理委员会和首席信息官的汇报,了解主要的信息科技风险。
(3)信息科技重大事项的决策应经过董事会审议。
检查方法、步骤:(1)访谈董事会成员/董事会秘书,了解:(a)董事会在银行信息科技管理领域的角色和职责;(b)董事会是否了解本行所面临的主要信息科技风险;(c)董事会对信息科技重大事项和决策职责的界定,以及董事会信息科技重大决策的流程;(d)经过董事会讨论和决议的信息科技重大事项的落实情况;(e)董事会如何对信息科技的建设和管理情况进行监督。(2)查阅相关资料,如董事会章程,董事会会议纪要,对重大信息科技事项的审批决议的记录等,对上述信息进行验证。
检查项2 :信息科技管理委员会
基本要求:(1)银行应建立信息科技管理委员会,该委员会成员应包括银行高级管理层、信息科技部门和主要业务部门的代表。(2) 信息科技管理委员会的职责应包括:(a)设定全行IT战略目标,指导IT方面的资金投入,对IT规划进行审批;(b)合理运用现有资源,指导信息科技部门提供高质量的IT服务,同时要监督IT成本管理情况;(c)通过调整IT项目和活动的优先级解决资源短缺造成的冲突;(d)确保IT战略的及时更新;(e)对主要的IT政策、标准、原则进行审批;(f)对重要的IT项目和活动进行监控;(g)监督和管理IT绩效,确保达到预期IT服务水平;(h)对重大IT项目进行审批。(3)定期向董事会和高级管理层汇报信息科技战略规划的执行情况、信息科技预算和实际支出情况、信息科技的整体管理状况, 面临的主要风险及其应对措施等。
检查方法、步骤:(1)访谈信息科技管理委员会成员,了解信息科技管理委员会的主要职责和开展的主要工作。如(a)是否确保信息科技战略与业务战略的一
致性;(b)信息科技管理委员会是否了解本行主要的信息科技风险并制定了应对措施;(c)重大信息科技项目投资的审批情况;(e)预算和执行情况;(f)IT绩效等。(2)调阅信息科技管理委员会相关文件,如信息科技管理委员会章程/政策,会议纪要,对重大事项的讨论和审批记录等,对访谈了解到的信息进行验证。(3)查阅信息科技管理委员会向董事会和高级管理层的汇报材料和相关会议记录,了解其向董事会和高级管理层汇报工作的情况。
检查项3 :首席信息官(CIO)
基本要求:(1)商业银行应建立首席信息官制度,明确其工作职责及报告路线。(2)首席信息官应了解并参与本行业务发展决策。(3)首席信息官应负责制定和及时更新信息科技战略,确保信息科技战略与业务战略保持一致。(4)首席信息官应确保信息科技职能的规范和有效运作。(5)首席信息官应领导和协调信息科技部门做好以下工作:信息科技预算和支出,信息科技政策、标准和流程制定及执行,信息科技内部控制、专业化研发,信息科技项目管理,信息系统和科技基础设施的建设、维护和运行管理,信息安全管理,应急管理和灾难恢复计划,信息科技外包和信息系统退出等。(6)首席信息官应确保信息科技人才队伍具备充分的专业技能。
检查方法、步骤:(1)访谈首席信息官,关注以下内容:(a)银行的信息科技战略及其与业务战略的一致性;(b)银行目前面临的主要信息科技风险和应对策略;(c)银行未来1-3年的信息科技发展规划;(d)首席信息官开展了哪些主要工作;(e)首席信息官如何与高级管理层/董事会/信息科技管理委员会等保持有效沟通;(f) 首席信息官对银行信息科技领域主要问题的了解情况和应对计划;(g)首席信息官如何对信息科技部门的活动和绩效进行监控。(2)查阅相关文档资料,如信息科技部门的汇报资料,董事会/高级管理层汇报资料,会议纪要, 信息科技重大决策的审批记录,战略规划,预算执行情况的分析,风险评估报告等,对访谈了解到的信息进行验证。
2.2 信息科技部门
检查项1 :信息科技部门
基本要求:(1)商业银行应建立与银行业务相适应的信息科技部门,负责信息科技产品的开发、外包、测试、上线和变更,负责相应信息系统的运行、维护和安全,为银行提供信息科技业务产品。(2)信息科技部门应该根据工作内容,制定完整的内部工作流程和内控制度,建立与相关职能部门之间的协调配合机制,保证信息科技工作的有序、高效。(3)信息科技部门应定期分析评估信息系统生命周期各阶段的风险,制定风险防控策略、措施和检查流程,切实做好信息科技风险管控。(4)信息科技部门所配置的信息科技人员的数量应适应业务及IT发展水平,能保证各个信息系统和各项信息科技工作安全持续地运转。信息科技部门应做好科技人员管理,注重科技专业和风险教育。信息科技人员应有良好的品德、职业操守和信用记录,具备相应的专业知识技能。(5)信息科技
部门应该建设一支与银行信息科技产品开发战略相适应的信息科技开发队伍,应做好信息科技开发管理,以及相关的外包服务管理、知识产权管理和开发环节的风险管理,为银行提供安全的信息科技业务产品。(6)信息科技部门应建设好银行信息科技系统安全连续运行的环境(包括场地、设备、网络、系统、数据安全、访问控制和管理制度等),做好各种环境的监测控制,做好事件、问题管理和变更管理,做好紧急事件应急预案。(7)信息科技部门应严格遵守国家各项安全管理制度,配合风险管理部门、合规部门、业务部门编制各项信息科技业务产品的操作手册和访问控制制度,协助做好业务部门信息科技风险控制和安全教育。
检查方法、步骤:(1)调阅信息科技部门的各项工作流程和规章制度。(2)调阅信息科技风险管理政策和制度。(3)调阅信息科技部门的组织结构图,岗位职责说明。(4)访谈信息科技部门负责人、内部各条线负责人和信息科技风险管理人员,关注以下内容:(a)信息科技部门内部设置了哪些条线?各条线是否实现了必要的职责分离,如开发团队和运行团队分离, 信息科技人员不从事业务操作, 有专门的团队开展安全检查等;(b) 信息科技部门的资源状况,包括人员是否充足,是否拥有充分的技能;(c)问题和风险的报告路线、流程和处置效率; (d) 信息科技人员的激励机制;(e)如何对信息科技人员进行职业道德方面的教育,如何在全行科技职能范围内推进风险管理和内部控制的理念;(f)信息科技人员的任免和招聘,是否进行背景调查;(g)主要岗位是否轮岗;(h)信息科技人员的技能培训情况;(i)信息科技人员是否了解本行的信息科技政策/流程/规范/标准等。
检查项2 :信息科技战略规划
基本要求:(1)商业银行信息科技战略规划应在充分的市场调查和技术分析的基础上,由首席信息官, 银行高级管理层, 科技部门、风险管理和业务部门共同讨论制定,并经过信息科技管理委员会审查和批准,并报董事会审议。(2)信息科技战略规划应该与业务发展规划保持一致,为实现银行发展战略提供紧密的信息科技支持。(3)信息科技战略规划应包含但不限于:IT治理建设的规划(关注于管理组织和制度建设等), 应用架构规划(关注于应用系统的建设), 信息科技基础设施规划(关注于基础设施建设)。(4)在银行总体战略发生变化时,银行信息科技战略规划应及时作出相应的调整。(5)银行应定期更新信息科技战略规划。(6)银行高级管理层应对信息科技战略规划的落实情况进行监督。
检查方法、步骤:(1)调阅信息科技发展战略规划或其他中长期发展规划,关注相关规划的配合和衔接。(2)访谈信息科技管理部门负责人和相关工作人员,重点关注:(a)信息科技发展战略规划的制定是否有各方面人员参与,是否经过高级管理层审批;(b)信息科技发展战略规划的内容是否包含了应用架构,基础设施,IT治理等方面;(c)信息科技发展战略规划完成情况、信息科技工作的总体状况、信息科技工作的薄弱点和问题;(d)信息科技战略规划是否依据环境变化,总体战略变更等进行调整。
2.3 信息科技风险管理部门
检查项1 :信息科技风险管理部门
基本要求:(1)商业银行应建立全行信息科技风险管理框架,设立或指定信息科技风险管理部门,明确相应的管理职责,设置必要的岗位,配置足够的信息科技风险管理人员。(2)信息科技风险管理部门应制定信息科技风险管理大纲。大纲应清楚描述信息科技风险特点、识别和评估流程、持续的控制措施和报告处理机制。(3)信息科技风险管理部门应定期审查各个相关部门和环节的信息科技风险控制流程和管理制度,定期检查制度的执行情况,防止出现失控的环节和管理制度老化的情况。(4)信息科技风险管理部门应对重要的信息科技工作环节进行风险识别和评估,定期检查和上报信息科技风险控制状况。(5)信息科技风险管理部门应对全行员工进行持续的信息科技风险教育。
检查方法、步骤:(1)调阅信息科技风险管理的相关政策, 流程,管理规范, 工作手册,以及开展信息科技风险管理的记录, 如日常工作记录、会议纪要和风险评估报告等。(2)调阅组织结构图和职责说明,了解信息科技风险管理部门的组织结构和人员的配置情况。(3)了解信息科技风险管理部门的工作情况, 包括风险管理框架,评估标准,是否定期开展风险评估, 风险评估的结果,主要风险和应对措施等。(4)了解信息科技风险管理部门和信息科技部, 业务部门, 内审部门和其他相关部门的相互协作情况。(5)了解信息科技风险教育和培训的开展情况,并调阅培训资料和记录等。
2.4 信息科技风险审计部门
检查项1 :信息科技风险审计部门
基本要求:(1)商业银行应指定专门负责信息科技风险审计的部门,设置必要的岗位,并配备适量信息科技风险专业审计人员。(2)制定信息科技风险审计制度和相应的审计手册。(3)应有计划、有侧重点地开展信息科技风险审计工作。(4)及时向董事会和监事会报告信息科技风险审计情况。(5)审计发现重大风险隐患应及时报告。
检查方法、步骤:(1)访谈信息科技审计部门负责人和工作人员, 了解以下信息:(a)信息科技审计职能的定位, 工作范围,组织结构和分工(包括信息科技内审团队内部的分工,以及与其他内审团队的分工),汇报路线, 人员配置, 技能 (如是否拥有专业资格)等情况;(b)信息科技审计计划, 关注计划制定过程中是否考虑了风险,并基于风险状况制定相应计划;(c)信息科技审计工作的标准和规范;(d)信息科技内审工作的执行情况,包括开展了哪些主要工作,有哪些主要发现,整改情况等;(e)审计结果的汇报和沟通,包括与被审计方的沟通和落实整改,及与高级管理层和董事会的汇报。(f)内审人员的持续培训情况。(2)调阅信息科技审计相关文档,包括:(a)信息科技审计章程或相关制度;(b)信息科技审计部组织结构图,职责说明等;(c)信息科技风险审计手册或其他标准规范文档。(3)调阅商业银行审计工作计划、工作底稿和审计报告。(4)调阅审计发现落实整改情况的记录;。(5) 调阅培
训记录。
2.5 知识产权保护和信息披露
检查项1 :知识产权保护
基本要求:(1)商业银行应按照国家有关知识产权法律、法规的要求,制定本单位知识产权保护制度。(2)应采取有效措施确保所有员工充分理解知识产权保护制度并遵照执行。(3)规范合法软件的购买和使用,禁止使用盗版软件。(4)做好自主开发的信息科技产品的知识产权保护工作。
检查方法、步骤:(1)调阅商业银行遵守知识产权法律的相关制度并审查其内容。(2)查阅商业银行的软件清单,检查是否拥有产权或授权及到期状况。(3)查阅外包服务协议和相关文件中是否有知识产权的保护条款,并检查落实情况。
检查项2 :信息披露
基本要求:商业银行应依据国家有关法律、法规的要求,按照监管机构规定的格式和时间,及时规范地披露信息科技风险信息。
检查方法、步骤:(1)调阅商业银行有关信息科技风险披露的制度。(2)查阅商业银行披露信息科技风险评估结果的记录。(3)重点关注信息披露是否符合《商业银行信息披露办法》等有关法律、法规的要求,是否按照监管机构规定的格式和时间及时规范地发布。(4) 访谈信息科技人员了解信息披露的流程, 以及信息披露执行情况,如科技人员是否了解披露要求,如何确保披露信息的及时和准确等。
3. 信息科技风险管理
商业银行应制定信息科技风险管理策略,制定风险识别和评估、风险防范措施,对风险进行持续监测。
3.1 风险识别和评估
检查项1 :风险管理策略
基本要求:(1)商业银行应制定符合银行总体业务发展规划的信息科技战略、信息科技运行计划和信息科技风险评估计划;(2)应配置足够人力、财力资源,维持稳定、安全的信息科技环境;(3)应制定全面的信息科技风险管理策略,包括但不限于:信息分级与保护,信息系统开发、测试和维护,信息科技运行和维护,访问控制,物理安全,人员安全,业务连续性计划与应急处置。
检查方法、步骤:(1)访谈信息科技部门及信息科技风险管理部门负责人员,了解以下内容:(a)信息科技风险管理策略和方法,如风险框架和分类,评估方法和标准,以及对风险容忍度的界定;(b) 银行的主要信息科技风险及其应对措施;(c)在开展信息科技风险管理过程中遇到的主要挑战。(2)调阅信息科技风险管理文档,如信息科技风险管理政策和流程, 风险评估规范或手册等。
检查项2 :风险识别与评估
基本要求:(1)商业银行应制定持续的风险识别和评估流程,确定信息科技风险隐患;(2)定期评估信息科技风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别。
检查方法、步骤:(1)调阅风险识别和评估流程文档,风险评估报告和相关工作底稿,了解具体工作开展情况。(2)与信息科技风险管理相关人员(如信息科技部门人员和信息科技风险管理部门人员)访谈, 了解信息科技风险评估的过程,信息来源,评估结果,以及对识别的风险是否制定了应对措施。
3.2 风险防范和检测
检查项1 :风险防范措施
基本要求:(1)商业银行应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:制定明确的信息科技风险管理制度、技术标准和操作规程,并定期进行更新和公布;(2)确定潜在风险区域,并对这些区域进行有效的监控,实现风险及早发现、影响最小化;(3)建立适当的控制框架,以便于检查和平衡风险。定义每个业务级别的控制内容,包括:最高权限用户审查,控制数据和系统的物理及逻辑访问,访问授权以“必需知道”和“最小授权”为原则,审批和授权,验证和调节等。
检查方法、步骤:(1)调阅信息科技管理制度、技术标准、操作规程等文
档,并访谈信息科技人员和风险管理人员,了解信息科技风险控制的主要原则和措施.(注:这里应主要关注风险控制的原则, 如怎样落实访问控制的最小授权,对风险/安全事件的监控,灾难恢复的安排等,具体控制的设计和执行情况将在各个领域中进行检查。)(2)调阅风险监控相关工作记录,如风险评估报告,信息科技各职能部门关于风险的汇报文档等.访谈风险管理人员,了解对高风险区域的监控情况;(3)了解信息科技职能和风险管理职能如何对主要风险进行监控,如定期汇总各条线(如运行,开发,测试等)的汇报,对一些重要事项和指标的持续监测, 内外审的发现和建议的落实,问题上报制度等。
检查项2 :风险计量与检测
基本要求:(1)商业银行应建立持续的信息科技风险计量和检测机制,其中包括:建立信息科技项目实施前及实施后的评价机制,建立定期检查系统性能的程序和标准,建立信息科技服务投诉和事故处理的报告机制,建立内部审计、外部审计和监管发现问题的整改处理机制,安排对服务水平协议的完成情况进行定期审查,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁,定期进行运行环境下操作风险和管理控制的检查,定期进行信息科技外包项目的风险状况评价。(2)中资商业银行在境外设立的机构及境内的外资法人银行,应对境内外监管机构有关信息科技风险监管政策的差异性进行分析并防范由此可能产生的风险。
检查方法、步骤:(1)调阅有关文档(如风险评估制度和方法,评估报告,关于风险和安全事件的汇报等),了解商业银行是否建立信息科技风险计量和监测机制。(2)访谈相关工作人员,了解中资商业银行在境外设立的机构及境内的外资法人银行是否对监管政策的差异性进行了充分分析并采取有效风险防范措施。
美国中小商业银行信贷风险管理经验的启示
内容提要:美国是世界上中小银行数量较多市场化运作较为成熟的国家。因为市场竞争的残酷性,美国中小银行为了生存和发展,对风险管理极为重视,特别是在信贷风险管理上形成了一系列较为成熟的经验。这些经验对我国中小银行尤其是城市商业银行具有很大的借鉴意义。美国是世界上中小银行数量较多、市场化运作较为成熟的国家。在美国约8 000家商业银行中,资产超过100亿美元的还不足10%,资产不超过10亿美元的银行,在全美共有5 000多家。在美国,由于银行业市场的激烈竞争,每年都有一些中小银行被兼并重组,一些中小银行被关闭,但同时也会新增一些中小银行。目前,信贷业务依然是美国中小银行的主要资产业务。因为市场竞争的残酷性,美国中小银行为了生存和发展,对风险管理极为重视,特别是在信贷风险管理上形成了一系列较为成熟的经验。这些经验对我国中小银行尤其是城市商业银行具有很大的借鉴意义。 1 ?中国城市商业银行与美国社区银行对比 中国城市商业银行与美国的社区银行相似,规模普遍较小(多数资产不足10亿美元),在所属的 区域内通过低成本的分销工具为客户提供基本简单的金融服务。专门为低收入的个人消费者 提供小额贷款;支持小型企业以为本地经济发展提供便利;将存款作为贷款资金;并致力于提高个人客户和企业客户的生活质量。但是,它们又有着不同点。美国的社区银行既不是开发 银行,也不是政府的福利机构。因此,它们不会提供有政府导向性的业务;不会在政府机构的影响下经营;不会优先运作基础设施的项目;不提供特许的利率;也不会把社会的目标置于银行 的财务目标之上。一般来说,虽然规模在一定程度上起着决定性的影响作用,然而一家银行的规模大小并不是银行赢利的最主要因素。因此社区银行仍然可以是一种赢利性很高且具有长 期稳定性的商业模型。根据美国的情况,赢利性最好的是那些资产在10亿~100亿美元的银行(相当于国内杭州、南京以及大连等的城市商业银行资产规模)以及资产在3亿~5亿美元的银 行(相当于葫芦岛、焦作以及马鞍山等的城市商业银行资产规模)。令人惊讶的是,最稳定(亏损企业百分比最小)的银行仍然是资产在3亿~5亿美元的那些小型银行。 2?美国中小商业银行信贷风险管理的特征 2?1美国中小商业银行普遍建立了完善的信贷风险管理 组织构架美国的中小商业银行实行董事会、高级管理层相互独立的、立体的风险管理体系。 董事会通过下设的风险审计委员会对全行的风险进行全面监测,尤其是高级管理层的道德风险。银行的高级管理层也建立另一套风险体制框架,实行风险的自我控制与管理:设立对业务风险进行控制的管理部门,对业务部门、管理部门的各类风险进行全面管理,这些部门对首席执行官负责。美国中小商业银行银行实行风险集中管理体制,风险控制在总行层面实现集中化管理,总行对所有风险都具有强大的监控能力。即使像住房抵押贷款一类的零售贷款也实现了由总行集中审批。美国各中小商业银行都设有风险管理部。风险管理部门负责日常风险 管理工作,对所有风险管理人员实行“垂直管理”,业务部门所需要的风险管理人员由风险管 理部派驻,派驻人员可参与业务经营的整个过程,并与业务部门共同承担责任。贷款风险管理 委员会不负责审批贷款,只负责贷款风险监测。贷款的审批按照相互制约的原则进行,单人无法对贷款业务进行决策。对信贷审批的授权主要考虑两个因素:职务高低、业务性质(如批发 业务与零售业务就不同)和个人经验。风险管理派驻人员具体负责各业务条线的风险管理,这 些人员直接向风险管理部门报告,但对与风险有关的业务决策有发言权,可对风险进行实时控制,寓风险管理于业务经营过程之中。 2?2美国中小商业银行拥有先进的风险管理工具和监测 技术科学的分析是做好风险管理工作的前提,商业银行信贷风险管理中的分析工作必须依赖 于一定的管理工具。普遍使用的信用分析系统为中小商业银行提供了在线信贷文件系统,
XX银行服务检查
xx银行客户服务管理办法 (暂行) 目录 第一章总则 第二章商行客户服务管理组织体系 第三章总公司商行项目管理工作小组工作职责第四章客户服务中心服务职责与要 求第五章客户服务监督考核第六章商行服务费用管理第七章附则 附件:项目领导小组与项目管理工作小组人员名单 第一章总则 第一条为了切实作好xx商业银行(以下简称“商行”)服务管理工作,增强服务竞争力,在商行系统内树立客服中心服务品牌,特制定本办法。 第二章商行客户服务管理组织体系 第二条商行成立项目领导小组 xx经理担任组长,xx任副组长,设立项目经理与副经理。小组职责:全面负责商行服务管理的领导、指挥、部署、决策、协调与管理工作。 第三条商行成立项目管理工作小组 工作小组由客户服务中心、xx中心、xx中心、xx务中心相关管理人员参与组成。 工作小组职责:在项目领导小组的领导下,负责商行服务项目的具体组织与实施,并负责客户服务的组织、管理、监督与考评工作。项目经理具体负责管理工作小组的相关工作。 第四条对应属于商行服务范围的各分行,各地客户服务中心成立商行项目小组
项目小组由1名负责人和1-2名服务专员组成,其中至少有1名服务人员持有资格证书。服务人员应具有良好的业务素质、高度的责任心与良好的敬业精神,能胜任客户的服务要求。 项目小组职责:在商行项目管理工作小组的领导下,按照本管理办法的要求为商行各级分行提供一流的专业服务。 第三章商行项目管理工作小组工作职责 第五条商行项目管理工作小组的客户服务职责如下:(一)制订保险手册 在商行总行与保险公司签署保险协议后,工作小组负责完成保险手册的制作,并在15日内组织各客户服务中心向商行各分支行提供。工作小组应向总行本部提供不少于20套保险手册。(二)组织分行统保集中培训 在商行总行与保险公司签署保险协议后,根据总行的要求,工作小组负责完成一级、二级分行的统保集中培训。(三)组织分行投保工作 根据商行总行与保险公司签署的保险协议,工作小组将在保险手册中明确投保、缴费操作流程,组织并指导各地客户服务中心协助商行各级分行完成投保工作。 (四)提供非常规案件索赔协助服务,包括: 1、协助各地客户服务中心进行重大索赔案件(非车险估损20万以 上,车险估损3万以上)的处理,包括对各地客户服务中心的索赔工作提供指导意见、提供索赔处理建议、参与现场的事故处理(必要时)、对索赔工作全程跟踪、协助与保险公司进行协调等,争取赔案的圆满解决。 2、协助各地客户服务中心进行各类疑难案件、通融赔付案件、久拖 未决案件的处理,包括对各地客户服务中心的索赔工作提供指导意见、 提供索赔处理建议、协助与保险公司进行沟通协调,争取赔案的圆满解决。 (五)组织开展风险管理工作 定期组织风险工程师或风险管理专家对商行相关分行进行风险评估,提供风险评估报告和风险管理建议。 (六)定期向商行总行提供各类报告,包括: 1、每季度风险管理简报; 2、每季度保险管理简报,包括投保汇总和赔案汇总分析等; 3、统保半年度报告和年度报告。(七)为商行总行提供保险咨询服务
商业银行信息科技风险管理解决方案
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中小银行信息科技管理中存在的问题及改进建议
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
商业银行全面风险管理办法规定
商业银行全面风险管理办法规定
**银行全面风险管理办法 第一章总则 第一条为推进全面风险管理体系建设,提升风险管理水平,依据境内外有关监管指引、本行《章程》,并借鉴国际银行业风险管理的经验做法,特制定本办法。 第二条本办法所称风险,是指对本行实现既定目标可能产生影响的不确定性,这种不确定性既可能带来损失也可能带来收益。本办法主要关注带来损失的不确定性。 (一)信用风险。是指因借款人或交易对手未按照约定履行义务从而使本行业务发生损失的风险。 (二)市场风险。是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使本行表内和表外业务发生损失的风险。 (三)操作风险。是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险,包括法律风险,但不包括策略风险和声誉风险。 (四)流动性风险。是指因本行无法以合理的成本及时筹集到客户和交易对手当前和未来所需资金而对本行经营所产生的风险。 除上述风险外,本行还关注外部监管部门或本行董事会要求-2-
关注的其他风险。 第三条本办法所称全面风险管理是指本行董事会、高级管理层和全行员工各自履行相应职责,有效控制涵盖全行各个业务层次的全部风险,进而为本行各项目标的实现提供合理保证的过程。 第四条本行风险管理应遵循以下原则: (一)收益与风险匹配 制定风险管理战略和进行风险管理决策,必须考虑承担的风险是在本行的风险容忍度以内,并有预期的收益覆盖风险,经风险调整的资本收益率能够满足股东的最低要求或符合本行的经营目标。 (二)内部制衡与效率兼顾 本行在风险管理规章制度中明确界定各部门、各级机构和各层级风险管理人员的具体权责,实行前中后台职能相对分离的管理机制。各部门、境内外分支机构和全体员工之间要有效沟通与协调,优化管理流程,不断提高管理效率。 (三)风险分散 本行实现信用风险敞口在国家、地区、行业、产品、期限和币种等维度上的适度分散,防范集中风险。严格遵循监管标准,审慎核定单一客户和关联客户授信额度,有效控制客户信用风险集中度。 本行实现市场风险敞口在国家、地区、市场、产品、期限和 -3-
商业银行信贷风险管理研究
商业银行信贷风险管理研究 摘要 中国经济的发展与资金密不可分,银行业为中国经济发展提供了持续的动力。作为经营货币资金的特殊公司,风险管理是行业中永恒的话题。本文以杭州发展农村商业银行作为研究对象,结合巴塞尔新资本协议以及当前我国商业银行信贷业务发展的实际情况,采用观察和调查法对长春发展农村商业银行信贷业务进行调查。通过观察和分析,探究影响信贷业务的主要因素,结合信贷业务管理理论和当前长春发展农村商业银行信贷业务环境,为杭州发展农村商业银行信贷业务管理提供一套风险管理的新思路和一套全面控制管理银行风险的衡量标准、制度和技术方法要求,旨在对信贷风险管理水平不太发达的我国农村商业银行提供策略和发展建议。 关键词:农村商业银行,巴塞尔新协议,信贷风险管理
Abstract The development of China's economy is closely related to capital, and banking industry provides a sustained impetus for China's economic development. As a special company operating monetary capital, risk management is an eternal topic in the industry. In this paper, the development of rural commercial banks in Hangzhou as the research object, combined with the New Basel Capital Accord and the current situation of the development of credit business of commercial banks in China, using the observation and investigation method to investigate the development of rural commercial banks in Changchun. Through observation and analysis, this paper explores the main factors affecting the credit business, combines the credit business management theory with the current credit business environment of Changchun rural commercial bank, and provides a set of new ideas of risk management and a set of measurement standards, systems and technical method requirements for the comprehensive control and management of Bank risk for the development of credit business management of Hangzhou Rural Commercial Bank, aiming at the credit risk Rural commercial banks in China with underdeveloped insurance management provide strategies and development suggestions Key word:Rural commercial banks, Basel II, credit risk management
#商业银行合规风险管理指引
商业银行合规风险管理指引 第一章总则 第一条为加强商业银行合规风险管理,维护商业银行安全稳健运行,根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》,制定本指引。 第二条在中华人民共和国境内设立的中资商业银行、外资独资银行、中外合资银行和外国银行分行适用本指引。 在中华人民共和国境内设立的政策性银行、金融资产管理公司、城市信用合作社、农村信用合作社、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构以及经银监会批准设立的其他金融机构参照本指引执行。 第三条本指引所称法律、规则和准则,是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。 本指引所称合规,是指使商业银行的经营活动和法律、规则和准则相一致。 本指引所称合规风险,是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
本指引所称合规管理部门,是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。 第四条合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险和信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性。 第五条商业银行合规风险管理的目标是通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,促进全面风险管理体系建设,确保依法合规经营。 第六条商业银行应加强合规文化建设,并将合规文化建设融入企业文化建设全过程。 合规是商业银行所有员工的共同责任,并应从商业银行高层做起。 董事会和高级管理层应确定合规的基调,确立全员主动合规、合规创造价值等合规理念,在全行推行诚信和正直的职业操守和价值观念,提高全体员工的合规意识,促进商业银行自身合规和外部监管的有效互动。 第七条银监会依法对商业银行合规风险管理实施监管,检查和评价商业银行合规风险管理的有效性。 第二章合规管理职责
商业银行信息科技风险动态监测规程
商业银行信息科技风险动态监测规程 (征求意见稿) 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力; (二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况; (三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况; (四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
商业银行信息科技风险管理指引
商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人设立一个由来自高级管理层、信息科技(五)员对信息科技风险管理重要性的认识。. 部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向
商业银行风险管理论文
天津财经大学珠江学院《浅谈商业银行风险管理》 课程名称:风险管理 班级:证券投资1208班 学号:2012161553 姓名:吴勇 日期:2015/6/10
摘要:信用风险是商业银行所面临的基本风险,目前我国商业银行面临的最主要的是金融风险。个人认为,商业银行要做好操作风险管理,必须变传统的“自上而下”模式为“自下而上”模式,直接向一线人员征集风险信息,主动追踪、处理操作风险事件,打造功能强大的操作风险管理平台,实现商业银行操作风险的动态管理。我们来探讨下商业银行风险的危害,以及解决方案,及其的重要性。 关键词:银行信用风险风险管理商业银行 一、商业银行操作风险定义及分类 商业银行所面临的风险主要可分为信用风险、市场风险、操作风险。操作风险是由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。其中:流程因素引起的操作风险,主要是指业务运管过程中由于管理体制和制度的缺失、以及制度漏洞所造成的操作风险;人员因素引起的操作风险,泛指在商业银行内部所有由于人员方面的原因给业务操作带来的风险。商业银行是经营货币的金融中介组织,与一般工商企业的最大不同就在于银行利用客户的存款和其它借入款作为主要的营运资金,自有资本占比低这一点决定了商业银行本身具有较强的内在风险特性。 【一】、信用风险管理定义 信用风险管理是指对导致银行信用风险的诸多因素及其发生的频率与其可能形成损失的程度进行分析、预测、控制、疏导和防范的风险管理活动,其目的是以最小的耗费达到分散、降低和转移风险,保障银行经营的安全性。 与世界各国大型商业银行相比,我国商业银行还是很落后的。 1、商业银行公司治理结构落后
商业银行信贷风险管理理论概述
商业银行信贷风险管理理论概述 一.信贷风险的定义: 1.信贷。 银行信贷是商业银行为保证贷款业务而从事的与之相关的经营活动,是商业银行的主要业务.银行信贷是商品货币关系的产物,是以偿还为条件,并且收取利息为获取报酬的借贷行为.它的运行方式为:吸收来自个体储户的存款,然后将之发放给信用可靠的贷款人.在这个过程中,银行向储户支付利息,贷款人向银行支付利息.银行通过利息的不同来获取收益.银行信贷具有聚集,分配社会资金,调节社会经济活动,反映和监督国民经济活动的职能. 2.信贷风险的含义。 风险在经济领域中,一般将之理解为在未来的一段时间内,损失的发生因为影响因素的大量性,无规则性和随机性而具有多种可能性或不确定性.商业银行在经营与信贷活动中因受多种因素的影响存在损失发生的可能性或不确定性,就是商业银行风险.信贷风险作为商业银行的主要风险,在广义上它指因客户违约引发的风险,在狭义上指银行不能如期收回贷款本金和利息的不确定性,也即银行在信贷活动中预期收益不能实现的可能性.(商业银行信贷风险管理—张淼) 3.信贷风险的特征。 (1)客观性。 只要银行经营信贷活动,就不可能完全规避信贷风险,信贷风险在信贷活动中是客观且肯定存在的。换句话说,没有信贷风险的信贷活动是不存咋的。 (2)隐蔽性。 信贷活动中各种影响因素的大量性、随机性和不确定性决定了信贷风险难以直接的、精确的被观察和度量。 (3)可控性。 虽然信贷风险具有隐蔽性,但银行可以通过一定的方法提前识别、计量、监测和控制。 二.信贷风险形成的原因. 从一般意义上考察,任何经济活动风险的存在都与其所处的自然环境,社会和政
治环境,经济形势的变化和人的行为等诸多因素的影响.银行信贷作为社会经济活动的组成部分,同样受到这些因素的影响.银行风险的形成原因是错综复杂的,既有客观原因,又有主观原因;既有外部原因,又有内部原因.这些因素的大量性,随机性,不确定性以及不同因素之间相互交错,使得信贷风险的评估与管理变得复杂化. 1.主要表现形式。 商业银行的信贷风险主要体现在巨额不良债权上。债权是指商业银行(债权人)按信用原则和交易准则,以贷款为形式、以契约承诺为载体,让渡信贷资金使用权给借款人(债务人),并藉此拥有向借款人追索贷款本金和利息的一种经济权利。根据贷款契约的履行情况,商业银行的债权可分为正常债权和不良债权。就一笔贷款而言,如果该贷款能够按贷款契约规定的期限要求按时偿还本金和利息,那么该项债权就属于正常债权。否则,就属于不良债权范畴。“不良债权”是指按期很难收回或无法收回的贷款,即通常所说的呆账、坏账。(我国商业银行信贷风险形成原因分析—王红夏) 2.产生原因。 不良债权的产生主要来自于商业银行信贷经营管理水平低,其体现在以下方面:(1)银行对经营对象了解不深入,分析不透彻.信贷风险的产生与银行工作人员对贷款对象的了解程度有很大关系,在发放贷款前,没有对贷款对象进行深入调查,没有对其资产状况和偿还能力进行评估,就像对方贷款.这样做的后果是某些贷款人信用低,不具有偿还能力.而一些贷款单位管理水平低,经济效益差,导致其不具有偿还能力. (2)缺乏科学的可行性分析和项目评估.无论哪一种业务,事先都应进行可行性评估.对于银行来说,在贷款之前,应结合所掌握的资料进行科学的可行性评估.如果凭借决策者的主观经验进行决策贷款,无疑会产生信贷风险. (3)信息不灵.银行的任何一项决策,都应该建立在及时,可靠的信息上,并且贷款之后,也应跟踪调查贷款对象的最新信息,确保其具有偿还贷款的能力. (4)国家体制原因。我国的特殊的经济体制也会对银行的信贷风险的产生有一定影响.如行政干预,指令贷款会形成贷款风险.由于在计划经济下形成的政企不分的问题没有得到根本解决,银行的资金流向,投量的掌握在一定的程度上还政
商业银行监管评级内部指引完整版
分享快乐共享知识 银监中国银行业监督管理委员会关于印发《商业银行监管评级内部指引(试行)》的通知-日月30号2005年12发〔2005〕88各银监局:现将《商业银行监管评级内部指引(试行)》(以下简称《内部指引》)。印发给你们,并就有关事项通知如下:年度的评级,日起试行,对于各类商业银行2005年1月1一、《内部指引》于2006仍然沿用原来的风险评级办法。二、试行阶段,需要对定量指标的选择、权重系数的设定、标准值和分值区间的设置以进行更加充分的数据测试,必要时对有关定量指标和定性因素及其标准进行修订和完善,并将执”体系中的科学性和合理性。因此,请各银监局认真执行,保证各项评价标准在“打分行过程中发现的问题和建议及时报告银监会。《内部指引》采用定量与定性相结合的分析评价方法,其中定性因素的评价是难三、点,对于评级人员要求较高,评级人员须具备良好的监管业务素质和丰富的监管工作经验,能够依据定性评价因素及其并且充分了解和熟悉监管评级的所有要素以及评级原理和方法,工作监管人员的专业素质、准确的分析预测和判断评价。细化的评价标准对银行做出客观、很容易造成评级尺度对监管评级的理解和认识等方面的差异,经验、收集评级信息的情况、因此,请各银监局有计划、有步骤地安排相关严重影响评级结果的准确性和可比性。不一,培训工作,确保《内部指引》的顺利实施。《内四、监管评级有效的推行和使用,还有赖于规范的评级程序和工作制度。因此,请各银监局结合银监会监规定了严密规范的评级操作规程和清晰明确的职责分工,部指引》严格按照监管评级的流程和职责分工做好评级工作,管业务流程再造和监管资源整合等工作,以确保评级工作质量。监管信息系统建设工作的规划,《内部指引》试行后,银监会”“1104工程五、按照定性因素评价的规范实现定量指标评价的自动化,”,将据此开发“商业银行监管评级子系统化,并通过该系统对评级工作进行质量控制,提高评级工作的效率。防止监六、各级监管机构及其参与评级工作的监管人员应当严格遵守有关保密规定,管评级结果的误用和滥用。 商业银行监管评级内部指引(试行)总则第一章分类监管和风实现对商业银行的持续监管、为健全和完善商业银行的风险监管体系,进逐步统一同质同类银行的监管标准,险预警;为推行同质同类银行比较和差别监管模式,现行的评级体系(以下简称银监会)一步规范监管评级工作,对中国银行业监督管理委员会借鉴国际通用的法规和部门规章,修订和完善,依据我国现行的银行监管法律、进行整合、,广泛吸收英国、新加坡和香港等国家地区监管机构关于监管)评级体系”“骆驼(CAMEL评级的良好做法,并充分结合我国的具体实践,制定本指引。一、功能对商业银行的监管评级建立了有利于监管机构全面掌握商业银行的风险状况。(一)一个对银行机构的风险和经营状况的分析框架,提出了一系列分析银行风险的方法与标准,旨在帮助监管机构及时识别、判断银行的风险状况和严重程度。监管评级通过对商业银行有利于监管机构合理配置监管资源,提高监管效率。(二)监管机构据此确识别商业银行存在的风险和问题。主要经营管理要素的评价,系统地分析、它既是对监管机构一现场检查的频率和范围。定对商业银行的监管重点,包括非现场监管、卑微如蝼蚁、坚强似大象. 分享快乐共享知识 是对商业银个周期的持续监管的总结,同时也为下一个周期的持续监管提供了可靠的依据,行实施持续监管的重要监管工具。(三)有利于监管机构实施分类监管,针对性地采取监管措施,提高监管有效性。监管评级结果将作为监管机构实施分类监管和依法采取监管措施的基本依据。 二、适用范围本指引适用于在中华人民共和国境内依法设立的所有商业银行,包括中资商业银行、外资独资银行和中外合资银行。本指引适用于对上述金融机构法人机构的监管评级。监管机构可以依据本指引对新设立的商业银行进本指引不适用于新设立的商业银行。行试评级,但是评级结果不作为正式评级结果,且不与其他商业银行的评级结果作比较。评级要素第二章CapitalAdequacy)一、资本充足状况((一)定量指标:资本充足率;1.核心资本充足率。
商业银行信息科技风险管理指引(银监发2009[1].19)
-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
《商业银行信息科技风险管理指引》WORD版
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
我国商业银行信贷风险管理的历史及现状
我国商业银行信贷风险历史、现状与成因分析 王斐 (河南平高东芝高压开关有限公司河南郑州 450000) 摘要:信贷风险管理是现代商业银行风险管理的核心内容。长期以来,信贷和存款是我国商业银行的主营业务,由此,信贷风险也就成为我国商业银行面临的主要风险。近年来,国有商业银行在强化信贷风险管理防范和化解信贷风险上取得显著的工作成绩和丰富的实践经验,信贷资产质量明显提高。但是,与西方发达国家相比,我国商业银行资产负债比例管理问题突出和信贷管理机制弊端显著,现行信贷风险管理制度中仍然存在着不少问题。因此,了解我国商业银行信贷风险的历史和现状,分析信贷风险产生的原因具有重要的理论与现实意义。 关键词:信贷风险历史现状成因分析 作者简介: 王斐,男,1979年7月16日,河南南阳人,中共党员,现任河南平高东芝高压开关有限公司财务部长。 一、我国商业银行信贷风险管理的历史 (一)商业银行信贷风险管理发展历程 从风险管理手段变迁的视角分析,商业银行信贷风险管理经历了限额管理、风险计量与分析、风险调整后的资本回报率以及积极的资产组合管理阶段。 1.限额管理阶段 限额管理是现代商业银行信贷风险管理发展的初级阶段。由于风险测量技术并不成熟,因此,风险限额是一个固定数值,该数值一般由信贷专家根据市场和企业情况,通过定性分析和简单的定量分析来设定,如“5C”法、“5P”法等1。 2.风险计量与分析阶段 随着风险测量技术的发展,在限额管理的基础上,风险管理迈入了风险计量与分析阶段。在此阶段中,风险管理的目标是给出各项信贷业务风险的定量值,在此基础上控制风险。 3.风险调整后的资本回报率阶段 风险管理的更高阶段是风险调整后的资本回报率管理。以风险调整后的资本回报率(RAROC)为核心的管理技术的应用,可以让商业银行逐步建立注重风险与收益之间的平衡关系的管理文化,让这种管理文化渗透到每个员工的思想和日 1“5C”要素分析法主要集中从借款人的道德品质(Character)、还款能力(Capacity)、资本实力(Capital)、担保(Collateral)和经营环境条件(Condition)五个方面进行全面的定性分析,以判别借款人的还款意愿和还款能力。“5P”要素分析法即个人因素(Personal)、借款目的(Purpose)、偿还(Payment)、保障(Protection)和前景(prospect)。
商业银行监管评级内部指引(完整版)(20200903080501)
中国银行业监督管理委员会关于印发《商业银行监管评级内部指引(试行)》的通知 -银监发〔2005〕88 号2005 年12 月30 日 各银监局: 现将《商业银行监管评级内部指引(试行)》(以下简称《内部指引》)。印发给你们,并就有关事项通知如下: 一、《内部指引》于2006年1月1日起试行,对于各类商业银行2005年度的评级,仍然沿用原来的风险评级办法。 二、试行阶段,需要对定量指标的选择、权重系数的设定、标准值和分值区间的设置 进行更加充分的数据测试,必要时对有关定量指标和定性因素及其标准进行修订和完善,以保证各项评价标准在打分”体系中的科学性和合理性。因此,请各银监局认真执行,并将执行过程中发现的问题和建议及时报告银监会。 三、《内部指引》采用定量与定性相结合的分析评价方法,其中定性因素的评价是难点,对于评级人员要求较高,评级人员须具备良好的监管业务素质和丰富的监管工作经验, 并且充分了解和熟悉监管评级的所有要素以及评级原理和方法,能够依据定性评价因素及其 细化的评价标准对银行做出客观、准确的分析预测和判断评价。监管人员的专业素质、工作 经验、收集评级信息的情况、对监管评级的理解和认识等方面的差异,很容易造成评级尺度 不一,严重影响评级结果的准确性和可比性。因此,请各银监局有计划、有步骤地安排相关 培训工作,确保《内部指引》的顺利实施。 四、监管评级有效的推行和使用,还有赖于规范的评级程序和工作制度。因此, 《内 部指引》规定了严密规范的评级操作规程和清晰明确的职责分工,请各银监局结合银监会监 管业务流程再造和监管资源整合等工作,严格按照监管评级的流程和职责分工做好评级工 作,以确保评级工作质量。 五、按照“ 1104工程”监管信息系统建设工作的规划,《内部指引》试行后,银监会 将据此开发商业银行监管评级子系统”,实现定量指标评价的自动化,定性因素评价的规范化,并通过该系统对评级工作进行质量控制,提高评级工作的效率。 六、各级监管机构及其参与评级工作的监管人员应当严格遵守有关保密规定,防止监管评级结果的误用和滥用。 商业银行监管评级内部指引(试行) 第一章总则 为健全和完善商业银行的风险监管体系,实现对商业银行的持续监管、分类监管和风 险预警;为推行同质同类银行比较和差别监管模式,逐步统一同质同类银行的监管标准,进一步规范监管评级工作,对中国银行业监督管理委员会(以下简称银监会)现行的评级体系进行整合、修订和完善,依据我国现行的银行监管法律、法规和部门规章,借鉴国际通用的 骆驼(CAMEL )评级体系”,广泛吸收英国、新加坡和香港等国家地区监管机构关于监管评级的良好做法,并充分结合我国的具体实践,制定本指引。 一、功能 (一)有利于监管机构全面掌握商业银行的风险状况。对商业银行的监管评级建立了 一个对银行机构的风险和经营状况的分析框架,提出了一系列分析银行风险的方法与标准,旨在帮助监管机构及时识别、判断银行的风险状况和严重程度。 (二)有利于监管机构合理配置监管资源,提高监管效率。监管评级通过对商业银行主
- 商业银行信息科技风险及防控策略研究
- 商业银行信息科技风险管理解决方案
- 商业银行信息科技监管评级定量和定性标准-精选版
- 商业银行信息科技风险管理解决方案
- 商业银行信息科技风险现场检查指南
- 信息科技风险审计方法及过程
- 商业银行信息科技风险管理解决方案
- 商业银行信息科技风险现场检查指南
- 商业银行信息科技风险动态监测规程(征求意见稿)..
- 《商业银行信息科技风险管理指引》WORD版
- 商业银行信息科技风险管理指引
- 关于对银行科技信息风险管理进行专项审计的报告
- 商业银行信息科技风险管理指引
- 商业银行信息科技风险管理指引(银监发2009[1].19)
- 商业银行信息科技风险动态监测规程(征求意见稿)
- 商业银行信息科技风险管理指引—(正式版)
- 商业银行信息科技监管评级定量和定性标准
- 商业银行信息科技风险审计
- 商业银行信息科技风险动态监测指标
- 商业银行信息科技风险动态监测规程