商业银行信息科技风险动态监测规程
(征求意见稿)
第一章总则
第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。
第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。
第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。
第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。
第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。
政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。
第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。
第七条监测指标选取遵循以下四个原则:
(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;
(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;
(三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;
(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。
第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。
第三章动态监测指标体系
第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
(一)系统可用率为信息系统实际提供服务时间与应提供服务时间之比,用于衡量信息系统对业务连续服务提供支撑的有效程度,系统可用率影响客户使用体验,并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。
(二)系统交易成功率为信息系统成功处理的交易量与处理交易总量之比,用于衡量信息系统正常响应业务请求的有效程度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。
(三)投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。
第十条安全性指标用于衡量商业银行对安全威胁的抵御能力与安全事件的处置能力,包括假冒网站查封率、外部攻击变化率和信息安全事件数量。
(一)假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比,用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。
(二)外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比,用于衡量商业银行外部攻击威胁的客观变化,综合反映商业银行信息系统外部风险的变化程度。
(三)信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用事件次数及其他安全事件次数之和,用于衡量商业银行在面对内外部安全威胁时,保持信息系统可用性、完整性、机密性的能力,综合反映商业银行信息安全现状。
第十一条规模性指标用于衡量商业银行主要电子渠道发展规模,反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度,包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。
(一)主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比,用于反映商业银行主要电子渠道交易规模总量及变化趋势。
(二)主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、账户数与上期主要电子渠道活跃用户、账户数之比,用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。
第四章数据管理
第十二条商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程,准确、及时提供动态监测指标相关源数据。
第十三条商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统,按照动态监测指标的相关要求采集相关源数据,并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。
第十四条信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖(总行及各级分支机构)和各类重要信息系统,采集数据要全面、真实。
第十五条商业银行应确保监测指标数据来源的连续性、一致性以及可追溯性,并至少存留最近三年历史数据。
第十六条商业银行应明确信息科技风险动态监测数据报送的归口管理部门,并对报送数据的真实性和有效性负责。
第十七条银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程,开展动态监测信息系统建设,提高数据采集的自动化程度,减少数据生成过程中的人为干扰因素。对于确需人工填报的环节,应在流程和系统设计中满足后续检查和审计的需要。
第十八条银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据,并对报送数据质量进行考核。
第五章指标运用
第十九条商业银行应将信息科技风险动态监测指标纳入全行风险监测体系,建立信息科技风险动态监测指标分析预警模型,持续跟踪信息科技风险动态监测指标变化趋势,形成书面报告,定期向商业银行董事会和高管层报告。
第二十条商业银行董事会和高管层应定期审查信息科技风险动态监测报告,运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。
第二十一条商业银行信息科技部门应根据动态监测指标结果,对本机构信息系统进行综合评价,并将评价结果与商业银行信息科技发展规划相结合。
第二十二条商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势,重点关注指标数值或变化趋势存在异常的监测指标,深入分析指标异常的原因,采取相应的应急处置措施,并将处置方案和工作进度及时报送商业银行风险管理部门、银监会或其派出机构。
第二十三条银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位,制定人员岗位职责。
第二十四条银监会及其派出机构信息科技监管部门应建立分析预警模型,按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测,定期形成风险分析报告,对于发现的突出共性风险问题,要开展行业通报。
第二十五条银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况,采取约谈、现场检查等途径对相关情况进行核实,并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行,督促其采取有效措施,做好风险防范和整改工作。对于监测中发现的重大信息科技风险隐患,信息科技监管部门应及时通报机构监管部门,并可视情况采取联合监管行动。
第二十六条银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。
第二十七条银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制,定期发布行业基准参考值,对指标领先的机构树立标杆,总结良好实践并予以推广。
第六章附则
第二十八条附件是本规程的组成部分,规定了信息科技风险动态监测指标口径说明。
第二十九条本规程由银监会负责修订和解释。
第三十条本规程自年月起试行。
附件:1、商业银行信息科技风险动态监测指标一览表
2、商业银行信息科技风险动态监测指标口径说明
附件1
商业银行信息科技风险动态监测指标一览表一级监测指标二级监测指标三级监测指标
系统可用率[ATR]
核心业务系统可用率
无综合前置系统可用率
银行卡系统可用率
网上银行系统可用率
电话银行系统可用率
手机银行系统可用率
大额实时支付前置系统可用率
小额批量支付前置系统可用率
第三方存管系统可用率
国际结算系统可用率
系统交易成功率
[TSR] 核心业务系统交易成功率
账务类交易成功率
非账务类交易成功率
综合前置系统交易成功率
大额实时支付渠道交易成功
率
小额批量支付渠道交易成功
率
ATM渠道交易成功率
POS渠道交易成功率
代收缴费渠道交易成功率
第三方存管渠道交易成功率银行卡系统交易成功率
电话银行渠道交易成功率
手机银行渠道交易成功率
ATM渠道交易成功率
POS渠道交易成功率
网上银行系统交易成功率
银联渠道交易成功率
超级网银渠道交易成功率
大额实时支付渠道交易成功
率
小额批量支付渠道交易成功
率
第三方支付渠道交易成功率电话银行系统交易成功率无
手机银行交易成功率无
投产变更成功率
[DCSR] 投产、变更成功实施数量无投产、变更实施总数量无
假冒网站查封率[CFWR] 假冒网站已查封数量无假冒网站发现数量无
外部攻击变化率[EACCR] 当期外部攻击次数
当期入侵监测系统告警数
当期入侵保护系统告警数上期外部攻击次数
上期入侵监测系统告警数
上期入侵保护系统告警数
安全事件数量[ISE] 信息系统中断造成服务不可用次数
核心业务系统服务不可用次
数
综合前置系统服务不可用次
数
银行卡系统服务不可用次数
网上银行系统服务不可用次
数
电话银行系统服务不可用次
数
手机银行系统服务不可用次
数
大额实时支付系统服务不可
用次数
小额批量支付系统服务不可
用次数
ATM前置系统服务不可用次
数
POS前置系统服务不可用次
数
柜面系统服务不可用次数
信贷系统服务不可用次数
个贷系统服务不可用次数
基金系统服务不可用次数
债券系统服务不可用次数
第三方存管系统服务不可用
次数
第三方支付系统服务不可用
次数
国际结算系统服务不可用次
数
违规操作事件次数无
病毒爆发事件次数无
自然灾害事件次数无
网络中断事件次数无
基础设施不可用事件次数无
其他安全事件次数无
主要电子渠道交易变化率[MECTCR] 当期主要电子渠道交易量
网上银行交易量
电话银行交易量
手机银行交易量
大额实时支付交易量ATM交易量
POS交易量
上期主要电子渠道交易量
网上银行交易量电话银行交易量手机银行交易量大额实时支付交易量ATM交易量
POS交易量
网上银行交易量
主要电子渠道活跃用户、账户变化率[MEAUAR] 当期主要电子渠道活跃用户、账户数
网上银行活跃用户数
电话银行活跃用户数
手机银行活跃用户数
大额实时支付渠道活跃账户
数
小额批量支付渠道活跃账户
数
ATM活跃账户数
POS活跃账户数
上期主要电子渠道活跃用户、账户数
网上银行活跃用户数
电话银行活跃用户数
手机银行活跃用户数
大额实时支付渠道活跃账户
数
小额批量支付渠道活跃账户
数
ATM活跃账户数
POS活跃账户数
附件2
商业银行信息科技风险动态监测指标口径说明
一、系统可用率
● 指标的属性:稳定性指标。
● 指标风险含义:
系统可用率[Available time rate of a system, ATR]用于衡
量商业银行信息系统提供连续服务的能力。系统可用率综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置、变更管理等方面能力以及客户对商业银行提供连续服务能力的感受。ATR 较低时,说明商业银行信息系统提供连续服务能力不足,可能导致系统稳定性降低、产生声誉风险等风险隐患。
系统可用率包括十个重要信息系统的可用率指标,分别是:核心业务、综合前置、银行卡、网上银行、电话银行、手机银行、大额实时支付前置、小额批量支付前置、第三方存管、国际结算系统。
● ATR 计算公式:
%100)111(?=-=-=∑∑LTSP i AOR ×i ABR ×i UD LTSP i AOR ×i ABR ×i PD ATR n
i m i
● ATR 相关释义:
1.计划停止服务时间[Planned downtime, PD]:系统在监测周期内因变更、演练、维护等计划性事件及日间、夜间模式切换等日常操作造成的停止服务时间。注:若一次计划性停止服务时间超出了计划,则超出部分时间计入意外停止服务时间。
2.意外停止服务时间[Unexpected downtime, UD]:系统在监测周期内因系统故障、内部操作失误、外部入侵、自然灾害等意外性事件造成的停止服务时间。
3.提供服务总时间[The lasting time of service providing, LTSP]:系统在监测统计期内理论上可提供服务时间之和。如核心业务系统为24小时交易系统,监测统计期为30天,则该系统提供服务总时间为24×30×60分钟。
4.停止服务:系统中任一应用模块(子系统)在应提供服务时段出现服务不可用。
5.业务受影响比例[Affected business rate, ABR]:受影响业务类型数量占所有业务类型数量的比例。由商业银行自行确定比例的计算原则,可以按照同期交易量、交易金额、用户登录数量等因素来计算业务受影响比例,也可以应用模块(子系统)数量比例来计算。业务受影响比例计算原则由商业银行自行确定后,原则上一年内不得更改计算原则。
6.机构受影响机构比例[Affected organization rate, AOR]:受影响网点数量与全部网点数量的比值。如全行集中式服务受到影响,AOR数值为1。
7.公式中i代表监测周期内第i次发生的计划和意外停止服务,m代表监测周期内计划停止服务发生总次数,n代表监测周期内意外停止服务发生总次数。
8.计算公式中的时间单位均为分钟。
ATR监测的相关信息系统定义:
1.核心业务系统
核心业务系统是指支撑商业银行发展、运作和管理金融产品和服务的重要信息系统,一般指商业银行处理客户信息、存款产品、支付服务的信息系统。
2.综合前置系统
综合前置系统是指通过总线技术连接前置机与后台核心之间的存储转发系统,主要实现不同业务系统间协议转换、交易路由连接、报文转发、应用预处理等功能。
3.银行卡系统
银行卡系统是指商业银行处理银行卡业务的信息系统,支持持卡人通过多种交易渠道办理取现、消费、转账等业务,并提供账户、卡片管理、账户核算、财务管理、综合统计等功能,一般包含借记卡与信用卡应用模块。
4.网上银行系统
网上银行系统是指商业银行通过互联网等公众网络基础设施,向客户提供账务查询、转账、账务管理、资金划拨、网上支付等金融服务的信息系统。
5.电话银行系统
电话银行系统是指商业银行基于固定电话运营商的基础设施,向使用电话终端的客户提供账户查询、转账、代缴费、业务咨询等金融服务的信息系统。
6.手机银行系统
手机银行系统是指商业银行基于移动网络运营商的基础设施,向使用智能手机终端的客户提供账户查询、转账、代缴费等金融服务的信息系统。
7.大额实时支付系统前置系统
大额实时支付系统前置是指商业银行通过人民银行大额实时支付系统,承接转发大额实时支付报文的前置系统。
8.小额批量支付系统前置系统
小额批量支付系统前置是指商业银行通过人民银行小额批量支付系统应用,承接转发小额批量支付报文的前置系统。
9.第三方存管系统
第三方存管系统是指商业银行用于处理证券行业第三方存管业务的信息系统,主要提供合作方管理、协议管理、结算和出入资金管理等功能。
10.国际结算系统
国际结算系统是指商业银行处理外汇、国际贸易融资、结售汇等国际业务的平台。主要实现信用证、托收代收、保函、贸易融资、光票托收、账务清算、报文处理、风险控制以及国际收支申报信息自动收集等功能。
二、系统交易成功率
● 指标的属性:稳定性指标。
● 指标风险含义:
系统交易成功率[System transaction successful rate,
TSR]用于衡量商业银行信息系统正常响应业务请求的有效程
度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面能力。TSR 过低可能引起账务差错,造成经济损失,影响商业银行对外服务质量和效率,降低柜员、客户体验感受,进而导致客户流失,经济效益和品牌声誉下降。TSR 由六个二级指标、十七个三级指标组成。
● TSR 计算公式:
100%AOST
AOSST TSR ?= ● TSR 相关释义:
1. 系统交易:指一笔业务在信息系统中自发起、处理、返回的过程,分为账务性和非账务性交易。账务性交易是指涉及账户资金余额发生变动的交易(例如:存款、取款、转账汇款等),非账务性交易是指账户资金余额不发生变动的交易(例如:开户、销户、查询等)。
2. 系统成功交易量[The amount of successful system transactions, AOSST]:接到交易请求后,能够按照程序设计返回处理结果的交易笔数。当某笔交易出现交易返回超时,或因数据库死锁等技术故障导致失败时,此笔交易才被视为失败交易。
3. 系统交易总量[The amount of system transactions, AOST]:该类交易总笔数之和。
注:部分查询交易若暂时没有交易记录,可暂时不统计交易量。
TSR二级、三级指标定义:
1. TSR包括六个二级指标,分别为核心业务系统交易成功率、综合前置系统交易成功率、银行卡系统交易成功率、网上银行系统交易成功率、电话银行系统交易成功率和手机银行系统交易成功率。
2. 二级指标核心业务系统交易成功率下设两个三级指标,账务类交易成功率与非账务类交易成功率。
3. 二级指标综合前置系统交易成功率下设六个三级指标:大额实时支付渠道交易成功率、小额批量支付渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率、代收缴费渠道交易成功率、第三方存管渠道交易成功率。
4. 二级指标银行卡系统交易成功率下设四个三级指标:电话银行渠道交易成功率、手机银行渠道交易成功率、ATM渠道交易成功率、POS渠道交易成功率。
注:银行卡交易成功率,统计银行卡系统(含借记卡、信用卡、外汇卡、收单等应用模块)中所有的交易。三级指标不区分卡的类别及发卡行,只统计在银行卡系统(含借记卡、信用卡、外汇卡、收单等应用模块)中由不同渠道发起的交易成功率,若
借记卡、信用卡、外汇卡等应用模块分开且属于独立部门管理的商业银行,在上报三级指标时,需分开进行统计并标注所属类别。
5. 二级指标网上银行系统交易成功率下设五个三级指标:银联渠道交易成功率、超级网银渠道交易成功率、大额实时支付渠道交易成功率、小额批量支付渠道交易成功率、第三方支付渠道(不含银联)交易成功率。
6. 二级指标电话银行系统交易成功率不设三级指标。
7. 二级指标手机银行系统交易成功率不设三级指标。
三、投产变更成功率
● 指标的属性:稳定性指标。
● 指标风险含义:
投产变更成功率[Deployment and change successful rate, DCSR]用于计算商业银行信息系统投产、变更活动实施后的成功比率,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。DCSR 值低表示商业银行在软件开发、运行维护、应急处置、项目及变更管理方面存在技术风险或管理缺陷。
● DCSR 计算公式:
%100DC
SDC DCS ?=R ● DCSR 相关释义:
投产及变更:为达到正式生产运行或试运行的目标而进行的活动。包括:
(1)将已完成技术开发的信息系统项目发布到生产系统;
(2)信息系统的应用版本在生产环境的部署、升级、调整;
(3)对机房设备设施、网络、存储、营业终端、基础软件等的安装部署、升级、扩容、迁移、拆除、维护;
(4)无法通过信息系统业务操作界面,而采用技术手段对业务数据、配置文件、配置参数的修改。
●DCSR二级指标定义:
1. 投产、变更成功实施数量[The amount of successful deployments and changes, SDC]:成功实施投产、变更活动的数量之和。成功实施的投产、变更活动指实施投产变更活动后,生产系统运行正常,五日内未发生任何影响商业银行安全、稳定运营的事件,且未启动应急回退预案的投产、变更活动。
2. 投产、变更实施总数量[The amount of deployments and changes,DC]:监测周期内实施投产、变更数量之和。
●监测范围:
商业银行全辖所有信息系统。
四、假冒网站查封率
●指标的属性:安全性指标。
●指标风险含义:
假冒网站查封率[Closed fishing websites rate, CFWR]反
映假冒网站被查封的比例,用于衡量商业银行处理假冒网站的进度及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。CFWR 值低,说明可能存在较多可以访问的假冒网站,增大用户被盗窃用户名和密码的风险,受骗客户数将上升,导致客户资金损失事件发生概率增大。
● CFWR 计算公式:
100%AOFW
CFW CFWR ?= ● CFWR 二级指标定义:
1. 假冒网站已查封数量[The amount of closed fishing websites, CFW ]:商业银行当月向官方发出请求且被查封的假冒网站数量。
2. 假冒网站数量[The amount of fishing websites, AOFW ]:当月商业银行通过自主发现、外部举报等渠道获取的数量。
五、外部攻击变化率
● 指标的属性:安全性指标。
● 指标风险含义:
外部攻击变化率[External attack case change rate,
EACCR]反映近两个监测周期商业银行网络被黑客攻击的程度,用于衡量商业银行遭受外部攻击威胁的客观变化。当EACCR 值大于0时,说明受攻击次数增多,被侵入可能性增加,内部网络
的安全性受到影响的概率增加。当EACCR 值超过20%时,说明外部攻击次数增长快,网络安全形势趋于严峻,安全防护压力增大,一旦防护措施不当,将给商业银行网站、内部网络及其他应用系统带来安全威胁。
● EACCR 计算公式:
100%IPSWLP
+IDSWLP IPSWP +IDSWP EACCR -= ● EACCR 相关释义:
外部攻击是指通过互联网对商业银行信息系统进行的攻
击,攻击数量以商业银行全辖当期入侵检测系统告警数[The amount of intrusion detection system warnings this period, IDSWP]、当期入侵保护系统告警数[The amount of intrusion protection system number of warnings this period, IPSWP])、上期入侵检测系统告警数[The amount of intrusion detection system warnings last period, IDSWLP]、上期入侵保护系统告警数[The amount of intrusion protection system number of warnings last period, IPSWLP]作为基础数据,通过计算监测周期外部攻击次数来反映商业银行信息系统受外部关注程度。
● EACCR 二级、三级指标定义
1. EACCR 包括两个二级指标,分别为当期外部攻击次数和上期外部攻击次数。
2. 二级指标当期外部攻击次数包含两个三级指标,分别为商业银行全辖当期入侵检测系统告警数[IDSWP]与当期入侵保
关于当前我国商业银行风险管理中存在的问题与对策 论文关键词:商业银行风险管理问题对策 论文摘要:当前,国内商业银行在信用、市场、流动性和操作性等风险问题处理上与国外一流银行相比有很大差距。随着我国加入WTO以及巴塞尔新资本协议的出台,这方面的问题更加突出。国内商业银行只有积极寻求对策,从文化、体系、技术等方面入手,才能在激烈的市场竞争中生存。 随着世界金融的一体化和我国对外国银行的放开,国内的商业银行也将参与到世界金融的竞争之中。在此背景下,研究我国商业银行在风险问题处理上与国外一流银行的差距,寻求一条符合我国国情的商业银行风险管理路径具有重要的现实意义。 一、当前我国商业银行风险管理中存在的主要问题 (一)企业改制的不规范影响信贷资产质量,造成信用风险 我国商业银行的利润主要依靠对企业贷款的利息收入,但国有企业的经营状况没有从根本上得到改善,商业银行贷款成了国有企业维持生存的重要手段,信贷资产质量恶化,风险增加。同时,我国正对国有企业进行现代企业制度改革,在给其带来生机和活力的同时,也给商业银行带来一定的风险。一些企业钻政策空子,拖欠甚至逃废银行贷款,给银行带来大量的坏帐、呆帐。此风险已成为中国银行业最突出的金融风险。 (二)缺乏较为成熟的风险管理技术导致市场风险 目前,国际银行界风险管理广泛使用统计方法和模型对风险进行量化管理,与之相比,我国的商业银行比较重视定性分析,而风险分类及量化技术落后。其中,内部评级和资产组合管理是风险度量的重要技术。风险管理技术的落后增加了我国风险管理的难度。 (三)由于挤兑导致的流动性风险 银行信用一般表现为银行向公众吸收存款、发放贷款、发行债券和流通银行票据等形式。银行的自有资本有限,若管理不善,不良贷款率过高,就会出现过挤兑风波和支付危机。目前由于国有商业银行存在国家信用的保证,其流动性风险没有显现,但潜在支付困难日益增多,如目前国有商业银行的资本充足率不足60%,低于80%和国际最低标准。如果银行的呆帐增加,准备金不足以应付存款的提取,银行信用就会受到严重破坏,严重时导致银行的破产,造成社会的动荡。 (四)由于操作不当导致银行的业务风险扩大 首先,由于我国的非银行金融机构的在融资方式上也带来的竞争及外资银行大举进入中国市场导致传统业务的激烈竞争和利润下降,许多商业银行放弃稳健经营原则,以期通过发展高风险业务取得较高的收益,加大了经营风险。其次,由于传统体制下银行的经营风险完全由国家来承担,使一些银行误认为没有资本金一样可以扩张,从而重规模轻效益,经营效益不能随着资产规模的扩大而同步提高,从而使一些危害银行长远发展的业务大规模存在。再加之有些银行员工素质不良,领导干部的贪污腐化行为以及银行内部的监督防范措施不力,也导致了银行不良信贷资产的增加,使银行的经营风险进一步加大。 二、新形势下商业银行防范和化解金融风险的对策 就现阶段来说,提高我国商业银行的风险管理水平应该重点从以下几个方面人手: (一)纠正我国商业银行对风险管理的认识偏差,强化风险管理的经营理念,树立风险控制的企业文化创造利润是商业银行的根本任务。因此在创造利润的同时商业银行必然承受巨大的风险。而风险管理的目的也就是确保银行产生最大的利润。现在我国的商业银行存在着两种极端:一些银行只顾发展,过分注重规模,忽视由业务带来的巨大的风险,牺牲掉了银行的可持续发展;还有一些银行则是不顾发展的零风险,回避一切有风险的业务,这样白白葬送了发展的好机会,其实没有收益本身就是最大的风险。因此要树立风险管理本身就是创造价
XX银行压力测试管理办法 目录 第一章总则 第二章压力测试的组织架构和职责 第三章压力测试流程 第四章压力测试频率 第五章压力测试文档要求 则附第六章 第一章总则 第一条(制定目的与依据)为进一步加强风险管理,建立中国XX银行(以下简称“XX银行”)压力测试机制,明确职责分工,提高压力测试工作质量和效率,依据中国银行业监督管理委员会《商业银行压力测试指引》和相关法律法规,结合XX银行实际情况,制定本办法。 第二条(定义)本办法所称压力测试是一种以定量分析为主的风险分析方法,它是通过测算银行遇到假定的压力事件时可能发生的损失,分析这些损失对银行资产质量、盈利能力和资本金带来的负面影响,进而对单个资产组合、单个银行或者银行集团的脆弱性做出评估和判断,并采取必要措施的过程。 第三条(对象分类)压力测试可以分为信用风险压力测试、
市场风险压力测试、操作风险压力测试以及流动性风险压力测试等。 第四条(方法分类)压力测试的通行方法包括自上而下法和自下而上法。 第五条(测试目的)压力测试的目的与作用 (一)压力测试作为重要的风险管理工具,有助于分析潜在的压力因素及对业务的敏感性,量化分析压力情景下压力因素变化可能带来的不利影响,评估在未来可能出现的各类压力情景下的风险承担水平,提前采取适当的应对措施以减少可能的损失。 (二)压力测试作为有效的沟通工具,为董事会和高管层提帮助全行理解压力事件对其供更全面的风险信息以及决策依据, 经营产生的潜在威胁,形成供董事会和高管层讨论并决定实施的应对措施,建立一整套基于压力测试的应对机制,提高银行应对极端事件的风险抵御能力。 (三)压力测试作为一项重要的诊断工具,有助于评估银行盈利及资本充足性方面抵御受压情况的能力,验证风险限额和资本分配的有效性,从而优化并检验经济资本配置(四)压力测试作为风险计量工作的重要组成部分,对内部评级体系形成有效补充,进而能够更加准确地度量银行所承受的风险,满足新资本协议和外部监管机构要求。
商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;
中小银行信息科技管理中存在的问题及改进建议 随着我国银行业信息化建设的持续发展,信息科技与银行业务的深度融合,银行业的发展已经离不开信息技术的支持,信息科技已经成为当今银行业业务发展的核心支撑,其重要性不言而喻。然而,信息科技在退推动银行业快速发展的同时,随之而来的信息科技风险亦不容忽视,已经成为影响银行业稳定发展的重要因素。一旦信息科技环节出现风险,将会给银行经营带来巨大影响,甚至是造成银行业务停滞,影响百姓生活及社会稳定。笔者结合村镇银行自身发展,对中小银行信息科技日常管理中存在的问题及改进措施提出以下建议。 一、现状与问题 (一)对信息科技风险认识不到位,管理体系不完善 以村镇银行为例,其信息科技风险管理水平还处在风险管理的初级阶段。有些村镇银行虽然制定了发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,同样也缺乏信息科技风险战略来指导信息科技风险管控工作,信息科技风险管理尚未纳入全面的风险管理体系。首先是信息科技风险认识上不到位。在作为小银行的村镇银行中普遍存在着一些问题,例如对信息科技风险了解的不够细致,对信息科技风险管理相对薄弱,信息科技的风险管理缺乏业务、风险管理、内部审计等部门甚至更高级管理层的有力支持。其次,信息科技管理体系不完善。大部分村镇银行虽然制定了相关的信息科技管理制度,但制度建设、人员管理、岗位设置缺少整体的风险管理概念,缺少完整的信息科技安全管理体系。
(二)科技投入水平普遍较低 目前,中小商业银行的科技收入整体能力偏低。科技投入主要包括项目建设费用、日常运行维护费用、科技人员成本、其他费用等项目。以村镇银行为例,很大数量的村镇银行尚未自行开发业务系统,多是租用发起行的业务系统。这部分村镇银行从本质上可以看作是发起行的一个支行,业务系统运维的重头戏一般都由发起行信息科技部来实施。同时村镇银行高级管理层对科技的重视程度不够,信息科技的投入占运营成本的比重较小,大多在2%以下,该资金份额难以完全满足业务系统运行的维护需要,导致村镇银行部分硬件投入不足,常用易损设备备份不足,一些重要设备达不到双机热备的要求,出现设备损坏无备用设备,无法及时更换,影响正常业务开展的问题。更有一部分硬件设备超寿命运行,做不到及时更换,给信息系统的后期维护带来较大的负担,在银行业务开展的同时也暴露出较大的信息科技风险。 (三)科技队伍建设严重滞后,人才储备不足 信息科技发展的核心是科技人才,银行的信息化建设和发展离不开科技人员的支持。据统计先进银行科技人员平均占银行总人数的比例为3%-4%。然而对于现阶段的村镇银行而言,信息科技人员的配比却严重偏低,人员配备严重不足,存在着较大的人员缺口,从这个角度来看,农村金融机构的信息化能力不足与信息科技人员不足有着必然的联系。现实的情况不免让人感到忧虑,无法满足科技管理的整体要求。
浅谈我国商业银行风险管理存在的问题及 其对策 [论文关键词]商业风险银行业 [论文摘要]随着商业银行改革的不断深入,如何在提高效益的同时有效地防范与化解风险,已经成为我们不可忽视的重要问题。商业银行的经营实际上是在风险和收益之间寻找平衡,通过对风险的有效管理而创造价值。本文依据我国商业银行经营风险的特点及主要表现形式,结合我国银行业内外部,对如何有效管理,防范风险进行初步探讨。 银行业作为经营货币的企业与生俱来就规定了其风险的本质,与其说银行是经营货币的企业,更不如说是为了获取利润而经营风险的组织。所以,风险和利润对银行来说是一个硬币的两面,不可分割,同为一体。过分强调哪一方都会为发展带来阻碍。只有充分掌握风险在银行经营中的特点将风险经营,管理与防范结合起来,在硬币的两面寻找有效的平衡,才能收到利润增长与风险防范的最佳效果。众所周知,我国银行是从过去国家专业银行演变而来的,商业化进程较为缓慢,粗放落后经营观念在国有商业银行信贷管理中并未完全消除。我国的风险管理观念是以信用风险管理为主,风险、操作风险则不够重视。 一、我国商业银行风险管理存在的问题 (一)资本充足率水平不高,风险资产规模较大 由于国内银行资产质量比较差,不良资产的规模比官方公布的数字要大得多,因此按实际风险资产计算的资本充足率实际上大多低于巴塞尔协议8%的最低水平,同时由于资本充足率水平较低且资本补充渠道较窄,能够为分支机构风险
敞口配置的资本相当有限,不可能为高规模的风险敞口提供足够的资本支撑,这种情况必然导致分支机构风险敞口规模与资本匹配失衡。在资本补充有限的情况下,要提高资本充足率必须在降低信贷资产的风险敞口规模上做文章。而我国目前包括大型企业在内的绝大部分企业尚未取得外部评级,在标准法下其风险权重为100%或者150%,且国内银行尚不具备内部评级的客观条件,不能对企业进行内部评级,在呆账准备金提取能力不足的情况下,资本充足率的这种逆向配置效应几乎意味着商业银行降低风险敞口规模的途径就是降低信贷存量规模,甚至是减少一些优质客户的信贷业务。 (二)风险管理落后,风险管理意识不强 虽然我国商业银行高级管理层的风险意识初步形成,但风险管理没有作为风险文化根植于所有员工的心中,贯穿到业务拓展的全过程,全面风险管理理念还没有树立,没有形成全行认同的风险管理文化,系统而完整的风险管理战略还有待于加强,风险管理侧重于后台管理,没有将其作为信贷决策、风险敞口限额控制、贷款定价、资本资源配置的有利工具。同时,部分人员将风险片面地等同为违规、案件和损失,一些风险管理人员将风险管理简单解为控制,部分业务人员将风险管理看作是业务拓展绊脚石,注重信用风险的控制和计量,对市场风险、操作风险、风险等仅有一定的理性认识,还谈不上统筹考虑、系统管理。 (三)风险承担主体不明确 在西方发达的制度下,代表全体股东利益的董事会明确地承担起银行在其全部经营过程中的所有风险,并以银行的全部资本金作为承担风险的最终边界。董事会因此负责制定有关风险管理的重大政策,并在银行内部建立起有效的风险内控体系。我国城市商业银行均是股份制,在我国《股份制商业银行公司治理指引》
商业银行信息科技风险动态监测规程 (征求意见稿) 第一章总则 第一条为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他相关法律法规,制定本规程。 第二条信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。 第三条信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。 第四条信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。 第五条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。 政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。 第二章动态监测指标选取原则及分类
第六条信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。 第七条监测指标选取遵循以下四个原则: (一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力; (二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况; (三)敏感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况; (四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。 第八条商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。 第三章动态监测指标体系 第九条稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。
商业银行信息科技风险管理指引目录 第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计 第十章外部审计 第十一章附则第一章总则 第二章信息科技治理 第三章信息科技风险管理 第四章信息安全 第五章信息系统开发、测试和维护 第六章信息科技运行 第七章业务连续性管理 第八章外包 第九章内部审计第十章外部审计第十一章附则展开编辑本段第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 编辑本段第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。(二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。(四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人设立一个由来自高级管理层、信息科技(五)员对信息科技风险管理重要性的认识。. 部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向
论文 我国商业银行风险管理的不足和改进建议
摘要 2006年12月11日,在经过五年的过渡期的之后,我国银行业正式完全对外开放,越来越多的外资银行进入中国市场。同时,我国商业银行也加快了走出去步伐。在更加激烈的竞争中,风险管理水平的高低直接决定了我国商业银行经营的成败。但是2019年的次贷危机再一次对商业银行的风险管理形成了很大冲击。曾一直是我国商业银行学习榜样的国际活跃金融机构并没能够经受住金融危机的考验,不是巨亏,就是破产,这也再一次暴露出许多风险管理方面的问题,并为我国商业银行的风险管理敲响了警钟。对于我国商业银行来讲,应该在借鉴国外商业银行风险管理经验的同时,吸取次贷危机的教训,才能真正提高风险管理能力。本文从我国商业银行风险管理的现状出发,分析其存在的问题,并结合国内外有关商业银行风险管理方面的研究提出了一些改进我国商业银行风险管理的不足的建义。 关键词:商业银行;风险管理;内部控制;外部监管 论文类型:应用研究
目录1绪论
随着我国经济的快速发展,我国的商业银行业进入了快速扩张的阶段。近些年来,我国商业银行都只注重于业务和市场的扩张速度,反而忽略了质量的控制;注重贷款的数量而忽略了质量,再加上我国商业银行的风险管理体系出现时间本来就比较晚,很多商业银行都没有设立专门的风险管理部门和相关的职位,这种情况即使在最近几年有所改善,但情况也不容乐观,由于缺乏相关的管理经验和人才,即使设立了风险管理机构,也都还处于发展不成熟,风险管理体系的完善性急需改进的状态,对商业银行的运作起不到作用,现在又步入了急速发展期,近些年来由于风险管理不当而引发的事件的出现频率有增无减,闹得人心惶惶,显得我国商业银行风险管理的问题日趋严峻,我国商业银行实施风险管理势在必行。 1.1商业银行实施风险管理,有利于社会经济的稳定发展 由2019年美国的次贷危机引发的全球金融风暴给世界各国都敲响了警钟,商业银行在实际的风险管理中存在的问题日益呈现,发人深思。由于我国金融市场发展不成熟,体系不完善,开放程度不够,和次贷相关的金融产品规模不大,在一定程度上避免了次贷金融危机的发生,短期来看,貌似此次金融危机对我国的影响不是特别大,但从我国金融产业长期发展的角度来看,此次金融危机对我国金融体系发展的影响不容忽略!例如,国内外经济下滑导致客户违约增加,银行信用风险加剧;持续降息及金融市场大幅波动导致银行收益下降,市场风险凸现;信贷扩张及新产品开发引发的商业银行操作风险加大等。 所以,此次金融危机对我国商业银行风险管理体系的冲击是不容忽视;而且随着我国经济的快速发展,经济的开放程度越来越大,金融产品的种类越来越多,为了我国社会经济的稳定发展,我们必须彻底地分析此次美国次贷危机发生的原因,吸取教训,积累经验,和我国的实际相结合,改进和完善我国商业银行的风险管理体系。 1.2商业银行实施风险管理,有利于促进资金的使用效率 商业银行是以货币资金为经营对象,其通过不断地吸收存款和发放贷款来保持其运作,从而实现资金从盈主到缺主的流通和转换,实现资金的调剂,资源的再分配!若商业银行的每笔业务,每个投资项目的决策都经过相应的
-------------------------------------------------------------------------------- 商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握a主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。 (七)确保内部审计部门进行独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在商业银行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第四条本指引所称信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人,负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责:(一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
x银行压力测试管理办法 第一章总则 第一条为规范开展压力测试工作,提高风险管理水平,增强应对极端风险情况的能力,根据银监会《商业银行压力测试指引》,制定本办法。 第二条本办法所称压力测试是一种以定量分析为主的风险分析方法,通过测算银行在遇到假定的小概率事件等极端不利情况下可能发生的损失,以分析这些损失对银行资产质量、盈利能力和资本充足率带来的负面影响,进而对单个资产组合、单个银行或者银行集团的脆弱性做出评估和判断,并采取必要措施。 第三条根据测试对象的差异,压力测试分为信用风险压力测试、市场风险压力测试、操作风险压力测试、流动性风险压力测试、集中度风险压力测试等。 第四条压力测试作为常规风险计量工作的重要补充,是商业银行风险管理的一种有效工具,其主要作用如下: (一)帮助商业银行审视某一特定风险敞口或全行风险状况在压力情景下的变化,为制定风险应对策略提供参考。 (二)帮助商业银行评估经济周期和宏观经济变化对风险和资本充足率的影响,为有效开展资本管理提供参考。 第五条概念释义。 压力情景是指对不利于银行经营的单个或多个风险因素的变动情况进行的假设描述。 第六条本办法适用于x银行总行和境内各一级分行。境外分行应根据本办法及当地监管机构的要求,制定实施细则并报总行备案。 第二章压力测试的步骤与程序 第七条压力测试的步骤与程序依次为:确定风险因素及测试对
象;合理设计压力情景;选择测试方法并开展测试;撰写分析报告与揭示风险点;根据压力测试的重要程度进行报告;采取补救措施或制定应急预案。 第八条确定风险因素及测试对象。 进行压力测试,首先应分析x银行经营中所面临的各类风险,确定近期有可能发生且对x银行的资产质量、准备金、盈利能力、资本充足率及系统安全等产生重大影响的风险因素,并据此确定测试对象。如确定的风险因素有多个,则需进一步了解这些因素之间的相互作用和共同影响的关系。同时,还应考虑到可能面临的特殊情况,确保没有忽略其他重要风险因素。 第九条合理设计压力情景。 应根据压力测试的内容,合理设计不同的压力情景(不同风险类别的压力情景举例参考附件1)。 (一)应根据测试对象和目的的不同,采用历史情景法、专家分析法或综合以上两种方法,合理设计压力情景,以准确反映主要风险因素的变化。其中,历史情景法主要依据已有的历史数据,专家分析法主要依据专家经验。 (二)应将压力情景设置不同的严重程度,一般应包括轻度压力、中度压力以及重度压力三种情景。三种压力情景按照顺序不断增强,其中轻度压力情景是比目前实际情况更为严峻的温和衰退情景,未来发生的可能性较大;重度压力情景是一种极端但仍有可能发生的情景;中度压力情景应介于上述两种情景之间。 第十条选择测试方法并开展测试。 根据选定的压力情景,设计合理的压力传导机制,结合x银行业务发展、风险状况和压力测试具体内容的复杂程度,确定按照自上而下或自下而上的压力测试方法,组织进行敏感性测试或情景测试。
商业银行信息科技风险现场检查指南
目录 第一部分概述 (12) 1. 指南说明 (13) 1.1 目的及适用范围 (13) 1.2 编写原则 (14) 1.3 指南框架 (15) 第二部分科技管理 (17) 2. 信息科技治理 (18) 2.1 董事会及高级管理层 (18) 检查项1 :董事会 (18) 检查项2 :信息科技管理委员会 (19) 检查项3 :首席信息官(CIO) (20) 2.2 信息科技部门 (21) 检查项1 :信息科技部门 (21) 检查项2 :信息科技战略规划 (23) 2.3 信息科技风险管理部门 (24) 检查项1 :信息科技风险管理部门 (24) 2.4 信息科技风险审计部门 (25) 检查项1 :信息科技风险审计部门 (25) 2.5 知识产权保护和信息披露 (26) 检查项1 :知识产权保护 (26) 检查项2 :信息披露 (26) 3. 信息科技风险管理 (28) 3.1 风险识别和评估 (28) 检查项1 :风险管理策略 (28) 检查项2 :风险识别与评估 (29) 3.2 风险防范和检测 (29) 检查项1 :风险防范措施 (29) 检查项2 :风险计量与检测 (30) 4. 信息安全管理 (32) 4.1 安全管理机制与管理组织 (32) 检查项1:信息分类和保护体系 (32) 检查项2:安全管理机制 (33) 检查项3:信息安全策略 (34) 检查项4:信息安全组织 (34) 4.2 安全管理制度 (35) 检查项1:规章制度 (35) 检查项2:制度合规 (36)
4.3 人员管理 (38) 检查项1:人员管理 (38) 4.4 安全评估报告 (39) 检查项1:安全评估报告 (39) 4.5 宣传、教育和培训 (39) 检查项1:宣传、教育和培训 (39) 5.系统开发、测试与维护 (41) 5.1开发管理 (41) 检查项1:管理架构 (41) 检查项2:制度建设 (43) 检查项3:项目控制体系 (44) 检查项4:系统开发的操作风险 (45) 检查项5:数据继承和迁移 (46) 5.2系统测试与上线 (47) 检查项1:系统测试 (47) 检查项2:系统验收 (49) 检查项3:投产上线 (49) 5.3系统下线 (50) 检查项1:系统下线 (50) 6. 系统运行管理 (52) 6.1 日常管理 (52) 检查项1:职责分离 (52) 检查项2:值班制度 (53) 检查项3:操作管理 (53) 检查项4:人员管理 (54) 6.2 访问控制策略 (55) 检查项1:物理访问控制策略 (55) 检查项2:逻辑访问控制策略 (56) 检查项3:账号及权限管理 (57) 检查项4:用户责任及终端管理 (58) 检查项5:远程接入的控制 (59) 6.3 日志管理 (60) 检查项1:审计日志检查 (60) 检查项2:日志信息的保护 (60) 检查项3:操作日志的检查 (61) 检查项4:错误日志的检查 (61) 6.4系统监控 (62) 检查项1:基础环境监控 (62) 检查项2:系统性能监控 (62) 检查项3:系统运行监控 (63) 检查项4:测评体系 (64) 6.5 事件管理 (65)
Commercial Banks ' Information Technology Chapter I General Provisions Article 1. Pursuant to the Law of the People 's Republic of China on Banking Regulation and Supervision, the Law of the People's Republic of China on Commercial Banks, the Regulations of the People's Republic of China on Administration of Foreign-funded Banks, and other applicable laws and regulations, the Guidelines on the Risk Management of Commercial Banks' Information Technology (hereinafter referred to as the Guidelines) is formulated. Article 2. The Guidelines apply to all the commercial banks legally incorporated within the territory of the People's Republic of China. The Guidelines may apply to other banking institutions including policy banks, rural cooperative banks, urban credit cooperatives, rural credit cooperatives, village banks, loan companies, financial asset management companies, trust and investment companies, finance firms, financial leasing companies, automobile financial companies and money brokers. Article 3. The term “information technology ” stated in the
江苏江南农村商业银行股份有限公司 市场风险压力测试管理办法 第一章总则 第一条为了加强江苏江南农村商业银行股份有限公司(以下简称“本行”)市场风险压力测试管理,根据《商业银行市场风险管理指引》、《商业银行压力测试指引》、《商业银行资本管理办法(试行)》、《江苏江南农村商业银行股份有限公司市场风险管理政策》等有关政策法规及本行相关制度规定,结合本行实际,制定本办法。 第二条本办法所称压力测试是指市场风险压力测试,是一种以定量分析为主的风险分析方法,通过测算银行在遇到假定小概率事件等极端不利情况下可能发生的损失,为采取必要措施提供量化支持。 第三条市场风险压力测试的主要目的: (一)损失分析:分析个别风险因子或某些风险因子集合发生极端不利变化对市场风险投资组合造成的潜在损失,测算极端历史情景下市场风险投资组合可能遭受的重大损失,本办法中,如无特殊说明,市场风险投资组合指的是交易账户投资组合;(二)监管沟通:为监管机构提供必要的监管信息,协助监管机构了解银行的市场风险状况和市场风险抵御能力。 第四条市场风险压力测试是本行风险治理的有机组成部分。为
充分发挥压力测试在评估本行风险承受能力和制定风险缓释策略方面的作用,本行压力测试应遵循以下方面: (一)董事会及其风险管理委员会、高级管理层及其风险控制委员会应定期审查压力测试方法及结果; (二)应在人才配备和IT基础设施方面投入足够的资源;(三)应建立压力测试方法和实践的完整文档记录。 第二章职责分工 第五条高级管理层及其下设风险控制委员会履行市场风险压力测试管理职责,主要职责包括: (一)市场风险压力测试的管控; (二)确定市场风险压力测试管理办法; (三)确定市场风险压力测试方案; (四)审阅市场风险压力测试报告; (五)确定压力测试重大影响指标; (六)高级管理层权限内的其他相关事项。 第六条本行风险管理部作为市场风险压力测试牵头管理实施部门,主要职责包括: (一)牵头管理全行市场风险压力测试,负责定期和不定期对交易账户进行压力测试; (二)拟定市场风险压力测试管理办法; (三)拟定市场风险压力测试方案; (四)整理汇总市场风险压力测试报告;
我国商业银行风险管理现状及对策 摘要:风险管理能力是银行的核心能力,而商业银行风险管理能力直接影响银行的生死存亡。伴随经济和金融全球化的发展,我国的商业银行将面临更多的机遇和挑战。对我国商业银行风险管理存在的问题,为了加强我国商业银行风险管理,我们必须采取对策,因此加强商业银行风险管理具有积极的现实意义。本文从商业银行概述了风险和风险管理,分析了我国商业银行风险管理的现状,并提出了加强风险管理的一些对策。 关键词:商业银行;管理现状;存在问题;对策建议 一、商业银行风险管理体系的内容 (一)商业银行风险管理体系的组织形式 商业银行风险管理体系的组织形式分为“自上而下”的集中管理模式和“自下而上”的分散管理模式。风险集中管理由总行统一管理风险,管理体系与整个银行的管理体系配套,风险管理效果取决于汇总后的风险信息质量及相关分析人员水平。其缺点是风险管理决策层远离一线,决策者难以保持对风险的高度敏感,且在一定程度上使得一线风险管理人员缺乏管理好风险的积极性。风险分散管理对控制风险的权限下放,由分支机构根据各自面临的风险实施管理。其不
足是如果相应制度缺失,风险管理的责任、权利和利益难以有 有效统一,就可能使风险控制流于形式。 (二)风险组织结构 风险组织结构一般包括:对风险负最终责任的董事会、被授权管理风险的风险管理委员会、负责风险管理政策实施与风险控制的风险管理职能部门、监控风险管理政策实施的稽核部门和业务风险经理。董事会最终承担财务损失或股东权益减少等责任,防范、控制和处理银行所面临的所有风险是董事会的重要职能。风险管理委员会隶属于董事会,负责制订银行的风险管理政策,对那些能够量化的风险颁布量化风险标准,对内部评估不易量化的风险建立相应的操作规程。风险管理职能部门隶属于风险管理委员会,行使日常的监督、衡量和评价量化风险的职责。其职责是:批准衡量财务风险的方法体系;监控风险限额的使用;审核风险的集中情况;衡量非正常市场状况的发生对银行体系的影响;监控投资组合价值的实际波动与预测值之间的方差;审核和批准信贷人员和业务操作人员所使用的定价模型和风险评估系统。稽核委员会通过内部和外部稽核人员来保证已获批准的风险管理政策得到有效执行。各业务部门的风险经理负责本部门的风险管理与控制,其职责是确保业务部门贯彻风险管理政策,并向风险管理职能部门提供日常报告。
商业银行信息科技风险及防控策略研究 摘要:近年来,随着社会经济与信息技术不断发展,我国银行业展现出蓬勃的发展态势,随着大数据、云计算、移动互联网的高速发展,信息技术为商业银行业务拓展和创新提供有力支持,在为商业银行带来了巨大经济效益的同时,也提出更多、更大的挑战。因此,加强对商业银行信息科技风险的研究至关重要。本文将对信息科技风险管理的必要性以及商业银行信息科技风险主要特征进行分析和研究,并提出加强商业银行信息科技风险管理的有效对策,从而推动我国商业银行可持续、健康发展。 关键词:商业银行;信息科技风险;防控策略 前言:随着我国改革开放和经济全球化大潮,我国银行业发展突飞猛进,特别是信息技术在银行业中的广泛应用,极大的促进了金融产品的迅速发展。然而,先进的信息技术会更加暴露商业银行的风险,构成一定的威胁。为了能够有效规避风险,深入了解信息科技十分重要。 一、商业银行信息科技风险介绍 商业银行信息科技风险主要是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险。主要包含四个方面:其一,自然因素,例如:地震、台风等不可抗力影响;其二,系统风险,指信息系统内部软、硬件的缺陷造成的影响;其三,管理因素,指商业银行自身管理制度与组织结构等产生的影响;其四,人为因素,指工作人员违规或过失操作引发的风险。 二、信息科技风险管理的必要性 在金融危机的影响下,风险管理的重要性日益突出,特别是信息科技风险,越来越多受到金融界的关注。 (一)外在因素 随着银行业迅速发展,我国对商业银行信息科技风险管理提出了更高要求,明确要求商业银行将信息科技风险纳入全面风险管理体系。监管部门通过现场和非现场手段,不断加大监管力度,定期和不定期开展信息科技风险检查工作,针对信息科技的重点环节制定明确的监管计划,约束商业银行信息科技风险控制能
中国建行压力测试分析报告 ——基于法定存款准备金率和人民币汇率变动 1.中国建设银行简介 中国建设银行(简称建设银行或建行,最初行名为中国人民建设银行,1996年3月26 日更名为中国建设银行)成立于1954年(甲午年)10月1日,是股份制商业银行,是国有五大商业银行之一。中国建设银行主要经营领域包括公司银行业务、个人银行业务和资金业务,中国内地设有分支机构14,121 家(2012年),在香港,台湾,墨尔本等地设有分行,拥有建信基金、建信租赁、建信信托、建信人寿、中德住房储蓄银行、建行亚洲、建行伦敦、建行俄罗斯、建行迪拜、建银国际等多家子公司,为客户提供全面的金融服务。中国建设银行拥有广泛的客户基础,与多个大型企业集团及中国经济战略性行业的主导企业保持银行业务联系,营销网络覆盖全国的主要地区,于2013年6月末,市值为1,767 亿美元,居全球上市银行第五位。2014年5月8日,2014福布斯全球企业2000强榜单出炉,建行蝉联全球第二大企业。 2.压力测试的定义 压力测试能够用来测量设定意外事件发生所导致的风险因素变化给金融机构带来的潜在影响。压力测试主要是基于历史或潜在的市场震荡数据,采用模拟方法或其他的统计方法,构造一个或一系列极端不利情景,考察在极端条件下,市场价格变化对资产组合的价值变化的“最坏情景”,用于设定风险价值的标准或风险约束,确定资产组合风险水平是否在风险承受能力之内。 3.压力测试基本流程 1)确定测试对象 本文确定的对象就是中国建设银行的整体信贷资产。 2)识别风险因子 本文主要选取的风险因子是法定存款准备金率的变动和人民币汇率的变动。 3)压力情景设计 压力测试中的压力情景有两种分析方法,即敏感性分析和情景分析。本文采用情景分析。4)情景的压力评估 通过考察设定情景下建设银行资本充足率的变动情况,从而来判断银行面临的风险程度。 4.中国建设银行最近3年的资本充足率情况 资本充足率是指商业银行持有的资本与商业银行风险加权资产之间的比率,是一种用来衡量银行资本与其风险加权资产负责规模是否相适应的指标,是在银行资产负债风险一定的情况下,衡量银行持有的资本金是否适当的指标。