银监会首次发布银行业全面风险管理指引全文（附六问答）

中评协〔2020〕38号

为提升银行业金融机构全面风险管理水平，引导银行业金融机构更好服务实体经济，9月30日，银监会网站正式发布《银行业金融机构全面风险管理指引》（以下简称《指引》）。

   为加强和规范商业银行风险管理，银监会借鉴国际金融监管改革成果，紧密结合我国银行业实际，陆续制定了各类审慎监管规则。

   近年来，为加强和规范商业银行风险管理，银监会借鉴国际金融监管改革成果，紧密结合我国银行业实际，陆续制定了各类审慎监管规则，覆盖了资本管理、信用风险、市场风险、流动性风险、操作风险、并表管理等各个领域，初步建立起一套较为完整的风险管理规制体系。在此基础上，银监会从现有规则中梳理提炼出共性要素，同时参照巴塞尔银行委员会《有效银行监管核心原则》的基本要求，借鉴国际经验，制定了《指引》，形成了我国银行业全面风险管理的统领性、综合性规则，引导银行业树立全面风险管理意识，建立稳健的风险文化，健全风险管理治理架构和要素，完善全面风险管理体系，持续提高风险管理水平。

   《指引》共8章54条，包括总则，风险治理架构，风险管理策略、风险偏好和风险限额，风险管理政策和程序，管理信息系统和数据质量，内部控制和审计，监督管理及附则，强调银行业金融机构按照匹配性、全覆盖、独立性和有效性的原则，建立健全全面风险管理体系，并加强外部监管。

   银监会有关部门负责人就《指引》相关问题回答了记者的提问。

一、《指引》制定的背景是什么？

   答：《指引》制定的背景主要有三方面：一是我国银行业风险管理缺乏统领性规制。近年来，银监会陆续制定了各类审慎监管规则，覆盖了资本管理、信用风险、市场风险、流动性风险、操作风险、并表管理等各个领域，比较系统，但仍然缺乏一个针对全面风险管理的统领性、综合性规则。因此，有必要制定关于全面风险管理的审慎规制，为银行建立完善的全面风险管理体系提供政策依据和指导。二是银行业金融机构全面风险管理实践有待完善。我国银行业在全面风险管理体系建设上已取得一定的成果，但实践中仍然存在以下问题有待完善：第一，全面风险管理的统筹性和有效性有待提升。第二，中小银行业金融机构全面风险管理体系建设起步相对较晚，精细化程度有待提高。第三，银行业金融机构全面风险管理成果的应用较多基于银监会的监管要求，深度和广度仍有很大的拓展空间。三是国际监管改革对风险管理提出了新的要求。2008年国际金融危机后，国际组织和各国监管机构都在积极完善金融机构全面风险管理相关制度。2012年，巴塞尔委员会修订了《有效银行监管核心原则》，完善和细化了原则15“风险管理体系”的各项标准。之后，巴塞尔委员会和金融稳定理事会针对公司治理、风险偏好、风险文化和风险报告等全面风险管理要素陆续发布了一系列政策文件，提出了更具体的要求。《指引》的制定既是积极适应国际监管改革新要求的结果，又有助于提升我国银行业风险管理水平。

二、《指引》制定的主要思路是什么？

   答：《指引》的起草主要基于以下思路：一是形成系统化的全面风险管理规制。二是提出风险管理的统领性框架，强化全面性和关联性视角。三是提高可操作性，提供全面风险管理和监管指南。四是引入《核心原则》最低标准，反映国际监管改革最新成果。五是充分考虑各类机构的差异化情况。六是注重与已有规制的衔接。

三、《指引》对全面风险管理有哪些原则性规定？

   答：《指引》对银行业金融机构全面风险管理提出四点管理原则：一是匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。二是全覆盖原则。全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。三是独立性原则。银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。四是有效性原则。银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

四、《指引》对全面风险管理提出哪些主要要求？

   答：《指引》提出了银行业金融机构全面风险管理体系的五个主要要素，包括风险治理架构，风险管理策略、风险偏好和风险限额，风险管理政策和程序，管理信息系统和数据质量控制，内部控制和审计体系等。《指引》对以上要素的具体内容也进行了规定。

   其中，关于风险偏好，《指引》规定银行业金融机构应当制定书面的风险偏好，做到定性指标和定量指标并重，并提出了风险偏好应包括的七项具体内容。关于风险限额，《指引》提出，银行业金融机构应当制定风险限额管理的政策和程序，建立风险限额设定、限额调整、超限额报告和处理制度。同时，在风险限额临近监管指标限额时，银行业金融机构应当启动相应的纠正措施和报告程序，采取必要的风险分散措施，并向银行业监督管理机构报告。

五、《指引》对全面风险管理的责任主体提出哪些要求？

   答：《指引》采用了风险管理“三道防线”的理念，强调银行业金融机构董事会承担全面风险管理的最终责任。银行业金融机构监事会承担全面风险管理的监督责任，负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。银行业金融机构应当设立或指定部门负责全面风险管理，牵头履行全面风险的日常管理。银行业金融机构各业务经营条线承担风险管理的直接责任。

六、《指引》是否充分考虑各类机构的差异性？

   答：《指引》定位于为银行业金融机构完善全面风险管理体系提供系统性指导框架。在此基础上，《指引》充分考虑了各类银行业金融机构的差异化情况。一是区分适用和参照执行。适用范围明确为我国境内设立的银行业金融机构，经银行业监督管理机构批准设立的其他金融机构参照本指引执行。二是明确匹配性原则。考虑到各类机构特点的差异性，《指引》明确提出全面风险管理体系应当与风险状况和系统重要性等相匹配，并根据环境变化进行调整。三是部分条款增加了适用的前提条件。如对规模较大或业务复杂的银行业金融机构提出设立风险总监（首席风险官）的要求。

银行业金融机构全面风险管理指引

第一章 总则

   第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

   第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

   本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

   第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

   各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

   银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

   第四条银行业金融机构全面风险管理应当遵循以下基本原则：

   （一）匹配性原则。全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

   （二）全覆盖原则。全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

   （三）独立性原则。银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

   （四）有效性原则。银行业金融机构应当将全面风险管理的结果应用于经营管理，根据风险状况、市场和宏观经济情况评估资本和流动性的充足性，有效抵御所承担的总体风险和各类风险。

   第五条银行业金融机构全面风险管理体系应当包括但不限于以下要素：

   （一）风险治理架构；

   （二）风险管理策略、风险偏好和风险限额；

   （三）风险管理政策和程序；

   （四）管理信息系统和数据质量控制机制；

   （五）内部控制和审计体系。

   第六条银行业金融机构应当推行稳健的风险文化，形成与本机构相适应的风险管理理念、价值准则、职业操守，建立培训、传达和监督机制，推动全体工作人员理解和执行。

   第七条银行业金融机构应当承担全面风险管理的主体责任，建立全面风险管理制度，保障制度执行，对全面风险管理体系进行自我评估，健全自我约束机制。

   第八条银行业监督管理机构依法对银行业金融机构全面风险管理实施监管。

   第九条银行业金融机构应当按照银行业监督管理机构的规定，向公众披露全面风险管理情况。

第二章 风险治理架构

   第十条银行业金融机构应当建立组织架构健全、职责边界清晰的风险治理架构，明确董事会、监事会、高级管理层、业务部门、风险管理部门和内审部门在风险管理中的职责分工，建立多层次、相互衔接、有效制衡的运行机制。

   第十一条银行业金融机构董事会承担全面风险管理的最终责任，履行以下职责：

   （一）建立风险文化；

   （二）制定风险管理策略；

   （三）设定风险偏好和确保风险限额的设立；

   （四）审批重大风险管理政策和程序；

   （五）监督高级管理层开展全面风险管理；

   （六）审议全面风险管理报告；

   （七）审批全面风险和各类重要风险的信息披露；

   （八）聘任风险总监（首席风险官）或其他高级管理人员，牵头负责全面风险管理；

   （九）其他与风险管理有关的职责。

   董事会可以授权其下设的风险管理委员会履行其全面风险管理的部分职责。

   第十二条银行业金融机构应当建立风险管理委员会与董事会下设的战略委员会、审计委员会、提名委员会等其他专门委员会的沟通机制，确保信息充分共享并能够支持风险管理相关决策。

   第十三条银行业金融机构监事会承担全面风险管理的监督责任，负责监督检查董事会和高级管理层在风险管理方面的履职尽责情况并督促整改。相关监督检查情况应当纳入监事会工作报告。

   第十四条银行业金融机构高级管理层承担全面风险管理的实施责任，执行董事会的决议，履行以下职责：

   （一）建立适应全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间相互协调、有效制衡的运行机制；

   （二）制定清晰的执行和问责机制，确保风险管理策略、风险偏好和风险限额得到充分传达和有效实施；

   （三）根据董事会设定的风险偏好，制定风险限额，包括但不限于行业、区域、客户、产品等维度；

   （四）制定风险管理政策和程序，定期评估，必要时予以调整；

   （五）评估全面风险和各类重要风险管理状况并向董事会报告；

   （六）建立完备的管理信息系统和数据质量控制机制；

   （七）对突破风险偏好、风险限额以及违反风险管理政策和程序的情况进行监督，根据董事会的授权进行处理；

   （八）风险管理的其他职责。

   第十五条规模较大或业务复杂的银行业金融机构应当设立风险总监（首席风险官）。董事会应当将风险总监（首席风险官）纳入高级管理人员。风险总监（首席风险官）或其他牵头负责全面风险管理的高级管理人员应当保持充分的独立性，独立于操作和经营条线，可以直接向董事会报告全面风险管理情况。

   调整风险总监（首席风险官）应当事先得到董事会批准，并公开披露。银行业金融机构应当向银行业监督管理机构报告调整风险总监（首席风险官）的原因。

   第十六条银行业金融机构应当确定业务条线承担风险管理的直接责任；风险管理条线承担制定政策和流程，监测和管理风险的责任；内审部门承担业务部门和风险管理部门履职情况的审计责任。

   第十七条银行业金融机构应当设立或者指定部门负责全面风险管理，牵头履行全面风险的日常管理，包括但不限于以下职责：

   （一）实施全面风险管理体系建设；

   （二）牵头协调识别、计量、评估、监测、控制或缓释全面风险和各类重要风险，及时向高级管理人员报告；

   （三）持续监控风险管理策略、风险偏好、风险限额及风险管理政策和程序的执行情况，对突破风险偏好、风险限额以及违反风险管理政策和程序的情况及时预警、报告并提出处理建议；

   （四）组织开展风险评估，及时发现风险隐患和管理漏洞，持续提高风险管理的有效性。

   第十八条银行业金融机构应当采取必要措施，保证全面风险管理的政策流程在基层分支机构得到理解与执行，建立与基层分支机构风险状况相匹配的风险管理架构。

   在境外设有机构的银行业金融机构应当建立适当的境外风险管理框架、政策和流程。

   第十九条银行业金融机构应当赋予全面风险管理职能部门和各类风险管理部门充足的资源、独立性、授权，保证其能够及时获得风险管理所需的数据和信息，满足履行风险管理职责的需要。

第三章 风险管理策略、风险偏好和风险限额

   第二十条银行业金融机构应当制定清晰的风险管理策略，至少每年评估一次其有效性。风险管理策略应当反映风险偏好、风险状况以及市场和宏观经济变化，并在银行内部得到充分传导。

   第二十一条银行业金融机构应当制定书面的风险偏好，做到定性指标和定量指标并重。风险偏好的设定应当与战略目标、经营计划、资本规划、绩效考评和薪酬机制衔接，在机构内传达并执行。

   银行业金融机构应当每年对风险偏好至少进行一次评估。

   第二十二条银行业金融机构制定的风险偏好，应当包括但不限于以下内容：

   （一）战略目标和经营计划的制定依据，风险偏好与战略目标、经营计划的关联性；

   （二）为实现战略目标和经营计划愿意承担的风险总量；

   （三）愿意承担的各类风险的最大水平；

   （四）风险偏好的定量指标，包括利润、风险、资本、流动性以及其他相关指标的目标值或目标区间。上述定量指标通过风险限额、经营计划、绩效考评等方式传导至业务条线、分支机构、附属机构的安排；

   （五）对不能定量的风险偏好的定性描述，包括承担此类风险的原因、采取的管理措施；

   （六）资本、流动性抵御总体风险和各类风险的水平；

   （七）可能导致偏离风险偏好目标的情形和处置方法。

   银行业金融机构应当在书面的风险偏好中明确董事会、高级管理层和首席风险官、业务条线、风险部门在制定和实施风险偏好过程中的职责。

   第二十三条银行业金融机构应当建立监测分析各业务条线、分支机构、附属机构执行风险偏好的机制。

   当风险偏好目标被突破时，应当及时分析原因，制定解决方案并实施。

   第二十四条银行业金融机构应当建立风险偏好的调整制度。根据业务规模、复杂程度、风险状况的变化，对风险偏好进行调整。

   第二十五条银行业金融机构应当制定风险限额管理的政策和程序，建立风险限额设定、限额调整、超限额报告和处理制度。

   银行业金融机构应当根据风险偏好，按照客户、行业、区域、产品等维度设定风险限额。风险限额应当综合考虑资本、风险集中度、流动性、交易目的等。

   全面风险管理职能部门应当对风险限额进行监控，并向董事会或高级管理层报送风险限额使用情况。

   风险限额临近监管指标限额时，银行业金融机构应当启动相应的纠正措施和报告程序，采取必要的风险分散措施，并向银行业监督管理机构报告。

第四章 风险管理政策和程序

   第二十六条银行业金融机构应当制定风险管理政策和程序，包括但不限于以下内容：

   （一）全面风险管理的方法，包括各类风险的识别、计量、评估、监测、报告、控制或缓释，风险加总的方法和程序；

   （二）风险定性管理和定量管理的方法；

   （三）风险管理报告；

   （四）压力测试安排；

   （五）新产品、重大业务和机构变更的风险评估；

   （六）资本和流动性充足情况评估；

   （七）应急计划和恢复计划。

   第二十七条银行业金融机构应当在集团和法人层面对各附属机构、分支机构、业务条线，对表内和表外、境内和境外、本币和外币业务涉及的各类风险，进行识别、计量、评估、监测、报告、控制或缓释。

   银行业金融机构应当制定每项业务对应的风险管理政策和程序。未制定的，不得开展该项业务。

   银行业金融机构应当有效评估和管理各类风险。对能够量化的风险，应当通过风险计量技术，加强对相关风险的计量、控制、缓释；对难以量化的风险，应当建立风险识别、评估、控制和报告机制，确保相关风险得到有效管理。

   第二十八条银行业金融机构应当建立风险统一集中管理的制度，确保全面风险管理对各类风险管理的统领性、各类风险管理与全面风险管理政策和程序的一致性。

   第二十九条银行业金融机构应当建立风险加总的政策、程序，选取合理可行的加总方法，充分考虑集中度风险及风险之间的相互影响和相互传染，确保在不同层次上和总体上及时识别风险。

   第三十条银行业金融机构采用内部模型计量风险的，应当遵守相关监管要求，确保风险计量的一致性、客观性和准确性。董事会和高级管理层应当理解模型结果的局限性、不确定性和模型使用的固有风险。

   第三十一条银行业金融机构应当建立全面风险管理报告制度，明确报告的内容、频率和路线。

   报告内容至少包括总体风险和各类风险的整体状况；风险管理策略、风险偏好和风险限额的执行情况；风险在行业、地区、客户、产品等维度的分布；资本和流动性抵御风险的能力。

   第三十二条银行业金融机构应当建立压力测试体系，明确压力测试的治理结构、政策文档、方法流程、情景设计、保障支持、验证评估以及压力测试结果运用。

   银行业金融机构应当定期开展压力测试。压力测试的开展应当覆盖各类风险和表内外主要业务领域，并考虑各类风险之间的相互影响。

   压力测试结果应当运用于银行业金融机构的风险管理和各项经营管理决策中。

   第三十三条银行业金融机构应当建立专门的政策和流程，评估开发新产品、对现有产品进行重大改动、拓展新的业务领域、设立新机构、从事重大收购和投资等可能带来的风险，并建立内部审批流程和退出安排。银行业金融机构开展上述活动时，应当经风险管理部门审查同意，并经董事会或董事会指定的专门委员会批准。

   第三十四条银行业金融机构应当根据风险偏好和风险状况及时评估资本和流动性的充足情况，确保资本、流动性能够抵御风险。

   第三十五条银行业金融机构应当制定应急计划，确保能够及时应对和处理紧急或危机情况。应急计划应当说明可能出现的风险以及在压力情况（包括会严重威胁银行生存能力的压力情景）下应当采取的措施。银行业金融机构的应急计划应当涵盖对境外分支机构和附属机构的应急安排。银行业金融机构应当定期更新、演练或测试上述计划，确保其充分性和可行性。

   第三十六条银行业金融机构应当按照相关监管要求，根据风险状况和系统重要性，制定并定期更新完善本机构的恢复计划，明确本机构在压力情况下能够继续提供持续稳定运营的各项关键性金融服务并恢复正常运营的行动方案。

   第三十七条银行业金融机构应当制定覆盖其附属机构的风险管理政策和程序，保持风险管理的一致性、有效性。银行业金融机构应当要求并确保各附属机构在整体风险偏好和风险管理政策框架下，建立自身的风险管理组织架构、政策流程，促进全面风险管理的一致性和有效性。

   银行业金融机构应当建立健全风险隔离制度，规范内部交易，防止风险传染。

   第三十八条银行业金融机构应当制定外包风险管理制度，确定与其风险管理水平相适应的外包活动范围。

   第三十九条银行业金融机构应当将风险管理策略、风险偏好、风险限额、风险管理政策和程序等要素与资本管理、业务管理相结合，在战略和经营计划制定、新产品审批、内部定价、绩效考评和薪酬激励等日常经营管理中充分应用并有效实施。

   第四十条银行业金融机构应当对风险管理策略、风险偏好、风险限额、风险管理政策和程序建立规范的文档记录。

第五章 管理信息系统和数据质量

   第四十一条银行业金融机构应当具备完善的风险管理信息系统，能够在集团和法人层面计量、评估、展示、报告所有风险类别、产品和交易对手风险暴露的规模和构成。

   第四十二条银行业金融机构相关风险管理信息系统应当具备以下主要功能，支持风险报告和管理决策的需要：

   （一）支持识别、计量、评估、监测和报告所有类别的重要风险；

   （二）支持风险限额管理，对超出风险限额的情况进行实时监测、预警和控制；

   （三）能够计量、评估和报告所有风险类别、产品和交易对手的风险状况，满足全面风险管理需要；

   （四）支持按照业务条线、机构、资产类型、行业、地区、集中度等多个维度展示和报告风险暴露情况；

   （五）支持不同频率的定期报告和压力情况下的数据加工和风险加总需求；

   （六）支持压力测试工作，评估各种不利情景对银行业金融机构及主要业务条线的影响。

   第四十三条银行业金融机构应当建立与业务规模、风险状况等相匹配的信息科技基础设施。

   第四十四条银行业金融机构应当建立健全数据质量控制机制，积累真实、准确、连续、完整的内部和外部数据，用于风险识别、计量、评估、监测、报告，以及资本和流动性充足情况的评估。

第六章 内部控制和审计

   第四十五条银行业金融机构应当合理确定各项业务活动和管理活动的风险控制点，采取适当的控制措施，执行标准统一的业务流程和管理流程，确保规范运作。

   第四十六条银行业金融机构应当将全面风险管理纳入内部审计范畴，定期审查和评价全面风险管理的充分性和有效性。

   银行业金融机构内部审计活动应独立于业务经营、风险管理和合规管理，遵循独立性、客观性原则，不断提升内部审计人员的专业能力和职业操守。

   全面风险管理的内部审计报告应当直接提交董事会和监事会。董事会应当针对内部审计发现的问题，督促高级管理层及时采取整改措施。内部审计部门应当跟踪检查整改措施的实施情况，并及时向董事会提交有关报告。

第七章 监督管理

   第四十七条银行业金融机构应当将风险管理策略、风险偏好、重大风险管理政策和程序等报送银行业监督管理机构，并至少按年度报送全面风险管理报告。

   第四十八条银行业监督管理机构应当将银行业金融机构全面风险管理纳入法人监管体系中，并根据本指引全面评估银行业金融机构风险管理体系的健全性和有效性，提出监管意见，督促银行业金融机构持续加以完善。

   第四十九条银行业监督管理机构通过非现场监管和现场检查等实施对银行业金融机构全面风险管理的持续监管，具体方式包括但不限于监管评级、风险提示、现场检查、监管通报、监管会谈、与内外部审计师会谈等。

   第五十条银行业监督管理机构应当就全面风险管理情况与银行业金融机构董事会、监事会、高级管理层等进行充分沟通，并视情况在银行业金融机构董事会、监事会会议上通报。

   第五十一条对不能满足本指引及其他规范性文件中关于全面风险管理要求的银行业金融机构，银行业监督管理机构可以要求其制定整改方案，责令限期改正，并视情况采取相应的监管措施。

第八章 附则

   第五十二条各类具体风险的监管要求按照银行业监督管理机构的有关规定执行。

   第五十三条经银行业监督管理机构批准设立的其他金融机构参照本指引执行。

   第五十四条本指引自2016年11月1日起施行。本指引实施前已有规范性文件如与本指引不一致的，按照本指引执行。（完）