网上银行安全风险管理指引(征求意见稿)549号文

中国银行业监督管理委员会办公厅

银监办便函[2011] 549号

关于征求对《网上银行安全风险管理指引》

（征求意见稿）意见的函

各银监局，各国有商业银行，股份制商业银行，邮政储蓄银行，各省级农村信用联社：为加强网上银行的安全风险管理工作，建立全面的安全风险管理框架和组织架构，明确网上银行安全控制的基本要求，促进网上银行业务健康、持续发展，银监会起草了《网上银行安全风险管理指引》（征求意见稿），现征求各银监局和各银行机构意见．请各银行机构组织管理、业务、科技等相关部门认真研究，提出有针对性的意见，并于11月25日前将意见以书面形式反馈银监会信息中心（同时报送电子版）。

请各银监局将本函转发至辖内各银行机构，各银监局汇总辖内银行机构意见后，于11月25日前以书面形式报送银监会信息中心（同时报送电子版）。

联系人：姜帆

联系电话：010-********

传真：010-********

电子邮箱：jiangfan@https://www.360docs.net/doc/87777568.html,

附件：《网上银行安全风险管理指引》（征求意见搞）

二零一一年十一月四日

网上银行安全风险管理指引

（征求意见稿）

第一章总则

第二章组织架构

第三章安全风险管理框架

第四章业务安全控制

第五章技术安全控制

第六章管理与内部控制

第七章网上支付安全控制

第八章客户教育和风险提示

第九章审计与评估

第十章监督管理

第十一章附则

第一章总则

第一条为防范网上银行安全风险，保障客户和商业银行的合法权益，促进网上银行业务的健康、持续发展，依据《中华人民共和国商业银行监督管理法》、《中华人民共和国商业银行法》、《电子商业银行业务管理办法》、《商业银行操作风险管理指引》、《商业银行信息科技风险管理指引》，以及相关的法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行和农村合作银行、城市信用社、农村信用社。

政策性银行、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。

第三条本指引所称网上银行（以下简称“网银”）是指商业银行利用互联网等开放性公共网络或专用网络为媒介，以客户发出的电子指令为依据，为客户提供网上金融业务的电子渠道类服务。同时，依托公共网络或专用网络在收付款人之间进行资金支付结算的网上支付业务，应统一纳入网上银行的安全风险管理。

第四条本指引所称网银安全风险，是指商业银行在网银的业务经营和管理过程中，由于环境因素、人员原因、安全漏洞以及管理和流程缺陷导致的操作、法律和声誉等风险。可能导致网银安全风险的威胁和弱点主要存在于内控管理、产品创新和开发、业务运营、系统运维、信息安全保障等环节。

第五条商业银行应将网银安全风险管理纳入本行的全面风险管理体系，结合自身网银业务特点，建立与全面风险管理体系相一致的网银安全风险管理框架、策略及流程。

第二章组织架构

第六条商业银行应建立与网银安全风险管理相适应的组织架构，该组织应包含董事会、高级管理层、网银安全风险管理部门、业务条线部门、信息科技部门、内部审计部门，各部门应明确各自职责并对所负责的网银安全风险进行归口管理。

第七条董事会对网银安全风险的管理负最终责任，主要职责包括：

（一）负责监督高级管理层对网银安全风险的控制情况，并对网银安全风险及管理状况提出管理和内部控制意见；

（二）审批网银审计报告。

第八条高级管理层的主要职责：

（一）制定、定期审查和监督执行网银安全风险管理机制和程序；

（二）明确各部门的网银安全风险管理职责，了解掌握网银重大安全风险，确定风险可接受原则和容忍度，审批重大安全风险控制措施，督促各部门履行管理职责，确保网银安全风险管理机制正常运行；

（三）审批网银安全风险评估报告。

第九条商业银行应指定网银安全风险管理牵头部门，明确牵头部门和其他各相关部门的职责范围、工作流程和沟通协调机制。

第十条风险管理牵头部门负责组织、推动各部门的网银安全风险管理工作，组织制定和发布有关制度、规定，建立各部门联席会议机制，协调、解决风险管理工作中的重大问题，组织跨部门的应急联动机制和应急预案的演练等。

第十一条业务条线部门负责网银业务层面的安全风险管理工作，明确本部门的风险管理职责，执行网银业务安全风险自评估或外部评估，对网银的业务运营和操作进行日常合规检查，编制本部门的业务应急预案等。

第十二条信息科技部门负责网银系统开发、建设和日常运行维护的安全风险管理工作，明确本部门的风险管理职责，执行网银系统安全风险自评估或外部评估，对网银系统的开发和运行维护进行日常合规检查，编制本部门的技术应急预案等。

第十三条商业银行内部审计部门负责对网银业务和系统进行审计检查，根据审计结果向董事会提交审计报告，跟踪、督导审计发现问题的整改工作。

第三章安全风险管理框架

第十四条商业银行应建立网银安全风险管理框架。管理框架应至少包括如下内容：（一）管理目标及范围；

（二）管理组织架构及职责；

（三）风险管理策略；

（四）风险识别及评价；

（五）风险监测及控制；

（六）审计和评估机制。

第十五条商业银行的网银安全风险管理策略应至少包括如下内容：

（一）风险评价和定级策略；

（二）风险管理偏好、容忍度及风险参数制订策略；

（三）风险控制策略（接受、降低、缓释、转移、规避、消除等）；

（四）成本及效益评价策略；

（五）控制措施有效性评价策略。

第十六条商业银行应依据监管机构要求、网银业务发展以及内外部环境的变化，通过自我检查、内部审计、外部评估等手段，至少每三年对网银安全风险管理框架、管理策略进行一次修订。

第十七条商业银行在进行网银安全风险识别时，应首先判断网银在业务运营、系统运维、安全管理等过程中需保护的对象（如人员，服务、流程、系统、数据等），通过综合分析对象的价值及其面临的因环境和人员因素导致的内外部威胁，以及本身存在的管理缺陷、内控缺失和安全漏洞等弱点，正确识别会对客户和商业银行利益造成损害的安全风险。

第十八条商业银行应制定客观的安全事件影响或损失程度分级标准，至少综合考虑如下因素，所影响的客户或业务范围、服务中断时间、财务损失程度、客户资料泄露规模、舆论影响范围等。

第十九条商业银行应制定客观的安全事件发生可能性分级标准，至少综合考虑如下因素，自身弱点的可利用程度、当前内外部威胁发生动机的强烈程度、该风险所产生事件在过去一定时期内发生的频率、以及对将来发生趋势的分析等。

第二十条商业银行应在正确识别网银安全风险的基础上，根据其发生安全事件后的影响或损失程度以及发生可能性的分级标准，评定风险等级。

第二十一条商业银行应建立网银安全风险的持续监测机制，加强对内外部威胁和自身弱点以及残余风险（包括已接受的风险）的监测，充分利用技术手段实现安全风险监测的自动化，及时掌握网银安全风险的变化情况以及验证已有控制措施的有效性。

第二十二条商业银行应将能够代表网银安全某一风险领域变化情况并可监测的特征值或指标作为关键风险指标，建立符合本机构组织架构和职责的多层级关键风险指标体系。如资金损失类、案件和安全事件类、异常交易类、客户投诉类、人员管理类、网银服务可用类等关键指标。

第二十三条商业银行在进行网银安全风险监测时，应建立告警、升级、响应和处理机制，通过关联分析多种信息来源，确定并报告各级别网银安全风险。

第二十四条商业银行应明确风险报告的内容、频率、形式、对象和路径，确保高级管理层和相关部门及时掌握网银安全风险状况以及影响和陨失情况。

第二十五条商业银行应根据网银安全风险评估结果，结合风险监测获得的风险变化情况，依据风险管理策略，制定风险控制计划和控制措施，并在审核后实施。

第二十六条商业银行对于未达到预期控制目标或衍生新风险的控制措施，应重新启动评估流程，制定和选择新的风险控制措施。同时应对网银安全风险，包括已接受的风险，定期进行再评估。

第二十七条商业银行针对网银业务规模增长快速，以及网银外部环境多变的特点，同时结合网银系统的开放、复杂以及技术发展迅速等特征，在风险评估中应及时调整评估重点，积极关注新威胁、新弱点，制定和调整风险控制措施，增强网银安全。

第四章业务安全控制

第二十八条商业银行在制定网银业务发展规划、网银系统技术架构和安全策略，以及推出重要产品和业务活动时，应提交高级管理层审批，确保网银发展目标与本行总体业务目标一致。

第二十九条商业银行在网银产品的业务设计阶段，应重点关注以下因素：产品的可行性和合规性、业务规则的完整性以及一致性和延续性、产品之间的关联性和依赖性、产品易用和安全之间的平稳性等，避免产生潜在安全风险。

第三十条商业银行在进行网银产品的业务规则设计时，应根据客户和交易类型以及风险级别，制定相应的安全控制要求。控制要求至少应包括以下内容：

（一）双因素身份认证。银行应根据审慎原则，对银行认为的高风险交易，包括但不限于向非同名网银转账汇款、超过一定额度的网上支付等支付结算类业务，使用双因素身份认证。

（二）交易确认。银行可对高风险交易增加除身份认证（含双因素身份认证）以外的交易追加认证，如发送短信动态验证码）。

（三）限额设定。银行对网银转账汇款、网上支付等支付结算类业务，应根据其认证方式不同，设置不同的限额。

（四）交易提醒。银行应提供网银高风险交易短信提醒功能，额度可由银行设定，或由客户自行设定。

（五）落地处理。银行可以根据审慎性原则，对于交易要素不完整、超过额度的转账支付和关注类账户的资金流动（如疑似违规资金变动）等交易进行人工审核。

第三十一条商业银行在制定业务操作规程或规范时，应明确规定客户开通网银服务时

的身份核实方法，包括需客户提供的资料内容和要求，以及银行验证客户资料真实性、有效性和完整性的具体措施。

第三十二条商业银行在制定业务操作规程或规范时，应明确客户开通网银服务或其重要功能时，需要签订的服务协议内容。内容至少包括：各方的权利义务、风险提示和安全常识、收费标准、差错与争议处理、违约条款、服务和协议终止条件等。

第三十三条商业银行为保护业务安全和客户权益，应建议客户预留手机号码，且在手机号码变更时及时更新，并要求客户对所提供号码的真实性和有效性负责，以便在网银业务发生重大调整、交易出现差错、交易确认或交易提醒时及时通知客户。

第三十四条商业银行应在网银业务办理过程中，保留重要凭证和操作记录，对网银开户、安全工具更换、交易认证手机号码更改等重要操作进行流水勾兑稽核，防范内部案件。商业银行应严格后台操作权限的分配，根据参数的影响程度分级审批，对涉及批量客户的计费、限额、功能开关等重要业务规则调整，要做好参数维护方案的审核，严格执行参数维护流程，防范网银后台操作风险。

第三十五条商业银行应建立网银业务异常交易监控流程，采集分析网银交易信息，主动预防、发现和终止如外部欺诈、身份冒用、虚假交易、套现、洗钱等异常交易，有效防范和化解风险。

第三十六条商业银行网银业务异常交易监控的范围至少应包括：客户签约、登录、查询、转账、缴费、支付等交易以及与交易相关的行为特征和客户终端信息，监控信息要严格保密，不得泄露。

第三十七条商业银行网银异常交易风险的事件响应，应与信息科技部门充分沟通，相互配合，建立业务和技术的联动机制，确保异常交易事件响应的及时性、准确性和有效性。

第三十八条商业银行在处理因交易超时、系统故障或其他原因导致的账务差错或异常交易时，应严格按照申告、核实、批准、调整、留档的程序转人工处理，处理过程的文档应按照商业银行会计档案进行管理。

第三十九条商业银行的网银服务内容、操作流程、收费标准和服务协议等发生重大调整前，或系统进行重要升级前，应通过多种渠道对外予以公告。

第四十条商业银行应建立规范的网银业务投诉和客户纠纷处理机制，制定相关登记、统计制度和处理原则、策略，妥善处理，避免风险扩散。处理原则和策略应根据外部环境和网银业务的变化适时调整。

第五章技术安全控制

第四十一条商业银行在进行网银技术选择时，应充分考虑网银采用的技术多样和发展迅速的特点，通过原型开发或技术测试等手段积极开展预研，充分评估技术的成熟度、安全性，对涉及新技术、新平台、新架构的选择应进行评审。

第四十二条商业银行应制定开发和测试的安全规范与技术指南，重点明确客户端安全控制、交易安全控制、权限划分与访问控制、资源控制、密钥与加解密、日志审计等方面的要求，同时应加强人员安全培训和执行情况检查。

第四十三条商业银行应采取技术措施保证客户端软件自身的完整性，保证敏感程序逻辑的机密性，定期评估客户端安全措施的有效性，针对新的威胁及时更新控制方式和强度。

第四十四条商业银行提供的客户端软件对客户端环境的设置不应降低客户端系统的安全性，不应影响客户其他软件的正常使用；当客户下载银行客户端时，应提供有效方法便于客户识别程序来源和完整性。

第四十五条商业银行应采取技术措施保证客户端录入的敏感信息的机密性、完整性，如使用专用的密码输入控件等；应采取技术措施保证银行返回到客户端的重要信息的完整性，如图形显示或短信通知等；应为客户提供必要的防钓鱼欺诈措施，如提供预留验证信息、客户自定义界面样式等功能。

第四十六条商业银行应充分认识不同类型、不同版本的操作系统或浏览器之间的安全技术差异，在进行客户端代码开发时，采用合理有效的安全控制措施，确保网银的整体安全防护水平。

第四十七条商业银行应规范网银系统的交易请求入口和权限控制，如禁止通过链接隐藏的方式进行功能屏蔽等。服务器端应对请求数据进行检查，对请求指令的逻辑顺序进行控制，对返回内容进行有效性和安全性检查。对请求数据和返回数据应在满足业务需求的情况下遵循最少原则。

第四十八条商业银行应根据不同风险等级，为客户提供相匹配的网银身份鉴别和交易认证手段，如静态密码、动态口令卡、动态令牌、文件证书、USB Key、短信认证、语音认证等或其组合。网银身份鉴别和交易认证手段应满足监管要求和业界规范。

第四十九条商业银行应制定合理的网银系统安全测试计划、分配足够的资源验证安全质量，如对网银代码进行安全审查、对系统进行渗透性测试、对安全控制措施进行查验等，防范引入恶意代码或出现安全漏洞。

第五十条商业银行应对开发、测试环境进行有效的安全控制，确保开发文档、源代码、测试数据等敏感资料的安全保密；应将开发、测试环境与生产环境进行有效隔离，避免开发、测试环境被利用成为攻击入口。

第五十一条商业银行应定期评估程序代码，开展代码重构与优化，保证程序代码的安全可靠、逻辑清晰、功能明确、组织形式合理，以提高程序代码的安全性和可维护性。

第五十二条商业银行应合理规划网银的网络安全防护架构，使用网络和安全设备，配置安全策略和控制措施，对网银系统与外部互联网、银行内部业务系统进行边界隔离，严格划分网银内部安全区域，防范内、外部威胁，确保网银系统和银行内部业务系统的安全稳定。

第五十三条商业银行的网银系统在上线运行时，应针对网银的互联网环境依赖和外部威胁高的特性，在互联网接入点部署安全设备，如防火墙、IDS/IPS、DDoS防护等设备，并设置相应的安全规则，有效降低或消除安全风险。

第五十四条商业银行应对网银安全设备以及非网银正常操作的交易请求和操作行为进行持续监控，依据攻击或威胁类型建立安全监控指标和监控模型，有效监测网银安全事件，并采取安全控制措施消除内外部攻击和威胁。

第五十五条商业银行的网银应具有良好的系统异常处理机制。当交易失败或系统异常出错时，应进行友好的客户端提示和引导，同时避免泄露系统和银行内部信息。

第五十六条商业银行应制定网银紧急补丁的开发响应流程，及时修补安全漏洞，必要时可提供临时性补丁或方案进行紧急处理，避免产生安全事件或事件影响范围扩大。

第五十七条商业银行在使用开源软件或免费软件时，应经过充分的安全评估，至少包括如下内容，源代码安全检查、稳定和安全性测试、自身技术支持能力评价、可替换能力评估等。

第五十八条商业银行应每年定期组织网银系统的漏洞扫描和渗透性测试，并形成测试报告。对发现的安全隐患应及时进行修补或升级，确保网银的安全防护能力。

第五十九条商业银行应定期对自身和同业网银事件进行回顾和技术分析，剖析欺诈过程、识别典型特征，分析自身业务及其现有控制措施的弱点，积极改进控制措施，达到主动防御的目的。

第六章管理与内部控制

第六十条商业银行应根据自身业务特点和内部管理需要，结合外部监管要求，制定网银相关的管理制度、操作规程和安全规范，同时应根据网银业务和技术的变化和发展进行

修订和完善。

第六十一条商业银行应对网银的业务和技术关键和重要岗位的任职人员资格进行审查，保证人员的专业技能和职业操守符合岗位任职要求。

第六十二条商业银行应建立人员安全保密制度，签订保密协议，对于有权接触网银系统或敏感信息的人员，尤其是外部合作人员，加强权限控制和监控审计。

第六十三条商业银行应合理设置网银管理和操作岗位、职责，对关键和重要岗位，按照职责分工、权限分离、相互监督的原则，防止不相容岗位出现混岗现象。应建立岗位轮岗、调岗、离职和强制休假的制度，避免因其导致的网银敏感信息和业务、技术资料的泄露。

第六十四条商业银行在业务运营、后台管理和系统运维过程中，应遵循“最小授权”及“按需使用”的原则设置人员权限。同时，对内部人员提取、修改、删除、销毁网银执行代码、参数和生产数据等关键性操作应建立严格的审批、审核、审计和监督检查机制。

第六十五条商业银行应设置网银的安全管理岗位，保证网银安全策略、规范、要求的贯彻落实，检查执行落实情况，统一管理与网银有关的安全介质。

第六十六条商业银行应加强网银的客户、账户、交易等敏感信息的保护，建立包括管理、技术以及物理的信息安全程序和流程，确保敏感信息的安全性、保密性和完整性。

第六十七条商业银行对网银系统的客户、账户、交易等敏感信息的使用应加强管理、明确职责，采取如分级审批、权限控制、加密签名、数据变形或清洗、记录使用日志等管理和技术手段，确保信息的使用安全。根据使用需求，应采用最小化原则提供数据信息。

第六十八条商业银行应对网银系统程序的版本制作和发布制定统一的规范，防范正式版本中因含有未清理的测试指令、参数、数据或调试信息导致的安全隐患。

第六十九条商业银行应对网银页面提供的链接和内容进行统一管理，并保证外部链接和引用内容的有效性、真实性、安全性，定期进行检查和评估。

第七十条商业银行应加强网银日志的管理，日志记录内容和保存要求应符合监管要求和审计需要，网银日志尤其是交易日志应合理分配日志大小和访问权限，曰志禁止修改，确保其可用性、保密性和完整性。

第七十一条商业银行应建立密钥和网银安全工具的管理机制，包括密钥的生成、使用、保管、备份、恢复、更换及销毁等过程的控制，以及网银安全工具的采购、制作、保管、发放及销毁的管控。

第七十二条商业银行应制定网银运行维护的服务管理和控制措施，包括事件处理、问题处理、变更处理等，应明确岗位、职责、处理流程、定级和升降级标准、响应时间、处理

时间、可用资源以及各流程间的关联和转换要求等，要注重业务和技术的联动。

第七十三条商业银行应加强网银系统的容量管理，对网银设备使用率、网络流量、平均和最大交易量等指标进行日常监控和趋势分析，积极关注业务高峰和热点交易对网银系统的影响，结合当前系统设备处理能力和应用设计容量等既定参数，及时提出扩容方案并实施。

第七十四条商业银行应建立网银应急预案，同时针对网银的安全特点，重点关注信息和网络安全，对DDoS、SQL注入、跨站脚本等攻击和其他入侵行为制定具体的应急场景和处理措施。

第七十五条商业银行应建立跨部门的网银应急联动机制，加强业务和技术、开发和运维的协调配合，明确应急责任人，在网银突发事件发生时，遵循既定处理流程和相关应急预案进行整体应对和处置。

第七十六条商业银行应对网银应急联动机制和应急预案定期组织演练和验证，保证应急处理时间和应急处置措旄满足网银业务要求。

第七十七条商业银行应对应急处置或演练过程中发现的问题进行及时处理，修订应急预案和相关规定，形成持续改进机制。

第七十八条商业银行应对员工加强风险管理制度和框架、内部管理流程、安全管理知识、外部监管要求等制度和规范的培训，建立长效培训机制，确保员工了解岗位职责以及违反安全规定可能导致的后果，强化员工合规操作的思想意识。

第七章网上支付安全控制

第七十九条商业银行在开展网上支付业务过程中，应加强合作商户和第三方支付机构的准入管埋，重点评估其资信情况、经营范围、管理能力、技术安全、服务质量、财务稳健性和行业地位等。

第八十条商业银行在与合作商户和第三方支付机构合作时，应签订合作协议，明确要求在交易过程中，商户应向商业银行提供的有关商户、商品及资金用途等信息内容，防范外部欺诈和法律风险。

第八十一条商业银行对于由第三方机构完成安全认证的网上支付业务，应在双方的合作协议中增加先行赔付条款，约定第三方支付机构应在银行开立风险准备金账户，用于先行赔付客户因外部欺诈等产生的资金损失。第三方支付机构缴存的风险准备金，不能低于客户备付金日均余额的10%。

本条款所称备付金日均余额，是指银行根据最近90日内，日均由第三方支付机构完成

安全认证的交易备付金余额。

第八十二条商业银行在与合作商户和第三方支付机构合作时，应采取必要的技术手段确保交易指令的及时性、准确性、保密性、完整性和不可抵赖性，同时要求合作商户和第三方支付机构提供客户详细账单信息，并在网银系统支付页面中显示供客户确认。

第八十三条商业银行在与合作商户和第三方支付机构合作时，应根据不同业务类型和安全认证方式采取差异化的风险控制策略，谨慎设置交易限额。

第八十四条商业银行未经客户授权，不得将客户敏感信息提供给第三方支付机构，同时应向客户充分披露银行与合作商户和第三方支付机构的业务流程和责权关系，防范法律风险和声誉风险。

第八十五条商业银行应建立在特约商户和第三方支付机构发生重大风险时的应对机制，发现其信誉、经营状况恶化、存在违反协议或违法违规等行为的，可以采取相应措施，如终止合作关系等，保护客户和商业银行的权益。

第八章客户教育和风险提示

第八十六条商业银行应加强客户宣传和提示，充分解释本行各类网银业务流程和安全控制措施，避免由于客户误解或了解不全导致的投诉、纠纷和损失。在发布网银新产品、业务流程变更、安全控制措施变化时，商业银行更应强化客户宣传和提示。

第八十七条商业银行应切实承担对网银客户的安全教育责任，至少应包括以下措施；

（一）通过各种宣传渠道向公众明示本行正确的网银官方网址和呼叫中心号码：

（二）在本行网站首页显著位置开设网银安全教育栏目；

（三）印制并向客户配发语言通俗，形象直观的网银安全宣传资料；

（四）明示客户认真核对实际领用网银安全工具（如USB Key、动态令牌、动态口令卡等）与签约回执中安全工具编码信息的一致性；

（五）在网银使用过程中应在电脑屏幕上向用户醒目提示相关的安全注意事项等。

第八十八条商业银行应根据外部安全环境的不断变化，及时更新并发布安全防范措施，措施至少包括以下内容：

（一）要求客户预留真实的客户信息，如真实的身份证件、本人有效的手机号码等；

（二）提示客户牢记商业银行的官方网站地址；

（三）提示客户不要在公共计算机或不知情的计算机上登录网银，及时更新操作系统及浏览器的各种补丁，安装并更新防木马、防病毒软件；

（四）提示客户不应将本人的身份证件号码、银行卡号、密码等重要敏感信息告知他人，不应将个人手机、网银安全工具转借他人使用。

（五）要求客户在网银操作完成后应立即退出网银相关界面并移出与终端相连的安全工具。

（六）不要安装或运行来历不明的软件和程序。

（七）不要打开陌生人发送的电子邮件的附件或网站链接。

第八十九条商业银行应将扫描查找假冒网站及其他针对网银的犯罪活动纳入日常工作程序，检查本行网页上对外链接的可靠性，并开辟专门渠道接受公众举报。发现问题后应立即采取防范措施，并通过本行网站及其他渠道向公众进行通报提示，同时向银监会报告。

第九章审计与评估

第九十条商业银行内部审计部门应至少每两年对网银进行一次审计，审计的范围至少应包括以下内容：

（一）管理制度的有效性与完备性；

（二）操作流程的合理性与完整性；

（三）制度和流程的执行情况以及操作的合规性；

（四）风险管理框架和管理策略的适用性；

（五）风险评估、监测和控制的有效性；

（六）客户资料和交易数据的完整性和保密性；

（七）系统的安全管理；

（八）业务连续性与应急管理；

（九）外包的管理；

（十）其他重要风险环节和机制的管理。

第九十一条商业银行应至少每两年对网银进行一次安全风险评估，基于评估的结果，选择、设计和改进控制措施，制订切实可行的处置计划。评估应由银行内部独立于网银开发、运营和管理的部门，或由具备评估资质的外部专业机构进行。

第九十二条商业银行选择外部评估机构进行网银安全风险评估时，应签订保密协议或在服务协议中明确保密条款。对于如客户资料、业务数据及商业机密等敏感信息，应在不影响评估客观性、有效性的前提下重点加强安全管理和控制。

第九十三条商业银行网银安全风险评估的内容，应在电子银行安全评估指引的基础

上，全面覆盖本指引所列主要安全风险点和控制措施，并在评估报告中提出改进建议。

第十章监督管理

第九十四条商业银行网银系统在投产及发生重大变更前，应遵循监管机构对于银行业金融机构重要信息系统投产及变更的报告要求。

第九十五条商业银行与外部机构合作时，应在服务协议条款中明确商业银行和监管机构对协议范围内的服务内容进行监督和检查的要求。

第九十六条商业银行如提供跨境网银服务，应考虑境内外法律法规和监管要求间的差异可能造成的风险，并将其纳入本机构的网银安全风险管理中。

第九十七条商业银行在网银系统发生计划外服务中断或安全事件时，应按照重要信息系统突发事件应急管理规范的要求，向当地监管机构及时报告，并由监管机构按照规范要求进行处理。

第九十八条商业银行发生可能影响其它银行业金融机构网银业务开展或对银行业产生区域性、整体性影响的网银安全事件，监管机构应及时发布风险提示，并根据事件处置需要，协助商业银行做好对外沟通协调和获得外部资源的保障支持。

第九十九条对因安全防范存在严重缺失，导致客户重大资金损失，或导致客户敏感信息批量泄露并产生严重社会影响的，监管机构可责令商业银行对包括高级管理人员在内的责任人进行处罚，情节特别严重的，可暂停商业银行的网银业务。

第一百条商业银行未经客户授权不得对外提供客户、账户和网银交易信息，国家法律法规许可的情况除外。监管部门应对商业银行的执行情况进行检查。

第一百零一条监管机构原则上每两年对商业银行的网银风险情况进行一次检查，可采取非现场检查或现场检查的方式。在商业银行网银发生重大事件时，监管部门应派出事件调查组，核实事件的原因及处置过程，并提出相应的监管意见。

第十一章附则

第一百零二条未设董事会的商业银行，应当由其经营决策机构履行本指引中董事会的有关网银风险管理职责。

第一百零三条本指引由银监会负责解释、修订。

第一百零四条本指引自颁布之日起施行。

美国中小商业银行信贷风险管理经验的启示

内容提要：美国是世界上中小银行数量较多市场化运作较为成熟的国家。因为市场竞争的残酷性，美国中小银行为了生存和发展，对风险管理极为重视，特别是在信贷风险管理上形成了一系列较为成熟的经验。这些经验对我国中小银行尤其是城市商业银行具有很大的借鉴意义。美国是世界上中小银行数量较多、市场化运作较为成熟的国家。在美国约8 000家商业银行中，资产超过100亿美元的还不足10%,资产不超过10亿美元的银行,在全美共有5 000多家。在美国，由于银行业市场的激烈竞争，每年都有一些中小银行被兼并重组，一些中小银行被关闭，但同时也会新增一些中小银行。目前，信贷业务依然是美国中小银行的主要资产业务。因为市场竞争的残酷性，美国中小银行为了生存和发展，对风险管理极为重视，特别是在信贷风险管理上形成了一系列较为成熟的经验。这些经验对我国中小银行尤其是城市商业银行具有很大的借鉴意义。 1 ?中国城市商业银行与美国社区银行对比 中国城市商业银行与美国的社区银行相似，规模普遍较小（多数资产不足10亿美元），在所属的 区域内通过低成本的分销工具为客户提供基本简单的金融服务。专门为低收入的个人消费者 提供小额贷款；支持小型企业以为本地经济发展提供便利；将存款作为贷款资金；并致力于提高个人客户和企业客户的生活质量。但是，它们又有着不同点。美国的社区银行既不是开发 银行，也不是政府的福利机构。因此,它们不会提供有政府导向性的业务；不会在政府机构的影响下经营；不会优先运作基础设施的项目；不提供特许的利率；也不会把社会的目标置于银行 的财务目标之上。一般来说，虽然规模在一定程度上起着决定性的影响作用，然而一家银行的规模大小并不是银行赢利的最主要因素。因此社区银行仍然可以是一种赢利性很高且具有长 期稳定性的商业模型。根据美国的情况，赢利性最好的是那些资产在10亿~100亿美元的银行（相当于国内杭州、南京以及大连等的城市商业银行资产规模）以及资产在3亿~5亿美元的银 行（相当于葫芦岛、焦作以及马鞍山等的城市商业银行资产规模）。令人惊讶的是，最稳定（亏损企业百分比最小）的银行仍然是资产在3亿~5亿美元的那些小型银行。 2?美国中小商业银行信贷风险管理的特征 2?1美国中小商业银行普遍建立了完善的信贷风险管理 组织构架美国的中小商业银行实行董事会、高级管理层相互独立的、立体的风险管理体系。 董事会通过下设的风险审计委员会对全行的风险进行全面监测，尤其是高级管理层的道德风险。银行的高级管理层也建立另一套风险体制框架，实行风险的自我控制与管理：设立对业务风险进行控制的管理部门，对业务部门、管理部门的各类风险进行全面管理，这些部门对首席执行官负责。美国中小商业银行银行实行风险集中管理体制，风险控制在总行层面实现集中化管理，总行对所有风险都具有强大的监控能力。即使像住房抵押贷款一类的零售贷款也实现了由总行集中审批。美国各中小商业银行都设有风险管理部。风险管理部门负责日常风险 管理工作，对所有风险管理人员实行“垂直管理”，业务部门所需要的风险管理人员由风险管 理部派驻，派驻人员可参与业务经营的整个过程，并与业务部门共同承担责任。贷款风险管理 委员会不负责审批贷款，只负责贷款风险监测。贷款的审批按照相互制约的原则进行，单人无法对贷款业务进行决策。对信贷审批的授权主要考虑两个因素：职务高低、业务性质（如批发 业务与零售业务就不同）和个人经验。风险管理派驻人员具体负责各业务条线的风险管理，这 些人员直接向风险管理部门报告，但对与风险有关的业务决策有发言权，可对风险进行实时控制,寓风险管理于业务经营过程之中。 2?2美国中小商业银行拥有先进的风险管理工具和监测 技术科学的分析是做好风险管理工作的前提，商业银行信贷风险管理中的分析工作必须依赖 于一定的管理工具。普遍使用的信用分析系统为中小商业银行提供了在线信贷文件系统，

商业银行操作风险管理指引 银监发

商业银行操作风险管理指引 第一章总则 第一条为加强商业银行的操作风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律法规，制定本指引。 第二条在中华人民共和国境内设立的中资商业银行、外商独资银行和中外合资银行适用本指引。 第三条本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。 第四条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的操作风险管理实施监督检查，评价商业银行操作风险管理的有效性。 第二章操作风险管理 第五条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的操作风险管理体系，有效地识别、评估、监测和控制/缓释操作风险。操作风险管理体系的具体形式不要求统一，但至少应包括以下基本要素： （一）董事会的监督控制； （二）高级管理层的职责； （三）适当的组织架构；

（四）操作风险管理政策、方法和程序； （五）计提操作风险所需资本的规定。 第六条商业银行董事会应将操作风险作为商业银行面对的一项主要风险，并承担监控操作风险管理有效性的最终责任。主要职责包括： （一）制定与本行战略目标相一致且适用于全行的操作风险管理战略和总体政策； （二）通过审批及检查高级管理层有关操作风险的职责、权限及报告制度，确保全行的操作风险管理决策体系的有效性，并尽可能地确保将本行从事的各项业务面临的操作风险控制在可以承受的范围内； （三）定期审阅高级管理层提交的操作风险报告，充分了解本行操作风险管理的总体情况、高级管理层处理重大操作风险事件的有效性以及监控和评价日常操作风险管理的有效性； （四）确保高级管理层采取必要的措施有效地识别、评估、监测和控制/缓释操作风险； （五）确保本行操作风险管理体系接受内审部门的有效审查与监督； （六）制定适当的奖惩制度，在全行范围有效地推动操作风险管理体系地建设。 第七条商业银行的高级管理层负责执行董事会批准的操作风险管理战略、总体政策及体系。主要职责包括：

商业银行全面风险管理办法规定

商业银行全面风险管理办法规定

**银行全面风险管理办法 第一章总则 第一条为推进全面风险管理体系建设，提升风险管理水平，依据境内外有关监管指引、本行《章程》，并借鉴国际银行业风险管理的经验做法，特制定本办法。 第二条本办法所称风险，是指对本行实现既定目标可能产生影响的不确定性，这种不确定性既可能带来损失也可能带来收益。本办法主要关注带来损失的不确定性。 （一）信用风险。是指因借款人或交易对手未按照约定履行义务从而使本行业务发生损失的风险。 （二）市场风险。是指因市场价格（利率、汇率、股票价格和商品价格）的不利变动而使本行表内和表外业务发生损失的风险。 （三）操作风险。是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险，包括法律风险，但不包括策略风险和声誉风险。 （四）流动性风险。是指因本行无法以合理的成本及时筹集到客户和交易对手当前和未来所需资金而对本行经营所产生的风险。 除上述风险外，本行还关注外部监管部门或本行董事会要求－2－

关注的其他风险。 第三条本办法所称全面风险管理是指本行董事会、高级管理层和全行员工各自履行相应职责，有效控制涵盖全行各个业务层次的全部风险，进而为本行各项目标的实现提供合理保证的过程。 第四条本行风险管理应遵循以下原则： （一）收益与风险匹配 制定风险管理战略和进行风险管理决策，必须考虑承担的风险是在本行的风险容忍度以内，并有预期的收益覆盖风险，经风险调整的资本收益率能够满足股东的最低要求或符合本行的经营目标。 （二）内部制衡与效率兼顾 本行在风险管理规章制度中明确界定各部门、各级机构和各层级风险管理人员的具体权责，实行前中后台职能相对分离的管理机制。各部门、境内外分支机构和全体员工之间要有效沟通与协调，优化管理流程，不断提高管理效率。 （三）风险分散 本行实现信用风险敞口在国家、地区、行业、产品、期限和币种等维度上的适度分散，防范集中风险。严格遵循监管标准，审慎核定单一客户和关联客户授信额度，有效控制客户信用风险集中度。 本行实现市场风险敞口在国家、地区、市场、产品、期限和 －3－

网上银行风险防范对策

论文题目：网上银行风险防范对策 目录 一、网上银行的内涵及其现状 二、网上银行风险的类型 1、法律风险 2、技术风险 3、监管风险 4、信用风险 三、网上银行风险的成因 3.１系统本身技术管理方面存在缺陷 3.２网上银行的虚拟性 3.３网上银行的服务方式易受攻击 3.４各当事人之间的关系更加复杂 四、网上银行风险防范对策 （一）从银行角度阐述风险防范对策 （二）从金融监管角度阐述风险防范对策 （三）从网银用户角度阐述风险防范对策 五、结语

摘要：随着网络技术的发展和社会节奏的进一步加快，网购成为购物主流势不可挡。同时网上银行给银行业的发展带来了空前的机遇、给客户带来了方便和快捷,但是与此同时,也给银行体系和客户带来了相应的风险。本文分析了网络银行存在的主要风险,并提出了相应的防范措施。 [关键词]:网上银行,风险,防范 根据巴塞尔行业监管委员会的定义,网络银行是指那些通过电子通道,提供零售与小额产品与服务的银行.这些产品和服务包括存贷、账户管理、金融顾问、电子支付,以及其他一些诸如电子货币等电子支付产品与服务.银行业本身就是一个高风险的行业,加上网络的虚拟性,使得网络银行的风险问题日益突出,如何防范网络银行风险已经成为影响网络银行发展的一个关键问题。 一、网上银行内涵及其现状 1、网上银行内涵 网上银行(Online Bank)，又可称网络银行(NetBank或Internet

Bank)，是指银行借助客户的个人电脑，通信终端或其他智能设备，通过因特网或其他公用信息网向客户提供的银行业务和有关金融服务。我们从上述网上银行的定义中可以归纳网上银行的三个特征：1.将客户的个人电脑等智能设备作为网上银行业务的操作前台，具有自助的特征；2.以因特网或其他公用信息网作为网上银行业务信息交换载体，具有网络化特征；3.以银行提供的金融服务为网上银行的载体，具有传统银行业务特征。因此，我们可以将网上银行的基本风险划分为两大类：一类是网上银行发展带来的新风险，另一类是网上银行本身具有的传统性银行风险。网上银行因其兼有银行业与现代信息技术的双重特点，在传统银行业一般风险的基础上带来了一系列新的风险，给银行业的监管和风险防范提出了更大的挑战。 2、我国网上银行的现状分析 2.1 我国网上银行高速发展 目前国内几乎所有大中型商业银行都推出了自的网上银行或在internet上建立了自己的主页和网站。2010年，中国网上银行市场全年交易额达557.3 万亿元，网上银行用户数已经达到3.017亿。网上银行已成为各银行实现业务创新、提升品牌形象、提高综合竞争能力的主要方式。《2010中国电子银行调查报告》显示：中国网上银行总体发展继续保持快速增长的势头，第三方支付的使用也随着网络购物的兴起得到用户更多的关注；个人网银用户比例稳步攀升，活跃用户的比例以及网银的使用频率也均有不同程度的提高；企业网银

全面风险管理手册.

保利建设集团有限公司全面风险管理手册 二0一三年十二月

第一章总则 1.1编制目的 本手册作为保利建设集团有限公司（以下简称“公司”）开展全面风险管理工作的指导性文件，旨在通过建立并运行系统的风险管理机制（即全面风险管理体系），提升公司风险管理水平，有效防范、化解，并合理承担或利用所面临的风险，简化管理行为、整合管理资源、降低管理成本、提高管理效率的目的，在公司管理各项系统进行有效整合促进公司持续、健康、稳定发展，为公司实现既定目标提供充分的保障。 1.2依据 国资委《中央企业全面风险管理指引》 《国资委2013年度中央企业全面风险管理报告（模板）》、 财政部等五部委《企业内部控制基本规范》（财会[2008]7 号）

财政部等五部委《企业内部控制配套指引》（财会[2010]11 号）《中国保利公司全面风险管理手册》 GB/T 2453-2009《风险管理原则与实施指南》；ISO31000：2009《风险管理原则和指导方针》 GB/T19001-2008/ISO9001：2008 质量管理体系；GB/T50430 工程建设施工企业质量管理规范；GB/T50380：2006 工程建设设计企业质量管理规范 GB/T24001-2004/ISO14001：2004 环境管理体系 OHSMS18000；GB/T28001-2011：职业健康安全管理体系 1.3适用范围 本手册适用于公司范围内，所有人员应当遵循手册要求，开展全面风险管理工作。 本手册对控股子公司具有指导意义，各控股子公司应根据本手册的基本框架，结合自身特点参照实施，开展全面风险管理工作。1.4手册的颁布 本手册于2013年月经公司董事会审议批准后颁布，自颁布之日起生效。

商业银行信贷风险管理研究

商业银行信贷风险管理研究 摘要 中国经济的发展与资金密不可分，银行业为中国经济发展提供了持续的动力。作为经营货币资金的特殊公司，风险管理是行业中永恒的话题。本文以杭州发展农村商业银行作为研究对象，结合巴塞尔新资本协议以及当前我国商业银行信贷业务发展的实际情况，采用观察和调查法对长春发展农村商业银行信贷业务进行调查。通过观察和分析，探究影响信贷业务的主要因素，结合信贷业务管理理论和当前长春发展农村商业银行信贷业务环境，为杭州发展农村商业银行信贷业务管理提供一套风险管理的新思路和一套全面控制管理银行风险的衡量标准、制度和技术方法要求，旨在对信贷风险管理水平不太发达的我国农村商业银行提供策略和发展建议。 关键词：农村商业银行，巴塞尔新协议，信贷风险管理

Abstract The development of China's economy is closely related to capital, and banking industry provides a sustained impetus for China's economic development. As a special company operating monetary capital, risk management is an eternal topic in the industry. In this paper, the development of rural commercial banks in Hangzhou as the research object, combined with the New Basel Capital Accord and the current situation of the development of credit business of commercial banks in China, using the observation and investigation method to investigate the development of rural commercial banks in Changchun. Through observation and analysis, this paper explores the main factors affecting the credit business, combines the credit business management theory with the current credit business environment of Changchun rural commercial bank, and provides a set of new ideas of risk management and a set of measurement standards, systems and technical method requirements for the comprehensive control and management of Bank risk for the development of credit business management of Hangzhou Rural Commercial Bank, aiming at the credit risk Rural commercial banks in China with underdeveloped insurance management provide strategies and development suggestions Key word：Rural commercial banks, Basel II, credit risk management

#商业银行合规风险管理指引

商业银行合规风险管理指引 第一章总则 第一条为加强商业银行合规风险管理，维护商业银行安全稳健运行，根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》，制定本指引。 第二条在中华人民共和国境内设立的中资商业银行、外资独资银行、中外合资银行和外国银行分行适用本指引。 在中华人民共和国境内设立的政策性银行、金融资产管理公司、城市信用合作社、农村信用合作社、信托投资公司、企业集团财务公司、金融租赁公司、汽车金融公司、货币经纪公司、邮政储蓄机构以及经银监会批准设立的其他金融机构参照本指引执行。 第三条本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。 本指引所称合规，是指使商业银行的经营活动和法律、规则和准则相一致。 本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

本指引所称合规管理部门，是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位。 第四条合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险和信用风险、市场风险、操作风险和其他风险的关联性，确保各项风险管理政策和程序的一致性。 第五条商业银行合规风险管理的目标是通过建立健全合规风险管理框架，实现对合规风险的有效识别和管理，促进全面风险管理体系建设，确保依法合规经营。 第六条商业银行应加强合规文化建设，并将合规文化建设融入企业文化建设全过程。 合规是商业银行所有员工的共同责任，并应从商业银行高层做起。 董事会和高级管理层应确定合规的基调，确立全员主动合规、合规创造价值等合规理念，在全行推行诚信和正直的职业操守和价值观念，提高全体员工的合规意识，促进商业银行自身合规和外部监管的有效互动。 第七条银监会依法对商业银行合规风险管理实施监管，检查和评价商业银行合规风险管理的有效性。 第二章合规管理职责

网上银行的风险防范分析

东北财经大学网络教育本科毕业论文网上银行的风险防范分析 作者51毕业论文网 学籍批次200903 学习中心河南焦作市总工会职工中等专业学校奥鹏学习中心 层次专升本专业金融学专业指导教师

内容摘要 网上银行业务在我国已经展开，但是国内法律法规及金融规章并未对这一新业务进行系统规制。网上银行的安全风险分配问题已经成为制约其在我国发展的“瓶颈”。网上银行的风险责任承担问题在我国也没有具体的法律规定，使客户对其敬而远之。本文借助一则网上银行纠纷的案例，来探讨网上银行的风险类型及防范措施，希望对我国网上银行立法特别是风险管理方面有所帮助。 关键词：网上银行风险防范

目录 一、引文----------------------------------------------------------------------------------------------------------1 二、案例正文----------------------------------------------------------------------------------------------------2 三、案例分析---------------------------------------------------------------------------------------------------2 四、网上银行风险的形成原因----------------------------------------------2 五、网上银行的防范措施------------------------------------------------------------------------------------3 六、结束语-------------------------------------------------------------------------------------------------------4 参考文献---------------------------------------------------------------------------------------------------------4

保险公司风险管理指引

保险公司风险管理指引（试行） 各保险公司、保险资产管理公司，各保监局： 为强化保险公司风险管理，加强保险监管，提高风险防范能力，保监会制定了《保险公司风险管理指引（试行）》。现印发给你们，请各公司结合自身实际，认真贯彻落实。 特此通知 二○○七年四月六日目录 第一章总则 第二章风险管理组织 第三章风险评估 第四章风险控制 第五章风险管理的监督与改进 第六章风险管理的监管 第七章附则 第一章总则 第一条为指导保险公司加强风险管理，保障保险公司稳健经营，根据《关于规范保险公司治理结构的指导意见（试行）》及其他相关法律法规，制定本指引。 第二条本指引适用于在中国境内依法设立的保险公司和保险资产管理公司。 保险集团（控股）公司已经按照本指引规定建立覆盖全集团的风险管理体系的，经中国保监会批准，其保险子公司可以不适用本指引。 第三条本指引所称风险，是指对实现保险经营目标可能产生负面影响的不确定性因素。 第四条本指引所称风险管理，是指保险公司围绕经营目标，对保险经营中的风险进行识别、评估和控制的基本流程以及相关的组织架构、制度和措施。 第五条保险公司应当明确风险管理目标，建立健全风险管理体系，规范风

险管理流程，采用先进的风险管理方法和手段，努力实现适当风险水平下的效益最大化。 第六条保险公司风险管理应当遵循以下原则： （一）全面管理与重点监控相统一的原则。保险公司应当建立覆盖所有业务流程和操作环节，能够对风险进行持续监控、定期评估和准确预警的全面风险管理体系，同时要根据公司实际有针对性地实施重点风险监控，及时发现、防范和化解对公司经营有重要影响的风险。 （二）独立集中与分工协作相统一的原则。保险公司应当建立全面评估和集中管理风险的机制，保证风险管理的独立性和客观性，同时要强化业务单位的风险管理主体职责，在保证风险管理职能部门与业务单位分工明确、密切协作的基础上，使业务发展与风险管理平行推进，实现对风险的过程控制。 （三）充分有效与成本控制相统一的原则。保险公司应当建立与自身经营目标、业务规模、资本实力、管理能力和风险状况相适应的风险管理体系，同时要合理权衡风险管理成本与效益的关系，合理配置风险管理资源，实现适当成本下的有效风险管理。 第七条保险公司应当建立涵盖风险管理基本流程和控制环节的信息系统，提高风险管理的信息化水平。 保险公司应当统筹规划风险管理和业务管理信息系统，使风险信息能够在职能部门和业务单位之间实现集成与共享，充分满足对风险进行分析评估和监控管理的各项要求。 第八条保险公司应当定期对高级管理人员和员工进行风险管理理念、知识、流程以及控制方式等内容的培训，增强风险管理意识，同时将风险管理绩效与薪酬制度、人事制度和责任追究制度相结合，培育和塑造良好的风险管理文化。 返回 第二章风险管理组织 第九条保险公司应当建立由董事会负最终责任、管理层直接领导，以风险管理机构为依托，相关职能部门密切配合，覆盖所有业务单位的风险管理组织体系。 第十条保险公司可以在董事会下设立风险管理委员会负责风险管理工作。

商业银行信贷风险管理理论概述

商业银行信贷风险管理理论概述 一.信贷风险的定义: 1.信贷。 银行信贷是商业银行为保证贷款业务而从事的与之相关的经营活动,是商业银行的主要业务.银行信贷是商品货币关系的产物,是以偿还为条件,并且收取利息为获取报酬的借贷行为.它的运行方式为:吸收来自个体储户的存款,然后将之发放给信用可靠的贷款人.在这个过程中,银行向储户支付利息,贷款人向银行支付利息.银行通过利息的不同来获取收益.银行信贷具有聚集,分配社会资金,调节社会经济活动,反映和监督国民经济活动的职能. 2.信贷风险的含义。 风险在经济领域中,一般将之理解为在未来的一段时间内,损失的发生因为影响因素的大量性,无规则性和随机性而具有多种可能性或不确定性.商业银行在经营与信贷活动中因受多种因素的影响存在损失发生的可能性或不确定性,就是商业银行风险.信贷风险作为商业银行的主要风险,在广义上它指因客户违约引发的风险,在狭义上指银行不能如期收回贷款本金和利息的不确定性,也即银行在信贷活动中预期收益不能实现的可能性.(商业银行信贷风险管理—张淼) 3.信贷风险的特征。 （1）客观性。 只要银行经营信贷活动，就不可能完全规避信贷风险，信贷风险在信贷活动中是客观且肯定存在的。换句话说，没有信贷风险的信贷活动是不存咋的。 （2）隐蔽性。 信贷活动中各种影响因素的大量性、随机性和不确定性决定了信贷风险难以直接的、精确的被观察和度量。 （3)可控性。 虽然信贷风险具有隐蔽性，但银行可以通过一定的方法提前识别、计量、监测和控制。 二.信贷风险形成的原因. 从一般意义上考察,任何经济活动风险的存在都与其所处的自然环境,社会和政

治环境,经济形势的变化和人的行为等诸多因素的影响.银行信贷作为社会经济活动的组成部分,同样受到这些因素的影响.银行风险的形成原因是错综复杂的,既有客观原因,又有主观原因;既有外部原因,又有内部原因.这些因素的大量性,随机性,不确定性以及不同因素之间相互交错,使得信贷风险的评估与管理变得复杂化. 1.主要表现形式。 商业银行的信贷风险主要体现在巨额不良债权上。债权是指商业银行(债权人)按信用原则和交易准则，以贷款为形式、以契约承诺为载体，让渡信贷资金使用权给借款人(债务人)，并藉此拥有向借款人追索贷款本金和利息的一种经济权利。根据贷款契约的履行情况，商业银行的债权可分为正常债权和不良债权。就一笔贷款而言，如果该贷款能够按贷款契约规定的期限要求按时偿还本金和利息，那么该项债权就属于正常债权。否则，就属于不良债权范畴。“不良债权”是指按期很难收回或无法收回的贷款，即通常所说的呆账、坏账。(我国商业银行信贷风险形成原因分析—王红夏) 2.产生原因。 不良债权的产生主要来自于商业银行信贷经营管理水平低,其体现在以下方面：（1）银行对经营对象了解不深入,分析不透彻.信贷风险的产生与银行工作人员对贷款对象的了解程度有很大关系,在发放贷款前,没有对贷款对象进行深入调查,没有对其资产状况和偿还能力进行评估,就像对方贷款.这样做的后果是某些贷款人信用低,不具有偿还能力.而一些贷款单位管理水平低,经济效益差,导致其不具有偿还能力. （2)缺乏科学的可行性分析和项目评估.无论哪一种业务,事先都应进行可行性评估.对于银行来说,在贷款之前,应结合所掌握的资料进行科学的可行性评估.如果凭借决策者的主观经验进行决策贷款,无疑会产生信贷风险. （3)信息不灵.银行的任何一项决策,都应该建立在及时,可靠的信息上,并且贷款之后,也应跟踪调查贷款对象的最新信息,确保其具有偿还贷款的能力. （4）国家体制原因。我国的特殊的经济体制也会对银行的信贷风险的产生有一定影响.如行政干预,指令贷款会形成贷款风险.由于在计划经济下形成的政企不分的问题没有得到根本解决,银行的资金流向,投量的掌握在一定的程度上还政

商业银行流动性风险管理指引

商业银行流动性风险管理指引 （第2次征求意见稿） 第一章总则 第一条为加强商业银行的流动性风险管理，维护商业银行安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律和行政法规，制定本指引。 第二条在中华人民共和国境内设立的中资商业银行、外商独资银行、中外合资银行、外国银行分行适用本指引。 第三条本指引所称流动性风险是指商业银行虽然有清偿能力，但无法获得充足资金或无法以合理成本获得充足资金以应对资产增长或到期债务支付的风险。 流动性风险可以分为融资流动性风险和市场流动性风险。融资流动性风险是指商业银行在不影响日常经营或财务状况的情况下，无法有效满足资金需求的风险；市场流动性风险是指由于市场深度不足或市场动荡，商业银行无法以合理的市场价格出售资产以获得资金的风险。 第四条流动性风险管理是识别、计量、监测和控制流动性风险的全过程。商业银行应当坚持审慎性原则，充分识别、有效计量、持续监测和适当控制在各个业务环节中的流动性风险，确保商业银行无论在正常经营环境中还是在压力状态下，都有充足的资金应对资产的增长和到期债务的支付。 第五条中国银行业监督管理委员会（以下简称银监会）依法对商业银行的流动性风险和流动性风险管理实施监督管理。银监会综合运用多种监管手段，督促商业银行建立健全流动性风险管理架构，有效识别、计量、监测和控制流动性风险，维持充足的流动性水平以满足各种资金需求和应对不利的市场状况。当商业银行的流动性风险管理体系存在缺陷或者出现流动性风险时，银监会应当及时采取措施，最大限度地降低流动性风险对金融市场的影响，维护银行体系安全、稳健运行。 第二章：流动性风险管理体系 第六条流动性风险管理体系是商业银行风险管理体系的组成部分。流动性风险管理体系应当与本行总体发展战略和整体风险管理体系相一致，并与本行的规模、业务性质和复杂程度等相适应。商业银行实施流动性风险管理，应适当考虑流动性风险与其他风险的相关性，并协调流动性风险管理与其他类别风险管理

商业银行风险管理分析 ——以招商银行为例

学号： 1313115 结课论文 （2013 级） 题目：商业银行风险管理分析 ——以招商银行为例 课程名称：现代商业银行实务 院系：金融与贸易学院 班级：金融131班 姓名：牟雨 学号：1313115 完成日期：2015年11月21日

摘要 商业银行是以营利为目的的金融服务企业，其业务范围以吸收存款和发放贷款为主，还包括信托、租赁、保管、汇兑、咨询、代客理财等多项业务。商业银行以其机构众多、业务量大、辐射面广、资金雄厚而成为当今世界金融体系中最重要的组成部分。银行业是经营风险的行业，它的风险不同于一般行业，它的80%—90%的资产来自客户手中而非自有资产，一旦贷款过程中任何一个环节出现问题就会导致风险发生。 近年来，我国各商业银行在内控机制和风险管理体系的建设上进展迅速，尤其是对信用风险、市场风险和操作风险的识别和评估技术的参考和引用，但与国际先进金融机构相比，依然存有很大差距。对于我国商业银行而言，为了有利于其健康发展，增强其内外竞争力，尽快健全完善风险管理体系已经成为当前最重要和迫切的任务之一。本文从招商银行对信用风险、市场风险和操作风险管理的实际情况入手，分析其风险管理中的不足，从再造风险管理组织体系，提高全面风险管理技术，完善内控控制体系，推进流程再造几方面提出切实可行的对策。 关键词：信用风险；市场风险；操作风险；全面风险管理

Abstract Commercial banks are profit seeting financial services companies,whose scope of business is to absorb deposits and loans based, including trust, leasing, storage, exchange, consulting financialmanagement and many other services. Commercial bank with its many instiutions,thewide businessvolume and abundant capital,becomes the most are the important part in the world financial system.Banking is a business risk https://www.360docs.net/doc/87777568.html,mercial banks,as a special operating money businesss,its risk is different from most people,it's 80% - 90% of assets from the customer's hands,rather than its own asscts, if any one pary of the lending process will lead to the risk or problems occurred . In recent years, Chinese commercial banks have made rapid progress in construction of the internal control mechanism and also risk management especially identification and evaluation of credit risk,market risk and operational risk.However in comparison with the international advanced financial institutions,there is still a big gap.ForChina's commercial banks,in order to facilitate its healthy development,and enhance its internal and external competitiveness, improving risk management system has become the most important and urgent tasks.This article researched on reality of credit risk,market risk and operational risk management in China Merchant Bank,analyzed the shortcoming of risk management and then presented how to operate the risk management system and inprove the technology of comprehensive risk management and internal control. Key Words:Credit risk;market risk;operational risk;comprehensive risk;management

基金管理公司风险管理指引(试行)

基金管理公司风险管理指引（试行） 第一章总则 第一条为促进基金管理公司（以下简称公司）强化风险意识，增强风险防范能力，建立全面的风险管理体系，促进公司和行业持续、健康、稳定发展，保护投资者利益，根据基金相关法律法规和自律规则，制定本指引。 第二条本指引所称风险管理是指公司围绕总体经营战略，董事会、管理层到全体员工全员参与，在日常运营中，识别潜在风险，评估风险的影响程度，并根据公司风险偏好制定风险应对策略，有效管理公司各环节风险的持续过程。在进行全面风险管理时，公司应根据公司经营情况重点监测、防范和化解对公司经营有重要影响的风险。 第三条公司风险管理的目标是通过建立健全风险管理体系，确保经营管理合法合规、受托资产安全、财务报告和相关信息真实、准确、完整，不断提高经营效率，促进公司实现发展战略。 第四条公司风险管理应当遵循以下基本原则： （一）全面性原则。公司风险管理必须覆盖公司的所有部门和岗位，涵盖所有风险类型，并贯穿于所有业务流程和业务环节。

（二）独立性原则。公司应设立相对独立的风险管理职能部门或岗位，负责评估、监控、检查和报告公司风险管理状况，并具有相对独立的汇报路线。 （三）权责匹配原则。公司的董事会、管理层和各个部门应当明确各自在风险管理体系中享有的职权及承担的责任，做到权责分明，权责对等。 （四）一致性原则。公司在建立全面风险管理体系时，应确保风险管理目标与战略发展目标的一致性。 （五）适时有效原则。公司应当根据公司经营战略方针等内部环境和国家法律法规、市场环境等外部环境的变化及时对风险进行评估，并对其管理政策和措施进行相应的调整。 第五条公司应当建立合理有效的风险管理体系，包括完善的组织架构，全面覆盖公司投资、研究、销售和运营等主要业务流程、环节的风险管理制度，完备的风险识别、评估、报告、监控和评价体系，营造良好的风险管理文化。 第六条公司应当在维护子公司独立法人经营自主权的前提下，建立覆盖整体的风险管理和内部审计体系，提高整体运营效率和风险防范能力。 第二章风险管理的组织架构和职责 第七条公司应当构建科学有效、职责清晰的风险管理组织架构，建立和完善与其业务特点、规模和复杂程度相适应的风险管理体系，董事会、监事会、管理层依法履行职责，形成高效运

我国商业银行信贷风险管理的历史及现状

我国商业银行信贷风险历史、现状与成因分析 王斐 （河南平高东芝高压开关有限公司河南郑州 450000） 摘要：信贷风险管理是现代商业银行风险管理的核心内容。长期以来,信贷和存款是我国商业银行的主营业务,由此,信贷风险也就成为我国商业银行面临的主要风险。近年来,国有商业银行在强化信贷风险管理防范和化解信贷风险上取得显著的工作成绩和丰富的实践经验,信贷资产质量明显提高。但是，与西方发达国家相比,我国商业银行资产负债比例管理问题突出和信贷管理机制弊端显著,现行信贷风险管理制度中仍然存在着不少问题。因此，了解我国商业银行信贷风险的历史和现状，分析信贷风险产生的原因具有重要的理论与现实意义。 关键词：信贷风险历史现状成因分析 作者简介： 王斐，男，1979年7月16日，河南南阳人，中共党员，现任河南平高东芝高压开关有限公司财务部长。 一、我国商业银行信贷风险管理的历史 （一）商业银行信贷风险管理发展历程 从风险管理手段变迁的视角分析，商业银行信贷风险管理经历了限额管理、风险计量与分析、风险调整后的资本回报率以及积极的资产组合管理阶段。 1.限额管理阶段 限额管理是现代商业银行信贷风险管理发展的初级阶段。由于风险测量技术并不成熟，因此，风险限额是一个固定数值，该数值一般由信贷专家根据市场和企业情况，通过定性分析和简单的定量分析来设定，如“5C”法、“5P”法等1。 2.风险计量与分析阶段 随着风险测量技术的发展，在限额管理的基础上，风险管理迈入了风险计量与分析阶段。在此阶段中，风险管理的目标是给出各项信贷业务风险的定量值，在此基础上控制风险。 3.风险调整后的资本回报率阶段 风险管理的更高阶段是风险调整后的资本回报率管理。以风险调整后的资本回报率（RAROC）为核心的管理技术的应用，可以让商业银行逐步建立注重风险与收益之间的平衡关系的管理文化，让这种管理文化渗透到每个员工的思想和日 1“5C”要素分析法主要集中从借款人的道德品质(Character)、还款能力（Capacity）、资本实力（Capital）、担保（Collateral）和经营环境条件（Condition）五个方面进行全面的定性分析，以判别借款人的还款意愿和还款能力。“5P”要素分析法即个人因素（Personal）、借款目的（Purpose）、偿还（Payment）、保障（Protection）和前景(prospect)。

商业银行风险管理指引

商业银行市场风险管理指引 （征求意见稿） 第一章总则 第一条为加强商业银行的市场风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》以及其他有关法律和行政法规，制定本指引。 第二条本指引所称商业银行是指在中华人民共和国境内依法设立的商业银行，包括中资商业银行、外资独资银行和中外合资银行。 第三条本指引所称市场风险是指因市场价格 - 利率、汇率、股票价格和商品价格–的不利变动而使银行表内和表外业务发生损失的风险。市场风险存在于银行的交易和非交易业务中。 市场风险可以分为利率风险、汇率风险（包括黄金）、股票价格风险和商品价格风险，分别是指由于利率、汇率、股票价格和商品价格的不利变动所带来的风险。利率风险按照来源的不同，可以分为重新定价风险、收益率曲线风险、基准风险和期权性风险。 前款所称商品是指可以在二级市场上交易的某些实物产品，如农产品、矿产品（包括石油）和贵金属（不包括黄金）等。

第四条市场风险管理是识别、计量、监测和控制市场风险的全过程。市场风险管理的目标是通过将市场风险控制在商业银行可以承受的合理范围内，实现经风险调整收益率的最大化。 商业银行应当充分识别、准确计量、持续监测和适当控制所有交易和非交易业务中的市场风险，确保在合理的市场风险水平之下安全、稳健经营。商业银行所承担的市场风险水平应当与其市场风险管理能力和资本实力相匹配。 为了确保有效实施市场风险管理，商业银行应当将市场风险的识别、计量、监测和控制与全行的战略规划、业务决策和财务预算等经营管理活动进行有机结合。 第五条中国银行业监督管理委员会（以下简称中国银监会）对商业银行的市场风险水平和市场风险管理进行监管。中国银监会应当督促商业银行有效地识别、计量、监测和控制各项业务所承担的各类市场风险。 第二章市场风险管理 第六条商业银行应当按照本指引要求，建立与本行的业务性质、规模和复杂程度相适应的、完善、可靠的市场风险管理体系。市场风险管理体系包括如下基本要素：（一）董事会和高级管理层的有效监控； （二）完善的市场风险管理政策和程序； （三）完善的市场风险识别、计量、监测和控制程序；

考试题库：银行业金融机构全面风险管理指引试题

考试题库：《银行业金融机构全面风险管理指引》试题（全部为多选） 1、《银行业金融机构全面风险管理指引》中所列风险包括（）：答案ABCDE A 信用风险 B 市场风险 C 国别风险 D 银行账户利率风险、 E声誉风险 2、银行业金融机构全面风险管理应当遵循以下基本原则（）答案ABD A 匹配性原则 B 全覆盖原则 C 相关性原则 D 独立性原则 3、银行业金融机构全面风险管理体系应当包括但不限于( )：答案ABCDE A 风险治理架构 B 风险管理策略、风险偏好和风险限额 C 风险管理政策和程序 D管理信息系统和数据质量控制机制 E内部控制和审计体系。 4、银行业金融机构董事会承担全面风险管理的最终责任，履行以下职责（）：答案ACDE A 建立风险文化； B 制定发展战略； C 设定的风险偏好和风险限额； D 审批风险管理政策和程序； E 监督高级管理层开展全面风险管理；

5、银行业金融机构高级管理层承担全面风险管理的实施责任，执行董事会的决议，应当履行以下职责（）：ABCDE A 建立适应全面风险管理的经营管理架构，明确全面风险管理职能部门、业务部门以及其他部门在风险管理中的职责分工，建立部门之间有效制衡、相互协调的运行机制 B 制定清晰的执行和问责机制，确保风险偏好、风险管理策略和风险限额得到充分传达和有效实施 C 评估全面风险和各类重要风险管理状况并向董事会报告 D 建立完备的管理信息系统和数据质量控制机制 E 对突破风险偏好、风险限额以及违反风险管理政策和程序的情况进行监督，根据董事会的授权进行处理 6、银行业金融机构应当设立或者指定部门负责全面风险管理，牵头履行全面风险的日常管理，包括但不限于以下职责（）答案ABC A 实施全面风险管理体系建设，牵头协调各类具体风险管理部门 B 识别、计量、评估、监测、控制或缓释全面风险和各类重要风险，及时向高级管理人员报告 C 持续监控风险偏好、风险管理策略、风险限额及风险管理政策和程序的执行情况，对突破风险偏好、风险限额以及违反风险管理政策和程序的情况及时预警、报告并提出处理建议 D 实施全面资本风险管理 7、风险限额应当综合考虑( )。答案BCD A 交易对手B风险集中度C 流动性D资本