银行业金融机构数据治理指引

银行业金融机构信息科技外包风险监管指引中国银行业监督管理委员会银监发［202115号中国银监会关丁 -印发银行业金融机构信息科技外包风险监管指引的通知各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，邮储银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：现将《银行业金融机构信息科技外包风险监管指引》印发给你们，请遵照执行。

2021年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（口治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由口身负贵处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包：（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，口助设备、POS机等远程终端及办公设备的运维外包：（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处❷Z等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展：（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断：（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

银行业金融机构外部审计监管指引近年来，金融行业的发展进入了一个崭新的阶段。

随着金融体系的日益完善，金融化管理的不断推进，金融监管的趋严和金融治理的逐步完善，金融机构的稳健运营就变得至关重要。

为了保证金融机构的运营安全和稳定，银行业金融机构外部审计监管指引应运而生。

一、外部审计监管的定义与必要性外部审计监管是金融机构进行业务和财务审计时，由审计机构对该金融机构进行审计监管，以保证该金融机构业务的合规性和财务的真实性。

外部审计监管的实施，对于提高金融机构的安全性和稳定性，建立完善的金融监管体系，打造透明的金融市场，保护投资者的利益具有重要意义。

在当前金融市场，金融机构的业务和财务数据都很复杂。

这些数据需要有专业领域的专业知识和技能来进行监督和核查。

而外部审计监管的实施，则可以为金融机构提供更为专业和全面的监督和服务。

通过外部审计监管，银行业金融机构可以及时发现问题，规避金融风险，进而保证金融机构的稳健运营。

二、银行业金融机构外部审计监管指引的要点在银行业金融机构外部审计监管指引中，主要包括以下要点：1. 确定审计项目和审计领域审计机构应根据金融机构的业务和财务情况，确定审计项目和审计领域。

审计项目包括资产负债表、利润表、现金流量表等，审计领域包括系统内部控制、内部审计、风险管理、合规性等。

2. 编制审计计划和程序审计机构应根据审计领域和审计项目，编制相应的审计计划和程序。

对于前期工作，需要了解该金融机构的许多重要信息，包括业务流程、系统、组织架构、风险防范等等，来为审计计划和程序的制定提供依据。

3. 审计证据的获取和分析审计机构应通过采取相应的审计程序及根据审计计划，获取与其审计项目相关的证据，同时对证据进行分析和评价，从而进一步发现异常情况，如财务舞弊、金融风险和合规性问题等。

4. 编制审计报告审计机构应根据审计结果，编制审计报告。

审计报告应该详细记录审计的过程、方法、发现的问题及其原因、对问题的后续处理等内容。

银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营治理和内部操纵过程中产生的风险，促进我国银行业安全、连续、稳健运行，依照《中华人民共和国银行业监督治理法》、国家信息安全相关要求和信息系统治理的有关法律法规，制定本指引。

第二条本指引适用于银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、都市信用合作社、农村合作银行、农村信用合作社等吸取公众存款的金融机构以及政策性银行。

在中华人民共和国境内设立的金融资产治理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督治理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。

第三条本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营治理和内部操纵的系统。

第四条本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、爱护、监控及退出过程中由于技术和治理缺陷产生的操作、法律和声誉等风险。

第五条信息系统风险治理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评判、预警和操纵，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可连续进展能力。

第二章机构职责第六条银行业金融机构应建立有效的信息系统风险治理架构，完善内部组织结构和工作机制，防范和操纵信息系统风险。

第七条银行业金融机构应认真履行下列信息系统治理职责：（一）贯彻执行国家有关信息系统治理的法律、法规和技术标准，落实银监会相关监管要求；（二）建立有效的信息安全保证体系和内部操纵规程，明确信息系统风险治理岗位责任制度，并监督落实；（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的治理信息；（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险治理的年度报告；（六）做好本机构信息系统审计工作；（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；（九）开展与信息系统风险治理相关的其他工作。

中国银监会关于印发《银行业金融机构全面风险管理指引》的通知银监发〔2016〕44号各银监局，各政策性银行、大型银行、股份制银行，邮储银行，外资银行，金融资产管理公司，其他会管金融机构：现将《银行业金融机构全面风险管理指引》印发给你们，请遵照执行。

2016年9月27日（此件发至银监分局与地方法人银行业金融机构）银行业金融机构全面风险管理指引第一章总则第一条为提高银行业金融机构全面风险管理水平，促进银行业体系安全稳健运行，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条本指引适用于在中华人民共和国境内依法设立的银行业金融机构。

本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。

第三条银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。

各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

银行业金融机构的全面风险管理体系应当考虑风险之间的关联性，审慎评估各类风险之间的相互影响，防范跨境、跨业风险。

第四条银行业金融机构全面风险管理应当遵循以下基本原则：（一）匹配性原则。

全面风险管理体系应当与风险状况和系统重要性等相适应，并根据环境变化进行调整。

（二）全覆盖原则。

全面风险管理应当覆盖各个业务条线，包括本外币、表内外、境内外业务；覆盖所有分支机构、附属机构，部门、岗位和人员；覆盖所有风险种类和不同风险之间的相互影响；贯穿决策、执行和监督全部管理环节。

（三）独立性原则。

银行业金融机构应当建立独立的全面风险管理组织架构，赋予风险管理条线足够的授权、人力资源及其他资源配置，建立科学合理的报告渠道，与业务条线之间形成相互制衡的运行机制。

（四）有效性原则。

数据治理六要素引⾔：帆软作为全球数据分析和商业智能平台提供商，这⼏年深刻的感受到了全球数据应⽤的热潮，但是随着越来越多的客户开始实施并⼴泛应⽤BI系统，数据治理的话题也在最近被越来越多地提及和讨论。

过去的⼗年，银⾏的IT系统经历了数据量⾼速膨胀的时期，这些海量的、分散在不同⾓落的异构数据导致了数据资源的价值低、应⽤难度⼤等问题。

同时，银⾏内部的业务条线或⾏政分化也在不断地制造着银⾏数据交互的断层，⽽银⾏与外部业务交互所产⽣的“体外循环”数据与企业的核⼼数据体系并不能⾃然地融合，这个时候数据治理体系建设可能不是银⾏的⼀个选择，⽽是唯⼀的出路。

数据治理规划在长期对客户的FineBI商业智能项⽬的跟踪过程中我们发现，往往只有那些建⽴了⼀定的数据治理体系的客户，才能真正的将商业智能⽤起来，⽤户才能真正进⼊商业智能时代。

这个问题在银⾏等⾦融机构内显得尤为突出，银⾏数据向来以量⼤质优⽽著称，但是实际情况是它⽐其他⾏业好⼀些，但是长期以来也缺乏数据治理的体系化建设，导致商业智能价值链受阻。

要想在数字化转型中抓住机遇，银⾏的数据治理体系建设势在必⾏。

数据治理是⼀个系统⼯程，是⼀个从上⾄下指导，从下⽽上推进的⼯作。

因此，在指导⽅⾯必须得到⼤家的共识，要有⼀个强有⼒的组织、合理的章程、明确的流程、健壮的系统，这样才能使数据治理⼯作得到有效的保障。

要素⼀：发展战略⽬标战略是选择和决策的集合，共同绘制出⼀个⾼层次的⾏动⽅案，以实现更⾼层次⽬标。

数据战略是企业发展战略中的重要组成部分，是数据管理计划的战略，是保持和提⾼数据质量、完整性、安全性和存取的计划，是指导数据治理的最⾼原则。

数据治理是否与企业发展战略相吻合也是衡量数据治理体系实施是否成熟、是否成功的重要标准。

要在企业发展战略框架下，建⽴数据治理的战略⽂化，包括企业⾼层领导对数据治理的重视程度、所能提供的资源、重⼤问题的协调能⼒，以及对数据治理⽂化的宣传推⼴、培训教育等⼀系列措施。

银行业金融机构信息科技外包风险监管指引精品文档--------------------------精品文档，可以编辑修改，等待你的下载，管理，教育文档--------------------------------------------------------------------------------------------------------------------------------------------------------------- 中国银行业监督管理委员会银监发[2013]5号中国银监会关于印发银行业金融机构信息科技外包风险监管指引的通知各银监局～各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司～邮储银行～各省级农村信用联社～银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:现将《银行业金融机构信息科技外包风险监管指引》印发给你们～请遵照执行。

2013年2月16日银行业金融机构信息科技外包风险监管指引第一章总则第一条为规范银行业金融机构的信息科技外包活动～降低信息科技外包风险～根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规～制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业--------------------------精品文档，可以编辑修改，等待你的下载，管理，教育文档---------------------- ----------------------------------------------------------------------------------------------------------------------------------------------精品文档--------------------------精品文档，可以编辑修改，等待你的下载，管理，教育文档--------------------------------------------------------------------------------------------------------------------------------------------------------------- 银行、农村合作银行、省,自治区,农村信用社联合社适用本指引。

《银行业金融机构全面风险管理指引》要点（2）内容取自银监会网站•银行业金融机构应当在集团和法人层面对各附属机构、分支机构、业务条线，对表内和表外、境内和境外、本币和外币业务涉及的各类风险，进行识别、计量、评估、监测、报告、控制或缓释。

•银行业金融机构应当制定每项业务对应的风险管理政策和程序。

未制定的，不得开展该项业务。

•银行业金融机构应当有效评估和管理各类风险。

对能够量化的风险，应当通过风险计量技术，加强对相关风险的计量、控制、缓释；对难以量化的风险，应当建立风险识别、评估、控制和报告机制，确保相关风险得到有效管理。

•银行业金融机构应当建立风险统一集中管理的制度，确保全面风险管理对各类风险管理的统领性、各类风险管理与全面风险管理政策和程序的一致性。

•银行业金融机构应当建立风险加总的政策、程序，选取合理可行的加总方法，充分考虑集中度风险及风险之间的相互影响和相互传染，确保在不同层次上和总体上及时识别风险。

•银行业金融机构采用内部模型计量风险的，应当遵守相关监管要求，确保风险计量的一致性、客观性和准确性。

董事会和高级管理层应当理解模型结果的局限性、不确定性和模型使用的固有风险。

•银行业金融机构应当建立全面风险管理报告制度，明确报告的内容、频率和路线。

•报告内容至少包括总体风险和各类风险的整体状况；风险管理策略、风险偏好和风险限额的执行情况；风险在行业、地区、客户、产品等维度的分布；资本和流动性抵御风险的能力。

•银行业金融机构应当建立压力测试体系，明确压力测试的治理结构、政策文档、方法流程、情景设计、保障支持、验证评估以及压力测试结果运用。

•银行业金融机构应当定期开展压力测试。

压力测试的开展应当覆盖各类风险和表内外主要业务领域，并考虑各类风险之间的相互影响。

压力测试结果应当运用于银行业金融机构的风险管理和各项经营管理决策中。

•银行业金融机构应当建立专门的政策和流程，评估开发新产品、对现有产品进行重大改动、拓展新的业务领域、设立新机构、从事重大收购和投资等可能带来的风险，并建立内部审批流程和退出安排。

中国人民银行关于发布金融行业标准加强金融业数据
能力建设的通知
文章属性
•【制定机关】中国人民银行
•【公布日期】2021.02.09
•【文号】银发〔2021〕42号
•【施行日期】2021.02.09
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】金融其他规定
正文
中国人民银行关于发布金融行业标准加强金融业数据能力建
设的通知
银发〔2021〕42号中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行；国家开发银行，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行；各证券公司、基金公司、期货公司、私募投资基金管理机构；各保险集团(控股)公司、保险公司、保险资产管理公司；中国银联股份有限公司、中国支付清算协会、中国互联网金融协会、网联清算有限公司；各非银行支付机构：
《金融业数据能力建设指引》(JR／T 0218—2021)金融行业标准已经全国金融标准化技术委员会审查通过，现予以发布。

各单位要结合实际将数据能力建设纳入本单位中长期发展战略并定期开展评估，秉持“用户授权、安全合规、分类施策、最小够用、可用不可见”原则，建立长效工作机制，制定工作表、路线图，切实将数据治理好、应用好、保护好。

请人民银行副省级城市中心支行以上分支机构将本通知告知辖区内分支机构和金融机构。

联系人及电话：科技司程胜010—66194754
郭栋010—66199232
附件：金融业数据能力建设指引附件预览
中国人民银行
2021年2月9日。

银行业金融机构信息科技外包风险监管指引（银监发…2013‟5号 2013年2月16日）第一章总则第一条为规范银行业金融机构的信息科技外包活动，降低信息科技外包风险，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规，制定本指引。

第二条在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、省（自治区）农村信用社联合社适用本指引。

银监会监管的其他金融机构参照本指引执行。

第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给服务提供商进行处理的行为，包含项目外包、人力资源外包等形式。

原则上包括以下类型：（一）研发咨询类外包：科技管理及科技治理等咨询设计外包，规划、需求、系统开发、测试外包；（二）系统运行维护类外包：包括数据中心（灾备中心）、机房配套设施、网络、系统的运维外包，自助设备、POS机等远程终端及办公设备的运维外包；（三）业务外包中的信息科技活动：市场拓展、业务操作、企业管理、资产处臵等外包中的系统开发、运行维护和数据处理活动。

第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。

第五条信息科技外包可能产生如下风险，并导致银行业金融机构的战略、声誉、合规风险：（一）科技能力丧失：银行业金融机构过度依赖外部资源导致失去科技控制及创新能力，影响业务创新与发展；（二）业务中断：支持业务运营的外包服务无法持续提供导致业务中断；（三）信息泄露：包含客户信息在内的银行业金融机构非公开数据被服务提供商非法获得或泄露；（四）服务水平下降：由于外包服务质量问题或内外部协作效率低下，使得银行业金融机构信息科技服务水平下降。

第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集中交由少量服务提供商承接而产生的风险，该风险可能造成集中性的服务中断、质量下降、安全事件等。

第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。