GB/T 42422-2023 金融机构风险管理 框架

　　ICS 3 . 06 CCS A 1 1

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 42422—2023

　　金融机构风险管理 框架

　　Financial institution risk management—Framework

　　2023-03-17 发布 2023-03-17 实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 42422—2023

　　目 次

　　前言 I

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 基本要求 1

　　5 风险管理原则 1

　　5 . 1 匹配性原则 1

　　5 . 2 全覆盖原则 1

　　5 . 3 独立性原则 1

　　5 . 4 有效性原则 2

　　5 . 5 预见性原则 2

　　5 . 6 合规性原则 2

　　5 . 7 最小影响原则 2

　　6 风险管理框架 2

　　6 . 1 风险治理架构 2

　　6 . 2 风险管理策略、风险偏好和风险限额 2

　　6 . 3 风险管理政策和程序 3

　　6 . 4 压力测试 3

　　6 . 5 风险管理信息系统和数据质量 4

　　6 . 6 内部控制和内部审计 4

　　6 . 7 应急机制 5

　　参考文献 6

　　GB/T 42422—2023

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规定起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由全国金融标准化技术委员会(SAC/TC180)提出并归口 。

　　本文件起草单位:中国标准化研究院 、中国金融教育发展基金会 、北京基金小镇管理委员会 、中金金融认证中心有限公司 、中央财经大学 、中国农业银行股份有限公司 、交通银行股份有限公司 、中国工商银行股份有限公司 、中国银行股份有限公司 、中国银行业协会 、北京金融信息化研究所有限责任公司 、中国建设银行股份有限公司 、国泰君安证券股份有限公司 、上海市信息安全测评认证中心 、清华大学 。

　　本文件主要起草人:黄帅 、杨子强 、王微微 、李晓慧 、周一晨 、卫安已 、谢宗晓 、李健 、王辉 、苟琴 、郭剑光 、姜富伟 、陈颖 、吴锴 、史秀红 、谢婷 、徐弘熙 、黄一朕 、王珣 、李宽 、杨希 、李琳 、边鹏 、俞枫 、李宏达 、王博璐 、邬大港 。

　　I

　　GB/T 42422—2023

　　金融机构风险管理 框架

　　1 范围

　　本文件规定了金融机构风险管理基本要求 , 确立了风险管理原则和风险管理框架等 。

　　本文件适用于金融机构风险管理体系建设和实务 。地方金融组织可参考本文件开展风险管理体系建设和风险管理实务 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 , 仅该日期对应的版本适用于本文件;不注日期的引用文件 , 其最新版本(包括所有的修改单)适用于本文件 。

　　GB/T 42339—2023 金融机构风险管理 术语

　　3 术语和定义

　　GB/T 42339—2023 界定的术语和定义适用于本文件 。

　　4 基本要求

　　金融机构应建立健全风险管理体系 , 制定风险管理策略 , 运用风险管理方法和工具 , 根据自身的风险偏好 , 控制和管理所承担的信用风险 、市场风险 、流动性风险 、操作风险 、国别风险 、声誉风险 、战略风险 、信息科技风险 、合规风险 、银行账簿利率风险 、保险风险 、交叉性金融风险 、信息安全风险 、行为风险等各类风险 , 定期对风险管理体系进行评估 , 根据评估结果改进风险管理工作 。

　　5 风险管理原则

　　5 . 1 匹配性原则

　　风险管理与金融机构的风险状况和系统重要性等相适应 , 并根据环境变化进行调整 。

　　5 . 2 全覆盖原则

　　风险管理覆盖金融机构所有业务 , 所有分支机构 、附属机构 、部门 、岗位和人员 , 所有风险种类和不同风险之间的相互影响 , 贯穿包括决策 、执行和监督在内的全部管理环节 , 加强金融机构与股东和实际控制人等之间的关联交易管理 , 防范道德风险 。

　　5 . 3 独立性原则

　　风险管理组织架构独立于其他业务条线 , 赋予风险管理条线足够的授权 、人力资源及其他资源配置 , 建立科学合理的报告渠道 。

　　1

　　GB/T 42422—2023

　　5 . 4 有效性原则

　　风险管理的结果应用于金融机构的经营管理,根据风险状况 、市场和宏观经济情况评估资本和流动性的充足性,有效抵御所承担的总体风险和各类风险。

　　5 . 5 预见性原则

　　强化风险预测分析,合理预见各种可能出现的风险,协调各项业务发展。

　　5 . 6 合规性原则

　　遵循国家相关政策和标准开展风险管理工作。

　　5 . 7 最小影响原则

　　风险管理活动对业务系统正常运行的可能影响降到最低限度,保障业务系统的稳定运行。

　　6 风险管理框架

　　6 . 1 风险治理架构

　　6 . 1 . 1 金融机构应建立组织架构健全 、职责边界清晰的风险治理架构,明确董事会 、监事会 、高级管理层 、业务部门 、风险管理部门和内审部门在风险管理中的职责分工。

　　6 . 1 . 2 金融机构应确定业务部门承担风险管理的直接责任,风险管理部门承担制定风险管理政策和流程,监测和管理风险的责任,内审部门承担业务部门和风险管理部门履职情况的审计责任。

　　6 . 1 . 3 金融机构应建立风险管理策略 、设定风险偏好和风险限额,建立多层次 、相互协调 、有效制衡的运行机制,确保风险管理策略 、风险偏好和风险限额得到充分传达和有效实施,且定期评估,必要时优化和调整。 金融机构应赋予风险管理职能部门和各类风险管理部门充足的资源 、独立性和授权。

　　6 . 1 . 4 金融机构应采取定性和定量相结合的方法,识别 、分析 、评估 、计量 、监测 、报告 、控制或缓释所承担的各类风险,并考虑不同风险的关联性,审慎评估风险之间的相互影响,防范跨境 、跨业风险。

　　6 . 2 风险管理策略 、风险偏好和风险限额

　　6 . 2 . 1 风险管理策略

　　金融机构应制定清晰的风险管理策略,至少每年评估一次风险管理策略以判定其有效性。 风险管理策略应反映风险偏好 、风险状况及外部环境变化,并在机构内部得到充分传导和理解。

　　6 . 2 . 2 风险偏好

　　金融机构应结合战略目标 、经营计划 、资本规划 、绩效考评和薪酬机制等制定风险偏好。 定期对风险偏好进行评估,风险偏好应涵盖以下内容 :

　　a) 战略目标和经营计划的制定依据,风险偏好与战略目标 、经营计划的关联性 ;

　　b) 为实现战略目标和经营计划愿意承担的风险总量 ;

　　c) 愿意承担的各类风险的最大水平 ;

　　d) 风险偏好的定量指标,或难以量化风险偏好的定性描述 ;

　　e) 资本 、流动性抵御总体风险和各类风险的水平 ;

　　f) 风险偏好的调整机制和处置方法 ;

　　g) 其他需要权衡风险才能做出决策的事宜。

　　2

　　GB/T 42422—2023

　　6 . 2 . 3 风险限额

　　金融机构应综合考虑资本 、风险集中度 、流动性 、交易 目标等因素,制定风险限额管理的政策和程序,建立风险限额的设定和调整 、超限额的报告和处理机制。

　　6 . 3 风险管理政策和程序

　　金融机构的风险管理政策和程序应涵盖以下内容 :

　　a) 风险管理的方法,包括各类风险的识别 、分析 、评估 、计量 、监测 、报告 、控制或缓释,风险加总的方法和程序 ;

　　b) 压力测试安排 ;

　　c) 新产品 、重大业务和机构变更的风险评估 ;

　　d) 资本和流动性充足情况评估 ;

　　e) 应急计划 、恢复计划 ;

　　f) 反洗钱和反恐怖融资 ;

　　g) 信息科技风险的防范 ;

　　h) 关联交易行为规范和关联交易风险的防范 ;

　　i) 声誉风险的防范与化解 ;

　　j) 其他涉及风险相关的流程。

　　6 . 4 压力测试

　　6 . 4 . 1 基本要求

　　金融机构应建立与规模 、业务复杂程度和风险状况相适应的压力测试体系,根据环境变化进行调整,并将其纳入各个层次的风险管理活动。 压力测试体系组成如下 :

　　a) 治理结构 ;

　　b) 政策文档 ;

　　c) 方法流程 ;

　　d) 情景设计 ;

　　e) 保障支持 ;

　　f) 验证评估。

　　6 . 4 . 2 压力测试流程

　　完整的压力测试包括以下流程 :

　　a) 定义测试目标 ;

　　b) 确定风险因素 ;

　　c) 设计压力情景 ;

　　d) 收集测试数据 ;

　　e) 设定假设条件 ;

　　f) 确定测试方法 ;

　　g) 进行压力测试 ;

　　h) 测试结果分析 ;

　　i) 确定潜在风险和脆弱环节 ;

　　j) 汇报测试结果 ;

　　3

　　GB/T 42422—2023

　　k) 采取改进措施。

　　6 . 4 . 3 压力测试实施

　　金融机构应定期开展全面的压力测试,压力测试应涵盖各类主要风险和表内外各个主要业务领域,并充分考虑各项业务间的相互作用和反馈效应,以及风险因子与承压指标间可能存在的非线性关系,整合各类风险的压力测试结果,据此反映金融机构风险的整体情况。

　　6 . 5 风险管理信息系统和数据质量

　　6 . 5 . 1 风险管理信息系统

　　金融机构应建立与风险偏好 、业务规模 、风险状况等匹配的风险管理信息系统,利用大数据 、人工智能等技术优化各类风险管理信息系统,将数字化风控工具嵌入业务流程,计量 、评估 、监测 、报告所有风险类别 、产品和交易对手风险暴露的规模和构成。 风险管理信息系统主要功能如下 :

　　a) 支持识别 、计量 、评估 、监测和报告所有类别的重要风险 ;

　　b) 支持风险限额管理,对超出风险限额的情况进行实时监测 、预警和控制 ;

　　c) 能够计量 、评估和报告所有风险类别 、产品和交易对手的风险状况,满足全面风险管理需要 ;

　　d) 支持按照业务条线 、机构 、资产类型 、行业 、地区 、集中度等多个维度展示和报告风险暴露情况 ;

　　e) 支持不同频率的定期报告和压力情况下的数据加工及风险加总需求 ;

　　f) 支持压力测试工作,评估各种不利情景对金融机构及主要业务条线的影响。

　　6 . 5 . 2 数据质量

　　金融机构应建设与业务规模 、风险状况等相匹配的信息科技基础设施,健全数据质量控制体系,积累真实 、准确 、连续 、完整的内部和外部数据,用于风险识别 、计量 、评估 、监测 、报告,以及资本和流动性充足情况的评估,通过数据能力建设保证数据质量,具体内容如下。

　　a) 健全数据治理体系。 制定大数据发展战略,成立数据管理部门,发挥数据治理体系建设组织推动和管理协调作用,加强业务条线数据团队建设。 完善数据治理制度,运用科技手段推动数据治理系统化 、自动化和智能化。 完善考核评价机制,强化数据治理检查 、监督与问责。

　　b) 增强数据管理能力。 构建覆盖全生命周期的数据资产管理体系,优化数据架构,加强数据资产积累。 建立大数据平台,全面整合内外部数据,实现全域数据的统一管理 、集中开发和融合共享 。加强数据权限管控,完善数据权限审核规则和机制。

　　c) 加强数据质量控制。 对数据源头管理,建设以数据认责为基础的数据质量管控机制。 建立数据标准体系,强化共用数据和基础性数据管理。

　　d) 提升数据应用能力。 加强数据在业务经营 、风险管理 、内部控制中的应用,提高数据加总能力,激活数据要素潜能。 提高大数据分析对实时业务应用 、风险监测 、管理决策的支持能力。加强对数据应用全流程的效果评价。

　　6 . 6 内部控制和内部审计

　　6 . 6 . 1 内部控制

　　金融机构应建立内部控制制度体系,对各项业务活动和管理活动制定全面 、系统 、规范的业务制度和管理制度,并定期进行评估。 内部控制主要包括内部环境 、风险评估 、控制活动 、内部监督 、信息和沟通等要素,具体如下 :

　　a) 内部环境包括治理结构 、机构设置及权责分配 、内部审计 、人力资源政策 、企业文化等 ;

　　b) 风险评估包括设置目标 、风险识别 、风险分析等 ;

　　4

　　GB/T 42422—2023

　　c) 控制活动包括不相容职务分离控制 、授权审批控制 、会计系统控制 、财产保护控制 、预算控制 、运营分析控制和绩效考评控制 ;

　　d) 内部监督包括监督活动 、缺陷认定和责任追究 ;

　　e) 信息和沟通包括信息收集 、信息传递 、信息共享和反舞弊机制。

　　6 . 6 . 2 内部审计

　　内部审计应独立于业务经营 、风险管理和合规管理,并对业务经营 、风险管理和合规管理的有效性实施评价,遵循独立性 、客观性原则,不断提升内部审计人员的专业能力和职业操守。 内部审计事项包括 :

　　a) 公司治理的健全性和有效性 ;

　　b) 经营管理的合规性和真实性 ;

　　c) 内部控制的适当性和有效性 ;

　　d) 风险管理的全面性和有效性 ;

　　e) 会计记录及财务报告的完整性和准确性 ;

　　f) 信息系统的持续性 、可靠性和安全性 ;

　　g) 机构运营 、绩效考评 、薪酬管理和高级管理人员履职情况 ;

　　h) 监管部门监督检查发现问题的整改情况及监管部门指定项目的审计工作 ;

　　i) 消费者权益保护机制健全性和有效性 ;

　　j) 其他需要进行审计的事项。

　　6 . 7 应急机制

　　金融机构应针对重大风险和突发事件建立风险应急机制,明确应急触发条件 、风险处置的组织体系 、措施 、方法和程序,并通过压力测试 、应急演练等机制进行持续改进。

　　5

　　GB/T 42422—2023

　　参 考 文 献

　　[1] JR/T 0238 . 1—2021 金融从业规范 风险管理

　　[2] ISO 31000 Risk management—Guidelines

　　[3] ISO 37000:2021 Governance of organizations—Guidance

　　[4] ISO 37301 :2021 compliance management systems—Requirements with guidance for use

　　[5] ISO 8000-1 :2022 Data quality—part 1 : Overview

　　[6] 银行业金融机构全面风险管理指引(银监发Γ2016〕44 号)

　　[7] 商业银行内部控制指引(银监发Γ2014〕40 号)

　　[8] 商业银行内部审计指引(银监发Γ2016〕12 号)

　　[9] 银行保险机构公司治理准则(银保监发Γ2021〕14 号)

　　[10] 商业银行压力测试指引(银监发Γ2014〕49 号)

　　[11] 银行保险机构关联交易管理办法(银保监发Γ2022〕1 号)

　　[12] 银行保险机构声誉风险管理办法(试行)(银保监发Γ2021〕4 号)

　　[13] 银行保险机构信息科技外包风险监管办法(银保监发Γ2021〕141 号)

　　[14] 保险公司风险管理指引(试行)(保监发Γ2007〕23 号)

　　[15] 中国第二代偿付能力监管制度体系整体框架(保监发Γ2013〕42 号)

　　[16] 保险公司偿付能力监管规则( " )(银保监发Γ2021〕51 号)

　　[17] 保险公司内部控制基本准则(保监发Γ2010〕69 号)

　　[18] 保险公司内部审计指引(试行)(保监发Γ2007〕26 号)

　　[19] 证券公司全面风险管理规范(中证协发Γ2014〕36 号)

　　[20] 证券公司风险控制指标管理办法 (证监会令第 34 号)

　　[21] 金融控股公司监督管理试行办法(中国人民银行令Γ2020〕第 4 号)

　　[22] 汽车金融公司管理办法[中国银行业监督管理委员会令(2003 年第 4 号)]

　　[23] 金融机构反洗钱和反恐怖融资监督管理办法(中国人民银行令Γ2021〕第 3 号)

　　[24] Guidance on Supervisory Interaction with Financial Institutions on Risk culture : A Framework for Assessing Risk culture(FSB)

　　[25] principles for an Effective Risk Appetite Framework(FSB)

　　[26] Enterprise Risk Management—Integrating with Strategy and performance (2017)

　　[27] Risk Management Framework Asian Infrastructure Investment Bank(2019)

　　[28] 李扬 . 金融学大辞典[M] . 北京:中国金融出版社 , 2014

　　[29] 巴塞尔委员会 . 第三版巴塞尔协议:改革最终方案[M] . 中国银行保险监督管理委员会 ,译 . 北京:中国金融出版社 , 2020

　　6