银行业金融机构全面风险管理指引的通知

1. 银行业金融机构外包风险管理指引是否现行有效

有效，但是不如银行自己培养几个有风险管理能力的人，这样也能提高银行抗风险的能力，不受制于外包机构

2. 银行业金融机构国别风险管理指引的附件2：国别风险评估因素

（一）政治稳定性
（二）政治力量平衡性
（三）政体成熟程度
（四）地缘政治与外交关系状况 （一）宏观经济运行情况
1.经济增长水平、模式和可持续性；
2.通货膨胀水平；
3.就业情况；
4.支柱产业状况。
（二）国际收支平衡状况
1.经常账户状况和稳定性；
2.国外资本流入情况；
3.外汇储备规模。
（三）金融指标表现
1.货币供应量；
2.利率；
3.汇率。
（四）外债结构、规模和偿债能力
（五）政府财政状况
（六）经济受其他国家或地区问题影响的程度
（七）是否为国际金融中心，主要市场功能、金融市场基础设施完备程度和监管能力 （一）金融体系
1.金融系统发达程度；
2.金融系统杠杆率和资金来源稳定性；
3.金融发展与实体经济匹配性；
4.银行体系增长情况，私人部门信贷增长情况。
（二）法律体系
（三）投资政策
（四）遵守国际法律、商业、会计和金融监管等标准情况，以及信息透明度
（五）政府纠正经济及预算问题的意愿和能力 （一）社会文明程度和文化传统
（二）宗教民族矛盾
（三）恐怖主义活动
（四）其他社会问题，包括但不限于犯罪和治安状况、自然条件和自然灾害、疾病瘟疫等

3. 银行业金融机构信息系统风险管理指引的介绍

此文件已废除，新文件《商业银行信息科技风险管理指引》

4. 银行业金融机构信息系统风险管理指引的主要要求是什么

机构职责
第六条 银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。
第七条 银行业金融机构应认真履行下列信息系统管理职责：
（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；
（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；
（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；
（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；
（五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告；
（六）做好本机构信息系统审计工作；
（七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改；
（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；
（九）开展与信息系统风险管理相关的其他工作。
第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理；信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略，统筹信息系统项目建设，定期评估、报告本机构信息系统风险状况，为决策层提供建议，采取相应的风险控制措施。
第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条 银行业金融机构应设立信息科技部门，统一负责本机构信息系统的规划、研发、建设、运行、维护和监控，提供日常科技服务和运行技术支持；建立或明确专门信息系统风险管理部门，建立、健全信息系统风险管理规章、制度，并协助业务部门及信息科技部门严格执行，提供相关的监管信息；设立审计部门或专门审计岗位，建立健全信息系统风险审计制度，配备适量的合格人员进行信息系统风险审计。
第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求：
（一）具备良好的职业道德，掌握履行信息系统相关岗位职责所需的专业知识和技能；
（二）未经岗前培训或培训不合格者不得上岗；经考核不适宜的工作人员，应及时进行调整。
第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设，建立人才激励机制，适应信息技术的发展。
第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
总体风险控制
第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条 银行业金融机构应根据信息系统总体规划，制定明确、持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制。
第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁，防止各类突发事故和恶意攻击。
第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等；明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。
第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构，应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条 银行业金融机构应严格执行国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，实行信息安全等级保护。
第二十条 银行业金融机构应加强对信息系统的评估和测试，及时进行修补和更新，以保证信息系统的安全性、完整性。
第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准，省域数据中心至少应达到国家B类机房标准，省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施，未经授权不得进入。
第二十二条 银行业金融机构应重视知识产权保护，使用正版软件，加强软件版本管理，优先使用具有中国自主知识产权的软、硬件产品；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护本机构信息化成果。
第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程，选用的设备应经过技术论证，测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性，并配置适当的备品备件。
第二十四条 信息系统的网络应参照相关的标准和规范设计、建设；网络设备应兼备技术先进性和产品成熟性；网络设备和线路应有冗余备份；严格线路租用合同管理，按照业务和交易流量要求保证传输带宽；建立完善的网管中心，监测和管理通信线路及网络设备，保障网络安全稳定运行。
第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。
第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理，不得脱离系统采集加工、传输、存取数据；优化系统和数据库安全设置，严格按授权使用系统和数据库，采用适当的数据加密技术以保护敏感数据的传输和存取，保证数据的完整性、保密性。
第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续。

第二十九条 银行业金融机构应制定信息系统应急预案，并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。
第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理；技术文档资料和重要数据应保留副本并异地存放，按规定年限保存，调用时应严格授权。信息系统的技术文档资料包括：系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括：交易数据、账务数据、客户数据，以及产生的报表数据等。
第三十一条 银行业金融机构在信息系统可能影响客户服务时，应以适当方式告知客户。
研发风险控制
第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条 银行业金融机构信息系统研发前应成立项目工作小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成，具体负责整个项目的开发工作。
第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识，小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条 银行业金融机构业务部门根据本机构业务发展战略，在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条 银行业金融机构业务部门编写项目需求说明书，提出风险控制要求，信息科技部门根据项目需求编制项目功能说明书。
第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书，设计和编码应符合项目功能说明书的要求。
第三十八条 银行业金融机构应建立独立的测试环境，以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷，提高系统的整体质量。
第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练。

第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条 项目验收应出具由相关负责人签字的项目验收报告，验收不合格不得投产使用。
第五章运行维护风险控制
第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求：
（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；
（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；
（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；
（四）记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求：
（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；
（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；
（三）提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求：
（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；
（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；
（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；
（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。
外包风险控制
第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条 银行业金融机构在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。
第五十三条 银行业金融机构应建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。
第五十四条 银行业金融机构应当与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中。
第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序，审慎管理外包产生的风险，提高本机构对外包管理的能力。
第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略，并应建立针对外包风险的应急计划。
第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更，保证外包服务不间断的应急预案。
第五十九条 银行业金融机构将敏感的信息系统，以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时，应遵守国家有关法律法规，符合银监会的有关规定，经过董事会或其他决策机构批准，并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。

5. 银行业金融机构国别风险管理指引的银监会解读

银监会有关负责人就《银行业金融机构国别风险管理指引》答记者问
近日，银监会发布了《银行业金融机构国别风险管理指引》（以下简称《指引》），银监会有关负责人就有关问题回答了记者提问。
答：国别风险是指由于某一国家或地区经济、政治、社会变化及事件，导致该国家或地区借款人或债务人没有能力或者拒绝偿付银行业金融机构债务，或使银行业金融机构在该国家或地区遭受其他损失的风险。这种损失包括商业存在和其他任何可能的损失。
国别风险存在于授信、国际资本市场业务、设立境外机构、代理行往来和由境外服务提供商提供的外包服务等经营活动中。其中，转移风险是国别风险的主要类型之一，是指借款人或债务人由于本国外汇储备不足或外汇管制等原因，无法获得所需外汇偿还其境外债务的风险。银行业金融机构对国别风险事件往往难以施加影响或控制，因此，加强国别风险管理更为重要。 答：随着我国银行业金融机构国际化进程的推进，面临的国别风险势必日益加大，国际金融危机的爆发进一步凸显了加强国别风险管理的重要性与必要性，巴塞尔银行监管委员会《有效银行监管核心原则》也对此提出了明确要求。制定并发布《指引》，对于提升我国银行业金融机构国别风险管理能力，防范金融危机的冲击具有重要意义：
一是为银行业金融机构提高国别风险管理水平提供依据和指导。《指引》通过借鉴国际先进经验并和中国实际相结合，清晰划分银行业金融机构内部国别风险管理职责，规范银行业金融机构国别风险管理的识别、计量、监测和控制等各个环节，可以引导和督促银行业金融机构加强国别风险管理。本《指引》和银监会已经颁布的其他风险管理指引共同构成银行业金融机构风险管理指引体系。
二是明确国别风险准备金计提要求，有效提高银行业金融机构的风险抵补能力。《指引》明确要求银行业金融机构在计提资产减值准备时，充分考虑国别风险因素。为确保计提的充分性和一致性，监管当局对计提比例进行了规定。
三是为监管当局监督检查提供标准。监管当局对银行业金融机构国别风险管理的有效性进行评估是有效监管核心原则的要求，也是督促银行业金融机构提高国别风险管理水平的重要保证。《指引》确定的国别风险管理标准为监管当局的监督检查奠定了基础，提供了明确的标杆，有助于提高国别风险监督检查的有效性和针对性。 答：《指引》有助于提升银行业金融机构国别风险管理意识和水平，推动银行业金融机构国别风险管理体系的建立和完善，为监管当局的监督检查提供标准和依据。《指引》对促进银行业金融机构提高国别风险管理能力的意义在于：第一，《指引》充分覆盖了巴塞尔银行监管委员会关于国别风险管理的主要元素，吸收了国际上主要监管当局的监管实践，对银行业金融机构构建国别风险管理体系提出了明确要求；第二，借鉴了国际银行业在国别风险管理方面的普遍做法和相关技术，为银行业金融机构管理国别风险提供了有益参考；第三，明确了国别风险准备金计提标准和比例，有利于监督银行业金融机构计提充分的国别风险准备金，并确保计提标准的一致性，提高银行业金融机构风险抵补能力。

6. 银行业金融机构国别风险管理指引的附件3：国别风险分类标准

低国别风险：国家或地区政体稳定，经济政策（无论在经济繁荣期还是萧条期）被证明有效且正确，不存在任何外汇限制，有及时偿债的超强能力。目前及未来可预计一段时间内，不存在导致对该国家或地区投资遭受损失的国别风险事件，或即便事件发生，也不会影响该国或地区的偿债能力或造成其他损失。
较低国别风险：该国家或地区现有的国别风险期望值低，偿债能力足够，但目前及未来可预计一段时间内，存在一些可能影响其偿债能力或导致对该国家或地区投资遭受损失的不利因素。
中等国别风险：指某一国家或地区的还款能力出现明显问题，对该国家或地区的贷款本息或投资可能会造成一定损失。
较高国别风险：该国家或地区存在周期性的外汇危机和政治问题，信用风险较为严重，已经实施债务重组但依然不能按时偿还债务，该国家或地区借款人无法足额偿还贷款本息，即使执行担保或采取其他措施，也肯定要造成较大损失。
高国别风险：指某一国家或地区出现经济、政治、社会动荡等国别风险事件或出现该事件的概率较高，在采取所有可能的措施或一切必要的法律程序后，对该国家或地区的贷款本息或投资仍然可能无法收回，或只能收回极少部分。

7. 银行业金融机构外包风险管理指引

不是。
银行业金融机构外包风险管理指引不是法律，是规范性文件。

银行业金融机构外包风险管理指引，是为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定的指引。

8. 银行业金融机构信息系统风险管理指引的第五章　运行维护风险控制

第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求：
（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；
（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；
（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；
（四）记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求：
（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；
（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；
（三）提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求：
（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；
（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；
（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；
（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。

9. 银行业金融机构国别风险管理指引的附件1：国别风险主要类型

间接国别风险指某一国家经济、政治或社会状况恶化，威胁到在该国有重大商业关系或利益的本国借款人的还款能力的风险。
间接国别风险无需纳入正式的国别风险管理程序中，但银行业金融机构在评估本地借款人的信用状况时，应适当考虑国别风险因素。

10. 银行业金融机构国别风险管理指引的银监发[2010]45号

各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，国家开发银行、邮政储蓄银行，各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司：
现将《银行业金融机构国别风险管理指引》印发给你们，请遵照执行。
请各银监局将本通知转发至辖内各银监分局和银行业金融机构。
二○一○年六月八日