某金融企业风控管理规范

某金融企业风控管理规范一、总则

(一)目的：依据《商业银行法》《反洗钱法》及相关金融监管规定，结合企业业务特性，针对信用风险、市场风险、操作风险等核心风险点，制定本规范。旨在通过流程标准化、职责明确化、监控常态化，提升风险防控能力，保障业务稳健发展，降低合规成本。

1、规范业务操作行为，减少人为差错引发的风险事件。

2、明确各岗位风险防控责任，形成风险管理的全链条闭环。

(二)适用范围：覆盖信贷审批、投资交易、账户管理、反洗钱、信息系统等所有业务领域及相关部门。包括业务条线部门（信贷部、风控部、合规部）、运营支撑部门（运营部、信息科技部）、后台管理部门（办公室）。正式员工、外包服务人员均须遵守。外包系统开发与运维参照本规范执行，由信息科技部主导监督。

1、信贷业务适用本规范中的信用风险评估、贷后监控条款。

2、投资交易适用本规范中的市场风险预警、操作权限管理条款。

(三)核心原则：坚持合规先行、预防为主、限额管理、及时处置原则。遵循风险与收益相匹配原则，强化内部控制与外部监管要求的有效衔接。

1、所有业务活动须在授权范围内进行，严禁越权操作。

2、风险事件处置遵循“快速响应、分类处理、责任追究”原则。

(四)层级与关联：本规范为专项管理制度，在总行《内部控制基本规定》框架下执行。与《员工行为规范》《信息系统安全管理制度》等制度存在交叉的，以本规范为准，特殊情况由合规部协调解决。

1、风控部负责本规范的解释与修订。

2、各部门负责人对本部门制度执行情况负首要责任。

(五)相关概念说明

1、信用风险指交易对手违约导致的经济损失可能性。

2、市场风险指市场价格波动导致投资组合价值变动的风险。

三、风险识别与评估

(一)风险识别机制：各部门每月末汇总业务中潜在的风险点，经部门负责人审核后报风控部汇总。风控部每季度组织业务、技术、合规人员开展风险识别会议，更新风险清单。

1、信贷部负责识别信贷业务中的信用风险、操作风险点。

2、风控部负责统筹识别全行各类风险，形成动态风险清单。

(二)风险评估标准：采用定性定量结合方法。信用风险评估采用五级分类（正常、关注、次级、可疑、损失），市场风险评估采用VaR模型。操作风险评估依据《操作风险损失事件分类标准》执行。

1、风险等级划分标准由风控部制定，报总经理批准后实施。

2、评估结果直接影响业务授权调整与绩效考核指标。

(三)评估结果应用：风险评估结果用于业务准入控制、授权额度核定、风险缓释措施制定。高风险业务实行双人复核制度，重大风险事项提交风险管理委员会审议。

1、信贷审批中，风险等级为“次级”以上的客户须由信贷总监复核。

2、风险管理部门根据评估结果每月编制《风险分析报告》，报送总经理。

四、风险控制措施

(一)信用风险控制：严格执行贷前调查、贷时审查、贷后管理“三查”制度。贷款额度不得超过借款人净资产50%，对单一客户授信余额不超过资本净额5%。

1、信贷部须在放款前完成还款能力、担保有效性核查。

2、风控部每月抽查10%的贷款档案，重点检查贷后管理落实情况。

(二)市场风险控制：建立交易限额管理制度，包括头寸限额、VaR限额、敏感性限额。市场风险敞口超过限额的，必须经风控部审批。

1、投资交易部每日收盘后提交交易头寸报告，风控部进行压力测试。

2、限额调整须书面说明理由，并经合规部审核。

(三)操作风险控制：关键业务环节实施双人复核，重要系统操作执行操作日志制度。信息系统权限遵循“最小权限”原则，定期轮换重要岗位操作密码。

1、运营部负责账户开立、资金划转环节的复核工作。

2、信息科技部每季度对系统权限进行审计，发现异常立即上报。

(四)反洗钱控制：严格执行客户身份识别制度，对可疑交易实行分级上报。大额交易（单笔或当日累计超过100万元）须在3小时内完成初步核查。

1、合规部负责客户身份信息的持续监控，每年更新客户风险等级。

2、发现涉嫌洗钱线索的，立即冻结可疑资金，并上报当地金融监管机构。

五、风险监控与预警

(一)监控指标体系：建立覆盖各类风险的监控指标，包括信贷不良率、拨备覆盖率、投资组合VaR值、操作风险事件次数等。监控频率为月度、季度、年度。

1、信贷部监控指标为90天逾期贷款率、不良贷款迁徙率。

2、风控部监控指标为系统故障次数、数据差错率。

(二)预警机制：设置三级预警信号（蓝色、黄色、红色）。蓝色预警由部门负责人启动，黄色预警由分管领导审批，红色预警须立即上报总经理。预警信号触发标准由风控部制定。

1、蓝色预警适用一般性风险事件，如单笔贷款逾期超过30天。

2、红色预警适用重大风险事件，如系统瘫痪、重大欺诈案件。

(三)监控报告制度：风控部每月提交《风险监控报告》，内容包括风险指标变化趋势、预警信号处置情况、风险管理制度执行评价。重大风险事件须24小时内提交专项报告。

1、报告须包含具体数据、分析结论、改进建议。

2、总经理对报告内容进行审阅，并批复处理意见。

六、风险事件处置

(一)处置流程：风险事件发生后，事发部门立即启动应急预案，2小时内上报风控部。风控部评估事件影响，制定处置方案报总经理批准后执行。

1、信用风险事件处置包括债务重组、资产保全、法律诉讼等。

2、市场风险事件处置包括头寸平仓、止损机制启动等。

(二)责任追究：风险事件调查结束后，根据事件性质、损失金额、责任认定进行问责。对造成重大损失的，追究部门负责人及相关责任人绩效扣减、岗位调整等责任。

1、损失金额在10万元以上的风险事件，须提交总经理办公会审议。

2、合规部负责收集整理问责案例，纳入员工培训材料。

(三)整改要求：风险事件处置同时须制定整改措施，明确责任部门、完成时限。风控部对整改情况进行跟踪验证，整改不力的部门暂停新增业务授权。

1、整改方案须包含根本原因分析、防范措施、责任人。

2、整改效果评估结果纳入部门年度绩效考核。

七、制度执行与监督

(一)执行检查：风控部每季度对各部门制度执行情况进行现场检查，检查内容包括业务记录、操作日志、风险报告等。检查结果向全行通报，并作为绩效考核依据。

1、检查覆盖面不低于业务部门总数的60%。

2、检查发现的问题须形成书面报告，限期整改。

(二)培训与考核：每年开展风险防控知识培训，新员工上岗前必须接受制度培训并考核合格。考核不合格者，不得从事相关岗位工作。

1、培训内容包括反洗钱规定、操作风险案例等。

2、考核方式为笔试与实操模拟，成绩记录在案。

(三)持续改进：每年末组织制度评审，根据业务发展、监管要求变化进行调整。各部门对制度执行中遇到的问题及时反馈风控部，作为修订参考。

1、修订后的制度须进行全员宣贯，确保理解到位。

2、制度执行情况纳入部门负责人年度述职内容。

八、信息系统与数据管理

(一)系统安全：重要业务系统（信贷系统、交易系统）须通过等保三级测评，建立灾难恢复机制。信息系统操作须符合密码管理、日志记录、双人控制要求。

1、信息科技部负责系统安全维护，每年进行一次渗透测试。

2、发现系统漏洞须立即修复，并通报相关部门。

(二)数据治理：建立数据质量控制体系，明确数据采集、传输、存储、使用的规范。定期开展数据完整性、准确性核查。

1、运营部负责业务数据采集的准确性，每年进行一次核查。

2、数据异常情况须追溯至源头部门，限期整改。

(三)数据保密：敏感数据（客户身份信息、交易信息）须加密存储，访问权限严格授权。离职员工须交还系统权限，并签署保密协议。

1、信息科技部设置数据访问审计功能。

2、违反保密规定的，按《劳动合同法》处理。

九、员工行为规范

(一)职业道德：员工须遵守诚实守信原则，不得利用职务便利谋取私利。严禁泄露客户信息、交易秘密。

1、新员工入职时签署《职业操守承诺书》。

2、发现违规行为立即解除劳动合同，并追究连带责任。

(二)操作规范：严格执行业务操作手册，禁止未经授权的变通处理。重要操作须录音录像，保存期限为5年。

1、信贷人员须按《信贷操作手册》执行贷前调查。

2、录音录像由运营部统一管理，任何人不得篡改。

(三)廉洁自律：禁止收受客户礼品、回扣，禁止参与可能影响公正执行公务的宴请、旅游等活动。

1、每年开展廉洁教育，组织观看警示教育片。

2、发现违纪行为，移交司法机关处理。

十、附则

(一)解释权：本规范由风控部负责解释。

(二)生效日期：本规范自发布之日起施行。原相关制度与本规范不一致的，以本规范为准。

(三)过渡期安排：制度实施前，各部门须组织员工学习，6个月内完成旧流程的清零工作。对不适应制度变化的员工，安排专项培训。

四、风险控制措施

(一)信用风险控制：严格执行贷前调查、贷时审查、贷后管理“三查”制度。贷款额度不得超过借款人净资产50%，对单一客户授信余额不超过资本净额5%。

1、信贷部须在放款前完成还款能力、担保有效性核查。

2、风控部每月抽查10%的贷款档案，重点检查贷后管理落实情况。

(二)市场风险控制：建立交易限额管理制度，包括头寸限额、VaR限额、敏感性限额。市场风险敞口超过限额的，必须经风控部审批。

1、投资交易部每日收盘后提交交易头寸报告，风控部进行压力测试。

2、限额调整须书面说明理由，并经合规部审核。

(三)操作风险控制：关键业务环节实施双人复核，重要系统操作执行操作日志制度。信息系统权限遵循“最小权限”原则，定期轮换重要岗位操作密码。

1、运营部负责账户开立、资金划转环节的复核工作。

2、信息科技部每季度对系统权限进行审计，发现异常立即上报。

(四)反洗钱控制：严格执行客户身份识别制度，对可疑交易实行分级上报。大额交易（单笔或当日累计超过100万元）须在3小时内完成初步核查。

1、合规部负责客户身份信息的持续监控，每年更新客户风险等级。

2、发现涉嫌洗钱线索的，立即冻结可疑资金，并上报当地金融监管机构。

五、风险监控与预警

(一)监控指标体系：建立覆盖各类风险的监控指标，包括信贷不良率、拨备覆盖率、投资组合VaR值、操作风险事件次数等。监控频率为月度、季度、年度。

1、信贷部监控指标为90天逾期贷款率、不良贷款迁徙率。

2、风控部监控指标为系统故障次数、数据差错率。

(二)预警机制：设置三级预警信号（蓝色、黄色、红色）。蓝色预警由部门负责人启动，黄色预警由分管领导审批，红色预警须立即上报总经理。预警信号触发标准由风控部制定。

1、蓝色预警适用一般性风险事件，如单笔贷款逾期超过30天。

2、红色预警适用重大风险事件，如系统瘫痪、重大欺诈案件。

(三)监控报告制度：风控部每月提交《风险监控报告》，内容包括风险指标变化趋势、预警信号处置情况、风险管理制度执行评价。重大风险事件须24小时内提交专项报告。

1、报告须包含具体数据、分析结论、改进建议。

2、总经理对报告内容进行审阅，并批复处理意见。

六、风险事件处置

(一)处置流程：风险事件发生后，事发部门立即启动应急预案，2小时内上报风控部。风控部评估事件影响，制定处置方案报总经理批准后执行。

1、信用风险事件处置包括债务重组、资产保全、法律诉讼等。

2、市场风险事件处置包括头寸平仓、止损机制启动等。

(二)责任追究：风险事件调查结束后，根据事件性质、损失金额、责任认定进行问责。对造成重大损失的，追究部门负责人及相关责任人绩效扣减、岗位调整等责任。

1、损失金额在10万元以上的风险事件，须提交总经理办公会审议。

2、合规部负责收集整理问责案例，纳入员工培训材料。

(三)整改要求：风险事件处置同时须制定整改措施，明确责任部门、完成时限。风控部对整改情况进行跟踪验证，整改不力的部门暂停新增业务授权。

1、整改方案须包含根本原因分析、防范措施、责任人。

2、整改效果评估结果纳入部门年度绩效考核。

七、制度执行与监督

(一)执行检查：风控部每季度对各部门制度执行情况进行现场检查，检查内容包括业务记录、操作日志、风险报告等。检查结果向全行通报，并作为绩效考核依据。

1、检查覆盖面不低于业务部门总数的60%。

2、检查发现的问题须形成书面报告，限期整改。

(二)培训与考核：每年开展风险防控知识培训，新员工上岗前必须接受制度培训并考核合格。考核不合格者，不得从事相关岗位工作。

1、培训内容包括反洗钱规定、操作风险案例等。

2、考核方式为笔试与实操模拟，成绩记录在案。

(三)持续改进：每年末组织制度评审，根据业务发展、监管要求变化进行调整。各部门对制度执行中遇到的问题及时反馈风控部，作为修订参考。

1、修订后的制度须进行全员宣贯，确保理解到位。

2、制度执行情况纳入部门负责人年度述职内容。

八、考核与改进管理

(一)绩效考核指标：设定专项考核指标，明确权重、简单评分标准及考核对象，兼顾定量与定性，挂钩生产业务目标与风险管控，适配中小型企业考核水平

1、风控部考核指标为风险事件发生率、整改完成率，权重各占50%。

2、业务部门考核指标为业务目标达成率、风险事件发生次数，权重为6:4。

(二)评估周期与方法：明确考核周期及简易方法，界定各周期考核重点

1、月度考核侧重操作规范执行情况，季度考核侧重风险指标达成情况。

2、考核方法采用百分制，由直接上级评分，部门负责人复核。

(三)问题整改机制：建立“发现-整改-复核-销号”闭环，按一般/重大分类，明确整改时限，落实责任并进行简单问责

1、一般问题须在3日内整改完成，重大问题须7日内提交整改方案。

2、整改不力者绩效扣减5%，情节严重的调离岗位。

(四)持续改进流程：基于考核、检查、业务变化及政策调整优化制度，明确建议收集、简易评估、审批及跟踪机制，简化流程，确保可落地。

1、每年6月开展制度评估，收集各部门改进建议。

2、评估结果经风控部审议后，报总经理批准实施。

九、奖惩机制

(一)奖励标准与程序：明确奖励情形、类型及标准,规范申报、审核、审批、公示及发放流程，流程简易高效;违规行为界定：按“一般/较重/严重违规”分类界定具体情形，结合风险等级明确简易判定标准

1、奖励情形包括重大风险事件成功处置、制度创新等，奖励类型为绩效奖金或荣誉表彰。

2、违规行为界定中，一般违规如单次操作失误