《金融业务风险管理指南(试行)》

《金融业务风险管理指南(试行)》1.总则1.1目的依据为健全金融业务风险管理体系，防范化解系统性、区域性金融风险，依据《中华人民共和国银行业监督管理法》《中华人民共和国证券法》《中华人民共和国保险法》《中华人民共和国信托法》及《商业银行内部控制指引》《证券期货经营机构风险管理指引》等法律法规与监管规定，制定本指南。1.2适用范围本指南适用于持牌金融机构（含银行、证券、保险、信托、期货等）及其分支机构，以及经监管部门批准从事金融相关业务的非持牌机构（以下统称“金融机构”）。1.3风险管理原则（1）全面性原则：覆盖所有业务条线、岗位人员及操作环节，实现全员、全流程、全维度风控；（2）审慎性原则：以风险为本，设置高于监管要求的内部风控阈值，预留充足风险缓冲空间；（3）独立性原则：风险管理、内部审计环节独立于业务条线，确保风险判断与监督不受业务利益干扰；（4）适应性原则：根据市场环境、监管政策、业务规模动态调整风控策略，适应内外部变化；（5）制衡性原则：明确不相容岗位分离要求，建立授权审批、监督制约机制，避免权力集中。2.风险管理体系建设2.1组织架构2.1.1决策与监督层（1）董事会：是金融机构风险管理最终责任主体，下设风险管理委员会，每季度至少召开1次风险管理专题会议，每年审议通过年度风险管理报告与风险偏好声明；（2）监事会：负责监督董事会、高级管理层风险管理履职情况，每半年至少开展1次风控专项监督检查；（3）高级管理层：执行董事会风险管理决策，设置首席风险官（CRO），CRO直接向董事会和高级管理层汇报，年度考核中风险管理成效权重不低于70%。2.1.2风险管理三道防线（1）第一道防线：业务条线，全员承担风控责任，业务部门负责人为条线风控第一责任人，每季度组织1次条线风控培训；（2）第二道防线：风险管理部门，统筹全机构风控工作，制定风控政策与标准，每月开展1次跨条线风险排查；（3）第三道防线：内部审计部门，独立开展风控审计，每年对核心风控环节审计覆盖率不低于80%。2.2制度体系（1）层级架构：建立“基本制度-专项制度-操作流程”三级制度体系，基本制度明确风控核心规则，专项制度覆盖单一业务风险，操作流程细化到具体岗位动作；（2）动态管理：至少每年组织1次制度合规性审查与适用性评估，制度修订完善率不低于95%，对监管政策变化、风险事件暴露的制度缺陷，需在15个工作日内完成修订。2.3能力建设（1）人才队伍：风控专业人员占总从业人员比例不低于5%，首席风险官需具备5年以上金融风险管理经验且无不良监管记录，每年组织风控人员培训时长不低于40学时；（2）科技支撑：每年投入风险管理系统的资金占营业收入比例不低于3%，实现风险数据自动采集、实时监测、智能预警，数据处理准确率不低于99%；建立风险模型库，对信用风险、市场风险模型的验证频率不低于每半年1次。3.主要业务条线风险管理3.1信贷业务风险管理3.1.1核心风险类型：信用风险、市场风险、操作风险3.1.2防控措施（1）客户准入：建立分层分类评级模型，大型企业采用“财务指标+非财务指标”综合评级，准确率不低于95%；普惠型小微企业采用“三品三表”（人品、产品、押品，电表、水表、纳税申报表）非现场评级，准入客户违约率控制在5%以内；（2）授信审批：执行“双人审批、集体审议”制度，单人审批权限不超过净资本的1%，超权限项目需提交风险管理委员会审议；（3）贷后管理：对逾期30天以上贷款，责任人上门催收率100%；关注类贷款每季度排查1次，次级及以上贷款每月排查1次；（4）风险缓释：抵质押物采用“第三方评估+内部复核”模式，估值偏差率不超过10%，不动产抵押率不超过70%，动产抵押率不超过50%。3.2资本市场业务风险管理3.2.1核心风险类型：市场风险、流动性风险、合规风险3.2.2防控措施（1）自营业务：单一证券持仓比例不超过净资本的10%，组合止损线不低于8%，每日监测利率、汇率波动对持仓的影响，风险敞口比例不超过净资本的20%；（2）资产管理业务：严格落实资管新规要求，净值化产品占比100%；单一投资者持有单一产品比例不超过产品总份额的20%（公募产品除外）；（3）经纪业务：客户适当性匹配率100%，对高风险产品投资者，需完成风险承受能力评估及双录（录音录像）验证。3.3保险业务风险管理3.3.1核心风险类型：承保风险、理赔风险、资金运用风险3.3.2防控措施（1）承保管控：重疾险核保准确率不低于98%，对高风险职业、高保额客户实施100%线下核保；（2）反欺诈：建立欺诈风险数据库，接入行业共享欺诈信息平台，欺诈案件占比控制在0.5%以下；（3）资金运用：权益类资产投资比例不超过上季末总资产的30%，单一主体投资比例不超过上季末总资产的5%。3.4信托业务风险管理3.4.1核心风险类型：信用风险、流动性风险、合规风险3.4.2防控措施（1）净值化管理：资金信托产品净值化率100%，按监管要求披露净值波动情况；（2）风险隔离：信托财产与固有财产、不同信托财产之间严格隔离，禁止关联方违规占用信托资金；（3）项目尽调：对融资类信托项目，尽调覆盖率100%，尽调报告需经风险管理部门复核通过后方可立项。3.5互联网金融业务风险管理3.5.1核心风险类型：技术风险、信息安全风险、合规风险3.5.2防控措施（1）系统安全：采用等保三级及以上安全防护标准，每年至少开展2次第三方渗透测试，高危漏洞修复率100%，中低危漏洞修复率不低于98%；灾备系统切换时间不超过30分钟；（2）数据保护：用户敏感信息采用AES-256加密存储，数据传输采用SSL/TLS加密，用户信息查询、导出需经过双人审批，数据泄露事件发生率为0；（3）场景合规：严格落实断直连要求，支付业务仅通过持牌支付机构开展，网络借贷业务需接入征信系统，不良信息报送率100%。4.风险监测、预警与报告4.1风险监测体系4.1.1定量指标：覆盖监管指标与内部核心指标，监管指标包括资本充足率（不低于8%）、流动性覆盖率（LCR不低于100%）、净稳定资金比例（NSFR不低于100%）、不良贷款率（不高于5%）；内部核心指标包括单一客户集中度、风险抵补率、模型准确率等，每日自动监测并生成报表。4.1.2定性维度：监测外部政策变化、市场舆情、同业风险事件，以及内部制度执行、岗位履职、系统运行情况，每周组织1次外部风险信息汇总分析。4.2风险预警机制4.2.1风险等级划分（1）红色预警（重大风险）：单一客户违约金额超过净资产的5%，或发生流动性枯竭、重大数据泄露等事件；（2）橙色预警（较大风险）：不良贷款率连续3个月上升超过0.5个百分点，或单一业务条线风险敞口突破阈值20%以上；（3）黄色预警（一般风险）：出现少量逾期贷款、系统轻度漏洞、客户投诉量环比上升50%以上；（4）蓝色预警（关注风险）：外部监管政策调整、同业出现潜在风险苗头。4.2.2处置流程：监测到预警信号后，12小时内上报风险管理部门，24小时内制定处置预案；红色预警需立即启动应急处置小组，每12小时向监管部门报送进展。4.3风险报告制度（1）日常每月报送风险监测报表，每季度报送风险管理专题报告，每年报送年度风险管理报告；（2）重大风险事件发生重大风险事件后，2小时内报送监管部门，后续进展每12小时报送1次，事件处置完成后10个工作日内提交总结报告。5.风险处置与化解5.1风险分类与评估（1）分类标准：严格执行监管分类要求，信贷资产按“正常、关注、次级、可疑、损失”五级分类，资本市场风险按“可接受、需关注、需处置、重大”四级分类；（2）评估方法：采用“定量测算+定性分析”结合方式，定量测算损失金额、影响范围，定性分析风险成因、传导路径，评估报告需经风险管理委员会审核通过。5.2差异化处置措施（1）信用风险：逾期30-90天贷款采用电话、短信催收，逾期90天以上贷款采用上门催收、法律诉讼；对重组贷款，需重新评估客户还款能力，重组后贷款不良率不超过10%；损失类资产每年核销比例不低于应核销金额的90%；（2）市场风险：通过对冲交易、减持持仓、调整止损线等方式降低风险敞口，当市场风险敞口突破阈值30%时，需强制平仓部分持仓；（3）流动性风险：优先通过同业拆借、资产变现筹措资金，若流动性覆盖率低于90%，需暂停非核心业务扩张，必要时向监管部门申请流动性支持；（4）操作风险：立即止损、修复系统漏洞、完善操作流程，对责任人采取纪律处分或经济处罚，同时开展全机构同类风险排查，避免同类事件重复发生。5.3化解效果评估每季度对风险处置效果进行评估，核心指标包括风险化解完成率（不低于90%）、损失挽回率（不低于60%），评估结果纳入相关部门年度考核。6.内部控制与内部审计6.1内部控制（1）不相容岗位分离：记账与审核、放款与审批、前台与后台岗位严格分离，不相容岗位兼职率为0；（2）分级授权管理：建立从董事会到基层岗位的分级授权体系，授权范围、期限明确，超权限操作需向上一级授权人审批，授权审批合规率100%；（3）内控测试：每半年开展1次内控测试，测试覆盖率不低于70%，对测试发现的缺陷，需在30个工作日内完成整改。6.2内部审计（1）独立性：内部审计部门直接向董事会审计委员会汇报，独立于业务、风险管理部门，审计经费单独列支；（2）审计频率：对核心风控环节（信贷审批、资金运用、数据安全）每年审计1次，对一般风控环节每2年审计1次；（3）整改跟踪：建立审计问题整改台账，整改完成率不低于90%，未完成整改的需向董事会说明原因并制定延期整改计划。7.监督管理与责任追究7.1外部监管配合（1）监管报送：严格按照监管要求报送风控报表、报告，报送及时率、准确率不低于99%；（2）现场检查配合：积极配合监管部门现场检查，提供真实、完整的资料，对监管提出的整改要求，需在规定期限内完成并反馈。7.2内部责任追究（1）追责范围：包括董事会、高级管理层、业务条线、风险管理部门、内部审计部门等，覆盖所有风控履职环节；（2）追责方式：根据风险损失大小、主观过错程度，采取纪律处分（警告、记过、解除劳动合同）、经济处罚（扣减绩效、赔偿损失）、职务调整（降职、撤职）等措施；对造成直接经济损失超过1000万