银行金融信贷风险管理培训

1 银行金融信贷风险管理培训银行金融信贷风险管理培训讲师各银监局： 自全国合作金融监管暨改革工作会议以来，农村合作金融机构贷款五级分类以培训为重点的前期工作已基本结束,目前各地陆续进入分类操作阶段。为确保贷款五级分类质量，实现摸清风险底数、提高经营管理水平、增强风险控制能力、初步形成健康的信贷文化的工作目标，现就进一步做好农村合作金融机构贷款五级分类工作提出如下要求： 一、完善考核机制，做实资产和利润。一是各银监局要及时了解并解决影响贷款五级分类的认识问题和制度性问题。对以账面利润为指标对基层农村信用社进行综合考核的省级联社，要督促其修订和完善相关的考核制度和办法，取消按账面利润考核盈利水平的做法，实行按经营利润（即账面利润当年提取拨备当年消化包袱）考核，从根本上解决因担心五级分类后不良贷款增加造成拨备增提，账面利润减少，进而降低评级结果的问题。二是为了客观真实地揭示贷款风险，各级监管部门 2006 年末可不按五级分类对农村信用社进行“双降”考核，从 2007 年起，统一以 2006 年末五级分类结果为基数，对贷款质量进行考核。 二、切实采取措施，提高分类质量。一是要严格标准，规范操作。各农村合作金融机构要严格按照银监会印发的农村合作金融机构信贷资产风险分类指引（以下简称指引）关于信贷资产风险分类的标准、要求、操作程序、管理考核等方面的规定，对表内外信贷资产实施分类。2005 年及以前已经试点的机构，也要按照指引的要求调整分类结果。任何机构不得用四级分类结果或试点分类结果套换，不得降低分类标准，简化操作程序。二是要坚持时间服从质量。各农村合作金融机构务必在保证分类工作质量的前提下，确保贷款五级分类工作年底前完成，东部地区农村信用社可争取在 2 9 月底之前完成。要坚决杜绝为了抢时间、争进度而降低分类标准，影响分类质量的现象。三是要进一步加强对分类操作的现场辅导。各省级联社要成立贷款五级分类巡查督导组，采取划片包干、责任到人、深入现场、实地检查等措施，指导分类，解决操作疑难问题。要充分发挥商业银行借调人员的作用，组织到“第一线”巡回指导分类工作。对信贷管理基础差、工作进展缓慢的地区要增派人员进行重点辅导，确保工作的整体推进。四是加快信息化建设进程，提供科技保障。各银监局要督促省级联社加快电子化建设及联网进程，加快构建信息管理系统的步伐，减少分类结果偏差与工作的随意性，提高分类工作质量和效率。 三、加大力度推动“2000 人工程”，抓好交流学习。各银监局要切实按照要求做好协调、督促工作，对已制定交流计划的省级联社，要指派专人负责尽快落实；尚未制订交流计划的省级联社要积极协调，抓紧制订。同时要求参加交流的农村合作金融机构高管人员要充分利用学习机会，重点学习商业银行的经营理念、风险管理和业务创新等经验，并做好全面系统的学习总结。 四、做好后续培训，进一步提高分类人员技术水平。一是各银监局要督促省级联社将贷款五级分类纳入日常培训计划和内容，不断提高相关人员的操作技能。二是各省级联社对培训未达到操作要求的，特别是经考试不合格的人员，必须进行补课，对前两年培训的人员也要按照现行的要求进行再培训。三是各银监局和省级联社要组织有针对性的培训，重点是解决实际操作中出现的问题。 五、重视分类过程，提高信贷管理水平。各级监管部门要督促农村信用社通过实施五级分类，查找和完善现有制度和信贷管理中存在的缺陷和薄弱环节，把五级分类过程中客户资料收集、财务分析、分类及审批、信贷讨论到检查监督的每个环节，都纳入日常信贷经营和管理工作中，形成规范的信贷管理制度约束，使分类和信贷管理工作形成一个既紧密联系又反馈互动的整体，在真实揭示和暴露农村信用社信贷风险的同时，进一步提高农村信用社信贷经营和管理水平，优化信贷资产质量。 六、继续抓好信息交流反馈，表彰鞭策并举。各银监局和省级联社要高度重视信息交流与反馈在分类工作中的作用，明确专人负责信息的收集、整理和上报，及时掌握农村合作金融机构开展贷款五级分类工作的进展和动态，总结交流经验和做法，加大表彰先进和鞭策落后的力度，加强对农村合作金融机构贷款五级分类信息工作的考核。 七、做好总结验收和分类偏离度的检查，实施严格的问责制。各省级联社对分类结束的农村信用社要组织交叉验收，作出分类评价，并将验收评价 3 报告报送当地监管部门。各级监管部门要在省级联社验收的基础上，组织对辖内农村信用社分类偏离度进行检查，对偏离度较大、分类质量较低的农村信用社，要依据有关规定强化问责，加大监管力度。各银监局要在辖内偏离度检查工作结束后，对贷款五级分类工作进行全面总结，并将贷款五级分类结果、分类后拨备情况和资本充足率水平报送银监会。 八、做好主要监管指标的测算工作，为监管工作奠定坚实基础。农村信用社实施贷款五级分类后，银监会对农村信用社将参照商业银行核心监管指标对资本充足率等指标进行监测和“影子”考核。各银监局要精心准备，结合辖内农村信用社“1104 工程”的培训、数据填报和试运行，督促省级联社抓紧做好风险水平、风险迁徙以及风险抵补等主要监管指标计算方法的培训，为下一步开展监管评级，实施分类监管和差别监管奠定基础。 二六年六月二十八日 4 关于银行业金融机构与担保机构开展合作风险提示的通知银监办发 2006145 号各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，国家邮政局邮政储汇局，银监会直接监管的信托投资公司、财务公司、金融租赁公司： 近年来，一些担保企业经营状况令人担忧，某些省份能够正常经营的担保公司很少，且亏损面大，担保信用不足；有些担保企业注册成立后，由于存在抽逃、挪用资本金等违规经营现象，造成资本金不实或结构不合理的情况，严重削弱了实际担保能力；一些担保机构涉嫌通过关联交易骗取银行贷款。为督促各银行业金融机构防范与担保机构开展业务合作面临的风险，现进行如下风险提示： 一、银行业金融机构应依法经营。开展授信业务，应严格执行商业银行法 、 商业银行授信工作尽职指引等有关法律、法规和监管部门的规范性文件要求，认真落实各项风险控制措施。严格审查担保机构的资质，明确规定担保机构注册资本金应在一亿元人民币以上，且必须是实缴资本。银行业金融机构应严格考核担保机构的经营状况和管理层的综合能力，特别是担保机构的资产负债等财务状况，应比照借款人进行整体资信调查，防止因担保机构资本金不实、结构不合理或将资本金违规投入资本市场等对银行信贷资金造成风险。对个别经营不规范的担保机构可考虑要求其按月报送财务报表及对外担保情况。 二、银行业金融机构应大力加强管理信息系统建设，科学有效地监测担保机构放大倍数（杠杆率）及其变化情况，应考察担保机构是否建立科学的风险控制机制、内部控制制度和风险分散机制等相关制度，及时揭示风险和 5 纠正偏差。对具体授信的担保放大倍数，应结合担保机构的资信实力和业务合作信用记录，区域金融环境和行业特点科学确定。在对担保机构的业务进行全面调查的基础上，建立违规担保机构的“黑名单”制度。 三、银行业金融机构应进一步完善内控制度和措施，严格防范关联交易风险，严格防范操作风险。加强自身对小企业风险状况的识别手段，加强自身的风险控制和风险定价能力。对为担保机构通过关联交易套取银行信贷资金，为非法办理贷款提供便利的违规违纪人员，应严肃查处。 请各银监局将此文转发至辖内各银行业金融机构。 二六年五月二十九日 6 中国银行业监督管理委员会办公厅关于商业银行开展代客境外理财业务有关问题的通知银监办发 2006164 号各银监局，各国有商业银行、股份制商业银行： 为进一步规范商业银行代客境外理财业务，促进该项业务的健康有序发展，根据商业银行开办代客境外理财业务管理暂行办法 （以下简称办法）及相关法律法规和规章的规定，现就有关问题通知如下： 一、商业银行（包括外资银行，下同）在积极开展代客境外理财业务的同时，要密切关注和管控代客境外理财业务可能产生的风险，采取切实有效的措施，保护金融消费者的合法权益。 二、商业银行申请开办代客境外理财业务，应按照办法的有关规定，提交申请材料。 商业银行递交的与代客境外理财业务相关的内部控制制度，应主要包括：理财业务管理的相关制度；外汇投资或交易管理的相关制度；市场风险管理制度；监管部门要求的其他制度。 商业银行递交的托管协议草案，应说明拟聘请的托管人以及与托管人沟通的情况。由于管理程序、商务谈判等原因在申请开办代客境外理财业务时，尚无法明确托管人的，商业银行可以暂不填写托管人的情况，但在协议草案中应明确说明商业银行与托管人的主要权利和义务。商业银行明确托管人后，应将托管人的基本情况及时报告监管部门。 商业银行递交的可行性报告，主要包括以下内容：开展代客境外理财业务的主要策略；相关市场分析；管理与操作程序；风险管控措施；资源保障情况等。 三、外资银行申请开办代客境外理财业务的条件和要求与中资商业银行基本相同，但外资银行应按照中国银监会批准的业务范围开展代客境外理财业务。获准经营人民币业务的外资银行，可以在已开放人民币业务的地域向 7 获准服务的客户对象发售人民币理财产品，在国家外汇管理局批准的代客境外理财额度范围内，以人民币购汇办理代客境外理财业务。 外资银行申请开办代客境外理财业务，由其主报告行或总行向所在地银监会派出机构递交申请材料。所在地银监会派出机构受理和初审后，报银监会审查和决定。 四、商业银行开展代客境外理财业务，可以在境内发售外币理财产品，以客户的自有外汇进行境外理财投资；也可以在境内发售人民币理财产品，以人民币购汇办理代客境外理财业务。 商业银行以人民币购汇办理代客境外理财业务，应当按照办法的规定，事先向国家外汇管理局申请额度；以客户的自有外汇进行境外理财投资，应符合国家的有关外汇管理规定。 五、商业银行开展代客境外理财的方式，包括提供理财顾问服务和综合理财服务。 理财顾问服务是指商业银行按照商业银行个人理财业务管理暂行办法 ，向客户提供的顾问咨询、代理操作等服务。在代客境外理财过程中，商业银行可以接受客户（包括机构和个人）的委托，按照客户的授权，操作客户账户，代理客户进行相关的投资活动，投资风险完全由客户承担。 综合理财服务是指商业银行通过发售理财产品，集合理财资金，统一代理客户进行境外投资的活动。 六、商业银行代客境外理财进行境外投资时，应按照办法的要求，在境外进行规定的金融产品投资。 商业银行通过理财顾问服务方式开展代客境外理财业务时，应核实客户确实具备相应的投资资格，且其投资活动符合中国及投资所在地国家或地区的法律规定。严禁商业银行向境内机构出租、出借或变相出租、出借其境外可利用的投资账户。 商业银行通过综合理财服务方式开展代客境外理财业务时，应按照审慎经营的原则，投资于境外固定收益类产品，包括具有固定收益性质的债券、票据和结构性产品，并应在理财产品的销售合同中向客户明示理财资金的投资方向和主要风险。商业银行根据业务发展、分散或对冲风险等需要，确需投资非固定收益类、较高风险收益类产品的，在按照商业银行个人理财业务管理暂行办法的规定进行发售相关理财产品的申请或报告时，一律应附“投资特别说明” ，详细说明拟投资的对象、主要风险及相应的风险处置和管控措施。同时，相关投资活动应符合国家有关法律法规和外汇管理部门的要求。 8 商业银行通过综合理财服务方式开展代客境外理财业务时，不得直接投资于股票及其结构性产品、商品类衍生产品，以及 BBB 级以下证券。 七、商业银行开办代客境外理财托管业务，应具备相应的托管业务资格。获得了基金托管、企业社会保障基金、保险公司外汇资金境外投资和保险公司股票托管等托管资格的中资商业银行，自然获得代客境外理财业务的相关托管资格，不需另行申请。 不具备上述各项托管业务资格的中资商业银行，可以通过申请获得相关的托管业务资格自然取得代客境外理财业务的托管资格，也可以向中国银监会单独申请代客境外理财业务托管资格。 外资银行开办代客境外理财托管业务的市场准入事项，根据有关规定执行。 八、具备以下条件的中资商业银行可向中国银监会申请代客理财业务托管资格：有专门的基金托管部门；有足够熟悉托管业务的专职人员；具备安全、高效的清算、交割能力；最近 3 年没有重大违反外汇管理规定的记录。 申请代客境外理财业务托管资格，应提交以下材料（一式三份）： （一）申请书； （二）拟开办业务的详细介绍和为从事该项业务所做的必要准备情况，内容至少包括操作规程、风险收益分析、控制措施、专业人员及计算机系统的配置； （三）申请人最近 1 年的年报； （四）中国银监会要求提交的其他资料。 中国银监会按照各类金融机构行政许可事项实施办法的有关规定进行受理和审批。 九、商业银行开展代客境外理财业务，应实行托管人与投资管理人的职责分离。商业银行应尽量选择不同法人作为其境内托管人和境外托管代理人；不应选择同一法人作为其境外托管代理人和境外投资管理人。 商业银行在选择境外托管代理人和境外投资管理人时，应按照市场化的原则公平抉择，应避免选择关联方作为代客境外理财业务的境外托管人代理人和境外投资管理人，避免不了的应事先向中国银监会报告。 商业银行应建立交易对手风险监测与报告体系，审慎选择交易对手，注意收集相关信息，加强与监管者的联系与汇报。 请各银监局速将此通知转发至辖内有关银行业金融机构。 9 二六年六月二十一日中国银行业监督管理委员会关于进一步加强案件风险防范工作的通知银监发200650 号各银监局，各政策性银行、国有商业银行、股份制商业银行，各金融资产管理公司，国家邮政局邮政储汇局，各省级信用联社，银监会直接监管的信托公司、财务公司、金融租赁公司： 2005 年以来，银监会按照党中央、国务院的统一部署，积极开展银行业案件专项治理活动，取得了阶段性进展。但当前银行业案件形势仍然严峻，为有效遏制银行业案件多发、高发态势，进一步巩固案件专项治理成果，现就有关要求通知如下： 一、加强组织推动。开展案件专项治理工作，对改善银行业声誉和形象，维护银行业改革开放的良好局面，具有十分重要的意义。银监会各级派出机构和各银行业金融机构要认真贯彻落实银监会第八次案件专项治理工作会议和国有商业银行案件专项治理工作会议要求，进一步统一思想和行动，从政治和全局的高度认识案件专项治理工作的重要性、紧迫性和严峻性，采取有效措施进行综合治理，着力建立健全案件防范长效机制，坚持标本兼治、查防结合、改革流程和部门设置与强化管理并举原则，统筹谋划，精心组织，扎实推进案件专项治理工作。 二、严格经营管理。各银行业金融机构要切实扭转重业务发展、轻风险控制的不良倾向。对分支机构特别是案发的重点地区、重点机构，要从风险管控能力、业务规模、人员素质等方面，重新进行票据、个人消费贷款等业务经营资格的审核，严格进行授权和转授权；对票据审验等技术性较强的岗位实行上岗培训、考试和资格审核，切实查堵操作漏洞。对新发现百万元以上案件的分支机构实施诫勉谈话，由其所属省级机构一把手到总行汇报发案原因及拟采取的措施，由总行进行告诫，并在系统内通报；对连续发现两起百万元以上案件的分支机构，要上收相关业务审批权限；对风险管控不力、存在严重违规操作问题的分支机构，要停办相关业务，切实整改后方可恢复办理。 10 三、强化内部控制。各银行业金融机构要加强内控建设，提升制度执行能力，构筑防范操作风险，尤其是防范案件风险的内部防线。一要加强内控制度建设，尤其是创新业务风险控制和防范的制度建设，并对现行的内控制度包括各种处罚制度进行全面梳理整合和后评价，与现行法规相悖的要立即废止，有漏洞的要及时修订完善，使各项制度全面制约各类决策程序、各项业务过程、各级管理人员和每个员工。二要强化制度执行力度，强化依法合规经营意识，坚决杜绝以信任、习惯代替制度规定和有章不循、违章操作行为。三要推动相对独立的内部审计体系建设，增加内部审计的频率和覆盖面，提高内部审计的独立性、有效性和严肃性。 四、加大检查力度。各银行业金融机构要认真开展案件专项治理“回头看”检查工作，检查所安排的工作是否落实，检查发现问题的整改和处理是否到位，尤其要抓好对易发案薄弱环节、要害部位、重点业务和重要人员的隐患排查，特别要检查重要空白凭证、印鉴密押、授权卡或柜员卡、票据审验、查询查复、对账、枪支管理、金库尾箱等薄弱环节。各银行业金融机构要在系统内组织开展银行承兑汇票业务检查，重点检查银行承兑汇票承兑、贴现、质押等业务制度的建设及执行情况，尤其要防范内外勾结、伪造和克隆票据、 “假作废，真盗用” 、 “大头小尾”等重大风险。银监会将选取重点地区和机构进行银行承兑汇票业务管理的抽查，各银监局也要对所辖地区银行承兑汇票业务风险情况进行抽查。 五、严肃责任追究。各银行业金融机构要建立健全案件责任追究制度，加大案件责任追究力度。一是实行差别化处理。要鼓励自查自纠、自首、举报，对提供线索、业已查实的举报人员要给予奖励；对检查发现或暴露的案件，要在分清责任的基础上，进行“双线问责” ，严格追究责任人和相关领导的责任，同时追究业务管理部门、内部审计部门的失职责任；对涉案金额百万元以上，影响恶劣，后果严重的，要上追两级领导责任。二是引入引咎辞职制度。发生大额和性质严重案件的分支机构负责人必须先行引咎辞职，视案件结果再行处理。三是发生大要案及案件频发分支机构的主要领导要坚决撤换，不得易地同级任职，同时领导班子成员要调离、降级使用或免职。四是涉及违法犯罪的，要及时移送司法机关追究刑事责任，建立和落实案件报告和移送制度。 六、深入调查研究。各银行业金融机构要紧密结合实际，认真总结加强风险控制的主要措施及取得的成效，针对工作中存在的突出问题和薄弱环节，剖析各类案件发生原因，总结案件检查、堵截经验，举一反三，揭示带有规律性的问题，从政策和工作两个层面提出应对措施，增强案件风险防范工作的预见性、针对性和有效性。银监会各级派出机构也要选择典型地区和典型机构开展案件风险防范的研究分析。银监会各级派出机构和各银行业金融机构要将调查研究情况及时报告银监会。 11 七、加强宣传教育。各银行业金融机构要进一步规范案件信息披露的范围、内容、口径、频率、方式等，积极引导舆论进行正面宣传。要宣传案件专项治理的工作措施和成效，充分说明案件排查是银行业加强改革发展的重要措施，只有深挖陈案、堵塞漏洞，才能加强内控、遏制新案，才能真正有效地防范和控制风险，以争取各方面对银行业案件治理工作的理解和支持。同时，各银行业金融机构要结合典型案件，加强社会主义荣辱观教育，强化依法合规经营和防范风险理念，引导员工树立正确的世界观、人生观、价值观，增强法制意识、道德意识和自律意识，规范员工行为，促进员工队伍建设，夯实案件专项治理工作的基础。 八、提升案防合力。银监会各级派出机构要发挥好协调配合与监管服务功能，强化案件治理工作合力。要建立案件治理责任制，将案件治理工作纳入年度目标考核体系，落实案件防范和查处的监管责任。要进一步明确案件报告、跟踪、督办、处理等流程，密切关注案件进展，负责案件责任追究处理的落实工作。要完善案件专项治理的内部联动机制，加强各部门之间的沟通联系和分工协作，提高效率。要建立健全与司法、公安、审计等部门的沟通协调机制，加强综合治理，严厉打击金融犯罪活动，促进案件形势的根本好转。 九、严格行政处罚。银监会各级派出机构要严格依法行政，严肃查处金融违法违规行为。一是责令停业整顿。对辖区内管理不力、违规严重、屡查屡犯的银行业金融机构，要责令其进行停业整顿，并予以公告，视整改情况恢复相关业务的经营资格。二是吊销金融许可证。对辖区内发生重大案件、造成巨额损失、影响极其恶劣的银行业金融机构，要予以吊销金融许可证。三是取消任职资格。对辖区内发生重大案件的银行业金融机构高管人员，要依法取消其一定时期直至终身的银行业金融机构高级管理人员任职资格。四是给予年度综合评级降分或降级。对辖区内管理混乱、违规严重、案件频发的银行业金融机构，要下调其年度综合评分，问题严重的要直接降级。 十、完善案件通报。银监会各级派出机构要坚持定期召开案件情况通报会，通报辖内各银行业金融机构近期发现的主要案件及办结处理情况，解剖案发原因，吸取教训，交流案件查处经验，研究切实有效的案件综合治理措施。对各银行业金融机构发生的大要案，要向其股东、股权董事（不包括外部董事）通报；对大要案屡次发生、高发多发势头得不到扭转的大型商业银行，银监会将向国务院及中组部作出专报。同时，各银行业金融机构对大要案，必须在系统内通报案件情况和责任人处理情况，深刻吸取教训。 十一、加强监管问责。银监会将加大对案件查处工作督促、指导、检查不力银监局的监管问责力度。对未落实案件专项治理责任制的，缺乏切实可行的案件专项治理工作计划和措施的，未及时提示案件风险隐患的，瞒报、漏报、迟报案件的，辖内案件发生率长期居高不下或同类案件反复发生的和 12 大要案查处不力的银监局，银监会将严格追究其主要负责人、有关方面负责人的责任。 请各银监局将本通知转发至辖内银行业金融机构。 二六年六月二十三日中国银行业监督管理委员会关于进一步加强房地产信贷管理的通知银监发200654 号各银监局，各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司，国家邮政局邮政储汇局，银监会直接监管的信托投资公司、财务公司、金融租赁公司：为进一步落实国务院办公厅转发建设部等部门关于调整住房供应结构稳定住房价格意见的通知 （国办发200637 号）精神，加强和改进银行业金融机构房地产信贷管理，促进房地产市场持续健康发展，现提出以下要求，请认真贯彻执行。一、加强市场研究，增强市场适应能力。房地产业是我国新的发展阶段的一个重要支柱产业。各银行业金融机构要充分认识贯彻科学发展观对确保房地产业及国民经济协调健康发展的重要意义，深入分析房地产市场发展与信贷增长的相互关系，关注房地产业发展周期及房地产市场、客户出现的新变化，建立与政府规划、土地、建设、人民银行、统计等部门的信息沟通机制，及时对房地产行业政策调整及市场变化作出反应。二、坚持科学发展观，制定稳健经营战略。各银行业金融机构要研究制定稳健的房地产信贷政策和发展战略，科学把握房地产贷款的成本和风险变化，防止盲目跟进和授信过度集中。要根据房地产市场形势，及时分析房地产贷款风险状况，调整房地产贷款结构及投放策略，健全资本约束和稳健经营机制，确保房地产信贷审慎投放和稳健运行。三、完善内控措施，健全风险管理制度。各银行业金融机构要按照银监会商业银行房地产贷款风险管理指引 （银监发200457 号）及有关规 13 定，对房产开发贷款、土地储备贷款、个人住房贷款、商业用房贷款等不同类型贷款的审批标准、操作程序、风险控制、贷后管理等作出明确规定。完善各类房地产贷款风险分类制度，建立动态的风险拨备机制。改进房地产贷款客户的信用评级和统一授信管理办法。建立各类房地产贷款分类统计及风险敞口的月度监测与分析制度，健全房地产贷款风险评估和预警指标体系。四、严格执行有关信贷管理规定，规范开发贷款行为。各银行业金融机构要扎实做好房地产贷款“三查” ，全过程监控开发商项目资本金水平及其变化，严禁向项目资本金比例达不到 35%（不含经济适用房） 、 “四证”不齐等不符合贷款条件的房地产开发企业发放贷款。合理确定贷款期限，严禁以流动资金贷款名义发放开发贷款。对于囤积土地和房源、扰乱市场秩序的开发企业，要严格限制新增房地产贷款。防止开发企业利用拆分项目、滚动开发等手段套取房地产贷款。五、加强尽职调查，注重防范土地储备贷款风险。各银行业金融机构要认真评估和审慎发放土地储备贷款。贷款前，要加强对储备土地的性质、权属关系、契约限制、开发规划等方面的尽职调查，严格贷款发放条件。要科学、动态地测算和监控土地收储费用，开设专门的托管账户，警惕土地以低成本转让，确保土地出让收入优先归还银行贷款。要合理确定贷款额度和违约必须提前还款的罚则，避免土地储备机构盲目“圈地” 、盲目批地对贷款造成风险。要完善相关抵押手续，认真落实第二还款来源，根据风险状况审慎确定抵押率。六、引导合理的个人住房消费，加强按揭贷款管理。各银行业金融机构要积极开展个人首套自住房贷款，稳妥发展二手房贷款市场。首付款比例应当依据借款人还贷风险确定，不宜一刀切。要严格执行个人住房贷款风险监测等尽职调查制度，加强对各项权证的完整性、真实性和有效性审核，加强按揭贷款抵押登记审查，积极采取措施防范期房抵押贷款一次性支付风险，防止一些资质低下的企业利用预售环节将风险转嫁给银行，严厉打击“虚假按揭”等套取和诈骗银行贷款的行为，维护银行业和消费者合法权益。七、强化贷后管理，防范和控制信贷风险。各银行业金融机构要严格按照房地产项目工程进度发放贷款，加强房地产开发贷款使用的全过程监控。健全开发贷款的封闭性管理措施，严密监控房屋销（预）售资金流向，可实行销（预）售资金专户管理，确保专款专用；同时，高度关注未实行封闭管理的开发贷款。加强对贷款抵押物的管理及抵押物价值变化的监测与评估，对抵押手续不完善及抵押物不足额的部分及时追加有关担保。一旦发现开发企业挪用房地产贷款，要采取严厉的惩罚措施直至提前收回贷款。 14 八、进一步规范信托投资公司房地产贷款业务。信托投资公司开办房地产贷款业务，或以投资附加回购承诺等方式间接发放房地产贷款，要严格执行关于加强信托投资公司部分业务风险提示的通知 （银监办发2005212 号）有关规定；用集合信托资金发放房地产贷款，要严格执行信息披露制度。银行业监管部门要根据本通知精神加强对信托投资公司房地产贷款业务的监督管理。九、银行业监管部门要加强窗口指导和风险提示，加大违规查处力度。要引导各银行业金融机构充分利用银监会客户风险信息系统及人民银行征信系统平台，及时登录有关房地产贷款客户不守信用、违规操作等不良信息，严密监测境内外各类客户违约情况；加强同业合作，防范和控制客户跨行违约行为，建立违约客户“黑名单”等联合惩戒机制；研究由房地产企业落实期房抵押贷款担保等防范信贷风险的措施。银行业监管部门要加强房地产信贷风险情况的调查分析，建立房地产信贷风险监测报告和定期通报制度。当前，要把对房地产贷款合规性检查作为现场检查的重要内容，对房地产贷款违规经营、造成贷款损失等问题予以严肃处理，情节严重的，银监会将在媒体公开披露并依法实施业务叫停。各银行业金融机构要高度重视房地产信贷管理工作，认真贯彻中央关于加强房地产市场调控的决策和部署，严格按照监管要求，紧密结合实际，完善房地产信贷管理相关制度及措施，于 2006 年 9 月底前将贯彻落实情况上报银监会。遇到新情况、新问题，要及时向银监会有关部门反映。请各银监局将本通知转发至辖内各银行业金融机构。 二六年七月二十二日 15 中国银监会关于印发银行业金融机构信息系统风险管理指引的通知银监发200663 号各银监局，各政策性银行、国有商业银行、股份制商业银行，各金融资产管理公司，各省（区、市）农村信用社联合社、国家邮政局邮政储汇局，银监会直接监管的信托投资公司、财务公司、金融租赁公司，中央国债登记结算公司，建银投资公司： 现将银行业金融机构信息系统风险管理指引印发给你们，请认真执行。请各银监局将本通知转发至辖内银行业金融机构。 二 00 六年八月七日 银行业金融机构信息系统风险管理指引第一章 总 则第一条 为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行， 16 根据中华人民共和国银行业监督管理法 、国家信息安全相关要求和有关信息系统管理的法律法规，制定本指引。 第二条 本指引适用于银行业金融机构。 本指引所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。 在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会（以下简称银监会）及其派出机构批准设立的其他金融机构，适用本指引规定。 第三条 本指引所称信息系统，是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理活动和内部控制的系统。 第四条 本指引所称信息系统风险，是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。 第五条 信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力。 第二章 机构职责第六条 银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。 第七条 银行业金融机构应认真履行下列信息系统管理职责： （一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求； （二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实； （三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息； （四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应； （五）每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告； （六）做好本机构信息系统审计工作； 17 （七）配合银监会及其派出机构做好信息系统风险监督检查工作，并按照监管意见进行整改； （八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训； （九）开展与信息系统风险管理相关的其他工作。 第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理；信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略，统筹信息系统项目建设，定期评估、报告本机构信息系统风险状况，为决策层提供建议，采取相应的风险控制措施。 第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。 第十条 银行业金融机构应设立信息科技部门，统一负责本机构信息系统的规划、研发、建设、运行、维护和监控，提供日常科技服务和运行技术支持；建立或明确专门信息系统风险管理部门，建立、健全信息系统风险管理规章、制度，并协助业务部门及信息科技部门严格执行，提供相关的监管信息；设立审计部门或专门审计岗位，建立健全信息系统风险审计制度，配备适量的合格人员进行信息系统风险审计。 第十一条 银行业金融机构从事与信息系统相关的工作人员应符合以下要求： （一）具备良好的职业道德，掌握履行信息系统相关岗位职责所需的专业知识和技能； （二）未经岗前培训或培训不合格者不得上岗；经考核不适宜的工作人员，应及时进行调整。 第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设，建立人才激励机制，适应信息技术的发展。 第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。 第三章 总体风险控制第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。 18 第十五条 银行业金融机构应根据信息系统总体规划，制定明确、持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制。 第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁，防止各类突发事故和恶意攻击。 第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等；明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。 第十八条 在境外设立的我国银行业金融机构或在境内设立的境外银行业金融机构，应防范由于境内外信息系统监管制度差异等造成的跨境风险。 第十九条 银行业金融机构应严格执行国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，实行信息安全等级保护。 第二十条 银行业金融机构应加强对信息系统的评估和测试，及时进行修补和更新，以保证信息系统的安全性、完整性。 第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家 A 类机房标准，省域数据中心至少应达到国家 B 类机房标准，省域以下数据中心至少应达到 C 类机房标准。数据中心机房应实行严格的门禁管理措施，未经授权不得进入。 第二十二条 银行业金融机构应重视知识产权保护，使用正版软件，加强软件版本管理，优先使用具有中国自主知识产权的软、硬件产品；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护本机构信息化成果。 第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程，选用的设备应经过技术论证，测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性，并配置适当的备品备件。 第二十四条 信息系统的网络应参照相关的标准和规范设计、建设；网络设备应兼备技术先进性和产品成熟性；网络设备和线路应有冗余备份；严格线路租用合同管理，按照业务和交易流量要求保证传输带宽；建立完善的网管中心，监测和管理通信线路及网络设备，保障网络安全稳定运行。 第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、 19 入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。 第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。 第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理，不得脱离系统采集加工、传输、存取数据；优化系统和数据库安全设置，严格按授权使用系统和数据库，采用适当的数据加密技术以保护敏感数据的传输和存取，保证数据的完整性、保密性。 第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续。 第二十九条 银行业金融机构应制定信息系统应急预案，并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。 第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理；技术文档资料和重要数据应保留副本并异地存放，按规定年限保存，调用时应严格授权。信息系统的技术文档资料包括：系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括：交易数据、帐务数据、客户数据，以及产生的报表数据等。 第三十一条 银行业金融机构在信息系统可能影响客户服务时，应以适当方式告知客户。 第四章 研发风险控制第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。 第三十三条 银行业金融机构信息系统研发前应成立项目工作小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成，具体负责整个项目的开发工作。 20 第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识，小组负责人需具备组织领导能力,保证信息系统研发质量和进度。 第三十五条 银行业金融机构业务部门根据本机构业务发展战略，在充分进行市场调查、产品效益分析的基础上制定项目可行性报告。 第三十六条 银行业金融机构业务部门编写项目业务需求说明书，提出风险控制要求，信息科技部门根据项目需求编制功能说明书。 第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书，设计和编码应符合功能说明书的要求。 第三十八条 银行业金融机构应建立独立的测试环境，以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。 第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷，提高系统的整体质量。第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练。 第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。 第四十二条 项目验收应出具由相关负责人签字的项目验收报告，验收不合格不得投产使用。 第五章 运行维护风险控制第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。 第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。 第四十五条 银行业金融机构信息系统的运行应符合以下要求： （一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息； 21 （二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等； （三）提供机房环境、设备使用、网络运行、系统运行等监控信息； （四）记录运行值班过程中所有现象、操作过程等信息。 第四十六条 银行业金融机构信息系统的维护应符合以下要求： （一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作； （二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计； （三）提供维护的统计和报表打印功能； 第四十七条 银行业金融机构信息系统的变更应符合以下要求： （一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作； （二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性。 （三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验； （四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。 第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。 第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行 24 小时值班。 第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。 第六章 外包风险控制第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。 22 第五十二条 银行业金融机构在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。 第五十三条 银行业金融机构应建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。 第五十四条 银行业金融机构应当与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任。 第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中。 第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序，审慎管理外包产生的风险，提高本机构对外包管理的能力。 第五十七条 信息系统外包风险管理应当符合金融机构的风险管理标准和策略，并应建立针对外包风险的应急计划。 第五十八条 银行业金融机构应与承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更，保证外包服务不间断的应急预案。 第五十九条 银行业金融机构将敏感的信息系统，以及其他涉及国家秘密、商业秘密和客户隐私数据管理与传递等内容进行外包时，应遵守国家有关法律法规，符合银监会的有关规定，经过董事会或其他决策机构批准，并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。 第七章 审 计第六十条 银行业金融机构内设审计部门负责本机构信息系统审计，也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。 第六十一条 信息系统风险审计应包括：总体风险审计、系统审阅和专项风险审计。 第六十二条 总体风险审计是指对本机构所有信息系统共有的公共部分进行审计，实施总体风险控制。根据信息系统的总体风险状况确定审计频率，但至少每 3 年审计一次。 第六十三条 信息系统的系统审阅是指对研发、运行及退出的全过程进行审计，分投产前与投产后的审阅。 23 第六十四条 投产前的系统审阅是指审计人员采用非现场形式，对信息项目开发过程中所提交的有关文档资料进行审阅，指出其中存在的风险，了解是否具有相应的控制措施，并提出评价和建议的过程。信息系统投产前的系统审阅应关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容。 投产前的系统审阅重点： （一）被外界成功攻破的可能性； （二）在内部安全控制方面的设计漏洞与缺陷； （三）项目开发管理方面的问题； （四）效率与效能； （五）功能、设计和工作流程是否符合法律、法规和内部控制方面的规定并有连续兼容性； （六）其他需重点审阅的内容。 第六十五条 投产前的系统审阅文档资料包括： （一）项目可行性报告； （二）项目需求说明书； （三）项目功能说明书（包括业务与技术方面存在的风险及控制办法） ； （四）项目总体技术框架； （五）项目设计说明书； （六）项目实施计划； （七）与第三方签订的外包协议； （八）测试计划及验收报告； （九）投产计划； （十）项目开发例会的会议记录； （十一）操作手册； （十二）其他需审阅的文档资料。 对于所含内容较多的文档资料，应对关键交易的数据处理流程、交易接口和其他重要的安全事项进行审阅。 第六十六条 投产后的系统审阅是指在信息系统投入生产一段时间后进行的审计，旨在评估对信息系统各项风险的控制是否恰当，能否实现预定的设计目标。投产后的系统审阅应在信息系统投入生产半