风险管理与内部控制
第一节 风险管理
第八十二条 商业银行董事会对银行风险管理承担最终责任。
商业银行董事会应当根据银行风险状况、发展规模和速度,建立全面的风险管理战略、政策和程序,判断银行面临的主要风险,确定适当的风险容忍度和风险偏好,督促高级管理层有效地识别、计量、监测、控制并及时处置商业银行面临的各种风险。
第八十三条 商业银行董事会及其风险管理委员会应当定期听取高级管理层关于商业银行风险状况的专题报告,对商业银行风险水平、风险管理状况、风险承受能力进行评估,并提出全面风险管理意见。
第八十四条 商业银行应当建立独立的风险管理部门,并确保该部门具备足够的职权、资源以及与董事会进行直接沟通的渠道。
商业银行应当在人员数量和资质、薪酬和其他激励政策、信息科技系统访问权限、专门的信息系统建设以及商业银行内部信息渠道等方面给予风险管理部门足够的支持。
第八十五条 商业银行风险管理部门应当承担但不限于以下职责:
(一)对各项业务及各类风险进行持续、统一的监测、分析与报告;
(二)持续监控风险并测算与风险相关的资本需求,及时向高级管理层和董事会报告;
(三)了解银行股东特别是主要股东的风险状况、集团架构对商业银行风险状况的影响和传导,定期进行压力测试,并制定应急预案;
(四)评估业务和产品创新、进入新市场以及市场环境发生显著变化时,给商业银行带来的风险。
第八十六条 商业银行可以设立独立于操作和经营条线的首席风险官。
首席风险官负责商业银行的全面风险管理,并可以直接向董事会及其风险管理委员会报告。
首席风险官应当具有完整、可靠、独立的信息来源,具备判断商业银行整体风险状况的能力,及时提出改进方案。
首席风险官的聘任和解聘由董事会负责并及时向公众披露。
第八十七条 商业银行应当在集团层面和单体层面分别对风险进行持续识别和监控,风险管理的复杂程度应当与自身风险状况变化和外部风险环境改变相一致。
商业银行应当强化并表管理,董事会和高级管理层应当做好商业银行整体及其子公司的全面风险管理的设计和实施工作,指导子公司做好风险管理工作,并在集团内部建立必要的防火墙制度。
第八十八条 商业银行被集团控股或作为子公司时,董事会和高级管理层应当及时提示与要求集团或母公司,在制定全公司全面发展战略和风险政策时充分考虑商业银行的特殊性。
第二节 内部控制
第八十九条 商业银行董事会应当持续关注商业银行内部控制状况,建立良好的内部控制文化,监督高级管理层制定相关政策、程序和措施,对风险进行全过程管理。
第九十条 商业银行应当建立健全内部控制责任制,确保董事会、监事会和高级管理层充分认识自身对内部控制所承担的责任。
董事会、高级管理层对内部控制的有效性分级负责,并对内部控制失效造成的重大损失承担责任。
监事会负责监督董事会、高级管理层完善内部控制体系和制度,履行内部控制监督职责。
第九十一条 商业银行应当有效建立各部门之间的横向信息传递机制,以及董事会、监事会、高级管理层和各职能部门之间的纵向信息传递机制,确保董事会、监事会、高级管理层及时了解银行经营和风险状况,同时确保内部控制政策及信息向相关部门和员工的有效传递与实施。
第九十二条 商业银行应当设立相对独立的内部控制监督与评价部门,该部门应当对内部控制制度建设和执行情况进行有效监督与评价,并可以直接向董事会、监事会和高级管理层报告。
第九十三条 商业银行应当建立独立垂直的内部审计管理体系和与之相适应的内部审计报告制度和报告路线。
商业银行可以设立首席审计官。首席审计官和内部审计部门应当定期向董事会及其审计委员会和监事会报告审计工作情况,及时报送项目审计报告,并通报高级管理层。
首席审计官和审计部门负责人的聘任和解聘应当由董事会负责。
第九十四条 商业银行应当建立外聘审计机构制度。
商业银行应当外聘审计机构进行财务审计,对商业银行的公司治理、内部控制及经营管理状况进行定期评估。商业银行应将相关审计报告和管理建议书及时报送银行业监督管理机构。
第九十五条 董事会、监事会和高级管理层应当有效利用内部审计部门、外部审计机构和内部控制部门的工作成果,及时采取相应纠正措施。