ICS 3.06 CCS A 11 中华人民共和国国家标准 GB/T 42422—2023 框架 金融机构风险管理 Financial institution risk management-Framework 2023-03-17发布 2023-03-17实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42422—2023 目 次 前言 范围 2 规范性引用文件 术语和定义 4 基本要求 风险管理原则 5 5.1 匹配性原则 5.2 全覆盖原则 5.3 独立性原则 5.4 有效性原则 5.5 预见性原则 5.6 合规性原则 5.7 最小影响原则 6风险管理框架 6.1 风险治理架构 6.2 风险管理策略、风险偏好和风险限额 6.3 风险管理政策和程序 6.4 压力测试 6.5 风险管理信息系统和数据质量 6.6 内部控制和内部审计 6.7 应急机制 参考文献 GB/T 42422—2023 前言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国金融标准化技术委员会（SAC/TC180）提出并归口。 本文件起草单位：中国标准化研究院、中国金融教育发展基金会、北京基金小镇管理委员会、中金金 融认证中心有限公司、中央财经大学、中国农业银行股份有限公司、交通银行股份有限公司、中国工商银 行股份有限公司、中国银行股份有限公司、中国银行业协会、北京金融信息化研究所有限责任公司、中国 建设银行股份有限公司、国泰君安证券股份有限公司、上海市信息安全测评认证中心、清华大学。 本文件主要起草人：黄师、杨子强、王微微、李晓慧、周一晨、卫安已、谢宗晓、李健、王辉、苟琴、郭剑光、 姜富伟、陈颖、吴错、史秀红、谢婷、徐弘熙、黄一朕、王珣、李宽、杨希、李琳、边鹏、俞枫、李宏达、王博璐、 邬大港。 GB/T 42422—2023 金融机构风险管理 框架 1范围 本文件规定了金融机构风险管理基本要求，确立了风险管理原则和风险管理框架等， 本文件适用于金融机构风险管理体系建设和实务。地方金融组织可参考本文件开展风险管理体系 建设和风险管理实务。 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T42339—2023金融机构风险管理术语 3术语和定义 GB/T42339一2023界定的术语和定义适用于本文件。 4基本要求 金融机构应建立健全风险管理体系，制定风险管理策略，运用风险管理方法和工具，根据自身的风 险偏好，控制和管理所承担的信用风险、市场风险、流动性风险、操作风险、国别风险、声誉风险、战略风 等各类风险，定期对风险管理体系进行评估，根据评估结果改进风险管理工作。 5风险管理原则 5.1匹配性原则 风险管理与金融机构的风险状况和系统重要性等相适应，并根据环境变化进行调整， 5.2全覆盖原则 风险管理覆盖金融机构所有业务，所有分支机构、附属机构、部门、岗位和人员，所有风险种类和不 同风险之间的相互影响，贯穿包括决策、执行和监督在内的全部管理环节，加强金融机构与股东和实际 控制人等之间的关联交易管理，防范道德风险。 5.3独立性原则 风险管理组织架构独立于其他业务条线，赋予风险管理条线足够的授权、人力资源及其他资源配 置，建立科学合理的报告渠道。 1 GB/T42422—2023 5.4有效性原则 风险管理的结果应用于金融机构的经营管理，根据风险状况、市场和宏观经济情况评估资本和流动 性的充足性，有效抵御所承担的总体风险和各类风险。 5.5 5预见性原则 强化风险预测分析，合理预见各种可能出现的风险，协调各项业务发展。 5.6合规性原则 遵循国家相关政策和标准开展风险管理工作。 5.7最小影响原则 风险管理活动对业务系统正常运行的可能影响降到最低限度，保障业务系统的稳定运行。 6风险管理框架 6.1风险治理架构 6.1.1金融机构应建立组织架构健全、职责边界清晰的风险治理架构，明确董事会、监事会、高级管理 层、业务部门、风险管理部门和内审部门在风险管理中的职责分工， 6.1.2金融机构应确定业务部门承担风险管理的直接责任，风险管理部门承担制定风险管理政策和流 程，监测和管理风险的责任，内审部门承担业务部门和风险管理部门履职情况的审计责任。 6.1.3金融机构应建立风险管理策略、设定风险偏好和风险限额，建立多层次、相互协调、有效制衡的 运行机制，确保风险管理策略、风险偏好和风险限额得到充分传达和有效实施，且定期评估，必要时优化 和调整。金融机构应赋予风险管理职能部门和各类风险管理部门充足的资源、独立性和授权。 6.1.4金融机构应采取定性和定量相结合的方法，识别、分析、评估、计量、监测、报告、控制或缓释所承 担的各类风险，并考虑不同风险的关联性，审慎评估风险之间的相互影响，防范跨境、跨业风险 6.2风险管理策略、风险偏好和风险限额 6.2.1风险管理策略 金融机构应制定清晰的风险管理策略，至少每年评估一次风险管理策略以判定其有效性。风险管 理策略应反映风险偏好、风险状况及外部环境变化，并在机构内部得到充分传导和理解。 6.2.2风险偏好 金融机构应结合战略目标、经营计划、资本规划、绩效考评和薪酬机制等制定风险偏好。定期对风 险偏好进行评估，风险偏好应涵盖以下内容： a） 战略目标和经营计划的制定依据，风险偏好与战略目标、经营计划的关联性； b) 为实现战略目标和经营计划愿意承担的风险总量； c) 愿意承担的各类风险的最大水平； d) 风险偏好的定量指标，或难以量化风险偏好的定性描述； e) 资本、流动性抵御总体风险和各类风险的水平； f) 风险偏好的调整机制和处置方法； 其他需要权衡风险才能做出决策的事宜。 2 GB/T 42422—2023 6.2.3风险限额 金融机构应综合考虑资本、风险集中度、流动性、交易目标等因素，制定风险限额管理的政策和程 序，建立风险限额的设定和调整、超限额的报告和处理机制。 6.3 风险管理政策和程序 金融机构的风险管理政策和程序应涵盖以下内容： 风险管理的方法，包括各类风险的识别、分析、评估、计量、监测、报告、控制或缓释，风险加总的 a) 方法和程序； b) 压力测试安排； c) 新产品、重大业务和机构变更的风险评估； d) 资本和流动性充足情况评估； e) 应急计划、恢复计划； 反洗钱和反恐怖融资； g) 信息科技风险的防范； h) 关联交易行为规范和关联交易风险的防范； i) 声誉风险的防范与化解； j) 其他涉及风险相关的流程。 6.4 压力测试 6.4.1基本要求 金融机构应建立与规模、业务复杂程度和风险状况相适应的压力测试体系，根据环境变化进行调 整，并将其纳入各个层次的风险管理活动。压力测试体系组成如下： 治理结构； a） b) 政策文档； 方法流程； d) 情景设计； e) 保障支持； f) 验证评估。 6.4.2 压力测试流程 完整的压力测试包括以下流程： a) 定义测试目标； 确定风险因素； c) 设计压力情景； d) 收集测试数据； e) 设定假设条件； f) 确定测试方法； 进行压力测试； g) h) 测试结果分析； i) 确定潜在风险和脆弱环节； j) 汇报测试结果； 3 GB/T42422—2023 k）采取改进措施。 6.4.3压力测试实施 金融机构应定期开展全面的压力测试，压力测试应涵盖各类主要风险和表内外各个主要业务领 域，并充分考虑各项业务间的相互作用和反馈效应，以及风险因子与承压指标间可能存在的非线性关 系，整合各类风险的压力测试结果，据此反映金融机构风险的整体情况。 6.5风险管理信息系统和数据质量 6.5.1风险管理信息系统 金融机构应建立与风险偏好、业务规模、风险状况等匹配的风险管理信息系统，利用大数据、人工智 能等技术优化各类风险管理信息系统，将数字化风控工具嵌入业务流程，计量、评估、监测、报告所有风 险类别、产品和交易对手风险暴露的规模和构成。风险管理信息系统主要功能如下： a） 支持识别、计量、评估、监测和报告所有类别的重要风险； b) 支持风险限额管理，对超出风险限额的情况进行实时监测、预警和控制； c） 能够计量、评估和报告所有风险类别、产品和交易对手的风险状况，满足全面风险管理需要； d) 支持按照业务条线、机构、资产类型、行业、地区、集中度等多个维度展示和报告风险暴露情况： e） 支持压力测试工作，评估各种不利情景对金融机构及主要业务条线的影响。 6.5.2数据质量 金融机构应建设与业务规模、风险状况等相匹配的信息科技基础设施，健全数据质量控制体系，积 累真实、准确、连续、完整的内部和外部数据，用于风险识别、计量、评估、监测、报告，以及资本和流动性 充足情况的评估，通过数据能力建设保证数据质量，具体内容如下 a）健全数据治理体系。制定大数据发展战略，成立数据管理部门，发挥数据治理体系建设组织推 动和管理协调作用，加强业务条线数据团队建设。完善数据治理制度，运用科技手段推动数据 治理系统化、自动化和智能化。完善考核评价机制，强化数据治理检查、监督与问责。 b 增强数据管理能力。构建覆盖全生命周期的数据资产管理体系，优化数据架构，加强数据资产 积累。建立大数据平台，全面整合内外部数据，实现全域数据的统一管理、集中开发和融合共 享。加强数据权限管控，完善数据权限审核规则和机制。 c）加强数据质量控制。对数据源头管理，建设以数据认责为基础的数据质量管控机制。建立数 据标准体系