商业银行信息科技监管评级定量和定性标准
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1、信息科技治理组织架构(8分)(1)就是否确立董事会、高管层信息科技管理职责。
(2)就是否建立完善的信息科技管理制度体系。
(3)就是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)就是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责就是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察就是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度就是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察就是否明确信息科技管理、信息科技风险管理与信息科技风险监督的“三道防线”职责,“三道防线”部门设置就是否合规;就是否设立信息科技管理委员会,成员来自高管层、信息科技部门与主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行就是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;就是否制定了信息科技治理运作效果考核指标并定期进行评价。
2、信息科技对业务发展的专业支持与匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员就是否具备足够的信息科技专业知识能力。
评分原则:(1)考察就是否建立明确、可实施的信息科技发展战略;就是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平就是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层就是否具有一定的占比;就是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官就是否具有一定的信息科技专业背景或从业经验。
商业银行信息科技监管评级定量和定性标准
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责.(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线"部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作.(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价.2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度.(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力.评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度.(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
中国银监会关于印发商业银行监管评级内部指引的通知
中国银监会关于印发商业银行监管评级内部指引的通知【法规类别】银行类金融机构【发文字号】银监发[2014]32号【发布部门】中国银行业监督管理委员会【发布日期】2014.06.19【实施日期】2014.06.19【时效性】现行有效【效力级别】部门规范性文件中国银监会关于印发商业银行监管评级内部指引的通知(银监发[2014]32号)各银监局:现将《商业银行监管评级内部指引》印发给你们,请遵照执行。
中国银行业监督管理委员会2014年6月19日商业银行监管评级内部指引第一章总则第一条为加强商业银行风险监管,完善商业银行同质同类比较和差别监管模式,合理分配监管资源,根据《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引所称商业银行是指在中华人民共和国境内依法设立的中资商业银行、外商独资银行和中外合资银行。
本指引适用于对上述商业银行法人机构的监管评级,但不适用于当年新设立的商业银行(农村商业银行除外)的监管评级。
监管机构可以依据本指引对当年新设立的商业银行进行试评级。
政策性银行、农村合作银行、农村信用社、村镇银行以及经银监会批准成立的其他金融机构的监管评级参照本指引执行。
第三条商业银行监管评级体系由监管评级要素体系、评级方法体系、评级操作规程体系和评级结果运用体系构成。
第二章评级要素及评级方法第四条商业银行监管评级要素共7项,分别为资本充足(C)、资产质量(A)、管理质量(M)、盈利状况(E)、流动性风险(L)、市场风险(S)和信息科技风险(I)。
第五条商业银行监管评级要素由定量和定性两类评级指标组成。
各监管评级要素的评价结果通过对评级指标的定量、定性评估,结合监管人员的专业判断综合得出。
第六条评级方法主要包含以下核心内容:(一)评级要素权重设置。
7项评级要素的标准权重分配如下:资本充足(15%)、资产质量(15%)、管理质量(20%)、盈利状况(10%)、流动性风险(20%)、市场风险(10%)和信息科技风险(10%)。
商业银行监管评级定量和定性评价标准(32附件2)
分数
50 8 8 8 10 8 8 60
40 不良贷款率 逾期90天以上贷款 与不良贷款比例 A:资产质量 15% 单一客户贷款集中 度/单一集团客户 授信集中度 全部关联度 拨备覆盖率 20%
不良贷款和其他不良资产的变动趋势 信用风险资产集中度
10
15%
5
25% 15% 25%
信用风险管理的政策、程序及其有效性 贷款风险分类制度的完善和有效 保证贷款和抵(质)押贷款及其管理状况 贷款以外其他表内外资产的风险管理状况 决策机制
监督机制 执行机制
15 10 5 15 10 4 6 8 6 6 10 10 10 20 5 5 50 12 12 12 7 7 60
发展战略、价值准则和社会责任 激励约束机制
M:管理质量 20% -
信息披露 内部控制环境 风险识别与评估 内部控制措施 数据质量管理 信息交流与反馈 监督评价与纠正
50
12 12 20 8 8 70 20 40 10 15 12 10 14 12 15 12 10
流动性比例 流动性覆盖率
30
利率风险敏感度 S:市场风险 10% 累计外汇敞口头寸 比例 50% 50%
市场风险管理框架 市场风险的识别、计量、监测和控制 市场风险管理其他要素
信息科技治理 信息科技风险管理 信息科技审计 信息安全管理 信息系统开发与测试 信息科技运行与维护 业务连续性管理 信息科技外包管理 重大关注事项
资产利润率 资本利润率 E:盈利状况 10% 成本收入比率 风险资产利润率 净息差 非利息收入比例
20% 20% 20% 15% 15% 10% 40 30% 35% 35%
盈利的真实性 盈利的稳定性 盈利的风险覆盖性 盈利的可持续性 财务管理的有效性
商业银行监管评级标准
商业银行监管评级标准
商业银行监管评级标准是一个综合性的评估体系,主要用于评估商业银行的风险状况和管理水平。
以下是对商业银行监管评级标准的详细介绍:
1.评级要素:商业银行监管评级要素包括资本充足、资产质量、公司治理与管理质量、盈利状况、流动性风险、市场风险、数据治理、信息科技风险和机构差异化要素。
这些要素涵盖了商业银行经营管理的各个方面,是评估商业银行风险状况的重要依据。
2.评级方法:商业银行监管评级方法主要包含评级要素权重设置、评级指标和评级要素得分等方面。
各监管评级要素的标准权重分配是:资本充足(15%)、资产质量(15%)、公司治理与管理质量(20%)、盈利状况(5%)、流动性风险(15%)、市场风险(10%)、数据治理(5%)、信息科技风险(10%)、机构差异化要素(5%)。
银保监会根据监管重点、银行业务复杂程度和风险特征具体设定和调整各评级要素权重。
3.评级级别:监管评级结果分为1-6级,其中,1级为最高级别,表示银行风险最小,管理最健全;6级为最低级别,表示银行存在的问题极度严峻,可能或已经发生信用危机。
评级结果为1-6级的,数值越大反映机构风险越大,需要越高程度的监管关注。
此外,如果银行无法正常经营,出现信用危机,严重影响银行消费者和其他客户合法权益及金融秩序稳定的,监管评级结果应为5级或6级。
其中,综合评级结果为5级和6级,表示银行为高风险机构。
总的来说,商业银行监管评级标准是银行业监管机构对商业银行实施风险监管的重要手段,有助于及时发现和处置商业银行的风险问题,保障银行业的稳健运行。
中国银监会关于印发商业银行监管评级内部指引的通知
中国银监会关于印发商业银行监管评级内部指引的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2014.06.19•【文号】银监发〔2014〕32号•【施行日期】2014.06.19•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银监会关于印发商业银行监管评级内部指引的通知银监发〔2014〕32号各银监局:现将《商业银行监管评级内部指引》印发给你们,请遵照执行。
中国银行业监督管理委员会2014年6月19日商业银行监管评级内部指引第一章总则第一条为加强商业银行风险监管,完善商业银行同质同类比较和差别监管模式,合理分配监管资源,根据《中华人民共和国商业银行法》、《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引所称商业银行是指在中华人民共和国境内依法设立的中资商业银行、外商独资银行和中外合资银行。
本指引适用于对上述商业银行法人机构的监管评级,但不适用于当年新设立的商业银行(农村商业银行除外)的监管评级。
监管机构可以依据本指引对当年新设立的商业银行进行试评级。
政策性银行、农村合作银行、农村信用社、村镇银行以及经银监会批准成立的其他金融机构的监管评级参照本指引执行。
第三条商业银行监管评级体系由监管评级要素体系、评级方法体系、评级操作规程体系和评级结果运用体系构成。
第二章评级要素及评级方法第四条商业银行监管评级要素共7项,分别为资本充足(C)、资产质量(A)、管理质量(M)、盈利状况(E)、流动性风险(L)、市场风险(S)和信息科技风险(I)。
第五条商业银行监管评级要素由定量和定性两类评级指标组成。
各监管评级要素的评价结果通过对评级指标的定量、定性评估,结合监管人员的专业判断综合得出。
第六条评级方法主要包含以下核心内容:(一)评级要素权重设置。
7项评级要素的标准权重分配如下:资本充足(15%)、资产质量(15%)、管理质量(20%)、盈利状况(10%)、流动性风险(20%)、市场风险(10%)和信息科技风险(10%)。
实用文库汇编之商业银行监管评级定量和定性评价标准
*作者:座殿角*作品编号48877446331144215458创作日期:2020年12月20日实用文库汇编之附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy) (5)(一)定量指标(50分) (5)1.资本充足率(40%) (5)2.一级资本充足率(20%) (5)3.核心一级资本充足率(10%) (5)4.杠杆率(30%) (6)(二)定性因素(50分) (7)1.银行资本质量和构成(8分) (7)2.银行整体财务状况及对资本的影响(8分) (8)3.银行资产质量及拨备计提情况(8分) (8)4.银行资本补充能力(10分) (9)5.银行资本管理情况(8分) (10)6.银行监管资本的风险覆盖和风险评估情况(8分) (12)二、资产质量(Asset Quality) (14)(一)定量指标(40分) (14)1.不良贷款率(20%) (14)2.逾期90天以上贷款与不良贷款比例(15%) (14)3.单一客户贷款集中度/单一集团客户授信集中度(25%) (15)4.全部关联度(15%) (15)5.拨备覆盖率(25%) (16)(二)定性因素(60分) (16)1.不良贷款和其他不良资产的变动趋势(10分) (16)2.信用风险资产集中度(5分) (17)3.信用风险管理的政策、程序及其有效性(15分) (18)4.贷款风险分类制度的完善和有效(10分) (19)5.保证贷款和抵(质)押贷款及其管理状况(5分) (21)6.贷款以外其他表内外资产的风险管理状况(15分) (22)三、管理质量(Management Quality) (23)(一)银行公司治理(40分) (23)1.决策机制(10分) (23)2.监督机制(4分) (25)3.执行机制(6分) (25)4.发展战略、价值准则和社会责任(8分) (26)5.激励约束机制(6分) (27)6.信息披露(6分) (29)(二)内部控制(60分) (30)1.内部控制环境(10分) (30)2.风险识别与评估(10分) (32)3.内部控制措施(10分) (34)4.数据质量管理(20分) (35)5.信息交流与反馈(5分) (37)6.监督评价与纠正(5分) (39)四、盈利状况(Earnings) (41)(一)定量指标(50分) (41)1.资产利润率(20%) (41)2.资本利润率(20%) (41)3.成本收入比率(20%) (41)4.风险资产利润率(15%) (42)5.净息差(15%) (42)6.非利息收入比例(10%) (42)(二)定性因素(50分) (43)1.盈利的真实性(12分) (43)2.盈利的稳定性(12分) (43)3.盈利的风险覆盖性(12分) (44)4.盈利的可持续性(7分) (45)5.财务管理的有效性(7分) (45)五、流动性风险(Liquidity Risk) (47)(一)定量指标(40分) (47)1.存贷比(30%) (47)2.流动性比例(35%) (47)3.流动性覆盖率(35%) (47)(二)定性因素(60分) (48)1.流动性管理治理结构(12分) (48)2.流动性风险管理策略、政策和程序(12分) (49)3.流动性风险识别、计量、监测和控制(20分) (50)4.流动性风险管理信息系统(8分) (53)5.流动性风险管理的其他要素(8分) (54)六、市场风险(Sensitivity To Market Risk) (55)(一)定量指标(30分) (55)1.利率风险敏感度(50%) (55)2.累计外汇敞口头寸比例(50%) (55)(二)定性指标(70分) (56)1.市场风险管理框架(20分) (56)2.市场风险的识别、计量、监测和控制(40分) (57)3.市场风险管理其他要素(10分) (59)七.信息科技风险(Information Technology Risk) (61)(一)信息科技治理(15分) (61)1.信息科技治理组织架构(8分) (61)2.信息科技对业务发展的专业支持和匹配度(7分) (62)(二)信息科技风险管理(12分) (63)1.信息科技风险管理体系(6分) (63)2.信息科技风险管理日常运作(6分) (64)(三)信息科技审计(10分) (65)1.信息科技风险监督体系(4分) (65)2.信息科技内外部审计(6分) (65)(四)信息安全管理(14分) (67)1.信息安全管理体系(8分) (67)2.信息安全管理执行力(6分) (68)(五)信息系统开发及测试(12分) (69)1.信息科技项目管理体系(6分) (69)2.项目管理过程中的风险控制(6分) (70)(六)信息科技运行及维护(15分) (71)作者:座殿角作品编号48877446331144215458创作日期:2020年12月20日1.信息科技运行及维护管理体系(8分) (71)2.信息科技运行维护运作(7分) (72)(七)业务连续性管理(12分) (73)1.业务连续性管理体系(7分) (73)2.业务连续性管理日常运作效果(5分) (74)(八)信息科技外包管理(10分) (74)1.外包管理组织架构和外包战略(2分) (74)2.信息科技外包管理(4分) (75)3.跨境及非驻场外包管理(2分) (76)4.重点外包服务机构管理(2分) (77)(九)信息科技监管重大关注事项 (77)1.信息科技治理结构重大变化 (77)2.重要信息系统突发事件 (78)3.涉及信息科技的案件 (78)4.存在严重违反相关信息科技监管法规制度的行为 (78)5.现场检查发现的重大风险隐患 (78)一、资本充足(Capital Adequacy)(一)定量指标(50分)1.资本充足率(40%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60分至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
中国银保监会关于印发商业银行监管评级办法的通知-银保监发〔2021〕39号
中国银保监会关于印发商业银行监管评级办法的通知正文:----------------------------------------------------------------------------------------------------------------------------------------------------中国银保监会关于印发商业银行监管评级办法的通知银保监发〔2021〕39号各银保监局:现将《商业银行监管评级办法》印发给你们,请遵照执行。
中国银保监会2021年9月10日商业银行监管评级办法第一章总则第一条为加强商业银行风险监管,完善商业银行同质同类比较和差异化监管,合理分配监管资源,促进商业银行可持续健康发展,根据《中华人民共和国商业银行法》《中华人民共和国银行业监督管理法》等法律法规,制定本办法。
第二条本办法适用于对开业满一个完整会计年度以上的商业银行和农村合作银行、农村信用社、村镇银行的法人机构的监管评级,监管机构可依据本办法对当年新设立的银行进行试评级。
本办法所称商业银行,是指在中华人民共和国境内依法设立的中资商业银行、外商独资银行和中外合资银行。
本办法所称监管机构,是指中国银行保险监督管理委员会(以下简称银保监会)及其派出机构。
经银保监会批准设立的其他银行业金融机构的监管评级,参照本办法执行。
针对经银保监会批准设立的其他银行业金融机构出台的专项监管评级规则,在评级框架、时间和流程上应与本办法相关规定保持一致,开发银行和政策性银行监管评级规则另行规定。
第三条商业银行监管评级是指监管机构根据日常监管掌握的情况以及其他相关信息,按照本办法对商业银行的整体风险和管理状况作出评价判断的监管过程。
监管评级结果是实施差异化监管的基础。
第四条银保监会统筹组织商业银行监管评级工作,进行统一管理,规范操作流程,加强评级结果运用和质量管理。
银保监会及其派出机构按照本办法开展商业银行监管评级工作。
最新商业银行监管评级简表
信息科技治理
信息科技风险管理
信息科技审计
信息安全管理
I:信息科技风险
10%
-
信息系统开发与测试
I:信息科技风险
10%
-
商业银行监管评级简表
评级要素 权重 定量指标 分数 评分原则 定性因素
信息科技运行与维护
业务连续性管理
信息科技外包管理
重大关注事项
15
10
4
商业银行监管评级简表
分数
6
8
6
6
10
10
10
20
5
5
50
12
12
12
7
7
商业银行监管评级简表
分数
60
12
12
20
8
8 70
20
40
10
商业银行监管评级简表
分数
15
12
10
14
12
商业银行监管评级简表
分数
15
12
10
30分至45 0至30 分 分 5级 6级
不良贷款率
20%
不良贷款和其他不良资产的变动趋势
逾期90天以上贷款 与不良贷款比例
15%
信用风险资产集中度
单一客户贷款集中 度/单一集团客户 授信集中度
25%
信用风险管理的政策、程序及其有效性
A:资产质量
15% 全部关联度 15%
贷款风险分类制度的完善和有效
拨备覆盖率
25%
300%以上:100分 150%至300%:60分至100分 100%至150%:0分至60分 100%以下:0分
商业银行监管评级定量和定性评价标准之欧阳育创编
附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy)6(一)定量指标(50分)61.资本充足率(40%)62.一级资本充足率(20%)63.核心一级资本充足率(10%)64.杠杆率(30%)7(二)定性因素(50分)81.银行资本质量和构成(8分)82.银行整体财务状况及对资本的影响(8分)83.银行资产质量及拨备计提情况(8分)94.银行资本补充能力(10分)95.银行资本管理情况(8分)106.银行监管资本的风险覆盖和风险评估情况(8分)11二、资产质量(Asset Quality)12(一)定量指标(40分)121.不良贷款率(20%)122.逾期90天以上贷款与不良贷款比例(15%)123.单一客户贷款集中度/单一集团客户授信集中度(25%)134.全部关联度(15%)135.拨备覆盖率(25%)14(二)定性因素(60分)141.不良贷款和其他不良资产的变动趋势(10分)142.信用风险资产集中度(5分)153.信用风险管理的政策、程序及其有效性(15分)154.贷款风险分类制度的完善和有效(10分)165.保证贷款和抵(质)押贷款及其管理状况(5分)176.贷款以外其他表内外资产的风险管理状况(15分)18三、管理质量(Management Quality)19(一)银行公司治理(40分)191.决策机制(10分)192.监督机制(4分)203.执行机制(6分)204.发展战略、价值准则和社会责任(8分)215.激励约束机制(6分)226.信息披露(6分)24(二)内部控制(60分)241.内部控制环境(10分)242.风险识别与评估(10分)263.内部控制措施(10分)274.数据质量管理(20分)285.信息交流与反馈(5分)306.监督评价与纠正(5分)31四、盈利状况(Earnings)32(一)定量指标(50分)321.资产利润率(20%)322.资本利润率(20%)323.成本收入比率(20%)324.风险资产利润率(15%)335.净息差(15%)336.非利息收入比例(10%)33(二)定性因素(50分)331.盈利的真实性(12分)332.盈利的稳定性(12分)343.盈利的风险覆盖性(12分)354.盈利的可持续性(7分)355.财务管理的有效性(7分)35五、流动性风险(Liquidity Risk)36(一)定量指标(40分)361.存贷比(30%)362.流动性比例(35%)363.流动性覆盖率(35%)37(二)定性因素(60分)371.流动性管理治理结构(12分)372.流动性风险管理策略、政策和程序(12分)383.流动性风险识别、计量、监测和控制(20分)394.流动性风险管理信息系统(8分)415.流动性风险管理的其他要素(8分)41六、市场风险(Sensitivity To Market Risk)42(一)定量指标(30分)421.利率风险敏感度(50%)422.累计外汇敞口头寸比例(50%)42(二)定性指标(70分)431.市场风险管理框架(20分)432.市场风险的识别、计量、监测和控制(40分)443.市场风险管理其他要素(10分)45七.信息科技风险(Information Technology Risk)46(一)信息科技治理(15分)461.信息科技治理组织架构(8分)462.信息科技对业务发展的专业支持和匹配度(7分)47(二)信息科技风险管理(12分)481.信息科技风险管理体系(6分)482.信息科技风险管理日常运作(6分)48(三)信息科技审计(10分)491.信息科技风险监督体系(4分)492.信息科技内外部审计(6分)50(四)信息安全管理(14分)511.信息安全管理体系(8分)512.信息安全管理执行力(6分)52(五)信息系统开发及测试(12分)521.信息科技项目管理体系(6分)522.项目管理过程中的风险控制(6分)53(六)信息科技运行及维护(15分)541.信息科技运行及维护管理体系(8分)542.信息科技运行维护运作(7分)54(七)业务连续性管理(12分)551.业务连续性管理体系(7分)552.业务连续性管理日常运作效果(5分)56(八)信息科技外包管理(10分)571.外包管理组织架构和外包战略(2分)572.信息科技外包管理(4分)573.跨境及非驻场外包管理(2分)584.重点外包服务机构管理(2分)58(九)信息科技监管重大关注事项591.信息科技治理结构重大变化592.重要信息系统突发事件593.涉及信息科技的案件594.存在严重违反相关信息科技监管法规制度的行为595.现场检查发现的重大风险隐患60一、资本充足(Capital Adequacy)(一)定量指标(50分)1.资本充足率(40%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60分至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
商业银行信息科技监管评级定量及定性标准
信息科技风险(Information Technology Risk)(一)信息科技治理(15分)1.信息科技治理组织架构(8分)(1)是否确立董事会、高管层信息科技管理职责。
(2)是否建立完善的信息科技管理制度体系。
(3)是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。
(4)是否明确信息科技治理作为重要组成部分纳入公司治理。
评分原则:(1)考察董事会、高管层的信息科技治理职责是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。
(2)考察是否建立信息科技管理制度的起草、发布、修订等工作流程,信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责,“三道防线”部门设置是否合规;是否设立信息科技管理委员会,成员来自高管层、信息科技部门和主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;是否制定了信息科技治理运作效果考核指标并定期进行评价。
2.信息科技对业务发展的专业支持和匹配度(7分)(1)信息科技战略与业务发展战略的匹配度。
(2)信息科技人员、信息科技投入等与业务发展的匹配度(定量)。
(3)董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。
评分原则:(1)考察是否建立明确、可实施的信息科技发展战略;是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略的协调一致机制。
(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配,低于同质同类商业银行平均值的此项酌情扣分;考察商业银行信息系统建设与业务发展的支撑与匹配程度。
(3)考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比;是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官是否具有一定的信息科技专业背景或从业经验。
中国银保监会关于印发商业银行监管评级办法的通知
中国银保监会关于印发商业银行监管评级办法的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2021.09.10•【文号】银保监发〔2021〕39号•【施行日期】2021.09.10•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银保监会关于印发商业银行监管评级办法的通知银保监发〔2021〕39号各银保监局:现将《商业银行监管评级办法》印发给你们,请遵照执行。
中国银保监会2021年9月10日商业银行监管评级办法第一章总则第一条为加强商业银行风险监管,完善商业银行同质同类比较和差异化监管,合理分配监管资源,促进商业银行可持续健康发展,根据《中华人民共和国商业银行法》《中华人民共和国银行业监督管理法》等法律法规,制定本办法。
第二条本办法适用于对开业满一个完整会计年度以上的商业银行和农村合作银行、农村信用社、村镇银行的法人机构的监管评级,监管机构可依据本办法对当年新设立的银行进行试评级。
本办法所称商业银行,是指在中华人民共和国境内依法设立的中资商业银行、外商独资银行和中外合资银行。
本办法所称监管机构,是指中国银行保险监督管理委员会(以下简称银保监会)及其派出机构。
经银保监会批准设立的其他银行业金融机构的监管评级,参照本办法执行。
针对经银保监会批准设立的其他银行业金融机构出台的专项监管评级规则,在评级框架、时间和流程上应与本办法相关规定保持一致,开发银行和政策性银行监管评级规则另行规定。
第三条商业银行监管评级是指监管机构根据日常监管掌握的情况以及其他相关信息,按照本办法对商业银行的整体风险和管理状况作出评价判断的监管过程。
监管评级结果是实施差异化监管的基础。
第四条银保监会统筹组织商业银行监管评级工作,进行统一管理,规范操作流程,加强评级结果运用和质量管理。
银保监会及其派出机构按照本办法开展商业银行监管评级工作。
第二章评级要素与评级方法第五条商业银行监管评级要素包括资本充足、资产质量、公司治理与管理质量、盈利状况、流动性风险、市场风险、数据治理、信息科技风险和机构差异化要素。
商业银行监管评级定量和定性评价标准61页
附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy) (6)(一)定量指标(50分) (6)1.资本充足率(40%) (6)2.一级资本充足率(20%) (6)3.核心一级资本充足率(10%) (6)4.杠杆率(30%) (7)(二)定性因素(50分) (8)1.银行资本质量和构成(8分) (8)2.银行整体财务状况及对资本的影响(8分) (8)3.银行资产质量及拨备计提情况(8分) (9)4.银行资本补充能力(10分) (9)5.银行资本管理情况(8分) (10)6.银行监管资本的风险覆盖和风险评估情况(8分) (11)二、资产质量(Asset Quality) (13)(一)定量指标(40分) (13)1.不良贷款率(20%) (13)2.逾期90天以上贷款与不良贷款比例(15%) (13)3.单一客户贷款集中度/单一集团客户授信集中度(25%) (13)4.全部关联度(15%) (14)5.拨备覆盖率(25%) (14)(二)定性因素(60分) (15)1.不良贷款和其他不良资产的变动趋势(10分) (15)2.信用风险资产集中度(5分) (15)3.信用风险管理的政策、程序及其有效性(15分) (16)4.贷款风险分类制度的完善和有效(10分) (17)5.保证贷款和抵(质)押贷款及其管理状况(5分) (18)6.贷款以外其他表内外资产的风险管理状况(15分) (19)三、管理质量(Management Quality) (20)(一)银行公司治理(40分) (20)1.决策机制(10分) (20)2.监督机制(4分) (21)3.执行机制(6分) (21)4.发展战略、价值准则和社会责任(8分) (22)5.激励约束机制(6分) (23)6.信息披露(6分) (25)(二)内部控制(60分) (25)1.内部控制环境(10分) (25)2.风险识别与评估(10分) (27)3.内部控制措施(10分) (28)4.数据质量管理(20分) (29)5.信息交流与反馈(5分) (31)6.监督评价与纠正(5分) (32)四、盈利状况(Earnings) (34)(一)定量指标(50分) (34)1.资产利润率(20%) (34)2.资本利润率(20%) (34)3.成本收入比率(20%) (34)4.风险资产利润率(15%) (34)5.净息差(15%) (35)6.非利息收入比例(10%) (35)(二)定性因素(50分) (35)1.盈利的真实性(12分) (35)2.盈利的稳定性(12分) (36)3.盈利的风险覆盖性(12分) (36)4.盈利的可持续性(7分) (37)5.财务管理的有效性(7分) (37)五、流动性风险(Liquidity Risk) (39)(一)定量指标(40分) (39)1.存贷比(30%) (39)2.流动性比例(35%) (39)3.流动性覆盖率(35%) (39)(二)定性因素(60分) (40)1.流动性管理治理结构(12分) (40)2.流动性风险管理策略、政策和程序(12分) (41)3.流动性风险识别、计量、监测和控制(20分) (41)4.流动性风险管理信息系统(8分) (43)5.流动性风险管理的其他要素(8分) (44)六、市场风险(Sensitivity To Market Risk) (45)(一)定量指标(30分) (45)1.利率风险敏感度(50%) (45)2.累计外汇敞口头寸比例(50%) (45)(二)定性指标(70分) (45)1.市场风险管理框架(20分) (45)2.市场风险的识别、计量、监测和控制(40分) (46)3.市场风险管理其他要素(10分) (48)七.信息科技风险(Information Technology Risk) (50)(一)信息科技治理(15分) (50)1.信息科技治理组织架构(8分) (50)2.信息科技对业务发展的专业支持和匹配度(7分) (51)(二)信息科技风险管理(12分) (52)1.信息科技风险管理体系(6分) (52)2.信息科技风险管理日常运作(6分) (52)(三)信息科技审计(10分) (53)1.信息科技风险监督体系(4分) (53)2.信息科技内外部审计(6分) (53)(四)信息安全管理(14分) (54)1.信息安全管理体系(8分) (54)2.信息安全管理执行力(6分) (55)(五)信息系统开发及测试(12分) (56)1.信息科技项目管理体系(6分) (56)2.项目管理过程中的风险控制(6分) (56)(六)信息科技运行及维护(15分) (58)1.信息科技运行及维护管理体系(8分) (58)2.信息科技运行维护运作(7分) (58)(七)业务连续性管理(12分) (59)1.业务连续性管理体系(7分) (59)2.业务连续性管理日常运作效果(5分) (60)(八)信息科技外包管理(10分) (60)1.外包管理组织架构和外包战略(2分) (60)2.信息科技外包管理(4分) (61)3.跨境及非驻场外包管理(2分) (61)4.重点外包服务机构管理(2分) (62)(九)信息科技监管重大关注事项 (62)1.信息科技治理结构重大变化 (62)2.重要信息系统突发事件 (63)3.涉及信息科技的案件 (63)4.存在严重违反相关信息科技监管法规制度的行为 (63)5.现场检查发现的重大风险隐患 (63)一、资本充足(Capital Adequacy)(一)定量指标(50分)1.资本充足率(40%)高于最低监管要求的1.2倍:100分;最低监管要求的1倍至1.2倍:60分至100分;最低监管要求的0.6倍至1倍:0分至60分;低于最低监管要求的0.6倍:0分。
商业银行监管评级定量和定性评价标准
商业银行监管评级定量和定性评价标准商业银行监管评级定量和定性评价标准附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy)............................................................... ............. 4 ,一,定量指标,50分, .................................................................... .............. 4 1.资本充足率,40%, ................................................................ ........................ 4 2.一级资本充足率,20%, ................................................................ ................. 4 3.核心一级资本充足率,10%, ................................................................ .......... 4 4.杠杆率,30%, ................................................................ ............................... 5 ,二,定性因素,50分, .................................................................... .............. 6 1.银行资本质量和构成,8分, .................................................................... ..... 6 2.银行整体财务状况及对资本的影响,8分, .................................................... 6 3.银行资产质量及拨备计提情况,8分, ........................................................... 7 4.银行资本补充能力,10分, .................................................................... ....... 7 5.银行资本管理情况,8分, .................................................................... ......... 8 6.银行监管资本的风险覆盖和风险评估情况,8分, (9)二、资产质量(AssetQuality) ............................................................... .................11 ,一,定量指标,40分, .................................................................... .............11 1.不良贷款率,20%, ................................................................ .......................11 2.逾期90天以上贷款与不良贷款比例,15,, .................................................11 3.单一客户贷款集中度/单一集团客户授信集中度,25,, ...............................11 4.全部关联度,15%, ................................................................ ...................... 12 5.拨备覆盖率,25,,................................................................. .................... 12 ,二,定性因素,60分, .................................................................... ............ 13 1.不良贷款和其他不良资产的变动趋势,10分, ............................................. 13 2.信用风险资产集中度,5分, .................................................................... ... 13 3.信用风险管理的政策、程序及其有效性,15分,.......................................... 14 4.贷款风险分类制度的完善和有效,10分, . (15)5.保证贷款和抵,质,押贷款及其管理状况,5分, ........................................ 16 6.贷款以外其他表内外资产的风险管理状况,15分, .. (17)三、管理质量(ManagementQuality) (18).................................................................... ..... 18 ,一,银行公司治理,40分,1.决策机制,10分, .................................................................... ................... 18 2.监督机制,4分, .................................................................... ..................... 19 3.执行机制,6分, .................................................................... ..................... 19 4.发展战略、价值准则和社会责任,8分, ...................................................... 20 5.激励约束机制,6分, .................................................................... .............. 21 6.信息披露,6 分, ......................................................................................... 23 ,二,内部控制,60分, .................................................................... ............ 23 1.内部控制环境,10分, .................................................................... ............ 23 2.风险识别与评估,10分,..................................................................... .. (25)13.内部控制措施,10分, .................................................................... ............ 26 4.数据质量管理,20分, .................................................................... ............ 27 5.信息交流与反馈,5分, .................................................................... .......... 29 6.监督评价与纠正,5分, .................................................................... . (30)四、盈利状况(Earnings) ............................................................. ......................... 32 ,一,定量指标,50分, .................................................................... ............ 32 1.资产利润率,20%, ................................................................ ...................... 32 2.资本利润率,20%, ................................................................ ...................... 32 3.成本收入比率,20%, ................................................................ ................... 32 4.风险资产利润率,15%, ................................................................ ............... 32 5.净息差,15%, ................................................................ ............................. 33 6.非利息收入比例,10%, ................................................................ ............... 33 ,二,定性因素,50分, .................................................................... ............ 33 1.盈利的真实性,12分, .................................................................... ............ 33 2.盈利的稳定性,12分, .................................................................... ............ 34 3.盈利的风险覆盖性,12分, .................................................................... ..... 34 4.盈利的可持续性,7分, .................................................................... .......... 35 5.财务管理的有效性,7分, .................................................................... . (35)五、流动性风险(LiquidityRisk) ........................................................................... 37 (一)定量指标,40分,..................................................................... ............... 37 存贷比,30%, ................................................................ ............................. 37 1.2.流动性比例,35%, ................................................................ ...................... 37 3.流动性覆盖率,35%, ................................................................ ................... 37 ,二,定性因素,60分, .................................................................... ............ 38 1.流动性管理治理结构,12分,......................................................................38 2.流动性风险管理策略、政策和程序,12分,................................................. 39 3.流动性风险识别、计量、监测和控制,20分, .............................................39 4.流动性风险管理信息系统,8分, (41)5.流动性风险管理的其他要素,8分, (42)六、市场风险(Sensitivity To MarketRisk) (43)(一)定量指标,30分,.................................................................................... 43 1.利率风险敏感度,50%, ................................................................ ............... 43 2.累计外汇敞口头寸比例,50%, ................................................................ ..... 43 (二)定性指标,70分,..................................................................... ............... 43 1.市场风险管理框架,20分, .................................................................... ..... 43 2.市场风险的识别、计量、监测和控制,40分, ............................................. 44 3.市场风险管理其他要素,10分, ..................................................................46七(信息科技风险(Information TechnologyRisk) .................................................. 48 ,一,信息科技治理,15分, .................................................................... ..... 48 1.信息科技治理组织架构,8分, ....................................................................48 2.信息科技对业务发展的专业支持和匹配度,7分, ........................................ 49 ,二,信息科技风险管理,12分, ..................................................................50 1.信息科技风险管理体系,6分, ....................................................................50 2.信息科技风险管理日常运作,6分, (50)2,三,信息科技审计,10分, .................................................................... ..... 51 1.信息科技风险监督体系,4分, ....................................................................51 2.信息科技内外部审计,6分, .................................................................... ... 51 ,四,信息安全管理,14分, .................................................................... ..... 52 1.信息安全管理体系,8分, .................................................................... ....... 52 2.信息安全管理执行力,6分, .................................................................... ... 53 ,五,信息系统开发及测试,12分,............................................................... 54 1.信息科技项目管理体系,6分, ....................................................................54 2.项目管理过程中的风险控制,6分, ............................................................. 54 ,六,信息科技运行及维护,15分,............................................................... 56 1.信息科技运行及维护管理体系,8分, ......................................................... 56 2.信息科技运行维护运作,7分, ....................................................................56 ,七,业务连续性管理,12分,......................................................................57 1.业务连续性管理体系,7分, .................................................................... ... 57 2.业务连续性管理日常运作效果,5分, ......................................................... 58 ,八,信息科技外包管理,10分, ..................................................................58 1.外包管理组织架构和外包战略,2分, ......................................................... 58 2.信息科技外包管理,4分, .................................................................... ....... 59 3.跨境及非驻场外包管理,2分, ....................................................................59 4.重点外包服务机构管理,2分, ....................................................................60 ,九,信息科技监管重大关注事项 ...................................................................60 1.信息科技治理结构重大变化 ..................................................................... ..... 60 2.重要信息系统突发事件 ..................................................................... ............ 61 3.涉及信息科技的案件...................................................................... ............... 61 4.存在严重违反相关信息科技监管法规制度的行为........................................... 61 5.现场检查发现的重大风险隐患.......................................................................613一、资本充足(Capital Adequacy),一,定量指标,50分,1.资本充足率,40%,高于最低监管要求的1.2倍:100分, 最低监管要求的1倍至1.2倍:60分至100分, 最低监管要求的0.6倍至1倍:0分至60分, 低于最低监管要求的0.6倍:0分。
商业银行监管评级定量和定性评价标准
附件1商业银行监管评级定量和定性评价标准一、资本充足(Capital Adequacy ) (4)(一)定量指标(50 分) (4)1. 资本充足率(40%) (4)2. 一级资本充足率(20%) (4)3. 核心一级资本充足率(10%) (4)4. 杠杆率(30%) (5)(二)定性因素(50 分) (6)1. 银行资本质量和构成(8 分) (6)2. 银行整体财务状况及对资本的影响(8 分) (6)3. 银行资产质量及拨备计提情况(8 分) (7)4. 银行资本补充能力(10 分) (7)5. 银行资本管理情况(8 分) (8)6. 银行监管资本的风险覆盖和风险评估情况(8 分) (9)二、资产质量(Asset Quality ) (11)(一)定量指标(40 分) (11)1. 不良贷款率(20%) (11)2. 逾期90 天以上贷款与不良贷款比例(15%) (11)3. 单一客户贷款集中度/ 单一集团客户授信集中度(25%) (11)4. 全部关联度(15%) (12)5. 拨备覆盖率(25%) (12)(二)定性因素(60 分) (13)1. 不良贷款和其他不良资产的变动趋势(10 分) (13)2. 信用风险资产集中度( 5 分) (13)3. 信用风险管理的政策、程序及其有效性(15 分) (14)4. 贷款风险分类制度的完善和有效(10 分) (15)5. 保证贷款和抵(质)押贷款及其管理状况( 5 分) (16)6. 贷款以外其他表内外资产的风险管理状况(15 分) (17)三、管理质量(Management Quality ) (18)(一)银行公司治理(40 分) (18)1. 决策机制(10 分) (18)2. 监督机制( 4 分) (19)3. 执行机制( 6 分) (19)4. 发展战略、价值准则和社会责任(8 分) (20)5. 激励约束机制( 6 分) (21)6. 信息披露( 6 分) (23)(二)内部控制(60 分) (23)1. 内部控制环境(10 分) (23)2. 风险识别与评估(10 分) (25)5. 内部控制措施(10 分) (26)6. 数据质量管理(20 分) (27)7. 信息交流与反馈( 5 分) (29)8. 监督评价与纠正( 5 分) (30)四、盈利状况(Earnings) (32)(一)定量指标(50 分) (32)7. 资产利润率(20%) (32)8. 资本利润率(20%) (32)9. 成本收入比率(20%) (32)10. 风险资产利润率(15%) (32)11. 净息差(15%) (33)12. 非利息收入比例(10%) (33)(二)定性因素(50 分) (33)6. 盈利的真实性(12 分) (33)7. 盈利的稳定性(12 分) (34)8. 盈利的风险覆盖性(12 分) (34)9. 盈利的可持续性(7 分) (35)10. 财务管理的有效性(7 分) (35)五、流动性风险(Liquidity Risk ) (37)(一) 定量指标(40 分) (37)7. 存贷比(30%) (37)8. 流动性比例(35%) (37)9. 流动性覆盖率(35%) (37)(二)定性因素(60 分) (38)7. 流动性管理治理结构(12 分) (38)8. 流动性风险管理策略、政策和程序(12 分) (39)9. 流动性风险识别、计量、监测和控制(20 分) (39)10. 流动性风险管理信息系统(8 分) (41)11. 流动性风险管理的其他要素(8 分) (42)六、市场风险(Sensitivity To Market Risk ) (43)(一) 定量指标(30 分) (43)3. 利率风险敏感度(50%) (43)4. 累计外汇敞口头寸比例(50%) (43)(二) 定性指标(70 分) (43)1. 市场风险管理框架(20 分) (43)2. 市场风险的识别、计量、监测和控制(40 分) (44)3. 市场风险管理其他要素(10 分) (46)七.信息科技风险(Information Technology Risk ) (48)(一)信息科技治理(15 分) (48)1. 信息科技治理组织架构(8 分) (48)2. 信息科技对业务发展的专业支持和匹配度(7 分) (49)(二)信息科技风险管理(12 分) (50)1. 信息科技风险管理体系( 6 分) (50)2. 信息科技风险管理日常运作( 6 分) (50)(三)信息科技审计(10 分) (51)9. 信息科技风险监督体系( 4 分) (51)10. 信息科技内外部审计( 6 分) (51)(四)信息安全管理(14 分) (52)13. 信息安全管理体系(8 分) (52)14. 信息安全管理执行力( 6 分) (53)(五)信息系统开发及测试(12 分) (54)11. 信息科技项目管理体系( 6 分) (54)12. 项目管理过程中的风险控制( 6 分) (54)(六)信息科技运行及维护(15 分) (56)10. 信息科技运行及维护管理体系(8 分) (56)11. 信息科技运行维护运作(7 分) (56)(七)业务连续性管理(12 分) (57)12. 业务连续性管理体系(7 分) (57)13. 业务连续性管理日常运作效果( 5 分) (58)(八)信息科技外包管理(10 分) (58)5. 外包管理组织架构和外包战略( 2 分) (58)6. 信息科技外包管理( 4 分) (59)7. 跨境及非驻场外包管理( 2 分) (59)8. 重点外包服务机构管理( 2 分) (60)(九)信息科技监管重大关注事项 (60)4. 信息科技治理结构重大变化 (60)5. 重要信息系统突发事件 (61)6. 涉及信息科技的案件 (61)7. 存在严重违反相关信息科技监管法规制度的行为 (61)8. 现场检查发现的重大风险隐患 (61)一、资本充足(Capital Adequacy )(一)定量指标(50 分)11.资本充足率(40%)高于最低监管要求的 1.2 倍:100 分;最低监管要求的 1 倍至1.2 倍:60 分至100 分;最低监管要求的0.6 倍至 1 倍:0 分至60 分;低于最低监管要求的0.6 倍:0 分。
商业银行信息科技监管评级内部规程(试行)
商业银行信息科技监管评级内部规程(试行)【法规类别】银行综合规定【发文字号】银监发[2013]44号【发布部门】中国银行业监督管理委员会【发布日期】2013【实施日期】2014.01.01【时效性】现行有效【效力级别】部门规范性文件商业银行信息科技监管评级内部规程(试行)第一章总则第一条为加强对商业银行信息化建设与信息科技风险管理的针对性指导,全面、科学地衡量商业银行信息化建设能力、信息科技风险状况及控制成效,合理分配监管资源,完善商业银行同质同类比较和差别监管模式,制定本规程。
第二条本规程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外商独资银行和中外合资银行。
本规程适用于对上述商业银行法人机构的信息科技监管评级。
本规程不适用于在评级年度内新设立的商业银行,监管机构可以依据本规程对当年新设立的商业银行进行试评级,但评级结果不纳入与其他商业银行的评级结果比较。
政策性银行、农村信用社(含联合社)、农村合作银行、村镇银行、非银行金融机构参照执行。
对于信息系统全部或主体托管至其他银行业金融机构的城市商业银行、农村商业银行、农村信用社、农村合作银行,村镇银行、非银行金融机构等银行业金融机构,其信息科技监管评级可参照托管机构的信息科技监管评级结果,并对其信息科技治理、风险管理和自有信息系统情况进行评估调整,作为该类银行业金融机构的最终信息科技监管评级结果。
第三条本规程所称信息科技监管评级是指银监会及其派出机构的信息科技监管部门依据相关法规、标准和业界最佳实践,运用各类信息科技采集信息及风险评估结果,结合现场检查发现,对商业银行在评级年度内的信息科技建设能力、信息科技风险状况和控制成效进行科学审慎的综合评价,并最终确定商业银行信息科技监管等级的工作过程。
第四条商业银行信息科技监管评级体系由信息科技监管评级要素体系、评级方法体系、评级操作流程体系、评级结果运用体系构成。
第五条信息科技监管评级工作按照属地监管原则,由银监会及其派出机构的信息、科技监管部门组织开展。
最新银行业机构信息科技风险专项检查评分评级标准
ⅩⅩ市银行业机构信息科技风险专项检查评分评级标
准
第一条ⅩⅩ银监局对辖内银行业机构信息科技风险进行风险监管评价时,须认定当期重点关注的信息科技风险要素类,并依据其重要程度确定其权重数。
第二条银行业机构进行信息科技风险自评估时,须对ⅩⅩ银监局认定的当期信息科技风险要素类项下本机构存在的相应每一子项依据其规范情况、风险情况进行客观评分。
第三条每一子项评分采取10分制,最低为0分,最高为10分,最小打分单位为0.5分。
各要素类项下的每一子项分数的平均分即为各要素类分数。
各要素类分数乘以其对应权重数,得到本机构的最终分数即为评级分数。
第四条ⅩⅩ银监局根据银行业机构的自评分数,结合现场检查评级分数,将机构的信息科技风险进行综合评级。
机构的评级分数在9至10分之间(包括9分),则机构的信息科技风险系数为1,属一级风险;
机构的评级分数在8至9分之间(包括8分),则机构的信息科技风险系数为2,属二级风险;
机构的评级分数在7至8分之间(包括7分),则机构的信息科技风险系数为3,属三级风险;
机构的评级分数在6至7分之间(包括6分),则机构的信息科技风险系数为4,属四级风险;
机构的评级分数6分以下,则机构的信息科技风险系数为5,属五级风险。
第五条风险等级为一级风险的银行业机构为信息科技低
风险机构;风险等级为二级和三级风险的机构为信息科技中等风险机构;风险等级为四级和五级风险的机构为信息科技高风险机构。
商业银行监管评级办法
(四)风险化解明显不力、重要监管政策和要求落实不到位的,监管评级结果不高于最近一次监管评级结果;
(五)监管机构认定的其他应下调监管评级的情形,视情节严重程度决定下调措施。
第三章 评级程序
监管评级综合得分在90分(含)至100分为1级,其中,95分(含)以上为1A,90分(含)至95分为1B;75分(含)至90分为2级,其中,85分(含)至90分为2A,80分(含)至85分为2B,75分(含)至80分为2C;60分(含)至75分为3级,其中,70分(含)至75分为3A,65分(含)至70分为3B,60分(含)至65分为3C;45分(含)至60分为4级,其中,55分(含)至60分为4A,50分(含)至55分为4B,45分(含)至50分为4C;30分(含)至45分为5级;30分以下为6级。
第十三条 银保监会及其派出机构综合分析被评级银行相关信息,依据本办法规定的评级方法和标准,开展监管评级初评,形成初评结果。
监管评级初评对每一项评级要素的评价应分析深入、理由充分、判断合理,准确反映商业银行的实际状况。
第十四条 银保监会及其派出机构在初评基础上对被评级银行的风险与管理状况进行再评价,形成复评结果。复评结果可不同于初评结果,但应阐明理由。
第二十一条 银保监会及其派出机构应当充分利用商业银行监管评级结果,将监管评级结果作为制定监管规划、合理配置监管资源,采取监管措施和行动、开展市场准入的重要依据,结合单项要素和综合评级结果,深入分析银行存在的风险及其成因,制定每家银行的综合监管计划和监管政策,确定监管重点以及非现场监管和现场检查的频率和范围,督促商业银行对发现的问题及时整改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息科技风险(Information Technology Risk) (一)信息科技治理(15分)1、信息科技治理组织架构(8分)(1)就是否确立董事会、高管层信息科技管理职责.(2)就是否建立完善得信息科技管理制度体系。
(3)就是否建立完善合规得信息科技“三道防线”以及信息科技三道防线得实际运作。
(4)就是否明确信息科技治理作为重要组成部分纳入公司治理.评分原则:(1)考察董事会、高管层得信息科技治理职责就是否完整,信息科技发展战略不经董事会审批,或者本年内董事会会议不形成年度信息科技工作决议得此项最高得分4分。
(2)考察就是否建立信息科技管理制度得起草、发布、修订等工作流程,信息科技管理制度就是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。
(3)考察就是否明确信息科技管理、信息科技风险管理与信息科技风险监督得“三道防线”职责,“三道防线”部门设置就是否合规;就是否设立信息科技管理委员会,成员来自高管层、信息科技部门与主要业务部门,并定期向高管层汇报工作。
(4)考察商业银行就是否以正式制度(文件)明确信息科技治理应作为重要组成部分纳入公司治理;就是否制定了信息科技治理运作效果考核指标并定期进行评价。
2、信息科技对业务发展得专业支持与匹配度(7分)(1)信息科技战略与业务发展战略得匹配度.(2)信息科技人员、信息科技投入等与业务发展得匹配度(定量)。
(3)董事会、高管层等决策人员就是否具备足够得信息科技专业知识能力。
评分原则:(1)考察就是否建立明确、可实施得信息科技发展战略;就是否定期评价信息科技战略规划实施效果,建立信息科技战略与业务战略得协调一致机制.(2)考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平就是否匹配,低于同质同类商业银行平均值得此项酌情扣分;考察商业银行信息系统建设与业务发展得支撑与匹配程度。
(3)考察具有信息科技管理经验得高管人员在董事会、决策层就是否具有一定得占比;就是否设立首席信息官,直接向行长汇报,并参与重大决策,首席信息官就是否具有一定得信息科技专业背景或从业经验。
(二)信息科技风险管理(12分)1、信息科技风险管理体系(6分)(1)就是否将信息科技风险纳入全面风险管理体系,建立完善得信息科技风险管理组织架构.(2)就是否建立信息科技风险管理策略与管理制度。
评分原则:(1)考察就是否将信息科技风险纳入全面风险管理,明确风险管理部门统一负责信息科技风险管理。
信息科技风险管理职责仍在信息科技部门得此项得分不超过3分。
(2)考察风险管理部门中就是否配备一定数量专职信息科技风险管理人员,信息科技风险管理人员就是否具备相关专业背景与技能。
(3)考察就是否建立信息科技风险管理策略与管理制度,管理制度就是否完善,覆盖就是否全面。
2、信息科技风险管理日常运作(6分)(1)信息科技风险评估流程与方法就是否完善.(2)就是否建立常态化得风险识别与监测机制.(3)信息科技风险评估结果就是否得到合理运用。
评分原则:(1)考察就是否建立信息科技风险识别、风险分析、风险处置等工作机制;信息科技风险评级与风险分析工作中就是否开展业务影响分析工作,就是否进行风险级别划分,并有风险级别划分标准.(2)就是否建立信息科技风险监测关键风险点指标,风险监测指标就是否定期评审、改进,风险监测结果就是否向有关部门及高管层报告等。
(3)就是否建立信息科技风险损失评估及处置机制。
(三)信息科技审计(10分)1、信息科技风险监督体系(4分)就是否建立信息科技审计体系,以及信息科技审计体系得合理性。
评分原则:(1)商业银行就是否将信息科技审计工作纳入内部审计部门工作范畴;商业银行内部审计制度就是否纳入信息科技审计相关内容,包括审计依据、标准与方法等内容;就是否定期开展信息科技审计活动;发生信息科技重大突发事件时,内审部门就是否介入调查;就是否对信息科技重大项目实施财务审计。
(2)考察信息科技内审工作独立性与汇报路线得合理性.2、信息科技内外部审计(6分)(1)信息科技审计覆盖率.(定量)(2)信息科技审计整改率。
(定量)(3)信息科技专项审计占比。
(定量)评分原则:(1)考察近三年信息科技审计覆盖率,包括信息科技内外审一级分支机构覆盖率及重要信息系统覆盖率.【一级分支机构覆盖率】=【已开展全面信息科技审计得一级分支机构数】/【一级分支机构总数】*100%【重要信息系统覆盖率】=【已开展信息科技审计得数据中心、重要信息系统、重大项目数】/【数据中心、重要信息系统、重大项目总数】*100%(2)考察近两年信息科技内(外)审整改率。
【信息科技内(外)审整改率】=【信息科技内(外)审报告中发现问题已完成整改得问题数量】/【信息科技内(外)审报告中发现问题得总与】*100%(3)考察近两年内(外)审工作中信息科技专项审计占比。
【信息科技专项审计占比】=【信息科技专项审计次数】/【全部审计次数】*100%(四)信息安全管理(14分)1、信息安全管理体系(8分)(1)就是否建立信息安全管理体系。
(2)信息安全管理体系得完整性。
(3)电子银行信息安全管理体系得完整性。
评分原则:(1)考察就是否建立合理得信息安全管理组织架构及制度体系.(2)考察信息安全管理体系就是否完整,安全保障措施就是否完善。
物理安全:中心机房及重点区域就是否有环境监测、巡检、报警等安全防控措施,环境监测覆盖范围就是否完备等。
网络安全:就是否制定完善得网络安全访问控制策略,就是否定期进行网络安全漏洞扫描,就是否有完备得网络边界策略等。
数据安全:就是否有重要或敏感数据得定义标准与访问控制策略,就是否制定数据备份与恢复策略,就是否有生产数据提取、使用、销毁等环节得安全防护措施。
终端安全:就是否有终端安全防控措施,桌面终端就是否安装病毒防护及防火墙软件,病毒库就是否定期更新,桌面终端移动介质使用管理,设备管理,行为审计等.访问控制:就是否建立物理与逻辑访问控制策略;中心机房等重要区域门禁系统认证方式及进出访问安全控制策略就是否合理;重要信息系统逻辑访问控制策略就是否完善,包括权限管理、密码策略等。
(3)电子银行信息安全管理体系得完整性:电子银行系统就是否定期开展渗透性测试;就是否有客户端安全防控措施;就是否有强制双因素身份认证;就是否有客户敏感信息防护措施等.2、信息安全管理执行力(6分)信息安全管理规定执行情况;当年发生得信息安全事件情况.评分原则:(1)信息安全管理组织架构就是否存在重大缺陷,信息安全管理制度就是否定期评价并修订完善;信息安全管理各项措施就是否严格落实,执行过程中就是否存在重大缺陷。
(2)当年发生得信息安全事情情况,事件发生次数可与同质同类机构平均值比较,并根据事件得负面影响程度进行酌情扣分.(五)信息系统开发及测试(12分)1、信息科技项目管理体系(6分)就是否有完善得信息科技项目管理组织与信息系统开发测试管理制度;就是否有规范化得信息科技项目生命周期管理流程。
评分原则:(1)考察就是否建立了规范得项目管理组织、制度与流程,明确需求管理、开发管理、质量保障、问题管理、版本管理、项目后评价等职责;项目管理组织架构严重缺失得此项最高2分。
(2)考察信息科技项目生命周期管理流程就是否包括需求分析、设计、开发或外购、测试、试运行、部署、维护与退出等环节,系统开发方法就是否与信息科技项目得规模、性质与复杂度相匹配.2、项目管理过程中得风险控制(6分)(1)信息科技项目生命周期各重要环节就是否开展风险管控.(2)信息科技项目重点环节得风险管控情况。
评分原则:(1)考察信息科技风险管控就是否涵盖信息科技项目生命周期各重要环节,如需求分析阶段就是否有业务部门提出明确得风险控制要求,就是否有应急恢复目标、灾难恢复目标、数据管理目标等要求,信息科技审计人员或信息安全人员就是否参加项目阶段评审,风险管理组织就是否开展阶段风险评估等。
(2)就是否建立必要得安全隔离措施,包括生产系统与开发系统、测试系统得有效隔离,生产系统与开发系统、测试系统得管理职能相分离,应用程序开发与维护人员未经允许不可进入生产系统等.(3)考察业务部门在信息系统开发及测试各阶段得参与度。
业务部门就是否参与需求分析、测试、项目各阶段质量评审、用户验收测试、项目后评价等;已完成开发与测试环境得程序或系统配置变更应用到生产系统前就是否经业务部门批准。
(4)考察重要信息系统源代码控制率(定量)。
【重要信息系统源代码控制率】=【机构拥有全部源代码且具备后续自主维护开发能力、外部机构人员未经授权不能访问系统源代码进行功能定制扩展得重要信息系统数】/【重要信息系统总数】*100%(六)信息科技运行及维护(15分)1、信息科技运行及维护管理体系(8分)就是否建立信息科技运行维护管理体系。
评分原则:(1)考察就是否有规范得信息科技运行及维护管理流程,并制定详尽得信息科技运行操作说明。
(2)信息科技运行及维护管理流程就是否涵盖事件管理、问题管理、容量管理、变更管理、服务水平管理、可用性管理等。
(3)信息科技运行及维护管理体系就是否定期评价并修订完善。
2、信息科技运行维护运作(7分)信息科技运行及维护管理各流程运作就是否规范.评分原则:(1)就是否采用信息化管理平台等措施提高运行与维护管理效率,完善运行与维护管理流程。
(2)信息科技内部就是否有岗位制约机制,如信息科技运行与系统开发与维护得分离等。
(3)就是否有容量规划,重要信息系统性能与容量设置就是否恰当,性能与容量变更机制就是否合理。
(4)考察重要信息系统服务可用率(定量).【重要信息系统服务可用率】=【计划提供服务总时间-计划停止服务时间-非计划停止服务时间】/【计划提供服务总时间】*100%(5)考察核心业务系统交易成功率(定量)。
【核心业务系统交易成功率】=【核心业务系统生产交易成功笔数】/【核心业务系统生产交易总笔数】*100% (6)考察重要信息系统监控覆盖率(定量)。
【重要信息系统监控覆盖率】=【实施应用级监控得重要信息系统数】/【重要信息系统总数】*100%(七)业务连续性管理(12分)1、业务连续性管理体系(7分)(1)业务连续性管理组织架构就是否健全;(2)就是否开展业务影响分析,并制定业务连续性计划;业务连续性演练及改进情况;应急处置工作情况。
评分原则:(1)就是否建立日常业务连续性管理组织,就是否制定业务连续性管理政策与制度,业务连续性管理组织职责就是否清晰完善.(2)业务连续性管理相关参与部门设置就是否合理;业务连续性管理主管部门为信息科技部门,且业务连续性管理组织不包含主要业务部门得此项得分不超过2分。
(3)就是否完成所有重要业务影响分析,明确业务恢复优先级与恢复目标;就是否制定所有重要业务得业务连续性计划,相关资源建设就是否到位;就是否定期开展业务连续性演练,并评估改进,就是否对业务连续性管理工作进行审计;就是否有健全得信息科技突发事件应急处置机制。