XXXX商业银行应用系统开发安全管理办法

XXXX商业银行应用系统开发安全管理办法

1 范围

本标准规定了信息系统开发阶段、测试阶段、试运行阶段和上线阶段的管理内容与要求。

本标准适用于XXXX商业银行（以下简称：本行）自主开发及委外开发信息系统的管理。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注明日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。凡是不注明日期的引用文件，其最新版本适用于本标准。

国务院令（第339号）计算机软件保护条例

国务院令（第147号）中华人民共和国计算机信息系统安全保护条例

Q/JYG/GL-SB -16-2013.a 《投资项目管理办法》

3 术语和定义

信息系统：是指由计算机及其相关的配套设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

信息系统一般由三部分组成：硬件系统（计算机硬件系统和网络硬件系统）、系统软件（计算机系统软件和网络系统软件）、应用软件（包括由其处理、存储的信息）。

4 职责

4.1 科技信息部门

4.1.1 负责本行信息系统开发各阶段文档的审批工作；

4.1.2 负责组织本行新开发信息系统的测试工作；

4.1.3 负责本行信息系统上线与终止的验收工作。

4.2 各实施部门或单位

4.2.1 负责本行信息系统开发过程中的需求提出、测试及验收等工作。

5 管理内容与要求

5.1 总体要求

5.1.1 信息系统开发须遵循《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》。

5.1.2 信息系统开发过程中项目单位（承接信息系统开发的单位）须提交相应的安全需求、安全设计、安全测试等资料并经过科技信息部审批，否则不予立项或验收。

5.1.3 信息系统开发范围的变更（增加或缩减）、新技术的使用、新产品或新版本的采用、新的开发工具和环境须经过科技信息部审批。5.2 信息系统开发生命周期管理要求

5.2.1 系统需求收集和分析阶段

a)技术可行性分析

根据业务上提出的需求，信息系统归口管理部门应从技术开发的角度分析是否现有的技术手段和技术能力是否可以达到业务上要求的系统功能，主要包括：人员技术能力分析（指本行内的系统开发队伍是否有足够的软件开发的技术能力来完成系统开发的任务，或第三方外包的开发公司是否具有开发应用系统的技术能力）、计算机软件和硬件分析（指本行现有的软件和硬件的性能是否足够满足开发相应的系统的要求）、管理能力分析（指现有的技术开发管理制度和管理流程是否成熟且标准化，是否足够系统开发的要求）。

b)需求可行性分析：信息系统归口管理部门应对该申请部门所提需求进行可行性分析，以判断需求是否明确，是否符合实际，是否能在一定的时间范围实现。

c)经济可行性分析：信息系统归口管理部门应根据业务需求和技术手段的分析，确认投资的数额在可控制和可承受的范围内。

d)安全可行性分析：信息系统归口管理部门应明确该系统的安全建设范围和内容，设定安全性指标要求，合理判定该信息系统是否符合公司的网络及信息安全要求。

5.2.2 设计阶段安全管理

a)单点访问：任何用户如果希望访问应用系统中的某一个部分，则必须通过统一且唯一的认证授权方式以及流程。

b)人员职责和权限的划分：系统必须具有基于人员职责的用户授权管理以确保每个用户可以访问到其权利范围内的应用系统部分，也要确保每个用户无法访问其权限范围以外的应用系统部分。

c)保护敏感系统的安全性：通过将应用系统中敏感信息保存在服务器端以进行集中的加密安全管理，确保客户端系统本身并不能存储任何信息敏感的数据。

d)确保访问层的安全性：系统在要确保系统模块本身安全性的同时，还需考虑模块与模块之间的通讯的安全性。模块与模块之间的安全性包括：应用系统内部模块之间的安全、应用系统内部模块和外部模块之间的安全性，如主机和客户端之间通讯的安全性，服务器和服务器间通讯的安全性，本地系统和异地系统之间通讯的安全性。

e)确保日志管理机制健全：要求建立可以根据情况自由设置的日志管理机制，即日志纪录的范围和详细程度可以根据需求自行定制，且可实现在应用系统使用过程中进行日志的定制和记录，并保留所有系统开发相关程序库的更新审核纪录。

f)新系统的容量规划:容量规划是指确定系统的总体规模，性能和系统弹性。容量规划应充分考虑：系统的预期存储容量和在给定的周期里面获取生成和存储的数据量；在线进程的数量和估计可能的占用资料；系统和网络的相应时间和性能，即端对端系统；系统弹性要求和设计使用率、峰值、槽值和平均值等；安全措施如加密解密数据对系统的影响等；7*24小时运作要求和可接受的系统宕机次数（维护或者设备更新导致的必须性宕机）。

5.2.3 开发阶段安全管理

a)通用要求

1)输入验证：在客户机/服务器环境下，系统需进行服务端的验

证而禁止客户端的验证（如基于Javascript的验证），并在字符有效性检查之前设置边界检查验证以及环境变量提取数据验证。

2)命名规范：规范变量、函数的命名；规范程序的书写格式等。

3)SQL语句：如果应用程序需要连接后端数据库，使用存储过程

而不能在代码中使用SQL语句。

4)注释代码：当应用程序在实际环境中开始应用时，应该删除所

有的注释代码。

5)错误信息：所有为用户显示的错误信息不应暴露任何关于系

统、网络或应用程序的敏感信息。

6)URL内容：对于web应用，不能在URL上暴露任何重要信息，如

密码、服务器名称、IP地址或者文件系统路径等。

b)变更要求

1)信息系统归口管理部门应对更改进行严格的控制，在系统开发

的每一个阶段（可行性研究、需求分析、设计、编码、测试、培训等）的每一个更改实施前经过评审与授权。

2)信息系统归口管理部门应当建立更改控制审批程序，对更改的

申请、评审、测试、批准、更改的计划的提出和实施提出明确要求并严格的实施，确保安全性与控制程序不被损害，确保任何的改动都是经过审批的。

3)更改的程序应考虑以下方面：清晰确认所有的需要更改的应用

系统、信息、数据库和相关的硬件设备；清晰的确认更改的原因(业务上的具体流程和具体的需求或开发上的需求) ；由授权的用户提交更改的申请；保留相关的授权登记记录；在正式的实施之前，更改的方案必须经过评审并通过正式的批准；确保授权的用户在实施之前确认并接受更改的内容；确保在实施的过程中，尽量的减少对现行的商务运作系统的影响；确保建立的文件系统在完成各项更改时得到修改，旧文件被很好的归档或处置；保证所有的应用系统升级的版本的控制；确保所有的更改情求的审核跟踪；

确保用户使用手册作相应的必要的更改；确保更改的实施选择了适当的时机以确保更改的实施不会干扰正常的商务运作。

c)版本控制要求

1)程序清单：信息系统归口管理部门应在任何时候对于程序清单

必须进行严格的控制并且及时地进行更新；对应用系统开发源程序的打印的资料、电子版本或者是相关的报告都必须进行控制，纸质的文件应当保存在一个安全的环境下，如保险柜等，电子文档则应进行一定的加密；

2)版本升级控制：当软件的版本由于更新，修改等操作需要升级

时，必须先向相关负责人员提交申请；信息系统归口管理部门应

对升级的应用系统进行测试，确认系统的各种安全特性；信息系统归口管理部门应确认对应用系统的版本升级，即确认当前的版本为最新版本，旧的版本需进行归档，不得随意丢弃或删除；信息系统归口管理部门应制定相关的升级计划，确保将系统升级对业务的影响降至最低。

d)开发审计：信息系统归口管理部门应对开发日志及开发人员权限进行每月审核。

5.2.4 测试阶段安全管理

a)测试前安全检测：信息系统归口管理部门应组织开发人员进行代码审核，检查、消除程序代码潜在的安全漏洞。

b)信息系统归口管理部门应设计详细的测试计划，测试范围，测试方法和测试工具，应充分考虑与其他系统的互操作性测试中对其他系统的影响，选择适当的时间、方法。并对应用系统存在的弱点威胁进行安全检查，如：假冒身份、恶意篡改、信息泄露、拒绝服务、特权提升等。

c)信息系统归口管理部门应在测试系统功能正常运行的基础上，还需测试系统的模块和模块之间、功能和功能之间的接口的正确性、负载能力及水平、系统承受压力及峰值、测试环境等。

5.3 开发、测试及验收过程安全指导规范

5.3.1 开发环境安全

a)信息系统归口管理部门应对项目文档、代码的存储进行备份，以确保在发生意外时，可有效恢复；

b)信息系统归口管理部门应对项目文档和代码版本管理和访问控制；

c)信息系统归口管理部门应对用于开发的服务器、个人电脑的配置做好严格的安全防护措施。

5.3.2 文档安全

a)文档内容的安全：信息系统归口管理部门应对文档内容进行以下几个的规范：需求说明书中应明确描述应用系统的安全需求；设计说明书中应有针对安全需求的设计，并进行评审；在测试大纲或者测试方案中应有安全性测试方案，并以此进行安全性测试；开发各阶段输出的文档应对安全要求的执行情况进行描述。

b)文档自身的安全：信息系统归口管理部门应对文档设定密级及读者范围，以限定其访问范围，文档的访问控制应有相应的授权机制。

5.3.3 源代码管理

a)信息系统归口管理部门应根据协议执行源代码的管理，源代码管理应保存所有的历史版本，以便查阅。

b)信息系统归口管理部门应对所有的程序源代码及设置支持文件等打包进行安全检查并存档。

c)对于委托第三方开发的应用系统（或功能、模块等）的代码文件或设置文件，在需要对其进行修改时，必须经过投资装备部批准后，才能交给修改人进行修改。修改完毕需通过安全检查才可以提交，通过检查后的源代码（或设置文件）提交至科技信息部，由专人进行更新和归档。

d)其他源代码规范：应用系统需对函数入口参数的合法性和准确性进行检查；应严格遵循Fail-Safe原则，即当发生意外事故时，必须能自动切换到安全的保护模式。（当应用系统的登录验证机制不能正常运行时，系统必须自动拒绝所有登录请求，而非接受所有登录请求）；应禁止接受不安全的登录密码，并允许系统管理员强制密码设定规则；所有缺省安全设置必须能同时满足系统正常运行和系统安全两方面的要求；在所有警告或提示对话窗口中应使用准确、明了的描述性语言，并提供有关帮助链接；在接受用户输入时，必须有数据合法性检查，并严格规定输入数据的字符长度；在输入密码等敏感信息时，使用特殊符号来代替输入的字符；应禁止使用未经授权和验证的代码，在使用第三方代码时，应对代码安全性进行评估和测试；如密码由应用系统生成，则必须保证有足够的长度和随机性，如密码由用户生成，则应用系统应有密码安全策略来拒绝接受“不安全的”密码；应禁止以明文方式传递用户密码；应测试用的“后门”，应在发布版中去除；应注释代码中无用的代码；应规范代码的格式，并对代码进行版本控制，确保代码的可用性；应禁止在程序中添加隐藏“恶意”的代码，防止与应用系统相关的程序员对系统的非授权修改。

5.3.4 需求分析

a)信息系统归口管理部门应在需求分析阶段确定应用系统的安全要求，并对其进行详细描述，制定项目安全需求说明书，并指导整个项目设计、实现、测试环节。

b)在需求分析阶段应明确以下与安全相关的需求：用户数、终端数、在线并发数；用户角色的划分和权限的分配；应用系统性能要求；应用系统可用性要求；现有网络现状和网络性能要求；数据量估计、数据存储方式和周期；系统安全级别和数据保密性要求；其他对网络、存储、服务器、终端、操作系统、数据库、数据等方面的安全需求。

5.3.5 应用安全功能设计

a)认证失败处理：连续失败登录后锁定该帐号，帐号锁定后可由系统管理员解锁，也可以在一段时间后自动解锁，并通知用户认证失败。

b)授权：应用系统应包含用户权限分配和管理功能设计。如：系统读、写、执行权限设计；系统查看、配置、修改、删除、登录、运行等权限设计；数据访问范围的角色设计；应用功能模块使用权限的设计；限制用户对系统级资源的访问，系统级的资源包括：文件、文件夹、注册表项、Active Directory 对象、数据库对象、事件日志的系统资源；程序应使用尽可能小的权限；数据库访问应该使用低权限数据库账号（如选择，删除，更新，插入等）通过参数化的存储过程来访问；应用启动进程的权限尽可能小；应用使用的系统账号（运行环境中的）应该有尽可能低的权限。应避免“Administrator”, “root”, “sa”, “sysman”, “Supervisor”或其它所有的特权用户被用来运行应用系统或连接到网站服务器，数据库或中间件。

c)输入输出验证：为了防止攻击者绕过客户端直接验证，在服务器端进行验证时，必须使用服务器端代码执行验证；按照已知的有效类型、模式和范围验证数据；应限制用户输入并验证数据的类型、长度、格式和范围。

d)数据加密：应用系统应使用公开并且经过验证和测试的加密方法；应避免向算法传递明文数据，并避免修改存储该数据；应确保所使用的密钥长度和密钥空间能提供足够的安全级别；对于大量数据加密，应使用对称的加密，提高加密的速度并减少资源消耗；对于少量存储的敏感数据使用非对称加密，确保数据的安全性；应对密钥的存储进行严格保护。

5.3.6 测试安全

a)信息系统测试人员需明确记录测试目的、安全要点、测试参与人员、测试流程，并编写测试大纲，包括对应用系统的帐号、口令的安全测试；

b)信息系统测试人员需对应用系统的安全功能点进行测试，确保安全功能的有效性、正确性；

c)信息系统测试人员需对对应用系统抵抗攻击的能力进行测试；

d)信息系统测试人员需对数据传输的安全性、物理环境等进行测试，测试数据如选择真实数据，应限定测试的人员，并在测试完成后全部删除和详细记录测试过程中发现的问题。

5.3.7 系统部署安全

a)信息系统归口管理部门应规划应用系统部署需要的资源需求：应用系统部署的软件、硬件的资源要求；应用系统部署的网络要求；物理链路（光纤、五类线）资源；网络设备资源（HUB、Switch）、上联网络节点端口；IP地址；上联网络带宽；应用系统部署的有关部门、人员要求；其它资源的详细清单。

b)信息系统归口管理部门应确保应用系统部署的环境安全：确保应用系统部署的硬件安全、操作系统安全；确保应用系统部署的帐号、口令安全；确保符合应用系统部署的安全策略要求（如访问控制）；确保应用系统部署的物理环境安全（如电力）；应了解脆弱的网络或者主机的配置缺陷。

c)信息系统归口管理部门应确保应用系统部署的过程安全：确保应用系统部署过程的操作安全；对应用系统部署所在的系统进行安全备份；只对部署所需要的帐号提供最小的访问权限，防止进行其它与部署无关的活动；部署的过程应有业务人员在场，对部署的操作需要经业务人员的确认；对部署的操作过程应进行记录；应确保应用系统部署过程的安装安全。

d)应用系统部署的其它安全问题：记录应用系统部署的详细过程；应用系统部署的时间进度安排；分析应用系统部署可能存在的风险，并制定风险规避方案；明确所有参与人员的工作职责；与所有参与人员签订保密协议，禁止泄漏部署有关的重要内容。

e)信息系统归口管理部门需明确应用系统部署后的升级验收标准，并在验收之前做系统测试（如系统联通性测试），管理员应确保应用系统的验收标准和要求得到清楚地定义、记录和测试。管理员还应考虑以下的管理措施：性能和计算机容量需求；错误恢复和重新启动程序及意外事故的处理计划；有效的人工操作程序；业务连续性安排；证明新应用系统的安装不会对现有系统有负面影响，尤其是在高峰处

理时段；证明已经考虑到新系统对该组织整体安全性的影响；应用系统的操作使用手册；安排人员培训。

5.3.8 日志设计

a)日志的内容应尽可能详细、准确，但应平衡性能要求。应为日志文件设计不同的详细程度供系统管理员或用户选择。

b)为日志文件设计输出界面，允许以不同的格式输出日志文件或允许直接输出日志文件到数据库。

c)日志文件中的每条数据记录应要求有日期和时间（精确到秒）。

d)应利用操作系统或其他监控系统的日志文件对应用系统在发生异常时提供日志记录。

6.其他

6.1本管理办法由科技信息部负责解释和修订。

6.2本管理办法自发布之日起施行。

银行个人贷款管理办法

ⅩⅩ银行个人贷款管理办法 第一章总则 第一条为规范全行个人贷款业务的管理和操作，完善内控制度建设，根据《中华人民共和国商业银行法》、《中华人民共和国担保法》、《贷款通则》等法律法规，制定本办法。 第二条本办法中的个人贷款（以下简称贷款）是指向符合我行贷款条件的自然人发放的，用于借款人及其家庭消费、生产经营等用途的人民币贷款。 本办法中的特别贷款业务是指以借款人本人或第三人所有的我行储蓄存款、凭证式国债、电子式储蓄国债、保本型个人理财产品以及我行认可的其他金融机构签发的存单等作全额质押发放的个人贷款业务。除上述外的其他贷款业务称为一般贷款业务。 第三条贷款业务管理主要包括贷款受理、贷款调查、贷款审查审批、贷款发放、贷后管理等环节。 第四条贷款的发放、使用和管理遵循国家有关法律法规，遵循平等、自愿、公平和诚实信用的原则，遵循安全性、效益性和流动性的原则。 第五条单个客户贷款实行最高额度管理。采用循环贷款授信的，在授信额度和期限内可循环使用贷款。采用自助方式放款的，在设定期限和额度范围内可自助循环发放贷款。

第六条经营机构负责贷款营销、受理、调查、放款审核、收贷收息、贷后检查维护等。业务管理部门负责营销管理、客户经理管理、档案管理、产品开发、业务培训等。信用风险管理部门负责贷款的审查审批、放款复核、五级分类、贷后管理的监督与预警、资产保全、信贷系统管理等。 第七条为鼓励信贷业务产品创新，分行在本办法规定范围内，可开展贷款业务的组合和创新，报总行批准后实施。 第二章贷款种类 第八条贷款按用途分类，分为个人消费性贷款和个人经营性贷款。 个人消费性贷款，指我行发放的借款人及其家庭用于购房、购车、购买大额消费品、装修、旅游、医疗、教育助学及其他消费性支出的个人贷款业务。 个人经营性贷款，指我行发放的个人及其家庭用于生产、经营的个人贷款业务。 第九条贷款按贷款期限不同，分为短期贷款、中期贷款和长期贷款。 短期贷款，系指贷款期限在1年（含）以内的贷款。 中期贷款，系指贷款期限在1年以上、5年（含）以下的贷款。 长期贷款，系指贷款期限在5年以上的贷款。 第十条贷款按担保方式不同，分为抵押贷款、质押贷款、保证贷款和信用贷款。

公司投资风险控制管理办法

XX公司 投资风险控制管理办法 第一章总则 第一条为保障投资业务的安全运作和管理，加强XX公司（以下简称“公司”）内部风险管理，规范投资行为，提高风险防范能力，有效防范和控制投资项目运作风险，根据《证券公司直接投资业务试点指引》等法律法规和公司制度的相关规定，特制定本办法。 第二条股权投资业务是指使用自有资金对境内企业进行的股权投资类业务。 第三条风险控制原则 公司的风险控制应严格遵循以下原则： （1）全面性原则：风险控制制度应覆盖股权投资业务的各项工作和各级人员，并渗透到决策、执行、监督、反馈等各个环节； （2）审慎性原则：内部风险控制的核心是有效防范各种风险，公司部门组织的构成、内部管理制度的建立要以防范风险、审慎经营为出发点； （3）独立性原则：风险控制工作应保持高度的独立性和权威性，并贯彻到业务的各具体环节；

（4）有效性原则：风险控制制度应当符合国家法律法规和监管部门的规章，具有高度的权威性，成为所有员工严格遵守的行动指南；执行风险管理制度不能存在任何例外，任何员工不得拥有超越制度或违反规章的权力； （5）适时性原则：应随着国家法律法规、政策制度的变化，公司经营战略、经营方针、风险管理理念等内部环境的改变，以及公司业务的发展，及时对风险控制制度进行相应修改和完善； （6）防火墙原则：公司在业务、人员、机构、办公场所、资金、账户、经营管理等方面严格分离、相互独立，严格防范因风险传递及利益冲突给公司带来的风险。 第二章风险控制体系 第四条风险控制组织体系 公司应根据股权投资业务流程和风险特征，将风险控制工作纳入公司的风险控制体系之中。公司的风险控制体系共分为五个层次：董事会、董事会下设的风险控制委员会、投资决策委员会、风险控制部、业务部。

集团公司风险管理办法

某上市公司风险管理办法 第一章总则 第一条为加强本公司（以下简称“公司”）的风险管理，建立规范、有效的风险 控制体系，提高风险防范能力，及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险承受度和风险应对策略，根据《企业内部控制基本规范》及其配套指引、《中央企业全面风险管理指引》、《上海证券交易所上市公司内部控制指引》和公司章程，结合公司实际，制定本办法。 第二条本办法所称风险是指公司经营活动中与公司实现内部控制目标相关的风险，包括战略风险、财务风险、市场风险、运营风险和法律风险等。本制度所称风险评估是指通过对基于事实的信息进行分析，就如何处理特定风险以及如何选择风险应对策略进行科学决策。 第三条本制度适用于公司及各全资、控股子公司（以下统称“子公司”）。 第二章风险管理机构设置 第四条公司风险管理的组织体系由公司董事会、总经理办公会、风险管理部门、 内部审计部门、各职能部门/子公司构成。 第五条公司各职能部门为风险管理第一道防线；风险管理部门为风险管理第二道 防线；内部审计部门及审计委员会为风险管理第三道防线。 第六条公司各职能部门在风险控制管理方面的主要职责： （一）按照公司风险管理部门制定的风险评估的总体方案，根据业务分工，配合 风险管理部门，识别、分析相关业务流程的风险，确定风险反应方案。 （二）根据识别的风险和确定的风险反应方案，按照公司确定的控制设计方法和 描述工具，设计并记录相关控制，根据风险管理的要求，修改完善控制设计。包括：

建立控制管理制度，按照规定的方法和工具描述业务流程，编制风险控制文档和程序文件等。 （三）组织控制制度的实施，监督控制制度的实施情况，发现、收集、分析控制缺陷，提出控制缺陷改进意见并予以实施。对于重大缺陷和实质性漏洞，除向部门负责人汇报情况外，还应向公司领导及时反馈情况，以便公司监控内部控制体系的运行情况。 （四）配合内控审计部门等部门对控制失效造成重大损失或不良影响的事件进行调查、处理。 第七条风险管理部门负责建立公司风险管理体系、制度和流程等日常管理工作，并监督其实施的有效性。具体职责如下： （一）负责制定公司的风险评估方案； （二）负责组建风险评估小组； （三）负责审核风险清单、应对预案； （四）拟定公司风险评估报告，上报公司管理层； （五）负责建立经营环境监控体系，切实监控并记录内、外部经营环境和条件的变化，以修正风险识别与评估； （六）负责建立风险预警指标体系，要求各具体部门定期提供数据，进行指标分析；对于超过风险预警值的指标，应确定相应的整改措施。 第八条总经理办公会主要职责为： （一）审定公司各部门风险管理工作职责； （二）批准风险应对预案；

XXXX公司风险控制管理办法初稿

风险控制管理办法 第一章总则 第一条为规范XXXX公司（以下简称“公司”）的风险管理，建立规范、有效的风险控制体系，提高风险防范能力，保证公司安全、稳健运行，提高经营管理水平，根据《公司法》、《会计法》、《企业内部控制基本规范》等法律、法规和规范性文件的有关规定，结合公司的实际情况，制定本办法。 第二条本办法旨在公司为实现以下目标提供合理保证： （一）将风险控制在与总体目标相适应并可承受的范围内； （二）实现公司内外部信息沟通的真实、可靠； （三）确保法律法规的遵循； （四）提高公司经营的效益及效率； （五）确保公司建立针对各项重大风险发生后的危机处理计划，使其不因灾害性风险或人为失误而遭受重大损失。 第三条本办法所称风险管理，是指公司围绕战略及经营目标，通过在管理的各环节和经营过程中执行风险管理的基本流程，建立健全风险管理体系，为实现风险管理的总体目标提供保证的过程和方法。 第四条公司风险是指未来的不确定性事项可能对公司实现其经营目标的影响。 第五条按照公司目标的不同对风险进行分类，公司风险分为：战略风险、法律风险、财务风险和经营风险。

（一）战略风险：没有制定或制定的战略决策不正确，影响战略目标实现的负面因素。 （二）法律风险：没有全面、认真执行国家法律、法规和政策规定规定，影响合规性目标实现的因素。 （三）财务风险：包括财务报告失真风险、资产安全受到威胁风险和舞弊风险。 1、财务报告失真风险：没有完全按照相关会计准则、会计制度的规定组织会计核算和编制财务会计报告，没有按规定披露相关信息，导致财务会计报告和信息披露不完整、不准确、不及时。 2、资产安全受到威胁风险：没有建立或实施相关资产管理制度，导致公司的资产如设备、存货、有价证券和其他资产的使用价值和变现能力的降低或消失。 3、舞弊风险：以故意的行为获得不公平或非正当的收益。（四）经营风险：经营决策的不当，妨碍或影响经营目标实现的因素。包括但不限于： 1、固定资产管理环节：包括固定资产的自建、购置、处置、维护、保管与记录等。 2、货币资金管理环节：包括货币资金的入账、划出、记录、报告、出纳和财务人员的授权等。 3、关联交易环节：包括关联方的界定，关联交易的定价、授权、执行、报告和记录等。

商业银行贷款损失准备管理办法

索引号:717804719/2011-00123 主题分类:法律法规 办文部门:财会部发文日期:2011-07-27 公文名称:中国银行业监督管理委员会令（2011年第4号） 文号:银监会令[2011]4号 中国银行业监督管理委员会 银监会令[2011]4号 《商业银行贷款损失准备管理办法》已经中国银行业监督管理委员会第１１０次主席办公会议审议通过。现予公布，自２０１２年１月１日起施行。 主席刘明康 二○一一年七月二十七日商业银行贷款损失准备管理办法 第一章总则 第一条为加强审慎监管，提升商业银行贷款损失准备的动态性和前瞻性，增强商业银行风险防范能力，促进商业银行稳健运行，根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》，制定本办法。 第二条本办法适用于中华人民共和国境内依法设立的商业银行，包括中资银行、外商独资银行和中外合资银行。 第三条本办法所称贷款损失准备是指商业银行在成本中列支、用以抵御贷款风险的准备金，不包括在利润分配中计提的一般风险准备。

第四条中国银行业监督管理委员会及其派出机构（以下简称银行业监管机构）根据本办法对商业银行贷款损失准备实施监督管理。 第五条商业银行贷款损失准备不得低于银行业监管机构设定的监管标准。 第二章监管标准 第六条银行业监管机构设置贷款拨备率和拨备覆盖率指标考核商业银行贷款损失准备的充足性。贷款拨备率为贷款损失准备与各项贷款余额之比；拨备覆盖率为贷款损失准备与不良贷款余额之比。 第七条贷款拨备率基本标准为２．５％，拨备覆盖率基本标准为１５０％。该两项标准中的较高者为商业银行贷款损失准备的监管标准。 第八条银行业监管机构依据经济周期、宏观经济政策、产业政策、商业银行整体贷款分类偏离度、贷款损失变化趋势等因素对商业银行贷款损失准备监管标准进行动态调整。 第九条银行业监管机构依据业务特点、贷款质量、信用风险管理水平、贷款分类偏离度、呆账核销等因素对单家商业银行应达到的贷款损失准备监管标准进行差异化调整。 第十条商业银行应当按照银行业监管机构资本充足率管理有关规定确定贷款损失准备的资本属性。 第三章管理要求 第十一条商业银行董事会对管理层制定的贷款损失准备管理制度及其重大变更进行审批，并对贷款损失准备管理负最终责任。

商业银行信用贷款管理办法

商业银行信用贷款管理办法（试行） 第一章总则 第一条为规范本行信用贷款的行为，提高本行的信贷服务水平，增加对三农和实体经济的信贷投入，简化贷款手续，更好的发挥本行支农支小作用，根据《中华人民共和国商业银行法》、《中华人民共和国担保法》及其司法解释、《物权法》，制定本办法。 第二条本办法所称的信用贷款，是指以借款人的信誉为保证，在核定的额度和期限内发放的贷款。 第三条本办法是本行对信用贷款业务操作的具体规定。 第四条办理信用贷款业务应严格遵循本办法的有关规定，以“安全性、流动性、效益性”为经营要求，以“小额、流动、分散”为信贷原则，以服务三农和实体经济发展为经营方向。 第二章贷款适用对象、条件、用途、期限、利率 第五条贷款对象：户籍地或经营地在**县域范围内，具有中华人民共和国国籍和完全民事行为能力有一定经济基础的，年龄一般不超过65周岁的自然人；经工商行政管理机关核准登记的企（事）业法人、其他经济组织、个体工商户。 第六条除了具备《浙江**联合村镇银行股份有限公司信贷操作规程》中规定的申请人基本条件外，申请信用贷款的借款人还必须具备以下条件： （一）借款申请人为企事业单位及其他经济组织 （1）贷款总额不得超过所有者权益； （2）资产负债率小于60%； （3）现金净流量和经营性现金净流量均大于零； （4）企业经营管理规范，无逃废债、欠息等不良信用记录； （5）税务风险比较小。 （二）借款申请人为农户（个人） （1）有正当职业和稳定的收入来源，具有按期偿还贷款本息的能力； （2）有固定单位的，借款人所在单位必须是由银行认可的并与银行有良好合作关系的行政及企业、事业单位且需由银行代发工资； （3）遵纪守法，没有违法行为及不良记录； （4）在本行开立个人结算账户，并同意银行从其指定的个人结算账户中扣收贷款本息； （5）银行规定的其他条件。 第七条贷款用途：可用于生产经营中所需的流动资金周转或消费。 第八条贷款利率、额度、期限按照本行相关规定执行。 第三章贷款审批权限 第九条本行所有的信用贷款业务需要按照本行的行长审批权限审批，下列信用贷款业务除外： （1）凡被总行评为星级村的村民信用贷款额度在5万元（含）以下或符合小额农户贷款业务的信用贷款额度在3万元（含）以下，贷款期限在12个月内的信用贷款，由总行一级审批小组负责审批；

集团公司全面风险管理规定

集团公司全面风险管理 规定 Company number【1089WT-1898YT-1W8CB-9UUT-92108】

A集团有限公司全面风险管理制度 二〇一三年八月

目录

第一章?总?则 第一条?为加强A省交通运输集团有限公司（以下简称“A交运集团”）风险管理工作，建立健全完整有效的风险管理体系，防范和化解各类风险，促进公司持续、稳定、健康发展，根据国资委企业全面风险管理指引相关精神，结合A交运集团关于内部控制与风险管理体系建设的总体要求，特制定本制度。 第二条本制度适用于A交运集团集团公司各职能部门及各二级成员单位、三级成员单位的全面风险管理工作。 第三条本制度所称全面风险管理，指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程（主要包括风险初始信息收集、风险评估、制定风险管理策略、制定风险管理解决方案、监控改进五个基本步骤），建立健全全面风险管理体系，包括培育积极进取、稳健经营的风险管理文化，搭建全方位、多层次的风险管理组织体系，建设并完善风险管理信息系统和内部控制系统，防范和化解公司内外部的重大风险及流程风险，从而为实现风险管理的总体目标提供合理的过程和方法。 第四条A交运集团全面风险管理工作的开展，应遵循以下原则： （一）全面性原则：全面风险管理工作应涵盖A交运集团各级单位及各部门，并针对生产经营与业务操作全过程开展风险管理工作。 （二）统一管理原则：全面风险管理工作由A交运集团集团公司统一管理，各二级成员单位及三级成员单位应按照本制度要求，开展风险管理工作。

（三）责任落实原则：A交运集团下属各级单位的负责人为本单位全面风险管理工作的第一责任人，集团总部各部门负责人为本专业风险管理工作的第一责任人。风险管理工作责任人应对本单位或本专业风险管理工作负责，确保本单位或本专业不存在任何重大内部控制缺陷或实质性漏洞。 （四）循序渐进原则：全面风险管理工作是一项管理创新工作，A 交运集团应逐步推进风险管理工作与企业日常经营管理相结合，建立内部控制工作的长效机制，形成符合监管要求与管理需求的全面风险管理体系。 第二章?风险管理的组织体系及职责 第五条A交运集团全面风险管理工作实行分级管理，集团公司的全面风险管理组织体系包括：董事会、风险管理与审计委员会、总经理、分管领导、风险管理主管部门、其他各职能部门及所属二级成员单位。所属二级成员单位可根据实际参照本制度建设本企业的风险管理组织体系。 （一）批准风险管理策略，审阅重大风险应对策略执行情况，批准集团公司重大风险应对调整方案及其他重大事项； （二）批准《全面风险管理年度报告》，包括年度风险管理工作的总结评价和改进计划、年度风险评估结果、重大风险应对方案等； （三）批准风险管理组织机构设置及其职责方案； （四）批准风险管理绩效考核方案和年度绩效考核评定结果；

企业风险控制管理办法

企业风险控制管理办法 本办法是公司风险控制的总办法，各业务部门应根据本办法制定专项的风险控制办法，各单位和部门应根据本办法和专项办法制定本单位相应业务风险防范细则。 一、建立风险管理机制 1．建立全面风险管控体系 公司应建立一个包括管理负责人、专业管理人员和非专业管理人员，以及外部人员有效参与的风险管控组织体系，包括领导体系、组织体系、制度体系等。根据公司所处不同的发展阶段，分析主要风险产生的原因、现状和影响，不断地进行动态调整，并通过制度明确责、权、利，使全面风险管控体系成为一个有效的有机整体。各业务部门应制定专项风险管控的体系，各单位应制定本单位的风险管控的体系。 2．建立风险评估系统 企业进行风险管理的目的是为了控制、避免或规避风险给企业管理带来负面影响。风险管理的首要工作是建立风险评估系统，即通过对风险进行科学的识别、评估，预计可能发生的风险和给企业带来的影响，提醒有关部门和负责人，实施风险反应，及时采取有力措施。各项业务的风险管理的办法应对各单位的具体细则具有指导意义。 3．风险识别

风险识别是风险管理的第一步，企业进行风险评估和控制的前提就是对其风险进行识别，风险识别应遵循以下原则： a. 全面性和系统性原则。 b. 制度化和经常化原则。 4．风险评估 风险评估是风险管评控体系中的一项重要内容。 风险评估流程： a. 认真分析企业管理现状； b. 明确企业战略目标； c. 了解、掌握行业情况和企业竞争态势、发展状况； d. 公司领导层对风险的分析和判断； e. 向不同部门和不同管理层次的员工了解和收集对企业风险的认识和态度； f. 设定风险调查评估的主要项目和风险点； g. 调查和评估； h. 收集和整理资料； i. 评估风险结果。 5．风险反应 风险反应是对风险评估所采取的对应措施。主要包括： a. 规避风险: 企业对一些风险过大的方案加以回避。 b. 减少风险：对无法避免的风险，设法减少风险。

农村商业银行贷款管理暂行办法的通知

榆阳农村商业银行贷款管理实施细则（暂行） 第一章总则 第一条为了规范榆阳农村商业银行（以下简称商行）的贷款行为，加强信贷管理，提高信贷资产质量，防范和化解风险，依照《中华人民共和国商业银行法》、《中华人民共和国担保法》、《贷款通则》、《商业银行授信工作尽职指引》、《农村商业金融机构风险评价和预警指标体系（试行）》和省联社关于《陕西省农村信用社贷款管理暂行办法》等有关法律、法规规定，本着“分级授权、落实责任、强化管理、控制大额、防范风险”的指导思想，结合我行实际，特制订本实施细则。 第二条本细则适用于商行发放的各类贷款。 第三条商行发放的各类贷款必须符合国家有关法律、行政法规和中国人民银行及中国银行业监督管理委员会颁布的相关规章制度；应当遵循安全性、流动性、效益性的原则。 第四条商行发放贷款的借、贷双方应当遵循依法合规、审慎经营、平等自愿、公平诚信的原则。 第二章贷款范围、对象和比例 第五条商行必须本着“以市场为导向，立足社区，服务三农”的市场定位，坚持“四个面向”，积极为当地中小企业服务，为城镇居民和农户服务。其贷款范围主要是在本辖区内，除社团

贷款外不得发放跨区及异地贷款。 第六条商行贷款对象主要是本辖区内的农户、城镇居民、个体工商户、农业经济组织、涉农企业和中小企业。外籍人员在本辖区内长期居住，从事经营活动有稳定收入的，并在辖区内有房产的也可给予贷款支持，但不作为支持的主要对象。此外，贷款对象为自然人的还须满足年龄在18-60周岁。 第七条商行不得向不能独立承担民事责任行为的自然人和未经工商行政管理机关（事业单位登记管理机关）核准登记的企（事）业、其他经济组织、个体工商户发放贷款；不得向国家明令禁止或限制的行业和产业发放贷款；不得垒大户、冒名、超过授权授信额度发放贷款。 第八条商行发放贷款额度界定以《农村合作金融机构风险评价和预警指标体系》为依据，按贷款集中度高低确定额度。对单一客户在商行辖内贷款余额不得超过其资本总额的10%，对关联及集团客户贷款余额不得超过其资本总额的（所有者权益贷方余额）15%，对单一客户保证担保贷款余额不得超过其资本总额的5%，对最大十户贷款余额不得超过其资本总额的150%； 第九条商行贷款余额与存款余额的比例原则上不超过80%（剔除使用人民银行支农再贷款发放的贷款部分）。 第十条商行当年新增贷款中用于发放支持“三农”贷款的比例原则上不低于75%。 第十一条商行对关联企业的授信，要按照《关联企业贷款

投资风险控制管理办法

投资风险控制管理办法 第一章总则 第一条为了进一步规范集团投资行为，提高项目投资的科学决策水平和风险控制能力，特制定本办法。 第二条本办法适用于集团自营项目的投资行为。集团承接的政府代建项目和市财力投资项目等不适用本办法。 第三条本办法所称的投资，是指以货币或实物等非货币资产进行投资的行为。 第四条本办法所称集团自营项目的投资主体包括： （一）集团公司； （二）集团所属全资子公司； （三）集团所属控股子公司。 第五条集团自营项目投资应遵循以下原则： （一）符合国家有关法律法规、政策； （二）有利于国有资产保值增值； （三）符合集团公司整体发展战略及主业经营范围； （四）项目前景明朗，具有良好经济效益；

（五）项目风险可控。

第二章投资决策权限 第六条集团自营项目的投资决策权限规定如下： （一）集团公司和集团所属全资子公司自营项目的投资决策权在集团董事会，暂由集团党委会代为履行职责； （二）集团所属控股子公司自营项目的投资决策权在控股子公司董事会，集团委任的控股子公司董事必须按照集团董事会（党委会）的意见行使投资决策权； 第七条除本办法第六条规定之外的其他任何单位和个人无权做出自营项目的投资决策。 第三章投资风险控制管理机构 第八条集团战略和投资发展委员会（以下简称委员会）作为集团董事会（党委会）下设的专门工作机构，承担集团自营项目投资的风险控制管理，按照本办法规定的工作流程，对集团自营项目投资进行风险管理评估并提出审议意见，上报集团董事会（党委会）决策。 第九条委员会的职责是： （一）对（预）可行性研究报告进行审核，提出审议意见，为集团董事会（党委会）决策提供参考；

公司安全风险管理制度

xx公司企业标准 ______________________________________________________________ 安全风险管理实施细则 2xxx发布 2xxx实施 xx公司发布 目次

前言 为深入贯彻落实安全第一、预防为主、综合治理安全方针，全面加强风险预控，规范公司安全生产风险管理工作，有效遏制和坚决防范事故，结合公司实际制定本制度。 本标准由xx公司标委会提出 本标准由xx公司安全监察部归口。 本标准起草部门：安全监察部 本标准主要修订人：xxx 本标准审核人：xxx 本标准审定人：xxx 本标准批准人：xxx 本标准委托安全监察部负责解释。 安全风险管理实施细则 1、适用范围 本制度适用于公司现场以及所辖的多经企业安全管理的风险评价与控制，适用于作业现场、生产经营活动的正常和非正常情况，包括新改扩建项目的规划、设计和建设、投产、运行、拆除、报废各阶段的风险评价、风险控制、风险信息更新以及重大危险源的风险管理（包含危险点分析与预控管理）。 2、依据 《中华人民共和国安全生产法》（主席令第十三号） 《国务院安委会办公室关于印发标本兼治遏制重特大事故工作指南的通知》（安委办〔2016〕3号）《国务院安委会办公室关于实施遏制重特大事故工作指南构建双重预防机制的意见》（安委办〔2016〕11号） 《国家能源局关于加强电力企业安全风险预控体系建设的指导意见》（国能安全〔2015〕1号）《企业职工伤亡事故分类》（GB 6441—1986）等法律法规和有关标准、规范和规定 《xxxx公司电力企业作业环境本质安全管理重点要求》（2017版） 《xxxx公司安全生产风险分级管控暂行规定（2017年版）》? 3、定义 本制度中的“安全生产风险”是指，生产安全事故或健康损害事件发生的可能性和严重性的组合。可能性，是指事故（事件）发生的概率。 严重性，是指事故（事件）一旦发生后，将造成的人员伤害和经济损失的严重程度。 4、风险预控管理 组织机构与职责

投资项目风险控制管理办法

XXXX投资有限公司投资项目风险控制管理办法 文件类别：管理办法 文件编号：HYTZ-BF-FK 撰写单位：投资公司 版本：A-00 发行日期：2015年5月 等级：□■一般 编制： 审核： 审批： 核准：

文件修订单文件名称：投资项目风险控制管理办法 目录

第一章总则 (2) 第二章主要风险类别 (4) 第三章风险控制组织体系及职责 (5) 第四章风险控制流程 (7) 第五章风险控制措施 (8) 第六章附则 (9) 第一章总则 第一条为规公司投资业务的风险管理，建立规、有效的风险控制体系，提

高公司的风险识别和防能力，保证公司投资业务稳健持续运行，提高投资效益与效率以及投资管理水平，根据公司《章程》等有关规定，制定本制度。 第二条公司风险是指未来的不确定性对公司实现投资目标的影响。 风险控制是指公司围绕集团公司的整体经营战略和经营目标，结合投资理念和投资标准，确定风险控制制度、措施和执行流程，建立健全风险控制体系，培育良好的风险管理文化以及全员风险意识，从而实现风险控制总体目标的一系列行为。 第三条公司风险控制的总体目标 1、有效防、控制、化解公司面临的各种风险，将风险程度和风险损失控制在最小，为公司持续经营提供安全保障。 2、逐步采用科学统一的风险量化法，建立完整的风险控制体系和流程，实现对风险的有效管理。 3、提高公司的投资效率和效益，树立和维护公司的声誉和品牌。 第四条公司风险控制应遵循的原则 1、全面性原则：风险控制应做到投前、投中、投后控制的相统一，并实行全员和全过程相结合的风险控制体系。 2、持续性原则：风险控制是一个由投资目标设定、风险识别、风险评估、风险应对和监督反馈等流程组成的动态、循环的管理过程。 3、独立性原则：风险控制工作应保持高度的独立性和权威性，并落实到投资业务活动的全过程。 4、有效性原则：风险控制制度应成为全员格遵守的行动指南，任员工不能拥有超越制度或违反规章的权力。同时风险控制应与公司投资目标、投资规模、风险状况及公司所处的环境相适应，追求效率与效益的相统一。

商业银行贷款发放与支付管理暂行办法

关于印发《城市商业银行股份有限公司贷款发放与支付管理暂行办法》 的通知 各支行、总行营业部： 为加强城市商业银行信贷管理工作，防范信贷风险，强化贷款全流程管理，根据银监会制定的《固定资产贷款管理暂行办法》、《项目融资业务指引》、《流动资金贷款管理暂行办法》和《个人贷款管理暂行办法》，总行制定了《城市商业银行贷款发放与支付管理暂行办法》，现印发给你们，请认真贯彻落实。在执行过程中如遇到什么问题，请及时与总行联系。 附：城市商业银行股份有限公司贷款发放与支付管理暂行办法

城市商业银行股份有限公司 贷款发放与支付管理暂行办法 第一章总则 第一条为加强城市商业银行贷款发放与支付管理，防范信贷风险，强化贷款用途管理，根据银监会制定的《固定资产贷款管理暂行办法》、《项目融资业务指引》、《流动资金贷款管理暂行办法》和《个人贷款管理暂行办法》（以下简称“三个办法一个指引”）以及《城市商业银行贷款基本规定》，特制定本暂行办法。 第二条本暂行办法所称贷款发放与支付管理是指贷款人在发放贷款前应确认借款人是否满足合同约定的提款条件，并按照合同约定通过贷款人受托支付或借款人自主支付的方式对贷款资金的支付进行管理与控制，监督贷款资金按约定用途使用。 贷款人是指城市商业银行所属各支行、总行营业部。 借款人是指在信贷活动中以自身的信用或财产作保证，或者以第三者作为担保而从贷款人处借得货币资金的企事业单位或个人。 第三条按照“三个办法一个指引”要求，贷款人在营销部设立贷款发放与支付审核岗，负责贷款发放与支付审核工作。

第二章贷款资金支付方式的确认 第四条贷款人在发放固定资产贷款前，首先要确认借款人是否满足合同约定的提款条件，并按照合同约定的方式对贷款资金的支付实施管理与控制，监督贷款资金按约定用途使用。 单笔金额超过项目总投资5%或超过500万元人民币的贷款资金支付，采用贷款人受托支付方式。 第五条贷款人发放流动资金贷款，具有下列情形之一的，原则上采用贷款人受托支付方式： （一）与借款人新建立信贷业务关系且借款人信用状况一般； （二）支付对象明确且单笔支付金额在300万元（含）以上； （三）贷款人认定的其他情形。 第六条贷款人发放个人贷款，除特殊情形外，采用贷款人受托支付方式向借款人交易对象支付，即由贷款人根据借款人的提款申请和支付委托，将贷款资金支付给符合合同约定用途的借款人交易对象。 特殊情形主要包括借款人无法事先确定具体交易对象且金额不超过30万元人民币以及借款人交易对象不具备条件有效使用非现金结算方式。 具有以下情形，可以采用借款人自主支付方式：贷款资金

投资管理制度52431

XX资产管理有限公司 投资管理制度 本制度由北京大成（上海）律师事务所邓炜律师团队协助起草，如您对完善本制度有任何建议或意见，欢迎发送邮件至wei.deng@https://www.sodocs.net/doc/1618475664.html,

XX资产管理有限公司 投资管理制度 第一章总则 第一条为防范基金投资风险，建立严谨、科学、高效、有序的基金投资运作体系，根据《中华人民共和国证券投资基金法》、《私募投资基金监督管理暂行办法》、《私募投资基金管理人内部控制指引》等法律法规、规范性法律文件及相关监管要求制定本制度。 第二条本制度包括基金投资管理的原则、组织结构、投资禁止制度、投资研究、投资决策、投资执行、投资的风险管理等方面内容，适用于基金投资的全过程。 第三条在运用基金资产投资时，应遵循以下原则： （一）公平交易原则。公平对待不同投资者，公平对待投资者和其他资产委托人，不得在不同基金财产之间、基金财产和其他委托资产之间直接或通过第三方交易等形式进行利益输送。建立公平交易制度，制定公平交易规则，明确公平交易的原则和实施措施。 （二）合法合规原则。基金投资应当严格遵守国家有关法律法规和行业监管规则，自觉形成守法经营、规范运作的经营思想和经营风格，（三）防火墙原则。基金资产和公司自有资产的运作应当严格分离，基金投资研究、决策、执行、清算和评估等部门和岗位应当在物理上和制度上适当隔离。不同的基金要独立运作，分别管理； （四）制约原则。基金投资业务部门和岗位的设置必须权责分明、相互牵制，并通过切实可行的相互制衡措施来消除内部控制中的盲点；

（五）严格授权原则。授权制度是投资管理业务控制的核心，必须贯穿于投资管理活动的全过程； （六）研究为先原则。任何基金投资决策的做出必须建立在充分研究的基础之上。 除此之外，基金投资应当遵循自愿、诚实信用原则，维护投资者合法权益，不得损害国家利益和社会公共利益。 第三章投资架构与流程 第四条基金投资管理流程运行主要涉及以下组织和岗位：（一）投资决策委员会（以下简称“投决会”）是基金业务投资决策的最高权力机构，由公司分管基金业务的高级管理人员、基金投资团队、研究团队负责人及相关投资经理等组成。投决会的主要职责包括确定并调整资产配置的原则，审核批准投资经理提出的季度投资策略报告、重大资产调整方案和重大投资决策建议，听取研究分析团队对基金运作情况的评估报告等于基金投资决策相关的其他事项。 （二）投资团队的主要职责为负责基金的日常投资管理、制订基金投资方案等。 （三）研究团队的主要职责为进行宏观经济研究和政策形势研究、分析行业经济动态、市场动态和上市公司基本面等。 （四）公司XX部门负责维持健全有效的内控环境的专职组织有公司风险管理部和合规部。对投资管理过程中的市场风险、流动性风险、操作风险等制定严密的鉴别、监督和控制制度和程序，监控投资风险和流动性风险，并对投资管理过程中的合规风险进行监督。 第五条基金投资管理过程是：投资原则与投资限制的制定、投资分析与研究、投资策略的制定与资产配置、投资组合管理、交易实

风险控制管理制度

XXX有限公司 风险控制管理制度 第一章总则 第一条为保障XXX有限公司（下称“公司”）期货投资运营的安全运作和管理，加强公司及所管理期货投资的内部风险管理，规范期货运营和投资行为，提高风险防范能力，有效防范与控制期货运营和投资项目运作风险，根据《中华人民共和国证券法》、《XXX管理办法》、《XXX监督管理暂行办法》和《公司法》等法律法规及《公司章程》的有关规定，由合规风控部起草，经风险控制委员会和总经理审核，并由执行董事批准，特制定本制度。 第二条本办法所称风险控制，是指对期货的各种投资风险进行识别、评估，并在期货金投资中实施动态风险监控，提出解决方案。 第三条风险控制原则 （一）全面性原则：风险控制制度应覆盖期货投资业务的各项工作和各级人员，并渗透到资金募集、投资研究、投资运作、决策、执行、运营保障、监督、反馈、信息披露等各个环节，确保不存在内部控制的空白或漏洞； （二）审慎性原则：内部风险控制的核心是有效防范各种风险，公司部门组织的构成、内部管理制度的建立要以防范风险、审慎经营为出发点； （三）独立性原则：风险控制工作应保持高度的独立性和权威性，并贯彻到基金运营和业务的各具体环节； （四）相互制约原则：公司部门和岗位的设置应当权责分明、相互牵制；前台业务运作与后台管理支持适当分离。 （五）执行有效原则：风险控制制度应当符合国家法律法规和监管部门的规章，具有高度的权威性，成为所有员工严格遵守的行动指南；执行风险管理制度不能存在任何例外，任何员工不得拥有超越制度或违反规章的权力； （六）适时性原则：应随着国家法律法规、政策制度的变化，公司经营战略、经营方针、风险管理理念等内部环境的改变，以及公司业务的发展，及时对风险控制制度进行相应修改和完善；

商业银行贷款损失准备管理办法(银监会2011年4号令)

中国银行业监督管理委员会令 2011年第4号 《商业银行贷款损失准备管理办法》已经中国银行业监督管理委员会第１１０次主席办公会议审议通过。现予公布，自２０１２年１月１日起施行。 主席 刘明康 二○一一年七月二十七日 商业银行贷款损失准备管理办法 第一章 总则 第一条 为加强审慎监管，提升商业银行贷款损失准备的动态性和前瞻性，增强商业银行风险防范能力，促进商业银行稳健运行，根据《中华人民共和国银行业监督管理法》和《中华人民共和国商业银行法》，制定本办法。

第二条 本办法适用于中华人民共和国境内依法设立的商业银行，包括中资银行、外商独资银行和中外合资银行。 第三条 本办法所称贷款损失准备是指商业银行在成本中列支、用以抵御贷款风险的准备金，不包括在利润分配中计提的一般风险准备。 第四条 中国银行业监督管理委员会及其派出机构（以下简称银行业监管机构）根据本办法对商业银行贷款损失准备实施监督管理。 第五条 商业银行贷款损失准备不得低于银行业监管机构设定的监管标准。 第二章 监管标准 第六条 银行业监管机构设置贷款拨备率和拨备覆盖率指标考核商业银行贷款损失准备的充足性。贷款拨备率为贷款损失准备与各项贷款余额之比；拨备覆盖率为贷款损失准备与不良贷款余额之比。 第七条 贷款拨备率基本标准为２．５％，拨备覆盖率基本标准为１５０％。该两项标准中的较高者为商业银行贷款损失准备的监管标准。

第八条 银行业监管机构依据经济周期、宏观经济政策、产业政策、商业银行整体贷款分类偏离度、贷款损失变化趋势等因素对商业银行贷款损失准备监管标准进行动态调整。 第九条 银行业监管机构依据业务特点、贷款质量、信用风险管理水平、贷款分类偏离度、呆账核销等因素对单家商业银行应达到的贷款损失准备监管标准进行差异化调整。 第十条 商业银行应当按照银行业监管机构资本充足率管理有关规定确定贷款损失准备的资本属性。 第三章 管理要求 第十一条 商业银行董事会对管理层制定的贷款损失准备管理制度及其重大变更进行审批，并对贷款损失准备管理负最终责任。 第十二条 商业银行管理层负责建立完备的识别、计量、监测和报告贷款风险的管理制度，审慎评估贷款风险，确保贷款损失准备能够充分覆盖贷款风险。 第十三条 商业银行贷款损失准备管理制度应当包括： （一）贷款损失准备计提政策、程序、方法和模型； （二）职责分工、业务流程和监督机制；

风险控制管理办法

风险控制制度 第一章总则 第一条：为了建立健全**投资管理(以下简称“公司”)风险控制体系，指导、规风险控制活动，确保各项业务稳健发展、持续经营，实现公司的经营目标和经营战略，制定本制度。 第二条：本制度依据《证券公司直接投资业务试点指引》等法规政策，以及《**投资管理公司章程》、《**投资管理直接投资业务管理办法》等有关规定，结合国际通行的风险控制和风险管理理念，以及公司实际业务需要制定。 第三条：风险控制是指公司围绕经营目标和经营战略，确定风险控制制度、措施和执行流程，建立健全风险控制体系，培育良好的风险管理文化，从而实现公司风险控制总体目标的一系列行为。 第四条：公司风险控制的总体目标： (一)有效防、控制、化解公司面临的各种风险，将风险程度和风险损失降低到公司可以承受的围之，为公司持续经营提供安全保障；(二)逐步采用科学统一的风险量化方法，建立完整的风险控制体系和流程，实现对风险的科学管理； (三)提高公司经营效率和效果，维护公司声誉和品牌。 第五条：公司风险控制应遵循以下原则： (一)全面性原则：风险控制应做到事前、事中、事后控制相统一，覆盖公司的所有业务、部门和人员，渗透到决策、执行、监督、反馈等各个流程和环节；公司所有部门、所有员工都是风险控制的责任主体，

根据部门、岗位职责的要求承担相应的风险控制责任与义务；(二)持续性原则：风险控制不是静态的制度，而是一个由目标设定、风险识评、风险应对和监督反馈等流程组成的动态的、循环的管理过程。 (三)独立性原则：公司设立独立于其他职能部门的风险控制部，专职对各种风险履行日常检查、监控、评估等风险控制工作； (四) 有效性原则：公司风险控制应与公司经营规模、业务围、风险状况及公司所处的环境相适应，追求效率与效果统一，利用最经济的成本实现公司风险控制总体目标； (五) 制衡性原则：公司合理设置部组织结构，科学规划业务流程，实现决策部门、执行部门与监督检查部门以及各岗位的权责分明和相互牵制。 第二章主要风险类别及定义 第六条：根据业务特点，公司面临的主要风险有投资风险、管理风险、市场风险、政策风险、道德风险、信誉风险等六大类风险。 第七条：投资风险，是指公司实施股权投资的过程中，可能导致投资损失或无法达到预期回报率的各种风险。该风险存在于项目筛选、尽职调查、投资决策、组织实施、后续管理和退出安排等各个投资流程与环节中，具体包括目标企业风险、投资分析风险、投资决策风险、项目管理风险、项目退出风险等。 (一)目标企业风险：指中小企业成长和发展过程中本身具有的不确定性，包括技术风险、经营风险、财务风险等。

农村商业银行贷款诉讼管理办法

农村商业银行贷款诉讼管理办法 第一章总则 第一条为了积极、有效维护全行金融债权，规范贷款诉讼行为，根据我国现行法律法规和有关政策规定，结合贷款诉讼工作的实际情况，制定本办法。 第二条本办法所称贷款诉讼行为是指借款人不依约归还到期贷款且担保人亦不履行担保义务时，贷款人向有管辖权的人民法院申请支付令、提起诉讼、向仲裁委员会申请仲裁以及依据生效法律文书向人民法院申请执行，依法维护本行合法权益的行为。 第三条贷款诉讼时效期间为二年，法律另有规定的除外。行使抵押权的期限为所担保的债权的诉讼时效结束后二年。诉讼时效期间从知道或者应当知道权利被侵害时起计算。诉讼时效因《民法通则》第一百四十条所列原因中断的，从中断时起，诉讼时效期间重新计算。 第四条本办法所称法律文书包括支付令、调解书、判决书、裁定书、通知书、仲裁机关的裁决书和公证机关依法赋予强制执行力的债权文书。 第五条申请仲裁的，须在借款合同中约定或者双方签订补充协议，一致同意仲裁。

第六条总行指定专人负责每件贷款诉讼案件，负责案件从起诉到审理直至执行终结。 第二章提起诉讼 第七条对逾期贷款，经催要未果，拟提起诉讼的，应报总行批准。原则上，贷款逾期 3 个月仍不归还，或在逾期 3 个月内不能制订切实可行的还款计划，或制订了还款计划仍不按还款计划执行的，支行应通过诉讼或仲裁方式清收。 第八条提起诉讼前，责任人应对借款人和担保人进行必要的调查和分析，摸清担保人的资产状况和清偿能力，确定诉讼的最终目的，做到有的放矢。 第九条经批准同意诉讼的，当事行须将相关材料报总行风险管理部门审查后，由当事行指派专人送法院或仲裁委员会立案，并参与案件审理全过程。 第十条诉讼案件，根据案情需要，可采取以下方式处理：案情简单、法律关系比较明确的案件，当事行有权委托相关业务人员代理。案情重大、法律关系比较复杂的案件，当事行在报告总行批准后可以选聘律师代理。 第十一条对确定律师代理贷款诉讼案件的，当事行应按法律程序与其签定代理协议。 第十二条根据借款合同的约定，贷款人聘请律师的费用由借款人承担。当事行聘请律师时，应与其商定律师费的具体支付方式。

风险控制管理制度

风险控制管理制度 第一章总则 第一条为加强公司内部风控管理，增强自我约束能力，实现持续规范发展，保障公司依法合规经营，提高风险防范能力，根据根据《证券投资基金法》、《私募投资基金监督管理暂行办法》、《私募投资基金管理人登记和基金备案办法(试行)》,依据相关法律、法规和规范性文件，制定本制度。 第二条本制度所称风控是指公司及其工作人员的经营管理和执业行为符合法律、法规、规章及其他规范性文件、行业规范和自律规则、公司内部的规章制度，以及行业公认并普遍遵守的职业道德和行为准则（以下统称“法律、法规和准则”）。 第三条本制度所称的风控风险，是指因公司或其工作人员的经营管理或执业行为违反法律、法规或准则而使公司受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。 第四条本制度所称的风控管理是指公司制定和执行风控管理制度，建立风控管理机制，培育合规文化，防范风控风险的行为。风控管理是公司全面风险管理的一项核心内容，也是内部控制的一项基础性工作。 第五条公司树立合规经营、全员主动风控、风控从高层做起、合规创造价值的理念，培育全体工作人员的风控意识，倡导和推进风控文化建设，并将风控文化建设作为公司风险管理文化建设的一个重

要组成部分，促进公司内部风控管理与外部监管的有效互动。 第六条公司为风控管理提供必要的资源支持，确保风控管理 人员切实有效履行职责。通过定期和系统的教育培训提高风控管理人员的专业技能。 第七条公司遵守开展业务所在国家或地区的适用法律和监管规定。 第二章风控管理的目标和基本原则 第八条公司内部控制总体目标是: (一)保证遵守私募基金相关法律法规和自律规则。 (二)防范经营风险,确保经营业务的稳健运行。 (三)保障私募基金财产的安全、完整。 (四)确保私募基金、私募基金管理人财务和其他信息真实、准确、完整、及时。? 公司风控管理的目标是通过建立健全风控管理框架和制度，实现经营过程中对风控风险的有效识别、评价和管理，培育全员主动风控文化、增强自我约束能力、保障公司及其工作人员经营管理和执业行为等符合法律、法规和准则，切实防范风控风险，力求在公司形成内 部约束到位、相互制衡有效、内部约束与外部监管有机联系的长效机制，为公司持续规范发展奠定坚实基础。 第九条公司风控管理的基本原则： （一）全面性：风控管理覆盖公司所有业务、各个部门和分支机构、全体工作人员，并涵盖资金募集、投资研究、投资决策、执行、信息披