第七十三条 资产公司应当按照相关规定进行风险分类和评估。评估内容包括：战略风险、经营风险、财务风险、法律风险、声誉风险等。根据已识别风险可能给集团造成的影响和损失，确定该风险对实现集团经营目标的影响程度，形成风险管理的依据。

资产公司可采用问卷调查、集体讨论、专家咨询、情景分析和管理层访谈等定性方法对各类风险的成因、特征及后果进行风险评估。具备条件的资产公司可逐步引入统计分析、内部评级法、敏感性分析等定量方法对风险进行量化分析，并随着风险数据的积累和计量水平的提高不断加以改进和完善。

第七十四条 资产公司应根据自身发展战略和条件，结合风险评估和计量结果明确风险管理的重点，并选择合适的风险管理工具，制定相应的风险应对方案。风险应对方案应包括解决该风险要达到的具体目标，涉及的管理业务流程，需要的条件和资源，拟采取的具体措施及风险管理工具等内容。

第七十五条 资产公司应当按照相关监管规定，建立支持全面风险管理的内部控制体系，完善内部控制制度和全流程风险控制措施。内部控制制度和全流程风险控制措施至少应包括以下内容：

（一）有效的内部授权制度；

（二）业务与风险管理审批制度；

（三）风险监测和风险管理报告制度；

（四）重大风险预警和应急处理制度；

（五）风险管理责任制度；

（六）内部审计监督制度；

（七）风险管理考核评价制度；

（八）重要岗位的权力制衡制度；

（九）防火墙和风险隔离制度。

第七十六条 资产公司应当定期对全面风险管理的健全性、合理性和有效性进行监督检查，分析、评价全面风险管理体系的设计和执行结果，发现薄弱环节，不断完善全面风险管理体系，确保全面风险管理工作的持续有效实施。

第七十七条 资产公司当应逐步建立与全面风险管理相适应、涵盖风险管理基本流程和内部控制系统各个环节的风险管理信息系统，包括风险信息的采集、存储、分析、报告、披露等。风险管理信息系统应准确、及时、持续地支持集团风险的识别、监测、预警、管控和报告等工作。

第七十八条 资产公司应当在集团范围内强化风险管理文化建设。董事会成员和高级管理人员应当在培育统一风险管理文化中发挥表率作用，并通过持续开展风险教育与培训，增强全体员工的风险管理意识，努力将风险管理意识转化为全体员工的共同认识和自觉行动，促进公司形成系统、规范、高效的全面风险管理机制。

第七十九条 资产公司应当每半年向银监会报告集团的风险管理情况，并按规定报送相关信息资料。针对重大突发风险事件，资产公司应当制定相应的重大事项报告制度，并报银监会备案。



第三节 信息系统管理

第八十条 资产公司应制定与其经营战略相适应的信息化建设规划，并结合实际情况，在集团范围内逐步做到“统一规划、统一标准、集中建设、集中管理”。

第八十一条 资产公司信息化建设规划应从业务和管理需求出发，保持适度的前瞻性，并确保信息系统的稳定性和可扩展性。信息化建设规划应在集团范围内最大限度地统筹资源，避免盲目投资和重复建设。

第八十二条 资产公司应当按照相关法律、法规和监管规定的要求，集中建设符合专业技术标准的数据中心、灾备中心、开发测试中心和业务后援中心，建立健全各项管理措施和应急机制，保障业务持续、安全、稳定运行。

第八十三条 资产公司应结合实际，制定合理的系统架构以及技术和数据标准，加强对软件生命周期、信息科技产品采购和服务外包的科学管理，保障开发质量，降低运营成本，防范道德风险，提高服务满意度。

第八十四条 资产公司应将主要业务流程、关键控制点和业务处理规则嵌入系统程序，使内部控制流程与信息系统有机结合，实现对业务流程和主要风险点的自动化控制，减少或消除人为操纵因素。

第八十五条 资产公司应按照监管指引要求，积极采取措施，力争实现集团内部管控信息和非现场并表监管信息的自动化采集处理，优化系统辅助分析和预警功能。

第八十六条 资产公司应统筹规划、突出重点，研究制定和完善集团信息安全标准规范和信息安全制度体系，落实信息安全管理职责，完善信息安全管理机制，建立健全信息安全检查机制，依据已确立的技术法律、法规、监管规定、内部制度与相关技术标准，定期开展信息安全检查，确保信息安全。

第八十七条 资产公司应当按照不同密级设置信息系统用户访问权限，加强日志审计和系统监测，严格控制后台操作和非授权访问。认真执行数据加密和备份策略，确保核心数据存放安全和有效恢复。

第八十八条 资产公司应逐步健全信息科技治理结构，设立集团层面的信息科技管理委员会，负责审批集团的信息战略规划方案、信息化投资预算与计划，以及审批与协调重大信息科技项目、监督信息系统整体运行情况等。

资产公司应当明确集团信息科技管理部门，统一负责集团信息系统的规划、信息科技资源的协调与共享、信息科技制度体系建设、信息化需求管理等。

总共7页  [1] [2] [3] [4] 5 [6] [7] 
上一页  下一页