风险管理
1.《中华人民共和国反洗钱法》
第八条 国务院反洗钱行政主管部门组织、协调全国的反洗钱工作,负责反洗钱的资金监测,制定或者会同国务院有关金融监督管理机构制定金融机构反洗钱规章,监督、检查金融机构履行反洗钱义务的情况,在职责范围内调查可疑交易活动,履行法律和国务院规定的有关反洗钱的其他职责。
国务院反洗钱行政主管部门的派出机构在国务院反洗钱行政主管部门的授权范围内,对金融机构履行反洗钱义务的情况进行监督、检查。
2.《金融机构反洗钱规定》(中国人民银行令〔2006〕第1号发布)
第十八条 中国人民银行及其分支机构根据履行反洗钱职责的需要,可以采取下列措施进行反洗钱现场检查:
(一)进入金融机构进行检查;
(二)询问金融机构的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制金融机构与检查事项有关的文件、资料,并对可能被转移、销毁、隐匿或者篡改的文件资料予以封存;
(四)检查金融机构运用电子计算机管理业务数据的系统。
中国人民银行或者其分支机构实施现场检查前,应填写现场检查立项审批表,列明检查对象、检查内容、时间安排等内容,经中国人民银行或者其分支机构负责人批准后实施。
现场检查时,检查人员不得少于2人,并应出示执法证和检查通知书;检查人员少于2人或者未出示执法证和检查通知书的,金融机构有权拒绝检查。
现场检查后,中国人民银行或者其分支机构应当制作现场检查意见书,加盖公章,送达被检查机构。现场检查意见书的内容包括检查情况、检查评价、改进意见与措施。
3.《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号发布)
第四条 金融机构应当按照规定建立健全反洗钱会否和反恐怖融资内部控制制度,评估洗钱和恐怖融资风险,建立与风险状况和经营规模相适应的风险管理机制,搭建反洗钱信息系统,设立或者指定部门并配备相应人员,有效履行反洗钱和反恐怖融资义务。
第十九条 根据履行反洗钱和反恐怖融资职责的需要,中国人民银行及其分支机构可以按照规定程序,对金融机构履行反洗钱和反恐怖融资义务的情况开展执法检查。
4.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第九条 金融机构开办电子银行业务,应当具备下列条件:(三)按照电子银行业务发展规划和安全策略,建立了电子银行业务运营的基础设施和系统,并对相关设施和系统进行了必要的安全检测和业务测试。
第三十一条 金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中,并应根据电子银行业务的运营特点,建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。
第三十六条 金融机构应当针对电子银行不同系统、风险措施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类,制定适当的安全策略,建立健全风险控制程序和安全操作规程,采取相应的安全管理措施。
第五十条 金融机构应建立健全电子银行业务的内部审计制度,定期对电子银行业务进行审计。
第七十七条 金融机构应定期对电子银行业务发展与管理情况进行自我评估,并应每年编制《电子银行年度评估报告》。
第八十一条 中国银监会根据监管的需要,可以依法对金融机构的电子银行业务实施现场检查,也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查。
5.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号)
第二十三条 银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。
第二十四条 银行应针对与电子支付业务活动相关的风险,建立有效的管理制度。
第二十七条 银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。 银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。
6.《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
第十七条 非银行支付机构应当按照审慎经营要求,建立健全并落实合规管理制度、内部控制制度、业务管理制度、风险管理制度、突发事件应急预案以及用户权益保障机制。
第十八条 非银行支付机构应当具备必要和独立的业务系统、设施和技术,按照强制性国家标准以及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。
第二十八条 非银行支付机构净资产与备付金日均余额的比例应当符合中国人民银行的规定。
第三十七条 非银行支付机构应当按照规定向中国人民银行报送支付业务信息、经审计的财务会计报告、经营数据报表、统计数据,以及中国人民银行要求报送的与公司治理、业务运营相关的其他资料。
第三十九条 中国人民银行依法履行职责,有权采取下列措施:(一)对非银行支付机构进行现场检查和非现场监督管理;……第五十二条 非银行支付机构违反本条例规定处理用户信息、业务数据的,依照《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等有关规定进行处罚。
7.《非银行支付机构信息科技风险管理指引》(中支协技标发〔2016〕2号印发)
第五十二条 支付机构可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
8.《中华人民共和国数据安全法》
第六条 ……工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。……
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
9.《中华人民共和国个人信息保护法》
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
10.《商业银行操作风险管理指引》(银监发〔2007〕42号印发)
第四条 中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查,评价商业银行操作风险管理的有效性。
第二十五条 银监会对商业银行有关操作风险管理的政策、程序和做法进行定期的检查评估。
11.《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
第三十七条 非银行支付机构应当按照规定向中国人民银行报送支付业务信息、经审计的财务会计报告、经营数据报表、统计数据,以及中国人民银行要求报送的与公司治理、业务运营相关的其他资料。
第五十六条 《条例》所称合规管理制度、内部控制制度、业务管理制度、风险管理制度应当全面、完整反映法律、行政法规、中国人民银行规章和规范性文件的监管规定。
第五十九条 根据《条例》第二十八条,非银行支付机构净资产最低限额以备付金日均余额为计算依据,采取超额累退方式按照下列标准确定:(一)备付金日均余额不超过500亿元人民币的部分,按照5%计算。……中国人民银行可以根据支付市场发展实际,动态调整前款比例的具体数值。
12.《中华人民共和国商业银行法》
第五十五条 商业银行应当按照国家有关规定,真实记录并全面反映其业务活动和财务状况,编制年度财务会计报告,及时向国务院银行业监督管理机构、中国人民银行和国务院财政部门报送。
第五十六条 商业银行应当于每一会计年度终了三个月内,按照国务院银行业监督管理机构的规定,公布其上一年度的经营业绩和审计报告。
第六十三条 商业银行应当依法接受审计机关的审计监督。
13.《商业银行资本管理办法(试行)》(中国银行业监督管理委员会令〔2012〕第1号公布)
第九条 中国银行业监督管理委员会(以下简称银监会)依照本办法对商业银行资本充足率、资本管理状况进行监督检查,并采取相应的监管措施。
14.《中华人民共和国中国人民银行法》
第三十五条 中国人民银行根据履行职责的需要,有权要求银行业金融机构报送必要的资产负债表、利润表以及其他财务会计、统计报表和资料。中国人民银行应当和国务院银行业监督管理机构、国务院其他金融监督管理机构建立监督管理信息共享机制。
15. 《中国人民银行关于建立支付机构监管报告制度的通知》(银发[2012]176号) 支付机构年度监管报告包括监管对象基本情况、支付业务开展情况、财务稳健性分析、内部控制制度建设、报告期内重大事项、监管工作概述和对监管对象的监管评价等内容。各分支机构应于每年5月31日前以行发文形式报送年度监管报告。
- 《中华人民共和国反洗钱法》
- 《金融机构反洗钱规定》(中国人民银行令〔2006〕第1号发布)
- 《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号发布)
- 《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
- 《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号)
- 《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
- 《非银行支付机构信息科技风险管理指引》(中支协技标发〔2016〕2号印发)
- 《中华人民共和国数据安全法》
- 《中华人民共和国个人信息保护法》
- 《商业银行操作风险管理指引》(银监发〔2007〕42号印发)
- 《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
- 《中华人民共和国商业银行法》
- 《商业银行资本管理办法(试行)》(中国银行业监督管理委员会令〔2012〕第1号公布)
- 《中华人民共和国中国人民银行法》
- 《中国人民银行关于建立支付机构监管报告制度的通知》(银发[2012]176号)
风险管理
1.《中华人民共和国反洗钱法》
第八条 国务院反洗钱行政主管部门组织、协调全国的反洗钱工作,负责反洗钱的资金监测,制定或者会同国务院有关金融监督管理机构制定金融机构反洗钱规章,监督、检查金融机构履行反洗钱义务的情况,在职责范围内调查可疑交易活动,履行法律和国务院规定的有关反洗钱的其他职责。
国务院反洗钱行政主管部门的派出机构在国务院反洗钱行政主管部门的授权范围内,对金融机构履行反洗钱义务的情况进行监督、检查。
2.《金融机构反洗钱规定》(中国人民银行令〔2006〕第1号发布)
第十八条 中国人民银行及其分支机构根据履行反洗钱职责的需要,可以采取下列措施进行反洗钱现场检查:
(一)进入金融机构进行检查;
(二)询问金融机构的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制金融机构与检查事项有关的文件、资料,并对可能被转移、销毁、隐匿或者篡改的文件资料予以封存;
(四)检查金融机构运用电子计算机管理业务数据的系统。
中国人民银行或者其分支机构实施现场检查前,应填写现场检查立项审批表,列明检查对象、检查内容、时间安排等内容,经中国人民银行或者其分支机构负责人批准后实施。
现场检查时,检查人员不得少于2人,并应出示执法证和检查通知书;检查人员少于2人或者未出示执法证和检查通知书的,金融机构有权拒绝检查。
现场检查后,中国人民银行或者其分支机构应当制作现场检查意见书,加盖公章,送达被检查机构。现场检查意见书的内容包括检查情况、检查评价、改进意见与措施。
3.《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号发布)
第四条 金融机构应当按照规定建立健全反洗钱会否和反恐怖融资内部控制制度,评估洗钱和恐怖融资风险,建立与风险状况和经营规模相适应的风险管理机制,搭建反洗钱信息系统,设立或者指定部门并配备相应人员,有效履行反洗钱和反恐怖融资义务。
第十九条 根据履行反洗钱和反恐怖融资职责的需要,中国人民银行及其分支机构可以按照规定程序,对金融机构履行反洗钱和反恐怖融资义务的情况开展执法检查。
4.《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
第九条 金融机构开办电子银行业务,应当具备下列条件:(三)按照电子银行业务发展规划和安全策略,建立了电子银行业务运营的基础设施和系统,并对相关设施和系统进行了必要的安全检测和业务测试。
第三十一条 金融机构应当将电子银行业务风险管理纳入本机构风险管理的总体框架之中,并应根据电子银行业务的运营特点,建立健全电子银行风险管理体系和电子银行安全、稳健运营的内部控制体系。
第三十六条 金融机构应当针对电子银行不同系统、风险措施、信息和其他资源的重要性及其对电子银行安全的影响进行评估分类,制定适当的安全策略,建立健全风险控制程序和安全操作规程,采取相应的安全管理措施。
第五十条 金融机构应建立健全电子银行业务的内部审计制度,定期对电子银行业务进行审计。
第七十七条 金融机构应定期对电子银行业务发展与管理情况进行自我评估,并应每年编制《电子银行年度评估报告》。
第八十一条 中国银监会根据监管的需要,可以依法对金融机构的电子银行业务实施现场检查,也可以聘请外部专业机构对电子银行业务系统进行安全漏洞扫描、攻击测试等检查。
5.《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号)
第二十三条 银行开展电子支付业务采用的信息安全标准、技术标准、业务标准等应当符合有关规定。
第二十四条 银行应针对与电子支付业务活动相关的风险,建立有效的管理制度。
第二十七条 银行使用客户资料、交易记录等,不得超出法律法规许可和客户授权的范围。 银行应依法对客户的资料信息、交易记录等保密。除国家法律、行政法规另有规定外,银行应当拒绝除客户本人以外的任何单位或个人的查询。
6.《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
第十七条 非银行支付机构应当按照审慎经营要求,建立健全并落实合规管理制度、内部控制制度、业务管理制度、风险管理制度、突发事件应急预案以及用户权益保障机制。
第十八条 非银行支付机构应当具备必要和独立的业务系统、设施和技术,按照强制性国家标准以及相关网络、数据安全管理要求,确保支付业务处理的及时性、准确性和支付业务的连续性、安全性、可溯源性。
第二十八条 非银行支付机构净资产与备付金日均余额的比例应当符合中国人民银行的规定。
第三十七条 非银行支付机构应当按照规定向中国人民银行报送支付业务信息、经审计的财务会计报告、经营数据报表、统计数据,以及中国人民银行要求报送的与公司治理、业务运营相关的其他资料。
第三十九条 中国人民银行依法履行职责,有权采取下列措施:(一)对非银行支付机构进行现场检查和非现场监督管理;……第五十二条 非银行支付机构违反本条例规定处理用户信息、业务数据的,依照《中华人民共和国个人信息保护法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等有关规定进行处罚。
7.《非银行支付机构信息科技风险管理指引》(中支协技标发〔2016〕2号印发)
第五十二条 支付机构可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
8.《中华人民共和国数据安全法》
第六条 ……工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。……
第二十七条 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
9.《中华人民共和国个人信息保护法》
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
10.《商业银行操作风险管理指引》(银监发〔2007〕42号印发)
第四条 中国银行业监督管理委员会(以下简称银监会)依法对商业银行的操作风险管理实施监督检查,评价商业银行操作风险管理的有效性。
第二十五条 银监会对商业银行有关操作风险管理的政策、程序和做法进行定期的检查评估。
11.《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
第三十七条 非银行支付机构应当按照规定向中国人民银行报送支付业务信息、经审计的财务会计报告、经营数据报表、统计数据,以及中国人民银行要求报送的与公司治理、业务运营相关的其他资料。
第五十六条 《条例》所称合规管理制度、内部控制制度、业务管理制度、风险管理制度应当全面、完整反映法律、行政法规、中国人民银行规章和规范性文件的监管规定。
第五十九条 根据《条例》第二十八条,非银行支付机构净资产最低限额以备付金日均余额为计算依据,采取超额累退方式按照下列标准确定:(一)备付金日均余额不超过500亿元人民币的部分,按照5%计算。……中国人民银行可以根据支付市场发展实际,动态调整前款比例的具体数值。
12.《中华人民共和国商业银行法》
第五十五条 商业银行应当按照国家有关规定,真实记录并全面反映其业务活动和财务状况,编制年度财务会计报告,及时向国务院银行业监督管理机构、中国人民银行和国务院财政部门报送。
第五十六条 商业银行应当于每一会计年度终了三个月内,按照国务院银行业监督管理机构的规定,公布其上一年度的经营业绩和审计报告。
第六十三条 商业银行应当依法接受审计机关的审计监督。
13.《商业银行资本管理办法(试行)》(中国银行业监督管理委员会令〔2012〕第1号公布)
第九条 中国银行业监督管理委员会(以下简称银监会)依照本办法对商业银行资本充足率、资本管理状况进行监督检查,并采取相应的监管措施。
14.《中华人民共和国中国人民银行法》
第三十五条 中国人民银行根据履行职责的需要,有权要求银行业金融机构报送必要的资产负债表、利润表以及其他财务会计、统计报表和资料。中国人民银行应当和国务院银行业监督管理机构、国务院其他金融监督管理机构建立监督管理信息共享机制。
15. 《中国人民银行关于建立支付机构监管报告制度的通知》(银发[2012]176号) 支付机构年度监管报告包括监管对象基本情况、支付业务开展情况、财务稳健性分析、内部控制制度建设、报告期内重大事项、监管工作概述和对监管对象的监管评价等内容。各分支机构应于每年5月31日前以行发文形式报送年度监管报告。
- 《中华人民共和国反洗钱法》
- 《金融机构反洗钱规定》(中国人民银行令〔2006〕第1号发布)
- 《金融机构大额交易和可疑交易报告管理办法》(中国人民银行令〔2016〕第3号发布)
- 《电子银行业务管理办法》(中国银行业监督管理委员会令〔2006〕第5号)
- 《电子支付指引(第一号)》(中国人民银行公告〔2005〕第23号)
- 《非银行支付机构监督管理条例》(中华人民共和国国务院令第768号发布)
- 《非银行支付机构信息科技风险管理指引》(中支协技标发〔2016〕2号印发)
- 《中华人民共和国数据安全法》
- 《中华人民共和国个人信息保护法》
- 《商业银行操作风险管理指引》(银监发〔2007〕42号印发)
- 《非银行支付机构监督管理条例实施细则》(中国人民银行令〔2024〕第4号)
- 《中华人民共和国商业银行法》
- 《商业银行资本管理办法(试行)》(中国银行业监督管理委员会令〔2012〕第1号公布)
- 《中华人民共和国中国人民银行法》
- 《中国人民银行关于建立支付机构监管报告制度的通知》(银发[2012]176号)