商业银行互联网贷款管理暂行办法(征求意见稿)（最新发布）(4)

　　第三十七条【风险模型管理流程】商业银行应当合理分配风险模型开发测试、评审、监测、退出等环节的职责和权限，做到分工明确、责任清晰。商业银行不得将上述风险模型的管理职责外包，并应当加强风险模型的保密管理。

　　第三十八条【风险模型开发测试】商业银行应当结合贷款产品特点、目标客户特征、风险数据和风险管理策略等因素，选择合适的技术标准和建模方法，科学设置模型参数，构建风险模型，并测试在正常和压力情境下模型的有效性和稳定性。

　　第三十九条【风险模型评审】商业银行应当建立风险模型评审机制，成立模型评审委员会负责风险模型评审工作。风险模型评审应当独立于风险模型开发，评审工作应当重点关注风险模型有效性和稳定性，确保与银行授信审批条件和风险控制标准相一致。经评审通过后风险模型方可上线应用。

　　第四十条【风险模型监测】商业银行应当建立有效的风险模型日常监测体系，监测至少包括已上线风险模型的有效性与稳定性，所有经模型审批通过贷款的实际违约情况等。监测发现模型缺陷或者已不符合模型设计目标的，应当保证能及时提示风险模型开发和测试部门或团队进行重新测试、优化，以保证风险模型持续适应风险管理要求。

　　第四十一条【风险模型退出】商业银行应当建立风险模型退出处置机制。对于无法继续满足风险管理要求的风险模型，应当立即停止使用，并及时采取相应措施，消除模型退出给贷款风险管理带来的不利影响。

　　第四十二条【模型记录】商业银行应当全面记录风险模型开发至退出的全过程，并进行文档化管理，供本行和银行业监督管理机构随时查阅。

　　第四章 信息科技风险管理

　　第四十三条【系统建设】商业银行应当建立安全、合规、高效和可靠的互联网贷款信息系统，以满足互联网贷款业务经营和风险管理需要。

　　第四十四条【系统运营维护】商业银行应当注重提高互联网贷款信息系统的可用性和可靠性，加强对互联网贷款信息系统的安全运营管理和维护，定期开展安全测试和压力测试，确保系统安全、稳定、持续运行。

　　第四十五条【网络安全】商业银行应当采取必要的网络安全防护措施，加强网络访问控制和行为监测，有效防范网络攻击等威胁。与合作机构涉及数据交互行为的，应当采取切实措施，实现敏感数据的有效隔离，保证数据交互在安全、合规的环境下进行。

　　第四十六条【客户端安全】商业银行应当加强对部署在借款人一方的互联网贷款信息系统客户端程序（包括但不限于浏览器插件程序、桌面客户端程序和移动客户端程序等）的安全加固，提高客户端程序的防攻击、防入侵、防篡改、抗反编译等安全能力。

　　第四十七条【数据安全】商业银行应当采用有效技术手段，保障借款人数据安全，确保商业银行与借款人、合作机构之间传输数据、签订合同、记录交易等各个环节数据的保密性、完整性、真实性和抗抵赖性，并做好定期数据备份工作。

　　第四十八条【合作机构系统安全】商业银行应当充分评估合作机构的信息系统服务能力、可靠性和安全性以及敏感数据的安全保护能力，开展联合演练和测试，加强合同约束。

　　商业银行每年应对与合作机构的数据交互进行信息科技风险评估，并形成风险评估报告，确保不因合作而降低商业银行信息系统的安全性，确保业务连续性。

　　第五章 贷款合作管理

　　第四十九条【合作机构准入】商业银行应当建立覆盖各类合作机构的全行统一的准入机制，明确相应标准和程序，并实行名单制管理。

　　商业银行应根据合作内容、对客户的影响范围和程度、对银行财务稳健性的影响程度等对合作机构实施分层分类管理，并按照其层级和类别确定相应审批权限。

　　第五十条【合作机构准入前评估】商业银行应当按照合作机构资质和其承担的职能相匹配的原则对合作机构进行准入前评估，确保合作机构与合作事项符合法律法规和监管要求。

　　商业银行应当主要从经营情况、管理能力、风控水平、技术实力、服务质量、业务合规和机构声誉等方面对合作机构进行准入前评估。选择共同出资发放贷款的合作机构，还应重点关注合作方资本充足水平、杠杆率、流动性水平、不良贷款率、贷款集中度及其变化，审慎确定合作机构名单。