金融外包服務風險管理框架及制度

A. 如何構建商業銀行風險管理的組織體系

背景
為加強商業銀行的信息科技風險管理，提升信息科技風險管理能力，09年3月份銀監會正式發布了《商業銀行信息科技風險管理指引》（以下簡稱《指引》），這是繼出台有關《商業銀行操作風險管理指引》、《商業銀行市場風險管理指引》和《商業銀行合規風險管理指引》等一系列的監管文件之後，銀監會發布的又一重要風險管理指引。 該指引適用於在中華人民共和國境內依法設立的法人商業銀行。政策性銀行、農村合作銀行、城市信用社、農村信用社、村鎮銀行、貸款公司、金融資產管理公司、信託公司、財務公司、金融租賃公司、汽車金融公司、貨幣經紀公司等其他銀行業金融機構參照執行。
信息科技風險管理需求分析
合規性需求：
近年來，國家各部門不斷推出了各種監管要求，對IT管控領域也提出了明確的要求。其中與銀行業信息科技風險相關的法律、法規與行業監管指引有：
2002年，美國國會發布了SOX《薩班斯—奧克斯利法案》；
2004年9月30日，中國銀監會發布了《商業銀行內部控制評價辦法》；
2006年，銀監會發布《電子銀行安全評估指引》 、《銀行業金融機構信息系統風險管理指引》和《銀行業金融機構內部審計指引》；
2006年6月，國務院國資委出台了《中央企業全面風險管理指引》；
2007年，公安部明確了《信息系統等級保護基本要求與實施指南》；
2009年3月，銀監會發布《商業銀行信息科技風險管理指引》；
各商業銀行如何滿足日益嚴格的各類IT監管要求，成為銀行風險管理部門、合規部門、信息科技部門以及審計部門面臨的挑戰。

IT風險管理需求
銀行業隨著信息化工作的不斷深入，信息系統的開發、維護與運行均面臨較大的挑戰，如何保障業務的持續運營，如何支撐銀行各項業務的風險管理，如何保障客戶與自身信息的安全，成為各商業銀行信息科技部門與風險管理部門的重要任務，因此信息科技風險的管理就顯得迫在眉睫。商業銀行針對信息科技風險需要審視：
• 是否對所有潛在的重大IT風險都進行了識別、評估和管理？
• 面對數量眾多的IT風險，應如何對其進行管理？
• 如何在全行范圍內推行全面IT風險管理？
• 如何將IT風險管理體制與企業日常IT管理和運營相融合？
• IT風險管理的角色、責任和義務是否合理或明確？
• 如何增強風險意識，培育風險管理文化？
組建並管理IT風險管理團隊
IT風險管理組織結構建立在IT治理目標組織架構的基礎上，遵循IT治理的工作成果，從IT風險管理的主要工作與活動開始，逐步識別並定義IT風險管理的角色，並根據角色模型設計組織架構，確保IT風險管理的各項工作能夠得到落實。IT風險管理生命周期以及生命周期各階段的工作如下圖所示：

IT風險生命周期管理

從IT風險管理生命周期中各個階段主要工作中識別出IT風險管理所需要的角色，結合IT治理規劃成果，並參考國際最佳實踐，設計IT風險管理的職能與組織架構。從IT風險管理生命周期中各個階段主要工作中識別出IT風險管理所需要的角色，結合IT治理規劃成果，並參考國際最佳實踐，設計銀行業IT風險管理的職能與組織架構。

對於IT風險管理的角色的定位如下圖所示。

設計IT風險管理框架體系
IT風險管理框架體系主要包括如下五個體系框架
 IT風險管理策略體系：建立企業IT風險管理策略，明確管理層對信息科技風險管理的期望與承諾，描述對企業信息科技風險進行有效管理的方法，規定人員操作的流程與規范，制定系統配置規格、使用策略等。
 IT風險管理組織體系：建立完成組織信息科技風險管理目標的組織機構，包括跨部門的信息科技風險管理委員會、工作小組、第三方安全服務組織等。
 IT風險管理運行保障體系：建立日常科技風險運行與維護機制，包括運行監控、問題處理、變更管理等。重點是建立生產運行中安全的問題處理機制，形成完善的運行保障機制，及時、准確、快速地處理運行中的問題，強調執行過程的安全。
 IT風險管理技術保障體系：應用先進成熟的技術手段與產品，降低安全風險，包括產品的購置與配置加固、防病毒、加強安全域和網路訪問控制，統一監控管理平台、統一身份認證與授權管理平台等。
 應急恢復保障體系：業務連續性計劃及災難恢復規劃的實施，包括建立數據災難備份中心，各個業務系統及IT 系統的應急方案，其目標是控制事態發展，保障生命財產安全，恢復正常生產運行狀態。
 IT風險審計體系：審核工作是審計機構對組織的信息安全控制措施是否完備所做的鑒證過程。利用審核機制進行獨立的體系審核是一種強有力的監督機制。可以由組織的內部稽核部門階段性地組建立審核組，培訓審核員，有效地管理在組織中開展的信息安全審核工作，也可外聘的第三方審計機構對組織進行外部審核。
建設IT風險管理制度與流程
 信息系統的開發和實施
信息系統的采購和開發
信息系統的采購和開發涉及系統的設計、采購/建造和布置，以支持業務目標的實現。制度與流程建設需要建立一套考慮到銀行在安全、可用性和處理完整性等方面的要求的生命周期系統開發方法。
采購新的技術基礎設施
采購和維護技術基礎設施的流程涉及支持應用和通信的系統的設計、采購/建造和布置。基礎設施組件，包括伺服器、網路和資料庫，對於信息處理的安全和可靠是至關重要的。在制度與流程建設中，需要制定並遵守相應的流程，確保基礎設施系統，包括網路設備和軟體，是根據它們要支持的財務應用程序的需要采購的。
應用系統和技術基礎設施的安裝和測試
系統安裝測試和確認涉及新系統向生產環境的移植，它確保系統可以按照設計意圖運行。沒有合適的測試，系統將不能按照預想的方式運行，可能提供無效的信息，這將導致信息和報告的不可靠。在制度與流程建設中，需要制定應用軟體和技術基礎設施相關技術上的測試策略。
 信息系統的變更和維護
開發和維護政策及流程
開發和維護政策及流程涉及軟體開發生命周期方法論、采購流程、應用的開發和維護以及相應的文檔。這一領域相關的政策和操作程序使得企業能夠持續地、有目標地進行商業運作。在制度與流程建設中，需要制定軟體開發生命周期方法論和相應的流程、政策。
變更管理
變更管理表明了企業是如何通過調整系統功能來幫助業務活動滿足財務報告目標的。在在制度與流程建設中，需要制定應用變動、系統維護的變更管理程序。
系統配置管理
系統配置管理保證安全、可獲得的控制在系統中建立起來，並且在其生命周期內得到保持。在這方面的能力不足會導致系統安全和可靠性蒙受風險，並將允許對於系統和數據的非法訪問。在制度與流程建設中，需要對系統基礎設施，包括防火牆、伺服器和其它有關設備，以及對應用軟體和數據存儲系統等配置管理程序，並建立配置基準。
 系統的操作和運行
操作管理
操作管理的好壞體現了一個組織通過保持可靠的應用系統來記錄、處理和報告財務信息的水平。在這方面的能力缺乏將嚴重影響企業的財務報告。在制度與流程建設中，需要制定IT操作的標准程序，包括賬戶管理、批處理管理、系統操作管理、數據操作管理等。
服務水平的確定和管理
服務水平的確定和管理決定了企業如何滿足其客戶對其產品功能和業務操作的期望，進而滿足其客戶的業務目標。在這方面的能力缺乏將嚴重影響企業的財務報告和信息披露。在在制度與流程建設中，需要定義和管理服務水平來支持財務報告系統的要求。並定義一種框架，建立關鍵績效指標，從內部和外部來管理服務水平協議。
外包服務管理
外包服務管理包括使用外包服務來支持財務應用和相關系統。在制度與流程建設中，需要定義第三方服務管理的程序。
 系統與信息安全管理
信息安全管理策略
系統安全方面的管理包括通過物理和邏輯上的控制來防止非法訪問。在制度與流程建設中，需要參照ISO27001和國家信息安全等級保護標准，制定完整的系統安全策略體系。信息安全管理機制包括信息安全標准、策略、實施計劃和持續維護計劃。
信息安全策略涉及以下領域：
（一）安全制度管理。
（二）信息安全組織管理。
（三）資產管理。
（四）人員安全管理。
（五）物理與環境安全管理。
（六）通信與運營管理。
（七）訪問控制管理。
（八）系統開發與維護管理。
（九）信息安全事故管理。
（十）業務連續性管理。
（十一）合規性管理。
問題和事故管理
問題和事故管理表明一個企業是如何對異常事件進行鑒別、記錄和反應的。在制度與流程建設中，需要制定和執行問題管理系統，來確保所有標准操作之外的操作事件（如事故、問題和錯誤）都能得到及時的記錄、分析和解決。制定安全事故響應流程，以支持對於非法活動的及時反應和調查。
數據管理
數據管理涉及用於管理信息完整性、准確性、授權和有效性的控制和程序，對信息的記錄、處理和報告起支持作用。在制度與流程建設中，需要制定相應的政策和流程用於數據的處理、分發、保留和報告的輸出。

IT風險管理軟體平台方案
IT風險管理已經成為銀行風險管理的重要組成部分，急需建立信息化平台支撐IT風險管理的日常工作。風險評估、風險控制、風險監控、監督與審計、風險溝通等工作均涉及大量的日常工作，需要建立相關的系統平台來滿足銀行IT風險管理相關部門的需求，谷安公司經過多年的行業經驗積累，推出了國內首家IT風險管理平台系統。

IT風險管控系列軟體目前包括如下主要模塊：
風險評估管理-GooRisk
GooRisk信息科技風險評估軟體提供了系統化的風險評估方法論和行業風險知識庫，包括評估范圍定義，安全現狀調查，資產威脅分析、漏洞分析、風險綜合分析、風險控制措施等主要功能，幫助客戶快速自動化的評估自身的資產風險與流程風險。
風險控制管理-GooISMS
GooISMS風險管理體系建設軟體提供了IT風險管理體系規劃與管理體系建設的方法論和行業模板庫，包括體系規劃，體系設計，體系實施，體系保障等主要功能，幫助客戶快速建立安全管理體系，通過內部審計、管理評審等管理過程，保障體系的有效運行。
風險運營管理-GooProcess
GooProcess信息科技風險運營管理軟體提供了基本的信息安全日常運作流程，通過自動化工作流引擎，可自主定義帳號管理、許可權管理、人員安全、設備安全、物理安全、安全檢查、安全事件、安全培訓、通知公告等流程，將安全管理流程真正落地。
風險審計管理-GooAudit
GooAudit安全風險審計管理軟體提供了信息安全風險審計檢查工具與審計管理流程，包括了各種業務、系統、設備的安全檢查列表，符合性測試、實質性測試工具，定期審計管理流程，以及審計底稿、審計報告的管理。
風險知識管理-GooAwareness
GooAwareness安全風險知識管理軟體為企業提供了信息安全相關知識的管理與共享平台，包括安全通告、內部知識庫、外部資料庫、標准與法規、案例警示、常用模板、知識地圖、個人知識庫等基本功能，方便安全知識的獲取與管理，全面提高員工信息安全意識。

軟體特色與優勢：
完整的行業知識庫：提供完整的銀行業知識庫支持，並且對知識庫進行持續更新；知識庫包括行業業務流程、業務系統、信息資產、威脅類型、漏洞類別、風險指標、安全策略、管理流程、行業法規等。
遵從各類監管要求：緊密結合企業信息安全與內部控制要求，遵從信息科技風險管理指引、ISO27001、等級保護、COBIT等標准，引導公司信息安全與IT控制工作，協助信息安全與IT風險管理體系建立，並管理文檔記錄、測評、評估、改進、測試等階段的工作；全面符合國際標准ISO27001、國家標准GB20984《信息安全風險評估規范》，以及公安部等級保護測評要求
統一控制框架： 採取Unified Control Framework設計，可將超過2,000個「既定的」控制目標與等級保護、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等幾十個標准和法律法規相掛鉤，並可通過全面的可配置性和可擴展性應用到知識庫中；
操作簡單安全：基於B/S架構，通過瀏覽器的輕松靈活的使用、導航界面，能夠根據組織要求調節界面外觀，基於角色授權指派相關人士負責控制工作，輕松添加各種控制與遵從標准版本，支持本機Excel電子數據表輸入。

B. IT外包有何風險及如何防範

建立管理機構，明確外包范圍，嚴格審查制度，加強風險監控和激勵機制建設，這些措施是商業銀行IT外包風險防範的重要保障。 對外包風險的把握，直接決定著 信息技術外包的成功與否。從根本上來說，對信息技術外包風險的防範過程就是對外包活動實施全面有效的管理過程。
建立外包事務管理機構 要對外包實施全面有效的管理，必須首先建立外包事務管理機構。目前，商業銀行外包過程中，僅在外包決策、外包商選擇、或發生了法律糾紛時，才成立臨時性機構，處理相應外包事務。管理組織的不穩定造成管理人員的頻繁調動和流失，削弱對外包項目的充分理解，影響了合作雙方感情的建立。人員的不穩定必將造成管理策略的不連續，削弱雙方合作和信任基礎，給外包項目的管理和監督帶來不必要的麻煩，影響外包的服務質量和進度。
外包事務管理機構應該由銀行戰略規劃專家、外包咨詢專家、各部門熟悉本行業務信息流關系的代表、信息技術專業人員、費用預算人員、法律顧問、實施管理和協調人員組成。主要負責外包前對國內、外行業、競爭對手以及自身的信息化需求進行調查研究；識別信息技術的核心競爭能力；在收益、成本和風險之間進行平衡並進行外包決策；制定外包的建設技術標准；設計外包方案，避免重復投資與信息孤島；評價外包商的技術等級、發展能力，選擇承包商；簽署外包合同；對外包服務過程進行全面監督、協調和控制；處理與現有外包商的外包關系；監督並審議通過外包商的技術決策；積累外包經驗並幫助制定未來的外包決策；談判並推行未來的外包合同；使IT整體戰略與不斷變化的銀行的整體戰略保持一致。
明確IT外包范圍 哪些是構成核心競爭力的信息技術，哪些是可以外包的非核心技術，外包范圍的確定是商業銀行信息技術外包中面臨的首要問題。 J.P.摩根公司通過對美國商業銀行的電子化發展研究，提出M1-M2-M3層信息技術構架理論（如圖1所示），M1是指計算機系統的硬體、系統軟體、工具軟體、網路設施和其他銀行使用的專用機具；M2層主要由應用軟體和人機介面組成；M3層的內容主要包括業務流程重組、策略規劃、應用系統集成和現有應用系統的管理和維護。M1層的技術屬於技術提供商而非銀行，對於商業銀行來說，M1層的競爭主要表現在合並分散的數據處理中心以追求更好的規模效益；在M2層的信息化建設上，美國商業銀行走了一段曲折的道路，開始採取完全自主開發的方式，在支付巨額開發成本的同時，還要承擔開發失敗的風險，開發完成後發現各家銀行基本雷同，是一種低水平的重復建。因此進入上世紀80年代，美國商業銀行不僅共同投資建設網路，實現資源共享，而且逐漸與IT公司合作開發軟體或直接使用商品化的軟體。經過研究發現，美國商業銀行在M1和M2層的開發投入，實際收獲的只是M1和M2層的技術培訓，在M1和M2層領先所產生的效益不如M3層快。 借鑒美國商業銀行的電子化發展經驗和摩根公司M框架理論，我國商業銀行在進行信息技術外包的過程中，應將M1、M2層外包，利用外包商的規模效益，降低成本，集中力量建設M3層，才能培養核心競爭力，實現特色化經營。 建立對外包商資格審查制度 外包成功的關鍵因素之一是選擇具有良好社會形象和信譽、相關金融行業系統實施經驗豐富、能夠引領或緊跟信息技術發展的外包商作為戰略合作夥伴。因此，對外包商的資格審查應從技術能力、經營管理能力、發展能力這三個方面著手。 技術能力：外包商提供的信息技術產品是否具備創新性、開放性、安全性、兼容性，是否擁有較高的市場佔有率，能否實現信息數據的共享；外包商是否具有信息技術方面的資格認證，如信息產業部頒發的系統集成商證書、認定的軟體廠商證書等；外包商是否了解金融行業特點，能夠拿出真正適合商業銀行業務的解決方案；信息系統的設計方案中是否應用了穩定、成熟的信息技術，是否符合銀行發展的要求，是否充分體現了銀行以客戶為中心的服務理念；是否具備對大型設備的運行、維護、管理經驗，和多系統整合能力；是否擁有對高新技術深入理解的技術專家和項目管理人員。 經營管理能力：了解外包商的領導層結構、員工素質、客戶數量、社會評價；項目管理水平，如軟體工程工具、質量保證體系、成本控制、配置管理方法、管理和技術人員的老化率或流動率；是否具備能夠證明其良好運營管理能力的成功案例；員工間是否具備團隊合作精神，外包商客戶的滿意程度。 發展能力：分析外包服務商已審計的財務報告、年度報告和其他各項財務指標，了解其盈利能力；考察外包企業從事外包業務的時間、市場份額以及波動因素；考察銀行的外包合同對外包服務商財務狀況的重要性如何；評估外包服務商的技術費用支出以及在信息技術領域內的產品創新，確定他們在技術方面的投資水平是否能夠支持銀行的外包項目。 對外包實施進行風險監控 信息技術外包的目的在於通過整合信息技術合作夥伴的企業資源，快速實現服務手段和服務方式的信息化，滿足客戶的需要。信息技術外包中產生的任何風險都會嚴重影響銀行的形象。因此，在信息外包的全過程中要實施風險管理。 風險管理應分為四個步驟：第一步是識別外包實施中各階段的宏觀、微觀層面風險，設置監控點。宏觀上密切關注信息技術、外包市場的發展，以及銀行自身經營環境、競爭對手外包策略、外包商經營狀況的變化，防範技術、市場風險。微觀層面上，聽取外包商在項目實施不同階段的報告，評估外包商運行的信息系統和相應的控制措施（如資源安全性、完整性、保密性），定期審查外包商相關的內部控制、系統開發和維護、以及應急計劃措施，以保證它們符合合同要求，並且與當前的市場和技術環境相一致；了解外包服務是否及時，服務質量、服務水平是否得到提高，防範交易和信譽風險。第二步是分析造成工作偏離預定標準的問題的實質，對產生問題的原因進行調查並做出結論；第三步是擬訂解決問題的可行方案，並從中選擇出最好的；實施選定的方案，使外包工作回到原定的、期望的標准上。 建立對外包商激勵機制 外包商的經營目標是實現利潤最大化，而銀行希望以公平價格獲得良好的服務，因此，商業銀行應制訂激勵機制，將其經營績效與外包服務要求掛鉤，使合作雙方目標一致。可採取以下激勵措施： 優質優價：根據信息技術外包的范圍，按照系統正常運轉的時間、效率，制定合格、滿意、優質三層標准，達到不同標准給予不同價格。標準的制定應該隨著技術的發展而不斷提高，如果外包商在技術方面的創新能夠使銀行實現某些業務盈利，應給予外包商一定的獎勵。這樣可以鼓勵外包商使用新技術、持續改進服務。
級別管理：根據對外包商的資格審查、合作時間長短、合作過程中滿意程度，制訂相應的評級制度，將外包商劃分為准入級、合作級、夥伴級。級別評定是能上能下的，如果外包商的服務水平下降、服務質量降低，就會被降級。級別管理是希望通過一系列連續的合同來加強銀行與外包商的合作關系，提醒外包商通過優質服務建立良好聲譽、獲得收益的重要性。

C. 銀行外包管理辦法

別說一線崗位，銀行很多內部的比如說檔案員、駕駛員、守押崗位都已經外包了。此外大堂、催收、法律、訴訟，甚至POS機具維護，甚至信貸收單都外包了。

為何這么做？

第一是節省成本。
外包，就是把這些相對不重要的崗位包給第三方公司，第三方公司派遣自己的雇員來代替銀行正式簽約員工工作。銀行按月結算給第三方，第三方再剔除管理費、稅金、五險一後支付給具體的外包崗位人員。

銀行簽約人員收入與福利肯定要比外包人員多一些，如此操作，銀行少支出部分又節省了管理成本。第三方公司也能從外包人員頭上多少搜刮些，雙贏啊😡

第二是迴避責任。
只要進行人員管理就有責任。這么一半人少了，銀行各級管理者的責任降低了。

出了任何問題，簡單將外包人員遣送回第三方公司就什麼事都省了。

第三是規避風險
銀行工作存在眾多潛在風險。而很多事不好給內部員工做，比如銀行催收，給員工做就得監督，是否內外勾結，沖銷費用，減免利息啊，真很麻煩。給外包第三方公司，按照既定規則執行，就結束了。

所以...

不過，當銀行也開始這么節省成本，讓外包人員面對客戶，估計外包人員心中也是憤怒的，同工不同酬，誰會創造性勞動？

損失的，嗯，其實還是銀行自己。

且看著吧。

D. 如何防範金融服務外包所潛在的風險及相應措施

要防範金融服務外包過程中各種風險,我國須重視在岸服務外包市場開發,走有中國特色的「內外結合」發展道路。
要想更好地發展中國的金融服務外包需要做到以下幾個方面:1.建立並完善外包服務商的資格審查和信用評級制度,以及有效的外包監管制度。2.制定相關法律。完善的法律可以保證外包市場健康有序的發展。3.政府合理規劃和建設金融服務外包園區和城市。充分發揮政府前瞻性的長遠規劃,應將各大城市分開管理,給予差別的政策,以最大程度充分發揮各城市的優勢,避免各城市之間的盲目競爭。
我國金融服務外包風險防範      
(一)合理確定金融服務外包的業務范圍和服務商      (1)實行業務外包以前,金融機構應制定外包的具體政策和標准,主要包括對哪些業務適合外包做出評估。同時,應該全面考慮業務外包的程度問題、風險集中問題,以及將多項業務外包給同一個服務商時的風險問題。      (2)外包服務商的業務水平直接關繫到外包活動的成敗。在做出外包決策後,金融機構的管理層應聽取來自內部或外部的法律、財務專家、人力資源的意見,然後才可以按照自身的需求去尋找擅長該業務的所有高級公司,通過仔細的調查、分析和比較,選擇最合適的外包服務商。此外,也要考慮外包服務商的財務狀況。      (二)外包風險內部評估      在開始實施金融服務外包之後,為了確保及時將風險消滅在萌芽之中,或者在風險來臨之前獲得信號,把風險帶來的損失降低最小,必須在外包的過程中時刻對風險進行內部評估。      (1)派專人到外包服務商的公司任職,及時與外包服務商溝通在外包業務中存在的問題,特派員作為一個中間人協調和處理在業務中可能出現的矛盾。這種方法相對比較可靠,但容易受到地域等因素的影響。      (2)縮短金融機構和外包服務商溝通的周期。由於外包業務的關系,外包服務商肯定要定期向金融機構匯報業務報表或有關業務的進展情況。盡量控制一個合理而有效的溝通周期以便於及早發現問題。     (三)完善金融外包監管制度      (1)金融監管當局應採取不同的監管程序。金融監管當局針對不同的業務和不同的外包服務商應採取不同的監管程序。對於明確規定可以外包的業務,只需要經過備案程序即可,而對於規定之外的業務,則應經過監管機構的審查與批准程序。對於不同的外包服務商,也應採取有差別的監管程序。      (2)金融監管當局應進行外包業務的持續監管和系統性風險監管。為了實現持續監管,可借鑒國際監管組織制定的監管原則,要求金融機構在外包合同中制定相關條款,確保監管當局隨時可獲得監管所需的資料。      (3)金融機構及外包服務商均應制訂應急計劃。金融機構應該盡力要求外包服務商制訂應急計劃,保證信息技術的安全性,以及發生意外情況時災難恢 烏骨雞苗雞苗0.2元/只 送全程飼料 養殖死傷全賠 廣告 一年養4批利潤40萬 每戶10000元補貼 45天死傷全賠 培訓養雞技術 查看詳情 > 紹興 雞苗批發 0.2元/只 訂1000隻送800隻 包銷成品 廣告 大型禽苗孵化基地 常年出售雞苗 品種齊全 免費防疫 訂滿1000隻免費上門建溫棚 送飼料 查看詳情 > 復能力。對業務外包的各種意外情形,外包商應設計必要的應急計劃。

E. 金融風險管理的體系

互聯網大浪潮如今早已席捲全球，中國互聯網模式不斷進行著變革，數據資產化、金融平台化日益成型，互聯網金融創新模式百花齊放。眾所周知，金融的本質是風險管理，依託於大數據，新型的風控理念很快吸引了互聯網巨頭、信貸機構、金融科技安全服務商、銀行機構等紛紛發力參與這場技術變革。

一時間，大數據風控成為互聯網背景下金融發展的「寵兒」，也成為資本關注的焦點。例如常見的金融借貸業務場景，供應鏈金融、消費貸款、企業信貸等都需要利用大數據構建智能資料庫和模型來識別欺詐用戶以及評估用戶信用等級，從而提升欺詐交易識別率。

風控一直被視為互聯網金融發展的命脈，大數據風控的發展無疑是行業必然趨勢，風險控制能力會直接決定平台的生死。安全做得好，金融創新的前景是一片坦途;安全做得差，平台可能被引向窮途末路。

大數據風控-互聯網金融的命脈

盛林集團深耕網路安全及大數據領域多年，鑄就了企業強有力的核心競爭力，其完善的精準風控體系正是這些金融機構所需要的，從賬號風險防護到應用風險防護，再到信用與欺詐風險防護，縱深金融業務的整個生命周期，讓交易變得更安全、更可靠。

事實上，風控離不開大數據的支撐，當前市場上流通的數據來源十分混亂，不乏摻雜著來自黑產倒賣的各種有效或者無效數據，因此數據的合規性也成為實現精準風控的前提，沒有用戶授權的數據業務是不持久的。不僅僅是合規性，數據的感知和預測、數據的修復和再生、數據交易信任評估能力更是數據服務的核心。

所謂道高一尺，魔高一丈，緊隨信貸市場和企業的發展，總有一部分群體對反欺詐模型進行研究，尋找漏洞來破解風控命門，這就需要大數據風控模型在業務運行中不斷豐富和優化，加入更多復雜特徵和更多維度的特徵，在貸前、貸中、貸後環節制定全面的服務監控體系，幫助信貸企業降低業務風險。

風險防控一定要從多維度、合法權威的數據源切入，基於深度學習、關系分析、智能決策、態勢感知等特性，在海量數據分析的基礎上，構建專業有效的規則、模型，結合時空維度立體探查風險規律，智能分析業務風險，實現行業風險實時預警，及時掌控風險態勢，阻斷欺詐操作。

不可否認，大數據的引入，給金融領域帶來了一股暖流。互聯網金融領域的風控挑戰依舊嚴峻，不斷地在數據開發及應用的道路上踐行，努力實現從量變到質變的過程是我們首當其沖要做的。

CFRM(Certified Financial Risk Manager)，注冊金融風險管理師，由注冊金融風險管理師協會(ICFRM)主考並頒發，並同時被納入中國市場學會金融服務工作委員會(簡稱「金融委」)建立的全國財經金融專業人才培養工程(簡稱PFT)，是代表風險管理行業的專業水平認證。

F. 國家對金融外包服務的政策，以及外包服務現狀，導向。跟國外的對比情況

我國承接金融服務外包的策略

考慮到我國的實際情況，並借鑒印度發展金融服務外包的成功經驗，我國在承接金融服務外包方面應注意以下幾點：

（一）政府制定支持外包產業發展的政策措施
印度的經驗表明，政府對外包產業發展的支持很重要。這一方面需要成立金融服務外包的行業管理機構和專項發展基金，以行業協調和互助的方式推動外包產業發展。另一方面，政府應加大知識產權保護力度，積極出台隱私信息保護等法規，增強國外客戶對安全的信心；改善服務模式和服務效率，盡早出台專門針對外包產業的優惠政策；採取減稅、免稅及減免房租等優惠措施降低企業運行成本。

（二）制定總體性外包承接戰略
金融服務外包的普及化為我國企業承接外包業務提供了廣泛的合作空間。我國企業承接金融服務外包的戰略要從暫時性、戰術性向長期性、戰略性轉變，根據新的形勢制定具有全局性、主動性特點的發展戰略，為企業的發展做好准備。另一方面，我國企業應改變自身的定位，從過去為金融機構提供服務的「加工廠」變為各大金融機構的戰略合作夥伴，全面融入到各金融機構的業務中去。

（三）發揮比較優勢，挖掘細分市場，逐漸擴大業務承接范圍
各國都有自己擅長的金融服務外包的承接范圍，限於人力、財力資源的制約，在發展服務外包時不可能同時全面推進。所以，我國應該根據本國國情，分行業有計劃地選擇重點行業拓展外包領域。國內企業應分析和發掘自己的比較優勢，結合我國的勞動力和成本優勢，要增強自主創新和研發的能力，打造自己的競爭優勢，爭取全球服務外包的核心業務的承接。國內企業承接的外包業務通常是特定金融功能的業務，如客戶服務、金融分析、客戶系統軟體開發等，而業務流程外包等較復雜的業務則並沒有引起太多的重視，因此，我國金融機構承接外包業務的發展空間還很大。這要求我國企業應利用自身的比較優勢積極參與外包市場，包括信用等級評估、市場調研、後勤保障、計算機業務及系統的維護維修、人力資源管理、企業形象建設等通常業務，還包括一些新興業務及復雜程度較高的業務流程外包。此外，要發揮文化、地理上的優勢，從向韓國和日本金融機構提供IT外包服務開始逐漸擴展服務領域。隨著我國金融人才素質的提高，特別是英文水平的提高，為擴大金融外包項目流入我國提供了有利的基礎，金融機構應在細分市場的基礎上，提供專精式外包服務。

（四）建立業務動態監管制度保障服務質量
我國承包企業應在參照《金融服務外包》指導原則的基礎上，制訂科學合理的外包承接流程，簽訂盡量縝密的相關承包合同，嚴格履行外包服務提供商的責任和義務，並採用接受發包單位的全面評估，以期最大限度降低承接外包服務的風險。我國承包企業有必要建立自己的內部評估和審計制度，定期對承包業務的進展程度、質量控制和相關影響進行評價，以確保和完善業務承包的長期發展。同時，承包企業也應該制定全面的承包風險管理計劃，不但在承接外包業務時進行調查和評估，而且在合作過程中妥善處理承包業務以及與發包商的關系。整個合同期間，承包企業應監控承包業務的直接表現和潛在變化，確保業務的完成。這包括：承包企業能夠理解和達到金融機構的目標；承包業務的實施方案和進度計劃；業務進展和實施計劃之間的差異；業務進展是否嚴格履行承包合同條款；自身的財務狀況；外部環境變化造成的潛在變化。為此，在制定外包文件時需要注意服務外包的范圍、服務外包合同的規范性、服務商信用評級、服務外包中金融機構和服務商的權利和義務、服務外包出現糾紛時的處理程序等。

（五）建立業務風險管理體系和應急預案
我國的承包企業應遵循合法、風險控制、保護客戶合法權益、有效監管等原則，識別外包活動潛在的風險，借鑒國外金融服務外包監管的經驗，確立自己的符合金融服務外包監管原則的規范和制度。我國承包企業應對可能發生的風險和突發事件制定應管理體系和應急預案，對於承包業務的各種意外情形，如遇到不可抗力無法完成承包事務、內部技術或者骨幹人員的變動等影響承包合同履行等，應設計必要的應急計劃。

（六）培養外包業務專門人才
適用的專門人才是承接金融服務外包的基本前提。這就需要我國高校了解企業對人才的需求，及時調整辦學方向和課程設置，培養具有較強針對性的專門人才。同時，行業主管機構或承包企業可以聯合高校進行職業資格認證和培訓，使大量具有相關專業背景的通用人才成為可以迅速進入工作崗位的專門人才。政府也應出台相關政策支持各類培訓機構對社會急需金融服務外包人才進行培訓，為金融服務外包業的發展提供人才保障。

G. 求助：金融服務公司主要管理制度，包括：財務管理、業務管理、風險管理三大模塊，感激不盡！！

企業內部控制制度是企業管理制度辦法的集合，是管理控制措施的綜合體現，是管理者實現控制目標的重要手段。因此，設計一個基礎好、結構佳、適用強、易操作的內部控制制度體系，需要做大量工作，而隨著客觀情況和管理控制手段的不斷變化，對管理控制內容也需要不斷加以補充、修訂和完善。因而在對內部控制制度設計與完善的過程中，應務必注意以下問題。
1.體例設計應能滿足修改完善的需要

內部控制制度體例是內部控制制度的基礎和骨架，如果考慮不周、設計不好，會有可能因某種變動或修改而對整個制度體例傷筋動骨，以致耗費大量人力物力去解決。非特殊情況和特殊需要，內部控制制度的體例是不需要做重大調整的。因此，對體例設計就應充分考慮它今後能適應不斷修改完善的需要。比如，根據管理需要增補或刪除一些業務流程、控制步驟或控制點，調整某些控制方法，完善某種控制手段等等。僅以內部控制制度條目的編號排序為例，體例設計中運用諸如1.1、1.2、2.1、2.2……等排序方法，就可較好地解決對業務流程、控制步驟和控制點隨時進行增補、修改或刪除的需要。另外，在文字描述方面，凡屬普遍適用的內容，如基本原則、要求，一般規定、方法，盡可能在制度大綱中描述，而不宜在業務流程中描述。對可能或必然會發生變化的方法及運作要求等，可以在文體大綱中採用指向的方法加以明確，如「參見某某方法」、「執行某某規定」、「另行制定」等。對內部控制制度體例設計作上述考慮，無外乎是確保制度整體結構在一定時期的基本穩定，以適應不斷修訂和完善的情況。

2.流程設計應與企業控制目標相適應

針對控制目標，業務流程可以有多種設計思路和方法，如：按會計科目設計，按經濟業務類型設計，按經營單位或管理部門設計等。按會計科目設計，是以會計科目為基礎，根據經濟業務事項對會計行為等進行控制；按經濟業務類型設計，是以經濟事項為基礎，結合管理部門和管理行為對經濟事項進行控制；按經營單位或管理部門設計，是以管理控制主體為基礎，結合經濟事項和管理行為對單位或管理部門進行控制。無論按照哪一種思路和方法設計業務流程，都有其無法迴避的缺陷，都有交叉或重復的內容，需要設計者根據企業實際情況，結合控制目標，進行比對權衡。在上述三種模式下，可以單一模式進行設計，也可以兩種以上相結合的模式進行設計。這里需要說明的是，無論採用哪種模式，都應對交叉或重復的內容作適當調整，否則會在檢查評價過程出現重復計分或重復扣分的情況，這樣也會影響評價結果的客觀性。

這里有兩點還需提及，一是在進行流程設計前應對企業現有經濟業務進行科學合理地分類、整合與提煉，避免因經濟事項不同但控制過程和控制手段完全相同的業務重復設計流程，進而使業務流程顯現出分類不清、雜亂無章的情況。二是在內部控制制度建立之初，由於經驗和認知程度所限，以及經濟業務未定型（如改革調整和業務變化）等原因影響，致使出現有些業務流程暫時還難以著手設計，或是雖然能夠設計但難免有紕漏的情況，這正是對內部控制制度進行增補和完善而應努力去做和不斷去做的工作。

3.控制步驟與控制點設計應關注重點

從嚴格意義上講，每個業務流程就是一個業務鏈，這個業務鏈可能是自成一體的閉環，也可能與其他流程連接後形成閉環。在這條業務鏈上，按照管理行為屬性可以分割成若干段即流程步驟，每個步驟又可以分割成若干執行點即控制點。若將控制步驟與控制點在一個流程中進行細分，可以分出很多，好比一個人從甲地步行到乙地，每一步都可以設為控制點並分出若干步驟一樣，若不加分析地按照自然狀況去設計，業務流程將會很冗長，點位過多則會使控制點分值普遍偏低或過小，重點不突出，同時給檢查評價帶來許多不必要的麻煩。因此，按照重要性原則，建議忽略那些既無關緊要、又無特殊要求的一般作業點，強化那些管理要求的重點、關鍵點和「拐點」，並將這些點進一步劃分出關鍵控制點和一般控制點。同樣按照重要性原則，在控制點分值設計上，賦予關鍵控制點以較高的分值，以突出和強化重點，進而引導執行者和管理者提高對控制重點的關注程度。這樣做的目的，不僅可以使流程設計重點突出，也可以使業務流程設計和檢查評價工作相對簡化，提高檢查評價工作的效率。

4.控制點設計應與控制點檢查相結合

內部控制制度所規定的內容不是一成不變的，它將隨著管理環境、管理條件和管理手段的變化而變化。內部控制制度對控制點的規定，有可能被實際控制中更加嚴格合理的要求打破，因此需要對制度規定的控制點進行修訂或完善；相反，制度對控制點的規定是先進合理的，則實際控制方法必須遵循制度規定。制度規定的調整變化是絕對的，不變是相對的，這是制度規定與實際操作的辯證關系。從嚴格意義上講，檢查點設計應與制度規定的控制點一致，若制度設計本身尚暫時存在一定缺陷，對控制點的檢查設計就不能拘泥於現行制度規定，而應根據管理實際進行設計，進而以此為基礎對制度規定進行修訂或完善，以使兩者進一步相互一致。控制點設計與控制點檢查是相互作用的關系，因此在控制點設計時注意結合控制點的檢查。

控制點設計中一個很重要的方面，就是管理控制要件。從管理學的角度講，有管理控制手段，就應有相適應的管理控制要件，管理控制要件是實現一定管理控制手段的有效載體，是充分必要條件。檢查評價實際是根據經濟業務事項針對管理控制要件及其關聯情況進行檢查評價，管理控制要件是內部控制制度設計以及檢查評價的關鍵之所在。管理控制要件一般包括：經濟業務事項的原始憑單，會計記錄，工作台賬，工作記錄，執行文件，制度規定，會議紀要，處理依據，相關批件，合同協議，以及其他控制、約束與限定手段。

5.崗位不相容設計與控制許可權的設定

崗位（職務）不相容與控制許可權要求，是內部控制制度的精髓。內部控制就是強調對一項經濟業務，不能由一個人或一個部門包辦，必須要有牽制、制約和相互監督，以確保一項經濟業務嚴格按照確定的流程全程貫通，實現管理者管理控制的目標。崗位（職務）不相容與控制許可權設計，必須滿足控制目標的需要，同時兼顧工作效率問題。在這兩者中，滿足管理控制要求是第一位的，萬不可只因考慮工作效率，而削弱相互牽制和監督的作用。企業在崗位（職務）不相容設計中，可能會因為人員不足或定編所限難以設定，這里需要說明的是，對不相容崗位（職務）設計可以有幾種方法，如：可以在同一層級的不同部門間設計，也可以在不同層級的不同部門間設計等，目的就是要做到不相容，做到相互牽制和相互監督。

對控制許可權的設計，應遵循重要性原則並區分應承擔的責任，在明確控制許可權時，對於必須經由集體研究討論的重大經濟業務事項，必須經過集體研究討論一致後才可審批；按照所承擔的責任，對於必須由法定代表人或某一層級負責人審批或審定且不允許授權的事項，必須由法人代表或該層級負責人審批或審定；對於某些允許授權審批的重要事項，可以實行授權審批形式，但制度中必須明確不能因為被授權人的不同而將授權人的責任轉移

H. 金融服務外包的綜述

全球金融服務機構越來越多地將原先自行承擔的業務轉交外包服務商完成。監管當局進行的行業調研顯示，金融服務機構已將相當一部分的業務外包出去，外包的安排也日漸復雜。
金融服務機構通過外包，可以將風險管理及合規等職責轉交給不受監管且能進行離岸操作的服務商進行運作。
在這種情況下，金融服務機構如何能對所負責的業務及風險控制保持信心？如何能知道自己的業務是否遵循了監管要求？當監管當局質詢時，這些機構又怎樣能表明自己確實在按章辦事？
為回答上述問題並指導受監管的金融服務機構（受監管實體），聯合論壇成立了一個工作組為外包制訂高級指引原則。
本文對有關主要問題及風險做了詳細說明，並闡述了作為參考標準的高級原則。這些原則適用於銀行、保險及證券業。每個行業的國際委員會可根據這些原則制定更為詳細和有針對性的規定。 一個受監管實體的職能與業務可通過多種方式來執行，有關職能可拆分為產品製造、市場營銷、後台支持與分銷等。如果各種職能的實施地點不同，但仍由本實體內部的部門來負責，則此類情況就不屬於外包。該實體應在常規風險管理框架內防範有關風險。
當前更為復雜的外包安排不斷涌現。在每種安排中，無論服務商是否受到監管，但都要受到聯合論壇原則的約束。
各種行業及監管報告指出，外包涉及風險轉移及管理方面（多與跨境業務相關）的問題。各行業與監管當局認為，受監管實體越來越多地依賴外包業務，可能會影響到其管理風險及服從監管要求的能力。另外，監管當局還擔心：受監管實體採取適當措施管理風險及遵守監管要求的能力，可能因外包而難以有效向監管當局表明。
在外包業務引起的這些問題之一是對外包業務的過分依賴會嚴重影響到受監管實體的可持續性及其履行客戶責任的能力。
受監管實體可以採取以下措施來降低風險：制定全面與清晰的外包政策、建立有效風險監管流程、要求外包公司制定應急計劃、協商達成合理的外包合同、分析服務商的財務與基礎設施狀況。
監管當局能夠通過以下措施減少外包過程產生的問題：在評估單個公司時充分考慮業務外包情況、在分析系統風險時要考慮服務商的風險集中問題。
監管當局特別關心的一個問題是，受監管實體如何能保持強有力的公司治理。監管當局也擔憂業務外包會影響受監管實體履行監管義務。除非市場與監管當局的影響聯合起來形成有效的約束力量，否則隨著金融行業對外部服務商依賴程度的加深及IT技術的迅速發展，業務外包可能導致系統性問題。

I. 銀行業金融機構外包風險管理指引

不是。
銀行業金融機構外包風險管理指引不是法律，是規范性文件。

銀行業金融機構外包風險管理指引，是為了規范銀行業金融機構的外包活動，保障銀行業金融機構業務持續經營，依據《中華人民共和國銀行業監督管理法》、《中華人民共和國商業銀行法》等有關法律法規，制定的指引。