金融外包服务风险管理框架及制度

A. 如何构建商业银行风险管理的组织体系

背景
为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。 该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险管理需求分析
合规性需求：
近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：
2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》；
2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》；
2006年，银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；
2006年6月，国务院国资委出台了《中央企业全面风险管理指引》；
2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；
2009年3月，银监会发布《商业银行信息科技风险管理指引》；
各商业银行如何满足日益严格的各类IT监管要求，成为银行风险管理部门、合规部门、信息科技部门以及审计部门面临的挑战。

IT风险管理需求
银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：
• 是否对所有潜在的重大IT风险都进行了识别、评估和管理？
• 面对数量众多的IT风险，应如何对其进行管理？
• 如何在全行范围内推行全面IT风险管理？
• 如何将IT风险管理体制与企业日常IT管理和运营相融合？
• IT风险管理的角色、责任和义务是否合理或明确？
• 如何增强风险意识，培育风险管理文化？
组建并管理IT风险管理团队
IT风险管理组织结构建立在IT治理目标组织架构的基础上，遵循IT治理的工作成果，从IT风险管理的主要工作与活动开始，逐步识别并定义IT风险管理的角色，并根据角色模型设计组织架构，确保IT风险管理的各项工作能够得到落实。IT风险管理生命周期以及生命周期各阶段的工作如下图所示：

IT风险生命周期管理

从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计IT风险管理的职能与组织架构。从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计银行业IT风险管理的职能与组织架构。

对于IT风险管理的角色的定位如下图所示。

设计IT风险管理框架体系
IT风险管理框架体系主要包括如下五个体系框架
 IT风险管理策略体系：建立企业IT风险管理策略，明确管理层对信息科技风险管理的期望与承诺，描述对企业信息科技风险进行有效管理的方法，规定人员操作的流程与规范，制定系统配置规格、使用策略等。
 IT风险管理组织体系：建立完成组织信息科技风险管理目标的组织机构，包括跨部门的信息科技风险管理委员会、工作小组、第三方安全服务组织等。
 IT风险管理运行保障体系：建立日常科技风险运行与维护机制，包括运行监控、问题处理、变更管理等。重点是建立生产运行中安全的问题处理机制，形成完善的运行保障机制，及时、准确、快速地处理运行中的问题，强调执行过程的安全。
 IT风险管理技术保障体系：应用先进成熟的技术手段与产品，降低安全风险，包括产品的购置与配置加固、防病毒、加强安全域和网络访问控制，统一监控管理平台、统一身份认证与授权管理平台等。
 应急恢复保障体系：业务连续性计划及灾难恢复规划的实施，包括建立数据灾难备份中心，各个业务系统及IT 系统的应急方案，其目标是控制事态发展，保障生命财产安全，恢复正常生产运行状态。
 IT风险审计体系：审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审核。
建设IT风险管理制度与流程
 信息系统的开发和实施
信息系统的采购和开发
信息系统的采购和开发涉及系统的设计、采购/建造和布置，以支持业务目标的实现。制度与流程建设需要建立一套考虑到银行在安全、可用性和处理完整性等方面的要求的生命周期系统开发方法。
采购新的技术基础设施
采购和维护技术基础设施的流程涉及支持应用和通信的系统的设计、采购/建造和布置。基础设施组件，包括服务器、网络和数据库，对于信息处理的安全和可靠是至关重要的。在制度与流程建设中，需要制定并遵守相应的流程，确保基础设施系统，包括网络设备和软件，是根据它们要支持的财务应用程序的需要采购的。
应用系统和技术基础设施的安装和测试
系统安装测试和确认涉及新系统向生产环境的移植，它确保系统可以按照设计意图运行。没有合适的测试，系统将不能按照预想的方式运行，可能提供无效的信息，这将导致信息和报告的不可靠。在制度与流程建设中，需要制定应用软件和技术基础设施相关技术上的测试策略。
 信息系统的变更和维护
开发和维护政策及流程
开发和维护政策及流程涉及软件开发生命周期方法论、采购流程、应用的开发和维护以及相应的文档。这一领域相关的政策和操作程序使得企业能够持续地、有目标地进行商业运作。在制度与流程建设中，需要制定软件开发生命周期方法论和相应的流程、政策。
变更管理
变更管理表明了企业是如何通过调整系统功能来帮助业务活动满足财务报告目标的。在在制度与流程建设中，需要制定应用变动、系统维护的变更管理程序。
系统配置管理
系统配置管理保证安全、可获得的控制在系统中建立起来，并且在其生命周期内得到保持。在这方面的能力不足会导致系统安全和可靠性蒙受风险，并将允许对于系统和数据的非法访问。在制度与流程建设中，需要对系统基础设施，包括防火墙、服务器和其它有关设备，以及对应用软件和数据存储系统等配置管理程序，并建立配置基准。
 系统的操作和运行
操作管理
操作管理的好坏体现了一个组织通过保持可靠的应用系统来记录、处理和报告财务信息的水平。在这方面的能力缺乏将严重影响企业的财务报告。在制度与流程建设中，需要制定IT操作的标准程序，包括账户管理、批处理管理、系统操作管理、数据操作管理等。
服务水平的确定和管理
服务水平的确定和管理决定了企业如何满足其客户对其产品功能和业务操作的期望，进而满足其客户的业务目标。在这方面的能力缺乏将严重影响企业的财务报告和信息披露。在在制度与流程建设中，需要定义和管理服务水平来支持财务报告系统的要求。并定义一种框架，建立关键绩效指标，从内部和外部来管理服务水平协议。
外包服务管理
外包服务管理包括使用外包服务来支持财务应用和相关系统。在制度与流程建设中，需要定义第三方服务管理的程序。
 系统与信息安全管理
信息安全管理策略
系统安全方面的管理包括通过物理和逻辑上的控制来防止非法访问。在制度与流程建设中，需要参照ISO27001和国家信息安全等级保护标准，制定完整的系统安全策略体系。信息安全管理机制包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略涉及以下领域：
（一）安全制度管理。
（二）信息安全组织管理。
（三）资产管理。
（四）人员安全管理。
（五）物理与环境安全管理。
（六）通信与运营管理。
（七）访问控制管理。
（八）系统开发与维护管理。
（九）信息安全事故管理。
（十）业务连续性管理。
（十一）合规性管理。
问题和事故管理
问题和事故管理表明一个企业是如何对异常事件进行鉴别、记录和反应的。在制度与流程建设中，需要制定和执行问题管理系统，来确保所有标准操作之外的操作事件（如事故、问题和错误）都能得到及时的记录、分析和解决。制定安全事故响应流程，以支持对于非法活动的及时反应和调查。
数据管理
数据管理涉及用于管理信息完整性、准确性、授权和有效性的控制和程序，对信息的记录、处理和报告起支持作用。在制度与流程建设中，需要制定相应的政策和流程用于数据的处理、分发、保留和报告的输出。

IT风险管理软件平台方案
IT风险管理已经成为银行风险管理的重要组成部分，急需建立信息化平台支撑IT风险管理的日常工作。风险评估、风险控制、风险监控、监督与审计、风险沟通等工作均涉及大量的日常工作，需要建立相关的系统平台来满足银行IT风险管理相关部门的需求，谷安公司经过多年的行业经验积累，推出了国内首家IT风险管理平台系统。

IT风险管控系列软件目前包括如下主要模块：
风险评估管理-GooRisk
GooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包括评估范围定义，安全现状调查，资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。
风险控制管理-GooISMS
GooISMS风险管理体系建设软件提供了IT风险管理体系规划与管理体系建设的方法论和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的有效运行。
风险运营管理-GooProcess
GooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程，通过自动化工作流引擎，可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程，将安全管理流程真正落地。
风险审计管理-GooAudit
GooAudit安全风险审计管理软件提供了信息安全风险审计检查工具与审计管理流程，包括了各种业务、系统、设备的安全检查列表，符合性测试、实质性测试工具，定期审计管理流程，以及审计底稿、审计报告的管理。
风险知识管理-GooAwareness
GooAwareness安全风险知识管理软件为企业提供了信息安全相关知识的管理与共享平台，包括安全通告、内部知识库、外部资料库、标准与法规、案例警示、常用模板、知识地图、个人知识库等基本功能，方便安全知识的获取与管理，全面提高员工信息安全意识。

软件特色与优势：
完整的行业知识库：提供完整的银行业知识库支持，并且对知识库进行持续更新；知识库包括行业业务流程、业务系统、信息资产、威胁类型、漏洞类别、风险指标、安全策略、管理流程、行业法规等。
遵从各类监管要求：紧密结合企业信息安全与内部控制要求，遵从信息科技风险管理指引、ISO27001、等级保护、COBIT等标准，引导公司信息安全与IT控制工作，协助信息安全与IT风险管理体系建立，并管理文档记录、测评、评估、改进、测试等阶段的工作；全面符合国际标准ISO27001、国家标准GB20984《信息安全风险评估规范》，以及公安部等级保护测评要求
统一控制框架： 采取Unified Control Framework设计，可将超过2,000个“既定的”控制目标与等级保护、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等几十个标准和法律法规相挂钩，并可通过全面的可配置性和可扩展性应用到知识库中；
操作简单安全：基于B/S架构，通过浏览器的轻松灵活的使用、导航界面，能够根据组织要求调节界面外观，基于角色授权指派相关人士负责控制工作，轻松添加各种控制与遵从标准版本，支持本机Excel电子数据表输入。

B. IT外包有何风险及如何防范

建立管理机构，明确外包范围，严格审查制度，加强风险监控和激励机制建设，这些措施是商业银行IT外包风险防范的重要保障。 对外包风险的把握，直接决定着 信息技术外包的成功与否。从根本上来说，对信息技术外包风险的防范过程就是对外包活动实施全面有效的管理过程。
建立外包事务管理机构 要对外包实施全面有效的管理，必须首先建立外包事务管理机构。目前，商业银行外包过程中，仅在外包决策、外包商选择、或发生了法律纠纷时，才成立临时性机构，处理相应外包事务。管理组织的不稳定造成管理人员的频繁调动和流失，削弱对外包项目的充分理解，影响了合作双方感情的建立。人员的不稳定必将造成管理策略的不连续，削弱双方合作和信任基础，给外包项目的管理和监督带来不必要的麻烦，影响外包的服务质量和进度。
外包事务管理机构应该由银行战略规划专家、外包咨询专家、各部门熟悉本行业务信息流关系的代表、信息技术专业人员、费用预算人员、法律顾问、实施管理和协调人员组成。主要负责外包前对国内、外行业、竞争对手以及自身的信息化需求进行调查研究；识别信息技术的核心竞争能力；在收益、成本和风险之间进行平衡并进行外包决策；制定外包的建设技术标准；设计外包方案，避免重复投资与信息孤岛；评价外包商的技术等级、发展能力，选择承包商；签署外包合同；对外包服务过程进行全面监督、协调和控制；处理与现有外包商的外包关系；监督并审议通过外包商的技术决策；积累外包经验并帮助制定未来的外包决策；谈判并推行未来的外包合同；使IT整体战略与不断变化的银行的整体战略保持一致。
明确IT外包范围 哪些是构成核心竞争力的信息技术，哪些是可以外包的非核心技术，外包范围的确定是商业银行信息技术外包中面临的首要问题。 J.P.摩根公司通过对美国商业银行的电子化发展研究，提出M1-M2-M3层信息技术构架理论（如图1所示），M1是指计算机系统的硬件、系统软件、工具软件、网络设施和其他银行使用的专用机具；M2层主要由应用软件和人机接口组成；M3层的内容主要包括业务流程重组、策略规划、应用系统集成和现有应用系统的管理和维护。M1层的技术属于技术提供商而非银行，对于商业银行来说，M1层的竞争主要表现在合并分散的数据处理中心以追求更好的规模效益；在M2层的信息化建设上，美国商业银行走了一段曲折的道路，开始采取完全自主开发的方式，在支付巨额开发成本的同时，还要承担开发失败的风险，开发完成后发现各家银行基本雷同，是一种低水平的重复建。因此进入上世纪80年代，美国商业银行不仅共同投资建设网络，实现资源共享，而且逐渐与IT公司合作开发软件或直接使用商品化的软件。经过研究发现，美国商业银行在M1和M2层的开发投入，实际收获的只是M1和M2层的技术培训，在M1和M2层领先所产生的效益不如M3层快。 借鉴美国商业银行的电子化发展经验和摩根公司M框架理论，我国商业银行在进行信息技术外包的过程中，应将M1、M2层外包，利用外包商的规模效益，降低成本，集中力量建设M3层，才能培养核心竞争力，实现特色化经营。 建立对外包商资格审查制度 外包成功的关键因素之一是选择具有良好社会形象和信誉、相关金融行业系统实施经验丰富、能够引领或紧跟信息技术发展的外包商作为战略合作伙伴。因此，对外包商的资格审查应从技术能力、经营管理能力、发展能力这三个方面着手。 技术能力：外包商提供的信息技术产品是否具备创新性、开放性、安全性、兼容性，是否拥有较高的市场占有率，能否实现信息数据的共享；外包商是否具有信息技术方面的资格认证，如信息产业部颁发的系统集成商证书、认定的软件厂商证书等；外包商是否了解金融行业特点，能够拿出真正适合商业银行业务的解决方案；信息系统的设计方案中是否应用了稳定、成熟的信息技术，是否符合银行发展的要求，是否充分体现了银行以客户为中心的服务理念；是否具备对大型设备的运行、维护、管理经验，和多系统整合能力；是否拥有对高新技术深入理解的技术专家和项目管理人员。 经营管理能力：了解外包商的领导层结构、员工素质、客户数量、社会评价；项目管理水平，如软件工程工具、质量保证体系、成本控制、配置管理方法、管理和技术人员的老化率或流动率；是否具备能够证明其良好运营管理能力的成功案例；员工间是否具备团队合作精神，外包商客户的满意程度。 发展能力：分析外包服务商已审计的财务报告、年度报告和其他各项财务指标，了解其盈利能力；考察外包企业从事外包业务的时间、市场份额以及波动因素；考察银行的外包合同对外包服务商财务状况的重要性如何；评估外包服务商的技术费用支出以及在信息技术领域内的产品创新，确定他们在技术方面的投资水平是否能够支持银行的外包项目。 对外包实施进行风险监控 信息技术外包的目的在于通过整合信息技术合作伙伴的企业资源，快速实现服务手段和服务方式的信息化，满足客户的需要。信息技术外包中产生的任何风险都会严重影响银行的形象。因此，在信息外包的全过程中要实施风险管理。 风险管理应分为四个步骤：第一步是识别外包实施中各阶段的宏观、微观层面风险，设置监控点。宏观上密切关注信息技术、外包市场的发展，以及银行自身经营环境、竞争对手外包策略、外包商经营状况的变化，防范技术、市场风险。微观层面上，听取外包商在项目实施不同阶段的报告，评估外包商运行的信息系统和相应的控制措施（如资源安全性、完整性、保密性），定期审查外包商相关的内部控制、系统开发和维护、以及应急计划措施，以保证它们符合合同要求，并且与当前的市场和技术环境相一致；了解外包服务是否及时，服务质量、服务水平是否得到提高，防范交易和信誉风险。第二步是分析造成工作偏离预定标准的问题的实质，对产生问题的原因进行调查并做出结论；第三步是拟订解决问题的可行方案，并从中选择出最好的；实施选定的方案，使外包工作回到原定的、期望的标准上。 建立对外包商激励机制 外包商的经营目标是实现利润最大化，而银行希望以公平价格获得良好的服务，因此，商业银行应制订激励机制，将其经营绩效与外包服务要求挂钩，使合作双方目标一致。可采取以下激励措施： 优质优价：根据信息技术外包的范围，按照系统正常运转的时间、效率，制定合格、满意、优质三层标准，达到不同标准给予不同价格。标准的制定应该随着技术的发展而不断提高，如果外包商在技术方面的创新能够使银行实现某些业务盈利，应给予外包商一定的奖励。这样可以鼓励外包商使用新技术、持续改进服务。
级别管理：根据对外包商的资格审查、合作时间长短、合作过程中满意程度，制订相应的评级制度，将外包商划分为准入级、合作级、伙伴级。级别评定是能上能下的，如果外包商的服务水平下降、服务质量降低，就会被降级。级别管理是希望通过一系列连续的合同来加强银行与外包商的合作关系，提醒外包商通过优质服务建立良好声誉、获得收益的重要性。

C. 银行外包管理办法

别说一线岗位，银行很多内部的比如说档案员、驾驶员、守押岗位都已经外包了。此外大堂、催收、法律、诉讼，甚至POS机具维护，甚至信贷收单都外包了。

为何这么做？

第一是节省成本。
外包，就是把这些相对不重要的岗位包给第三方公司，第三方公司派遣自己的雇员来代替银行正式签约员工工作。银行按月结算给第三方，第三方再剔除管理费、税金、五险一后支付给具体的外包岗位人员。

银行签约人员收入与福利肯定要比外包人员多一些，如此操作，银行少支出部分又节省了管理成本。第三方公司也能从外包人员头上多少搜刮些，双赢啊😡

第二是回避责任。
只要进行人员管理就有责任。这么一半人少了，银行各级管理者的责任降低了。

出了任何问题，简单将外包人员遣送回第三方公司就什么事都省了。

第三是规避风险
银行工作存在众多潜在风险。而很多事不好给内部员工做，比如银行催收，给员工做就得监督，是否内外勾结，冲销费用，减免利息啊，真很麻烦。给外包第三方公司，按照既定规则执行，就结束了。

所以...

不过，当银行也开始这么节省成本，让外包人员面对客户，估计外包人员心中也是愤怒的，同工不同酬，谁会创造性劳动？

损失的，嗯，其实还是银行自己。

且看着吧。

D. 如何防范金融服务外包所潜在的风险及相应措施

要防范金融服务外包过程中各种风险,我国须重视在岸服务外包市场开发,走有中国特色的“内外结合”发展道路。
要想更好地发展中国的金融服务外包需要做到以下几个方面:1.建立并完善外包服务商的资格审查和信用评级制度,以及有效的外包监管制度。2.制定相关法律。完善的法律可以保证外包市场健康有序的发展。3.政府合理规划和建设金融服务外包园区和城市。充分发挥政府前瞻性的长远规划,应将各大城市分开管理,给予差别的政策,以最大程度充分发挥各城市的优势,避免各城市之间的盲目竞争。
我国金融服务外包风险防范      
(一)合理确定金融服务外包的业务范围和服务商      (1)实行业务外包以前,金融机构应制定外包的具体政策和标准,主要包括对哪些业务适合外包做出评估。同时,应该全面考虑业务外包的程度问题、风险集中问题,以及将多项业务外包给同一个服务商时的风险问题。      (2)外包服务商的业务水平直接关系到外包活动的成败。在做出外包决策后,金融机构的管理层应听取来自内部或外部的法律、财务专家、人力资源的意见,然后才可以按照自身的需求去寻找擅长该业务的所有高级公司,通过仔细的调查、分析和比较,选择最合适的外包服务商。此外,也要考虑外包服务商的财务状况。      (二)外包风险内部评估      在开始实施金融服务外包之后,为了确保及时将风险消灭在萌芽之中,或者在风险来临之前获得信号,把风险带来的损失降低最小,必须在外包的过程中时刻对风险进行内部评估。      (1)派专人到外包服务商的公司任职,及时与外包服务商沟通在外包业务中存在的问题,特派员作为一个中间人协调和处理在业务中可能出现的矛盾。这种方法相对比较可靠,但容易受到地域等因素的影响。      (2)缩短金融机构和外包服务商沟通的周期。由于外包业务的关系,外包服务商肯定要定期向金融机构汇报业务报表或有关业务的进展情况。尽量控制一个合理而有效的沟通周期以便于及早发现问题。     (三)完善金融外包监管制度      (1)金融监管当局应采取不同的监管程序。金融监管当局针对不同的业务和不同的外包服务商应采取不同的监管程序。对于明确规定可以外包的业务,只需要经过备案程序即可,而对于规定之外的业务,则应经过监管机构的审查与批准程序。对于不同的外包服务商,也应采取有差别的监管程序。      (2)金融监管当局应进行外包业务的持续监管和系统性风险监管。为了实现持续监管,可借鉴国际监管组织制定的监管原则,要求金融机构在外包合同中制定相关条款,确保监管当局随时可获得监管所需的资料。      (3)金融机构及外包服务商均应制订应急计划。金融机构应该尽力要求外包服务商制订应急计划,保证信息技术的安全性,以及发生意外情况时灾难恢 乌骨鸡苗鸡苗0.2元/只 送全程饲料 养殖死伤全赔 广告 一年养4批利润40万 每户10000元补贴 45天死伤全赔 培训养鸡技术 查看详情 > 绍兴 鸡苗批发 0.2元/只 订1000只送800只 包销成品 广告 大型禽苗孵化基地 常年出售鸡苗 品种齐全 免费防疫 订满1000只免费上门建温棚 送饲料 查看详情 > 复能力。对业务外包的各种意外情形,外包商应设计必要的应急计划。

E. 金融风险管理的体系

互联网大浪潮如今早已席卷全球，中国互联网模式不断进行着变革，数据资产化、金融平台化日益成型，互联网金融创新模式百花齐放。众所周知，金融的本质是风险管理，依托于大数据，新型的风控理念很快吸引了互联网巨头、信贷机构、金融科技安全服务商、银行机构等纷纷发力参与这场技术变革。

一时间，大数据风控成为互联网背景下金融发展的“宠儿”，也成为资本关注的焦点。例如常见的金融借贷业务场景，供应链金融、消费贷款、企业信贷等都需要利用大数据构建智能数据库和模型来识别欺诈用户以及评估用户信用等级，从而提升欺诈交易识别率。

风控一直被视为互联网金融发展的命脉，大数据风控的发展无疑是行业必然趋势，风险控制能力会直接决定平台的生死。安全做得好，金融创新的前景是一片坦途;安全做得差，平台可能被引向穷途末路。

大数据风控-互联网金融的命脉

盛林集团深耕网络安全及大数据领域多年，铸就了企业强有力的核心竞争力，其完善的精准风控体系正是这些金融机构所需要的，从账号风险防护到应用风险防护，再到信用与欺诈风险防护，纵深金融业务的整个生命周期，让交易变得更安全、更可靠。

事实上，风控离不开大数据的支撑，当前市场上流通的数据来源十分混乱，不乏掺杂着来自黑产倒卖的各种有效或者无效数据，因此数据的合规性也成为实现精准风控的前提，没有用户授权的数据业务是不持久的。不仅仅是合规性，数据的感知和预测、数据的修复和再生、数据交易信任评估能力更是数据服务的核心。

所谓道高一尺，魔高一丈，紧随信贷市场和企业的发展，总有一部分群体对反欺诈模型进行研究，寻找漏洞来破解风控命门，这就需要大数据风控模型在业务运行中不断丰富和优化，加入更多复杂特征和更多维度的特征，在贷前、贷中、贷后环节制定全面的服务监控体系，帮助信贷企业降低业务风险。

风险防控一定要从多维度、合法权威的数据源切入，基于深度学习、关系分析、智能决策、态势感知等特性，在海量数据分析的基础上，构建专业有效的规则、模型，结合时空维度立体探查风险规律，智能分析业务风险，实现行业风险实时预警，及时掌控风险态势，阻断欺诈操作。

不可否认，大数据的引入，给金融领域带来了一股暖流。互联网金融领域的风控挑战依旧严峻，不断地在数据开发及应用的道路上践行，努力实现从量变到质变的过程是我们首当其冲要做的。

CFRM(Certified Financial Risk Manager)，注册金融风险管理师，由注册金融风险管理师协会(ICFRM)主考并颁发，并同时被纳入中国市场学会金融服务工作委员会(简称“金融委”)建立的全国财经金融专业人才培养工程(简称PFT)，是代表风险管理行业的专业水平认证。

F. 国家对金融外包服务的政策，以及外包服务现状，导向。跟国外的对比情况

我国承接金融服务外包的策略

考虑到我国的实际情况，并借鉴印度发展金融服务外包的成功经验，我国在承接金融服务外包方面应注意以下几点：

（一）政府制定支持外包产业发展的政策措施
印度的经验表明，政府对外包产业发展的支持很重要。这一方面需要成立金融服务外包的行业管理机构和专项发展基金，以行业协调和互助的方式推动外包产业发展。另一方面，政府应加大知识产权保护力度，积极出台隐私信息保护等法规，增强国外客户对安全的信心；改善服务模式和服务效率，尽早出台专门针对外包产业的优惠政策；采取减税、免税及减免房租等优惠措施降低企业运行成本。

（二）制定总体性外包承接战略
金融服务外包的普及化为我国企业承接外包业务提供了广泛的合作空间。我国企业承接金融服务外包的战略要从暂时性、战术性向长期性、战略性转变，根据新的形势制定具有全局性、主动性特点的发展战略，为企业的发展做好准备。另一方面，我国企业应改变自身的定位，从过去为金融机构提供服务的“加工厂”变为各大金融机构的战略合作伙伴，全面融入到各金融机构的业务中去。

（三）发挥比较优势，挖掘细分市场，逐渐扩大业务承接范围
各国都有自己擅长的金融服务外包的承接范围，限于人力、财力资源的制约，在发展服务外包时不可能同时全面推进。所以，我国应该根据本国国情，分行业有计划地选择重点行业拓展外包领域。国内企业应分析和发掘自己的比较优势，结合我国的劳动力和成本优势，要增强自主创新和研发的能力，打造自己的竞争优势，争取全球服务外包的核心业务的承接。国内企业承接的外包业务通常是特定金融功能的业务，如客户服务、金融分析、客户系统软件开发等，而业务流程外包等较复杂的业务则并没有引起太多的重视，因此，我国金融机构承接外包业务的发展空间还很大。这要求我国企业应利用自身的比较优势积极参与外包市场，包括信用等级评估、市场调研、后勤保障、计算机业务及系统的维护维修、人力资源管理、企业形象建设等通常业务，还包括一些新兴业务及复杂程度较高的业务流程外包。此外，要发挥文化、地理上的优势，从向韩国和日本金融机构提供IT外包服务开始逐渐扩展服务领域。随着我国金融人才素质的提高，特别是英文水平的提高，为扩大金融外包项目流入我国提供了有利的基础，金融机构应在细分市场的基础上，提供专精式外包服务。

（四）建立业务动态监管制度保障服务质量
我国承包企业应在参照《金融服务外包》指导原则的基础上，制订科学合理的外包承接流程，签订尽量缜密的相关承包合同，严格履行外包服务提供商的责任和义务，并采用接受发包单位的全面评估，以期最大限度降低承接外包服务的风险。我国承包企业有必要建立自己的内部评估和审计制度，定期对承包业务的进展程度、质量控制和相关影响进行评价，以确保和完善业务承包的长期发展。同时，承包企业也应该制定全面的承包风险管理计划，不但在承接外包业务时进行调查和评估，而且在合作过程中妥善处理承包业务以及与发包商的关系。整个合同期间，承包企业应监控承包业务的直接表现和潜在变化，确保业务的完成。这包括：承包企业能够理解和达到金融机构的目标；承包业务的实施方案和进度计划；业务进展和实施计划之间的差异；业务进展是否严格履行承包合同条款；自身的财务状况；外部环境变化造成的潜在变化。为此，在制定外包文件时需要注意服务外包的范围、服务外包合同的规范性、服务商信用评级、服务外包中金融机构和服务商的权利和义务、服务外包出现纠纷时的处理程序等。

（五）建立业务风险管理体系和应急预案
我国的承包企业应遵循合法、风险控制、保护客户合法权益、有效监管等原则，识别外包活动潜在的风险，借鉴国外金融服务外包监管的经验，确立自己的符合金融服务外包监管原则的规范和制度。我国承包企业应对可能发生的风险和突发事件制定应管理体系和应急预案，对于承包业务的各种意外情形，如遇到不可抗力无法完成承包事务、内部技术或者骨干人员的变动等影响承包合同履行等，应设计必要的应急计划。

（六）培养外包业务专门人才
适用的专门人才是承接金融服务外包的基本前提。这就需要我国高校了解企业对人才的需求，及时调整办学方向和课程设置，培养具有较强针对性的专门人才。同时，行业主管机构或承包企业可以联合高校进行职业资格认证和培训，使大量具有相关专业背景的通用人才成为可以迅速进入工作岗位的专门人才。政府也应出台相关政策支持各类培训机构对社会急需金融服务外包人才进行培训，为金融服务外包业的发展提供人才保障。

G. 求助：金融服务公司主要管理制度，包括：财务管理、业务管理、风险管理三大模块，感激不尽！！

企业内部控制制度是企业管理制度办法的集合，是管理控制措施的综合体现，是管理者实现控制目标的重要手段。因此，设计一个基础好、结构佳、适用强、易操作的内部控制制度体系，需要做大量工作，而随着客观情况和管理控制手段的不断变化，对管理控制内容也需要不断加以补充、修订和完善。因而在对内部控制制度设计与完善的过程中，应务必注意以下问题。
1.体例设计应能满足修改完善的需要

内部控制制度体例是内部控制制度的基础和骨架，如果考虑不周、设计不好，会有可能因某种变动或修改而对整个制度体例伤筋动骨，以致耗费大量人力物力去解决。非特殊情况和特殊需要，内部控制制度的体例是不需要做重大调整的。因此，对体例设计就应充分考虑它今后能适应不断修改完善的需要。比如，根据管理需要增补或删除一些业务流程、控制步骤或控制点，调整某些控制方法，完善某种控制手段等等。仅以内部控制制度条目的编号排序为例，体例设计中运用诸如1.1、1.2、2.1、2.2……等排序方法，就可较好地解决对业务流程、控制步骤和控制点随时进行增补、修改或删除的需要。另外，在文字描述方面，凡属普遍适用的内容，如基本原则、要求，一般规定、方法，尽可能在制度大纲中描述，而不宜在业务流程中描述。对可能或必然会发生变化的方法及运作要求等，可以在文体大纲中采用指向的方法加以明确，如“参见某某方法”、“执行某某规定”、“另行制定”等。对内部控制制度体例设计作上述考虑，无外乎是确保制度整体结构在一定时期的基本稳定，以适应不断修订和完善的情况。

2.流程设计应与企业控制目标相适应

针对控制目标，业务流程可以有多种设计思路和方法，如：按会计科目设计，按经济业务类型设计，按经营单位或管理部门设计等。按会计科目设计，是以会计科目为基础，根据经济业务事项对会计行为等进行控制；按经济业务类型设计，是以经济事项为基础，结合管理部门和管理行为对经济事项进行控制；按经营单位或管理部门设计，是以管理控制主体为基础，结合经济事项和管理行为对单位或管理部门进行控制。无论按照哪一种思路和方法设计业务流程，都有其无法回避的缺陷，都有交叉或重复的内容，需要设计者根据企业实际情况，结合控制目标，进行比对权衡。在上述三种模式下，可以单一模式进行设计，也可以两种以上相结合的模式进行设计。这里需要说明的是，无论采用哪种模式，都应对交叉或重复的内容作适当调整，否则会在检查评价过程出现重复计分或重复扣分的情况，这样也会影响评价结果的客观性。

这里有两点还需提及，一是在进行流程设计前应对企业现有经济业务进行科学合理地分类、整合与提炼，避免因经济事项不同但控制过程和控制手段完全相同的业务重复设计流程，进而使业务流程显现出分类不清、杂乱无章的情况。二是在内部控制制度建立之初，由于经验和认知程度所限，以及经济业务未定型（如改革调整和业务变化）等原因影响，致使出现有些业务流程暂时还难以着手设计，或是虽然能够设计但难免有纰漏的情况，这正是对内部控制制度进行增补和完善而应努力去做和不断去做的工作。

3.控制步骤与控制点设计应关注重点

从严格意义上讲，每个业务流程就是一个业务链，这个业务链可能是自成一体的闭环，也可能与其他流程连接后形成闭环。在这条业务链上，按照管理行为属性可以分割成若干段即流程步骤，每个步骤又可以分割成若干执行点即控制点。若将控制步骤与控制点在一个流程中进行细分，可以分出很多，好比一个人从甲地步行到乙地，每一步都可以设为控制点并分出若干步骤一样，若不加分析地按照自然状况去设计，业务流程将会很冗长，点位过多则会使控制点分值普遍偏低或过小，重点不突出，同时给检查评价带来许多不必要的麻烦。因此，按照重要性原则，建议忽略那些既无关紧要、又无特殊要求的一般作业点，强化那些管理要求的重点、关键点和“拐点”，并将这些点进一步划分出关键控制点和一般控制点。同样按照重要性原则，在控制点分值设计上，赋予关键控制点以较高的分值，以突出和强化重点，进而引导执行者和管理者提高对控制重点的关注程度。这样做的目的，不仅可以使流程设计重点突出，也可以使业务流程设计和检查评价工作相对简化，提高检查评价工作的效率。

4.控制点设计应与控制点检查相结合

内部控制制度所规定的内容不是一成不变的，它将随着管理环境、管理条件和管理手段的变化而变化。内部控制制度对控制点的规定，有可能被实际控制中更加严格合理的要求打破，因此需要对制度规定的控制点进行修订或完善；相反，制度对控制点的规定是先进合理的，则实际控制方法必须遵循制度规定。制度规定的调整变化是绝对的，不变是相对的，这是制度规定与实际操作的辩证关系。从严格意义上讲，检查点设计应与制度规定的控制点一致，若制度设计本身尚暂时存在一定缺陷，对控制点的检查设计就不能拘泥于现行制度规定，而应根据管理实际进行设计，进而以此为基础对制度规定进行修订或完善，以使两者进一步相互一致。控制点设计与控制点检查是相互作用的关系，因此在控制点设计时注意结合控制点的检查。

控制点设计中一个很重要的方面，就是管理控制要件。从管理学的角度讲，有管理控制手段，就应有相适应的管理控制要件，管理控制要件是实现一定管理控制手段的有效载体，是充分必要条件。检查评价实际是根据经济业务事项针对管理控制要件及其关联情况进行检查评价，管理控制要件是内部控制制度设计以及检查评价的关键之所在。管理控制要件一般包括：经济业务事项的原始凭单，会计记录，工作台账，工作记录，执行文件，制度规定，会议纪要，处理依据，相关批件，合同协议，以及其他控制、约束与限定手段。

5.岗位不相容设计与控制权限的设定

岗位（职务）不相容与控制权限要求，是内部控制制度的精髓。内部控制就是强调对一项经济业务，不能由一个人或一个部门包办，必须要有牵制、制约和相互监督，以确保一项经济业务严格按照确定的流程全程贯通，实现管理者管理控制的目标。岗位（职务）不相容与控制权限设计，必须满足控制目标的需要，同时兼顾工作效率问题。在这两者中，满足管理控制要求是第一位的，万不可只因考虑工作效率，而削弱相互牵制和监督的作用。企业在岗位（职务）不相容设计中，可能会因为人员不足或定编所限难以设定，这里需要说明的是，对不相容岗位（职务）设计可以有几种方法，如：可以在同一层级的不同部门间设计，也可以在不同层级的不同部门间设计等，目的就是要做到不相容，做到相互牵制和相互监督。

对控制权限的设计，应遵循重要性原则并区分应承担的责任，在明确控制权限时，对于必须经由集体研究讨论的重大经济业务事项，必须经过集体研究讨论一致后才可审批；按照所承担的责任，对于必须由法定代表人或某一层级负责人审批或审定且不允许授权的事项，必须由法人代表或该层级负责人审批或审定；对于某些允许授权审批的重要事项，可以实行授权审批形式，但制度中必须明确不能因为被授权人的不同而将授权人的责任转移

H. 金融服务外包的综述

全球金融服务机构越来越多地将原先自行承担的业务转交外包服务商完成。监管当局进行的行业调研显示，金融服务机构已将相当一部分的业务外包出去，外包的安排也日渐复杂。
金融服务机构通过外包，可以将风险管理及合规等职责转交给不受监管且能进行离岸操作的服务商进行运作。
在这种情况下，金融服务机构如何能对所负责的业务及风险控制保持信心？如何能知道自己的业务是否遵循了监管要求？当监管当局质询时，这些机构又怎样能表明自己确实在按章办事？
为回答上述问题并指导受监管的金融服务机构（受监管实体），联合论坛成立了一个工作组为外包制订高级指引原则。
本文对有关主要问题及风险做了详细说明，并阐述了作为参考标准的高级原则。这些原则适用于银行、保险及证券业。每个行业的国际委员会可根据这些原则制定更为详细和有针对性的规定。 一个受监管实体的职能与业务可通过多种方式来执行，有关职能可拆分为产品制造、市场营销、后台支持与分销等。如果各种职能的实施地点不同，但仍由本实体内部的部门来负责，则此类情况就不属于外包。该实体应在常规风险管理框架内防范有关风险。
当前更为复杂的外包安排不断涌现。在每种安排中，无论服务商是否受到监管，但都要受到联合论坛原则的约束。
各种行业及监管报告指出，外包涉及风险转移及管理方面（多与跨境业务相关）的问题。各行业与监管当局认为，受监管实体越来越多地依赖外包业务，可能会影响到其管理风险及服从监管要求的能力。另外，监管当局还担心：受监管实体采取适当措施管理风险及遵守监管要求的能力，可能因外包而难以有效向监管当局表明。
在外包业务引起的这些问题之一是对外包业务的过分依赖会严重影响到受监管实体的可持续性及其履行客户责任的能力。
受监管实体可以采取以下措施来降低风险：制定全面与清晰的外包政策、建立有效风险监管流程、要求外包公司制定应急计划、协商达成合理的外包合同、分析服务商的财务与基础设施状况。
监管当局能够通过以下措施减少外包过程产生的问题：在评估单个公司时充分考虑业务外包情况、在分析系统风险时要考虑服务商的风险集中问题。
监管当局特别关心的一个问题是，受监管实体如何能保持强有力的公司治理。监管当局也担忧业务外包会影响受监管实体履行监管义务。除非市场与监管当局的影响联合起来形成有效的约束力量，否则随着金融行业对外部服务商依赖程度的加深及IT技术的迅速发展，业务外包可能导致系统性问题。

I. 银行业金融机构外包风险管理指引

不是。
银行业金融机构外包风险管理指引不是法律，是规范性文件。

银行业金融机构外包风险管理指引，是为了规范银行业金融机构的外包活动，保障银行业金融机构业务持续经营，依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等有关法律法规，制定的指引。