本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
本文件起草单位:云账户(天津)共享经济信息咨询有限公司、云账户技术(天津)有限公司。
本文件主要起草人:杨晖、邹永强、华烨姗、毛嘉兴、樊光羽、周璇、张鑫、章骏斌、徐兆东、李海楠。
本文件规定了共享经济灵活就业人员管理与服务机构(以下简称“管理与服务机构”)业务风险管理原则、业务风险管理过程、业务风险管理系统、业务风险管理体系和业务风险管理文化。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 24353-2009 风险管理 原则与实施指南
GB/T 26317-2010 公司治理风险管理指南
DB12/T 926-2020 共享经济平台灵活就业人员互联网管理与服务指南
DB12/T 996-2020 共享经济灵活就业人员管理与服务平台基本安全要求
GB/T 23694-2013、GB/T 24353-2009及DB12/T 926-2020界定的以及下列术语和定义适用于本文件。
注1:影响是指偏离预期,可以是正面的和/或负面的。
注3:通常风险可以用风险源、潜在事件及其后果和可能性来描述。
3.3 共享经济平台 the sharing economy platform
利用互联网现代信息技术,整合海量、分散化资源,通过移动设备、评价系统、支付、基于位置的服务(LBS)等手段有效地将需求方和供给方进行最优匹配,对数量庞大的需求方和供给方进行撮合,通过撮合交易达到供需双方收益最大化,具备法人资格的共享经济行业平台型公司。
3.4 共享经济灵活就业人员管理与服务 management and service for the Gig Worker in the sharing economy
基于互联网现代信息技术,为灵活就业人员提供的身份核验、规则宣传贯彻、业务分包、收入结算、人工智能报税、保险保障等共享经济服务。
3.5 共享经济灵活就业人员管理与服务机构 management and service institute of the Gig Worker in the sharing economy
3.6 共享经济灵活就业人员管理与服务平台 management and service platform of the Gig Worker in the sharing economy
共享经济灵活就业人员管理与服务机构的网络系统平台。
灵活就业人员在共享经济灵活就业人员管理与服务平台中的个人身份。
共享经济平台在共享经济灵活就业人员管理与服务平台中的企业身份。
管理与服务机构业务风险管理除了应遵守GB/T 26317规定的原则外,还应遵守以下原则:
a)法律合规原则,应遵循与风险管理有关的法律法规与标准规范;
b)全面管控原则,应采用覆盖交易流程全周期的方法开展业务风险管理工作;
c)预防为先原则,应主要采取有效方法预判并避免风险的发生;
d)持续改进原则,应时刻关注风险的动态变化过程,持续做好业务风险管理。
管理与服务机构业务风险管理过程应符合GB/T 26317-2010中第5章规定的一般要求,包括风险识别、风险分析、风险评估、风险应对措施、风险管理改进等要素。
a)初次识别,管理与服务机构应建立健全用户信息识别机制,登记并审核验证新用户基本信息;
b)持续识别,管理与服务机构与用户业务关系存续期间,在用户基本信息没有发生重大变化情况下应对用户风险进行持续识别,及时更新风控档案;
c)重新识别,管理与服务机构与用户业务关系存续期间,当用户重要信息发生变更和交易情况出现异常时,应对用户进行全面重新识别。
管理与服务机构需对个人用户信息进行审核分析,包括但不限于以下方面:
a)应核实个人用户姓名、身份证号码,或者个人用户生物特征等表明用户身份的要素;
b)应核实银行卡号或第三方支付收款账户是否与用户身份一致;
c)应核实个人用户是否为所服务的企业用户的董监高、员工;
f)宜考察个人用户是否具备提供服务所需的专业资质。
管理与服务机构应对企业用户信息进行审核分析,包括但不限于以下方面:
a)企业资质、经营范围、营业执照有效期、实际控制人等基本信息;
b)税收违法、欠税公告、行政处罚、经营异常等经营风险信息;
c)司法案件、裁判文书、股权冻结、立案信息等法律风险信息;
管理与服务机构应按照政府监管部门的要求、指引和风险提示,从业务性质、交易金额、时间、频率等多维度分析并建立异常交易监测指标,用于监测异常交易,包括但不限于以下方面:
a)业务场景与个人用户信息及行为逻辑是否相符:应根据不同业务场景特征,设置相应风控阈值规则,判断业务场景与人群年龄、性别、收入等信息是否匹配;
b)交易金额与实际生产经营场景是否相符:应通过大数据分析得出每类个人用户人群单位时长的收入区间及平均收入的实际情况,判断交易单笔金额或总金额是否明显偏离实际情况;
c)交易时间与实际生产经营场景是否相符:应关注个人用户交易的时间,如实际交易时间不在通常的业务场景时段,存在业务不真实风险;
d)交易频次与实际生产经营场景是否相符:应关注个人用户交易的频次,如实际交易频次不符合通常的业务场景交易频次,存在业务不真实风险。
管理与服务机构应对服务中存在的风险进行评估并划分等级,等级划分宜分为服务管理风险Ⅰ级、服务管理风险Ⅱ级、服务管理风险Ⅲ级,可参照表1的设定,等级越高表示风险的影响越大。管理与服务机构应持续根据服务中用户动态对风险等级动态调整。
5.5 风险应对措施
5.5.1 管理与服务机构应根据用户风险等级情况,采取密切关注、核实信息、通知整改、限额操作、关停服务的阶梯处置措施;
5.5.2 管理与服务机构宜建立用户黑名单制度,对风险评级高的用户进行重点监控或不予合作,同时应采取以下措施减少后续损失并指导今后实践:
a)分析可疑交易数据,总结可疑交易特征,优化监控规则;
c)积极向相关政府部门上报,配合相关部门的监督和调查工作。
管理与服务机构应持续改进业务风险管理过程的适用性、完善性及有效性,识别相关差距或改进空间后,管理与服务机构应制定改进计划和任务,分配给相关负责人实施,内容包括但不限于以下方面:
6.1.1 管理与服务机构应建立业务风险管理系统,具备风控引擎、准入审核、风险分析与评估、风险数据核查、风险处置、风险数据管理等功能。该系统应监测关键风险指标,记录和存储与风险损失相关的数据和风险事件信息,支持实施风险防范和控制措施。
6.1.2 管理与服务机构宜实时识别、评估、监测和控制风险。
管理与服务机构应具备风控引擎,宜研发具有自主知识产权的风控引擎。风控引擎建设应符合以下要求:
a)应具备风险识别和评估能力,宜通过设立符合行业现状及管理与服务机构自身业务开展情况的多种风控规则和(或)机器学习模型完成风险识别和评估;
c)应在合法授权范围内调用第三方数据,保证引擎运行过程中的可延展性。
管理与服务机构应通过业务风险管理系统对用户信息进行审核,应按个人用户风险(见5.3.1)和DB 12/T 926-2020中4.1中的要求对个人用户信息进行审核,应按企业用户风险(见5.3.2)中的要求对企业用户信息进行审核。审核方式应包括但不限于个人用户生物特征识别审核、用户信息逐条或批量审核、与第三方数据比对审核。
管理与服务机构应进行风险分析与评估,并对用户风险评级。宜通过业务风险管理系统建设舆情分析能力,对企业用户进行舆情分析,如企业用户所属行业的动态信息、企业经营风险等,并根据分析结果制定业务风险管理措施并实施。
管理与服务机构宜通过业务风险管理系统对已识别的风险订单发起核查,在24小时之内联系用户并获取反馈证明资料,审核用户反馈的资料真实性,记录审核结论。
管理与服务机构应根据风险等级设置阶梯处置措施,包括但不限于密切关注、核实信息、通知整改、限额操作、关停服务、上报政府相关部门。
管理与服务机构宜在业务风险管理系统中搭建包含用户信息和交易过程信息的数据库,并实时更新数据,为业务风险管理提供数据支撑。宜通过与第三方数据进行比对分析,提升风险识别范围和能力;
管理与服务机构应在业务风险管理系统中建立用户风控档案,记录个人用户的基本信息、生产经营内容、巡检记录、风险评级、服务评价等,记录企业用户准入信息、巡检记录、风险评级、行业划分等。
管理与服务机构应建立与本机构业务模式和规模相适应的风险管理组织架构,以识别、评估、监测、控制风险。风险管理组织架构宜包括以下要素:
a)董事会,未设董事会的管理与服务机构可由执行董事或高级管理层履行相关职责;
董事会应负责管理与服务机构业务风险管理的最终责任,包括下列职责:
b)明确高级管理层的风险管理的职责、权限及报告制度;
c)按月审阅高级管理层提交的风险报告,了解本机构业务风险管理的总体情况;
d)监督和检查高级管理层采取的业务风险管理措施的有效性并指导改进;
高级管理层应负责执行业务风险管理战略和总体政策,包括下列职责:
b)明确风险管理部门和其他相关部门业务风险管理的职责、权限及报告制度;
c)宜按周审阅风险管理部门提交的业务风险管理报告,监督和检查业务风险管理的具体情况,按月向董事会提交业务风险管理总体情况报告;
d)监督和检查风险管理部门和其他相关部门采取的业务风险管理措施的有效性并指导改进;
e)为业务风险管理配备适当的资源,包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员。
风险管理部门应负责本机构业务风险管理的组织实施,包括下列职责:
b)建立风险识别、分析、监测、控制方法及报告程序并组织实施;
d)宜按周检查和分析相关部门业务风险管理情况,按周向高级管理层提交业务风险管理报告;
e)为其他相关部门提供风险管理培训,协助其履行风险管理职责。
业务风险管理其他相关部门包括:销售、技术、法务、财务、内审等部门。各相关部门应根据职责分工对所负责的业务风险管理工作负直接责任,包括下列职责:
b)以业务风险管理战略和政策为依据,制定并完善本部门的业务制度、流程和应急预案;
c)宜按周结合不定期向风险管理部门上报本部门风险管理的具体状况。
管理与服务机构业务风险管理制度应符合全面性、有效性原则,包括但不限于以下方面:
管理与服务机构风险管理制度实施应体现全面、审慎、有效的原则,包括下列方面:
a)应贯穿本机构业务风险管理的全流程,覆盖所有部门和岗位,并由全体人员参与,所有决策或操作均应有案可查;
管理与服务机构应树立正确的风险管理理念,增强员工风险管理意识,建立系统、规范、高效的风险管理机制,培育和塑造良好的风险管理文化。
8.2.1 管理与服务机构应对所有员工开展季度风险培训,对新员工开展入职风险培训。
8.2.2 风险培训内容应包括但不限于风险管理的基本方法、与业务相关的法律法规、相关风险管理工具的使用。