DB12T 1094-2021 共享經(jīng)濟靈活就業(yè)人員管理與服務機構(gòu)業(yè)務風險管理基本要求　　

ICS03.100.99CCSA1012BasicrequirementsforbusinessriskmanagementofmanagementandserviceinstituteoftheGigWorkerinthesharingeconomyIDB12/T1094—2021本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由天津市發(fā)展和改革委員會提出并歸口。本文件起草單位：云賬戶（天津）共享經(jīng)濟信息咨詢有限公司、云賬戶技術(shù)（天津）有限公司。本文件主要起草人：楊暉、鄒永強、華燁姍、毛嘉興、樊光羽、周璇、張鑫、章駿斌、徐兆東、李海楠。1DB12/T1094—2021共享經(jīng)濟靈活就業(yè)人員管理與服務機構(gòu)業(yè)務風險管理基本要求本文件規(guī)定了共享經(jīng)濟靈活就業(yè)人員管理與服務機構(gòu)（以下簡稱“管理與服務機構(gòu)”）業(yè)務風險管理原則、業(yè)務風險管理過程、業(yè)務風險管理系統(tǒng)、業(yè)務風險管理體系和業(yè)務風險管理文化。本文件適用于管理與服務機構(gòu)。2.規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T23694-2013風險管理術(shù)語GB/T24353-2009風險管理原則與實施指南GB/T26317-2010公司治理風險管理指南DB12/T926-2020共享經(jīng)濟平臺靈活就業(yè)人員互聯(lián)網(wǎng)管理與服務指南DB12/T996-2020共享經(jīng)濟靈活就業(yè)人員管理與服務平臺基本安全要求3.術(shù)語和定義GB/T23694-2013、GB/T24353-2009及DB12/T926-2020界定的以及下列術(shù)語和定義適用于本文件。3.1風險risk不確定性對目標的影響。注3：通常風險可以用風險源、潛在事件及其后3.2風險管理riskmanagement指導和控制組織與風險（見3.1）相關(guān)的協(xié)調(diào)活動。3.3共享經(jīng)濟平臺thesharingeconomyplatform利用互聯(lián)網(wǎng)現(xiàn)代信息技術(shù)，整合海量、分散化資源，通過移動設備、評價系統(tǒng)、支付、基于位置的服務（LBS）等手段有效地將需求方和供給方進行最優(yōu)匹配，對數(shù)量龐大的需求方和供給方進行撮合，通過撮合交易達到供需雙方收益最大化，具備法人資格的共享經(jīng)濟行業(yè)平臺型公司。3.4共享經(jīng)濟靈活就業(yè)人員管理與服務managementandservicefortheGigWorkerinthesharingeconomy2DB12/T1094—2021基于互聯(lián)網(wǎng)現(xiàn)代信息技術(shù)，為靈活就業(yè)人員提供的身份核驗、規(guī)則宣傳貫徹、業(yè)務分包、收入結(jié)算、人工智能報稅、保險保障等共享經(jīng)濟服務。3.5共享經(jīng)濟靈活就業(yè)人員管理與服務機構(gòu)managementandserviceinstituteoftheGigWorkerinthesharingeconomy提供共享經(jīng)濟靈活就業(yè)人員管理與服務的平臺化組織。3.6共享經(jīng)濟靈活就業(yè)人員管理與服務平臺managementandserviceplatformoftheGigWorkerinthesharingeconomy共享經(jīng)濟靈活就業(yè)人員管理與服務機構(gòu)的網(wǎng)絡系統(tǒng)平臺。3.7個人用戶individualuser靈活就業(yè)人員在共享經(jīng)濟靈活就業(yè)人員管理與服務平臺中的個人身份。3.8企業(yè)用戶enterpriseuser共享經(jīng)濟平臺在共享經(jīng)濟靈活就業(yè)人員管理與服務平臺中的企業(yè)身份。3.9用戶user個人用戶和企業(yè)用戶的統(tǒng)稱。4.業(yè)務風險管理原則管理與服務機構(gòu)業(yè)務風險管理除了應遵守GB/T26317規(guī)定的原則外，還應遵守以下原則：a)法律合規(guī)原則，應遵循與風險管理有關(guān)的法律法規(guī)與標準規(guī)范；b)全面管控原則，應采用覆蓋交易流程全周期的方法開展業(yè)務風險管理工作；c)預防為先原則，應主要采取有效方法預判并避免風險的發(fā)生；d)持續(xù)改進原則，應時刻關(guān)注風險的動態(tài)變化過程，持續(xù)做好業(yè)務風險管理。5.業(yè)務風險管理過程5.1一般要求管理與服務機構(gòu)業(yè)務風險管理過程應符合GB/T26317-2010中第5章規(guī)定的一般要求，包括風險識別、風險分析、風險評估、風險應對措施、風險管理改進等要素。5.2風險識別5.2.1識別范圍管理與服務機構(gòu)應對以下方面進行風險識別：a)個人用戶風險識別；b)企業(yè)用戶風險識別；c)業(yè)務內(nèi)容風險識別。5.2.2識別程序3DB12/T1094—2021風險識別應符合以下識別程序：a)初次識別，管理與服務機構(gòu)應建立健全用戶信息識別機制，登記并審核驗證新用戶基本信息；b)持續(xù)識別，管理與服務機構(gòu)與用戶業(yè)務關(guān)系存續(xù)期間，在用戶基本信息沒有發(fā)生重大變化情況下應對用戶風險進行持續(xù)識別，及時更新風控檔案；c)重新識別，管理與服務機構(gòu)與用戶業(yè)務關(guān)系存續(xù)期間，當用戶重要信息發(fā)生變更和交易情況出現(xiàn)異常時，應對用戶進行全面重新識別。5.3風險分析5.3.1個人用戶風險管理與服務機構(gòu)需對個人用戶信息進行審核分析，包括但不限于以下方面：a)應核實個人用戶姓名、身份證號碼，或者個人用戶生物特征等表明用戶身份的要素；b)應核實銀行卡號或第三方支付收款賬戶是否與用戶身份一致；c)應核實個人用戶是否為所服務的企業(yè)用戶的董監(jiān)高、員工；d)宜核實個人用戶是否為涉案違法人員；e)宜考察個人用戶是否為軍人、公職人員；f)宜考察個人用戶是否具備提供服務所需的專業(yè)資質(zhì)。5.3.2企業(yè)用戶風險管理與服務機構(gòu)應對企業(yè)用戶信息進行審核分析，包括但不限于以下方面：a)企業(yè)資質(zhì)、經(jīng)營范圍、營業(yè)執(zhí)照有效期、實際控制人等基本信息；b)稅收違法、欠稅公告、行政處罰、經(jīng)營異常等經(jīng)營風險信息；c)司法案件、裁判文書、股權(quán)凍結(jié)、立案信息等法律風險信息；d)財務預警、監(jiān)管預警及其他的負面輿情信息。5.3.3業(yè)務內(nèi)容風險管理與服務機構(gòu)應按照政府監(jiān)管部門的要求、指引和風險提示，從業(yè)務性質(zhì)、交易金額、時間、頻率等多維度分析并建立異常交易監(jiān)測指標，用于監(jiān)測異常交易，包括但不限于以下方面：a)業(yè)務場景與個人用戶信息及行為邏輯是否相符：應根據(jù)不同業(yè)務場景特征，設置相應風控閾值規(guī)則，判斷業(yè)務場景與人群年齡、性別、收入等信息是否匹配；b)交易金額與實際生產(chǎn)經(jīng)營場景是否相符：應通過大數(shù)據(jù)分析得出每類個人用戶人群單位時長的收入?yún)^(qū)間及平均收入的實際情況，判斷交易單筆金額或總金額是否明顯偏離實際情況；c)交易時間與實際生產(chǎn)經(jīng)營場景是否相符：應關(guān)注個人用戶交易的時間，如實際交易時間不在通常的業(yè)務場景時段，存在業(yè)務不真實風險；d)交易頻次與實際生產(chǎn)經(jīng)營場景是否相符：應關(guān)注個人用戶交易的頻次，如實際交易頻次不符合通常的業(yè)務場景交易頻次，存在業(yè)務不真實風險。5.4風險評估管理與服務機構(gòu)應對服務中存在的風險進行評估并劃分等級，等級劃分宜分為服務管理風險Ⅰ級、服務管理風險Ⅱ級、服務管理風險Ⅲ級，可參照表1的設定，等級越高表示風險的影響越大。管理與服務機構(gòu)應持續(xù)根據(jù)服務中用戶動態(tài)對風險等級動態(tài)調(diào)整。4DB12/T1094—2021表1風險影響評價低a)個人用戶或企業(yè)用戶基本信息發(fā)生變更；b)企業(yè)用戶業(yè)務類型發(fā)生變更。中a)企業(yè)用戶出現(xiàn)經(jīng)營風險信息、法律風險信息及負面輿情b)業(yè)務場景與個人用戶信息及行為邏輯不符；c)交易金額、頻次、時間與實際生產(chǎn)經(jīng)營場景不符。高a)個人用戶被識別為涉案違法人員；b)交易過程被識別為疑似涉?zhèn)?、涉黃、涉賭、非法集資等應拒絕服務并上報政府相關(guān)5.5風險應對措施5.5.1管理與服務機構(gòu)應根據(jù)用戶風險等級情況，采取密切關(guān)注、核實信息、通知整改、限額操作、關(guān)停服務的階梯處置措施；5.5.2管理與服務機構(gòu)宜建立用戶黑名單制度，對風險評級高的用戶進行重點監(jiān)控或不予合作，同時應采取以下措施減少后續(xù)損失并指導今后實踐：a)分析可疑交易數(shù)據(jù)，總結(jié)可疑交易特征，優(yōu)化監(jiān)控規(guī)則；b)提高用戶對風險管理的認知，增強合規(guī)意識；c)積極向相關(guān)政府部門上報，配合相關(guān)部門的監(jiān)督和調(diào)查工作。5.6風險管理改進管理與服務機構(gòu)應持續(xù)改進業(yè)務風險管理過程的適用性、完善性及有效性，識別相關(guān)差距或改進空間后，管理與服務機構(gòu)應制定改進計劃和任務，分配給相關(guān)負責人實施，內(nèi)容包括但不限于以下方面：a)增加風險識別范圍；b)改進風險分析方法；c)更新風險評估等級；d)改進風險應對措施。6.業(yè)務風險管理系統(tǒng)6.1一般要求6.1.1管理與服務機構(gòu)應建立業(yè)務風險管理系統(tǒng)，具備風控引擎、準入審核、風險分析與評估、風險數(shù)據(jù)核查、風險處置、風險數(shù)據(jù)管理等功能。該系統(tǒng)應監(jiān)測關(guān)鍵風險指標，記錄和存儲與風險損失相關(guān)的數(shù)據(jù)和風險事件信息，支持實施風險防范和控制措施。6.1.2管理與服務機構(gòu)宜實時識別、評估、監(jiān)測和控制風險。6.2功能6.2.1風控引擎5DB12/T1094—2021管理與服務機構(gòu)應具備風控引擎，宜研發(fā)具有自主知識產(chǎn)權(quán)的風控引擎。風控引擎建設應符合以下要求：a)應具備風險識別和評估能力，宜通過設立符合行業(yè)現(xiàn)狀及管理與服務機構(gòu)自身業(yè)務開展情況的多種風控規(guī)則和（或）機器學習模型完成風險識別和評估；b)應具備風險監(jiān)測、報告和應對能力；c)應在合法授權(quán)范圍內(nèi)調(diào)用第三方數(shù)據(jù)，保證引擎運行過程中的可延展性。6.2.2準入審核管理與服務機構(gòu)應通過業(yè)務風險管理系統(tǒng)對用戶信息進行審核，應按個人用戶風險（見5.3.1）和DB12/T926-2020中4.1中的要求對個人用戶信息進行審核，應按企業(yè)用戶風險（見5.3.2）中的要求對企業(yè)用戶信息進行審核。審核方式應包括但不限于個人用戶生物特征識別審核、用戶信息逐條或批量審核、與第三方數(shù)據(jù)比對審核。6.2.3風險分析與評估管理與服務機構(gòu)應進行風險分析與評估，并對用戶風險評級。宜通過業(yè)務風險管理系統(tǒng)建設輿情分析能力，對企業(yè)用戶進行輿情分析，如企業(yè)用戶所屬行業(yè)的動態(tài)信息、企業(yè)經(jīng)營風險等，并根據(jù)分析結(jié)果制定業(yè)務風險管理措施并實施。6.2.4風險數(shù)據(jù)核查管理與服務機構(gòu)宜通過業(yè)務風險管理系統(tǒng)對已識別的風險訂單發(fā)起核查，在24小時之內(nèi)聯(lián)系用戶并獲取反饋證明資料，審核用戶反饋的資料真實性，記錄審核結(jié)論。6.2.5風險處置管理與服務機構(gòu)應根據(jù)風險等級設置階梯處置措施，包括但不限于密切關(guān)注、核實信息、通知整改、限額操作、關(guān)停服務、上報政府相關(guān)部門。6.2.6風險數(shù)據(jù)管理管理與服務機構(gòu)宜在業(yè)務風險管理系統(tǒng)中搭建包含用戶信息和交易過程信息的數(shù)據(jù)庫，并實時更新數(shù)據(jù)，為業(yè)務風險管理提供數(shù)據(jù)支撐。宜通過與第三方數(shù)據(jù)進行比對分析，提升風險識別范圍和能力；管理與服務機構(gòu)應在業(yè)務風險管理系統(tǒng)中建立用戶風控檔案，記錄個人用戶的基本信息、生產(chǎn)經(jīng)營內(nèi)容、巡檢記錄、風險評級、服務評價等，記錄企業(yè)用戶準入信息、巡檢記錄、風險評級、行業(yè)劃分等。7.業(yè)務風險管理體系7.1風險管理組織建設7.1.1組織架構(gòu)管理與服務機構(gòu)應建立與本機構(gòu)業(yè)務模式和規(guī)模相適應的風險管理組織架構(gòu)，以識別、評估、監(jiān)測、控制風險。風險管理組織架構(gòu)宜包括以下要素：a)董事會，未設董事會的管理與服務機構(gòu)可由執(zhí)行董事或高級管理層履行相關(guān)職責；b)高級管理層；c)風險管理部門；d)其他相關(guān)部門。6DB12/T1094—20217.1.2董事會風險管理職責董事會應負責管理與服務機構(gòu)業(yè)務風險管理的最終責任，包括下列職責：a)制定業(yè)務風險管理戰(zhàn)略和總體政策；b)明確高級管理層的風險管理的職責、權(quán)限及報告制度；c)按月審閱高級管理層提交的風險報告，了解本機構(gòu)業(yè)務風險管理的總體情況；d)監(jiān)督和檢查高級管理層采取的業(yè)務風險管理措施的有效性并指導改進；e)負責業(yè)務風險管理其他重大事項決策。7.1.3高級管理層風險管理職責高級管理層應負責執(zhí)行業(yè)務風險管理戰(zhàn)略和總體政策，包括下列職責：a)制定業(yè)務風險管理具體政策和執(zhí)行要求；b)明確風險管理部門和其他相關(guān)部門業(yè)務風險管理的職責、權(quán)限及報告制度；c)宜按周審閱風險管理部門提交的業(yè)務風險管理報告，監(jiān)督和檢查業(yè)務風險管理的具體情況，按月向董事會提交業(yè)務風險管理總體情況報告；d)監(jiān)督和檢查風險管理部門和其他相關(guān)部門采取的業(yè)務風險管理措施的有效性并指導改進；e)為業(yè)務風險管理配備適當?shù)馁Y源，包括但不限于提供必要的經(jīng)費、設置必要的崗位、配備合格的人員。7.1.4風險管理部門風險管理職責風險管理部門應負責本機構(gòu)業(yè)務風險管理的組織實施，包括下列職責：a)統(tǒng)籌協(xié)調(diào)業(yè)務風險管理工作的開展；b)建立風險識別、分析、監(jiān)測、控制方法及報告程序并組織實施；c)負責業(yè)務風險管理系統(tǒng)的建立和實施；d)宜按周檢查和分析相關(guān)部門業(yè)務風險管理情況，按周向高級管理層提交業(yè)務風險管理報告；e)為其他相關(guān)部門提供風險管理培訓，協(xié)助其履行風險管理職責。7.1.5其他相關(guān)部門風險管理職責業(yè)務風險管理其他相關(guān)部門包括：銷售、技術(shù)、法務、財務、內(nèi)審等部門。各相關(guān)部門應根據(jù)職責分工對所負責的業(yè)務風險管理工作負直接責任，包括下列職責：a)執(zhí)行業(yè)務風