前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇全流程風(fēng)險管理范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

全流程風(fēng)險管理范文第1篇

文 陳衛(wèi)國

從戰(zhàn)略高度部署業(yè)務(wù)流程與信息化融合，防范企業(yè)運營風(fēng)險

中建三局一公司制定了投資建造兩輪驅(qū)動、打造“管理領(lǐng)先、技術(shù)領(lǐng)先、服務(wù)領(lǐng)先”的核心能力的發(fā)展戰(zhàn)略，其中風(fēng)險防范是管理領(lǐng)先的核心內(nèi)容。圍繞企業(yè)戰(zhàn)略，經(jīng)過廣泛調(diào)研和深入研討，確定了實現(xiàn)“管控一致、過程受控、知識共享、系統(tǒng)集成”風(fēng)險控制和管理提升目標(biāo)，將風(fēng)險控制用信息化手段融入業(yè)務(wù)管理活動中，按照“業(yè)務(wù)流程化、流程標(biāo)準(zhǔn)化、標(biāo)準(zhǔn)信息化、信息集成化”的思路，建立業(yè)務(wù)流程與信息化深度融合的全面風(fēng)險管理系統(tǒng)。

按照風(fēng)險控制點和信息化要求梳理業(yè)務(wù)流程，完善制度體系

業(yè)務(wù)流程再造。按照在業(yè)務(wù)活動過程中控制風(fēng)險的原則，以單項業(yè)務(wù)活動的清理為切入點，對公司現(xiàn)有管理活動進行清理，在此基礎(chǔ)上，梳理出企業(yè)實現(xiàn)戰(zhàn)略目標(biāo)核心業(yè)務(wù)活動，對原有流程進行全面的功能和效率分析，發(fā)現(xiàn)其存在的風(fēng)險；設(shè)計新的流程改進方案并加以評估；制定與流程改進方案相配套的組織結(jié)構(gòu)。通過對各項業(yè)務(wù)活動的清除、簡化、整合和自動化過程，重點解決以下難點。

一是圍繞企業(yè)的整體發(fā)展戰(zhàn)略來定位核心業(yè)務(wù)流程，從清理的大量原始業(yè)務(wù)活動中，分析、評估和判斷出企業(yè)的核心業(yè)務(wù)活動及過程風(fēng)險。

二是解決原來條塊分割的問題，打通業(yè)務(wù)活動縱橫向的溝通。原有的管理體系更多地局限于各專業(yè)系統(tǒng)從上至下縱向的“條”和公司一分公司縱向的“塊”，缺少橫向的標(biāo)準(zhǔn)接口和體系化的溝通機制，通過清理，提高系統(tǒng)之間的溝通效率，解決系統(tǒng)之間信息傳遞失真的風(fēng)險。

三是解決原來各自為陣的管理問題，增加整體管理的系統(tǒng)性。通過流程清理，將較多局部的、孤立的管理活動實行聯(lián)動，提高業(yè)務(wù)的整體性和風(fēng)險管理的系統(tǒng)性。

四是解決原來管理職責(zé)不清的問題，將各項管理職責(zé)進行量化。與流程清理相結(jié)合，將以往抽象的、模糊的管理職能和風(fēng)險責(zé)任用量化的流程描述進行明確，解決了很多以往互相扯皮、職責(zé)不清的問題。

五是根據(jù)流程清理和再造的結(jié)果，對原有組織機構(gòu)進行整體優(yōu)化，對一些職責(zé)和權(quán)限進行了重新劃分和調(diào)整。

六是結(jié)合流程清理的結(jié)果，制定企業(yè)新的人力資源配置、績效考核方式和業(yè)務(wù)管理規(guī)范。

管理標(biāo)準(zhǔn)化提升。在業(yè)務(wù)流程再造的基礎(chǔ)上，結(jié)合企業(yè)管理現(xiàn)狀，開展管理標(biāo)準(zhǔn)化研究。

是通過梳理和調(diào)整，對全公司針對同一管理活動的行為準(zhǔn)則和過程表格進行標(biāo)準(zhǔn)化。即統(tǒng)做什么、怎么做的問題。

二是通過崗位職責(zé)的梳理、優(yōu)化以及崗位標(biāo)準(zhǔn)的建立，對全公司針對同一管理活動的執(zhí)行職責(zé)進行標(biāo)準(zhǔn)化。即統(tǒng)一誰去做的問題。

三是通過對現(xiàn)有授權(quán)體系的梳理和規(guī)范，對各個管理層級的執(zhí)行權(quán)限進行規(guī)范。

四是建立執(zhí)行過程中的問題反映機制，定期進行問題收集和匯總，并按要求進行解決。公司每月召開由總經(jīng)理主持，各單位經(jīng)理書記參加的系統(tǒng)推進專題會，討論解決與系統(tǒng)執(zhí)行相關(guān)的重要問題，對管理和風(fēng)險控制體系進行動態(tài)完善和優(yōu)化。

建立風(fēng)險管理的制度保障體系。公司建立了“以制約監(jiān)督權(quán)力為核心、以廉政風(fēng)險防控機制建設(shè)為抓手、以反腐倡廉制度建設(shè)為載體、大力推進權(quán)力公開透明陽光運行”的風(fēng)險防控體系。

一是制訂《“三重一大”決策管理實施辦法》《總經(jīng)理辦公會議議事規(guī)則》《黨委會議議事規(guī)則》等制度，有效規(guī)范決策形式和程序，保證決策科學(xué)合理，預(yù)防決策風(fēng)險。

二是制訂《干部選拔任用及管理暫行規(guī)定》《崗位說明書》和《部門職責(zé)說明書》，建立健全了科學(xué)的干部選拔任用機制、管理考核機制和激勵約束機制，預(yù)防用人風(fēng)險。

三是制訂《全面風(fēng)險管理辦法》《內(nèi)部審計辦法》、《竣工項目審計辦法》等制度，形成了以法務(wù)、審計、紀(jì)監(jiān)為主體的風(fēng)險監(jiān)控體系。

建設(shè)管理信息系統(tǒng)，固化流程和制度要求，防止人為因素帶來的風(fēng)險

綜合管理信息系統(tǒng)以公司標(biāo)準(zhǔn)化的流程手冊為開發(fā)依據(jù)，圍繞項目全過程管理，從市場管理到現(xiàn)場管理、采購管理、成本管理、資金管理等，以成本控制為核心，以資金支付控制為抓手，對企業(yè)運營管控和業(yè)務(wù)管控進行了系統(tǒng)化管理、集成化應(yīng)用。主要功能模塊包括以下方面。

企業(yè)層面——市場管理：信息跟蹤管理、投標(biāo)管理、簽約管理，并由客戶管理、投標(biāo)資料管理提供支持；資源管理分包方準(zhǔn)入、分包方招標(biāo)、財務(wù)資金管理、知識管理。

項目部層面——項目策劃、合同管理、經(jīng)濟活動分析、進度管理、質(zhì)量管理、安全管理、環(huán)境管理、技術(shù)管理、分包管理、財務(wù)核算、資金管理、材料管理、設(shè)備管理、竣工管理、綜合管理。

強化信息管理，嚴(yán)格合同評審，源頭把控市場風(fēng)險

公司在市場營銷上實施“三高”戰(zhàn)略，即在大市場中聚焦高端市場，在大業(yè)主中精選高端客戶，在大項目上重玫高端項目；制訂《客戶管理辦法》，建立了客戶管理數(shù)據(jù)庫，從企業(yè)誠信、資金實力、投資規(guī)模、計價水平、現(xiàn)場管理、工程結(jié)算等方面對客戶進行評價和分級評定，對項目承接實行底線管理，對合同簽約實行紅線控制．從源頭把控市場風(fēng)險。

實行底線管理。規(guī)定履約不誠信的客戶、付款比例低于80%或付款周期超過2個月、投標(biāo)純利率6%以下、住宅項目工程造價低于3億元的項目禁止承接，徹底杜絕聯(lián)營掛靠項目。

實行紅線控制。公司制訂了《項目法律風(fēng)險防控工作管理辦法》，對招投標(biāo)、合同簽訂階段的各類常見風(fēng)險及控制措施建立了知識庫，明確紅線標(biāo)準(zhǔn)，突破紅線的不允許投標(biāo)或簽訂合同；合同談判前精心進行策劃，減少合同風(fēng)險。

嚴(yán)格過程審批。從信息跟蹤開始，到招標(biāo)文件、投標(biāo)文件和合同都必須通過信息系統(tǒng)經(jīng)分公司、公司相關(guān)職能部門和領(lǐng)導(dǎo)評審。系統(tǒng)進行邏輯關(guān)聯(lián)控制，沒有信息評審就無法進行招標(biāo)文件評審，沒有招標(biāo)文件評審就無法投標(biāo)，沒有投標(biāo)評審就無法簽訂合同。

通過業(yè)務(wù)流程與信息化融合，確保信息通暢，控制運營風(fēng)險

信息縱橫貫通。綜合管理信息系統(tǒng)固化制度要求，按業(yè)務(wù)邏輯進行數(shù)據(jù)強制關(guān)聯(lián)，解決傳統(tǒng)管理方式下信息不對稱的問題。

在信息縱向傳遞方面，一是通過流程引擎，使公司總部、區(qū)域公司及項目部之間縱向溝通順暢，業(yè)務(wù)事項處理及時；二是通過系統(tǒng)的數(shù)據(jù)自動關(guān)聯(lián)，實現(xiàn)了業(yè)務(wù)系統(tǒng)內(nèi)部的前后邏輯關(guān)聯(lián)。如物資管理，從前期策劃的總需用計劃、月度需用計劃、采購計劃、招標(biāo)采購、驗收入庫、領(lǐng)用出庫、材料盤點、成本分析，到付款申請，整個材料管理業(yè)務(wù)線前后貫通，環(huán)環(huán)相扣。前一步?jīng)]做，后面的工作就無法開展；總計劃里沒有的物資，月計劃里就做不了該物資的計劃：采購的數(shù)量不能大于計劃量，否則無法錄入，這種剛性約束使得管理人員必須按公司相關(guān)制度辦，改變了工作隨意的不良習(xí)慣，提高了制度執(zhí)行力，大大減少了管理漏洞。

質(zhì)量管理和安全管理：公司建立統(tǒng)一的質(zhì)量監(jiān)控和安全危害因素知識庫，項目部在策劃階段識別質(zhì)量監(jiān)控點和安全危害因素清單，實施過程中，質(zhì)檢員和安全員根據(jù)監(jiān)控點和危險因素清單按照實際進度進行過程監(jiān)督，對發(fā)現(xiàn)的司題自動形成整改單，策劃、檢查、整改全程閉合，確保質(zhì)量和安全受控。

在信息橫向傳遞方面，通過系統(tǒng)中的數(shù)據(jù)自動關(guān)聯(lián)，使業(yè)務(wù)部門之間的橫向溝通順暢，避免了各自為政、口徑不、相互矛盾的問題。

對運營風(fēng)險進行動態(tài)管控。信息系統(tǒng)按照業(yè)務(wù)邏輯強化數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系，保證每一項管理活動中每個步驟的先后銜接關(guān)系；通過最終的約束限制條件，確保每個活動步驟的真實、及時和有效。

一是以成本為核心，以項目兌現(xiàn)為約束條件，運營管理過程受控。從投標(biāo)成本測算開始，到中標(biāo)后確定責(zé)任成本、過程中的成本分析、完工后的成本確認到項目竣工結(jié)算。最終以項目兌現(xiàn)作為剛生約束條件；其中任何一個管理步驟沒有完成就沒法進入下一個步驟，最終導(dǎo)致無法兌現(xiàn)。

二是以合同為基礎(chǔ)，以資金支付為約束條件，業(yè)務(wù)管理過程受控。系統(tǒng)中對資金支付進行剛性約束，任何一個管理步驟沒有完成就沒法進入下一個步驟，最終的結(jié)果是導(dǎo)致資金無法支付，通過資金支付的剛性約束來保證管理活動的及時、真實和有效，業(yè)務(wù)管理過程受控。

三是通過系統(tǒng)運行監(jiān)控，確保業(yè)務(wù)活動透明可視。系統(tǒng)設(shè)置監(jiān)控權(quán)限，紀(jì)檢、審計及其它相關(guān)人員可以隨時監(jiān)督審查授權(quán)范圍內(nèi)的業(yè)務(wù)活動開展情況，包括從管理活動發(fā)起的源頭到任何一個環(huán)節(jié)的所有審批意見和背景材料，對業(yè)務(wù)活動過程監(jiān)控可以做到實時可視，完全透明。

四是通過系統(tǒng)預(yù)警，及時處理異常狀況。系統(tǒng)設(shè)置預(yù)警閥值，出現(xiàn)偏差自動預(yù)警，可以讓各個管理環(huán)節(jié)及時發(fā)現(xiàn)過程中出現(xiàn)的各種異常狀況，通過預(yù)警響應(yīng)功能．及時對相關(guān)問題在過程中進行處理。如．商務(wù)管理中自動對上交比例低于6%、成本分析出現(xiàn)虧損等項目進行預(yù)警；資金管理中根據(jù)月度對外報量登記應(yīng)收賬款臺賬，及時記錄報量和收款情況，自動計算拖欠天數(shù)和拖欠金額，進行拖欠分級預(yù)警。

五是通過目標(biāo)值設(shè)定和數(shù)據(jù)關(guān)聯(lián)，確保數(shù)據(jù)真實可控。系統(tǒng)設(shè)置目標(biāo)值，并進行剛性數(shù)據(jù)關(guān)聯(lián)，確保數(shù)據(jù)不超出目標(biāo)值。如 資金支付數(shù)不能大于結(jié)算數(shù)；結(jié)算數(shù)不能超出合同限定數(shù)；材料領(lǐng)用數(shù)不能超出庫存數(shù)等。一旦超出，數(shù)據(jù)將無法填入，系統(tǒng)自動提醒并拒絕保存。

實現(xiàn)資源集中管理，減少風(fēng)險環(huán)節(jié)

實現(xiàn)資金的集中管理。信息系統(tǒng)的應(yīng)用實現(xiàn)了真正意義上的資金集中管理。一是通過合同——結(jié)算——資金計劃——分配方案——支付申請——資金撥付——網(wǎng)銀支付的層層關(guān)聯(lián)，實現(xiàn)資金集中支付。二是系統(tǒng)設(shè)置控制功能，當(dāng)期無結(jié)余無收款的項目無法支付款項，只有經(jīng)過借款且承擔(dān)資金占用利息的情況下才能支付，“以收定支”和“有償使用”的原則得以落實。三是通過資金策劃——資金計劃——資金支付——資金臺賬的數(shù)據(jù)關(guān)聯(lián)，總部對項目部從開工到竣工結(jié)算的全過程現(xiàn)金流實現(xiàn)預(yù)算管理和動態(tài)監(jiān)控，資金核算到項目部。

實現(xiàn)供方的集中管理。通過信息系統(tǒng)，在對供方進行考察評審后，由公司對供方進行統(tǒng)一編碼，建立集中的合格供方庫，通過系統(tǒng)的強制關(guān)聯(lián)，只能從合格供方庫中選取隊伍進行招標(biāo)，實現(xiàn)了供方的集中管理。

實現(xiàn)物資采購集中管理。通過信息系統(tǒng)按期間和組織機構(gòu)分級匯總各類主材的總需用計劃后，由企業(yè)在合格供應(yīng)商范圍內(nèi)進行年度集中招標(biāo)，確定總體的供應(yīng)商數(shù)量及供應(yīng)價格、結(jié)算方式、付款方式。在具體的項目提出招標(biāo)申請以后，只能在集中采購結(jié)果的范圍以內(nèi)選擇供應(yīng)商具體執(zhí)行。

知識共享、智能決策，風(fēng)險管理持續(xù)改進

知識共享傳承，防止風(fēng)險重復(fù)出現(xiàn)。綜合管理信息系統(tǒng)固化了公司相關(guān)制度要求，本身就是企業(yè)知識的重要組成部分，沒有經(jīng)驗的新員工，按系統(tǒng)提供的業(yè)務(wù)幫助和操作幫助就可以很容易開展工作，成為企業(yè)知識的共享者，能少走彎路少犯錨。另一方面，系統(tǒng)建立專門的知識庫模塊，將企業(yè)的各項經(jīng)驗、教訓(xùn)進行歸納和總結(jié)后分門別類進行歸集，企業(yè)知識不斷豐富并共享傳承，降低風(fēng)險重復(fù)發(fā)生的可能。

決策信息實時智能，風(fēng)險管理持續(xù)改進。通過信息系統(tǒng)，一是所有決策支持信息均由系統(tǒng)從各個業(yè)務(wù)活動中自動獲取，保證了原始數(shù)據(jù)的及時和真實，且數(shù)據(jù)可以追溯。二是數(shù)據(jù)來源和口徑由系統(tǒng)在后臺設(shè)置好，確保一致，對各項業(yè)務(wù)的發(fā)展趨勢分析更加客觀和準(zhǔn)確。三是實現(xiàn)了實時決策。任意時點、任意期間的數(shù)據(jù)可以進行實時分析。通過系統(tǒng)決策支持數(shù)據(jù)實時監(jiān)控企業(yè)運營狀況，企業(yè)管理者能及時發(fā)現(xiàn)風(fēng)險進行處理，并對潛在風(fēng)險進行分析，對風(fēng)險管理系統(tǒng)進行動態(tài)完善。

全流程風(fēng)險管理范文第2篇

關(guān)鍵詞：大數(shù)據(jù) 小微業(yè)務(wù) 風(fēng)險管理 數(shù)據(jù)管理

中圖分類號：F830.4 文獻標(biāo)識碼：A

文章編號：1004-4914（2016）08-182-02

引言

大數(shù)據(jù)在國內(nèi)外商業(yè)銀行已廣泛應(yīng)用于授信欺詐識別、準(zhǔn)入篩選、授信額度審定、貸款定價等各種風(fēng)險決策管理領(lǐng)域，并有許多成功運用案例。如：美國富國銀行利用大數(shù)據(jù)攔截客戶欺詐和評估貸后風(fēng)險，VISA組織利用大數(shù)據(jù)巧妙化解信用卡詐騙、盜刷等事件侵擾；建設(shè)銀行利用大數(shù)據(jù)技術(shù)挖掘客戶融資需求并建立風(fēng)險決策模型；中信銀行利用大數(shù)據(jù)技術(shù)實現(xiàn)授信額度審批和貸款定價的自動化；工商銀行通過與沃爾瑪建立供應(yīng)鏈互聯(lián)網(wǎng)金融，對物流、信息流、資金流封閉管理，有效降低信息不對稱風(fēng)險，提升風(fēng)險管理的效率和效果。

大數(shù)據(jù)對商業(yè)銀行風(fēng)險管理的借鑒價值在于，通過數(shù)據(jù)信息分析、挖掘、聚類、建模，可應(yīng)用于風(fēng)險管理的防欺詐、授信額度核定、違約預(yù)警等各方面，簡化流程，提高效率，有效提升風(fēng)險決策智能化水平，強化風(fēng)險管理效果，大量節(jié)省人工成本。

一、大數(shù)據(jù)對提升銀行小微風(fēng)險管理的意義

銀行小微風(fēng)險管理手段仍較落后，技術(shù)提升迫在眉睫。主要體現(xiàn)在對已有各種系統(tǒng)利用不充分，對現(xiàn)有各類數(shù)據(jù)挖掘利用不足，風(fēng)險管理自動化、智能化程度不高，手工操作占比大、環(huán)節(jié)多，嚴(yán)重依賴人工，使風(fēng)險管理與人員不足的矛盾較為突出。本文認為，大數(shù)據(jù)對銀行小微風(fēng)險管理的意義主要有以下幾點：

（一）完整繪制客戶數(shù)據(jù)圖譜

全方位解讀與識別客戶風(fēng)險基于大數(shù)據(jù)可將碎片化信息關(guān)聯(lián)、整合、還原，構(gòu)建以客戶為中心的基本信息、資產(chǎn)負債信息、行為信息整體視圖，做到360度全方位了解和識別小微客戶，有利于洞察每個客戶的需求偏好，提前察覺潛在風(fēng)險并做好防范。

（二）有效解決信息不對稱問題，實現(xiàn)風(fēng)險精準(zhǔn)定位

小微授信業(yè)務(wù)的風(fēng)險很大程度上來源于信息不對稱。通過數(shù)據(jù)分析和數(shù)據(jù)挖掘技術(shù)在風(fēng)險管理領(lǐng)域的大量應(yīng)用，整合內(nèi)、外部豐富的數(shù)據(jù)資源，進行勾稽關(guān)系邏輯印證，可以有效判定信息的真實性、可靠性，精準(zhǔn)定位、識別和量化風(fēng)險。

（三）變事后的被動管理為事前的主動管理

小微風(fēng)險管理滯后的結(jié)果是，事后發(fā)現(xiàn)風(fēng)險，效率低下、損失率高，成本難以控制?；诖髷?shù)據(jù)的風(fēng)險管理，將各種風(fēng)險規(guī)則嵌入生產(chǎn)流程，可實現(xiàn)批量化、自動化，實時、主動識別風(fēng)險，及時預(yù)警，有效解決小微風(fēng)險管理的被動局面。

（四）實現(xiàn)全覆蓋、全自動的批量化風(fēng)險管理

不同于傳統(tǒng)的單一抽檢，基于大數(shù)據(jù)可將各種風(fēng)險管理規(guī)則、數(shù)據(jù)模型與業(yè)務(wù)流程緊密結(jié)合，建立覆蓋全業(yè)務(wù)流程、閉環(huán)式風(fēng)險管理體系，將全量數(shù)據(jù)進行跑批，有效識別業(yè)務(wù)模塊風(fēng)險點，克服以往對全量數(shù)據(jù)進行抽檢而遺漏部分風(fēng)險的可能。

因此，全行上下須積極擁抱大數(shù)據(jù)，改變風(fēng)險管理決策依據(jù)，形成數(shù)據(jù)決策的習(xí)慣，建設(shè)小微數(shù)據(jù)化、模型化、批量化、自動化、智能化的主動風(fēng)險管理體系。

二、小微風(fēng)險管理中系統(tǒng)開發(fā)、數(shù)據(jù)管理及應(yīng)用現(xiàn)狀

（一）系統(tǒng)開發(fā)的規(guī)劃和前瞻性不足

目前某銀行與零售業(yè)務(wù)有關(guān)并已上線的應(yīng)用系統(tǒng)共計63個，其中與小微業(yè)務(wù)密切相關(guān)的有28個，主要分為授信、渠道、產(chǎn)品、客戶服務(wù)、賬戶流水和結(jié)算六大類。但總體呈現(xiàn)多、散、亂、雜等特征，系統(tǒng)性規(guī)劃和前瞻性深入思考不足，系統(tǒng)間關(guān)聯(lián)性不足，自動化、智能化不足，需要人工逐筆處理的環(huán)節(jié)較多，解決問題的效果不理想。

另外，部分業(yè)務(wù)流程尚未納入科技系統(tǒng)支持，全流程的電子化、痕跡化管理尚未實現(xiàn)。如項目下資金流向批量監(jiān)測和預(yù)警，不良資產(chǎn)打包轉(zhuǎn)讓等處置和核銷流程，后督管理、合作社管理尚未納入系統(tǒng)管理，銷售系統(tǒng)尚無法自動進行客戶結(jié)構(gòu)分析、客戶行為分析等。

（二）數(shù)據(jù)歸口管理與團隊建設(shè)有待加強

一是目前全行數(shù)據(jù)處于多渠道共管狀態(tài)，全行數(shù)據(jù)統(tǒng)籌管理部門不明確。

二是銀行已初步意識到數(shù)據(jù)對商業(yè)銀行經(jīng)營管理的重要性，在小微風(fēng)險管理中也開始嘗試，但自動化程度不高，未覆蓋小微業(yè)務(wù)全流程，尚未搭建全行統(tǒng)一、高度共享、方便獲取的小微大數(shù)據(jù)平臺。

三是數(shù)據(jù)分析、數(shù)據(jù)挖掘人才缺乏，目前團隊建設(shè)仍嚴(yán)重滯后，整體速度有待加快，效果有待提升。

（三）數(shù)據(jù)質(zhì)量和共享程度亟待提高

內(nèi)部數(shù)據(jù)管理尚待提高。

一是銀行內(nèi)部數(shù)據(jù)信息維度已較豐富，但系統(tǒng)間、條線間整合、共享不足。如小微客戶在銀行公司、零售、小微、私銀、信用卡等各條線信息尚未完全共享；小微系統(tǒng)貸前、貸中和貸后信息無法全面、自動共享，有的模塊需人工逐筆查詢，對人工耗用較大。此外，部分數(shù)據(jù)如部分信用卡數(shù)據(jù)尚未納入數(shù)據(jù)倉庫統(tǒng)一管理，數(shù)據(jù)維度完整性不足。

二是數(shù)據(jù)缺乏管控，數(shù)據(jù)質(zhì)量較差，行業(yè)等維度數(shù)據(jù)真實性、有效性不足。部分數(shù)據(jù)內(nèi)容不完整，如小微企業(yè)名稱等關(guān)鍵維度數(shù)據(jù)缺失嚴(yán)重，導(dǎo)致數(shù)據(jù)分析難以有效進行。三是部分數(shù)據(jù)規(guī)則標(biāo)準(zhǔn)不統(tǒng)一，給跨系統(tǒng)整合帶來困難。四是數(shù)據(jù)結(jié)構(gòu)化程度低，對現(xiàn)有非結(jié)構(gòu)化數(shù)據(jù)利用不足，數(shù)據(jù)價值未充分被挖掘。

外部數(shù)據(jù)管理也待規(guī)范。

一是銀行已引進“人行征信”、“工商登記”、“法院執(zhí)行”等第三方數(shù)據(jù)，但尚未與銀聯(lián)、生活繳費事業(yè)單位、移動、電信、交通運輸部門、第三方核心企業(yè)ERP、互聯(lián)網(wǎng)電商平臺和社交網(wǎng)絡(luò)等數(shù)據(jù)實現(xiàn)對接和共享，數(shù)據(jù)維度有待于進一步豐富。

二是未建立外部數(shù)據(jù)獲取、共享的管理機制和操作流程，個別條線已引進的、對小微有用的第三方信息查詢平臺未與小微共享，造成該類數(shù)據(jù)缺失或與其他條線重復(fù)購置形成浪費。

（四）模型管理方面有較大提升空間

一是目前銀行已開發(fā)上線并用于小微風(fēng)險管理的數(shù)據(jù)模型只有“授信申請評分模型”和“授信行為評分模型”兩類，模型數(shù)量較少，體系性不足。先進同業(yè)基本都已開始應(yīng)用的授信定價、反欺詐、違約預(yù)測、催收評分等模型在銀行仍處于需求分析或開發(fā)設(shè)計階段，一直未能上線應(yīng)用。

二是模型設(shè)計技術(shù)有待提升，未加入行業(yè)、區(qū)域等個性化因素，模型依賴的基礎(chǔ)數(shù)據(jù)質(zhì)量較差，嚴(yán)重影響了模型精準(zhǔn)性，加之分行業(yè)績驅(qū)動等因素，導(dǎo)致模型總體應(yīng)用程度不高，模型中的絕大部分功能基本處于閑置狀態(tài)。

三是銀行審批階段的客戶準(zhǔn)入、額度計算及定價均非系統(tǒng)自動給出而是由人工逐筆審批，貸后管理階段的風(fēng)險監(jiān)測、預(yù)警、催清收、處置等風(fēng)險管理策略也均未實現(xiàn)數(shù)據(jù)模型批量自動化處理，存在大量人工行為，模型智能化成分也有待提高。

這些既影響了小微風(fēng)險管理的效果與效率，也是風(fēng)險管理成本長期居高不下的原因所在。

三、利用大數(shù)據(jù)優(yōu)化銀行小微風(fēng)險管理模式的建議

（一）文化理念與管理機制方面

一是銀行應(yīng)進一步強化“數(shù)據(jù)就是資產(chǎn)”和“數(shù)據(jù)治行”的理念，科技信息管理委員會應(yīng)進一步強化對全行數(shù)據(jù)信息的管理職能，全行努力實現(xiàn)小微業(yè)務(wù)全流程電子化，實現(xiàn)跨部門通力合作與數(shù)據(jù)共享機制。

二是數(shù)據(jù)管理機制必須與小微業(yè)務(wù)流程再造緊密結(jié)合。

三是必須明確權(quán)責(zé)清晰的數(shù)據(jù)管控機構(gòu)，負責(zé)全行大數(shù)據(jù)頂層設(shè)計與統(tǒng)籌規(guī)劃，出臺數(shù)據(jù)標(biāo)準(zhǔn)化指導(dǎo)手冊，建立數(shù)據(jù)質(zhì)量管理與考評體系。

四是引進人才，建立專業(yè)高效的數(shù)據(jù)分析與挖掘團隊，并進行持續(xù)培訓(xùn)和提升。

五是強化大數(shù)據(jù)時代的信息安全管理，嚴(yán)防數(shù)據(jù)泄密風(fēng)險和聲譽風(fēng)險。

（二）數(shù)據(jù)管理方面

在內(nèi)部數(shù)據(jù)管理方面：一是要盡快搭建全行統(tǒng)一、高度共享、包含多維度數(shù)據(jù)的內(nèi)部管理平臺。二是應(yīng)對全行各生產(chǎn)作業(yè)系統(tǒng)和數(shù)據(jù)庫進行全面梳理，豐富并完善數(shù)據(jù)倉庫信息。三是搭建并完善全行小微數(shù)據(jù)分析平臺，強化培訓(xùn)，提升全員數(shù)據(jù)分析應(yīng)用能力。四是深化已有數(shù)據(jù)的挖掘利用，尤其要注重非結(jié)構(gòu)化數(shù)據(jù)的應(yīng)用。五是推出適當(dāng)激勵措施，提高客戶準(zhǔn)確、完整提供數(shù)據(jù)的積極性。

在外部數(shù)據(jù)管理方面：一是積極加強與第三方平臺、銀聯(lián)、公共繳費事業(yè)單位、交通運輸管理部門、移動電信、電商平臺、微信、微博等社交網(wǎng)絡(luò)等“大數(shù)據(jù)平臺”的合作和共享，引入在逃、吸毒人員信息庫、國證通系統(tǒng)（可查閱客戶學(xué)歷、房產(chǎn)、車產(chǎn)狀況）、社保系統(tǒng)、企業(yè)ERP系統(tǒng)等外部數(shù)據(jù)，進一步豐富小微客戶數(shù)據(jù)維度，豐富風(fēng)險視角，全方位了解小微客戶行為特征。二是在全行范圍內(nèi)搭建外部數(shù)據(jù)采購和行內(nèi)共享平臺，減少風(fēng)險盲區(qū)。三是結(jié)合銀行客戶現(xiàn)狀、關(guān)鍵風(fēng)險控制環(huán)節(jié)、落地難易程度、迫切程度和成本效益等因素，實施分步規(guī)劃、逐步落地的策略，不斷豐富外部數(shù)據(jù)獲取渠道和數(shù)據(jù)類型。

（三）模型管理方面

在模型建設(shè)方面，一是盡快建立貫穿小微業(yè)務(wù)全流程、覆蓋關(guān)鍵控制節(jié)點、體系化的公共風(fēng)險管理數(shù)據(jù)模型，供全行使用，模型構(gòu)建思路應(yīng)緊密與小微業(yè)務(wù)相結(jié)合。具體而言，貸前可建立目標(biāo)客戶敏感度、客戶準(zhǔn)入反欺詐模型；貸中可建立客戶評分、授信額度核定、貸款定價、違約預(yù)測模型；貸后可建立資金交易特征預(yù)警、貸款催收、損失預(yù)測、資產(chǎn)轉(zhuǎn)讓定價模型；售后綜合提升方面可建立續(xù)授信、售后維護與提升、客戶流失預(yù)警模型。二是以各種方式鼓勵小微條線數(shù)據(jù)專業(yè)團隊發(fā)揮創(chuàng)造性思維，研究、創(chuàng)新、構(gòu)建各類對區(qū)域性、行業(yè)性風(fēng)險控制有益的個性化模型供經(jīng)營機構(gòu)使用。三是進一步豐富模型應(yīng)用技術(shù)與工具，充實模型指標(biāo)維度。四是根據(jù)緊迫程度優(yōu)先推出反欺詐/防騙貸模型及違約預(yù)測模型。五是將模型與業(yè)務(wù)邏輯按照一定規(guī)則嵌入生產(chǎn)系統(tǒng)決策引擎，作為業(yè)務(wù)操作必經(jīng)環(huán)節(jié)，減少人工干預(yù)成分，提高系統(tǒng)批量化、自動化決策成分，提高決策效率。

根據(jù)銀行小微風(fēng)險管理實際，建議優(yōu)先開發(fā)反欺詐模型和違約預(yù)測模型。反欺詐模型設(shè)計時，可運用公安部聯(lián)網(wǎng)核查系統(tǒng)數(shù)據(jù)驗證借款人及關(guān)聯(lián)人身份真實性，利用工商登記查詢系統(tǒng)驗證小微主名下小微企業(yè)注冊信息及經(jīng)營簡況，核查企業(yè)經(jīng)營真實情況及關(guān)聯(lián)人信息，利用人行征信系統(tǒng)核查借款人及其關(guān)聯(lián)人和小微企業(yè)的信用記錄，利用社保信息、稅務(wù)信息、行內(nèi)賬戶交易流水、客戶提供的他行賬戶信息、車輛和房產(chǎn)信息核查借款人資產(chǎn)實力，判斷其還款能力。

設(shè)計違約預(yù)測模型時，可利用現(xiàn)場貸后檢查、工商登記信息變化和行政處罰信息、人行征信違約信息、在逃吸毒人員庫等公安、司法法院執(zhí)行數(shù)據(jù)、黑名單庫等核大負面輿情與其他負面信息。還可利用小貸公司共享數(shù)據(jù)、網(wǎng)絡(luò)爬蟲技術(shù)獲取非結(jié)構(gòu)數(shù)據(jù)核查客戶重大負面輿情和其他負面信息，提前預(yù)判客戶違約信號，及早采取補救措施。

在模型應(yīng)用方面，建議一是數(shù)據(jù)模型要隨著小微業(yè)務(wù)發(fā)展及風(fēng)險形勢變化與時俱進，及時更新，融入最新元素。二是盡快建立系統(tǒng)內(nèi)數(shù)據(jù)模型的應(yīng)用、驗證、反饋、優(yōu)化的良性互動循環(huán)機制，總、分行合力確保模型運行效果在實踐中不斷得到檢驗、優(yōu)化和提升。

參考文獻：

[1] 蘇玉峰.大數(shù)據(jù)時代商業(yè)銀行應(yīng)對策略[J].當(dāng)代經(jīng)濟，2014（20）

[2] 繆志平，李芳.大數(shù)據(jù)時代商業(yè)銀行應(yīng)對策略[J].現(xiàn)代金融，2013（11）

全流程風(fēng)險管理范文第3篇

關(guān)鍵詞:綠色建筑項目;風(fēng)險管理;生命周期理論

在文章中主要是通過綠色建筑項目風(fēng)險管理的特征、內(nèi)容進行描述，創(chuàng)建了在生命周期理論基礎(chǔ)上的綠色建筑項目，對綠色建筑體系的用處進行了描述。綠色建筑是傳統(tǒng)建筑改變的轉(zhuǎn)折點，比一般建筑的要求更高，對傳統(tǒng)建筑進行了提升，成為了一種可持續(xù)建筑的主導(dǎo)。

1綠色建筑

1．1綠色建筑定義

綠色建筑的含義為在建筑生命周期中，讓資源能夠最大限度的被節(jié)省下來，做到節(jié)能、節(jié)材、節(jié)水、節(jié)地，還可以減少污染，將環(huán)境進行更好的保護，爭取做到與自然和諧相處，創(chuàng)建和諧綠色建筑。(1)綠色建筑特征。一般建筑項目都有著復(fù)雜性、實施性、特殊性、一次性以及投入資金多，所以這就讓風(fēng)險管理有著重要意義。而綠色建筑在一般傳統(tǒng)型建筑的基礎(chǔ)上，對成本、質(zhì)量以及工期有著更多的目標(biāo)擴展，這就包括了建筑耗能、材料、環(huán)境保護以及安全舒適等目標(biāo)，管理目標(biāo)的擴大增加了綠色建筑項目風(fēng)險的增加。(2)綠色建筑內(nèi)容。針對于綠色建筑有以下幾個方面:①對于綠色的特征創(chuàng)建風(fēng)險清單;②實行評估對綠色建筑;③對綠色建筑項目實行了有關(guān)的研究。

1．2綠色建筑建筑內(nèi)涵

綠色型建筑內(nèi)涵主要可以歸納為:①將建筑對環(huán)境的負荷減輕，大意就是將資源、能源進行節(jié)約;②為用戶提供健康、溫暖、舒適的生活環(huán)境;③和自然環(huán)境親近融合，爭取將人與建筑、環(huán)境的和諧相處做到持續(xù)性發(fā)展。(1)綠色建筑節(jié)能理念。將太陽能進行充分使用，使用節(jié)能型建筑將結(jié)構(gòu)、空調(diào)進行圍護，縮減空調(diào)與采暖的使用次數(shù)。按照自然通風(fēng)的原理設(shè)置冷風(fēng)體系，讓建筑可以使用夏季主導(dǎo)風(fēng)向。建筑使用的是與當(dāng)?shù)靥鞖庀鄬?yīng)的總體布局、平面形式。(2)綠色建筑優(yōu)點。綠色建筑主要優(yōu)勢就是和四周環(huán)境相照應(yīng)，達到內(nèi)外一致，動靜相互照應(yīng)，將自然生態(tài)環(huán)境做好。創(chuàng)造一種舒適型、健康型的生活氛圍，讓人們感受到居住良好，身心健康。

2綠色建筑項目使用全生命周期風(fēng)險管理

2．1綠色建筑項目使用全生命周期風(fēng)險管理

全生命周期風(fēng)險管理定義為，在項目全生命周期內(nèi)實現(xiàn)對風(fēng)險管理進行策劃工作，識別每一個時期的風(fēng)險，使用合理的策略對風(fēng)險進行評價，將有關(guān)的風(fēng)險屬性進行分析，對整體的影響進行評估、制定有關(guān)解決措施并且實施，是風(fēng)險管理工作的一系列集合。綠色建筑項目生命周期主要包括5個階段:制定決策、設(shè)計、施工、實行、維護。在這5個時期重要性是依次遞增，其意思就是項目時間越長，對于風(fēng)險管理成敗越重要。在風(fēng)險管理中主要時期就是－－－投資決策時期，其內(nèi)容主要有項目使用書、技術(shù)評估等。

2．2綠色建筑項目風(fēng)險管理的內(nèi)容

綠色建筑項目管理的含義是開發(fā)商的項目的全生命周期進程中，避免或者是減少很多不利影響，確保項目的成功，在進行投資、施工、運行等一系列階段對實施項目的風(fēng)險管理工作識別、規(guī)劃以及整個過程中。按照我們國家建筑項目在風(fēng)險管理方面的狀況來看，可以分為5個方面:風(fēng)險規(guī)劃、風(fēng)險判斷、風(fēng)險猜測、風(fēng)險處理、風(fēng)險看管，共五個時期。

2．3綠色建筑項目風(fēng)險管理的性能

與其他建筑項目來說，綠色建筑項目有著特殊特征，總而言之歸納為下面幾點:①項目最開始的時候投資金額高。在經(jīng)濟性能角度看，承包商要比其他建筑承包商在初始值的時候投入資金多，成本增量也比其他的高，算是外部性經(jīng)濟產(chǎn)品，期舒適程度、對環(huán)境有利，不能通過資金體現(xiàn)出來，并且回收時間長，另外綠色建筑項目與其他建筑項目比，技術(shù)復(fù)雜，要求也高，還可能會出現(xiàn)延長工期的狀況，伴隨而來的就是成本的提升，讓項目在短時期內(nèi)沒有回報率，導(dǎo)致項目風(fēng)險增加;②目標(biāo)的延伸。通常性的建筑工程三大目標(biāo)是:成本、工期、質(zhì)量，而綠色建筑項目與建筑工程相比則有著更多延伸目標(biāo)，比如室內(nèi)環(huán)境舒服、建筑不耗能、節(jié)約資源、保護環(huán)境等，擴展建設(shè)目標(biāo)越多，會導(dǎo)致風(fēng)險范圍增大，最后一定會增加風(fēng)險的可能性。根據(jù)上面的描述，綠色建筑項目中的綠色管理是困難且繁雜的系統(tǒng)，應(yīng)該參考其他方面的有關(guān)書籍，對一些控制要素也應(yīng)該實行綜合管理、分析并提出有關(guān)的策略，使用科學(xué)性的策略實行風(fēng)險管理，方便能夠在同一條框中實行綠色建筑管理工作的目的，目的就是讓項目不利的風(fēng)險達到最低。

3綠色建筑項目風(fēng)險管理系統(tǒng)

綠色建筑項目風(fēng)險管理的含義就是說項目在開始到完成全部過程，使用計劃、協(xié)調(diào)、實施等一系列的管理方法。對于項目的風(fēng)險，是根據(jù)項目創(chuàng)建的管理策略與目標(biāo)互相作用的要素總定義，就是對風(fēng)險實行管理政策。

3．1在霍爾三維結(jié)構(gòu)基礎(chǔ)上建立綠色建筑項目風(fēng)險管理系統(tǒng)

“霍爾三維結(jié)構(gòu)”是由美國工程家提出來得，它的主要定義對復(fù)雜系統(tǒng)工程有著比較重要的意義，這篇文章也根據(jù)學(xué)習(xí)“霍爾三維結(jié)構(gòu)”，創(chuàng)建一個生命周期維、評價因素維、管理過程維“三維”結(jié)構(gòu)體系。在這樣的體系中，使用管理的辦法確定工具在三維空間分布點，通過類比的方法，將文章內(nèi)容進行解析，讓建筑可以得到更好的發(fā)展。(1)生命周期維。生命周期維主要是指在綠色建筑項目中，整個工程的階段序列(比如技術(shù)預(yù)算、設(shè)計時期、項目使用書等)是通過生命周期動態(tài)時間所體現(xiàn)出來的。按照生命周期維的改變、評價因素、管理流程創(chuàng)建了“評價因素－風(fēng)險管理”平面，主要體現(xiàn)的就是:對于不同的項目目標(biāo)(類似質(zhì)量、成本、建筑)，風(fēng)險管理需要根據(jù)風(fēng)險管理流程順序進行，由此按照時間變化，對其他兩個維度就可以一目了然。(2)評價因素維。通常情況下，在項目立項的時候項目目標(biāo)就應(yīng)該被確定下來，但應(yīng)該注意的是項目不同時期，目標(biāo)就會不同。按照評價要素維的改變情況來說，其他兩個維度創(chuàng)建了“評價因素－風(fēng)險管理”平面，可以體現(xiàn)的就是在綠色建筑生命時期風(fēng)險管理應(yīng)該謹遵流程，這樣便于工作人員的觀察，讓工作順利進行。(3)管理過程維。風(fēng)險管理流程維主要指的就是在實行建筑項目時的一般步驟(主要有規(guī)劃、評估、監(jiān)控等)在實際的工作當(dāng)中，對于生命的流程有所改變的。按照風(fēng)險管理的變化，其他兩個維度創(chuàng)建了“評價因素－風(fēng)險管理”平面，通過兩個維度反應(yīng)出來的是風(fēng)險管理應(yīng)該謹遵流程，這樣便于觀察工程。

3．2綠色建筑項目的用途

創(chuàng)建綠色建筑體系是由一個對風(fēng)險管理的計劃與框架，只有將綠色建筑實行下去，才可以構(gòu)建一個良好的環(huán)境。這篇文章主要是對有發(fā)展前景的綠色建筑類型創(chuàng)建了三維風(fēng)險管理系統(tǒng)，體現(xiàn)的就是綠色建筑管理研究方向、管理內(nèi)容。主要在以下幾個方面有著重要作用:①對項目開發(fā)商的能力給予肯定工作;②便于綠色建筑項目的評價;③對風(fēng)險管理的集成性能有用處;④對項目管理理論的豐富性能有利。

4結(jié)束語

綠色建筑中比較有效管理措施就是風(fēng)險管理，風(fēng)險管理能夠?qū)⒕G色建筑實行良好的管理，讓建筑行業(yè)為城市的環(huán)保做一份貢獻，它也是確保了項目能夠順利完成的主要保障。這篇文章主要根據(jù)綠色建筑項目實行風(fēng)險管理特征、內(nèi)容，創(chuàng)建了綠色管理系統(tǒng)，構(gòu)建了綠色環(huán)境保護體系，說明綠色建筑其重要性與意義。對這篇文章的研究與分析，希望能夠為以后的建筑帶來學(xué)習(xí)的經(jīng)驗。

參考文獻

［1］祁華，侯海方．基于AHP－模糊綜合評價的綠色建筑設(shè)計階段風(fēng)險評價研究［J］．價值工程，2015(30):82－84．

［2］陳帆，謝洪濤．建筑技術(shù)創(chuàng)新風(fēng)險的貝葉斯網(wǎng)絡(luò)模型分析－－以綠色建筑技術(shù)創(chuàng)新項目為例［J］．計算機工程與應(yīng)用，2014(18):33－38，49．

［3］章夢平，何亞伯，楊琳等．基于RBS故障樹和改進粗糙集信息熵的綠色建筑項目施工進度風(fēng)險評估［J］．項目管理技術(shù)，2016，14(12):34－37．

全流程風(fēng)險管理范文第4篇

1．巴塞爾協(xié)議II奠定基礎(chǔ)

2006年6月頒布的巴塞爾協(xié)議II的重要一項修訂就是將操作風(fēng)險引入風(fēng)險資本計量框架。巴塞爾協(xié)議II將涉及以下幾類事件的風(fēng)險因素納入操作風(fēng)險的識別體系：由非市場和信用風(fēng)險引致的金融風(fēng)險、日常操作失誤導(dǎo)致的任何風(fēng)險、機構(gòu)內(nèi)部因素導(dǎo)致的任何風(fēng)險、由于低效或無法勝任的系統(tǒng)、人力資源或外部事件導(dǎo)致的直接或間接損失（不含商業(yè)風(fēng)險）。倡導(dǎo)金融機構(gòu)建立完善的內(nèi)部風(fēng)險管理體系是巴塞爾協(xié)議的重要原則，各國制定的相關(guān)的監(jiān)管法規(guī)也基本秉承這一精神，我國《商業(yè)銀行操作風(fēng)險管理指引》中也未對操作風(fēng)險的識別方式進行具體的規(guī)定。因此各金融機構(gòu)應(yīng)根據(jù)自身特點對全部業(yè)務(wù)條線進行梳理以建立完備的操作風(fēng)險識別體系，并根據(jù)經(jīng)營環(huán)境和業(yè)務(wù)發(fā)展的變化及時進行修正。巴塞爾協(xié)議II對于操作風(fēng)險最低資本要求的計量有三個層次的計量方法。一是基本指標(biāo)法，即商業(yè)銀行所應(yīng)持有的操作風(fēng)險資本等于前三年總收入的平均值乘以一個固定比例（以α表示）；二是標(biāo)準(zhǔn)法，又分為標(biāo)準(zhǔn)法I和標(biāo)準(zhǔn)法II。前者將銀行業(yè)務(wù)分為8個類別，選取8個銀行基本財務(wù)指標(biāo)代表每一項類別，各用一個適當(dāng)?shù)南禂?shù)（以β表示）反映上述財務(wù)指標(biāo)與該類別面臨操作風(fēng)險的關(guān)系。整個機構(gòu)需要的總的資本要求即為上述8個乘積的代數(shù)和。后者對前者進行了有限修正，將零售銀行和商業(yè)銀行兩類業(yè)務(wù)單獨進行了計量；三是高級計量法，分為內(nèi)部計量法、損失分布法、記分卡法等，其中內(nèi)部計量法為巴塞爾委員會較為認可的計量方法。內(nèi)部計量法將標(biāo)準(zhǔn)法的一維計量方法拓展到二維矩陣，共m類業(yè)務(wù)中的每一類需要對應(yīng)共n項操作風(fēng)險因素中的每一項。內(nèi)部計量法使用每一類業(yè)務(wù)的預(yù)期損失（EL）乘以風(fēng)險系數(shù)γ（由監(jiān)管當(dāng)局指定）獲得單一的操作風(fēng)險資本，而EL等于風(fēng)險指標(biāo)（EI）、發(fā)生概率（PE）和損失程度（LGE）三者的三者的乘積。三個層次的資本計量方法在復(fù)雜性和對風(fēng)險的敏感程度上都依次增強，同時巴塞爾委員會也制定了詳細地計量方法的選擇和實施方案。

2．巴塞爾協(xié)議III的新要求

2008年國際金融危機的爆發(fā)是出臺巴塞爾協(xié)議III的直接原因。在風(fēng)險資本的框架方面，巴塞爾協(xié)議III進行了重新調(diào)整，尤其是提出建立資本留存緩沖和使用逆周期資本緩沖作為經(jīng)濟下行期吸收損失的準(zhǔn)備。同樣為了緩解巴塞爾協(xié)議早期版本資本充足率的順周期問題，巴塞爾協(xié)議III也提出了對杠桿比率（即核心資本對全部非權(quán)重資產(chǎn)的比率）的限制。巴塞爾協(xié)議III對操作風(fēng)險管理方面的修正內(nèi)容較少，操作風(fēng)險管理的框架基本上仍參照巴塞爾協(xié)議II及后續(xù)相關(guān)補充文件。然而，巴塞爾協(xié)議III對風(fēng)險資本要求的收緊意味著操作風(fēng)險監(jiān)管方面須要同步做出相應(yīng)的強化。

二、巴塞爾協(xié)議與財務(wù)公司操作風(fēng)險管理實踐

構(gòu)成金融安全網(wǎng)的三道屏障分別是資本充足率、監(jiān)管檢查和市場約束，其中與財務(wù)公司操作風(fēng)險管理關(guān)系最為密切的是資本充足率和監(jiān)管檢查。一方面，由于巴塞爾委員會對操作風(fēng)險與市場約束之間的闡述并不充分，銀行業(yè)金融機構(gòu)對操作風(fēng)險信息的披露制度還有待于監(jiān)管機構(gòu)進一步建立和完善；另一方面，信息披露是否充分也關(guān)系到相關(guān)數(shù)據(jù)的豐富程度，對于第一支柱風(fēng)險資本的計量也有著重要的意義。第一支柱資本充足率是資本、風(fēng)險加權(quán)資產(chǎn)及市場風(fēng)險和操作風(fēng)險資本要求的函數(shù)。巴塞爾委員會對操作風(fēng)險等敞口給予更高的權(quán)重反映了其相對于其他風(fēng)險類型給予操作風(fēng)險更為保守的監(jiān)管方向。不同于信用風(fēng)險資本最低要求僅為風(fēng)險加權(quán)資產(chǎn)的8%，市場風(fēng)險、操作風(fēng)險的最低資本要求都按照其風(fēng)險敞口的100%的提取。雖然，2007年中國銀監(jiān)會頒布的《商業(yè)銀行資本充足率管理辦法》未將操作風(fēng)險敞口納入資本充足率進行考量，但是包括財務(wù)公司在內(nèi)的銀行業(yè)金融機構(gòu)只有為操作風(fēng)險敞口準(zhǔn)備充足的資本金才有可能對沖未來發(fā)生的風(fēng)險。而在監(jiān)管機關(guān)未出臺明確規(guī)定之前，選擇合適的操作風(fēng)險敞口（或操作風(fēng)險最低資本要求）計量方法對于不同金融機構(gòu)也變得尤為重要。第二支柱強調(diào)監(jiān)管機構(gòu)應(yīng)對銀行類機構(gòu)操作風(fēng)險管理措施具有完備的監(jiān)督檢查規(guī)范，因此銀行類機構(gòu)應(yīng)建立包含操作風(fēng)險識別、計量、監(jiān)控等行之有效的內(nèi)部控制體系。首先，銀行類機構(gòu)應(yīng)建立完備的操作風(fēng)險管理架構(gòu)。董事會及風(fēng)險管理委員會應(yīng)當(dāng)承擔(dān)風(fēng)險管理的最終責(zé)任和制定風(fēng)險管理戰(zhàn)略與政策，推動風(fēng)險管理工作自上而下進行。管理層的責(zé)任是執(zhí)行風(fēng)險管理政策，制定風(fēng)險管理程序和操作規(guī)程，及時掌控風(fēng)險水平和管理狀況，確保銀行的人力、物力和恰當(dāng)?shù)慕M織結(jié)構(gòu)及信息技術(shù)能夠有效識別、計量和監(jiān)控各項風(fēng)險。風(fēng)險管理部門應(yīng)與業(yè)務(wù)部門保持相對獨立，主要負責(zé)組織、協(xié)調(diào)、推進風(fēng)險管理政策在全行內(nèi)的實施。其次，銀行類機構(gòu)應(yīng)具備順暢的風(fēng)險管理流程。有關(guān)業(yè)務(wù)部門和支持部門應(yīng)當(dāng)按照規(guī)定的時限和程序向管理層、風(fēng)險管理委員會和董事會報告界定明確的操作風(fēng)險事件及其損失信息。為此，銀行應(yīng)當(dāng)制定全行內(nèi)通用的操作風(fēng)險事件定義體系和損失數(shù)據(jù)的核定標(biāo)準(zhǔn)。風(fēng)險管理部門根據(jù)操作風(fēng)險事件的性質(zhì)和損失大小進行風(fēng)險評估，同時可以在有限的范圍內(nèi)為操作風(fēng)險計量提供參照。風(fēng)險管理部門根據(jù)操作風(fēng)險計量和評估的結(jié)果采取保險、服務(wù)外包或金融衍生品等風(fēng)險緩釋工具和風(fēng)險轉(zhuǎn)移技術(shù)對操作風(fēng)險進行緩釋。近年來，監(jiān)管機關(guān)通過定期的現(xiàn)場檢查和非現(xiàn)場監(jiān)管手段加大了對財務(wù)公司等非銀行金融機構(gòu)的監(jiān)管力度。各種監(jiān)管方式的日益豐富客觀上促進了財務(wù)公司從內(nèi)控建設(shè)上更加重視對操作風(fēng)險的管理。越來越多的財務(wù)公司出臺了相關(guān)的操作風(fēng)險識別、報告、評估、資本計量、緩釋制度和措施。然而，財務(wù)公司對操作風(fēng)險的管理距離國際標(biāo)準(zhǔn)仍具有一定差距。造成這些差距的客觀原因可以歸結(jié)為操作風(fēng)險事件低頻高損的特殊性質(zhì)和財務(wù)公司經(jīng)營的特殊環(huán)境。然而有些主觀原因也不可忽視，例如風(fēng)險管理人才隊伍薄弱和風(fēng)險意識有待提升等。

三、構(gòu)建具有財務(wù)公司特色的操作風(fēng)險管理框架

2007年5月，中國銀監(jiān)會《商業(yè)銀行操作風(fēng)險管理指引》，該《指引》將財務(wù)公司也納入了實施范圍。商業(yè)銀行和財務(wù)公司共同面臨的信用風(fēng)險、市場風(fēng)險和操作風(fēng)險中，由于財務(wù)公司信用風(fēng)險的集團內(nèi)部關(guān)聯(lián)特點及其業(yè)務(wù)類別較為單一導(dǎo)致市場風(fēng)險的邊際化，使得操作風(fēng)險成為財務(wù)公司與商業(yè)銀行最為趨同的風(fēng)險類別。因此財務(wù)公司對操作風(fēng)險的管理可以將巴塞爾新資本協(xié)議作為指導(dǎo)相關(guān)工作的藍本。以下結(jié)合我國商業(yè)銀行實施巴塞爾新資本協(xié)議的情況談?wù)剮c財務(wù)公司操作風(fēng)險管理的建議。

1．建立完備的操作風(fēng)險管理戰(zhàn)略和政策

當(dāng)前我國財務(wù)公司對操作風(fēng)險的管理普遍缺乏完整的戰(zhàn)略規(guī)劃和政策支持，以及對操作風(fēng)險的流程化管理。首先，財務(wù)公司應(yīng)明確和解決有關(guān)操作風(fēng)險的公司治理結(jié)構(gòu)問題，尤其是董事會和管理層相關(guān)義務(wù)和職責(zé)的落實；其次，操作風(fēng)險管理政策應(yīng)有助于財務(wù)公司進行識別、監(jiān)測、度量和控制所有業(yè)務(wù)活動中的風(fēng)險，并且操作風(fēng)險管理政策應(yīng)成為財務(wù)公司全面風(fēng)險管理政策中的有機組成部分；再次，財務(wù)公司應(yīng)通過流程優(yōu)化和再造形成有效、完整的操作風(fēng)險管理流程，打破目前按照業(yè)務(wù)部門建立的管理模式，將操作風(fēng)險管理框架有效嵌入業(yè)務(wù)流程的優(yōu)化再造。

2．制定涵蓋全品種全流程的操作風(fēng)險識別標(biāo)準(zhǔn)

我國目前很多銀行類機構(gòu)對操作風(fēng)險的識別工作仍停留在較為初級的階段。譬如按照監(jiān)管法規(guī)將操作風(fēng)險分為若干大類，再從各大類中細分小類，直至劃分到末梢，分別對應(yīng)經(jīng)營的所有品種或者業(yè)務(wù)崗位，對照自身情況查找可能存在的操作風(fēng)險點。這種在“部門銀行”模式下產(chǎn)生的操作風(fēng)險識別方式的優(yōu)點在于簡單直觀、便于操作，但是無法適應(yīng)“流程銀行”以客戶服務(wù)為中心、以市場為導(dǎo)向，實現(xiàn)銀行最終的發(fā)展戰(zhàn)略目標(biāo)。包括財務(wù)公司在內(nèi)的銀行類機構(gòu)應(yīng)當(dāng)將業(yè)務(wù)流程、管理流程、支持流程的梳理和優(yōu)化作為切入點，突出核心業(yè)務(wù)流程和業(yè)務(wù)的多樣化，借助信息系統(tǒng)技術(shù)，實現(xiàn)財務(wù)公司操作風(fēng)險識別工作在全品種和全流程的覆蓋。

3．選擇適當(dāng)?shù)牟僮黠L(fēng)險計量手段

巴塞爾委員會要求操作風(fēng)險敞口較高的商業(yè)銀行應(yīng)選擇高于基本指標(biāo)法的標(biāo)準(zhǔn)法或高級計量法。在我國銀監(jiān)會公布的《商業(yè)銀行操作風(fēng)險監(jiān)管資本計量指引》中也只規(guī)定了不含基本指標(biāo)法的三種較高的計量方法。銀行類機構(gòu)出于審慎管理的理念，同樣應(yīng)根據(jù)自身的情況選擇更為敏感的操作風(fēng)險計量方法。然而，業(yè)界運用高級計量法的難度普遍在于低頻高損數(shù)據(jù)的缺乏，財務(wù)公司受制于經(jīng)營規(guī)模及發(fā)展歷史等情況使這塊短板更為明顯。但是，由于高級計量法本身能夠根據(jù)內(nèi)部數(shù)據(jù)建模，利用外部數(shù)據(jù)進行情景分析，這就使機構(gòu)在計量時具有更大的自由度和靈活性。因此財務(wù)公司當(dāng)前可立足于《計量指引》規(guī)定的前兩類方法，但是也應(yīng)當(dāng)為未來實施高級計量法做好準(zhǔn)備。

4．適當(dāng)引入多樣化的操作風(fēng)險緩釋手段

大型跨國銀行采用多樣化的操作風(fēng)險緩釋手段降低風(fēng)險的損失頻率或影響程度，主要包括金融衍生產(chǎn)品、服務(wù)外包和保險等。能夠進行操作風(fēng)險對沖的金融衍生產(chǎn)品大都在場外市場進行交易，目前我國尚不具備符合條件的交易市場，根據(jù)調(diào)查我國商業(yè)銀行出于此項目地而涉足的境外市場交易也寥寥無幾。我國商業(yè)銀行目前已經(jīng)能夠熟練地通過服務(wù)外包利用彼方的比較優(yōu)勢在明確質(zhì)量標(biāo)準(zhǔn)和工作成本的條件下將自身不擅長的業(yè)務(wù)領(lǐng)域的操作風(fēng)險進行有效的控制。在歐美發(fā)達國家，面向銀行機構(gòu)各類操作風(fēng)險的保險產(chǎn)品已經(jīng)非常成熟，銀行機構(gòu)采購各種保險非常普遍。例如在歐美市場，一家大的商業(yè)銀行投保銀行機構(gòu)綜合犯罪保險需要繳納的保費盡管動輒幾百萬美元，但對銀行機構(gòu)的保險保障即達幾十億甚至上百億美元，同時也使得銀行的資本準(zhǔn)備金大大減少。我國保險市場最近幾年已經(jīng)開始嘗試操作風(fēng)險的保險轉(zhuǎn)移。目前中國的保險市場根據(jù)商業(yè)銀行幾大類操作風(fēng)險分別設(shè)計出了相關(guān)的保險產(chǎn)品，如董事和高管責(zé)任保險、職業(yè)責(zé)任險、信用卡保險、銀行責(zé)任險、銀行機構(gòu)綜合犯罪保險、信用保證保險等。但是，目前我國對操作風(fēng)險的保險實踐尚處于起步階段，風(fēng)險數(shù)據(jù)積累不夠充分，保險精算精度較低，風(fēng)險保障范圍和費率厘定還處于探索階段。因此，操作風(fēng)險的保險產(chǎn)品為銀行機構(gòu)提供的保障額度還有待實踐檢驗。

5．將操作風(fēng)險因素納入經(jīng)濟資本分配和績效度量

全流程風(fēng)險管理范文第5篇

隨著商業(yè)銀行業(yè)務(wù)的快速發(fā)展，信息系統(tǒng)在促進商業(yè)銀行提高工作效率、提升服務(wù)水平、拓展業(yè)務(wù)范圍等方面的作用越來越明顯。信息系統(tǒng)在帶來便利的同時，也帶來了一定的風(fēng)險。信息系統(tǒng)安全問題日漸成為商業(yè)銀行內(nèi)、外部監(jiān)管的重點。研發(fā)風(fēng)險是在信息系統(tǒng)研發(fā)階段可能引入的，導(dǎo)致信息系統(tǒng)出現(xiàn)安全性問題的風(fēng)險。研發(fā)風(fēng)險管理工作是從安全和風(fēng)險角度對信息系統(tǒng)安全設(shè)計、實施情況進行統(tǒng)籌管理的一項工作，旨在保障和提高新研發(fā)信息系統(tǒng)的安全性。

研發(fā)風(fēng)險管理工作特點

商業(yè)銀行信息系統(tǒng)所承載的業(yè)務(wù)服務(wù)和數(shù)據(jù)都很重要，一旦受到破壞將對商業(yè)銀行及其客戶的利益造成嚴(yán)重損害。因此商業(yè)銀行對信息系統(tǒng)的安全性、穩(wěn)定性要求很高。但隨著業(yè)務(wù)的快速發(fā)展，商業(yè)銀行信息系統(tǒng)的種類和數(shù)量也在快速增加。這些信息系統(tǒng)需要采用不同的語言、平臺和架構(gòu)來實現(xiàn)，其關(guān)聯(lián)關(guān)系和技術(shù)復(fù)雜度越來越高。同時，隨著IT技術(shù)的發(fā)展和互聯(lián)網(wǎng)開放程度的加深，新的攻擊手段不斷出現(xiàn)，安全攻防技術(shù)不斷演變，且有愈演愈烈之勢。因此商業(yè)銀行研發(fā)風(fēng)險管理工作具有管理要求高，管理難度大的特點。

為加強對商業(yè)銀行的風(fēng)險管理，人民銀行、銀監(jiān)會等監(jiān)管機構(gòu)了一系列指引，其中包括了信息系統(tǒng)研發(fā)相關(guān)的合規(guī)性要求。這些要求也是監(jiān)管機構(gòu)進行檢查的重點，如果未能在研發(fā)階段落實，信息系統(tǒng)上線后仍需進行整改，將增加不必要的成本和變更風(fēng)險。因此，研發(fā)風(fēng)險管理工作不但應(yīng)落實信息系統(tǒng)的安全性要求，還應(yīng)將合規(guī)性要求納入考慮范圍之內(nèi)。

研發(fā)風(fēng)險的分類

《巴塞爾新資本協(xié)議》已將操作風(fēng)險納入資本監(jiān)管，并將信息科技風(fēng)險劃歸操作風(fēng)險范疇。研發(fā)風(fēng)險屬于信息科技風(fēng)險的組成部分，具體細分，又可以分為管理風(fēng)險和技術(shù)風(fēng)險。

管理類風(fēng)險是指由于未做好研發(fā)風(fēng)險管理相關(guān)工作，間接對信息系統(tǒng)安全性造成影響的風(fēng)險，主要有合規(guī)性風(fēng)險、管理環(huán)節(jié)缺失、管理力度不足等。合規(guī)性風(fēng)險是指未落實監(jiān)管部門關(guān)于研發(fā)風(fēng)險的監(jiān)管要求而形成的風(fēng)險，例如未落實《銀監(jiān)會非現(xiàn)場監(jiān)管報表》對“項目代碼安全檢查完成率”、“代碼安全檢查方法”的要求等。

技術(shù)類風(fēng)險是指因各種技術(shù)原因引入的，影響信息系統(tǒng)安全性的風(fēng)險，主要包括安全設(shè)計問題、代碼漏洞。安全設(shè)計問題是指信息系統(tǒng)安全設(shè)計不到位，例如用戶口令復(fù)雜度不足、敏感數(shù)據(jù)未加密存儲等；代碼漏洞是指由于開發(fā)人員疏忽或者編程語言的局限性，導(dǎo)致程序存在可以被黑客利用的邏輯錯誤，例如SQL注入、跨站腳本、緩沖區(qū)溢出等。

我國商業(yè)銀行研發(fā)風(fēng)險管理工作現(xiàn)狀

我國商業(yè)銀行雖然在規(guī)模、業(yè)務(wù)特性與管理模式上存在差異，但由于同處于我國經(jīng)濟大環(huán)境下，其信息系統(tǒng)研發(fā)風(fēng)險管理工作面臨相似的環(huán)境和挑戰(zhàn)。目前我國銀行的系統(tǒng)研發(fā)模式有自主研發(fā)、合作開發(fā)、外包和外購等幾種。大型國有商業(yè)銀行一般以自主研發(fā)為主，大中型股份制商業(yè)銀行一般采用合作開發(fā)方式為主，大多數(shù)小型和地方性金融機構(gòu)則主要采用外包或外購的方式。

隨著我國商業(yè)銀行信息化建設(shè)的不斷深入，目前大多數(shù)商業(yè)銀行都加強了信息科技風(fēng)險管理，建立了包括組織、制度、技術(shù)等方面的信息科技風(fēng)險管理體系，涵蓋了基礎(chǔ)架構(gòu)、研發(fā)、測試、運維、外包、應(yīng)急等各方面。在研發(fā)風(fēng)險管理方面，采用了必要的管理和技術(shù)手段，加強了系統(tǒng)安全設(shè)計，在一定程度上滿足了業(yè)務(wù)連續(xù)性需求。但是由于起步較晚和重視程度不夠，研發(fā)風(fēng)險管理水平整體滯后于信息科技管理水平，因安全設(shè)計不充分所引發(fā)的安全事件或整改仍不時出現(xiàn)，危害著商業(yè)銀行的安全。因此，我國商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險管理水平還有待進一步提高。

存在的問題和不足

研發(fā)風(fēng)險管理組織不完善、流程機制不健全。研發(fā)風(fēng)險管理工作的開展需要相關(guān)的組織和角色作為支撐。目前，各商業(yè)銀行的整體信息科技風(fēng)險管理組織較為完善，但很少能夠深入到研發(fā)風(fēng)險管理環(huán)節(jié)，主要表現(xiàn)在缺少研發(fā)風(fēng)險管理的統(tǒng)籌部門，缺少對研發(fā)風(fēng)險管理進行決策的組織機構(gòu)，項目組中缺少研發(fā)風(fēng)險管理角色等方面。我國商業(yè)銀行信息系統(tǒng)研發(fā)工作大多以項目的形式進行，普遍擁有完整的項目管理流程，但流程中涉及安全和風(fēng)險的內(nèi)容較少，對系統(tǒng)安全設(shè)計、實現(xiàn)的審核機制不健全，難以保證在研發(fā)階段提高信息系統(tǒng)安全性。

研發(fā)風(fēng)險管理依據(jù)多、信息系統(tǒng)安全設(shè)計不規(guī)范。當(dāng)前商業(yè)銀行的信息系統(tǒng)面臨著多方面的監(jiān)管要求，既有行內(nèi)的，也有行外的；既有監(jiān)管機構(gòu)的，也有業(yè)界的；既有管理要求，也有技術(shù)要求。這些要求的來源不同，側(cè)重點不同，粗細顆粒度不同，甚至有的相互沖突，給研發(fā)人員造成一定困擾，亟待統(tǒng)籌規(guī)范?，F(xiàn)有信息系統(tǒng)一般都有身份鑒別、訪問控制等設(shè)計，能夠滿足基本的安全需要。但由于缺乏整體規(guī)范指導(dǎo)，信息系統(tǒng)研發(fā)過程中難以避免安全需求不完整，安全設(shè)計水平良莠不齊，安全編碼不規(guī)范等問題，導(dǎo)致信息系統(tǒng)仍然可能存在安全漏洞。

安全技術(shù)不能重復(fù)利用、安全技術(shù)支持服務(wù)不足。商業(yè)銀行信息系統(tǒng)具有一些共性的安全設(shè)計，例如身份認證、數(shù)據(jù)加密、日志審計等。在現(xiàn)有模式下，各個項目組缺少溝通協(xié)調(diào)，往往自行開發(fā)，造成重復(fù)開發(fā)和資源浪費，也不利于企業(yè)安全架構(gòu)整合與管理。研發(fā)出安全的信息系統(tǒng)，必須以相應(yīng)的技術(shù)手段作為支撐，但現(xiàn)有商業(yè)銀行研發(fā)團隊往往缺少這方面的支持和服務(wù)，影響了信息系統(tǒng)安全研發(fā)水平。

此外， 為了應(yīng)對業(yè)務(wù)的發(fā)展變化，商業(yè)銀行必須不斷提高信息系統(tǒng)研發(fā)速度。在業(yè)務(wù)需求緊急和工作量的壓力下，研發(fā)團隊往往會不自覺地重效率輕安全，形成了安全工作人員的數(shù)量不足，開發(fā)人員的安全意識和安全技能不足等問題。

研發(fā)風(fēng)險管理目標(biāo)及主要依據(jù)

研發(fā)風(fēng)險管理工作是從安全和風(fēng)險角度對信息系統(tǒng)安全設(shè)計、實施情況進行統(tǒng)籌管理的一項工作，主要目標(biāo)是提升信息系統(tǒng)的安全性，避免安全事件發(fā)生，保證商業(yè)銀行業(yè)務(wù)連續(xù)性。同時，也應(yīng)關(guān)注信息系統(tǒng)合規(guī)性，避免系統(tǒng)上線后因各類檢查發(fā)現(xiàn)問題而進行整改，減少不必要的變更。商業(yè)銀行開展研發(fā)風(fēng)險管理工作的最理想狀態(tài)，是實現(xiàn)對所有信息系統(tǒng)研發(fā)風(fēng)險的統(tǒng)籌管理和良性循環(huán)，實現(xiàn)外部監(jiān)管要求、信息安全技術(shù)發(fā)展變化與信息系統(tǒng)研發(fā)之間的有效銜接，做到對最新安全要求的快速響應(yīng)、準(zhǔn)確解讀、全程跟蹤、有效落地。

為做好研發(fā)風(fēng)險管理工作，有效提升信息系統(tǒng)的安全性、合規(guī)性，商業(yè)銀行在信息系統(tǒng)研發(fā)過程中需遵從多方面的要求。這些要求一方面是對研發(fā)風(fēng)險管理工作的指導(dǎo)和規(guī)范，另一方面也是開展研發(fā)風(fēng)險管理工作的依據(jù)。從大的方面來說，我國關(guān)于商業(yè)銀行信息安全、保密等方面的法律法規(guī)均屬于研發(fā)風(fēng)險管理依據(jù)范圍，這些法律法規(guī)的層次較高，不適合指導(dǎo)具體工作開展。從執(zhí)行角度來看，研發(fā)風(fēng)險管理工作的依據(jù)主要有監(jiān)管要求和信息安全標(biāo)準(zhǔn)，同時還應(yīng)參考業(yè)界最佳實踐。

監(jiān)管要求?！栋腿麪栃沦Y本協(xié)議》將信息科技風(fēng)險劃歸操作風(fēng)險，而研發(fā)風(fēng)險屬于信息科技風(fēng)險范疇。因此，當(dāng)前我國商業(yè)銀行遵從的信息科技風(fēng)險監(jiān)管要求，包括：《商業(yè)銀行信息科技風(fēng)險管理指引》、《商業(yè)銀行內(nèi)部控制指引》、《中國銀行業(yè)信息科技“十二五”發(fā)展規(guī)劃監(jiān)管指導(dǎo)意見》等，通常涵蓋研發(fā)風(fēng)險管理相關(guān)內(nèi)容，是開展研發(fā)風(fēng)險管理工作的有力依據(jù)。人民銀行、銀監(jiān)會等監(jiān)管機構(gòu)對商業(yè)銀行開展的信息科技檢查，以及商業(yè)銀行接受的其他內(nèi)外部科技審計、風(fēng)險評估發(fā)現(xiàn)的問題，是從各個角度對現(xiàn)有監(jiān)管要求的細化和解讀，屬于未來新建信息系統(tǒng)應(yīng)規(guī)避的問題，也應(yīng)納入研發(fā)風(fēng)險管理工作依據(jù)范圍。

信息安全標(biāo)準(zhǔn)。信息系統(tǒng)安全問題是整個IT行業(yè)普遍關(guān)注的問題，經(jīng)過業(yè)界多年探索和經(jīng)驗積累形成的信息安全標(biāo)準(zhǔn)，是商業(yè)銀行開展信息系統(tǒng)研發(fā)風(fēng)險管理工作的另一重要依據(jù)。目前國內(nèi)外信息安全標(biāo)準(zhǔn)種類、數(shù)量較多，比較有代表性和有指導(dǎo)意義的包括：信息系統(tǒng)安全等級保護標(biāo)準(zhǔn)、ISO27001標(biāo)準(zhǔn)、CC標(biāo)準(zhǔn)、Cobit標(biāo)準(zhǔn)等。此外，我國國家密碼管理部門、人民銀行等部委針對各專業(yè)技術(shù)領(lǐng)域頒布的標(biāo)準(zhǔn)，例如《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》、《銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范》、國產(chǎn)加密算法標(biāo)準(zhǔn)等，可作為各專業(yè)領(lǐng)域信息系統(tǒng)研發(fā)風(fēng)險管理的工作依據(jù)。

業(yè)界最佳實踐。隨著IT行業(yè)對信息系統(tǒng)安全問題的越來越重視，各大公司和機構(gòu)紛紛進行了廣泛而積極的探索，積累了許多最佳實踐和解決方案，對商業(yè)銀行信息系統(tǒng)研發(fā)風(fēng)險管理工作具有一定的啟發(fā)和借鑒意義。其中，微軟的SDL方法關(guān)于全生命周期安全管理的理念，值得研發(fā)風(fēng)險管理工作借鑒；OWASP的CLASP方法將安全融入現(xiàn)有項目開發(fā)流程的理念，與商業(yè)銀行在現(xiàn)有條件下推動研發(fā)風(fēng)險管理工作開展的需求相吻合；McGraw的TouchPoints方法在關(guān)鍵點切入安全管理的理念，對研發(fā)風(fēng)險管理工作具有借鑒意義。

研發(fā)風(fēng)險管理策略分析

構(gòu)建研發(fā)風(fēng)險管理體系、全生命周期防范研發(fā)風(fēng)險。針對商業(yè)銀行研發(fā)過程風(fēng)險管理工作特點和現(xiàn)狀，要想從根本上解決當(dāng)前存在的問題，應(yīng)統(tǒng)籌考慮，博采眾長，從體系化的角度進行整體規(guī)劃，構(gòu)建符合商業(yè)銀行自身實際情況的研發(fā)風(fēng)險管理體系。在具體操作上，建議從組織、管理、技術(shù)三個方面入手。其中，組織方面應(yīng)由專職部門牽頭，設(shè)置項目安全員、安全專家等角色，分別履行評審、督導(dǎo)、執(zhí)行等工作職責(zé)；管理方面做好管理制度、安全開發(fā)標(biāo)準(zhǔn)的制定維護，以及培訓(xùn)考核等整體推動工作；技術(shù)方面要采取多種手段，為項目組提供安全公共組件、安全技術(shù)平臺、安全工具等技術(shù)支持和服務(wù)。信息系統(tǒng)安全問題是整個系統(tǒng)級的問題，包括物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等很多方面。同時，安全問題也是一個連續(xù)不斷地出現(xiàn)的問題，在信息系統(tǒng)研發(fā)生命周期的每一個階段都有可能引入風(fēng)險，無論是選擇的工具、實現(xiàn)技術(shù)還是編碼的質(zhì)量。因此，研發(fā)風(fēng)險防控工作應(yīng)貫穿信息系統(tǒng)建設(shè)全生命周期，在信息系統(tǒng)研發(fā)過程中同步做好安全需求分析、安全設(shè)計、安全編碼、安全測試、安全審核等工作，使研發(fā)風(fēng)險管理活動與項目管理流程緊密結(jié)合，避免引入風(fēng)險隱患。

做好關(guān)鍵階段的安全審核、堅持定制化和個性化原則。商業(yè)銀行信息系統(tǒng)種類多、數(shù)量多，從安全和合規(guī)的角度來看，每個信息系統(tǒng)均應(yīng)落實研發(fā)風(fēng)險管理要求，但商業(yè)銀行的投入和能力畢竟有限，必須結(jié)合信息系統(tǒng)研發(fā)工作特點，準(zhǔn)確把握工作重點。在信息系統(tǒng)研發(fā)生命周期中，需求分析階段處于初始階段，且與業(yè)務(wù)聯(lián)系緊密，并為后續(xù)工作量估算、系統(tǒng)設(shè)計等工作奠定基礎(chǔ)。做好需求分析階段的安全評審，能夠保證安全要求在后續(xù)工作中得到貫徹執(zhí)行，具有特別的重要性。同時，在信息系統(tǒng)測試階段，應(yīng)對信息系統(tǒng)整體安全情況進行審核，以驗證安全需求實現(xiàn)情況，及時修復(fù)發(fā)現(xiàn)的問題。通過一頭一尾兩個關(guān)鍵階段的安全審核，有效保證新研發(fā)信息系統(tǒng)的安全性。

雖然研發(fā)風(fēng)險管理工作的管理依據(jù)多，可參考標(biāo)準(zhǔn)多，但是現(xiàn)代商業(yè)銀行發(fā)展迅速，信息科技發(fā)展也是日新月異，任何一個標(biāo)準(zhǔn)或指引均不能保證普遍適用，永不過時。商業(yè)銀行在開展研發(fā)過程風(fēng)險管理工作中，應(yīng)準(zhǔn)確把握和靈活運用各類工作依據(jù)和標(biāo)準(zhǔn)，堅持定制化和個性化原則，結(jié)合自身工作特點，制定符合自身實際情況的管理辦法和技術(shù)標(biāo)準(zhǔn)。對于各類安全工具或服務(wù)，也應(yīng)根據(jù)工作需要做出選擇，并在實際工作中進行個性化改進，尤其是對安全工具的個性化配置維護，將成為研發(fā)風(fēng)險管理工作的主要內(nèi)容之一。

安全與效率兼顧、管理和技術(shù)相結(jié)合。商業(yè)銀行的業(yè)務(wù)擴張和發(fā)展速度很快。為搶占市場先機，商業(yè)銀行信息科技服務(wù)的變化速度也很快，且時效性要求很高。這就使得商業(yè)銀行必須提高信息系統(tǒng)研發(fā)效率。研發(fā)風(fēng)險管理工作屬于提升信息系統(tǒng)安全性的強化工作，主要表現(xiàn)在增加信息系統(tǒng)的非功能性需求，增加研發(fā)工作量，因此可能會影響研發(fā)效率。商業(yè)銀行在開展研發(fā)過程風(fēng)險管理工作時，要緊緊圍繞信息系統(tǒng)研發(fā)這個核心工作任務(wù)，堅持服務(wù)研發(fā)、防控風(fēng)險的原則，妥善處理安全和效率之間的關(guān)系，找到安全和效率之間的最佳結(jié)合點，爭取以最小的投入產(chǎn)生最大的安全效益。

研發(fā)風(fēng)險管理工作的主要落腳點是加強信息系統(tǒng)研發(fā)全生命周期的風(fēng)險管理，做好需求、設(shè)計、編碼、測試等階段風(fēng)險管理工作，落實安全技術(shù)措施。因此，與傳統(tǒng)的項目風(fēng)險管理不同，研發(fā)風(fēng)險管理不但重視風(fēng)險管理，還重視安全技術(shù)設(shè)計和實現(xiàn)。這就要求在開展研發(fā)風(fēng)險管理工作過程中，必須將管理和技術(shù)相結(jié)合，在提出研發(fā)風(fēng)險管理要求的同時，必須為項目組提供安全技術(shù)支持和服務(wù)，指導(dǎo)和協(xié)助項目組解決技術(shù)難題，使研發(fā)風(fēng)險管理要求得到切實貫徹執(zhí)行。