T_CATIS 013-2023 商业保理公司全面风险管理规范.docx

ICS 03.060CCS A10团体 标 准T/CAT IS 0132023商业保理公司全面风险管理规范Specification of Comprehensive Risk Management for Commercial Factoring Companies2023 - 11 - 30 发布2023 - 12 - 01 实施中 国服 务 贸 易协会 发 布T/CAT IS 0132023目 次前 言 3引 言 41 范围 52 规范性引用文件 53 术语与定义 53.1 战略风险 53.2 财务及流动性风险 53.3 市场风险 53.4 法律风险 53.5 信用风险 53.6 合规风险 63.7 操作风险 63.8 信息系统安全风险 64 全面风险管理体系原则 64.1 体系化原则 64.2 多维度原则 64.3 全员参与原则 64.4 预防为主原则 64.5 持续监督与改进原则 65 公司治理风险防范 75.1 风险管理文化建设 75.2 合理安排发展战略与风险管理策略 75.3 构建合理的组织架构 75.4 董事和高级管理人员的资格审查 75.5 给予商业保理公司经营的独立性，保留重大事项的审批权限 75.6 定期监督 75.7 加强党的领导，健全议事规则 76 全面风险管理体系构建模型、方法与策略 76.1 商业保理公司全面风险管理的对象范畴 76.2 全面风险管理体系构建模型与方法 86.3 商业保理公司全面风险体系建设策略 87 风险信息收集、风险评估与处置 91T/CAT IS 01320237.1 风险管理初始信息收集 97.2 风险评估与处置 118 全面风险管理体系的构建 118.1 全面风险管理体系框架 118.2 组织架构体系建设 128.3 管理与控制体系建设 139 保理业务风险管理机制 149.1 防范业务风险 149.2 建立“三道防线”业务安全防范机制 149.3 建立业务风险基础管控机制 149.4 反欺诈 169.5 主体评级与授信额度 169.6 保前评审 169.7 保中审查 179.8 风险审查 179.9 保后管理和风险预警 179.10 建立保理产品规范体系 1710 其它管理环节与过程的风险管理 1810.1 营销、销售、运营、财务、法律和合规等环节的风险管理 1810.2 规章制度的建立 1810.3 风险点识别与标示 1910.4 制定风险点管控方案 1910.5 分析、总结和吸取风险管理的经验教训 1911 全面风险管理体系中的文件管理 1911.1 文件分类 1911.2 文件编制 1911.3 文件的学习与留存 2012 全面风险管理体系的再评价与持续改进 2012.1 再评价与持续改进的意义 2012.2 再评价 2012.3 持续改进 21参 考 文 献 222T/CAT IS 0132023前 言本文件按照 GB/T 1. 1-2020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规定起 草。本文件由中国服务贸易协会提出并归口。本文件起草单位：山东鲁泰商业保理有限公司、钜惠（深圳）商业保理有限公司、万商天勤（上海） 律师事务所、盛业商业保理有限公司、江苏中皋商业保理有限公司、郑州天健商业保理有限公司、南通 金控商业保理有限公司、天津经济技术开发区金融局、北京中贸远大信用管理有限公司、中国服务贸易 协会商业保理专业委员会、商务部国际贸易经济合作研究院。本文件主要起草人：吴鹏翎、郑宪铭、王亚平、夏盈、韩家平、李伟、王暘、陈仁泽、董重凝、曹 红、苏光辉、尹晓莉、冯晨、 肖楠、刘林、王云飞、代启云、常静华。本文件版权归中国服务贸易协会所有。未经事先书面许可，本文件的任何部分不得以任何形式或任 何手段进行复制、发行、改编、翻译、汇编或将本文件用于其他任何商业目的。3T/CAT IS 0132023引 言随着商业保理行业的发展及相应监管政策的变化，商业保理公司作为地方金融组织，风险管理成为 商业保理公司应予以重点关注的问题。本文件所称的全面风险管理，指商业保理公司围绕总体经营目标，培育良好的风险管理文化，建立 健全全面风险管理体系，包括构建合理和完善公司治理、组织架构、权限管理、工作职责、发布风险管 理方针、编制并执行相关规章制度以及建立信息化系统，从而实现对企业经营管理的各个环节进行风险 管控，保障企业安全平稳健康发展。商业保理公司进行全面风险管理的目的为，通过建立系统的、全面的、合理的、可操作的全面风险 管理体系，实现对企业经营管理各个环节的风险进行管理，以控制实际发生的风险损失在公司的风险承 受能力之内，从而实现风险管理的总体目标。本文件旨在为商业保理公司构建全面风险管理体系提供参考的框架、过程和方法，从而帮助国内各 商业保理公司根据自身情况建立并逐步完善全面风险管理体系。4T/CAT IS 0132023商业保理公司全面风险管理规范1 范围本文件规定了商业保理公司全面风险管理规范。本文件适用于商业保理公司构建自身风险管理体系，对商业保理公司具有规范性与标准性。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。T/CATIS 001-2020 商业保理术语3 术语与定义3.1 战略风险战略风险是指商业保理公司在运用各类资源与能力追求发展的过程中，因自身要素与外部复杂环境 匹配失衡而引发企业在实现战略目标中产生的各种阻碍或者机遇。3.2 财务及流动性风险财务风险是指商业保理公司在各项财务活动中由于各种难以预料和无法控制的因素，使企业在一定 时期、一定范围内所获取的最终财务成果与预期的经营目标发生偏差，从而形成的使商业保理公司蒙受 经济损失或失去更大收益的可能性。流动性风险是指无法以合理成本及获得充足资金，用于偿付到期债 务、履行其他支付义务和满足正常业务开展的其他资金需求的风险。3.3 市场风险未来市场价格（利率、汇率、股票价格和商品价格）的不确定性对商业保理公司实现其既定目标的 不利影响。3.4 法律风险在日常经营和业务活动中因无法满足或违反法律、法规要求而导致的风险。注：改写自 T/CATIS 001-2020 ，商业保理风控术语 6. 1.23.5 信用风险因应收账款债务人不能偿付或者拒绝偿付债务而导致应收账款债权人或商业保理公司潜在损失的 可能性。除应收账款债务人信用风险除外，信用风险还包括应收账款债权人不能偿付或者拒绝偿付保理融资 本息债务而导致商业保理公司潜在损失的可能性；再保理业务中，保理商不能偿付或者拒绝偿付再保理 融资本息债务而导致再保理商潜在损失的可能性；增信方不能偿付或者拒绝偿付增信债务而导致商业保 理公司潜在损失的可能性。注：改写自 T/CATIS 001-2020 ，商业保理风控术语 6. 1.25T/CAT IS 01320233.6 合规风险在日常经营和业务活动中因无法满足监管部门及监管政策要求、公司内部规章制度要求而导致的风 险。3.7 操作风险由于不完善或有问题的内部操作过程、人员、系统或者外部事件而导致的直接或者间接损失的风险。 注：改写自 T/CATIS 001-2020 ，商业保理风控术语 6. 1.23.8 信息系统安全风险商业保理公司通过信息系统作为完成信息的采集、加工、存储、转换、传输的工具，在开发、使用、 维护过程中由于设计、操作、外部因素导致系统丧失及时性、可靠性、连续性、开放性、保密性、完整 性、准确性、安全性所导致的风险。4 全面风险管理体系原则4.1 体系化原则全面风险管理应运用体系化思维和建设模式，从信息收集、风险评估、组织体系建设、管理与控制 体系建设、文件管理体系、监督与改进等角度出发，构建一个有机的、长期有效的管理体系。4.2 多维度原则在业务和过程维度方面，不仅包括对保理业务开展过程的风险管控，还应包括，企业战略管理、业 务与运营、财务与内部审计、法律和合规、人力资源、投融资等业务和过程。在刚性规章制度建设的同时，还应注重培育良好的风险管理文化、树立诚信、严谨和细致的工作作 风、严格按照制度执行的行为习惯等“软文化 ”建设。在风险防范维度方面，不仅要管控与保理业务紧密相关的主体企业的信用风险、流动性风险等“外 部风险 ”，也应关注和防范商业保理公司自身的战略风险、财务风险等“ 内部风险 ”，还应关注政策风 险、市场行情变化和行业变动等带来的“环境风险 ”。4.3 全员参与原则商业保理公司最高领导者应确立公司统一的风险管理宗旨、方针及方向，并应创造并保持使员工能 充分参与与实现风险管理目标的内部环境。商业保理公司的风险专职管理部门和人员始终参与风险管理工作，其它部门和人员也应树立风险管 理意识，共同参与到风险管理中，并根据不同级别，安排不同的风险管理权限及职责，将具体工作内容 及责任落实到个人。4.4 预防为主原则商业保理公司应确立“预防为主 ”的原则，在风险管理过程中对各类风险防患于未然，以预防预警 为主，出现问题及时采取针对性措施予以处置化解。4.5 持续监督与改进原则6T/CAT IS 0132023商业保理公司在建设风险管理体系后，应建立评估机制，结合政策、法律、市场和公司业务领域变 化等情况，检查并评价落实执行的实际效果，对风险管理体系风险管理工作的开展进行监督与改进。5 公司治理风险防范5.1 风险管理文化建设股东/股东会/股东大会或董事会应督促经理层建立具有良好风险意识的企业文化。商业保理公司应通过制度安排、培训和宣传等方式，塑造企业内部覆盖董事会、经理层、员工等各 个层级的风险管理文化氛围。5.2 合理安排发展战略与风险管理策略应正确的认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件和时机、 认为风险越大、收益越高等错误观念和做法，也要培养创新意识，防止单纯为规避风险而放弃发展机遇。股东/股东会/股东大会或董事会应根据自身条件和外部环境，围绕商业保理公司的发展战略，确定 合理的风险偏好、风险承受程度、风险管理有效性标准。股东/股东会/股东大会或董事会所确定的风险 管理策略应与发展战略相匹配。5.3 构建合理的组织架构股东/股东会/股东大会或董事会应构建权责明晰、分工明确的组织架构，以落实风险管理，不恰当 的组织架构将面临合规风险。5.4 董事和高级管理人员的资格审查股东/股东会/股东大会应充分掌握、了解每一位董事及由股东/股东会/股东大会决定聘任的高级管 理人员的必要信息，审查每一位任职人员的从业经验、能力和个人品行，并应审查其过往的从业经历中 是否存在已暴露的业务能力、判断能力及品行等方面的问题。5.5 给予商业保理公司经营的独立性，保留重大事项的审批权限股东/股东会/股东大会应保留部分重大事项的审批权限，以防范重大风险。同时，商业保理公司作 为地方金融组织，具有高度的专业性，不恰当的权力上收将扩大风险敞口，应适当给予公司经营的独立 性。5.6 定期监督股东/股东会/股东大会应定期通过各部门自查、风险专职管理部门检查、审计部门审查以及外部第 三方专业机构评测等方式，监督公司风险管理体系是否得到良好的落实，并评估体系是否恰当和有效。5.7 加强党的领导，健全议事规则商业保理公司特别是具有国有成分的企业应健全落实党的领导，健全议事规则，明确“三重一大 ” 事项的决策规则和程序。6 全面风险管理体系构建模型、方法与策略6.1 商业保理公司全面风险管理的对象范畴7T/CAT IS 0132023商业保理公司全面风险管理的对象范畴应涵盖经营管理中包括但不限于以下内容： a) 企业战略管理；b) 业务与运营：保理产品设计、市场营销、销售、运营管理、保理业务风险管理； c) 财务与内部审计；d) 法律和合规；e) 人力资源；f) 投融资。商业保理公司在进行全面风险体系建设的过程中，应根据自身涉及的业务领域、管理特点、股东或 集团的战略部署和要求，识别并确定全面风险管理的对象范畴。6.2 全面风险管理体系构建模型与方法图：全面风险体系构建模型a) 针对风险管理的对象，做好信息收集及风险评估工作；b) 构建完善、合理的组织架构体系，包括组织架构、权限管理及工作职责分配，实现“高效 ”“权 责相符 ”和“责任明确 ”的组织体系；c) 制定完善、全面、可依照执行的风险管理与控制相关规章制度，形成有机的、规范化的管理与 控制体系，全员参与依照执行，并通过文件对风险管理过程进行留痕；d) 为了不断适应内外部环境变化及查漏补缺，需定期对风险管理体系进行监督与改进。6.3 商业保理公司全面风险体系建设策略商业保理公司应本着从实际出发，务求实效的原则，以对重大风险、重大事件（指重大风险发生后 的事实）的管理和重要流程的控制为重点，按照“统筹规划、分步实施、差异管理 ”的策略建立风险管 理实施体系。8T/CAT IS 0132023在该原则的指导下，按以下策略进行体系建设：a) 具备条件的商业保理公司全面推进建立全面风险管理体系；b) 其他商业保理公司应制定开展全面风险管理的总体规划，分步实施，优先选择与企业生存发展 紧密相关的一项或多项重要经营环节开展风险管理工作，建立风险管理实施体系，通过积累经验，培养人才，逐步建立健全全面风险管理体系。商业保理公司应至少将以下业务管理及过程作为全面风险管理的对象，进行全面风险管理体系的构 建：a) 业务与运营：保理产品设计、市场营销、销售、运营管理、保理业务风险管理；b) 财务与内部审计；c) 法律和合规。7 风险信息收集、风险评估与处置7.1 风险管理初始信息收集7.1.1 战略风险在战略风险方面，至少收集与本企业相关的以下重要信息：a) 收集国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策信息，评估对本商业 保理公司的影响和损失；b) 关注科技进步、技术创新带来新的机会和发展机遇，并评估对商业保理公司的生存和发展带来 的影响和损失；c) 评估产业链发展和产业链企业的需求变化，对商业保理公司生存和发展带来的影响和损失；d) 股东或集团对于商业保理公司的战略定位、发挥的作用的变化，对商业保理公司生存和发展带 来的影响和损失；e) 与主要竞争对手相比，本商业保理公司实力与差距。7.1.2 财务及流动性风险在财务风险方面，至少收集与本企业相关的以下重要信息：a) 负债、或有负债、负债率、偿债能力；b) 现金流、应收账款及其占收入的比重、流动性覆盖率和流动性比例；c) 盈利能力；d) 股东或集团对本商业保理公司的考核指标变化。7.1.3 市场风险在市场风险方面，至少收集与本企业相关的以下重要信息：a) 市场上金融产品利率及供需变化；b) 竞争对手收取的息费的变化；c) 主要客户的信用情况；d) 潜在竞争者、竞争者及其主要产品、替代品情况。9T/CAT IS 01320237.1.4 法律风险在法律风险方面，至少收集与本企业相关的以下重要信息：a) 国内外与本商业保理公司相关的政治、法律环境；b) 影响商业保理公司的法律法规和监管政策；c) 员工道德操守的遵从性；d) 与保理业务相关的司法案例。7.1.5 信用风险在信用风险方面，至少收集与本企业相关的以下重要信息：a) 国内外与本商业保理公司展业所涉及行业的整体信用状况；b) 本商业保理公司重点潜在客户的信用状况；c) 本商业保理公司存量客户的信用状况；d) 与本商业保理公司相关的主体、行业发生信用风险的原因、征兆、财务指标等有利于提前判断 信用风险的相关信息。7.1.6 合规风险在合规风险方面，至少收集与本企业相关的以下重要信息：a) 国内金融行业、商业保理行业监管政策；b) 相关监管部门的指导意见；c) 金融机构、商业保理公司因合规问题被要求整顿、处罚等信息；d) 行业内其他合规相关信息。7.1.7 操作风险在操作风险方面，至少收集与本企业相关的以下重要信息：a) 商业保理公司组织效能、管理现状、企业文化、中高层管理人员和重要业务流程中专业人员的 知识结构、专业经验；b) 行业内业务中曾发生或易发生失误的流程和环节；c) 行业内因内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵；d) 对现有业务、公司管理流程和信息系统操作运行情况的监管、运行评价及持续改进能力。7.1.8 信息系统安全风险在信息系统安全风险方面，至少收集与本企业相关的以下重要信息：a) 金融机构及地方金融组织因信息系统安全风险造成损失的案例；b) 其他金融机构及地方金融组织就信息系统安全风险防控所构建的安全管理制度； c) 所使用的主要硬件、软件的特点；d) 使用信息系统的数据、信息的范围。10T/CAT IS 01320237.2 风险评估与处置7.2.1 风险辨识7.2.1.1 风险辨识的维度风险辨识不应只关注业务开展过程中可能存在的风险点，其他环节也存在相应风险应予以关注及识 别。如（包括但不限于）：a) 公司治理维度，如不健全的组织架构构建，将面临操作风险与合规风险； b) 财务管理维度，如适当的融资计划及投放计划，有利于规避财务风险；c) 人事管理维度，如合法有效的内部劳动规章制度，有利于规避因劳资纠纷产生的法律风险。 7.2.1.2 风险辨识的时点风险辨识是长期工作，除首次风险辨识外，应在商业保理公司存续期间不断的进行风险再识别。首次风险辨识指商业保理公司根据初始信息收集，进行首次系统梳理、辨识风险点。 在商业保理公司存续期间，需持续根据公司运营情况及外部环境变化进行风险辨识。7.2.1.3 风险辨识的主体风险辨识不仅是风险专职管理部门或人员的职责。任何岗位的员工、任何部门及高管均应在自身负 责的工作中树立风险辨识意识，在发现可能存在的风险时，应根据相应文件的规定，及时向负责风险汇 总职责的相关主体反馈，由相关主体汇总并在再评价过程中持续更新。7.2.2 风险分析风险分析指对辨识后的风险点根据其可能造成损失的大小、风险发生的可能性、可缓释程度、对商 业保理公司带来的负面影响大小等维度对风险予以分类，予以不同级别的关注度。7.2.3 风险控制或缓释措施在进行风险辨识及对应的分析后，需针对不同的风险制定控制或缓释措施。风险控制或缓释措施不 代表可以完全消除风险，风险控制或缓释措施应与商业保理公司的风险容忍/偏好进行匹配。7.2.4 风险报告及处置及时对风险按流程进行报告，是处置风险、减小风险带来影响的重要前提。应建立起完善、及时的 风险报告机制，以及时、完整、准确、便于理解的方式向有相应权限的决策主体进行报告。就不同的风险，应提前规定原则性的风险处置措施。但决策机构可以根据风险类别、风险等级及具 体情况，最终确定合适的风险处置措施， 以减小风险所带来的损失及负面影响。8 全面风险管理体系的构建8.1 全面风险管理体系框架全面风险管理体系的构建是为了确保风险管理能够有效、顺利得以落实执行，商业保理公司全面风 险管理体系建设分为两部分内容：a) 组织架构体系建设，包括：组织架构、权限分配以及工作职责分配；b) 管理与控制体系建设，包括：发布风险管理方针、建立风险管理能力提升机制、培训及宣传机 制，并制定风险管理相关规章制度。在上述内容建设的同时，建议商业保理公司积极开展信息 化系统建设，提高风险管理与控制能力和水平。11T/CAT IS 01320238.2 组织架构体系建设8.2.1 组织架构组织架构的构建，是指商业保理公司内部的部门、各类委员会等组织的设置。全面风险管理项下的 组织架构构建应遵循如下原则：a) 商业保理公司内部部门的设置应满足合规要求，部门设置的最低合规限度是，应将业务、财务、 风险控制的职责分配至不同的部门，并形成职责独立、相互监督、协同配合的格局；b) 商业保理公司应确保各部门拥有合理的职级设置和人员、资源配备，以使其能够独立有效地履 行职责；c) 应建立机制，确保业务、财务、风险专职管理部门的意见均应被尊重，同时，风险专职管理部 门应根据商业保理公司的风险容忍/偏好调整总体风险水平协调各部门更好完成风险管理职 责；d) 根据具体经营的需要，可设置确有必要的委员会，作为全面风险管理的组织体系的重要组成部 分。同时，设置的委员会若为专业委员会的，应根据专业能力选取合适人选。委员会的组成人 员应避免与实际最终具有决策权限的机构人员一致；e) 避免设立不必要的复杂架构。各部门、委员会的建立及运作应确保其始终符合设立目的，具有 清晰的职责及存在的意义。8.2.2 权限管理权限管理，是指商业保理公司内部各类事项的决策权限的管理，包括部门负责人、总经理、执行董 事/董事会、股东/股东会/股东大会、党委（党组）/党支部及层级较高的委员会的权限分配。全面风险 管理项下的权限管理应遵循如下原则：a) 针对不同事项，根据事项的影响程度、重要程度、性质分配决策权限的主体。部分重大事项的 决策权限，可上收至股东/股东会/股东大会层面。决策事项包括具体业务的审批、文件的审批、 融资计划的审批、组织架构调整的审批、公司高管任免的审批等；b) 决策权限的分配应考虑决策效率及风险容忍度偏好，避免决策权限过于集中导致决策效率降 低；c) 决策权限的分配应考虑决策事项的性质，对于不同领域的事项，考虑由对应专业部门予以决策。8.2.3 工作职责工作职责的分配，是指将相关工作责任、内容和事项具体落实到相关的部门和岗位上。全面风险管 理项下的工作职责的分配应遵循如下原则：a) 确立“风险点第一责任部门原则 ”：各部门在履职过程中，实际上每一项具体工作均可能存在 风险点，如，负责财务的部门在安排融资计划时因确保流动性的充裕，否则将涉及流动性风险； 负责业务的部门在办理应收账款转让登记过程时应确保对应收账款进行准确、规范描述，否则 将涉及法律风险。因此，在任何职责分配中，均应将风险管理作为职责中重要的一部分，且应 将某工作的责任部门规定为操作过程出现的风险点的第一责任部门；b) 确立“风险点第一责任人原则 ”：工作职责应落实到具体岗位，每一项工作应明确规定责任人。 实际工作中每一项具体工作在操作时均可能存在风险，因此，负责此项具体工作的责任人也应12T/CAT IS 0132023规定为对应的风险点的第一责任人；c) 确立“横向沟通报告原则 ”：为了避免出现各部门孤立运行，缺乏高效、信息充分共享的“组 织孤岛 ”现象，应通过横向沟通报告的方式，在各部门之间建立扁平化的、就具体工作事项进 行责任人员之间直接沟通报告的常态化机制，以提高工作效率、加快风险处置的响应速度减小 风险带来的损失，在横向沟通的同时，相关人员应第一时间各自向部门负责人报告。8.2.4 风险管理委员会商业保理公司应遵循本文件 8.2. 1 条“组织架构 ”第 4 点的要求，建立风险管理委员会。 风险管理委员会负责：a) 提交全面风险管理年度报告；b) 审议风险管理策略、方针和重大风险管理解决方案；c) 审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的 风险评估报告；d) 应定期组织评审公司业务风险控制落实情况，对业务风险管理的有效性作出评估，并提出完善 建议；e) 审议风险管理组织机构设置及其职责方案；f) 办理董事会授权的有关全面风险管理的其他事项。8.3 管理与控制体系建设8.3.1 风险管理方针风险管理方针指的是由商业保理公司经营管理最高领导者正式发布的风险管理宗旨和方向。对商业保理公司而言，风险管理方针是商业保理公司风险管理行为的指导准则，反映公司最高管理 者的风险管理意识，也反映商业保理公司的风险管理目的和风险文化。风险管理方针应进行全员培训并确保得以全面落实执行。8.3.2 风险管理能力提升机制商业保理公司公司应建立风险管理能力提升机制。风险管理能力包括但不限于，风险辨识能力、风险应对能力、科技防控能力、信息收集能力、数据 建模和分析能力、工作人员专业能力等。对重要且有一定难度的风险辨识，比如：银行流水分析、隐债判断、公章辨认、财务报表和账务异 常分析与判断等，通过收集整理行业专家和企业分享的经验和文章并建立资料库以供学习、内部人员经 验传授、定期专业培训等措施，提高专项风险辨识能力。在提高风险管理能力的过程中也可聘请具有合格资质、信誉良好、风险管理专业能力强的中介机构 协助实施。8.3.3 培训和宣传机制商业保理公司应建立风险管理理念、风险管理规章制度、从业道德、严格执行规章制度的行为习惯 等方面的全员岗前、在岗培训制度，并通过多种渠道和平台进行广泛、深入的宣传贯彻，以提高全员的 风险管理意识、能力和水平，培育良好的风险管理文化。商业保理公司在开展培训的同时，鼓励直接面向客户的一线业务人员在公司风险管理要求的基础13T/CAT IS 0132023上，建立判断业务是否可以开展的风控逻辑框架，以便在业务开展初始就进行风险防范，体现“预防在 前 ”的原则。8.3.4 风险管理与控制相关规章制度商业保理公司应建立并加强自身风险管理与控制规章制度建设。制定相关规章制度时，应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流 程中，并落实到战略、制度、科技等方面，在决策过程中将风险防范作为重要的考虑因素，将管理要求 转化为制度、落实到流程、固化到岗位、强化于监督。8.3.5 保理业务线上化系统商业保理公司应建立保理业务线上化系统，对内用于内部各项业务的办理、审批，实现业务办理的 自动化、业务风险管理的强制化和系统化，对外为各个参与主体企业/机构提供业务线上办理的入口。在条件许可的情况下，积极对接产业链企业的内部 ERP 、财务系统、进销存系统或项目、合同履 约等信息化系统，实现不同企业之间信息化系统的数据互联互通、流程自动化和产业协同，为逐步实现 “数据信用 ”和“数据资产 ”打下坚实的基础，也为发票验真、验证贸易真实性、防止应收账款重复转 让等提供科技手段和坚实保障。8.3.6 一体化智能风控平台商业保理公司可根据自身情况和条件，积极建立一体化智能风控平台。平台依托区块链、大数据、云计算、AI 等先进科技技术， 以风险管理为核心，集风险目标识别、 大数据建模与分析、信用评级、额度管理、风险预警与处置、风险结果评估等多功能于一体，全面反映 主体企业的信用与交易风险状况，有效防范化解各类金融风险，保障公司稳健合规经营。9 保理业务风险管理机制9.1 防范业务风险商业保理公司在全面风险管理过程中，展业时所涉及的业务风险最为主要和重要，故应对业务风险 建立完备的风险管理与防范机制。9.2 建立“三道防线”业务安全防范机制具备条件的商业保理公司可建立风险管理三道防线，即：各有关职能部门为第一道防线；专职风险管理职能部门为第二道防线；内部内部审计、合规稽查部门、各专业委员会、经理层、执行董事/董事会、股东/股东会/股东大会 与外聘专业中介机构为第三道防线。三道防线交叉核验、互相监督，避免“最后一道防线为风险最终责任人 ”的情况出现。9.3 建立业务风险基础管控机制9.3.1 业务领域准入与禁入机制商业保理公司应建立业务领域准入与禁入机制。业务领域准入应规定可以开展的各类保理业务具体类型以及开展的条件。禁入业务除了国家法律或 监管部门所明确不能开展的之外，还应包括股东、集团和本商业保理公司因各种因素而确定不能开展的14T/CAT IS 0132023业务。为了鼓励创新、激活企业增长活力，在对业务领域进行严格限定的基础上，商业保理公司应建立创 新业务申报、审批及奖励机制。9.3.2 合格资产标准与分类管理商业保理公司应建立格资产标准与分类管理。合格资产应明确规定基础交易真实性、合法性、有效性的各项条件和约束，以及因不可抗力而改变 为不合格资产的解决措施。9.3.3 主体企业准入与黑名单机制商业保理公司应建立主体企业准入和黑名单防控机制。在业务开展过程中，应明确对所涉及的各类主体企业和机构作出“合格 ”和准入的各项条件和资信 要求。商业保理公司应动态完善“黑名单清单 ”，以保障业务安全。9.3.4 业务文档模板及材料清单商业保理公司应建立业务文档模板及资料材料清单规范。在业务开展过程中，公司应建立编制各类报告所需的文档模板，并按类别进行归类，同时，应根据 业务开展具体情况及时进行修订、发布和版本管理。如：a) 合同、协议类，包括但不限于：有追索权保理合同、无追索权保理合同、保证合同等；b) 材料清单类，包括但不限于：信用评级、额度评审需材料清单、业务办理所需材料清单； c) 尽调、风险分析类，尽调报告和项目风险风险分析报告。9.3.5 保理业务资料管理商业保理公司应建立保理业务资料收集、整理、保管、归档和日常维护等相关制度。保理业务存续期间，应严格对客户资料进行管理，并防范业务资料外泄，造成负面影响。9.3.6 行业化差异化风控策略商业保理公司应建立行业化差异化风控策略。商业保理公司应加强对行业的了解，并掌握各个行业的特点、交易环节、支付结算规则、生产组织 形式和销售模式，也应对供应商、核心企业和下游客户的规模、资信强弱情况、资金需求规模，以及贸 易合同和应收账款有效性差异和可能出现的商业纠纷等情况进行研究，以在此基础之上建立差异化风险 管控策略。9.3.7 行业化主体企业经营与财务指标库商业保理公司应建立主体企业所涉及的行业经营与财务指标库体系。公司应通过搜索公开信息、分析上市公司年报、审计报告等方式，收集相关主体所涉及的企业经营 与财务指标， 以便为风险量化评价提供“行业标杆指标值 ”。9.3.8 量化风险评估模型和规则商业保理公司应逐步建立量化风险评估模型和规则体系。15T/CAT IS 0132023量化风险评估模型建立的目的是，提高风险管理的效率，降低风险管理的成本。量化风险评估模型 包括但不限于，企业主体信用评级量化模型、信用风险量化模型、授信额度量化模型、现金流量预测模 型等。风险规则指的是，对某个维度或指标制定“判断 ”、“选择 ”条件式的简化模型。如，准入条件为： “企业成立年限应超过三年 ”、“注册资本金大于等于 5000 万 ”等。商业保理公司应根据自身业务的情况，针对以下维度建立风险规则：a) 基本信息：成立年限、注册地址、经营范围、经营状态、法人黑名单；b) 企业流动性风险预测：未来 12 月营收预测、未来流动性预测、未来逾期风险；c) 纳税指标分析：纳税信用等级历史、纳税收入总览、纳税指标分析、税收违法违规、欠税信息；d) 财务指标分析：企业资产情况、负债情况、隐债情况、应付应收账款、营业收入、营业利润、 经营性现金流量变化情况；e) 工商司法信息：企业工商基本信息、被执行信息、欠税信息、商标专利、限高、失信、被执行 人信息；f) 企业征信：历史逾期情况、借款情况、风险评级情况、五级分类等。9.3.9 风险计量指标商业保理公司应建立风险计量指标体系。风险计量指标用于对主体企业评级、业务风险分析时进行 计量、比对和判断。风险计量指标体系包括但不限于，信用风险计量指标、操作风险计量指标、流动性风险计量指标、 主体企业经营风险指标等。风险计量指标具有明显的行业特征，故应按行业分门别类进行建立，计量指标体系应由风险计量维 度及“行业标杆值 ”、“最低值 ”和“最高值 ”等组成。9.4 反欺诈商业保理公司应建立反欺诈机制。在业务开展过程中，重点防范虚假交易、虚构交易主体、冒用与造假他人身份、印章造假、未经合 法授权私盖公章、 内外勾结等欺诈行为。9.5 主体评级与授信额度商业保理公司应建立主体信用评级与融资信用额度控制机制。公司应逐步建立主体信用评价的流程、模型和方法，并积极引入科技手段和外部合法合规的第三方 数据，建立信息化、智能化的信用评级系统， 以进一步提升业务风险管理能力和水平。在展业的过程中，应建立起信用等级与授信额度相对应的分级授信额度管理制度、明确单个融资主 体的总体额度、单笔融资最高限额的具体衡量标准，并做好额度控制：a) 对核心企业进行授信，并控制与之进行交易的不同融资主体在本商业保理公司发生的保理融资 总额不能超过该核心企业的总体额度；b) 单个融资主体的总体额度控制；c) 单笔融资最高限额的控制机制；d) 单笔融资的金额如高于某个金额时，应考虑加上增信措施。9.