ICS03.060CCSA10團SpecificationofComprehensiveRiskManagementforCommercialFactoringCompanies中國服務貿易協會發布1T/CATIS013—2023 3 4 52規范性引用文件 53術語與定義 53.1戰略風險 53.2財務及流動性風險 53.3市場風險 53.4法律風險 53.5信用風險 53.6合規風險 63.7操作風險 63.8信息系統安全風險 64全面風險管理體系原則 64.1體系化原則 64.2多維度原則 64.3全員參與原則 64.4預防為主原則 64.5持續監督與改進原則 65公司治理風險防范 75.1風險管理文化建設 75.2合理安排發展戰略與風險管理策略 75.3構建合理的組織架構 75.4董事和高級管理人員的資格審查 75.5給予商業保理公司經營的獨立性，保留重大事項的審批權限 75.6定期監督 75.7加強黨的領導，健全議事規則 76全面風險管理體系構建模型、方法與策略 76.1商業保理公司全面風險管理的對象范疇 76.2全面風險管理體系構建模型與方法 86.3商業保理公司全面風險體系建設策略 87風險信息收集、風險評估與處置 92T/CATIS013—20237.1風險管理初始信息收集 97.2風險評估與處置 118全面風險管理體系的構建 118.1全面風險管理體系框架 118.2組織架構體系建設 128.3管理與控制體系建設 139保理業務風險管理機制 149.1防范業務風險 149.2建立“三道防線”業務安全防范機制 149.3建立業務風險基礎管控機制 149.4反欺詐 169.5主體評級與授信額度 169.6保前評審 169.7保中審查 179.8風險審查 179.9保后管理和風險預警 179.10建立保理產品規范體系 1710其它管理環節與過程的風險管理 1810.1營銷、銷售、運營、財務、法律和合規等環節的風險管理 1810.2規章制度的建立 1810.3風險點識別與標示 1910.4制定風險點管控方案 1910.5分析、總結和吸取風險管理的經驗教訓 1911全面風險管理體系中的文件管理 1911.1文件分類 1911.2文件編制 1911.3文件的學習與留存 2012全面風險管理體系的再評價與持續改進 2012.1再評價與持續改進的意義 2012.2再評價 2012.3持續改進 21 223T/CATIS013—2023本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起本文件由中國服務貿易協會提出并歸口。本文件起草單位：山東魯泰商業保理有限公司、鉅惠（深圳）商業保理有限公司、萬商天勤（上海）律師事務所、盛業商業保理有限公司、江蘇中皋商業保理有限公司、鄭州天健商業保理有限公司、南通金控商業保理有限公司、天津經濟技術開發區金融局、北京中貿遠大信用管理有限公司、中國服務貿易協會商業保理專業委員會、商務部國際貿易經濟合作研究院。本文件主要起草人：吳鵬翎、鄭憲銘、王亞平、夏盈、韓家平、李偉、王暘、陳仁澤、董重凝、曹紅、蘇光輝、尹曉莉、馮晨、肖楠、劉林、王云飛、代啟云、常靜華。本文件版權歸中國服務貿易協會所有。未經事先書面許可，本文件的任何部分不得以任何形式或任何手段進行復制、發行、改編、翻譯、匯編或將本文件用于其他任何商業目的。4T/CATIS013—2023隨著商業保理行業的發展及相應監管政策的變化，商業保理公司作為地方金融組織，風險管理成為商業保理公司應予以重點關注的問題。本文件所稱的全面風險管理，指商業保理公司圍繞總體經營目標，培育良好的風險管理文化，建立健全全面風險管理體系，包括構建合理和完善公司治理、組織架構、權限管理、工作職責、發布風險管理方針、編制并執行相關規章制度以及建立信息化系統，從而實現對企業經營管理的各個環節進行風險管控，保障企業安全平穩健康發展。商業保理公司進行全面風險管理的目的為，通過建立系統的、全面的、合理的、可操作的全面風險管理體系，實現對企業經營管理各個環節的風險進行管理，以控制實際發生的風險損失在公司的風險承受能力之內，從而實現風險管理的總體目標。本文件旨在為商業保理公司構建全面風險管理體系提供參考的框架、過程和方法，從而幫助國內各商業保理公司根據自身情況建立并逐步完善全面風險管理體系。5T/CATIS013—2023商業保理公司全面風險管理規范本文件規定了商業保理公司全面風險管理規范。本文件適用于商業保理公司構建自身風險管理體系，對商業保理公司具有規范性與標準性。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。T/CATIS001-2020商業保理術語3術語與定義3.1戰略風險戰略風險是指商業保理公司在運用各類資源與能力追求發展的過程中，因自身要素與外部復雜環境匹配失衡而引發企業在實現戰略目標中產生的各種阻礙或者機遇。3.2財務及流動性風險財務風險是指商業保理公司在各項財務活動中由于各種難以預料和無法控制的因素，使企業在一定時期、一定范圍內所獲取的最終財務成果與預期的經營目標發生偏差，從而形成的使商業保理公司蒙受經濟損失或失去更大收益的可能性。流動性風險是指無法以合理成本及獲得充足資金，用于償付到期債務、履行其他支付義務和滿足正常業務開展的其他資金需求的風險。3.3市場風險未來市場價格（利率、匯率、股票價格和商品價格）的不確定性對商業保理公司實現其既定目標的不利影響。3.4法律風險在日常經營和業務活動中因無法滿足或違反法律、法規要求而導致的風險。注：改寫自T/CATIS001-2020，商業保理風控術語6.1.23.5信用風險因應收賬款債務人不能償付或者拒絕償付債務而導致應收賬款債權人或商業保理公司潛在損失的可能性。除應收賬款債務人信用風險除外，信用風險還包括應收賬款債權人不能償付或者拒絕償付保理融資本息債務而導致商業保理公司潛在損失的可能性；再保理業務中，保理商不能償付或者拒絕償付再保理融資本息債務而導致再保理商潛在損失的可能性；增信方不能償付或者拒絕償付增信債務而導致商業保理公司潛在損失的可能性。注：改寫自T/CATIS001-2020，商業保理風控術語6.1.26T/CATIS013—20233.6合規風險在日常經營和業務活動中因無法滿足監管部門及監管政策要求、公司內部規章制度要求而導致的風3.7操作風險由于不完善或有問題的內部操作過程、人員、系統或者外部事件而導致的直接或者間接損失的風險。注：改寫自T/CATIS001-2020，商業保理風控術語6.1.23.8信息系統安全風險商業保理公司通過信息系統作為完成信息的采集、加工、存儲、轉換、傳輸的工具，在開發、使用、維護過程中由于設計、操作、外部因素導致系統喪失及時性、可靠性、連續性、開放性、保密性、完整性、準確性、安全性所導致的風險。4全面風險管理體系原則4.1體系化原則全面風險管理應運用體系化思維和建設模式，從信息收集、風險評估、組織體系建設、管理與控制體系建設、文件管理體系、監督與改進等角度出發，構建一個有機的、長期有效的管理體系。4.2多維度原則在業務和過程維度方面，不僅包括對保理業務開展過程的風險管控，還應包括，企業戰略管理、業務與運營、財務與內部審計、法律和合規、人力資源、投融資等業務和過程。在剛性規章制度建設的同時，還應注重培育良好的風險管理文化、樹立誠信、嚴謹和細致的工作作風、嚴格按照制度執行的行為習慣等“軟文化”建設。在風險防范維度方面，不僅要管控與保理業務緊密相關的主體企業的信用風險、流動性風險等“外部風險”，也應關注和防范商業保理公司自身的戰略風險、財務風險等“內部風險”，還應關注政策風險、市場行情變化和行業變動等帶來的“環境風險”。4.3全員參與原則商業保理公司最高領導者應確立公司統一的風險管理宗旨、方針及方向，并應創造并保持使員工能充分參與與實現風險管理目標的內部環境。商業保理公司的風險專職管理部門和人員始終參與風險管理工作，其它部門和人員也應樹立風險管理意識，共同參與到風險管理中，并根據不同級別，安排不同的風險管理權限及職責，將具體工作內容及責任落實到個人。4.4預防為主原則商業保理公司應確立“預防為主”的原則，在風險管理過程中對各類風險防患于未然，以預防預警為主，出現問題及時采取針對性措施予以處置化解。4.5持續監督與改進原則7T/CATIS013—2023商業保理公司在建設風險管理體系后，應建立評估機制，結合政策、法律、市場和公司業務領域變化等情況，檢查并評價落實執行的實際效果，對風險管理體系風險管理工作的開展進行監督與改進。5公司治理風險防范5.1風險管理文化建設股東/股東會/股東大會或董事會應督促經理層建立具有良好風險意識的企業文化。商業保理公司應通過制度安排、培訓和宣傳等方式，塑造企業內部覆蓋董事會、經理層、員工等各個層級的風險管理文化氛圍。5.2合理安排發展戰略與風險管理策略應正確的認識和把握風險與收益的平衡，防止和糾正忽視風險，片面追求收益而不講條件和時機、認為風險越大、收益越高等錯誤觀念和做法，也要培養創新意識，防止單純為規避風險而放棄發展機遇。股東/股東會/股東大會或董事會應根據自身條件和外部環境，圍繞商業保理公司的發展戰略，確定合理的風險偏好、風險承受程度、風險管理有效性標準。股東/股東會/股東大會或董事會所確定的風險管理策略應與發展戰略相匹配。5.3構建合理的組織架構股東/股東會/股東大會或董事會應構建權責明晰、分工明確的組織架構，以落實風險管理，不恰當的組織架構將面臨合規風險。5.4董事和高級管理人員的資格審查股東/股東會/股東大會應充分掌握、了解每一位董事及由股東/股東會/股東大會決定聘任的高級管理人員的必要信息，審查每一位任職人員的從業經驗、能力和個人品行，并應審查其過往的從業經歷中是否存在已暴露的業務能力、判斷能力及品行等方面的問題。5.5給予商業保理公司經營的獨立性，保留重大事項的審批權限股東/股東會/股東大會應保留部分重大事項的審批權限，以防范重大風險。同時，商業保理公司作為地方金融組織，具有高度的專業性，不恰當的權力上收將擴大風險敞口，應適當給予公司經營的獨立5.6定期監督股東/股東會/股東大會應定期通過各部門自查、風險專職管理部門檢查、審計部門審查以及外部第三方專業機構評測等方式，監督公司風險管理體系是否得到良好的落實，并評估體系是否恰當和有效。5.7加強黨的領導，健全議事規則商業保理公司特別是具有國有成分的企業應健全落實黨的領導，健全議事規則，明確“三重一大”事項的決策規則和程序。6全面風險管理體系構建模型、方法與策略6.1商業保理公司全面風險管理的對象范疇8T/CATIS013—2023商業保理公司全面風險管理的對象范疇應涵蓋經營管理中包括但不限于以下內容：a)企業戰略管理；b)業務與運營：保理產品設計、市場營銷、銷售、運營管理、保理業務風險管理；c)財務與內部審計；d)法律和合規；e)人力資源；f)投融資。商業保理公司在進行全面風險體系建設的過程中，應根據自身涉及的業務領域、管理特點、股東或集團的戰略部署和要求，識別并確定全面風險管理的對象范疇。6.2全面風險管理體系構建模型與方法圖：全面風險體系構建模型a)針對風險管理的對象，做好信息收集及風險評估工作；b)構建完善、合理的組織架構體系，包括組織架構、權限管理及工作職責分配，實現“高效”“權責相符”和“責任明確”的組織體系；c)制定完善、全面、可依照執行的風險管理與控制相關規章制度，形成有機的、規范化的管理與控制體系，全員參與依照執行，并通過文件對風險管理過程進行留痕；d)為了不斷適應內外部環境變化及查漏補缺，需定期對風險管理體系進行監督與改進。6.3商業保理公司全面風險體系建設策略商業保理公司應本著從實際出發，務求實效的原則，以對重大風險、重大事件（指重大風險發生后的事實）的管理和重要流程的控制為重點，按照“統籌規劃、分步實施、差異管理”的策略建立風險管理實施體系。9T/CATIS013—2023在該原則的指導下，按以下策略進行體系建設：a)具備條件的商業保理公司全面推進建立全面風險管理體系；b)其他商業保理公司應制定開展全面風險管理的總體規劃，分步實施，優先選擇與企業生存發展緊密相關的一項或多項重要經營環節開展風險管理工作，建立風險管理實施體系，通過積累經驗，培養人才，逐步建立健全全面風險管理體系。商業保理公司應至少將以下業務管理及過程作為全面風險管理的對象，進行全面風險管理體系的構a)業務與運營：保理產品設計、市場營銷、銷售、運營管理、保理業務風險管理；b)財務與內部審計；c)法律和合規。7風險信息收集、風險評估與處置7.1風險管理初始信息收集7.1.1戰略風險在戰略風險方面，至少收集與本企業相關的以下重要信息：a)收集國內外宏觀經濟政策以及經濟運行情況、本行業狀況、國家產業政策信息，評估對本商業保理公司的影響和損失；b)關注科技進步、技術創新帶來新的機會和發展機遇，并評估對商業保理公司的生存和發展帶來的影響和損失；c)評估產業鏈發展和產業鏈企業的需求變化，對商業保理公司生存和發展帶來的影響和損失；d)股東或集團對于商業保理公司的戰略定位、發揮的作用的變化，對商業保理公司生存和發展帶來的影響和損失；e)與主要競爭對手相比，本商業保理公司實力與差距。7.1.2財務及流動性風險在財務風險方面，至少收集與本企業相關的以下重要信息：a)負債、或有負債、負債率、償債能力；b)現金流、應收賬款及其占收入的比重、流動性覆蓋率和流動性比例；c)盈利能力；d)股東或集團對本商業保理公司的考核指標變化。7.1.3市場風險在市場風險方面，至少收集與本企業相關的以下重要信息：a)市場上金融產品利率及供需變化；b)競爭對手收取的息費的變化；c)主要客戶的信用情況；d)潛在競爭者、競爭者及其主要產品、替代品情況。T/CATIS013—20237.1.4法律風險在法律風險方面，至少收集與本企業相關的以下重要信息：a)國內外與本商業保理公司相關的政治、法律環境；b)影響商業保理公司的法律法規和監管政策；c)員工道德操守的遵從性；d)與保理業務相關的司法案例。7.1.5信用風險在信用風險方面，至少收集與本企業相關的以下重要信息：a)國內外與本商業保理公司展業所涉及行業的整體信用狀況；b)本商業保理公司重點潛在客戶的信用狀況；c)本商業保理公司存量客戶的信用狀況；d)與本商業保理公司相關的主體、行業發生信用風險的原因、征兆、財務指標等有利于提前判斷信用風險的相關信息。7.1.6合規風險在合規風險方面，至少收集與本企業相關的以下重要信息：a)國內金融行業、商業保理行業監管政策；b)相關監管部門的指導意見；c)金融機構、商業保理公司因合規問題被要求整頓、處罰等信息；d)行業內其他合規相關信息。7.1.7操作風險在操作風險方面，至少收集與本企業相關的以下重要信息：a)商業保理公司組織效能、管理現狀、企業文化、中高層管理人員和重要業務流程中專業人員的知識結構、專業經驗；b)行業內業務中曾發生或易發生失誤的流程和環節；c)行業內因內、外部人員的道德風險致使企業遭受損失或業務控制系統失靈；d)對現有業務、公司管理流程和信息系統操作運行情況的監管、運行評價及持續改進能力。7.1.8信息系統安全風險在信息系統安全風險方面，至少收集與本企業相關的以下重要信息：a)金融機構及地方金融組織因信息系統安全風險造成損失的案例；b)其他金融機構及地方金融組織就信息系統安全風險防控所構建的安全管理制度；c)所使用的主要硬件、軟件的特點；d)使用信息系統的數據、信息的范圍。T/CATIS013—20237.2風險評估與處置7.2.1風險辨識7.2.1.1風險辨識的維度風險辨識不應只關注業務開展過程中可能存在的風險點，其他環節也存在相應風險應予以關注及識別。如（包括但不限于）：a)公司治理維度，如不健全的組織架構構建，將面臨操作風險與合規風險；b)財務管理維度，如適當的融資計劃及投放計劃，有利于規避財務風險；c)人事管理維度，如合法有效的內部勞動規章制度，有利于規避因勞資糾紛產生的法律風險。7.2.1.2風險辨識的時點風險辨識是長期工作，除首次風險辨識外，應在商業保理公司存續期間不斷的進行風險再識別。首次風險辨識指商業保理公司根據初始信息收集，進行首次系統梳理、辨識風險點。在商業保理公司存續期間，需持續根據公司運營情況及外部環境變化進行風險辨識。7.2.1.3風險辨識的主體風險辨識不僅是風險專職管理部門或人員的職責。任何崗位的員工、任何部門及高管均應在自身負責的工作中樹立風險辨識意識，在發現可能存在的風險時，應根據相應文件的規定，及時向負責風險匯總職責的相關主體反饋，由相關主體匯總并在再評價過程中持續更新。7.2.2風險分析風險分析指對辨識后的風險點根據其可能造成損失的大小、風險發生的可能性、可緩釋程度、對商業保理公司帶來的負面影響大小等維度對風險予以分類，予以不同級別的關注度。7.2.3風險控制或緩釋措施在進行風險辨識及對應的分析后，需針對不同的風險制定控制或緩釋措施。風險控制或緩釋措施不代表可以完全消除風險，風險控制或緩釋措施應與商業保理公司的風險容忍/偏好進行匹配。7.2.4風險報告及處置及時對風險按流程進行報告，是處置風險、減小風險帶來影響的重要前提。應建立起完善、及時的風險報告機制，以及時、完整、準確、便于理解的方式向有相應權限的決策主體進行報告。就不同的風險，應提前規定原則性的風險處置措施。但決策機構可以根據風險類別、風險等級及具體情況，最終確定合適的風險處置措施，以減小風險所帶來的損失及負面影響。8全面風險管理體系的構建8.1全面風險管理體系框架全面風險管理體系的構建是為了確保風險管理能夠有效、順利得以落實執行，商業保理公司全面風險管理體系建設分為兩部分內容：a)組織架構體系建設，包括：組織架構、權限分配以及工作職責分配；b)管理與控制體系建設，包括：發布風險管理方針、建立風險管理能力提升機制、培訓及宣傳機制，并制定風險管理相關規章制度。在上述內容建設的同時，建議商業保理公司積極開展信息化系統建設，提高風險管理與控制能力和水平。T/CATIS013—20238.2組織架構體系建設8.2.1組織架構組織架構的構建，是指商業保理公司內部的部門、各類委員會等組織的設置。全面風險管理項下的組織架構構建應遵循如下原則：a)商業保理公司內部部門的設置應滿足合規要求，部門設置的最低合規限度是，應將業務、財務、風險控制的職責分配至不同的部門，并形成職責獨立、相互監督、協同配合的格局；b)商業保理公司應確保各部門擁有合理的職級設置和人員、資源配備，以使其能夠獨立有效地履行職責；c)應建立機制，確保業務、財務、風險專職管理部門的意見均應被尊重，同時，風險專職管理部門應根據商業保理公司的風險容忍/偏好調整總體風險水平協調各部門更好完成風險管理職d)根據具體經營的需要，可設置確有必要的委員會，作為全面風險管理的組織體系的重要組成部分。同時，設置的委員會若為專業委員會的，應根據專業能力選取合適人選。委員會的組成人員應避免與實際最終具有決策權限的機構人員一致；e)避免設立不必要的復雜架構。各部門、委員會的建立及運作應確保其始終符合設立目的，具有清晰的職責及存在的意義。8.2.2權限管理權限管理，是指商業保理公司內部各類事項的決策權限的管理，包括部門負責人、總經理、執行董事/董事會、股東/股東會/股東大會、黨委（黨組）/黨支部及層級較高的委員會的權限分配。全面風險管理項下的權限管理應遵循如下原則：a)針對不同事項，根據事項的影響程度、重要程度、性質分配決策權限的主體。部分重大事項的決策權限，可上收至股東/股東會/股東大會層面。決策事項包括具體業務的審批、文件的審批、融資計劃的審批、組織架構調整的審批、公司高管任免的審批等；b)決策權限的分配應考慮決策效率及風險容忍度偏好，避免決策權限過于集中導致決策效率降低；c)決策權限的分配應考慮決策事項的性質，對于不同領域的事項，考慮由對應專業部門予以決策。8.2.3工作職責工作職責的分配，是指將相關工作責任、內容和事項具體落實到相關的部門和崗位上。全面風險管理項下的工作職責的分配應遵循如下原則：a)確立“風險點第一責任部門原則”：各部門在履職過程中，實際上每一項具體工作均可能存在風險點，如，負責財務的部門在安排融資計劃時因確保流動性的充裕，否則將涉及流動性風險；負責業務的部門在辦理應收賬款轉讓登記過程時應確保對應收賬款進行準確、規范描述，否則將涉及法律風險。因此，在任何職責分配中，均應將風險管理作為職責中重要的一部分，且應將某工作的責任部門規定為操作過程出現的風險點的第一責任部門；b)確立“風險點第一責任人原則”：工作職責應落實到具體崗位，每一項工作應明確規定責任人。實際工作中每一項具體工作在操作時均可能存在風險，因此，負責此項具體工作的責任人也應T/CATIS013—2023規定為對應的風險點的第一責任人；c)確立“橫向溝通報告原則”：為了避免出現各部門孤立運行，缺乏高效、信息充分共享的“組織孤島”現象，應通過橫向溝通報告的方式，在各部門之間建立扁平化的、就具體工作事項進行責任人員之間直接溝通報告的常態化機制，以提高工作效率、加快風險處置的響應速度減小風險帶來的損失，在橫向溝通的同時，相關人員應第一時間各自向部門負責人報告。8.2.4風險管理委員會商業保理公司應遵循本文件8.2.1條“組織架構”第4點的要求，建立風險管理委員會。風險管理委員會負責：a)提交全面風險管理年度報告；b)審議風險管理策略、方針和重大風險管理解決方案；c)審議重大決策、重大風險、重大事件和重要業務流程的判斷標準或判斷機制，以及重大決策的風險評估報告；d)應定期組織評審公司業務風險控制落實情況，對業務風險管理的有效性作出評估，并提出完善建議；e)審議風險管理組織機構設置及其職責方案；f)辦理董事會授權的有關全面風險管理的其他事項。8.3管理與控制體系建設8.3.1風險管理方針風險管理方針指的是由商業保理公司經營管理最高領導者正式發布的風險管理宗旨和方向。對商業保理公司而言，風險管理方針是商業保理公司風險管理行為的指導準則，反映公司最高管理者的風險管理意識，也反映商業保理公司的風險管理目的和風險文化。風險管理方針應進行全員培訓并確保得以全面落實執行。8.3.2風險管理能力提升機制商業保理公司公司應建立風險管理能力提升機制。風險管理能力包括但不限于，風險辨識能力、風險應對能力、科技防控能力、信息收集能力、數據建模和分析能力、工作人員專業能力等。對重要且有一定難度的風險辨識，比如：銀行流水分析、隱債判斷、公章辨認、財務報表和賬務異常分析與判斷等，通過收集整理行業專家和企業分享的經驗和文章并建立資料庫以供學習、內部人員經驗傳授、定期專業培訓等措施，提高專項風險辨識能力。在提高風險管理能力的過程中也可聘請具有合格資質、信譽良好、風險管理專業能力強的中介機構協助實施。8.3.3培訓和宣傳機制商業保理公司應建立風險管理理念、風險管理規章制度、從業道德、嚴格執行規章制度的行為習慣等方面的全員崗前、在崗培訓制度，并通過多種渠道和平臺進行廣泛、深入的宣傳貫徹，以提高全員的風險管理意識、能力和水平，培育良好的風險管理文化。商業保理公司在開展培訓的同時，鼓勵直接面向客戶的一線業務人員在公司風險管理要求的基礎T/CATIS013—2023上，建立判斷業務是否可以開展的風控邏輯框架，以便在業務開展初始就進行風險防范，體現“預防在前”的原則。8.3.4風險管理與控制相關規章制度商業保理公司應建立并加強自身風險管理與控制規章制度建設。制定相關規章制度時，應與其他管理工作緊密結合，把風險管理的各項要求融入企業管理和業務流程中，并落實到戰略、制度、科技等方面，在決策過程中將風險防范作為重要的考慮因素，將管理要求轉化為制度、落實到流程、固化到崗位、強化于監督。8.3.5保理業務線上化系統商業保理公司應建立保理業務線上化系統，對內用于內部各項業務的辦理、審批，實現業務辦理的自動化、業務風險管理的強制化和系統化，對外為各個參與主體企業/機構提供業務線上辦理的入口。在條件許可的情況下，積極對接產業鏈企業的內部ERP、財務系統、進銷存系統或項目、合同履約等信息化系統，實現不同企業之間信息化系統的數據互聯互通、流程自動化和產業協同，為逐步實現“數據信用”和“數據資產”打下堅實的基礎，也為發票驗真、驗證貿易真實性、防止應收賬款重復轉讓等提供科技手段和堅實保障。8.3.6一體化智能風控平臺商業保理公司可根據自身情況和條件，積極建立一體化智能風控平臺。平臺依托區塊鏈、大數據、云計算、AI等先進科技技術，以風險管理為核心，集風險目標識別、大數據建模與分析、信用評級、額度管理、風險預警與處置、風險結果評估等多功能于一體，全面反映主體企業的信用與交易風險狀況，有效防范化解各類金融風險，保障公司穩健合規經營。9保理業務風險管理機制9.1防范業務風險商業保理公司在全面風險管理過程中，展業時所涉及的業務風險最為主要和重要，故應對業務風險建立完備的風險管理與防范機制。9.2建立“三道防線”業務安全防范機制具備條件的商業保理公司可建立風險管理三道防線，即：各有關職能部門為第一道防線；專職風險管理職能部門為第二道防線；內部內部審計、合規稽查部門、各專業委員會、經理層、執行董事/董事會、股東/股東會/股東大會與外聘專業中介機構為第三道防線。三道防線交叉核驗、互相監督，避免“最后一道防線為風險最終責任人”的情況出現。9.3建立業務風險基礎管控機制9.3.1業務領域準入與禁入機制商業保理公司應建立業務領域準入與禁入機制。業務領域準入應規定可以開展的各類保理業務具體類型以及開展的條件。禁入業務除了國家法律或監管部門所明確不能開展的之外，還應包括股東、集團和本商業保理公司因各種因素而確定不能開展的T/CATIS013—2023業務。為了鼓勵創新、激活企業增長活力，在對業務領域進行嚴格限定的基礎上，商業保理公司應建立創新業務申報、審批及獎勵機制。9.3.2合格資產標準與分類管理商業保理公司應建立格資產標準與分類管理。合格資產應明確規定基礎交易真實性、合法性、有效性的各項條件和約束，以及因不可抗力而改變為不合格資產的解決措施。9.3.3主體企業準入與黑名單機制商業保理公司應建立主體企業準入和黑名單防控機制。在業務開展過程中，應明確對所涉及的各類主體企業和機構作出“合格”和準入的各項條件和資信要求。商業保理公司應動態完善“黑名單清單”，以保障業務安全。9.3.4業務文檔模板及材料清單商業保理公司應建立業務文檔模板及資料材料清單規范。在業務開展過程中，公司應建立編制各類報告所需的文檔模板，并按類別進行歸類，同時，應根據業務開展具體情況及時進行修訂、發布和版本管理。如：a)合同、協議類，包括但不限于：《有追索權保理合同》、《無追索權保理合同》、《保證合同》b)材料清單類，包括但不限于：《信用評級、c)盡調、風險分析類，《盡調報告》和《項目風險風險分析報告》。9.3.5保理業務資料管理商業保理公司應建立保理業務資料收集、整理、保管、歸檔和日常維護等相關制度。保理業務存續期間，應嚴格對客戶資料進行管理，并防范業務資料外泄，造成負面影響。9.3.6行業化差異化風控策略商業保理公司應建立行業化差異化風控策略。商業保理公司應加強對行業的了解，并掌握各個行業的特點、交易環節、支付結算規則、生產組織形式和銷售模式，也應對供應商、核心企業和下游客戶的規模、資信強弱情況、資金需求規模，以及貿易合同和應收賬款有效性差異和可能出現的商業糾紛等情況進行研究，以在此基礎之上建立差異化風險管控策略。9.3.7行業化主體企業經營與財務指標庫商業保理公司應建立主體企業所涉及的行業經營與財務指標庫體系。公司應通過搜索公開信息、分析上市公司年報、審計報告等方式，收集相關主體所涉及的企業經營與財務指標，以便為風險量化評價提供“行業標桿指標值”。9.3.8量化風險評估模型和規則商業保理公司應逐步建立量化風險評估模型和規則體系。T/CATIS013—2023量化風險評估模型建立的目的是，提高風險管理的效率，降低風險管理的成本。量化風險評估模型包括但不限于，企業主體信用評級量化模型、信用風險量化模型、授信額度量化模型、現金流量預測模型等。風險規則指的是，對某個維度或指標制定“判斷”、“選擇”條件式的簡化模型。如，準入條件為：“企業成立年限應超過三年”、“注冊資本金大于等于5000萬”等。商業保理公司應根據自身業務的情況，針對以下維度建立風險規則：a)基本信息：成立年限、注冊地址、經營范圍、經營狀態、法人黑名單；b)企業流動性風險預測：未來12月營收預測、未來流動性預測、未來逾期風險；c)納稅指標分析：納稅信用等級歷史、納稅收入總覽、納稅指標分析、稅收違法違規、欠稅信息；d)財務指標分析：企業資產情況、負債情況、隱債情況、應付應收賬款、營業收入、營業利潤、經營性現金流量變化情況；e)工商司法信息：企業工商基本信息、被執行信息、欠稅信息、商標專利、限高、失信、被執行人信息；f)企業征信：歷史逾期情況、借款情況、風險評級情況、五級分類等。9.3.9風險計量指標商業保理公司應建立風險計量指標體系。風險計量指標用于對主體企業評級、業務風險分析時進行計量、比對和判斷。風險計量指標體系包括但不限于，信用風險計量指標、操作風險計量指標、流動性風險計量指標、主體企業經營風險指標等。風險計量指標具有明顯的行業特征，故應按行業分門別類進行建立，計量指標體系應由風險計量維度及“行業標桿值”、“最低值”和“最高值”等組成。9.4反欺詐商業保理公司應建立反欺詐機制。在業務開展過程中，重點防范虛假交易、虛構交易主體、冒用與造假他人身份、印章造假、未經合法授權私蓋公章、內外勾結等欺詐行為。9.5主體評級與授信額度商業保理公司應建立主體信用評級與融資信用額度控制機制。公司應逐步建立主體信用評價的流程、模型和方法，并積極引入科技手段和外部合法合規的第三方數據，建立信息化、智能化的信用評級系統，以進一步提升業務風險管理能力和水平。在展業的過程中，應建立起信用等級與授信額度相對應的分級授信額度管理制度、明確單個融資主體的總體額度、單筆融資最高限額的具體衡量標準，并做好額度控制：a)對核心企業進行授信，并控制與之進行交易的不同融資主體在本商業保理公司發生的保理融資總額不能超過該核心企業的總體額度；b)單個融資主體的總體額度控制；c)單筆融資最高限額的控制機制；d)單筆融資的金額如高于某個金額時，應考慮加上增信措施。9.6保前評審T/CATIS013—2023商業保理公司應建立保前審管理機制。保前審查主要針對涉及辦理業務的各個主體企業的準入條件、資信情況、信用等級、業務領域和底層資產等做業務辦理前的審查和初評。保前審查符合業務辦理條件的，應按辦理保理業務所需的相關材料清單要求，收集并提交相關材料，進入保中階段。9.7保中審查商業保理公司應建立保中審查和報批管理機制。保中審查主要的工作為：a)根據前期評定的信用等級報批本次融資所涉及的各個主體的信用額度；b)根據需要，對本次融資所涉及的主體企業進行現場訪談和盡調，并編制盡調和風控報告；c)融資金額、利率和費用、融資周期、還款方式、增信措施和交易結構等融資方案編制；在完成以上事項后，應召開評審會議對準入條件、資產和交易合規性、底層資產和貿易真實性、信用和風險情況、融資方案等方面進行全面審議。9.8風險審查商業保理公司應建立風險審查管理機制。對于已經評審會議批準可以辦理的業務，在合同簽訂前應提交至風險審查部門做評審會確定需要落實的措施和最終的法律和合規審查。9.9保后管理和風險預警商業保理公司應建立保后管理與風險預警機制。完成放款的業務應將涉及的主體企業、個人加入到日常輿情和第三方外部大數據查詢等監控體系中，緊密監控信用質量變化情況。公司應建立“兩道保后巡防”機制：第一道巡防機制，要求業務人員定期或不定期上門拜訪，并常態化與涉及主體企業的對接人溝通，以收集、匯報涉及主體企業和個人的各類風險預警信號。第二道巡防機制，要求專職風險管理人員定期上門拜訪，對企業的經營情況、財務狀況等方面進行訪談和檢查，特別是應加強對融資所涉及應收賬款的對賬與核實、流動性情況的核查。以上保后管理過程中，如出現負面輿情、信用質量變化、企業經營風險、流動性和應收賬款回款異常等風險預警信號后，應按風險預警等級對應的措施進行處置。9.10建立保理產品規范體系9.10.1建立保理產品規范商業保理公司在開展每一項業務時因編制該業務對應的保理產品規范，用于指導和規范業務的開9.10.2產品規范的行業化同一個產品在不同的行業中開展業務時，如在風險計量指標、基礎貿易有效性、風控措施等方面具有明顯行業差異的，可考慮編制相對應的行業化的產品規范，以便在更好地用于指導業務開展的同時，體現風險差異化管理的原則。T/CATIS013—20239.10.3業務的底層風控邏輯底層風控邏輯指的是，從某項業務的形成邏輯角度出發，分析并抓住底層、核心和關鍵的風險點，采取相應的防范和控制措施，以避免出現“一旦發生即無可挽救”的狀況。比如，在一般情況下，保理業務最為核心和關鍵的風險在于“交易的真實性”和“應收賬款的真實、合規和有效性”。每一項業務在設計之初展業之前，就應深入討論并明確此項業務的底層風控邏輯，以便于抓住該業務的核心和關鍵風險，在保障業務安全的同時，也應進行宣傳和貫徹，成為全員的共識，特別是針對一線業務人員應重點進行培訓，形成潛移默化的“預防在先”的行為習慣。9.10.4產品規范基本要素保理產品規范基本要素包括：a)產品名稱（如正向保理）、產品說明、開展的意義、適用的行業、目標客戶群體畫像；b)合格主體企業的準入條件和資信要求；c)按行業特點細化的有效、合規的基礎貿易和合格資產的約定；d)融資方案（包括但不限于：額度控制、期限、服務費和成本區間等）；e)交易結構和流程說明；f)本產品底層風控邏輯；g)本產品所特有的操作流程、風險控制點和風險審查要點；h)各階段客戶所需提供的材料清單（如有）；i)本產品所適用的基礎法律條款、合規要求；j)本產品適用的各類合同、協議范本；k)預期收益及推廣方案等。10其它管理環節與過程的風險管理10.1營銷、銷售、運營、財務、法律和合規等環節的風險管理商業保理公司除了對業務風險、保理產品設計進行風險管控之外，還應對市場營銷、銷售、運營、財務與內部審計、法律和合規等關鍵管理及過程按本文件7.2條“風險評估與處置”的要求，對上述業務管理和過程進行風險辨識、分析并提出風險管控方案。10.2規章制度的建立商業保理公司應對市場營銷、銷售、運營、財務與內部審計、法律和合規等關鍵管理及過程進行建章立制，以保證相關業務活動有章可循。一般情況下，應至少包含以下業務管理及過程：a)市場營銷活動合規審查b)保理業務項目管理；c)交易真實性核驗、確權管理；d)保理業務資料收集、審核和核驗；e)現場盡職調查管理；f)合同、協議與項目資料管理；g)法律審查、合規與內控管理；T/CATIS013—2023h)應收賬款轉讓與登記管理；i)放款管理；j)財務和審計管理；k)周期性存量業務資產穿透與風險排查。10.3風險點識別與標示在上述規章制度建立的過程中，應全面審視和檢查各個規章制度中規定的每一個步驟和操作，對可能出現的風險進行辨識和分析，如識別出風險點時，應在該步驟或操作標注上【風險點檢查】或其它提示標識。10.4制定風險點管控方案每一個識別出來的風險點應制定風險點管控方案，管控方案應作為規章制度文件的附錄一同發布執行，以便提示、要求相關責任人進行檢查，并清晰、明確獲知該履行的職責和承擔的風險責任。風險點管控方案應包括但不限于以下要素：a)風險點發生的環節（明確描述風險發生在哪一個步驟或操作）；b)風險類別、風險點描述、風險的等級和可能造成的損失；c)風險點第一責任部門和崗位、人員；d)應采取的管控措施；e)管控措施執行檢查人和復核人員；f)獎懲措施。10.5分析、總結和吸取風險管理的經驗教訓商業保理公司在風險管理過程中，應及時分析、總結并吸取在實際業務開展過程中出現的各類與風險管理有關的經驗教訓和司法判例中體現的立場、原則、標準和尺度，并及時完善規章制度和風險管控方案。11全面風險管理體系中的文件