上海农商行对外包风险管理非常重视。在本项目中，德勤将基于对银行现状分析的基础上制定上海农商行外包风险管理实施办法。该办法的主要内容包括：

• 总则
• 组织架构及职责分工

包括董事会-高级管理层-专职外包管理团队的建设和职责定义

• 设计外包风险管理工具实施的基本要求

对外包商尽职调查路线图的实施提出具体的要求和方法论说明。

• 外包风险报告

对外包风险报告责任、内容和路径给以说明。

• 检查与考核评价

说明外包风险管理的检查制度；考核评价的内容和参与单位等。

• 问责

建立相应的问责机制

操作风险管理报告

操作风险报告机制包括报告的责任、路径、频率以及对各部门的具体要求。

总分支行各部门应定期向本部门负责人和本级风险管理部门提交操作风险管理评估报告。报告内容包括：

·         本部门操作风险总体评价，可从人员、流程、系统和外部事件等综合维度进行报告，包括但不限于：存在的主要潜在操作风险因素、重大的项目规划、操作风险管理环境的重大变化（如宏观环境、政策监管变动等）以及对操作风险管理的影响与应重点关注的操作风险管理事项等。

·         本部门操作风险管理的执行情况，包括但不限于：如操作风险与控制识别和评估的情况，针对操作风险暴露较高的风险点所采取的控制缓释措施，关键风险指标的及时更新、持续改进和跟踪情况，损失数据收集与处理情况等。 

• 本部门操作风险管理的成效、不足和改进方向，如操作风险管理措施的效果、操作风险管理中存在的问题和不足、内外部审计和监管部门的有关意见，以及下一阶段的主要操作风险管理措施等。

总行风险管理部应定期对各单位的操作风险管理评估报告进行汇总分析，在此基础上对全行操作风险进行综合评估，并向总行风险管理委员会提交操作风险管理专项风险评估报告

操作风险管理评价方案，包括评价指标及打分标准

根据上海农商行的操作风险管理体系建设内容，考虑设计对应的操作风险管理评价指标体系。在该评价体系下，以本行操作风险管理体系建设的关键方面作为评价维度，然后针对不同维度的关注点设计相应的敏感性指标，结合本银行的操作风险管理侧重对各指标指定不同的考核系数，从而建立对整个操作风险管理体系的评价指标和积分体系。计分过程请参见如下 示例：

第二篇：外包业务风险管理

业务外包的风险控制

外包风险的控制问题主要包括：外包风险管理信息系统；合作伙伴评价和风险控制；外包人员的风险控制；外包过程的风险控制。

(1)业务外包的风险管理信息系统

风险管理信息系统是贯穿于整个外包乃至企业全部业务活动的过程。业务外包的风险管理信息系统，在设计时要首先考虑企业对外包管理信息系统的特定需求。这包括确定是谁使用这套系统，他们各自需要什么样的信息，需要的详细程度，以及企业目前可能满足这些要求的资源配置。其次是确定与这些需求相适应的信息流。确定了需求后，企业就可以选择能反映这些需求的各种信息流。这些信息应包括历史风险的损失数据、风险特征数据、风险财务数据、对外包合作伙伴的评价、订单执行情况的反馈、双方的合作情况、外包合作伙伴技术的发展和创新、其他潜在外包合作伙伴的情况，以及评价指标的确定，等等。最后，要确定风险管理信息系统在经济和技术上的可行性。一套信息管理系统也需要人力的开发、维护，信息量的收集、处理、分析和跟踪等，这些都需要付出经济成本，同时还有考虑到技术上是否可以满足需要，否则，昂贵的软硬件的费用和得不偿失的付出将不可能获得高管的认可。

(2)外包合作伙伴评价的与风险控制

企业对外包合作伙伴的风险控制主要应采取以下措施：

①完全竞争控制。企业的外包业务通常是非常普通的非核心业务，比如后勤、清洁等业务。对于大多数企业来说，这些业务可以实现完全竞争控制，不需要大动干戈地去评估评审。

②合约控制。企业可通过合约的方式来规定自己和外包合作伙伴双方的权利和义务，产品的质量标准，订单的执行程序，货款的支付，知识产权的规定，后续合同的续延等。采取合约控制时，应该对所关注的问题规定得越详细越好，避免含混不清给外包业务的合作制造麻烦。

③激励机制控制。企业可通过价格激励、订单激励、商誉激励、信息激励、

淘汰激励、组织激励、新产品/新技术的共同开发等方式，促使外包合作伙伴提高质量控制水平、供货准时水平和供货成本水平等，调动外包合作伙伴的积极性，消除由于信息不对称或败德行为所造成的风险，实现双赢的局面。股权控制。为避免对外包合作伙伴失去控制，企业可适当地购买合作伙伴的股份，或者相互持股，信息共享，加强沟通，增加双方的信任度。

(3)外包人员的风险控制

外包人员的风险控制重在防范，企业应根据实际情况，不定期地对外包人员的素质进行审查和培训，尽量减少风险发生的损失。对道德风险主要是加强外包人员道德素质的培养和提高，加强企业外包管理，防止出现漏洞。外包人员的心理风险主要从业务素质培训和心理素质培养入手，提高业务技术素质，增强心理素质，克服外包活动中的疏忽或工作中的麻痹情况。同时企业应与外包合作伙伴建立多层次的联系，包括企业高层管理者、中层管理人员和日常工作人员之间的联系和交流，以从多渠道了解外包的准确信息，对外包人员起到监督作用。

(4)外包过程的风险控制

外包过程的风险控制，主要是对外包合作伙伴的投机行为进行控制，这些投机行为可能是企业对外包合作伙伴的依赖度上升而失去对外包业务的控制，外包合作伙伴提高供货价格；或者是外包合作伙伴纵向一体化而成为竞争对手；或者是对收益分配期望值看法的不同而使后续合同无法执行；或者是外包合作伙伴将企业的核心机密、技术突破、产品研发方向透露给企业的竞争对手。

1 市场风险概述

（1）商业信用环境差

由于中国的市场经济还有不完善的地方，企业在经济交往中常常遇到对方不讲诚信，不按合同办事，结果造成贷款回收困难，甚至被诈骗。企业稍有不慎就酿成巨大损失，甚至被拖垮。因此，企业要把防范信用风险放在重要地位。

（2）原材料价格波动

近年来，一些国际资源要素的价格大起大落，涨跌多变，使许多中小企业难以把握。在当前市场涨跌多变的情况下，中小企业要加强对国内外市场需求及其产业成长性的分析、研究、预测与评估，学会市场风险的防范，增强预见性，增强企业的抗风险能力。

2 通过信息化控制市场风险

（1）采集市场信息

企业可以通过与供应商和经销商建立合作伙伴关系，通过供应链管理系统、销售管理系统、采购系统等收集原材料的供应情况和产品销售数据；通过网上交易平台，密切关注市场的变化（包括原材料成本、产品价格、未来的发展趋势、国家发展政策等信息）。运用采集到的市场信息，为企业决策和生产提供帮助，及时调整产品的生产和市场策略等。保证生产的产品有市场，企业的原材料供应充足且价格适当。

（2）加强信用管理

目前的企业管理信息系统，如ERP具有信用管理的作用。在ERP系统中企业设定了一定的标准，用于管理供应商和客户信用。比如对于客户根据客户以往的付款情况，系统设定了信用等级，在超出信用等级的情况下。系统会自动的反馈信息，要求客户付款，如客户不付款，系统就不会允许发货。此外通过客户关系管理软件可以快速的了解和跟踪目标客户的信用信息、准确的了解客户的信用需求、为客户科学的定制合理的信用政策、更全面的对企业的信用管理水平进行评估、有效地提高授信效益、降低授信风险。

（3）进行风险预警

企业活动作为集合经济、技术、管理、组织等各方面的综合性社会活动，在各个方面都存在着不确定性。企业风险预警控制系统就是通过建立风险评估体系，进而进行风险预控，化解风险的发生，并将风险造成的损失降低至最低程度的有效手段。开展企业活动的风险分析与管理，预防和化解风险的发生，将风险造成的损失控制在最低限度，已成为保证企业经营活动并创造最大效益的重要措施之一。

企业的市场风险预警系统有狭义和广义之分。狭义的预警系统是指为了防范可能偏离正常发展轨道或可能出现的市场风险而建立起来的报警系统。而广义的市场风险预警系统则包括市场风险识别系统、市场风险评估系统、市场风险预警系统和市场风险处理系统。通过信息化的手段，可以收集企业内外多方面的信息，企业应用的信息化系统有的设定了预警点，在企业运营存在市场风险时，系统会自动进行风险预警，方便企业管理者做出正确的决策。

风险管理过程步骤

步骤一：风险管理过程需要每个成员都参与在规划过程中，每人列出有至少10项潜在风险的清单。往往在这一步，团队成员将猜想某些项目风险已经知道，因此不必列出。例如，“范围渐变”是多数项目的一个典型问题。然而，仍然要把它列出来，因为即使有最好的实践管理过程，它仍有可能发生，并随着时间的推移而引发问题。因此，它应该注明，而不是置之不理。

步骤二：风险管理过程需要收集并对列出的项目进行汇总，删除清单中重复的项目。 步骤三：评估汇总清单上每个风险的概率(或可能性) 、影响(或后果) 及探测的难易程度。这可以通过给名单上每个项目指定一个评价数值来实现，如从1到4评价范围或使用评价词如高、中、低。探测度是可选参数，但它可以简单评估出来。如果一个风险是难以看到的，如范围蠕变，则它是一个风险更高的项目。如果是比较早能发现的，如管理支持的丢失或一个重要资源的丢失，那么它的风险则较低。

步骤四：打破原计划的团队将其分组并给予每个组一份汇总清单。然后，每个小组通过项目风险的指定清单识别触发器(警告标志)。所有触发器应当注明，即使是次要的。通常情况下每个风险至少有三个触发器。

步骤五：为那些相同的分组找出可能针对威胁的预防性行动，并增强机会的作用。 步骤六：为每个小组建立一个针对大多数风险，但并非所有的项目风险的应急计划。这个计划包括如果触发或风险发生，组员所要采取的行动。风险管理中会为所有风险设立评分临界点，这项计划针对得分超过临界点的那些风险而建立。这确保了风险管理过程是可行的。风险管理过程如果出奇的费时就不能体现工作效率。

规划的风险管理过程的最后一步是责任到位。要确定责任人，即谁监视触发器，然后适当地作出回应。即便执行了预先核准的计划和应急计划，触发仍然发生了。通常，责任人是项目经理。但对于所有组员来说，工作时随时观察触发器是集体利益所在，而不是重新开始这个项目的操作，那样又要建立一个名单，跳过第三步。接着，新增的具体项目风险和触发器评估的概率，影响，探测度等。从而节省了大量的时间，还能丰富你风险管理的项目文化。 创建一个风险簿或风险矩阵

完成风险管理过程后，主文件，即风险簿或风险矩阵，就创建了。该文件最有效的格式是一个表格，因为它可以方便多达数页的资料的查阅。如果信息用普通段落显示，就不方便人们读取，从而失去效力。该表的栏目中可以包括风险的描述，概率，影响，探测度，触发器，预防性行动，以及应急计划。也可以适当添加其他栏目，如定量的价值。

注意事项

通常情况下，这些步骤中，触发器和预防性行动易被忽视。然而，它们是整个风险管理过程至关重要的部分。小组完成这项工作后，组员们会更好地明白在操作项目的过程中，哪些是需要注意的。所以他们更积极主动地捕捉变化或问题。如果风险管理过程中跳过这些步骤，组员们只能发现自己处于在不断的反应模式中，仅仅简单地执行应急计划，不断为层出不穷的风险感到吃惊。他们也可能忽略一个看似严重的项目风险清单。这就是为什么把清单压缩到只剩最重要的风险，对于确保清单已被使用过是至关重要的。

一旦完成风险登记，就便于维护。人们可以在定期审查的会议中对其进行检查，只要花15分钟确定清单仍然是现行的。如果有任何风险的增加或价值减少，有任何新的项目风险增加，可决定是否关闭项目风险(但不完全删除)，这将确保清单会被长期视为与整个的项目的生命周期相关和有用。

结论

风险管理过程无需复杂或费时才有效。通过以下一个简单的，经测试证明的办法，每个项目开始时采用上述的七个步骤(或许更少，如果通用的项目风险清单已经创建)，该项目团队可以为一切可能发生的事情作好准备。当然，总是会有变化，也可能有意外。但最终结果是，变化和意外较少，组员们都感觉有备而来，项目没有偏离方向。

系统与工作分析（锁定作业）

危险源识别（找出问题，并列出清单）

风险分析（分析问题的衡量风险大小，严重性X可能性=风险值）

风险评价（分析出的所有危险源的风险后进行排序，先处理最大的风险） 风险控制（采取措施缓解）

还不懂再问我