ICS 03.100.99 CCS A 10 天 12 津 市 地 方 标 准 DB12/T 1094—2021 共享经济灵活就业人员管理与服务机构 业务风险管理基本要求 Basic requirements for business risk management of management and service institute of the Gig Worker in the sharing economy 2021 - 10 - 27 发布 2021 - 12 - 01 实施 天津市市场监督管理委员会  发 布 DB12/T 1094—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由天津市发展和改革委员会提出并归口。 本文件起草单位：云账户（天津）共享经济信息咨询有限公司、云账户技术（天津）有限公司。 本文件主要起草人：杨晖、邹永强、华烨姗、毛嘉兴、樊光羽、周璇、张鑫、章骏斌、徐兆东、李 海楠。 I DB12/T 1094—2021 共享经济灵活就业人员管理与服务机构业务风险管理基本要求 1. 范围 本文件规定了共享经济灵活就业人员管理与服务机构（以下简称“管理与服务机构”）业务风险管 理原则、业务风险管理过程、业务风险管理系统、业务风险管理体系和业务风险管理文化。 本文件适用于管理与服务机构。 2. 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 23694-2013 风险管理 术语 GB/T 24353-2009 风险管理 原则与实施指南 GB/T 26317-2010 公司治理风险管理指南 DB12/T 926-2020 共享经济平台灵活就业人员互联网管理与服务指南 DB12/T 996-2020 共享经济灵活就业人员管理与服务平台基本安全要求 3. 术语和定义 GB/T 23694-2013、GB/T 24353-2009及DB12/T 926-2020界定的以及下列术语和定义适用于本文件。 风险 risk 不确定性对目标的影响。 注1：影响是指偏离预期，可以是正面的和/或负面的。 注2：目标可有不同维度和类型，可应用在不同层面。 注3：通常风险可以用风险源、潜在事件及其后果和可能性来描述。 风险管理 risk management 指导和控制组织与风险（见3.1）相关的协调活动。 共享经济平台 the sharing economy platform 利用互联网现代信息技术，整合海量、分散化资源，通过移动设备、评价系统、支付、基于位置的 服务（LBS）等手段有效地将需求方和供给方进行最优匹配，对数量庞大的需求方和供给方进行撮合， 通过撮合交易达到供需双方收益最大化，具备法人资格的共享经济行业平台型公司。 共享经济灵活就业人员管理与服务 economy management and service for the Gig Worker in the sharing 1 DB12/T 1094—2021 基于互联网现代信息技术，为灵活就业人员提供的身份核验、规则宣传贯彻、业务分包、收入结算、 人工智能报税、保险保障等共享经济服务。 共享经济灵活就业人员管理与服务机构 management and service institute of the Gig Worker in the sharing economy 提供共享经济灵活就业人员管理与服务的平台化组织。 共享经济灵活就业人员管理与服务平台 management and service platform of the Gig Worker in the sharing economy 共享经济灵活就业人员管理与服务机构的网络系统平台。 个人用户 individual user 灵活就业人员在共享经济灵活就业人员管理与服务平台中的个人身份。 企业用户 enterprise user 共享经济平台在共享经济灵活就业人员管理与服务平台中的企业身份。 用户 user 个人用户和企业用户的统称。 4. 业务风险管理原则 管理与服务机构业务风险管理除了应遵守GB/T 26317规定的原则外，还应遵守以下原则： a) 法律合规原则，应遵循与风险管理有关的法律法规与标准规范； b) 全面管控原则，应采用覆盖交易流程全周期的方法开展业务风险管理工作； c) 预防为先原则，应主要采取有效方法预判并避免风险的发生； d) 持续改进原则，应时刻关注风险的动态变化过程，持续做好业务风险管理。 5. 业务风险管理过程 一般要求 管理与服务机构业务风险管理过程应符合GB/T 26317-2010中第5章规定的一般要求，包括风险识别、 风险分析、风险评估、风险应对措施、风险管理改进等要素。 风险识别 5.2.1 识别范围 管理与服务机构应对以下方面进行风险识别： a) 个人用户风险识别； b) 企业用户风险识别； c) 业务内容风险识别。 5.2.2 识别程序 2 DB12/T 1094—2021 风险识别应符合以下识别程序： a) 初次识别，管理与服务机构应建立健全用户信息识别机制，登记并审核验证新用户基本信息； b) 持续识别，管理与服务机构与用户业务关系存续期间，在用户基本信息没有发生重大变化情况 下应对用户风险进行持续识别，及时更新风控档案； c) 重新识别，管理与服务机构与用户业务关系存续期间，当用户重要信息发生变更和交易情况出 现异常时，应对用户进行全面重新识别。 风险分析 5.3.1 个人用户风险 管理与服务机构需对个人用户信息进行审核分析，包括但不限于以下方面： a) 应核实个人用户姓名、身份证号码，或者个人用户生物特征等表明用户身份的要素； b) 应核实银行卡号或第三方支付收款账户是否与用户身份一致； c) 应核实个人用户是否为所服务的企业用户的董监高、员工； d) 宜核实个人用户是否为涉案违法人员； e) 宜考察个人用户是否为军人、公职人员； f) 宜考察个人用户是否具备提供服务所需的专业资质。 5.3.2 企业用户风险 管理与服务机构应对企业用户信息进行审核分析，包括但不限于以下方面： a) 企业资质、经营范围、营业执照有效期、实际控制人等基本信息； b) 税收违法、欠税公告、行政处罚、经营异常等经营风险信息； c) 司法案件、裁判文书、股权冻结、立案信息等法律风险信息； d) 财务预警、监管预警及其他的负面舆情信息。 5.3.3 业务内容风险 管理与服务机构应按照政府监管部门的要求、指引和风险提示，从业务性质、交易金额、时间、频 率等多维度分析并建立异常交易监测指标，用于监测异常交易，包括但不限于以下方面： a) 业务场景与个人用户信息及行为逻辑是否相符：应根据不同业务场景特征，设置相应风控阈值 规则，判断业务场景与人群年龄、性别、收入等信息是否匹配； b) 交易金额与实际生产经营场景是否相符：应通过大数据分析得出每类个人用户人群单位时长的 收入区间及平均收入的实际情况，判断交易单笔金额或总金额是否明显偏离实际情况； c) 交易时间与实际生产经营场景是否相符：应关注个人用户交易的时间，如实际交易时间不在通 常的业务场景时段，存在业务不真实风险； d) 交易频次与实际生产经营场景是否相符：应关注个人用户交易的频次，如实际交易频次不符合 通常的业务场景交易频次，存在业务不真实风险。 风险评估 管理与服务机构应对服务中存在的风险进行评估并划分等级，等级划分宜分为服务管理风险Ⅰ级、 服务管理风险Ⅱ级、服务管理风险Ⅲ级，可参照表1的设定，等级越高表示风险的影响越大。管理与服 务机构应持续根据服务中用户动态对风险等级动态调整。 3 DB12/T 1094—2021 表1 等级 风险影响 风险影响评价 说明 处置措施 包含但不限于以下方面： Ⅰ级 低 影响较小 a) b) 个人用户或企业用户基本信息发生变更； 应进一步核实情况 企业用户业务类型发生变更。 包含但不限于以下方面： a) Ⅱ级 中 影响一般 企业用户出现经营风险信息、法律风险信息及负面舆情 信息等； b) c) 应作进一步核实或拒绝服务 业务场景与个人用户信息及行为逻辑不符； 交易金额、频次、时间与实际生产经营场景不符。 包含但不限于以下方面： Ⅲ级 高 影响较大 a) b) 个人用户被识别为涉案违法人员； 应拒绝服务并上报政府相关 交易过程被识别为疑似涉传、涉黄、涉赌、非法集资等 部门 违法行为。 风险应对措施 5.5.1 管理与服务机构应根据用户风险等级情况，采取密切关注、核实信息、通知整改、限额操作、 关停服务的阶梯处置措施； 5.5.2 管理与服务机构宜建立用户黑名单制度，对风险评级高的用户进行重点监控或不予合作，同时 应采取以下措施减少后续损失并指导今后实践： a) 分析可疑交易数据，总结可疑交易特征，优化监控规则； b) 提高用户对风险管理的认知，增强合规意识； c) 积极向相关政府部门上报，配合相关部门的监督和调查工作。 风险管理改进 管理与服务机构应持续改进业务风险管理过程的适用性、完善性及有效性，识别相关差距或改进空 间后，管理与服务机构应制定改进计划和任务，分配给相关负责人实施，内容包括但不限于以下方面： a) 增加风险识别范围； b) 改进风险分析方法； c) 更新风险评估等级； d) 改进风险应对措施。 6. 业务风险管理系统 一般要求 6.1.1 管理与服务机构应建立业务风险管理系统，具备风控引擎、准入审核、风险分析与评估、风险 数据核查、风险处置、风险数据管理等功能。该系统应监测关键风险指标，记录和存储与风险损失相关 的数据和风险事件信息，支持实施风险防范和控制措施。 6.1.2 管理与服务机构宜实时识别、评估、监测和控制风险。 功能 6.2.1 风控引擎 4 DB12/T 1094—2021 管理与服务机构应具备风控引擎，宜研发具有自主知识产权的风控引擎。风控引擎建设应符合以下 要求： a) 应具备风险识别和评估能力，宜通过设立符合行业现状及管理与服务机构自身业务开展情况的 多种风控规则和（或）机器学习模型完成风险识别和评估； b) 应具备风险监测、报告和应对能力； c) 应在合法授权范围内调用第三方数据，保证引擎运行过程中的可延展性。 6.2.2 准入审核 管理与服务机构应通过业务风险管理系统对用户信息进行审核，应按个人用户风险（见5.3.1）和 DB 12/T 926