金融机构风险管理内部组织核心机构

A. 金融机构风险管理体系有哪些基本要素

金融机构风险管理体系有三个基本要素，分别是以下3点：

1、董事会对总体风险管理理念和基本风险管战略的确定

总体上说，董事会对金融机构承受的风险承担最终责任和义务，因此应负起监控职能。公司整体的风险管理及控制政策应由董事会审批，为保证战略和政策得到遵守并保持适应性，决策机构应通过独立的风险管理部门和独立的内部审计部门进行实施和评估。

2、确定风险管理的基本程序

董事会制定风险管理及控制战略的第一步是，根据预定的风险管理原则，并根据风险对资本比例情况，对公司业务活动及其带来的风险进行分析。在上述分析的基础上，要规定每一种主要业务或产品的风险数量限额，批准业务的具体范围，并应有充足的资本加以支持。此后，应对业务和风险不断进行常规检查，并根据业务和市场的变化对战略进行定期重新评估，并将结论应直接报告决策层。转贴于
看准网 http://www.kanzhun.com

在识别风险和确定了抵御风险的总体战略后，公司就可以制定用于日常和长期业务操作的详细而具体的指引。为此，风险管理的政策和程序中应包括，风险管理及控制过程中的权力及遵守风险政策的责任，有效的内部会计控制，内部和外部审计等。如果公司较大较复杂，则需要建立集中、自主的风险管理部门。就风险管理和控制部门而言，最重要的是配备适当的专业人员、并独立于产生风险的部门。

因为控制结构的有效性取决于运用它的人，因此，有效控制的前提是机构内所有员工都具有高度的责任。在确定风险管理及控制过程的权力和责任时，一个重要的因素应是将风险的衡量、监督和控制与产生风险的交易部门分开。高级管理层应保证职责适当分开，员工的责任不应互相冲突。

3、信用风险的管理策略

信用风险管理是金融机构整体风险管理构架中不可分割的组成部分，它由风险管理委员会下设的信用风险管理部门全面负责。信用风险管理部门直接向全球风险经理负责，全球风险经理再依次向执行总裁报告。信用风险管理部门通过专业化的评估、限额审批、监督等在全球范围内实施信贷调节和管理。在考察信用风险时，信用风险管理部门要对风险和收益间的关系进行平衡，对实际和潜在的信贷暴露进行预测。

B. 如何推进金融机构全面风险管理机制建设

安全生产的经验教训告诉我们，预防事故，实现安全生产，必须建立安全生产管理的长效机制，这是防患于未然，保障员工生命安全及身体健康，保障企业长治久安，稳定发展的根本措施，是公司发展的生命线。电网企业安全生产过程中还存在不少安全问题。风险意识、责任意识和安全基础工作还需要强化，管理还比较粗放，系统性管理不够、标准不高、要求不严、管理不到位的问题仍然存在，安全生产形势时有反复。解决好这些问题，是把企业做强做优、实现公司中长期发展战略的重要基础。
一、影响安全生产的因素影响安全生产的较多因素，都是酿成事故的直接原因，个人认为主要包括人的不安全行为和物的不安全状态。具体反映为：一是生产条件的客观因素，包括电网结构、设备水平、仪器仪表、个人防护用品、生产环境、缺陷或隐患的隐蔽性等;二是管理因素，包括安全生产的标准、规程、流程、制度等;三是工作环境的影响，包括气候条件、外部环境、工作现场照明、有毒有害物等;四是员工素质，包括员工技能、安全意识、员工情绪与性格等。这些因素在特定的时间和空间内相遇，就会导致事故的发生。
二、安全生产风险管理体系的建立。南网公司自成立以来，一直致力于安全生产管理的探索与研究，在继承和传承原来好的安全生产管理的基础上，积极引进和探索当代先进的安全管理模式。2007年在系统内推行安全生产风险管理体系，通过在系统内进行试行，取得了一些经验，目前已在公司系统推广应用。安全生产风险管理体系从管理理念、管理内容、管理方法等方面规范安全生产管理，提高管理软实力, 既有现实意义,又有战略意义。体系从风险控制出发，提出了一套安全生产管理模式和方法，解决安全生产“管什么、怎么管，做什么、怎么做”的问题，它从管理理念、内容和方法上确保安全生产风险可控在控。风险管理体系是安全生产风险管理控制的方法，通过对生产过程中的危害进行辨识、再进行风险评估，制定并优化组合各种风险管控措施，对风险实施有效的控制，降低或消除风险可能造成的后果。风险管理的重要性表现在事前控制和过程管理，风险管理的实质是以最经济合理的方式消除或降低风险导致的各种灾害后果，它包括危害辨识、风险评估、风险控制等一套系统而科学的管理方法。风险管理是构成管理过程的必要组成部分，涉及多方面的因素，其整个过程按照S E C P (系统建立的充分性、系统执行的完整性、执行与系统的一致性、执行的效果)四个环节进行，体系运行循环PDCA管理模式，安全生产风险管理体系运行的主线是风险控制过程，而基础是危害辨识、风险评估和风险控制的策划。安全生产风险管理体系的基本思路是：基于风险、以人为本、规范行为，注重安全生产过程分析，强化安全风险评估，实施安全风险动态管理，坚持纠正与预防。安全生产风险管理体系由9个单元、51个要素、159个管理节点和480条管理子标准组成。

C. 金融方面的证书有哪些热门证书丨FRM好还是CFA

FRM金融风险管理师
报考条件：没有学历与行业上的限制，大学在校学生亦可报考；
取得资格所需时间（平均）：1-2年；
国际认可程度：高，国际风险管理业界权威资质证书，日益受到金融机构的重视，全球报考人数迅速增长；国内认可程度：持有FRM证书的人才日益得到各大金融机构的认可；薪酬水平：FRM会员，全国平均年薪23万元人民币；职业发展：主要涉及的岗位有金融机构风险管理部、金融单位稽核部门、资产管理部门、基金经理人、金融交易员（经纪人）、投资银行业者、商业银行、风险科技业者、风险顾问业者、企业财会与稽核部门，以及各企业的CFO、MIS、CIO等。
CFA特许金融分析师
报考条件：大四学生及以上；
取得资格所需时间（平均）：3-4年；
国际认可程度：高，全球投资领域通行证；
国内认可程度：高，是高端金融领域“”认证，目前中国大陆几万名考生，3000多名持证人，目前考生始终保持快速增长；薪酬水平：对投资行业薪酬状况的调查表明，雇主愿意提供高额奖金给拥有CFA特许资格认证的投资专业人士。在拥有10年或以上工作经验的人中，拥有CFA认证的人比没有获得该认证的人收入多24%（中位数在248万美元到20万美元之间）。如果不考虑工作经验，薪酬状况的差距更大，拥有CFA认证的人比没有该认证的人收入多54%（在18万美元到11.685万美元之间）；职业发展：金融、证券、投资。
至于两者的难度，因为考生个人水平各有千秋，侧重的方向也不同，所以很难界定二者之间究竟谁更难些。不过一些网友针对FRM和CFA二级之间谁更难，给出了一些自己的分析。

D. 现代金融风险管理包含的基本知识点有哪些

（1）现代金融风险管理的基本概念和原理；（2）市场风险与资产负债管理的关系；（3）信用风险与资产负债管理的关系；（4）承保风险与资产负债管理的关系。

E. 金融风险管理的介绍

金融风险管理就是营利性组织和非营利性组织衡量和控制风险及回报之间的得失。金融风险管理这个词汇是金融语言的核心。随着金融一体化和经济全球化的发展，金融风险日趋复杂化和多样化，金融风险管理的重要性愈加突出。金融风险管理包括对金融风险的识别、度量和控制。由于金融风险对经济、金融乃至国家安全的消极影响，在国际上，许多大型企业、金融机构和组织、各国政府及金融监管部门都在积极寻求金融风险管理的技术和方法，以对金融风险进行有效识别、精确度量和严格控制。

F. 都说金融的本质是风控，那么金融机构的风险控制是如何实现的

有效管理战略风险要求金融机构更好地整合负责战略的利益相关者与风险管理；设立允许独立监管与策略质询的流程；运用前瞻性的风险管理办法培训风险领导人；以及实施方法体系以理解外部环境变化与不确定性如何影响关键业务属性。
金融机构需要进行灵活规划，包括分析假设情景，即考虑战略风险事件对收益及资本的潜在影响，以及如何应对。及时按照假设情景结果进行回应，需要足够灵活的风险基础架构能力。金融结构也应考虑确立特定战略风险（如地缘政治风险、经济风险与金融科技风险）的“负责人”，负责追踪并管理此类风险。
金融机构风险管理：灵活应对，优先处理首要问题

G. 风险管理与金融机构怎么样

这本教材甚称经典，虽然全英文的内容开始看着有点吃力，慢慢就能够加快速度了。内对于容企业风险方面的分析都非常到位，案例也不错。在同类书籍中算是非常棒的。至少写书的人不忽悠。 如果英文水平不好的朋友可以选择中文版的来看，会好理解多了。Let‘s be a CRO.

H. 如何构建金融业合规管理架构

合规管理组织架构是金融机构实施合规管理的载体。构建高效运作的合规管理组织架构，既是金融机构有效管理合规风险的前提，也是其实现全面风险管理的基础。
根据近几年合规管理的监管要求，银行、证券公司、保险公司等金融机构均基本建立起合规管理的组织架构，并设立了独立的合规部门或法律合规部门，设置了专职或兼职的合规管理职位，但不少金融机构的合规管理组织架构仍处于初级阶段。因此，金融同业仍需继续对合规管理机制建设加以重视，通过不断的完善甚至修正来发挥合规管理工作应有的作用。
合规管理组织架构设置模式：
一、单一化的组织模式，即在金融机构的总部层面组建单一、完全独立的合规管理部门，在分支机构、各业务条线上设置合规管理部门或者合规管理岗位；
二、复合型的组织模式，如设立法律合规部，既承担日常法律事务的处理又承担合规风险的管理职责。既然金融机构合规管理模式具有较强的灵活性，那么，如何设置适合本机构特点的合规部门应成为金融同业考虑的问题。例如，对于规模较大、业务条线较多或者是新设立的商业银行，有必要也有可能设立专门的合规机构；规模较小、业务单一的行业银行设立专门机构的成本高，必要性不强，则可以采用复合型的方式。但无论单一或复合的模式，合规管理的职责均应落实到某一特定部门，不可太过分散，形成由多个部门履行合规职责的状态。

无论采取何种模式，金融机构的合规管理组织架构的设立应注意把握三项基本原则：其一，能够保障合规部门有效地管理合规风险，合规负责人顺利履行合规职责；
其二，合规职能的独立性是必要前提，合规部门必须独立于业务部门、财务部门和内部审计部门；
其三，明确合规部门与其他内部控制部门之间的职责分工，建立各内部控制部门协调互动的工作机制。
根据上述原则，如果金融机构采用复合型的模式，应注意复合职能部门的选择，其承担的其他职责均不得与合规管理职责相冲突，降低因利益冲突而令合规管理形同虚设的风险。
例如，因为合规管理职能应与内部稽核、审计职能分离，且合规管理职能的履行情况也应受到内部审计部门定期的独立评价，因此金融机构不应实行“合规与稽核审计部”的复合模式；合规管理部门与风险管理部门在合规管理方面应建立协作机制，合规部门更侧重事前的、全面的合规风险管理，而风险控制部门主要职责则是在业务过程中进行事中的风险管理，合规管理部门与风险管理部门应为既相互独立又有效协作的关系，金融同业也不适合建立“合规与风险控制部”复合模式。

不同类型金融机构，普遍遵循合规管理的最终责任由董事会承担，在合规部门直接接受合规负责人领导、各业务条线和分支机构设置合规部门和合规岗位等惯例，但在专职合规负责人的地位、合规负责人对董事会负责还是对经营管理层负责等细节方面，则不尽相同。
1.商业银行模式：董事会—经营管理层—合规总监—合规管理部门—各部门、各业务条线负责人。其中，合规总监不一定是高级管理人员，由总经理任命，对经营管理层负责。在这种模式之下，合规总监能够及时地了解、掌握公司经营管理情况和业务信息，有利于合规管理职能的履行，由于合规总监对经营管理层直接负责，在某种程度上容易受到经营管理层的干预或者影响，具有一定的履职压力，可能影响其保持独立性。
2.证券公司模式：董事会——合规总监——合规管理部门。合规总监直接对董事会负责，由董事会聘任，属于高级管理人员，合规部门对合规总监负责。此模式以合规总监为核心，合规管理体系与经营管理体系相对独立，合规总监与董事会、监事会共同构成层级分明的合规监督体系。
3.保险公司模式：合规总监由总经理向董事会提名，董事会聘任，合规总监同时对董事会和总经理负责。此模式可以减少内部管理层级并避免不必要的摩擦，但在董事会成员与经营管理层高度重合的企业环境中，合规总监对董事会或总经理负责与前两种模式没有实质的区别。

合规管理是金融机构内部的一项核心风险管理活动，根据规定，由董事会、监事会、独立董事、合规总监、合规管理部门、合规人员、各部门、各业务条线负责人等，共同构成一个完整的、全面的合规管理组织体系。不过，要完全发挥全面合规管理的效果，不仅要做到全员参与，更要注重合理的职责分工。只有上述合规管理组织体系中的各个相关方面职能定位明确、职责清晰、积极协作，才能更好地实现金融机构的合规风险管理任务。

I. 金融机构怎么做好风险管理内部评级

中科聚信通过数据整合、分析和治理，帮助银行开发评分模型，建立风险参数资产池划分体系，并可以指导量化结果在日常业务中的实际应用。

J. 如何构建商业银行风险管理的组织体系

背景
为加强商业银行的信息科技风险管理，提升信息科技风险管理能力，09年3月份银监会正式发布了《商业银行信息科技风险管理指引》（以下简称《指引》），这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后，银监会发布的又一重要风险管理指引。 该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。
信息科技风险管理需求分析
合规性需求：
近年来，国家各部门不断推出了各种监管要求，对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有：
2002年，美国国会发布了SOX《萨班斯—奥克斯利法案》；
2004年9月30日，中国银监会发布了《商业银行内部控制评价办法》；
2006年，银监会发布《电子银行安全评估指引》 、《银行业金融机构信息系统风险管理指引》和《银行业金融机构内部审计指引》；
2006年6月，国务院国资委出台了《中央企业全面风险管理指引》；
2007年，公安部明确了《信息系统等级保护基本要求与实施指南》；
2009年3月，银监会发布《商业银行信息科技风险管理指引》；
各商业银行如何满足日益严格的各类IT监管要求，成为银行风险管理部门、合规部门、信息科技部门以及审计部门面临的挑战。

IT风险管理需求
银行业随着信息化工作的不断深入，信息系统的开发、维护与运行均面临较大的挑战，如何保障业务的持续运营，如何支撑银行各项业务的风险管理，如何保障客户与自身信息的安全，成为各商业银行信息科技部门与风险管理部门的重要任务，因此信息科技风险的管理就显得迫在眉睫。商业银行针对信息科技风险需要审视：
• 是否对所有潜在的重大IT风险都进行了识别、评估和管理？
• 面对数量众多的IT风险，应如何对其进行管理？
• 如何在全行范围内推行全面IT风险管理？
• 如何将IT风险管理体制与企业日常IT管理和运营相融合？
• IT风险管理的角色、责任和义务是否合理或明确？
• 如何增强风险意识，培育风险管理文化？
组建并管理IT风险管理团队
IT风险管理组织结构建立在IT治理目标组织架构的基础上，遵循IT治理的工作成果，从IT风险管理的主要工作与活动开始，逐步识别并定义IT风险管理的角色，并根据角色模型设计组织架构，确保IT风险管理的各项工作能够得到落实。IT风险管理生命周期以及生命周期各阶段的工作如下图所示：

IT风险生命周期管理

从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计IT风险管理的职能与组织架构。从IT风险管理生命周期中各个阶段主要工作中识别出IT风险管理所需要的角色，结合IT治理规划成果，并参考国际最佳实践，设计银行业IT风险管理的职能与组织架构。

对于IT风险管理的角色的定位如下图所示。

设计IT风险管理框架体系
IT风险管理框架体系主要包括如下五个体系框架
 IT风险管理策略体系：建立企业IT风险管理策略，明确管理层对信息科技风险管理的期望与承诺，描述对企业信息科技风险进行有效管理的方法，规定人员操作的流程与规范，制定系统配置规格、使用策略等。
 IT风险管理组织体系：建立完成组织信息科技风险管理目标的组织机构，包括跨部门的信息科技风险管理委员会、工作小组、第三方安全服务组织等。
 IT风险管理运行保障体系：建立日常科技风险运行与维护机制，包括运行监控、问题处理、变更管理等。重点是建立生产运行中安全的问题处理机制，形成完善的运行保障机制，及时、准确、快速地处理运行中的问题，强调执行过程的安全。
 IT风险管理技术保障体系：应用先进成熟的技术手段与产品，降低安全风险，包括产品的购置与配置加固、防病毒、加强安全域和网络访问控制，统一监控管理平台、统一身份认证与授权管理平台等。
 应急恢复保障体系：业务连续性计划及灾难恢复规划的实施，包括建立数据灾难备份中心，各个业务系统及IT 系统的应急方案，其目标是控制事态发展，保障生命财产安全，恢复正常生产运行状态。
 IT风险审计体系：审核工作是审计机构对组织的信息安全控制措施是否完备所做的鉴证过程。利用审核机制进行独立的体系审核是一种强有力的监督机制。可以由组织的内部稽核部门阶段性地组建立审核组，培训审核员，有效地管理在组织中开展的信息安全审核工作，也可外聘的第三方审计机构对组织进行外部审核。
建设IT风险管理制度与流程
 信息系统的开发和实施
信息系统的采购和开发
信息系统的采购和开发涉及系统的设计、采购/建造和布置，以支持业务目标的实现。制度与流程建设需要建立一套考虑到银行在安全、可用性和处理完整性等方面的要求的生命周期系统开发方法。
采购新的技术基础设施
采购和维护技术基础设施的流程涉及支持应用和通信的系统的设计、采购/建造和布置。基础设施组件，包括服务器、网络和数据库，对于信息处理的安全和可靠是至关重要的。在制度与流程建设中，需要制定并遵守相应的流程，确保基础设施系统，包括网络设备和软件，是根据它们要支持的财务应用程序的需要采购的。
应用系统和技术基础设施的安装和测试
系统安装测试和确认涉及新系统向生产环境的移植，它确保系统可以按照设计意图运行。没有合适的测试，系统将不能按照预想的方式运行，可能提供无效的信息，这将导致信息和报告的不可靠。在制度与流程建设中，需要制定应用软件和技术基础设施相关技术上的测试策略。
 信息系统的变更和维护
开发和维护政策及流程
开发和维护政策及流程涉及软件开发生命周期方法论、采购流程、应用的开发和维护以及相应的文档。这一领域相关的政策和操作程序使得企业能够持续地、有目标地进行商业运作。在制度与流程建设中，需要制定软件开发生命周期方法论和相应的流程、政策。
变更管理
变更管理表明了企业是如何通过调整系统功能来帮助业务活动满足财务报告目标的。在在制度与流程建设中，需要制定应用变动、系统维护的变更管理程序。
系统配置管理
系统配置管理保证安全、可获得的控制在系统中建立起来，并且在其生命周期内得到保持。在这方面的能力不足会导致系统安全和可靠性蒙受风险，并将允许对于系统和数据的非法访问。在制度与流程建设中，需要对系统基础设施，包括防火墙、服务器和其它有关设备，以及对应用软件和数据存储系统等配置管理程序，并建立配置基准。
 系统的操作和运行
操作管理
操作管理的好坏体现了一个组织通过保持可靠的应用系统来记录、处理和报告财务信息的水平。在这方面的能力缺乏将严重影响企业的财务报告。在制度与流程建设中，需要制定IT操作的标准程序，包括账户管理、批处理管理、系统操作管理、数据操作管理等。
服务水平的确定和管理
服务水平的确定和管理决定了企业如何满足其客户对其产品功能和业务操作的期望，进而满足其客户的业务目标。在这方面的能力缺乏将严重影响企业的财务报告和信息披露。在在制度与流程建设中，需要定义和管理服务水平来支持财务报告系统的要求。并定义一种框架，建立关键绩效指标，从内部和外部来管理服务水平协议。
外包服务管理
外包服务管理包括使用外包服务来支持财务应用和相关系统。在制度与流程建设中，需要定义第三方服务管理的程序。
 系统与信息安全管理
信息安全管理策略
系统安全方面的管理包括通过物理和逻辑上的控制来防止非法访问。在制度与流程建设中，需要参照ISO27001和国家信息安全等级保护标准，制定完整的系统安全策略体系。信息安全管理机制包括信息安全标准、策略、实施计划和持续维护计划。
信息安全策略涉及以下领域：
（一）安全制度管理。
（二）信息安全组织管理。
（三）资产管理。
（四）人员安全管理。
（五）物理与环境安全管理。
（六）通信与运营管理。
（七）访问控制管理。
（八）系统开发与维护管理。
（九）信息安全事故管理。
（十）业务连续性管理。
（十一）合规性管理。
问题和事故管理
问题和事故管理表明一个企业是如何对异常事件进行鉴别、记录和反应的。在制度与流程建设中，需要制定和执行问题管理系统，来确保所有标准操作之外的操作事件（如事故、问题和错误）都能得到及时的记录、分析和解决。制定安全事故响应流程，以支持对于非法活动的及时反应和调查。
数据管理
数据管理涉及用于管理信息完整性、准确性、授权和有效性的控制和程序，对信息的记录、处理和报告起支持作用。在制度与流程建设中，需要制定相应的政策和流程用于数据的处理、分发、保留和报告的输出。

IT风险管理软件平台方案
IT风险管理已经成为银行风险管理的重要组成部分，急需建立信息化平台支撑IT风险管理的日常工作。风险评估、风险控制、风险监控、监督与审计、风险沟通等工作均涉及大量的日常工作，需要建立相关的系统平台来满足银行IT风险管理相关部门的需求，谷安公司经过多年的行业经验积累，推出了国内首家IT风险管理平台系统。

IT风险管控系列软件目前包括如下主要模块：
风险评估管理-GooRisk
GooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库，包括评估范围定义，安全现状调查，资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能，帮助客户快速自动化的评估自身的资产风险与流程风险。
风险控制管理-GooISMS
GooISMS风险管理体系建设软件提供了IT风险管理体系规划与管理体系建设的方法论和行业模板库，包括体系规划，体系设计，体系实施，体系保障等主要功能，帮助客户快速建立安全管理体系，通过内部审计、管理评审等管理过程，保障体系的有效运行。
风险运营管理-GooProcess
GooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程，通过自动化工作流引擎，可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程，将安全管理流程真正落地。
风险审计管理-GooAudit
GooAudit安全风险审计管理软件提供了信息安全风险审计检查工具与审计管理流程，包括了各种业务、系统、设备的安全检查列表，符合性测试、实质性测试工具，定期审计管理流程，以及审计底稿、审计报告的管理。
风险知识管理-GooAwareness
GooAwareness安全风险知识管理软件为企业提供了信息安全相关知识的管理与共享平台，包括安全通告、内部知识库、外部资料库、标准与法规、案例警示、常用模板、知识地图、个人知识库等基本功能，方便安全知识的获取与管理，全面提高员工信息安全意识。

软件特色与优势：
完整的行业知识库：提供完整的银行业知识库支持，并且对知识库进行持续更新；知识库包括行业业务流程、业务系统、信息资产、威胁类型、漏洞类别、风险指标、安全策略、管理流程、行业法规等。
遵从各类监管要求：紧密结合企业信息安全与内部控制要求，遵从信息科技风险管理指引、ISO27001、等级保护、COBIT等标准，引导公司信息安全与IT控制工作，协助信息安全与IT风险管理体系建立，并管理文档记录、测评、评估、改进、测试等阶段的工作；全面符合国际标准ISO27001、国家标准GB20984《信息安全风险评估规范》，以及公安部等级保护测评要求
统一控制框架： 采取Unified Control Framework设计，可将超过2,000个“既定的”控制目标与等级保护、ISO27000:2005、COBIT、 COSO、ITIL、NIST、SOX、BASELII和PCI等几十个标准和法律法规相挂钩，并可通过全面的可配置性和可扩展性应用到知识库中；
操作简单安全：基于B/S架构，通过浏览器的轻松灵活的使用、导航界面，能够根据组织要求调节界面外观，基于角色授权指派相关人士负责控制工作，轻松添加各种控制与遵从标准版本，支持本机Excel电子数据表输入。