以下為萬字演講實錄，關于風險設計與管理的思維引導。

我自己的從業經歷幾乎就是一部安全與風險的血淚史，起初我是一個黑客，一身匯編本領出神入化，但緣分真是妙不可言，我未進銀行之前好多項目幾乎都跟銀行相關，于是幾經兜轉，我還是來到了銀行，自我標榜為金融從業。

在轉型為“金融業務磚家”之后，我仍然擺脫不了風險這個標簽，我經常跟別人說，一入風險誤終身，不管你金融業務多么精通，營銷搞得多么棒，總有人哪壺不開提哪壺得說“這是風險專家”，扔臭雞蛋的心都有。

其實這也不怪他們，我幾乎遍歷過風險的所有崗位，從代碼到架構到產品到市場，但這無法阻擋我對金融業務的偏愛。

今天這個話題是關于風險的，風險，我是有相當的發言權。

關于風險，我覺得不管你是不是從事這個行業的，其實都可以說上一兩句，貌似大家都懂風險，但是呢，如果你對此有過深層次的探究，有過精研，你又會發現大家其實不那么懂風險，所以我覺得風險是一個可深可淺的概念。

從風險的范疇來講呢，它也是可大可小的，從宏觀經濟到金融行業，到某個具體的業務領域，再到制度流程、產品設計、系統架構、代碼編寫、網絡基礎、硬件設備等，各個層面都是有風險的。

但各個層面的從業人員對各個層面的風險認知又是不一樣的，有的可能偏具體一些，有的可能偏抽象一些。

風險是蒼蠅盯上有縫的蛋

關于風險的定義我查閱過一些資料，對風險都沒有一個特別適合大眾的定義。后來我發現有一個說法特別好 —— 風險怎么來的，首先一個事物要有漏洞，要有缺陷，并面臨外部的一些虎視眈眈的威脅，這些威脅作用于這個事物的缺陷，最終引發風險，導致可能的損失。

我覺得這個說法非常的形象，有句話是這么說的“蒼蠅不盯無縫的蛋”，蛋若沒有縫，即使外面有蒼蠅，不會有風險；蛋若有縫，但外面沒有蒼蠅，也不會有風險；偏偏你手中的蛋有縫，外面又有虎視眈眈的蒼蠅，所以就有了風險的產生。

有了風險的定義，可能有人會問，風險的本質是什么？其實我自己特別討厭“本質”這個詞，有時你很難說清一件事情或一個事物它的本質到底是什么。關于風險的本質我們在這個話題的最后再談。

還是舉例來說，比如說國家法律，你遵守法律還是利用法律，這可能是普通人和犯罪分子的區別。又比如軟件的開發規范，你遵守這些規范還是利用這些規范，這可能是一個程序員和一個黑客的區別。

還有業務的制度，你遵守這種制度還是利用這種制度，這可能就是好員工與壞員工的區別，也有可能是正常客戶和惡意客戶的區別。從這個層面來看，風險好像是因為有壞人的存在，真的是這樣嗎？

保持風險意識作祟

我一直對風險意識特別看重，我覺得一個人不管是專精于風險也好，還是從事其他行業也好，一定要在頭腦中有根弦兒——“對風險保持敏感”。我自己有職業病，很多人都會去ATM取錢，但我覺得應該不會有人對ATM的鍵盤熟悉到盲打的程度，但我可以盲打。

為什么呢？因為在ATM機上取款有一個“一米線”的概念，為防止肩窺，就是后面的人越過你的肩膀偷窺你的密碼，就要后面取款的人不要越過一米線。而我經常是把那鍵盤捂得死死的，自己都看不見，那我怎么輸密碼呢，因此我練就了這個盲打的本領，這就是風險意識在作祟。

有的風險意識跟環境，跟土壤有關。假如國內某ATM機多吐錢了，這個錢你敢拿走嗎？當然不敢。幾年前有一個叫許霆的人就碰到過類似的事情，被判了好多年。

這件事若是被放在國外，結果就不是這樣的了，英國的巴克萊銀行在某小鎮上有一臺ATM，出現了多吐鈔，這個小鎮上的人都拖家帶口的排隊來取錢，他們取了錢什么事都沒有，銀行也沒有對此進行追究。

有一個例子是關于快遞的，現在快遞特別發達，不管是什么東西什么地址，都可以送到家門口。但在北京曾發生過一起案件，有一個快遞員發現一個北漂的小明星很有錢，就以送快遞的名義要求其開門，然后把人殺害搶走錢財，此事引起過諸多討論。

我自己怎么收快遞呢，一般快遞上面我不會用自己的真名，比如會用米京東，米天貓之類的，地址如果是寄到公司的，我會寫隔壁公司的地址，這樣對自己及個人信息是一種保護。

除此之外，還有一個好處是，他們這幾家有誰把你的信息賣掉的話，你會立馬知道是哪一家賣掉了你的信息。

再一個風險意識就是不要跟年輕人吵架，我覺得這一點非常重要，很多人會覺得年輕人怎么這么囂張啊，不管是在公交車上還是其他公共場合動不動就會跟人發生口角，年輕人很血氣方剛，容易沖動，所以盡量避免跟年輕人吵架，這也是對風險的一種規避。

還有一個是關于股市的，2015年上半年的時候，我也入市了，但最終沒損多少，在最高點降下來差不多損失5%的時候我就跑了，這就是止損線，我給自己設了一個5%的底線，一旦觸及這個底線，我就跑了。

為了使自己的這個分享顯得高大上一些，我這里想引入一句名言，孔子曰：吾十有五而志于學，三十而立，四十而不惑，五十而知天命，六十而耳順，七十而從心所欲不逾矩。

其實我想引用的是最后一句話——從心所欲，不逾矩。我覺得風險這個概念，不是說你刻意的不去理睬它，或是說你刻意的去糾結于它，我覺得我們應該正確的去看待它，風險就像是一個框架，就像是已經在那里的一個標尺或標桿。

我們對風險的態度應該是，我在你的框架、尺度里面來回順暢的穿梭，我去利用這些東西，而不會去違反這些而給自己帶來一些不好的影響。這是我對風險意識整體的一個傾向。

下面舉兩個例子銀行業的例子。

一個是雷曼倒閉的例子。關于美國的次貸危機，有好多書在論述，其中有一本類似于紀實的書叫《大而不倒》，里面用場景還原的方式記錄了，華爾街的那些銀行家們。

當時的美國財政部長保爾森，當時美聯儲主席伯克南，這些頂尖的精英人士身處次貸危機的漩渦時是怎么處理這件事情的，其言論、行止以及可能的心理動態。

很多人對雷曼的倒閉感到惋惜，但實際上我覺得雷曼沒有太多值得惋惜的地方，因為除了雷曼，還有好多投行都在次級債券上做了很大的投入，但為什么最終雷曼倒閉了呢，我覺得是他孤注一擲導致的。

雷曼作為一家投行，在我國對應著券商，它沒有太多屬于自己的資本金，但是它卻孤注一擲的大量的買入這些次級債券，這就導致他的風險在單一維度過高的積累，雷曼也沒有采取一些有效的應對之策，例如對沖等，例如新的業務增長點燈。

我覺得有句話說的特別好，是在海爾張瑞敏的一次演講中，叫“第二曲線”，意思就是任何企業的發展都是一個曲線的概念，當你走到曲線的高峰的時候，你千萬不要沾沾自喜，這個時候你更應該去想：這條曲線剩下的就是下坡路了，有沒有另外一條曲線可以供我再走上高峰。

其實這樣的概念放到風險上也是一樣的，當我們做某一項業務的時候，這個業務蒸蒸日上，越是蒸蒸日上的時候，越是你有資源有精力去考慮額外的風險緩釋或額外的業務增長的時候。所以這是我對雷曼倒閉的一個基本判斷。

當時雷曼的最后一任執行官叫福爾德，福爾德在當時類似于苦情人物了，被民眾指責，也被國會多次的質詢，盡管如此，他仍沒有一絲一毫的反省。

在雷曼倒閉之后，他一直堅持認為，雷曼之所以倒閉，是大環境下的一個受害者，罪魁禍首應該是美國政府，美國政府為了讓沒有錢的人住上房子，選擇大肆發放次級貸款，最終選擇犧牲雷曼，讓雷曼成了受害者。

再一個例子是巴林銀行。如果我們關注金融史的話會發現，巴林銀行倒閉屬于一個經典的操作風險案例。

巴林銀行當時在新加坡有一個高管叫尼克里森，做期權交易的，他為了掩蓋本部門的一些交易錯誤，沒有上報記錄這些錯誤交易的內部賬戶，奢望把窟窿堵上。

當時他是看多日經指數的，誰知道日本大地震，日經指數狂跌，最終不光他自己虧的褲子都沒了，巴林銀行業虧的資不抵債，最終導致這家二百多年英國皇家銀行的倒閉，據說巴林銀行曾專門幫伊麗莎白女皇及皇室打理資金，聲譽卓著。

巴塞爾委員會在新資本協議中，把操作風險納入其重點審視的范圍。我覺得操作風險是特別應該引起關注的，很多人可能認為僅僅是操作的問題，但再小的風險都有可能引發大危機，尤其是銀行這種跟數字打交道的企業。

任何企圖零風險的行為都是徒勞

下面分享第二部分，關于風險設計的十個理念。

第一個理念，關于風險的地位，我們一定不要將風險擺在第一位，擺在第一位的永遠應該是業務的發展，業務不發展是最大的風險。

我經常會吐槽一些國有企業，也會吐槽某些銀行，對風險過于看重而忽略了業務的發展。舉個例子，現在是經濟的下行期，所有的風險好像如雨后春筍般的都冒出來了，我覺得這個現象不應該這樣理解。

人還是那些人，業務還是那些業務，為什么經濟上行期我們看不到這么多的風險，而經濟下行期反而有這么多的風險呢？我覺得歸根到底是你的業務是向上的業務還是向下的業務。

每個人對風險的關注和對自己信用的關注可能會有一個心態的變化，如果說經濟上行期，自己手頭有錢，可以按時的去還貸或是干嘛，而一般到了經濟下行期了，自己想還錢，也有心無力。

所以可以這樣說，經濟上行期的信貸風險是一個還款態度問題，而經濟下行期的信貸風險，是一個還款能力的問題。我覺得業務發展應該是永遠擺在企業第一位的，只有業務發展了，才有資格去談風險這個事情。

還有一個問題，就是在業務發展過程中，一定要關注客戶的痛點，如果忽視了客戶的痛點，我覺得這就是最大的風險。有些企業，特別是企業的高層，特別想出成績，動不動就提什么創新。

我覺得創新的確是很好，但在某種意義上，有時候與其創新，還不如切切實實得解決客戶的一個個痛點，最終讓客戶滿意，我覺得把這一點踏踏實實的做好其實會更好一些，比創新好。這是我的第一個理念，風險的定位。

第二個理念是，任何企圖零風險的行為都是徒勞。

為什么這么說呢，我們關注到，像微軟的操作系統，從XP到Windows 7到Windows10，這些操作系統你會發現時代在進步，系統更優越，但永遠都會存在漏洞。

在軟件行業有一本特別有名的書叫《人月神話》，它是講復雜軟件系統的構建的，作者是北卡羅萊納大學計算機系的創立者。你從中會發現，系統的構成是由程序員一行一行的代碼寫成的，人來寫這些代碼，有一個基本的規律---每五十行就會有一個漏洞出來。

我們的制度也是這樣，制度永遠都是人制定的，人制定的制度無法窮舉所有的情況，無法涵蓋所有的情況，總會有漏洞存在。我們互聯網金融行業的業務發展也是一樣的，監管永遠跟不上，即使監管跟上了它也會有監管的空白，有人就利用監管的真空，做了監管的套利。

這種你稱之為漏洞也好，不稱之為漏洞也罷，它都就是憑人力無法一下子進行彌補的，由于這種特性——一方面是由于人的不完美，另一方面由于復雜系統的存在，所以風險是永遠無法消除的。

新資本協議中有一個關于操作風險的工具叫做RACA，就是操作風險與控制評估。這個東西比較好，因為它是這樣看待風險的——任何事物都有一個固有的風險，然后針對這個固有的風險，我們可以采取相應的控制措施，采取完控制措施之后風險就沒有了嗎？

當然不是，采取完控制措施之后，還有一部分剩余風險，只需要關注在采取控制措施之后，剩余風險能不能在接受范圍內就可以了，這是一種對待風險的態度。

第三個理念，是風險為本。

在之前，國內的監管，不管是人行也好，銀監會也好，他們出臺的所有關于風險的制度叫“規則監管”，就是監管要求多是通過列舉方式寫明一條條的相關要求，1、2、3、4等等。

現在他們不這么做了，現在叫“風險為本”，即原則監管。人行和銀監會，他們現在出的制度，慢慢將過渡到，只列一個目標，你必須達到這樣一個目標，只重結果不看過程。

這一塊大家可以結合展業三原則，在反洗錢領域也比較適用——了解你的客戶，了解你的業務，盡職審查。監管說明原則、目標，具體怎么去實現就看你自己了。所以這是“風險為本”的理念。

這一理念還有一層引申的意思，去關注那些最突出的風險。因為任何一家企業，也包括銀行，它應對風險的資源是有限的，因為要考慮投入產出，這種情況下需要把有限資源，人力物力財力，去投放到最核心最關鍵的風險點上去。

把最核心最關鍵的風險抓住了，其他的風險不是說去忽視，只是暫時先不用去過多的關注。在初中死記硬背唯物辯證法時，我們就知道，抓主要矛盾。

第四個理念是關于風險偏好和容錯機制的。

風險偏好其實是體現在企業戰略中的，你的戰略是怎樣的幾乎決定了你基本上是一個什么樣的風險偏好。從企業內部治理來講，我們應該把風險偏好寫到企業戰略里面去。

比如銀行，特別四大行，他們的風險偏好幾乎就是穩建。當然有的機構的就絕對不是穩建了，他們會采取比較激進的一些風險措施，所以我覺得風險偏好是一件特別重要的事情，它決定了你在做業務的時候，在應對風險的時候會進行怎樣的權衡。

再就是容錯機制，這個也是跟風險偏好相配套的，你有多大的底氣，采取什么樣的風險偏好，跟你所采取的容錯機制是緊密相關的。

就像現在我們看到很多互聯網金融機構在大踏步的去布局謀篇，然后再去做各種的嘗試，相對于銀行而言，他們是有底氣的，一方面是由于他們這種業務的靈活性，監管約束少，可以奔放起來，另一方面是他們的財務以及資金都比較靈活，可以做相應的支撐。

銀行在這方面還是很缺乏相應的配套措施的，所以現在銀行做業務稍微奔放一點的，也就是先試點，再加大監控，做好應急響應，計提資金，做好應對風險的準備。還有一項是銀行需要向互聯網金融機構學習的——保險。

關于保險，在支付公司發展業務之初，當時某寶剛做起來的時候，它的詐騙案件也是相當多的，后來為什么少了呢，或者說，后來為什么爆出來的少了呢？就是因為兩個方面，一方面是它采取了更多先進的技術監控手段，來加強對客戶身份的鑒別，另一方面就是它引入了保險的機制。

我覺得這種態度特別好——我有100個客戶，其中可能99個客戶都沒有問題，有一個客戶被詐騙了，然后我拿收入將這一個風險補償掉就可以了，這一塊在互聯金融機構是沒有問題的，但在銀行是需要政策突破的，所以銀行在這一塊一直很難有進展。

15年12月底，人行在《關于改進個人銀行賬戶服務 加強賬戶管理的通知》中才明確“鼓勵銀行探索建立風險補償機制，通過計提支付風險基金、購買商業保險等方式，鎖定存款人支付風險，切實保護其合法權益。”

第五個理念是風險的支撐、風險的支點。

怎么理解呢，如果作為一名風險體系的架構師，你要建立一個風險大廈，要從無到有建立整個風險體系，到底該怎樣去搭建呢？我覺得這應該是有步驟的。

第一步，最最關鍵的就是你要找到整個風險體系的支點。有個老頭叫阿基米德，他說——給我一個支點我就能撬起整個地球。我覺得風險也是這樣的，任何一個風險體系要想建立起來，你需要基于某一個點。

比如說你要相信某個東西，你覺得自己家是安全的，那么你必須要相信你家的防盜門的安全的。我們說校車是安全的，那么你得相信這輛校車的質檢是安全的。我們說學校是安全的，那么你得相信校長是安全的。

我們銀行的風險體系，還有支付的風險體系，我覺得都是有支點的。銀行的風險體系的支點是什么——你對所有業務風險的判斷，從客戶的準入到事中的風險控制到事后的風險緩釋等等，例如貸后管理，最核心的支點就是基于銀行柜臺的客戶準入，我覺得這是銀行所有業務的一個支點。

不管怎么樣，我最最信任的是我銀行網點的柜臺的客戶準入，如果這一關我不信任了，那么其他所有的相關配套措施都是沒有意義的，所以我們可以看到，銀行所有的業務它采取的風險措施都是基于一點，首先我先信任柜臺的準入，然后在這個基礎上去附加，去配套。

那么支付的風險體系的支點是什么？支付是怎么蓬勃發展起來的，我覺得有一個時點——快捷支付這個時點。在沒有快捷支付之前，整個支付行業發展是很緩慢的，有了快捷支付之后，我們才看到了，包括支付寶在內，支付行業客戶規模極速增長的行業景象。

這個增長有一個支點——支付公司把支付過程中的認證工作交給了銀行。截止到目前，支付公司風險體系的支點是相信銀行，相信銀行對客戶姓名、身份證號碼、卡號、手機號碼的驗證。

說白了就是，怎么相信客戶？相信銀行相信的客戶。如果銀行提供的客戶一系列信息都不準確，那所謂的支付風險體系也沒必要談了。

現在的支付機構正在逐漸的擺脫對銀行的這種信任依賴，轉而去尋找更多的支點，去尋找更多的客戶身份驗證的來源，不再單單依靠銀行這一個點。

這也是風險發展的一種思路——建設風險大廈的時候，本來可能是尋找一個支點，現在為了規避對這個支點的依賴，去尋找更多的支點。

第六個理念，鐵箍一桶萬年青。

這實際上是由之前的木桶理論演變而來的。隨著移動互聯網的發展，我們的業務逐漸衍生出了很多渠道，并且業務間的相關性也逐漸增多。如果是單個業務單一渠道的話，我們能把一些脈絡梳理的比較清楚，能看到一些業務的短板、缺陷。

一旦多渠道出現多個業務相關聯的時候，產生的問題也就多了。我特別喜歡“流程”的概念，從客戶的準入一直到整個流程走完就是一條線，單一渠道單個業務就是一條線這樣過來了，但一旦是多渠道相交叉，多業務相關聯，這樣就導致客戶從準入到最后走完整個流程，這就不是一條線而是多條交叉線了。

這樣就是多種業務多條通道，這種情況下每個通道的安全邊界你都需要去考慮，我覺得這是需要著眼的一個風險點，因為它必然會出現通道的短板，或者說是渠道的短板，或者說關聯業務的盲區，所以這是我說這個理念的意義所在。

第七個理念，有舍有得，做減法，簡單所以牢固。

我發現簡潔的產品可能在客戶的接受度上更有優勢。之前工商銀行推出了自己精簡版的網上銀行，為什么工行要做這樣一件事呢？

用過工行網銀的人都知道，工行的網銀就像那種商品玲瑯滿目的大超市，你一旦進了工行網銀，你會看到很多很多的菜單，你想找某一個業務太難了，甚至是你進去之后就會有一種反感，所以工行是基于這種客戶體驗的角度去建這樣一個相對精簡的系統。

其實從風險的角度也是這樣考慮的，現在我們銀行也在建一些風險的模型，當你在建這些風險模型的時候會有考慮，引入多少風險因子，然后引出多少風險的結論或者風險的輸出。

你的產品越多，你的業務越多，你的客戶接入點越多，必然會導致你的風險因子越多，這種情況下你所面臨的風險就會越大。所以我秉持的觀點就是，在可能的條件下，盡量使事情更簡潔。

第八個理念，別為小概率事件糾結。

例如飛機發生事故了，那我還要不要坐飛機呢。前段時間出現的疫苗事件，那我還要不要給孩子接種疫苗呢。

還有就是醫療體系，其實整個西醫是一種概率治療，它可能研發一種藥物或是手術方式，但這并不代表能百分之百的進行治愈，它只是代表這種藥物或手術方式在多少臨床案例中是成功的。

我們面對的客戶是各種各樣的，客戶的需求也是各種各樣的，不可能說一套制度一套流程就能滿足所有客戶的需求，必有一小部分是你滿足不了的，這種情況下你就需要考慮這種小概率事件，這也是風險的一個點。

第九個理念，給他一條活路，不然他就跳窗戶。

我在這幾年的從業經歷中發現考核特別重要，不管你的口號喊得多響，最終你的戰略怎么去引導，怎么去落實，還是要體現在考核上的。這種情況下，在設計考核指標的時候，我覺得需要做一個兼容性的或差異化的考量。

舉個例子，對銀行而言，我們在銀行不同的地域所面對的客戶是不一樣的，這種情況下你對一些業務一刀切的話肯定有些地域是完成不了任務指標的，而一旦他完成不了指標，你這個考核標準又在這，那他只能走歪路了。

所以不管是什么單位，對員工的考核都不能一刀切，都必須有一些兼容性在里頭。對客戶其實也是這樣，比如關于客戶準入，關于客戶的一些門檻和條件，有些客戶可能不滿足一些門檻，比如對銀行而言到底該不該給七八十歲的老人開通手機銀行？這就是一個考量的問題。

這里要牽扯出一個敏感話題就是關于資本外流的，我們國家關于資本外流的規定，還是很奇怪的，允許對公的企業不斷得往外走，但不允許個人資金外流。

我覺得這非常的奇怪，你一旦讓對公的企業資金可以往外走，企業的人也得跟著走，人員一旦過去不得安家嗎，不得租房買房嗎，不得投資嗎，這樣一限制相當于正常的道路被斷掉了。那怎么辦，那就只能走地下錢莊了。

第十個理念，不要考驗人性，不要談道德。

比方說在銀行這一塊現金是很重要的，如果你把一捆現金交給張三去保管，而張三攜款潛逃，那么這是誰的責任？不能因為張三之前是“先進個人”而拿這種道德標尺來評判，這個時候必須依靠制度、流程來約束。

在風險設計的時候，不要用人性去考量，更多的考量還是需要基于邏輯的角度去設定。在企業中，誰最應該講道德，我覺得企業的管理層是最應該講道德的，反而員工我覺得沒有必要去做這方面的約束。

最后一個理念，潤物細無聲——關于風險設計最終的呈現效果是什么樣的。

我是秉持這樣一種觀點——風險設計之后，你要讓客戶知道你在但感覺不到障礙。在有風險的情況下，你要讓客戶意識到盡管環境險惡，但你仍在為維護客戶的利益而竭盡全力。

我們經常會吐槽360、百度安裝包之類的，你選擇裝一個安裝包，它會悄無聲息的幫你把所有都裝上，這樣客戶體驗會很不好，雖然號稱是為了你的安全，但這其實是一種流氓行為。

安全這種東西，特別是對注重客戶體驗的行業來說，在安全這一塊實際上應該有一個科學的考量，我覺得體驗是可以考量的，它應該有一些明面的指標，或者說有一些明面的呈現。

如何把握潛在的風險并做相應風險配套

我是銀行從業，我一般談風險就是談內控風險，在學術上，內控和風險是兩個概念，但在談這件事的時候這兩個概念我們是一塊去談的。

談內控一般就要談內控的三道防線，一道防線是業務部門，主要職責叫風險自擔；二道防線是風險部門，主要職責是輸出、服務，即制定風險的政策、戰略，提供一些風險的系統、工具，我一般就把它們稱之為“知識庫”或“工具庫”；三道防線是審計部門，一般對人事有監察部門，對業務有稽核部門。

大概在15年的時候銀監會對商銀行內控管理的制度進行了微調。在此之前，銀行第二道防線風險部門對業務的指導方式，是把一個風險團隊嵌入到業務部門內部，雙線匯報，主要做的事情是配合業務部門做好業務風險的管理。

15年銀監會微調之后，仍然建議業務部門內部去建立這樣的風險團隊，但是它不再雙線匯報了，只匯報給業務部門。大家不要小看這樣一個微調，這其實能反映出一個傾向——大家逐漸意識到風險防范應該向業務部門遷移，逐漸實現業務部門風險自洽。

因為大家越來越意識到獲客是一個非常關鍵的環節，然后在客戶準入這個地方，只有接觸客戶你才能真正知道客戶的風險。作為風險管理部門，其實是后勤部門，拿到手的客戶材料都是二手的，比不上業務部門拿到的是一手的，所以才有這樣一個意識傾向的轉變。

怎么去進行風險識別？其實我自己更傾向于從流程節點上來看這個事情，就是事前事中事后。不管是對專業人士而言還是對小白而言，這種思路會更清晰一些，便于捋出一個脈絡。

原先我在總行的時候，負責產品的準入，但凡是往電子渠道遷移的產品，我這兒需要去做最后的風險把關。我不可能了解所有產品，甚至對有些產品是一知半解的，那我怎么在最短的時間內把這些產品潛在的風險把握住并去做相應的風險配套呢？

我一般按照兩個維度來看這個事情，一個維度是我把它看成一個業務流，從客戶的準入到后面的續作，到對風險的預先準備，就是從一條線上去看這個事情。

還有一個維度相對來說是橫向的，這個主要靠經驗積累了，首先一個業務出來之后我需要先看監管政策，看對監管政策是不是違反的，然后我會看是不是符合一貫的風險偏好，再一個就是看同業做法，看同業有沒有做這類業務，如果做了做到什么程度，最后就是問問有沒有風險的應急響應，萬一出了事，怎么應對。

關于風險識別我這里有四個觀點，與大家分享。

第一個觀點叫雁過留痕。

因為我經常會看一些懸疑故事，之前有看過偵查方面的書，我發現偵查學上有一個物質交換原理——無論什么時候只要兩個客體接觸，在接觸面就會產生物質的轉移。

我們現在聽這個原理感覺很簡單，而實際上，這個發現推動了現代偵查學的出現。雁過留痕可以這樣來理解，雁過“必須”留痕。我們在做一些產品設計和業務設計的時候，我們要把一些場景留下來，如果一旦出了事情我們可以追溯還原，這是要必須留痕的。

還有就是“留痕”，你所有的業務不管是線上的還是線下的，基本上是可以做信息收集的，那么信息收集之后我們就可以進行分析和識別，然后去匹配一些模型和規則。

第二個觀點，把握關鍵環節。

這是從“風險為本”這個觀點衍生過來的。我的資源是有限的，精力也是有限的，我要用有限的資源去把握住最關鍵的風險，這些最關鍵的風險最值得我們去施以資源和精力，這樣會使我們帶來更高的收益。

要找到關鍵節點，這些關鍵節點可能在不同的企業會呈現不同的流程或環節，比如產品、業務、功能的上線，還有客戶、商戶的準入，還有信息、數據、監控，還有事件、追溯、還原，這些都是我看到的所謂關鍵環節。

大家在日常工作中也可以去進行梳理，看哪些是風險的關鍵環節。怎么去判定，有這么幾點，一個是獲客的環節，但凡跟客戶接觸的環節都是關鍵環節，一個是信息和數據被訪問的環節，再就是流程交互的節點。當然這個需要因地制宜，具體問題具體分析的。

第三個觀點，明確邊界，各司其職。

這個問題我覺得不管是大公司還是小企業都是存在的，當然情況各不一樣。小公司由于人員比較少，可能人員角色會相對集中，某些不同角色可能會集中在某一人身上，這樣人與人之間的邊界可能會存在一些模糊的情況。

但是一旦企業大了之后，它會通過一些制度或流程來固化一些東西，這種情況下有一個邊界的問題和一個職責的問題，而邊界和職責如果理不清楚，必然會存在一些盲區，而盲區就會產生風險點。

例如人與人之間的工作邊界，經辦和授權之間的權限邊界，還有本團隊（部門）和外團隊（部門）的職責邊界等等，這些邊界到底怎么去明確呢？

可能有不同的方式，例如通過流程去明確，不同的流程節點可能歸屬于不同的單元，例如通過合同協議去約束，也可以通過考核去約束，等等，總之不要有模糊地帶。

第四個觀點，打通堵塞的道路。

每個人的眼睛，每個團隊的眼睛都是受限制的，你永遠無法觸及他人的世界。

一個人的觀點是怎么形成的呢？一個人的出身、成長背景、人生經歷決定了他對事物會有怎樣的認識和持怎樣的觀點，同樣一件事，不同的人肯定有不同的看法觀點，聽起來也許你和某人的觀點是相同的，但一旦細致的探討進去的話，其實還是會有一些細微的差別的。

我始終覺得存在一些堵塞的道路阻礙我們去識別風險，所以我是倡議企業內部建立這種風險的溝通和共享的機制或平臺的。根據關注的各個風險節點，有一些風險的關鍵人物，把這些人湊到一起暢所欲言，定時去通告或分享，這樣會避免出現一些風險的盲點。

風險的本質就是“百分之多少的人持有風險傾向”

我有一些自己的想法，以漸進的方式說一下我對風險的認識。

第一個，我覺得風險應該是一個信任的問題。

就像人與人之間打交道，人與人之間關系親疏不一樣，交談時的距離也不一樣，兩個陌生人交談，距離起碼是半米開外，朋友之間可能更近一些，閨蜜之間交談可能會執子之手，愛人之間交談可以耳鬢廝磨，所以你會發現關系不同，這種距離是不一樣的。

我認為風險就是研究怎么與客戶打交道，怎么與員工打交道，怎么與合作伙伴打交道，怎么與監管打交道，如何獲取他們的信任，如何信任他們，以及在這個過程中應該秉持什么樣的心態和策略，這是我關于風險本質的一個認知。

第二個，風險的本質是收益與損失的對沖。

這是一個比較常見的觀點，我們的資產（信貸）、保險業務都會有這么一個概念，收益是多少，損失是多少，收益能不能覆蓋損失。

我們在評估投資理財產品的風險時，會看到這些產品的收益和風險會有相關性，活期存款的收益不高，但它的風險也是比較低的，低風險低收益。

當然反過來就是高收益高風險，說白了就是，為了降低風險放棄一部分收益，或者，為了高收益承擔一部分風險。

第三個，收益的當期性與損失的滯后性。

我覺得這應該是金融的一個內生特點。有一種極端的觀點認為，在當前市場經濟環境下，沒有什么是不會違約的。就拿貨幣基金來說，貨幣基金難道就沒有風險嗎？

當然不是，貨幣基金也有風險，它最大的風險就是錯配風險和流動性風險。在美國次貸危機的時候，當時就有一家貨幣基金直接被擠兌后垮掉了。

沒有一個標的是不會違約的，所以這種情況下的金融風險應該是一個概率問題，就像我們說貨幣基金有沒有問題，其實是說貨幣基金出現風險的概率較低。就像銀行的貸款一樣，把一筆錢貸出去了，但這個本金到底能不能收回來呢？

這就是一個非常尷尬的問題，甚至有人會說銀行的貸款是一個比較賠本的買賣，你發出去100筆貸款，每筆50萬，但凡其中有一筆違約了，你50萬的本金就收不回來了，這100筆整體算下來虧了。

而與之相對的就是投資，投資或許正好是一個相反的效果，我可能投了100筆，其中有99筆都損失了，但只有一筆賺回來了，我整體投資就是賺的。

對風險而言，收益是當期可見的，但損失是滯后的。當然，這個例子并非說投資是更好的商業模式，其實投資的風險遠遠高于信貸。

現在我們都在談債轉股和投貸聯動，但是我覺得這兩個東西沒有從根本上解決風險，只是把眼前的風險往后延遲，為了眼前的“好看”，做了一個類似于時空的轉換，就是把債券轉換為股權，只是從時間上把風險延后了，風險仍然存在。

比如我們說一家鋼鐵企業很不靠譜，怎么都不盈利，要想改變它的現狀不是說直接去投多少錢，因為它可能是一個結構性的問題，結構性的問題要靠改革而不是資金來解決，所以你把它所欠的外債轉換成股票，轉成股票企業就能起死回生嗎？還是虧的。

“貸款貸成股東”，我覺得這是一種非常無奈的事情，看一件事情你需要看最終的受益者是誰，債轉股最終誰受益呢，我覺得是地方政府最受益的，所以我們看一看到底是誰在倡導與推動就可以了。

第四個，風險在人性層面。

股市大起大落，這需要探討一個問題，股票的價值到底是一個什么樣的價值，股票的價值是反映公司的經營現狀嗎？我覺得不是。股票的價值反映的是在未來的一個價值，反映的是大眾對某個公司未來現金流的一個預期，這是我們對股票應該有的認知。

這種情況下股票的漲跌靠的是什么呢，它靠的是大眾對股票的一種心理預期，而大眾的心理預期被什么影響和左右呢？貪婪和恐懼會放大你對風險傾向的選擇。

比如我們看到一只股票跌了，可能它跌一兩次也就止住了，但實際上大眾的盲目性、瘋狂的拋售會導致這只股不停的跌下去。

就像2015年上半年的股市，下跌一旦開始，會引發大面積的恐慌，任何東西都無法阻擋繼續下跌的趨勢了。所以我覺得風險的本質應該是對人性的一個放大，對人的貪婪的放大，對人的恐懼的放大。

這個地方還有一個引申的話題，杠桿是不是惡的？在美國次貸危機的時候，美聯儲和財政部就討論過這個問題，認為美國的次貸的確是一個高杠桿的事情。那么杠桿到底是不是惡的呢？

杠桿本身這個事情肯定不是惡的，比如說我們現在的房貸，就是杠桿撬動，它肯定不是惡的，因為它滿足了部分人的購房需求，甚至還給部分人群帶來了福利。所以杠桿就像雙刃劍，具體看你怎么去利用這個東西。

第五個，你認為有風險，它就有風險。

我們看穆迪還有標普這些評估機構，它們是怎么去評那些風險等級的呢？我們需要思考這個問題。我們都知道，既然是次貸，它相對于優質貸款肯定是高風險的。

而在美國次貸危機的時候，華爾街的那些頂級的金融精英們非常聰明，他們做了一件非常有花樣的事情，把這些次貸再細分一下，其中的“相對優質部分”他們去找評估機構評，并且被評為AAA級。這些外部的評估機構明知道是一些“次貸”，為什么還會把它評為AAA級呢？

還有一個問題，為什么黃金是越漲越買呢？而房子也是越漲越買呢，特別是今年年初北京，上海，深圳房價一路飆漲的情況下。當房價不怎么起伏的時候，大家一般就是靜待，而一旦價格上漲，一批人就會去跟風。

這個事情能反映一個本質，哪怕是國際上的這種風險的定價和量化，也不會說有絕對的權威性。放到國內我們會發現，國內幾乎是缺乏對風險的定價和量化的，這就是為什么我們在聽說某個信托打破剛兌了我們會特別驚訝，某個理財沒有如期的兌付我們會特別驚訝，某個項目方還不起貸款了我們會特別驚訝。

其實這沒什么可驚訝的，要為自己的投資負責，一份投入一份風險，投資時要對風險有所認知。默認為所有的投資都是賺錢的，一旦投資不賺錢了，就拉橫幅鬧事，這種情況在國內是普遍的，而這就是因為缺少對風險的定價和量化。

既然這方面缺少了，那投資的差價是怎么產生的呢？一種可能是信息不對稱的原因，另一個則是因為在缺少風險定價和量化的前提下，人們的“共識”代替了風險定價，造成風險的本質就是“百分之多少的人持有風險傾向”。

還有，同一款產品，不同人對其風險判斷是不一樣的，你覺得5%的損失是高風險，而我可能覺得1%的損失就是高風險了。小明和隔壁老王，對這件事情的看法是不一樣的。

將風險控制在可接受的范圍之內

最后說一下風險處置。

風險分為市場風險、操作風險、法律風險、信用風險、流動性風險等等，對于這些風險，應對措施其實是套路化的，比方說對風險進行隔離，進行緩釋、置換等。針對不同的風險，有單一的措施，也有組合的措施。風險處置最終的目的不是去消除風險，而是將風險控制在可接受的范圍之內。

以上吧。現在，我更喜歡研究金融業務，而非風險，但每一個業務與風險卻互相糾纏，不懂風險就不懂業務，不懂業務就不懂風險，希望每一個銀行從業都對風險都保持一份敏感，戴著鐐銬起舞，也風度翩翩。謝謝。