以下為萬字演講實錄,關于風險設計與管理的思維引導。
我自己的從業經曆幾乎就是一部安全與風險的血淚史,起初我是一個黑客,一身彙編本領出神入化,但緣分真是妙不可言,我未進銀行之前好多項目幾乎都跟銀行相關,于是幾經兜轉,我還是來到了銀行,自我标榜為金融從業。
在轉型為“金融業務磚家”之後,我仍然擺脫不了風險這個标簽,我經常跟别人說,一入風險誤終身,不管你金融業務多麼精通,營銷搞得多麼棒,總有人哪壺不開提哪壺得說“這是風險專家”,扔臭雞蛋的心都有。
其實這也不怪他們,我幾乎周遊過風險的所有崗位,從代碼到架構到産品到市場,但這無法阻擋我對金融業務的偏愛。
今天這個話題是關于風險的,風險,我是有相當的發言權。
關于風險,我覺得不管你是不是從事這個行業的,其實都可以說上一兩句,貌似大家都懂風險,但是呢,如果你對此有過深層次的探究,有過精研,你又會發現大家其實不那麼懂風險,是以我覺得風險是一個可深可淺的概念。
從風險的範疇來講呢,它也是可大可小的,從宏觀經濟到金融行業,到某個具體的業務領域,再到制度流程、産品設計、系統架構、代碼編寫、網絡基礎、硬體裝置等,各個層面都是有風險的。
但各個層面的從業人員對各個層面的風險認知又是不一樣的,有的可能偏具體一些,有的可能偏抽象一些。
風險是蒼蠅盯上有縫的蛋
關于風險的定義我查閱過一些資料,對風險都沒有一個特别适合大衆的定義。後來我發現有一個說法特别好 —— 風險怎麼來的,首先一個事物要有漏洞,要有缺陷,并面臨外部的一些虎視眈眈的威脅,這些威脅作用于這個事物的缺陷,最終引發風險,導緻可能的損失。
我覺得這個說法非常的形象,有句話是這麼說的“蒼蠅不盯無縫的蛋”,蛋若沒有縫,即使外面有蒼蠅,不會有風險;蛋若有縫,但外面沒有蒼蠅,也不會有風險;偏偏你手中的蛋有縫,外面又有虎視眈眈的蒼蠅,是以就有了風險的産生。
有了風險的定義,可能有人會問,風險的本質是什麼?其實我自己特别讨厭“本質”這個詞,有時你很難說清一件事情或一個事物它的本質到底是什麼。關于風險的本質我們在這個話題的最後再談。
還是舉例來說,比如說國家法律,你遵守法律還是利用法律,這可能是普通人和犯罪分子的差別。又比如軟體的開發規範,你遵守這些規範還是利用這些規範,這可能是一個程式員和一個黑客的差別。
還有業務的制度,你遵守這種制度還是利用這種制度,這可能就是好員工與壞員工的差別,也有可能是正常客戶和惡意客戶的差別。從這個層面來看,風險好像是因為有壞人的存在,真的是這樣嗎?
保持風險意識作祟
我一直對風險意識特别看重,我覺得一個人不管是專精于風險也好,還是從事其他行業也好,一定要在頭腦中有根弦兒——“對風險保持敏感”。我自己有職業病,很多人都會去ATM取錢,但我覺得應該不會有人對ATM的鍵盤熟悉到盲打的程度,但我可以盲打。
為什麼呢?因為在ATM機上取款有一個“一米線”的概念,為防止肩窺,就是後面的人越過你的肩膀偷窺你的密碼,就要後面取款的人不要越過一米線。而我經常是把那鍵盤捂得死死的,自己都看不見,那我怎麼輸密碼呢,是以我練就了這個盲打的本領,這就是風險意識在作祟。
有的風險意識跟環境,跟土壤有關。假如國内某ATM機多吐錢了,這個錢你敢拿走嗎?當然不敢。幾年前有一個叫許霆的人就碰到過類似的事情,被判了好多年。
這件事若是被放在國外,結果就不是這樣的了,英國的巴克萊銀行在某小鎮上有一台ATM,出現了多吐鈔,這個小鎮上的人都拖家帶口的排隊來取錢,他們取了錢什麼事都沒有,銀行也沒有對此進行追究。
有一個例子是關于快遞的,現在快遞特别發達,不管是什麼東西什麼位址,都可以送到家門口。但在北京曾發生過一起案件,有一個快遞員發現一個北漂的小明星很有錢,就以送快遞的名義要求其開門,然後把人殺害搶走錢财,此事引起過諸多讨論。
我自己怎麼收快遞呢,一般快遞上面我不會用自己的真名,比如會用米京東,米天貓之類的,位址如果是寄到公司的,我會寫隔壁公司的位址,這樣對自己及個人資訊是一種保護。
除此之外,還有一個好處是,他們這幾家有誰把你的資訊賣掉的話,你會立馬知道是哪一家賣掉了你的資訊。
再一個風險意識就是不要跟年輕人吵架,我覺得這一點非常重要,很多人會覺得年輕人怎麼這麼嚣張啊,不管是在公共汽車上還是其他公共場合動不動就會跟人發生口角,年輕人很血氣方剛,容易沖動,是以盡量避免跟年輕人吵架,這也是對風險的一種規避。
還有一個是關于股市的,2015年上半年的時候,我也入市了,但最終沒損多少,在最高點降下來差不多損失5%的時候我就跑了,這就是止損線,我給自己設了一個5%的底線,一旦觸及這個底線,我就跑了。
為了使自己的這個分享顯得高大上一些,我這裡想引入一句名言,孔子曰:吾十有五而志于學,三十而立,四十而不惑,五十而知天命,六十而耳順,七十而從心所欲不逾矩。
其實我想引用的是最後一句話——從心所欲,不逾矩。我覺得風險這個概念,不是說你刻意的不去理睬它,或是說你刻意的去糾結于它,我覺得我們應該正确的去看待它,風險就像是一個架構,就像是已經在那裡的一個标尺或标杆。
我們對風險的态度應該是,我在你的架構、尺度裡面來回順暢的穿梭,我去利用這些東西,而不會去違反這些而給自己帶來一些不好的影響。這是我對風險意識整體的一個傾向。
下面舉兩個例子銀行業的例子。
一個是雷曼倒閉的例子。關于美國的次貸危機,有好多書在論述,其中有一本類似于紀實的書叫《大而不倒》,裡面用場景還原的方式記錄了,華爾街的那些銀行家們。
當時的美國财政部長保爾森,當時美聯儲主席伯克南,這些頂尖的精英人士身處次貸危機的漩渦時是怎麼處理這件事情的,其言論、行止以及可能的心理動态。
很多人對雷曼的倒閉感到惋惜,但實際上我覺得雷曼沒有太多值得惋惜的地方,因為除了雷曼,還有好多投行都在次級債券上做了很大的投入,但為什麼最終雷曼倒閉了呢,我覺得是他孤注一擲導緻的。
雷曼作為一家投行,在我國對應着券商,它沒有太多屬于自己的資本金,但是它卻孤注一擲的大量的買入這些次級債券,這就導緻他的風險在單一次元過高的積累,雷曼也沒有采取一些有效的應對之策,例如對沖等,例如新的業務增長點燈。
我覺得有句話說的特别好,是在海爾張瑞敏的一次演講中,叫“第二曲線”,意思就是任何企業的發展都是一個曲線的概念,當你走到曲線的高峰的時候,你千萬不要沾沾自喜,這個時候你更應該去想:這條曲線剩下的就是下坡路了,有沒有另外一條曲線可以供我再走上高峰。
其實這樣的概念放到風險上也是一樣的,當我們做某一項業務的時候,這個業務蒸蒸日上,越是蒸蒸日上的時候,越是你有資源有精力去考慮額外的風險緩釋或額外的業務增長的時候。是以這是我對雷曼倒閉的一個基本判斷。
當時雷曼的最後一任執行官叫福爾德,福爾德在當時類似于苦情人物了,被群眾指責,也被國會多次的質詢,盡管如此,他仍沒有一絲一毫的檢討。
在雷曼倒閉之後,他一直堅持認為,雷曼之是以倒閉,是大環境下的一個受害者,罪魁禍首應該是美國政府,美國政府為了讓沒有錢的人住上房子,選擇大肆發放次級貸款,最終選擇犧牲雷曼,讓雷曼成了受害者。
再一個例子是巴林銀行。如果我們關注金融史的話會發現,巴林銀行倒閉屬于一個經典的操作風險案例。
巴林銀行當時在新加坡有一個高管叫尼克裡森,做期權交易的,他為了掩蓋本部門的一些交易錯誤,沒有上報記錄這些錯誤交易的内部賬戶,奢望把窟窿堵上。
當時他是看多日經指數的,誰知道日本大地震,日經指數狂跌,最終不光他自己虧的褲子都沒了,巴林銀行業虧的資不抵債,最終導緻這家二百多年英國皇家銀行的倒閉,據說巴林銀行曾專門幫伊麗莎白女皇及皇室打理資金,聲譽卓著。
巴塞爾委員會在新資本協定中,把操作風險納入其重點審視的範圍。我覺得操作風險是特别應該引起關注的,很多人可能認為僅僅是操作的問題,但再小的風險都有可能引發大危機,尤其是銀行這種跟數字打交道的企業。
任何企圖零風險的行為都是徒勞
下面分享第二部分,關于風險設計的十個理念。
第一個理念,關于風險的地位,我們一定不要将風險擺在第一位,擺在第一位的永遠應該是業務的發展,業務不發展是最大的風險。
我經常會吐槽一些國有企業,也會吐槽某些銀行,對風險過于看重而忽略了業務的發展。舉個例子,現在是經濟的下行期,所有的風險好像如雨後春筍般的都冒出來了,我覺得這個現象不應該這樣了解。
人還是那些人,業務還是那些業務,為什麼經濟上行期我們看不到這麼多的風險,而經濟下行期反而有這麼多的風險呢?我覺得歸根到底是你的業務是向上的業務還是向下的業務。
每個人對風險的關注和對自己信用的關注可能會有一個心态的變化,如果說經濟上行期,自己手頭有錢,可以按時的去還貸或是幹嘛,而一般到了經濟下行期了,自己想還錢,也有心無力。
是以可以這樣說,經濟上行期的信貸風險是一個還款态度問題,而經濟下行期的信貸風險,是一個還款能力的問題。我覺得業務發展應該是永遠擺在企業第一位的,隻有業務發展了,才有資格去談風險這個事情。
還有一個問題,就是在業務發展過程中,一定要關注客戶的痛點,如果忽視了客戶的痛點,我覺得這就是最大的風險。有些企業,特别是企業的高層,特别想出成績,動不動就提什麼創新。
我覺得創新的确是很好,但在某種意義上,有時候與其創新,還不如切切實實得解決客戶的一個個痛點,最終讓客戶滿意,我覺得把這一點踏踏實實的做好其實會更好一些,比創新好。這是我的第一個理念,風險的定位。
第二個理念是,任何企圖零風險的行為都是徒勞。
為什麼這麼說呢,我們關注到,像微軟的作業系統,從XP到Windows 7到Windows10,這些作業系統你會發現時代在進步,系統更優越,但永遠都會存在漏洞。
在軟體行業有一本特别有名的書叫《人月神話》,它是講複雜軟體系統的建構的,作者是北卡羅萊納大學計算機系的創立者。你從中會發現,系統的構成是由程式員一行一行的代碼寫成的,人來寫這些代碼,有一個基本的規律---每五十行就會有一個漏洞出來。
我們的制度也是這樣,制度永遠都是人制定的,人制定的制度無法窮舉所有的情況,無法涵蓋所有的情況,總會有漏洞存在。我們網際網路金融行業的業務發展也是一樣的,監管永遠跟不上,即使監管跟上了它也會有監管的空白,有人就利用監管的真空,做了監管的套利。
這種你稱之為漏洞也好,不稱之為漏洞也罷,它都就是憑人力無法一下子進行彌補的,由于這種特性——一方面是由于人的不完美,另一方面由于複雜系統的存在,是以風險是永遠無法消除的。
新資本協定中有一個關于操作風險的工具叫做RACA,就是操作風險與控制評估。這個東西比較好,因為它是這樣看待風險的——任何事物都有一個固有的風險,然後針對這個固有的風險,我們可以采取相應的控制措施,采取完控制措施之後風險就沒有了嗎?
當然不是,采取完控制措施之後,還有一部分剩餘風險,隻需要關注在采取控制措施之後,剩餘風險能不能在接受範圍内就可以了,這是一種對待風險的态度。
第三個理念,是風險為本。
在之前,國内的監管,不管是人行也好,銀監會也好,他們出台的所有關于風險的制度叫“規則監管”,就是監管要求多是通過列舉方式寫明一條條的相關要求,1、2、3、4等等。
現在他們不這麼做了,現在叫“風險為本”,即原則監管。人行和銀監會,他們現在出的制度,慢慢将過渡到,隻列一個目标,你必須達到這樣一個目标,隻重結果不看過程。
這一塊大家可以結合展業三原則,在反洗錢領域也比較适用——了解你的客戶,了解你的業務,盡職審查。監管說明原則、目标,具體怎麼去實作就看你自己了。是以這是“風險為本”的理念。
這一理念還有一層引申的意思,去關注那些最突出的風險。因為任何一家企業,也包括銀行,它應對風險的資源是有限的,因為要考慮投入産出,這種情況下需要把有限資源,人力物力财力,去投放到最核心最關鍵的風險點上去。
把最核心最關鍵的風險抓住了,其他的風險不是說去忽視,隻是暫時先不用去過多的關注。在國中死記硬背唯物辯證法時,我們就知道,抓主要沖突。
第四個理念是關于風險偏好和容錯機制的。
風險偏好其實是展現在企業戰略中的,你的戰略是怎樣的幾乎決定了你基本上是一個什麼樣的風險偏好。從企業内部治理來講,我們應該把風險偏好寫到企業戰略裡面去。
比如銀行,特别四大行,他們的風險偏好幾乎就是穩建。當然有的機構的就絕對不是穩建了,他們會采取比較激進的一些風險措施,是以我覺得風險偏好是一件特别重要的事情,它決定了你在做業務的時候,在應對風險的時候會進行怎樣的權衡。
再就是容錯機制,這個也是跟風險偏好相配套的,你有多大的底氣,采取什麼樣的風險偏好,跟你所采取的容錯機制是緊密相關的。
就像現在我們看到很多網際網路金融機構在大踏步的去布局謀篇,然後再去做各種的嘗試,相對于銀行而言,他們是有底氣的,一方面是由于他們這種業務的靈活性,監管限制少,可以奔放起來,另一方面是他們的财務以及資金都比較靈活,可以做相應的支撐。
銀行在這方面還是很缺乏相應的配套措施的,是以現在銀行做業務稍微奔放一點的,也就是先試點,再加大監控,做好應急響應,計提資金,做好應對風險的準備。還有一項是銀行需要向網際網路金融機構學習的——保險。
關于保險,在支付公司發展業務之初,當時某寶剛做起來的時候,它的詐騙案件也是相當多的,後來為什麼少了呢,或者說,後來為什麼爆出來的少了呢?就是因為兩個方面,一方面是它采取了更多先進的技術監控手段,來加強對客戶身份的鑒别,另一方面就是它引入了保險的機制。
我覺得這種态度特别好——我有100個客戶,其中可能99個客戶都沒有問題,有一個客戶被詐騙了,然後我拿收入将這一個風險補償掉就可以了,這一塊在互聯金融機構是沒有問題的,但在銀行是需要政策突破的,是以銀行在這一塊一直很難有進展。
15年12月底,人行在《關于改進個人銀行賬戶服務 加強賬戶管理的通知》中才明确“鼓勵銀行探索建立風險補償機制,通過計提支付風險基金、購買商業保險等方式,鎖定存款人支付風險,切實保護其合法權益。”
第五個理念是風險的支撐、風險的支點。
怎麼了解呢,如果作為一名風險體系的架構師,你要建立一個風險大廈,要從無到有建立整個風險體系,到底該怎樣去搭建呢?我覺得這應該是有步驟的。
第一步,最最關鍵的就是你要找到整個風險體系的支點。有個老頭叫阿基米德,他說——給我一個支點我就能撬起整個地球。我覺得風險也是這樣的,任何一個風險體系要想建立起來,你需要基于某一個點。
比如說你要相信某個東西,你覺得自己家是安全的,那麼你必須要相信你家的防盜門的安全的。我們說校車是安全的,那麼你得相信這輛校車的質檢是安全的。我們說學校是安全的,那麼你得相信校長是安全的。
我們銀行的風險體系,還有支付的風險體系,我覺得都是有支點的。銀行的風險體系的支點是什麼——你對所有業務風險的判斷,從客戶的準入到事中的風險控制到事後的風險緩釋等等,例如貸後管理,最核心的支點就是基于銀行櫃台的客戶準入,我覺得這是銀行所有業務的一個支點。
不管怎麼樣,我最最信任的是我銀行網點的櫃台的客戶準入,如果這一關我不信任了,那麼其他所有的相關配套措施都是沒有意義的,是以我們可以看到,銀行所有的業務它采取的風險措施都是基于一點,首先我先信任櫃台的準入,然後在這個基礎上去附加,去配套。
那麼支付的風險體系的支點是什麼?支付是怎麼蓬勃發展起來的,我覺得有一個時點——快捷支付這個時點。在沒有快捷支付之前,整個支付行業發展是很緩慢的,有了快捷支付之後,我們才看到了,包括支付寶在内,支付行業客戶規模極速增長的行業景象。
這個增長有一個支點——支付公司把支付過程中的認證工作交給了銀行。截止到目前,支付公司風險體系的支點是相信銀行,相信銀行對客戶姓名、身份證号碼、卡号、手機号碼的驗證。
說白了就是,怎麼相信客戶?相信銀行相信的客戶。如果銀行提供的客戶一系列資訊都不準确,那所謂的支付風險體系也沒必要談了。
現在的支付機構正在逐漸的擺脫對銀行的這種信任依賴,轉而去尋找更多的支點,去尋找更多的客戶身份驗證的來源,不再單單依靠銀行這一個點。
這也是風險發展的一種思路——建設風險大廈的時候,本來可能是尋找一個支點,現在為了規避對這個支點的依賴,去尋找更多的支點。
第六個理念,鐵箍一桶萬年青。
這實際上是由之前的木桶理論演變而來的。随着移動網際網路的發展,我們的業務逐漸衍生出了很多管道,并且業務間的相關性也逐漸增多。如果是單個業務單一管道的話,我們能把一些脈絡梳理的比較清楚,能看到一些業務的短闆、缺陷。
一旦多管道出現多個業務相關聯的時候,産生的問題也就多了。我特别喜歡“流程”的概念,從客戶的準入一直到整個流程走完就是一條線,單一管道單個業務就是一條線這樣過來了,但一旦是多管道相交叉,多業務相關聯,這樣就導緻客戶從準入到最後走完整個流程,這就不是一條線而是多條交叉線了。
這樣就是多種業務多條通道,這種情況下每個通道的安全邊界你都需要去考慮,我覺得這是需要着眼的一個風險點,因為它必然會出現通道的短闆,或者說是管道的短闆,或者說關聯業務的盲區,是以這是我說這個理念的意義所在。
第七個理念,有舍有得,做減法,簡單是以牢固。
我發現簡潔的産品可能在客戶的接受度上更有優勢。之前工商銀行推出了自己精簡版的網上銀行,為什麼工行要做這樣一件事呢?
用過工行網銀的人都知道,工行的網銀就像那種商品玲琅滿目的大超市,你一旦進了工行網銀,你會看到很多很多的菜單,你想找某一個業務太難了,甚至是你進去之後就會有一種反感,是以工行是基于這種客戶體驗的角度去建這樣一個相對精簡的系統。
其實從風險的角度也是這樣考慮的,現在我們銀行也在建一些風險的模型,當你在建這些風險模型的時候會有考慮,引入多少風險因子,然後引出多少風險的結論或者風險的輸出。
你的産品越多,你的業務越多,你的客戶接入點越多,必然會導緻你的風險因子越多,這種情況下你所面臨的風險就會越大。是以我秉持的觀點就是,在可能的條件下,盡量使事情更簡潔。
第八個理念,别為小機率事件糾結。
例如飛機發生事故了,那我還要不要坐飛機呢。前段時間出現的疫苗事件,那我還要不要給孩子接種疫苗呢。
還有就是醫療體系,其實整個西醫是一種機率治療,它可能研發一種藥物或是手術方式,但這并不代表能百分之百的進行治愈,它隻是代表這種藥物或手術方式在多少臨床案例中是成功的。
我們面對的客戶是各種各樣的,客戶的需求也是各種各樣的,不可能說一套制度一套流程就能滿足所有客戶的需求,必有一小部分是你滿足不了的,這種情況下你就需要考慮這種小機率事件,這也是風險的一個點。
第九個理念,給他一條活路,不然他就跳窗戶。
我在這幾年的從業經曆中發現考核特别重要,不管你的口号喊得多響,最終你的戰略怎麼去引導,怎麼去落實,還是要展現在考核上的。這種情況下,在設計考核名額的時候,我覺得需要做一個相容性的或差異化的考量。
舉個例子,對銀行而言,我們在銀行不同的地域所面對的客戶是不一樣的,這種情況下你對一些業務一刀切的話肯定有些地域是完成不了任務名額的,而一旦他完成不了名額,你這個考核标準又在這,那他隻能走歪路了。
是以不管是什麼機關,對員工的考核都不能一刀切,都必須有一些相容性在裡頭。對客戶其實也是這樣,比如關于客戶準入,關于客戶的一些門檻和條件,有些客戶可能不滿足一些門檻,比如對銀行而言到底該不該給七八十歲的老人開通手機銀行?這就是一個考量的問題。
這裡要牽扯出一個敏感話題就是關于資本外流的,我們國家關于資本外流的規定,還是很奇怪的,允許對公的企業不斷得往外走,但不允許個人資金外流。
我覺得這非常的奇怪,你一旦讓對公的企業資金可以往外走,企業的人也得跟着走,人員一旦過去不得安家嗎,不得租房買房嗎,不得投資嗎,這樣一限制相當于正常的道路被斷掉了。那怎麼辦,那就隻能走地下錢莊了。
第十個理念,不要考驗人性,不要談道德。
比方說在銀行這一塊現金是很重要的,如果你把一捆現金交給張三去保管,而張三攜款潛逃,那麼這是誰的責任?不能因為張三之前是“先進個人”而拿這種道德标尺來評判,這個時候必須依靠制度、流程來限制。
在風險設計的時候,不要用人性去考量,更多的考量還是需要基于邏輯的角度去設定。在企業中,誰最應該講道德,我覺得企業的管理層是最應該講道德的,反而員工我覺得沒有必要去做這方面的限制。
最後一個理念,潤物細無聲——關于風險設計最終的呈現效果是什麼樣的。
我是秉持這樣一種觀點——風險設計之後,你要讓客戶知道你在但感覺不到障礙。在有風險的情況下,你要讓客戶意識到盡管環境險惡,但你仍在為維護客戶的利益而竭盡全力。
我們經常會吐槽360、百度安裝包之類的,你選擇裝一個安裝包,它會悄無聲息的幫你把所有都裝上,這樣客戶體驗會很不好,雖然号稱是為了你的安全,但這其實是一種流氓行為。
安全這種東西,特别是對注重客戶體驗的行業來說,在安全這一塊實際上應該有一個科學的考量,我覺得體驗是可以考量的,它應該有一些明面的名額,或者說有一些明面的呈現。
如何把握潛在的風險并做相應風險配套
我是銀行從業,我一般談風險就是談内控風險,在學術上,内控和風險是兩個概念,但在談這件事的時候這兩個概念我們是一塊去談的。
談内控一般就要談内控的三道防線,一道防線是業務部門,主要職責叫風險自擔;二道防線是風險部門,主要職責是輸出、服務,即制定風險的政策、戰略,提供一些風險的系統、工具,我一般就把它們稱之為“知識庫”或“工具庫”;三道防線是審計部門,一般對人事有監察部門,對業務有稽核部門。
大概在15年的時候銀監會對商銀行内控管理的制度進行了微調。在此之前,銀行第二道防線風險部門對業務的指導方式,是把一個風險團隊嵌入到業務部門内部,雙線彙報,主要做的事情是配合業務部門做好業務風險的管理。
15年銀監會微調之後,仍然建議業務部門内部去建立這樣的風險團隊,但是它不再雙線彙報了,隻彙報給業務部門。大家不要小看這樣一個微調,這其實能反映出一個傾向——大家逐漸意識到風險防範應該向業務部門遷移,逐漸實作業務部門風險自洽。
因為大家越來越意識到獲客是一個非常關鍵的環節,然後在客戶準入這個地方,隻有接觸客戶你才能真正知道客戶的風險。作為風險管理部門,其實是後勤部門,拿到手的客戶材料都是二手的,比不上業務部門拿到的是一手的,是以才有這樣一個意識傾向的轉變。
怎麼去進行風險識别?其實我自己更傾向于從流程節點上來看這個事情,就是事前事中事後。不管是對專業人士而言還是對小白而言,這種思路會更清晰一些,便于捋出一個脈絡。
原先我在總行的時候,負責産品的準入,但凡是往電子管道遷移的産品,我這兒需要去做最後的風險把關。我不可能了解所有産品,甚至對有些産品是一知半解的,那我怎麼在最短的時間内把這些産品潛在的風險把握住并去做相應的風險配套呢?
我一般按照兩個次元來看這個事情,一個次元是我把它看成一個業務流,從客戶的準入到後面的續作,到對風險的預先準備,就是從一條線上去看這個事情。
還有一個次元相對來說是橫向的,這個主要靠經驗積累了,首先一個業務出來之後我需要先看監管政策,看對監管政策是不是違反的,然後我會看是不是符合一貫的風險偏好,再一個就是看同業做法,看同業有沒有做這類業務,如果做了做到什麼程度,最後就是問問有沒有風險的應急響應,萬一出了事,怎麼應對。
關于風險識别我這裡有四個觀點,與大家分享。
第一個觀點叫雁過留痕。
因為我經常會看一些懸疑故事,之前有看過偵查方面的書,我發現偵查學上有一個物質交換原理——無論什麼時候隻要兩個客體接觸,在接觸面就會産生物質的轉移。
我們現在聽這個原理感覺很簡單,而實際上,這個發現推動了現代偵查學的出現。雁過留痕可以這樣來了解,雁過“必須”留痕。我們在做一些産品設計和業務設計的時候,我們要把一些場景留下來,如果一旦出了事情我們可以追溯還原,這是要必須留痕的。
還有就是“留痕”,你所有的業務不管是線上的還是線下的,基本上是可以做資訊收集的,那麼資訊收集之後我們就可以進行分析和識别,然後去比對一些模型和規則。
第二個觀點,把握關鍵環節。
這是從“風險為本”這個觀點衍生過來的。我的資源是有限的,精力也是有限的,我要用有限的資源去把握住最關鍵的風險,這些最關鍵的風險最值得我們去施以資源和精力,這樣會使我們帶來更高的收益。
要找到關鍵節點,這些關鍵節點可能在不同的企業會呈現不同的流程或環節,比如産品、業務、功能的上線,還有客戶、商戶的準入,還有資訊、資料、監控,還有事件、追溯、還原,這些都是我看到的所謂關鍵環節。
大家在日常工作中也可以去進行梳理,看哪些是風險的關鍵環節。怎麼去判定,有這麼幾點,一個是獲客的環節,但凡跟客戶接觸的環節都是關鍵環節,一個是資訊和資料被通路的環節,再就是流程互動的節點。當然這個需要因地制宜,具體問題具體分析的。
第三個觀點,明确邊界,各司其職。
這個問題我覺得不管是大公司還是小企業都是存在的,當然情況各不一樣。小公司由于人員比較少,可能人員角色會相對集中,某些不同角色可能會集中在某一人身上,這樣人與人之間的邊界可能會存在一些模糊的情況。
但是一旦企業大了之後,它會通過一些制度或流程來固化一些東西,這種情況下有一個邊界的問題和一個職責的問題,而邊界和職責如果理不清楚,必然會存在一些盲區,而盲區就會産生風險點。
例如人與人之間的工作邊界,經辦和授權之間的權限邊界,還有本團隊(部門)和外團隊(部門)的職責邊界等等,這些邊界到底怎麼去明确呢?
可能有不同的方式,例如通過流程去明确,不同的流程節點可能歸屬于不同的單元,例如通過合同協定去限制,也可以通過考核去限制,等等,總之不要有模糊地帶。
第四個觀點,打通堵塞的道路。
每個人的眼睛,每個團隊的眼睛都是受限制的,你永遠無法觸及他人的世界。
一個人的觀點是怎麼形成的呢?一個人的出身、成長背景、人生經曆決定了他對事物會有怎樣的認識和持怎樣的觀點,同樣一件事,不同的人肯定有不同的看法觀點,聽起來也許你和某人的觀點是相同的,但一旦細緻的探讨進去的話,其實還是會有一些細微的差别的。
我始終覺得存在一些堵塞的道路阻礙我們去識别風險,是以我是倡議企業内部建立這種風險的溝通和共享的機制或平台的。根據關注的各個風險節點,有一些風險的關鍵人物,把這些人湊到一起暢所欲言,定時去通告或分享,這樣會避免出現一些風險的盲點。
風險的本質就是“百分之多少的人持有風險傾向”
我有一些自己的想法,以漸進的方式說一下我對風險的認識。
第一個,我覺得風險應該是一個信任的問題。
就像人與人之間打交道,人與人之間關系親疏不一樣,交談時的距離也不一樣,兩個陌生人交談,距離起碼是半米開外,朋友之間可能更近一些,閨蜜之間交談可能會執子之手,夫妻之間交談可以耳鬓厮磨,是以你會發現關系不同,這種距離是不一樣的。
我認為風險就是研究怎麼與客戶打交道,怎麼與員工打交道,怎麼與合作夥伴打交道,怎麼與監管打交道,如何擷取他們的信任,如何信任他們,以及在這個過程中應該秉持什麼樣的心态和政策,這是我關于風險本質的一個認知。
第二個,風險的本質是收益與損失的對沖。
這是一個比較常見的觀點,我們的資産(信貸)、保險業務都會有這麼一個概念,收益是多少,損失是多少,收益能不能覆寫損失。
我們在評估投資理财産品的風險時,會看到這些産品的收益和風險會有相關性,活期存款的收益不高,但它的風險也是比較低的,低風險低收益。
當然反過來就是高收益高風險,說白了就是,為了降低風險放棄一部分收益,或者,為了高收益承擔一部分風險。
第三個,收益的當期性與損失的滞後性。
我覺得這應該是金融的一個内生特點。有一種極端的觀點認為,在目前市場經濟環境下,沒有什麼是不會違約的。就拿貨币基金來說,貨币基金難道就沒有風險嗎?
當然不是,貨币基金也有風險,它最大的風險就是錯配風險和流動性風險。在美國次貸危機的時候,當時就有一家貨币基金直接被擠兌後垮掉了。
沒有一個标的是不會違約的,是以這種情況下的金融風險應該是一個機率問題,就像我們說貨币基金有沒有問題,其實是說貨币基金出現風險的機率較低。就像銀行的貸款一樣,把一筆錢貸出去了,但這個本金到底能不能收回來呢?
這就是一個非常尴尬的問題,甚至有人會說銀行的貸款是一個比較賠本的買賣,你發出去100筆貸款,每筆50萬,但凡其中有一筆違約了,你50萬的本金就收不回來了,這100筆整體算下來虧了。
而與之相對的就是投資,投資或許正好是一個相反的效果,我可能投了100筆,其中有99筆都損失了,但隻有一筆賺回來了,我整體投資就是賺的。
對風險而言,收益是當期可見的,但損失是滞後的。當然,這個例子并非說投資是更好的商業模式,其實投資的風險遠遠高于信貸。
現在我們都在談債轉股和投貸關聯,但是我覺得這兩個東西沒有從根本上解決風險,隻是把眼前的風險往後延遲,為了眼前的“好看”,做了一個類似于時空的轉換,就是把債券轉換為股權,隻是從時間上把風險延後了,風險仍然存在。
比如我們說一家鋼鐵企業很不靠譜,怎麼都不盈利,要想改變它的現狀不是說直接去投多少錢,因為它可能是一個結構性的問題,結構性的問題要靠改革而不是資金來解決,是以你把它所欠的外債轉換成股票,轉成股票企業就能起死回生嗎?還是虧的。
“貸款貸成股東”,我覺得這是一種非常無奈的事情,看一件事情你需要看最終的受益者是誰,債轉股最終誰受益呢,我覺得是地方政府最受益的,是以我們看一看到底是誰在倡導與推動就可以了。
第四個,風險在人性層面。
股市大起大落,這需要探讨一個問題,股票的價值到底是一個什麼樣的價值,股票的價值是反映公司的經營現狀嗎?我覺得不是。股票的價值反映的是在未來的一個價值,反映的是大衆對某個公司未來現金流的一個預期,這是我們對股票應該有的認知。
這種情況下股票的漲跌靠的是什麼呢,它靠的是大衆對股票的一種心理預期,而大衆的心理預期被什麼影響和左右呢?貪婪和恐懼會放大你對風險傾向的選擇。
比如我們看到一隻股票跌了,可能它跌一兩次也就止住了,但實際上大衆的盲目性、瘋狂的抛售會導緻這隻股不停的跌下去。
就像2015年上半年的股市,下跌一旦開始,會引發大面積的恐慌,任何東西都無法阻擋繼續下跌的趨勢了。是以我覺得風險的本質應該是對人性的一個放大,對人的貪婪的放大,對人的恐懼的放大。
這個地方還有一個引申的話題,杠杆是不是惡的?在美國次貸危機的時候,美聯儲和财政部就讨論過這個問題,認為美國的次貸的确是一個高杠杆的事情。那麼杠杆到底是不是惡的呢?
杠杆本身這個事情肯定不是惡的,比如說我們現在的房貸,就是杠杆撬動,它肯定不是惡的,因為它滿足了部分人的購房需求,甚至還給部分人群帶來了福利。是以杠杆就像雙刃劍,具體看你怎麼去利用這個東西。
第五個,你認為有風險,它就有風險。
我們看穆迪還有标普這些評估機構,它們是怎麼去評那些風險等級的呢?我們需要思考這個問題。我們都知道,既然是次貸,它相對于優質貸款肯定是高風險的。
而在美國次貸危機的時候,華爾街的那些頂級的金融精英們非常聰明,他們做了一件非常有花樣的事情,把這些次貸再細分一下,其中的“相對優質部分”他們去找評估機構評,并且被評為AAA級。這些外部的評估機構明知道是一些“次貸”,為什麼還會把它評為AAA級呢?
還有一個問題,為什麼黃金是越漲越買呢?而房子也是越漲越買呢,特别是今年年初北京,上海,深圳房價一路飙漲的情況下。當房價不怎麼起伏的時候,大家一般就是靜待,而一旦價格上漲,一批人就會去跟風。
這個事情能反映一個本質,哪怕是國際上的這種風險的定價和量化,也不會說有絕對的權威性。放到國内我們會發現,國内幾乎是缺乏對風險的定價和量化的,這就是為什麼我們在聽說某個信托打破剛兌了我們會特别驚訝,某個理财沒有如期的兌付我們會特别驚訝,某個項目方還不起貸款了我們會特别驚訝。
其實這沒什麼可驚訝的,要為自己的投資負責,一份投入一份風險,投資時要對風險有所認知。預設為所有的投資都是賺錢的,一旦投資不賺錢了,就拉橫幅鬧事,這種情況在國内是普遍的,而這就是因為缺少對風險的定價和量化。
既然這方面缺少了,那投資的差價是怎麼産生的呢?一種可能是資訊不對稱的原因,另一個則是因為在缺少風險定價和量化的前提下,人們的“共識”代替了風險定價,造成風險的本質就是“百分之多少的人持有風險傾向”。
還有,同一款産品,不同人對其風險判斷是不一樣的,你覺得5%的損失是高風險,而我可能覺得1%的損失就是高風險了。小明和隔壁老王,對這件事情的看法是不一樣的。
将風險控制在可接受的範圍之内
最後說一下風險處置。
風險分為市場風險、操作風險、法律風險、信用風險、流動性風險等等,對于這些風險,應對措施其實是套路化的,比方說對風險進行隔離,進行緩釋、置換等。針對不同的風險,有單一的措施,也有組合的措施。風險處置最終的目的不是去消除風險,而是将風險控制在可接受的範圍之内。
以上吧。現在,我更喜歡研究金融業務,而非風險,但每一個業務與風險卻互相糾纏,不懂風險就不懂業務,不懂業務就不懂風險,希望每一個銀行從業都對風險都保持一份敏感,戴着鐐铐起舞,也風度翩翩。謝謝。
====================================分割線================================
本文轉自d1net(轉載)
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)