万字血泪史:从黑客到银行风险专家,一切全是因为真爱!

  1. 云栖社区>
  2. 博客>
  3. 正文

万字血泪史:从黑客到银行风险专家,一切全是因为真爱!

玄学酱 2017-07-04 11:37:00 浏览1203
展开阅读全文

以下为万字演讲实录,关于风险设计与管理的思维引导。

我自己的从业经历几乎就是一部安全与风险的血泪史,起初我是一个黑客,一身汇编本领出神入化,但缘分真是妙不可言,我未进银行之前好多项目几乎都跟银行相关,于是几经兜转,我还是来到了银行,自我标榜为金融从业。

在转型为“金融业务砖家”之后,我仍然摆脱不了风险这个标签,我经常跟别人说,一入风险误终身,不管你金融业务多么精通,营销搞得多么棒,总有人哪壶不开提哪壶得说“这是风险专家”,扔臭鸡蛋的心都有。

其实这也不怪他们,我几乎遍历过风险的所有岗位,从代码到架构到产品到市场,但这无法阻挡我对金融业务的偏爱。

今天这个话题是关于风险的,风险,我是有相当的发言权

关于风险,我觉得不管你是不是从事这个行业的,其实都可以说上一两句,貌似大家都懂风险,但是呢,如果你对此有过深层次的探究,有过精研,你又会发现大家其实不那么懂风险,所以我觉得风险是一个可深可浅的概念

从风险的范畴来讲呢,它也是可大可小的,从宏观经济到金融行业,到某个具体的业务领域,再到制度流程、产品设计、系统架构、代码编写、网络基础、硬件设备等,各个层面都是有风险的。

各个层面的从业人员对各个层面的风险认知又是不一样的,有的可能偏具体一些,有的可能偏抽象一些。

风险是苍蝇盯上有缝的蛋

关于风险的定义我查阅过一些资料,对风险都没有一个特别适合大众的定义。后来我发现有一个说法特别好 —— 风险怎么来的,首先一个事物要有漏洞,要有缺陷,并面临外部的一些虎视眈眈的威胁,这些威胁作用于这个事物的缺陷,最终引发风险,导致可能的损失。

我觉得这个说法非常的形象,有句话是这么说的“苍蝇不盯无缝的蛋”,蛋若没有缝,即使外面有苍蝇,不会有风险;蛋若有缝,但外面没有苍蝇,也不会有风险;偏偏你手中的蛋有缝,外面又有虎视眈眈的苍蝇,所以就有了风险的产生。

有了风险的定义,可能有人会问,风险的本质是什么?其实我自己特别讨厌“本质”这个词,有时你很难说清一件事情或一个事物它的本质到底是什么。关于风险的本质我们在这个话题的最后再谈。

还是举例来说,比如说国家法律,你遵守法律还是利用法律,这可能是普通人和犯罪分子的区别。又比如软件的开发规范,你遵守这些规范还是利用这些规范,这可能是一个程序员和一个黑客的区别

还有业务的制度,你遵守这种制度还是利用这种制度,这可能就是好员工与坏员工的区别,也有可能是正常客户和恶意客户的区别。从这个层面来看,风险好像是因为有坏人的存在,真的是这样吗?

保持风险意识作祟

我一直对风险意识特别看重,我觉得一个人不管是专精于风险也好,还是从事其他行业也好,一定要在头脑中有根弦儿——“对风险保持敏感”。我自己有职业病,很多人都会去ATM取钱,但我觉得应该不会有人对ATM的键盘熟悉到盲打的程度,但我可以盲打。

为什么呢?因为在ATM机上取款有一个“一米线”的概念,为防止肩窥,就是后面的人越过你的肩膀偷窥你的密码,就要后面取款的人不要越过一米线。而我经常是把那键盘捂得死死的,自己都看不见,那我怎么输密码呢,因此我练就了这个盲打的本领,这就是风险意识在作祟

有的风险意识跟环境,跟土壤有关。假如国内某ATM机多吐钱了,这个钱你敢拿走吗?当然不敢。几年前有一个叫许霆的人就碰到过类似的事情,被判了好多年。

这件事若是被放在国外,结果就不是这样的了,英国的巴克莱银行在某小镇上有一台ATM,出现了多吐钞,这个小镇上的人都拖家带口的排队来取钱,他们取了钱什么事都没有,银行也没有对此进行追究。

有一个例子是关于快递的,现在快递特别发达,不管是什么东西什么地址,都可以送到家门口。但在北京曾发生过一起案件,有一个快递员发现一个北漂的小明星很有钱,就以送快递的名义要求其开门,然后把人杀害抢走钱财,此事引起过诸多讨论。

我自己怎么收快递呢,一般快递上面我不会用自己的真名,比如会用米京东,米天猫之类的,地址如果是寄到公司的,我会写隔壁公司的地址,这样对自己及个人信息是一种保护。

除此之外,还有一个好处是,他们这几家有谁把你的信息卖掉的话,你会立马知道是哪一家卖掉了你的信息。

再一个风险意识就是不要跟年轻人吵架,我觉得这一点非常重要,很多人会觉得年轻人怎么这么嚣张啊,不管是在公交车上还是其他公共场合动不动就会跟人发生口角,年轻人很血气方刚,容易冲动,所以尽量避免跟年轻人吵架,这也是对风险的一种规避。

还有一个是关于股市的,2015年上半年的时候,我也入市了,但最终没损多少,在最高点降下来差不多损失5%的时候我就跑了,这就是止损线,我给自己设了一个5%的底线,一旦触及这个底线,我就跑了。

为了使自己的这个分享显得高大上一些,我这里想引入一句名言,孔子曰:吾十有五而志于学,三十而立,四十而不惑,五十而知天命,六十而耳顺,七十而从心所欲不逾矩。

其实我想引用的是最后一句话——从心所欲,不逾矩。我觉得风险这个概念,不是说你刻意的不去理睬它,或是说你刻意的去纠结于它,我觉得我们应该正确的去看待它,风险就像是一个框架,就像是已经在那里的一个标尺或标杆。

我们对风险的态度应该是,我在你的框架、尺度里面来回顺畅的穿梭,我去利用这些东西,而不会去违反这些而给自己带来一些不好的影响。这是我对风险意识整体的一个倾向。

下面举两个例子银行业的例子。

一个是雷曼倒闭的例子。关于美国的次贷危机,有好多书在论述,其中有一本类似于纪实的书叫《大而不倒》,里面用场景还原的方式记录了,华尔街的那些银行家们。

当时的美国财政部长保尔森,当时美联储主席伯克南,这些顶尖的精英人士身处次贷危机的漩涡时是怎么处理这件事情的,其言论、行止以及可能的心理动态。

很多人对雷曼的倒闭感到惋惜,但实际上我觉得雷曼没有太多值得惋惜的地方,因为除了雷曼,还有好多投行都在次级债券上做了很大的投入,但为什么最终雷曼倒闭了呢,我觉得是他孤注一掷导致的。

雷曼作为一家投行,在我国对应着券商,它没有太多属于自己的资本金,但是它却孤注一掷的大量的买入这些次级债券,这就导致他的风险在单一维度过高的积累,雷曼也没有采取一些有效的应对之策,例如对冲等,例如新的业务增长点灯。

我觉得有句话说的特别好,是在海尔张瑞敏的一次演讲中,叫“第二曲线”,意思就是任何企业的发展都是一个曲线的概念,当你走到曲线的高峰的时候,你千万不要沾沾自喜,这个时候你更应该去想:这条曲线剩下的就是下坡路了,有没有另外一条曲线可以供我再走上高峰。

其实这样的概念放到风险上也是一样的,当我们做某一项业务的时候,这个业务蒸蒸日上,越是蒸蒸日上的时候,越是你有资源有精力去考虑额外的风险缓释或额外的业务增长的时候。所以这是我对雷曼倒闭的一个基本判断。

当时雷曼的最后一任执行官叫福尔德,福尔德在当时类似于苦情人物了,被民众指责,也被国会多次的质询,尽管如此,他仍没有一丝一毫的反省。

在雷曼倒闭之后,他一直坚持认为,雷曼之所以倒闭,是大环境下的一个受害者,罪魁祸首应该是美国政府,美国政府为了让没有钱的人住上房子,选择大肆发放次级贷款,最终选择牺牲雷曼,让雷曼成了受害者。

再一个例子是巴林银行。如果我们关注金融史的话会发现,巴林银行倒闭属于一个经典的操作风险案例。

巴林银行当时在新加坡有一个高管叫尼克里森,做期权交易的,他为了掩盖本部门的一些交易错误,没有上报记录这些错误交易的内部账户,奢望把窟窿堵上。

当时他是看多日经指数的,谁知道日本大地震,日经指数狂跌,最终不光他自己亏的裤子都没了,巴林银行业亏的资不抵债,最终导致这家二百多年英国皇家银行的倒闭,据说巴林银行曾专门帮伊丽莎白女皇及皇室打理资金,声誉卓著。

巴塞尔委员会在新资本协议中,把操作风险纳入其重点审视的范围。我觉得操作风险是特别应该引起关注的,很多人可能认为仅仅是操作的问题,但再小的风险都有可能引发大危机,尤其是银行这种跟数字打交道的企业。

任何企图零风险的行为都是徒劳

下面分享第二部分,关于风险设计的十个理念

第一个理念,关于风险的地位,我们一定不要将风险摆在第一位,摆在第一位的永远应该是业务的发展,业务不发展是最大的风险。

我经常会吐槽一些国有企业,也会吐槽某些银行,对风险过于看重而忽略了业务的发展。举个例子,现在是经济的下行期,所有的风险好像如雨后春笋般的都冒出来了,我觉得这个现象不应该这样理解。

人还是那些人,业务还是那些业务,为什么经济上行期我们看不到这么多的风险,而经济下行期反而有这么多的风险呢?我觉得归根到底是你的业务是向上的业务还是向下的业务。

每个人对风险的关注和对自己信用的关注可能会有一个心态的变化,如果说经济上行期,自己手头有钱,可以按时的去还贷或是干嘛,而一般到了经济下行期了,自己想还钱,也有心无力。

所以可以这样说,经济上行期的信贷风险是一个还款态度问题,而经济下行期的信贷风险,是一个还款能力的问题。我觉得业务发展应该是永远摆在企业第一位的,只有业务发展了,才有资格去谈风险这个事情。

还有一个问题,就是在业务发展过程中,一定要关注客户的痛点,如果忽视了客户的痛点,我觉得这就是最大的风险。有些企业,特别是企业的高层,特别想出成绩,动不动就提什么创新。

我觉得创新的确是很好,但在某种意义上,有时候与其创新,还不如切切实实得解决客户的一个个痛点,最终让客户满意,我觉得把这一点踏踏实实的做好其实会更好一些,比创新好。这是我的第一个理念,风险的定位。

第二个理念是,任何企图零风险的行为都是徒劳

为什么这么说呢,我们关注到,像微软的操作系统,从XP到Windows 7到Windows10,这些操作系统你会发现时代在进步,系统更优越,但永远都会存在漏洞。

在软件行业有一本特别有名的书叫《人月神话》,它是讲复杂软件系统的构建的,作者是北卡罗莱纳大学计算机系的创立者。你从中会发现,系统的构成是由程序员一行一行的代码写成的,人来写这些代码,有一个基本的规律---每五十行就会有一个漏洞出来。

我们的制度也是这样,制度永远都是人制定的,人制定的制度无法穷举所有的情况,无法涵盖所有的情况,总会有漏洞存在。我们互联网金融行业的业务发展也是一样的,监管永远跟不上,即使监管跟上了它也会有监管的空白,有人就利用监管的真空,做了监管的套利。

这种你称之为漏洞也好,不称之为漏洞也罢,它都就是凭人力无法一下子进行弥补的,由于这种特性——一方面是由于人的不完美,另一方面由于复杂系统的存在,所以风险是永远无法消除的。

新资本协议中有一个关于操作风险的工具叫做RACA,就是操作风险与控制评估。这个东西比较好,因为它是这样看待风险的——任何事物都有一个固有的风险,然后针对这个固有的风险,我们可以采取相应的控制措施,采取完控制措施之后风险就没有了吗?

当然不是,采取完控制措施之后,还有一部分剩余风险,只需要关注在采取控制措施之后,剩余风险能不能在接受范围内就可以了,这是一种对待风险的态度。

第三个理念,是风险为本

在之前,国内的监管,不管是人行也好,银监会也好,他们出台的所有关于风险的制度叫“规则监管”,就是监管要求多是通过列举方式写明一条条的相关要求,1、2、3、4等等。

现在他们不这么做了,现在叫“风险为本”,即原则监管。人行和银监会,他们现在出的制度,慢慢将过渡到,只列一个目标,你必须达到这样一个目标,只重结果不看过程。

这一块大家可以结合展业三原则,在反洗钱领域也比较适用——了解你的客户,了解你的业务,尽职审查。监管说明原则、目标,具体怎么去实现就看你自己了。所以这是“风险为本”的理念。

这一理念还有一层引申的意思,去关注那些最突出的风险。因为任何一家企业,也包括银行,它应对风险的资源是有限的,因为要考虑投入产出,这种情况下需要把有限资源,人力物力财力,去投放到最核心最关键的风险点上去。

把最核心最关键的风险抓住了,其他的风险不是说去忽视,只是暂时先不用去过多的关注。在初中死记硬背唯物辩证法时,我们就知道,抓主要矛盾

第四个理念是关于风险偏好和容错机制的。

风险偏好其实是体现在企业战略中的,你的战略是怎样的几乎决定了你基本上是一个什么样的风险偏好。从企业内部治理来讲,我们应该把风险偏好写到企业战略里面去。

比如银行,特别四大行,他们的风险偏好几乎就是稳建。当然有的机构的就绝对不是稳建了,他们会采取比较激进的一些风险措施,所以我觉得风险偏好是一件特别重要的事情,它决定了你在做业务的时候,在应对风险的时候会进行怎样的权衡。

再就是容错机制,这个也是跟风险偏好相配套的,你有多大的底气,采取什么样的风险偏好,跟你所采取的容错机制是紧密相关的。

就像现在我们看到很多互联网金融机构在大踏步的去布局谋篇,然后再去做各种的尝试,相对于银行而言,他们是有底气的,一方面是由于他们这种业务的灵活性,监管约束少,可以奔放起来,另一方面是他们的财务以及资金都比较灵活,可以做相应的支撑。

银行在这方面还是很缺乏相应的配套措施的,所以现在银行做业务稍微奔放一点的,也就是先试点,再加大监控,做好应急响应,计提资金,做好应对风险的准备。还有一项是银行需要向互联网金融机构学习的——保险

关于保险,在支付公司发展业务之初,当时某宝刚做起来的时候,它的诈骗案件也是相当多的,后来为什么少了呢,或者说,后来为什么爆出来的少了呢?就是因为两个方面,一方面是它采取了更多先进的技术监控手段,来加强对客户身份的鉴别,另一方面就是它引入了保险的机制

我觉得这种态度特别好——我有100个客户,其中可能99个客户都没有问题,有一个客户被诈骗了,然后我拿收入将这一个风险补偿掉就可以了,这一块在互联金融机构是没有问题的,但在银行是需要政策突破的,所以银行在这一块一直很难有进展。

15年12月底,人行在《关于改进个人银行账户服务 加强账户管理的通知》中才明确“鼓励银行探索建立风险补偿机制,通过计提支付风险基金、购买商业保险等方式,锁定存款人支付风险,切实保护其合法权益。”

第五个理念是风险的支撑、风险的支点

怎么理解呢,如果作为一名风险体系的架构师,你要建立一个风险大厦,要从无到有建立整个风险体系,到底该怎样去搭建呢?我觉得这应该是有步骤的。

第一步,最最关键的就是你要找到整个风险体系的支点。有个老头叫阿基米德,他说——给我一个支点我就能撬起整个地球。我觉得风险也是这样的,任何一个风险体系要想建立起来,你需要基于某一个点。

比如说你要相信某个东西,你觉得自己家是安全的,那么你必须要相信你家的防盗门的安全的。我们说校车是安全的,那么你得相信这辆校车的质检是安全的。我们说学校是安全的,那么你得相信校长是安全的。

我们银行的风险体系,还有支付的风险体系,我觉得都是有支点的。银行的风险体系的支点是什么——你对所有业务风险的判断,从客户的准入到事中的风险控制到事后的风险缓释等等,例如贷后管理,最核心的支点就是基于银行柜台的客户准入,我觉得这是银行所有业务的一个支点。

不管怎么样,我最最信任的是我银行网点的柜台的客户准入,如果这一关我不信任了,那么其他所有的相关配套措施都是没有意义的,所以我们可以看到,银行所有的业务它采取的风险措施都是基于一点,首先我先信任柜台的准入,然后在这个基础上去附加,去配套。

那么支付的风险体系的支点是什么?支付是怎么蓬勃发展起来的,我觉得有一个时点——快捷支付这个时点。在没有快捷支付之前,整个支付行业发展是很缓慢的,有了快捷支付之后,我们才看到了,包括支付宝在内,支付行业客户规模极速增长的行业景象。

这个增长有一个支点——支付公司把支付过程中的认证工作交给了银行。截止到目前,支付公司风险体系的支点是相信银行,相信银行对客户姓名、身份证号码、卡号、手机号码的验证。

说白了就是,怎么相信客户?相信银行相信的客户。如果银行提供的客户一系列信息都不准确,那所谓的支付风险体系也没必要谈了。

现在的支付机构正在逐渐的摆脱对银行的这种信任依赖,转而去寻找更多的支点,去寻找更多的客户身份验证的来源,不再单单依靠银行这一个点。

这也是风险发展的一种思路——建设风险大厦的时候,本来可能是寻找一个支点,现在为了规避对这个支点的依赖,去寻找更多的支点

第六个理念,铁箍一桶万年青

这实际上是由之前的木桶理论演变而来的。随着移动互联网的发展,我们的业务逐渐衍生出了很多渠道,并且业务间的相关性也逐渐增多。如果是单个业务单一渠道的话,我们能把一些脉络梳理的比较清楚,能看到一些业务的短板、缺陷。

一旦多渠道出现多个业务相关联的时候,产生的问题也就多了。我特别喜欢“流程”的概念,从客户的准入一直到整个流程走完就是一条线,单一渠道单个业务就是一条线这样过来了,但一旦是多渠道相交叉,多业务相关联,这样就导致客户从准入到最后走完整个流程,这就不是一条线而是多条交叉线了。

这样就是多种业务多条通道,这种情况下每个通道的安全边界你都需要去考虑,我觉得这是需要着眼的一个风险点,因为它必然会出现通道的短板,或者说是渠道的短板,或者说关联业务的盲区,所以这是我说这个理念的意义所在。

第七个理念,有舍有得,做减法,简单所以牢固

我发现简洁的产品可能在客户的接受度上更有优势。之前工商银行推出了自己精简版的网上银行,为什么工行要做这样一件事呢?

用过工行网银的人都知道,工行的网银就像那种商品玲琅满目的大超市,你一旦进了工行网银,你会看到很多很多的菜单,你想找某一个业务太难了,甚至是你进去之后就会有一种反感,所以工行是基于这种客户体验的角度去建这样一个相对精简的系统

其实从风险的角度也是这样考虑的,现在我们银行也在建一些风险的模型,当你在建这些风险模型的时候会有考虑,引入多少风险因子,然后引出多少风险的结论或者风险的输出。

你的产品越多,你的业务越多,你的客户接入点越多,必然会导致你的风险因子越多,这种情况下你所面临的风险就会越大。所以我秉持的观点就是,在可能的条件下,尽量使事情更简洁

第八个理念,别为小概率事件纠结

例如飞机发生事故了,那我还要不要坐飞机呢。前段时间出现的疫苗事件,那我还要不要给孩子接种疫苗呢。

还有就是医疗体系,其实整个西医是一种概率治疗,它可能研发一种药物或是手术方式,但这并不代表能百分之百的进行治愈,它只是代表这种药物或手术方式在多少临床案例中是成功的。

我们面对的客户是各种各样的,客户的需求也是各种各样的,不可能说一套制度一套流程就能满足所有客户的需求,必有一小部分是你满足不了的,这种情况下你就需要考虑这种小概率事件,这也是风险的一个点

第九个理念,给他一条活路,不然他就跳窗户

我在这几年的从业经历中发现考核特别重要,不管你的口号喊得多响,最终你的战略怎么去引导,怎么去落实,还是要体现在考核上的。这种情况下,在设计考核指标的时候,我觉得需要做一个兼容性的或差异化的考量

举个例子,对银行而言,我们在银行不同的地域所面对的客户是不一样的,这种情况下你对一些业务一刀切的话肯定有些地域是完成不了任务指标的,而一旦他完成不了指标,你这个考核标准又在这,那他只能走歪路了。

所以不管是什么单位,对员工的考核都不能一刀切,都必须有一些兼容性在里头。对客户其实也是这样,比如关于客户准入,关于客户的一些门槛和条件,有些客户可能不满足一些门槛,比如对银行而言到底该不该给七八十岁的老人开通手机银行?这就是一个考量的问题。

这里要牵扯出一个敏感话题就是关于资本外流的,我们国家关于资本外流的规定,还是很奇怪的,允许对公的企业不断得往外走,但不允许个人资金外流。

我觉得这非常的奇怪,你一旦让对公的企业资金可以往外走,企业的人也得跟着走,人员一旦过去不得安家吗,不得租房买房吗,不得投资吗,这样一限制相当于正常的道路被断掉了。那怎么办,那就只能走地下钱庄了。

第十个理念,不要考验人性,不要谈道德

比方说在银行这一块现金是很重要的,如果你把一捆现金交给张三去保管,而张三携款潜逃,那么这是谁的责任?不能因为张三之前是“先进个人”而拿这种道德标尺来评判,这个时候必须依靠制度、流程来约束

在风险设计的时候,不要用人性去考量,更多的考量还是需要基于逻辑的角度去设定。在企业中,谁最应该讲道德,我觉得企业的管理层是最应该讲道德的,反而员工我觉得没有必要去做这方面的约束。

最后一个理念,润物细无声——关于风险设计最终的呈现效果是什么样的

我是秉持这样一种观点——风险设计之后,你要让客户知道你在但感觉不到障碍。在有风险的情况下,你要让客户意识到尽管环境险恶,但你仍在为维护客户的利益而竭尽全力。

我们经常会吐槽360、百度安装包之类的,你选择装一个安装包,它会悄无声息的帮你把所有都装上,这样客户体验会很不好,虽然号称是为了你的安全,但这其实是一种流氓行为。

安全这种东西,特别是对注重客户体验的行业来说,在安全这一块实际上应该有一个科学的考量,我觉得体验是可以考量的,它应该有一些明面的指标,或者说有一些明面的呈现。

如何把握潜在的风险并做相应风险配套

我是银行从业,我一般谈风险就是谈内控风险,在学术上,内控和风险是两个概念,但在谈这件事的时候这两个概念我们是一块去谈的。

谈内控一般就要谈内控的三道防线,一道防线是业务部门,主要职责叫风险自担;二道防线是风险部门,主要职责是输出、服务,即制定风险的政策、战略,提供一些风险的系统、工具,我一般就把它们称之为“知识库”或“工具库”;三道防线是审计部门,一般对人事有监察部门,对业务有稽核部门。

大概在15年的时候银监会对商银行内控管理的制度进行了微调。在此之前,银行第二道防线风险部门对业务的指导方式,是把一个风险团队嵌入到业务部门内部,双线汇报,主要做的事情是配合业务部门做好业务风险的管理

15年银监会微调之后,仍然建议业务部门内部去建立这样的风险团队,但是它不再双线汇报了,只汇报给业务部门。大家不要小看这样一个微调,这其实能反映出一个倾向——大家逐渐意识到风险防范应该向业务部门迁移,逐渐实现业务部门风险自洽

因为大家越来越意识到获客是一个非常关键的环节,然后在客户准入这个地方,只有接触客户你才能真正知道客户的风险。作为风险管理部门,其实是后勤部门,拿到手的客户材料都是二手的,比不上业务部门拿到的是一手的,所以才有这样一个意识倾向的转变。

怎么去进行风险识别?其实我自己更倾向于从流程节点上来看这个事情,就是事前事中事后。不管是对专业人士而言还是对小白而言,这种思路会更清晰一些,便于捋出一个脉络。

原先我在总行的时候,负责产品的准入,但凡是往电子渠道迁移的产品,我这儿需要去做最后的风险把关。我不可能了解所有产品,甚至对有些产品是一知半解的,那我怎么在最短的时间内把这些产品潜在的风险把握住并去做相应的风险配套呢?

我一般按照两个维度来看这个事情,一个维度是我把它看成一个业务流,从客户的准入到后面的续作,到对风险的预先准备,就是从一条线上去看这个事情。

还有一个维度相对来说是横向的,这个主要靠经验积累了,首先一个业务出来之后我需要先看监管政策,看对监管政策是不是违反的,然后我会看是不是符合一贯的风险偏好,再一个就是看同业做法,看同业有没有做这类业务,如果做了做到什么程度,最后就是问问有没有风险的应急响应,万一出了事,怎么应对。

关于风险识别我这里有四个观点,与大家分享。

第一个观点叫雁过留痕

因为我经常会看一些悬疑故事,之前有看过侦查方面的书,我发现侦查学上有一个物质交换原理——无论什么时候只要两个客体接触,在接触面就会产生物质的转移。

我们现在听这个原理感觉很简单,而实际上,这个发现推动了现代侦查学的出现。雁过留痕可以这样来理解,雁过“必须”留痕。我们在做一些产品设计和业务设计的时候,我们要把一些场景留下来,如果一旦出了事情我们可以追溯还原,这是要必须留痕的。

还有就是“留痕”,你所有的业务不管是线上的还是线下的,基本上是可以做信息收集的,那么信息收集之后我们就可以进行分析和识别,然后去匹配一些模型和规则。

第二个观点,把握关键环节

这是从“风险为本”这个观点衍生过来的。我的资源是有限的,精力也是有限的,我要用有限的资源去把握住最关键的风险,这些最关键的风险最值得我们去施以资源和精力,这样会使我们带来更高的收益。

要找到关键节点,这些关键节点可能在不同的企业会呈现不同的流程或环节,比如产品、业务、功能的上线,还有客户、商户的准入,还有信息、数据、监控,还有事件、追溯、还原,这些都是我看到的所谓关键环节。

大家在日常工作中也可以去进行梳理,看哪些是风险的关键环节。怎么去判定,有这么几点,一个是获客的环节,但凡跟客户接触的环节都是关键环节,一个是信息和数据被访问的环节,再就是流程交互的节点。当然这个需要因地制宜,具体问题具体分析的。

第三个观点,明确边界,各司其职

这个问题我觉得不管是大公司还是小企业都是存在的,当然情况各不一样。小公司由于人员比较少,可能人员角色会相对集中,某些不同角色可能会集中在某一人身上,这样人与人之间的边界可能会存在一些模糊的情况。

但是一旦企业大了之后,它会通过一些制度或流程来固化一些东西,这种情况下有一个边界的问题和一个职责的问题,而边界和职责如果理不清楚,必然会存在一些盲区,而盲区就会产生风险点。

例如人与人之间的工作边界,经办和授权之间的权限边界,还有本团队(部门)和外团队(部门)的职责边界等等,这些边界到底怎么去明确呢?

可能有不同的方式,例如通过流程去明确,不同的流程节点可能归属于不同的单元,例如通过合同协议去约束,也可以通过考核去约束,等等,总之不要有模糊地带。

第四个观点,打通堵塞的道路

每个人的眼睛,每个团队的眼睛都是受限制的,你永远无法触及他人的世界。

一个人的观点是怎么形成的呢?一个人的出身、成长背景、人生经历决定了他对事物会有怎样的认识和持怎样的观点,同样一件事,不同的人肯定有不同的看法观点,听起来也许你和某人的观点是相同的,但一旦细致的探讨进去的话,其实还是会有一些细微的差别的。

我始终觉得存在一些堵塞的道路阻碍我们去识别风险,所以我是倡议企业内部建立这种风险的沟通和共享的机制或平台的。根据关注的各个风险节点,有一些风险的关键人物,把这些人凑到一起畅所欲言,定时去通告或分享,这样会避免出现一些风险的盲点。

风险的本质就是“百分之多少的人持有风险倾向”

我有一些自己的想法,以渐进的方式说一下我对风险的认识。

第一个,我觉得风险应该是一个信任的问题

就像人与人之间打交道,人与人之间关系亲疏不一样,交谈时的距离也不一样,两个陌生人交谈,距离起码是半米开外,朋友之间可能更近一些,闺蜜之间交谈可能会执子之手,爱人之间交谈可以耳鬓厮磨,所以你会发现关系不同,这种距离是不一样的。

我认为风险就是研究怎么与客户打交道,怎么与员工打交道,怎么与合作伙伴打交道,怎么与监管打交道,如何获取他们的信任,如何信任他们,以及在这个过程中应该秉持什么样的心态和策略,这是我关于风险本质的一个认知。

第二个,风险的本质是收益与损失的对冲

这是一个比较常见的观点,我们的资产(信贷)、保险业务都会有这么一个概念,收益是多少,损失是多少,收益能不能覆盖损失。

我们在评估投资理财产品的风险时,会看到这些产品的收益和风险会有相关性,活期存款的收益不高,但它的风险也是比较低的,低风险低收益。

当然反过来就是高收益高风险,说白了就是,为了降低风险放弃一部分收益,或者,为了高收益承担一部分风险。

第三个,收益的当期性与损失的滞后性

我觉得这应该是金融的一个内生特点。有一种极端的观点认为,在当前市场经济环境下,没有什么是不会违约的。就拿货币基金来说,货币基金难道就没有风险吗?

当然不是,货币基金也有风险,它最大的风险就是错配风险和流动性风险。在美国次贷危机的时候,当时就有一家货币基金直接被挤兑后垮掉了。

没有一个标的是不会违约的,所以这种情况下的金融风险应该是一个概率问题,就像我们说货币基金有没有问题,其实是说货币基金出现风险的概率较低。就像银行的贷款一样,把一笔钱贷出去了,但这个本金到底能不能收回来呢?

这就是一个非常尴尬的问题,甚至有人会说银行的贷款是一个比较赔本的买卖,你发出去100笔贷款,每笔50万,但凡其中有一笔违约了,你50万的本金就收不回来了,这100笔整体算下来亏了。

而与之相对的就是投资,投资或许正好是一个相反的效果,我可能投了100笔,其中有99笔都损失了,但只有一笔赚回来了,我整体投资就是赚的。

对风险而言,收益是当期可见的,但损失是滞后的。当然,这个例子并非说投资是更好的商业模式,其实投资的风险远远高于信贷。

现在我们都在谈债转股和投贷联动,但是我觉得这两个东西没有从根本上解决风险,只是把眼前的风险往后延迟,为了眼前的“好看”,做了一个类似于时空的转换,就是把债券转换为股权,只是从时间上把风险延后了,风险仍然存在。

比如我们说一家钢铁企业很不靠谱,怎么都不盈利,要想改变它的现状不是说直接去投多少钱,因为它可能是一个结构性的问题,结构性的问题要靠改革而不是资金来解决,所以你把它所欠的外债转换成股票,转成股票企业就能起死回生吗?还是亏的。

“贷款贷成股东”,我觉得这是一种非常无奈的事情,看一件事情你需要看最终的受益者是谁,债转股最终谁受益呢,我觉得是地方政府最受益的,所以我们看一看到底是谁在倡导与推动就可以了。

第四个,风险在人性层面

股市大起大落,这需要探讨一个问题,股票的价值到底是一个什么样的价值,股票的价值是反映公司的经营现状吗?我觉得不是。股票的价值反映的是在未来的一个价值,反映的是大众对某个公司未来现金流的一个预期,这是我们对股票应该有的认知。

这种情况下股票的涨跌靠的是什么呢,它靠的是大众对股票的一种心理预期,而大众的心理预期被什么影响和左右呢?贪婪和恐惧会放大你对风险倾向的选择。

比如我们看到一只股票跌了,可能它跌一两次也就止住了,但实际上大众的盲目性、疯狂的抛售会导致这只股不停的跌下去。

就像2015年上半年的股市,下跌一旦开始,会引发大面积的恐慌,任何东西都无法阻挡继续下跌的趋势了。所以我觉得风险的本质应该是对人性的一个放大,对人的贪婪的放大,对人的恐惧的放大。

这个地方还有一个引申的话题,杠杆是不是恶的?在美国次贷危机的时候,美联储和财政部就讨论过这个问题,认为美国的次贷的确是一个高杠杆的事情。那么杠杆到底是不是恶的呢?

杠杆本身这个事情肯定不是恶的,比如说我们现在的房贷,就是杠杆撬动,它肯定不是恶的,因为它满足了部分人的购房需求,甚至还给部分人群带来了福利。所以杠杆就像双刃剑,具体看你怎么去利用这个东西。

第五个,你认为有风险,它就有风险

我们看穆迪还有标普这些评估机构,它们是怎么去评那些风险等级的呢?我们需要思考这个问题。我们都知道,既然是次贷,它相对于优质贷款肯定是高风险的。

而在美国次贷危机的时候,华尔街的那些顶级的金融精英们非常聪明,他们做了一件非常有花样的事情,把这些次贷再细分一下,其中的“相对优质部分”他们去找评估机构评,并且被评为AAA级。这些外部的评估机构明知道是一些“次贷”,为什么还会把它评为AAA级呢?

还有一个问题,为什么黄金是越涨越买呢?而房子也是越涨越买呢,特别是今年年初北京,上海,深圳房价一路飙涨的情况下。当房价不怎么起伏的时候,大家一般就是静待,而一旦价格上涨,一批人就会去跟风。

这个事情能反映一个本质,哪怕是国际上的这种风险的定价和量化,也不会说有绝对的权威性。放到国内我们会发现,国内几乎是缺乏对风险的定价和量化的,这就是为什么我们在听说某个信托打破刚兑了我们会特别惊讶,某个理财没有如期的兑付我们会特别惊讶,某个项目方还不起贷款了我们会特别惊讶。

其实这没什么可惊讶的,要为自己的投资负责,一份投入一份风险,投资时要对风险有所认知。默认为所有的投资都是赚钱的,一旦投资不赚钱了,就拉横幅闹事,这种情况在国内是普遍的,而这就是因为缺少对风险的定价和量化。

既然这方面缺少了,那投资的差价是怎么产生的呢?一种可能是信息不对称的原因,另一个则是因为在缺少风险定价和量化的前提下,人们的“共识”代替了风险定价,造成风险的本质就是“百分之多少的人持有风险倾向”。

还有,同一款产品,不同人对其风险判断是不一样的,你觉得5%的损失是高风险,而我可能觉得1%的损失就是高风险了。小明和隔壁老王,对这件事情的看法是不一样的。

将风险控制在可接受的范围之内

最后说一下风险处置

风险分为市场风险、操作风险、法律风险、信用风险、流动性风险等等,对于这些风险,应对措施其实是套路化的,比方说对风险进行隔离,进行缓释、置换等。针对不同的风险,有单一的措施,也有组合的措施。风险处置最终的目的不是去消除风险,而是将风险控制在可接受的范围之内

以上吧。现在,我更喜欢研究金融业务,而非风险,但每一个业务与风险却互相纠缠,不懂风险就不懂业务,不懂业务就不懂风险,希望每一个银行从业都对风险都保持一份敏感,戴着镣铐起舞,也风度翩翩。谢谢。





====================================分割线================================


本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
玄学酱
+ 关注