风控随感(一)

风控是一个组织的免疫系统

首先，我要跟大家道歉，因为有一段时间没有更新了。没有更新的原因有几个：

一是最近有点忙，但这个应该不是理由的理由，因为时间就像那个什么，挤一挤总归有的。

二是在考虑要不要做点研究以外的事情，比如是否用自己的模型来成立个私募之类的。

三是关于风控，好像想写的东西很多，但是到动手的时候，却又无从下手。其他书上写过无数遍的风控环境、风险评估、控制活动、监督、信息与沟通五要素或者目标确定、风控环境、风险识别、风险评估、风险应对、控制活动、监督评价、信息沟通八要素，真觉得没有什么必要去重复。

OK，接下来写写我对风控的看法吧。

风险控制既是风控部门的事情，其实又不是风控部门的事情

这句话有点绕口，但是很能说明风控的实质。

所有的风控理论和框架都提出要建立一个专职负责风控的部门，比如，我国财政部发布的《内部控制基本规范》第十二条规定“企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。”因此，风险控制成为风控部门的事情。

但是，风险控制的对象是经济活动过程中的风险，而风险的根源在于业务。风控部门本身从事的经济活动过程并不多，经济活动的主要部门是在各类业务部门。风险控制最重要的是要让业务部门自身对风险进行控制，而不是仅仅依赖于风控部门。因此，风险控制其实又不是风控部门的事情。

概言之，风控应该是整个公司所有部门和员工的事情，而不是风控部门一个部门的事情。如果成为风控部门一个部门的事情，则风控部门累得半死的同时，风险还永远无法得到真正有效的控制。

风控是无法得到重视的免疫系统

风控是一个组织的免疫系统，通过风险防御、风险识别、风险调整，避免一个组织陷入巨亏甚至破产的深渊。

然而，组织对风控的态度，就如我们每个人对自己的免疫系统一样——没出事的时候，多数人对免疫系统嘴里表示重视，实际上根本不当回事，人往往在失去健康的时候才知道免疫系统的重要性，但是悔之晚矣——同理，很多组织大会小会讲风控，但是实际工作中却根本没有风险意识，直到管理中出事，比如重大舞弊、重大损失等发生后，才会回头强调和重视风控。并且，多数组织的风控，一直在重视——忘记——重视——忘记的循环怪圈中。出事了，重视一段时间；过一段时间一看没事情了，又忘记了。可谓是好了伤疤忘了疼。

一个基业长青的百年组织，则始终将风控放在首位。人无远虑必有近忧，生于忧患死于安乐，诚斯哉。

五要素和八要素可以用于评价风控，但是无法落实风控

从开始学习风控开始，我们就开始接触内部控制框架的五要素和风险管理框架的八要素，因此，一提到风控，言必称要素，否则，一看就很菜。

在实践中，我们可以用这些要素来评价一个组织的风控是否良好，但是一个组织要是按照这些要素去拼凑风控体系，结果往往不会理想。风控应该融入整个组织的神经系统中，才能取得好的效果。这些要素根本就无法从组织系统中一个一个单独抽取出来的。而理论框架中给我们带来一个严重的误导：要素是可以单独存在的，风控体系就是这些单个要素的堆砌。

打个比方，我们可以用身材比例是否协调、神经系统是否正常、血液是否达标来评价一个人的健康是否良好，但是，我们无法逆过来，把一堆器官、一滩血液凑出一个健康的人。

过程孕育风险

如果时间是静止的，就凝固在我写文章的时刻，那么，就不存在着风险。风险是我们在走向未来的过程中产生的。

一个组织的风险，存在于其开展未来经济活动的过程，这个过程包括：战略规划—战略执行—战略结果—战略规划……，循环往复、周而复始。因此，从过程的角度，组织的分析包括战略风险、执行风险和结果风险。

为了防范战略风险，现代公司需要建立股东大会、董事会和高管层这一套治理体系——这套治理体系的核心是通过治理体系中的民主决策机制达到权力的平衡， 以避免专制独裁下的战略方向性错误。一个组织最怕的是战略错误，因为这类错误往往会导致一个组织陷入万劫不复的境地。

执行风险可以按照公司的具体经济活动领域来细分，包括财务风险、人事风险、生产安全风险、信息技术风险、采购风险、研发风险、销售风险、投资风险、工程项目风险等等，这些风险之间互相关联，所以需要风控部门来协调和统筹。比如，财务风险可能来源于信息技术风险，公司ERP系统中的漏洞会导致了财务舞弊的出现；人事风险可能会引起研发风险，人事无法招聘到具有胜任能力的人员而导致研发无法顺利开展，甚至招聘到滥竽充数的南郭先生而导致研发工作被误导。

结果风险主要在于一个组织是否可以对结果进行恰当的评价并给予公正的处理。一个好的结果管理系统，在很大程度上会决定这个组织到底是一个平庸的组织和一个卓越的组织。