受篇幅限制，分上下两篇分别回答，本篇回答“风控”问题。

01.风控工作不能复杂化

风险管理，对很多人来讲，很容易造成“直观”的认识，不就是找风险吗？于是，很多机构到企业后，会整理出厚厚的一套“风险清单”资料。其实，认真想一想，企业内部员工工作十几年，尚不能说清风险之所在，一些没有企业实践经历的机构人员，在短短时间内提交的这种清单，能有实践意义吗？这种清单，往往是通过书本的理解，结合企业情况稍加改动，用风险语言转化出来的目录。

在风控领域中，专家们经常会提出一些玄妙的“方法”。一定要分清楚“IT风控”和“人工风控”的区别。

IT风控，自然需要一套“基于参数自变量设计，通过逻辑关系、管理关系构建数字模型，通过时序、经验或动态计算确定标准值，通过参量现实值的导入和模型计算，找出超出标准值设定范围的异变型因变量，从而判断对应的风险程度”的计算算法，模型的优化有一个被动学习或自学习的过程。

人工风控，是大多企业采取的方式，如果采用IT风控方法去开展工作，企业就“别谈什么发展和绩效”了。

人工风控，不需要象“IT风控计算方法”那样复杂，但要区分风控实施者是哪个“层级”。对于执行层来讲，他们最关心的通常是“可能影响任务完成”的执行问题；对于管理层来讲，他们最关心的是“计划、质量、成本、时间”等过程性不确定问题；对于决策层来讲，他们最关心的是“企业级重大任务或投资损失、财务考核指标能否完成、企业合规、重要岗位人员职业道德、与企业有关的社会舆情”的结果性问题。

不同层级人员对风控的理解、关注点不同，决定了“专门从事风险管理岗位人员”工作的难度。从理论上讲，风险与问题是有区别的，但没必要给“非专业风险管理人员”过多地解释。能够预先提出“可能出现的问题事项”，或者过程中及时发现“问题萌芽事项”，或主动报告“发现的问题事项”，就是风险管理的成绩。请注意，我用的是“事项”，而不是“风险”。

02.风险管理部门如何聚焦企业级风险？

这部分，讲的不是搜集风险信息的过程，而是从管理层到领导层的企业级风险传递。

风险信息搜集这一过程，对风险管理部门来讲，工作重点是解决“如何实现”的方法问题（千万别渴望提供风险清单解决，那你就是大神了）。由于来自于不同层级岗位人员，呈现的风险信息，必然是“多彩纷呈”的结果。“风险管理工作”的重点在于：按照关注点设计具体的“节点和表单”，回归于业务管理的渠道，贡献于组织和岗位绩效。节点表单传递的信息，即“风险信息”。

从管理层到领导层阶段的工作，一般由企业“风险管理工作者”承担。工作中有一个对“松散的风险信息”分类分析、综合归纳的过程，基点在于“企业整体”的角度。分好类后，组织一个评估组，通过“头脑风暴”或“分别打分”的方式快速判断，这个过程就是依靠“感性判断”打分的过程，不需要陈述理由，就是凭第一感觉的判断，越快越好。任何“定量”分析，如果不断挖掘，归根结底都离不开“定性”的过程。几轮下来，风险信息的筛选就完成了。

筛选出来的风险信息，需要“风险管理工作者”综合分析，形成企业级风险报告，对单个风险的描述一定要基于“事项”，而不是“结果状态”。但有一个问题：领导层关注的是“结果状态”，往往不认同“过程中的具体事项”，怎么办？

不要渴望领导者完全理解、接受风险管理者的观点和方法，只能去适应领导者的习惯 —— 那就“分层描述”。

风险描述具体表达为：①主要风险：指的是风险可能的结果状态；②主要风险事项：指的就是导致风险结果状态发生的“重要环节”（这才是过程管控重点）；③风险动因：指的是导致事项不确定的“要素原因”（本质就是问题分析）；④风险解决方案：指的是准备采取的措施与责任机构（本质就是工作计划）。

在很多企业中，往往纠结于“风险程度、风险概率”等等，这就是“被理论绑架的表现”。高、中、低的划分，没有任何意义，最后确立的，都是企业级需要“管控”的风险，排好顺序就好，风险的结果状态代表的就是程度。至于预测风险概率，更没有成立的可能，风险的不确定性，没有人能准确地预测出概率（你见过概率用高、中、低反映的吗？），如果说风险趋势就对了。

至于风险图谱，这是书本上的知识，条件是IT实现的模式，本质是“风险地图或图例式索引”，如果认为画一个图谱才能表现风险管理流程的完整性，那还不如用表格表示更清晰。从我本人的认识来讲，风险管理本身并没有流程，只是一个过程的逻辑反映。

03.如何提高企业级风险报告的审议效率？

完成了企业级风险分析与整理，需要考虑一个问题：在上升到决策层后，由于来自于各个领导者、不同部门管理者参加会议审议，来自于不同部门、不同人员的观点，非常可能会导致“风险结果报告”的颠覆，这是风险管理部门最不愿意看到的结果，也是必须考虑的“审批风险”。既然有风险，就要采取措施化解它。

化解审议结果不确定风险，需要构建一个“评分”模型，而这个模型只适用于各部门管理层、企业领导层，通过分配不同的权重、制定统一的计分规则，这个过程也是一个“风险评估”的过程，区别在于评估的范围一般界定在“确定的企业级风险数量和内容上”。比如，准备评估出年度5大风险，那就准备排序靠前的8-10个风险事项进行评估，这也是一个风险重要性筛选的过程。当然，不能完全拒绝评估者提出“新的风险信息”。这个过程也说明了一个道理：如果从“审议审批”节点看，风险评估的过程总是超前的。

评估模型的设计，并不一定完全合理，再合理的模型，也是由人“主观”判断得出的结论。这种方式有一个非常重要的作用 —— 可以提高审议审批效率。具体表现在两个方面：一是在管理层、领导层履行了风险评估程序，扩大了风险信息判断的权威性和可信度；二是统一了各个评估者的认识，结果的呈送，充分体现并尊重了参加评估者的意见，自然有助于提高“审议”过程中的说服力，从而避免由于审议观点“发散”，带来的“风险评估结果”颠覆风险。（本篇完）