你好,我是老陈,一个在注会和内控风控行业摸爬滚打十几年的“老兵”。
今天想和大家聊聊“内控风险管理师”这个职业,说实话,每次参加聚会,当别人问我“你是做什么的”时,我都得深吸一口气,如果我说“我是做内部控制的”,对方通常会一脸茫然地点点头,然后心里想“大概是管管账本的吧”;如果我说“我是做风险管理的”,对方眼神里又会闪过一丝惊恐,仿佛我是那个专门在公司里到处挑刺、扣人奖金的“冷面判官”。
这种误解太深了,以至于我常常觉得,我们这群人就像是企业里的“隐形守护者”,在这个商业环境瞬息万变、黑天鹅事件频发的时代,内控风险管理师究竟在做什么?我们存在的意义仅仅是满足监管要求,还是有着更深层、更人性化的价值?
我想借着这篇文章,剥开那些枯燥的法规条文,用最接地气的方式,聊聊这个职业的酸甜苦辣,以及我眼中它的真正价值。
我们不是“踩刹车”的人,我们是“护航员”
很多人对内控风险管理师最大的误解,就是觉得我们是业务的“绊脚石”。
“这个流程太慢了,内控要审三天!” “这笔款付不了,风控说发票不合格!” “那个项目不能做,风险太大!”
在业务部门眼里,我们似乎永远在说“NO”,但在我看来,这其实是一种视角的错位。
举个生活中的例子吧,这就好比你想买一辆跑车去飙车,追求极致的速度和快感(这是业务部门,追求利润和增长),而我,就是坐在副驾驶座上,手里拿着地图和刹车踏板的人。
我不是不让你开快车,我是要确保你知道前面哪里有弯道,哪里是悬崖,以及这辆车的刹车系统是否完好。
我有一次亲身经历,印象特别深刻。
那是在一家快消品公司做项目时,销售总监老张急匆匆地跑来找我,当时正值旺季,一个大客户承诺只要我们能在一周内发货并给予“账期45天”的特殊优惠,就签下一个千万级的大单,这对销售部来说,是天上掉馅饼的好事。
但作为内控风险管理师,我的职业雷达立刻响了起来,我拦住了老张,说:“先别急着庆祝,我得查查这个客户的背景。”
老张当时脸都绿了,指着我的鼻子说:“老陈,你是不是见不得我们赚钱?这可是千万级的单子,黄了你负责?”
压力巨大,但我坚持调取了对方的征信报告和工商关联信息,结果发现,这家公司虽然表面光鲜,但其母公司正在涉及巨额债务诉讼,且资金链极度紧张,所谓的“千万订单”更像是一场最后的“骗贷式”采购。
我们拒绝了这笔生意,一个月后,新闻爆出那家公司老板跑路,好几家同行因为赊销给这家公司,导致几千万货款打水漂。
那天晚上,老张特意请我喝了顿大酒,喝多了他拍着我的肩膀说:“老陈,以前觉得你是来踩刹车的,现在才知道,你是救命的。”
这就是我的观点:优秀的内控风险管理师,从来不是为了阻碍业务,而是为了让业务跑得更稳、更远,我们不是在制造对立,而是在寻找“风险”与“收益”之间的黄金平衡点。
风险管理,本质上是管理“人性”
如果你去考CPA或者CIA(国际注册内部审计师),教科书会教你各种模型:COSO框架、三道防线、风险矩阵……这些工具当然重要,是吃饭的家伙,但在我十几年的职业生涯中,我越来越深刻地意识到,风险管理,归根结底管理的不是数字,而是人性。
贪婪、懒惰、侥幸、过度自信……这些人性中的弱点,才是企业最大的风险敞口。
我见过一个出纳挪用公款的案子,手法简直“拙劣”到令人发笑,却又“高明”到让人深思。
那个出纳小姑娘,刚毕业没两年,人很机灵,她利用公司财务主管“从来不核对银行对账单”的懒惰,以及自己掌握网银U盾的便利,在两年的时间里,挪用了两百多万用于网购和整容。
案发是因为她怀孕了,心理压力巨大,怕生完孩子后被查出来,于是自首。
在这个案例里,内控流程其实是有漏洞的(网银U盾未分离),但更大的漏洞在于“人”,主管的信任变成了纵容,小姑娘的欲望变成了深渊。
作为内控风险管理师,当我们设计制度时,不能只把员工当成没有感情的执行机器,我们必须假设:如果我是他,在没有任何监督的情况下,面对巨额资金的诱惑,我会怎么做?
这里我想发表一个比较尖锐的个人观点:
很多企业的内控手册做得像字典一样厚,锁在柜子里吃灰,就是因为它们“反人性”,如果一个流程要求员工为了报销50块钱的打车费,填五张表、找三个领导签字、耗时两周,那么这个流程注定会被绕过。
员工会怎么做?他们会造假,他们会找捷径,他们会为了效率而牺牲合规,这时候,原本为了控制风险的制度,反而逼出了新的风险(舞弊风险)。
真正好的内控,一定是符合人性的,是“顺滑”的。 它应该像红绿灯一样,在关键时刻提醒你停下,但在畅通无阻的大道上,绝不会让你频繁踩刹车,我们要利用技术手段(比如OCR识别、自动审批)去减少人为的干预,把“好人”变成“坏人”的机会降到最低。
从“救火队员”到“天气预报员”
以前,大家觉得内控风险管理师就是“查账的”或者是“出了事来背锅的”,这种被动的角色,我称之为“救火队员”,哪里冒烟了,我们就冲过去,弄得一身灰,还得被埋怨动作慢。
但在现在的商业环境下,这种模式已经行不通了,现在的市场变化太快了,等你闻到烟味,火可能已经把大楼烧了一半了。
内控风险管理师的角色,必须转型为“天气预报员”。
我们要做的是在风暴来临之前,通过气压、湿度、云层的变化(各种经营数据和信号),预测出哪里会有暴雨,哪里会有台风,然后告诉船长(管理层):建议绕行,或者加固船体。
这就要求我们不能只懂财务,必须懂业务。
我有一个朋友,在一家大型互联网公司做风控,前几年,公司大力推行海外扩张,作为风控负责人,他没有坐在办公室里审合同,而是直接飞到了东南亚和南美的一线市场。
他发现,虽然当地市场潜力巨大,但在某些国家,由于法律体系的不完善和“潜规则”盛行,我们常规的“合规反舞弊”流程根本行不通,如果你非要死守国内那一套,业务根本推不动;但如果你完全入乡随俗,又可能触犯美国FCPA(反海外腐败法)的高压线。
回来后,他没有简单地说“做”或者“不做”,而是设计了一套“灰度风控机制”,对于高风险区域,设立特殊的审批通道和更高的风险准备金计提比例,同时引入第三方当地机构进行背调。
这就是战略层面的风险管理。我们不再仅仅是盯着后视镜看过去,而是透过挡风玻璃看未来。
我个人非常推崇这种“业财融合”的风控模式,如果一个内控风险管理师不懂公司的产品怎么卖、供应链怎么转、客户在哪里,那么他提出的风险建议就是纸上谈兵,甚至可能把公司带沟里去。
数字化时代的焦虑与机遇
聊到这,不得不提一下现在最火的话题:数字化、AI、大数据。
说实话,作为传统出身的内控人,我也有过焦虑,以前我们靠抽样、靠访谈、靠凭经验判断,现在呢?系统每秒钟产生成千上万条数据,靠人眼是看不过来的。
但我很快发现,这不是末日,而是新生。
以前我们要查“供应商是否存在关联交易”,可能得翻阅几百份工商档案,比对法人名字,累得吐血,通过爬虫技术和大数据图谱,系统一秒钟就能把所有关联方画成一个复杂的网络图,哪个节点有风险,直接标红。
这给了我们一双“千里眼”。
但我必须提醒一点:技术再先进,也不能完全替代人的判断。
我看过一个案例,某公司上了非常昂贵的智能风控系统,所有审批全部自动化,结果,有一个骗子团伙,专门研究这套系统的算法逻辑,他们发现只要把单笔金额拆分成小额,且频率控制在一定范围内,系统就会判定为“低风险”。
他们在半年里,用几百个“蚂蚁搬家”式的小额交易,搬走了公司几百万。
这说明什么?说明机器是死的,人是活的。内控风险管理师的核心竞争力,永远在于那颗“怀疑的大脑”和那种“敏锐的直觉”。 我们要懂得利用技术作为武器,但不能把判断权完全交给机器。
写在最后:这是一份孤独但伟大的工作
文章写得差不多了,我想再感性一点。
做内控风险管理师,是一份挺孤独的工作。
当你坚持原则时,你会被同事孤立; 当你预警风险时,如果不被采纳,你会看着灾难发生而感到无力; 当你发现身边的老同事、老朋友因为贪念而身陷囹圄时,你会感到惋惜和沉重。
我们不像销售那样,业绩斐然,鲜花掌声围绕;也不像研发那样,产品上线,万众瞩目,我们的工作成果,往往是“无事故”、“无舞弊”、“无损失”,这些东西是隐形的,只有在失去的时候,人们才会意识到它的昂贵。
我依然热爱这个职业。
因为我知道,在一个充满诱惑、欺诈和不确定性的商业丛林里,我们是最后一道防线,我们守护的不仅仅是公司的资产,更是商业规则的底线,是那些诚实劳动者的权益。
如果你问我,什么是优秀的内控风险管理师?
我会说,他一定是一个“最懂业务的守门人”,一个“最通人性的心理学家”,以及一个“在这个疯狂世界里依然保持清醒的悲观主义者”。
我们时刻准备着,为了那个可能永远不会发生的“灾难”,日复一日地修补着篱笆,擦拭着盾牌。
这,就是我眼中的内控风险管理师,如果你也是同行,我想对你说声:辛苦了,朋友,这世界需要我们的清醒,如果你不是,希望下次再见到我们时,你知道,我们不是来添乱的,我们是来保平安的。
还没有评论,来说两句吧...