操作风险，会计职业中那个看不见的房间里的大象

大家好，我是你们的老朋友，一个在注会行业摸爬滚打多年的“笔杆子”。

今天我想和大家聊一个稍微有点沉重，但又极其重要的话题，当我们谈论金融、谈论审计、谈论企业运营时，大家的目光往往会被那些光鲜亮丽的“市场风险”或者深奥莫测的“信用风险”所吸引，毕竟，那是关于K线图上跳动的数字,是关于巨额贷款能否收回的惊心动魄。

作为一名专业的注册会计师，我想告诉你的是，真正让我们夜不能寐的，真正能让一家百年老店在一夜之间轰然倒塌的，往往不是那些看不见摸不着的宏观经济波动，而是潜伏在企业日常运营毛细血管里的——操作风险。

什么是操作风险？不仅仅是“手滑”

教科书上对操作风险的定义非常严谨，通常引用巴塞尔协议的说法：由于不完善或失败的内部流程、人员、系统或外部事件导致的风险。

听起来很枯燥，对吧？但在我看来，操作风险就是企业运营中的“墨菲定律”——凡是可能出错的地方，就一定会出错，它往往披着“小事”的外衣。

我个人一直认为，操作风险是所有风险中最“接地气”的一种，市场风险可能需要等待黑天鹅事件，信用风险可能需要经历一个完整的经济周期，但操作风险，它每天都在发生，它可能是一个新来的实习生把汇款金额多打了一个零，可能是保洁阿姨拔掉了服务器的电源插头,也可能是某个心怀不满的员工利用系统漏洞窃取了核心数据。

这就是为什么我说它是“房间里的大象”，它巨大、显眼，就在你眼皮子底下，但因为大家都在忙着看别的地方，往往选择性地忽略了它,直到它一脚踩扁了你的脚趾。

真实的生活实例：那些令人心惊肉跳的瞬间

为了让大家更直观地理解操作风险的威力，我不讲那些复杂的理论模型，我想分享几个我在职业生涯中亲眼目睹，或者听闻过的真实案例，这些故事，每一个都带着“血泪”。

那个疲惫的审计师与“幽灵”凭证

记得有一年年底审计，我们团队负责一家大型制造企业的货币资金科目，那是一个异常忙碌的审计季，所有人都处于极度疲劳的状态，团队里有一个刚毕业两年的小伙子A,负责银行存款的函证跟进。

因为客户那边的财务经理总是拖延，A在连续加班两周后，终于收到了银行寄回来的回函，为了赶进度，他在深夜两点，仅仅核对了函证上的余额与账面余额一致，就草草地将回函确认归档，并在底稿上点击了“已核对”。

问题出在了那个“人”的因素上，A因为太累，没有仔细检查回函寄回的信封戳记，也没有去验证银行经办人的签字，后来在一次内部质量复核（IQ）中,敏锐的合伙人发现那笔回函的纸张颜色似乎有点不对劲。

经过深入调查，我们发现那根本不是银行寄回的，而是客户财务经理为了掩盖挪用资金的事实，自己伪造的一张回函，那个财务经理利用了审计师“信任”和“疲劳”的弱点,成功地在几个月内掩盖了巨额的资金缺口。

这就是典型的操作风险：流程执行不到位（复核缺失）、人员状态不佳（疲劳作业）、系统控制失效（没有识别伪造），这个教训让A差点丢了饭碗,也让我们整个事务所付出了巨大的合规成本。

Excel里的“蝴蝶效应”

再来说一个更普遍的例子，这发生在我的一个客户身上,一家快速扩张的互联网电商公司。

他们的财务部门主要依赖Excel表格来进行库存和销售数据的对账，大家都知道，Excel是个好工具，但如果缺乏权限管理和版本控制,它就是操作风险的温床。

有一次，一名运营主管在更新库存数据时，不小心将一列数据进行了错误的“拖拽填充”，导致几千种商品的库存数量被错误地放大了十倍，更糟糕的是,财务部直接引用了这个表格的数据去做了下个季度的采购预算。

结果是什么？公司基于错误的库存数据，采购了价值数千万的滞销商品，现金流瞬间吃紧，等到发现错误时，那批货已经堆满了仓库，而且很多是季节性产品，最后只能打折清仓,亏损严重。

这个案例中，系统（过度依赖Excel而非ERP）、流程（缺乏数据交叉验证）、人员（操作失误），三道防线全部失守，这不仅仅是输错数字的问题,这是企业内部管理体系的系统性崩塌。

为什么操作风险如此难以防范？

写到这里，我不禁要感叹一句：操作风险是唯一无法通过简单的金融工具进行对冲的风险。

你可以买期权来对冲股价下跌，你可以买CDS来对冲违约风险，但你买不到一张保险单来防止你的员工在按下“回车键”之前手抖了一下。

我个人认为，操作风险之所以难防,核心在于它挑战的是人性的弱点和企业管理的惰性。

人不是机器，但机器是人造的 我们常说“人非圣贤，孰能无过”，在注会审计中，我们假设管理层是诚信的，但我们不能假设他们是完美的，操作风险中的“人员风险”，不仅仅指能力不足，更包括职业道德、情绪管理、甚至身体健康，一个优秀的风控体系，必须承认人会犯错，并设计出“即使人犯错也能被拦截”的机制。

流程的“形式主义” 很多企业都有厚厚的SOP（标准操作流程）手册，放在书架上落灰，操作风险往往爆发在“流程写在纸上，行动挂在嘴上”的时候，比如上面的回函案例，流程肯定要求“双人复核”，但在执行层面，为了效率，为了赶进度，流程被简化了，这就是典型的“流程空转”。

技术的双刃剑 现在大家都讲数字化转型，讲RPA（机器人流程自动化），很多人觉得上了系统就没事了，错了！系统如果设计不好，不仅不能防范风险，反而会固化错误，甚至让错误传播得更快，如果那个Excel的错误被写进了核心ERP系统,那这个错误就会像病毒一样传染到所有的报表中。

作为注会，我们该如何审视操作风险？

站在注册会计师的角度，我们在审计中到底应该怎么看待操作风险？我的观点很明确：不要只看结果，要看过程；不要只看数据，要看控制环境。

当我们进行审计时，如果发现一家公司的财务数据非常完美，平得像镜子一样，我反而会起鸡皮疙瘩，因为这意味着要么他们的系统极其强大，要么——他们的操作风险已经被掩盖到了极致。

穿行测试是“照妖镜” 我非常重视穿行测试，这不仅仅是走个过场，我要亲眼看着业务是怎么发生的，我会随机抽取一笔采购，从请购开始，到审批，到下单，到入库，到付款，在这个过程中，我能看到很多报表上看不到的东西：比如审批单上老板的字迹是否潦草（是否代签），比如系统里的必填项是否为空,比如仓库管理员是否既管账又管实物。

这些细节,就是操作风险的藏身之处。

关注“例外”事项 在审计中，我们经常会遇到各种“例外情况”，某个月份的费用突然波动，或者某个供应商的发票总是晚到，很多初级审计师会倾向于接受客户“合理的解释”，但我会告诉我的团队：每一个例外事项背后，都可能隐藏着一个操作风险的黑洞。 如果不能合理解释，就必须深挖,因为这往往是内控失效的信号。

评估“三道防线”的有效性 现在的企业治理讲究“三道防线”：业务部门是第一道，风控合规是第二道，内审是第三道，在审计中，我会专门去观察这三道防线是不是真的在发挥作用，如果我发现内审部门直接向财务总监汇报（而不是向审计委员会汇报），那我就知道,这家公司的操作风险防范体系基本上是瘫痪的。