从洗“四大”的脚、踏上田地开始，回想企业落地的这几年，真的很不容易。Q：从“四大”的咨询顾问转变为大型企业的内控负责人，最大的变化和挑战是什么?以前，作为外部顾问，负责许多大企业的风力控制系统建设项目，根据当时客户的要求，在几个月内完成成果交付，向客户提供文件形式的纠正建议或项目报告，不需要过度考虑内部控制建议的落地实践性和提供给客户的具体价值。也就是说，无论项目完成得有多好，都可以访问如果把“四大”比作单纯的大学校园，那企业才是真正复杂的社会。

　　在企业内部，风控部门单纯从独立第三方的角度，单纯地具有外部合规规则，向业务部门强调内部管制要求，但如果没有站在他们的角度来衡量外部合规要求和内部开发要求，这可能很难理解，很难承认，也很难执行内部控制任务。

　　作为置身事外的第三方。同时，作为企业的风控人员需要在最恰当的时间点、用最恰当的方式、向最恰当的管理层提出内控改善建议，才可能达到内控管理提升和优化的目的。所以说在企业这个复杂的社会里，我们需要学会审时度势，在适当的时候发光发热，才能比较好地生存和发展下去。

　　搭建企业风控系统平台，实现风控价值从“形式”到“实质”的转变

　　Q：风险管理、内部控制、合规管理对于企业而言，究竟是各行其道还是相互融合?

　　首先，虽然早在2006年国资委就出台了《中央企业全面风险管理指引》、2008年和2010年财政部联合五部委相继出台了《企业内部控制基本规范》和配套指引、2018年国资委又出台《中央企业合规管理指引》，但是由于这些规范指引出台的时间差和颁布机构组织的差异，导致企业在执行风控合规体系建设和落地过程中出现了认知模糊的情况。尽管各种专业机构有过很多解读，但我个人认为，针对风险管理、内部控制和合规管理的联系和区别，到目前都没有一个被大家一致认可的说法。因此，在企业落地执行过程中会出现差异化的组织架构或工作模式。

　　我个人认为，首先以风险为导向的理念，是企业投入内控建设、合规管理，甚至是内部审计的最基本要素。针对企业发展战略、当前经营状况和管理层的风险偏好，把内控、合规和内审的工作聚焦在与企业经营更加相关的内容，才能真正实现风控合规管理的价值。而至于风险管理、内部控制和合规管理，到底是一个部门还是几个部门分别负责，我觉得没有标准答案，这与企业内部不同时期组织架构设置的规则相关，没有对错。只是希望，当企业内部有多个组织分别负责上述工作时，可以在集团或者总部层面通过建立虚拟工作组等形式，保持定期沟通，避免工作内容重叠或遗漏。

　　搭建企业风控系统平台，实现风控价值从“形式”到“实质”的转变

　　Q：哪些措施能帮助企业各部门相互配合，做好内控执行工作，实现风控价值从“形式”到“实质”的转变?除合规的需求外，哪些方面可以提高企业对内部风险控制的重视?

　　我想借用“顺禧丰控”公众号的一篇文章——《从业务中来，回业务中去》里表达的理念来回答这个问题。风控，作为企业内部的一个部门，它既独立于业务部门，又不能真的把自己当成独立第三方置身于企业之外。首先，我们需要通过培训、宣讲等尽可能多的内控文化建设手段，让业务部门了解什么是内控，要让他们认同内控并不是合规的附加值，其源于业务管理本身，业务部门才是内控真正的主人。其次，我们要让业务部门了解，通过执行内控可以让业务得到什么。不要再僵化地用外部合规的基础要求去跟业务部门讲大道理，而是要把内控工作做到深入业务，抓住管理的重点和痛点。

　　比如说，以前作为外部咨询顾问做销售合同签署的内控评价时，我们经常会跟业务人员强调合同审核的重要性：合同没签名或者倒签、合同条款表述不合理等，可能会给公司带来的潜在损失有哪些。但其实这种合规导向的表述不够直观，让业务部门很难理解。而且传统的内控抽样检查，很难向管理层展示内控缺陷的真实影响，很容易让业务部门觉得所谓内控就是为了满足合规要求、阻碍业务发展，所谓内控发现是以偏概全、在鸡蛋里挑骨头。

　　现在，同样是针对合同审核的重要性，可以通过数据分析工具，全量解析销售合同异常数据，结合财务报表和管理报表上的数据，非常明晰地向业务部门列示由于合同签订不规范而导致产生了多少坏账、发生过多少诉讼、销售业务人员虚报了多少收入、多拿了多少业绩提成等。通过聚焦业务，接地气地提高业务人员对风控的认识，当他们感受到内控的价值和作用其实是在帮自己降低风险和损失时，自然也就重视了，也就实现了内控从形式到实质的转变。

　　搭建企业风控系统平台，实现风控价值从“形式”到“实质”的转变

　　Q：内部控制与风险管理在中国的发展趋势是什么?

　　其实以我从事风控工作十几年的经历来看，很明显地感受到风险管理和内部控制在国内的发展，已经从一开始迫于外部合规压力而被动接受，发展到现在企业主动投入更多的资源到内部风控体系建设当中去。推动其从被动向主动发展的原因，我个人认为是一些走得比较快的标杆企业通过风控系统平台工具的应用，把风控工作从表面合规向聚焦经营发展，更好地体现了风控实质价值的所在，因此让更多企业走上了追随的行列。

　　2019年国资发监督规101号文《国资委关于印发〈关于加强中央企业内部控制体系建设与监督工作的实施意见〉的通知》的出台，国家更聚焦地提出了企业开风控合规体系建设的细则，这种内外需求的里应外合，我相信在不久的将来，风控的文化一定会在更多的企业当中生根发芽，也会被更多的企业认可。在未来，企业在经营过程中可能在考虑“怎样把业务更快地跑起来”、“怎样发展得更快”的同时，还会考虑一下风险控制的问题，比如企业快速发展中，可能会面临哪些风险、需要用哪些手段来弱化等。

　　搭建企业风控系统平台，实现风控价值从“形式”到“实质”的转变

　　Q：什么样的企业适合搭建风控系统平台，或者企业在什么阶段需要搭建风控系统平台?对于没有预算搭建平台的小公司，有什么提高风险控制的建议吗?

　　其实针对企业风控系统平台的搭建，我相信大数据、区块链、人工智能等科技热潮在国内已经发酵了很长的一段时间。近期通过顺禧咨询的孵化业务，我跟很多同行有过业务上的交流，大家对风控系统平台、大数据、智能预警监控等范畴都非常感兴趣，也都很跃跃欲试，这也是刚刚提到的风控信息化建设已经逐步成为助力企业健康持续发展的一种自发的需求。那么到底在什么时候，企业可以考虑搭建风控系统平台呢?参考我个人在过去五年多在顺丰的风控工作经验来讲，一开始是按照外部合规框架搭建上市合规内控体系，慢慢地将内控体系建设从集团总部合规层面往业务经营深入，在工作范围上从重点业务单元向国内外主营业务板块的全面覆盖，甚至辐射到投资控股和内部孵化业务。当企业有限的风控人员配置难以应付庞大的内控体系全覆盖工作的时候，自然自动化、智能化的风控系统平台就变成了一个必要的需求。

　　比如在2017年底，顺丰的内控组就制定了一个在两年内完成集团国内速运板块70个重点业务单元、涉及近300个账套的内控评价全覆盖的工作计划。整个庞大的工作计划是由我们集团内控组的8个人统筹完成的，如果通过邮件、电话等一些沟通方式与纳入推广范围的70多个经营单位沟通的话，会派生出大量的内控测试数据下发、回收、缺陷确认、反馈跟踪等一系列非常繁琐的工作。这时研发风控系统平台，由系统替代宝贵的内控人员编制去执行这些费时费力又不讨好的工作，就能大大提高风控工作的效率，也把大范围开展风控、内控体系以及监督评价体系建设变成了可能。也就是说，企业的风控工作已经有一定的基础，工作流程和模式比较规范，而且公司已经有了一定的规模，需要跟不同的业务板块或者区域对接沟通的时候，搭建风控系统工具会使风控的工作事半功倍。这是一种企业内部风控工作已经比较成熟的场景，大型企业对于风控系统的一个必然的需求。

　　还有一种与之相反的场景，当企业由于不管是被动还是主动的原因，要在内部启动风控体系建设而自己又没有相关经验的时候，透过引入一些合适的风控系统软件，就等于买回来一套标准且具有实操性的工作方法论和工具模板，通过系统工具的推广和落地使用，可以快速完成整个风控体系的标准化和智能化，避免了很多弯路。所以说，只要企业有需要而且有一定预算的话，都可以考虑搭建风控系统平台，因为这一定是未来发展的趋势，我相信企业早晚都会想去实现它的。

　　而之所以谈到需要系统工具，其实无论是业务系统还是风控系统，都是因为企业规模达到了一定程度，普通的手工操作已经不足以应付业务发展的需要。因此当企业规模还比较小或处于初创阶段时，我认为可以先不用特别地去考虑搭建风控系统平台，甚至可以把内控管理流程简化。我个人的观点是，初创企业一开始最关键的其实是明确业务职责分工和授权，要找不同专业背景的人员来承担不同的岗位职责，并赋予他们一些恰当的全权责任，尤其要把工作的重点、管控的重点放在市场销售的环节。而当企业逐渐壮大，风控部门就可以开始把眼界放得更大一点，从开源、节流两个方面关注收入和成本费用相关的控制，比如说销售合同、订单、发票和收款的匹配性和一些潜在的隐性风险。而且另外一方面，从资源投入端一些大额成本费用开支的需求合理性，比如采购过程的公开公允性、费用报销的真实性等等一些问题。其实把风控的重点放在这些更加务实的业务流程管控的角度上，可能对于一些一开始没有太多预算的中小企业来说，反而更加实在。

　　搭建企业风控系统平台，实现风控价值从“形式”到“实质”的转变

　　Q：非金融企业应该从哪些场景切入搭建风控系统平台?

　　从我个人在企业内部做风控工作的经验来讲，这其实要看企业到底想解决什么问题。比如我们顺禧的风控系统平台，其实是分为风险管理、内部控制、内部审计和数据分析预警这四个模块。我会将这四个模块分为两种功能，一种是工作台、一种是预警平台。所谓的工作台其实承载的是标准化的工作方法和工作流程，用来提高风控部门本身的工作效率的;而大数据分析预警平台，体现的是企业内部差异化的业务风控目标，可以更好地实现风控的实质价值。

　　比如说，一家企业目前的需求是将内部风险控制评价工作在集团内部推广，要解决的是工作流程、工作成果不统一和工作进度难以监控的这么一个问题的话，那我觉得用相对比较少的成本搭建风险管理或者内控模块这种工作台就可以满足了。透过系统工作台的使用，可以固化工作流程和模板，自动生成固化的一些工作报告，从而实现线上的问题跟踪反馈，用以提高工作效率，同时也有助于整个风内控工作的成果沉淀。但是如果企业的需求是更加聚焦经营目的，搭建系统的目的是为了深挖经营的问题、对经营的风险进行预警预测，那这时必然就需要用到数据分析和预警的工具，就可以考虑搭建数据分析的预警平台。

　　但是当然，如果一个企业的风控工作已经比较成熟，而且企业内部的关键业务系统的信息化程度比较高，然后又有一定的预算，在这种天时地利人和的条件下，我就会建议企业搭建风控合规预警的一体化系统平台，用工作台的标准化工作流程提高工作效率，用大数据分析预警工具，用风控工具做出一些让企业主看得到的亮点，向管理层展示风控工作的实质价值。我相信，这也是企业内部考虑搭建风控系统的初衷。

　　数据分析工具的运用可以使企业风控工作在短期内脱胎换骨。以前内控部门只能拿所谓的抽样样本说话，现在一下子就可以向管理层展示某个内控问题的全流程的量化影响。当一个内控专项可以帮企业节省几十万、上百万元甚至更多的时候，自然就会得到更多的后续资源投入到风控系统平台建设里。所以，在风控系统平台资源投入的过程当中，一开始更多的精力我不建议花在系统的流程节点、展示界面和工作模板字段这种太聚焦的个性化需求上，而应该把更多的预算放到关注风控系统可以给企业的风控工作带来哪些更实在的价值上。

　　搭建企业风控系统平台，实现风控价值从“形式”到“实质”的转变

　　Q：内控系统势必需要全面收集企业经营相关的大数据，作为第三方平台服务提供方如何解决收集到的企业数据安全问题和信任问题?

　　我不是IT背景出身，但当我们有意向在顺禧咨询推出风控系统平台的云产品时，我有跟研发人员讨论过相关的问题。风控系统平台其实跟所有的业务系统一样，分为两种：一种是本地实施的，也就是部署在企业内部的环境里面的;另一种也是现在比较普及的云产品，这两种模式其原理和数据安全保障的要求其实是雷同的。

　　传统的理念一定认为全放在自己家里的系统肯定比放在第三方云上的系统要安全，但其实随着一些大型公司内部人员盗取企业内部商业机密和内部数据等新闻的爆出，也会让我们感觉到，其实不管是财务系统、业务系统还是风控系统，企业数据信息是否安全，关键在于企业内部的信息安全和数据安全的管理水平，而并不在于是否外购的一个平台产品上。这其实就像倒推到十年之前，我们可能都不能想象到今天自己的钱已经不是放在随身携带的钱包里了，而是通过各种APP的支付工具承载。这其实也是一个道理，也许这就是信息化时代的一个进步。

　　搭建企业风控系统平台，实现风控价值从“形式”到“实质”的转变

　　Q：不同类型的企业，其风险控制点有较大不同，第三方风控系统平台如何满足这些差异化的需求?

　　我个人一直认为风控是一份具有创造力的工作，它除了一些大框架性的基础理论之外，几乎是没有标准的所谓“行业最佳实践”。因为其实企业面临的风险既受到外部不可控的宏观环境的影响，又受到企业内部的企业文化、管理层风险偏好等微观因素的制约。因此作为第三方的系统平台，如何感同身受地去理解客户的需求，置身于企业内部系统用户的角度去考虑问题，对于风控系统会根据客户的个性化场景定制开发其实是至关重要的。第三方的系统平台需要做到有一颗同理心，不仅要很好的理解客户的需求、满足客户的要求，而且更进一步的是应该基于客户提出的要求，结合作为服务提供方的内控工作的落地实操经验，给客户提出有建设性的建议和意见，让客户作为参考。这就相当于是集思广益，结合客户和自身的一些经验，把整个风险控制系统做得更好。