2016年4月的时候，包括人行在内的14部委联合下发《非银行支付机构风险专项整治工作实施方案》，网络金融市场人心惶惶，到了7月份，各地陆续有一些问题查出来，估计业内人士都能看到当地人行、银监的查询、调阅文件飞来飞去。而与此同时，网络金融的创新依然在银行、非银机构每天上演，而前天的时候，我看到某政府的一份发文，要求银行研究投贷联动支持科技创新企业，而之前某阿胶省也有一份文件，要求银行不得单方面断贷、抽贷……在风险与奔放之间，总有理不清的故事。

身在银行业，常听到关于银行“大象起舞”不堪重负的抱怨，但千万不要忽略一个非常关键的事实，“稳健经营”是我国银行的天然属性，从大行到小行，“风险”观念深入骨髓，也正是基于此，银行才当仁不让得承担着金融稳定器的作用。凡事有利就有弊，这种天然属性以及由来已久的体制惯性，让银行在网络金融的道路上难以迈开步子，一直走得小心翼翼。作为银行从业，经常有一种紧迫感，“再不干就来不及了”，市场的跑马圈地，从不等人，我甚至已经听到了某些偏激言论，“网络金融市场已经没有银行什么事情了”。

在“风险”这件事上，银行、非银机构的倾向，正好相反，银行的风险管理或许应该更奔放一些，非银机构的风险管理或许应该更趋紧一些，这是一个相对而行的过程，在冥冥中的某处达到平衡。我之前写过一篇文章研究风险和体验的关系，也的确发现银行是轻体验重风险，而非银机构是重体验而轻风险。很多非银机构也会跳起来说，“我们也很重视风险”，重视跟重视是不一样的，银行对风险的重视是坚持全方位的遵循，既有外部严格的监管政策，又有内部稳健的风险偏好，乃至对某些风险，例如声誉风险，是零容忍。

“你们银行风险从业的专业性在哪儿？” 某支付机构的朋友这样问我。我很想拍着桌子跟他解释那些逻辑严密的风险政策、制度、流程，以及那些复杂的风险模型、工具、算法，乃至在合规、内控、反洗钱等领域的深厚积累，但细想了一下，隔行如隔山，我说我的，他听他的，银行的风险范畴与非银机构的风险范畴其实有显著的差别。

这段时间我打了许多电话，了解诸如宇宙行、某宝、某东等的风险单元的职能，发现非银机构关注风险更聚焦于数据，而银行关注风险更聚焦于边界，也就是说，前者更多依靠数据和技术来解决“风险是否接受”的问题，而后者更多依靠制度和流程来界定“风险归于谁”的纠葛。这并非是一个绝对的结论，但的确反应了在风险这个领域的主要矛盾，根据初中学过的唯物辩证法，我们知道，事物的性质是由主要矛盾决定的。

很多银行从业看到“风险归于谁”的纠葛，肯定会心一笑，但“存在即是合理”，哪怕是我来牵头网络金融部门的风险管理，“边界”问题依然会是令人操碎心的关键问题。

按照我的理解，这个嵌入式的风险单元，其职责应该包括：制定战略、调整偏好、厘清边界、加强制衡、打造基础、输出工具等六个方面。

制定战略，说的是风险战略，或者说是风险定位。我个人不是很认同“风险第一”的观点，坚持“业务第一”，“风险第二”，尤其在整个经济下行周期，最主要的问题是业务不发展，而非风险频发，风险频发仅仅是表象而已。风险应定位于促进业务发展，风险的价值就是价值最大化。我发现有一个非常有趣的现象，有些银行搞网络金融立场相当不坚定，本来一个业务发展得好好的，突然冒出一丁点儿风险，就急速收缩，把已拓展的市场，已获取的客户，已赢得的口碑弃之不顾，还美其名曰“重视风险”，此处不得不送上一句话“业务不发展是最大的风险”。

调整偏好，说的是风险偏好，或者把握一个怎样的度。银行的风险向来以“稳健”著称，所谓“调整偏好”并非不崇尚稳健，而是要认识到一个客观事实，网络金融从诞生至今，就贴上了创新的标签，再加上国内监管存在的真空及滞后问题，必然导致“网络金融的发展过程就是不断打擦边球的过程”，这个风险，这个度，要担起来，否则就不要搞网络金融。

并且，风险偏好不是一个口号，必须要落到实处，必须有对应的政策、制度相配合，设计容错机制，计提风险准备，允许一些业务在一些地区先行先试，不要一上来就约束住，这就像养孩子，天天在他耳边说“不要这个”、“不要那个”，孩子活泼的天性就会受到束缚。

新加坡在6月份向FinTech企业推出了“沙盒”机制，即只要任何在沙盒中注册的FinTech公司，允许在事先报备的情况下，从事和目前法律法规有所冲突的业务，并且即使以后被官方终止相关业务，也不会追究相关法律责任。这才是应对网络金融或者金融科技的最佳态度，也是最佳方式，既业务创新，又风险可控。银行动辄几万、十几万的员工，完全可以仿照沙盒机制在员工内部试点一些新兴业务。如此，才是做事的态度，才是该有的风险偏好。

厘清边界，就是“风险归于谁”的问题。在这方面，我坚持两个原则，“谁的孩子谁抱着”和“让懂你的人爱你”。前者是说，自己弄出来的业务自己把风险管起来，不要推给别人，也不要依靠别人，潜台词是说，如果想让别人管风险就需要在业务之初就把别人拉进来一起搞。后者是说，让懂业务的人管业务风险，让懂技术的人管技术风险，不要瞎搞，潜台词是说，如果懂业务不管业务风险就是耍流氓，如果不懂技术还管技术风险就是傻白甜，不要在乎后两个字“白甜”。

针对嵌入网络金融部门的风险管理单元，有两个“边界”需要厘清，一个边界是部门与部门之间的边界，另一个边界是部门内部各单元/团队之间的边界。

关于部门之间的边界，我们应该听过好多银行各部门之间推诿扯皮的段子，由于银行的各业务条线归于不同的部门，业务的专业性其实就是部门的专业性，网络金融部门想把跨境汇款、投资理财迁移到移动端，想把信用卡申请查询、信用贷款申请放款迁移到移动端，这些业务的风险谁来管理？当然应该是业务部门来管理，谁懂谁管。

经过网络金融部门与这些业务部门的一番艰苦卓绝的死磕，现在已经基本达成共识，在之前我听到的极端说法是，跨境汇款等业务，在线下开展的，业务风险归业务部门，在线上开展的，业务风险归网络金融部门，这对于当前的银行体系而言，是极度不负责任的态度。

厘清部门之间的边界，不是把部门之间的关系搞僵，而是众志成城，实现既有资源的有效配置，最大化推动网络金融业务发展。网络金融部门专注创新，也不应该从无到有搭建一切，而应该把其他部门以及既有的资源、系统作为模块，作为积木，进行积木式创新，我始终认为移动互联的价值是协调，而非创造。当然网络金融部门也有必须的风险职责，就是平台风险、商户风险、支付风险、欺诈风险，以及愈来愈重要的声誉风险。

另一个边界，网络金融部门内部各单元/团队之间的边界。抛开外部门不谈，在网络金融部门内部，其实也分业务单元与风险管理单元，这一块儿的风险切分，应该也遵循“谁的孩子谁抱着”这一原则。在网络金融领域的业务一般指的是平台或者产品，例如电商商城、各类移动APP、各类面向不同企业/商户的解决方案、各类支付工具，这些的风险，都要由业务单元自己管着。这叫做业务单元的“风险自担”，跟商业银行内部控制的大原则是一致的。

常常听到这样的声音，业务单元的人说，“我既要管业务又要管风险，怎么忙得过来？” 这是要打屁股的，业务与风险是互相纠缠的，不分彼此，谈业务就是谈风险，谈风险就是谈业务，如果搞业务的不懂风险，哪得是一个怎样的业务？就拿电商商城来讲，商户的准入，商品的筛查，运营的操作，客户的投诉，这都是风险，这都需要管起来，抛开这些不管，业务单元还剩下什么事？

业务和风险从来不是割裂的，也割裂不开。又例如，支付工具，就是设计一个支付流程吗？显然不是，支付的每一个环节都是客户体验与风险的平衡，支付欺诈的防范应对就是对支付流程的反思。支付是存在强弱关系的，水电煤气缴费等高频交易，支付属于强支付，支付的体验越好，客户越多。理财产品购买等低频交易，支付属于弱支付，主要看理财产品的收益，客户对支付体验的要求就不那么高。体验每前进一步，风险就倒退一步吗？也不是，风险需要从其它方面去补偿。例如支付欺诈，某宝为了酷炫的支付体验就引入了指纹、声波，引入了保险，这其实都是风险补偿。

加强制衡。业务单元把业务风险管起来，风险单元干什么？风险单元要加强对业务单元的风险制衡。在银行体系中，我们几乎任何事情都涉及“经办复核制”，要避免“一手清”，“三道防线”也强调第二道防线的检查督导和第三道防线的审计，西方资本主义政体也讲究“三权分立”，互相制衡。这就像2015年上半年的股市，眼看着大盘蹭蹭往上冲，再淡定的大妈也会义无反顾。业务单元有自己的利益诉求，如果风险扯了业务的后腿，业务单元往往不会反思和权衡，尤其在上级指标压力、年终报告亮点压力、业务飞速发展前景等情况下，更容易撇下风险一骑绝尘。

怎么制衡？并非要求风险单元深入业务具体中指手画脚，而是风险单元应该制定原则，业务单元的平台/产品准入、上线、试点、拓展、下线等应在某个既定的框架下续作。就像当前监管对于银行的监管方式，新产品履行报备报批制，并实施“原则监管”，例如了解你的客户、了解你的业务、尽职审查等。

结合网络金融部门的实际来说，风险单元要写制度、定原则，新的平台/产品满足什么条件才可以准入，满足什么条件才可以上线，什么样的平台/产品必须试点，试点过程中的指导原则，试点到什么程度可以全辖推广，什么样的平台/产品必须下线，这都是风险单元的职责。

风险单元实际操作起来有两件事，牵头和审批，牵头的意思就是风险单元因为对具体业务缺乏深入了解，必须牵头各业务单元一起来搞。审批的意思是说，风险单元最好要有一票否决权，哪怕业务单元再坚持，也要给予风险单元这样的权限，这就是对风险单元专业性的要求。

此外，风险单元还有最赤裸的制衡职责，就是检查、督导。理论上讲，风险单元应该对网络金融部门一切业务均有检查并要求整改的权利。在之前，网络金融部门的风险单元也要向风险管理部门进行汇报，号称风险管理部门对网络金融部门的嵌入式风险管理，尽管现在不要求了，但风险单元依然负责衔接外部风险管理部门、稽核部门，一方面把行内整体的风险管理要求、稽核要求在本部门内落地执行，另一方面承担着本部门内检查、督导的职责，提前发现问题、解决问题，避免出现更大的风险，这就是常说的“刹车”的作用，也是制衡的作用。

上述内容，我觉得都不是网络金融部门风险单元的核心价值，核心价值应该是打造基础、输出工具。在开篇就讲过，非银网络金融机构关于风险更关注数据，这是银行普遍缺乏的，我更倾向于风险单元以内外部数据为基础，以技术为手段，打造基于数据的风险平台，向各业务单元持续输出风险价值。

例如，通过网络金融平台搞信贷，在过去银行只能依靠信贷历史数据及人工审核，而网络金融部门从成立那天起，其实就是一个大数据积累的过程，风险单元可以依靠这部分自身积累的数据，再以合作或购入的方式接入外部数据，例如移动运营商的数据、第三方征信的数据，这就是让风险产生价值。

再者就是欺诈防范这个问题，现在网络金融领域，不仅是支付有欺诈，但凡人与人打交道都有欺诈，所以无论是电商平台，还是支付，还是其他B2C、B2B，都需要建立欺诈模型，对欺诈进行分析、识别、阻断等。风险单元可以把这块儿接过来，做一个统一的欺诈防范平台。

说到这儿，大家应该明白，我说的“打造基础”，其实就是做一些各个业务单元都需要的基础工作，避免重复劳动。例如，客户信息保护，反洗钱，都需要风险单元制定统一的规则。我给阿里打电话时就了解到，他们也有大安全、小安全的概念，各个业务的事业部都有自己的风险人员，但这些人关注的风险都是深度耦合于业务，各个事业部都需要的共同的安全、风险的系统及工具，由大安全来做。到了今天，阿里的大安全已经做好的基础系统、基础工具，已经不满足于服务自己的集团，开始向外输出了。

“输出工具”是基于“打造基础”来说的，风险单元一旦建立了各个基础系统，例如客户综合征信的、欺诈识别模型的、国内国际反洗钱的，就可以向外输入，支持业务单元的快速扩展。当然，也有银行从业会问，这些基础的东西，行内的风险管理部门为什么不统一搞呢？我了解到，有些银行的风险管理部门也建立了一些基础系统，例如反洗钱，但是对于网络金融领域的业务而言几乎没啥价值，在某些银行，风险管理部门已经一再警告网络金融部门，必须建立自己的反洗钱模型了。

“打造基础”和“输出工具”的范畴是比较广的，除了系统、工具之外，自然也包括一些基础的政策、制度、流程、表格等等。

除了这些之外，有一些责任，风险单元是逃脱不掉的，必须帮着管理者出谋划策。对银行而言，网络金融领域最大的风险是什么？跟不靠谱的第三方合作，例如e租宝。这也是网络金融部门的管理者最头疼的问题：在合作之初，我怎么知道这家公司是否靠谱？所以，我们看到大银行在P2P领域几乎全线收缩，不介入了，并且也看到有些全国性银行对第三方支付也保持了谨慎的态度。无他，无法提前识别，一旦出了问题，风险传导过来，客户闹起来，惹不起。惹不起我还躲不起吗？就是这个策略。

在我看来，魔鬼在于细节，业务单元负责着商户准入、过程监控、风险应对。风险单元在哪儿介入呢？两方面，一方面对“客户准入、过程监控”进行定期检查，确保程序合规，不走过场。我知道的情况是，对商户的现场或电话调查报告很多都有水分，很多也就是走个形式，再就是由于缺乏系统的实时监控机制，对商户的资金流水没有跟踪分析能力，往往有迹象萌发也无法第一时间发现，这再一次说明数据及数据分析的价值。风险单元必须推动建立对商户资金流水的监控，此外还有第三方支付备付金账户的监控。

《魔鬼经济学》有一个例子，英国怎么快速发现恐怖分子？反洗钱中各种资金流转方式的分析不管用，最后引入一个要素“恐怖分子不买保险”，一下子就缩小了范围。对于这种不靠谱的第三方，经营的失败倒是其次，如果一开始就准备着卷款跑路，必然有一些特征就在那儿，等着我们去发现。

另一方面，就是风险应急响应机制，一个字“快”。近些年，我们看到一些声誉风险事件，本来银行没啥问题，但由于迟迟没有响应而错失良机，甚至成为负面事件。由于很多情况下，商户的落地是在分行完成的，就需要建立总分行的应急机制，无论是协议层面，保证金层面，媒体层面，都要有应急考量。重要的事情再说一边，应对类似e租宝的事件，一定要“快”、“快”、“快”，而要做到“快”，考验的就不是一个部门的能力，而是一个银行的整体效率。

围绕网络金融部门中风险单元的职责，扯了以上这些，还是那句话，银行与非银机构对风险的关注是不一样的，银行对数据带来的风险价值缺少重视。再总结一下自己的观点就是：适度。