投行下午茶是由一批热衷于广义投资银行业务的从业人员（包括金融监管、研究机构、交易所、银行、证券、保险、信托、基金、PE\VC、期货、融资租赁、互联网金融、资产管理、财务顾问、会计师、律师、评估师等）发起的周末活动，固定在每周六的下午2点到5点进行，定位于投行圈的高频度社交，通常每期不超过50人。区别于其他主题性活动，投行下午茶更加专注于活动的社交性。

5月16日，投行下午茶邀请风控方面的专家王丰辉先生为参与活动的茶粉进行了分享，下面奉上王先生的分享精华，供没有到场的茶粉们学习交流。以下为讲座实录：

前几天应朋友（美女）之邀，做一个主题分享，因对受众了解不多，遂罗列了几个电子渠道风险相关话题。特分享出来，仅供大家参考，它山之石，可以攻玉。

1.此愁无计可消除

我第一次接触风险这个概念的时候还是一个红帽子。什么是红帽子，其实就是黑客。黑客是舶来词，本来是一个中性词，后来因这一类人的分化，有了黑帽子、白帽子之分，黑者姑且为破坏，白者姑且为防护。前一段时间，证券小伙伴说，侠之大者为国接盘，我等侠之大者为国做黑客，参照清朝的红顶子，故而有红帽子之说（别当真，这属于忽悠）。黑客的日常工作就是寻找系统和软件的漏洞，外部威胁作用于漏洞可能导致的损失，这就是风险。

风险是自身和外部的叠加，自身无瑕，外部和谐，缺一不可。我记得有一个统计数据，但凡人写的代码，50行就会有一个bug，人钟地球之灵性，最具创造性，也最不严谨。一旦归因于人，系统和软件层面的风险，无法消除。

等我跳出原来的行业搞金融业务，风险对我而言，不再那么直观，隐藏在制度中、设计中、流程中，还隐藏在监管的态度中、市场的变化中、客户的信用中、大众的口水中，风险无处不在，这也是为啥说，银行就是经营风险。但正如前面所说，代码终归是人写的一样，银行的业务也需要一个个活生生的人去执行、响应、落地，没有完美的人，也注定了风险无法消除。

操作风险三大工具中有raca评估，其思路就是，固有风险是什么，采取什么样的风控措施，剩余风险是什么，有没有引发新的风险？几乎就是一个风险循环的怪圈。

把风险归因于人，只是一个方面。除此之外，风险也会来源于复杂系统的不可预测性，例如蝴蝶效应，也会来自不可抗力，例如地震。

任何妄图消除风险，实现零风险的行为，都是徒劳。

2.一切偶然都是必然

我们讨论风险，一般会说，可能性，概率是多少，例如降水概率，话里话外意思就是，这事并非绝对。其实这是一个个体和群体，小众和大众的问题。

举个例子。现场这几十人，现在头脑中想一组六位密码，几乎不会出现相同的。但大家想象一下更大的用户规模，一百万，一千万，几亿的客户呢？必然会有相同的。就有犯罪分子利用这一点来做案，现在好多金融类app是支持手机号登录的，对犯罪分子而言，搜集手机号码太简单了，然后就拿一个弱密码挨个尝试，尝试一万次，总能碰上一个，其实在当前公众安全意识薄弱的情况下，都不用到一万，一千就能碰上。

地震了，小概率事件。手机丢了，概率稍微大一点。你手机没丢，你身边肯定有不止一个人丢过。这就是必然。

有个段子，说一中年医生，医术高明，远近闻名，不免飘飘然，到处说自己手术成功率百分之百。有位更有名的老医生看不下去了，私下跟他说，如果你的成功率真的是百分之百，那我只能说你做的手术还不够多。这是因为，当前的对症下药都是基于概率的，一种新药出来，试验一段时间，大多数有疗效，这就算好药了，手术也是这样。

本话题要谈的就是，是否为小概率事件设计风险措施，还是要看体量，万分之一的概率，如果2亿客户，就是2万人，对2万人而言，就是必然。

日常工作中不要过于纠结，请把客户规模作为考虑因素。

3.潇潇洒洒的弯道超车？

弯道超车是我最讨厌的一个词。在F1，直道超车几乎不可能，大家的车速都差不多，而弯道，就要减速，调整方向，最有难度，也最考验车的性能和车手的素质。所以说，弯道超车，不是谁都能超的，首先你的车和你的技术要不比别人差。我讨厌这个就是因为，有很多人，完全不顾及自身的能力，时时叫嚣弯道超车，总让我想起，以前的大炼钢铁，两年内赶超美国。

身为金融从业，我也对当前的互联网技术，以及被炒烂了的互联网银行投入了很多