我做了两个 GRC AI 技能:贸易"十不准"核查与总额法判断
我做了两个 GRC AI 技能:贸易"十不准"核查与总额法判断
做了这么久的 GRC 工作,有个感受越来越强:很多任务,本质上就是一套固定的核查流程。
合同拿过来,看融资性贸易风险——关注点翻来覆去就那些。收入确认总额法还是净额法——判断维度基本固定。问题不在于"不知道该查什么",而在于每次都得重新组织一段很长的 Prompt,把关注点、判断逻辑、输出格式重新说一遍。
这有点蠢。
所以我做了两件事:把贸易"十不准"合规核查和总额法/净额法判断封装成了 AI Agent Skills,开源在 GitHub 上。
仓库地址:https://github.com/trevanzhang/grc-skills
为什么是 Skill,不是一段 Prompt?
Prompt 和 Skill 的区别,说白了就是"随手写几句"和"把方法论固化下来"的区别。
一段 Prompt,你今天写了 500 字,明天可能写 800 字,关注点漂了,AI 的输出就不一样。GRC 工作经不起这种漂移——合规核查讲究口径一致,不能今天查三个维度、明天查五个。
而且 GRC 任务天然是材料驱动的。一份合同,要看它有没有"垫资"“融资"“固定价差"的字眼;要看物流单据、仓储单据、银行流水能不能对上;要看上下游有没有利益关系。这些不是问一句"这有没有风险"就能解决的,需要系统性地读材料、交叉验证、按清单逐项排查。
更重要的是,GRC 的输出不是闲聊。你得给出风险点、证据来源、判断依据,哪些地方有疑点、需要人工复核。这种结构化的输出,一段 Prompt 很难稳定地控制。
Skill 把触发场景、核查步骤、判断逻辑和输出格式都定死了。每次调用,口径一致、覆盖完整、输出格式统一。就像庄子说的庖丁解牛——不是力气大,是刀路熟。
技能一:贸易"十不准"核查
这个技能对的是国资委 74 号文,也就是大家常说的"十不准”。
它不是简单地问"有没有违反十不准”,而是引导 Agent 按照逐条清单往下查:
- 偏离主业开展贸易
- 上下游存在特定利益关系且缺乏商业实质
- 人为增加不必要的交易环节
- 融资性贸易
- 空转、走单
- 循环贸易
- 三流不一致
- 高风险非标仓单交易
- 代理贸易收入确认不合规
- 内控机制缺失
举个例子。查融资性贸易的时候,它会去看:
合同里有没有"垫资"“融资"“借款"“本金"“利息"这类表述?企业到底有没有控制货权?购销价差是不是固定的比例或金额?资金有没有形成闭环回流?企业有没有真正关注货物价格波动和市场风险——还是说它根本不在乎货,只在乎资金?
再比如查空转走单:
货物控制权有没有真实转移?有没有真实的物流,还是只有单据在转?采购单、运输单、结算单能不能对上?有没有上下游直接交付、企业只做通道的情况?
说实话,这类检查太适合做成 Skill 了。清单驱动、证据驱动、流程驱动——不就是 Skill 最擅长的事吗。
技能二:总额法/净额法判断
第二个技能解决的是收入确认的问题:一笔贸易业务,到底按总额法还是净额法确认收入?
听起来是个会计问题,但在贸易业务里,它跟货权控制、主要责任人判断、甚至融资性贸易风险经常搅在一起,不是翻翻准则就能拍板的。
核心判断逻辑其实一句话就能说清楚:
控制商品 = 主要责任人 = 总额法;不控制商品 = 代理人 = 净额法。
但"是否控制商品"在具体业务里并不那么好判断。所以这个 Skill 会从几个维度引导分析:
- 企业是否在转让商品前取得控制权
- 是否主导第三方代表自己向客户提供服务
- 是否提供重大整合服务
- 是否承担向客户转让商品的主要责任
- 是否承担存货风险
- 是否拥有自主定价权
- 有没有背靠背合同、客户指定供应商、固定价差、关联交易等特殊情况
说个典型场景:下游客户指定了上游供应商,企业分别跟上下游签合同,货物由上游直接发给下游,企业只赚固定价差,不承担存货风险、价格风险,也不对质量负主要责任。这种业务模式,说白了就是通道角色,净额法更合适。
反过来,企业自己选供应商、自己验收入库、承担货物毁损灭失的风险、对客户承担质量责任,还拥有一定定价权——这种才有底气用总额法。
能做什么,不能做什么
先说清楚边界。
这两个 Skill 能做的:
- 合规初筛——先帮你把问题列清楚
- 审计或内控检查前的资料梳理
- 合同和单据的风险点提取
- GRC 工作底稿辅助
- 核查报告初稿生成
- 对复杂业务做结构化分析
不能做的:
- 替你出法律意见
- 替会计师做专业判断
- 出审计结论
- 做监管口径的认定
- 替企业做最终合规决策
涉及重大金额、重大责任、监管问询或审计调整的时候,AI 的输出必须经专业人员复核。这一点没什么好商量的。
我希望它扮演的角色是"结构化助手”:帮人把问题拆清楚,把证据列完整,把风险信号标出来。替人拍板?不干。
怎么装?
支持 Agent Skills 的工具,可以直接这样看仓库里有什么:
npx skills add git@github.com:trevanzhang/grc-skills.git --list两个都装:
npx skills add git@github.com:trevanzhang/grc-skills.git --skill total-revenue-check --skill ten-prohibitions-check或者只装一个:
npx skills add git@github.com:trevanzhang/grc-skills.git --skill total-revenue-checknpx skills add git@github.com:trevanzhang/grc-skills.git --skill ten-prohibitions-check装完就能用了。比如:
帮我判断这笔贸易业务收入确认应该用总额法还是净额法。
或者:
请按国资委十不准帮我检查这份贸易合同有没有融资性贸易风险。
写在最后
目前仓库里只有两个技能,但我觉得方向是对的。
GRC、审计、内控、风控——这类工作有一个共同特征:它们不是开放式问答,而是有明确步骤、明确证据、明确判断框架的专业工作流。这种工作天然适合被 Skill 化。
后面可以扩展的方向很多:合同条款合规审阅、供应商准入核查、关联交易风险识别、内控缺陷分析、审计底稿生成、整改措施跟踪、监管问询回复辅助……
不过先把地基打好。AI 在 GRC 场景里最有价值的地方,不是"替代专家”,而是把专家已经形成的方法论变成可复用、可执行、可迭代的工具。
这就是我做这两个技能的原因。