第一篇:信息系統(tǒng)的內(nèi)部控制與風險評估
淺談如何加強信息系統(tǒng)內(nèi)控建設(shè)防范安全風險
仲婕
江蘇省電信有限公司蘇州分公司
摘要:如何保證信息系統(tǒng)處理流程規(guī)范,系統(tǒng)數(shù)據(jù)安全完整準確,內(nèi)控制度落到實處,本文從信息系統(tǒng)的開發(fā)建設(shè)、運行維護、審計檢查幾個方面論述如何加強內(nèi)控制度建設(shè)防范安全風險。關(guān)鍵詞:信息系統(tǒng)、內(nèi)控制度
隨著電信企業(yè)各項生產(chǎn)運營系統(tǒng)的建立與使用,各類信息系統(tǒng)的內(nèi)部控制是否健全、風險是否得到有效控制就成為了內(nèi)部審計關(guān)注的重要課題。
近年來電信企業(yè)上線運行的重要信息系統(tǒng)有BSS業(yè)務(wù)受理系統(tǒng)、OA辦公自動化系統(tǒng)、資源管理系統(tǒng)、綜合調(diào)度系統(tǒng)、智能網(wǎng)管理系統(tǒng)、計費賬務(wù)系統(tǒng)、計劃建設(shè)管理系統(tǒng)等等。這些信息系統(tǒng)的建立運用能解決人工難以及時處理大量信息數(shù)據(jù)、難以及時進行復(fù)雜運算分析的難題,利用信息系統(tǒng)可以將人工處理的程序、模型預(yù)先設(shè)計好,幫助企業(yè)高效率地管理生產(chǎn)過程,幫助企業(yè)及時獲取并提煉重要的信息,以利于提高企業(yè)綜合競爭力。但這些系統(tǒng)是否安全、是否符合內(nèi)控要求,信息數(shù)據(jù)是否完整準確,卻無人來回答。內(nèi)審部門作為企業(yè)的內(nèi)部控制監(jiān)督檢查部門有責任有義務(wù)對信息系統(tǒng)的內(nèi)控制度進行評估檢查,分析系統(tǒng)的安全風險,堵塞系統(tǒng)漏洞,切實發(fā)揮信息系統(tǒng)在企業(yè)發(fā)展決策方面的支撐作用。
日前獲悉,某電信運營企業(yè)因小靈通預(yù)付費系統(tǒng)超級密 碼被盜,導(dǎo)致被非法制作了1000多萬元的小靈通充值卡,至案發(fā)時已全部充值消費,給電信企業(yè)造成了巨大的經(jīng)濟損失。由此看出信息系統(tǒng)的安全與否直接影響著企業(yè)的經(jīng)濟利益,對企業(yè)是至關(guān)重要的。
本文將就信息系統(tǒng)如何加強內(nèi)部控制、防范安全風險談幾點看法:
一、信息系統(tǒng)從開發(fā)建設(shè)起就必須建立一套完整的內(nèi)控流程
1、信息系統(tǒng)程序設(shè)計必須健全數(shù)據(jù)核對環(huán)節(jié),保證數(shù)據(jù)準確
信息系統(tǒng)能提高企業(yè)管理效率,提升企業(yè)服務(wù)水平,提高企業(yè)競爭應(yīng)變能力,但這一切是建立在信息系統(tǒng)能提供完整、真實、準確數(shù)據(jù)的基礎(chǔ)上的。如果數(shù)據(jù)經(jīng)過信息系統(tǒng)的一系列加工處理流程,其中發(fā)生了部分溢出、丟失或變異,那么信息系統(tǒng)會輸出錯誤的數(shù)據(jù),經(jīng)營管理者依靠錯誤的數(shù)據(jù)肯定不會得出正確的結(jié)論。因此信息系統(tǒng)的數(shù)據(jù)完整準確是首先要保證的。如何保證數(shù)據(jù)準確呢,一般情況下采用在重要數(shù)據(jù)輸入前和處理輸出后進行總量比對、結(jié)構(gòu)比對、邏輯驗證等方法驗證數(shù)據(jù)是否完整準確。
2、信息系統(tǒng)建設(shè)必須考慮數(shù)據(jù)安全存放,保證數(shù)據(jù)安全
一般情況下數(shù)據(jù)是否安全主要考慮兩個方面,一是數(shù)據(jù)庫是否安全,能否防止非法訪問,如果發(fā)生有非法訪問,或是發(fā)生惡意修改、篡改數(shù)據(jù)情況的,系統(tǒng)是否會留下記錄,能否及時告警。另外一方面是數(shù)據(jù)存放介質(zhì)是否可靠,有無備份,重要數(shù)據(jù)是否異地存放,防止自然災(zāi)害對數(shù)據(jù)安全的危害。
根據(jù)電信企業(yè)信息系統(tǒng)數(shù)據(jù)對企業(yè)生產(chǎn)經(jīng)營、財務(wù)報告等的影響程度分別對數(shù)據(jù)進行ABC分類,A類數(shù)據(jù)庫如會計核算系統(tǒng)、計費賬務(wù)系統(tǒng)必須要具備可靠的存儲介質(zhì),嚴格建立實時的異地備份,以保證數(shù)據(jù)安全。B、C類數(shù)據(jù)根據(jù)機房容量、建設(shè)成本情況分別制定備份計劃,采用兩種以上介質(zhì)存儲、兩個不同機房存放等方法。
3、信息系統(tǒng)開發(fā)要考慮設(shè)置嚴謹?shù)拿艽a策略,杜絕非法入侵
信息系統(tǒng)必須建立用戶身份的驗證機制,對信息系統(tǒng)的訪問必須使用用戶名和密碼,而且每個用戶帳號被授予唯一的用戶。同時要制定嚴謹?shù)拿艽a政策,并根據(jù)密碼政策在系統(tǒng)固化相應(yīng)的設(shè)置,以避免用戶使用安全級別低的密碼。密碼政策具體包括: 用戶密碼長度不得低于6位、密碼應(yīng)至少每90天進行更新、不得使用最近的密碼。以上稱為’6901’密碼策略,對于超級用戶則需要按照’8901’來設(shè)置密碼,位長不少于8位,更新周期同普通用戶。
在對電信企業(yè)信息系統(tǒng)進行內(nèi)控評估時,發(fā)現(xiàn)較多的系統(tǒng)存在用戶名、密碼共用的現(xiàn)象,不符合內(nèi)控要求。共用賬號、密碼會影響密碼的定期更換、不能防止非法訪問,發(fā)生 問題時也無法落實責任。因此有此現(xiàn)象的應(yīng)當確認為重要缺陷,必須立即整改。
二、信息系統(tǒng)運行維護要嚴格遵守內(nèi)控規(guī)定
1、用戶賬號變更嚴格履行審批
對信息系統(tǒng)的用戶創(chuàng)建和授權(quán)必須通過信息系統(tǒng)主管部門主管人員審批后,方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶帳號,以避免未經(jīng)授權(quán)帳號及權(quán)限的創(chuàng)建或修改。在員工工作調(diào)動或離職等工作職能發(fā)生變化時,由人力資源部或用戶所在部門及時正式書面通知系統(tǒng)維護部門,由系統(tǒng)管理員更新或刪除其相應(yīng)的訪問權(quán)限。
在對某電信企業(yè)信息系統(tǒng)進行內(nèi)控評估時,發(fā)現(xiàn)用戶賬號的創(chuàng)建、修改缺少書面審批資料,無法證明是否經(jīng)過必要的授權(quán),因此被認定為內(nèi)控執(zhí)行缺陷。
2、重要操作要嚴格執(zhí)行復(fù)核、審批制度
對信息系統(tǒng)的重要操作如涉及數(shù)據(jù)增加、修改、變更等需要堅持復(fù)核、審批制度,即一人操作、一人復(fù)核再加上主管審批,防止誤操作,影響信息數(shù)據(jù)準確。在大家都熟悉的會計核算系統(tǒng)中憑證制作必須要經(jīng)過復(fù)核才能記賬,這也是遵循內(nèi)控規(guī)定的重要體現(xiàn)。以電信企業(yè)的計費系統(tǒng)為例,系統(tǒng)操作人員需要根據(jù)營銷政策對批量用戶進行贈送話費操作,此操作會影響一大批用戶的預(yù)存款余額,不能發(fā)生任何 4 差錯。操作人員要將營銷政策的文字信息轉(zhuǎn)化為計算機語言,既不能送錯對象,也不能多送或少送,所以此類重要操作就必須嚴格執(zhí)行復(fù)核、審批制度。
3、系統(tǒng)操作要有完善的記錄
一般信息系統(tǒng)本身會具有記錄的功能,將維護人員的維護操作全部記錄下來,生成專門的維護日志,供主管定期審閱。但也存在個別信息系統(tǒng)在程序開發(fā)時未提供完善的記錄功能,不是所有重要操作都能記錄系統(tǒng)中,在這種情況下,必須要求系統(tǒng)操作人員作好手工記錄,記錄的內(nèi)容包括操作員姓名、操作指令、依據(jù)、時間、結(jié)果等信息。對重要的操作指令先要履行上述第2條規(guī)定復(fù)核程序。
4、不相容職務(wù)嚴格分離
《內(nèi)部會計控制規(guī)范》中只是說“不相容職務(wù)主要包括:授權(quán)批準、業(yè)務(wù)經(jīng)辦、會計記錄、財產(chǎn)保管、稽核檢查等職務(wù)”。事實上,一個企業(yè)或一個組織因業(yè)務(wù)種類、機構(gòu)設(shè)置不同,所要明確的不相容職務(wù)是不盡相同的,既涉及不同部門的不相容職務(wù)又涉及同部門不同崗位的不相容職務(wù)。在此僅討論涉及信息系統(tǒng)的不相容職務(wù)分離的問題,如上文所提的用戶創(chuàng)建、修改操作與審批、數(shù)據(jù)錄入與審核、系統(tǒng)操作與復(fù)核、數(shù)據(jù)維護與統(tǒng)計記賬等。將這些職責分離是為了保證信息系統(tǒng)數(shù)據(jù)處理的合法合規(guī)性,謹防信息系統(tǒng)本身出現(xiàn)重大風險。以電信企業(yè)為例,信息系統(tǒng)運用廣泛之后,產(chǎn)生了許多電子化虛擬貨幣如Q幣、電子卡等有別于傳統(tǒng)貨幣的實物,無法按照原來實物管理的模式進行到貨驗收、保管記錄、月度盤點等工作,但作為系統(tǒng)管理的虛擬實物還必須要建立這樣的職務(wù)分離制度,負責管理虛擬實物部門(即系統(tǒng)維護部門)與購買、銷售部門分離,實物管理部門與會計記賬部門分離,建立相互核對、相互監(jiān)督的內(nèi)控工作制度,以兩個不同系統(tǒng)的數(shù)據(jù)核對,或以人工計算核對等方法來驗證信息系統(tǒng)數(shù)據(jù)的完整。以Q幣為例,在電信企業(yè)就經(jīng)歷購買、入庫、銷售、計費、記賬等諸多環(huán)節(jié),購買與入庫、銷售與計費、計費與記賬就必須按照不相容職務(wù)分離規(guī)定執(zhí)行,相互之間建立進行定期對賬機制,以保證Q幣的購銷存業(yè)務(wù)流程閉環(huán)管理。
我們都知道不相容職務(wù)分離是內(nèi)部控制的核心,在信息化環(huán)境下,更加需要強調(diào)不相容職務(wù)分離原則,因為業(yè)務(wù)管理流程經(jīng)過信息系統(tǒng)固化之后,所有人員都會在系統(tǒng)中承擔一個或多個角色,角色分配結(jié)果在一段時間內(nèi)是不會發(fā)生變化的,這些角色之間是否是不相容職務(wù),是否會存在因分工不當導(dǎo)致舞弊行為的發(fā)生,都直接影響信息系統(tǒng)的安全性。
三、內(nèi)審部門要加強信息系統(tǒng)的內(nèi)控評估,堵塞漏洞防范風險
1、信息系統(tǒng)審計評估需要關(guān)注的重點內(nèi)容 對照以上所述的在信息系統(tǒng)開發(fā)建設(shè)、運行維護中所要落實的各項內(nèi)控要求,認真開展檢查評估。
在評估過程中既要關(guān)注信息系統(tǒng)本身對數(shù)據(jù)處理的控制流程是否規(guī)范,用戶權(quán)限設(shè)置是否經(jīng)過授權(quán),是否存在數(shù)據(jù)安全風險,又要關(guān)注不同信息系統(tǒng)之間有無建立數(shù)據(jù)接口,是否進行數(shù)據(jù)核對,是否將不相容職務(wù)分離,相互之間是否存在監(jiān)督關(guān)系。評估要重點關(guān)注與財務(wù)報告相關(guān)的信息系統(tǒng)數(shù)據(jù)的安全情況。
2、信息系統(tǒng)審計評估需要運用的方法
信息系統(tǒng)評估方法與業(yè)務(wù)流程內(nèi)控評估方法基本相同,主要有:詢問、文件檢查、重新履行、觀察、問卷調(diào)查等。其中文件檢查、重新履行是內(nèi)控評估常用的重要方法,像前面所述的用戶權(quán)限審批、重要操作審批、系統(tǒng)操作記錄、復(fù)核檢查等都需要運用文件檢查方法,通過審閱相關(guān)文檔記錄來判斷各項內(nèi)控措施是否得到有效執(zhí)行。
3、信息系統(tǒng)審計評估重要目的是落實缺陷整改
通過對信息系統(tǒng)內(nèi)控制度的檢查評估,發(fā)現(xiàn)內(nèi)控缺陷,目的是針對內(nèi)控缺陷制定合理的整改方案,確保缺陷得到修正,風險得到控制。信息系統(tǒng)數(shù)據(jù)的安全完整準確是內(nèi)審部門開展內(nèi)控評估的唯一目的。
第二篇:花旗銀行內(nèi)部控制和風險評估
花旗銀行內(nèi)部控制和風險評估
通過 “內(nèi)部控制和風險評估”這門課學習,我們知道風險管理包括內(nèi)部控制建設(shè)、目標制定、事項識別、風險評估、風險反應(yīng)、控制活動、信息和溝通、監(jiān)控等八個方面。內(nèi)部控制包括控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控五個方面。從風險管理和內(nèi)部控制的主要因素來看,內(nèi)部控制是風險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風險的識別和管理。相反,如果沒有良好的內(nèi)部控制系統(tǒng),往往會導(dǎo)致企業(yè)無法對風險進行有效的識別和防范,最終可能導(dǎo)致破產(chǎn)甚至倒閉。為了進一步了解認識“內(nèi)部控制和風險評估”的意義與作用,我決定去調(diào)研一家500強企業(yè)---花旗集團。
以下文章分為2個部分,我們在第一個部分把花旗集團的發(fā)展歷史和發(fā)展現(xiàn)狀作一個簡單回顧;第二個部分就主要分析花旗集團的內(nèi)部控制和風險評估管理模式及對我們啟示。
花旗集團
花旗集團(Citigroup Inc.,以Citi為商標)總部位于美國紐約市,為世界上最大的銀行及金融機構(gòu)之一,于1998年由花旗公司及旅行家集團合并而成,并于同期換牌上市。花旗集團的歷史由花旗銀行的成立為起點,花旗銀行是1955年由紐約花旗銀行與紐約第一國民銀行合并而成。花旗集團是美國第一家集商業(yè)銀行、投資銀行、保險、共同基金、證券交易等諸多金融服務(wù)業(yè)務(wù)于一身的金融集團。
一、發(fā)展歷史
花旗銀行是1955年由紐約花旗銀行與紐約第一國民銀行合并而成的,合并后改名為紐約第一花旗銀行,1962年改為第一花旗銀行,1976年3月1日改為現(xiàn)名。該企業(yè)在2007《財富》全球最大五百家公司排名中名列第十四。
1968年花旗銀行走出了公司戰(zhàn)略決策的重要一步--成立銀行控股公司,以其作為花旗銀行的母公司。由于美國銀行法對銀行與證券業(yè)務(wù)實行嚴格的分業(yè)管理,規(guī)定商業(yè)銀行不許購買股票,不允許經(jīng)營非銀行業(yè)務(wù),對分支行的開設(shè)也有嚴格的限制。為了規(guī)避法律的限制,花旗銀行把自己的股票換成其控股公司即花旗公司的股票,而花旗公司資產(chǎn)的99%是花旗銀行的資產(chǎn)。數(shù)十年來,花旗銀行一直是花旗公司的“旗艦銀行”,20世紀70年代花旗銀行的資產(chǎn)一直占花旗公司資產(chǎn)的95%以上,80年代以后有所下降,但也在85%左右。花旗公司共轄13個子公司,提供銀行、證券、投資信托、保險、融資租賃等多種金融服務(wù)(按照當時法律要求,非銀行金融業(yè)務(wù)所占比例很小)。通過這一發(fā)展戰(zhàn)略,花旗公司走上了多元化金融服務(wù)的道路,并在1984年成為美國最大的單一銀行控股公司。
1998年4月6日,花旗公司與旅行者集團宣布合并,合并組成的新公司稱為“花旗集團”,其商標為旅行者集團的紅雨傘和花旗集團的蘭色字標。花旗公司與旅行者集團合并組成的花旗集團,成為美國第一家集商業(yè)銀行、投資銀行、保險、共同基金、證券交易等諸多金融服務(wù)業(yè)務(wù)于一身的金融集團。合并后的花旗集團總資產(chǎn)達7000億美元,凈收入為500億美元,在100個國家有1億客戶,擁有6000萬張信用卡的消費客戶。從而成為世界上規(guī)模最大的全能金融集團之一。
2014年4月8日,花旗集團宣布,該集團將支付11.3億美元,了結(jié)有關(guān)該集團在金融危機期間出售抵押貸款支持債券的指控。
花旗集團在2014年《財富》世界500強企業(yè)最新排名中排名全球第82名。
二、企業(yè)文化
“以人為本”是花旗銀行自創(chuàng)業(yè)初始就確立了的企業(yè)文化的核心戰(zhàn)略。他們十分注重對人才的培養(yǎng)與使用。它的人力資源政策主要是不斷創(chuàng)造出“事業(yè)留人、待遇留人、感情留人”的親情化企業(yè)氛圍,讓員工與企業(yè)同步成長,讓員工在花旗有“成就感”、“家園感”。花旗銀行CEO桑迪·維爾的年薪高達1.52億美元,遙居美國CEO的前列;再以花旗銀行上海分行為例,各職能部門均設(shè)有若干副經(jīng)理職位,一般本科畢業(yè)的大學生工作3年即可提升為副經(jīng)理,碩士研究生1年就可提升為副經(jīng)理,收入則是中國同等“職級”的幾倍甚至幾十倍。
“客戶至上”是花旗銀行企業(yè)文化的靈魂。花旗銀行企業(yè)文化的最優(yōu)之處就是把提高服務(wù)質(zhì)量和以客戶為中心作為銀行的長期策略,并充分認識到實施這一戰(zhàn)略的關(guān)鍵是要有吸引客戶的品牌。經(jīng)過潛心探索,花旗獲得了成功。2006年花旗銀行的業(yè)務(wù)市場覆蓋全球100多個國家的1億多客戶,服務(wù)品牌享譽世界,在眾多客戶眼里,“花旗” 兩字代表了一種世界級的金融服務(wù)標準。
“尋求創(chuàng)新”是花旗銀行企業(yè)文化的升華。在花旗銀行,大至發(fā)展戰(zhàn)略、小到服務(wù)形式都在不斷進行創(chuàng)新。它相信,轉(zhuǎn)變性與大膽性的決策是企業(yè)突破性發(fā)展的關(guān)鍵,并且如果你能預(yù)見未來,你就擁有未來。這就是說,企業(yè)必須永無止境、永不間斷地進行創(chuàng)新。
三、品牌
花旗集團有很多品牌,他們基本覆蓋了生活的方方面面,而且花旗銀行在中國也有了長足的發(fā)展。具體品牌如下:
*
花旗銀行-提供商業(yè)銀行服務(wù) *
Banamex-墨西哥最大的銀行 *
Banco Cuscatlan-薩爾瓦多最大的銀行 *
Banco Uno-中美洲最大的信用卡機構(gòu) *
花旗貸款
*
花旗保險-提供保險服務(wù) *
花旗資本 *
花旗財務(wù)
*
大來信用證* Primerica *
史密斯·巴尼·希爾森-股票承銷商、投資銀行和資產(chǎn)管理公司 *
CitiCard *
Credicard Citi-巴西信用卡業(yè)務(wù) *
Egg Banking plc-英國投資銀行 *
CitiStreet 花旗集團在中國的歷史可追溯至1902年5月,是首家在中國開業(yè)的美國銀行。至2006年,花旗銀行已是中國頂尖外資銀行,為客戶提供最廣泛的金融產(chǎn)品。花旗銀行分別在北京、上海、廣州、深圳和天津設(shè)立企業(yè)與投資銀行分行;在上海和北京設(shè)立個人銀行營業(yè)網(wǎng)點;在廈門和成都設(shè)有代表處;中國區(qū)總部也設(shè)在上海。作為花旗集團在全球100多個國家網(wǎng)絡(luò)的一部分,花旗銀行是中國最具全球性的外資銀行。花旗銀行在中國主要為跨國公司、合資企業(yè)、本地企業(yè)和個人提供廣泛、多樣的金融服務(wù)。花旗銀行通過不斷創(chuàng)新,始終站在行業(yè)發(fā)展的前沿。2005年,花旗集團國際投資有限公司負責在中國的投資業(yè)務(wù)推廣。花旗銀行在中國多年,獲得了良好的發(fā)展。2003年8月,被Euromoney中國授予“中國最受青睞的外資銀行”和“中國受歡迎的資金管理銀行”;2004年6月3日,花旗銀行成為首家在華開設(shè)財富管理中心(CitiGold Center)的外資銀行,花旗財富管理中心在上海新天地落戶開張;
花旗銀行內(nèi)部控制和風險評估管理模式及啟示
內(nèi)部控制和風險管理是商業(yè)銀行經(jīng)營管理中的兩項重要內(nèi)容,在當今銀行業(yè)發(fā)展日益規(guī)范化、國際化的今天, 學習、研究西方商業(yè)銀行先進的管理經(jīng)驗和模式, 對提高我國商業(yè)銀行的競爭力和抗風險能力具有重要意義。
一、花旗銀行內(nèi)部控制和風險評估管理的雙層構(gòu)架
花旗銀行通過建立內(nèi)部控制和風險評估管理模式, 即C C R A
(Corporate Control and Risk Assessment)來實施風險管理, C C R A的總體目標是為了預(yù)替風險、控制風險, 促進業(yè)務(wù)的順利進行和股東權(quán)益的增加。從組織框架看, C C R A 可分為兩個層次的內(nèi)容。第一個層次是指C C R A 工作組對花旗銀行全球分支機構(gòu)業(yè)務(wù)的審查、監(jiān)控、糾錯和評價。為保證組織機構(gòu)的獨立性和權(quán)威性,C C R A 工作組實行派駐制, 即由設(shè)在紐約總行的C C R A 工作組總部向全球100 多個國家和地區(qū)派駐3200 多個CCRA 代表處。花旗銀行對CCRA 代表處員工素質(zhì)的要求極其嚴格, 通常, 代表處員工分為全能人才、資深專家和負責代表處之間業(yè)務(wù)聯(lián)系的全球協(xié)調(diào)員三類人才, 其中資深專家有零售業(yè)務(wù)專家、公司業(yè)務(wù)專家、政策制度專家、信息技術(shù)專家等。
CCRA代表處的工作是花旗銀行風險管控的主體, CCRA代表處的員工素質(zhì)決定了花旗銀行風險管理的水平。
CCRA的第二個層次是花旗銀行的整體風險控制管理, 這項工作由審計委員會、審計工作組和經(jīng)營檢查委員會三個組織來實施。審計委員會是花旗銀行級別最高的風險管控機構(gòu), 它由花旗銀行的一些董事組成, 直接對董事會負責。審計委員會實行每季例會制度, 對國家風險、銀行戰(zhàn)略風險等最高層次的風險進行討論、分析, 并向董事會提交報告。審計委員會下設(shè)審計工作組和經(jīng)營檢查委員會兩個組織, 審計工作組由花旗銀行的部分高級管理人員組成, 它依據(jù)CCRA代表處的報告有針對性地對一些諸如重大風險、特殊風險等案例進行深人調(diào)查、分析和監(jiān)控;經(jīng)營檢查委員會的成員也是一些高級管理人員, 它負責處理CCRA工作組總部提交的報告, 檢查CCRA工作組的業(yè)務(wù)情況, 對一些嚴重違規(guī)或風險失控的分支機構(gòu)作出最終處理決定。花旗銀行CCRA的雙層構(gòu)架如圖所示。
二、CCRA代表處的工作內(nèi)容
1、風險分析, 風險分析是CCRA代表處的一項日常工作, 它包括兩個方面的內(nèi)容: 一是為花旗銀行高層管理人員提交宏觀風險分析報告, 這包括風險窗口中的18 項內(nèi)容, 即國家風險、行業(yè)風險、產(chǎn)品風險、價格風險、房地產(chǎn)、自然災(zāi)害、人身安全、風險等級變動、競爭對手、技術(shù)發(fā)展、特許權(quán)、限制因素、資本實力、商品市場、銷售狀況、流動性風險、對外依存度、企業(yè)內(nèi)控等;二是對被檢查單位內(nèi)部環(huán)境的風險評估。花旗銀行通過對被查單位的經(jīng)營戰(zhàn)略思想、規(guī)章制度、權(quán)力約束、企業(yè)文化、經(jīng)營風險、財務(wù)風險、機構(gòu)和人員風險信息系統(tǒng)風險等的了解和分析, 來確定被查單位的風險度(花旗銀行的風險度分為高、中、低三個檔次)。此項風險分析的結(jié)果是CCRA人員確定檢查范圍、深度和檢查周期的重要依據(jù)。
2、實施內(nèi)控檢查,CCRA代表處對被查單位的檢查包括以下幾個關(guān)鍵步驟: 首先是部署任務(wù), 即確定審計檢查的性質(zhì)、范圍和程度;第二是組建審計小組, 明確人員分工;第三是收集資料, 實施非現(xiàn)場審查, 如對業(yè)務(wù)動態(tài)、財務(wù)報告、以前的審計報告等進行分析審查;第四是制定詳細的檢查計劃, 對范圍廣、內(nèi)容多的較大的審計項目, 還組織試點工作;第五是實施全面的現(xiàn)場審計檢查。在此基礎(chǔ)上, 審計小組向CCRA代表處和紐約總部的CCRA工作組提交詳細的報告(花旗銀行稱這種文件為“ 紅夾子報告”), 并就檢查中出現(xiàn)的問題向被審查單位提出整改意見。此后, 審計小組還將對被審單位實施跟蹤檢查和監(jiān)控, 提交后續(xù)的“ 紅夾子報告” , 如果審查案例符合規(guī)定,CRA工作組還會向?qū)徲嫻ぷ鹘M或經(jīng)營檢查委員會作專門報告。
3、內(nèi)控評級和持續(xù)檢查,CCRA人員通過檢查— 報告— 跟蹤— 再報告等一系列過程, 逐步了解被檢查單位的管理水平, 從而對其內(nèi)控水平進行評級。花旗銀行的內(nèi)控評級采用打分制, 得1 一2 分的單位屬于內(nèi)控水平不滿意類型, 得3 分的位內(nèi)部控制為中等水平, 得4一5 分的單位屬于內(nèi)控水平滿意類型。CCRA代表處依據(jù)內(nèi)控水平評級結(jié)果和風險度情況, 運用矩陣圖原理確定對被審查單位進行持續(xù)檢查的頻率, 如對內(nèi)控水平不滿意、風險度較高的單位, 實施12 個月一次的例行全面檢查, 對內(nèi)控水平滿意、風險度低的單位而言, 這種檢查的周期是42個月。
三、啟示
花旗銀行的CCRA模式對加強我國商業(yè)銀行的內(nèi)控機制建設(shè)具有很好的借鑒之處。
1、加強風險監(jiān)控的組織隊伍建設(shè)。首先, 要保證組織隊伍的獨立性,花旗銀行的CCRA 代表處直接對紐約總部負責, 人員同其他經(jīng)營管理人員完全分離, 薪金由總部直接支付,其組織形式是一種由上而下的垂直管理模式, 這保證了風險監(jiān)控人員在免受權(quán)力和利益驅(qū)動的情況下, 客觀、公正地開展工作、履行職責。其次, 要樹立風險監(jiān)控的嚴肅性, 花旗銀行的CCRA組織對審查結(jié)果有較大的處置權(quán), 尤其是審計委員會和經(jīng)營檢查委員會有權(quán)要求被審查單位限期糾正不當行為、對責任人進行處理。花旗銀行認為, 對被審查單位的間題不及時處置并實施后續(xù)監(jiān)控, 比未能發(fā)現(xiàn)問題的失控行為更嚴重, 花旗銀行的這種觀點是值得我們深思的。第三, 要樹立風險監(jiān)控隊伍的權(quán)威性, 花旗銀行的CCRA組織對人員有優(yōu)先選擇權(quán), 因此, CCRA人員都是從業(yè)務(wù)線上選出來的優(yōu)秀人才,他們精通各項制度和業(yè)務(wù)操作程序,熟悉經(jīng)營管理活動中的風險環(huán)節(jié), 他們對間題的判斷和評級具有較高的權(quán)威性。
2、重視風險分析。商業(yè)銀行的經(jīng)營活動中存在著許多不確定因素, 防范和化解風險, 保護銀行資產(chǎn), 必須要有足夠的風險意識和識別、量化風險的能力。花旗銀行CCRA人員對風險窗口中的18 類風險進行分析,還具體評定被審查單位的風險度, 可見其對風險分析的重視。在當前的金融環(huán)境下, 我國商業(yè)銀行不僅應(yīng)該充分認識面臨的來自外部、內(nèi)部的各類風險, 而且要認真分析多年來風險失控的具體表現(xiàn)及原因, 使管理工作有的放矢, 防微杜漸。
3、客觀評價內(nèi)控水平。花旗銀行把內(nèi)控水平評級作為內(nèi)部控制的一項重要工作來抓, 通過打分評級, 可以客觀反映全球機構(gòu)的風險管理水平, 而不象國內(nèi)商業(yè)銀行那樣僅憑表面情況、甚至是主觀感覺來判斷分支機構(gòu)的管理水平。科學的打分評級制度還有助于各級機構(gòu)找出差距, 逐步提高內(nèi)部控制和風險管理水平。花旗銀行經(jīng)過多年的努力, 其分支機構(gòu)中內(nèi)控水平得1 一2 分的僅占全球機構(gòu)總量的l %, 得分為3 分的機構(gòu)比重在9% 左右, 得分為4 一5 分的, 即內(nèi)控水平屬于滿意級別的, 比重約為90%。
4、擺正內(nèi)部控制與外部審計的關(guān)系。花旗銀行的官員認為。商業(yè)銀 行的內(nèi)部控制和外部審計在根本目標上是一致的, 兩者都是為了范和控制銀行風險, 只是前者是從銀行自身利益出發(fā)實施風險管理, 而后者側(cè)重于銀行的經(jīng)營性風險和整個金融業(yè)的安全。對花旗銀行而言, 其良好的內(nèi)部監(jiān)控機制有助于外部監(jiān)管效率和質(zhì)量的提高, 同時, 花旗銀行也借助外部監(jiān)管的力量來促進內(nèi)控機制的完善, 美聯(lián)儲定期對花旗銀行的內(nèi)控機制進行檢查、評價, 此外, 花旗銀行還專門聘請畢馬威國際會計師事務(wù)所定期檢查CCRA的各種情況, 如CCRA的獨立性、檢查范圍和方法、頻率、控制手段等。
第三篇:銀行風險的識別、評估與內(nèi)部控制
銀行風險的識別、評估與內(nèi)部控制
Bank Risks'Identification,Assessment And Internal Control
楊海群
按語
本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護》。文中的圖示和注釋等因為網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。希望讀者進一步閱讀作者的專著《公司治理與銀行控制》下卷中“加強選配評審,防止領(lǐng)導(dǎo)風險”這一章。
“銀行風險的識別、評估與內(nèi)部控制”這個題目涉及兩方面:一方面涉及的是風險管理,另一方面涉及內(nèi)部控制。不管是法律工作者還是銀行的管理者,都會遇到下面要提出來的問題,就是怎么來處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系,怎么在實現(xiàn)戰(zhàn)略目標的過程中,一方面把握住我們自己,另一方面也把握住我們所領(lǐng)導(dǎo)的團隊?另外,怎么防止銀行的工作人員或者業(yè)務(wù)活動失去控制?搞法律的人員不如搞經(jīng)營管理的涉入那么多的具體業(yè)務(wù),但是由于你們是銀行的法律工作者,所以就不能夠站在一般律師的服務(wù)角度去服務(wù)于銀行。因為你們已經(jīng)加入了銀行的管理隊伍。今年銀監(jiān)會和黨中央提出銀行管理要滿足四個條件:第一個叫資本充足,就是銀行要保證有足夠的資本金;第二個內(nèi)控要嚴密,還不是一般的內(nèi)部管理,而是內(nèi)部控制要嚴密;第三個運營要安全,實際上運營安全也是要在前兩者的基礎(chǔ)之上才能實現(xiàn);第四個服務(wù)和效益要好,沒有安全,也不可能服務(wù)好或者說令客戶滿意,服務(wù)差也不可能把效益搞上去。這是銀監(jiān)會《關(guān)于中國銀行、中國建設(shè)銀行公司治理改革與監(jiān)管指引》文件很明確地提出來的要求。中行和建行要重組上市,就要實現(xiàn)銀監(jiān)會提出的四個要求。恐怕農(nóng)行和工行下一步也要遇到這個問題,也準備在中行和建行上市成功之后,經(jīng)歷這個過程。我們這兩家銀行先試一試,估計在上市過程中會有更多的難題。
我們研究一個問題總是要抓住一些本質(zhì)性的東西。有一個美國的企業(yè)家寫了一本書叫《基業(yè)常青》,他把一個一般的企業(yè)發(fā)展成比較大的企業(yè),積累了一些經(jīng)驗,他的書里面有這么一句話:“偉大的公司要想生存,必須擁有一個持久的觀念,這個觀念必須從屬于整個公司。即使有遠見的領(lǐng)導(dǎo)人與世長辭以后,這種所謂的觀念也會永存。這種觀念并不是圍繞某個人或者一個整體,而是圍繞一個決定公司發(fā)展目標的思想體系建立起來。有遠見的公司,之所以能夠成功,原因就在于無論發(fā)生什么變化,它們的核心觀念毫不動搖。”他說得很深刻,他說:“只有從過眼煙云的變革中看到背后永恒的管理法則,人們才能真正了解到偉大公司的偉大之處。”我也在想這個問題,中國銀行偉大不偉大?90多年的歷史,應(yīng)該是一個偉大的公司,但是這個偉大公司的偉大之處怎么體現(xiàn)呢?那就看我們能不能建立和遵循我們的公司治理法則。所以我認為內(nèi)部控制很重要,實際上內(nèi)控原理是一種管理法則,我們通過研究內(nèi)部控制的理論來轉(zhuǎn)變我們的經(jīng)營觀念,來增強控制意識,提高管理水平,這恰恰就是我國的國有銀行向商業(yè)銀行轉(zhuǎn)變和上市的基本前提。我把它識為一種基本前提,那就是說我不認為只要一個銀行能夠跑到股票市場上去,在那里銷售我們的股票,來套股民的錢,我們就是一個公司治理機制良好的銀行。因為它上市成功的前提首先要具備較多的控制意識,有較好的管理水平。其實巴塞爾委員會對這個問題也是提出了很高的要求,把它強調(diào)到一個很重要的地位。一個有效的內(nèi)部控制系統(tǒng)是銀行管理的關(guān)鍵內(nèi)容,是銀行組織機構(gòu)安全和良好運營的關(guān)鍵,這是巴塞爾委員會提出的要求。一個強有力的內(nèi)控系統(tǒng),能夠幫助確保銀行機構(gòu)的目標和目的的實現(xiàn),使得銀行取得長期的利潤目標,維護財務(wù)報告和管理報告的可靠性,并且確保銀行遵循法律和規(guī)章制度,以及一系列政策、計劃、內(nèi)部規(guī)定和程序,減少始料不及的損失和有損銀行聲譽的風險。為了強調(diào)內(nèi)控,我重點介紹下面四個方面的問題: 第一,是介紹內(nèi)部控制理論已經(jīng)解決的問題。第二,從我在中行的新體驗來看看我們國家銀行內(nèi)部控制的發(fā)展。第三,我們對銀行當前內(nèi)部的控制問題進行初步的研究。第四,提出一些政策建議僅供大家參考。
一、內(nèi)控理論已經(jīng)說明的問題
我們在提到銀行的管理、銀行的控制這樣一個題目的時候,我覺得搞法律的人員不是那么熟悉,因為我在中國銀行,法律工作人員大都很年輕,在管理學上、在銀行的控制理論上,還是缺乏知識的,這里有知識的結(jié)構(gòu)問題。所以很有必要來探討一下內(nèi)部控制的理論。
首先內(nèi)部控制的理論已經(jīng)明確了內(nèi)控在銀行中間的地位。任何一個組織要維護它良好的職能機構(gòu)都必須認真對待四個問題:第一個就是治理問題,包括銀監(jiān)會經(jīng)常說的公司治理機制;第二個就是風險管理;第三個叫內(nèi)部控制;第四個叫保障措施。首先明確一下概念。中央領(lǐng)導(dǎo)、國務(wù)院領(lǐng)導(dǎo)經(jīng)常說公司治理,到底公司治理是干什么的?是研究什么的?我有一次到德國開國際會議,與美國的一個高級審計官員探討過這個問題。公司治理的核心問題是如何委托資源以便于實施某項任務(wù)。再說得明白一點,就是找什么人來做這個銀行行長和各級經(jīng)管人員,以便于把商業(yè)銀行的各項業(yè)務(wù)做好。找誰?是找王雪冰還是找其他人?為什么找王雪冰?他出了問題,怎么才能找到另一個人不出問題或者少出問題?公司治理就是找誰當行長,找什么人當總經(jīng)理和各級經(jīng)管人員。像中國銀行大約有200位總行高管干部,包括行長,找誰擔任這樣的職務(wù),要明確誰來干,明確誰承擔這個責任,看看他們怎么承擔這個責任。這叫公司治理。
風險管理是什么呢?風險管理是一種程序,它要識別風險,評估風險,并針對風險來制定相應(yīng)對策。商業(yè)銀行里都有一個部叫做風險管理部,在銀行,風險管理部是很重要的部,這個部干什么呢?它要分析銀行運用資產(chǎn)有什么樣的風險,這些風險究竟有多大,銀行可接受的風險的水平有多高,然后銀行既然有這么多的風險,采取什么政策對付這些風險,這叫風險管理。
內(nèi)控是干什么的?內(nèi)部控制是公司的核心管理內(nèi)容,它是公司通過治理來實現(xiàn)公司目標的有力手段。銀行通過風險管理發(fā)現(xiàn)了風險,認定了風險,評價了風險,并且制定了風險應(yīng)對的對策,之后怎么辦?要采取一系列措施和經(jīng)營管理程序加強內(nèi)部控制,防范風險。
另外,還有一個確保反饋的系統(tǒng),這是一個通過交流反饋和咨詢來促進上面三項內(nèi)容能夠順利開展的程序。就是保證上面能夠開展這些活動。我在我的《公司治理與銀行控制》這本書上就描繪了一張圖說明上述四種治理機制的相互關(guān)系,現(xiàn)在銀行領(lǐng)導(dǎo)也好,中央領(lǐng)導(dǎo)也好,經(jīng)常講這幾個概念,但是我們需要把它們界定清楚。
如果你要經(jīng)營一個企業(yè),開一個銀行,首先得有一個目標,這個目標確定了之后,靠什么來管風險?一個靠公司治理,找一些人——可靠的人、能干的人,把他們叫來,安排他們工作。然后組織其中一部分人來分析,我要實現(xiàn)這些目標,有哪些風險,怎么對付這些風險,制定風險政策。然后要有大量的人在操作的層面和管理的層面實行內(nèi)部控制。把這些活動通過一個確認反饋系統(tǒng),最終實現(xiàn)公司目標,就是資本充足、內(nèi)控嚴密、運營安全、服務(wù)和良好效益。
國際上對內(nèi)部控制也有大量的研究,美國有個權(quán)威機構(gòu)叫COSO,提出了一個比較完整的內(nèi)控理論和操作方法,后來又提出完整的風險管理的理論。實際上各國都在探索,英國也有一個CADBURY模式,后來它發(fā)展或TURBULL。加拿大叫COCO理論。一些發(fā)展中國家,例如南非也有一套理論,叫KING,都在研究內(nèi)控。為什么這樣重視內(nèi)控?就是前面講的偉大公司的背后的管理法則。1998年9月份巴塞爾委員會又提出了一個關(guān)于銀行體系內(nèi)部控制框架,這個在網(wǎng)上能夠搜索出來。2003年美國COSO又進一步提出更加完整的理論,不完全是內(nèi)控,把內(nèi)控放在風險管理的框架里。所以內(nèi)部控制的發(fā)展一步一步最后形成了巴塞爾委員會內(nèi)控的指導(dǎo)原則,一共有13項原則。而且內(nèi)部控制在概念上也從部分控制論發(fā)展到全控制論。部分控制論講的控制是會計控制、財物管理控制,后來又發(fā)展到稽核,各個銀行都有稽核隊伍,然后又超越財務(wù)范疇,把內(nèi)控滲透到經(jīng)營和管理各個方面。控制滲透在各個微觀經(jīng)營管理活動的毛孔里。而且內(nèi)部控制也由過去只強調(diào)財務(wù)會計和財務(wù)信息的管理到更加強調(diào)提高經(jīng)營管理的效果和效率,更加強調(diào)管理政策。這是一個發(fā)展。
我們研究一下到底什么叫內(nèi)控?現(xiàn)在的內(nèi)控理論已經(jīng)把內(nèi)控設(shè)定為比較科學的定義:“內(nèi)控是一種為合理保證實現(xiàn)下述四大目標的動態(tài)過程,動態(tài)的程序。”它的每一個詞都是有道理的,是合理保證實現(xiàn)四大目標的動態(tài)過程,原來提的是三大目標,現(xiàn)在有所發(fā)展,又提出第四大目標。它補充的那個目標就是戰(zhàn)略性的目標。
什么叫戰(zhàn)略性的目標?就是內(nèi)部控制要符合和支持銀行機構(gòu)的總?cè)蝿?wù)的完成,要有相當高度的視野,這是一種高層次的目標。上面提到的資本充足,這就是戰(zhàn)略性目標,中央確定我們要實現(xiàn)國有商業(yè)銀行資本充足,這是戰(zhàn)略決策,不是具體到結(jié)算業(yè)務(wù),還是零售業(yè)務(wù),還是公司業(yè)務(wù)這種微觀層面的目標。過去的國有商業(yè)銀行不講究要資本充足,國家不給我們補助資本金,中國銀行一開始是財政部劃撥的那點錢,后來核銷呆賬沒有撥過資本,有利潤全部上交國家、上交財政,現(xiàn)在提出來要滿足8%資本金充足率,要實現(xiàn)這個,國家給我們中國銀行225億美元讓我們來充實銀行的資本,另一個也允許我們在盈利中間拿出一塊,使我們的資產(chǎn)達到充足的標準,今后就要靠自己的努力了。這就是戰(zhàn)略。
第二種目標叫操作性目標。銀行不能不講效果,不能不講效率,在我們貸款的時候,在我們?nèi)谫Y的時候,在我們做業(yè)務(wù)的時候,要保證銀行避免損失。執(zhí)行各種內(nèi)控操作的程序,確保組織當中所有人都來有效率的工作,甚至還要注意道德的完整性,而不發(fā)生不應(yīng)有的過高成本。特別要強調(diào),不能把任何其他的利益置于銀行的利益之上,比如為自己雇員的利益發(fā)獎金,為了讓大家得到獎金,寧肯使銀行冒操作性的風險。或者給關(guān)系人貸款,為了某些客戶的利益,而不顧銀行的利益。或者為了個人的權(quán)利,拉拉打打、玩權(quán)術(shù)、市宗派。
還有第三個目標,叫做信息性目標。這里包括財務(wù)和管理的信息,過去只是強調(diào)財務(wù)的信息,現(xiàn)在巴塞爾委員會強調(diào)還有管理的信息,都要可靠、完整,并且能及時地提供。我們在寫各種報告的時候,都要做到這點,而且要定期發(fā)布可靠的財務(wù)報告,披露真實的信息。將來我們上市了,也要給股東寫報告,給銀監(jiān)會、人民銀行寫報告,對外公布的財務(wù)報告要經(jīng)過監(jiān)管當局認可的會計師事務(wù)所審定。而且董事會、管理者在做決策的時候,要有信息基礎(chǔ),這個信息必須充分、有質(zhì)量和完整。我們的財務(wù)報表要有明確定義的會計原則。這次中國銀行上市,其中一個內(nèi)容就是要搞盡職調(diào)查,我們要聘請外部律師事務(wù)所給我們幫忙,我們要向他們?nèi)鐚嵉貓笠幌盗械牟牧希詈筮@個材料要交到律師事務(wù)所審查。中國銀行干了這么多年,出了多少年報,年報后面的會計報表不僅前沒有會計師事務(wù)所簽字。國外的會計報表和年報最后除了銀行行長簽字、銀行總會計師或者財務(wù)總監(jiān)簽字以外,還有中央銀行認可的外部審計師要簽字,而我們過去沒有。要真實披露,我們的工農(nóng)中建可能存在倒閉的問題,如果嚴格按照巴塞爾委員會的要求有可能會摘牌了。所以我們上市以后,壓力很大。但我們需要披露,我們有責任向股民說清。
還有第四大目標叫遵從性目標。符合法律和規(guī)章制度。巴塞爾委員會特別強調(diào),要確保銀行所有的經(jīng)營都遵從適當?shù)姆珊鸵?guī)章,遵從監(jiān)管的要求,遵從本組織——銀行的政策和程序,其中一個特別重要的就是業(yè)務(wù)流程。如果業(yè)務(wù)流程不熟悉、不遵從,違規(guī)經(jīng)營的話,就沒有實現(xiàn)這個目標。為什么要這么做?要保護銀行的“特權(quán)”。實際上銀行是有特權(quán)的,不是所有的企業(yè)都能干銀行,也不是所有的金融機構(gòu)都能干銀行的事,銀行是被經(jīng)濟社會選拔出來的能夠勝任這項工作的金融機構(gòu)。為什么銀行要有聲譽?別的公司也強調(diào)信譽,但都沒有銀行的信譽強調(diào)得更高。有不少人也抱怨,別的國營單位蓋大樓,中央要批評,但是銀行為什么可以?我們中國銀行的樓,我走過了幾十個國家,我還真沒見過這么好的銀行大廈,法蘭克福的金融中心建設(shè)得夠高級了,英國的City夠氣派了,你到那里看看,有沒有比中國銀行的樓更高級的,我覺得還沒有。這里也確有太奢華的問題,但為什么中行這么蓋大樓,建行、工行都蓋了不小的大樓,中央沒批評,因為它有個形象和聲譽問題。因為銀行很需要體現(xiàn)它的權(quán)威和不可動搖性。我在河北掛職的時候,河北中央銀行門前的獅子是銅做的,斜對面有一個紡織品進出口公司,獅子也不小,但央行的比公司的還大一倍。銀行的職業(yè)特征決定了它需要一定的聲譽和權(quán)威。當然,這種聲望和權(quán)威應(yīng)該是內(nèi)在的,不能只靠表面的豪華去裝飾。
工農(nóng)建都設(shè)有法律部門,都起名叫法律部,我們中國銀行為什么出了一個法律與合規(guī)部?直接的原因是紐約分行的事件,給我們很大的教訓。有人說你把你們的行長都賠進去了,那都不是最重要的教訓,最重要的教訓是紐約分行使我們認識到過去我們搞銀行的時候,對合規(guī)重視得很不夠,而一些大型的國際化的銀行在行內(nèi)設(shè)有很大的部叫合規(guī)部,來抓合規(guī)工作。我們總結(jié)了在紐約的沉痛教訓,感到有必要把合規(guī)工作提上日程。銀行一定要依法合規(guī)經(jīng)營。而內(nèi)部控制的理論實際上把“合規(guī)”作為一個目標。中國的銀行考核底下的員工都把效益作為考核的重點,利潤是考核的重點,但是內(nèi)控理論中明確指出要把依法合規(guī)作為考核的四大目標之一,如果不考核當然各級單位就不朝這個方面努力,不在這個地方扣分,憑什么在這個地方花費資源?
內(nèi)部控制的定義說明了幾個問題:
第一,內(nèi)部控制是一種程序,這個程序意味著它朝著某個方向去努力,但是它永遠達不到那個終點,因為這個終點是它不斷要達到的目標。
第二,銀行要搞內(nèi)部控制,離不開人的影響,不是說搞內(nèi)部控制就是去念幾條規(guī)章制度,而要有人在這里起作用。
第三,內(nèi)部控制是為公司管理層提供合理的保障,但不是絕對的。萬事都不能絕對化,絕對化就是形而上學。內(nèi)控是提供合理的保障,是對解決銀行問題有利。不是說一抓內(nèi)控就什么問題都不會出來。
第四,內(nèi)控是有多重目標的,內(nèi)控有四個目標,第一個目標是戰(zhàn)略設(shè)定,第二個目標是經(jīng)營的效果和效益,第三個目標是信息性目標,第四個目標是遵從性目標。內(nèi)部控制為的是目標的實現(xiàn),通過一些活動,一個有機結(jié)合的整體,去實現(xiàn)公司的目標。這是很值得我們學習內(nèi)部控制的方面。
內(nèi)部控制可分解為五大組成部分的內(nèi)容:第一個強調(diào)控制環(huán)境,第二個強調(diào)風險評估,第三個要開展控制活動,第四個要進行信息的交流,第五個要進行監(jiān)督評審。這是內(nèi)部控制的五大組成部分。為什么從理論上強調(diào)這些內(nèi)容,不是我們要講一些花哨的名詞,而是這五大組成部分比較充分和完整地說明了內(nèi)控的主要內(nèi)容,使我們明白了應(yīng)該怎么執(zhí)行內(nèi)控,又怎么進行評價。怎么評價內(nèi)控?我建議就從這五個方面。
另外COSO又提出八大組成部分,這是從風險管理角度講的。下面是風險管理的八大內(nèi)容:內(nèi)控環(huán)境、戰(zhàn)略目標設(shè)定,事件的認識或者是了解,另外風險評估、風險對策、控制活動、信息與交流、監(jiān)督評審。這是八個組成部分的內(nèi)容。首先要確定目標,開展經(jīng)營活動必須有目標,我銀行要搞好,我的目標是什么?支行有支行的目標,二級分行有二級分行的目標,一級分行和總行都有目標。風險管理也是一個有機結(jié)合的整體,也要強調(diào)內(nèi)部的環(huán)境,就是前面說的控制環(huán)境。目標設(shè)定以后,要有些事要做,一件事叫“事件識別”,就是要看這些事有什么風險,要開展公司業(yè)務(wù)、零售業(yè)務(wù)、結(jié)算業(yè)務(wù)、信用卡業(yè)務(wù),銀行所有的業(yè)務(wù),這些業(yè)務(wù)有什么風險要評估,評估完了以后要有風險對策。既然你都評估了,怎么處理這些風險,要有政策、有策略。然后,就進入了內(nèi)部控制。這里我解釋風險管理是希望說明它與內(nèi)控的關(guān)系。
概括起來,內(nèi)控分為五大組成部分的內(nèi)容。內(nèi)控五大組成部分最基礎(chǔ)的地方是在控制環(huán)境上,然后進行風險評估,還要開展控制活動,在控制活動開展的過程中間,又要不斷交流信息,寶塔尖上強調(diào)監(jiān)督、評審。從風險管理的角度來分析,這個模式或框架還包含四大目標。戰(zhàn)略性、操作性、信息性、遵從性、合規(guī)性,這是五個目標,這是一個層面的東西。從內(nèi)控的角度來分,目標是四個,但內(nèi)容可以比風險管理少三大內(nèi)容。就是以上概括的五大組成部分的內(nèi)容。這還僅僅是兩維的空間,第三維空間就是不同的部門,各個級別的部門。第三維空間,比如法律事務(wù)部或者是公司業(yè)務(wù)部、零售業(yè)務(wù)部,這些部門組成第三維空間,這三維空間組成立體的模型。實際上我們在講一種思維方式,我們是在這樣一個立體空間里搞銀行。把任何一個部門抽出來,比如把公司業(yè)務(wù)部抽出來,都有四大目標,都有五大組成部分的內(nèi)容在里面。這說明一個什么問題?說明我們可能利用思維方式,利用模型,利用這個理論,探討出管理銀行,評價銀行的方式。為什么巴塞爾委員會這個國際銀行監(jiān)管的機構(gòu),要支持這么一種理論?是因為這個理論有用,是因為這個理論發(fā)展到今天,能涵蓋我們銀行的主要業(yè)務(wù)、主要工作。
從“控制環(huán)境”的角度怎么理解呢?實際上控制環(huán)境是所有各個方面的基礎(chǔ),是一個帶動銀行開展工作的“發(fā)動機”。這里包括銀行的行風、組織風紀,它還涉及銀行活動的核心——人(員工),而且要通過影響人們的控制覺悟來形成銀行的“文化”,就是銀行究竟提倡什么,特別是注意人們對內(nèi)控的認識和態(tài)度,你有沒有控制理論,有沒有高度的內(nèi)部控制覺悟,也就是重視內(nèi)部控制,特別是由于這個環(huán)境不同,你的戰(zhàn)略目標的實現(xiàn)就受到影響。我們國家如果沒有長期穩(wěn)定搞建設(shè)的環(huán)境,中央不會提出國民經(jīng)濟翻翻這樣的戰(zhàn)略。這里還涉及風險管理的一些哲學,開展風險管理是避險為主還是冒險為主呢?風險管理是什么文化?這些東西都是控制環(huán)境里的。我們理解控制環(huán)境也是希望大家在評價某個部門的時候,比如上級讓你去公司業(yè)務(wù)部檢查一下他們的內(nèi)部控制怎么樣,首先建議你評價控制管理的環(huán)境如何。我后面還會強調(diào)環(huán)境方面的建設(shè)。
第二大組成部分是“風險評估”。風險評估是什么?就是你要去識別和分析那些妨礙實現(xiàn)經(jīng)營管理目標的風險,這是風險管理決策的基礎(chǔ)。我們搞內(nèi)部控制,必須要認識風險,這和風險的定義有關(guān)系。什么叫作風險?有人說就是損失,或者有人從概念角度說是造成損失的可能性,這些都對,但是更精確、更科學、更接近本質(zhì)的風險定義是什么?就是妨礙實現(xiàn)目標的所有因素。為什么這么說?就是我們干什么事都是要有目標,什么叫我干這件事的風險呢?就是我有哪些東西干擾我實現(xiàn)這個目標。我曾經(jīng)舉了一個很生動的例子,比如說有一個武士,他在射箭,要打中一只鳥,什么是他的風險呢?打不中是他可能的結(jié)果,怎么會影響他打不中呢?一個顯然是他自己的本事,他有沒有力氣拉開這個弓,拉到足夠滿的程度。他的視力是不是好?他是不是能夠正確地判別目標所存在的位置以及他自己的經(jīng)驗?說到這兒,是不是風險就沒了,不對。當他拉弓的時候,雖然拉的很滿,但是他是頂風拉的,風力很大,影響他。天要是突然刮起了大風,烏云遮蓋了整個天空,太陽沒有了,看不見了,這也是風險。如果一切都非常好,但是拉弓的英雄喜愛美人,旁邊過來一個美女,他分心了,也射不中。要想實現(xiàn)目標,各種因素都可能是風險,只要它們妨礙你達到你的目標。所以我們在講銀行風險的時候,有人總是想設(shè)定一下是信貸風險、利率風險、市場風險,其實這都是一些業(yè)務(wù)上的風險,很少有人提到人的風險,而且很少有人涉及更廣泛的,凡是能夠形成對銀行目標實現(xiàn)造成影響的其他一些風險,例如員工有沒有參與賭博、炒股,甚至包“二奶”等,很少有人更廣泛去考慮,就是因為在風險的定義上不夠準確,沒有明確風險更本質(zhì)的定義。在風險管理的體系框架中,COSO把目標的設(shè)定加進來,然后有一個事件的識別,有風險的評估,然后要制定風險對策。這四個方面恰恰是風險管理的主要內(nèi)容,也是搞銀行風險管理四個最本質(zhì)的工作。
第三大組成部分是“控制活動”。你既然是搞內(nèi)控,不可能不參加控制活動,使目標的實現(xiàn)有合理的保證。經(jīng)營目標的實現(xiàn)需要發(fā)布一些管理指令,要采取一些防范化解風險的措施、政策、程序,像高層的檢查,直接地參與管理,對信息進行加工、對實物進行控制,比如確定指標、究竟今年要完成多少利潤等。特別是職責的分離,職責不分是現(xiàn)在銀行發(fā)生重大案件的一個很普遍的原因。如果交易、記賬和尾箱管理都由“一手清”,就難保不出事。內(nèi)控還要針對目標相關(guān)的風險發(fā)布控制指令,各種各樣的指令。
第四大組成部分存在于所有的經(jīng)營管理活動中,“信息與交流”應(yīng)使員工能夠搜集和交換為開展經(jīng)營從事管理和進行控制等活動所需要的信息。管理者應(yīng)該經(jīng)常評價員工的工作業(yè)績,注意以評價監(jiān)督的方式來開展工作,根據(jù)一些會計數(shù)據(jù)分析并發(fā)出一些預(yù)警信號,確保有關(guān)經(jīng)營目標的實現(xiàn)。這個信息與交流在總行層面是最大的問題,我們各個部門分管很細,都有各自的職責,一件事現(xiàn)在離開哪個部門干都不行,需要協(xié)調(diào)配合。可是在咱們一些銀行體系當中,協(xié)調(diào)配合能力特別差,其中的一個癥結(jié)就在信息與交流上。我想法律部的人員也會有同感,說叫你去審查一個合同,把合同拿來了,以為很容易發(fā)現(xiàn)合同中存在的問題。有的時候送審的人員都不知道給你這個合同讓你審什么。后來我們制定了合同審查表,叫“合同審查意見申請表”,這個表讓你說明送審合同的目的,你究竟讓我審什么?這個合同產(chǎn)生的背景是什么?這里有哪些法律疑難問題需要我們法律部審查?過去有沒有審過?有的人拿過來第二次審了,但沒有告訴,我重審一遍。說我們法律部門解決的問題,合規(guī)方面要不要解決,是不是合規(guī)?我覺得一項法律合同首先要合規(guī),業(yè)務(wù)不合規(guī),談不上跟人家簽合同。這些問題都是一個配合的問題,都是一個信息交流的問題。
還有一個內(nèi)容是“監(jiān)督評審”,現(xiàn)在咱們國家已經(jīng)開始重視這個問題,就是干什么事都注意監(jiān)督,但是這里我所說的監(jiān)督評審是評價內(nèi)部控制持續(xù)操作質(zhì)量的一個過程。要評價內(nèi)部控制到底在你們這個部門是有效的,還是無效的?這個監(jiān)督評審是經(jīng)營管理部門對內(nèi)部控制的管理監(jiān)督和稽核監(jiān)察部門對內(nèi)部控制再監(jiān)督、再評價的總稱。也就是說監(jiān)督不僅僅是稽核、監(jiān)察部門的職責,更重要的是經(jīng)營管理部門自身的職責。這個概念不是一下子能認識到。過去一提到監(jiān)督,肯定是監(jiān)察部、稽核部它們的事,為什么我們法律與合規(guī)部要成立一個合規(guī)處?從管理的角度制定了許許多多的制度和規(guī)定執(zhí)行了沒有?執(zhí)行的情況怎么樣?我們不能不管。我相信工、農(nóng)、中、建都有法律部,都有這個職責,就是管規(guī)章制度的制定和監(jiān)督。我們管到這個層面是不是就夠了?實踐證明不夠,咱們銀行為什么出一大堆問題?為什么出那么多案子?哪一個流程沒有規(guī)章制度?我們現(xiàn)在凡是發(fā)行一個新的業(yè)務(wù),新的產(chǎn)品,首先是規(guī)章制度,規(guī)章制度不出臺,流程不出臺,不明確,這項業(yè)務(wù)就不能開展。問題就出在新的業(yè)務(wù)上。一方面規(guī)章制度跟不上需要,一方面有章不循,不執(zhí)行規(guī)章制度,讓稽核監(jiān)察去查查,必須有人時常監(jiān)督規(guī)章制度是否執(zhí)行,執(zhí)行有力還是不力,全面不全面,不執(zhí)行、違規(guī)經(jīng)營,造成的損失和問題誰來負責,如何追究責任,如何進行處罰,這一點非常重要,沒有這項工作,規(guī)章制度就是形同虛設(shè)。為什么現(xiàn)在出現(xiàn)大量問題?因為你不去監(jiān)督管理它,總是想著要實現(xiàn)利潤目標,為了“短、平、快”,經(jīng)常把一些規(guī)矩打破,打破這些規(guī)矩的結(jié)果產(chǎn)生風險。可是不注意這些風險的管理,出了問題以后,就讓整個銀行蒙受巨大的損失。
所以,四大目標是縱向的列,五組成部分是橫向的排,和內(nèi)部控制相關(guān)的工作單元或活動是第三維空間。我們隨意抽出任何一個單位,我把某一列抽出來都有五大組成部分,我把橫排抽出來,都和四大目標密切聯(lián)系。這是一種思維方式,是我們抓內(nèi)控的一種原理性的認識。
當然,巴塞爾委員會還講要監(jiān)管當局對內(nèi)部控制系統(tǒng)進行評價。2002年央行到我們行全面檢查內(nèi)部控制,我們的被查部門手忙腳亂,要報這么多材料,好多東西不知道,內(nèi)部控制搞什么,怎么報告,做了各種準備,迎接人民銀行來檢查內(nèi)控。過去不夠重視內(nèi)部控制,非要人民銀行來查才進一步重視。為什么監(jiān)管當局要著重對內(nèi)控進行檢查和評價?不要以為商業(yè)銀行都有內(nèi)控的自覺性,它再有自覺性,也沒有高到足夠的程度。人民銀行要定期不定期地查。我說的是一個挺重要的理論問題。我有一個導(dǎo)師是倫敦經(jīng)濟學院經(jīng)濟系的主任,他寫過一篇文章叫《為什么銀行需要一個中央銀行》,他從信息論的角度提出商業(yè)銀行有必要接受監(jiān)督這個問題。巴塞爾委員會關(guān)于內(nèi)部控制的第13條原則就是講商業(yè)銀行需要中央銀行監(jiān)督,不僅監(jiān)督表內(nèi)業(yè)務(wù),甚至監(jiān)督表外業(yè)務(wù),還有新業(yè)務(wù)。凡是監(jiān)管者確定某銀行的內(nèi)部控制系統(tǒng)不能充分或有效地針對銀行的具體風險,監(jiān)管者應(yīng)當采取適當?shù)男袆印0腿麪栁瘑T會說話是有分量的,“適當?shù)男袆印保裁葱袆樱课覀兗~約分行曾經(jīng)險些被停牌,讓你注意你已經(jīng)降到多少級,使你提高交融資成本。再不小心,我停止你經(jīng)營。現(xiàn)在外國銀行到中國來,最怕的就是中央銀行,銀監(jiān)會也好,中央銀行也好,國外有深刻體會,匯豐銀行這些大銀行對當?shù)刂醒脬y行非常畏懼,中國的商業(yè)銀行對人民銀行的畏懼程度遠遠不如外國銀行對人家的中央銀行的畏懼性,為什么?這里反映了雙方的問題,一方面商業(yè)銀行自律性不強,另一方面銀監(jiān)會和人民銀行對商業(yè)銀行的監(jiān)督不夠得力,商業(yè)銀行被罰款不夠多。我們在美國一項罰數(shù)達二千萬美元,這算少的。看看安然公司倒閉了以后,一些大審計公司被罰到最后倒閉。安德信是國際上最大的審計公司,就為安然事件倒閉了。人民銀行實際上也對內(nèi)部控制提出很多要求。我記得當時人民銀行對每項業(yè)務(wù)都提出了要求,我看了看銀監(jiān)會對商業(yè)銀行內(nèi)部控制的檢查評價體系基本上采納了COSO和巴塞爾委員會提出的要求,特別強調(diào)一種內(nèi)部控制的文化,這是巴塞爾委員會和COSO提出來的,這種文化體現(xiàn)在銀行的評價制度、職責分離的要求、橫向與縱向相互監(jiān)督制約的機制、報告關(guān)系、輪換制和強制休假制度、授權(quán)體系,還有對分支機構(gòu)的管理和控制、賬目核對、監(jiān)控制度、會計制度、應(yīng)急制度、獨立的法律合規(guī)的要求,等等。
有個問題值得探討:合規(guī)部門如何要具備它的獨立性?我在稽核部門也干過,稽核部門也存在獨立性和垂直性,稽核部門比較難做,我不知道其他銀行是不是這樣,我在稽核部門深有體會。銀行系統(tǒng)那些一線部門的同事總認為自己是創(chuàng)造利潤的主要部門,在行長面前匯報工作的時候都是一派理直氣壯的樣子,要是輪到監(jiān)督部門和管理部門說話的時候,似乎底氣不那么足。外國大銀行稽核部門說到哪個部門去查你就去查。而我們還要發(fā)個通知,告訴你我兩個星期或者一個月之后,要到你那里去檢查什么。人家那兒有時根本不告訴你,來了把你抽屜打開,你乖乖地站在那兒看著在那兒查。我在中國銀行法規(guī)部管合規(guī),我問過人家匯豐銀行、渣打銀行的同行,我問他們合規(guī)權(quán)威如何,他們說都很怕合規(guī)官。因為很多重大的問題要合規(guī)官審批,批不批就在他一個簽字而這些審批都是獨立進行的。我經(jīng)常遇到這種情況,現(xiàn)在強調(diào)法律與合規(guī)的重要性,動不動把你叫去開會,什么文來了讓你簽字。他找你簽,像是尊重你又像不是尊重你,有的時候?qū)嶋H上想讓你認可,說是還是不是,你要說是,我做了以后別找我碴兒。在我們部門工作的同志大都年輕,工作忙了,哪審得了這么多,一看既然他們都定了,我無異議,回復(fù)給人家。我心里打鼓,我最怕看到哪個經(jīng)辦或處長拿給我看三個字“無異議”,現(xiàn)在有什么事能讓你一點異議沒有?現(xiàn)在沒有那么干凈的事,拿到你這個法律部門審查的時候,可能是想繞一繞、拐一拐,你說無異議,那就干吧,因為無異議說明什么問題都不該有。我跟協(xié)議處說不要輕言無異議,一提無異議,就說明我這個部門對這個問題沒意見,萬一出個問題,吃不了兜著走。我感覺應(yīng)該使銀行的經(jīng)營部門尊重管理部門,也要讓銀行的經(jīng)營管理部門尊重監(jiān)督人員,這是非常重要的。如果不尊重,說明這個銀行內(nèi)部控制有問題,起碼在控制文化上有問題,他反感控制,不讓你控制,想讓你變著法不控制,但是他又讓你簽字。銀行今后應(yīng)該采取措施,使這些管理具有權(quán)威性、監(jiān)督有權(quán)威性、稽核有權(quán)威性、法律與合規(guī)部門有權(quán)威性。現(xiàn)在不是都講錢嗎?考核要有正確的考核體系。
強調(diào)內(nèi)控的時候也應(yīng)該注意:內(nèi)部控制不是萬能的,內(nèi)控不可能把一個本質(zhì)上很壞的經(jīng)營管理者變好,不可能左右政府的一些政策和計劃的改變,不可能對外部競爭對手的行為和客觀經(jīng)濟條件的變化都把握好,它有局限性。再有財務(wù)報表可靠不可靠,不是說你內(nèi)控絕對能夠保證的,假如支行的行長指揮著支行的會計去假造財務(wù)報表,會是什么問題?新會計法有一大修改,就是會計報表第一責任人是企業(yè)負責人,我覺得這條非常好,過去一說某個企業(yè)造了假賬是會計造的,其實回過頭來一檢查,能有幾個會計自己造假,是他的領(lǐng)導(dǎo),他們那些廠長、黨委書記讓他造假,他是被迫的。
我們應(yīng)該提倡依法合規(guī)經(jīng)營,千萬不要違規(guī),或者明知道這個不合法,也不向法律部門說明需要針對它進行審查,想蒙混過關(guān),想得到法律部門的認可,得到銀行老總的簽字,求得一時的解脫,這要不得。
國際上內(nèi)部控制的發(fā)展的趨勢給了我們一些啟示。
一是強調(diào)高級管理層的控制責任。首先董事會要充分理解銀行的主要風險。黨委,高級管理層的內(nèi)控基調(diào)是不是對?看交響樂團,在準備演出的時候先請鋼琴師定一下音?這就是讓全團有一個基調(diào),控制也要有一個基調(diào)。這個基調(diào)要由多級管理層確定。
二是要大力提倡和營造一種控制文化。上述的一些現(xiàn)象實際上就是控制文化上的問題。一方面,董事會和高級管理層要負責明確各級員工在道德上和完整性方面的高標準,人格要完整,要講職業(yè)道德,并且在機構(gòu)中要建立一種文化,向各級的人員強調(diào)和說明內(nèi)部控制的重要性、合規(guī)的重要性、法律的重要性。我在工作中深感在國有商業(yè)銀行的員工中,特別是在高級管理人員中,很有必要提倡道德修養(yǎng),加強職業(yè)道德建設(shè)。在國有銀行商業(yè)化的過程中,這方面有待改進。有的高級管理者不是把銀行的利益放在第一位,而是帶頭把個人的權(quán)利和利益放在第一位。而銀行里用人的時候不夠重視他(她)們這方面的表現(xiàn),不夠關(guān)注群眾這方面的反映,結(jié)果是在基層,甚至在總行高管人員中,不斷發(fā)生重大案件。另一方面,銀行所有的員工都應(yīng)在內(nèi)控的程序中間發(fā)揮作用,控制不只是高管人員的事,而是人人有份。上至總行,下至分理處、儲蓄所,每個崗位上的人都承擔特定的控制責任。有效的內(nèi)部控制系統(tǒng)的一項實質(zhì)性內(nèi)容就是建立強有力的控制文化,沒有這種控制文化,法律工作也不好搞,合規(guī)工作也不好搞,監(jiān)督機構(gòu)會形同虛設(shè)。
還有四點我要強調(diào)指出:
第一是正確理解內(nèi)控和管理的關(guān)系,進一步認識內(nèi)控在管理活動中的重要意義,要盡快地由領(lǐng)導(dǎo)決策層帶動,動員各級員工營造良好的控制文化,按照內(nèi)控的四大目標和五大組成部分,實行對經(jīng)營管理中間各種風險的逐級控制,以內(nèi)控為有力武器,提高經(jīng)營管理水平。
第二是正確理解內(nèi)控和風險管理的關(guān)系,進一步確立內(nèi)控在風險管理體系中的重要地位,防止以風險評估代替內(nèi)部控制。要按照上面介紹的內(nèi)控原則和系統(tǒng)框架盡快建立起適合中國國情的內(nèi)控組織結(jié)構(gòu),例如建立內(nèi)部控制委員會和內(nèi)部審計委員會,來加強對風險的整體研究、評估和管理控制。
第三是正確理解內(nèi)控和內(nèi)部審計的關(guān)系,我曾經(jīng)專門發(fā)表了一篇論文,叫“正確處理內(nèi)控與稽核的關(guān)系”。內(nèi)控首先不是稽核監(jiān)督部門的責任,而是業(yè)務(wù)的經(jīng)營管理部門的工作;內(nèi)控主要不是稽核監(jiān)督部門的工作,而主要是經(jīng)營管理部門的工作;內(nèi)控的檢查評價主要不是稽核監(jiān)督部門的責任,而主要是經(jīng)營管理部門的責任;不過,稽核監(jiān)督部門對內(nèi)控負有再監(jiān)督、再評價的重要的職責。明確上面說的四個要點,并且在監(jiān)督評審當中注意保持稽核與合規(guī)系統(tǒng)的獨立性,加強對各種風險的識別和評估,建立和督促對控制缺陷的糾正。不要發(fā)現(xiàn)了一些問題,稽核報告寫了,合規(guī)的報告指出了,讓他糾正,下回還是出現(xiàn)那些問題,還是沒糾正。這就表明內(nèi)控失效。
第四就是內(nèi)部控制應(yīng)該有一套有效方法,要搞內(nèi)部控制,要控制風險,必須有一套完整的系統(tǒng)性的操作方法。現(xiàn)在多數(shù)銀行在做這項工作的時候,都做得比較傳統(tǒng),一些行領(lǐng)導(dǎo)忙于業(yè)務(wù)發(fā)展,滿足于“頭痛醫(yī)頭,腳痛醫(yī)腳”,怕內(nèi)控影響發(fā)展。實際上已經(jīng)有一套先進的方法提了出來,我在我的那本書《公司治理與銀行控制》(中國金融出版社2001年版)里介紹了一整套的方法,而且對信貸、項目評審、信貸資產(chǎn)的五級分類和銀行行長選配等一些方面都做了一些理論聯(lián)系實際的探討。我希望總行帶頭規(guī)范地運用這套好方法。
(待續(xù))
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護》。
銀行風險的識別、評估與內(nèi)部控制
楊海群
(接 I)
二、銀行內(nèi)部控制的足跡
下面我把我們在中國銀行抓內(nèi)部控制的工作體會粗略介紹一下。我認為我們行大概經(jīng)過了這么幾個階段。第一個階段是在20世紀90年代中期以前,只有少數(shù)的領(lǐng)導(dǎo)人員和少數(shù)的稽核人員知道內(nèi)部控制的概念,概念也不準確,全行控制的意識是比較薄弱的,案件不斷發(fā)生。資產(chǎn)質(zhì)量也是越來越差。在那個階段里,銀行的問題比改革以前要多。計劃經(jīng)濟的時候,銀行并沒有多少案件,不像今天這樣,動不動出現(xiàn)一個非常大的案件,每一次都要刷新記錄,過去沒有。就是改革之后,市場的約束沒上來,計劃的約束又丟了、失控了,所以資產(chǎn)質(zhì)量就下降。
第二個階段是推進內(nèi)部控制的階段。那是1997年5月份人民銀行發(fā)布了“商業(yè)銀行內(nèi)部控制的指導(dǎo)原則”。我們總行要求制定中國銀行的內(nèi)部控制原則,我們抓了一個授權(quán)管理的制度規(guī)定,在人民銀行的授權(quán)管理規(guī)定基礎(chǔ)上做的。我們在1998年正式公布了內(nèi)部控制原則,而且我們在那個時候就已經(jīng)在中國銀行正式文件中間明確了稽核要以COSO理論框架來檢查和評價內(nèi)控工作。對監(jiān)察報送有關(guān)材料進行分析發(fā)現(xiàn),我們行發(fā)生的案件絕大部分在基層。涉案人員絕大部分是基層的領(lǐng)導(dǎo)干部,大部分涉案人員又都是20多歲至30多歲的年輕人。后來我們總稽核室對總行零售業(yè)務(wù)首次進行了內(nèi)控稽核檢查。
第三個階段,2000年前后我們進入一個理論探索的階段。2000年我們組織總行兩個業(yè)務(wù)部門和兩個管理部門編寫出版了一本書叫《中國銀行信貸內(nèi)控指引(貸款分冊)》。這里講一件小事,1998年的時候總行有個部門報告說內(nèi)控到底由誰抓,前行長王雪冰在報告上大筆一揮:“內(nèi)控只是稽核部門的工作。”我們一看不對了,我在人民銀行的《稽核監(jiān)督研究》上發(fā)表一篇文章《正確認識內(nèi)控與稽核的關(guān)系》,實際上沒點名地針對這個批示,糾正錯誤觀點。后來我們按照人民銀行的部署成立了一個信貸清分辦公室,當時總行調(diào)我去同一些同事領(lǐng)導(dǎo)貸款的五級分類,我運用了COSO的內(nèi)部控制理論,組織清分辦公室的同志們共同編寫了一套《中國銀行貸款資產(chǎn)分類指南》,后來金融出版社出版了。
2001年中國金融出版社出版了我寫的專著《公司治理與內(nèi)部控制》,我首次在內(nèi)部控制原理基礎(chǔ)上提出了一套內(nèi)控的比較完整的操作體系,提出了內(nèi)控、風險管理和公司治理三者之間到底是什么關(guān)系。王雪冰任職期間,行里的案子特別多,也使后來的領(lǐng)導(dǎo)感覺到加強內(nèi)部控制的重要性。中行的總行各個部門和分行逐步完善制度,加強內(nèi)控,提了很多很好的建議,其中一個就是將法律事務(wù)部改為法律與合規(guī)部。
第四個階段,我們進入了內(nèi)控強化階段。因為2002年5月,人民銀行發(fā)布了《商業(yè)銀行的內(nèi)部控制指引》,進一步將內(nèi)控提到一個新的高度,人民銀行開展對中行各個部門的內(nèi)部控制全面檢查。總行法律與合規(guī)部根據(jù)行領(lǐng)導(dǎo)要求要研究內(nèi)部控制,解決壞人做壞事想干干不成的問題。由于內(nèi)部控制不好,到基層檢查工作的時候,會感到震驚。干得成壞事很自然,而干不成才奇怪?只要想干肯定干的成,干不成不奇怪,為什么呢?因為在一些環(huán)節(jié)上幾乎沒控制。你說錢箱的鑰匙他拿著,庫的鑰匙他拿著,庫里有登記簿由他登記,這樣的情況他能不貪污?給他條件讓他去偷,最后案子出來一檢查,保衛(wèi)工作的那些規(guī)定不落實。后來行領(lǐng)導(dǎo)組織了總經(jīng)理級以上的干部,召開了研究會,研討我們行強化內(nèi)控建設(shè)的問題,黨委中心組2004年專門組織擴大會議,叫外部律師事務(wù)所講內(nèi)控,怎么加強內(nèi)部控制,讓我來宣講內(nèi)部控制,又制定“中國銀行進一步完善總行部門和一級機構(gòu)以上領(lǐng)導(dǎo)干部教育監(jiān)督的若干措施”,從高層去解決這個問題。
我們深深體會到合規(guī)工作是非常重要的。可是合規(guī)工作不是純法律問題,實際上是銀行業(yè)務(wù)的經(jīng)營管理方面的問題,是一個要熟悉銀行業(yè)務(wù)管理規(guī)定的問題,這就給法律部門在職能上增加了新的內(nèi)容,就是不能只是從法律上審查問題。另外,合規(guī)工作人員不能只是學法律的人,銀行建立了一個規(guī)矩,新員工進了銀行以后,先到業(yè)務(wù)部門實習一年。合同審查的一個大問題就是應(yīng)知道某個地方該不該這么做,但是如果沒經(jīng)驗,不懂業(yè)務(wù),就無法建議這個合同應(yīng)該怎么改。這項業(yè)務(wù)這么做不行,但是怎么做更好,他會很為難。搞合規(guī)的人,應(yīng)該具備什么條件呢?起碼要有三五年以上銀行業(yè)務(wù)工作經(jīng)驗。就是說搞合規(guī)的人要懂得銀行業(yè)務(wù),而且今后大量的工作涉及合規(guī)性質(zhì)的問題,法律性質(zhì)的工作需要把關(guān),也很重要,但是訴訟的案件隨著銀行業(yè)的規(guī)范應(yīng)當逐步減少下降,我們做了那么多年公司治理,做了那么多銀行改革,這么強調(diào)監(jiān)管,案件不應(yīng)該不斷上升,肯定今后的訴訟案會越來越少,非訴訟這塊工作會越來越重要。當然不可能在短時間內(nèi)不搞訴訟,也可以說長久下去法律方面的審查工作都是需要的、都是重要的、都是不能削弱的,但是合規(guī)會成為重點性的工作。我們是通過自己的教訓意識到這點的。
在這個階段里,由于認識上的存在問題,中國銀行在抓內(nèi)控工作中還存在時緊時松的現(xiàn)象,在忙于股份制改革時,內(nèi)部控制有所松滯,產(chǎn)生許多漏洞,以致在以后發(fā)生了一系列大案(例如我們黑龍江分行轄內(nèi)發(fā)生的震驚世界的高山事件),沉痛的教訓是值得銘記的!(待續(xù))
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護》。
銀行風險的識別、評估與內(nèi)部控制
楊海群
(上接 III)
四、僅供參考的政策建議
政策性建議之一,明確內(nèi)部控制的評價標準。我們今后要健全內(nèi)控,就要有標準,干什么事都要有標準。我在20世紀90年代就提出過四條原則性的標準。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo),這是一個理論體系,沒有這個體系做指導(dǎo),非要自己單搞一攤,像許多人寫書,左抄右抄最后弄一本書,用上自己的名字,也不說明出處。我們的內(nèi)控依據(jù)應(yīng)當扎實可靠,要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風險管理體系,就是一種有機結(jié)合的完整體系。內(nèi)控有四大目標和五大組成部分,加上組織機構(gòu)這第三維空間,就是個有機整體。我們開展內(nèi)控建設(shè)和管理,就應(yīng)該從這個框架(framework)出發(fā)。第三是方法上的先進性和可操作性,就是實實在在地開展內(nèi)部控制,制定一整套規(guī)范的方法去開展內(nèi)控,這些方法也要能跟國際接軌,我的專著中介紹的那套方法是非常好的控制方法,是在總結(jié)國內(nèi)外經(jīng)驗的基礎(chǔ)上提出來的。第四是內(nèi)控程序應(yīng)當便于計算機化,你既然有高科技創(chuàng)造的PC和軟件,就應(yīng)能實行計算機化。
政策性建議之二,績效考核要有合規(guī)性的目標和信息性的目標。內(nèi)控有四個大目標,現(xiàn)在大多數(shù)銀行主要提兩個目標,特別是利潤目標(效益目標),而沒有把合規(guī)性、信息性目標提出來。美國一些公司的丑聞已經(jīng)導(dǎo)致各國強調(diào)目標管理的全面性了,不是以利潤目標讓你得到獎金。針對安然事件,美國國會通過的一個索克斯法,這個法律里面規(guī)定,高級管理層通過虛報瞞報財務(wù)報表贏得的獎金,一旦發(fā)現(xiàn),就讓退回原有的獎金,這等于把合規(guī)性和信息性(財務(wù)報告可靠性)的目標作為績效考核的標準。
政策性建議之三,建議銀行把內(nèi)部控制的職能從風險管理部的工作中分離出來,不知道工行是不是這樣,我們曾經(jīng)把它放在風險管理部,風險管理包含但不等同于內(nèi)部控制,“風險管理部”同“風險管理”不是同一概念。我一直這樣說明,它們的職能不同,風險管理部門實行自身的內(nèi)控是應(yīng)該的,但是由這個部門去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制,就既可能干擾風險管理,又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個部門的工作,當然我們最好有一個比較有權(quán)威的委員會來領(lǐng)導(dǎo),由一個獨立的部門具體管這個事。這里有一個正確處理風險管理和內(nèi)部控制的關(guān)系問題,要理順風險管理和內(nèi)部控制的關(guān)系。
政策性建議之四,正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展,聯(lián)合國有關(guān)機構(gòu)認為應(yīng)當是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難,我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款,當時有效益,新一任行長接手時形成了一大筆爛賬,就不是可持續(xù)發(fā)展。這點恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度,定期召開管理部門和業(yè)務(wù)發(fā)展部門之間的溝通會,對業(yè)務(wù)的可持續(xù)發(fā)展進行定期的評審。一方面要強調(diào)業(yè)務(wù)發(fā)展部門依法合規(guī)經(jīng)營,審慎辦理各種項目,否則酌情追究責任。另一方面要研究制定管理控制部門和人員的責任追究制度,管理控制部門不是沒有責任,現(xiàn)在業(yè)務(wù)發(fā)展部門有數(shù)字指標在那兒控制,沒有完成什么指標,就得扣獎金,管理部門沒有什么指標,怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務(wù)和結(jié)算業(yè)務(wù),也深有體會。如果風險管理部審批一個項目拖拉怎么辦?因種種原因不批準一個項目,風險管理部要不要承擔風險?風險管理部大筆一揮這個項目不能干,你就不能干,至于說我們中行不辦,農(nóng)行接過來了,農(nóng)行給辦了,事后沒風險,還獲得了效益,還本付息很正常,追究不追究風險管理的責任?我曾經(jīng)跟風險管理的同事討論過這個問題,他們說那怎么追究,我在特定時期、特定情況下、特定政策下決定不批準這個項目,農(nóng)行在他的環(huán)境里面批準了這個項目,你怎么能說我不對?這個問題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對矛盾,它們既對立又統(tǒng)一。只有正確處理,在矛盾中不斷提高水平。最好兩方面的人員,包括風險管理、法律合規(guī)和稽核監(jiān)督人員,都應(yīng)該制定相關(guān)的責任制,要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關(guān)系。
政策性建議之五,為了加強對操作風險的防范,要研究風險怎么計量,國外都有一套理論模型,這套理論運用到我們中國銀行界怎么運用?需要研究和建立我們的操作風險計量模型。另外,操作風險的激烈表現(xiàn)就是案件的發(fā)生。各級機構(gòu)負責人員都要切實重視案件防范工作。加強基層管理和內(nèi)控建設(shè),落實規(guī)章制度,解決某些人想干干不成,干了早發(fā)現(xiàn)、早預(yù)警的問題。要根治私設(shè)小金庫,銀行更不能發(fā)生這個問題,小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行,不讓海外行設(shè)小金庫。過去我們給海外行的工資比當?shù)赝赓Y銀行發(fā)的低,怎么解決呢?他們經(jīng)總行批準設(shè)一種小金庫,有時接待任務(wù)很重,也要有一點資金來源。但是我們發(fā)現(xiàn)設(shè)小金庫帶來的隱患很大,因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票,我們行發(fā)生的大量案例都是屬于規(guī)定了不許,但是還炒,炒輸了怎么辦?銀行人員從銀行掏錢比較容易,轉(zhuǎn)轉(zhuǎn)賬,搬搬科目,動動電腦上的鍵盤,就能解決這個問題。我們要加大有關(guān)責任人的追究。
政策性建議之六,希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法,講了半天內(nèi)控,最終要落到實處,要開展控制活動,因此,應(yīng)當運用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因為我們法規(guī)部內(nèi)現(xiàn)在設(shè)了合規(guī)處,這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出,如何通過一套完整的、比較先進的操作方法,能夠讓人們合規(guī)。這里要有一套評價體系,要根據(jù)我前面講的內(nèi)容來進行評價。前面講的我那本書里有這個圖,圖示的操作還是挺不容易的,要分幾個階段,這個流程包含學習理論原理階段、前期準備階段、檢查階段、評價階段、報告階段,這是一套體系。如果真正實行了這套方法,我們國有商業(yè)銀行的內(nèi)部控制問題,依法合規(guī)經(jīng)營的問題應(yīng)該不會很大。
以上所言是本人對銀行強化風險管理和內(nèi)部控制的一些粗淺的探討,以求引起各方面的高度重視。其中的一些問題是帶普遍性的,各家銀行都在研究解決。雖然有些不是法律問題,但是在銀行的法律工作中都應(yīng)當了解。在改革開放的大潮席卷神州的形勢之下,我們冷靜地研究銀行的控制職能,特別是探索銀行如何通過風險管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展,應(yīng)當不無意義。言多必失,歡迎批評指正。
(完)
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護》。文中的圖示和注釋等因網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。
銀行風險的識別、評估與內(nèi)部控制
楊海群
(接 II)
三、關(guān)于銀行內(nèi)部控制的探討
我想探討三個問題:
1要深刻認識銀行與非銀行的本質(zhì)區(qū)別。從理論上講,企業(yè)和銀行是存在重大區(qū)別的。銀行是個什么單位,它不是一般企業(yè),現(xiàn)在改革的時候總強調(diào)銀行企業(yè)化,從銀行自負盈虧、自我約束角度提這個對,但是不全面。銀行不是一般性的企業(yè),要不然干嘛不把企業(yè)叫銀行,干嘛不把銀行叫工廠?它們之間存在重要的區(qū)別。
為什么經(jīng)濟中會有銀行?因為銀行是比較好的出資者和控制者。銀行是人類社會文明發(fā)展到一定程度,生產(chǎn)力和經(jīng)濟發(fā)展到一定程度的產(chǎn)物。銀行這個詞叫Bank,原意是過去意大利文里的“板凳”,就是意大利的商貿(mào)發(fā)達了,慢慢一些商船出去了,都得辦理結(jié)算和匯兌業(yè)務(wù),有些人坐在板凳上專門辦理這種業(yè)務(wù),這就是銀行的雛形。銀行慢慢發(fā)展起來了,有了辦公室,又有了樓。但是為什么銀行業(yè)發(fā)展這么迅速,而且在全世界哪個國家都離不開銀行,為什么?就是因為銀行是很好的出資者,能夠融通資金,用很好的方式來支持經(jīng)濟活動,同時在融資過程中實施必要的經(jīng)濟控制。大家都知道貸款有合同,合同是什么意思?合同的本質(zhì)是銀行對被貸款方、對借款人的控制。在什么時候必須還款,必須以多高的利息還款,不得挪用,等等,都訂到合同里。合同一經(jīng)雙方簽字認可,就具有了法律效力。銀行一旦發(fā)現(xiàn)你挪用,依據(jù)合同有權(quán)追回貸款,而且一旦出現(xiàn)重大問題的時候,可以到法院打官司。在西方,被銀行起訴了的借款人一般都會輸,被判罰。這就反映了銀行這個機構(gòu)特別。所以在國外沒有哪個個人或公司輕易地跟銀行打官司、鬧別扭。可見銀行具有規(guī)范經(jīng)濟,控制企業(yè)的特殊職能。銀行是市場紀律的主要實施者之一。
某個人要借給另一個人錢一般是難以控制借方的,他說還我,只能憑咱倆感情,憑我對你的認識。但是一拖就是多少年不還。銀行把錢借給你可就不同了,因為雙方之間訂了合同,你必須按時還本付息,否則就留下不良記錄,造成再借就難。大家可能知道有一個美國的經(jīng)濟學家 Stiglitz,他前兩年獲得諾貝爾獎,他有一句著名的話,叫“銀行最鮮明的特點是有能力進行控制”。
我們辦這么多商業(yè)銀行好不好?假如商業(yè)銀行的數(shù)量達到一定程度,讓它們自相廝殺,能不能發(fā)揮銀行控制經(jīng)濟的能力?西方理論界一直都特別強調(diào),不要片面地促進銀行之間的競爭,為什么?因為他們理解銀行的本質(zhì)。假若銀行控制企業(yè),控制經(jīng)濟,自己互相廝殺,我降多少利率,你降利率更多,咱倆競相降價,最后是什么?讓貸款的企業(yè)在中間叫板,這讓銀行怎么控制客戶和控制經(jīng)濟?還是讓客戶控制銀行?是讓借款的控制貸款的,還是貸款的控制借款的?這個問題要解決。實際上我們講的銀行的控制與被控制是這么一個概念,商業(yè)銀行、中央銀行、企業(yè)這三種主體參與控制體系中來。這里有三層的控制職能:第一層是商業(yè)銀行被控制、被監(jiān)管,中央銀行控制和監(jiān)管商業(yè)銀行。第二層是我們銀行要自我控制,你自己要控制好自己,不要在去控制經(jīng)濟之前,你自己都失控了,你沒法控制你的客戶了。第三層是商業(yè)銀行要控制企業(yè)。這些企業(yè)要按照銀行的貸款規(guī)定去投資、去盈利、去回報,假如這個企業(yè)沒有信譽,我不貸給你。不是像以前那樣,地方政府逼迫銀行去貸款,那很可能要不回錢來。現(xiàn)在大部分不良資產(chǎn)就是在1992年以后堆積起來了,那個時候是膽子要大一點,這大一點到后來是欲發(fā)不可收拾,我看到國內(nèi)通貨膨脹向兩位數(shù)攀登,曾從英國寫信給時任朱镕基總理,建議強化銀行的信貸控制。中央肯定及時分析了經(jīng)濟形勢的發(fā)展。大約半年后,國務(wù)院不得不開始實行政策控制,到那之后就好轉(zhuǎn)。
銀行的內(nèi)部控制還有更深一層的含義。實際上我們的下級機構(gòu)要接受總行的控制,總行也有一個自我控制的問題,因為總行也辦營業(yè)部,總行也搞項目、也搞營銷,總行也會出現(xiàn)問題。一級分行也有自我控制,同時一級分行還有一個控制二級分行的控制,控制轄內(nèi)機構(gòu)的問題。各級銀行都有控制自己所管轄企業(yè)的問題,控制貸款戶的問題。現(xiàn)在國內(nèi)的信貸形勢有不好的地方,就是銀行過度競爭造成無法進行控制。比如現(xiàn)在是銀行都去營銷少數(shù)較好的客戶,工行去說我的條件怎么怎么好,農(nóng)行接著說我的條件怎么好,中行說我的對外網(wǎng)絡(luò)好,我能提供什么服務(wù),建行說我的投資額度很大。使這些企業(yè)挑花眼了。有的業(yè)務(wù)現(xiàn)在已經(jīng)到了賠本的程度。我們中國銀行的國際結(jié)算業(yè)務(wù)應(yīng)該是好的,現(xiàn)在有些銀行跟我們競爭,一競爭是零費率,目的要把我們的客戶搶過去。我們有一個二級分行在東南沿海地區(qū)的城市,另一家銀行把這個城市90%的國際結(jié)算業(yè)務(wù)全拉到這個銀行,原因是他不惜血本,而且總行給了他這個任務(wù)。我認為這一種環(huán)境違背銀行的本質(zhì)職能,我說的不是這家銀行,我說的是這種環(huán)境,使銀行不得不屈從于借款人的苛刻條件,甚至為了使這個借款人不離開我的保留范圍,不使我的市場占有率下降而喪失公平性市場原則。我還舉個例子,我曾經(jīng)在一個省行主管過公司和結(jié)算業(yè)務(wù)。財政搞統(tǒng)一支付,各家銀行就到省里來營銷,由省財政局招標確定財政支付系統(tǒng)中心設(shè)在哪家銀行,大家競標。雖然人民銀行有規(guī)定不允許任何商業(yè)銀行變相降低利率給客戶好處,但是那個時候不得不給好處,因為競標,競標的時候就看你是讓我財政局低租金租用你銀行的房子還是免費讓我租用,有銀行空出半層樓供財政建立這個系統(tǒng),使用的電腦由這家行來提供,工行、農(nóng)行、建行拼命地設(shè)計“我來提供”,最后財政就問了,你給我多少錢的設(shè)備費,我們中行的同志回去連夜考慮,最后咬牙說出300多萬元,可另一家銀行競標的時候提出1000多萬元。后來我們也知道,沒有真出1000萬元,但是背后已經(jīng)談好了。你說這種氛圍能實現(xiàn)我說的銀行控制論嗎?如果經(jīng)濟不由銀行這個最有鮮明的特征的機構(gòu)來控制的話,這個經(jīng)濟能辦好嗎?你的企業(yè)能聽話嗎?經(jīng)濟活動參與者還服從市場紀律嗎?現(xiàn)在還要鼓勵辦多開銀行,私人銀行,俄羅斯改革以后,兩三千家私人銀行,你現(xiàn)在問問倒閉了多少。匈牙利我去考察過,也是改革以后,他們建立私有化的銀行,不良資產(chǎn)不斷上升,為什么?那么容易就干銀行?中、農(nóng)、工、建銀行比拼,拼來拼去最后彈盡糧絕。最近我看一個評級公司在評我國一些股份制小銀行,最后除了招商銀行稍微好一點以外,其他銀行的級別都不高。我建議大家重溫一下列寧的《帝國主義論》,想一想為什么工業(yè)化產(chǎn)生金融寡頭。其實衡量銀行體系的好壞不在它有多大數(shù)目和多元化到什么程度,而在它對經(jīng)濟的控制和服務(wù)功能發(fā)揮得如何。
市場風險有沒有可能造成銀行倒閉?有人問咱們中國的銀行還能倒閉嗎?都是國有的,只要有共產(chǎn)黨領(lǐng)導(dǎo),再高的通貨膨脹,再低的資本金都沒有關(guān)系,一樣不會倒閉。這次中央為什么決策讓中行和建行上市,有些搞改革的同志一個勁地宣傳銀行上市以后,怎么怎么好,我卻從內(nèi)控角度說銀行上市以后,怎么怎么有風險。我不反對銀行股份化和上市,我在英國出版的著作中還介紹過一些理論家關(guān)于轉(zhuǎn)軌經(jīng)濟中股份公司如何發(fā)揮作用的論述。但我也不認為這是唯一的解決方式,更不能認為只要體制更新了,機制一定會隨之好起來。一些熱衷于體制改革的同志不可否認有其進取心。但值得注意的是,體制層面上的變化雖然容易顯現(xiàn)業(yè)績,但內(nèi)部機制的轉(zhuǎn)變和完善是更實質(zhì)性的,來不得半點的短期行為。世界上銀行的治理結(jié)構(gòu)和運作方式千差萬別,很難把不同的經(jīng)驗一般化,很難說哪種結(jié)構(gòu)和方式照搬過來就一定適合中國的銀行。體制改革也不是萬能的。西方市場中倒閉的股份制上市銀行并不少。一家銀行倒閉后還會掀起倒閉狂潮,危及社會。現(xiàn)在提議銀行要改革,都在考慮怎么股份化,不外乎所有制要多元化等。我們銀行如果要上市,一個很重要的問題就是想讓戰(zhàn)略投資者進來,但是投資者要進來之前一定會先看咱們的管理和控制水平。水平太低別人不敢買你的股票,或者說還沒下決心買你的股票。西方人看得很仔細,我在行里主管反洗錢,戰(zhàn)略投資者為這方面的事調(diào)查我們行好幾次,拿出一系列問題問我們。所有制的實質(zhì)在于你的控制機制,你過去是國家控制,國家控制從某個角度可能有壞處。國家控制我,所有利潤都上交,多發(fā)點獎金發(fā)不了。你可能不承認,我們中行員工的薪水曾長期處在較低水平。聽行外有人說:中行的服務(wù)質(zhì)量差,追究其中一個原因就是獎金少。站在中行的員工角度上,會覺得不如上市,上市以后股份制,財政部別卡我了,靈活性就大一些了。但是如果財政部不控制,總有第三只手要控制,不可能沒人控制,當?shù)谌皇挚刂颇愕臅r候,可能比財政部還厲害。光想著財政部控制那么嚴,沒想到財政部還是你母親,媽有的時候看你哭還掉眼淚松松手,但是第三只手控制的時候非常殘酷。
2控制環(huán)境的建設(shè)有持高級管理層的支持。在控制環(huán)境方面涉及一些問題值得關(guān)注,管理層是不是明確維護內(nèi)部的完整性,這是非常重要的,特別是高級管理層,比如說總行的領(lǐng)導(dǎo),一級分行的行長這些負責人,他們是不是明確維護內(nèi)部控制系統(tǒng)?包括規(guī)章制度的建設(shè),組織結(jié)構(gòu)這方面的合理性,都非常重要。還要看這個銀行有沒有積極的控制管理,是不是在整個組織中間具有控制覺悟或者自覺的控制態(tài)度?行長們對內(nèi)控的基調(diào)是不是積極?單位里的員工其能力和他們的責任是不是相匹配?這里就涉及單位的人事政策,應(yīng)該審理人事部門人事的管理程序和管理規(guī)定。管理層的經(jīng)營風格、授權(quán)、責任、組織和業(yè)務(wù)發(fā)展的方式是不是適當?法律部門難以承擔授權(quán)管理這個職責,但是有一個問題值得探討,就是授權(quán)管理的合規(guī)性是需要有人控制的,我們目前還沒有控制到,我們在內(nèi)控上是有缺陷的。
行長也好,董事會也好,稽核委員會也好,是不是對內(nèi)部控制給予足夠的重視了?巴塞爾委員會是這樣說的,董事會應(yīng)該負責批準并且定期審查整個經(jīng)營戰(zhàn)略和銀行重大政策,理解銀行經(jīng)營的主要風險,確定這些風險的可接受的水平,保證高級管理層采取必要的步驟,識別、衡量、評審和控制風險。銀行的組織結(jié)構(gòu)是由董事會批準的,高級管理層也要不斷評審內(nèi)控系統(tǒng)的有效性,在確保建立和維護充分和有效的內(nèi)控系統(tǒng)方面,董事會富有最終的責任。我們最近也在討論一個問題,我們行要成立一個主管內(nèi)控的一個處室,大家發(fā)現(xiàn)內(nèi)控沒有一定的組織保證不行,就要成立內(nèi)控處。這個內(nèi)控處設(shè)在哪兒?就是一個極為頭疼的問題。后來還是鑒于風險管理部的權(quán)威性比較高,把它放在風險管理部。但是風險管理和風險管理部并非一回事,風險管理是個很寬泛的概念,而銀行設(shè)風險管理部主要還是為了識別和評估信用方面的風險而制定政策并把關(guān)。風險管理部并不是管內(nèi)部控制這方面的。后來實踐也證明,風險管理部根本沒有精力管這部分,項目的評審、客戶的評級、政策的制定、行業(yè)分析都已經(jīng)讓他們負擔很重了。這個內(nèi)控處掛靠在風險管理部,它們草擬了一個文件,其中提到負責內(nèi)部控制的是風險管理委員會。后來拿到我們部提意見,我給他提了意見,我說風險管理委員會不是內(nèi)控的最終責任承擔者,最終的責任承擔者是董事會,與其他行不一樣,我們行有過董事會,這個董事會與20世紀90年代以前的人大常委會差不多,它并不是主要責任人,是一些人退休后,安排當一個董事,不像國外的董事真是代表股東的權(quán)益,有決策權(quán)。
巴塞爾委員會對高級管理層也提出了建議,就是高級管理層要維護組織結(jié)構(gòu),確定并執(zhí)行適當?shù)膬?nèi)控政策。例如國外都有合規(guī)政策,是法律與合規(guī)部或者合規(guī)部負責的,我研究這個問題,究竟合規(guī)政策怎么制定?實際上很重要的就是認識內(nèi)部控制。合規(guī)是依法合規(guī),依法合規(guī)是前面介紹的內(nèi)控的第四大目標,而合規(guī)和內(nèi)控是什么關(guān)系。內(nèi)控里一個重要組成部分是“控制活動”,合規(guī)是制定規(guī)章制度以后,看你是不是遵循,這應(yīng)是最主要的控制活動。我們銀行出現(xiàn)的案件都是違規(guī)才出現(xiàn)的,如果100%按照規(guī)定去做,怎么會出案件?所以內(nèi)部控制重點的一個問題就是抓合規(guī)性的控制,合規(guī)性的控制就是控制活動的主要的內(nèi)容,所以你說內(nèi)控和合規(guī)是什么關(guān)系?合規(guī)是內(nèi)部控制的重要內(nèi)容。總行的規(guī)章制度非常多,對于下面的人是不是可操作?總行不管;制定的規(guī)章制度互相矛盾,總行也不管。甚至制定出的規(guī)章制度還不全面,沒有真正的防范風險,就下達了,分行接了一種規(guī)章制度就跟接一個文一樣不執(zhí)行,不合規(guī)成了一種文化。這個是高級管理層要管的,必須維護良好的控制文化。
3銀行當前要特別控制的幾種風險值得研究。(1)道德風險。銀行要特別加強銀行的道德建設(shè),我們發(fā)現(xiàn)這是控制出現(xiàn)問題,不合規(guī)的一個重要原因。有些基層出問題,就是因為選聘的人不講職業(yè)道德,同時出現(xiàn)很多給銀行干活實際上為自己干的情況。先是間接為自己干,然后就直接為自己干。有一家支行的女行長最后查出兩億多元的不良資產(chǎn),你說怎么整的,她有多大的權(quán)限?后來發(fā)現(xiàn)她丈夫和她兒子開公司,錢都跑到他們家,她當支行行長當然好了,這也是一種“公司治理”。據(jù)說她家里寶馬車有兩三輛,稽核去查的時候,女支行行長珠光寶氣。當時有個稽核人員建議馬上雙規(guī)起來,誰想沒等查清人家跑了,到現(xiàn)在也沒找到。那是幾年前的事了。這說明怎么強調(diào)我們員工的職業(yè)道德教育都不過分。我們現(xiàn)在使用干部的時候不太關(guān)注道德風險,喜歡用和自己一致的“順手”的人,不善于從干部所管單位的群眾中了解干部的道德狀況,也不注意進行道德教育,甚至壓制群眾去服從某些所謂“有能力”甚至用權(quán)術(shù)的干部。這是銀行不斷產(chǎn)生高管人員案件的重要根源。選人其實選文化,用錯了一個人就提倡了一種錯誤的文化,會影響一大片。在座的處級干部,你們管底下的人員好管嗎?不好管。為什么?那個時代的奮斗精神、敬業(yè)精神、去掉個人私心雜念來維護集體的精神和銀行的利益高于一切的精神,現(xiàn)在都淡漠了,所以怎么能夠不出失控的問題?不是說改革了以后,這些問題就自然消失了。因此普遍開展職業(yè)道德教育十分必要。巴塞爾委員會指出:有問題銀行的案例中經(jīng)常看到內(nèi)部失控,其中一大問題就是缺乏足夠的管理監(jiān)督和負責評估的能力,或者我們叫盡職,就是沒有能夠在銀行中發(fā)展一種很強的控制文化,重大損失的例子當中,無一例外地反映出銀行控制中管理疏忽和松懈,董事會和高級管理層的領(lǐng)導(dǎo)督促不力或者不充分,通過職務(wù)和責任的安排,看出管理者缺乏清晰的評估能力,有些案例也反映出管理層缺乏適當?shù)募顧C制,去對經(jīng)營層進行強有力的監(jiān)督,業(yè)務(wù)經(jīng)營和管理人員沒有保持高水平的控制覺悟。這是巴塞爾委員會提出來,是在總結(jié)國際上許多倒閉的銀行和銀行中發(fā)現(xiàn)重大案件中總結(jié)出來的。
(2)人事風險是銀行值得高度關(guān)注的風險。銀行首要的風險是人事風險。首先是我國銀行高級管理層的風險。我在2001年寫過一篇獲獎?wù)撐模}為“加強選配評審,防止領(lǐng)導(dǎo)風險”。在論證一番之后我得出結(jié)論:在銀行的各種風險中間,人事風險最大;在人事風險當中,管理層的風險最大;在管理層的風險中,領(lǐng)導(dǎo)班子的風險最大;在領(lǐng)導(dǎo)班子的風險當中,“一把手”的風險最大。這并不是在講“一把手”都不好。我前面講過什么是風險:風險是可能妨礙公司目標實現(xiàn)的因素。顯然公司總經(jīng)理和銀行董事長及行長的決策行動對目標實現(xiàn)的影響最大。好的“一把手”能夠承認這一點,從而認真肩負起全面的領(lǐng)導(dǎo)責任,確保副手各盡其職,并主動接受副手監(jiān)督。確實有些人反其道而行之,形成了風險,甚至招致了巨大損失。
這里不妨提一下銀行總行這些老總們的風險。我們總行的領(lǐng)導(dǎo)都是從部門總經(jīng)理或者一級分行的行長提升上來的,這些總經(jīng)理是不是總行乃至我國銀行界最優(yōu)秀的呢?對總經(jīng)理室成員有沒有授權(quán)制度呢?我應(yīng)聘在外資銀行當管理人員的時候,首先接到的就是我的授權(quán)書,在這個授權(quán)書里,明確規(guī)定我向誰報告工作。我到中國銀行這么多年,沒有任何人給我授權(quán),到目前為止,我做合規(guī)工作,沒有任何人給我授權(quán),我是什么樣的權(quán)限,明確的沒有,不僅我沒有,其他老總大部分也沒有,甚至“一把手”也沒有,只有口頭授權(quán),非正式的授權(quán),而且這種授權(quán)很難說在什么情況下越權(quán),在什么情況下有權(quán)自己獨立處理事務(wù),那就因部門而異,因不同部門的“一把手”不同,他的管理風格不同而不同。部門總經(jīng)理室沒有統(tǒng)一的符合民主集中制的工作制度。在有些部門重大事項由“一把手”一個人或由他找合自己意的人簡單決定,只是為了避嫌才有時走個開會的形式。如果銀行里放任這種機制,如何教育和監(jiān)督部門總經(jīng)理?如何防止“一把手”出現(xiàn)道德問題?
另外,在我們的員工中有一些有特殊背景的員工,對他們應(yīng)不應(yīng)該有特殊政策?現(xiàn)在什么地方最好,人們就把子女送進什么地方。“文革”期間走后門最好的去處是參軍,誰要是家里有關(guān)系誰參軍。后來70年代是誰要有關(guān)系進好工廠。后來改革開放,國營企業(yè)紛紛倒閉,現(xiàn)在人們認為最可靠的是進銀行,所以許多有地位的人士都把子女送到銀行來。銀行好不好管?現(xiàn)在一些領(lǐng)導(dǎo)感覺挺難管的。什么叫有特殊背景?很難定義。當年毛澤東三令五申不準高干子弟搞特殊化。人事政策同銀行的企業(yè)文化有關(guān)系,我們現(xiàn)在將人事部改叫人力資源部,實際上就是人力資源市場化管理,關(guān)系學和人力資源市場化管理是矛盾的。西方有幾個學者發(fā)表了一篇論文講中國的關(guān)系學,他們說西方是不講關(guān)系的市場關(guān)系,中國是東方的那種以關(guān)系學為主導(dǎo)的市場關(guān)系,他們說這兩個都有一定的缺陷,最后的結(jié)論就是今后是不是西方能增加一點人情色彩,東方是不是減少點人情色彩。在管理人方面還是應(yīng)該一視同仁。我個人覺得國有商業(yè)銀行內(nèi)控的問題,首先是人的問題,不要搞拉拉扯扯和吹吹拍拍抬轎子,銀行尤其不能無原則地允許拉幫結(jié)派,要半軍事化管理。各級員工嚴守紀律,不分親疏,不應(yīng)允許下級繞過直接上級去借助關(guān)系謀取個人便利。我們總行干部要從嚴要求,上得順理成章,下得順其自然。當然讓干部上或下都應(yīng)該有充分的理由,而且把理由向當事人實事求是地講清楚,防止“暗箱操作”,防止利用“能上能下”去拉幫結(jié)派或打擊報復(fù),防止以次充好。武漢市搞的人事改革試點,解決干部能下的問題要靠機制創(chuàng)新,解決三個問題:標準問題、渠道問題、保障問題。大量裁員中一個困難就是保障問題,要解決干部下了以后怎么辦的問題,不能說用人家的時候用人家,等下來的時候不管了。
(3)制度風險不容忽視。銀行是一個需要高度關(guān)注制度規(guī)定的行業(yè)。從表面看,銀行的規(guī)章制度堆積如山,似乎已經(jīng)很完善了。其實不然。形勢的發(fā)展、科技的進步、新產(chǎn)品的不斷涌現(xiàn),呼吁銀行進一步加強規(guī)章制度的建設(shè)。管理的實質(zhì)在于制定高質(zhì)量的相互協(xié)調(diào)一致的規(guī)章制度,并且推動這些規(guī)制有效地執(zhí)行和落實。我們行在規(guī)章制度建設(shè)和管理中間,發(fā)現(xiàn)有些問題,規(guī)章制度制定的規(guī)范機制缺位,各級行都有權(quán)制定規(guī)章制度,沒有一個程序來保證規(guī)章制度制定的質(zhì)量。這樣質(zhì)量就有問題了。一方面主管部門制定規(guī)章制度的時候沒有規(guī)劃,有隨意性(當然隨意性不是到處都非常大),缺乏對規(guī)章制度的論證,征求意見的范圍程序等也缺乏規(guī)定。另一方面在規(guī)章制度頒布并實施的時候,是不是需要測試?規(guī)章制度一經(jīng)制定出來就要執(zhí)行,還是先找?guī)讉€支行做試點試行,要不要對規(guī)章制度進行事后評價?規(guī)章制度執(zhí)行一兩年,評價一下規(guī)章制度對不對,有沒有缺陷,到底有沒有可操作性,這是一個很重要的問題。總行一般接到人民銀行和中央的規(guī)定就要落實中央的規(guī)定,制定一些規(guī)章制度。但把它們拿到分行、支行以后,人家看了很痛苦,為什么痛苦?因為他們沒法操作,這就是有問題。后評價是一種機制,能否導(dǎo)致起動相應(yīng)的規(guī)章制度修改或者廢止的程序。評價完了以后,應(yīng)當明確這個規(guī)章制度行不行、要不要廢止,誰來說廢止的話。
還有就是規(guī)章制度欠缺合法合規(guī)性的程序保證,因為沒有強制性的程序,致使規(guī)章制度和外部法律法規(guī)相沖突,出現(xiàn)不一致的現(xiàn)象。現(xiàn)在我們的規(guī)章制度要送審法律與合規(guī)部,送我這兒的規(guī)章制度中一大審查內(nèi)容就是它合不合法,合不合人民銀行、中國政府的政策和規(guī)定。如果沒有一個程序,有些和人民銀行的規(guī)定相沖突,也導(dǎo)致不可操作。
還有一個問題是規(guī)章制度種類紛雜,缺乏統(tǒng)一規(guī)范。我們行過去的規(guī)章制度有24種,大量的通知、批復(fù),函、附件等都構(gòu)成規(guī)章制度,名稱缺乏統(tǒng)一規(guī)范,也導(dǎo)致規(guī)章制度命名的隨意性。什么叫管理規(guī)定,什么叫實施細則,什么叫做制度,出現(xiàn)相似內(nèi)容運用不同的規(guī)章制度加以規(guī)范的情形。加上沒有對以上不同名稱的規(guī)章制度進行有層次的規(guī)定和說明,不但使用者眼花繚亂,大大削弱了規(guī)章制度的嚴肅性、權(quán)威性和系統(tǒng)性。
規(guī)章制度的信息化管理滯后,使員工難以了解規(guī)章制度所覆蓋的信息,總行發(fā)了個規(guī)章制度下來,在一級分行幾位行長中間傳閱,傳閱到最后有的都找不著了,有的是推,已經(jīng)到了需要向總行匯報情況的時候,其規(guī)章制度還沒有下發(fā)到執(zhí)行部門。進行規(guī)章制度培訓也是很必要的。尤其在貫徹執(zhí)行新規(guī)章制度的時候,人們對新的規(guī)定不熟悉,還沒有建立新的執(zhí)行機制,所以落實就大打折扣了。具體操作部門作為防范風險的第一道防火墻,需要及時掌握規(guī)制,總行的規(guī)章制度應(yīng)當下發(fā)到使用者。我們經(jīng)常發(fā)現(xiàn)下去檢查工作的時候,包括稽核檢查工作的時候,一問規(guī)章制度怎么落實的,他們連見都沒見過。所以現(xiàn)在就實行無紙化的規(guī)章制度(電子化)。我們行現(xiàn)在一般的規(guī)章制度全部都是走電子系統(tǒng),總經(jīng)理在批規(guī)章制度的時候全在電子信箱里簽字,這也是提高速度,不用打印了,會簽的時候在總行不同部門老總中間按照授權(quán)簽字。
國家應(yīng)有“立法法”,銀行也應(yīng)該有。應(yīng)制定銀行的“立法法”,銀行規(guī)章制度管理辦法,來規(guī)范規(guī)章制度,通過嚴格合理的程序來設(shè)計和制定,使制定規(guī)章制度的程序規(guī)范、科學、連續(xù)、協(xié)調(diào)、統(tǒng)一、具有共享性,這個叫做法治和法制的統(tǒng)一。通過良好的程序設(shè)計,比如規(guī)定草案的規(guī)劃,會簽頒布,試行推廣,檢查和后評價,制定明確的程序來實行。另外,對規(guī)章制度的管理也要做一些相關(guān)的規(guī)定。
(4)還有一種風險叫組織結(jié)構(gòu)風險。中國銀行一直有董事會,但是這個董事會應(yīng)該是什么職能,現(xiàn)在是黨委書記、董事長、行長是一個人,今天看起來這種機制不對,行領(lǐng)導(dǎo)怎么進行分工和合作?總行的部門怎么劃分職責?銀行各個部門之間出現(xiàn)一種叫“扯皮文化”,有人稱“免責文化”,大家都不愿意負這個責任,有責任的時候推諉。這里有文化問題,也有組織機構(gòu)設(shè)置和職能界定問題。辦文辦事拖拉,肯定降低工作效率,導(dǎo)致?lián)p失。內(nèi)部控制究竟需不需要有專門的機構(gòu)來管理?需不需要從屬于某個委員會?從屬于哪個委員會?如何以控制文化來取代這種所謂的“扯皮文化”和“免責文化”?這些都是我們值得研究的。
(5)應(yīng)該大力防范操作性風險。首先案件的風險控制需要認真研究。我不覺得控制風險就是防范案件,案件是失控的典型表現(xiàn),但不是唯一表現(xiàn)。事要發(fā)展到出案子了,要讓法院來管了,就太嚴重了!大量的失控不是案件,但是案件本身是失控的典型表現(xiàn)。因此不注重案件的分析和管理實際上是不對的,是我們白交學費。而且案件是一面明鏡,能照出銀行在控制上存在的問題,在法規(guī)上、在遵循上存在的問題。
我這兒也有一些案例,三防一保方面的案例,稽核方面的違規(guī)案例,我們確確實實有大量失控的例子。1996年有一個辦事處的副主任,兩個人共同策劃,利用已經(jīng)過期的存單采取不進賬的手法截留一個公司的存款600萬元,其中一部分作為利差返回公司,一部分作為該公司存款中介手續(xù)費。他把剩余的400多萬元都劃往了另一單位的營業(yè)部,給以其妻舅為法人代表注冊成立的一個貿(mào)易發(fā)展公司,作驗資款用,然后把其中200多萬元劃到上海兩家公司,把100多萬元歸還儲蓄戶,剩下的100多萬元劃到合伙作案人的賬上,用于經(jīng)營。最后這個案子追回了200多萬元,查扣了100多萬元,有300多萬元資金難以追回。工、農(nóng)、建行都可能發(fā)生這類案子。我們最后把他開除公職,移送司法機關(guān)處理,有八名涉案人員和領(lǐng)導(dǎo)分別被警告和記大過處分,有一個人被辭退。我們總結(jié)教訓的時候就有這么幾條,一個是思想教育和素質(zhì)培養(yǎng)上缺乏有效的方法和措施。這個人文化水平比較低,大概高中畢業(yè),思想教育松懈在那個時期是很普遍的。另外我們對抓基層行網(wǎng)點機構(gòu)的管理缺乏力度,對法規(guī)制度落實不到位,監(jiān)督制約機制不夠健全,這個案子反映出我們一系列失控的問題。在會計、儲蓄、結(jié)算等業(yè)務(wù)環(huán)節(jié)空白存單和業(yè)務(wù)公章、個人名章等的保管方面都存在一些漏洞。規(guī)章制度形同虛設(shè),違規(guī)違章操作比較嚴重,個別員工明知不對,仍按領(lǐng)導(dǎo)意思辦理業(yè)務(wù)。知道不對,但是經(jīng)辦人照常去做。加上對內(nèi)部管理缺乏監(jiān)督、制約,形成了重大損失。
這個案例實際上從控制環(huán)境的角度看出這個分理處存在的問題。我前面介紹了內(nèi)部控制理論,從那個理論出發(fā),我們可以看到銀行如果要想健全內(nèi)控,防范風險,要想對內(nèi)控和合規(guī)情況進行檢查和評價,應(yīng)該運用一套規(guī)范的方法。可以按照內(nèi)控的五大組成部分,一個部分一個部分去進行檢查評價,而且人民銀行的內(nèi)控指導(dǎo)原則已經(jīng)給我們提出來應(yīng)該怎么抓。
(待續(xù))
銀行風險的識別、評估與內(nèi)部控制
楊海群
(上接 III)
四、僅供參考的政策建議
政策性建議之一,明確內(nèi)部控制的評價標準。我們今后要健全內(nèi)控,就要有標準,干什么事都要有標準。我在20世紀90年代就提出過四條原則性的標準。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo),這是一個理論體系,沒有這個體系做指導(dǎo),非要自己單搞一攤,像許多人寫書,左抄右抄最后弄一本書,用上自己的名字,也不說明出處。我們的內(nèi)控依據(jù)應(yīng)當扎實可靠,要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風險管理體系,就是一種有機結(jié)合的完整體系。內(nèi)控有四大目標和五大組成部分,加上組織機構(gòu)這第三維空間,就是個有機整體。我們開展內(nèi)控建設(shè)和管理,就應(yīng)該從這個框架(framework)出發(fā)。第三是方法上的先進性和可操作性,就是實實在在地開展內(nèi)部控制,制定一整套規(guī)范的方法去開展內(nèi)控,這些方法也要能跟國際接軌,我的專著中介紹的那套方法是非常好的控制方法,是在總結(jié)國內(nèi)外經(jīng)驗的基礎(chǔ)上提出來的。第四是內(nèi)控程序應(yīng)當便于計算機化,你既然有高科技創(chuàng)造的PC和軟件,就應(yīng)能實行計算機化。
政策性建議之二,績效考核要有合規(guī)性的目標和信息性的目標。內(nèi)控有四個大目標,現(xiàn)在大多數(shù)銀行主要提兩個目標,特別是利潤目標(效益目標),而沒有把合規(guī)性、信息性目標提出來。美國一些公司的丑聞已經(jīng)導(dǎo)致各國強調(diào)目標管理的全面性了,不是以利潤目標讓你得到獎金。針對安然事件,美國國會通過的一個索克斯法,這個法律里面規(guī)定,高級管理層通過虛報瞞報財務(wù)報表贏得的獎金,一旦發(fā)現(xiàn),就讓退回原有的獎金,這等于把合規(guī)性和信息性(財務(wù)報告可靠性)的目標作為績效考核的標準。
政策性建議之三,建議銀行把內(nèi)部控制的職能從風險管理部的工作中分離出來,不知道工行是不是這樣,我們曾經(jīng)把它放在風險管理部,風險管理包含但不等同于內(nèi)部控制,“風險管理部”同“風險管理”不是同一概念。我一直這樣說明,它們的職能不同,風險管理部門實行自身的內(nèi)控是應(yīng)該的,但是由這個部門去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制,就既可能干擾風險管理,又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個部門的工作,當然我們最好有一個比較有權(quán)威的委員會來領(lǐng)導(dǎo),由一個獨立的部門具體管這個事。這里有一個正確處理風險管理和內(nèi)部控制的關(guān)系問題,要理順風險管理和內(nèi)部控制的關(guān)系。
政策性建議之四,正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展,聯(lián)合國有關(guān)機構(gòu)認為應(yīng)當是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難,我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款,當時有效益,新一任行長接手時形成了一大筆爛賬,就不是可持續(xù)發(fā)展。這點恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度,定期召開管理部門和業(yè)務(wù)發(fā)展部門之間的溝通會,對業(yè)務(wù)的可持續(xù)發(fā)展進行定期的評審。一方面要強調(diào)業(yè)務(wù)發(fā)展部門依法合規(guī)經(jīng)營,審慎辦理各種項目,否則酌情追究責任。另一方面要研究制定管理控制部門和人員的責任追究制度,管理控制部門不是沒有責任,現(xiàn)在業(yè)務(wù)發(fā)展部門有數(shù)字指標在那兒控制,沒有完成什么指標,就得扣獎金,管理部門沒有什么指標,怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務(wù)和結(jié)算業(yè)務(wù),也深有體會。如果風險管理部審批一個項目拖拉怎么辦?因種種原因不批準一個項目,風險管理部要不要承擔風險?風險管理部大筆一揮這個項目不能干,你就不能干,至于說我們中行不辦,農(nóng)行接過來了,農(nóng)行給辦了,事后沒風險,還獲得了效益,還本付息很正常,追究不追究風險管理的責任?我曾經(jīng)跟風險管理的同事討論過這個問題,他們說那怎么追究,我在特定時期、特定情況下、特定政策下決定不批準這個項目,農(nóng)行在他的環(huán)境里面批準了這個項目,你怎么能說我不對?這個問題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對矛盾,它們既對立又統(tǒng)一。只有正確處理,在矛盾中不斷提高水平。最好兩方面的人員,包括風險管理、法律合規(guī)和稽核監(jiān)督人員,都應(yīng)該制定相關(guān)的責任制,要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關(guān)系。
政策性建議之五,為了加強對操作風險的防范,要研究風險怎么計量,國外都有一套理論模型,這套理論運用到我們中國銀行界怎么運用?需要研究和建立我們的操作風險計量模型。另外,操作風險的激烈表現(xiàn)就是案件的發(fā)生。各級機構(gòu)負責人員都要切實重視案件防范工作。加強基層管理和內(nèi)控建設(shè),落實規(guī)章制度,解決某些人想干干不成,干了早發(fā)現(xiàn)、早預(yù)警的問題。要根治私設(shè)小金庫,銀行更不能發(fā)生這個問題,小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行,不讓海外行設(shè)小金庫。過去我們給海外行的工資比當?shù)赝赓Y銀行發(fā)的低,怎么解決呢?他們經(jīng)總行批準設(shè)一種小金庫,有時接待任務(wù)很重,也要有一點資金來源。但是我們發(fā)現(xiàn)設(shè)小金庫帶來的隱患很大,因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票,我們行發(fā)生的大量案例都是屬于規(guī)定了不許,但是還炒,炒輸了怎么辦?銀行人員從銀行掏錢比較容易,轉(zhuǎn)轉(zhuǎn)賬,搬搬科目,動動電腦上的鍵盤,就能解決這個問題。我們要加大有關(guān)責任人的追究。
政策性建議之六,希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法,講了半天內(nèi)控,最終要落到實處,要開展控制活動,因此,應(yīng)當運用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因為我們法規(guī)部內(nèi)現(xiàn)在設(shè)了合規(guī)處,這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出,如何通過一套完整的、比較先進的操作方法,能夠讓人們合規(guī)。這里要有一套評價體系,要根據(jù)我前面講的內(nèi)容來進行評價。前面講的我那本書里有這個圖,圖示的操作還是挺不容易的,要分幾個階段,這個流程包含學習理論原理階段、前期準備階段、檢查階段、評價階段、報告階段,這是一套體系。如果真正實行了這套方法,我們國有商業(yè)銀行的內(nèi)部控制問題,依法合規(guī)經(jīng)營的問題應(yīng)該不會很大。
以上所言是本人對銀行強化風險管理和內(nèi)部控制的一些粗淺的探討,以求引起各方面的高度重視。其中的一些問題是帶普遍性的,各家銀行都在研究解決。雖然有些不是法律問題,但是在銀行的法律工作中都應(yīng)當了解。在改革開放的大潮席卷神州的形勢之下,我們冷靜地研究銀行的控制職能,特別是探索銀行如何通過風險管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展,應(yīng)當不無意義。言多必失,歡迎批評指正。
(完)
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護》。文中的圖示和注釋等因網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。
銀行風險的識別、評估與內(nèi)部控制
Identification, Assessment and Internal Control of Bank Risks
楊海群
(上接 III)
四、僅供參考的政策建議
政策性建議之一,明確內(nèi)部控制的評價標準。我們今后要健全內(nèi)控,就要有標準,干什么事都要有標準。我在20世紀90年代就提出過四條原則性的標準。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo),這是一個理論體系,沒有這個體系做指導(dǎo),非要自己單搞一攤,像許多人寫書,左抄右抄最后弄一本書,用上自己的名字,也不說明出處。我們的內(nèi)控依據(jù)應(yīng)當扎實可靠,要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風險管理體系,就是一種有機結(jié)合的完整體系。內(nèi)控有四大目標和五大組成部分,加上組織機構(gòu)這第三維空間,就是個有機整體。我們開展內(nèi)控建設(shè)和管理,就應(yīng)該從這個框架(framework)出發(fā)。第三是方法上的先進性和可操作性,就是實實在在地開展內(nèi)部控制,制定一整套規(guī)范的方法去開展內(nèi)控,這些方法也要能跟國際接軌,我的專著中介紹的那套方法是非常好的控制方法,是在總結(jié)國內(nèi)外經(jīng)驗的基礎(chǔ)上提出來的。第四是內(nèi)控程序應(yīng)當便于計算機化,你既然有高科技創(chuàng)造的PC和軟件,就應(yīng)能實行計算機化。
政策性建議之二,績效考核要有合規(guī)性的目標和信息性的目標。內(nèi)控有四個大目標,現(xiàn)在大多數(shù)銀行主要提兩個目標,特別是利潤目標(效益目標),而沒有把合規(guī)性、信息性目標提出來。美國一些公司的丑聞已經(jīng)導(dǎo)致各國強調(diào)目標管理的全面性了,不是以利潤目標讓你得到獎金。針對安然事件,美國國會通過的一個索克斯法,這個法律里面規(guī)定,高級管理層通過虛報瞞報財務(wù)報表贏得的獎金,一旦發(fā)現(xiàn),就讓退回原有的獎金,這等于把合規(guī)性和信息性(財務(wù)報告可靠性)的目標作為績效考核的標準。
政策性建議之三,建議銀行把內(nèi)部控制的職能從風險管理部的工作中分離出來,不知道工行是不是這樣,我們曾經(jīng)把它放在風險管理部,風險管理包含但不等同于內(nèi)部控制,“風險管理部”同“風險管理”不是同一概念。我一直這樣說明,它們的職能不同,風險管理部門實行自身的內(nèi)控是應(yīng)該的,但是由這個部門去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制,就既可能干擾風險管理,又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個部門的工作,當然我們最好有一個比較有權(quán)威的委員會來領(lǐng)導(dǎo),由一個獨立的部門具體管這個事。這里有一個正確處理風險管理和內(nèi)部控制的關(guān)系問題,要理順風險管理和內(nèi)部控制的關(guān)系。
政策性建議之四,正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展,聯(lián)合國有關(guān)機構(gòu)認為應(yīng)當是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難,我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款,當時有效益,新一任行長接手時形成了一大筆爛賬,就不是可持續(xù)發(fā)展。這點恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度,定期召開管理部門和業(yè)務(wù)發(fā)展部門之間的溝通會,對業(yè)務(wù)的可持續(xù)發(fā)展進行定期的評審。一方面要強調(diào)業(yè)務(wù)發(fā)展部門依法合規(guī)經(jīng)營,審慎辦理各種項目,否則酌情追究責任。另一方面要研究制定管理控制部門和人員的責任追究制度,管理控制部門不是沒有責任,現(xiàn)在業(yè)務(wù)發(fā)展部門有數(shù)字指標在那兒控制,沒有完成什么指標,就得扣獎金,管理部門沒有什么指標,怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務(wù)和結(jié)算業(yè)務(wù),也深有體會。如果風險管理部審批一個項目拖拉怎么辦?因種種原因不批準一個項目,風險管理部要不要承擔風險?風險管理部大筆一揮這個項目不能干,你就不能干,至于說我們中行不辦,農(nóng)行接過來了,農(nóng)行給辦了,事后沒風險,還獲得了效益,還本付息很正常,追究不追究風險管理的責任?我曾經(jīng)跟風險管理的同事討論過這個問題,他們說那怎么追究,我在特定時期、特定情況下、特定政策下決定不批準這個項目,農(nóng)行在他的環(huán)境里面批準了這個項目,你怎么能說我不對?這個問題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對矛盾,它們既對立又統(tǒng)一。只有正確處理,在矛盾中不斷提高水平。最好兩方面的人員,包括風險管理、法律合規(guī)和稽核監(jiān)督人員,都應(yīng)該制定相關(guān)的責任制,要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關(guān)系。
政策性建議之五,為了加強對操作風險的防范,要研究風險怎么計量,國外都有一套理論模型,這套理論運用到我們中國銀行界怎么運用?需要研究和建立我們的操作風險計量模型。另外,操作風險的激烈表現(xiàn)就是案件的發(fā)生。各級機構(gòu)負責人員都要切實重視案件防范工作。加強基層管理和內(nèi)控建設(shè),落實規(guī)章制度,解決某些人想干干不成,干了早發(fā)現(xiàn)、早預(yù)警的問題。要根治私設(shè)小金庫,銀行更不能發(fā)生這個問題,小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行,不讓海外行設(shè)小金庫。過去我們給海外行的工資比當?shù)赝赓Y銀行發(fā)的低,怎么解決呢?他們經(jīng)總行批準設(shè)一種小金庫,有時接待任務(wù)很重,也要有一點資金來源。但是我們發(fā)現(xiàn)設(shè)小金庫帶來的隱患很大,因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票,我們行發(fā)生的大量案例都是屬于規(guī)定了不許,但是還炒,炒輸了怎么辦?銀行人員從銀行掏錢比較容易,轉(zhuǎn)轉(zhuǎn)賬,搬搬科目,動動電腦上的鍵盤,就能解決這個問題。我們要加大有關(guān)責任人的追究。
政策性建議之六,希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法,講了半天內(nèi)控,最終要落到實處,要開展控制活動,因此,應(yīng)當運用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因為我們法規(guī)部內(nèi)現(xiàn)在設(shè)了合規(guī)處,這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出,如何通過一套完整的、比較先進的操作方法,能夠讓人們合規(guī)。這里要有一套評價體系,要根據(jù)我前面講的內(nèi)容來進行評價。前面講的我那本書里有這個圖,圖示的操作還是挺不容易的,要分幾個階段,這個流程包含學習理論原理階段、前期準備階段、檢查階段、評價階段、報告階段,這是一套體系。如果真正實行了這套方法,我們國有商業(yè)銀行的內(nèi)部控制問題,依法合規(guī)經(jīng)營的問題應(yīng)該不會很大。
以上所言是本人對銀行強化風險管理和內(nèi)部控制的一些粗淺的探討,以求引起各方面的高度重視。其中的一些問題是帶普遍性的,各家銀行都在研究解決。雖然有些不是法律問題,但是在銀行的法律工作中都應(yīng)當了解。在改革開放的大潮席卷神州的形勢之下,我們冷靜地研究銀行的控制職能,特別是探索銀行如何通過風險管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展,應(yīng)當不無意義。言多必失,歡迎批評指正。
(完)
注釋:本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護》。文中的注釋等網(wǎng)絡(luò)因格式轉(zhuǎn)換而未加。
第四篇:內(nèi)部控制與風險管理
內(nèi)部控制與風險管理
摘要:企業(yè)的內(nèi)部控制制度是企業(yè)管理現(xiàn)代化的必然產(chǎn)物,加強內(nèi)部控制制度建設(shè)是建立現(xiàn)代企業(yè)制度的內(nèi)在要求。有效的內(nèi)部控制不僅能使企業(yè)的資源合理配置,提高勞動生產(chǎn)率,而且更能防范和發(fā)現(xiàn)企業(yè)內(nèi)部和外部的欺詐行為。但是目前有相當一部分企業(yè)對建立內(nèi)部會計控制制度不夠重視,導(dǎo)致會計信息失真,會計秩序混亂,違法違紀現(xiàn)象時常發(fā)生,以致管理失控,資產(chǎn)流失、經(jīng)營失敗。因此,建立和完善企業(yè)內(nèi)部會計控制策略是當前企業(yè)管理面臨的一個重要問題。內(nèi)部控制的目標就是防范和控制風險,促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略,風險管理的目標也是促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略,風險管理的目標也是促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略,二者都要求將風險控制在可承受的范圍之內(nèi)。因此,內(nèi)部控制與風險管理二者不是對立的二者是協(xié)調(diào)統(tǒng)一的。而實際工作中,一些企業(yè)的內(nèi)部控制和風險管理工作有不同機構(gòu)負責。對此企業(yè)可以對有關(guān)機構(gòu)和業(yè)務(wù)進行整合,從工作內(nèi)容、目標、要求以及具體工作執(zhí)行的方法、程序等方面,將內(nèi)部控制建設(shè)和風險管理工作有機結(jié)合起來,避免職能交叉、資源浪費、重復(fù)勞動,降低企業(yè)管理成本,提高工作效率和效果。
關(guān)鍵詞:企業(yè)內(nèi)部控制 風險管理
一、企業(yè)內(nèi)部控制內(nèi)涵概述所謂內(nèi)部控制,是指一個單位為了實現(xiàn)其經(jīng)營目標,保護資產(chǎn)的安全完整,保證會計信息資料的正確可靠,確保經(jīng)營方針的貫徹執(zhí)行,保證經(jīng)營活動的經(jīng)濟性、效率性和效果性而在單位內(nèi)部采取的自我調(diào)整、約束、規(guī)劃、評價和控制的一系列方法、手續(xù)與措施的總稱。那準確的說什么是企業(yè)的內(nèi)部控制呢? 內(nèi)部控制作為企業(yè)管理活動中的一種自我調(diào)整和制約的手段,從其形成至完善,大體經(jīng)歷了內(nèi)部牽制的采用—制約機制的建立—控制體系的形成三個階段。企業(yè)內(nèi)部會計控制是企業(yè)為保證經(jīng)營業(yè)務(wù)活動的有序進行而制定和實施的會計政策和程序,它的主要作用是確保資產(chǎn)的安全完整和會計信息的真實準確,以及確保國家有關(guān)法律法規(guī)和企業(yè)內(nèi)部各項規(guī)章制度的貫徹執(zhí)行,約束企業(yè)內(nèi)部涉及會計工作的各項經(jīng)濟業(yè)務(wù)活動及相關(guān)崗位,它由于管理目的與企業(yè)價值最大化目標保持高度一致而成為企業(yè)內(nèi)控體系的核心組成部分。
二、如何理解企業(yè)的風險管理 企業(yè)風險管理是對企業(yè)內(nèi)可能產(chǎn)生的各種風險進行識別、衡量、分析、評價,并適時采取及時有效的方法進行防范和控制,用最經(jīng)濟合理的方法來綜合處理風險,以實現(xiàn)最大安全保障的一種科學管理方法。企業(yè)風險是指由于企業(yè)內(nèi)外環(huán)境的不確定性、生產(chǎn)經(jīng)營活動的復(fù)雜性和企業(yè)能力的有限性而導(dǎo)致企業(yè)的實際收益達不到預(yù)期收益,甚至導(dǎo)致企業(yè)生產(chǎn)經(jīng)營活動失敗的可能性。有效地對各種風險進行管理有利于企業(yè)作出正確的決策、有利于保護企業(yè)資產(chǎn)的安全和完整、有利于實現(xiàn)企業(yè)的經(jīng)營活動目標,對企業(yè)來說具有重要的意義。
三、關(guān)系概述:
1、內(nèi)部控制包含風險管理
企業(yè)內(nèi)部控制是以專業(yè)管理制度為基礎(chǔ),以防范風險、有效監(jiān)管為目的,通過全方位建立過程控制體系、描述關(guān)鍵控制點和以流程形式直觀表達生產(chǎn)經(jīng)營業(yè)務(wù)過程而形成的管理規(guī)范。內(nèi)部控制包括控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個相互聯(lián)系的要素。
風險管理又名危機管理,是指生產(chǎn)過程中,風險管理部門對可能遇到的各種風險因素進行識別、分析、評估,以最低成本實現(xiàn)最大的安全保障的過程(風險管理是一個過程,由風險的識別、量化、評價、控制、監(jiān)督等過程組成)。
內(nèi)部控制主要是在企業(yè)內(nèi)部實施的一種管理,風險管理有些可以通過內(nèi)部控制來規(guī)避,有些則是客觀不可控的。目前在我國,風險管理還是一個很寬泛的概念,內(nèi)部控制則是從外部控制的角度去考慮的,相比風險管理更加精確。如果企業(yè)在不考慮內(nèi)部控制的情況下談?wù)?/p>
風險管理,那么風險管理就失去了意義,也很難找到有效避免風 險的著力點和切入點。因此,在內(nèi)部控制的框架下去談風險管理、進而增強企業(yè)識別、防范風險的能力,能促使企業(yè)更好地發(fā)揮風險管理的能動性。
2、內(nèi)部控制是實施風險管理的基礎(chǔ)
企業(yè)內(nèi)部控制實際上就是實施風險管理前的環(huán)境凈化器。實施內(nèi)部控制時,一定要將“控”做到極致,左右搖擺,兼顧太多的內(nèi)部控制很難達到環(huán)境凈化器的作用。從某種意義上,內(nèi)部控制建設(shè)就像是企業(yè)實施風險管理的一座橋梁,如果沒有這座橋,盲目開展風險管理,會使企業(yè)慢慢迷失前進的方向。
目前,內(nèi)部控制在中國實施的時間還不長,很多企業(yè)都是“依葫蘆畫瓢”,還沒有真正領(lǐng)悟到內(nèi)部控制和風險管理的真諦。如果企業(yè)在內(nèi)部控制上認識不深的話,對實施風險管理將造成一定的阻礙。
無論是內(nèi)部控制還是風險管理都需要歷史的積淀,需要時間的累積,需要形成一種傳統(tǒng)。或許這個過程將是糾結(jié)和痛苦的,但卻是必不可缺的。企業(yè)在經(jīng)歷了這樣的累積,再感受內(nèi)部控制和風險管理就將不一樣了。
3、技術(shù)及市場條件的新進展,推動了內(nèi)部控制走向風險管理。在先進的信息技術(shù)條件下,會計記錄實現(xiàn)了電子控制、實時更新,使傳統(tǒng)的查錯與防弊的會計控制顯得過時。然而,風險往往是由交易或組織創(chuàng)新造成的,這些創(chuàng)新來源于新興的市場實踐,如安然公司將能源交易大量發(fā)展成類似金融衍生品的交易。另一方面,環(huán)境保護及消費者權(quán)益保護的加強,都強化了企業(yè)的社會責任,若一有不慎,企業(yè)就可能遭受來自商品市場或資本市場的懲罰,表現(xiàn)為企業(yè)的品牌價值或資本市場上的市值貶損。因此,企業(yè)需要一種日常運行的功能與結(jié)構(gòu)來防范風險,包括遵守法律與法規(guī),確保投資者對財務(wù)信息的信任以及保證經(jīng)營效率等。因此,從維護與促進價值創(chuàng)造這一根本功能來看,風險管理與企業(yè)內(nèi)部控制的目標是一致的,只是在新的技術(shù)與市場條件下,為了更有效地保護投資者利益,需要在內(nèi)部控制的基礎(chǔ)上發(fā)展更主動、更全面的風險管理。
四、主要區(qū)別
第一,它們都是由“企業(yè)董事會、管理層以及其他人員共同實施的”,強調(diào)了全員參與的觀
點,指出各方在內(nèi)部控制或風險管理中都有相應(yīng)的角色與職責。
第二,它們都明確是一個“過程”,不能當作某種靜態(tài)的東西,如制度文件、技術(shù)模型等,也不是單獨或額外的活動,如檢查評估等,最好是內(nèi)置于企業(yè)日常管理過程中,作為一種常規(guī)運行的機制來建設(shè)。
第三,它們都是為企業(yè)目標的實現(xiàn)提供合理的保證。風險管理的目標有四類,其中三類與
內(nèi)部控制相重合,即報告類目標、經(jīng)營類目標和遵循類目標。但報告類目標有所擴展,它不僅包括財務(wù)報告的準確性,還要求所有對內(nèi)對外發(fā)布的非財務(wù)類報告準確可靠。另外,風險管理增加了戰(zhàn)略目標,即與企業(yè)的遠景或使命相關(guān)的高層次目標。這意味著風險管理不僅僅是確保經(jīng)營的效率與效果,而且介入了企業(yè)戰(zhàn)略(包括經(jīng)營目標)制定過程。
第四,風險管理與內(nèi)部控制的組成要素有五個方面是重合的,即(控制或內(nèi)部)環(huán)境、風
險評估、控制活動、信息與溝通、監(jiān)督。這些重合是由它們目標的多數(shù)重合及實現(xiàn)機制相似決定的。風險管理增加了目標設(shè)定、事件識別和風險對策三個要素。重合的要素中,內(nèi)涵也有所擴展,例如,內(nèi)部控制環(huán)境包括誠實正直品格及道德價值觀、員工素質(zhì)與能力、董事會與審計委員會、管理哲學與經(jīng)營風格、組織結(jié)構(gòu)、權(quán)力與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內(nèi)部環(huán)境”除包括上述七個方面外,還包括風險管理哲學、風險偏好(risk appetite)和風險文化三個新內(nèi)容。在風險評估要素中,風險管理要求考慮內(nèi)在風險與剩余風險,以期望值、最壞
情形值或概率分布度量風險,考慮時間偏好以及風險之間的關(guān)聯(lián)作用。在信息與溝通方面,風險管理強調(diào)了過去、現(xiàn)在以及關(guān)于未來的相關(guān)數(shù)據(jù)的獲取與分析處理,規(guī)定了信息的深度與及時性等。
第五,風險管理提出了風險組合與整體風險管理(integrated risk management)的新觀念。
《企業(yè)風險管理框架》借用現(xiàn)代金融理論中的資產(chǎn)組合理論,提出了風險組合與整體管理的觀念,要求從企業(yè)層面上總體把握分散于企業(yè)各層次及各部門的風險暴露,以統(tǒng)籌考慮風險對策,防止分部門分散考慮與應(yīng)對風險,如將風險割裂在技術(shù)、財務(wù)、信息科技、環(huán)境、安全、質(zhì)量、審計等部門,并考慮到風險事件之間的交互影響,防止兩種傾向:一是部門的風險處于風險偏好可承受能力之內(nèi),但總體效果可能超出企業(yè)的承受限度,因為個別風險的影響并不總是相加的,有可能是相乘的;二是個別部門的風險暴露超過其限度,但總體風險水平還沒超出企業(yè)的承受范圍,因為事件的影響有時有抵消的效果。此時,還有進一步承受風險,爭取更高回報與成長的空間。按照風險組合與整體管理的觀點,需要統(tǒng)一考慮風險事件之間以及風險對策之間的交互影響,統(tǒng)籌制定風險管理方案。
五、如何正確處理企業(yè)內(nèi)部控制與風險管理之間的關(guān)系
盡管風險管理與內(nèi)部控制有內(nèi)在的聯(lián)系,但現(xiàn)實中的或代表目前應(yīng)用水平的內(nèi)部控制與風險管理還有不少的差距。典型的風險管理關(guān)注特定業(yè)務(wù)中與戰(zhàn)略選擇或經(jīng)營決策相關(guān)的風險與收益比較,例如,銀行業(yè)的授信管理或市場(價格)風險管理如匯率、利率風險等。典型的內(nèi)部控制是指會計控制、審計活動等,一般局限于財務(wù)相關(guān)部門。它們的共同點都是低水平、小范圍,只局限于少數(shù)職能部門,并沒有滲透或應(yīng)用于企業(yè)管理過程和整個經(jīng)營系統(tǒng),因此,有時看上去風險管理與內(nèi)部控制還是相互獨立的兩件事。隨著內(nèi)部控制或風險管理的不斷完善和變得更加全面,它們之間必然相互交叉、融合,直至統(tǒng)一。
總之,企業(yè)單位制定內(nèi)部控制制度的目的,在于保證組織機構(gòu)經(jīng)濟活動的正常運轉(zhuǎn),保護企業(yè)資產(chǎn)的安全、完整與有效運用,提高經(jīng)濟核算的正確性與可靠性,推動與考核企業(yè)單位各項方針、政策的貫徹執(zhí)行,評價企業(yè)的經(jīng)濟效益,提高企業(yè)經(jīng)營管理水平。企業(yè)的內(nèi)部控制制度是企業(yè)管理現(xiàn)代化的必然產(chǎn)物,加強內(nèi)部控制制度建設(shè)是建立現(xiàn)代企業(yè)制度的內(nèi)在要求。有效的內(nèi)部控制不僅能使企業(yè)的資源合理配置,提高勞動生產(chǎn)率,而且更能防范和發(fā)現(xiàn)企業(yè)內(nèi)部和外部的欺詐行為。但是目前有相當一部分企業(yè)對建立內(nèi)部會計控制制度不夠重視,導(dǎo)致會計信息失真,會計秩序混亂,違法違紀現(xiàn)象時常發(fā)生,以致管理失控,資產(chǎn)流失、經(jīng)營失敗。因此。建立和完善企業(yè)內(nèi)部會計控制策略是當前企業(yè)管理面臨的一個重要問題。
加強實施內(nèi)部控制能夠規(guī)范社會主義市場經(jīng)濟秩序,確保國民經(jīng)濟穩(wěn)定、持續(xù)、健康地向前發(fā)展。有活力的內(nèi)部控制制度應(yīng)該是推動企業(yè)創(chuàng)新的制度,只有企業(yè)全體職工齊心協(xié)力,相互支持,相互激勵,企業(yè)內(nèi)部會計控制才能發(fā)揮應(yīng)有的作用。只有這樣,保護企業(yè)資產(chǎn)的安全、完整與有效運用,提高經(jīng)濟核算的正確性與可靠性,推動與考核企業(yè)單位各項方針、政策的貫徹執(zhí)行,增加企業(yè)的經(jīng)濟效益,提高企業(yè)經(jīng)營管理水平,降低投資風險。
參考文獻:胡杰武,萬里霜《企業(yè)風險管理》
《企業(yè)內(nèi)部控制基本規(guī)范》一號文件
第五篇:風險管理與內(nèi)部控制
風險管理與內(nèi)部控制
一、CFO在企業(yè)內(nèi)部控制與風險管理中的角色與使命
中國總會計師協(xié)會常務(wù)副會長董鋒認為,建立風險管理體系,設(shè)計好內(nèi)部控制制度,首先,要把握好CEO與CFO的關(guān)系。CEO是企業(yè)行政負責人,是班長,CFO作為企業(yè)財務(wù)負責人,是領(lǐng)導(dǎo)班子成員;CEO是風險管理和內(nèi)部控制第一責任人,CFO是風險管理和內(nèi)部控制的具體執(zhí)行人,因此國外有人比喻CEO是船長,CFO是舵手。其次,要完善公司的管理結(jié)構(gòu),明確CFO的職責和定位。總會計師在本單位風險管理與內(nèi)部控制體系中應(yīng)確定自己的責任、職權(quán)和地位的對稱與平衡,但這并非是為自己去爭權(quán)力、爭地位;CFO所管理的財務(wù)等部門應(yīng)是一個完整的管控體系,CFO的影響力與控制力必須一桿到底。第三,CFO要自覺執(zhí)行風險管理和內(nèi)部控制,同時也要提醒和促使CEO執(zhí)行。作為領(lǐng)導(dǎo)班子成員,CFO理所當然要全力支持CEO的工作,但在工作中如果發(fā)現(xiàn)領(lǐng)導(dǎo)班子成員特別是主要負責人違背企業(yè)風險管理與內(nèi)部控制制度時,也要及時提醒,要有敢于干預(yù)的勇氣。
原江蘇省副省長吳瑞林強調(diào),CFO要樹立以愛國主義為核心的民族精神和以改革開放為核心的時代精神;要提高自身的業(yè)務(wù)修養(yǎng)以適應(yīng)新時代的要求;要發(fā)揮好生財聚財和用財管財這兩大職責;要從本輪金融危機中吸取經(jīng)驗教訓,履行好內(nèi)部控制和風險管理的職責。
二、正確認識風險管理和內(nèi)部控制
內(nèi)部控制與風險管理既有區(qū)別,又有聯(lián)系。南京審計學院副院長時現(xiàn)認為,對于同一個企業(yè)來說,內(nèi)部控制與風險管理的直接載體都是企業(yè)的經(jīng)營活動,內(nèi)部控制與風險管理都以企業(yè)法人為邊界,從這點來說,不能將二者截然割裂開來。二者的區(qū)別主要表現(xiàn)在:內(nèi)部控制的重心在企業(yè)高管層之下(經(jīng)營活動),風險管理的重心在高管層之上(戰(zhàn)略設(shè)計、決策);內(nèi)部控制主要關(guān)注不相容職務(wù)是否分離,風險管理主要關(guān)注經(jīng)營目標實現(xiàn)過程中的不確定性;內(nèi)部控制是風險管理的主要機制,但不是全部;當出現(xiàn)合謀舞弊時,內(nèi)部控制往往無效,需要風險管理輔之。上海財經(jīng)大學教授朱榮恩認為,內(nèi)部控制與風險管理并非平行的關(guān)系,內(nèi)部控制是風險管理的一個重要組成部分,而風險管理則是內(nèi)部控制的發(fā)展和延續(xù),是一個比內(nèi)部控制更為寬泛的概念。
高級國際注冊內(nèi)部控制師張玉指出,COSO的內(nèi)部控制與企業(yè)風險管理兩個框架實現(xiàn)了內(nèi)部控制五要素與風險管理八要素的有機結(jié)合,而我國財政部等五部委聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》與國資委發(fā)布的《中央企業(yè)全面風險管理指引》并未能進行有效整合。對此,董鋒則認為,財政部等部委的規(guī)范與國資委的指引雖然沒有形成系統(tǒng),但卻有著內(nèi)在聯(lián)系,企業(yè)應(yīng)結(jié)合自身實際深刻體會兩個規(guī)范的精神,將風險管理與內(nèi)部控制結(jié)合統(tǒng)一,而不應(yīng)搞兩套機制。
現(xiàn)階段很多企業(yè)認為風險管理是內(nèi)部審計應(yīng)該履行的職責,但時現(xiàn)認為,為保證獨立性與客觀性,企業(yè)在構(gòu)建風險管理過程時,內(nèi)部審計不應(yīng)承擔原本屬于管理層的風險管理責任,而應(yīng)就企業(yè)風險管理過程的有效性提供確認服務(wù),即擔任監(jiān)督者的角色。對于目前我國企業(yè)內(nèi)部控制系統(tǒng)的設(shè)計形式,張玉將其總結(jié)為三種:外包給會計師事務(wù)所;企業(yè)自行設(shè)計;自行設(shè)計與外包相結(jié)合。第一種形式耗資巨大,導(dǎo)致合規(guī)性成本過高,而采用后兩種形式時,由于企業(yè)缺乏內(nèi)部控制設(shè)計專業(yè)人才,內(nèi)部控制系統(tǒng)的設(shè)計大多由內(nèi)審人員牽頭負責,這導(dǎo)致了“運動員和裁判員角色不分”的問題,因此需要專業(yè)人士進行內(nèi)部控制系統(tǒng)的設(shè)計,未來內(nèi)部控制師這個職業(yè)將會得到快速發(fā)展。
南京大學會計與財務(wù)研究院副院長李心合指出,審計意義上的內(nèi)部控制與CEO、CFO需要的內(nèi)部控制有很大區(qū)別,而主要區(qū)別在立場與出發(fā)點上。審計師是站在財務(wù)報表可靠的角度,希望內(nèi)部控制盡可能完備,以便將審計風險降到最小,但企業(yè)的目標是價值最大化,過于復(fù)雜的控制流程也會損害利潤創(chuàng)造。因此企業(yè)需要選擇好的出發(fā)點,優(yōu)化內(nèi)部控制體系,既不能過于簡單,也不能過于復(fù)雜。
三、加強和完善企業(yè)風險管理和內(nèi)部控制建設(shè)
對于如何加強企業(yè)內(nèi)部控制建設(shè),朱榮恩認為,實施內(nèi)部控制的難點主要體現(xiàn)在七個方面:一是正確認識內(nèi)部控制五要素的內(nèi)在聯(lián)系。二是正確理解內(nèi)部控制的要素、目標及實施主體的關(guān)系。三是正確認識內(nèi)部控制與風險管理的關(guān)系。四是正確認識內(nèi)部控制與企業(yè)管理制度的關(guān)系。五是正確認識內(nèi)部控制與外部環(huán)境。外部環(huán)境如股權(quán)
結(jié)構(gòu)、干部管理制度和政府政策取向等因素都會直接或間接地影響我國企業(yè)實施內(nèi)部控制的效果。六是正確認識內(nèi)部控制需求內(nèi)因不足的問題。由于內(nèi)部控制的效益難以衡量、成本與效益不匹配等原因,部分企業(yè)的管理層認為只要企業(yè)不出事就可以了,只要達到法律法規(guī)的最低要求就行了,并沒有將內(nèi)部控制作為企業(yè)管理的內(nèi)在要求。七是正確認識IT平臺在內(nèi)部控制中的應(yīng)用。
江蘇高科技投資集團董事長徐錦榮介紹了其所在企業(yè)的風險管理及控制經(jīng)驗。一是加強組織建設(shè)。集團董事會是風險管理的第一責任主體,董事會下設(shè)的審計與風險控制委員會具體負責風險管理工作。二是加強制度建設(shè)。把管理制度、業(yè)務(wù)流程再造作為風險管理的重要基石,建立符合創(chuàng)業(yè)風險投資特點的業(yè)務(wù)運作流程和與之配套的一系列管理制度和風險控制制度,目前已經(jīng)形成了由制度、流程、關(guān)鍵控制點三個層次組成的制度體系。三是創(chuàng)立符合國情和創(chuàng)投業(yè)務(wù)特點的風險控制工具。建立風險管理信息系統(tǒng),對所有項目的財務(wù)、管理信息進行定期的匯總、分析,動態(tài)監(jiān)測項目運作情況。并實行定性和定量指標相結(jié)合,對投資項目定期進行ABC(正常、次級、警示)分級,及時采取風險防范措施。四是構(gòu)建符合實際的風險管理評價機制。根據(jù)市場環(huán)境、金融工具、法律法規(guī)等因素的變化及發(fā)展情況,不斷調(diào)整和改善風險管理制度,并通過對業(yè)務(wù)流程關(guān)鍵控制點的及時介入,實行持續(xù)的檢驗測試,以確保制度執(zhí)行充分有效。
徐州礦務(wù)局副總會計師張錦河介紹了徐礦集團在投資風險控制方面的教訓和經(jīng)驗。以前徐礦集團曾因盲目多元化而導(dǎo)致公司經(jīng)營管理的巨大失利,在總結(jié)教訓和經(jīng)驗后建立了歸核化的投資戰(zhàn)略和投資風險控制模式,即在投資活動中圍繞煤炭產(chǎn)業(yè)這個“核”進行綜合開發(fā),同時圍繞核心競爭力的形成與提高這個“核”進行風險控制。經(jīng)過六年的實踐,徐礦集團的經(jīng)濟效益和經(jīng)營規(guī)模快速增長,逐漸步入良性發(fā)展的快車道。其風險控制的具體做法有:采取全面預(yù)算管理,將“物本管理”與“人本管理”相結(jié)合,不僅對集團公司投資所形成的項目、資產(chǎn)、資金進行管理,而且通過激勵與約束制度的建立,將個人價值與企業(yè)價值進行整合統(tǒng)一;通過集團制定統(tǒng)一的目標和戰(zhàn)略規(guī)劃與投資政策,規(guī)范集團內(nèi)各成員單位的投資行為,以實現(xiàn)資源聚合效應(yīng)與管理協(xié)同效應(yīng);圍繞提高集團公司核心競爭力這個目標,制定多元化標準,而不僅僅是單一的財務(wù)標準。
四、IT環(huán)境下內(nèi)部控制體系的建設(shè)
與傳統(tǒng)意義上的內(nèi)部控制體系建設(shè)相比,IT環(huán)境下的內(nèi)部控制體系建設(shè)具有其獨到的特點,參會的企業(yè)詳細介紹了其各自的做法。
江蘇國信集團財務(wù)部總經(jīng)理王家寶認為,集團管控應(yīng)以資金集中管理為核心,而IT環(huán)境下企業(yè)開展資金集中管理應(yīng)從四方面入手:一是構(gòu)建資金集中管理組織和賬戶體系,協(xié)同管控、實現(xiàn)資金統(tǒng)一運作。二是設(shè)計資金集中管理的關(guān)鍵流程和制度,實行資金計劃流程管理、自動零余額的資金歸集上收、動態(tài)掌控資金流向的資金下?lián)堋?nèi)部各成員單位之間的統(tǒng)一結(jié)算管理。三是通過網(wǎng)絡(luò)實時監(jiān)控資金流量,動態(tài)平衡資金需求,統(tǒng)一調(diào)度資金。四是創(chuàng)新內(nèi)部資金計息管理機制,充分調(diào)動成員單位參與集中管理的積極性。他進一步指出,資金集中管理首先要有一把手的推動,其次要設(shè)計出互利共贏的方案,最后還要有必要的技術(shù)、人員、相關(guān)部門的支持。
東風悅達起亞汽車股份有限公司總會計師生育新詳細介紹了其所在企業(yè)的內(nèi)部控制體系,具體分為內(nèi)部會計控制、生產(chǎn)管理控制和質(zhì)量控制三大部分。內(nèi)部會計控制主要包括現(xiàn)金收支業(yè)務(wù)控制、應(yīng)收應(yīng)付控制、固定資產(chǎn)控制、成本控制和投融資控制。生產(chǎn)管理控制主要包括開發(fā)采購控制、生產(chǎn)物流控制、銷售流程控制和人力資源控制。質(zhì)量控制包括ISO9000、14000質(zhì)量認證體系、部品質(zhì)量控制、C-audit評審(整車質(zhì)量評審)、質(zhì)量成本控制和質(zhì)量實名控制。在IT環(huán)境下,該公司從健全全面預(yù)算管理體系、整合ERP系統(tǒng)、強化內(nèi)部稽核機制、狠抓作業(yè)、成本費用和管理標準化建設(shè)四個方面加強內(nèi)部控制建設(shè)。生育新認為,實施ERP是企業(yè)適應(yīng)市場競爭、強化核心競爭力的有力工具,而健全的內(nèi)部控制才能使ERP的功能得到全面發(fā)揮,因此應(yīng)大力建設(shè)IT系統(tǒng),但IT系統(tǒng)的實施并不能取代管理和控制。
從企業(yè)的實踐中可以看出,IT能在多方面提升內(nèi)部控制和風險管理水平,但朱榮恩認為,IT平臺僅僅是內(nèi)部控制實施的一個硬件保障,而非必備條件,它只能代替內(nèi)部控制中的溝通等某些環(huán)節(jié),卻代替不了管理基礎(chǔ)和監(jiān)控,更不能完全代替內(nèi)部控制。
五、內(nèi)部控制審計與風險管理審計
時現(xiàn)認為,隨著企業(yè)風險管理的推進,在內(nèi)部審計中需要進行風險管理審計來評價并改善風險管理、控制和治理過程的效果。因此她提出了一種以風險為導(dǎo)向,對企業(yè)的風險管理進行審計的風險管理審計模式—審計客體和審計流程雙輪驅(qū)動的風險管理審計。首先,以風險為導(dǎo)向制定內(nèi)部審計計劃;其次,基于風險矩陣圖實施審計;再次,進行數(shù)字化的風險測試與風險評價;最后,出具前瞻性的風險管理審計報告。與內(nèi)部控制審計相比,風險管理審計更關(guān)注控制的結(jié)果,即風險是否得到了有效控制,而內(nèi)部控制審計更關(guān)注控制的過程,即控制環(huán)境和控制活動。風險管理審計與內(nèi)部控制審計并不是截然不同的,二者在整個審計系統(tǒng)框架中具有諸多相似之處,只是重點和審計角度在一定程度上有所不同而已,可以說,企業(yè)風險管理審計是企業(yè)內(nèi)部控制審計的發(fā)展和延伸。
點擊咨詢 