银行风险的识别、评估与内部控制iduq.docx

银行风险的识别、评估与内部控制 Bank Risks'Identification，Assessment And Internal Control  杨海群  按语 本文原载于法律出版社2006年出版2007年再版的书金融审判与银行债权保护。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著公司治理与银行控制下卷中“加强选配评审，防止领导风险”这一章。  “银行风险的识别、评估与内部控制”这个题目涉及两方面：一方面涉及的是风险管理，另一方面涉及内部控制。不管是法律工作者还是银行的管理者，都会遇到下面要提出来的问题，就是怎么来处理业务发展和管理控制的关系，怎么在实现战略目标的过程中，一方面把握住我们自己，另一方面也把握住我们所领导的团队？另外，怎么防止银行的工作人员或者业务活动失去控制？搞法律的人员不如搞经营管理的涉入那么多的具体业务，但是由于你们是银行的法律工作者，所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件：第一个叫资本充足，就是银行要保证有足够的资本金；第二个内控要严密，还不是一般的内部管理，而是内部控制要严密；第三个运营要安全，实际上运营安全也是要在前两者的基础之上才能实现；第四个服务和效益要好，没有安全，也不可能服务好或者说令客户满意，服务差也不可能把效益搞上去。这是银监会关于中国银行、中国建设银行公司治理改革与监管指引文件很明确地提出来的要求。中行和建行要重组上市，就要实现银监会提出的四个要求。恐怕农行和工行下一步也要遇到这个问题，也准备在中行和建行上市成功之后，经历这个过程。我们这两家银行先试一试，估计在上市过程中会有更多的难题。我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫基业常青，他把一个一般的企业发展成比较大的企业，积累了一些经验，他的书里面有这么一句话：“伟大的公司要想生存，必须拥有一个持久的观念，这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后，这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体，而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司，之所以能够成功，原因就在于无论发生什么变化，它们的核心观念毫不动摇。”他说得很深刻，他说：“只有从过眼烟云的变革中看到背后永恒的管理法则，人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题，中国银行伟大不伟大？90多年的历史，应该是一个伟大的公司，但是这个伟大公司的伟大之处怎么体现呢？那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要，实际上内控原理是一种管理法则，我们通过研究内部控制的理论来转变我们的经营观念，来增强控制意识，提高管理水平，这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提，那就是说我不认为只要一个银行能够跑到股票市场上去，在那里销售我们的股票，来套股民的钱，我们就是一个公司治理机制良好的银行。因为它上市成功的前提首先要具备较多的控制意识，有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求，把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容，是银行组织机构安全和良好运营的关键，这是巴塞尔委员会提出的要求。一个强有力的内控系统，能够帮助确保银行机构的目标和目的的实现，使得银行取得长期的利润目标，维护财务报告和管理报告的可靠性，并且确保银行遵循法律和规章制度，以及一系列政策、计划、内部规定和程序，减少始料不及的损失和有损银行声誉的风险。为了强调内控，我重点介绍下面四个方面的问题：第一，是介绍内部控制理论已经解决的问题。第二，从我在中行的新体验来看看我们国家银行内部控制的发展。第三，我们对银行当前内部的控制问题进行初步的研究。第四，提出一些政策建议仅供大家参考。一、内控理论已经说明的问题我们在提到银行的管理、银行的控制这样一个题目的时候，我觉得搞法律的人员不是那么熟悉，因为我在中国银行，法律工作人员大都很年轻，在管理学上、在银行的控制理论上，还是缺乏知识的，这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题：第一个就是治理问题，包括银监会经常说的公司治理机制；第二个就是风险管理；第三个叫内部控制；第四个叫保障措施。首先明确一下概念。中央领导、国务院领导经常说公司治理，到底公司治理是干什么的？是研究什么的？我有一次到德国开国际会议，与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点，就是找什么人来做这个银行行长和各级经管人员，以便于把商业银行的各项业务做好。找谁?是找王雪冰还是找其他人？为什么找王雪冰？他出了问题，怎么才能找到另一个人不出问题或者少出问题？公司治理就是找谁当行长，找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部，包括行长，找谁担任这样的职务，要明确谁来干，明确谁承担这个责任，看看他们怎么承担这个责任。这叫公司治理。风险管理是什么呢？风险管理是一种程序，它要识别风险，评估风险，并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部，在银行，风险管理部是很重要的部，这个部干什么呢？它要分析银行运用资产有什么样的风险，这些风险究竟有多大，银行可接受的风险的水平有多高，然后银行既然有这么多的风险，采取什么政策对付这些风险，这叫风险管理。内控是干什么的？内部控制是公司的核心管理内容，它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险，认定了风险，评价了风险，并且制定了风险应对的对策，之后怎么办？要采取一系列措施和经营管理程序加强内部控制，防范风险。另外，还有一个确保反馈的系统，这是一个通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的公司治理与银行控制这本书上就描绘了一张图说明上述四种治理机制的相互关系，现在银行领导也好，中央领导也好，经常讲这几个概念，但是我们需要把它们界定清楚。如果你要经营一个企业，开一个银行，首先得有一个目标，这个目标确定了之后，靠什么来管风险？一个靠公司治理，找一些人可靠的人、能干的人，把他们叫来，安排他们工作。然后组织其中一部分人来分析，我要实现这些目标，有哪些风险，怎么对付这些风险，制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统，最终实现公司目标，就是资本充足、内控严密、运营安全、服务和良好效益。国际上对内部控制也有大量的研究，美国有个权威机构叫COSO，提出了一个比较完整的内控理论和操作方法，后来又提出完整的风险管理的理论。实际上各国都在探索，英国也有一个CADBURY模式，后来它发展或TURBULL。加拿大叫COCO理论。一些发展中国家，例如南非也有一套理论，叫KING，都在研究内控。为什么这样重视内控？就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架，这个在网上能够搜索出来。2003年美国COSO又进一步提出更加完整的理论，不完全是内控，把内控放在风险管理的框架里。所以内部控制的发展一步一步最后形成了巴塞尔委员会内控的指导原则，一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制，后来又发展到稽核，各个银行都有稽核队伍，然后又超越财务范畴，把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率，更加强调管理政策。这是一个发展。我们研究一下到底什么叫内控？现在的内控理论已经把内控设定为比较科学的定义：“内控是一种为合理保证实现下述四大目标的动态过程，动态的程序。”它的每一个词都是有道理的，是合理保证实现四大目标的动态过程，原来提的是三大目标，现在有所发展，又提出第四大目标。它补充的那个目标就是战略性的目标。什么叫战略性的目标？就是内部控制要符合和支持银行机构的总任务的完成，要有相当高度的视野，这是一种高层次的目标。上面提到的资本充足，这就是战略性目标，中央确定我们要实现国有商业银行资本充足，这是战略决策，不是具体到结算业务，还是零售业务，还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足，国家不给我们补助资本金，中国银行一开始是财政部划拨的那点钱，后来核销呆账没有拨过资本，有利润全部上交国家、上交财政，现在提出来要满足8资本金充足率，要实现这个，国家给我们中国银行225亿美元让我们来充实银行的资本，另一个也允许我们在盈利中间拿出一块，使我们的资产达到充足的标准，今后就要靠自己的努力了。这就是战略。第二种目标叫操作性目标。银行不能不讲效果，不能不讲效率，在我们贷款的时候，在我们融资的时候，在我们做业务的时候，要保证银行避免损失。执行各种内控操作的程序，确保组织当中所有人都来有效率的工作，甚至还要注意道德的完整性，而不发生不应有的过高成本。特别要强调，不能把任何其他的利益置于银行的利益之上，比如为自己雇员的利益发奖金，为了让大家得到奖金，宁肯使银行冒操作性的风险。或者给关系人贷款，为了某些客户的利益，而不顾银行的利益。或者为了个人的权利，拉拉打打、玩权术、市宗派。还有第三个目标，叫做信息性目标。这里包括财务和管理的信息，过去只是强调财务的信息，现在巴塞尔委员会强调还有管理的信息，都要可靠、完整，并且能及时地提供。我们在写各种报告的时候，都要做到这点，而且要定期发布可靠的年度财务报告，披露真实的信息。将来我们上市了，也要给股东写报告，给银监会、人民银行写报告，对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候，要有信息基础，这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市，其中一个内容就是要搞尽职调查，我们要聘请外部律师事务所给我们帮忙，我们要向他们如实地报一系列的材料，最后这个材料要交到律师事务所审查。中国银行干了这么多年，出了多少年报，年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外，还有中央银行认可的外部审计师要签字，而我们过去没有。要真实披露，我们的工农中建可能存在倒闭的问题，如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后，压力很大。但我们需要披露，我们有责任向股民说清。还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调，要确保银行所有的经营都遵从适当的法律和规章，遵从监管的要求，遵从本组织银行的政策和程序，其中一个特别重要的就是业务流程。如果业务流程不熟悉、不遵从，违规经营的话，就没有实现这个目标。为什么要这么做？要保护银行的“特权”。实际上银行是有特权的，不是所有的企业都能干银行，也不是所有的金融机构都能干银行的事，银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉？别的公司也强调信誉，但都没有银行的信誉强调得更高。有不少人也抱怨，别的国营单位盖大楼，中央要批评，但是银行为什么可以?我们中国银行的楼，我走过了几十个国家，我还真没见过这么好的银行大厦，法兰克福的金融中心建设得够高级了，英国的City够气派了，你到那里看看，有没有比中国银行的楼更高级的，我觉得还没有。这里也确有太奢华的问题，但为什么中行这么盖大楼，建行、工行都盖了不小的大楼，中央没批评，因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候，河北中央银行门前的狮子是铜做的，斜对面有一个纺织品进出口公司，狮子也不小，但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然，这种声望和权威应该是内在的，不能只靠表面的豪华去装饰。工农建都设有法律部门，都起名叫法律部，我们中国银行为什么出了一个法律与合规部？直接的原因是纽约分行的事件，给我们很大的教训。有人说你把你们的行长都赔进去了，那都不是最重要的教训，最重要的教训是纽约分行使我们认识到过去我们搞银行的时候，对合规重视得很不够，而一些大型的国际化的银行在行内设有很大的部叫合规部，来抓合规工作。我们总结了在纽约的沉痛教训，感到有必要把合规工作提上日程。银行一定要依法合规经营。而内部控制的理论实际上把“合规”作为一个目标。中国的银行考核底下的员工都把效益作为考核的重点，利润是考核的重点，但是内控理论中明确指出要把依法合规作为考核的四大目标之一，如果不考核当然各级单位就不朝这个方面努力，不在这个地方扣分，凭什么在这个地方花费资源？内部控制的定义说明了几个问题：第一，内部控制是一种程序，这个程序意味着它朝着某个方向去努力，但是它永远达不到那个终点，因为这个终点是它不断要达到的目标。第二，银行要搞内部控制，离不开人的影响，不是说搞内部控制就是去念几条规章制度，而要有人在这里起作用。第三，内部控制是为公司管理层提供合理的保障，但不是绝对的。万事都不能绝对化，绝对化就是形而上学。内控是提供合理的保障，是对解决银行问题有利。不是说一抓内控就什么问题都不会出来。第四，内控是有多重目标的，内控有四个目标，第一个目标是战略设定，第二个目标是经营的效果和效益，第三个目标是信息性目标，第四个目标是遵从性目标。内部控制为的是目标的实现，通过一些活动，一个有机结合的整体，去实现公司的目标。这是很值得我们学习内部控制的方面。内部控制可分解为五大组成部分的内容：第一个强调控制环境，第二个强调风险评估，第三个要开展控制活动，第四个要进行信息的交流，第五个要进行监督评审。这是内部控制的五大组成部分。为什么从理论上强调这些内容，不是我们要讲一些花哨的名词，而是这五大组成部分比较充分和完整地说明了内控的主要内容，使我们明白了应该怎么执行内控，又怎么进行评价。怎么评价内控？我建议就从这五个方面。另外COSO又提出八大组成部分，这是从风险管理角度讲的。下面是风险管理的八大内容：内控环境、战略目标设定，事件的认识或者是了解，另外风险评估、风险对策、控制活动、信息与交流、监督评审。这是八个组成部分的内容。首先要确定目标，开展经营活动必须有目标，我银行要搞好，我的目标是什么？支行有支行的目标，二级分行有二级分行的目标，一级分行和总行都有目标。风险管理也是一个有机结合的整体，也要强调内部的环境，就是前面说的控制环境。目标设定以后，要有些事要做，一件事叫“事件识别”，就是要看这些事有什么风险，要开展公司业务、零售业务、结算业务、信用卡业务，银行所有的业务，这些业务有什么风险要评估，评估完了以后要有风险对策。既然你都评估了，怎么处理这些风险，要有政策、有策略。然后，就进入了内部控制。这里我解释风险管理是希望说明它与内控的关系。概括起来，内控分为五大组成部分的内容。内控五大组成部分最基础的地方是在控制环境上，然后进行风险评估，还要开展控制活动，在控制活动开展的过程中间，又要不断交流信息，宝塔尖上强调监督、评审。从风险管理的角度来分析，这个模式或框架还包含四大目标。战略性、操作性、信息性、遵从性、合规性，这是五个目标，这是一个层面的东西。从内控的角度来分，目标是四个，但内容可以比风险管理少三大内容。就是以上概括的五大组成部分的内容。这还仅仅是两维的空间，第三维空间就是不同的部门，各个级别的部门。第三维空间，比如法律事务部或者是公司业务部、零售业务部，这些部门组成第三维空间，这三维空间组成立体的模型。实际上我们在讲一种思维方式，我们是在这样一个立体空间里搞银行。把任何一个部门抽出来，比如把公司业务部抽出来，都有四大目标，都有五大组成部分的内容在里面。这说明一个什么问题？说明我们可能利用思维方式，利用模型，利用这个理论，探讨出管理银行，评价银行的方式。为什么巴塞尔委员会这个国际银行监管的机构，要支持这么一种理论?是因为这个理论有用，是因为这个理论发展到今天，能涵盖我们银行的主要业务、主要工作。从“控制环境”的角度怎么理解呢？实际上控制环境是所有各个方面的基础，是一个带动银行开展工作的“发动机”。这里包括银行的行风、组织风纪，它还涉及银行活动的核心人（员工），而且要通过影响人们的控制觉悟来形成银行的“文化”，就是银行究竟提倡什么，特别是注意人们对内控的认识和态度，你有没有控制理论，有没有高度的内部控制觉悟，也就是重视内部控制，特别是由于这个环境不同，你的战略目标的实现就受到影响。我们国家如果没有长期稳定搞建设的环境，中央不会提出国民经济翻翻这样的战略。这里还涉及风险管理的一些哲学，开展风险管理是避险为主还是冒险为主呢？风险管理是什么文化？这些东西都是控制环境里的。我们理解控制环境也是希望大家在评价某个部门的时候，比如上级让你去公司业务部检查一下他们的内部控制怎么样，首先建议你评价控制管理的环境如何。我后面还会强调环境方面的建设。第二大组成部分是“风险评估”。风险评估是什么？就是你要去识别和分析那些妨碍实现经营管理目标的风险，这是风险管理决策的基础。我们搞内部控制，必须要认识风险，这和风险的定义有关系。什么叫作风险？有人说就是损失，或者有人从概念角度说是造成损失的可能性，这些都对，但是更精确、更科学、更接近本质的风险定义是什么？就是妨碍实现目标的所有因素。为什么这么说？就是我们干什么事都是要有目标，什么叫我干这件事的风险呢？就是我有哪些东西干扰我实现这个目标。我曾经举了一个很生动的例子，比如说有一个武士，他在射箭，要打中一只鸟，什么是他的风险呢？打不中是他可能的结果，怎么会影响他打不中呢？一个显然是他自己的本事，他有没有力气拉开这个弓，拉到足够满的程度。他的视力是不是好？他是不是能够正确地判别目标所存在的位置以及他自己的经验？说到这儿，是不是风险就没了，不对。当他拉弓的时候，虽然拉的很满，但是他是顶风拉的，风力很大，影响他。天要是突然刮起了大风，乌云遮盖了整个天空，太阳没有了，看不见了，这也是风险。如果一切都非常好，但是拉弓的英雄喜爱美人，旁边过来一个美女，他分心了，也射不中。要想实现目标，各种因素都可能是风险，只要它们妨碍你达到你的目标。所以我们在讲银行风险的时候，有人总是想设定一下是信贷风险、利率风险、市场风险，其实这都是一些业务上的风险，很少有人提到人的风险，而且很少有人涉及更广泛的，凡是能够形成对银行目标实现造成影响的其他一些风险，例如员工有没有参与赌博、炒股，甚至包“二奶”等，很少有人更广泛去考虑，就是因为在风险的定义上不够准确，没有明确风险更本质的定义。在风险管理的体系框架中，COSO把目标的设定加进来，然后有一个事件的识别，有风险的评估，然后要制定风险对策。这四个方面恰恰是风险管理的主要内容，也是搞银行风险管理四个最本质的工作。第三大组成部分是“控制活动”。你既然是搞内控，不可能不参加控制活动，使目标的实现有合理的保证。经营目标的实现需要发布一些管理指令，要采取一些防范化解风险的措施、政策、程序，像高层的检查，直接地参与管理，对信息进行加工、对实物进行控制，比如确定指标、究竟今年要完成多少利润等。特别是职责的分离，职责不分是现在银行发生重大案件的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”，就难保不出事。内控还要针对目标相关的风险发布控制指令，各种各样的指令。第四大组成部分存在于所有的经营管理活动中，“信息与交流”应使员工能够搜集和交换为开展经营从事管理和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩，注意以评价监督的方式来开展工作，根据一些会计数据分析并发出一些预警信号，确保有关经营目标的实现。这个信息与交流在总行层面是最大的问题，我们各个部门分管很细，都有各自的职责，一件事现在离开哪个部门干都不行，需要协调配合。可是在咱们一些银行体系当中，协调配合能力特别差，其中的一个症结就在信息与交流上。我想法律部的人员也会有同感，说叫你去审查一个合同，把合同拿来了，以为很容易发现合同中存在的问题。有的时候送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表，叫“合同审查意见申请表”，这个表让你说明送审合同的目的，你究竟让我审什么？这个合同产生的背景是什么？这里有哪些法律疑难问题需要我们法律部审查？过去有没有审过？有的人拿过来第二次审了，但没有告诉，我重审一遍。说我们法律部门解决的问题，合规方面要不要解决，是不是合规？我觉得一项法律合同首先要合规，业务不合规，谈不上跟人家签合同。这些问题都是一个配合的问题，都是一个信息交流的问题。还有一个内容是“监督评审”，现在咱们国家已经开始重视这个问题，就是干什么事都注意监督，但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制到底在你们这个部门是有效的，还是无效的？这个监督评审是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制再监督、再评价的总称。也就是说监督不仅仅是稽核、监察部门的职责，更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去一提到监督，肯定是监察部、稽核部它们的事，为什么我们法律与合规部要成立一个合规处？从管理的角度制定了许许多多的制度和规定执行了没有？执行的情况怎么样？我们不能不管。我相信工、农、中、建都有法律部，都有这个职责，就是管规章制度的制定和监督。我们管到这个层面是不是就够了？实践证明不够，咱们银行为什么出一大堆问题？为什么出那么多案子？哪一个流程没有规章制度?我们现在凡是发行一个新的业务，新的产品，首先是规章制度，规章制度不出台，流程不出台，不明确，这项业务就不能开展。问题就出在新的业务上。一方面规章制度跟不上需要，一方面有章不循，不执行规章制度，让稽核监察去查查，必须有人时常监督规章制度是否执行，执行有力还是不力，全面不全面，不执行、违规经营，造成的损失和问题谁来负责，如何追究责任，如何进行处罚，这一点非常重要，没有这项工作，规章制度就是形同虚设。为什么现在出现大量问题？因为你不去监督管理它，总是想着要实现利润目标，为了“短、平、快”，经常把一些规矩打破，打破这些规矩的结果产生风险。可是不注意这些风险的管理，出了问题以后，就让整个银行蒙受巨大的损失。所以，四大目标是纵向的列，五组成部分是横向的排，和内部控制相关的工作单元或活动是第三维空间。我们随意抽出任何一个单位，我把某一列抽出来都有五大组成部分，我把横排抽出来，都和四大目标密切联系。这是一种思维方式，是我们抓内控的一种原理性的认识。当然，巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2002年央行到我们行全面检查内部控制，我们的被查部门手忙脚乱，要报这么多材料，好多东西不知道，内部控制搞什么，怎么报告，做了各种准备，迎接人民银行来检查内控。过去不够重视内部控制，非要人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价？不要以为商业银行都有内控的自觉性，它再有自觉性，也没有高到足够的程度。人民银行要定期不定期地查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任，他写过一篇文章叫为什么银行需要一个中央银行，他从信息论的角度提出商业银行有必要接受监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监督，不仅监督表内业务，甚至监督表外业务，还有新业务。凡是监管者确定某银行的内部控制系统不能充分或有效地针对银行的具体风险，监管者应当采取适当的行动。巴塞尔委员会说话是有分量的，“适当的行动”，什么行动？我们纽约分行曾经险些被停牌，让你注意你已经降到多少级，使你提高交融资成本。再不小心，我停止你经营。现在外国银行到中国来，最怕的就是中央银行，银监会也好，中央银行也好，国外有深刻体会，汇丰银行这些大银行对当地中央银行非常畏惧，中国的商业银行对人民银行的畏惧程度远远不如外国银行对人家的中央银行的畏惧性，为什么？这里反映了双方的问题，一方面商业银行自律性不强，另一方面银监会和人民银行对商业银行的监督不够得力，商业银行被罚款不够多。我们在美国一项罚数达二千万美元，这算少的。看看安然公司倒闭了以后，一些大审计公司被罚到最后倒闭。安德信是国际上最大的审计公司，就为安然事件倒闭了。人民银行实际上也对内部控制提出很多要求。我记得当时人民银行对每项业务都提出了要求，我看了看银监会对商业银行内部控制的检查评价体系基本上采纳了COSO和巴塞尔委员会提出的要求，特别强调一种内部控制的文化，这是巴塞尔委员会和COSO提出来的，这种文化体现在银行的评价制度、职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授权体系，还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立的法律合规的要求，等等。有个问题值得探讨：合规部门如何要具备它的独立性？我在稽核部门也干过，稽核部门也存在独立性和垂直性，稽核部门比较难做，我不知道其他银行是不是这样，我在稽核部门深有体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门，在行长面前汇报工作的时候都是一派理直气壮的样子，要是轮到监督部门和管理部门说话的时候，似乎底气不那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知，告诉你我两个星期或者一个月之后，要到你那里去检查什么。人家那儿有时根本不告诉你，来了把你抽屉打开，你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规，我问过人家汇丰银行、渣打银行的同行，我问他们合规权威如何，他们说都很怕合规官。因为很多重大的问题要合规官审批，批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况，现在强调法律与合规的重要性，动不动把你叫去开会，什么文来了让你签字。他找你签，像是尊重你又像不是尊重你，有的时候实际上想让你认可，说是还是不是，你要说是，我做了以后别找我碴儿。在我们部门工作的同志大都年轻，工作忙了，哪审得了这么多，一看既然他们都定了，我无异议，回复给人家。我心里打鼓，我最怕看到哪个经办或处长拿给我看三个字“无异议”，现在有什么事能让你一点异议没有？现在没有那么干净的事，拿到你这个法律部门审查的时候，可能是想绕一绕、拐一拐，你说无异议，那就干吧，因为无异议说明什么问题都不该有。我跟协议处说不要轻言无异议，一提无异议，就说明我这个部门对这个问题没意见，万一出个问题，吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门，也要让银行的经营管理部门尊重监督人员，这是非常重要的。如果不尊重，说明这个银行内部控制有问题，起码在控制文化上有问题，他反感控制，不让你控制，想让你变着法不控制，但是他又让你签字。银行今后应该采取措施，使这些管理具有权威性、监督有权威性、稽核有权威性、法律与合规部门有权威性。现在不是都讲钱吗?考核要有正确的考核体系。强调内控的时候也应该注意：内部控制不是万能的，内控不可能把一个本质上很坏的经营管理者变好，不可能左右政府的一些政策和计划的改变，不可能对外部竞争对手的行为和客观经济条件的变化都把握好，它有局限性。再有财务报表可靠不可靠，不是说你内控绝对能够保证的，假如支行的行长指挥着支行的会计去假造财务报表，会是什么问题？新会计法有一大修改，就是会计报表第一责任人是企业负责人，我觉得这条非常好，过去一说某个企业造了假账是会计造的，其实回过头来一检查，能有几个会计自己造假，是他的领导，他们那些厂长、党委书记让他造假，他是被迫的。我们应该提倡依法合规经营，千万不要违规，或者明知道这个不合法，也不向法律部门说明需要针对它进行审查，想蒙混过关，想得到法律部门的认可，得到银行老总的签字，求得一时的解脱，这要不得。国际上内部控制的发展的趋势给了我们一些启示。 一是强调高级管理层的控制责任。首先董事会要充分理解银行的主要风险。党委，高级管理层的内控基调是不是对？看交响乐团，在准备演出的时候先请钢琴师定一下音？这就是让全团有一个基调，控制也要有一个基调。这个基调要由多级管理层确定。二是要大力提倡和营造一种控制文化。上述的一些现象实际上就是控制文化上的问题。一方面，董事会和高级管理层要负责明确各级员工在道德上和完整性方面的高标准，人格要完整，要讲职业道德，并且在机构中要建立一种文化，向各级的人员强调和说明内部控制的重要性、合规的重要性、法律的重要性。我在工作中深感在国有商业银行的员工中，特别是在高级管理人员中，很有必要提倡道德修养，加强职业道德建设。在国有银行商业化的过程中，这方面有待改进。有的高级管理者不是把银行的利益放在第一位，而是带头把个人的权利和利益放在第一位。而银行里用人的时候不够重视他（她）们这方面的表现，不够关注群众这方面的反映，结果是在基层，甚至在总行高管人员中，不断发生重大案件。另一方面，银行所有的员工都应在内控的程序中间发挥作用，控制不只是高管人员的事，而是人人有份。上至总行，下至分理处、储蓄所，每个岗位上的人都承担特定的控制责任。有效的内部控制系统的一项实质性内容就是建立强有力的控制文化，没有这种控制文化，法律工作也不好搞，合规工作也不好搞，监督机构会形同虚设。还有四点我要强调指出：第一是正确理解内控和管理的关系，进一步认识内控在管理活动中的重要意义，要尽快地由领导决策层带动，动员各级员工营造良好的控制文化，按照内控的四大目标和五大组成部分，实行对经营管理中间各种风险的逐级控制，以内控为有力武器，提高经营管理水平。第二是正确理解内控和风险管理的关系，进一步确立内控在风险管理体系中的重要地位，防止以风险评估代替内部控制。要按照上面介绍的内控原则和系统框架尽快建立起适合中国国情的内控组织结构，例如建立内部控制委员会和内部审计委员会，来加强对风险的整体研究、评估和管理控制。第三是正确理解内控和内部审计的关系，我曾经专门发表了一篇论文，叫“正确处理内控与稽核的关系”。内控首先不是稽核监督部门的责任，而是业务的经营管理部门的工作；内控主要不是稽核监督部门的工作，而主要是经营管理部门的工作；内控的检查评价主要不是稽核监督部门的责任，而主要是经营管理部门的责任；不过，稽核监督部门对内控负有再监督、再评价的重要的职责。明确上面说的四个要点，并且在监督评审当中注意保持稽核与合规系统的独立性，加强对各种风险的识别和评估，建立和督促对控制缺陷的纠正。不要发现了一些问题，稽核报告写了，合规的报告指出了，让他纠正，下回还是出现那些问题，还是没纠正。这就表明内控失效。第四就是内部控制应该有一套有效方法，要搞内部控制，要控制风险，必须有一套完整的系统性的操作方法。现在多数银行在做这项工作的时候，都做得比较传统，一些行领导忙于业务发展，满足于“头痛医头，脚痛医脚”，怕内控影响发展。实际上已经有一套先进的方法提了出来，我在我的那本书公司治理与银行控制(中国金融出版社2001年版)里介绍了一整套的方法，而且对信贷、项目评审、信贷资产的五级分类和银行行长选配等一些方面都做了一些理论联系实际的探讨。我希望总行带头规范地运用这套好方法。  (待续）  注释：本文原载于法律出版社2006年出版2007年再版的书金融审判与银行债权保护。银行风险的识别、评估与内部控制 杨海群  (接 I）   二、银行内部控制的足迹下面我把我们在中国银行抓内部控制的工作体会粗略介绍一下。我认为我们行大概经过了这么几个阶段。第一个阶段是在20世纪90年代中期以前，只有少数的领导人员和少数的稽核人员知道内部控制的概念，概念也不准确，全行控制的意识是比较薄弱的，案件不断发生。资产质量也是越来越差。在那个阶段里，银行的问题比改革以前要多。计划经济的时候，银行并没有多少案件，不像今天这样，动不动出现一个非常大的案件，每一次都要刷新记录，过去没有。就是改革之后，市场的约束没上来，计划的约束又丢了、失控了，所以资产质量就下降。第二个阶段是推进内部控制的阶段。那是1997年5月份人民银行发布了“商业银行内部控制的指导原则”。我们总行要求制定中国银行的内部控制原则，我们抓了一个授权管理的制度规定，在人民银行的授权管理规定基础上做的。我们在1998年正式公布了内部控制原则，而且我们在那个时候就已经在中国银行正式文件中间明确了稽核要以COSO理论框架来检查和评价内控工作。对监察报送有关材料进行分析发现，我们行发生的案件绝大部分在基层。涉案人员绝大部分是基层的领导干部，大部分涉案人员又都是20多岁至30多岁的年轻人。后来我们总稽核室对总行零售业务首次进行了内控稽核检查。第三个阶段，2000年前后我们进入一个理论探索的阶段。2000年我们组织总行两个业务部门和两个管理部门编写出版了一本书叫中国银行信贷内控指引（贷款分册）。这里讲一件小事，1998年的时候总行有个部门报告说内控到底由谁抓，前行长王雪冰在报告上大笔一挥：“内控只是稽核部门的工作。”我们一看不对了，我在人民银行的稽核监督研究上发表一篇文章正确认识内控与稽核的关系，实际上没点名地针对这个批示，纠正错误观点。后来我们按照人民银行的部署成立了一个信贷清分办公室，当时总行调我去同一些同事领导贷款的五级分类，我运用了COSO的内部控制理论，组织清分办公室的同志们共同编写了一套中国银行贷款资产分类指南，后来金融出版社出版了。2001年中国金融出版社出版了我写的专著公司治理与内部控制，我首次在内部控制原理基础上提出了一套内控的比较完整的操作体系，提出了内控、风险管理和公司治理三者之间到底是什么关系。王雪冰任职期间，行里的案子特别多，也使后来的领导感觉到加强内部控制的重要性。中行的总行各个部门和分行逐步完善制度，加强内控，提了很多很好的建议，其中一个就是将法律事务部改为法律与合规部。第四个阶段，我们进入了内控强化阶段。因为2002年5月，人民银行发布了商业银行的内部控制指引，进一步将内控提到一个新的高度，人民银行开展对中行各个部门的内部控制全面检查。总行法律与合规部根据行领导要求要研究内部控制，解决坏人做坏事想干干不成的问题。由于内部控制不好，到基层检查工作的时候，会感到震惊。干得成坏事很自然，而干不成才奇怪？只要想干肯定干的成，干不成不奇怪，为什么呢？因为在一些环节上几乎没控制。你说钱箱的钥匙他拿着，库的钥匙他拿着，库里有登记簿由他登记，这样的情况他能不贪污？给他条件让他去偷，最后案子出来一检查，保卫工作的那些规定不落实。后来行领导组织了总经理级以上的干部，召开了研究会，研讨我们行强化内控建设的问题，党委中心组2004年专门组织扩大会议，叫外部律师事务所讲内控，怎么加强内部控制，让我来宣讲内部控制，又制定“中国银行进一步完善总行部门和一级机构以上领导干部教育监督的若干措施”，从高层去解决这个问题。我们深深体会到合规工作是非常重要的。可是合规工作不是纯法律问题，实际上是银行业务的经营管理方面的问题，是一个要熟悉银行业务管理规定的问题，这就给法律部门在职能上增加了新的内容，就是不能只是从法律上审查问题。另外，合规工作人员不能只是学法律的人，银行建立了一个规矩，新员工进了银行以后，先到业务部门实习一年。合同审查的一个大问题就是应知道某个地方该不该这么做，但是如果没经验，不懂业务，就无法建议这个合同应该怎么改。这项业务这么做不行，但是怎么做更好，他会很为难。搞合规的人，应该具备什么条件呢？起码要有三五年以上银行业务工作经验。就是说搞合规的人要懂得银行业务，而且今后大量的工作涉及合规性质的问题，法律性质的工作需要把关，也