信息系统的内部控制与风险评估.doc

《信息系统的内部控制与风险评估.doc》由会员分享，可在线阅读，更多相关《信息系统的内部控制与风险评估.doc（86页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、书山有路勤为径，学海无涯苦作舟。信息系统的内部控制与风险评估 仲婕 江苏省电信有限公司苏州分公司 摘要：如何保证信息系统处理流程规范，系统数据安全完整准确，内控制度落到实处，本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词：信息系统、内控制度 随着电信企业各项生产运营系统的建立与使用，各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。 近年来电信企业上线运行的重要信息系统有bss业务受理系统、oa办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用

2、能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题，利用信息系统可以将人工处理的程序、模型预先设计好，帮助企业高效率地管理生产过程，帮助企业及时获取并提炼重要的信息，以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求，信息数据是否完整准确，却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查，分析系统的安全风险，堵塞系统漏洞，切实发挥信息系统在企业发展决策方面的支撑作用。 日前获悉，某电信运营企业因小灵通预付费系统超级密 1码被盗，导致被非法制作了1000多万元的小灵通充值卡，至案发时已全部充值消费，给电信企业造成了巨大的

3、经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益，对企业是至关重要的。 本文将就信息系统如何加强内部控制、防范安全风险谈几点看法： 一、信息系统从开发建设起就必须建立一套完整的内控流程 1、信息系统程序设计必须健全数据核对环节，保证数据准确 信息系统能提高企业管理效率，提升企业服务水平，提高企业竞争应变能力，但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程，其中发生了部分溢出、丢失或变异，那么信息系统会输出错误的数据，经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢，一

4、般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。 2、信息系统建设必须考虑数据安全存放，保证数据安全 一般情况下数据是否安全主要考虑两个方面，一是数据库是否安全，能否防止非法访问，如果发生有非法访问，或是发生恶意修改、篡改数据情况的，系统是否会留下记录， 2能否及时告警。另外一方面是数据存放介质是否可靠，有无备份，重要数据是否异地存放，防止自然灾害对数据安全的危害。 根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行abc分类，a类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质，严格建立实时的异地备份，以保

5、证数据安全。b、c类数据根据机房容量、建设成本情况分别制定备份计划，采用两种以上介质存储、两个不同机房存放等方法。 3、信息系统开发要考虑设置严谨的密码策略，杜绝非法入侵 信息系统必须建立用户身份的验证机制，对信息系统的访问必须使用用户名和密码，而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策，并根据密码政策在系统固化相应的设置，以避免用户使用安全级别低的密码。密码政策具体包括：用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为6901密码策略，对于超级用户则需要按照8901来设置密码，位长不少于8位，更新周期同普通用户。 在对电信企业信息系统进行内控

6、评估时，发现较多的系统存在用户名、密码共用的现象，不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问，发生 3问题时也无法落实责任。因此有此现象的应当确认为重要缺陷，必须立即整改。 二、信息系统运行维护要严格遵守内控规定 1、用户账号变更严格履行审批 对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后，方可由系统管理员在系统中创建用户帐号，以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时，由人力资源部或用户所在部门及时正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。 在对某电信企业信息系统进行内控评估时，发现用户账

7、号的创建、修改缺少书面审批资料，无法证明是否经过必要的授权，因此被认定为内控执行缺陷。 2、重要操作要严格执行复核、审批制度 对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度，即一人操作、一人复核再加上主管审批，防止误操作，影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账，这也是遵循内控规定的重要体现。以电信企业的计费系统为例，系统操作人员需要根据营销政策对批量用户进行赠送话费操作，此操作会影响一大批用户的预存款余额，不能发生任何4差错。操作人员要将营销政策的文字信息转化为计算机语言，既不能送错对象，也不能多送或少送，所以此类重要操作就必须严格

8、执行复核、审批制度。 3、系统操作要有完善的记录 一般信息系统本身会具有记录的功能，将维护人员的维护操作全部记录下来，生成专门的维护日志，供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能，不是所有重要操作都能记录系统中，在这种情况下，必须要求系统操作人员作好手工记录，记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。 4、不相容职务严格分离 内部会计控制规范中只是说“不相容职务主要包括。授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上，一个企业或一个组织因业务种类、机构设置不同，所要明确的不相容职务是

9、不尽相同的，既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题，如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性，谨防信息系统本身出现重大风险。 5以电信企业为例，信息系统运用广泛之后，产生了许多电子化虚拟货币如q币、电子卡等有别于传统货币的实物，无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作，但作为系统管理的虚拟实物还必须要建立这样的职务分离制度，负责管理虚拟实物部门（即系统维护部门）与购买、销售部门分离，实物管理部门与会计记

10、账部门分离，建立相互核对、相互监督的内控工作制度，以两个不同系统的数据核对，或以人工计算核对等方法来验证信息系统数据的完整。以q币为例，在电信企业就经历购买、入库、销售、计费、记账等诸多环节，购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行，相互之间建立进行定期对账机制，以保证q币的购销存业务流程闭环管理。 我们都知道不相容职务分离是内部控制的核心，在信息化环境下，更加需要强调不相容职务分离原则，因为业务管理流程经过信息系统固化之后，所有人员都会在系统中承担一个或多个角色，角色分配结果在一段时间内是不会发生变化的，这些角色之间是否是不相容职务，是否会存在因分工不当导致舞弊行为

11、的发生，都直接影响信息系统的安全性。 三、内审部门要加强信息系统的内控评估，堵塞漏洞防范风险 1、信息系统审计评估需要关注的重点内容 6对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求，认真开展检查评估。 在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范，用户权限设置是否经过授权，是否存在数据安全风险，又要关注不同信息系统之间有无建立数据接口，是否进行数据核对，是否将不相容职务分离，相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。 2、信息系统审计评估需要运用的方法 信息系统评估方法与业务流程内控评估方法基本相同，主要有：询问、文件

12、检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法，像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法，通过审阅相关文档记录来判断各项内控措施是否得到有效执行。 3、信息系统审计评估重要目的是落实缺陷整改 通过对信息系统内控制度的检查评估，发现内控缺陷，目的是针对内控缺陷制定合理的整改方案，确保缺陷得到修正，风险得到控制。信息系统数据的安全完整准确是内审部门开展内控评估的唯一目的。 第二篇：银行风险的识别、评估与内部控制银行风险的识别、评估与内部控制 bankrisksidentification，assessmentandin

13、ternalcontrol 杨海群 按语 本文原载于法律出版社2021年出版2021年再版的书金融审判与银行债权保护。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著公司治理与银行控制下卷中“加强选配评审，防止领导风险”这一章。 “银行风险的识别、评估与内部控制”这个题目涉及两方面：一方面涉及的是风险管理，另一方面涉及内部控制。不管是法律工作者还是银行的管理者，都会遇到下面要提出来的问题，就是怎么来处理业务发展和管理控制的关系，怎么在实现战略目标的过程中，一方面把握住我们自己，另一方面也把握住我们所领导的团队。另外，怎么防止银行的工作人员或者业务活动失去控制。搞法律的人员

14、不如搞经营管理的涉入那么多的具体业务，但是由于你们是银行的法律工作者，所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件：第一个叫资本充足，就是银行要保证有足够的资本金；第二个内控要严密，还不是一般的内部管理，而是内部控制要严密；第三个运营要安全，实际上运营安全也是要在前两者的基础之上才能实现；第四个服务和效益要好，没有安全，也不可能服务好或者说令客户满意，服务差也不可能把效益搞上去。这是银监会关于中国银行、中国建设银行公司治理改革与监管指引文件很明确地提出来的要求。中行和建行要重组上市，就要实现银监会提出的四个要求。

15、恐怕农行和工行下一步也要遇到这个问题，也准备在中行和建行上市成功之后，经历这个过程。我们这两家银行先试一试，估计在上市过程中会有更多的难题。 我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫基业常青，他把一个一般的企业发展成比较大的企业，积累了一些经验，他的书里面有这么一句话：“伟大的公司要想生存，必须拥有一个持久的观念，这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后，这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体，而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司，之所以能够成功，原因就在于无论发生什么变化，它们的核心观念毫不动摇

16、。”他说得很深刻，他说：“只有从过眼烟云的变革中看到背后永恒的管理法则，人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题，中国银行伟大不伟大。90多年的历史，应该是一个伟大的公司，但是这个伟大公司的伟大之处怎么体现呢。那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要，实际上内控原理是一种管理法则，我们通过研究内部控制的理论来转变我们的经营观念，来增强控制意识，提高管理水平，这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提，那就是说我不认为只要一个银行能够跑到股票市场上去，在那里销售我们的股票，来套股民的钱，我们就是一个公司治理机制良好

17、的银行。因为它上市成功的前提首先要具备较多的控制意识，有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求，把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容，是银行组织机构安全和良好运营的关键，这是巴塞尔委员会提出的要求。一个强有力的内控系统，能够帮助确保银行机构的目标和目的的实现，使得银行取得长期的利润目标，维护财务报告和管理报告的可靠性，并且确保银行遵循法律和规章制度，以及一系列政策、计划、内部规定和程序，减少始料不及的损失和有损银行声誉的风险。为了强调内控，我重点介绍下面四个方面的问题：第一，是介绍内部控制理论已经解决的问题。第二，从我在中行的新体验来看

18、看我们国家银行内部控制的发展。第三，我们对银行当前内部的控制问题进行初步的研究。第四，提出一些政策建议仅供大家参考。 一、内控理论已经说明的问题 我们在提到银行的管理、银行的控制这样一个题目的时候，我觉得搞法律的人员不是那么熟悉，因为我在中国银行，法律工作人员大都很年轻，在管理学上、在银行的控制理论上，还是缺乏知识的，这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。 首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题：第一个就是治理问题，包括银监会经常说的公司治理机制；第二个就是风险管理；第三个叫内部控制；第四个叫保障措施。首

19、先明确一下概念。中央领导、国务院领导经常说公司治理，到底公司治理是干什么的。是研究什么的。我有一次到德国开国际会议，与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点，就是找什么人来做这个银行行长和各级经管人员，以便于把商业银行的各项业务做好。找谁。是找王雪冰还是找其他人。为什么找王雪冰。他出了问题，怎么才能找到另一个人不出问题或者少出问题。公司治理就是找谁当行长，找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部，包括行长，找谁担任这样的职务，要明确谁来干，明确谁承担这个责任，看看他们怎么承担这个责任。这叫公司治理。

20、风险管理是什么呢。风险管理是一种程序，它要识别风险，评估风险，并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部，在银行，风险管理部是很重要的部，这个部干什么呢。它要分析银行运用资产有什么样的风险，这些风险究竟有多大，银行可接受的风险的水平有多高，然后银行既然有这么多的风险，采取什么政策对付这些风险，这叫风险管理。 内控是干什么的。内部控制是公司的核心管理内容，它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险，认定了风险，评价了风险，并且制定了风险应对的对策，之后怎么办。要采取一系列措施和经营管理程序加强内部控制，防范风险。 另外，还有一个确保反馈的系统，这是一个

21、通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的公司治理与银行控制这本书上就描绘了一张图说明上述四种治理机制的相互关系，现在银行领导也好，中央领导也好，经常讲这几个概念，但是我们需要把它们界定清楚。 如果你要经营一个企业，开一个银行，首先得有一个目标，这个目标确定了之后，靠什么来管风险。一个靠公司治理，找一些人可靠的人、能干的人，把他们叫来，安排他们工作。然后组织其中一部分人来分析，我要实现这些目标，有哪些风险，怎么对付这些风险，制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统，最终实现公司目标，就

22、是资本充足、内控严密、运营安全、服务和良好效益。 国际上对内部控制也有大量的研究，美国有个权威机构叫coso，提出了一个比较完整的内控理论和操作方法，后来又提出完整的风险管理的理论。实际上各国都在探索，英国也有一个cadbury模式，后来它发展或turbull。加拿大叫coco理论。一些发展中国家，例如南非也有一套理论，叫king，都在研究内控。为什么这样重视内控。就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架，这个在网上能够搜索出来。2021年美国coso又进一步提出更加完整的理论，不完全是内控，把内控放在风险管理的框架里。所以内部控制

23、的发展一步一步最后形成了巴塞尔委员会内控的指导原则，一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制，后来又发展到稽核，各个银行都有稽核队伍，然后又超越财务范畴，把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率，更加强调管理政策。这是一个发展。 我们研究一下到底什么叫内控。现在的内控理论已经把内控设定为比较科学的定义：“内控是一种为合理保证实现下述四大目标的动态过程，动态的程序。”它的每一个词都是有道理的，是合理保证实现四大目

24、标的动态过程，原来提的是三大目标，现在有所发展，又提出第四大目标。它补充的那个目标就是战略性的目标。 什么叫战略性的目标。就是内部控制要符合和支持银行机构的总任务的完成，要有相当高度的视野，这是一种高层次的目标。上面提到的资本充足，这就是战略性目标，中央确定我们要实现国有商业银行资本充足，这是战略决策，不是具体到结算业务，还是零售业务，还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足，国家不给我们补助资本金，中国银行一开始是财政部划拨的那点钱，后来核销呆账没有拨过资本，有利润全部上交国家、上交财政，现在提出来要满足8资本金充足率，要实现这个，国家给我们中国银行225亿美元让我

25、们来充实银行的资本，另一个也允许我们在盈利中间拿出一块，使我们的资产达到充足的标准，今后就要靠自己的努力了。这就是战略。 第二种目标叫操作性目标。银行不能不讲效果，不能不讲效率，在我们贷款的时候，在我们融资的时候，在我们做业务的时候，要保证银行避免损失。执行各种内控操作的程序，确保组织当中所有人都来有效率的工作，甚至还要注意道德的完整性，而不发生不应有的过高成本。特别要强调，不能把任何其他的利益置于银行的利益之上，比如为自己雇员的利益发奖金，为了让大家得到奖金，宁肯使银行冒操作性的风险。或者给关系人贷款，为了某些客户的利益，而不顾银行的利益。或者为了个人的权利，拉拉打打、玩权术、市宗派。 还有

26、第三个目标，叫做信息性目标。这里包括财务和管理的信息，过去只是强调财务的信息，现在巴塞尔委员会强调还有管理的信息，都要可靠、完整，并且能及时地提供。我们在写各种报告的时候，都要做到这点，而且要定期发布可靠的年度财务报告，披露真实的信息。将来我们上市了，也要给股东写报告，给银监会、人民银行写报告，对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候，要有信息基础，这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市，其中一个内容就是要搞尽职调查，我们要聘请外部律师事务所给我们帮忙，我们要向他们如实地报一系列的材料，最后这个材料

27、要交到律师事务所审查。中国银行干了这么多年，出了多少年报，年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外，还有中央银行认可的外部审计师要签字，而我们过去没有。要真实披露，我们的工农中建可能存在倒闭的问题，如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后，压力很大。但我们需要披露，我们有责任向股民说清。 还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调，要确保银行所有的经营都遵从适当的法律和规章，遵从监管的要求，遵从本组织银行的政策和程序，其中一个特别重要的就是业务流程。如果业务流程不熟悉

28、、不遵从，违规经营的话，就没有实现这个目标。为什么要这么做。要保护银行的“特权”。实际上银行是有特权的，不是所有的企业都能干银行，也不是所有的金融机构都能干银行的事，银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉。别的公司也强调信誉，但都没有银行的信誉强调得更高。有不少人也抱怨，别的国营单位盖大楼，中央要批评，但是银行为什么可以。我们中国银行的楼，我走过了几十个国家，我还真没见过这么好的银行大厦，法兰克福的金融中心建设得够高级了，英国的city够气派了，你到那里看看，有没有比中国银行的楼更高级的，我觉得还没有。这里也确有太奢华的问题，但为什么中行这么盖大楼，建行、工行

29、都盖了不小的大楼，中央没批评，因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候，河北中央银行门前的狮子是铜做的，斜对面有一个纺织品进出口公司，狮子也不小，但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然，这种声望和权威应该是内在的，不能只靠表面的豪华去装饰。 工农建都设有法律部门，都起名叫法律部，我们中国银行为什么出了一个法律与合规部。直接的原因是纽约分行的事件，给我们很大的教训。有人说你把你们的行长都赔进去了，那都不是最重要的教训，最重要的教训是纽约分行使我们认识到过去我们搞银行的时候，对合规重视得很不够，而一些大型的国际化的银行

30、在行内设有很大的部叫合规部，来抓合规工作。我们总结了在纽约的沉痛教训，感到有必要把合规工作提上日程。银行一定要依法合规经营。而内部控制的理论实际上把“合规”作为一个目标。中国的银行考核底下的员工都把效益作为考核的重点，利润是考核的重点，但是内控理论中明确指出要把依法合规作为考核的四大目标之一，如果不考核当然各级单位就不朝这个方面努力，不在这个地方扣分，凭什么在这个地方花费资源。 内部控制的定义说明了几个问题： 第一，内部控制是一种程序，这个程序意味着它朝着某个方向去努力，但是它永远达不到那个终点，因为这个终点是它不断要达到的目标。 第二，银行要搞内部控制，离不开人的影响，不是说搞内部控制就是去

31、念几条规章制度，而要有人在这里起作用。 第三，内部控制是为公司管理层提供合理的保障，但不是绝对的。万事都不能绝对化，绝对化就是形而上学。内控是提供合理的保障，是对解决银行问题有利。不是说一抓内控就什么问题都不会出来。 第四，内控是有多重目标的，内控有四个目标，第一个目标是战略设定，第二个目标是经营的效果和效益，第三个目标是信息性目标，第四个目标是遵从性目标。内部控制为的是目标的实现，通过一些活动，一个有机结合的整体，去实现公司的目标。这是很值得我们学习内部控制的方面。 内部控制可分解为五大组成部分的内容。第一个强调控制环境，第二个强调风险评估，第三个要开展控制活动，第四个要进行信息的交流，第五

32、个要进行监督评审。这是内部控制的五大组成部分。为什么从理论上强调这些内容，不是我们要讲一些花哨的名词，而是这五大组成部分比较充分和完整地说明了内控的主要内容，使我们明白了应该怎么执行内控，又怎么进行评价。怎么评价内控。我建议就从这五个方面。 另外coso又提出八大组成部分，这是从风险管理角度讲的。下面是风险管理的八大内容：内控环境、战略目标设定，事件的认识或者是了解，另外风险评估、风险对策、控制活动、信息与交流、监督评审。这是八个组成部分的内容。首先要确定目标，开展经营活动必须有目标，我银行要搞好，我的目标是什么。支行有支行的目标，二级分行有二级分行的目标，一级分行和总行都有目标。风险管理也是

33、一个有机结合的整体，也要强调内部的环境，就是前面说的控制环境。目标设定以后，要有些事要做，一件事叫“事件识别”，就是要看这些事有什么风险，要开展公司业务、零售业务、结算业务、信用卡业务，银行所有的业务，这些业务有什么风险要评估，评估完了以后要有风险对策。既然你都评估了，怎么处理这些风险，要有政策、有策略。然后，就进入了内部控制。这里我解释风险管理是希望说明它与内控的关系。 概括起来，内控分为五大组成部分的内容。内控五大组成部分最基础的地方是在控制环境上，然后进行风险评估，还要开展控制活动，在控制活动开展的过程中间，又要不断交流信息，宝塔尖上强调监督、评审。从风险管理的角度来分析，这个模式或框架

34、还包含四大目标。战略性、操作性、信息性、遵从性、合规性，这是五个目标，这是一个层面的东西。从内控的角度来分，目标是四个，但内容可以比风险管理少三大内容。就是以上概括的五大组成部分的内容。这还仅仅是两维的空间，第三维空间就是不同的部门，各个级别的部门。第三维空间，比如法律事务部或者是公司业务部、零售业务部，这些部门组成第三维空间，这三维空间组成立体的模型。实际上我们在讲一种思维方式，我们是在这样一个立体空间里搞银行。把任何一个部门抽出来，比如把公司业务部抽出来，都有四大目标，都有五大组成部分的内容在里面。这说明一个什么问题。说明我们可能利用思维方式，利用模型，利用这个理论，探讨出管理银行，评价银

35、行的方式。为什么巴塞尔委员会这个国际银行监管的机构，要支持这么一种理论。是因为这个理论有用，是因为这个理论发展到今天，能涵盖我们银行的主要业务、主要工作。 从“控制环境”的角度怎么理解呢。实际上控制环境是所有各个方面的基础，是一个带动银行开展工作的“发动机”。这里包括银行的行风、组织风纪，它还涉及银行活动的核心人（员工），而且要通过影响人们的控制觉悟来形成银行的“文化”，就是银行究竟提倡什么，特别是注意人们对内控的认识和态度，你有没有控制理论，有没有高度的内部控制觉悟，也就是重视内部控制，特别是由于这个环境不同，你的战略目标的实现就受到影响。我们国家如果没有长期稳定搞建设的环境，中央不会提出国

36、民经济翻翻这样的战略。这里还涉及风险管理的一些哲学，开展风险管理是避险为主还是冒险为主呢。风险管理是什么文化。这些东西都是控制环境里的。我们理解控制环境也是希望大家在评价某个部门的时候，比如上级让你去公司业务部检查一下他们的内部控制怎么样，首先建议你评价控制管理的环境如何。我后面还会强调环境方面的建设。 第二大组成部分是“风险评估”。风险评估是什么。就是你要去识别和分析那些妨碍实现经营管理目标的风险，这是风险管理决策的基础。我们搞内部控制，必须要认识风险，这和风险的定义有关系。什么叫作风险。有人说就是损失，或者有人从概念角度说是造成损失的可能性，这些都对，但是更精确、更科学、更接近本质的风险定

37、义是什么。就是妨碍实现目标的所有因素。为什么这么说。就是我们干什么事都是要有目标，什么叫我干这件事的风险呢。就是我有哪些东西干扰我实现这个目标。我曾经举了一个很生动的例子，比如说有一个武士，他在射箭，要打中一只鸟，什么是他的风险呢。打不中是他可能的结果，怎么会影响他打不中呢。一个显然是他自己的本事，他有没有力气拉开这个弓，拉到足够满的程度。他的视力是不是好。他是不是能够正确地判别目标所存在的位置以及他自己的经验。说到这儿，是不是风险就没了，不对。当他拉弓的时候，虽然拉的很满，但是他是顶风拉的，风力很大，影响他。天要是突然刮起了大风，乌云遮盖了整个天空，太阳没有了，看不见了，这也是风险。如果一切

38、都非常好，但是拉弓的英雄喜爱美人，旁边过来一个美女，他分心了，也射不中。要想实现目标，各种因素都可能是风险，只要它们妨碍你达到你的目标。所以我们在讲银行风险的时候，有人总是想设定一下是信贷风险、利率风险、市场风险，其实这都是一些业务上的风险，很少有人提到人的风险，而且很少有人涉及更广泛的，凡是能够形成对银行目标实现造成影响的其他一些风险，例如员工有没有参与赌博、炒股，甚至包“二奶”等，很少有人更广泛去考虑，就是因为在风险的定义上不够准确，没有明确风险更本质的定义。在风险管理的体系框架中，coso把目标的设定加进来，然后有一个事件的识别，有风险的评估，然后要制定风险对策。这四个方面恰恰是风险管理

39、的主要内容，也是搞银行风险管理四个最本质的工作。 第三大组成部分是“控制活动”。你既然是搞内控，不可能不参加控制活动，使目标的实现有合理的保证。经营目标的实现需要发布一些管理指令，要采取一些防范化解风险的措施、政策、程序，像高层的检查，直接地参与管理，对信息进行加工、对实物进行控制，比如确定指标、究竟今年要完成多少利润等。特别是职责的分离，职责不分是现在银行发生重大案件的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”，就难保不出事。内控还要针对目标相关的风险发布控制指令，各种各样的指令。 第四大组成部分存在于所有的经营管理活动中，“信息与交流”应使员工能够搜集和交换为开展经营从事管理

40、和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩，注意以评价监督的方式来开展工作，根据一些会计数据分析并发出一些预警信号，确保有关经营目标的实现。这个信息与交流在总行层面是最大的问题，我们各个部门分管很细，都有各自的职责，一件事现在离开哪个部门干都不行，需要协调配合。可是在咱们一些银行体系当中，协调配合能力特别差，其中的一个症结就在信息与交流上。我想法律部的人员也会有同感，说叫你去审查一个合同，把合同拿来了，以为很容易发现合同中存在的问题。有的时候送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表，叫“合同审查意见申请表”，这个表让你说明送审合同的目的，你究竟让我

41、审什么。这个合同产生的背景是什么。这里有哪些法律疑难问题需要我们法律部审查。过去有没有审过。有的人拿过来第二次审了，但没有告诉，我重审一遍。说我们法律部门解决的问题，合规方面要不要解决，是不是合规。我觉得一项法律合同首先要合规，业务不合规，谈不上跟人家签合同。这些问题都是一个配合的问题，都是一个信息交流的问题。 还有一个内容是“监督评审”，现在咱们国家已经开始重视这个问题，就是干什么事都注意监督，但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制到底在你们这个部门是有效的，还是无效的。这个监督评审是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制再监督、再评价

42、的总称。也就是说监督不仅仅是稽核、监察部门的职责，更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去一提到监督，肯定是监察部、稽核部它们的事，为什么我们法律与合规部要成立一个合规处。从管理的角度制定了许许多多的制度和规定执行了没有。执行的情况怎么样。我们不能不管。我相信工、农、中、建都有法律部，都有这个职责，就是管规章制度的制定和监督。我们管到这个层面是不是就够了。实践证明不够，咱们银行为什么出一大堆问题。为什么出那么多案子。哪一个流程没有规章制度。我们现在凡是发行一个新的业务，新的产品，首先是规章制度，规章制度不出台，流程不出台，不明确，这项业务就不能开展。问题就出在新的业务

43、上。一方面规章制度跟不上需要，一方面有章不循，不执行规章制度，让稽核监察去查查，必须有人时常监督规章制度是否执行，执行有力还是不力，全面不全面，不执行、违规经营，造成的损失和问题谁来负责，如何追究责任，如何进行处罚，这一点非常重要，没有这项工作，规章制度就是形同虚设。为什么现在出现大量问题。因为你不去监督管理它，总是想着要实现利润目标，为了“短、平、快”，经常把一些规矩打破，打破这些规矩的结果产生风险。可是不注意这些风险的管理，出了问题以后，就让整个银行蒙受巨大的损失。 所以，四大目标是纵向的列，五组成部分是横向的排，和内部控制相关的工作单元或活动是第三维空间。我们随意抽出任何一个单位，我把某

44、一列抽出来都有五大组成部分，我把横排抽出来，都和四大目标密切联系。这是一种思维方式，是我们抓内控的一种原理性的认识。 当然，巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2021年央行到我们行全面检查内部控制，我们的被查部门手忙脚乱，要报这么多材料，好多东西不知道，内部控制搞什么，怎么报告，做了各种准备，迎接人民银行来检查内控。过去不够重视内部控制，非要人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价。不要以为商业银行都有内控的自觉性，它再有自觉性，也没有高到足够的程度。人民银行要定期不定期地查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任，他写过

45、一篇文章叫为什么银行需要一个中央银行，他从信息论的角度提出商业银行有必要接受监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监督，不仅监督表内业务，甚至监督表外业务，还有新业务。凡是监管者确定某银行的内部控制系统不能充分或有效地针对银行的具体风险，监管者应当采取适当的行动。巴塞尔委员会说话是有分量的，“适当的行动”，什么行动。我们纽约分行曾经险些被停牌，让你注意你已经降到多少级，使你提高交融资成本。再不小心，我停止你经营。现在外国银行到中国来，最怕的就是中央银行，银监会也好，中央银行也好，国外有深刻体会，汇丰银行这些大银行对当地中央银行非常畏惧，中国的商业银行对人

46、民银行的畏惧程度远远不如外国银行对人家的中央银行的畏惧性，为什么。这里反映了双方的问题，一方面商业银行自律性不强，另一方面银监会和人民银行对商业银行的监督不够得力，商业银行被罚款不够多。我们在美国一项罚数达二千万美元，这算少的。看看安然公司倒闭了以后，一些大审计公司被罚到最后倒闭。安德信是国际上最大的审计公司，就为安然事件倒闭了。人民银行实际上也对内部控制提出很多要求。我记得当时人民银行对每项业务都提出了要求，我看了看银监会对商业银行内部控制的检查评价体系基本上采纳了coso和巴塞尔委员会提出的要求，特别强调一种内部控制的文化，这是巴塞尔委员会和coso提出来的，这种文化体现在银行的评价制度、

47、职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授权体系，还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立的法律合规的要求，等等。 有个问题值得探讨。合规部门如何要具备它的独立性。我在稽核部门也干过，稽核部门也存在独立性和垂直性，稽核部门比较难做，我不知道其他银行是不是这样，我在稽核部门深有体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门，在行长面前汇报工作的时候都是一派理直气壮的样子，要是轮到监督部门和管理部门说话的时候，似乎底气不那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知，告诉你我两个星期或者一

48、个月之后，要到你那里去检查什么。人家那儿有时根本不告诉你，来了把你抽屉打开，你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规，我问过人家汇丰银行、渣打银行的同行，我问他们合规权威如何，他们说都很怕合规官。因为很多重大的问题要合规官审批，批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况，现在强调法律与合规的重要性，动不动把你叫去开会，什么文来了让你签字。他找你签，像是尊重你又像不是尊重你，有的时候实际上想让你认可，说是还是不是，你要说是，我做了以后别找我碴儿。在我们部门工作的同志大都年轻，工作忙了，哪审得了这么多，一看既然他们都定了，我无异议，回复给人家。我心里打鼓，我最怕看到哪个经办或处长拿给我看三个字“无异议”，现在有什么事能让你一点异议没有。现在没有那么干净的事，拿到你这个法律部门审查的时候，可能是想绕一绕、拐一拐，你说无异议，那就干吧，因为无异议说明什么问题都不该有。我跟协议处说不要轻言无异议，一提无异议，就说明我这个部门对这个问题没意见，万一出个问题，吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门，也要让银行的经营管理部门