2023年-银行风险的识别评估与内部控制.docx

《2023年-银行风险的识别评估与内部控制.docx》由会员分享，可在线阅读，更多相关《2023年-银行风险的识别评估与内部控制.docx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、银行风险的识别、评估与内部控制Bank RisksfIdentification,Assessment And Internal Control杨海群按语本文原载于法律出版社2006年出版2007年再版的书金融审判与 银行债权保护。文中的图示和注释等因为网络格式转换而未加。希望 读者进一步阅读作者的专著公司治理与银行控制下卷中“加强选配 评审，防止领导风险”这一章。是不是好？他是不是能够正确地判别目标所存在的位置以及他自己的经验？说到这儿，是不 是风险就没了，不对。当他拉弓的时候，虽然拉的很满，但是他是顶风拉的，风力很大，影 响他。天要是突然刮起了大风，乌云遮盖了整个天空，太阳没有了，看不见了

2、，这也是风险。 如果一切都非常好，但是拉弓的英雄喜爱美人，旁边过来一个美女，他分心了，也射不中。 要想实现目标，各种因素都可能是风险，只要它们妨碍你达到你的目标。所以我们在讲银行 风险的时候，有人总是想设定一下是信贷风险、利率风险、市场风险，其实这都是一些业务 上的风险，很少有人提到人的风险，而且很少有人涉及更广泛的，凡是能够形成对银行目标 实现造成影响的其他一些风险，例如员工有没有参与赌博、炒股，甚至包“二奶”等，很少有 人更广泛去考虑，就是因为在风险的定义上不够准确，没有明确风险更本质的定义。在风险 管理的体系框架中，COSO把目标的设定加进来，然后有一个事件的识别，有风险的评估, 然后要

3、制定风险对策。这四个方面恰恰是风险管理的主要内容，也是搞银行风险管理四个最 本质的工作。第三大组成部分是“控制活动:你既然是搞内控，不可能不参加控制活动，使目标的实现有 合理的保证。经营目标的实现需要发布一些管理指令，要采取一些防范化解风险的措施、政 策、程序，像高层的检查，直接地参与管理，对信息进行加工、对实物进行控制，比如确定 指标、究竟今年要完成多少利润等。特别是职责的分离，职责不分是现在银行发生重大案件 的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”，就难保不出事。内控还要 针对目标相关的风险发布控制指令，各种各样的指令。第四大组成部分存在于所有的经营管理活动中，“信息与交

4、流”应使员工能够搜集和交换为开 展经营从事管理和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩，注 意以评价监督的方式来开展工作，根据一些会计数据分析并发出一些预警信号，确保有关经 营目标的实现。这个信息与交流在总行层面是最大的问题，我们各个部门分管很细，都有各 自的职责，一件事现在离开哪个部门干都不行，需要协调配合。可是在咱们一些银行体系当 中，协调配合能力特别差，其中的一个症结就在信息与交流上。我想法律部的人员也会有同 感，说叫你去审查一个合同，把合同拿来了，以为很容易发现合同中存在的问题。有的时候 送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表，叫“合同

5、审查 意见申请表”，这个表让你说明送审合同的目的，你究竟让我审什么？这个合同产生的背景 是什么？这里有哪些法律疑难问题需要我们法律部审查？过去有没有审过？有的人拿过来 第二次审了，但没有告诉，我重审一遍。说我们法律部门解决的问题，合规方面要不要解决， 是不是合规？我觉得一项法律合同首先要合规，业务不合规，谈不上跟人家签合同。这些问 题都是一个配合的问题，都是一个信息交流的问题。还有一个内容是“监督评审 现在咱们国家已经开始重视这个问题，就是干什么事都注意监 督，但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制 到底在你们这个部门是有效的，还是无效的？这个监督评审是经

6、营管理部门对内部控制的管 理监督和稽核监察部门对内部控制再监督、再评价的总称。也就是说监督不仅仅是稽核、监 察部门的职责，更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去 一提到监督,肯定是监察部、稽核部它们的事，为什么我们法律与合规部要成立一个合规处？ 从管理的角度制定了许许多多的制度和规定执行了没有？执行的情况怎么样？我们不能不 管。我相信工、农、中、建都有法律部，都有这个职责，就是管规章制度的制定和监督。我 们管到这个层面是不是就够了？实践证明不够，咱们银行为什么出一大堆问题？为什么出那 么多案子？哪一个流程没有规章制度?我们现在凡是发行一个新的业务，新的产品，首先是

7、规章制度，规章制度不出台，流程不出台，不明确，这项业务就不能开展。问题就出在新的 业务上。一方面规章制度跟不上需要，一方面有章不循，不执行规章制度，让稽核监察去查 查，必须有人时常监督规章制度是否执行，执行有力还是不力，全面不全面，不执行、违规 经营，造成的损失和问题谁来负责，如何追究责任，如何进行处罚，这一点非常重要，没有 这项工作，规章制度就是形同虚设。为什么现在出现大量问题？因为你不去监督管理它，总 是想着要实现利润目标，为了“短、平、快、经常把一些规矩打破，打破这些规矩的结果产 生风险。可是不注意这些风险的管理，出了问题以后，就让整个银行蒙受巨大的损失。所以，四大目标是纵向的列，五组成

8、部分是横向的排，和内部控制相关的工作单元或活动是 第三维空间。我们随意抽出任何一个单位，我把某一列抽出来都有五大组成部分，我把横排 抽出来，都和四大目标密切联系。这是一种思维方式，是我们抓内控的一种原理性的认识。 当然，巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2002年央行到我们行全面 检查内部控制，我们的被查部门手忙脚乱，要报这么多材料，好多东西不知道，内部控制搞 什么，怎么报告，做了各种准备，迎接人民银行来检查内控。过去不够重视内部控制，非要 人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价？不要以为商业 银行都有内控的自觉性，它再有自觉性，也没有高到足够的程度

9、。人民银行要定期不定期地 查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任，他写过 一篇文章叫为什么银行需要一个中央银行，他从信息论的角度提出商业银行有必要接受 监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监 督，不仅监督表内业务，甚至监督表外业务，还有新业务。凡是监管者确定某银行的内部控 制系统不能充分或有效地针对银行的具体风险，监管者应当采取适当的行动。巴塞尔委员会 说话是有分量的，“适当的行动”，什么行动？我们纽约分行曾经险些被停牌，让你注意你已 经降到多少级，使你提高交融资成本。再不小心，我停止你经营。现在外国银行到中国来, 最

10、怕的就是中央银行，银监会也好，中央银行也好，国外有深刻体会，汇丰银行这些大银行 对当地中央银行非常畏惧，中国的商业银行对人民银行的畏惧程度远远不如外国银行对人家 的中央银行的畏惧性，为什么？这里反映了双方的问题，一方面商业银行自律性不强，另一 方面银监会和人民银行对商业银行的监督不够得力，商业银行被罚款不够多。我们在美国一 项罚数达二千万美元，这算少的。看看安然公司倒闭了以后，一些大审计公司被罚到最后倒 闭。安德信是国际上最大的审计公司，就为安然事件倒闭了。人民银行实际上也对内部控制 提出很多要求。我记得当时人民银行对每项业务都提出了要求，我看了看银监会对商业银行 内部控制的检查评价体系基本上

11、采纳了 COSO和巴塞尔委员会提出的要求，特别强调一种 内部控制的文化，这是巴塞尔委员会和COSO提出来的，这种文化体现在银行的评价制度、 职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授 权体系，还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立 的法律合规的要求，等等。有个问题值得探讨：合规部门如何要具备它的独立性？我在稽核部门也干过，稽核部门也存 在独立性和垂直性，稽核部门比较难做，我不知道其他银行是不是这样，我在稽核部门深有 体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门，在行长面前汇报工 作的时候都是一派理直气壮的

12、样子，要是轮到监督部门和管理部门说话的时候，似乎底气不 那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知，告诉你我 两个星期或者一个月之后，要到你那里去检查什么。人家那儿有时根本不告诉你，来了把你 抽屉打开，你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规，我问过人家汇丰 银行、渣打银行的同行，我问他们合规权威如何，他们说都很怕合规官。因为很多重大的问 题要合规官审批，批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况, 现在强调法律与合规的重要性，动不动把你叫去开会，什么文来了让你签字。他找你签，像 是尊重你又像不是尊重你，有的时候实际上想让你认可，

13、说是还是不是，你要说是，我做了 以后别找我脩儿。在我们部门工作的同志大都年轻，工作忙了，哪审得了这么多，一看既然 他们都定了，我无异议，回复给人家。我心里打鼓，我最怕看到哪个经办或处长拿给我看三 个字“无异议”，现在有什么事能让你一点异议没有？现在没有那么干净的事，拿到你这个法 律部门审查的时候，可能是想绕一绕、拐一拐，你说无异议，那就干吧，因为无异议说明什 么问题都不该有。我跟协议处说不要轻言无异议，一提无异议，就说明我这个部门对这个问 题没意见，万一出个问题，吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门，也 要让银行的经营管理部门尊重监督人员，这是非常重要的。如果不尊重，说明这个银

14、行内部 控制有问题，起码在控制文化上有问题，他反感控制，不让你控制，想让你变着法不控制, 但是他又让你签字。银行今后应该采取措施，使这些管理具有权威性、监督有权威性、稽核 有权威性、法律与合规部门有权威性。现在不是都讲钱吗?考核要有正确的考核体系。强调内控的时候也应该注意：内部控制不是万能的，内控不可能把一个本质上很坏的经营管 理者变好，不可能左右政府的一些政策和计划的改变，不可能对外部竞争对手的行为和客观 经济条件的变化都把握好，它有局限性。再有财务报表可靠不可靠，不是说你内控绝对能够 保证的，假如支行的行长指挥着支行的会计去假造财务报表，会是什么问题？新会计法有一 大修改，就是会计报表第一

15、责任人是企业负责人，我觉得这条非常好，过去一说某个企业造 了假账是会计造的，其实回过头来一检查，能有几个会计自己造假，是他的领导，他们那些 厂长、党委书记让他造假，他是被迫的。我们应该提倡依法合规经营，千万不要违规，或者明知道这个不合法，也不向法律部门说明 需要针对它进行审查，想蒙混过关，想得到法律部门的认可，得到银行老总的签字，求得一 时的解脱，这要不得。国际上内部控制的发展的趋势给了我们一些启示。一是强调高级管理层的控制责任。首先董事会要充分理解银行的主要风险。党委，高 级管理层的内控基调是不是对？看交响乐团，在准备演出的时候先请钢琴师定一下音？这就 是让全团有一个基调，控制也要有一个基调

16、。这个基调要由多级管理层确定。二是要大力提倡和营造一种控制文化。上述的一些现象实际上就是控制文化上的问题。 一方面，董事会和高级管理层要负责明确各级员工在道德上和完整性方面的高标准，人格要 完整，要讲职业道德，并且在机构中要建立一种文化，向各级的人员强调和说明内部控制的 重要性、合规的重要性、法律的重要性。我在工作中深感在国有商业银行的员工中，特别是 在高级管理人员中，很有必要提倡道德修养，加强职业道德建设。在国有银行商业化的过程 中，这方面有待改进。有的高级管理者不是把银行的利益放在第一位，而是带头把个人的权 利和利益放在第一位。而银行里用人的时候不够重视他（她）们这方面的表现，不够关注群

17、众这方面的反映，结果是在基层，甚至在总行高管人员中，不断发生重大案件。另一方面, 银行所有的员工都应在内控的程序中间发挥作用，控制不只是高管人员的事，而是人人有份。 上至总行，下至分理处、储蓄所，每个岗位上的人都承担特定的控制责任。有效的内部控制 系统的一项实质性内容就是建立强有力的控制文化，没有这种控制文化，法律工作也不好搞, 合规工作也不好搞，监督机构会形同虚设。还有四点我要强调指出：第一是正确理解内控和管理的关系，进一步认识内控在管理活动中的重要意义，要尽快地由 领导决策层带动,动员各级员工营造良好的控制文化，按照内控的四大目标和五大组成部分, 实行对经营管理中间各种风险的逐级控制，以内

18、控为有力武器，提高经营管理水平。第二是正确理解内控和风险管理的关系，进一步确立内控在风险管理体系中的重要地位，防 止以风险评估代替内部控制O要按照上面介绍的内控原则和系统框架尽快建立起适合中国国 情的内控组织结构，例如建立内部控制委员会和内部审计委员会,来加强对风险的整体研究、 评估和管理控制。第三是正确理解内控和内部审计的关系，我曾经专门发表了一篇论文，叫“正确处理内控与 稽核的关系内控首先不是稽核监督部门的责任，而是业务的经营管理部门的工作；内控 主要不是稽核监督部门的工作，而主要是经营管理部门的工作；内控的检查评价主要不是稽 核监督部门的责任，而主要是经营管理部门的责任;不过,稽核监督部

19、门对内控负有再监督、 再评价的重要的职责。明确上面说的四个要点，并且在监督评审当中注意保持稽核与合规系 统的独立性，加强对各种风险的识别和评估，建立和督促对控制缺陷的纠正。不要发现了一 些问题，稽核报告写了，合规的报告指出了，让他纠正，下回还是出现那些问题，还是没纠 正。这就表明内控失效。第四就是内部控制应该有一套有效方法，要搞内部控制，要控制风险，必须有一套完整的系 统性的操作方法。现在多数银行在做这项工作的时候，都做得比较传统，一些行领导忙于业 务发展，满足于“头痛医头，脚痛医脚”，怕内控影响发展。实际上已经有一套先进的方法提 了出来，我在我的那本书公司治理与银行控制（中国金融出版社200

20、1年版）里介绍了一 整套的方法，而且对信贷、项目评审、信贷资产的五级分类和银行行长选配等一些方面都做 了一些理论联系实际的探讨。我希望总行带头规范地运用这套好方法。（待续）注释：本文原载于法律出版社2006年出版2007年再版的书金融审判与银行债权保护。银行风险的识别、评估与内部控制杨海群（接I）二、银行内部控制的足迹下面我把我们在中国银行抓内部控制的工作体会粗略介绍一下。我认为我们行大概经过了这 么几个阶段。第一个阶段是在20世纪90年代中期以前，只有少数的领导人员和少数的稽核 人员知道内部控制的概念，概念也不准确，全行控制的意识是比较薄弱的，案件不断发生。 资产质量也是越来越差。在那个阶段

21、里，银行的问题比改革以前要多。计划经济的时候，银 行并没有多少案件，不像今天这样，动不动出现一个非常大的案件，每一次都要刷新记录, 过去没有。就是改革之后，市场的约束没上来，计划的约束又丢了、失控了，所以资产质量 就下降。第二个阶段是推进内部控制的阶段。那是1997年5月份人民银行发布了“商业银行内部控制 的指导原则”。我们总行要求制定中国银行的内部控制原则，我们抓了一个授权管理的制度 规定，在人民银行的授权管理规定基础上做的。我们在1998年正式公布了内部控制原则， 而且我们在那个时候就已经在中国银行正式文件中间明确了稽核要以COSO理论框架来检 查和评价内控工作。对监察报送有关材料进行分析

22、发现，我们行发生的案件绝大部分在基层。 涉案人员绝大部分是基层的领导干部，大部分涉案人员又都是20多岁至30多岁的年轻人。 后来我们总稽核室对总行零售业务首次进行了内控稽核检查。第三个阶段，2000年前后我们进入一个理论探索的阶段。2000年我们组织总行两个业务部 门和两个管理部门编写出版了一本书叫中国银行信贷内控指引（贷款分册）。这里讲一 件小事，1998年的时候总行有个部门报告说内控到底由谁抓，前行长王雪冰在报告上大笔 一挥：“内控只是稽核部门的工作。我们一看不对了，我在人民银行的稽核监督研究上 发表一篇文章正确认识内控与稽核的关系，实际上没点名地针对这个批示，纠正错误观 点。后来我们按照

23、人民银行的部署成立了一个信贷清分办公室，当时总行调我去同一些同事 领导贷款的五级分类，我运用了 COSO的内部控制理论，组织清分办公室的同志们共同编 写了一套中国银行贷款资产分类指南，后来金融出版社出版了。2001年中国金融出版社出版了我写的专著公司治理与内部控制，我首次在内部控制原 理基础上提出了一套内控的比较完整的操作体系，提出了内控、风险管理和公司治理三者之 间到底是什么关系。王雪冰任职期间，行里的案子特别多，也使后来的领导感觉到加强内部 控制的重要性。中行的总行各个部门和分行逐步完善制度，加强内控，提了很多很好的建议， 其中一个就是将法律事务部改为法律与合规部。第四个阶段，我们进入了内

24、控强化阶段。因为2002年5月，人民银行发布了商业银行的 内部控制指引，进一步将内控提到一个新的高度，人民银行开展对中行各个部门的内部控 制全面检查。总行法律与合规部根据行领导要求要研究内部控制，解决坏人做坏事想干干不 成的问题。由于内部控制不好，到基层检查工作的时候，会感到震惊。干得成坏事很自然, 而干不成才奇怪？只要想干肯定干的成，干不成不奇怪，为什么呢？因为在一些环节上几乎 没控制。你说钱箱的钥匙他拿着，库的钥匙他拿着，库里有登记簿由他登记，这样的情况他 能不贪污？给他条件让他去偷，最后案子出来一检查，保卫工作的那些规定不落实。后来行 领导组织了总经理级以上的干部，召开了研究会，研讨我们

25、行强化内控建设的问题，党委中 心组2004年专门组织扩大会议，叫外部律师事务所讲内控，怎么加强内部控制，让我来宣 讲内部控制，又制定“中国银行进一步完善总行部门和一级机构以上领导干部教育监督的若 干措施”，从高层去解决这个问题。我们深深体会到合规工作是非常重要的。可是合规工作不是纯法律问题，实际上是银行业务 的经营管理方面的问题，是一个要熟悉银行业务管理规定的问题，这就给法律部门在职能上 增加了新的内容，就是不能只是从法律上审查问题。另外，合规工作人员不能只是学法律的 人，银行建立了一个规矩，新员工进了银行以后，先到业务部门实习一年。合同审查的一个 大问题就是应知道某个地方该不该这么做，但是如

26、果没经验，不懂业务，就无法建议这个合 同应该怎么改。这项业务这么做不行，但是怎么做更好，他会很为难。搞合规的人，应该具 备什么条件呢？起码要有三五年以上银行业务工作经验。就是说搞合规的人要懂得银行业务, 而且今后大量的工作涉及合规性质的问题，法律性质的工作需要把关，也很重要，但是诉讼 的案件随着银行业的规范应当逐步减少下降，我们做了那么多年公司治理，做了那么多银行 改革，这么强调监管，案件不应该不断上升，肯定今后的诉讼案会越来越少，非诉讼这块工 作会越来越重要。当然不可能在短时间内不搞诉讼，也可以说长久下去法律方面的审查工作 都是需要的、都是重要的、都是不能削弱的，但是合规会成为重点性的工作。

27、我们是通过自 己的教训意识到这点的。在这个阶段里，由于认识上的存在问题，中国银行在抓内控工作中还存在时紧时松的现象， 在忙于股份制改革时.，内部控制有所松滞，产生许多漏洞，以致在以后发生了一系列大案（例 如我们黑龙江分行辖内发生的震惊世界的高山事件），沉痛的教训是值得铭记的！（待续）注释：本文原载于法律出版社2006年出版2007年再版的书金融审判与银行债权保护。银行风险的识别、评估与内部控制杨海群（上接III）I、仅供参考的政策建议政策性建议之一，明确内部控制的评价标准。我们今后要健全内控，就要有标准，干什么事 都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论

28、做 指导，这是一个理论体系，没有这个体系做指导，非要自己单搞一摊，像许多人写书，左抄 右抄最后弄一本书，用上自己的名字，也不说明出处。我们的内控依据应当扎实可靠，要站 在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系 和风险管理体系，就是一种有机结合的完整体系。内控有四大目标和五大组成部分，加上组 织机构这第三维空间，就是个有机整体。我们开展内控建设和管理，就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性，就是实实在在地开展内部控制，制定一整套规范的方法去开展内控，这些方法也要能跟国际接轨，我的专著中介绍的那套方法 是非常好的控制方法，

29、是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计 算机化，你既然有高科技创造的PC和软件，就应能实行计算机化。“银行风险的识别、评估与内部控制”这个题目涉及两方面：一方面涉及的是风险管理，另一 方面涉及内部控制。不管是法律工作者还是银行的管理者，都会遇到下面要提出来的问题, 就是怎么来处理业务发展和管理控制的关系，怎么在实现战略目标的过程中，一方面把握住 我们自己，另一方面也把握住我们所领导的团队？另外，怎么防止银行的工作人员或者业务 活动失去控制？搞法律的人员不如搞经营管理的涉入那么多的具体业务，但是由于你们是银 行的法律工作者，所以就不能够站在一般律师的服务角度去服务于银行。因

30、为你们已经加入 了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件:第一个叫资本充足, 就是银行要保证有足够的资本金；第二个内控要严密，还不是一般的内部管理，而是内部控 制要严密；第三个运营要安全，实际上运营安全也是要在前两者的基础之上才能实现；第四 个服务和效益要好，没有安全，也不可能服务好或者说令客户满意，服务差也不可能把效益 搞上去。这是银监会关于中国银行、中国建设银行公司治理改革与监管指引文件很明确 地提出来的要求。中行和建行要重组上市，就要实现银监会提出的四个要求。恐怕农行和工 行下一步也要遇到这个问题，也准备在中行和建行上市成功之后，经历这个过程。我们这两 家银行先试一

31、试，估计在上市过程中会有更多的难题。我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫基业 常青，他把一个一般的企业发展成比较大的企业，积累了一些经验，他的书里面有这么一 句话：“伟大的公司要想生存，必须拥有一个持久的观念，这个观念必须从属于整个公司。 即使有远见的领导人与世长辞以后，这种所谓的观念也会永存。这种观念并不是围绕某个人 或者一个整体，而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司，之所 以能够成功，原因就在于无论发生什么变化，它们的核心观念毫不动摇。”他说得很深刻， 他说：“只有从过眼烟云的变革中看到背后永恒的管理法则，人们才能真正了解到伟大

32、公司 的伟大之处。”我也在想这个问题，中国银行伟大不伟大？ 90多年的历史，应该是一个伟大 的公司，但是这个伟大公司的伟大之处怎么体现呢？那就看我们能不能建立和遵循我们的公 司治理法则。所以我认为内部控制很重要，实际上内控原理是一种管理法则，我们通过研究 内部控制的理论来转变我们的经营观念，来增强控制意识，提高管理水平，这恰恰就是我国 的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提，那就是说我不认 为只要一个银行能够跑到股票市场上去，在那里销售我们的股票，来套股民的钱，我们就是 政策性建议之二，绩效考核要有合规性的目标和信息性的目标。内控有四个大目标，现在大 多数银行主要提两

33、个目标，特别是利润目标（效益目标），而没有把合规性、信息性目标提出 来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了，不是以利润目标让你得到 奖金。针对安然事件，美国国会通过的一个索克斯法，这个法律里面规定，高级管理层通过 虚报瞒报财务报表赢得的奖金，一旦发现，就让退回原有的奖金，这等于把合规性和信息性 （财务报告可靠性）的目标作为绩效考核的标准。政策性建议之三，建议银行把内部控制的职能从风险管理部的工作中分离出来，不知道工行 是不是这样，我们曾经把它放在风险管理部，风险管理包含但不等同于内部控制，“风险管 理部”同“风险管理”不是同一概念。我一直这样说明，它们的职能不同，风险管理部门

34、实行 自身的内控是应该的，但是由这个部门去协调指导全部的内部控制，就既可能干扰风险管理, 又可能使内部控制落空。另外内部控制是全行各个部门的工作，当然我们最好有一个比较有 权威的委员会来领导，由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内 部控制的关系问题，要理顺风险管理和内部控制的关系。政策性建议之四，正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战 略。所谓可持续的发展，联合国有关机构认为应当是现时的发展不给后续的发展造成困难, 我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款, 当时有效益，新一任行长接手时形成了一大笔烂账，就

35、不是可持续发展。这点恐怕是商业银 行普遍遇到的问题。要建立信息交流制度，定期召开管理部门和业务发展部门之间的沟通会, 对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营，审慎办理 各种项目，否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度, 管理控制部门不是没有责任，现在业务发展部门有数字指标在那儿控制，没有完成什么指标, 就得扣奖金，管理部门没有什么指标，怎么干的奖金都能发给你们。我以前也管过公司业务 和结算业务，也深有体会。如果风险管理部审批一个项目拖拉怎么办？因种种原因不批准一 个项目，风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干，你

36、就不能干， 至于说我们中行不办，农行接过来了，农行给办了，事后没风险，还获得了效益，还本付息 很正常，追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题，他们说那 怎么追究，我在特定时期、特定情况下、特定政策下决定不批准这个项目，农行在他的环境 里面批准了这个项目，你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一 对矛盾，它们既对立又统一。只有正确处理，在矛盾中不断提高水平。最好两方面的人员， 包括风险管理、法律合规和稽核监督人员，都应该制定相关的责任制，要界定清楚什么情况 属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。政策性建议之五，为了加强对

37、操作风险的防范，要研究风险怎么计量，国外都有一套理论模 型，这套理论运用到我们中国银行界怎么运用？需要研究和建立我们的操作风险计量模型。 另外，操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。 加强基层管理和内控建设，落实规章制度，解决某些人想干干不成，干了早发现、早预警的 问题。要根治私设小金库，银行更不能发生这个问题，小金库最终带来的后果是不好的。现 在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低, 怎么解决呢？他们经总行批准设一种小金库，有时接待任务很重，也要有一点资金来源。但 是我们发现设小金库带来的隐患很大，因此命令撤除小

38、金库。另外要禁止职工炒卖外汇或者 炒卖股票，我们行发生的大量案例都是属于规定了不许，但是还炒，炒输了怎么办？银行人 员从银行掏钱比较容易，转转账，搬搬科目，动动电脑上的键盘，就能解决这个问题。我们 要加大有关责任人的追究。政策性建议之六，希望能够实施一套比较好的内部控制操作方法，讲了半天内控，最终要落 到实处，要开展控制活动，因此，应当运用和不断完善规范的操作内控的方法。这与我们搞 法律的也有关系。因为我们法规部内现在设了合规处，这种把合规职能放在法律部门的方式 还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的 “内控合规部”。我跟合规处同事们提出，如何通过一套完

39、整的、比较先进的操作方法，能够 让人们合规。这里要有一套评价体系，要根据我前面讲的内容来进行评价。前面讲的我那本 书里有这个图，图示的操作还是挺不容易的，要分几个阶段，这个流程包含学习理论原理阶 段、前期准备阶段、检查阶段、评价阶段、报告阶段，这是一套体系。如果真正实行了这套 方法，我们国有商业银行的内部控制问题，依法合规经营的问题应该不会很大。以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨，以求引起各方面的高度 重视。其中的一些问题是带普遍性的，各家银行都在研究解决。虽然有些不是法律问题，但 是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下，我们冷静地研 究银行

40、的控制职能，特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会 的可持续发展，应当不无意义。言多必失，欢迎批评指正。（完）注释：本文原载于法律出版社2006年出版2007年再版的书金融审判与银行债权保护。文中 的图示和注释等因网络格式转换而未加。银行风险的识别、评估与内部控制杨海群（接 II）三、关于银行内部控制的探讨我想探讨三个问题:1要深刻认识银行与非银行的本质区别。从理论上讲，企业和银行是存在重大区别的。银 行是个什么单位，它不是一般企业，现在改革的时候总强调银行企业化，从银行自负盈亏、 自我约束角度提这个对，但是不全面。银行不是一般性的企业，要不然干嘛不把企业叫银行， 干嘛

41、不把银行叫工厂?它们之间存在重要的区别。为什么经济中会有银行？因为银行是比较好的出资者和控制者。银行是人类社会文明发展到 一定程度，生产力和经济发展到一定程度的产物。银行这个词叫Bank,原意是过去意大利 文里的“板凳”,就是意大利的商贸发达了，慢慢一些商船出去了，都得办理结算和汇兑业务， 有些人坐在板凳上专门办理这种业务，这就是银行的雏形。银行慢慢发展起来了，有了办公 室，又有了楼。但是为什么银行业发展这么迅速，而且在全世界哪个国家都离不开银行，为 什么？就是因为银行是很好的出资者，能够融通资金，用很好的方式来支持经济活动，同时 在融资过程中实施必要的经济控制。大家都知道贷款有合同，合同是什

42、么意思？合同的本质 是银行对被贷款方、对借款人的控制。在什么时候必须还款，必须以多高的利息还款，不得 挪用，等等，都订到合同里。合同一经双方签字认可，就具有了法律效力。银行一旦发现你 挪用，依据合同有权追回贷款，而且一旦出现重大问题的时候，可以到法院打官司。在西方， 被银行起诉了的借款人一般都会输，被判罚。这就反映了银行这个机构特别。所以在国外没 有哪个个人或公司轻易地跟银行打官司、闹别扭。可见银行具有规范经济，控制企业的特殊 职能。银行是市场纪律的主要实施者之一。某个人要借给另一个人钱一般是难以控制借方的，他说还我，只能凭咱俩感情，凭我对你的 认识。但是一拖就是多少年不还。银行把钱借给你可就

43、不同了，因为双方之间订了合同，你 必须按时还本付息，否则就留下不良记录，造成再借就难。大家可能知道有一个美国的经济 学家Stiglitz,他前两年获得诺贝尔奖，他有一句著名的话，叫“银行最鲜明的特点是有能力 进行控制”。我们办这么多商业银行好不好？假如商业银行的数量达到一定程度，让它们自相厮杀，能不 能发挥银行控制经济的能力？西方理论界一直都特别强调，不要片面地促进银行之间的竞争, 为什么？因为他们理解银行的本质。假若银行控制企业，控制经济，自己互相厮杀，我降多 少利率，你降利率更多，咱俩竞相降价，最后是什么？让贷款的企业在中间叫板，这让银行 怎么控制客户和控制经济？还是让客户控制银行？是让借

44、款的控制贷款的，还是贷款的控制 借款的？这个问题要解决。实际上我们讲的银行的控制与被控制是这么一个概念,商业银行、 中央银行、企业这三种主体参与控制体系中来。这里有三层的控制职能：第一层是商业银行 被控制、被监管，中央银行控制和监管商业银行。第二层是我们银行要自我控制，你自己要 控制好自己，不要在去控制经济之前，你自己都失控了，你没法控制你的客户了。第三层是 商业银行要控制企业。这些企业要按照银行的贷款规定去投资、去盈利、去回报，假如这个 企业没有信誉，我不贷给你。不是像以前那样，地方政府逼迫银行去贷款，那很可能要不回 钱来。现在大部分不良资产就是在1992年以后堆积起来了，那个时候是胆子要大

45、一点，这 大一点到后来是欲发不可收拾，我看到国内通货膨胀向两位数攀登，曾从英国写信给时任朱 铭基总理，建议强化银行的信贷控制。中央肯定及时分析了经济形势的发展。大约半年后， 国务院不得不开始实行政策控制，到那之后就好转。银行的内部控制还有更深一层的含义。实际上我们的下级机构要接受总行的控制，总行也有 一个自我控制的问题，因为总行也办营业部，总行也搞项目、也搞营销，总行也会出现问题。 一级分行也有自我控制，同时一级分行还有一个控制二级分行的控制，控制辖内机构的问题。 各级银行都有控制自己所管辖企业的问题，控制贷款户的问题。现在国内的信贷形势有不好 的地方，就是银行过度竞争造成无法进行控制。比如现

46、在是银行都去营销少数较好的客户， 工行去说我的条件怎么怎么好，农行接着说我的条件怎么好，中行说我的对外网络好，我能 提供什么服务，建行说我的投资额度很大。使这些企业挑花眼了。有的业务现在已经到了赔 本的程度。我们中国银行的国际结算业务应该是好的，现在有些银行跟我们竞争，一竞争是 零费率，目的要把我们的客户抢过去。我们有一个二级分行在东南沿海地区的城市，另一家 银行把这个城市90%的国际结算业务全拉到这个银行，原因是他不惜血本，而且总行给了 他这个任务。我认为这一种环境违背银行的本质职能，我说的不是这家银行，我说的是这种 环境，使银行不得不屈从于借款人的苛刻条件，甚至为了使这个借款人不离开我的保

47、留范围， 不使我的市场占有率下降而丧失公平性市场原则。我还举个例子，我曾经在一个省行主管过 公司和结算业务。财政搞统一支付，各家银行就到省里来营销，由省财政局招标确定财政支 付系统中心设在哪家银行，大家竞标。虽然人民银行有规定不允许任何商业银行变相降低利 率给客户好处，但是那个时候不得不给好处，因为竞标，竞标的时候就看你是让我财政局低 租金租用你银行的房子还是免费让我租用，有银行空出半层楼供财政建立这个系统，使用的 电脑由这家行来提供，工行、农行、建行拼命地设计“我来提供”，最后财政就问了，你给我 多少钱的设备费，我们中行的同志回去连夜考虑，最后咬牙说出30。多万元，可另一家银行 竞标的时候提

48、出1000多万元。后来我们也知道，没有真出1000万元，但是背后已经谈好了。 你说这种氛围能实现我说的银行控制论吗？如果经济不由银行这个最有鲜明的特征的机构 来控制的话,这个经济能办好吗？你的企业能听话吗？经济活动参与者还服从市场纪律吗？ 现在还要鼓励办多开银行，私人银行，俄罗斯改革以后，两三千家私人银行，你现在问问倒 闭了多少。匈牙利我去考察过，也是改革以后，他们建立私有化的银行，不良资产不断上升， 为什么？那么容易就干银行?中、农、工、建银行比拼，拼来拼去最后弹尽粮绝。最近我看 一个评级公司在评我国一些股份制小银行，最后除了招商银行稍微好一点以外，其他银行的 级别都不高。我建议大家重温一下

49、列宁的帝国主义论，想一想为什么工业化产生金融寡 头。其实衡量银行体系的好坏不在它有多大数目和多元化到什么程度，而在它对经济的控制 和服务功能发挥得如何。市场风险有没有可能造成银行倒闭？有人问咱们中国的银行还能倒闭吗？都是国有的，只要 有共产党领导，再高的通货膨胀，再低的资本金都没有关系，一样不会倒闭。这次中央为什 么决策让中行和建行上市，有些搞改革的同志一个劲地宣传银行上市以后，怎么怎么好，我 却从内控角度说银行上市以后，怎么怎么有风险。我不反对银行股份化和上市，我在英国出 版的著作中还介绍过一些理论家关于转轨经济中股份公司如何发挥作用的论述。但我也不认 为这是唯一的解决方式，更不能认为只要体制更新了，机制一定会随之好起来。一些热衷于 体制改革的同志不可否认有其进取心。但值得注意的是，体制层面上的变化虽然容易显现业 绩，但内部机制的转变和完善是更实质性的，来不得半点的短期行为。世界上银行的治理结 构和运作方式千差万别，很难把不同的经验一般化，很难说哪种结构和方式照搬过