第一篇：企業(yè)全面風險管理：識別、評估與控制

企業(yè)全面風險管理：識別、評估與控制

從風險的識別、評估和控制三個方面對全面風險管理的理念和內涵進行系統(tǒng)闡述，并對其與傳統(tǒng)風險管理的區(qū)別與聯(lián)系進行簡要分析，對我國企業(yè)全面風險管理體系的建立具有重要借鑒意義

企業(yè)全面風險管理：識別、評估與控制

企業(yè)全面風險管理是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理的過程和方法。與傳統(tǒng)風險管理相比較，在管理模式上，全面風險管理強調對各種風險，包括戰(zhàn)略風險、營運風險以及財務風險等的綜合統(tǒng)一管理，強調把風險管理的各項要求融入企業(yè)管理和業(yè)務流程中;在風險的處理方式上，全面風險管理在強調防范和化解風險的同時，把機會風險視為企業(yè)的特殊資源，強調通過對其的管理，為企業(yè)創(chuàng)造價值，促進經(jīng)營目標的實現(xiàn)。

全面風險管理是對傳統(tǒng)風險管理的繼承和發(fā)展，賦予了風險識別、風險評估以及風險控制新的內涵。

一、以構建企業(yè)風險“全景圖”為目標的風險識別 風險識別是進行有效風險管理的基礎和關鍵。風險管理第一步，就是要對企業(yè)面臨的各種風險進行識別，將風險分門別類，并追溯導致風險產生的各種因素。風險識別工作做得扎實，風險評估和控制的工作效果才有保障。在全面風險管理框架下，風險識別的目標，就是要廣泛、持續(xù)地收集與本企業(yè)風險和風險管理相關的內部、外部初始信息，發(fā)現(xiàn)企業(yè)面臨的各種風險，并構建反映各種風險的風險“全景圖”。

（一）企業(yè)風險“全景圖”

所謂風險“全景圖”，就是將本企業(yè)面臨的各種風險反映到統(tǒng)一框架內，為風險評估提供堅實的基礎。企業(yè)面臨的風險，從整體來看可分為外部風險和內部風險兩大類，參見圖

1、圖2。

（二）完善的全面風險管理組織體系是風險識別的依托

全面風險管理組織體系是有效識別、評估和控制風險的制度保障，它包括以下幾個方面：一是規(guī)范的公司法人治理結構。股東大會、董事會、監(jiān)事會和經(jīng)理層要依法履行職責，形成高效運轉、有效制衡的監(jiān)督機制。董事會負責確定企業(yè)風險管理總體目標、風險偏好、風險承受程度，批準風險管理策略和重大風險管理解決方案及風險管理監(jiān)督評價審計報告；董事會下設風險管理委員會，風險管理委員會對董事會負責，并提交全面風險管理年度報告、審議風險管理策略和重大風險管理解決方案以及風險評估報告；企業(yè)總經(jīng)理對全面風險管理工作的有效性向董事會負責。二是企業(yè)應設立專職部門或確定相關職能部 門履行全面風險管理職責。該部門對總經(jīng)理或其受委托的高級管理人員負責，職責包括：研究提出全面風險管理工作報告；提出重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制;提出重大決策風險評估報告并對日常的企業(yè)風險進行監(jiān)控。三是企業(yè)應在董事會下設立審計委員會，企業(yè)內部審計部門對審計委員會負責。內部審計部門在風險管理方面，主要負責研究提出全面風險管理監(jiān)督評價體系，制定監(jiān)督評價相關制度，開展監(jiān)督與評價，出具監(jiān)督評價審計報告。四是企業(yè)其他職能部門及各業(yè)務單位在全面風險管理工作中，應接受風險管理職能部門和內部審計部門的組織、協(xié)調、指導和監(jiān)督。

（三）全體員工的風險意識是有效風險識別的保障

風險意識是風險管理過程的出發(fā)點，在有風險意識的環(huán)境里，很多風險問題在變成更大的問題之前，都能得到有效地處理。讓所有員工知曉他們個人職責對公司風險有怎樣的影響，以及在公司內他們的作用和責任與他人有怎樣的關系，是企業(yè)風險管理的一個重要方面，也是風險識別工作充分有效進行的前提。在企業(yè)風險管理過程中，要努力讓每一位員工具備充分的風險意識，使“風險無處不在”的理念遍及企業(yè)的每一個角落，只有如此，全面風險管理才能名副其實。從這個意義上說，未能了解自己的企業(yè)是基德?皮博迪和德國石油及金屬集團發(fā)生災難的主要原因。

（四）通用風險語言是風險識別的基礎

構建風險“全景圖”應使用通用風險語言。通用風險語言，使得來自不同 部門、使用不同術語的人之間的交流成為可能。順暢有效的交流，能夠持續(xù)促進公司不同級別人員風險認識能力的提高，減少達成共識的成本，促成公司各部門一致對待風險，提高風險管理的效率?？梢哉f，沒有通用的商業(yè)風險語言，沒有對風險在一個公司的角色的理解，公司的控制流程就將是空中樓閣，失去成長的基礎。

（五）恰當?shù)娘L險識別途徑是風險識別工作高效進行的基本保證

構建風險“全景圖”需優(yōu)化風險識別途徑。風險識別的途徑很多，從公司業(yè)務的戰(zhàn)略規(guī)劃和盈利預測，到公司各個主要業(yè)務執(zhí)行層面的管理和流程控制，都為風險事件的識別提供了按圖索驥的指引。筆者認為，最直接的途徑往往也是最有效的。具體而言，企業(yè)在風險管理的過程中，應注重從基本業(yè)務單位的經(jīng)營情況去分析風險，與基層業(yè)務人員交流風險，在業(yè)務分析報告中找尋風險。比如微軟公司的風險管理部門非常重視與業(yè)務部門面對面地交流。按照微軟公司財務總監(jiān)的說法，通過這樣的方式，風險管理部門至少可以掌握企業(yè)所面對的90%的風險。在實踐中，從業(yè)務報告中分析風險已成為絕大多數(shù)企業(yè)識別風險的重要途徑。

（六）先進的識別工具為風險識別提供了充分有效的技術保障

構建風險“全景圖”需運用恰當?shù)娘L險識別工具。用于進行風險識別的工具很多，常見的主要包括: 風險檢索列表、PEST問卷、SWOT問卷以及風險數(shù)據(jù)庫等。其中風險檢索列表是由公司經(jīng)理層基于豐富的工作經(jīng)驗而開發(fā)的，它 給公司內部人員以相應的告示和提醒，避免今后的工作重蹈覆轍;PEST問卷主要分析公司所面臨的外部風險，包括對政治、經(jīng)濟、社會和科技等因素的分析；SWOT問卷主要是對公司的優(yōu)勢、劣勢、機會和威脅等問題進行分析。

此外，現(xiàn)場分析、自我評估、集體討論和情景模擬等方法也都被廣泛地運用在風險識別的工作中。這些方法各有側重，企業(yè)應根據(jù)管理的需要，選擇恰當?shù)姆椒ńM合。

二、重視風險之間關系的風險評估

對企業(yè)面臨的風險進行有效識別后，應對各種風險發(fā)生的可能性及其對公司運營造成威脅的大小進行衡量和評估。按重要性、嚴重性或者對企業(yè)影響的大小，對風險進行排序，形成企業(yè)風險評估報告，為風險控制決策提供科學依據(jù)。

（一）風險分析和評價是風險評估的基本環(huán)節(jié)

風險分析就是對識別出的各種風險的特征進行明確描述，分析其發(fā)生的可能性和發(fā)生的條件。具體體現(xiàn)在如下幾個方面：一是無論事件是否會導致財務損失，都應在當期的風險分析報告中加以反映。風險事件可以包括重要的顧客賬目損失、政策違犯、系統(tǒng)失效、舞弊以及官司等。對于重要的風險事件，其潛在的影響、根源和商業(yè)反應等事項也應包括在風險分析報告之中；二是由信用、市場和營運風險導致的損失應該系統(tǒng)地從損失數(shù)據(jù)庫中獲取并總結在風險 報告中。風險分析的注意力應重點放在超出某一限制上的特別損失以及與收入或銷售量相關的總損失上;三是風險分析應給管理層提供風險的前瞻性評估，主要是對現(xiàn)有風險的發(fā)展趨勢及將來可能出現(xiàn)的風險進行預測，為管理層提供參考。

風險分析和評價后，可以根據(jù)風險發(fā)生可能性的大小、對企業(yè)影響程度的高低，將風險反映到風險坐標圖中，如圖3所示，A、B、C、D分別代表了風險發(fā)生可能性的大小及影響程度高低的不同組合，對于發(fā)生可能性較大且影響程度較高的風險，應重點關注。

（二）全面風險管理應重視風險之間關系的評估

企業(yè)面臨的風險不是孤立的，它們之間或相互促成，或相互消減，或不相關。風險的變動性、流動性和高度互相依存的特性，使得企業(yè)在進行風險評估時，不僅要評估風險本身，還應對風險之間的關系進行充分評價。在此基礎上，從資產組合的角度去管理風險，既可以利用風險之間相互抵消的關系，節(jié)約企業(yè)管理資源，又可以防范風險的相互促成，從而釀成更大的風險。風險分析應包括風險之間的關系分析，以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關性等組合效應，從風險策略上對風險進行集中管理。

（三）掌握恰當?shù)姆治?、評價工具

隨著管理技術的不斷發(fā)展，風險評估工具也日漸豐富，常見的有以下幾種：

1．風險影響概率矩陣。風險影響概率矩陣對于風險所導致負面影響的量化，從嚴重性和發(fā)生概率兩方面同時描述，使得對風險的刻畫更為有效和清晰。

2．風險指標分析。依據(jù)行業(yè)和企業(yè)自身情況，選取系列指標，根據(jù)對指標的分析，提出可能的癥狀或警告信號。風險指標還可以與從外部渠道中獲得的主要變量的變動結合起來，提供風險變動的早期警告。實際使用中，可以根據(jù)經(jīng)驗對指標定義不同的重要權數(shù)，還可以通過風險診斷獲得附加數(shù)據(jù)，確認或拒絕前期風險繪制圖中的評級，見表1。

3．風險評級或打分。用既定的標準對風險水平“評級”或“打分”，經(jīng)常被用來以一致的標準給客戶的信用風險進行評價，支持并監(jiān)督信用決策，詳見表2。

4．表現(xiàn)測量。許多情況下，風險不能直接測量，依靠該風險引起的企業(yè)經(jīng)營業(yè)績的變動可以對風險本身進行間接和相對有效的測量。例如，客戶滿意程度風險就是通過結合公司內部運營統(tǒng)計數(shù)字及其他客戶反饋信息做出的。這樣，公司可以評估客戶滿意程度，了解客戶的需求，使客戶能夠接受。

5．風險模型測試。對數(shù)據(jù)便于收集，便于量化的風險而言，通過嚴密的評估模型和分析方法來支持風險的測試，是風險評估中行之有效的方法，對金融服務企業(yè)而言更是如此。至于選取何種模型，應視企業(yè)的具體情況而定。值得注意的是，風險評估工具是為評估風險服務的。企業(yè)經(jīng)營發(fā)展戰(zhàn)略、風險管理的目標和業(yè)務流程的特殊性等，都是使用風險評估工具時必須考慮的因素。

（四）形成風險評估報告

風險評估報告是對風險識別和風險評估工作的總結和歸納。風險評估報告應該運用通用風險語言、合理的評估方法，為企業(yè)全面風險管理提供一個整體的參照。在傳統(tǒng)的管理體系下，要么無人負責整體的風險報告，要么各風險管理部門提供了不一致的、有時甚至還互相矛盾的報告。而全面風險管理體系則有效地克服了這一問題，在確保精煉、明確、全面的前提下，風險評估報告能夠涵蓋企業(yè)面臨的所有風險類別、風險事件和損失程度，并能指出問題的關鍵所在，在為企業(yè)管理層風險管理決策提供基本依據(jù)的同時，也讓企業(yè)的每一位員工對企業(yè)所面臨的風險有個整體的了解，讓他們更直觀地了解到自己處在企業(yè)風險的哪個環(huán)節(jié)，從而有利于激勵他們積極參與到風險管理中來。

三、視風險為企業(yè)特殊資源的風險控制

全面風險管理，就是要保持企業(yè)所面臨的風險與可能的收益之間的平衡，風險控制是落實風險管理目標的最關鍵、最直接的方式。“企業(yè)開展全面風險管理工作，應注重防范和控制風險可能造成的損失和危害，也應把機會風險視為企業(yè)的特殊資源，通過對其進行管理，為企業(yè)創(chuàng)造價值，促進經(jīng)營目標的實現(xiàn)?！?/p>

（一）風險控制原則

鑒于風險控制在企業(yè)風險全面管理中的重要意義，在進行風險控制時，應該堅持以下幾個原則：

1．區(qū)別對待風險。經(jīng)過風險識別和評估后，各種風險發(fā)生的可能性及影響大小都形成了明顯的區(qū)分，要優(yōu)化利用資源，對不同的風險采取不同的策略。

2．風險與收益相平衡。風險會給企業(yè)帶來損失，也可能給企業(yè)帶來收益。企業(yè)全面風險管理與傳統(tǒng)的風險管理最重要的不同之處就在于，前者對風險進行了更仔細的劃分，能夠積極地從風險中創(chuàng)造價值，而不是對所有的風險都防范、化解。全面風險管理的核心就是要維持好風險與收益之間的平衡。

3．積極應對。積極應對風險就是要建立起業(yè)務單位與風險管理的伙伴關系模式，即“業(yè)務單位與風險管理部門一起評估和解決風險管理問題并且擁有共同的目標”。在伙伴關系模式中，業(yè)務單位與風險管理部門既擁有各自的績效目標，同時也共有一些重要的績效計量目標。

（二）確定風險偏好和風險承受程度

企業(yè)作為一個經(jīng)濟體，在處理風險時，首先應明晰自身的風險偏好，明確風險的承受程度。明晰自身風險偏好，就是企業(yè)要對自身的經(jīng)營戰(zhàn)略和風險理 念有清晰的認識，根據(jù)其發(fā)展戰(zhàn)略要求確定風險偏好標準，并參照此標準決定愿意或不愿意承受哪些風險。筆者認為，企業(yè)在確定自身的風險偏好時應理性適中，不易過于保守或冒險。過分地冒險，會較大地增強企業(yè)遭受損失的可能性，使企業(yè)面臨的風險過于外溢，加大企業(yè)持續(xù)發(fā)展的不確定性;過于規(guī)避風險則會使企業(yè)在經(jīng)營發(fā)展過程中束手束腳，喪失一些具有一定風險但收益極為可觀的發(fā)展機會，不利于企業(yè)的快速成長。

明確自身的風險承受程度，就是指企業(yè)在風險偏好基礎上設定的，對目標實現(xiàn)過程中所出現(xiàn)的差異可容忍限度。在確定各目標的風險容忍度時，企業(yè)應考慮相關目標的重要性，并將其與企業(yè)風險偏好聯(lián)系起來。

（三）制定風險應對策略

風險控制的核心，就是制定出適當?shù)娘L險應對策略。策略的制定必須遵守一些基本原則，特別是在商業(yè)運作中，有些風險是無法避免的。

根據(jù)風險發(fā)生的可能性及對企業(yè)造成影響的大小，結合公司風險偏好和風險承受程度，處理風險的策略主要有: 避免、轉移、小心管理或可接受等，見圖4。

(1)對于發(fā)生可能性較大、且影響程度極深的風險，企業(yè)應當盡量避免，以免損失慘重，危及生存。(2)對于影響程度較低、發(fā)生可能性較大的風險，可以采取轉移的策略。相應的方法主要有：與財務獨立且有賠償能力的實體簽 訂保險合同，進入資本市場利用衍生金融工具對沖風險，通過有效的定價機制將風險資產證券化，通過外包非核心業(yè)務來轉移風險等。(3)對于影響程度較高、發(fā)生的可能性較小的風險，應當小心管理，力求將風險控制在合理范圍內?？梢圆扇》稚⒒蚩刂频姆椒? 分散是指在地理區(qū)域或客戶構成上將業(yè)務進行合理組合，適當降低產品或服務的客戶集中度和區(qū)域集中度;控制是指通過內部流程或行動，使負面事件出現(xiàn)的可能性降低到一個可以接受的水平。(4)對影響程度和發(fā)生可能性都較低的風險，可以選擇承擔的策略。相應的方法有: 分配，即在公司內部適當分配資金，為所承擔的風險融資并取得預期回報；擴展，即通過投資新行業(yè)、新的市場及新的客戶群擴展商業(yè)組合；創(chuàng)新，即創(chuàng)造新的產品、拓展新的服務及渠道；定價，即通過對產品定價來影響客戶的選擇等。

（四）充分利用機會風險的價值

全面風險管理要求從資產組合的角度看待和處理企業(yè)所面對的各種風險。在單一的風險管理中，風險策略只在單一交易或單一層面實施，這樣就忽視了各風險類型之間或許能相互分散的關系，容易引起過度的對沖及過多的保護。因而，在對風險之間的關系進行充分評估的基礎上，風險控制應合理利用這種關系，從資產組合的角度看待公司所面臨的各種風險，以達到擴大收益與降低風險的雙贏目標。

（五）控制不利風險 在實際操作上，可選取先進的技術指標對不利風險進行控制，如止損限額、靈敏度限制等。止損限額即是將上述風險承受程度數(shù)量化、具體化，對每一重要的風險敞口，都可以在充分考慮收益及企業(yè)承受能力的基礎上制定具體的止損指標，當實際的損失或表現(xiàn)觸及這一限額時，企業(yè)則應做出一些決策或行動，包括管理回顧審查、對沖策略、緊急應變預案以及退出策略等。企業(yè)還可以嘗試在止損限額之下設立“預警”限制，就像在紅色交通信號之前設立黃色信號一樣。靈敏度限制則主要用于避免風險過度集中，在已知風險頭寸和經(jīng)濟環(huán)境的不利變化的情況下，控制企業(yè)擁有的風險資本數(shù)量。當然，設立風險限制只是整體風險管理過程的一個環(huán)節(jié)，其作用的發(fā)揮依賴于有關限制的信息（特別是限制被突破的信息）能否及時報告給管理層，且管理層是否能依據(jù)該信息果斷地做出應對措施。

第二篇：銀行風險的識別、評估與內部控制

銀行風險的識別、評估與內部控制

Bank Risks'Identification，Assessment And Internal Control

楊海群

按語

本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權保護》。文中的圖示和注釋等因為網(wǎng)絡格式轉換而未加。希望讀者進一步閱讀作者的專著《公司治理與銀行控制》下卷中“加強選配評審，防止領導風險”這一章。

“銀行風險的識別、評估與內部控制”這個題目涉及兩方面：一方面涉及的是風險管理，另一方面涉及內部控制。不管是法律工作者還是銀行的管理者，都會遇到下面要提出來的問題，就是怎么來處理業(yè)務發(fā)展和管理控制的關系，怎么在實現(xiàn)戰(zhàn)略目標的過程中，一方面把握住我們自己，另一方面也把握住我們所領導的團隊？另外，怎么防止銀行的工作人員或者業(yè)務活動失去控制？搞法律的人員不如搞經(jīng)營管理的涉入那么多的具體業(yè)務，但是由于你們是銀行的法律工作者，所以就不能夠站在一般律師的服務角度去服務于銀行。因為你們已經(jīng)加入了銀行的管理隊伍。今年銀監(jiān)會和黨中央提出銀行管理要滿足四個條件：第一個叫資本充足，就是銀行要保證有足夠的資本金；第二個內控要嚴密，還不是一般的內部管理，而是內部控制要嚴密；第三個運營要安全，實際上運營安全也是要在前兩者的基礎之上才能實現(xiàn)；第四個服務和效益要好，沒有安全，也不可能服務好或者說令客戶滿意，服務差也不可能把效益搞上去。這是銀監(jiān)會《關于中國銀行、中國建設銀行公司治理改革與監(jiān)管指引》文件很明確地提出來的要求。中行和建行要重組上市，就要實現(xiàn)銀監(jiān)會提出的四個要求。恐怕農行和工行下一步也要遇到這個問題，也準備在中行和建行上市成功之后，經(jīng)歷這個過程。我們這兩家銀行先試一試，估計在上市過程中會有更多的難題。

我們研究一個問題總是要抓住一些本質性的東西。有一個美國的企業(yè)家寫了一本書叫《基業(yè)常青》，他把一個一般的企業(yè)發(fā)展成比較大的企業(yè)，積累了一些經(jīng)驗，他的書里面有這么一句話：“偉大的公司要想生存，必須擁有一個持久的觀念，這個觀念必須從屬于整個公司。即使有遠見的領導人與世長辭以后，這種所謂的觀念也會永存。這種觀念并不是圍繞某個人或者一個整體，而是圍繞一個決定公司發(fā)展目標的思想體系建立起來。有遠見的公司，之所以能夠成功，原因就在于無論發(fā)生什么變化，它們的核心觀念毫不動搖?！彼f得很深刻，他說：“只有從過眼煙云的變革中看到背后永恒的管理法則，人們才能真正了解到偉大公司的偉大之處?！蔽乙苍谙脒@個問題，中國銀行偉大不偉大？90多年的歷史，應該是一個偉大的公司，但是這個偉大公司的偉大之處怎么體現(xiàn)呢？那就看我們能不能建立和遵循我們的公司治理法則。所以我認為內部控制很重要，實際上內控原理是一種管理法則，我們通過研究內部控制的理論來轉變我們的經(jīng)營觀念，來增強控制意識，提高管理水平，這恰恰就是我國的國有銀行向商業(yè)銀行轉變和上市的基本前提。我把它識為一種基本前提，那就是說我不認為只要一個銀行能夠跑到股票市場上去，在那里銷售我們的股票，來套股民的錢，我們就是一個公司治理機制良好的銀行。因為它上市成功的前提首先要具備較多的控制意識，有較好的管理水平。其實巴塞爾委員會對這個問題也是提出了很高的要求，把它強調到一個很重要的地位。一個有效的內部控制系統(tǒng)是銀行管理的關鍵內容，是銀行組織機構安全和良好運營的關鍵，這是巴塞爾委員會提出的要求。一個強有力的內控系統(tǒng)，能夠幫助確保銀行機構的目標和目的的實現(xiàn)，使得銀行取得長期的利潤目標，維護財務報告和管理報告的可靠性，并且確保銀行遵循法律和規(guī)章制度，以及一系列政策、計劃、內部規(guī)定和程序，減少始料不及的損失和有損銀行聲譽的風險。為了強調內控，我重點介紹下面四個方面的問題： 第一，是介紹內部控制理論已經(jīng)解決的問題。第二，從我在中行的新體驗來看看我們國家銀行內部控制的發(fā)展。第三，我們對銀行當前內部的控制問題進行初步的研究。第四，提出一些政策建議僅供大家參考。

一、內控理論已經(jīng)說明的問題

我們在提到銀行的管理、銀行的控制這樣一個題目的時候，我覺得搞法律的人員不是那么熟悉，因為我在中國銀行，法律工作人員大都很年輕，在管理學上、在銀行的控制理論上，還是缺乏知識的，這里有知識的結構問題。所以很有必要來探討一下內部控制的理論。

首先內部控制的理論已經(jīng)明確了內控在銀行中間的地位。任何一個組織要維護它良好的職能機構都必須認真對待四個問題：第一個就是治理問題，包括銀監(jiān)會經(jīng)常說的公司治理機制；第二個就是風險管理；第三個叫內部控制；第四個叫保障措施。首先明確一下概念。中央領導、國務院領導經(jīng)常說公司治理，到底公司治理是干什么的？是研究什么的？我有一次到德國開國際會議，與美國的一個高級審計官員探討過這個問題。公司治理的核心問題是如何委托資源以便于實施某項任務。再說得明白一點，就是找什么人來做這個銀行行長和各級經(jīng)管人員，以便于把商業(yè)銀行的各項業(yè)務做好。找誰?是找王雪冰還是找其他人？為什么找王雪冰？他出了問題，怎么才能找到另一個人不出問題或者少出問題？公司治理就是找誰當行長，找什么人當總經(jīng)理和各級經(jīng)管人員。像中國銀行大約有200位總行高管干部，包括行長，找誰擔任這樣的職務，要明確誰來干，明確誰承擔這個責任，看看他們怎么承擔這個責任。這叫公司治理。

風險管理是什么呢？風險管理是一種程序，它要識別風險，評估風險，并針對風險來制定相應對策。商業(yè)銀行里都有一個部叫做風險管理部，在銀行，風險管理部是很重要的部，這個部干什么呢？它要分析銀行運用資產有什么樣的風險，這些風險究竟有多大，銀行可接受的風險的水平有多高，然后銀行既然有這么多的風險，采取什么政策對付這些風險，這叫風險管理。

內控是干什么的？內部控制是公司的核心管理內容，它是公司通過治理來實現(xiàn)公司目標的有力手段。銀行通過風險管理發(fā)現(xiàn)了風險，認定了風險，評價了風險，并且制定了風險應對的對策，之后怎么辦？要采取一系列措施和經(jīng)營管理程序加強內部控制，防范風險。

另外，還有一個確保反饋的系統(tǒng)，這是一個通過交流反饋和咨詢來促進上面三項內容能夠順利開展的程序。就是保證上面能夠開展這些活動。我在我的《公司治理與銀行控制》這本書上就描繪了一張圖說明上述四種治理機制的相互關系，現(xiàn)在銀行領導也好，中央領導也好，經(jīng)常講這幾個概念，但是我們需要把它們界定清楚。

如果你要經(jīng)營一個企業(yè)，開一個銀行，首先得有一個目標，這個目標確定了之后，靠什么來管風險？一個靠公司治理，找一些人——可靠的人、能干的人，把他們叫來，安排他們工作。然后組織其中一部分人來分析，我要實現(xiàn)這些目標，有哪些風險，怎么對付這些風險，制定風險政策。然后要有大量的人在操作的層面和管理的層面實行內部控制。把這些活動通過一個確認反饋系統(tǒng)，最終實現(xiàn)公司目標，就是資本充足、內控嚴密、運營安全、服務和良好效益。

國際上對內部控制也有大量的研究，美國有個權威機構叫COSO，提出了一個比較完整的內控理論和操作方法，后來又提出完整的風險管理的理論。實際上各國都在探索，英國也有一個CADBURY模式，后來它發(fā)展或TURBULL。加拿大叫COCO理論。一些發(fā)展中國家，例如南非也有一套理論，叫KING，都在研究內控。為什么這樣重視內控？就是前面講的偉大公司的背后的管理法則。1998年9月份巴塞爾委員會又提出了一個關于銀行體系內部控制框架，這個在網(wǎng)上能夠搜索出來。2003年美國COSO又進一步提出更加完整的理論，不完全是內控，把內控放在風險管理的框架里。所以內部控制的發(fā)展一步一步最后形成了巴塞爾委員會內控的指導原則，一共有13項原則。而且內部控制在概念上也從部分控制論發(fā)展到全控制論。部分控制論講的控制是會計控制、財物管理控制，后來又發(fā)展到稽核，各個銀行都有稽核隊伍，然后又超越財務范疇，把內控滲透到經(jīng)營和管理各個方面?？刂茲B透在各個微觀經(jīng)營管理活動的毛孔里。而且內部控制也由過去只強調財務會計和財務信息的管理到更加強調提高經(jīng)營管理的效果和效率，更加強調管理政策。這是一個發(fā)展。

我們研究一下到底什么叫內控？現(xiàn)在的內控理論已經(jīng)把內控設定為比較科學的定義：“內控是一種為合理保證實現(xiàn)下述四大目標的動態(tài)過程，動態(tài)的程序?！彼拿恳粋€詞都是有道理的，是合理保證實現(xiàn)四大目標的動態(tài)過程，原來提的是三大目標，現(xiàn)在有所發(fā)展，又提出第四大目標。它補充的那個目標就是戰(zhàn)略性的目標。

什么叫戰(zhàn)略性的目標？就是內部控制要符合和支持銀行機構的總任務的完成，要有相當高度的視野，這是一種高層次的目標。上面提到的資本充足，這就是戰(zhàn)略性目標，中央確定我們要實現(xiàn)國有商業(yè)銀行資本充足，這是戰(zhàn)略決策，不是具體到結算業(yè)務，還是零售業(yè)務，還是公司業(yè)務這種微觀層面的目標。過去的國有商業(yè)銀行不講究要資本充足，國家不給我們補助資本金，中國銀行一開始是財政部劃撥的那點錢，后來核銷呆賬沒有撥過資本，有利潤全部上交國家、上交財政，現(xiàn)在提出來要滿足8％資本金充足率，要實現(xiàn)這個，國家給我們中國銀行225億美元讓我們來充實銀行的資本，另一個也允許我們在盈利中間拿出一塊，使我們的資產達到充足的標準，今后就要靠自己的努力了。這就是戰(zhàn)略。

第二種目標叫操作性目標。銀行不能不講效果，不能不講效率，在我們貸款的時候，在我們融資的時候，在我們做業(yè)務的時候，要保證銀行避免損失。執(zhí)行各種內控操作的程序，確保組織當中所有人都來有效率的工作，甚至還要注意道德的完整性，而不發(fā)生不應有的過高成本。特別要強調，不能把任何其他的利益置于銀行的利益之上，比如為自己雇員的利益發(fā)獎金，為了讓大家得到獎金，寧肯使銀行冒操作性的風險?；蛘呓o關系人貸款，為了某些客戶的利益，而不顧銀行的利益?；蛘邽榱藗€人的權利，拉拉打打、玩權術、市宗派。

還有第三個目標，叫做信息性目標。這里包括財務和管理的信息，過去只是強調財務的信息，現(xiàn)在巴塞爾委員會強調還有管理的信息，都要可靠、完整，并且能及時地提供。我們在寫各種報告的時候，都要做到這點，而且要定期發(fā)布可靠的財務報告，披露真實的信息。將來我們上市了，也要給股東寫報告，給銀監(jiān)會、人民銀行寫報告，對外公布的財務報告要經(jīng)過監(jiān)管當局認可的會計師事務所審定。而且董事會、管理者在做決策的時候，要有信息基礎，這個信息必須充分、有質量和完整。我們的財務報表要有明確定義的會計原則。這次中國銀行上市，其中一個內容就是要搞盡職調查，我們要聘請外部律師事務所給我們幫忙，我們要向他們如實地報一系列的材料，最后這個材料要交到律師事務所審查。中國銀行干了這么多年，出了多少年報，年報后面的會計報表不僅前沒有會計師事務所簽字。國外的會計報表和年報最后除了銀行行長簽字、銀行總會計師或者財務總監(jiān)簽字以外，還有中央銀行認可的外部審計師要簽字，而我們過去沒有。要真實披露，我們的工農中建可能存在倒閉的問題，如果嚴格按照巴塞爾委員會的要求有可能會摘牌了。所以我們上市以后，壓力很大。但我們需要披露，我們有責任向股民說清。

還有第四大目標叫遵從性目標。符合法律和規(guī)章制度。巴塞爾委員會特別強調，要確保銀行所有的經(jīng)營都遵從適當?shù)姆珊鸵?guī)章，遵從監(jiān)管的要求，遵從本組織——銀行的政策和程序，其中一個特別重要的就是業(yè)務流程。如果業(yè)務流程不熟悉、不遵從，違規(guī)經(jīng)營的話，就沒有實現(xiàn)這個目標。為什么要這么做？要保護銀行的“特權”。實際上銀行是有特權的，不是所有的企業(yè)都能干銀行，也不是所有的金融機構都能干銀行的事，銀行是被經(jīng)濟社會選拔出來的能夠勝任這項工作的金融機構。為什么銀行要有聲譽？別的公司也強調信譽，但都沒有銀行的信譽強調得更高。有不少人也抱怨，別的國營單位蓋大樓，中央要批評，但是銀行為什么可以?我們中國銀行的樓，我走過了幾十個國家，我還真沒見過這么好的銀行大廈，法蘭克福的金融中心建設得夠高級了，英國的City夠氣派了，你到那里看看，有沒有比中國銀行的樓更高級的，我覺得還沒有。這里也確有太奢華的問題，但為什么中行這么蓋大樓，建行、工行都蓋了不小的大樓，中央沒批評，因為它有個形象和聲譽問題。因為銀行很需要體現(xiàn)它的權威和不可動搖性。我在河北掛職的時候，河北中央銀行門前的獅子是銅做的，斜對面有一個紡織品進出口公司，獅子也不小，但央行的比公司的還大一倍。銀行的職業(yè)特征決定了它需要一定的聲譽和權威。當然，這種聲望和權威應該是內在的，不能只靠表面的豪華去裝飾。

工農建都設有法律部門，都起名叫法律部，我們中國銀行為什么出了一個法律與合規(guī)部？直接的原因是紐約分行的事件，給我們很大的教訓。有人說你把你們的行長都賠進去了，那都不是最重要的教訓，最重要的教訓是紐約分行使我們認識到過去我們搞銀行的時候，對合規(guī)重視得很不夠，而一些大型的國際化的銀行在行內設有很大的部叫合規(guī)部，來抓合規(guī)工作。我們總結了在紐約的沉痛教訓，感到有必要把合規(guī)工作提上日程。銀行一定要依法合規(guī)經(jīng)營。而內部控制的理論實際上把“合規(guī)”作為一個目標。中國的銀行考核底下的員工都把效益作為考核的重點，利潤是考核的重點，但是內控理論中明確指出要把依法合規(guī)作為考核的四大目標之一，如果不考核當然各級單位就不朝這個方面努力，不在這個地方扣分，憑什么在這個地方花費資源？

內部控制的定義說明了幾個問題：

第一，內部控制是一種程序，這個程序意味著它朝著某個方向去努力，但是它永遠達不到那個終點，因為這個終點是它不斷要達到的目標。

第二，銀行要搞內部控制，離不開人的影響，不是說搞內部控制就是去念幾條規(guī)章制度，而要有人在這里起作用。

第三，內部控制是為公司管理層提供合理的保障，但不是絕對的。萬事都不能絕對化，絕對化就是形而上學。內控是提供合理的保障，是對解決銀行問題有利。不是說一抓內控就什么問題都不會出來。

第四，內控是有多重目標的，內控有四個目標，第一個目標是戰(zhàn)略設定，第二個目標是經(jīng)營的效果和效益，第三個目標是信息性目標，第四個目標是遵從性目標。內部控制為的是目標的實現(xiàn)，通過一些活動，一個有機結合的整體，去實現(xiàn)公司的目標。這是很值得我們學習內部控制的方面。

內部控制可分解為五大組成部分的內容：第一個強調控制環(huán)境，第二個強調風險評估，第三個要開展控制活動，第四個要進行信息的交流，第五個要進行監(jiān)督評審。這是內部控制的五大組成部分。為什么從理論上強調這些內容，不是我們要講一些花哨的名詞，而是這五大組成部分比較充分和完整地說明了內控的主要內容，使我們明白了應該怎么執(zhí)行內控，又怎么進行評價。怎么評價內控？我建議就從這五個方面。

另外COSO又提出八大組成部分，這是從風險管理角度講的。下面是風險管理的八大內容：內控環(huán)境、戰(zhàn)略目標設定，事件的認識或者是了解，另外風險評估、風險對策、控制活動、信息與交流、監(jiān)督評審。這是八個組成部分的內容。首先要確定目標，開展經(jīng)營活動必須有目標，我銀行要搞好，我的目標是什么？支行有支行的目標，二級分行有二級分行的目標，一級分行和總行都有目標。風險管理也是一個有機結合的整體，也要強調內部的環(huán)境，就是前面說的控制環(huán)境。目標設定以后，要有些事要做，一件事叫“事件識別”，就是要看這些事有什么風險，要開展公司業(yè)務、零售業(yè)務、結算業(yè)務、信用卡業(yè)務，銀行所有的業(yè)務，這些業(yè)務有什么風險要評估，評估完了以后要有風險對策。既然你都評估了，怎么處理這些風險，要有政策、有策略。然后，就進入了內部控制。這里我解釋風險管理是希望說明它與內控的關系。

概括起來，內控分為五大組成部分的內容。內控五大組成部分最基礎的地方是在控制環(huán)境上，然后進行風險評估，還要開展控制活動，在控制活動開展的過程中間，又要不斷交流信息，寶塔尖上強調監(jiān)督、評審。從風險管理的角度來分析，這個模式或框架還包含四大目標。戰(zhàn)略性、操作性、信息性、遵從性、合規(guī)性，這是五個目標，這是一個層面的東西。從內控的角度來分，目標是四個，但內容可以比風險管理少三大內容。就是以上概括的五大組成部分的內容。這還僅僅是兩維的空間，第三維空間就是不同的部門，各個級別的部門。第三維空間，比如法律事務部或者是公司業(yè)務部、零售業(yè)務部，這些部門組成第三維空間，這三維空間組成立體的模型。實際上我們在講一種思維方式，我們是在這樣一個立體空間里搞銀行。把任何一個部門抽出來，比如把公司業(yè)務部抽出來，都有四大目標，都有五大組成部分的內容在里面。這說明一個什么問題？說明我們可能利用思維方式，利用模型，利用這個理論，探討出管理銀行，評價銀行的方式。為什么巴塞爾委員會這個國際銀行監(jiān)管的機構，要支持這么一種理論?是因為這個理論有用，是因為這個理論發(fā)展到今天，能涵蓋我們銀行的主要業(yè)務、主要工作。

從“控制環(huán)境”的角度怎么理解呢？實際上控制環(huán)境是所有各個方面的基礎，是一個帶動銀行開展工作的“發(fā)動機”。這里包括銀行的行風、組織風紀，它還涉及銀行活動的核心——人（員工），而且要通過影響人們的控制覺悟來形成銀行的“文化”，就是銀行究竟提倡什么，特別是注意人們對內控的認識和態(tài)度，你有沒有控制理論，有沒有高度的內部控制覺悟，也就是重視內部控制，特別是由于這個環(huán)境不同，你的戰(zhàn)略目標的實現(xiàn)就受到影響。我們國家如果沒有長期穩(wěn)定搞建設的環(huán)境，中央不會提出國民經(jīng)濟翻翻這樣的戰(zhàn)略。這里還涉及風險管理的一些哲學，開展風險管理是避險為主還是冒險為主呢？風險管理是什么文化？這些東西都是控制環(huán)境里的。我們理解控制環(huán)境也是希望大家在評價某個部門的時候，比如上級讓你去公司業(yè)務部檢查一下他們的內部控制怎么樣，首先建議你評價控制管理的環(huán)境如何。我后面還會強調環(huán)境方面的建設。

第二大組成部分是“風險評估”。風險評估是什么？就是你要去識別和分析那些妨礙實現(xiàn)經(jīng)營管理目標的風險，這是風險管理決策的基礎。我們搞內部控制，必須要認識風險，這和風險的定義有關系。什么叫作風險？有人說就是損失，或者有人從概念角度說是造成損失的可能性，這些都對，但是更精確、更科學、更接近本質的風險定義是什么？就是妨礙實現(xiàn)目標的所有因素。為什么這么說？就是我們干什么事都是要有目標，什么叫我干這件事的風險呢？就是我有哪些東西干擾我實現(xiàn)這個目標。我曾經(jīng)舉了一個很生動的例子，比如說有一個武士，他在射箭，要打中一只鳥，什么是他的風險呢？打不中是他可能的結果，怎么會影響他打不中呢？一個顯然是他自己的本事，他有沒有力氣拉開這個弓，拉到足夠滿的程度。他的視力是不是好？他是不是能夠正確地判別目標所存在的位置以及他自己的經(jīng)驗？說到這兒，是不是風險就沒了，不對。當他拉弓的時候，雖然拉的很滿，但是他是頂風拉的，風力很大，影響他。天要是突然刮起了大風，烏云遮蓋了整個天空，太陽沒有了，看不見了，這也是風險。如果一切都非常好，但是拉弓的英雄喜愛美人，旁邊過來一個美女，他分心了，也射不中。要想實現(xiàn)目標，各種因素都可能是風險，只要它們妨礙你達到你的目標。所以我們在講銀行風險的時候，有人總是想設定一下是信貸風險、利率風險、市場風險，其實這都是一些業(yè)務上的風險，很少有人提到人的風險，而且很少有人涉及更廣泛的，凡是能夠形成對銀行目標實現(xiàn)造成影響的其他一些風險，例如員工有沒有參與賭博、炒股，甚至包“二奶”等，很少有人更廣泛去考慮，就是因為在風險的定義上不夠準確，沒有明確風險更本質的定義。在風險管理的體系框架中，COSO把目標的設定加進來，然后有一個事件的識別，有風險的評估，然后要制定風險對策。這四個方面恰恰是風險管理的主要內容，也是搞銀行風險管理四個最本質的工作。

第三大組成部分是“控制活動”。你既然是搞內控，不可能不參加控制活動，使目標的實現(xiàn)有合理的保證。經(jīng)營目標的實現(xiàn)需要發(fā)布一些管理指令，要采取一些防范化解風險的措施、政策、程序，像高層的檢查，直接地參與管理，對信息進行加工、對實物進行控制，比如確定指標、究竟今年要完成多少利潤等。特別是職責的分離，職責不分是現(xiàn)在銀行發(fā)生重大案件的一個很普遍的原因。如果交易、記賬和尾箱管理都由“一手清”，就難保不出事。內控還要針對目標相關的風險發(fā)布控制指令，各種各樣的指令。

第四大組成部分存在于所有的經(jīng)營管理活動中，“信息與交流”應使員工能夠搜集和交換為開展經(jīng)營從事管理和進行控制等活動所需要的信息。管理者應該經(jīng)常評價員工的工作業(yè)績，注意以評價監(jiān)督的方式來開展工作，根據(jù)一些會計數(shù)據(jù)分析并發(fā)出一些預警信號，確保有關經(jīng)營目標的實現(xiàn)。這個信息與交流在總行層面是最大的問題，我們各個部門分管很細，都有各自的職責，一件事現(xiàn)在離開哪個部門干都不行，需要協(xié)調配合。可是在咱們一些銀行體系當中，協(xié)調配合能力特別差，其中的一個癥結就在信息與交流上。我想法律部的人員也會有同感，說叫你去審查一個合同，把合同拿來了，以為很容易發(fā)現(xiàn)合同中存在的問題。有的時候送審的人員都不知道給你這個合同讓你審什么。后來我們制定了合同審查表，叫“合同審查意見申請表”，這個表讓你說明送審合同的目的，你究竟讓我審什么？這個合同產生的背景是什么？這里有哪些法律疑難問題需要我們法律部審查？過去有沒有審過？有的人拿過來第二次審了，但沒有告訴，我重審一遍。說我們法律部門解決的問題，合規(guī)方面要不要解決，是不是合規(guī)？我覺得一項法律合同首先要合規(guī)，業(yè)務不合規(guī)，談不上跟人家簽合同。這些問題都是一個配合的問題，都是一個信息交流的問題。

還有一個內容是“監(jiān)督評審”，現(xiàn)在咱們國家已經(jīng)開始重視這個問題，就是干什么事都注意監(jiān)督，但是這里我所說的監(jiān)督評審是評價內部控制持續(xù)操作質量的一個過程。要評價內部控制到底在你們這個部門是有效的，還是無效的？這個監(jiān)督評審是經(jīng)營管理部門對內部控制的管理監(jiān)督和稽核監(jiān)察部門對內部控制再監(jiān)督、再評價的總稱。也就是說監(jiān)督不僅僅是稽核、監(jiān)察部門的職責，更重要的是經(jīng)營管理部門自身的職責。這個概念不是一下子能認識到。過去一提到監(jiān)督，肯定是監(jiān)察部、稽核部它們的事，為什么我們法律與合規(guī)部要成立一個合規(guī)處？從管理的角度制定了許許多多的制度和規(guī)定執(zhí)行了沒有？執(zhí)行的情況怎么樣？我們不能不管。我相信工、農、中、建都有法律部，都有這個職責，就是管規(guī)章制度的制定和監(jiān)督。我們管到這個層面是不是就夠了？實踐證明不夠，咱們銀行為什么出一大堆問題？為什么出那么多案子？哪一個流程沒有規(guī)章制度?我們現(xiàn)在凡是發(fā)行一個新的業(yè)務，新的產品，首先是規(guī)章制度，規(guī)章制度不出臺，流程不出臺，不明確，這項業(yè)務就不能開展。問題就出在新的業(yè)務上。一方面規(guī)章制度跟不上需要，一方面有章不循，不執(zhí)行規(guī)章制度，讓稽核監(jiān)察去查查，必須有人時常監(jiān)督規(guī)章制度是否執(zhí)行，執(zhí)行有力還是不力，全面不全面，不執(zhí)行、違規(guī)經(jīng)營，造成的損失和問題誰來負責，如何追究責任，如何進行處罰，這一點非常重要，沒有這項工作，規(guī)章制度就是形同虛設。為什么現(xiàn)在出現(xiàn)大量問題？因為你不去監(jiān)督管理它，總是想著要實現(xiàn)利潤目標，為了“短、平、快”，經(jīng)常把一些規(guī)矩打破，打破這些規(guī)矩的結果產生風險?？墒遣蛔⒁膺@些風險的管理，出了問題以后，就讓整個銀行蒙受巨大的損失。

所以，四大目標是縱向的列，五組成部分是橫向的排，和內部控制相關的工作單元或活動是第三維空間。我們隨意抽出任何一個單位，我把某一列抽出來都有五大組成部分，我把橫排抽出來，都和四大目標密切聯(lián)系。這是一種思維方式，是我們抓內控的一種原理性的認識。

當然，巴塞爾委員會還講要監(jiān)管當局對內部控制系統(tǒng)進行評價。2002年央行到我們行全面檢查內部控制，我們的被查部門手忙腳亂，要報這么多材料，好多東西不知道，內部控制搞什么，怎么報告，做了各種準備，迎接人民銀行來檢查內控。過去不夠重視內部控制，非要人民銀行來查才進一步重視。為什么監(jiān)管當局要著重對內控進行檢查和評價？不要以為商業(yè)銀行都有內控的自覺性，它再有自覺性，也沒有高到足夠的程度。人民銀行要定期不定期地查。我說的是一個挺重要的理論問題。我有一個導師是倫敦經(jīng)濟學院經(jīng)濟系的主任，他寫過一篇文章叫《為什么銀行需要一個中央銀行》，他從信息論的角度提出商業(yè)銀行有必要接受監(jiān)督這個問題。巴塞爾委員會關于內部控制的第13條原則就是講商業(yè)銀行需要中央銀行監(jiān)督，不僅監(jiān)督表內業(yè)務，甚至監(jiān)督表外業(yè)務，還有新業(yè)務。凡是監(jiān)管者確定某銀行的內部控制系統(tǒng)不能充分或有效地針對銀行的具體風險，監(jiān)管者應當采取適當?shù)男袆印０腿麪栁瘑T會說話是有分量的，“適當?shù)男袆印?，什么行動？我們紐約分行曾經(jīng)險些被停牌，讓你注意你已經(jīng)降到多少級，使你提高交融資成本。再不小心，我停止你經(jīng)營。現(xiàn)在外國銀行到中國來，最怕的就是中央銀行，銀監(jiān)會也好，中央銀行也好，國外有深刻體會，匯豐銀行這些大銀行對當?shù)刂醒脬y行非常畏懼，中國的商業(yè)銀行對人民銀行的畏懼程度遠遠不如外國銀行對人家的中央銀行的畏懼性，為什么？這里反映了雙方的問題，一方面商業(yè)銀行自律性不強，另一方面銀監(jiān)會和人民銀行對商業(yè)銀行的監(jiān)督不夠得力，商業(yè)銀行被罰款不夠多。我們在美國一項罰數(shù)達二千萬美元，這算少的?？纯窗踩还镜归]了以后，一些大審計公司被罰到最后倒閉。安德信是國際上最大的審計公司，就為安然事件倒閉了。人民銀行實際上也對內部控制提出很多要求。我記得當時人民銀行對每項業(yè)務都提出了要求，我看了看銀監(jiān)會對商業(yè)銀行內部控制的檢查評價體系基本上采納了COSO和巴塞爾委員會提出的要求，特別強調一種內部控制的文化，這是巴塞爾委員會和COSO提出來的，這種文化體現(xiàn)在銀行的評價制度、職責分離的要求、橫向與縱向相互監(jiān)督制約的機制、報告關系、輪換制和強制休假制度、授權體系，還有對分支機構的管理和控制、賬目核對、監(jiān)控制度、會計制度、應急制度、獨立的法律合規(guī)的要求，等等。

有個問題值得探討：合規(guī)部門如何要具備它的獨立性？我在稽核部門也干過，稽核部門也存在獨立性和垂直性，稽核部門比較難做，我不知道其他銀行是不是這樣，我在稽核部門深有體會。銀行系統(tǒng)那些一線部門的同事總認為自己是創(chuàng)造利潤的主要部門，在行長面前匯報工作的時候都是一派理直氣壯的樣子，要是輪到監(jiān)督部門和管理部門說話的時候，似乎底氣不那么足。外國大銀行稽核部門說到哪個部門去查你就去查。而我們還要發(fā)個通知，告訴你我兩個星期或者一個月之后，要到你那里去檢查什么。人家那兒有時根本不告訴你，來了把你抽屜打開，你乖乖地站在那兒看著在那兒查。我在中國銀行法規(guī)部管合規(guī)，我問過人家匯豐銀行、渣打銀行的同行，我問他們合規(guī)權威如何，他們說都很怕合規(guī)官。因為很多重大的問題要合規(guī)官審批，批不批就在他一個簽字而這些審批都是獨立進行的。我經(jīng)常遇到這種情況，現(xiàn)在強調法律與合規(guī)的重要性，動不動把你叫去開會，什么文來了讓你簽字。他找你簽，像是尊重你又像不是尊重你，有的時候實際上想讓你認可，說是還是不是，你要說是，我做了以后別找我碴兒。在我們部門工作的同志大都年輕，工作忙了，哪審得了這么多，一看既然他們都定了，我無異議，回復給人家。我心里打鼓，我最怕看到哪個經(jīng)辦或處長拿給我看三個字“無異議”，現(xiàn)在有什么事能讓你一點異議沒有？現(xiàn)在沒有那么干凈的事，拿到你這個法律部門審查的時候，可能是想繞一繞、拐一拐，你說無異議，那就干吧，因為無異議說明什么問題都不該有。我跟協(xié)議處說不要輕言無異議，一提無異議，就說明我這個部門對這個問題沒意見，萬一出個問題，吃不了兜著走。我感覺應該使銀行的經(jīng)營部門尊重管理部門，也要讓銀行的經(jīng)營管理部門尊重監(jiān)督人員，這是非常重要的。如果不尊重，說明這個銀行內部控制有問題，起碼在控制文化上有問題，他反感控制，不讓你控制，想讓你變著法不控制，但是他又讓你簽字。銀行今后應該采取措施，使這些管理具有權威性、監(jiān)督有權威性、稽核有權威性、法律與合規(guī)部門有權威性。現(xiàn)在不是都講錢嗎?考核要有正確的考核體系。

強調內控的時候也應該注意：內部控制不是萬能的，內控不可能把一個本質上很壞的經(jīng)營管理者變好，不可能左右政府的一些政策和計劃的改變，不可能對外部競爭對手的行為和客觀經(jīng)濟條件的變化都把握好，它有局限性。再有財務報表可靠不可靠，不是說你內控絕對能夠保證的，假如支行的行長指揮著支行的會計去假造財務報表，會是什么問題？新會計法有一大修改，就是會計報表第一責任人是企業(yè)負責人，我覺得這條非常好，過去一說某個企業(yè)造了假賬是會計造的，其實回過頭來一檢查，能有幾個會計自己造假，是他的領導，他們那些廠長、黨委書記讓他造假，他是被迫的。

我們應該提倡依法合規(guī)經(jīng)營，千萬不要違規(guī)，或者明知道這個不合法，也不向法律部門說明需要針對它進行審查，想蒙混過關，想得到法律部門的認可，得到銀行老總的簽字，求得一時的解脫，這要不得。

國際上內部控制的發(fā)展的趨勢給了我們一些啟示。

一是強調高級管理層的控制責任。首先董事會要充分理解銀行的主要風險。黨委，高級管理層的內控基調是不是對？看交響樂團，在準備演出的時候先請鋼琴師定一下音？這就是讓全團有一個基調，控制也要有一個基調。這個基調要由多級管理層確定。

二是要大力提倡和營造一種控制文化。上述的一些現(xiàn)象實際上就是控制文化上的問題。一方面，董事會和高級管理層要負責明確各級員工在道德上和完整性方面的高標準，人格要完整，要講職業(yè)道德，并且在機構中要建立一種文化，向各級的人員強調和說明內部控制的重要性、合規(guī)的重要性、法律的重要性。我在工作中深感在國有商業(yè)銀行的員工中，特別是在高級管理人員中，很有必要提倡道德修養(yǎng)，加強職業(yè)道德建設。在國有銀行商業(yè)化的過程中，這方面有待改進。有的高級管理者不是把銀行的利益放在第一位，而是帶頭把個人的權利和利益放在第一位。而銀行里用人的時候不夠重視他（她）們這方面的表現(xiàn)，不夠關注群眾這方面的反映，結果是在基層，甚至在總行高管人員中，不斷發(fā)生重大案件。另一方面，銀行所有的員工都應在內控的程序中間發(fā)揮作用，控制不只是高管人員的事，而是人人有份。上至總行，下至分理處、儲蓄所，每個崗位上的人都承擔特定的控制責任。有效的內部控制系統(tǒng)的一項實質性內容就是建立強有力的控制文化，沒有這種控制文化，法律工作也不好搞，合規(guī)工作也不好搞，監(jiān)督機構會形同虛設。

還有四點我要強調指出：

第一是正確理解內控和管理的關系，進一步認識內控在管理活動中的重要意義，要盡快地由領導決策層帶動，動員各級員工營造良好的控制文化，按照內控的四大目標和五大組成部分，實行對經(jīng)營管理中間各種風險的逐級控制，以內控為有力武器，提高經(jīng)營管理水平。

第二是正確理解內控和風險管理的關系，進一步確立內控在風險管理體系中的重要地位，防止以風險評估代替內部控制。要按照上面介紹的內控原則和系統(tǒng)框架盡快建立起適合中國國情的內控組織結構，例如建立內部控制委員會和內部審計委員會，來加強對風險的整體研究、評估和管理控制。

第三是正確理解內控和內部審計的關系，我曾經(jīng)專門發(fā)表了一篇論文，叫“正確處理內控與稽核的關系”。內控首先不是稽核監(jiān)督部門的責任，而是業(yè)務的經(jīng)營管理部門的工作；內控主要不是稽核監(jiān)督部門的工作，而主要是經(jīng)營管理部門的工作；內控的檢查評價主要不是稽核監(jiān)督部門的責任，而主要是經(jīng)營管理部門的責任；不過，稽核監(jiān)督部門對內控負有再監(jiān)督、再評價的重要的職責。明確上面說的四個要點，并且在監(jiān)督評審當中注意保持稽核與合規(guī)系統(tǒng)的獨立性，加強對各種風險的識別和評估，建立和督促對控制缺陷的糾正。不要發(fā)現(xiàn)了一些問題，稽核報告寫了，合規(guī)的報告指出了，讓他糾正，下回還是出現(xiàn)那些問題，還是沒糾正。這就表明內控失效。

第四就是內部控制應該有一套有效方法，要搞內部控制，要控制風險，必須有一套完整的系統(tǒng)性的操作方法。現(xiàn)在多數(shù)銀行在做這項工作的時候，都做得比較傳統(tǒng)，一些行領導忙于業(yè)務發(fā)展，滿足于“頭痛醫(yī)頭，腳痛醫(yī)腳”，怕內控影響發(fā)展。實際上已經(jīng)有一套先進的方法提了出來，我在我的那本書《公司治理與銀行控制》(中國金融出版社2001年版)里介紹了一整套的方法，而且對信貸、項目評審、信貸資產的五級分類和銀行行長選配等一些方面都做了一些理論聯(lián)系實際的探討。我希望總行帶頭規(guī)范地運用這套好方法。

(待續(xù)）

注釋：本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權保護》。

銀行風險的識別、評估與內部控制

楊海群

(接 I）

二、銀行內部控制的足跡

下面我把我們在中國銀行抓內部控制的工作體會粗略介紹一下。我認為我們行大概經(jīng)過了這么幾個階段。第一個階段是在20世紀90年代中期以前，只有少數(shù)的領導人員和少數(shù)的稽核人員知道內部控制的概念，概念也不準確，全行控制的意識是比較薄弱的，案件不斷發(fā)生。資產質量也是越來越差。在那個階段里，銀行的問題比改革以前要多。計劃經(jīng)濟的時候，銀行并沒有多少案件，不像今天這樣，動不動出現(xiàn)一個非常大的案件，每一次都要刷新記錄，過去沒有。就是改革之后，市場的約束沒上來，計劃的約束又丟了、失控了，所以資產質量就下降。

第二個階段是推進內部控制的階段。那是1997年5月份人民銀行發(fā)布了“商業(yè)銀行內部控制的指導原則”。我們總行要求制定中國銀行的內部控制原則，我們抓了一個授權管理的制度規(guī)定，在人民銀行的授權管理規(guī)定基礎上做的。我們在1998年正式公布了內部控制原則，而且我們在那個時候就已經(jīng)在中國銀行正式文件中間明確了稽核要以COSO理論框架來檢查和評價內控工作。對監(jiān)察報送有關材料進行分析發(fā)現(xiàn)，我們行發(fā)生的案件絕大部分在基層。涉案人員絕大部分是基層的領導干部，大部分涉案人員又都是20多歲至30多歲的年輕人。后來我們總稽核室對總行零售業(yè)務首次進行了內控稽核檢查。

第三個階段，2000年前后我們進入一個理論探索的階段。2000年我們組織總行兩個業(yè)務部門和兩個管理部門編寫出版了一本書叫《中國銀行信貸內控指引（貸款分冊）》。這里講一件小事，1998年的時候總行有個部門報告說內控到底由誰抓，前行長王雪冰在報告上大筆一揮：“內控只是稽核部門的工作?！蔽覀円豢床粚α?，我在人民銀行的《稽核監(jiān)督研究》上發(fā)表一篇文章《正確認識內控與稽核的關系》，實際上沒點名地針對這個批示，糾正錯誤觀點。后來我們按照人民銀行的部署成立了一個信貸清分辦公室，當時總行調我去同一些同事領導貸款的五級分類，我運用了COSO的內部控制理論，組織清分辦公室的同志們共同編寫了一套《中國銀行貸款資產分類指南》，后來金融出版社出版了。

2001年中國金融出版社出版了我寫的專著《公司治理與內部控制》，我首次在內部控制原理基礎上提出了一套內控的比較完整的操作體系，提出了內控、風險管理和公司治理三者之間到底是什么關系。王雪冰任職期間，行里的案子特別多，也使后來的領導感覺到加強內部控制的重要性。中行的總行各個部門和分行逐步完善制度，加強內控，提了很多很好的建議，其中一個就是將法律事務部改為法律與合規(guī)部。

第四個階段，我們進入了內控強化階段。因為2002年5月，人民銀行發(fā)布了《商業(yè)銀行的內部控制指引》，進一步將內控提到一個新的高度，人民銀行開展對中行各個部門的內部控制全面檢查?？傂蟹膳c合規(guī)部根據(jù)行領導要求要研究內部控制，解決壞人做壞事想干干不成的問題。由于內部控制不好，到基層檢查工作的時候，會感到震驚。干得成壞事很自然，而干不成才奇怪？只要想干肯定干的成，干不成不奇怪，為什么呢？因為在一些環(huán)節(jié)上幾乎沒控制。你說錢箱的鑰匙他拿著，庫的鑰匙他拿著，庫里有登記簿由他登記，這樣的情況他能不貪污？給他條件讓他去偷，最后案子出來一檢查，保衛(wèi)工作的那些規(guī)定不落實。后來行領導組織了總經(jīng)理級以上的干部，召開了研究會，研討我們行強化內控建設的問題，黨委中心組2004年專門組織擴大會議，叫外部律師事務所講內控，怎么加強內部控制，讓我來宣講內部控制，又制定“中國銀行進一步完善總行部門和一級機構以上領導干部教育監(jiān)督的若干措施”，從高層去解決這個問題。

我們深深體會到合規(guī)工作是非常重要的?？墒呛弦?guī)工作不是純法律問題，實際上是銀行業(yè)務的經(jīng)營管理方面的問題，是一個要熟悉銀行業(yè)務管理規(guī)定的問題，這就給法律部門在職能上增加了新的內容，就是不能只是從法律上審查問題。另外，合規(guī)工作人員不能只是學法律的人，銀行建立了一個規(guī)矩，新員工進了銀行以后，先到業(yè)務部門實習一年。合同審查的一個大問題就是應知道某個地方該不該這么做，但是如果沒經(jīng)驗，不懂業(yè)務，就無法建議這個合同應該怎么改。這項業(yè)務這么做不行，但是怎么做更好，他會很為難。搞合規(guī)的人，應該具備什么條件呢？起碼要有三五年以上銀行業(yè)務工作經(jīng)驗。就是說搞合規(guī)的人要懂得銀行業(yè)務，而且今后大量的工作涉及合規(guī)性質的問題，法律性質的工作需要把關，也很重要，但是訴訟的案件隨著銀行業(yè)的規(guī)范應當逐步減少下降，我們做了那么多年公司治理，做了那么多銀行改革，這么強調監(jiān)管，案件不應該不斷上升，肯定今后的訴訟案會越來越少，非訴訟這塊工作會越來越重要。當然不可能在短時間內不搞訴訟，也可以說長久下去法律方面的審查工作都是需要的、都是重要的、都是不能削弱的，但是合規(guī)會成為重點性的工作。我們是通過自己的教訓意識到這點的。

在這個階段里，由于認識上的存在問題，中國銀行在抓內控工作中還存在時緊時松的現(xiàn)象，在忙于股份制改革時，內部控制有所松滯，產生許多漏洞，以致在以后發(fā)生了一系列大案（例如我們黑龍江分行轄內發(fā)生的震驚世界的高山事件），沉痛的教訓是值得銘記的!(待續(xù)）

注釋：本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權保護》。

銀行風險的識別、評估與內部控制

楊海群

（上接 III）

四、僅供參考的政策建議

政策性建議之一，明確內部控制的評價標準。我們今后要健全內控，就要有標準，干什么事都要有標準。我在20世紀90年代就提出過四條原則性的標準。第一是要有現(xiàn)代內控理論做指導，這是一個理論體系，沒有這個體系做指導，非要自己單搞一攤，像許多人寫書，左抄右抄最后弄一本書，用上自己的名字，也不說明出處。我們的內控依據(jù)應當扎實可靠，要站在前人成果的基礎上。第二是要形成完整的有機結合的整體。我前面給大家介紹的內控體系和風險管理體系，就是一種有機結合的完整體系。內控有四大目標和五大組成部分，加上組織機構這第三維空間，就是個有機整體。我們開展內控建設和管理，就應該從這個框架(framework)出發(fā)。第三是方法上的先進性和可操作性，就是實實在在地開展內部控制，制定一整套規(guī)范的方法去開展內控，這些方法也要能跟國際接軌，我的專著中介紹的那套方法是非常好的控制方法，是在總結國內外經(jīng)驗的基礎上提出來的。第四是內控程序應當便于計算機化，你既然有高科技創(chuàng)造的PC和軟件，就應能實行計算機化。

政策性建議之二，績效考核要有合規(guī)性的目標和信息性的目標。內控有四個大目標，現(xiàn)在大多數(shù)銀行主要提兩個目標，特別是利潤目標(效益目標)，而沒有把合規(guī)性、信息性目標提出來。美國一些公司的丑聞已經(jīng)導致各國強調目標管理的全面性了，不是以利潤目標讓你得到獎金。針對安然事件，美國國會通過的一個索克斯法，這個法律里面規(guī)定，高級管理層通過虛報瞞報財務報表贏得的獎金，一旦發(fā)現(xiàn)，就讓退回原有的獎金，這等于把合規(guī)性和信息性(財務報告可靠性)的目標作為績效考核的標準。

政策性建議之三，建議銀行把內部控制的職能從風險管理部的工作中分離出來，不知道工行是不是這樣，我們曾經(jīng)把它放在風險管理部，風險管理包含但不等同于內部控制，“風險管理部”同“風險管理”不是同一概念。我一直這樣說明，它們的職能不同，風險管理部門實行自身的內控是應該的，但是由這個部門去協(xié)調指導全部的內部控制，就既可能干擾風險管理，又可能使內部控制落空。另外內部控制是全行各個部門的工作，當然我們最好有一個比較有權威的委員會來領導，由一個獨立的部門具體管這個事。這里有一個正確處理風險管理和內部控制的關系問題，要理順風險管理和內部控制的關系。

政策性建議之四，正確處理業(yè)務發(fā)展和管理控制的關系。現(xiàn)在應該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展，聯(lián)合國有關機構認為應當是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難，我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款，當時有效益，新一任行長接手時形成了一大筆爛賬，就不是可持續(xù)發(fā)展。這點恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度，定期召開管理部門和業(yè)務發(fā)展部門之間的溝通會，對業(yè)務的可持續(xù)發(fā)展進行定期的評審。一方面要強調業(yè)務發(fā)展部門依法合規(guī)經(jīng)營，審慎辦理各種項目，否則酌情追究責任。另一方面要研究制定管理控制部門和人員的責任追究制度，管理控制部門不是沒有責任，現(xiàn)在業(yè)務發(fā)展部門有數(shù)字指標在那兒控制，沒有完成什么指標，就得扣獎金，管理部門沒有什么指標，怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務和結算業(yè)務，也深有體會。如果風險管理部審批一個項目拖拉怎么辦？因種種原因不批準一個項目，風險管理部要不要承擔風險?風險管理部大筆一揮這個項目不能干，你就不能干，至于說我們中行不辦，農行接過來了，農行給辦了，事后沒風險，還獲得了效益，還本付息很正常，追究不追究風險管理的責任?我曾經(jīng)跟風險管理的同事討論過這個問題，他們說那怎么追究，我在特定時期、特定情況下、特定政策下決定不批準這個項目，農行在他的環(huán)境里面批準了這個項目，你怎么能說我不對?這個問題有待于研究。業(yè)務發(fā)展與管理控制是一對矛盾，它們既對立又統(tǒng)一。只有正確處理，在矛盾中不斷提高水平。最好兩方面的人員，包括風險管理、法律合規(guī)和稽核監(jiān)督人員，都應該制定相關的責任制，要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關系。

政策性建議之五，為了加強對操作風險的防范，要研究風險怎么計量，國外都有一套理論模型，這套理論運用到我們中國銀行界怎么運用？需要研究和建立我們的操作風險計量模型。另外，操作風險的激烈表現(xiàn)就是案件的發(fā)生。各級機構負責人員都要切實重視案件防范工作。加強基層管理和內控建設，落實規(guī)章制度，解決某些人想干干不成，干了早發(fā)現(xiàn)、早預警的問題。要根治私設小金庫，銀行更不能發(fā)生這個問題，小金庫最終帶來的后果是不好的?，F(xiàn)在我們在查海外行，不讓海外行設小金庫。過去我們給海外行的工資比當?shù)赝赓Y銀行發(fā)的低，怎么解決呢？他們經(jīng)總行批準設一種小金庫，有時接待任務很重，也要有一點資金來源。但是我們發(fā)現(xiàn)設小金庫帶來的隱患很大，因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票，我們行發(fā)生的大量案例都是屬于規(guī)定了不許，但是還炒，炒輸了怎么辦？銀行人員從銀行掏錢比較容易，轉轉賬，搬搬科目，動動電腦上的鍵盤，就能解決這個問題。我們要加大有關責任人的追究。

政策性建議之六，希望能夠實施一套比較好的內部控制操作方法，講了半天內控，最終要落到實處，要開展控制活動，因此，應當運用和不斷完善規(guī)范的操作內控的方法。這與我們搞法律的也有關系。因為我們法規(guī)部內現(xiàn)在設了合規(guī)處，這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨立的“內控合規(guī)部”。我跟合規(guī)處同事們提出，如何通過一套完整的、比較先進的操作方法，能夠讓人們合規(guī)。這里要有一套評價體系，要根據(jù)我前面講的內容來進行評價。前面講的我那本書里有這個圖，圖示的操作還是挺不容易的，要分幾個階段，這個流程包含學習理論原理階段、前期準備階段、檢查階段、評價階段、報告階段，這是一套體系。如果真正實行了這套方法，我們國有商業(yè)銀行的內部控制問題，依法合規(guī)經(jīng)營的問題應該不會很大。

以上所言是本人對銀行強化風險管理和內部控制的一些粗淺的探討，以求引起各方面的高度重視。其中的一些問題是帶普遍性的，各家銀行都在研究解決。雖然有些不是法律問題，但是在銀行的法律工作中都應當了解。在改革開放的大潮席卷神州的形勢之下，我們冷靜地研究銀行的控制職能，特別是探索銀行如何通過風險管理和內部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展，應當不無意義。言多必失，歡迎批評指正。

(完）

注釋：本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權保護》。文中的圖示和注釋等因網(wǎng)絡格式轉換而未加。

銀行風險的識別、評估與內部控制

楊海群

(接 II）

三、關于銀行內部控制的探討

我想探討三個問題：

1要深刻認識銀行與非銀行的本質區(qū)別。從理論上講，企業(yè)和銀行是存在重大區(qū)別的。銀行是個什么單位，它不是一般企業(yè)，現(xiàn)在改革的時候總強調銀行企業(yè)化，從銀行自負盈虧、自我約束角度提這個對，但是不全面。銀行不是一般性的企業(yè)，要不然干嘛不把企業(yè)叫銀行，干嘛不把銀行叫工廠?它們之間存在重要的區(qū)別。

為什么經(jīng)濟中會有銀行？因為銀行是比較好的出資者和控制者。銀行是人類社會文明發(fā)展到一定程度，生產力和經(jīng)濟發(fā)展到一定程度的產物。銀行這個詞叫Bank，原意是過去意大利文里的“板凳”，就是意大利的商貿發(fā)達了，慢慢一些商船出去了，都得辦理結算和匯兌業(yè)務，有些人坐在板凳上專門辦理這種業(yè)務，這就是銀行的雛形。銀行慢慢發(fā)展起來了，有了辦公室，又有了樓。但是為什么銀行業(yè)發(fā)展這么迅速，而且在全世界哪個國家都離不開銀行，為什么？就是因為銀行是很好的出資者，能夠融通資金，用很好的方式來支持經(jīng)濟活動，同時在融資過程中實施必要的經(jīng)濟控制。大家都知道貸款有合同，合同是什么意思？合同的本質是銀行對被貸款方、對借款人的控制。在什么時候必須還款，必須以多高的利息還款，不得挪用，等等，都訂到合同里。合同一經(jīng)雙方簽字認可，就具有了法律效力。銀行一旦發(fā)現(xiàn)你挪用，依據(jù)合同有權追回貸款，而且一旦出現(xiàn)重大問題的時候，可以到法院打官司。在西方，被銀行起訴了的借款人一般都會輸，被判罰。這就反映了銀行這個機構特別。所以在國外沒有哪個個人或公司輕易地跟銀行打官司、鬧別扭?？梢娿y行具有規(guī)范經(jīng)濟，控制企業(yè)的特殊職能。銀行是市場紀律的主要實施者之一。

某個人要借給另一個人錢一般是難以控制借方的，他說還我，只能憑咱倆感情，憑我對你的認識。但是一拖就是多少年不還。銀行把錢借給你可就不同了，因為雙方之間訂了合同，你必須按時還本付息，否則就留下不良記錄，造成再借就難。大家可能知道有一個美國的經(jīng)濟學家 Stiglitz，他前兩年獲得諾貝爾獎，他有一句著名的話，叫“銀行最鮮明的特點是有能力進行控制”。

我們辦這么多商業(yè)銀行好不好？假如商業(yè)銀行的數(shù)量達到一定程度，讓它們自相廝殺，能不能發(fā)揮銀行控制經(jīng)濟的能力？西方理論界一直都特別強調，不要片面地促進銀行之間的競爭，為什么？因為他們理解銀行的本質。假若銀行控制企業(yè)，控制經(jīng)濟，自己互相廝殺，我降多少利率，你降利率更多，咱倆競相降價，最后是什么？讓貸款的企業(yè)在中間叫板，這讓銀行怎么控制客戶和控制經(jīng)濟？還是讓客戶控制銀行？是讓借款的控制貸款的，還是貸款的控制借款的？這個問題要解決。實際上我們講的銀行的控制與被控制是這么一個概念，商業(yè)銀行、中央銀行、企業(yè)這三種主體參與控制體系中來。這里有三層的控制職能：第一層是商業(yè)銀行被控制、被監(jiān)管，中央銀行控制和監(jiān)管商業(yè)銀行。第二層是我們銀行要自我控制，你自己要控制好自己，不要在去控制經(jīng)濟之前，你自己都失控了，你沒法控制你的客戶了。第三層是商業(yè)銀行要控制企業(yè)。這些企業(yè)要按照銀行的貸款規(guī)定去投資、去盈利、去回報，假如這個企業(yè)沒有信譽，我不貸給你。不是像以前那樣，地方政府逼迫銀行去貸款，那很可能要不回錢來?，F(xiàn)在大部分不良資產就是在1992年以后堆積起來了，那個時候是膽子要大一點，這大一點到后來是欲發(fā)不可收拾，我看到國內通貨膨脹向兩位數(shù)攀登，曾從英國寫信給時任朱镕基總理，建議強化銀行的信貸控制。中央肯定及時分析了經(jīng)濟形勢的發(fā)展。大約半年后，國務院不得不開始實行政策控制，到那之后就好轉。

銀行的內部控制還有更深一層的含義。實際上我們的下級機構要接受總行的控制，總行也有一個自我控制的問題，因為總行也辦營業(yè)部，總行也搞項目、也搞營銷，總行也會出現(xiàn)問題。一級分行也有自我控制，同時一級分行還有一個控制二級分行的控制，控制轄內機構的問題。各級銀行都有控制自己所管轄企業(yè)的問題，控制貸款戶的問題?，F(xiàn)在國內的信貸形勢有不好的地方，就是銀行過度競爭造成無法進行控制。比如現(xiàn)在是銀行都去營銷少數(shù)較好的客戶，工行去說我的條件怎么怎么好，農行接著說我的條件怎么好，中行說我的對外網(wǎng)絡好，我能提供什么服務，建行說我的投資額度很大。使這些企業(yè)挑花眼了。有的業(yè)務現(xiàn)在已經(jīng)到了賠本的程度。我們中國銀行的國際結算業(yè)務應該是好的，現(xiàn)在有些銀行跟我們競爭，一競爭是零費率，目的要把我們的客戶搶過去。我們有一個二級分行在東南沿海地區(qū)的城市，另一家銀行把這個城市90％的國際結算業(yè)務全拉到這個銀行，原因是他不惜血本，而且總行給了他這個任務。我認為這一種環(huán)境違背銀行的本質職能，我說的不是這家銀行，我說的是這種環(huán)境，使銀行不得不屈從于借款人的苛刻條件，甚至為了使這個借款人不離開我的保留范圍，不使我的市場占有率下降而喪失公平性市場原則。我還舉個例子，我曾經(jīng)在一個省行主管過公司和結算業(yè)務。財政搞統(tǒng)一支付，各家銀行就到省里來營銷，由省財政局招標確定財政支付系統(tǒng)中心設在哪家銀行，大家競標。雖然人民銀行有規(guī)定不允許任何商業(yè)銀行變相降低利率給客戶好處，但是那個時候不得不給好處，因為競標，競標的時候就看你是讓我財政局低租金租用你銀行的房子還是免費讓我租用，有銀行空出半層樓供財政建立這個系統(tǒng)，使用的電腦由這家行來提供，工行、農行、建行拼命地設計“我來提供”，最后財政就問了，你給我多少錢的設備費，我們中行的同志回去連夜考慮，最后咬牙說出300多萬元，可另一家銀行競標的時候提出1000多萬元。后來我們也知道，沒有真出1000萬元，但是背后已經(jīng)談好了。你說這種氛圍能實現(xiàn)我說的銀行控制論嗎？如果經(jīng)濟不由銀行這個最有鮮明的特征的機構來控制的話，這個經(jīng)濟能辦好嗎？你的企業(yè)能聽話嗎？經(jīng)濟活動參與者還服從市場紀律嗎？現(xiàn)在還要鼓勵辦多開銀行，私人銀行，俄羅斯改革以后，兩三千家私人銀行，你現(xiàn)在問問倒閉了多少。匈牙利我去考察過，也是改革以后，他們建立私有化的銀行，不良資產不斷上升，為什么？那么容易就干銀行?中、農、工、建銀行比拼，拼來拼去最后彈盡糧絕。最近我看一個評級公司在評我國一些股份制小銀行，最后除了招商銀行稍微好一點以外，其他銀行的級別都不高。我建議大家重溫一下列寧的《帝國主義論》，想一想為什么工業(yè)化產生金融寡頭。其實衡量銀行體系的好壞不在它有多大數(shù)目和多元化到什么程度，而在它對經(jīng)濟的控制和服務功能發(fā)揮得如何。

市場風險有沒有可能造成銀行倒閉？有人問咱們中國的銀行還能倒閉嗎？都是國有的，只要有共產黨領導，再高的通貨膨脹，再低的資本金都沒有關系，一樣不會倒閉。這次中央為什么決策讓中行和建行上市，有些搞改革的同志一個勁地宣傳銀行上市以后，怎么怎么好，我卻從內控角度說銀行上市以后，怎么怎么有風險。我不反對銀行股份化和上市，我在英國出版的著作中還介紹過一些理論家關于轉軌經(jīng)濟中股份公司如何發(fā)揮作用的論述。但我也不認為這是唯一的解決方式，更不能認為只要體制更新了，機制一定會隨之好起來。一些熱衷于體制改革的同志不可否認有其進取心。但值得注意的是，體制層面上的變化雖然容易顯現(xiàn)業(yè)績，但內部機制的轉變和完善是更實質性的，來不得半點的短期行為。世界上銀行的治理結構和運作方式千差萬別，很難把不同的經(jīng)驗一般化，很難說哪種結構和方式照搬過來就一定適合中國的銀行。體制改革也不是萬能的。西方市場中倒閉的股份制上市銀行并不少。一家銀行倒閉后還會掀起倒閉狂潮，危及社會?，F(xiàn)在提議銀行要改革，都在考慮怎么股份化，不外乎所有制要多元化等。我們銀行如果要上市，一個很重要的問題就是想讓戰(zhàn)略投資者進來，但是投資者要進來之前一定會先看咱們的管理和控制水平。水平太低別人不敢買你的股票，或者說還沒下決心買你的股票。西方人看得很仔細，我在行里主管反洗錢，戰(zhàn)略投資者為這方面的事調查我們行好幾次，拿出一系列問題問我們。所有制的實質在于你的控制機制，你過去是國家控制，國家控制從某個角度可能有壞處。國家控制我，所有利潤都上交，多發(fā)點獎金發(fā)不了。你可能不承認，我們中行員工的薪水曾長期處在較低水平。聽行外有人說：中行的服務質量差，追究其中一個原因就是獎金少。站在中行的員工角度上，會覺得不如上市，上市以后股份制，財政部別卡我了，靈活性就大一些了。但是如果財政部不控制，總有第三只手要控制，不可能沒人控制，當?shù)谌皇挚刂颇愕臅r候，可能比財政部還厲害。光想著財政部控制那么嚴，沒想到財政部還是你母親，媽有的時候看你哭還掉眼淚松松手，但是第三只手控制的時候非常殘酷。

2控制環(huán)境的建設有持高級管理層的支持。在控制環(huán)境方面涉及一些問題值得關注，管理層是不是明確維護內部的完整性，這是非常重要的，特別是高級管理層，比如說總行的領導，一級分行的行長這些負責人，他們是不是明確維護內部控制系統(tǒng)？包括規(guī)章制度的建設，組織結構這方面的合理性，都非常重要。還要看這個銀行有沒有積極的控制管理，是不是在整個組織中間具有控制覺悟或者自覺的控制態(tài)度?行長們對內控的基調是不是積極?單位里的員工其能力和他們的責任是不是相匹配?這里就涉及單位的人事政策，應該審理人事部門人事的管理程序和管理規(guī)定。管理層的經(jīng)營風格、授權、責任、組織和業(yè)務發(fā)展的方式是不是適當?法律部門難以承擔授權管理這個職責，但是有一個問題值得探討，就是授權管理的合規(guī)性是需要有人控制的，我們目前還沒有控制到，我們在內控上是有缺陷的。

行長也好，董事會也好，稽核委員會也好，是不是對內部控制給予足夠的重視了?巴塞爾委員會是這樣說的，董事會應該負責批準并且定期審查整個經(jīng)營戰(zhàn)略和銀行重大政策，理解銀行經(jīng)營的主要風險，確定這些風險的可接受的水平，保證高級管理層采取必要的步驟，識別、衡量、評審和控制風險。銀行的組織結構是由董事會批準的，高級管理層也要不斷評審內控系統(tǒng)的有效性，在確保建立和維護充分和有效的內控系統(tǒng)方面，董事會富有最終的責任。我們最近也在討論一個問題，我們行要成立一個主管內控的一個處室，大家發(fā)現(xiàn)內控沒有一定的組織保證不行，就要成立內控處。這個內控處設在哪兒？就是一個極為頭疼的問題。后來還是鑒于風險管理部的權威性比較高，把它放在風險管理部。但是風險管理和風險管理部并非一回事，風險管理是個很寬泛的概念，而銀行設風險管理部主要還是為了識別和評估信用方面的風險而制定政策并把關。風險管理部并不是管內部控制這方面的。后來實踐也證明，風險管理部根本沒有精力管這部分，項目的評審、客戶的評級、政策的制定、行業(yè)分析都已經(jīng)讓他們負擔很重了。這個內控處掛靠在風險管理部，它們草擬了一個文件，其中提到負責內部控制的是風險管理委員會。后來拿到我們部提意見，我給他提了意見，我說風險管理委員會不是內控的最終責任承擔者，最終的責任承擔者是董事會，與其他行不一樣，我們行有過董事會，這個董事會與20世紀90年代以前的人大常委會差不多，它并不是主要責任人，是一些人退休后，安排當一個董事，不像國外的董事真是代表股東的權益，有決策權。

巴塞爾委員會對高級管理層也提出了建議，就是高級管理層要維護組織結構，確定并執(zhí)行適當?shù)膬瓤卣?。例如國外都有合?guī)政策，是法律與合規(guī)部或者合規(guī)部負責的，我研究這個問題，究竟合規(guī)政策怎么制定?實際上很重要的就是認識內部控制。合規(guī)是依法合規(guī)，依法合規(guī)是前面介紹的內控的第四大目標，而合規(guī)和內控是什么關系。內控里一個重要組成部分是“控制活動”，合規(guī)是制定規(guī)章制度以后，看你是不是遵循，這應是最主要的控制活動。我們銀行出現(xiàn)的案件都是違規(guī)才出現(xiàn)的，如果100％按照規(guī)定去做，怎么會出案件?所以內部控制重點的一個問題就是抓合規(guī)性的控制，合規(guī)性的控制就是控制活動的主要的內容，所以你說內控和合規(guī)是什么關系?合規(guī)是內部控制的重要內容?？傂械囊?guī)章制度非常多，對于下面的人是不是可操作？總行不管；制定的規(guī)章制度互相矛盾，總行也不管。甚至制定出的規(guī)章制度還不全面，沒有真正的防范風險，就下達了，分行接了一種規(guī)章制度就跟接一個文一樣不執(zhí)行，不合規(guī)成了一種文化。這個是高級管理層要管的，必須維護良好的控制文化。

3銀行當前要特別控制的幾種風險值得研究。（1）道德風險。銀行要特別加強銀行的道德建設，我們發(fā)現(xiàn)這是控制出現(xiàn)問題，不合規(guī)的一個重要原因。有些基層出問題，就是因為選聘的人不講職業(yè)道德，同時出現(xiàn)很多給銀行干活實際上為自己干的情況。先是間接為自己干，然后就直接為自己干。有一家支行的女行長最后查出兩億多元的不良資產，你說怎么整的，她有多大的權限？后來發(fā)現(xiàn)她丈夫和她兒子開公司，錢都跑到他們家，她當支行行長當然好了，這也是一種“公司治理”。據(jù)說她家里寶馬車有兩三輛，稽核去查的時候，女支行行長珠光寶氣。當時有個稽核人員建議馬上雙規(guī)起來，誰想沒等查清人家跑了，到現(xiàn)在也沒找到。那是幾年前的事了。這說明怎么強調我們員工的職業(yè)道德教育都不過分。我們現(xiàn)在使用干部的時候不太關注道德風險，喜歡用和自己一致的“順手”的人，不善于從干部所管單位的群眾中了解干部的道德狀況，也不注意進行道德教育，甚至壓制群眾去服從某些所謂“有能力”甚至用權術的干部。這是銀行不斷產生高管人員案件的重要根源。選人其實選文化，用錯了一個人就提倡了一種錯誤的文化，會影響一大片。在座的處級干部，你們管底下的人員好管嗎？不好管。為什么？那個時代的奮斗精神、敬業(yè)精神、去掉個人私心雜念來維護集體的精神和銀行的利益高于一切的精神，現(xiàn)在都淡漠了，所以怎么能夠不出失控的問題？不是說改革了以后，這些問題就自然消失了。因此普遍開展職業(yè)道德教育十分必要。巴塞爾委員會指出：有問題銀行的案例中經(jīng)常看到內部失控，其中一大問題就是缺乏足夠的管理監(jiān)督和負責評估的能力，或者我們叫盡職，就是沒有能夠在銀行中發(fā)展一種很強的控制文化，重大損失的例子當中，無一例外地反映出銀行控制中管理疏忽和松懈，董事會和高級管理層的領導督促不力或者不充分，通過職務和責任的安排，看出管理者缺乏清晰的評估能力，有些案例也反映出管理層缺乏適當?shù)募顧C制，去對經(jīng)營層進行強有力的監(jiān)督，業(yè)務經(jīng)營和管理人員沒有保持高水平的控制覺悟。這是巴塞爾委員會提出來，是在總結國際上許多倒閉的銀行和銀行中發(fā)現(xiàn)重大案件中總結出來的。

（2）人事風險是銀行值得高度關注的風險。銀行首要的風險是人事風險。首先是我國銀行高級管理層的風險。我在2001年寫過一篇獲獎論文，題為“加強選配評審，防止領導風險”。在論證一番之后我得出結論：在銀行的各種風險中間，人事風險最大；在人事風險當中，管理層的風險最大；在管理層的風險中，領導班子的風險最大；在領導班子的風險當中，“一把手”的風險最大。這并不是在講“一把手”都不好。我前面講過什么是風險：風險是可能妨礙公司目標實現(xiàn)的因素。顯然公司總經(jīng)理和銀行董事長及行長的決策行動對目標實現(xiàn)的影響最大。好的“一把手”能夠承認這一點，從而認真肩負起全面的領導責任，確保副手各盡其職，并主動接受副手監(jiān)督。確實有些人反其道而行之，形成了風險，甚至招致了巨大損失。

這里不妨提一下銀行總行這些老總們的風險。我們總行的領導都是從部門總經(jīng)理或者一級分行的行長提升上來的，這些總經(jīng)理是不是總行乃至我國銀行界最優(yōu)秀的呢？對總經(jīng)理室成員有沒有授權制度呢？我應聘在外資銀行當管理人員的時候，首先接到的就是我的授權書，在這個授權書里，明確規(guī)定我向誰報告工作。我到中國銀行這么多年，沒有任何人給我授權，到目前為止，我做合規(guī)工作，沒有任何人給我授權，我是什么樣的權限，明確的沒有，不僅我沒有，其他老總大部分也沒有，甚至“一把手”也沒有，只有口頭授權，非正式的授權，而且這種授權很難說在什么情況下越權，在什么情況下有權自己獨立處理事務，那就因部門而異，因不同部門的“一把手”不同，他的管理風格不同而不同。部門總經(jīng)理室沒有統(tǒng)一的符合民主集中制的工作制度。在有些部門重大事項由“一把手”一個人或由他找合自己意的人簡單決定，只是為了避嫌才有時走個開會的形式。如果銀行里放任這種機制，如何教育和監(jiān)督部門總經(jīng)理?如何防止“一把手”出現(xiàn)道德問題?

另外，在我們的員工中有一些有特殊背景的員工，對他們應不應該有特殊政策?現(xiàn)在什么地方最好，人們就把子女送進什么地方。“文革”期間走后門最好的去處是參軍，誰要是家里有關系誰參軍。后來70年代是誰要有關系進好工廠。后來改革開放，國營企業(yè)紛紛倒閉，現(xiàn)在人們認為最可靠的是進銀行，所以許多有地位的人士都把子女送到銀行來。銀行好不好管？現(xiàn)在一些領導感覺挺難管的。什么叫有特殊背景？很難定義。當年毛澤東三令五申不準高干子弟搞特殊化。人事政策同銀行的企業(yè)文化有關系，我們現(xiàn)在將人事部改叫人力資源部，實際上就是人力資源市場化管理，關系學和人力資源市場化管理是矛盾的。西方有幾個學者發(fā)表了一篇論文講中國的關系學，他們說西方是不講關系的市場關系，中國是東方的那種以關系學為主導的市場關系，他們說這兩個都有一定的缺陷，最后的結論就是今后是不是西方能增加一點人情色彩，東方是不是減少點人情色彩。在管理人方面還是應該一視同仁。我個人覺得國有商業(yè)銀行內控的問題，首先是人的問題，不要搞拉拉扯扯和吹吹拍拍抬轎子，銀行尤其不能無原則地允許拉幫結派，要半軍事化管理。各級員工嚴守紀律，不分親疏，不應允許下級繞過直接上級去借助關系謀取個人便利。我們總行干部要從嚴要求，上得順理成章，下得順其自然。當然讓干部上或下都應該有充分的理由，而且把理由向當事人實事求是地講清楚，防止“暗箱操作”，防止利用“能上能下”去拉幫結派或打擊報復，防止以次充好。武漢市搞的人事改革試點，解決干部能下的問題要靠機制創(chuàng)新，解決三個問題：標準問題、渠道問題、保障問題。大量裁員中一個困難就是保障問題，要解決干部下了以后怎么辦的問題，不能說用人家的時候用人家，等下來的時候不管了。

（3）制度風險不容忽視。銀行是一個需要高度關注制度規(guī)定的行業(yè)。從表面看，銀行的規(guī)章制度堆積如山，似乎已經(jīng)很完善了。其實不然。形勢的發(fā)展、科技的進步、新產品的不斷涌現(xiàn)，呼吁銀行進一步加強規(guī)章制度的建設。管理的實質在于制定高質量的相互協(xié)調一致的規(guī)章制度，并且推動這些規(guī)制有效地執(zhí)行和落實。我們行在規(guī)章制度建設和管理中間，發(fā)現(xiàn)有些問題，規(guī)章制度制定的規(guī)范機制缺位，各級行都有權制定規(guī)章制度，沒有一個程序來保證規(guī)章制度制定的質量。這樣質量就有問題了。一方面主管部門制定規(guī)章制度的時候沒有規(guī)劃，有隨意性(當然隨意性不是到處都非常大)，缺乏對規(guī)章制度的論證，征求意見的范圍程序等也缺乏規(guī)定。另一方面在規(guī)章制度頒布并實施的時候，是不是需要測試?規(guī)章制度一經(jīng)制定出來就要執(zhí)行，還是先找?guī)讉€支行做試點試行，要不要對規(guī)章制度進行事后評價?規(guī)章制度執(zhí)行一兩年，評價一下規(guī)章制度對不對，有沒有缺陷，到底有沒有可操作性，這是一個很重要的問題?？傂幸话憬拥饺嗣胥y行和中央的規(guī)定就要落實中央的規(guī)定，制定一些規(guī)章制度。但把它們拿到分行、支行以后，人家看了很痛苦，為什么痛苦？因為他們沒法操作，這就是有問題。后評價是一種機制，能否導致起動相應的規(guī)章制度修改或者廢止的程序。評價完了以后，應當明確這個規(guī)章制度行不行、要不要廢止，誰來說廢止的話。

還有就是規(guī)章制度欠缺合法合規(guī)性的程序保證，因為沒有強制性的程序，致使規(guī)章制度和外部法律法規(guī)相沖突，出現(xiàn)不一致的現(xiàn)象。現(xiàn)在我們的規(guī)章制度要送審法律與合規(guī)部，送我這兒的規(guī)章制度中一大審查內容就是它合不合法，合不合人民銀行、中國政府的政策和規(guī)定。如果沒有一個程序，有些和人民銀行的規(guī)定相沖突，也導致不可操作。

還有一個問題是規(guī)章制度種類紛雜，缺乏統(tǒng)一規(guī)范。我們行過去的規(guī)章制度有24種，大量的通知、批復，函、附件等都構成規(guī)章制度，名稱缺乏統(tǒng)一規(guī)范，也導致規(guī)章制度命名的隨意性。什么叫管理規(guī)定，什么叫實施細則，什么叫做制度，出現(xiàn)相似內容運用不同的規(guī)章制度加以規(guī)范的情形。加上沒有對以上不同名稱的規(guī)章制度進行有層次的規(guī)定和說明，不但使用者眼花繚亂，大大削弱了規(guī)章制度的嚴肅性、權威性和系統(tǒng)性。

規(guī)章制度的信息化管理滯后，使員工難以了解規(guī)章制度所覆蓋的信息，總行發(fā)了個規(guī)章制度下來，在一級分行幾位行長中間傳閱，傳閱到最后有的都找不著了，有的是推，已經(jīng)到了需要向總行匯報情況的時候，其規(guī)章制度還沒有下發(fā)到執(zhí)行部門。進行規(guī)章制度培訓也是很必要的。尤其在貫徹執(zhí)行新規(guī)章制度的時候，人們對新的規(guī)定不熟悉，還沒有建立新的執(zhí)行機制，所以落實就大打折扣了。具體操作部門作為防范風險的第一道防火墻，需要及時掌握規(guī)制，總行的規(guī)章制度應當下發(fā)到使用者。我們經(jīng)常發(fā)現(xiàn)下去檢查工作的時候，包括稽核檢查工作的時候，一問規(guī)章制度怎么落實的，他們連見都沒見過。所以現(xiàn)在就實行無紙化的規(guī)章制度(電子化)。我們行現(xiàn)在一般的規(guī)章制度全部都是走電子系統(tǒng)，總經(jīng)理在批規(guī)章制度的時候全在電子信箱里簽字，這也是提高速度，不用打印了，會簽的時候在總行不同部門老總中間按照授權簽字。

國家應有“立法法”，銀行也應該有。應制定銀行的“立法法”，銀行規(guī)章制度管理辦法，來規(guī)范規(guī)章制度，通過嚴格合理的程序來設計和制定，使制定規(guī)章制度的程序規(guī)范、科學、連續(xù)、協(xié)調、統(tǒng)一、具有共享性，這個叫做法治和法制的統(tǒng)一。通過良好的程序設計，比如規(guī)定草案的規(guī)劃，會簽頒布，試行推廣，檢查和后評價，制定明確的程序來實行。另外，對規(guī)章制度的管理也要做一些相關的規(guī)定。

（4）還有一種風險叫組織結構風險。中國銀行一直有董事會，但是這個董事會應該是什么職能，現(xiàn)在是黨委書記、董事長、行長是一個人，今天看起來這種機制不對，行領導怎么進行分工和合作?總行的部門怎么劃分職責?銀行各個部門之間出現(xiàn)一種叫“扯皮文化”，有人稱“免責文化”，大家都不愿意負這個責任，有責任的時候推諉。這里有文化問題，也有組織機構設置和職能界定問題。辦文辦事拖拉，肯定降低工作效率，導致?lián)p失。內部控制究竟需不需要有專門的機構來管理?需不需要從屬于某個委員會?從屬于哪個委員會?如何以控制文化來取代這種所謂的“扯皮文化”和“免責文化”?這些都是我們值得研究的。

（5）應該大力防范操作性風險。首先案件的風險控制需要認真研究。我不覺得控制風險就是防范案件，案件是失控的典型表現(xiàn)，但不是唯一表現(xiàn)。事要發(fā)展到出案子了，要讓法院來管了，就太嚴重了！大量的失控不是案件，但是案件本身是失控的典型表現(xiàn)。因此不注重案件的分析和管理實際上是不對的，是我們白交學費。而且案件是一面明鏡，能照出銀行在控制上存在的問題，在法規(guī)上、在遵循上存在的問題。

我這兒也有一些案例，三防一保方面的案例，稽核方面的違規(guī)案例，我們確確實實有大量失控的例子。1996年有一個辦事處的副主任，兩個人共同策劃，利用已經(jīng)過期的存單采取不進賬的手法截留一個公司的存款600萬元，其中一部分作為利差返回公司，一部分作為該公司存款中介手續(xù)費。他把剩余的400多萬元都劃往了另一單位的營業(yè)部，給以其妻舅為法人代表注冊成立的一個貿易發(fā)展公司，作驗資款用，然后把其中200多萬元劃到上海兩家公司，把100多萬元歸還儲蓄戶，剩下的100多萬元劃到合伙作案人的賬上，用于經(jīng)營。最后這個案子追回了200多萬元，查扣了100多萬元，有300多萬元資金難以追回。工、農、建行都可能發(fā)生這類案子。我們最后把他開除公職，移送司法機關處理，有八名涉案人員和領導分別被警告和記大過處分，有一個人被辭退。我們總結教訓的時候就有這么幾條，一個是思想教育和素質培養(yǎng)上缺乏有效的方法和措施。這個人文化水平比較低，大概高中畢業(yè)，思想教育松懈在那個時期是很普遍的。另外我們對抓基層行網(wǎng)點機構的管理缺乏力度，對法規(guī)制度落實不到位，監(jiān)督制約機制不夠健全，這個案子反映出我們一系列失控的問題。在會計、儲蓄、結算等業(yè)務環(huán)節(jié)空白存單和業(yè)務公章、個人名章等的保管方面都存在一些漏洞。規(guī)章制度形同虛設，違規(guī)違章操作比較嚴重，個別員工明知不對，仍按領導意思辦理業(yè)務。知道不對，但是經(jīng)辦人照常去做。加上對內部管理缺乏監(jiān)督、制約，形成了重大損失。

這個案例實際上從控制環(huán)境的角度看出這個分理處存在的問題。我前面介紹了內部控制理論，從那個理論出發(fā)，我們可以看到銀行如果要想健全內控，防范風險，要想對內控和合規(guī)情況進行檢查和評價，應該運用一套規(guī)范的方法?？梢园凑諆瓤氐奈宕蠼M成部分，一個部分一個部分去進行檢查評價，而且人民銀行的內控指導原則已經(jīng)給我們提出來應該怎么抓。

（待續(xù)）

銀行風險的識別、評估與內部控制

楊海群

（上接 III）

四、僅供參考的政策建議

政策性建議之一，明確內部控制的評價標準。我們今后要健全內控，就要有標準，干什么事都要有標準。我在20世紀90年代就提出過四條原則性的標準。第一是要有現(xiàn)代內控理論做指導，這是一個理論體系，沒有這個體系做指導，非要自己單搞一攤，像許多人寫書，左抄右抄最后弄一本書，用上自己的名字，也不說明出處。我們的內控依據(jù)應當扎實可靠，要站在前人成果的基礎上。第二是要形成完整的有機結合的整體。我前面給大家介紹的內控體系和風險管理體系，就是一種有機結合的完整體系。內控有四大目標和五大組成部分，加上組織機構這第三維空間，就是個有機整體。我們開展內控建設和管理，就應該從這個框架(framework)出發(fā)。第三是方法上的先進性和可操作性，就是實實在在地開展內部控制，制定一整套規(guī)范的方法去開展內控，這些方法也要能跟國際接軌，我的專著中介紹的那套方法是非常好的控制方法，是在總結國內外經(jīng)驗的基礎上提出來的。第四是內控程序應當便于計算機化，你既然有高科技創(chuàng)造的PC和軟件，就應能實行計算機化。

政策性建議之二，績效考核要有合規(guī)性的目標和信息性的目標。內控有四個大目標，現(xiàn)在大多數(shù)銀行主要提兩個目標，特別是利潤目標(效益目標)，而沒有把合規(guī)性、信息性目標提出來。美國一些公司的丑聞已經(jīng)導致各國強調目標管理的全面性了，不是以利潤目標讓你得到獎金。針對安然事件，美國國會通過的一個索克斯法，這個法律里面規(guī)定，高級管理層通過虛報瞞報財務報表贏得的獎金，一旦發(fā)現(xiàn)，就讓退回原有的獎金，這等于把合規(guī)性和信息性(財務報告可靠性)的目標作為績效考核的標準。

政策性建議之三，建議銀行把內部控制的職能從風險管理部的工作中分離出來，不知道工行是不是這樣，我們曾經(jīng)把它放在風險管理部，風險管理包含但不等同于內部控制，“風險管理部”同“風險管理”不是同一概念。我一直這樣說明，它們的職能不同，風險管理部門實行自身的內控是應該的，但是由這個部門去協(xié)調指導全部的內部控制，就既可能干擾風險管理，又可能使內部控制落空。另外內部控制是全行各個部門的工作，當然我們最好有一個比較有權威的委員會來領導，由一個獨立的部門具體管這個事。這里有一個正確處理風險管理和內部控制的關系問題，要理順風險管理和內部控制的關系。

政策性建議之四，正確處理業(yè)務發(fā)展和管理控制的關系?，F(xiàn)在應該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展，聯(lián)合國有關機構認為應當是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難，我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款，當時有效益，新一任行長接手時形成了一大筆爛賬，就不是可持續(xù)發(fā)展。這點恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度，定期召開管理部門和業(yè)務發(fā)展部門之間的溝通會，對業(yè)務的可持續(xù)發(fā)展進行定期的評審。一方面要強調業(yè)務發(fā)展部門依法合規(guī)經(jīng)營，審慎辦理各種項目，否則酌情追究責任。另一方面要研究制定管理控制部門和人員的責任追究制度，管理控制部門不是沒有責任，現(xiàn)在業(yè)務發(fā)展部門有數(shù)字指標在那兒控制，沒有完成什么指標，就得扣獎金，管理部門沒有什么指標，怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務和結算業(yè)務，也深有體會。如果風險管理部審批一個項目拖拉怎么辦？因種種原因不批準一個項目，風險管理部要不要承擔風險?風險管理部大筆一揮這個項目不能干，你就不能干，至于說我們中行不辦，農行接過來了，農行給辦了，事后沒風險，還獲得了效益，還本付息很正常，追究不追究風險管理的責任?我曾經(jīng)跟風險管理的同事討論過這個問題，他們說那怎么追究，我在特定時期、特定情況下、特定政策下決定不批準這個項目，農行在他的環(huán)境里面批準了這個項目，你怎么能說我不對?這個問題有待于研究。業(yè)務發(fā)展與管理控制是一對矛盾，它們既對立又統(tǒng)一。只有正確處理，在矛盾中不斷提高水平。最好兩方面的人員，包括風險管理、法律合規(guī)和稽核監(jiān)督人員，都應該制定相關的責任制，要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關系。

政策性建議之五，為了加強對操作風險的防范，要研究風險怎么計量，國外都有一套理論模型，這套理論運用到我們中國銀行界怎么運用？需要研究和建立我們的操作風險計量模型。另外，操作風險的激烈表現(xiàn)就是案件的發(fā)生。各級機構負責人員都要切實重視案件防范工作。加強基層管理和內控建設，落實規(guī)章制度，解決某些人想干干不成，干了早發(fā)現(xiàn)、早預警的問題。要根治私設小金庫，銀行更不能發(fā)生這個問題，小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行，不讓海外行設小金庫。過去我們給海外行的工資比當?shù)赝赓Y銀行發(fā)的低，怎么解決呢？他們經(jīng)總行批準設一種小金庫，有時接待任務很重，也要有一點資金來源。但是我們發(fā)現(xiàn)設小金庫帶來的隱患很大，因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票，我們行發(fā)生的大量案例都是屬于規(guī)定了不許，但是還炒，炒輸了怎么辦？銀行人員從銀行掏錢比較容易，轉轉賬，搬搬科目，動動電腦上的鍵盤，就能解決這個問題。我們要加大有關責任人的追究。

政策性建議之六，希望能夠實施一套比較好的內部控制操作方法，講了半天內控，最終要落到實處，要開展控制活動，因此，應當運用和不斷完善規(guī)范的操作內控的方法。這與我們搞法律的也有關系。因為我們法規(guī)部內現(xiàn)在設了合規(guī)處，這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨立的“內控合規(guī)部”。我跟合規(guī)處同事們提出，如何通過一套完整的、比較先進的操作方法，能夠讓人們合規(guī)。這里要有一套評價體系，要根據(jù)我前面講的內容來進行評價。前面講的我那本書里有這個圖，圖示的操作還是挺不容易的，要分幾個階段，這個流程包含學習理論原理階段、前期準備階段、檢查階段、評價階段、報告階段，這是一套體系。如果真正實行了這套方法，我們國有商業(yè)銀行的內部控制問題，依法合規(guī)經(jīng)營的問題應該不會很大。

以上所言是本人對銀行強化風險管理和內部控制的一些粗淺的探討，以求引起各方面的高度重視。其中的一些問題是帶普遍性的，各家銀行都在研究解決。雖然有些不是法律問題，但是在銀行的法律工作中都應當了解。在改革開放的大潮席卷神州的形勢之下，我們冷靜地研究銀行的控制職能，特別是探索銀行如何通過風險管理和內部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展，應當不無意義。言多必失，歡迎批評指正。

(完）

注釋：本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權保護》。文中的圖示和注釋等因網(wǎng)絡格式轉換而未加。

銀行風險的識別、評估與內部控制

Identification, Assessment and Internal Control of Bank Risks

楊海群

（上接 III）

四、僅供參考的政策建議

政策性建議之一，明確內部控制的評價標準。我們今后要健全內控，就要有標準，干什么事都要有標準。我在20世紀90年代就提出過四條原則性的標準。第一是要有現(xiàn)代內控理論做指導，這是一個理論體系，沒有這個體系做指導，非要自己單搞一攤，像許多人寫書，左抄右抄最后弄一本書，用上自己的名字，也不說明出處。我們的內控依據(jù)應當扎實可靠，要站在前人成果的基礎上。第二是要形成完整的有機結合的整體。我前面給大家介紹的內控體系和風險管理體系，就是一種有機結合的完整體系。內控有四大目標和五大組成部分，加上組織機構這第三維空間，就是個有機整體。我們開展內控建設和管理，就應該從這個框架(framework)出發(fā)。第三是方法上的先進性和可操作性，就是實實在在地開展內部控制，制定一整套規(guī)范的方法去開展內控，這些方法也要能跟國際接軌，我的專著中介紹的那套方法是非常好的控制方法，是在總結國內外經(jīng)驗的基礎上提出來的。第四是內控程序應當便于計算機化，你既然有高科技創(chuàng)造的PC和軟件，就應能實行計算機化。

政策性建議之二，績效考核要有合規(guī)性的目標和信息性的目標。內控有四個大目標，現(xiàn)在大多數(shù)銀行主要提兩個目標，特別是利潤目標(效益目標)，而沒有把合規(guī)性、信息性目標提出來。美國一些公司的丑聞已經(jīng)導致各國強調目標管理的全面性了，不是以利潤目標讓你得到獎金。針對安然事件，美國國會通過的一個索克斯法，這個法律里面規(guī)定，高級管理層通過虛報瞞報財務報表贏得的獎金，一旦發(fā)現(xiàn)，就讓退回原有的獎金，這等于把合規(guī)性和信息性(財務報告可靠性)的目標作為績效考核的標準。

政策性建議之三，建議銀行把內部控制的職能從風險管理部的工作中分離出來，不知道工行是不是這樣，我們曾經(jīng)把它放在風險管理部，風險管理包含但不等同于內部控制，“風險管理部”同“風險管理”不是同一概念。我一直這樣說明，它們的職能不同，風險管理部門實行自身的內控是應該的，但是由這個部門去協(xié)調指導全部的內部控制，就既可能干擾風險管理，又可能使內部控制落空。另外內部控制是全行各個部門的工作，當然我們最好有一個比較有權威的委員會來領導，由一個獨立的部門具體管這個事。這里有一個正確處理風險管理和內部控制的關系問題，要理順風險管理和內部控制的關系。

政策性建議之四，正確處理業(yè)務發(fā)展和管理控制的關系?，F(xiàn)在應該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展，聯(lián)合國有關機構認為應當是現(xiàn)時的發(fā)展不給后續(xù)的發(fā)展造成困難，我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長發(fā)放大批貸款，當時有效益，新一任行長接手時形成了一大筆爛賬，就不是可持續(xù)發(fā)展。這點恐怕是商業(yè)銀行普遍遇到的問題。要建立信息交流制度，定期召開管理部門和業(yè)務發(fā)展部門之間的溝通會，對業(yè)務的可持續(xù)發(fā)展進行定期的評審。一方面要強調業(yè)務發(fā)展部門依法合規(guī)經(jīng)營，審慎辦理各種項目，否則酌情追究責任。另一方面要研究制定管理控制部門和人員的責任追究制度，管理控制部門不是沒有責任，現(xiàn)在業(yè)務發(fā)展部門有數(shù)字指標在那兒控制，沒有完成什么指標，就得扣獎金，管理部門沒有什么指標，怎么干的獎金都能發(fā)給你們。我以前也管過公司業(yè)務和結算業(yè)務，也深有體會。如果風險管理部審批一個項目拖拉怎么辦？因種種原因不批準一個項目，風險管理部要不要承擔風險?風險管理部大筆一揮這個項目不能干，你就不能干，至于說我們中行不辦，農行接過來了，農行給辦了，事后沒風險，還獲得了效益，還本付息很正常，追究不追究風險管理的責任?我曾經(jīng)跟風險管理的同事討論過這個問題，他們說那怎么追究，我在特定時期、特定情況下、特定政策下決定不批準這個項目，農行在他的環(huán)境里面批準了這個項目，你怎么能說我不對?這個問題有待于研究。業(yè)務發(fā)展與管理控制是一對矛盾，它們既對立又統(tǒng)一。只有正確處理，在矛盾中不斷提高水平。最好兩方面的人員，包括風險管理、法律合規(guī)和稽核監(jiān)督人員，都應該制定相關的責任制，要界定清楚什么情況屬于管理者失職或瀆職。這樣才能處理好所謂“踩油門”和“踩剎車”的關系。

政策性建議之五，為了加強對操作風險的防范，要研究風險怎么計量，國外都有一套理論模型，這套理論運用到我們中國銀行界怎么運用？需要研究和建立我們的操作風險計量模型。另外，操作風險的激烈表現(xiàn)就是案件的發(fā)生。各級機構負責人員都要切實重視案件防范工作。加強基層管理和內控建設，落實規(guī)章制度，解決某些人想干干不成，干了早發(fā)現(xiàn)、早預警的問題。要根治私設小金庫，銀行更不能發(fā)生這個問題，小金庫最終帶來的后果是不好的。現(xiàn)在我們在查海外行，不讓海外行設小金庫。過去我們給海外行的工資比當?shù)赝赓Y銀行發(fā)的低，怎么解決呢？他們經(jīng)總行批準設一種小金庫，有時接待任務很重，也要有一點資金來源。但是我們發(fā)現(xiàn)設小金庫帶來的隱患很大，因此命令撤除小金庫。另外要禁止職工炒賣外匯或者炒賣股票，我們行發(fā)生的大量案例都是屬于規(guī)定了不許，但是還炒，炒輸了怎么辦？銀行人員從銀行掏錢比較容易，轉轉賬，搬搬科目，動動電腦上的鍵盤，就能解決這個問題。我們要加大有關責任人的追究。

政策性建議之六，希望能夠實施一套比較好的內部控制操作方法，講了半天內控，最終要落到實處，要開展控制活動，因此，應當運用和不斷完善規(guī)范的操作內控的方法。這與我們搞法律的也有關系。因為我們法規(guī)部內現(xiàn)在設了合規(guī)處，這種把合規(guī)職能放在法律部門的方式還有待觀察和研究。我本人傾向把內控與合規(guī)以及反洗錢等方面的職能歸屬到一個獨立的“內控合規(guī)部”。我跟合規(guī)處同事們提出，如何通過一套完整的、比較先進的操作方法，能夠讓人們合規(guī)。這里要有一套評價體系，要根據(jù)我前面講的內容來進行評價。前面講的我那本書里有這個圖，圖示的操作還是挺不容易的，要分幾個階段，這個流程包含學習理論原理階段、前期準備階段、檢查階段、評價階段、報告階段，這是一套體系。如果真正實行了這套方法，我們國有商業(yè)銀行的內部控制問題，依法合規(guī)經(jīng)營的問題應該不會很大。

以上所言是本人對銀行強化風險管理和內部控制的一些粗淺的探討，以求引起各方面的高度重視。其中的一些問題是帶普遍性的，各家銀行都在研究解決。雖然有些不是法律問題，但是在銀行的法律工作中都應當了解。在改革開放的大潮席卷神州的形勢之下，我們冷靜地研究銀行的控制職能，特別是探索銀行如何通過風險管理和內部控制發(fā)揮支持和穩(wěn)定中國社會的可持續(xù)發(fā)展，應當不無意義。言多必失，歡迎批評指正。

(完）

注釋：本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權保護》。文中的注釋等網(wǎng)絡因格式轉換而未加。

第三篇：企業(yè)財務風險識別與控制

【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!企業(yè)財務風險識別與控制

潘孟婷

摘要：在我國經(jīng)濟快速發(fā)展的背景下，市場經(jīng)濟競爭也越來越激烈，過去只看發(fā)展速度的局面已經(jīng)不復存在，企業(yè)穩(wěn)定已經(jīng)成為目前我國企業(yè)發(fā)展面對的主要難題。我國企業(yè)財務風險的識別與控制研究在國際企業(yè)風險理論研究中起步較晚，傳統(tǒng)的理論研究過于零星、分散，難以形成體系，預警能力有限。筆者結合多年對企業(yè)財務風險的理論研究，對企業(yè)財務風險的識別與控制做進一步分析，希望在現(xiàn)實的經(jīng)濟發(fā)展中，企業(yè)應樹立財務風險意識，采取有效措施防范財務風險，積極促進企業(yè)財務系統(tǒng)的健康發(fā)展和經(jīng)濟效益的提高。

關鍵詞：企業(yè)；財務風險；識別；控制

一、企業(yè)財務風險的成因

從宏觀環(huán)境方面分析。首先，全球一體化經(jīng)濟發(fā)展對企業(yè)財務風險有宏觀影響。隨著全球經(jīng)濟一體化發(fā)展，我國更加積極參與其中，從而在整體經(jīng)濟環(huán)境、法律環(huán)境、行業(yè)環(huán)境、市場環(huán)境、社會環(huán)境等諸多方面對企業(yè)財務風險形成影響，是企業(yè)財務風險的宏觀環(huán)境因素；其次，國家政策的變化帶來融資風險。企業(yè)融資受國家經(jīng)濟政策影響較大，如提升存款準備金率，企業(yè)商業(yè)銀行貸收緊，企業(yè)的資金供給首先受阻，融資風險增加；再次，利率水平和外匯匯率水平的影響，利率的增加造成了企業(yè)的付息壓力，以及相應的財務風險。同時當企業(yè)進行融資時使用外幣時，外匯匯率浮動對企業(yè)也會形成財務風險；最后，銀行融資渠道不流暢，企業(yè)融資的主要渠道是銀行融資，而銀行融資受政策影響較大，并且銀行融資門檻對大部分企業(yè)過高，因此，銀行融資渠道不流暢也會增加企業(yè)的財務風險。

從企業(yè)自身方面分析。首先，企業(yè)管理者的風險意識淡薄，企業(yè)管理者和企業(yè)財務人員對財務風險識別與控制意識淡薄，重視程度不高，使企業(yè)財務風險容易存在于企業(yè)交易過程中，特別是賒銷環(huán)節(jié)，如果對客戶信譽了解不夠，會給企業(yè)財務造成嚴重風險。其次，財務管理決策缺乏科學性導致決策失誤而產生財務風險。如固定資產投資決策缺乏科學性導致投資失誤、對外投資決策失誤，導致大量投資損失、籌資規(guī)模和結構決策不當導致財務風險的產生等；再次，企業(yè)存貨和應收賬款機制不健全，存貨和應收賬款機制不健全對企業(yè)流動資金產生消極影響，進而加大財務的風險；；另外，企業(yè)各部門間的財務關系多樣性，資金使用與分配等管理分工不清導致的混亂現(xiàn)象，進一步促使企業(yè)的資金流動性安全性降低，嚴重時會造成資金流失的問題。

二、企業(yè)財務風險的識別

（一）企業(yè)財務風險的主要識別方法及其優(yōu)缺點分析

1、報表分析法

主要是指通過企業(yè)財會的各類報表對企業(yè)各項資產狀況進行綜合分析，以報表為突破口，分析企業(yè)面臨的各類財務風險。這種方法的優(yōu)點是可以省去一部分繁瑣的資料收集工作，進而提高風險管理的工作效率，還可以提高報表本身的編制質量，直接分析由此可能引起的財務風險。這種方法的缺點是受地域限制，數(shù)值可比性較差；行業(yè)性質相近或者經(jīng)營方式、規(guī)模相同也會限制比較分析法的應用；單純用大量數(shù)據(jù)表示，缺少對問題實質的挖掘。

2、指標分析法

主要指根據(jù)企業(yè)財會的各項數(shù)據(jù)，對企業(yè)財務風險的相關指標進行計算、監(jiān)測，從而對結果進行科學分析，以便在企業(yè)發(fā)展中可以加強對企業(yè)財務風險的識別與控制，并對進行科學分析，使企業(yè)現(xiàn)實的經(jīng)濟發(fā)展中有效防范財務風險。這種方法運用的優(yōu)點是對企業(yè)的財務風險分析，需要考慮的指標包括銷售利潤率、資產報酬率、資產負債率、存貨周轉率等等，這些指標涉及企業(yè)的基礎數(shù)據(jù)絕大多數(shù)來自企業(yè)的財務報告和統(tǒng)計表，應用效果較為顯著。【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!這種方法運用的缺點：企業(yè)數(shù)據(jù)可靠性有待查驗，基礎數(shù)據(jù)真實性不足，也會影響結果判定。

3、概率和數(shù)理統(tǒng)計法

主要指對財務風險因素的發(fā)生進行梳理統(tǒng)計，以便將結果應用于財務風險的識別與控制中。

優(yōu)點：研究范圍包含很多不確定因素，以及樣本的總體情況和分析情況，并且可以推及社會研究和科學探索高度，可以進行統(tǒng)計性預測。

缺點：過程較為繁瑣，應用不過程便捷性不高。

（二）識別方法的改進

1、創(chuàng)新企業(yè)財務風險識別方式

第一，補充盈利能力的指標

首先補充凈利潤現(xiàn)金比率，該指標可以反映出在企業(yè)利潤中現(xiàn)金支持的比例，使用者由此可分析利潤的現(xiàn)金保障程度；其次，補充主營業(yè)務收現(xiàn)率，該指標是評價企業(yè)銷售質量的指標，通過對其進行分析清楚的掌握企業(yè)主營業(yè)務收入中有多少以應收帳款的形式存在，其中有多大比例轉換成了現(xiàn)金。

第二，完善償債能力指標

如現(xiàn)金到期債務比和利息保障倍數(shù)，現(xiàn)金到期債務比指標能有效地反映企業(yè)所有活動產生的現(xiàn)金凈流量對到期債務的保障程度，能穩(wěn)健的反映企業(yè)的償債能力。利息保障倍數(shù)能有效地反映經(jīng)營活動現(xiàn)金償還債務利息的能力。

2、加大企業(yè)財務風險識別方法綜合性進程

要全面地看問題，而不是孤立片面地只看到個別財務指標的高與低，就得出好與壞的結論。使用企業(yè)的財務指標考察結果，在不同場合以及時間對某一對象進行評估，得出的結論可能是天差地別的。所以，企業(yè)在對財務風險進行評估的過程中，不能只孤立地考察一些指標的某一方面作用，而要通過分析某具體指標對于不同方面所施加的影響加以綜合分析。

三、企業(yè)財務風險的控制對策

（一）從財務制度方面進行控制

1、完善企業(yè)風險管理委員會

完善對企業(yè)風險管理委員會的管理，要成立董事會直接領導的風險管理委員會，制定企業(yè)風險管理制度，負責監(jiān)控企業(yè)管理人員管理運作情況，對企業(yè)重大風險管理事項進行集體決策。

2、推進落實風險控制相關制度

公司應當完善并嚴格實行投資分析和投資決策機制，加強研究對投資決策的支持，防止投資決策的隨意性。公司應當建立完善投資授權制度，明確界定投資權限，防止投資管理人員越權從事投資活動。

（二）從財務風險意識方面進行控制

1、強化風險管理理念

企業(yè)財務風險識別與控制離不開企業(yè)強有力的財務風險管理理念，企業(yè)管理者要居安思危，對財務風險識別與控制要早作安排，樹立風險觀念，以便應對突發(fā)財務風險，及時反應對策，將損失降到最低。所以，企業(yè)管理者要對企業(yè)這些方面加強財務風險識別與防范意識。

2、鼓勵企業(yè)全員風險意識

企業(yè)財務風險識別與控制僅僅依靠企業(yè)管理者是不夠的。要鼓勵企業(yè)全員加強財務風險意識，要明確在企業(yè)各個經(jīng)營環(huán)節(jié)財務風險發(fā)揮的作用，以便對其進行監(jiān)督檢查，防范風險的發(fā)生。另外，企業(yè)財務管理人員必須將風險防范貫穿于財務管理工作的始終。學習和掌握風險管理理論與方法，這就需要提高自身知識水平、加強業(yè)務學習，才能有效提高風險管理水平。

【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!

（三）從財務決策機制方面進行控制

1、加強財務管理機制對市場環(huán)境的適應能力

面對市場環(huán)境的順息萬變，企業(yè)財務管理部門一定要做好財務管理基礎工作，健全各項財務管理制度，使財務信息質量能夠有效的提高。企業(yè)應加大資金使用與管理的監(jiān)控體系，在公司債務、資產、投資回收和資產增值等方面的管理和監(jiān)控進一步加大，積極有效的管理好貸款和擔保等事項。

2、創(chuàng)新科學的財務決策機制

所創(chuàng)新的投融資決策機制必須科學、高效，實行以財務指標為核心評估標準的制度化措施，確保決策形式的科學性，對融資成本進行整改下調，實現(xiàn)投融資利益的提升。企業(yè)集團要加快風險抑制有效機制的創(chuàng)建，完善風險辨別與預警機制，量化評估內在與實際風險，通過科學的風險技術管理方法來降低財務風險。另外，還要構建集團財務管理相符的產權與財權機制，如子公司財務管理辦法、代表產權報告機制等。

（四）從財務預警系統(tǒng)方面進行控制

要建立短期的企業(yè)財務預警系統(tǒng)，其主要作用在于考察企業(yè)的現(xiàn)金流動，因為對企業(yè)來說，是否能夠進一步發(fā)展，除了實際的盈利情況外，還必須考察是否有足夠的流動資金維持不同的支出。短期預警系統(tǒng)可通過對現(xiàn)金的流量的分析實現(xiàn)編制現(xiàn)金流量預算。通過現(xiàn)金流量分析結果可全面反映出企業(yè)動態(tài)的現(xiàn)金流動情況。如果企業(yè)存貨或經(jīng)營性應收項目減少，說明產品庫存積壓少，貨款回籠情況較好，企業(yè)的經(jīng)營能力較強；反過來看，投資者應高度警惕企業(yè)經(jīng)營活動產生的現(xiàn)金凈流量小于凈利潤這種情況，如果應收款項及存貨上升，則企業(yè)經(jīng)營能力下降。應收款項、應付款項及存貨項目中的任何一項失衡，都會導致企業(yè)危機產生，可將這三個項目作為短期財務風險的警源。為能準確編制現(xiàn)金流量預算，企業(yè)應將各具體目標進行匯總，并將預期未來收益、現(xiàn)金流量、財務狀況及投資計劃等，以數(shù)量化形式加以表達，以周、月、季、半年及一年為期，建立滾動式現(xiàn)金流量預算。建立企業(yè)全面預算，預測未來現(xiàn)金收支的狀況，第二，建立長期財務預警系統(tǒng)

從根本上講，企業(yè)發(fā)生財務風險是由于舉債等導致的，企業(yè)在建立短期財務預警系統(tǒng)的同時還要建立長期財務預警系統(tǒng)。從綜合評價企業(yè)的獲利能力、償債能力、經(jīng)濟效率、發(fā)展?jié)摿Φ确矫嫒胧址婪敦攧诊L險。

從資產獲利能力分析，監(jiān)測的指標有：總資產報酬率（息稅前利潤資產平均總額），表示每元資本的獲利水平，反映企業(yè)運用資產的獲利能力；成本費用利潤率（營業(yè)利潤成本費用總額），反映每耗費一元所得利潤水平越高，企業(yè)獲利能力越強。

從償債能力分析，監(jiān)測的指標有：流動比率（流動資產流動負債），該指標反映企業(yè)資產的流動性，該比率越高，償債能力就越強；資產負債率，資產負債率一般為40～60%，在投資報酬率大于借款利率時，借款越多，利息越多，同時財務風險也越大。

從經(jīng)濟效率分析，監(jiān)測的指標有：反映資產運營指標的應收賬款周轉率與產銷平衡率。

從發(fā)展?jié)摿Ψ治?，監(jiān)測的指標有：總資產凈現(xiàn)率=（經(jīng)營活動所產生現(xiàn)金凈流量+分得股利或利潤所收到現(xiàn)金+現(xiàn)金利息支出+所得稅付現(xiàn)）平均總資產；銷售凈現(xiàn)率（經(jīng)營活動產生現(xiàn)金凈流量銷售收入凈額）；股東權益收益率（凈利潤平均股東權益）。

綜合以上各方面分析，對企業(yè)財務風險識別與控制的對策主要有從財務制度方面進行控制、從財務風險意識方面進行控制、從財務決策機制方面進行控制、從財務預警系統(tǒng)方面進行控制這樣幾個方面，隨著對企業(yè)財務風險識別與控制理論研究的深入，將從更多的方面對企業(yè)財務風險進行更加科學、合理的控制，以保障企業(yè)的長遠穩(wěn)定發(fā)展。

參考文獻：

[1] 王小惠.企業(yè)財務風險的成因及其防范[J].經(jīng)濟師，2014（02）.【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!

[2] 賀婕，田野.企業(yè)財務風險的識別與控制研究[J].中外企業(yè)家，2015（02）.[3] 沈廣.對企業(yè)財務風險的識別和控制研究[J].經(jīng)濟研究導刊.2014（34）.[4] 胡秀梨.企業(yè)財務管理風險的識別與控制研究[J].中國證券期貨.2013（7X）.[5] 賀迪媛，崔莉.企業(yè)財務風險控制及其防范[J].現(xiàn)代經(jīng)濟信息.2015（14）.[6] 仲心想.探析企業(yè)財務風險防范控制策略[J].企業(yè)導報.2015（14）.【核心期刊網(wǎng)】——中國權威論文發(fā)表平臺，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導!

第四篇：全面風險管理與企業(yè)內部控制

全面風險管理與企業(yè)內部控制

說到風險管理，有個概念是必須要提到的，即企業(yè)內部控制。在實踐中有很多企業(yè)不能真正理解全面風險管理與內部控制的區(qū)別和聯(lián)系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。那么它們有什么聯(lián)系和差異呢？目前國際上基本上是接受了美國COSO（全國虛假財務報告委員會的發(fā)起人委員會）2004年發(fā)布的《企業(yè)風險管理——整合框架》（國內也有譯作《全面風險管理框架》的）對兩者的闡釋。

一、按COSO框架，兩者的聯(lián)系為：

（1）全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控，將之作為一個子系統(tǒng)。

（2）內部控制是全面風險管理的必要環(huán)節(jié)。內部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務流程之中的風險，內控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統(tǒng)也是國內外許多法律法規(guī)的合規(guī)要求。因此，滿足內部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應該達到的基本狀態(tài)。

二、內部控制與全面風險管理的差異為：

（1）兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標，而全面風險管理則貫穿于管理過程的各個方面，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內部控制。

（2）兩者的活動不一致。全面風險管理的一系列具體活動并不都是內部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰(zhàn)略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業(yè)經(jīng)營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。

（3）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的四項目標。這些內容都是現(xiàn)行的內部控制框架所不能做到的。

從國際國內發(fā)展趨勢來看，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統(tǒng)一。

三、內部控制與全面風險管理的產生和發(fā)展

內部控制和風險管理的概念是在實踐中逐步產生、發(fā)展和完善起來的。

在20世紀30年代，由于受到1929－1933年的世界性經(jīng)濟危機的影響，美國約有40％左右的銀行和企業(yè)破產，經(jīng)濟倒退了約20年。美國企業(yè)為應對經(jīng)營上的危機，許多大中型企業(yè)都在內部設立了保險管理部門，負責安排企業(yè)的各種保險項目。可見，當時的內部控制和風險管理主要依賴保險手段。

1949年美國審計程序委員會下屬的內部控制專門委員會經(jīng)過兩年研究發(fā)表了題為《內部控制，協(xié)調系統(tǒng)諸要素及其對管理部門和注冊會計師的重要性》的專題報告，第一次對內部控制做了權威性的定義。1955年，美國賓夕法尼亞大學沃頓商學院的施耐德教授第一次提出了“風險管理”的概念。

20世紀70年代中期，作為美國“水門事件”調查結果，立法者和監(jiān)管團體開始對內部控制問題給以高度重視。為了制止美國公司向外國政府官員行賄，美國國會于1977年通過了“國外腐敗實務法案（1977）”。該法案除了反腐敗條款外，還包含了要求公司管理層加強會計內部控制的條款。該法案成為美國在公司內部控制方面的第一個法案。1978年，美國執(zhí)業(yè)會計協(xié)會下面的柯恩委員會（Cohen Commission）提出報告，一是建議公司管理層在披露財務報表時，提交一份關于內控系統(tǒng)的報告；二是建議外部獨立審計師對管理者內控報告提出審計報告。1980年后，內部控制審計的職業(yè)標準逐漸成形。而且，這些標準逐漸得到了監(jiān)管者和立法者的認可。1970年代以后，隨著企業(yè)面臨的風險復雜多樣和風險費用的增加，法國從美國引進了內部控制和風險管理并在法國國內傳播開來。與法國同時，日本也開始了風險管理研究。此后20年來，美國、英國、法國、德國、日本等國家先后建立起全國性和地區(qū)性的風險管理協(xié)會。1983年在美國召開的風險和保險管理協(xié)會年會上，世界各國專家學者云集紐約，共同討論并通過了“101條風險管理準則”，這是風險管理走向實踐化的一個重要文件。1992年9月，美國COSO委員會發(fā)布了《企業(yè)內部控制——整合框架》，這份框架此后被納入政策和法規(guī)之中，并被各國數(shù)千家企業(yè)用來為實現(xiàn)既定目標所采取的行動加以更好的控制。1995年由澳大利亞和新西蘭聯(lián)合制訂的AS/NZS 4360明確定義了風險管理的標準程序，這就是我們通常說的澳新ERM標準，這標志著第一個國家風險管理標準的誕生。

多年來，人們在風險管理實踐中逐漸認識到，一個企業(yè)內部不同部門或不同業(yè)務的風險，有的相互疊加放大，有的相互抵消減少。因此，企業(yè)不能僅僅從某項業(yè)務、某個部門的角度考慮風險，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。然而，盡管很多企業(yè)意識到全面風險管理，但是對全面風險管理有清晰理解的卻不多，已經(jīng)實施了全面風險管理的企業(yè)則更少。但2001年11月的美國安然公司倒閉案和2002年6月的世通公司財務欺詐案，加之其它一系列的會計舞弊事件，促使企業(yè)的風險管理問題受到全社會的關注。2002年7月，美國國會通過薩班斯法案（Sarbanes-Oxley法案），要求所有在美國上市的公司必須建立和完善內控體系。薩班斯法案被稱為是美國自1934年以來最重要的公司法案，在其影響下，世界各國紛紛出臺類似的方案，加強公司治理和內部控制規(guī)范，加大信息披露的要求，加強企業(yè)全面風險管理。接著在2004年9月，COSO發(fā)布《企業(yè)風險管理——整合框架》（Enterprise Risk Management — Integrated Framework），該框架拓展了內部控制，更加關注于企業(yè)全面風險管理這一更為寬泛的領域，并隨之成為世界各國和眾多企業(yè)廣為接受的標準規(guī)范。

到目前為止，世界上已有30幾個國家和地區(qū)，包括所有資本發(fā)達國家和地區(qū)及一些發(fā)展中國家如馬來西亞，都發(fā)表了對企業(yè)的監(jiān)管條例和公司治理準則。在各國的法律框架下，企業(yè)有效的風險管理不再是企業(yè)的自發(fā)行為，而成為企業(yè)經(jīng)營的合規(guī)要求。

四、內部控制與全面風險管理運用的一些誤區(qū)

（1）把內部控制與全面風險管理體系的建設理解為建章立制。其實從 COSO框架的定義中，我們可以看出它們都被明確為是一個“過程”，不能當作某種靜態(tài)的東西，如制度文件、技術模型等，也不是單獨或額外的活動，如檢查評估等，最好是內置于企業(yè)日常管理過程中，作為一種常規(guī)運行的機制來建設。

（2）內部控制體系和全面風險管理體系是相互獨立的。建設內部控制和全面風險管理體系都是一個系統(tǒng)工程，兩者在內涵上也有一定重合，企業(yè)需要綜合考慮自身業(yè)務特點、發(fā)展階段、信息技術條件、外部環(huán)境要求等，確定選擇合適的管理體系和建設重點。比如，在監(jiān)管嚴格的金融業(yè)或涉及人民生命健康的制藥與醫(yī)療行業(yè)，風險管理的迫切性更強，企業(yè)以風險管理主導內部控制可能更方便。而在另一些企業(yè)，為了符合信息披露中內部控制報告的要求，企業(yè)以內部控制系統(tǒng)為主導、兼顧風險管理可能更適合。在相關管理理論和實踐不斷發(fā)展變化的今天，有時候先做起來比爭論更有意義。

（3）內部控制和全面風險管理的作用被夸大。有些企業(yè)對內部控制和風險管理體系的建設寄有過高期望，他們希望內部控制和風險管理可以確保企業(yè)的成功、確保財務報告的可靠性和法律法規(guī)的遵循性。而實際上無論多么先進的內部控制和風險管理體系都只能為企業(yè)相關目標的實現(xiàn)提供合理的而非絕對的保證。

（4）內部控制與全面風險管理理念在企業(yè)實踐落地難。由于新的管理理念和方法的引進，與國內企業(yè)原有的管理體系和觀點存在較多的差異和差距，目前這些理念和方法還更多的處于導入階段，大多數(shù)企業(yè)管理人員還不能在這些框架和概念與企業(yè)的日常經(jīng)營管理行為和語言之間建立直接的聯(lián)系。這造成了企業(yè)在這方面的理解有差異或者關注度不夠，除非出現(xiàn)強制性的相關規(guī)范和要求。其實這些理念、概念的出現(xiàn)并不是說企業(yè)就缺乏這些，事實是理論來源于實踐又高于實踐，這些理論的提出有助于我們將散布于企業(yè)管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合。

[編輯]

斯坦福大學研究院的企業(yè)全面風險管理框架

斯坦福大學研究院提出的是企業(yè)全面風險管理（CERM：Comprehensive Enterprises Risk Management）框架。

企業(yè)全面風險管理（CERM：Comprehensive Enterprises Risk Management）強調通過量化分析支撐下的決策分析，在決策層面上管控戰(zhàn)略方向選擇、重大業(yè)務決策等方面的風險。相形之下，COSO風險管理框架以內控為中心，強調通過制度、流程和財務等手段，在業(yè)務層面上

管控運營、操作過程中的風險。它可以在企業(yè)整體層面制定風險戰(zhàn)略，構建內控體系，完善風險管理制度，優(yōu)化流程和組織職能，為企業(yè)構建風險管理的長效機制，從根本上提升風險管理的效率和效果，最終幫助企業(yè)實現(xiàn)風險管理的各項目標，包括：

? 建立包括風險識別、風險測評、風險應對和風險監(jiān)控

在內的企業(yè)風險管理體系

? 利用系統(tǒng)的、科學的方法對各類風險進行識別和分析

? 將風險應對措施落實到企業(yè)的制度、組織、流程和職

能當中

? 形成企業(yè)風險管理戰(zhàn)略，支持企業(yè)經(jīng)營戰(zhàn)略目標的實

現(xiàn)

? 使所有企業(yè)利益相關人了解企業(yè)的風險，滿足股東以

及監(jiān)管機構的要求

第五篇：企業(yè)全面風險管理

企業(yè)全面風險管理報告

一、xxxx企業(yè)全面風險管理工作回顧

（一）企業(yè)全面風險管理工作計劃完成情況。

1．重大風險情況

xxxx公司對重大風險管理采取提前預防、重點控制、專人監(jiān)控、專項處理的管理策略。公司對風險控制措施得當，運行有效，未發(fā)生風險事件。對于重大風險的應對方案，公司采取演練重大風險發(fā)生，尋找處理過程中的不足，對應對方案進行優(yōu)化和改進，同時加強風險知識學習與經(jīng)驗交流，樹立風險意識和危機意識，提前做好重大風險的預防工作。

（二）企業(yè)重大風險管理情況。

做好了重大風險預警機制。公司風險管理小組對已確立的風險事件進行監(jiān)控，定期對風險事件發(fā)生的可能性進行評估，當估值達到預警指標值時啟動預警機制，根據(jù)預警機制對風險事件因素進行處理，防范避免風險事件發(fā)生。本企業(yè)在2012無重大風險情況。

（三）風險管理體系建立運行情況。

1、風險管理組織體系

公司經(jīng)營班子設置總經(jīng)辦，下設綜合管理部，生產部、