银行风险的识别、评估与内部控制BankRisks'Identification,AssessmentAndInternalControl杨海群按语本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著《公司治理与银行控制》下卷中“加强选配评审,防止领导风险”这一章。“银行风险的识别、评估与内部控制”这个题目涉及两方面:一方面涉及的是风险管理,另一方面涉及内部控制。不管是法律工作者还是银行的管理者,都会遇到下面要提出来的问题,就是怎么来处理业务发展和管理控制的关系,怎么在实现战略目标的过程中,一方面把握住我们自己,另一方面也把握住我们所领导的团队?另外,怎么防止银行的工作人员或者业务活动失去控制?搞法律的人员不如搞经营管理的涉入那么多的具体业务,但是由于你们是银行的法律工作者,所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件:第一个叫资本充足,就是银行要保证有足够的资本金;第二个内控要严密,还不是一般的内部管理,而是内部控制要严密;第三个运营要安全,实际上运营安全也是要在前两者的基础之上才能实现;第四个服务和效益要好,没有安全,也不可能服务好或者说令客户满意,服务差也不可能把效益搞上去。这是银监会《关于中国银行、中国建设银行公司治理改革与监管指引》文件很明确地提出来的要求。中行和建行要重组上市,就要实现银监会提出的四个要求。恐怕农行和工行下一步也要遇到这个问题,也准备在中行和建行上市成功之后,经历这个过程。我们这两家银行先试一试,估计在上市过程中会有更多的难题。我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫《基业常青》,他把一个一般的企业发展成比较大的企业,积累了一些经验,他的书里面有这么一句话:“伟大的公司要想生存,必须拥有一个持久的观念,这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后,这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体,而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司,之所以能够成功,原因就在于无论发生什么变化,它们的核心观念毫不动摇。”他说得很深刻,他说:“只有从过眼烟云的变革中看到背后永恒的管理法则,人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题,中国银行伟大不伟大?90多年的历史,应该是一个伟大的公司,但是这个伟大公司的伟大之处怎么体现呢?那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要,实际上内控原理是一种管理法则,我们通过研究内部控制的理论来转变我们的经营观念,来增强控制意识,提高管理水平,这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提,那就是说我不认为只要一个银行能够跑到股票市场上去,在那里销售我们的股票,来套股民的钱,我们就是一个公司治理机制良好的银行。因为它上市成功的前提首先要具备较多的控制意识,有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求,把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容,是银行组织机构安全和良好运营的关键,这是巴塞尔委员会提出的要求。一个强有力的内控系统,能够帮助确保银行机构的目标和目的的实现,使得银行取得长期的利润目标,维护财务报告和管理报告的可靠性,并且确保银行遵循法律和规章制度,以及一系列政策、计划、内部规定和程序,减少始料不及的损失和有损银行声誉的风险。为了强调内控,我重点介绍下面四个方面的问题:第一,是介绍内部控制理论已经解决的问题。第二,从我在中行的新体验来看看我们国家银行内部控制的发展。第三,我们对银行当前内部的控制问题进行初步的研究。第四,提出一些政策建议仅供大家参考。一、内控理论已经说明的问题我们在提到银行的管理、银行的控制这样一个题目的时候,我觉得搞法律的人员不是那么熟悉,因为我在中国银行,法律工作人员大都很年轻,在管理学上、在银行的控制理论上,还是缺乏知识的,这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题:第一个就是治理问题,包括银监会经常说的公司治理机制;第二个就是风险管理;第三个叫内部控制;第四个叫保障措施。首先明确一下概念。中央领导、国务院领导经常说公司治理,到底公司治理是干什么的?是研究什么的?我有一次到德国开国际会议,与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点,就是找什么人来做这个银行行长和各级经管人员,以便于把商业银行的各项业务做好。找谁?是找王雪冰还是找其他人?为什么找王雪冰?他出了问题,怎么才能找到另一个人不出问题或者少出问题?公司治理就是找谁当行长,找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部,包括行长,找谁担任这样的职务,要明确谁来干,明确谁承担这个责任,看看他们怎么承担这个责任。这叫公司治理。风险管理是什么呢?风险管理是一种程序,它要识别风险,评估风险,并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部,在银行,风险管理部是很重要的部,这个部干什么呢?它要分析银行运用资产有什么样的风险,这些风险究竟有多大,银行可接受的风险的水平有多高,然后银行既然有这么多的风险,采取什么政策对付这些风险,这叫风险管理。内控是干什么的?内部控制是公司的核心管理内容,它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险,认定了风险,评价了风险,并且制定了风险应对的对策,之后怎么办?要采取一系列措施和经营管理程序加强内部控制,防范风险。另外,还有一个确保反馈的系统,这是一个通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的《公司治理与银行控制》这本书上就描绘了一张图说明上述四种治理机制的相互关系,现在银行领导也好,中央领导也好,经常讲这几个概念,但是我们需要把它们界定清楚。如果你要经营一个企业,开一个银行,首先得有一个目标,这个目标确定了之后,靠什么来管风险?一个靠公司治理,找一些人——可靠的人、能干的人,把他们叫来,安排他们工作。然后组织其中一部分人来分析,我要实现这些目标,有哪些风险,怎么对付这些风险,制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统,最终实现公司目标,就是资本充足、内控严密、运营安全、服务和良好效益。国际上对内部控制也有大量的研究,美国有个权威机构叫COSO,提出了一个比较完整的内控理论和操作方法,后来又提出完整的风险管理的理论。实际上各国都在探索,英国也有一个CADBURY模式,后来它发展或TURBULL。加拿大叫COCO理论。一些发展中国家,例如南非也有一套理论,叫KING,都在研究内控。为什么这样重视内控?就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架,这个在网上能够搜索出来。2003年美国COSO又进一步提出更加完整的理论,不完全是内控,把内控放在风险管理的框架里。所以内部控制的发展一步一步最后形成了巴塞尔委员会内控的指导原则,一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制,后来又发展到稽核,各个银行都有稽核队伍,然后又超越财务范畴,把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率,更加强调管理政策。这是一个发展。我们研究一下到底什么叫内控?现在的内控理论已经把内控设定为比较科学的定义:“内控是一种为合理保证实现下述四大目标的动态过程,动态的程序。”它的每一个词都是有道理的,是合理保证实现四大目标的动态过程,原来提的是三大目标,现在有所发展,又提出第四大目标。它补充的那个目标就是战略性的目标。什么叫战略性的目标?就是内部控制要符合和支持银行机构的总任务的完成,要有相当高度的视野,这是一种高层次的目标。上面提到的资本充足,这就是战略性目标,中央确定我们要实现国有商业银行资本充足,这是战略决策,不是具体到结算业务,还是零售业务,还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足,国家不给我们补助资本金,中国银行一开始是财政部划拨的那点钱,后来核销呆账没有拨过资本,有利润全部上交国家、上交财政,现在提出来要满足8%资本金充足率,要实现这个,国家给我们中国银行225亿美元让我们来充实银行的资本,另一个也允许我们在盈利中间拿出一块,使我们的资产达到充足的标准,今后就要靠自己的努力了。这就是战略。第二种目标叫操作性目标。银行不能不讲效果,不能不讲效率,在我们贷款的时候,在我们融资的时候,在我们做业务的时候,要保证银行避免损失。执行各种内控操作的程序,确保组织当中所有人都来有效率的工作,甚至还要注意道德的完整性,而不发生不应有的过高成本。特别要强调,不能把任何其他的利益置于银行的利益之上,比如为自己雇员的利益发奖金,为了让大家得到奖金,宁肯使银行冒操作性的风险。或者给关系人贷款,为了某些客户的利益,而不顾银行的利益。或者为了个人的权利,拉拉打打、玩权术、市宗派。还有第三个目标,叫做信息性目标。这里包括财务和管理的信息,过去只是强调财务的信息,现在巴塞尔委员会强调还有管理的信息,都要可靠、完整,并且能及时地提供。我们在写各种报告的时候,都要做到这点,而且要定期发布可靠的年度财务报告,披露真实的信息。将来我们上市了,也要给股东写报告,给银监会、人民银行写报告,对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候,要有信息基础,这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市,其中一个内容就是要搞尽职调查,我们要聘请外部律师事务所给我们帮忙,我们要向他们如实地报一系列的材料,最后这个材料要交到律师事务所审查。中国银行干了这么多年,出了多少年报,年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外,还有中央银行认可的外部审计师要签字,而我们过去没有。要真实披露,我们的工农中建可能存在倒闭的问题,如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后,压力很大。但我们需要披露,我们有责任向股民说清。还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调,要确保银行所有的经营都遵从适当的法律和规章,遵从监管的要求,遵从本组织——银行的政策和程序,其中一个特别重要的就是业务流程。如果业务流程不熟悉、不遵从,违规经营的话,就没有实现这个目标。为什么要这么做?要保护银行的“特权”。实际上银行是有特权的,不是所有的企业都能干银行,也不是所有的金融机构都能干银行的事,银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉?别的公司也强调信誉,但都没有银行的信誉强调得更高。有不少人也抱怨,别的国营单位盖大楼,中央要批评,但是银行为什么可以?我们中国银行的楼,我走过了几十个国家,我还真没见过这么好的银行大厦,法兰克福的金融中心建设得够高级了,英国的City够气派了,你到那里看看,有没有比中国银行的楼更高级的,我觉得还没有。这里也确有太奢华的问题,但为什么中行这么盖大楼,建行、工行都盖了不小的大楼,中央没批评,因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候,河北中央银行门前的狮子是铜做的,斜对面有一个纺织品进出口公司,狮子也不小,但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然,这种声望和权威应该是内在的,不