银行风险的识别、评估与内部控制-14号文库

第一篇：银行风险的识别、评估与内部控制

银行风险的识别、评估与内部控制

Bank Risks'Identification，Assessment And Internal Control

杨海群

按语

本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著《公司治理与银行控制》下卷中“加强选配评审，防止领导风险”这一章。

“银行风险的识别、评估与内部控制”这个题目涉及两方面：一方面涉及的是风险管理，另一方面涉及内部控制。不管是法律工作者还是银行的管理者，都会遇到下面要提出来的问题，就是怎么来处理业务发展和管理控制的关系，怎么在实现战略目标的过程中，一方面把握住我们自己，另一方面也把握住我们所领导的团队？另外，怎么防止银行的工作人员或者业务活动失去控制？搞法律的人员不如搞经营管理的涉入那么多的具体业务，但是由于你们是银行的法律工作者，所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件：第一个叫资本充足，就是银行要保证有足够的资本金；第二个内控要严密，还不是一般的内部管理，而是内部控制要严密；第三个运营要安全，实际上运营安全也是要在前两者的基础之上才能实现；第四个服务和效益要好，没有安全，也不可能服务好或者说令客户满意，服务差也不可能把效益搞上去。这是银监会《关于中国银行、中国建设银行公司治理改革与监管指引》文件很明确地提出来的要求。中行和建行要重组上市，就要实现银监会提出的四个要求。恐怕农行和工行下一步也要遇到这个问题，也准备在中行和建行上市成功之后，经历这个过程。我们这两家银行先试一试，估计在上市过程中会有更多的难题。

我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫《基业常青》，他把一个一般的企业发展成比较大的企业，积累了一些经验，他的书里面有这么一句话：“伟大的公司要想生存，必须拥有一个持久的观念，这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后，这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体，而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司，之所以能够成功，原因就在于无论发生什么变化，它们的核心观念毫不动摇。”他说得很深刻，他说：“只有从过眼烟云的变革中看到背后永恒的管理法则，人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题，中国银行伟大不伟大？90多年的历史，应该是一个伟大的公司，但是这个伟大公司的伟大之处怎么体现呢？那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要，实际上内控原理是一种管理法则，我们通过研究内部控制的理论来转变我们的经营观念，来增强控制意识，提高管理水平，这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提，那就是说我不认为只要一个银行能够跑到股票市场上去，在那里销售我们的股票，来套股民的钱，我们就是一个公司治理机制良好的银行。因为它上市成功的前提首先要具备较多的控制意识，有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求，把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容，是银行组织机构安全和良好运营的关键，这是巴塞尔委员会提出的要求。一个强有力的内控系统，能够帮助确保银行机构的目标和目的的实现，使得银行取得长期的利润目标，维护财务报告和管理报告的可靠性，并且确保银行遵循法律和规章制度，以及一系列政策、计划、内部规定和程序，减少始料不及的损失和有损银行声誉的风险。为了强调内控，我重点介绍下面四个方面的问题：第一，是介绍内部控制理论已经解决的问题。第二，从我在中行的新体验来看看我们国家银行内部控制的发展。第三，我们对银行当前内部的控制问题进行初步的研究。第四，提出一些政策建议仅供大家参考。

一、内控理论已经说明的问题

我们在提到银行的管理、银行的控制这样一个题目的时候，我觉得搞法律的人员不是那么熟悉，因为我在中国银行，法律工作人员大都很年轻，在管理学上、在银行的控制理论上，还是缺乏知识的，这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。

首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题：第一个就是治理问题，包括银监会经常说的公司治理机制；第二个就是风险管理；第三个叫内部控制；第四个叫保障措施。首先明确一下概念。中央领导、国务院领导经常说公司治理，到底公司治理是干什么的？是研究什么的？我有一次到德国开国际会议，与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点，就是找什么人来做这个银行行长和各级经管人员，以便于把商业银行的各项业务做好。找谁?是找王雪冰还是找其他人？为什么找王雪冰？他出了问题，怎么才能找到另一个人不出问题或者少出问题？公司治理就是找谁当行长，找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部，包括行长，找谁担任这样的职务，要明确谁来干，明确谁承担这个责任，看看他们怎么承担这个责任。这叫公司治理。

风险管理是什么呢？风险管理是一种程序，它要识别风险，评估风险，并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部，在银行，风险管理部是很重要的部，这个部干什么呢？它要分析银行运用资产有什么样的风险，这些风险究竟有多大，银行可接受的风险的水平有多高，然后银行既然有这么多的风险，采取什么政策对付这些风险，这叫风险管理。

内控是干什么的？内部控制是公司的核心管理内容，它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险，认定了风险，评价了风险，并且制定了风险应对的对策，之后怎么办？要采取一系列措施和经营管理程序加强内部控制，防范风险。

另外，还有一个确保反馈的系统，这是一个通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的《公司治理与银行控制》这本书上就描绘了一张图说明上述四种治理机制的相互关系，现在银行领导也好，中央领导也好，经常讲这几个概念，但是我们需要把它们界定清楚。

如果你要经营一个企业，开一个银行，首先得有一个目标，这个目标确定了之后，靠什么来管风险？一个靠公司治理，找一些人——可靠的人、能干的人，把他们叫来，安排他们工作。然后组织其中一部分人来分析，我要实现这些目标，有哪些风险，怎么对付这些风险，制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统，最终实现公司目标，就是资本充足、内控严密、运营安全、服务和良好效益。

国际上对内部控制也有大量的研究，美国有个权威机构叫COSO，提出了一个比较完整的内控理论和操作方法，后来又提出完整的风险管理的理论。实际上各国都在探索，英国也有一个CADBURY模式，后来它发展或TURBULL。加拿大叫COCO理论。一些发展中国家，例如南非也有一套理论，叫KING，都在研究内控。为什么这样重视内控？就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架，这个在网上能够搜索出来。2003年美国COSO又进一步提出更加完整的理论，不完全是内控，把内控放在风险管理的框架里。所以内部控制的发展一步一步最后形成了巴塞尔委员会内控的指导原则，一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制，后来又发展到稽核，各个银行都有稽核队伍，然后又超越财务范畴，把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率，更加强调管理政策。这是一个发展。

我们研究一下到底什么叫内控？现在的内控理论已经把内控设定为比较科学的定义：“内控是一种为合理保证实现下述四大目标的动态过程，动态的程序。”它的每一个词都是有道理的，是合理保证实现四大目标的动态过程，原来提的是三大目标，现在有所发展，又提出第四大目标。它补充的那个目标就是战略性的目标。

什么叫战略性的目标？就是内部控制要符合和支持银行机构的总任务的完成，要有相当高度的视野，这是一种高层次的目标。上面提到的资本充足，这就是战略性目标，中央确定我们要实现国有商业银行资本充足，这是战略决策，不是具体到结算业务，还是零售业务，还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足，国家不给我们补助资本金，中国银行一开始是财政部划拨的那点钱，后来核销呆账没有拨过资本，有利润全部上交国家、上交财政，现在提出来要满足8％资本金充足率，要实现这个，国家给我们中国银行225亿美元让我们来充实银行的资本，另一个也允许我们在盈利中间拿出一块，使我们的资产达到充足的标准，今后就要靠自己的努力了。这就是战略。

第二种目标叫操作性目标。银行不能不讲效果，不能不讲效率，在我们贷款的时候，在我们融资的时候，在我们做业务的时候，要保证银行避免损失。执行各种内控操作的程序，确保组织当中所有人都来有效率的工作，甚至还要注意道德的完整性，而不发生不应有的过高成本。特别要强调，不能把任何其他的利益置于银行的利益之上，比如为自己雇员的利益发奖金，为了让大家得到奖金，宁肯使银行冒操作性的风险。或者给关系人贷款，为了某些客户的利益，而不顾银行的利益。或者为了个人的权利，拉拉打打、玩权术、市宗派。

还有第三个目标，叫做信息性目标。这里包括财务和管理的信息，过去只是强调财务的信息，现在巴塞尔委员会强调还有管理的信息，都要可靠、完整，并且能及时地提供。我们在写各种报告的时候，都要做到这点，而且要定期发布可靠的年度财务报告，披露真实的信息。将来我们上市了，也要给股东写报告，给银监会、人民银行写报告，对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候，要有信息基础，这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市，其中一个内容就是要搞尽职调查，我们要聘请外部律师事务所给我们帮忙，我们要向他们如实地报一系列的材料，最后这个材料要交到律师事务所审查。中国银行干了这么多年，出了多少年报，年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外，还有中央银行认可的外部审计师要签字，而我们过去没有。要真实披露，我们的工农中建可能存在倒闭的问题，如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后，压力很大。但我们需要披露，我们有责任向股民说清。

还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调，要确保银行所有的经营都遵从适当的法律和规章，遵从监管的要求，遵从本组织——银行的政策和程序，其中一个特别重要的就是业务流程。如果业务流程不熟悉、不遵从，违规经营的话，就没有实现这个目标。为什么要这么做？要保护银行的“特权”。实际上银行是有特权的，不是所有的企业都能干银行，也不是所有的金融机构都能干银行的事，银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉？别的公司也强调信誉，但都没有银行的信誉强调得更高。有不少人也抱怨，别的国营单位盖大楼，中央要批评，但是银行为什么可以?我们中国银行的楼，我走过了几十个国家，我还真没见过这么好的银行大厦，法兰克福的金融中心建设得够高级了，英国的City够气派了，你到那里看看，有没有比中国银行的楼更高级的，我觉得还没有。这里也确有太奢华的问题，但为什么中行这么盖大楼，建行、工行都盖了不小的大楼，中央没批评，因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候，河北中央银行门前的狮子是铜做的，斜对面有一个纺织品进出口公司，狮子也不小，但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然，这种声望和权威应该是内在的，不能只靠表面的豪华去装饰。

工农建都设有法律部门，都起名叫法律部，我们中国银行为什么出了一个法律与合规部？直接的原因是纽约分行的事件，给我们很大的教训。有人说你把你们的行长都赔进去了，那都不是最重要的教训，最重要的教训是纽约分行使我们认识到过去我们搞银行的时候，对合规重视得很不够，而一些大型的国际化的银行在行内设有很大的部叫合规部，来抓合规工作。我们总结了在纽约的沉痛教训，感到有必要把合规工作提上日程。银行一定要依法合规经营。而内部控制的理论实际上把“合规”作为一个目标。中国的银行考核底下的员工都把效益作为考核的重点，利润是考核的重点，但是内控理论中明确指出要把依法合规作为考核的四大目标之一，如果不考核当然各级单位就不朝这个方面努力，不在这个地方扣分，凭什么在这个地方花费资源？

内部控制的定义说明了几个问题：

第一，内部控制是一种程序，这个程序意味着它朝着某个方向去努力，但是它永远达不到那个终点，因为这个终点是它不断要达到的目标。

第二，银行要搞内部控制，离不开人的影响，不是说搞内部控制就是去念几条规章制度，而要有人在这里起作用。

第三，内部控制是为公司管理层提供合理的保障，但不是绝对的。万事都不能绝对化，绝对化就是形而上学。内控是提供合理的保障，是对解决银行问题有利。不是说一抓内控就什么问题都不会出来。

第四，内控是有多重目标的，内控有四个目标，第一个目标是战略设定，第二个目标是经营的效果和效益，第三个目标是信息性目标，第四个目标是遵从性目标。内部控制为的是目标的实现，通过一些活动，一个有机结合的整体，去实现公司的目标。这是很值得我们学习内部控制的方面。

内部控制可分解为五大组成部分的内容：第一个强调控制环境，第二个强调风险评估，第三个要开展控制活动，第四个要进行信息的交流，第五个要进行监督评审。这是内部控制的五大组成部分。为什么从理论上强调这些内容，不是我们要讲一些花哨的名词，而是这五大组成部分比较充分和完整地说明了内控的主要内容，使我们明白了应该怎么执行内控，又怎么进行评价。怎么评价内控？我建议就从这五个方面。

另外COSO又提出八大组成部分，这是从风险管理角度讲的。下面是风险管理的八大内容：内控环境、战略目标设定，事件的认识或者是了解，另外风险评估、风险对策、控制活动、信息与交流、监督评审。这是八个组成部分的内容。首先要确定目标，开展经营活动必须有目标，我银行要搞好，我的目标是什么？支行有支行的目标，二级分行有二级分行的目标，一级分行和总行都有目标。风险管理也是一个有机结合的整体，也要强调内部的环境，就是前面说的控制环境。目标设定以后，要有些事要做，一件事叫“事件识别”，就是要看这些事有什么风险，要开展公司业务、零售业务、结算业务、信用卡业务，银行所有的业务，这些业务有什么风险要评估，评估完了以后要有风险对策。既然你都评估了，怎么处理这些风险，要有政策、有策略。然后，就进入了内部控制。这里我解释风险管理是希望说明它与内控的关系。

概括起来，内控分为五大组成部分的内容。内控五大组成部分最基础的地方是在控制环境上，然后进行风险评估，还要开展控制活动，在控制活动开展的过程中间，又要不断交流信息，宝塔尖上强调监督、评审。从风险管理的角度来分析，这个模式或框架还包含四大目标。战略性、操作性、信息性、遵从性、合规性，这是五个目标，这是一个层面的东西。从内控的角度来分，目标是四个，但内容可以比风险管理少三大内容。就是以上概括的五大组成部分的内容。这还仅仅是两维的空间，第三维空间就是不同的部门，各个级别的部门。第三维空间，比如法律事务部或者是公司业务部、零售业务部，这些部门组成第三维空间，这三维空间组成立体的模型。实际上我们在讲一种思维方式，我们是在这样一个立体空间里搞银行。把任何一个部门抽出来，比如把公司业务部抽出来，都有四大目标，都有五大组成部分的内容在里面。这说明一个什么问题？说明我们可能利用思维方式，利用模型，利用这个理论，探讨出管理银行，评价银行的方式。为什么巴塞尔委员会这个国际银行监管的机构，要支持这么一种理论?是因为这个理论有用，是因为这个理论发展到今天，能涵盖我们银行的主要业务、主要工作。

从“控制环境”的角度怎么理解呢？实际上控制环境是所有各个方面的基础，是一个带动银行开展工作的“发动机”。这里包括银行的行风、组织风纪，它还涉及银行活动的核心——人（员工），而且要通过影响人们的控制觉悟来形成银行的“文化”，就是银行究竟提倡什么，特别是注意人们对内控的认识和态度，你有没有控制理论，有没有高度的内部控制觉悟，也就是重视内部控制，特别是由于这个环境不同，你的战略目标的实现就受到影响。我们国家如果没有长期稳定搞建设的环境，中央不会提出国民经济翻翻这样的战略。这里还涉及风险管理的一些哲学，开展风险管理是避险为主还是冒险为主呢？风险管理是什么文化？这些东西都是控制环境里的。我们理解控制环境也是希望大家在评价某个部门的时候，比如上级让你去公司业务部检查一下他们的内部控制怎么样，首先建议你评价控制管理的环境如何。我后面还会强调环境方面的建设。

第二大组成部分是“风险评估”。风险评估是什么？就是你要去识别和分析那些妨碍实现经营管理目标的风险，这是风险管理决策的基础。我们搞内部控制，必须要认识风险，这和风险的定义有关系。什么叫作风险？有人说就是损失，或者有人从概念角度说是造成损失的可能性，这些都对，但是更精确、更科学、更接近本质的风险定义是什么？就是妨碍实现目标的所有因素。为什么这么说？就是我们干什么事都是要有目标，什么叫我干这件事的风险呢？就是我有哪些东西干扰我实现这个目标。我曾经举了一个很生动的例子，比如说有一个武士，他在射箭，要打中一只鸟，什么是他的风险呢？打不中是他可能的结果，怎么会影响他打不中呢？一个显然是他自己的本事，他有没有力气拉开这个弓，拉到足够满的程度。他的视力是不是好？他是不是能够正确地判别目标所存在的位置以及他自己的经验？说到这儿，是不是风险就没了，不对。当他拉弓的时候，虽然拉的很满，但是他是顶风拉的，风力很大，影响他。天要是突然刮起了大风，乌云遮盖了整个天空，太阳没有了，看不见了，这也是风险。如果一切都非常好，但是拉弓的英雄喜爱美人，旁边过来一个美女，他分心了，也射不中。要想实现目标，各种因素都可能是风险，只要它们妨碍你达到你的目标。所以我们在讲银行风险的时候，有人总是想设定一下是信贷风险、利率风险、市场风险，其实这都是一些业务上的风险，很少有人提到人的风险，而且很少有人涉及更广泛的，凡是能够形成对银行目标实现造成影响的其他一些风险，例如员工有没有参与赌博、炒股，甚至包“二奶”等，很少有人更广泛去考虑，就是因为在风险的定义上不够准确，没有明确风险更本质的定义。在风险管理的体系框架中，COSO把目标的设定加进来，然后有一个事件的识别，有风险的评估，然后要制定风险对策。这四个方面恰恰是风险管理的主要内容，也是搞银行风险管理四个最本质的工作。

第三大组成部分是“控制活动”。你既然是搞内控，不可能不参加控制活动，使目标的实现有合理的保证。经营目标的实现需要发布一些管理指令，要采取一些防范化解风险的措施、政策、程序，像高层的检查，直接地参与管理，对信息进行加工、对实物进行控制，比如确定指标、究竟今年要完成多少利润等。特别是职责的分离，职责不分是现在银行发生重大案件的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”，就难保不出事。内控还要针对目标相关的风险发布控制指令，各种各样的指令。

第四大组成部分存在于所有的经营管理活动中，“信息与交流”应使员工能够搜集和交换为开展经营从事管理和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩，注意以评价监督的方式来开展工作，根据一些会计数据分析并发出一些预警信号，确保有关经营目标的实现。这个信息与交流在总行层面是最大的问题，我们各个部门分管很细，都有各自的职责，一件事现在离开哪个部门干都不行，需要协调配合。可是在咱们一些银行体系当中，协调配合能力特别差，其中的一个症结就在信息与交流上。我想法律部的人员也会有同感，说叫你去审查一个合同，把合同拿来了，以为很容易发现合同中存在的问题。有的时候送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表，叫“合同审查意见申请表”，这个表让你说明送审合同的目的，你究竟让我审什么？这个合同产生的背景是什么？这里有哪些法律疑难问题需要我们法律部审查？过去有没有审过？有的人拿过来第二次审了，但没有告诉，我重审一遍。说我们法律部门解决的问题，合规方面要不要解决，是不是合规？我觉得一项法律合同首先要合规，业务不合规，谈不上跟人家签合同。这些问题都是一个配合的问题，都是一个信息交流的问题。

还有一个内容是“监督评审”，现在咱们国家已经开始重视这个问题，就是干什么事都注意监督，但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制到底在你们这个部门是有效的，还是无效的？这个监督评审是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制再监督、再评价的总称。也就是说监督不仅仅是稽核、监察部门的职责，更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去一提到监督，肯定是监察部、稽核部它们的事，为什么我们法律与合规部要成立一个合规处？从管理的角度制定了许许多多的制度和规定执行了没有？执行的情况怎么样？我们不能不管。我相信工、农、中、建都有法律部，都有这个职责，就是管规章制度的制定和监督。我们管到这个层面是不是就够了？实践证明不够，咱们银行为什么出一大堆问题？为什么出那么多案子？哪一个流程没有规章制度?我们现在凡是发行一个新的业务，新的产品，首先是规章制度，规章制度不出台，流程不出台，不明确，这项业务就不能开展。问题就出在新的业务上。一方面规章制度跟不上需要，一方面有章不循，不执行规章制度，让稽核监察去查查，必须有人时常监督规章制度是否执行，执行有力还是不力，全面不全面，不执行、违规经营，造成的损失和问题谁来负责，如何追究责任，如何进行处罚，这一点非常重要，没有这项工作，规章制度就是形同虚设。为什么现在出现大量问题？因为你不去监督管理它，总是想着要实现利润目标，为了“短、平、快”，经常把一些规矩打破，打破这些规矩的结果产生风险。可是不注意这些风险的管理，出了问题以后，就让整个银行蒙受巨大的损失。

所以，四大目标是纵向的列，五组成部分是横向的排，和内部控制相关的工作单元或活动是第三维空间。我们随意抽出任何一个单位，我把某一列抽出来都有五大组成部分，我把横排抽出来，都和四大目标密切联系。这是一种思维方式，是我们抓内控的一种原理性的认识。

当然，巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2002年央行到我们行全面检查内部控制，我们的被查部门手忙脚乱，要报这么多材料，好多东西不知道，内部控制搞什么，怎么报告，做了各种准备，迎接人民银行来检查内控。过去不够重视内部控制，非要人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价？不要以为商业银行都有内控的自觉性，它再有自觉性，也没有高到足够的程度。人民银行要定期不定期地查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任，他写过一篇文章叫《为什么银行需要一个中央银行》，他从信息论的角度提出商业银行有必要接受监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监督，不仅监督表内业务，甚至监督表外业务，还有新业务。凡是监管者确定某银行的内部控制系统不能充分或有效地针对银行的具体风险，监管者应当采取适当的行动。巴塞尔委员会说话是有分量的，“适当的行动”，什么行动？我们纽约分行曾经险些被停牌，让你注意你已经降到多少级，使你提高交融资成本。再不小心，我停止你经营。现在外国银行到中国来，最怕的就是中央银行，银监会也好，中央银行也好，国外有深刻体会，汇丰银行这些大银行对当地中央银行非常畏惧，中国的商业银行对人民银行的畏惧程度远远不如外国银行对人家的中央银行的畏惧性，为什么？这里反映了双方的问题，一方面商业银行自律性不强，另一方面银监会和人民银行对商业银行的监督不够得力，商业银行被罚款不够多。我们在美国一项罚数达二千万美元，这算少的。看看安然公司倒闭了以后，一些大审计公司被罚到最后倒闭。安德信是国际上最大的审计公司，就为安然事件倒闭了。人民银行实际上也对内部控制提出很多要求。我记得当时人民银行对每项业务都提出了要求，我看了看银监会对商业银行内部控制的检查评价体系基本上采纳了COSO和巴塞尔委员会提出的要求，特别强调一种内部控制的文化，这是巴塞尔委员会和COSO提出来的，这种文化体现在银行的评价制度、职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授权体系，还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立的法律合规的要求，等等。

有个问题值得探讨：合规部门如何要具备它的独立性？我在稽核部门也干过，稽核部门也存在独立性和垂直性，稽核部门比较难做，我不知道其他银行是不是这样，我在稽核部门深有体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门，在行长面前汇报工作的时候都是一派理直气壮的样子，要是轮到监督部门和管理部门说话的时候，似乎底气不那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知，告诉你我两个星期或者一个月之后，要到你那里去检查什么。人家那儿有时根本不告诉你，来了把你抽屉打开，你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规，我问过人家汇丰银行、渣打银行的同行，我问他们合规权威如何，他们说都很怕合规官。因为很多重大的问题要合规官审批，批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况，现在强调法律与合规的重要性，动不动把你叫去开会，什么文来了让你签字。他找你签，像是尊重你又像不是尊重你，有的时候实际上想让你认可，说是还是不是，你要说是，我做了以后别找我碴儿。在我们部门工作的同志大都年轻，工作忙了，哪审得了这么多，一看既然他们都定了，我无异议，回复给人家。我心里打鼓，我最怕看到哪个经办或处长拿给我看三个字“无异议”，现在有什么事能让你一点异议没有？现在没有那么干净的事，拿到你这个法律部门审查的时候，可能是想绕一绕、拐一拐，你说无异议，那就干吧，因为无异议说明什么问题都不该有。我跟协议处说不要轻言无异议，一提无异议，就说明我这个部门对这个问题没意见，万一出个问题，吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门，也要让银行的经营管理部门尊重监督人员，这是非常重要的。如果不尊重，说明这个银行内部控制有问题，起码在控制文化上有问题，他反感控制，不让你控制，想让你变着法不控制，但是他又让你签字。银行今后应该采取措施，使这些管理具有权威性、监督有权威性、稽核有权威性、法律与合规部门有权威性。现在不是都讲钱吗?考核要有正确的考核体系。

强调内控的时候也应该注意：内部控制不是万能的，内控不可能把一个本质上很坏的经营管理者变好，不可能左右政府的一些政策和计划的改变，不可能对外部竞争对手的行为和客观经济条件的变化都把握好，它有局限性。再有财务报表可靠不可靠，不是说你内控绝对能够保证的，假如支行的行长指挥着支行的会计去假造财务报表，会是什么问题？新会计法有一大修改，就是会计报表第一责任人是企业负责人，我觉得这条非常好，过去一说某个企业造了假账是会计造的，其实回过头来一检查，能有几个会计自己造假，是他的领导，他们那些厂长、党委书记让他造假，他是被迫的。

我们应该提倡依法合规经营，千万不要违规，或者明知道这个不合法，也不向法律部门说明需要针对它进行审查，想蒙混过关，想得到法律部门的认可，得到银行老总的签字，求得一时的解脱，这要不得。

国际上内部控制的发展的趋势给了我们一些启示。

一是强调高级管理层的控制责任。首先董事会要充分理解银行的主要风险。党委，高级管理层的内控基调是不是对？看交响乐团，在准备演出的时候先请钢琴师定一下音？这就是让全团有一个基调，控制也要有一个基调。这个基调要由多级管理层确定。

二是要大力提倡和营造一种控制文化。上述的一些现象实际上就是控制文化上的问题。一方面，董事会和高级管理层要负责明确各级员工在道德上和完整性方面的高标准，人格要完整，要讲职业道德，并且在机构中要建立一种文化，向各级的人员强调和说明内部控制的重要性、合规的重要性、法律的重要性。我在工作中深感在国有商业银行的员工中，特别是在高级管理人员中，很有必要提倡道德修养，加强职业道德建设。在国有银行商业化的过程中，这方面有待改进。有的高级管理者不是把银行的利益放在第一位，而是带头把个人的权利和利益放在第一位。而银行里用人的时候不够重视他（她）们这方面的表现，不够关注群众这方面的反映，结果是在基层，甚至在总行高管人员中，不断发生重大案件。另一方面，银行所有的员工都应在内控的程序中间发挥作用，控制不只是高管人员的事，而是人人有份。上至总行，下至分理处、储蓄所，每个岗位上的人都承担特定的控制责任。有效的内部控制系统的一项实质性内容就是建立强有力的控制文化，没有这种控制文化，法律工作也不好搞，合规工作也不好搞，监督机构会形同虚设。

还有四点我要强调指出：

第一是正确理解内控和管理的关系，进一步认识内控在管理活动中的重要意义，要尽快地由领导决策层带动，动员各级员工营造良好的控制文化，按照内控的四大目标和五大组成部分，实行对经营管理中间各种风险的逐级控制，以内控为有力武器，提高经营管理水平。

第二是正确理解内控和风险管理的关系，进一步确立内控在风险管理体系中的重要地位，防止以风险评估代替内部控制。要按照上面介绍的内控原则和系统框架尽快建立起适合中国国情的内控组织结构，例如建立内部控制委员会和内部审计委员会，来加强对风险的整体研究、评估和管理控制。

第三是正确理解内控和内部审计的关系，我曾经专门发表了一篇论文，叫“正确处理内控与稽核的关系”。内控首先不是稽核监督部门的责任，而是业务的经营管理部门的工作；内控主要不是稽核监督部门的工作，而主要是经营管理部门的工作；内控的检查评价主要不是稽核监督部门的责任，而主要是经营管理部门的责任；不过，稽核监督部门对内控负有再监督、再评价的重要的职责。明确上面说的四个要点，并且在监督评审当中注意保持稽核与合规系统的独立性，加强对各种风险的识别和评估，建立和督促对控制缺陷的纠正。不要发现了一些问题，稽核报告写了，合规的报告指出了，让他纠正，下回还是出现那些问题，还是没纠正。这就表明内控失效。

第四就是内部控制应该有一套有效方法，要搞内部控制，要控制风险，必须有一套完整的系统性的操作方法。现在多数银行在做这项工作的时候，都做得比较传统，一些行领导忙于业务发展，满足于“头痛医头，脚痛医脚”，怕内控影响发展。实际上已经有一套先进的方法提了出来，我在我的那本书《公司治理与银行控制》(中国金融出版社2001年版)里介绍了一整套的方法，而且对信贷、项目评审、信贷资产的五级分类和银行行长选配等一些方面都做了一些理论联系实际的探讨。我希望总行带头规范地运用这套好方法。

(待续）

注释：本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。

银行风险的识别、评估与内部控制

杨海群

(接 I）

二、银行内部控制的足迹

下面我把我们在中国银行抓内部控制的工作体会粗略介绍一下。我认为我们行大概经过了这么几个阶段。第一个阶段是在20世纪90年代中期以前，只有少数的领导人员和少数的稽核人员知道内部控制的概念，概念也不准确，全行控制的意识是比较薄弱的，案件不断发生。资产质量也是越来越差。在那个阶段里，银行的问题比改革以前要多。计划经济的时候，银行并没有多少案件，不像今天这样，动不动出现一个非常大的案件，每一次都要刷新记录，过去没有。就是改革之后，市场的约束没上来，计划的约束又丢了、失控了，所以资产质量就下降。

第二个阶段是推进内部控制的阶段。那是1997年5月份人民银行发布了“商业银行内部控制的指导原则”。我们总行要求制定中国银行的内部控制原则，我们抓了一个授权管理的制度规定，在人民银行的授权管理规定基础上做的。我们在1998年正式公布了内部控制原则，而且我们在那个时候就已经在中国银行正式文件中间明确了稽核要以COSO理论框架来检查和评价内控工作。对监察报送有关材料进行分析发现，我们行发生的案件绝大部分在基层。涉案人员绝大部分是基层的领导干部，大部分涉案人员又都是20多岁至30多岁的年轻人。后来我们总稽核室对总行零售业务首次进行了内控稽核检查。

第三个阶段，2000年前后我们进入一个理论探索的阶段。2000年我们组织总行两个业务部门和两个管理部门编写出版了一本书叫《中国银行信贷内控指引（贷款分册）》。这里讲一件小事，1998年的时候总行有个部门报告说内控到底由谁抓，前行长王雪冰在报告上大笔一挥：“内控只是稽核部门的工作。”我们一看不对了，我在人民银行的《稽核监督研究》上发表一篇文章《正确认识内控与稽核的关系》，实际上没点名地针对这个批示，纠正错误观点。后来我们按照人民银行的部署成立了一个信贷清分办公室，当时总行调我去同一些同事领导贷款的五级分类，我运用了COSO的内部控制理论，组织清分办公室的同志们共同编写了一套《中国银行贷款资产分类指南》，后来金融出版社出版了。

2001年中国金融出版社出版了我写的专著《公司治理与内部控制》，我首次在内部控制原理基础上提出了一套内控的比较完整的操作体系，提出了内控、风险管理和公司治理三者之间到底是什么关系。王雪冰任职期间，行里的案子特别多，也使后来的领导感觉到加强内部控制的重要性。中行的总行各个部门和分行逐步完善制度，加强内控，提了很多很好的建议，其中一个就是将法律事务部改为法律与合规部。

第四个阶段，我们进入了内控强化阶段。因为2002年5月，人民银行发布了《商业银行的内部控制指引》，进一步将内控提到一个新的高度，人民银行开展对中行各个部门的内部控制全面检查。总行法律与合规部根据行领导要求要研究内部控制，解决坏人做坏事想干干不成的问题。由于内部控制不好，到基层检查工作的时候，会感到震惊。干得成坏事很自然，而干不成才奇怪？只要想干肯定干的成，干不成不奇怪，为什么呢？因为在一些环节上几乎没控制。你说钱箱的钥匙他拿着，库的钥匙他拿着，库里有登记簿由他登记，这样的情况他能不贪污？给他条件让他去偷，最后案子出来一检查，保卫工作的那些规定不落实。后来行领导组织了总经理级以上的干部，召开了研究会，研讨我们行强化内控建设的问题，党委中心组2004年专门组织扩大会议，叫外部律师事务所讲内控，怎么加强内部控制，让我来宣讲内部控制，又制定“中国银行进一步完善总行部门和一级机构以上领导干部教育监督的若干措施”，从高层去解决这个问题。

我们深深体会到合规工作是非常重要的。可是合规工作不是纯法律问题，实际上是银行业务的经营管理方面的问题，是一个要熟悉银行业务管理规定的问题，这就给法律部门在职能上增加了新的内容，就是不能只是从法律上审查问题。另外，合规工作人员不能只是学法律的人，银行建立了一个规矩，新员工进了银行以后，先到业务部门实习一年。合同审查的一个大问题就是应知道某个地方该不该这么做，但是如果没经验，不懂业务，就无法建议这个合同应该怎么改。这项业务这么做不行，但是怎么做更好，他会很为难。搞合规的人，应该具备什么条件呢？起码要有三五年以上银行业务工作经验。就是说搞合规的人要懂得银行业务，而且今后大量的工作涉及合规性质的问题，法律性质的工作需要把关，也很重要，但是诉讼的案件随着银行业的规范应当逐步减少下降，我们做了那么多年公司治理，做了那么多银行改革，这么强调监管，案件不应该不断上升，肯定今后的诉讼案会越来越少，非诉讼这块工作会越来越重要。当然不可能在短时间内不搞诉讼，也可以说长久下去法律方面的审查工作都是需要的、都是重要的、都是不能削弱的，但是合规会成为重点性的工作。我们是通过自己的教训意识到这点的。

在这个阶段里，由于认识上的存在问题，中国银行在抓内控工作中还存在时紧时松的现象，在忙于股份制改革时，内部控制有所松滞，产生许多漏洞，以致在以后发生了一系列大案（例如我们黑龙江分行辖内发生的震惊世界的高山事件），沉痛的教训是值得铭记的!(待续）

注释：本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。

银行风险的识别、评估与内部控制

杨海群

（上接 III）

四、仅供参考的政策建议

政策性建议之一，明确内部控制的评价标准。我们今后要健全内控，就要有标准，干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导，这是一个理论体系，没有这个体系做指导，非要自己单搞一摊，像许多人写书，左抄右抄最后弄一本书，用上自己的名字，也不说明出处。我们的内控依据应当扎实可靠，要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系，就是一种有机结合的完整体系。内控有四大目标和五大组成部分，加上组织机构这第三维空间，就是个有机整体。我们开展内控建设和管理，就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性，就是实实在在地开展内部控制，制定一整套规范的方法去开展内控，这些方法也要能跟国际接轨，我的专著中介绍的那套方法是非常好的控制方法，是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化，你既然有高科技创造的PC和软件，就应能实行计算机化。

政策性建议之二，绩效考核要有合规性的目标和信息性的目标。内控有四个大目标，现在大多数银行主要提两个目标，特别是利润目标(效益目标)，而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了，不是以利润目标让你得到奖金。针对安然事件，美国国会通过的一个索克斯法，这个法律里面规定，高级管理层通过虚报瞒报财务报表赢得的奖金，一旦发现，就让退回原有的奖金，这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。

政策性建议之三，建议银行把内部控制的职能从风险管理部的工作中分离出来，不知道工行是不是这样，我们曾经把它放在风险管理部，风险管理包含但不等同于内部控制，“风险管理部”同“风险管理”不是同一概念。我一直这样说明，它们的职能不同，风险管理部门实行自身的内控是应该的，但是由这个部门去协调指导全部的内部控制，就既可能干扰风险管理，又可能使内部控制落空。另外内部控制是全行各个部门的工作，当然我们最好有一个比较有权威的委员会来领导，由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题，要理顺风险管理和内部控制的关系。

政策性建议之四，正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展，联合国有关机构认为应当是现时的发展不给后续的发展造成困难，我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款，当时有效益，新一任行长接手时形成了一大笔烂账，就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度，定期召开管理部门和业务发展部门之间的沟通会，对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营，审慎办理各种项目，否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度，管理控制部门不是没有责任，现在业务发展部门有数字指标在那儿控制，没有完成什么指标，就得扣奖金，管理部门没有什么指标，怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务，也深有体会。如果风险管理部审批一个项目拖拉怎么办？因种种原因不批准一个项目，风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干，你就不能干，至于说我们中行不办，农行接过来了，农行给办了，事后没风险，还获得了效益，还本付息很正常，追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题，他们说那怎么追究，我在特定时期、特定情况下、特定政策下决定不批准这个项目，农行在他的环境里面批准了这个项目，你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾，它们既对立又统一。只有正确处理，在矛盾中不断提高水平。最好两方面的人员，包括风险管理、法律合规和稽核监督人员，都应该制定相关的责任制，要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。

政策性建议之五，为了加强对操作风险的防范，要研究风险怎么计量，国外都有一套理论模型，这套理论运用到我们中国银行界怎么运用？需要研究和建立我们的操作风险计量模型。另外，操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设，落实规章制度，解决某些人想干干不成，干了早发现、早预警的问题。要根治私设小金库，银行更不能发生这个问题，小金库最终带来的后果是不好的。现在我们在查海外行，不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低，怎么解决呢？他们经总行批准设一种小金库，有时接待任务很重，也要有一点资金来源。但是我们发现设小金库带来的隐患很大，因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票，我们行发生的大量案例都是属于规定了不许，但是还炒，炒输了怎么办？银行人员从银行掏钱比较容易，转转账，搬搬科目，动动电脑上的键盘，就能解决这个问题。我们要加大有关责任人的追究。

政策性建议之六，希望能够实施一套比较好的内部控制操作方法，讲了半天内控，最终要落到实处，要开展控制活动，因此，应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处，这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出，如何通过一套完整的、比较先进的操作方法，能够让人们合规。这里要有一套评价体系，要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图，图示的操作还是挺不容易的，要分几个阶段，这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段，这是一套体系。如果真正实行了这套方法，我们国有商业银行的内部控制问题，依法合规经营的问题应该不会很大。

以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨，以求引起各方面的高度重视。其中的一些问题是带普遍性的，各家银行都在研究解决。虽然有些不是法律问题，但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下，我们冷静地研究银行的控制职能，特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展，应当不无意义。言多必失，欢迎批评指正。

(完）

注释：本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。

银行风险的识别、评估与内部控制

杨海群

(接 II）

三、关于银行内部控制的探讨

我想探讨三个问题：

1要深刻认识银行与非银行的本质区别。从理论上讲，企业和银行是存在重大区别的。银行是个什么单位，它不是一般企业，现在改革的时候总强调银行企业化，从银行自负盈亏、自我约束角度提这个对，但是不全面。银行不是一般性的企业，要不然干嘛不把企业叫银行，干嘛不把银行叫工厂?它们之间存在重要的区别。

为什么经济中会有银行？因为银行是比较好的出资者和控制者。银行是人类社会文明发展到一定程度，生产力和经济发展到一定程度的产物。银行这个词叫Bank，原意是过去意大利文里的“板凳”，就是意大利的商贸发达了，慢慢一些商船出去了，都得办理结算和汇兑业务，有些人坐在板凳上专门办理这种业务，这就是银行的雏形。银行慢慢发展起来了，有了办公室，又有了楼。但是为什么银行业发展这么迅速，而且在全世界哪个国家都离不开银行，为什么？就是因为银行是很好的出资者，能够融通资金，用很好的方式来支持经济活动，同时在融资过程中实施必要的经济控制。大家都知道贷款有合同，合同是什么意思？合同的本质是银行对被贷款方、对借款人的控制。在什么时候必须还款，必须以多高的利息还款，不得挪用，等等，都订到合同里。合同一经双方签字认可，就具有了法律效力。银行一旦发现你挪用，依据合同有权追回贷款，而且一旦出现重大问题的时候，可以到法院打官司。在西方，被银行起诉了的借款人一般都会输，被判罚。这就反映了银行这个机构特别。所以在国外没有哪个个人或公司轻易地跟银行打官司、闹别扭。可见银行具有规范经济，控制企业的特殊职能。银行是市场纪律的主要实施者之一。

某个人要借给另一个人钱一般是难以控制借方的，他说还我，只能凭咱俩感情，凭我对你的认识。但是一拖就是多少年不还。银行把钱借给你可就不同了，因为双方之间订了合同，你必须按时还本付息，否则就留下不良记录，造成再借就难。大家可能知道有一个美国的经济学家 Stiglitz，他前两年获得诺贝尔奖，他有一句著名的话，叫“银行最鲜明的特点是有能力进行控制”。

我们办这么多商业银行好不好？假如商业银行的数量达到一定程度，让它们自相厮杀，能不能发挥银行控制经济的能力？西方理论界一直都特别强调，不要片面地促进银行之间的竞争，为什么？因为他们理解银行的本质。假若银行控制企业，控制经济，自己互相厮杀，我降多少利率，你降利率更多，咱俩竞相降价，最后是什么？让贷款的企业在中间叫板，这让银行怎么控制客户和控制经济？还是让客户控制银行？是让借款的控制贷款的，还是贷款的控制借款的？这个问题要解决。实际上我们讲的银行的控制与被控制是这么一个概念，商业银行、中央银行、企业这三种主体参与控制体系中来。这里有三层的控制职能：第一层是商业银行被控制、被监管，中央银行控制和监管商业银行。第二层是我们银行要自我控制，你自己要控制好自己，不要在去控制经济之前，你自己都失控了，你没法控制你的客户了。第三层是商业银行要控制企业。这些企业要按照银行的贷款规定去投资、去盈利、去回报，假如这个企业没有信誉，我不贷给你。不是像以前那样，地方政府逼迫银行去贷款，那很可能要不回钱来。现在大部分不良资产就是在1992年以后堆积起来了，那个时候是胆子要大一点，这大一点到后来是欲发不可收拾，我看到国内通货膨胀向两位数攀登，曾从英国写信给时任朱镕基总理，建议强化银行的信贷控制。中央肯定及时分析了经济形势的发展。大约半年后，国务院不得不开始实行政策控制，到那之后就好转。

银行的内部控制还有更深一层的含义。实际上我们的下级机构要接受总行的控制，总行也有一个自我控制的问题，因为总行也办营业部，总行也搞项目、也搞营销，总行也会出现问题。一级分行也有自我控制，同时一级分行还有一个控制二级分行的控制，控制辖内机构的问题。各级银行都有控制自己所管辖企业的问题，控制贷款户的问题。现在国内的信贷形势有不好的地方，就是银行过度竞争造成无法进行控制。比如现在是银行都去营销少数较好的客户，工行去说我的条件怎么怎么好，农行接着说我的条件怎么好，中行说我的对外网络好，我能提供什么服务，建行说我的投资额度很大。使这些企业挑花眼了。有的业务现在已经到了赔本的程度。我们中国银行的国际结算业务应该是好的，现在有些银行跟我们竞争，一竞争是零费率，目的要把我们的客户抢过去。我们有一个二级分行在东南沿海地区的城市，另一家银行把这个城市90％的国际结算业务全拉到这个银行，原因是他不惜血本，而且总行给了他这个任务。我认为这一种环境违背银行的本质职能，我说的不是这家银行，我说的是这种环境，使银行不得不屈从于借款人的苛刻条件，甚至为了使这个借款人不离开我的保留范围，不使我的市场占有率下降而丧失公平性市场原则。我还举个例子，我曾经在一个省行主管过公司和结算业务。财政搞统一支付，各家银行就到省里来营销，由省财政局招标确定财政支付系统中心设在哪家银行，大家竞标。虽然人民银行有规定不允许任何商业银行变相降低利率给客户好处，但是那个时候不得不给好处，因为竞标，竞标的时候就看你是让我财政局低租金租用你银行的房子还是免费让我租用，有银行空出半层楼供财政建立这个系统，使用的电脑由这家行来提供，工行、农行、建行拼命地设计“我来提供”，最后财政就问了，你给我多少钱的设备费，我们中行的同志回去连夜考虑，最后咬牙说出300多万元，可另一家银行竞标的时候提出1000多万元。后来我们也知道，没有真出1000万元，但是背后已经谈好了。你说这种氛围能实现我说的银行控制论吗？如果经济不由银行这个最有鲜明的特征的机构来控制的话，这个经济能办好吗？你的企业能听话吗？经济活动参与者还服从市场纪律吗？现在还要鼓励办多开银行，私人银行，俄罗斯改革以后，两三千家私人银行，你现在问问倒闭了多少。匈牙利我去考察过，也是改革以后，他们建立私有化的银行，不良资产不断上升，为什么？那么容易就干银行?中、农、工、建银行比拼，拼来拼去最后弹尽粮绝。最近我看一个评级公司在评我国一些股份制小银行，最后除了招商银行稍微好一点以外，其他银行的级别都不高。我建议大家重温一下列宁的《帝国主义论》，想一想为什么工业化产生金融寡头。其实衡量银行体系的好坏不在它有多大数目和多元化到什么程度，而在它对经济的控制和服务功能发挥得如何。

市场风险有没有可能造成银行倒闭？有人问咱们中国的银行还能倒闭吗？都是国有的，只要有共产党领导，再高的通货膨胀，再低的资本金都没有关系，一样不会倒闭。这次中央为什么决策让中行和建行上市，有些搞改革的同志一个劲地宣传银行上市以后，怎么怎么好，我却从内控角度说银行上市以后，怎么怎么有风险。我不反对银行股份化和上市，我在英国出版的著作中还介绍过一些理论家关于转轨经济中股份公司如何发挥作用的论述。但我也不认为这是唯一的解决方式，更不能认为只要体制更新了，机制一定会随之好起来。一些热衷于体制改革的同志不可否认有其进取心。但值得注意的是，体制层面上的变化虽然容易显现业绩，但内部机制的转变和完善是更实质性的，来不得半点的短期行为。世界上银行的治理结构和运作方式千差万别，很难把不同的经验一般化，很难说哪种结构和方式照搬过来就一定适合中国的银行。体制改革也不是万能的。西方市场中倒闭的股份制上市银行并不少。一家银行倒闭后还会掀起倒闭狂潮，危及社会。现在提议银行要改革，都在考虑怎么股份化，不外乎所有制要多元化等。我们银行如果要上市，一个很重要的问题就是想让战略投资者进来，但是投资者要进来之前一定会先看咱们的管理和控制水平。水平太低别人不敢买你的股票，或者说还没下决心买你的股票。西方人看得很仔细，我在行里主管反洗钱，战略投资者为这方面的事调查我们行好几次，拿出一系列问题问我们。所有制的实质在于你的控制机制，你过去是国家控制，国家控制从某个角度可能有坏处。国家控制我，所有利润都上交，多发点奖金发不了。你可能不承认，我们中行员工的薪水曾长期处在较低水平。听行外有人说：中行的服务质量差，追究其中一个原因就是奖金少。站在中行的员工角度上，会觉得不如上市，上市以后股份制，财政部别卡我了，灵活性就大一些了。但是如果财政部不控制，总有第三只手要控制，不可能没人控制，当第三只手控制你的时候，可能比财政部还厉害。光想着财政部控制那么严，没想到财政部还是你母亲，妈有的时候看你哭还掉眼泪松松手，但是第三只手控制的时候非常残酷。

2控制环境的建设有持高级管理层的支持。在控制环境方面涉及一些问题值得关注，管理层是不是明确维护内部的完整性，这是非常重要的，特别是高级管理层，比如说总行的领导，一级分行的行长这些负责人，他们是不是明确维护内部控制系统？包括规章制度的建设，组织结构这方面的合理性，都非常重要。还要看这个银行有没有积极的控制管理，是不是在整个组织中间具有控制觉悟或者自觉的控制态度?行长们对内控的基调是不是积极?单位里的员工其能力和他们的责任是不是相匹配?这里就涉及单位的人事政策，应该审理人事部门人事的管理程序和管理规定。管理层的经营风格、授权、责任、组织和业务发展的方式是不是适当?法律部门难以承担授权管理这个职责，但是有一个问题值得探讨，就是授权管理的合规性是需要有人控制的，我们目前还没有控制到，我们在内控上是有缺陷的。

行长也好，董事会也好，稽核委员会也好，是不是对内部控制给予足够的重视了?巴塞尔委员会是这样说的，董事会应该负责批准并且定期审查整个经营战略和银行重大政策，理解银行经营的主要风险，确定这些风险的可接受的水平，保证高级管理层采取必要的步骤，识别、衡量、评审和控制风险。银行的组织结构是由董事会批准的，高级管理层也要不断评审内控系统的有效性，在确保建立和维护充分和有效的内控系统方面，董事会富有最终的责任。我们最近也在讨论一个问题，我们行要成立一个主管内控的一个处室，大家发现内控没有一定的组织保证不行，就要成立内控处。这个内控处设在哪儿？就是一个极为头疼的问题。后来还是鉴于风险管理部的权威性比较高，把它放在风险管理部。但是风险管理和风险管理部并非一回事，风险管理是个很宽泛的概念，而银行设风险管理部主要还是为了识别和评估信用方面的风险而制定政策并把关。风险管理部并不是管内部控制这方面的。后来实践也证明，风险管理部根本没有精力管这部分，项目的评审、客户的评级、政策的制定、行业分析都已经让他们负担很重了。这个内控处挂靠在风险管理部，它们草拟了一个文件，其中提到负责内部控制的是风险管理委员会。后来拿到我们部提意见，我给他提了意见，我说风险管理委员会不是内控的最终责任承担者，最终的责任承担者是董事会，与其他行不一样，我们行有过董事会，这个董事会与20世纪90年代以前的人大常委会差不多，它并不是主要责任人，是一些人退休后，安排当一个董事，不像国外的董事真是代表股东的权益，有决策权。

巴塞尔委员会对高级管理层也提出了建议，就是高级管理层要维护组织结构，确定并执行适当的内控政策。例如国外都有合规政策，是法律与合规部或者合规部负责的，我研究这个问题，究竟合规政策怎么制定?实际上很重要的就是认识内部控制。合规是依法合规，依法合规是前面介绍的内控的第四大目标，而合规和内控是什么关系。内控里一个重要组成部分是“控制活动”，合规是制定规章制度以后，看你是不是遵循，这应是最主要的控制活动。我们银行出现的案件都是违规才出现的，如果100％按照规定去做，怎么会出案件?所以内部控制重点的一个问题就是抓合规性的控制，合规性的控制就是控制活动的主要的内容，所以你说内控和合规是什么关系?合规是内部控制的重要内容。总行的规章制度非常多，对于下面的人是不是可操作？总行不管；制定的规章制度互相矛盾，总行也不管。甚至制定出的规章制度还不全面，没有真正的防范风险，就下达了，分行接了一种规章制度就跟接一个文一样不执行，不合规成了一种文化。这个是高级管理层要管的，必须维护良好的控制文化。

3银行当前要特别控制的几种风险值得研究。（1）道德风险。银行要特别加强银行的道德建设，我们发现这是控制出现问题，不合规的一个重要原因。有些基层出问题，就是因为选聘的人不讲职业道德，同时出现很多给银行干活实际上为自己干的情况。先是间接为自己干，然后就直接为自己干。有一家支行的女行长最后查出两亿多元的不良资产，你说怎么整的，她有多大的权限？后来发现她丈夫和她儿子开公司，钱都跑到他们家，她当支行行长当然好了，这也是一种“公司治理”。据说她家里宝马车有两三辆，稽核去查的时候，女支行行长珠光宝气。当时有个稽核人员建议马上双规起来，谁想没等查清人家跑了，到现在也没找到。那是几年前的事了。这说明怎么强调我们员工的职业道德教育都不过分。我们现在使用干部的时候不太关注道德风险，喜欢用和自己一致的“顺手”的人，不善于从干部所管单位的群众中了解干部的道德状况，也不注意进行道德教育，甚至压制群众去服从某些所谓“有能力”甚至用权术的干部。这是银行不断产生高管人员案件的重要根源。选人其实选文化，用错了一个人就提倡了一种错误的文化，会影响一大片。在座的处级干部，你们管底下的人员好管吗？不好管。为什么？那个时代的奋斗精神、敬业精神、去掉个人私心杂念来维护集体的精神和银行的利益高于一切的精神，现在都淡漠了，所以怎么能够不出失控的问题？不是说改革了以后，这些问题就自然消失了。因此普遍开展职业道德教育十分必要。巴塞尔委员会指出：有问题银行的案例中经常看到内部失控，其中一大问题就是缺乏足够的管理监督和负责评估的能力，或者我们叫尽职，就是没有能够在银行中发展一种很强的控制文化，重大损失的例子当中，无一例外地反映出银行控制中管理疏忽和松懈，董事会和高级管理层的领导督促不力或者不充分，通过职务和责任的安排，看出管理者缺乏清晰的评估能力，有些案例也反映出管理层缺乏适当的激励机制，去对经营层进行强有力的监督，业务经营和管理人员没有保持高水平的控制觉悟。这是巴塞尔委员会提出来，是在总结国际上许多倒闭的银行和银行中发现重大案件中总结出来的。

（2）人事风险是银行值得高度关注的风险。银行首要的风险是人事风险。首先是我国银行高级管理层的风险。我在2001年写过一篇获奖论文，题为“加强选配评审，防止领导风险”。在论证一番之后我得出结论：在银行的各种风险中间，人事风险最大；在人事风险当中，管理层的风险最大；在管理层的风险中，领导班子的风险最大；在领导班子的风险当中，“一把手”的风险最大。这并不是在讲“一把手”都不好。我前面讲过什么是风险：风险是可能妨碍公司目标实现的因素。显然公司总经理和银行董事长及行长的决策行动对目标实现的影响最大。好的“一把手”能够承认这一点，从而认真肩负起全面的领导责任，确保副手各尽其职，并主动接受副手监督。确实有些人反其道而行之，形成了风险，甚至招致了巨大损失。

这里不妨提一下银行总行这些老总们的风险。我们总行的领导都是从部门总经理或者一级分行的行长提升上来的，这些总经理是不是总行乃至我国银行界最优秀的呢？对总经理室成员有没有授权制度呢？我应聘在外资银行当管理人员的时候，首先接到的就是我的授权书，在这个授权书里，明确规定我向谁报告工作。我到中国银行这么多年，没有任何人给我授权，到目前为止，我做合规工作，没有任何人给我授权，我是什么样的权限，明确的没有，不仅我没有，其他老总大部分也没有，甚至“一把手”也没有，只有口头授权，非正式的授权，而且这种授权很难说在什么情况下越权，在什么情况下有权自己独立处理事务，那就因部门而异，因不同部门的“一把手”不同，他的管理风格不同而不同。部门总经理室没有统一的符合民主集中制的工作制度。在有些部门重大事项由“一把手”一个人或由他找合自己意的人简单决定，只是为了避嫌才有时走个开会的形式。如果银行里放任这种机制，如何教育和监督部门总经理?如何防止“一把手”出现道德问题?

另外，在我们的员工中有一些有特殊背景的员工，对他们应不应该有特殊政策?现在什么地方最好，人们就把子女送进什么地方。“文革”期间走后门最好的去处是参军，谁要是家里有关系谁参军。后来70年代是谁要有关系进好工厂。后来改革开放，国营企业纷纷倒闭，现在人们认为最可靠的是进银行，所以许多有地位的人士都把子女送到银行来。银行好不好管？现在一些领导感觉挺难管的。什么叫有特殊背景？很难定义。当年毛泽东三令五申不准高干子弟搞特殊化。人事政策同银行的企业文化有关系，我们现在将人事部改叫人力资源部，实际上就是人力资源市场化管理，关系学和人力资源市场化管理是矛盾的。西方有几个学者发表了一篇论文讲中国的关系学，他们说西方是不讲关系的市场关系，中国是东方的那种以关系学为主导的市场关系，他们说这两个都有一定的缺陷，最后的结论就是今后是不是西方能增加一点人情色彩，东方是不是减少点人情色彩。在管理人方面还是应该一视同仁。我个人觉得国有商业银行内控的问题，首先是人的问题，不要搞拉拉扯扯和吹吹拍拍抬轿子，银行尤其不能无原则地允许拉帮结派，要半军事化管理。各级员工严守纪律，不分亲疏，不应允许下级绕过直接上级去借助关系谋取个人便利。我们总行干部要从严要求，上得顺理成章，下得顺其自然。当然让干部上或下都应该有充分的理由，而且把理由向当事人实事求是地讲清楚，防止“暗箱操作”，防止利用“能上能下”去拉帮结派或打击报复，防止以次充好。武汉市搞的人事改革试点，解决干部能下的问题要靠机制创新，解决三个问题：标准问题、渠道问题、保障问题。大量裁员中一个困难就是保障问题，要解决干部下了以后怎么办的问题，不能说用人家的时候用人家，等下来的时候不管了。

（3）制度风险不容忽视。银行是一个需要高度关注制度规定的行业。从表面看，银行的规章制度堆积如山，似乎已经很完善了。其实不然。形势的发展、科技的进步、新产品的不断涌现，呼吁银行进一步加强规章制度的建设。管理的实质在于制定高质量的相互协调一致的规章制度，并且推动这些规制有效地执行和落实。我们行在规章制度建设和管理中间，发现有些问题，规章制度制定的规范机制缺位，各级行都有权制定规章制度，没有一个程序来保证规章制度制定的质量。这样质量就有问题了。一方面主管部门制定规章制度的时候没有规划，有随意性(当然随意性不是到处都非常大)，缺乏对规章制度的论证，征求意见的范围程序等也缺乏规定。另一方面在规章制度颁布并实施的时候，是不是需要测试?规章制度一经制定出来就要执行，还是先找几个支行做试点试行，要不要对规章制度进行事后评价?规章制度执行一两年，评价一下规章制度对不对，有没有缺陷，到底有没有可操作性，这是一个很重要的问题。总行一般接到人民银行和中央的规定就要落实中央的规定，制定一些规章制度。但把它们拿到分行、支行以后，人家看了很痛苦，为什么痛苦？因为他们没法操作，这就是有问题。后评价是一种机制，能否导致起动相应的规章制度修改或者废止的程序。评价完了以后，应当明确这个规章制度行不行、要不要废止，谁来说废止的话。

还有就是规章制度欠缺合法合规性的程序保证，因为没有强制性的程序，致使规章制度和外部法律法规相冲突，出现不一致的现象。现在我们的规章制度要送审法律与合规部，送我这儿的规章制度中一大审查内容就是它合不合法，合不合人民银行、中国政府的政策和规定。如果没有一个程序，有些和人民银行的规定相冲突，也导致不可操作。

还有一个问题是规章制度种类纷杂，缺乏统一规范。我们行过去的规章制度有24种，大量的通知、批复，函、附件等都构成规章制度，名称缺乏统一规范，也导致规章制度命名的随意性。什么叫管理规定，什么叫实施细则，什么叫做制度，出现相似内容运用不同的规章制度加以规范的情形。加上没有对以上不同名称的规章制度进行有层次的规定和说明，不但使用者眼花缭乱，大大削弱了规章制度的严肃性、权威性和系统性。

规章制度的信息化管理滞后，使员工难以了解规章制度所覆盖的信息，总行发了个规章制度下来，在一级分行几位行长中间传阅，传阅到最后有的都找不着了，有的是推，已经到了需要向总行汇报情况的时候，其规章制度还没有下发到执行部门。进行规章制度培训也是很必要的。尤其在贯彻执行新规章制度的时候，人们对新的规定不熟悉，还没有建立新的执行机制，所以落实就大打折扣了。具体操作部门作为防范风险的第一道防火墙，需要及时掌握规制，总行的规章制度应当下发到使用者。我们经常发现下去检查工作的时候，包括稽核检查工作的时候，一问规章制度怎么落实的，他们连见都没见过。所以现在就实行无纸化的规章制度(电子化)。我们行现在一般的规章制度全部都是走电子系统，总经理在批规章制度的时候全在电子信箱里签字，这也是提高速度，不用打印了，会签的时候在总行不同部门老总中间按照授权签字。

国家应有“立法法”，银行也应该有。应制定银行的“立法法”，银行规章制度管理办法，来规范规章制度，通过严格合理的程序来设计和制定，使制定规章制度的程序规范、科学、连续、协调、统一、具有共享性，这个叫做法治和法制的统一。通过良好的程序设计，比如规定草案的规划，会签颁布，试行推广，检查和后评价，制定明确的程序来实行。另外，对规章制度的管理也要做一些相关的规定。

（4）还有一种风险叫组织结构风险。中国银行一直有董事会，但是这个董事会应该是什么职能，现在是党委书记、董事长、行长是一个人，今天看起来这种机制不对，行领导怎么进行分工和合作?总行的部门怎么划分职责?银行各个部门之间出现一种叫“扯皮文化”，有人称“免责文化”，大家都不愿意负这个责任，有责任的时候推诿。这里有文化问题，也有组织机构设置和职能界定问题。办文办事拖拉，肯定降低工作效率，导致损失。内部控制究竟需不需要有专门的机构来管理?需不需要从属于某个委员会?从属于哪个委员会?如何以控制文化来取代这种所谓的“扯皮文化”和“免责文化”?这些都是我们值得研究的。

（5）应该大力防范操作性风险。首先案件的风险控制需要认真研究。我不觉得控制风险就是防范案件，案件是失控的典型表现，但不是唯一表现。事要发展到出案子了，要让法院来管了，就太严重了！大量的失控不是案件，但是案件本身是失控的典型表现。因此不注重案件的分析和管理实际上是不对的，是我们白交学费。而且案件是一面明镜，能照出银行在控制上存在的问题，在法规上、在遵循上存在的问题。

我这儿也有一些案例，三防一保方面的案例，稽核方面的违规案例，我们确确实实有大量失控的例子。1996年有一个办事处的副主任，两个人共同策划，利用已经过期的存单采取不进账的手法截留一个公司的存款600万元，其中一部分作为利差返回公司，一部分作为该公司存款中介手续费。他把剩余的400多万元都划往了另一单位的营业部，给以其妻舅为法人代表注册成立的一个贸易发展公司，作验资款用，然后把其中200多万元划到上海两家公司，把100多万元归还储蓄户，剩下的100多万元划到合伙作案人的账上，用于经营。最后这个案子追回了200多万元，查扣了100多万元，有300多万元资金难以追回。工、农、建行都可能发生这类案子。我们最后把他开除公职，移送司法机关处理，有八名涉案人员和领导分别被警告和记大过处分，有一个人被辞退。我们总结教训的时候就有这么几条，一个是思想教育和素质培养上缺乏有效的方法和措施。这个人文化水平比较低，大概高中毕业，思想教育松懈在那个时期是很普遍的。另外我们对抓基层行网点机构的管理缺乏力度，对法规制度落实不到位，监督制约机制不够健全，这个案子反映出我们一系列失控的问题。在会计、储蓄、结算等业务环节空白存单和业务公章、个人名章等的保管方面都存在一些漏洞。规章制度形同虚设，违规违章操作比较严重，个别员工明知不对，仍按领导意思办理业务。知道不对，但是经办人照常去做。加上对内部管理缺乏监督、制约，形成了重大损失。

这个案例实际上从控制环境的角度看出这个分理处存在的问题。我前面介绍了内部控制理论，从那个理论出发，我们可以看到银行如果要想健全内控，防范风险，要想对内控和合规情况进行检查和评价，应该运用一套规范的方法。可以按照内控的五大组成部分，一个部分一个部分去进行检查评价，而且人民银行的内控指导原则已经给我们提出来应该怎么抓。

（待续）

银行风险的识别、评估与内部控制

杨海群

（上接 III）

四、仅供参考的政策建议

(完）

注释：本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。

银行风险的识别、评估与内部控制

Identification, Assessment and Internal Control of Bank Risks

杨海群

（上接 III）

四、仅供参考的政策建议

(完）

注释：本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的注释等网络因格式转换而未加。

第二篇：花旗银行内部控制和风险评估

花旗银行内部控制和风险评估

通过 “内部控制和风险评估”这门课学习，我们知道风险管理包括内部控制建设、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个方面。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控五个方面。从风险管理和内部控制的主要因素来看，内部控制是风险管理的必要环节。内部控制的动力来自企业对风险的识别和管理。相反，如果没有良好的内部控制系统，往往会导致企业无法对风险进行有效的识别和防范，最终可能导致破产甚至倒闭。为了进一步了解认识“内部控制和风险评估”的意义与作用，我决定去调研一家500强企业---花旗集团。

以下文章分为2个部分，我们在第一个部分把花旗集团的发展历史和发展现状作一个简单回顾；第二个部分就主要分析花旗集团的内部控制和风险评估管理模式及对我们启示。

花旗集团

花旗集团（Citigroup Inc.，以Citi为商标）总部位于美国纽约市，为世界上最大的银行及金融机构之一，于1998年由花旗公司及旅行家集团合并而成，并于同期换牌上市。花旗集团的历史由花旗银行的成立为起点，花旗银行是1955年由纽约花旗银行与纽约第一国民银行合并而成。花旗集团是美国第一家集商业银行、投资银行、保险、共同基金、证券交易等诸多金融服务业务于一身的金融集团。

一、发展历史

花旗银行是1955年由纽约花旗银行与纽约第一国民银行合并而成的，合并后改名为纽约第一花旗银行，1962年改为第一花旗银行，1976年3月1日改为现名。该企业在2007《财富》全球最大五百家公司排名中名列第十四。

1968年花旗银行走出了公司战略决策的重要一步－－成立银行控股公司，以其作为花旗银行的母公司。由于美国银行法对银行与证券业务实行严格的分业管理，规定商业银行不许购买股票，不允许经营非银行业务，对分支行的开设也有严格的限制。为了规避法律的限制，花旗银行把自己的股票换成其控股公司即花旗公司的股票,而花旗公司资产的99%是花旗银行的资产。数十年来，花旗银行一直是花旗公司的“旗舰银行”，20世纪70年代花旗银行的资产一直占花旗公司资产的95%以上，80年代以后有所下降，但也在85%左右。花旗公司共辖13个子公司，提供银行、证券、投资信托、保险、融资租赁等多种金融服务（按照当时法律要求，非银行金融业务所占比例很小）。通过这一发展战略，花旗公司走上了多元化金融服务的道路，并在1984年成为美国最大的单一银行控股公司。

1998年4月6日，花旗公司与旅行者集团宣布合并，合并组成的新公司称为“花旗集团”，其商标为旅行者集团的红雨伞和花旗集团的兰色字标。花旗公司与旅行者集团合并组成的花旗集团，成为美国第一家集商业银行、投资银行、保险、共同基金、证券交易等诸多金融服务业务于一身的金融集团。合并后的花旗集团总资产达7000亿美元，净收入为500亿美元，在100个国家有1亿客户，拥有6000万张信用卡的消费客户。从而成为世界上规模最大的全能金融集团之一。

2014年4月8日，花旗集团宣布，该集团将支付11.3亿美元，了结有关该集团在金融危机期间出售抵押贷款支持债券的指控。

花旗集团在2014年《财富》世界500强企业最新排名中排名全球第82名。

二、企业文化

“以人为本”是花旗银行自创业初始就确立了的企业文化的核心战略。他们十分注重对人才的培养与使用。它的人力资源政策主要是不断创造出“事业留人、待遇留人、感情留人”的亲情化企业氛围，让员工与企业同步成长，让员工在花旗有“成就感”、“家园感”。花旗银行CEO桑迪·维尔的年薪高达1.52亿美元，遥居美国CEO的前列；再以花旗银行上海分行为例，各职能部门均设有若干副经理职位，一般本科毕业的大学生工作3年即可提升为副经理，硕士研究生1年就可提升为副经理，收入则是中国同等“职级”的几倍甚至几十倍。

“客户至上”是花旗银行企业文化的灵魂。花旗银行企业文化的最优之处就是把提高服务质量和以客户为中心作为银行的长期策略，并充分认识到实施这一战略的关键是要有吸引客户的品牌。经过潜心探索，花旗获得了成功。2006年花旗银行的业务市场覆盖全球100多个国家的1亿多客户，服务品牌享誉世界，在众多客户眼里，“花旗” 两字代表了一种世界级的金融服务标准。

“寻求创新”是花旗银行企业文化的升华。在花旗银行，大至发展战略、小到服务形式都在不断进行创新。它相信，转变性与大胆性的决策是企业突破性发展的关键，并且如果你能预见未来，你就拥有未来。这就是说，企业必须永无止境、永不间断地进行创新。

三、品牌

花旗集团有很多品牌，他们基本覆盖了生活的方方面面，而且花旗银行在中国也有了长足的发展。具体品牌如下：

花旗银行－提供商业银行服务 *

Banamex－墨西哥最大的银行 *

Banco Cuscatlan－萨尔瓦多最大的银行 *

Banco Uno－中美洲最大的信用卡机构 *

花旗贷款

花旗保险－提供保险服务 *

花旗资本 *

花旗财务

大来信用证* Primerica *

史密斯·巴尼·希尔森－股票承销商、投资银行和资产管理公司 *

CitiCard *

Credicard Citi－巴西信用卡业务 *

Egg Banking plc－英国投资银行 *

CitiStreet 花旗集团在中国的历史可追溯至1902年5月，是首家在中国开业的美国银行。至2006年，花旗银行已是中国顶尖外资银行，为客户提供最广泛的金融产品。花旗银行分别在北京、上海、广州、深圳和天津设立企业与投资银行分行；在上海和北京设立个人银行营业网点；在厦门和成都设有代表处；中国区总部也设在上海。作为花旗集团在全球100多个国家网络的一部分，花旗银行是中国最具全球性的外资银行。花旗银行在中国主要为跨国公司、合资企业、本地企业和个人提供广泛、多样的金融服务。花旗银行通过不断创新，始终站在行业发展的前沿。2005年，花旗集团国际投资有限公司负责在中国的投资业务推广。花旗银行在中国多年，获得了良好的发展。2003年8月，被Euromoney中国授予“中国最受青睐的外资银行”和“中国受欢迎的资金管理银行”；2004年6月3日，花旗银行成为首家在华开设财富管理中心(CitiGold Center)的外资银行，花旗财富管理中心在上海新天地落户开张；

花旗银行内部控制和风险评估管理模式及启示

内部控制和风险管理是商业银行经营管理中的两项重要内容,在当今银行业发展日益规范化、国际化的今天, 学习、研究西方商业银行先进的管理经验和模式, 对提高我国商业银行的竞争力和抗风险能力具有重要意义。

一、花旗银行内部控制和风险评估管理的双层构架

花旗银行通过建立内部控制和风险评估管理模式, 即C C R A

(Corporate Control and Risk Assessment)来实施风险管理, C C R A的总体目标是为了预替风险、控制风险, 促进业务的顺利进行和股东权益的增加。从组织框架看, C C R A 可分为两个层次的内容。第一个层次是指C C R A 工作组对花旗银行全球分支机构业务的审查、监控、纠错和评价。为保证组织机构的独立性和权威性,C C R A 工作组实行派驻制, 即由设在纽约总行的C C R A 工作组总部向全球100 多个国家和地区派驻3200 多个CCRA 代表处。花旗银行对CCRA 代表处员工素质的要求极其严格, 通常, 代表处员工分为全能人才、资深专家和负责代表处之间业务联系的全球协调员三类人才, 其中资深专家有零售业务专家、公司业务专家、政策制度专家、信息技术专家等。

CCRA代表处的工作是花旗银行风险管控的主体, CCRA代表处的员工素质决定了花旗银行风险管理的水平。

CCRA的第二个层次是花旗银行的整体风险控制管理, 这项工作由审计委员会、审计工作组和经营检查委员会三个组织来实施。审计委员会是花旗银行级别最高的风险管控机构, 它由花旗银行的一些董事组成, 直接对董事会负责。审计委员会实行每季例会制度, 对国家风险、银行战略风险等最高层次的风险进行讨论、分析, 并向董事会提交报告。审计委员会下设审计工作组和经营检查委员会两个组织, 审计工作组由花旗银行的部分高级管理人员组成, 它依据CCRA代表处的报告有针对性地对一些诸如重大风险、特殊风险等案例进行深人调查、分析和监控;经营检查委员会的成员也是一些高级管理人员, 它负责处理CCRA工作组总部提交的报告, 检查CCRA工作组的业务情况, 对一些严重违规或风险失控的分支机构作出最终处理决定。花旗银行CCRA的双层构架如图所示。

二、CCRA代表处的工作内容

1、风险分析, 风险分析是CCRA代表处的一项日常工作, 它包括两个方面的内容: 一是为花旗银行高层管理人员提交宏观风险分析报告, 这包括风险窗口中的18 项内容, 即国家风险、行业风险、产品风险、价格风险、房地产、自然灾害、人身安全、风险等级变动、竞争对手、技术发展、特许权、限制因素、资本实力、商品市场、销售状况、流动性风险、对外依存度、企业内控等;二是对被检查单位内部环境的风险评估。花旗银行通过对被查单位的经营战略思想、规章制度、权力约束、企业文化、经营风险、财务风险、机构和人员风险信息系统风险等的了解和分析, 来确定被查单位的风险度(花旗银行的风险度分为高、中、低三个档次)。此项风险分析的结果是CCRA人员确定检查范围、深度和检查周期的重要依据。

2、实施内控检查,CCRA代表处对被查单位的检查包括以下几个关键步骤: 首先是部署任务, 即确定审计检查的性质、范围和程度;第二是组建审计小组, 明确人员分工;第三是收集资料, 实施非现场审查, 如对业务动态、财务报告、以前的审计报告等进行分析审查;第四是制定详细的检查计划, 对范围广、内容多的较大的审计项目, 还组织试点工作;第五是实施全面的现场审计检查。在此基础上, 审计小组向CCRA代表处和纽约总部的CCRA工作组提交详细的报告(花旗银行称这种文件为“ 红夹子报告”), 并就检查中出现的问题向被审查单位提出整改意见。此后, 审计小组还将对被审单位实施跟踪检查和监控, 提交后续的“ 红夹子报告” , 如果审查案例符合规定,CRA工作组还会向审计工作组或经营检查委员会作专门报告。

3、内控评级和持续检查,CCRA人员通过检查— 报告— 跟踪— 再报告等一系列过程, 逐步了解被检查单位的管理水平, 从而对其内控水平进行评级。花旗银行的内控评级采用打分制, 得1 一2 分的单位属于内控水平不满意类型, 得3 分的位内部控制为中等水平, 得4一5 分的单位属于内控水平满意类型。CCRA代表处依据内控水平评级结果和风险度情况, 运用矩阵图原理确定对被审查单位进行持续检查的频率, 如对内控水平不满意、风险度较高的单位, 实施12 个月一次的例行全面检查, 对内控水平满意、风险度低的单位而言, 这种检查的周期是42个月。

三、启示

花旗银行的CCRA模式对加强我国商业银行的内控机制建设具有很好的借鉴之处。

1、加强风险监控的组织队伍建设。首先, 要保证组织队伍的独立性,花旗银行的CCRA 代表处直接对纽约总部负责, 人员同其他经营管理人员完全分离, 薪金由总部直接支付,其组织形式是一种由上而下的垂直管理模式, 这保证了风险监控人员在免受权力和利益驱动的情况下, 客观、公正地开展工作、履行职责。其次, 要树立风险监控的严肃性, 花旗银行的CCRA组织对审查结果有较大的处置权, 尤其是审计委员会和经营检查委员会有权要求被审查单位限期纠正不当行为、对责任人进行处理。花旗银行认为, 对被审查单位的间题不及时处置并实施后续监控, 比未能发现问题的失控行为更严重, 花旗银行的这种观点是值得我们深思的。第三, 要树立风险监控队伍的权威性, 花旗银行的CCRA组织对人员有优先选择权, 因此, CCRA人员都是从业务线上选出来的优秀人才,他们精通各项制度和业务操作程序,熟悉经营管理活动中的风险环节, 他们对间题的判断和评级具有较高的权威性。

2、重视风险分析。商业银行的经营活动中存在着许多不确定因素, 防范和化解风险, 保护银行资产, 必须要有足够的风险意识和识别、量化风险的能力。花旗银行CCRA人员对风险窗口中的18 类风险进行分析,还具体评定被审查单位的风险度, 可见其对风险分析的重视。在当前的金融环境下, 我国商业银行不仅应该充分认识面临的来自外部、内部的各类风险, 而且要认真分析多年来风险失控的具体表现及原因, 使管理工作有的放矢, 防微杜渐。

3、客观评价内控水平。花旗银行把内控水平评级作为内部控制的一项重要工作来抓, 通过打分评级, 可以客观反映全球机构的风险管理水平, 而不象国内商业银行那样仅凭表面情况、甚至是主观感觉来判断分支机构的管理水平。科学的打分评级制度还有助于各级机构找出差距, 逐步提高内部控制和风险管理水平。花旗银行经过多年的努力, 其分支机构中内控水平得1 一2 分的仅占全球机构总量的l %, 得分为3 分的机构比重在9% 左右, 得分为4 一5 分的, 即内控水平属于满意级别的, 比重约为90%。

4、摆正内部控制与外部审计的关系。花旗银行的官员认为。商业银行的内部控制和外部审计在根本目标上是一致的, 两者都是为了范和控制银行风险, 只是前者是从银行自身利益出发实施风险管理, 而后者侧重于银行的经营性风险和整个金融业的安全。对花旗银行而言, 其良好的内部监控机制有助于外部监管效率和质量的提高, 同时, 花旗银行也借助外部监管的力量来促进内控机制的完善, 美联储定期对花旗银行的内控机制进行检查、评价, 此外, 花旗银行还专门聘请毕马威国际会计师事务所定期检查CCRA的各种情况, 如CCRA的独立性、检查范围和方法、频率、控制手段等。

第三篇：信息系统的内部控制与风险评估

浅谈如何加强信息系统内控建设防范安全风险

仲婕

江苏省电信有限公司苏州分公司

摘要：如何保证信息系统处理流程规范，系统数据安全完整准确，内控制度落到实处，本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词：信息系统、内控制度

随着电信企业各项生产运营系统的建立与使用，各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。

近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题，利用信息系统可以将人工处理的程序、模型预先设计好，帮助企业高效率地管理生产过程，帮助企业及时获取并提炼重要的信息，以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求，信息数据是否完整准确，却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查，分析系统的安全风险，堵塞系统漏洞，切实发挥信息系统在企业发展决策方面的支撑作用。

日前获悉，某电信运营企业因小灵通预付费系统超级密码被盗，导致被非法制作了1000多万元的小灵通充值卡，至案发时已全部充值消费，给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益，对企业是至关重要的。

本文将就信息系统如何加强内部控制、防范安全风险谈几点看法：

一、信息系统从开发建设起就必须建立一套完整的内控流程

1、信息系统程序设计必须健全数据核对环节，保证数据准确

信息系统能提高企业管理效率，提升企业服务水平，提高企业竞争应变能力，但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程，其中发生了部分溢出、丢失或变异，那么信息系统会输出错误的数据，经营管理者依靠错误的数据肯定不会得出正确的结论。因此信息系统的数据完整准确是首先要保证的。如何保证数据准确呢，一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。

2、信息系统建设必须考虑数据安全存放，保证数据安全

一般情况下数据是否安全主要考虑两个方面，一是数据库是否安全，能否防止非法访问，如果发生有非法访问，或是发生恶意修改、篡改数据情况的，系统是否会留下记录，能否及时告警。另外一方面是数据存放介质是否可靠，有无备份，重要数据是否异地存放，防止自然灾害对数据安全的危害。

根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类，A类数据库如会计核算系统、计费账务系统必须要具备可靠的存储介质，严格建立实时的异地备份，以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划，采用两种以上介质存储、两个不同机房存放等方法。

3、信息系统开发要考虑设置严谨的密码策略，杜绝非法入侵

信息系统必须建立用户身份的验证机制，对信息系统的访问必须使用用户名和密码，而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策，并根据密码政策在系统固化相应的设置，以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为’6901’密码策略，对于超级用户则需要按照’8901’来设置密码，位长不少于8位，更新周期同普通用户。

在对电信企业信息系统进行内控评估时，发现较多的系统存在用户名、密码共用的现象，不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问，发生问题时也无法落实责任。因此有此现象的应当确认为重要缺陷，必须立即整改。

二、信息系统运行维护要严格遵守内控规定

1、用户账号变更严格履行审批

对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后，方可由系统管理员在系统中创建用户帐号，以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时，由人力资源部或用户所在部门及时正式书面通知系统维护部门，由系统管理员更新或删除其相应的访问权限。

在对某电信企业信息系统进行内控评估时，发现用户账号的创建、修改缺少书面审批资料，无法证明是否经过必要的授权，因此被认定为内控执行缺陷。

2、重要操作要严格执行复核、审批制度

对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度，即一人操作、一人复核再加上主管审批，防止误操作，影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账，这也是遵循内控规定的重要体现。以电信企业的计费系统为例，系统操作人员需要根据营销政策对批量用户进行赠送话费操作，此操作会影响一大批用户的预存款余额，不能发生任何 4 差错。操作人员要将营销政策的文字信息转化为计算机语言，既不能送错对象，也不能多送或少送，所以此类重要操作就必须严格执行复核、审批制度。

3、系统操作要有完善的记录

一般信息系统本身会具有记录的功能，将维护人员的维护操作全部记录下来，生成专门的维护日志，供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能，不是所有重要操作都能记录系统中，在这种情况下，必须要求系统操作人员作好手工记录，记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。

4、不相容职务严格分离

《内部会计控制规范》中只是说“不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上，一个企业或一个组织因业务种类、机构设置不同，所要明确的不相容职务是不尽相同的，既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题，如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性，谨防信息系统本身出现重大风险。以电信企业为例，信息系统运用广泛之后，产生了许多电子化虚拟货币如Q币、电子卡等有别于传统货币的实物，无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作，但作为系统管理的虚拟实物还必须要建立这样的职务分离制度，负责管理虚拟实物部门（即系统维护部门）与购买、销售部门分离，实物管理部门与会计记账部门分离，建立相互核对、相互监督的内控工作制度，以两个不同系统的数据核对，或以人工计算核对等方法来验证信息系统数据的完整。以Q币为例，在电信企业就经历购买、入库、销售、计费、记账等诸多环节，购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行，相互之间建立进行定期对账机制，以保证Q币的购销存业务流程闭环管理。

我们都知道不相容职务分离是内部控制的核心，在信息化环境下，更加需要强调不相容职务分离原则，因为业务管理流程经过信息系统固化之后，所有人员都会在系统中承担一个或多个角色，角色分配结果在一段时间内是不会发生变化的，这些角色之间是否是不相容职务，是否会存在因分工不当导致舞弊行为的发生，都直接影响信息系统的安全性。

三、内审部门要加强信息系统的内控评估，堵塞漏洞防范风险

1、信息系统审计评估需要关注的重点内容对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求，认真开展检查评估。

在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范，用户权限设置是否经过授权，是否存在数据安全风险，又要关注不同信息系统之间有无建立数据接口，是否进行数据核对，是否将不相容职务分离，相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。

2、信息系统审计评估需要运用的方法

信息系统评估方法与业务流程内控评估方法基本相同，主要有：询问、文件检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法，像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法，通过审阅相关文档记录来判断各项内控措施是否得到有效执行。

3、信息系统审计评估重要目的是落实缺陷整改

通过对信息系统内控制度的检查评估，发现内控缺陷，目的是针对内控缺陷制定合理的整改方案，确保缺陷得到修正，风险得到控制。信息系统数据的安全完整准确是内审部门开展内控评估的唯一目的。

第四篇：企业全面风险管理：识别、评估与控制

企业全面风险管理：识别、评估与控制

从风险的识别、评估和控制三个方面对全面风险管理的理念和内涵进行系统阐述，并对其与传统风险管理的区别与联系进行简要分析，对我国企业全面风险管理体系的建立具有重要借鉴意义

企业全面风险管理：识别、评估与控制

企业全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理的过程和方法。与传统风险管理相比较，在管理模式上，全面风险管理强调对各种风险，包括战略风险、营运风险以及财务风险等的综合统一管理，强调把风险管理的各项要求融入企业管理和业务流程中;在风险的处理方式上，全面风险管理在强调防范和化解风险的同时，把机会风险视为企业的特殊资源，强调通过对其的管理，为企业创造价值，促进经营目标的实现。

全面风险管理是对传统风险管理的继承和发展，赋予了风险识别、风险评估以及风险控制新的内涵。

一、以构建企业风险“全景图”为目标的风险识别风险识别是进行有效风险管理的基础和关键。风险管理第一步，就是要对企业面临的各种风险进行识别，将风险分门别类，并追溯导致风险产生的各种因素。风险识别工作做得扎实，风险评估和控制的工作效果才有保障。在全面风险管理框架下，风险识别的目标，就是要广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信息，发现企业面临的各种风险，并构建反映各种风险的风险“全景图”。

（一）企业风险“全景图”

所谓风险“全景图”，就是将本企业面临的各种风险反映到统一框架内，为风险评估提供坚实的基础。企业面临的风险，从整体来看可分为外部风险和内部风险两大类，参见图

1、图2。

（二）完善的全面风险管理组织体系是风险识别的依托

全面风险管理组织体系是有效识别、评估和控制风险的制度保障，它包括以下几个方面：一是规范的公司法人治理结构。股东大会、董事会、监事会和经理层要依法履行职责，形成高效运转、有效制衡的监督机制。董事会负责确定企业风险管理总体目标、风险偏好、风险承受程度，批准风险管理策略和重大风险管理解决方案及风险管理监督评价审计报告；董事会下设风险管理委员会，风险管理委员会对董事会负责，并提交全面风险管理报告、审议风险管理策略和重大风险管理解决方案以及风险评估报告；企业总经理对全面风险管理工作的有效性向董事会负责。二是企业应设立专职部门或确定相关职能部门履行全面风险管理职责。该部门对总经理或其受委托的高级管理人员负责，职责包括：研究提出全面风险管理工作报告；提出重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;提出重大决策风险评估报告并对日常的企业风险进行监控。三是企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。四是企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。

（三）全体员工的风险意识是有效风险识别的保障

风险意识是风险管理过程的出发点，在有风险意识的环境里，很多风险问题在变成更大的问题之前，都能得到有效地处理。让所有员工知晓他们个人职责对公司风险有怎样的影响，以及在公司内他们的作用和责任与他人有怎样的关系，是企业风险管理的一个重要方面，也是风险识别工作充分有效进行的前提。在企业风险管理过程中，要努力让每一位员工具备充分的风险意识，使“风险无处不在”的理念遍及企业的每一个角落，只有如此，全面风险管理才能名副其实。从这个意义上说，未能了解自己的企业是基德•皮博迪和德国石油及金属集团发生灾难的主要原因。

（四）通用风险语言是风险识别的基础

构建风险“全景图”应使用通用风险语言。通用风险语言，使得来自不同部门、使用不同术语的人之间的交流成为可能。顺畅有效的交流，能够持续促进公司不同级别人员风险认识能力的提高，减少达成共识的成本，促成公司各部门一致对待风险，提高风险管理的效率。可以说，没有通用的商业风险语言，没有对风险在一个公司的角色的理解，公司的控制流程就将是空中楼阁，失去成长的基础。

（五）恰当的风险识别途径是风险识别工作高效进行的基本保证

构建风险“全景图”需优化风险识别途径。风险识别的途径很多，从公司业务的战略规划和盈利预测，到公司各个主要业务执行层面的管理和流程控制，都为风险事件的识别提供了按图索骥的指引。笔者认为，最直接的途径往往也是最有效的。具体而言，企业在风险管理的过程中，应注重从基本业务单位的经营情况去分析风险，与基层业务人员交流风险，在业务分析报告中找寻风险。比如微软公司的风险管理部门非常重视与业务部门面对面地交流。按照微软公司财务总监的说法，通过这样的方式，风险管理部门至少可以掌握企业所面对的90%的风险。在实践中，从业务报告中分析风险已成为绝大多数企业识别风险的重要途径。

（六）先进的识别工具为风险识别提供了充分有效的技术保障

构建风险“全景图”需运用恰当的风险识别工具。用于进行风险识别的工具很多，常见的主要包括: 风险检索列表、PEST问卷、SWOT问卷以及风险数据库等。其中风险检索列表是由公司经理层基于丰富的工作经验而开发的，它给公司内部人员以相应的告示和提醒，避免今后的工作重蹈覆辙;PEST问卷主要分析公司所面临的外部风险，包括对政治、经济、社会和科技等因素的分析；SWOT问卷主要是对公司的优势、劣势、机会和威胁等问题进行分析。

此外，现场分析、自我评估、集体讨论和情景模拟等方法也都被广泛地运用在风险识别的工作中。这些方法各有侧重，企业应根据管理的需要，选择恰当的方法组合。

二、重视风险之间关系的风险评估

对企业面临的风险进行有效识别后，应对各种风险发生的可能性及其对公司运营造成威胁的大小进行衡量和评估。按重要性、严重性或者对企业影响的大小，对风险进行排序，形成企业风险评估报告，为风险控制决策提供科学依据。

（一）风险分析和评价是风险评估的基本环节

风险分析就是对识别出的各种风险的特征进行明确描述，分析其发生的可能性和发生的条件。具体体现在如下几个方面：一是无论事件是否会导致财务损失，都应在当期的风险分析报告中加以反映。风险事件可以包括重要的顾客账目损失、政策违犯、系统失效、舞弊以及官司等。对于重要的风险事件，其潜在的影响、根源和商业反应等事项也应包括在风险分析报告之中；二是由信用、市场和营运风险导致的损失应该系统地从损失数据库中获取并总结在风险报告中。风险分析的注意力应重点放在超出某一限制上的特别损失以及与收入或销售量相关的总损失上;三是风险分析应给管理层提供风险的前瞻性评估，主要是对现有风险的发展趋势及将来可能出现的风险进行预测，为管理层提供参考。

风险分析和评价后，可以根据风险发生可能性的大小、对企业影响程度的高低，将风险反映到风险坐标图中，如图3所示，A、B、C、D分别代表了风险发生可能性的大小及影响程度高低的不同组合，对于发生可能性较大且影响程度较高的风险，应重点关注。

（二）全面风险管理应重视风险之间关系的评估

企业面临的风险不是孤立的，它们之间或相互促成，或相互消减，或不相关。风险的变动性、流动性和高度互相依存的特性，使得企业在进行风险评估时，不仅要评估风险本身，还应对风险之间的关系进行充分评价。在此基础上，从资产组合的角度去管理风险，既可以利用风险之间相互抵消的关系，节约企业管理资源，又可以防范风险的相互促成，从而酿成更大的风险。风险分析应包括风险之间的关系分析，以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应，从风险策略上对风险进行集中管理。

（三）掌握恰当的分析、评价工具

随着管理技术的不断发展，风险评估工具也日渐丰富，常见的有以下几种：

1．风险影响概率矩阵。风险影响概率矩阵对于风险所导致负面影响的量化，从严重性和发生概率两方面同时描述，使得对风险的刻画更为有效和清晰。

2．风险指标分析。依据行业和企业自身情况，选取系列指标，根据对指标的分析，提出可能的症状或警告信号。风险指标还可以与从外部渠道中获得的主要变量的变动结合起来，提供风险变动的早期警告。实际使用中，可以根据经验对指标定义不同的重要权数，还可以通过风险诊断获得附加数据，确认或拒绝前期风险绘制图中的评级，见表1。

3．风险评级或打分。用既定的标准对风险水平“评级”或“打分”，经常被用来以一致的标准给客户的信用风险进行评价，支持并监督信用决策，详见表2。

4．表现测量。许多情况下，风险不能直接测量，依靠该风险引起的企业经营业绩的变动可以对风险本身进行间接和相对有效的测量。例如，客户满意程度风险就是通过结合公司内部运营统计数字及其他客户反馈信息做出的。这样，公司可以评估客户满意程度，了解客户的需求，使客户能够接受。

5．风险模型测试。对数据便于收集，便于量化的风险而言，通过严密的评估模型和分析方法来支持风险的测试，是风险评估中行之有效的方法，对金融服务企业而言更是如此。至于选取何种模型，应视企业的具体情况而定。值得注意的是，风险评估工具是为评估风险服务的。企业经营发展战略、风险管理的目标和业务流程的特殊性等，都是使用风险评估工具时必须考虑的因素。

（四）形成风险评估报告

风险评估报告是对风险识别和风险评估工作的总结和归纳。风险评估报告应该运用通用风险语言、合理的评估方法，为企业全面风险管理提供一个整体的参照。在传统的管理体系下，要么无人负责整体的风险报告，要么各风险管理部门提供了不一致的、有时甚至还互相矛盾的报告。而全面风险管理体系则有效地克服了这一问题，在确保精炼、明确、全面的前提下，风险评估报告能够涵盖企业面临的所有风险类别、风险事件和损失程度，并能指出问题的关键所在，在为企业管理层风险管理决策提供基本依据的同时，也让企业的每一位员工对企业所面临的风险有个整体的了解，让他们更直观地了解到自己处在企业风险的哪个环节，从而有利于激励他们积极参与到风险管理中来。

三、视风险为企业特殊资源的风险控制

全面风险管理，就是要保持企业所面临的风险与可能的收益之间的平衡，风险控制是落实风险管理目标的最关键、最直接的方式。“企业开展全面风险管理工作，应注重防范和控制风险可能造成的损失和危害，也应把机会风险视为企业的特殊资源，通过对其进行管理，为企业创造价值，促进经营目标的实现。”

（一）风险控制原则

鉴于风险控制在企业风险全面管理中的重要意义，在进行风险控制时，应该坚持以下几个原则：

1．区别对待风险。经过风险识别和评估后，各种风险发生的可能性及影响大小都形成了明显的区分，要优化利用资源，对不同的风险采取不同的策略。

2．风险与收益相平衡。风险会给企业带来损失，也可能给企业带来收益。企业全面风险管理与传统的风险管理最重要的不同之处就在于，前者对风险进行了更仔细的划分，能够积极地从风险中创造价值，而不是对所有的风险都防范、化解。全面风险管理的核心就是要维持好风险与收益之间的平衡。

3．积极应对。积极应对风险就是要建立起业务单位与风险管理的伙伴关系模式，即“业务单位与风险管理部门一起评估和解决风险管理问题并且拥有共同的目标”。在伙伴关系模式中，业务单位与风险管理部门既拥有各自的绩效目标，同时也共有一些重要的绩效计量目标。

（二）确定风险偏好和风险承受程度

企业作为一个经济体，在处理风险时，首先应明晰自身的风险偏好，明确风险的承受程度。明晰自身风险偏好，就是企业要对自身的经营战略和风险理念有清晰的认识，根据其发展战略要求确定风险偏好标准，并参照此标准决定愿意或不愿意承受哪些风险。笔者认为，企业在确定自身的风险偏好时应理性适中，不易过于保守或冒险。过分地冒险，会较大地增强企业遭受损失的可能性，使企业面临的风险过于外溢，加大企业持续发展的不确定性;过于规避风险则会使企业在经营发展过程中束手束脚，丧失一些具有一定风险但收益极为可观的发展机会，不利于企业的快速成长。

明确自身的风险承受程度，就是指企业在风险偏好基础上设定的，对目标实现过程中所出现的差异可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。

（三）制定风险应对策略

风险控制的核心，就是制定出适当的风险应对策略。策略的制定必须遵守一些基本原则，特别是在商业运作中，有些风险是无法避免的。

根据风险发生的可能性及对企业造成影响的大小，结合公司风险偏好和风险承受程度，处理风险的策略主要有: 避免、转移、小心管理或可接受等，见图4。

(1)对于发生可能性较大、且影响程度极深的风险，企业应当尽量避免，以免损失惨重，危及生存。(2)对于影响程度较低、发生可能性较大的风险，可以采取转移的策略。相应的方法主要有：与财务独立且有赔偿能力的实体签订保险合同，进入资本市场利用衍生金融工具对冲风险，通过有效的定价机制将风险资产证券化，通过外包非核心业务来转移风险等。(3)对于影响程度较高、发生的可能性较小的风险，应当小心管理，力求将风险控制在合理范围内。可以采取分散或控制的方法: 分散是指在地理区域或客户构成上将业务进行合理组合，适当降低产品或服务的客户集中度和区域集中度;控制是指通过内部流程或行动，使负面事件出现的可能性降低到一个可以接受的水平。(4)对影响程度和发生可能性都较低的风险，可以选择承担的策略。相应的方法有: 分配，即在公司内部适当分配资金，为所承担的风险融资并取得预期回报；扩展，即通过投资新行业、新的市场及新的客户群扩展商业组合；创新，即创造新的产品、拓展新的服务及渠道；定价，即通过对产品定价来影响客户的选择等。

（四）充分利用机会风险的价值

全面风险管理要求从资产组合的角度看待和处理企业所面对的各种风险。在单一的风险管理中，风险策略只在单一交易或单一层面实施，这样就忽视了各风险类型之间或许能相互分散的关系，容易引起过度的对冲及过多的保护。因而，在对风险之间的关系进行充分评估的基础上，风险控制应合理利用这种关系，从资产组合的角度看待公司所面临的各种风险，以达到扩大收益与降低风险的双赢目标。

（五）控制不利风险在实际操作上，可选取先进的技术指标对不利风险进行控制，如止损限额、灵敏度限制等。止损限额即是将上述风险承受程度数量化、具体化，对每一重要的风险敞口，都可以在充分考虑收益及企业承受能力的基础上制定具体的止损指标，当实际的损失或表现触及这一限额时，企业则应做出一些决策或行动，包括管理回顾审查、对冲策略、紧急应变预案以及退出策略等。企业还可以尝试在止损限额之下设立“预警”限制，就像在红色交通信号之前设立黄色信号一样。灵敏度限制则主要用于避免风险过度集中，在已知风险头寸和经济环境的不利变化的情况下，控制企业拥有的风险资本数量。当然，设立风险限制只是整体风险管理过程的一个环节，其作用的发挥依赖于有关限制的信息（特别是限制被突破的信息）能否及时报告给管理层，且管理层是否能依据该信息果断地做出应对措施。

第五篇：企业财务风险识别与控制

【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!企业财务风险识别与控制

潘孟婷

摘要：在我国经济快速发展的背景下，市场经济竞争也越来越激烈，过去只看发展速度的局面已经不复存在，企业稳定已经成为目前我国企业发展面对的主要难题。我国企业财务风险的识别与控制研究在国际企业风险理论研究中起步较晚，传统的理论研究过于零星、分散，难以形成体系，预警能力有限。笔者结合多年对企业财务风险的理论研究，对企业财务风险的识别与控制做进一步分析，希望在现实的经济发展中，企业应树立财务风险意识，采取有效措施防范财务风险，积极促进企业财务系统的健康发展和经济效益的提高。

关键词：企业；财务风险；识别；控制

一、企业财务风险的成因

从宏观环境方面分析。首先，全球一体化经济发展对企业财务风险有宏观影响。随着全球经济一体化发展，我国更加积极参与其中，从而在整体经济环境、法律环境、行业环境、市场环境、社会环境等诸多方面对企业财务风险形成影响，是企业财务风险的宏观环境因素；其次，国家政策的变化带来融资风险。企业融资受国家经济政策影响较大，如提升存款准备金率，企业商业银行贷收紧，企业的资金供给首先受阻，融资风险增加；再次，利率水平和外汇汇率水平的影响，利率的增加造成了企业的付息压力，以及相应的财务风险。同时当企业进行融资时使用外币时，外汇汇率浮动对企业也会形成财务风险；最后，银行融资渠道不流畅，企业融资的主要渠道是银行融资，而银行融资受政策影响较大，并且银行融资门槛对大部分企业过高，因此，银行融资渠道不流畅也会增加企业的财务风险。

从企业自身方面分析。首先，企业管理者的风险意识淡薄，企业管理者和企业财务人员对财务风险识别与控制意识淡薄，重视程度不高，使企业财务风险容易存在于企业交易过程中，特别是赊销环节，如果对客户信誉了解不够，会给企业财务造成严重风险。其次，财务管理决策缺乏科学性导致决策失误而产生财务风险。如固定资产投资决策缺乏科学性导致投资失误、对外投资决策失误，导致大量投资损失、筹资规模和结构决策不当导致财务风险的产生等；再次，企业存货和应收账款机制不健全，存货和应收账款机制不健全对企业流动资金产生消极影响，进而加大财务的风险；；另外，企业各部门间的财务关系多样性，资金使用与分配等管理分工不清导致的混乱现象，进一步促使企业的资金流动性安全性降低，严重时会造成资金流失的问题。

二、企业财务风险的识别

（一）企业财务风险的主要识别方法及其优缺点分析

1、报表分析法

主要是指通过企业财会的各类报表对企业各项资产状况进行综合分析，以报表为突破口，分析企业面临的各类财务风险。这种方法的优点是可以省去一部分繁琐的资料收集工作，进而提高风险管理的工作效率，还可以提高报表本身的编制质量，直接分析由此可能引起的财务风险。这种方法的缺点是受地域限制，数值可比性较差；行业性质相近或者经营方式、规模相同也会限制比较分析法的应用；单纯用大量数据表示，缺少对问题实质的挖掘。

2、指标分析法

主要指根据企业财会的各项数据，对企业财务风险的相关指标进行计算、监测，从而对结果进行科学分析，以便在企业发展中可以加强对企业财务风险的识别与控制，并对进行科学分析，使企业现实的经济发展中有效防范财务风险。这种方法运用的优点是对企业的财务风险分析，需要考虑的指标包括销售利润率、资产报酬率、资产负债率、存货周转率等等，这些指标涉及企业的基础数据绝大多数来自企业的财务报告和统计表，应用效果较为显著。【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!这种方法运用的缺点：企业数据可靠性有待查验，基础数据真实性不足，也会影响结果判定。

3、概率和数理统计法

主要指对财务风险因素的发生进行梳理统计，以便将结果应用于财务风险的识别与控制中。

优点：研究范围包含很多不确定因素，以及样本的总体情况和分析情况，并且可以推及社会研究和科学探索高度，可以进行统计性预测。

缺点：过程较为繁琐，应用不过程便捷性不高。

（二）识别方法的改进

1、创新企业财务风险识别方式

第一，补充盈利能力的指标

首先补充净利润现金比率，该指标可以反映出在企业利润中现金支持的比例，使用者由此可分析利润的现金保障程度；其次，补充主营业务收现率，该指标是评价企业销售质量的指标，通过对其进行分析清楚的掌握企业主营业务收入中有多少以应收帐款的形式存在，其中有多大比例转换成了现金。

第二，完善偿债能力指标

如现金到期债务比和利息保障倍数，现金到期债务比指标能有效地反映企业所有活动产生的现金净流量对到期债务的保障程度，能稳健的反映企业的偿债能力。利息保障倍数能有效地反映经营活动现金偿还债务利息的能力。

2、加大企业财务风险识别方法综合性进程

要全面地看问题，而不是孤立片面地只看到个别财务指标的高与低，就得出好与坏的结论。使用企业的财务指标考察结果，在不同场合以及时间对某一对象进行评估，得出的结论可能是天差地别的。所以，企业在对财务风险进行评估的过程中，不能只孤立地考察一些指标的某一方面作用，而要通过分析某具体指标对于不同方面所施加的影响加以综合分析。

三、企业财务风险的控制对策

（一）从财务制度方面进行控制

1、完善企业风险管理委员会

完善对企业风险管理委员会的管理，要成立董事会直接领导的风险管理委员会，制定企业风险管理制度，负责监控企业管理人员管理运作情况，对企业重大风险管理事项进行集体决策。

2、推进落实风险控制相关制度

公司应当完善并严格实行投资分析和投资决策机制，加强研究对投资决策的支持，防止投资决策的随意性。公司应当建立完善投资授权制度，明确界定投资权限，防止投资管理人员越权从事投资活动。

（二）从财务风险意识方面进行控制

1、强化风险管理理念

企业财务风险识别与控制离不开企业强有力的财务风险管理理念，企业管理者要居安思危，对财务风险识别与控制要早作安排，树立风险观念，以便应对突发财务风险，及时反应对策，将损失降到最低。所以，企业管理者要对企业这些方面加强财务风险识别与防范意识。

2、鼓励企业全员风险意识

企业财务风险识别与控制仅仅依靠企业管理者是不够的。要鼓励企业全员加强财务风险意识，要明确在企业各个经营环节财务风险发挥的作用，以便对其进行监督检查，防范风险的发生。另外，企业财务管理人员必须将风险防范贯穿于财务管理工作的始终。学习和掌握风险管理理论与方法，这就需要提高自身知识水平、加强业务学习，才能有效提高风险管理水平。

【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!

（三）从财务决策机制方面进行控制

1、加强财务管理机制对市场环境的适应能力

面对市场环境的顺息万变，企业财务管理部门一定要做好财务管理基础工作，健全各项财务管理制度，使财务信息质量能够有效的提高。企业应加大资金使用与管理的监控体系，在公司债务、资产、投资回收和资产增值等方面的管理和监控进一步加大，积极有效的管理好贷款和担保等事项。

2、创新科学的财务决策机制

所创新的投融资决策机制必须科学、高效，实行以财务指标为核心评估标准的制度化措施，确保决策形式的科学性，对融资成本进行整改下调，实现投融资利益的提升。企业集团要加快风险抑制有效机制的创建，完善风险辨别与预警机制，量化评估内在与实际风险，通过科学的风险技术管理方法来降低财务风险。另外，还要构建集团财务管理相符的产权与财权机制，如子公司财务管理办法、代表产权报告机制等。

（四）从财务预警系统方面进行控制

要建立短期的企业财务预警系统，其主要作用在于考察企业的现金流动，因为对企业来说，是否能够进一步发展，除了实际的盈利情况外，还必须考察是否有足够的流动资金维持不同的支出。短期预警系统可通过对现金的流量的分析实现编制现金流量预算。通过现金流量分析结果可全面反映出企业动态的现金流动情况。如果企业存货或经营性应收项目减少，说明产品库存积压少，货款回笼情况较好，企业的经营能力较强；反过来看，投资者应高度警惕企业经营活动产生的现金净流量小于净利润这种情况，如果应收款项及存货上升，则企业经营能力下降。应收款项、应付款项及存货项目中的任何一项失衡，都会导致企业危机产生，可将这三个项目作为短期财务风险的警源。为能准确编制现金流量预算，企业应将各具体目标进行汇总，并将预期未来收益、现金流量、财务状况及投资计划等，以数量化形式加以表达，以周、月、季、半年及一年为期，建立滚动式现金流量预算。建立企业全面预算，预测未来现金收支的状况，第二，建立长期财务预警系统

从根本上讲，企业发生财务风险是由于举债等导致的，企业在建立短期财务预警系统的同时还要建立长期财务预警系统。从综合评价企业的获利能力、偿债能力、经济效率、发展潜力等方面入手防范财务风险。

从资产获利能力分析，监测的指标有：总资产报酬率（息税前利润资产平均总额），表示每元资本的获利水平，反映企业运用资产的获利能力；成本费用利润率（营业利润成本费用总额），反映每耗费一元所得利润水平越高，企业获利能力越强。

从偿债能力分析，监测的指标有：流动比率（流动资产流动负债），该指标反映企业资产的流动性，该比率越高，偿债能力就越强；资产负债率，资产负债率一般为40～60%，在投资报酬率大于借款利率时，借款越多，利息越多，同时财务风险也越大。

从经济效率分析，监测的指标有：反映资产运营指标的应收账款周转率与产销平衡率。

从发展潜力分析，监测的指标有：总资产净现率=（经营活动所产生现金净流量+分得股利或利润所收到现金+现金利息支出+所得税付现）平均总资产；销售净现率（经营活动产生现金净流量销售收入净额）；股东权益收益率（净利润平均股东权益）。

综合以上各方面分析，对企业财务风险识别与控制的对策主要有从财务制度方面进行控制、从财务风险意识方面进行控制、从财务决策机制方面进行控制、从财务预警系统方面进行控制这样几个方面，随着对企业财务风险识别与控制理论研究的深入，将从更多的方面对企业财务风险进行更加科学、合理的控制，以保障企业的长远稳定发展。

参考文献：

[1] 王小惠.企业财务风险的成因及其防范[J].经济师，2014（02）.【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!

[2] 贺婕，田野.企业财务风险的识别与控制研究[J].中外企业家，2015（02）.[3] 沈广.对企业财务风险的识别和控制研究[J].经济研究导刊.2014（34）.[4] 胡秀梨.企业财务管理风险的识别与控制研究[J].中国证券期货.2013（7X）.[5] 贺迪媛，崔莉.企业财务风险控制及其防范[J].现代经济信息.2015（14）.[6] 仲心想.探析企业财务风险防范控制策略[J].企业导报.2015（14）.【核心期刊网】——中国权威论文发表平台，我们为您提供专业的论文发表咨询和论文发表辅导!

投诉/举报声明：以上内容由特牛范文结合政策法规整理发布，若内容有误或涉及侵权可进行投诉。

第一篇：银行风险的识别、评估与内部控制

第二篇：花旗银行内部控制和风险评估

第三篇：信息系统的内部控制与风险评估

第四篇：企业全面风险管理：识别、评估与控制

第五篇：企业财务风险识别与控制

三下乡文艺汇演策划书

参观博物馆学生讲话稿

体育养生课论文[模版]

开幕式策划文案

《创业说明会操作流程》

校园参观解说词（精选五篇）

迎接2015新年,国旗下讲话

办理申领丧葬补助金和抚恤金

年会主持人串词

“一带一路”的山东机遇