第一篇:剖析危害识别与风险评估方法及存在问题(xiexiebang推荐)
中国石化集团公司管道储运公司--剖析危害识别与风险评估方法及存在问题
中国石化集团公司管道储运公司于2002年10月开始建立HSE管理体系,由于刚开始对建立体系特别是对危害识别及风险评估的内容、方法及分析步骤了解不深,故走了一些弯路。经过一段时间的工作,感到正确的识别出企业存在的危害并作出适当的评估是非常重要的。
一、内容及方法
识别的主要内容
危害识别就是找出可能引发不良后果的材料、系统、生产产过程的特征。包括:
1.1 厂址
从厂址的工程地质、地形、自然灾害、周围环境、气候条件、资源、交通、抢险救灾支持条件等方面进行分析。
1.2 厂区平面布局
①总图:功能分区(生产、管理、辅助生产、生活区)布置;高温、有害物质、噪声、辐射、易燃、易爆、危险品设施布置;工艺流程布置;建筑物、构筑物布置;风向、安全距离、卫生防护距离等。
②运输线路及码头:厂区道路、厂区铁路、危险品装卸区、厂区码头。
1.3 建(构)筑物
包括结构、防火、防爆、朝向、采光、运输、(操作、安全、运输、检修)通道、生产卫生设施等。
1.4 生产工艺过程
物料(毒性、腐蚀性、燃爆性)温度、压力、速度、作业及控制条件、事故及失控状态。
1.5 生产设备、装置
①化工设备、装置:高温、低温、腐蚀高压、振动、管件部位的备用设备、控制、操作、检修和故障、失误时的紧急异常情况。
②机械设备:运动零部件和工件、操作条件、检修作业、误运转和误操作。
③电气设备:断电、触电、火灾、爆炸、误运转和误操作、静电、雷电。
④危险性较大的设备、高处作业设备。
⑤特殊单体设备、装置:锅炉房、乙炔站、氧气站、石油库、危险品库等。
⑥粉尘、毒物、噪声、振动、辐射、高温、低温等有害作业场所。
⑦工时制度、女工劳动保护、体力劳动保护。
⑧管理设施、事故应急抢救设施和辅助生产、生活卫生设施。
识别方法
2.1 分析物料性质
①易燃易爆物质
②腐蚀和腐蚀性物质
a.电化学腐蚀
b.化学腐蚀性物质
2.2 分析作业环境
①生产性毒物
职工在生产过程中接触的以固体、液体、气体、蒸汽、烟尘等形式存在的原料、成品、半成品、中间体、反应副产物和杂质,并在操作时可经皮肤、呼吸道、消化道等进入人体,对健康产生损害、造成慢性中毒、急性中毒或死亡的物质。
②生产性粉尘
其危害主要存在于开采、破碎、筛分、包装、配料、混合搅拌、散粉装卸及输送等过程和清扫、检修等作业场所。
③噪声
④振动
使用振动工具或工件的作业,工具手柄或工具的4小时等能量频率计权振动加速度不得超过5m/s2。
⑤电磁辐射
⑥高温、低温
a.高温危害
高温使劳动效率降低,增加操作失误率。
b.低温危害
低温作业人员受环境低温影响,操作功能随温度的下降而明显下降。
⑦采光、照明
作业场所采用、照明不良,易造成标示不清、人员的跌、绊和误操作率增加的现象,因而在危害识别时对作业环境的采光、照明是否满足国家有关建筑设计的采光、照明卫生标准要求作出分析。
⑧工艺流程或生产条件
工艺流程或生产条件也会产生危险,并且能加剧生产过程中材料的危险性。如:水就其性质来说没有爆炸的危险,但如果生产工艺的温度和压力超过了水的沸点,那么水的存在就具有蒸汽爆炸的危险。
综上所述,识别危害及环境因素应通过现场观察及所收集的资料,对所确定的评估对象,尽可能识别出实际的和潜在的危害,包括:物(设施)的不安全状态,主要有:可能导致事故发生和危害扩大的设计缺陷、工艺缺陷、设备缺陷、保护措施和安全装置的缺陷;人的不安全行为,主要有:不采取安全措施、误动作、不按规定的方法操作,某些不安全行为(制造危险状态);可能造成职业病、中毒的劳动环境和条件,主要有:物理的(噪音、振动、湿度、辐射),化学的(易燃易爆、有毒、危险气体、氧化物等)以及生物因素;管理缺陷,主要有:安全监督、检查、事故防范、应急管理、作业人员安排、防护用品缺少、工艺过程等。
二、分析步骤
前期准备
收集整理四种清单:设备、设施清单;作业活动清单;人员(岗位)清单;环境因素清单。
危害分析及评价方法
2.1 工作(岗位)危害分析法(JHA)
较细致地分析工作过程中存在危害的方法,把一项工作活动分解或几个步骤,识别每一步骤中的危害和可能的事故,设法消除危害。适用于在作业活动、检维修工作中,对作业人员操作活动中潜在危险和危害的识别,同时也适用于岗位人员工作活动的危害分析。
2.2 安全检查表分析法(SCL)
SCL是基于经验的方法,分析人员列出一些项目,识别与一般工艺设备和操作有关的已知类型的危害、设计缺陷以及事故隐患。适用于对建设阶段、固有设备设施,特别是对单一设备的危害识别。
2.3 预危害性分析法(PHA)
在项目发展的初期(如概念设计阶段)识别可能存在的危害,是今后危害性分析的基础。适用于在工程项目或工艺装置等方案开发的初期阶段、设计阶段或建设初期进行的危害识别。
2.4 失效模式与影响分析法(FMEA)
识别装置或过程内单个设备或单个系统(泵、阀门、液位计、换热器)的失效模式以及每个失效模式的可能后果。适用于对单一设备和系统,特别是对机械设备、电气系统的工作性能分析。
2.5 危险与可操作性分析(HAZOP)
系统、详细地对工艺过程和操作进行检查,以确定过程的偏差是否导致不希望的后果。
适用于概念、设计初期阶段复杂流程或设备。
2.6 故障树分析法(FTA)
从结果到原因描绘事故发生的有向逻辑树。把系统可能发生或已发生的事故(称为顶上事件)作为分析起点,将导致事故的原因事件按因果逻辑关系逐层列出,用树形图表示出来,构成一种逻辑模型,然后通过对这种模型进行定性和定量的分析,找出事件发生的各种途径及发生概率,进而找出避免事故发生的各种方案,并优选出最佳方案的一种分析方法。适用于对确定的系统在过去发生的事故及可能发生的事故进行分析。
2.7 环境因素识别
输入输出分析法是环境因素识别的基本方法,即:确定每一作业活动的输入输出,识别相应的环境因素。针对每一作业活动再考虑3种时态(过去、现在、将来)、3种状态(正常、异常或紧急)、6个方面(水、气、声、渣、能源资源、社区)基础上,对整个作业活动进行具体的识别。
正确运用上述七种分析方法,可将企业99.9%的危害识别出来,达到预防事故的目的。
重大危害及重大环境因素汇总
危害识别与风险评估结果分四个档次:
可容许的(L*S=1~5);中等的(L*S=6~11);重大的(L*S=12~16);不可容许的(L*S=17~25或L单项为3以上)。
注:L—事故发生的可能性;S—事故发生的严重性;L*S—严重度。
将上述重大的、不可容许的两项危害按分数从大到小排列。重大环境因素按正常、异常、紧急排列。
控制措施
为防止识别出来的重大危害及重大环境因素发生事故,应从三个方面采取控制措施:
(1)工程技术措施:从设备、设施、工艺方面予以改进,减少和消除不安全状态。
(2)教育培训措施:根据HSE管理工作的需求,开展针对性的HSE教育,使职工掌握防止事故的知识和操作方法,消除或减少人的不安全行为。
(3)管理措施:贯彻实施有关法令、标准、规范、制定、完善操作规程,组织HSE检查和考核。
综上所述:对识别出来的重大危害及重大环境因素应从消除危害、降低危害、个体防护三个方面控制,即通过制订管理方案整改危害,用运行控制文件控制危害,用应急预案进行防护。
三、建立体系过程中常见的问题
(1)在建立HSE管理体系的初期,由于不熟悉体系的要求,导致收集清单较粗,分析结果不符合要求,耽误工作进度。
(2)由于每张分析记录表分析的侧重点不一样,容易出现分析侧重点不清楚导致重复分析或遗漏分析项目,致使分析结果重复和遗漏危害。
(3)理解评价准则不透彻,有的危害打分偏高,有的打分偏低,与实际情况不符,导致真正的风险找不出来。特别是受到一些其他因素的影响,不愿意将企业内的危害真实识别出来的思想,违背了风险评估的初衷。
(4)初始状态评审与风险评估脱节,初始状态评审出现的危害在风险评估中没有很好的体现出来,导致危害识别漏项。
(5)作业活动分析:部分工作步骤划分不细致。危害和潜在事件没有从人的不安全行为、物的不安全状态和不安全的作业环境及管理缺陷等方面分别来查找、描述危害;分析危害时没有说明危害是如何发生的或者描述太简单,没有说明危害发生的途径或方式。
(6)岗位作业活动分析:易对全部岗位进行分析,应针对管理岗位人员的作业活动进行分析。
(7)安全检查表分析:检查项目列的较粗,如对电气设备的检查,许多没有检查接地、漏电保护器和接头的项目;检查的要求或标准不清楚,很笼统,没有数量参数;同型号的多台设备打分值完全相同;很多危害识别仅由一人来做,由于受到知识面、专业面及实际工作经验的局限,有些危害识别不出来。
(8)失效模式分析:分析人员对所分析的设备结构不清楚,不能深入细致分析。
(9)环境因素评价表对环境因素的描述不准确,部分环境因素没有考虑异常和紧急状态,没有根据评价准则来进行环境影响程度的评价。
(10)对咨询公司工作人员的工作不熟悉、不了解,导致作用发挥不充分,出现工作返工。
四、改进措施、建议
(1)领导重视并参与是HSE管理体系建设的前提。在体系建立过程中,领导不仅要提供人、财、物的支持,还要参与到体系的创建中来,并负责体系向良性方向发展,避免出现仅由安全部门牵头,其它相关部门不愿参与的局面。
(2)加强教育培训。在危害识别与风险评估前应加强对领导及全员的意识培训,使全员了解建立HSE管理体系的意义和目的,避免出现领导讲话时重要,工作忙起来不要的情况;更不能出现培训人员不工作,工作人员不培训的情况。
(3)风险评估小组成员应充分了解初始状态评审中的问题,并结合企业的现状,通过开座谈会等多种形式,查找初始状态评审时遗漏的危害,并将这些危害利用分析表分析出来。
(4)危害识别与风险评估小组人员应着重考虑从专业知识扎实、相关知识面广、实际经验丰富的人中选取。
第二篇:税收执法风险点识别及评估
税收执法风险点识别及评估
为了加强对税收执法权的监督,根据《东营市地方税务局税收执法风险监督管理办法(试行)》的有关规定,市局结合税收执法权运行岗位、环节和流程,对地税工作人员在执法活动中存在的各种执法风险信息进行了识别,共计查找出执法风险点45个,其中高级风险点26个,中级风险点13个,低级风险点6个,分别为:
一、风险级别:高级
(一)征收类
1、注销税务登记风险点。本风险点是指在办理注销税务登记时,未按规定收缴税务登记证件、发票及发票领购簿,或未进行注销清算,或未清缴各项税款等问题,造成税款流失的风险。
2、税款上解风险点。本风险点是指在申报征收过程及委托代征税款中,未及时汇总上解税款,造成税款延压或挤占税款的风险。
3、税款征收风险点。本风险点是指在征收税款过程中,未按规定的税款征收范围和税款入库级次征收入库税款,导致税收收入失真的风险。
4、税收票证管理风险点。本风险点是指在税收票证领发、保管、使用过程中,未按规定程序领发、保管、使用税收票证,造成票证损毁丢失或税款流失的风险。
(二)管理类
1、代开发票风险点。本风险点是指在为纳税人代开发票过程中,因代开条件判断不准确、接受资料不齐全、信息录入不完整、税款征收不正确、资料保管不完善或未按规定程序审批或跨区域为纳税人代开发票等,造成税收管理秩序混乱、税款流失的风险。
2、发票发售风险点。本风险点是指在为纳税人发售发票时,未按照核定的种类、数量发售发票,未执行“验旧购新”或“交旧购新”制度,未审验销号又发售发票,造成发票发售混乱、税收征管失控的风险。
3、发票审验风险点。本风险点是指在对纳税人使用的发票审核时,未按规定程序进行审核,或对发现的发票违规问题及违章情况未按规定进行处理,造成纳税人偷逃税款的风险。
4、发票缴销风险点。本风险点是指在发票缴销过程中,未按规定要求清缴发票,造成作废发票过期继续使用的风险。
5、延期缴纳税款审核风险点。本风险点是指在办理延期缴纳税款手续时,未按规定程序和要求进行资料审核和实地落实,造成税款不能及时入库的风险。
6、货物运输业自开票纳税人资格审查风险点。本风险点是指在对货物运输业自开票纳税人资格认定年检过程中,未按规定程序和要求对纳税人所报资料进行审核和实地落实,造成货运发票管理混乱、税款流失的风险。
7、所得税核定征收风险点。本风险点是指在企业所得税核定过程中,未按照企业所得税核定征收的程序、范围和要求为纳税人办理或解除核定手续,造成核定的应税所得率与纳税人实际经营不符,影响企业所得税管理秩序的风险。
8、个体定期定额核定征收风险点。本风险点是指在办理个体纳税人定期定额核定手续过程中,未按规定程序、范围和要求为个体纳税人办理核定手续,或未根据纳税人经营情况及时对核定数额进行调整,造成核定数额与纳税人实际经营情况不符,影响个体税收管理秩序和造成税款流失的风险。
9、减免税审批风险点。本风险点是指在办理减免税手续过程中,未按规定程序和要求受理、传递、上报纳税人减免税申请,或未按规定擅自审批减免税,或故意刁难纳税人,造成国家税收遭受重大损失或国家税收优惠政策未能及时执行的风险。
10、减免税报备案事项核查风险点。本风险点是指在办理减免税报备案事项核查过程中,未按规定程序、权限和要求受理、传递、上报纳税人的备案申请,或故意刁难纳税人,造成国家税收遭受重大损失或国家税收优惠政策未能及时执行的风险。
11、税务行政处罚风险点。本风险点是指在对纳税人进行行政处罚过程中,未按规定的程序、手续履行相关手续,或适用的法律、法规不正确,或认定纳税人违法的事实不清楚、或对纳税人的处理不恰当、或滥用职权进行处罚或滥用自由裁量权造成处罚额与损害程度明显不符,造成税务行政处罚决定被撤销、行政诉讼败诉或导致国家赔偿的风险。
12、税收保全风险点。本风险点是指在采用税收保全措施过程中,未按规定审批权限进行报批,或未按规定程序、数额扣押、查封纳税人的财产,或故意刁难纳税人,或未及时解除保全手续,造成国家税款流失或损害纳税人利益,导致行政诉讼或国家赔偿的风险。
13、强制执行风险点。本风险点是指在采用强制执行措施过程中,未按规定审批权限进行报批,或未按规定程序、数额扣押、查封、拍卖纳税人的财产,或故意刁难纳税人,造成国家税款流失或损害纳税人利益,导致行政诉讼或国家赔偿的风险。
14、退税审核风险点。本风险点是在办理退税手续过程中,未按规定程序和时限为纳税人办结手续,或未调查核实,造成多退税款或者不符合退税条件而退税,或勾结、唆使或者协助纳税人骗取退税,造成国家税款流失的风险。
15、欠税管理风险点。本风险点是指在欠税管理过程中,未按规定程序对欠税情况调查落实或者催缴欠税,或擅自核销欠税,或未及时对纳税人欠税情况进行公告,造成国家税款流失的风险。
16、纳税评估风险点。本风险点是指在纳税评估过程中,未按规定程序或者办法选择、评估纳税人,或瞒报评估真实结果,或应移交案件不移交,或故意刁难纳税人,造成国家税款流失或损害纳税人利益的风险。
17、停歇业户管理风险点。本风险点是指在停歇业户认定管理过程中,未按照规定的程序和权限办理,造成税收秩序混乱的风险。
(三)稽查类
1、举报案件管理风险点。本风险点是指受理、落实、组织查处举报案件过程中,未按规定为举报人保密,或未按规定程序进行处理、回复,造成税款流失或损害举报人利益的风险。
2、案件退回、撤案风险点。本风险点是指案件的退回、撤案过程中,未按规定要求进行审核,或未严格履行报批程序,或徇私舞弊,或不作为而撤案了事,造成失职或渎职的风险。
3、税务检查风险点。本风险点是指税务检查过程中,未按规定履行有关程序、或认定事实有误,或法律法规适用不准确、处理建议不恰当,或徇私舞弊,或以权谋私,造成国家税款流失和失职、渎职的风险。
4、税收违法犯罪案件移送风险点 本风险点是指税务稽查审理过程中,未按规定程序和要求及时上报、造成徇私舞弊不移交刑事案件罪、玩忽职守罪的风险。
5、税务稽查执行风险点 本风险点是税务稽查执行过程中,未按规定程序、时限、要求采取有关措施,造成国家税款流失的风险。
二、风险级别:中级
(一)征收类
1、税务登记核查风险点。本风险点是指在纳税人设立、变更、停(复)业登记时,未按照规定要求落实真实情况和资料审核或未及时将落实情况完整录入,造成税收管理秩序混乱、税款流失的风险。
2、滞纳金加收风险点。本风险点是指在对纳税人逾期缴税、清缴欠税、查补税款等情况开具税票时,未按规定同时加征滞纳金或少加征滞纳金,造成执法不严的风险。
3、催报催缴处理风险点。本风险点是指在税款催报催缴过程中,未按规定执行催报催缴的有关手续,造成执法不严或税款流失的风险。
(二)、管理类
1、漏管户核查风险点。本风险点是指在漏管户核查过程中,未按规定与工商、国税等相关部门进行信息比对或在日常巡查管理中未发现漏管户,导致纳税人应办理而未办理税务登记,造成漏征漏管现象或者税款流失的风险。
2、非正常户管理风险点。本风险点是指在非正常户管理过程中,未按规定程序认定、管理、解除非正常户,造成漏征漏管或者税款流失的风险。
3、延期申报审核风险点。本风险点是指在受理延期申报申请过程中,未按规定程序、权限、时限进行受理、传递、上报、审批,或未及时办理税款结算,造成税款流失的风险。
4、初次领购发票实地核查风险点。本风险点是指在对纳税人初次领购发票实地核查过程中,未按规定程序、要求对纳税人进行资格审查或者实地核实,造成发票管理混乱或者税款流失的风险。
5、责令提供纳税担保风险点。本风险点是指在责令纳税人提供纳税担保过程中,未按照规定权限或办法批准担保申请,或故意刁难纳税人,或擅自处分担保财物,造成国家税款流失的风险。
6、阻止出境行为风险点。本风险点是指在作出阻止纳税人出境决定过程中,未按规定程序提供证据或采取措施,造成纳税人出走或者引起行政诉讼的风险。
7、纳税评估案件审理风险点。本风险点是指在对评估案件进行审理过程中,未按规定程序和办法对案件证据、适应法律、法规、处理意见等进行审查,对应退回补充证据的案件没有退回,造成税款流失或行政诉讼的风险。
(三)、稽查类
1、税务稽查审理风险点 本风险点是指税务稽查审理过程中,未能按规定要求对《稽查报告》和相关资料审核并出具有关文书,或未按规定将重大案件移交重大税收违法案件审理委员会,造成国家税款流失和导致行政复议、行政诉讼的风险。
2、税务行政处罚听证风险点 本风险点是指稽查审理过程中,对达到听证标准的案件,未依法履行告知义务,或未按规定及时组织听证,导致行政复议或行政诉讼的风险。
3、稽查复查风险点 本风险点是指在稽查复查工作过程中,未按照规定程序进行复查,或未对稽查人员履行职责情况审核;或徇私舞弊,造成国家税款流失的风险。
三、风险级别:低级
(一)、征收类
1、办理税务登记风险点。本风险点是指在办理纳税人设立、变更、停(复)业、银行信息登记过程中,未按规定程序受理、传递、录入信息,或未在规定时限内办结登记,造成影响纳税人正常生产经营和税款申报入库的风险。
2、税票开具风险点。本风险点是指在开具税票过程中,因开票错误未及时进行作废税票处理,造成虚假欠税而存在的风险。
(二)、管理类
1、发票保管风险点。本风险点是指在发票保管过程中,未按规定取得、保管、领购、收缴发票,造成发票保管混乱的风险。
2、税种登记风险点。本风险点是指在进行税种登记过程中,未按规定及时、准确进行税种登记,导致纳税人无法正常申报纳税,造成税款不能及时入库的风险。
(三)、稽查类
1、稽查选案风险点
本风险点是指在稽查选案过程中,未按规定要求、条件选择纳税人,造成选户不公的风险。
2、稽查案卷管理风险点
本风险点是指稽查案卷管理过程中,未按规定对稽查案卷进行管理,造成稽查案卷管理混乱、难以查询利用的风险。
第三篇:企业全面风险管理:识别、评估与控制
企业全面风险管理:识别、评估与控制
从风险的识别、评估和控制三个方面对全面风险管理的理念和内涵进行系统阐述,并对其与传统风险管理的区别与联系进行简要分析,对我国企业全面风险管理体系的建立具有重要借鉴意义
企业全面风险管理:识别、评估与控制
企业全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理的过程和方法。与传统风险管理相比较,在管理模式上,全面风险管理强调对各种风险,包括战略风险、营运风险以及财务风险等的综合统一管理,强调把风险管理的各项要求融入企业管理和业务流程中;在风险的处理方式上,全面风险管理在强调防范和化解风险的同时,把机会风险视为企业的特殊资源,强调通过对其的管理,为企业创造价值,促进经营目标的实现。
全面风险管理是对传统风险管理的继承和发展,赋予了风险识别、风险评估以及风险控制新的内涵。
一、以构建企业风险“全景图”为目标的风险识别 风险识别是进行有效风险管理的基础和关键。风险管理第一步,就是要对企业面临的各种风险进行识别,将风险分门别类,并追溯导致风险产生的各种因素。风险识别工作做得扎实,风险评估和控制的工作效果才有保障。在全面风险管理框架下,风险识别的目标,就是要广泛、持续地收集与本企业风险和风险管理相关的内部、外部初始信息,发现企业面临的各种风险,并构建反映各种风险的风险“全景图”。
(一)企业风险“全景图”
所谓风险“全景图”,就是将本企业面临的各种风险反映到统一框架内,为风险评估提供坚实的基础。企业面临的风险,从整体来看可分为外部风险和内部风险两大类,参见图
1、图2。
(二)完善的全面风险管理组织体系是风险识别的依托
全面风险管理组织体系是有效识别、评估和控制风险的制度保障,它包括以下几个方面:一是规范的公司法人治理结构。股东大会、董事会、监事会和经理层要依法履行职责,形成高效运转、有效制衡的监督机制。董事会负责确定企业风险管理总体目标、风险偏好、风险承受程度,批准风险管理策略和重大风险管理解决方案及风险管理监督评价审计报告;董事会下设风险管理委员会,风险管理委员会对董事会负责,并提交全面风险管理报告、审议风险管理策略和重大风险管理解决方案以及风险评估报告;企业总经理对全面风险管理工作的有效性向董事会负责。二是企业应设立专职部门或确定相关职能部 门履行全面风险管理职责。该部门对总经理或其受委托的高级管理人员负责,职责包括:研究提出全面风险管理工作报告;提出重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;提出重大决策风险评估报告并对日常的企业风险进行监控。三是企业应在董事会下设立审计委员会,企业内部审计部门对审计委员会负责。内部审计部门在风险管理方面,主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。四是企业其他职能部门及各业务单位在全面风险管理工作中,应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督。
(三)全体员工的风险意识是有效风险识别的保障
风险意识是风险管理过程的出发点,在有风险意识的环境里,很多风险问题在变成更大的问题之前,都能得到有效地处理。让所有员工知晓他们个人职责对公司风险有怎样的影响,以及在公司内他们的作用和责任与他人有怎样的关系,是企业风险管理的一个重要方面,也是风险识别工作充分有效进行的前提。在企业风险管理过程中,要努力让每一位员工具备充分的风险意识,使“风险无处不在”的理念遍及企业的每一个角落,只有如此,全面风险管理才能名副其实。从这个意义上说,未能了解自己的企业是基德•皮博迪和德国石油及金属集团发生灾难的主要原因。
(四)通用风险语言是风险识别的基础
构建风险“全景图”应使用通用风险语言。通用风险语言,使得来自不同 部门、使用不同术语的人之间的交流成为可能。顺畅有效的交流,能够持续促进公司不同级别人员风险认识能力的提高,减少达成共识的成本,促成公司各部门一致对待风险,提高风险管理的效率。可以说,没有通用的商业风险语言,没有对风险在一个公司的角色的理解,公司的控制流程就将是空中楼阁,失去成长的基础。
(五)恰当的风险识别途径是风险识别工作高效进行的基本保证
构建风险“全景图”需优化风险识别途径。风险识别的途径很多,从公司业务的战略规划和盈利预测,到公司各个主要业务执行层面的管理和流程控制,都为风险事件的识别提供了按图索骥的指引。笔者认为,最直接的途径往往也是最有效的。具体而言,企业在风险管理的过程中,应注重从基本业务单位的经营情况去分析风险,与基层业务人员交流风险,在业务分析报告中找寻风险。比如微软公司的风险管理部门非常重视与业务部门面对面地交流。按照微软公司财务总监的说法,通过这样的方式,风险管理部门至少可以掌握企业所面对的90%的风险。在实践中,从业务报告中分析风险已成为绝大多数企业识别风险的重要途径。
(六)先进的识别工具为风险识别提供了充分有效的技术保障
构建风险“全景图”需运用恰当的风险识别工具。用于进行风险识别的工具很多,常见的主要包括: 风险检索列表、PEST问卷、SWOT问卷以及风险数据库等。其中风险检索列表是由公司经理层基于丰富的工作经验而开发的,它 给公司内部人员以相应的告示和提醒,避免今后的工作重蹈覆辙;PEST问卷主要分析公司所面临的外部风险,包括对政治、经济、社会和科技等因素的分析;SWOT问卷主要是对公司的优势、劣势、机会和威胁等问题进行分析。
此外,现场分析、自我评估、集体讨论和情景模拟等方法也都被广泛地运用在风险识别的工作中。这些方法各有侧重,企业应根据管理的需要,选择恰当的方法组合。
二、重视风险之间关系的风险评估
对企业面临的风险进行有效识别后,应对各种风险发生的可能性及其对公司运营造成威胁的大小进行衡量和评估。按重要性、严重性或者对企业影响的大小,对风险进行排序,形成企业风险评估报告,为风险控制决策提供科学依据。
(一)风险分析和评价是风险评估的基本环节
风险分析就是对识别出的各种风险的特征进行明确描述,分析其发生的可能性和发生的条件。具体体现在如下几个方面:一是无论事件是否会导致财务损失,都应在当期的风险分析报告中加以反映。风险事件可以包括重要的顾客账目损失、政策违犯、系统失效、舞弊以及官司等。对于重要的风险事件,其潜在的影响、根源和商业反应等事项也应包括在风险分析报告之中;二是由信用、市场和营运风险导致的损失应该系统地从损失数据库中获取并总结在风险 报告中。风险分析的注意力应重点放在超出某一限制上的特别损失以及与收入或销售量相关的总损失上;三是风险分析应给管理层提供风险的前瞻性评估,主要是对现有风险的发展趋势及将来可能出现的风险进行预测,为管理层提供参考。
风险分析和评价后,可以根据风险发生可能性的大小、对企业影响程度的高低,将风险反映到风险坐标图中,如图3所示,A、B、C、D分别代表了风险发生可能性的大小及影响程度高低的不同组合,对于发生可能性较大且影响程度较高的风险,应重点关注。
(二)全面风险管理应重视风险之间关系的评估
企业面临的风险不是孤立的,它们之间或相互促成,或相互消减,或不相关。风险的变动性、流动性和高度互相依存的特性,使得企业在进行风险评估时,不仅要评估风险本身,还应对风险之间的关系进行充分评价。在此基础上,从资产组合的角度去管理风险,既可以利用风险之间相互抵消的关系,节约企业管理资源,又可以防范风险的相互促成,从而酿成更大的风险。风险分析应包括风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险策略上对风险进行集中管理。
(三)掌握恰当的分析、评价工具
随着管理技术的不断发展,风险评估工具也日渐丰富,常见的有以下几种:
1.风险影响概率矩阵。风险影响概率矩阵对于风险所导致负面影响的量化,从严重性和发生概率两方面同时描述,使得对风险的刻画更为有效和清晰。
2.风险指标分析。依据行业和企业自身情况,选取系列指标,根据对指标的分析,提出可能的症状或警告信号。风险指标还可以与从外部渠道中获得的主要变量的变动结合起来,提供风险变动的早期警告。实际使用中,可以根据经验对指标定义不同的重要权数,还可以通过风险诊断获得附加数据,确认或拒绝前期风险绘制图中的评级,见表1。
3.风险评级或打分。用既定的标准对风险水平“评级”或“打分”,经常被用来以一致的标准给客户的信用风险进行评价,支持并监督信用决策,详见表2。
4.表现测量。许多情况下,风险不能直接测量,依靠该风险引起的企业经营业绩的变动可以对风险本身进行间接和相对有效的测量。例如,客户满意程度风险就是通过结合公司内部运营统计数字及其他客户反馈信息做出的。这样,公司可以评估客户满意程度,了解客户的需求,使客户能够接受。
5.风险模型测试。对数据便于收集,便于量化的风险而言,通过严密的评估模型和分析方法来支持风险的测试,是风险评估中行之有效的方法,对金融服务企业而言更是如此。至于选取何种模型,应视企业的具体情况而定。值得注意的是,风险评估工具是为评估风险服务的。企业经营发展战略、风险管理的目标和业务流程的特殊性等,都是使用风险评估工具时必须考虑的因素。
(四)形成风险评估报告
风险评估报告是对风险识别和风险评估工作的总结和归纳。风险评估报告应该运用通用风险语言、合理的评估方法,为企业全面风险管理提供一个整体的参照。在传统的管理体系下,要么无人负责整体的风险报告,要么各风险管理部门提供了不一致的、有时甚至还互相矛盾的报告。而全面风险管理体系则有效地克服了这一问题,在确保精炼、明确、全面的前提下,风险评估报告能够涵盖企业面临的所有风险类别、风险事件和损失程度,并能指出问题的关键所在,在为企业管理层风险管理决策提供基本依据的同时,也让企业的每一位员工对企业所面临的风险有个整体的了解,让他们更直观地了解到自己处在企业风险的哪个环节,从而有利于激励他们积极参与到风险管理中来。
三、视风险为企业特殊资源的风险控制
全面风险管理,就是要保持企业所面临的风险与可能的收益之间的平衡,风险控制是落实风险管理目标的最关键、最直接的方式。“企业开展全面风险管理工作,应注重防范和控制风险可能造成的损失和危害,也应把机会风险视为企业的特殊资源,通过对其进行管理,为企业创造价值,促进经营目标的实现。”
(一)风险控制原则
鉴于风险控制在企业风险全面管理中的重要意义,在进行风险控制时,应该坚持以下几个原则:
1.区别对待风险。经过风险识别和评估后,各种风险发生的可能性及影响大小都形成了明显的区分,要优化利用资源,对不同的风险采取不同的策略。
2.风险与收益相平衡。风险会给企业带来损失,也可能给企业带来收益。企业全面风险管理与传统的风险管理最重要的不同之处就在于,前者对风险进行了更仔细的划分,能够积极地从风险中创造价值,而不是对所有的风险都防范、化解。全面风险管理的核心就是要维持好风险与收益之间的平衡。
3.积极应对。积极应对风险就是要建立起业务单位与风险管理的伙伴关系模式,即“业务单位与风险管理部门一起评估和解决风险管理问题并且拥有共同的目标”。在伙伴关系模式中,业务单位与风险管理部门既拥有各自的绩效目标,同时也共有一些重要的绩效计量目标。
(二)确定风险偏好和风险承受程度
企业作为一个经济体,在处理风险时,首先应明晰自身的风险偏好,明确风险的承受程度。明晰自身风险偏好,就是企业要对自身的经营战略和风险理 念有清晰的认识,根据其发展战略要求确定风险偏好标准,并参照此标准决定愿意或不愿意承受哪些风险。笔者认为,企业在确定自身的风险偏好时应理性适中,不易过于保守或冒险。过分地冒险,会较大地增强企业遭受损失的可能性,使企业面临的风险过于外溢,加大企业持续发展的不确定性;过于规避风险则会使企业在经营发展过程中束手束脚,丧失一些具有一定风险但收益极为可观的发展机会,不利于企业的快速成长。
明确自身的风险承受程度,就是指企业在风险偏好基础上设定的,对目标实现过程中所出现的差异可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。
(三)制定风险应对策略
风险控制的核心,就是制定出适当的风险应对策略。策略的制定必须遵守一些基本原则,特别是在商业运作中,有些风险是无法避免的。
根据风险发生的可能性及对企业造成影响的大小,结合公司风险偏好和风险承受程度,处理风险的策略主要有: 避免、转移、小心管理或可接受等,见图4。
(1)对于发生可能性较大、且影响程度极深的风险,企业应当尽量避免,以免损失惨重,危及生存。(2)对于影响程度较低、发生可能性较大的风险,可以采取转移的策略。相应的方法主要有:与财务独立且有赔偿能力的实体签 订保险合同,进入资本市场利用衍生金融工具对冲风险,通过有效的定价机制将风险资产证券化,通过外包非核心业务来转移风险等。(3)对于影响程度较高、发生的可能性较小的风险,应当小心管理,力求将风险控制在合理范围内。可以采取分散或控制的方法: 分散是指在地理区域或客户构成上将业务进行合理组合,适当降低产品或服务的客户集中度和区域集中度;控制是指通过内部流程或行动,使负面事件出现的可能性降低到一个可以接受的水平。(4)对影响程度和发生可能性都较低的风险,可以选择承担的策略。相应的方法有: 分配,即在公司内部适当分配资金,为所承担的风险融资并取得预期回报;扩展,即通过投资新行业、新的市场及新的客户群扩展商业组合;创新,即创造新的产品、拓展新的服务及渠道;定价,即通过对产品定价来影响客户的选择等。
(四)充分利用机会风险的价值
全面风险管理要求从资产组合的角度看待和处理企业所面对的各种风险。在单一的风险管理中,风险策略只在单一交易或单一层面实施,这样就忽视了各风险类型之间或许能相互分散的关系,容易引起过度的对冲及过多的保护。因而,在对风险之间的关系进行充分评估的基础上,风险控制应合理利用这种关系,从资产组合的角度看待公司所面临的各种风险,以达到扩大收益与降低风险的双赢目标。
(五)控制不利风险 在实际操作上,可选取先进的技术指标对不利风险进行控制,如止损限额、灵敏度限制等。止损限额即是将上述风险承受程度数量化、具体化,对每一重要的风险敞口,都可以在充分考虑收益及企业承受能力的基础上制定具体的止损指标,当实际的损失或表现触及这一限额时,企业则应做出一些决策或行动,包括管理回顾审查、对冲策略、紧急应变预案以及退出策略等。企业还可以尝试在止损限额之下设立“预警”限制,就像在红色交通信号之前设立黄色信号一样。灵敏度限制则主要用于避免风险过度集中,在已知风险头寸和经济环境的不利变化的情况下,控制企业拥有的风险资本数量。当然,设立风险限制只是整体风险管理过程的一个环节,其作用的发挥依赖于有关限制的信息(特别是限制被突破的信息)能否及时报告给管理层,且管理层是否能依据该信息果断地做出应对措施。
第四篇:银行风险的识别、评估与内部控制
银行风险的识别、评估与内部控制
Bank Risks'Identification,Assessment And Internal Control
杨海群
按语
本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著《公司治理与银行控制》下卷中“加强选配评审,防止领导风险”这一章。
“银行风险的识别、评估与内部控制”这个题目涉及两方面:一方面涉及的是风险管理,另一方面涉及内部控制。不管是法律工作者还是银行的管理者,都会遇到下面要提出来的问题,就是怎么来处理业务发展和管理控制的关系,怎么在实现战略目标的过程中,一方面把握住我们自己,另一方面也把握住我们所领导的团队?另外,怎么防止银行的工作人员或者业务活动失去控制?搞法律的人员不如搞经营管理的涉入那么多的具体业务,但是由于你们是银行的法律工作者,所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件:第一个叫资本充足,就是银行要保证有足够的资本金;第二个内控要严密,还不是一般的内部管理,而是内部控制要严密;第三个运营要安全,实际上运营安全也是要在前两者的基础之上才能实现;第四个服务和效益要好,没有安全,也不可能服务好或者说令客户满意,服务差也不可能把效益搞上去。这是银监会《关于中国银行、中国建设银行公司治理改革与监管指引》文件很明确地提出来的要求。中行和建行要重组上市,就要实现银监会提出的四个要求。恐怕农行和工行下一步也要遇到这个问题,也准备在中行和建行上市成功之后,经历这个过程。我们这两家银行先试一试,估计在上市过程中会有更多的难题。
我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫《基业常青》,他把一个一般的企业发展成比较大的企业,积累了一些经验,他的书里面有这么一句话:“伟大的公司要想生存,必须拥有一个持久的观念,这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后,这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体,而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司,之所以能够成功,原因就在于无论发生什么变化,它们的核心观念毫不动摇。”他说得很深刻,他说:“只有从过眼烟云的变革中看到背后永恒的管理法则,人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题,中国银行伟大不伟大?90多年的历史,应该是一个伟大的公司,但是这个伟大公司的伟大之处怎么体现呢?那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要,实际上内控原理是一种管理法则,我们通过研究内部控制的理论来转变我们的经营观念,来增强控制意识,提高管理水平,这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提,那就是说我不认为只要一个银行能够跑到股票市场上去,在那里销售我们的股票,来套股民的钱,我们就是一个公司治理机制良好的银行。因为它上市成功的前提首先要具备较多的控制意识,有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求,把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容,是银行组织机构安全和良好运营的关键,这是巴塞尔委员会提出的要求。一个强有力的内控系统,能够帮助确保银行机构的目标和目的的实现,使得银行取得长期的利润目标,维护财务报告和管理报告的可靠性,并且确保银行遵循法律和规章制度,以及一系列政策、计划、内部规定和程序,减少始料不及的损失和有损银行声誉的风险。为了强调内控,我重点介绍下面四个方面的问题: 第一,是介绍内部控制理论已经解决的问题。第二,从我在中行的新体验来看看我们国家银行内部控制的发展。第三,我们对银行当前内部的控制问题进行初步的研究。第四,提出一些政策建议仅供大家参考。
一、内控理论已经说明的问题
我们在提到银行的管理、银行的控制这样一个题目的时候,我觉得搞法律的人员不是那么熟悉,因为我在中国银行,法律工作人员大都很年轻,在管理学上、在银行的控制理论上,还是缺乏知识的,这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。
首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题:第一个就是治理问题,包括银监会经常说的公司治理机制;第二个就是风险管理;第三个叫内部控制;第四个叫保障措施。首先明确一下概念。中央领导、国务院领导经常说公司治理,到底公司治理是干什么的?是研究什么的?我有一次到德国开国际会议,与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点,就是找什么人来做这个银行行长和各级经管人员,以便于把商业银行的各项业务做好。找谁?是找王雪冰还是找其他人?为什么找王雪冰?他出了问题,怎么才能找到另一个人不出问题或者少出问题?公司治理就是找谁当行长,找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部,包括行长,找谁担任这样的职务,要明确谁来干,明确谁承担这个责任,看看他们怎么承担这个责任。这叫公司治理。
风险管理是什么呢?风险管理是一种程序,它要识别风险,评估风险,并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部,在银行,风险管理部是很重要的部,这个部干什么呢?它要分析银行运用资产有什么样的风险,这些风险究竟有多大,银行可接受的风险的水平有多高,然后银行既然有这么多的风险,采取什么政策对付这些风险,这叫风险管理。
内控是干什么的?内部控制是公司的核心管理内容,它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险,认定了风险,评价了风险,并且制定了风险应对的对策,之后怎么办?要采取一系列措施和经营管理程序加强内部控制,防范风险。
另外,还有一个确保反馈的系统,这是一个通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的《公司治理与银行控制》这本书上就描绘了一张图说明上述四种治理机制的相互关系,现在银行领导也好,中央领导也好,经常讲这几个概念,但是我们需要把它们界定清楚。
如果你要经营一个企业,开一个银行,首先得有一个目标,这个目标确定了之后,靠什么来管风险?一个靠公司治理,找一些人——可靠的人、能干的人,把他们叫来,安排他们工作。然后组织其中一部分人来分析,我要实现这些目标,有哪些风险,怎么对付这些风险,制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统,最终实现公司目标,就是资本充足、内控严密、运营安全、服务和良好效益。
国际上对内部控制也有大量的研究,美国有个权威机构叫COSO,提出了一个比较完整的内控理论和操作方法,后来又提出完整的风险管理的理论。实际上各国都在探索,英国也有一个CADBURY模式,后来它发展或TURBULL。加拿大叫COCO理论。一些发展中国家,例如南非也有一套理论,叫KING,都在研究内控。为什么这样重视内控?就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架,这个在网上能够搜索出来。2003年美国COSO又进一步提出更加完整的理论,不完全是内控,把内控放在风险管理的框架里。所以内部控制的发展一步一步最后形成了巴塞尔委员会内控的指导原则,一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制,后来又发展到稽核,各个银行都有稽核队伍,然后又超越财务范畴,把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率,更加强调管理政策。这是一个发展。
我们研究一下到底什么叫内控?现在的内控理论已经把内控设定为比较科学的定义:“内控是一种为合理保证实现下述四大目标的动态过程,动态的程序。”它的每一个词都是有道理的,是合理保证实现四大目标的动态过程,原来提的是三大目标,现在有所发展,又提出第四大目标。它补充的那个目标就是战略性的目标。
什么叫战略性的目标?就是内部控制要符合和支持银行机构的总任务的完成,要有相当高度的视野,这是一种高层次的目标。上面提到的资本充足,这就是战略性目标,中央确定我们要实现国有商业银行资本充足,这是战略决策,不是具体到结算业务,还是零售业务,还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足,国家不给我们补助资本金,中国银行一开始是财政部划拨的那点钱,后来核销呆账没有拨过资本,有利润全部上交国家、上交财政,现在提出来要满足8%资本金充足率,要实现这个,国家给我们中国银行225亿美元让我们来充实银行的资本,另一个也允许我们在盈利中间拿出一块,使我们的资产达到充足的标准,今后就要靠自己的努力了。这就是战略。
第二种目标叫操作性目标。银行不能不讲效果,不能不讲效率,在我们贷款的时候,在我们融资的时候,在我们做业务的时候,要保证银行避免损失。执行各种内控操作的程序,确保组织当中所有人都来有效率的工作,甚至还要注意道德的完整性,而不发生不应有的过高成本。特别要强调,不能把任何其他的利益置于银行的利益之上,比如为自己雇员的利益发奖金,为了让大家得到奖金,宁肯使银行冒操作性的风险。或者给关系人贷款,为了某些客户的利益,而不顾银行的利益。或者为了个人的权利,拉拉打打、玩权术、市宗派。
还有第三个目标,叫做信息性目标。这里包括财务和管理的信息,过去只是强调财务的信息,现在巴塞尔委员会强调还有管理的信息,都要可靠、完整,并且能及时地提供。我们在写各种报告的时候,都要做到这点,而且要定期发布可靠的财务报告,披露真实的信息。将来我们上市了,也要给股东写报告,给银监会、人民银行写报告,对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候,要有信息基础,这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市,其中一个内容就是要搞尽职调查,我们要聘请外部律师事务所给我们帮忙,我们要向他们如实地报一系列的材料,最后这个材料要交到律师事务所审查。中国银行干了这么多年,出了多少年报,年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外,还有中央银行认可的外部审计师要签字,而我们过去没有。要真实披露,我们的工农中建可能存在倒闭的问题,如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后,压力很大。但我们需要披露,我们有责任向股民说清。
还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调,要确保银行所有的经营都遵从适当的法律和规章,遵从监管的要求,遵从本组织——银行的政策和程序,其中一个特别重要的就是业务流程。如果业务流程不熟悉、不遵从,违规经营的话,就没有实现这个目标。为什么要这么做?要保护银行的“特权”。实际上银行是有特权的,不是所有的企业都能干银行,也不是所有的金融机构都能干银行的事,银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉?别的公司也强调信誉,但都没有银行的信誉强调得更高。有不少人也抱怨,别的国营单位盖大楼,中央要批评,但是银行为什么可以?我们中国银行的楼,我走过了几十个国家,我还真没见过这么好的银行大厦,法兰克福的金融中心建设得够高级了,英国的City够气派了,你到那里看看,有没有比中国银行的楼更高级的,我觉得还没有。这里也确有太奢华的问题,但为什么中行这么盖大楼,建行、工行都盖了不小的大楼,中央没批评,因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候,河北中央银行门前的狮子是铜做的,斜对面有一个纺织品进出口公司,狮子也不小,但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然,这种声望和权威应该是内在的,不能只靠表面的豪华去装饰。
工农建都设有法律部门,都起名叫法律部,我们中国银行为什么出了一个法律与合规部?直接的原因是纽约分行的事件,给我们很大的教训。有人说你把你们的行长都赔进去了,那都不是最重要的教训,最重要的教训是纽约分行使我们认识到过去我们搞银行的时候,对合规重视得很不够,而一些大型的国际化的银行在行内设有很大的部叫合规部,来抓合规工作。我们总结了在纽约的沉痛教训,感到有必要把合规工作提上日程。银行一定要依法合规经营。而内部控制的理论实际上把“合规”作为一个目标。中国的银行考核底下的员工都把效益作为考核的重点,利润是考核的重点,但是内控理论中明确指出要把依法合规作为考核的四大目标之一,如果不考核当然各级单位就不朝这个方面努力,不在这个地方扣分,凭什么在这个地方花费资源?
内部控制的定义说明了几个问题:
第一,内部控制是一种程序,这个程序意味着它朝着某个方向去努力,但是它永远达不到那个终点,因为这个终点是它不断要达到的目标。
第二,银行要搞内部控制,离不开人的影响,不是说搞内部控制就是去念几条规章制度,而要有人在这里起作用。
第三,内部控制是为公司管理层提供合理的保障,但不是绝对的。万事都不能绝对化,绝对化就是形而上学。内控是提供合理的保障,是对解决银行问题有利。不是说一抓内控就什么问题都不会出来。
第四,内控是有多重目标的,内控有四个目标,第一个目标是战略设定,第二个目标是经营的效果和效益,第三个目标是信息性目标,第四个目标是遵从性目标。内部控制为的是目标的实现,通过一些活动,一个有机结合的整体,去实现公司的目标。这是很值得我们学习内部控制的方面。
内部控制可分解为五大组成部分的内容:第一个强调控制环境,第二个强调风险评估,第三个要开展控制活动,第四个要进行信息的交流,第五个要进行监督评审。这是内部控制的五大组成部分。为什么从理论上强调这些内容,不是我们要讲一些花哨的名词,而是这五大组成部分比较充分和完整地说明了内控的主要内容,使我们明白了应该怎么执行内控,又怎么进行评价。怎么评价内控?我建议就从这五个方面。
另外COSO又提出八大组成部分,这是从风险管理角度讲的。下面是风险管理的八大内容:内控环境、战略目标设定,事件的认识或者是了解,另外风险评估、风险对策、控制活动、信息与交流、监督评审。这是八个组成部分的内容。首先要确定目标,开展经营活动必须有目标,我银行要搞好,我的目标是什么?支行有支行的目标,二级分行有二级分行的目标,一级分行和总行都有目标。风险管理也是一个有机结合的整体,也要强调内部的环境,就是前面说的控制环境。目标设定以后,要有些事要做,一件事叫“事件识别”,就是要看这些事有什么风险,要开展公司业务、零售业务、结算业务、信用卡业务,银行所有的业务,这些业务有什么风险要评估,评估完了以后要有风险对策。既然你都评估了,怎么处理这些风险,要有政策、有策略。然后,就进入了内部控制。这里我解释风险管理是希望说明它与内控的关系。
概括起来,内控分为五大组成部分的内容。内控五大组成部分最基础的地方是在控制环境上,然后进行风险评估,还要开展控制活动,在控制活动开展的过程中间,又要不断交流信息,宝塔尖上强调监督、评审。从风险管理的角度来分析,这个模式或框架还包含四大目标。战略性、操作性、信息性、遵从性、合规性,这是五个目标,这是一个层面的东西。从内控的角度来分,目标是四个,但内容可以比风险管理少三大内容。就是以上概括的五大组成部分的内容。这还仅仅是两维的空间,第三维空间就是不同的部门,各个级别的部门。第三维空间,比如法律事务部或者是公司业务部、零售业务部,这些部门组成第三维空间,这三维空间组成立体的模型。实际上我们在讲一种思维方式,我们是在这样一个立体空间里搞银行。把任何一个部门抽出来,比如把公司业务部抽出来,都有四大目标,都有五大组成部分的内容在里面。这说明一个什么问题?说明我们可能利用思维方式,利用模型,利用这个理论,探讨出管理银行,评价银行的方式。为什么巴塞尔委员会这个国际银行监管的机构,要支持这么一种理论?是因为这个理论有用,是因为这个理论发展到今天,能涵盖我们银行的主要业务、主要工作。
从“控制环境”的角度怎么理解呢?实际上控制环境是所有各个方面的基础,是一个带动银行开展工作的“发动机”。这里包括银行的行风、组织风纪,它还涉及银行活动的核心——人(员工),而且要通过影响人们的控制觉悟来形成银行的“文化”,就是银行究竟提倡什么,特别是注意人们对内控的认识和态度,你有没有控制理论,有没有高度的内部控制觉悟,也就是重视内部控制,特别是由于这个环境不同,你的战略目标的实现就受到影响。我们国家如果没有长期稳定搞建设的环境,中央不会提出国民经济翻翻这样的战略。这里还涉及风险管理的一些哲学,开展风险管理是避险为主还是冒险为主呢?风险管理是什么文化?这些东西都是控制环境里的。我们理解控制环境也是希望大家在评价某个部门的时候,比如上级让你去公司业务部检查一下他们的内部控制怎么样,首先建议你评价控制管理的环境如何。我后面还会强调环境方面的建设。
第二大组成部分是“风险评估”。风险评估是什么?就是你要去识别和分析那些妨碍实现经营管理目标的风险,这是风险管理决策的基础。我们搞内部控制,必须要认识风险,这和风险的定义有关系。什么叫作风险?有人说就是损失,或者有人从概念角度说是造成损失的可能性,这些都对,但是更精确、更科学、更接近本质的风险定义是什么?就是妨碍实现目标的所有因素。为什么这么说?就是我们干什么事都是要有目标,什么叫我干这件事的风险呢?就是我有哪些东西干扰我实现这个目标。我曾经举了一个很生动的例子,比如说有一个武士,他在射箭,要打中一只鸟,什么是他的风险呢?打不中是他可能的结果,怎么会影响他打不中呢?一个显然是他自己的本事,他有没有力气拉开这个弓,拉到足够满的程度。他的视力是不是好?他是不是能够正确地判别目标所存在的位置以及他自己的经验?说到这儿,是不是风险就没了,不对。当他拉弓的时候,虽然拉的很满,但是他是顶风拉的,风力很大,影响他。天要是突然刮起了大风,乌云遮盖了整个天空,太阳没有了,看不见了,这也是风险。如果一切都非常好,但是拉弓的英雄喜爱美人,旁边过来一个美女,他分心了,也射不中。要想实现目标,各种因素都可能是风险,只要它们妨碍你达到你的目标。所以我们在讲银行风险的时候,有人总是想设定一下是信贷风险、利率风险、市场风险,其实这都是一些业务上的风险,很少有人提到人的风险,而且很少有人涉及更广泛的,凡是能够形成对银行目标实现造成影响的其他一些风险,例如员工有没有参与赌博、炒股,甚至包“二奶”等,很少有人更广泛去考虑,就是因为在风险的定义上不够准确,没有明确风险更本质的定义。在风险管理的体系框架中,COSO把目标的设定加进来,然后有一个事件的识别,有风险的评估,然后要制定风险对策。这四个方面恰恰是风险管理的主要内容,也是搞银行风险管理四个最本质的工作。
第三大组成部分是“控制活动”。你既然是搞内控,不可能不参加控制活动,使目标的实现有合理的保证。经营目标的实现需要发布一些管理指令,要采取一些防范化解风险的措施、政策、程序,像高层的检查,直接地参与管理,对信息进行加工、对实物进行控制,比如确定指标、究竟今年要完成多少利润等。特别是职责的分离,职责不分是现在银行发生重大案件的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”,就难保不出事。内控还要针对目标相关的风险发布控制指令,各种各样的指令。
第四大组成部分存在于所有的经营管理活动中,“信息与交流”应使员工能够搜集和交换为开展经营从事管理和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩,注意以评价监督的方式来开展工作,根据一些会计数据分析并发出一些预警信号,确保有关经营目标的实现。这个信息与交流在总行层面是最大的问题,我们各个部门分管很细,都有各自的职责,一件事现在离开哪个部门干都不行,需要协调配合。可是在咱们一些银行体系当中,协调配合能力特别差,其中的一个症结就在信息与交流上。我想法律部的人员也会有同感,说叫你去审查一个合同,把合同拿来了,以为很容易发现合同中存在的问题。有的时候送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表,叫“合同审查意见申请表”,这个表让你说明送审合同的目的,你究竟让我审什么?这个合同产生的背景是什么?这里有哪些法律疑难问题需要我们法律部审查?过去有没有审过?有的人拿过来第二次审了,但没有告诉,我重审一遍。说我们法律部门解决的问题,合规方面要不要解决,是不是合规?我觉得一项法律合同首先要合规,业务不合规,谈不上跟人家签合同。这些问题都是一个配合的问题,都是一个信息交流的问题。
还有一个内容是“监督评审”,现在咱们国家已经开始重视这个问题,就是干什么事都注意监督,但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制到底在你们这个部门是有效的,还是无效的?这个监督评审是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制再监督、再评价的总称。也就是说监督不仅仅是稽核、监察部门的职责,更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去一提到监督,肯定是监察部、稽核部它们的事,为什么我们法律与合规部要成立一个合规处?从管理的角度制定了许许多多的制度和规定执行了没有?执行的情况怎么样?我们不能不管。我相信工、农、中、建都有法律部,都有这个职责,就是管规章制度的制定和监督。我们管到这个层面是不是就够了?实践证明不够,咱们银行为什么出一大堆问题?为什么出那么多案子?哪一个流程没有规章制度?我们现在凡是发行一个新的业务,新的产品,首先是规章制度,规章制度不出台,流程不出台,不明确,这项业务就不能开展。问题就出在新的业务上。一方面规章制度跟不上需要,一方面有章不循,不执行规章制度,让稽核监察去查查,必须有人时常监督规章制度是否执行,执行有力还是不力,全面不全面,不执行、违规经营,造成的损失和问题谁来负责,如何追究责任,如何进行处罚,这一点非常重要,没有这项工作,规章制度就是形同虚设。为什么现在出现大量问题?因为你不去监督管理它,总是想着要实现利润目标,为了“短、平、快”,经常把一些规矩打破,打破这些规矩的结果产生风险。可是不注意这些风险的管理,出了问题以后,就让整个银行蒙受巨大的损失。
所以,四大目标是纵向的列,五组成部分是横向的排,和内部控制相关的工作单元或活动是第三维空间。我们随意抽出任何一个单位,我把某一列抽出来都有五大组成部分,我把横排抽出来,都和四大目标密切联系。这是一种思维方式,是我们抓内控的一种原理性的认识。
当然,巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2002年央行到我们行全面检查内部控制,我们的被查部门手忙脚乱,要报这么多材料,好多东西不知道,内部控制搞什么,怎么报告,做了各种准备,迎接人民银行来检查内控。过去不够重视内部控制,非要人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价?不要以为商业银行都有内控的自觉性,它再有自觉性,也没有高到足够的程度。人民银行要定期不定期地查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任,他写过一篇文章叫《为什么银行需要一个中央银行》,他从信息论的角度提出商业银行有必要接受监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监督,不仅监督表内业务,甚至监督表外业务,还有新业务。凡是监管者确定某银行的内部控制系统不能充分或有效地针对银行的具体风险,监管者应当采取适当的行动。巴塞尔委员会说话是有分量的,“适当的行动”,什么行动?我们纽约分行曾经险些被停牌,让你注意你已经降到多少级,使你提高交融资成本。再不小心,我停止你经营。现在外国银行到中国来,最怕的就是中央银行,银监会也好,中央银行也好,国外有深刻体会,汇丰银行这些大银行对当地中央银行非常畏惧,中国的商业银行对人民银行的畏惧程度远远不如外国银行对人家的中央银行的畏惧性,为什么?这里反映了双方的问题,一方面商业银行自律性不强,另一方面银监会和人民银行对商业银行的监督不够得力,商业银行被罚款不够多。我们在美国一项罚数达二千万美元,这算少的。看看安然公司倒闭了以后,一些大审计公司被罚到最后倒闭。安德信是国际上最大的审计公司,就为安然事件倒闭了。人民银行实际上也对内部控制提出很多要求。我记得当时人民银行对每项业务都提出了要求,我看了看银监会对商业银行内部控制的检查评价体系基本上采纳了COSO和巴塞尔委员会提出的要求,特别强调一种内部控制的文化,这是巴塞尔委员会和COSO提出来的,这种文化体现在银行的评价制度、职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授权体系,还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立的法律合规的要求,等等。
有个问题值得探讨:合规部门如何要具备它的独立性?我在稽核部门也干过,稽核部门也存在独立性和垂直性,稽核部门比较难做,我不知道其他银行是不是这样,我在稽核部门深有体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门,在行长面前汇报工作的时候都是一派理直气壮的样子,要是轮到监督部门和管理部门说话的时候,似乎底气不那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知,告诉你我两个星期或者一个月之后,要到你那里去检查什么。人家那儿有时根本不告诉你,来了把你抽屉打开,你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规,我问过人家汇丰银行、渣打银行的同行,我问他们合规权威如何,他们说都很怕合规官。因为很多重大的问题要合规官审批,批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况,现在强调法律与合规的重要性,动不动把你叫去开会,什么文来了让你签字。他找你签,像是尊重你又像不是尊重你,有的时候实际上想让你认可,说是还是不是,你要说是,我做了以后别找我碴儿。在我们部门工作的同志大都年轻,工作忙了,哪审得了这么多,一看既然他们都定了,我无异议,回复给人家。我心里打鼓,我最怕看到哪个经办或处长拿给我看三个字“无异议”,现在有什么事能让你一点异议没有?现在没有那么干净的事,拿到你这个法律部门审查的时候,可能是想绕一绕、拐一拐,你说无异议,那就干吧,因为无异议说明什么问题都不该有。我跟协议处说不要轻言无异议,一提无异议,就说明我这个部门对这个问题没意见,万一出个问题,吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门,也要让银行的经营管理部门尊重监督人员,这是非常重要的。如果不尊重,说明这个银行内部控制有问题,起码在控制文化上有问题,他反感控制,不让你控制,想让你变着法不控制,但是他又让你签字。银行今后应该采取措施,使这些管理具有权威性、监督有权威性、稽核有权威性、法律与合规部门有权威性。现在不是都讲钱吗?考核要有正确的考核体系。
强调内控的时候也应该注意:内部控制不是万能的,内控不可能把一个本质上很坏的经营管理者变好,不可能左右政府的一些政策和计划的改变,不可能对外部竞争对手的行为和客观经济条件的变化都把握好,它有局限性。再有财务报表可靠不可靠,不是说你内控绝对能够保证的,假如支行的行长指挥着支行的会计去假造财务报表,会是什么问题?新会计法有一大修改,就是会计报表第一责任人是企业负责人,我觉得这条非常好,过去一说某个企业造了假账是会计造的,其实回过头来一检查,能有几个会计自己造假,是他的领导,他们那些厂长、党委书记让他造假,他是被迫的。
我们应该提倡依法合规经营,千万不要违规,或者明知道这个不合法,也不向法律部门说明需要针对它进行审查,想蒙混过关,想得到法律部门的认可,得到银行老总的签字,求得一时的解脱,这要不得。
国际上内部控制的发展的趋势给了我们一些启示。
一是强调高级管理层的控制责任。首先董事会要充分理解银行的主要风险。党委,高级管理层的内控基调是不是对?看交响乐团,在准备演出的时候先请钢琴师定一下音?这就是让全团有一个基调,控制也要有一个基调。这个基调要由多级管理层确定。
二是要大力提倡和营造一种控制文化。上述的一些现象实际上就是控制文化上的问题。一方面,董事会和高级管理层要负责明确各级员工在道德上和完整性方面的高标准,人格要完整,要讲职业道德,并且在机构中要建立一种文化,向各级的人员强调和说明内部控制的重要性、合规的重要性、法律的重要性。我在工作中深感在国有商业银行的员工中,特别是在高级管理人员中,很有必要提倡道德修养,加强职业道德建设。在国有银行商业化的过程中,这方面有待改进。有的高级管理者不是把银行的利益放在第一位,而是带头把个人的权利和利益放在第一位。而银行里用人的时候不够重视他(她)们这方面的表现,不够关注群众这方面的反映,结果是在基层,甚至在总行高管人员中,不断发生重大案件。另一方面,银行所有的员工都应在内控的程序中间发挥作用,控制不只是高管人员的事,而是人人有份。上至总行,下至分理处、储蓄所,每个岗位上的人都承担特定的控制责任。有效的内部控制系统的一项实质性内容就是建立强有力的控制文化,没有这种控制文化,法律工作也不好搞,合规工作也不好搞,监督机构会形同虚设。
还有四点我要强调指出:
第一是正确理解内控和管理的关系,进一步认识内控在管理活动中的重要意义,要尽快地由领导决策层带动,动员各级员工营造良好的控制文化,按照内控的四大目标和五大组成部分,实行对经营管理中间各种风险的逐级控制,以内控为有力武器,提高经营管理水平。
第二是正确理解内控和风险管理的关系,进一步确立内控在风险管理体系中的重要地位,防止以风险评估代替内部控制。要按照上面介绍的内控原则和系统框架尽快建立起适合中国国情的内控组织结构,例如建立内部控制委员会和内部审计委员会,来加强对风险的整体研究、评估和管理控制。
第三是正确理解内控和内部审计的关系,我曾经专门发表了一篇论文,叫“正确处理内控与稽核的关系”。内控首先不是稽核监督部门的责任,而是业务的经营管理部门的工作;内控主要不是稽核监督部门的工作,而主要是经营管理部门的工作;内控的检查评价主要不是稽核监督部门的责任,而主要是经营管理部门的责任;不过,稽核监督部门对内控负有再监督、再评价的重要的职责。明确上面说的四个要点,并且在监督评审当中注意保持稽核与合规系统的独立性,加强对各种风险的识别和评估,建立和督促对控制缺陷的纠正。不要发现了一些问题,稽核报告写了,合规的报告指出了,让他纠正,下回还是出现那些问题,还是没纠正。这就表明内控失效。
第四就是内部控制应该有一套有效方法,要搞内部控制,要控制风险,必须有一套完整的系统性的操作方法。现在多数银行在做这项工作的时候,都做得比较传统,一些行领导忙于业务发展,满足于“头痛医头,脚痛医脚”,怕内控影响发展。实际上已经有一套先进的方法提了出来,我在我的那本书《公司治理与银行控制》(中国金融出版社2001年版)里介绍了一整套的方法,而且对信贷、项目评审、信贷资产的五级分类和银行行长选配等一些方面都做了一些理论联系实际的探讨。我希望总行带头规范地运用这套好方法。
(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。
银行风险的识别、评估与内部控制
杨海群
(接 I)
二、银行内部控制的足迹
下面我把我们在中国银行抓内部控制的工作体会粗略介绍一下。我认为我们行大概经过了这么几个阶段。第一个阶段是在20世纪90年代中期以前,只有少数的领导人员和少数的稽核人员知道内部控制的概念,概念也不准确,全行控制的意识是比较薄弱的,案件不断发生。资产质量也是越来越差。在那个阶段里,银行的问题比改革以前要多。计划经济的时候,银行并没有多少案件,不像今天这样,动不动出现一个非常大的案件,每一次都要刷新记录,过去没有。就是改革之后,市场的约束没上来,计划的约束又丢了、失控了,所以资产质量就下降。
第二个阶段是推进内部控制的阶段。那是1997年5月份人民银行发布了“商业银行内部控制的指导原则”。我们总行要求制定中国银行的内部控制原则,我们抓了一个授权管理的制度规定,在人民银行的授权管理规定基础上做的。我们在1998年正式公布了内部控制原则,而且我们在那个时候就已经在中国银行正式文件中间明确了稽核要以COSO理论框架来检查和评价内控工作。对监察报送有关材料进行分析发现,我们行发生的案件绝大部分在基层。涉案人员绝大部分是基层的领导干部,大部分涉案人员又都是20多岁至30多岁的年轻人。后来我们总稽核室对总行零售业务首次进行了内控稽核检查。
第三个阶段,2000年前后我们进入一个理论探索的阶段。2000年我们组织总行两个业务部门和两个管理部门编写出版了一本书叫《中国银行信贷内控指引(贷款分册)》。这里讲一件小事,1998年的时候总行有个部门报告说内控到底由谁抓,前行长王雪冰在报告上大笔一挥:“内控只是稽核部门的工作。”我们一看不对了,我在人民银行的《稽核监督研究》上发表一篇文章《正确认识内控与稽核的关系》,实际上没点名地针对这个批示,纠正错误观点。后来我们按照人民银行的部署成立了一个信贷清分办公室,当时总行调我去同一些同事领导贷款的五级分类,我运用了COSO的内部控制理论,组织清分办公室的同志们共同编写了一套《中国银行贷款资产分类指南》,后来金融出版社出版了。
2001年中国金融出版社出版了我写的专著《公司治理与内部控制》,我首次在内部控制原理基础上提出了一套内控的比较完整的操作体系,提出了内控、风险管理和公司治理三者之间到底是什么关系。王雪冰任职期间,行里的案子特别多,也使后来的领导感觉到加强内部控制的重要性。中行的总行各个部门和分行逐步完善制度,加强内控,提了很多很好的建议,其中一个就是将法律事务部改为法律与合规部。
第四个阶段,我们进入了内控强化阶段。因为2002年5月,人民银行发布了《商业银行的内部控制指引》,进一步将内控提到一个新的高度,人民银行开展对中行各个部门的内部控制全面检查。总行法律与合规部根据行领导要求要研究内部控制,解决坏人做坏事想干干不成的问题。由于内部控制不好,到基层检查工作的时候,会感到震惊。干得成坏事很自然,而干不成才奇怪?只要想干肯定干的成,干不成不奇怪,为什么呢?因为在一些环节上几乎没控制。你说钱箱的钥匙他拿着,库的钥匙他拿着,库里有登记簿由他登记,这样的情况他能不贪污?给他条件让他去偷,最后案子出来一检查,保卫工作的那些规定不落实。后来行领导组织了总经理级以上的干部,召开了研究会,研讨我们行强化内控建设的问题,党委中心组2004年专门组织扩大会议,叫外部律师事务所讲内控,怎么加强内部控制,让我来宣讲内部控制,又制定“中国银行进一步完善总行部门和一级机构以上领导干部教育监督的若干措施”,从高层去解决这个问题。
我们深深体会到合规工作是非常重要的。可是合规工作不是纯法律问题,实际上是银行业务的经营管理方面的问题,是一个要熟悉银行业务管理规定的问题,这就给法律部门在职能上增加了新的内容,就是不能只是从法律上审查问题。另外,合规工作人员不能只是学法律的人,银行建立了一个规矩,新员工进了银行以后,先到业务部门实习一年。合同审查的一个大问题就是应知道某个地方该不该这么做,但是如果没经验,不懂业务,就无法建议这个合同应该怎么改。这项业务这么做不行,但是怎么做更好,他会很为难。搞合规的人,应该具备什么条件呢?起码要有三五年以上银行业务工作经验。就是说搞合规的人要懂得银行业务,而且今后大量的工作涉及合规性质的问题,法律性质的工作需要把关,也很重要,但是诉讼的案件随着银行业的规范应当逐步减少下降,我们做了那么多年公司治理,做了那么多银行改革,这么强调监管,案件不应该不断上升,肯定今后的诉讼案会越来越少,非诉讼这块工作会越来越重要。当然不可能在短时间内不搞诉讼,也可以说长久下去法律方面的审查工作都是需要的、都是重要的、都是不能削弱的,但是合规会成为重点性的工作。我们是通过自己的教训意识到这点的。
在这个阶段里,由于认识上的存在问题,中国银行在抓内控工作中还存在时紧时松的现象,在忙于股份制改革时,内部控制有所松滞,产生许多漏洞,以致在以后发生了一系列大案(例如我们黑龙江分行辖内发生的震惊世界的高山事件),沉痛的教训是值得铭记的!(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。
银行风险的识别、评估与内部控制
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。
银行风险的识别、评估与内部控制
杨海群
(接 II)
三、关于银行内部控制的探讨
我想探讨三个问题:
1要深刻认识银行与非银行的本质区别。从理论上讲,企业和银行是存在重大区别的。银行是个什么单位,它不是一般企业,现在改革的时候总强调银行企业化,从银行自负盈亏、自我约束角度提这个对,但是不全面。银行不是一般性的企业,要不然干嘛不把企业叫银行,干嘛不把银行叫工厂?它们之间存在重要的区别。
为什么经济中会有银行?因为银行是比较好的出资者和控制者。银行是人类社会文明发展到一定程度,生产力和经济发展到一定程度的产物。银行这个词叫Bank,原意是过去意大利文里的“板凳”,就是意大利的商贸发达了,慢慢一些商船出去了,都得办理结算和汇兑业务,有些人坐在板凳上专门办理这种业务,这就是银行的雏形。银行慢慢发展起来了,有了办公室,又有了楼。但是为什么银行业发展这么迅速,而且在全世界哪个国家都离不开银行,为什么?就是因为银行是很好的出资者,能够融通资金,用很好的方式来支持经济活动,同时在融资过程中实施必要的经济控制。大家都知道贷款有合同,合同是什么意思?合同的本质是银行对被贷款方、对借款人的控制。在什么时候必须还款,必须以多高的利息还款,不得挪用,等等,都订到合同里。合同一经双方签字认可,就具有了法律效力。银行一旦发现你挪用,依据合同有权追回贷款,而且一旦出现重大问题的时候,可以到法院打官司。在西方,被银行起诉了的借款人一般都会输,被判罚。这就反映了银行这个机构特别。所以在国外没有哪个个人或公司轻易地跟银行打官司、闹别扭。可见银行具有规范经济,控制企业的特殊职能。银行是市场纪律的主要实施者之一。
某个人要借给另一个人钱一般是难以控制借方的,他说还我,只能凭咱俩感情,凭我对你的认识。但是一拖就是多少年不还。银行把钱借给你可就不同了,因为双方之间订了合同,你必须按时还本付息,否则就留下不良记录,造成再借就难。大家可能知道有一个美国的经济学家 Stiglitz,他前两年获得诺贝尔奖,他有一句著名的话,叫“银行最鲜明的特点是有能力进行控制”。
我们办这么多商业银行好不好?假如商业银行的数量达到一定程度,让它们自相厮杀,能不能发挥银行控制经济的能力?西方理论界一直都特别强调,不要片面地促进银行之间的竞争,为什么?因为他们理解银行的本质。假若银行控制企业,控制经济,自己互相厮杀,我降多少利率,你降利率更多,咱俩竞相降价,最后是什么?让贷款的企业在中间叫板,这让银行怎么控制客户和控制经济?还是让客户控制银行?是让借款的控制贷款的,还是贷款的控制借款的?这个问题要解决。实际上我们讲的银行的控制与被控制是这么一个概念,商业银行、中央银行、企业这三种主体参与控制体系中来。这里有三层的控制职能:第一层是商业银行被控制、被监管,中央银行控制和监管商业银行。第二层是我们银行要自我控制,你自己要控制好自己,不要在去控制经济之前,你自己都失控了,你没法控制你的客户了。第三层是商业银行要控制企业。这些企业要按照银行的贷款规定去投资、去盈利、去回报,假如这个企业没有信誉,我不贷给你。不是像以前那样,地方政府逼迫银行去贷款,那很可能要不回钱来。现在大部分不良资产就是在1992年以后堆积起来了,那个时候是胆子要大一点,这大一点到后来是欲发不可收拾,我看到国内通货膨胀向两位数攀登,曾从英国写信给时任朱镕基总理,建议强化银行的信贷控制。中央肯定及时分析了经济形势的发展。大约半年后,国务院不得不开始实行政策控制,到那之后就好转。
银行的内部控制还有更深一层的含义。实际上我们的下级机构要接受总行的控制,总行也有一个自我控制的问题,因为总行也办营业部,总行也搞项目、也搞营销,总行也会出现问题。一级分行也有自我控制,同时一级分行还有一个控制二级分行的控制,控制辖内机构的问题。各级银行都有控制自己所管辖企业的问题,控制贷款户的问题。现在国内的信贷形势有不好的地方,就是银行过度竞争造成无法进行控制。比如现在是银行都去营销少数较好的客户,工行去说我的条件怎么怎么好,农行接着说我的条件怎么好,中行说我的对外网络好,我能提供什么服务,建行说我的投资额度很大。使这些企业挑花眼了。有的业务现在已经到了赔本的程度。我们中国银行的国际结算业务应该是好的,现在有些银行跟我们竞争,一竞争是零费率,目的要把我们的客户抢过去。我们有一个二级分行在东南沿海地区的城市,另一家银行把这个城市90%的国际结算业务全拉到这个银行,原因是他不惜血本,而且总行给了他这个任务。我认为这一种环境违背银行的本质职能,我说的不是这家银行,我说的是这种环境,使银行不得不屈从于借款人的苛刻条件,甚至为了使这个借款人不离开我的保留范围,不使我的市场占有率下降而丧失公平性市场原则。我还举个例子,我曾经在一个省行主管过公司和结算业务。财政搞统一支付,各家银行就到省里来营销,由省财政局招标确定财政支付系统中心设在哪家银行,大家竞标。虽然人民银行有规定不允许任何商业银行变相降低利率给客户好处,但是那个时候不得不给好处,因为竞标,竞标的时候就看你是让我财政局低租金租用你银行的房子还是免费让我租用,有银行空出半层楼供财政建立这个系统,使用的电脑由这家行来提供,工行、农行、建行拼命地设计“我来提供”,最后财政就问了,你给我多少钱的设备费,我们中行的同志回去连夜考虑,最后咬牙说出300多万元,可另一家银行竞标的时候提出1000多万元。后来我们也知道,没有真出1000万元,但是背后已经谈好了。你说这种氛围能实现我说的银行控制论吗?如果经济不由银行这个最有鲜明的特征的机构来控制的话,这个经济能办好吗?你的企业能听话吗?经济活动参与者还服从市场纪律吗?现在还要鼓励办多开银行,私人银行,俄罗斯改革以后,两三千家私人银行,你现在问问倒闭了多少。匈牙利我去考察过,也是改革以后,他们建立私有化的银行,不良资产不断上升,为什么?那么容易就干银行?中、农、工、建银行比拼,拼来拼去最后弹尽粮绝。最近我看一个评级公司在评我国一些股份制小银行,最后除了招商银行稍微好一点以外,其他银行的级别都不高。我建议大家重温一下列宁的《帝国主义论》,想一想为什么工业化产生金融寡头。其实衡量银行体系的好坏不在它有多大数目和多元化到什么程度,而在它对经济的控制和服务功能发挥得如何。
市场风险有没有可能造成银行倒闭?有人问咱们中国的银行还能倒闭吗?都是国有的,只要有共产党领导,再高的通货膨胀,再低的资本金都没有关系,一样不会倒闭。这次中央为什么决策让中行和建行上市,有些搞改革的同志一个劲地宣传银行上市以后,怎么怎么好,我却从内控角度说银行上市以后,怎么怎么有风险。我不反对银行股份化和上市,我在英国出版的著作中还介绍过一些理论家关于转轨经济中股份公司如何发挥作用的论述。但我也不认为这是唯一的解决方式,更不能认为只要体制更新了,机制一定会随之好起来。一些热衷于体制改革的同志不可否认有其进取心。但值得注意的是,体制层面上的变化虽然容易显现业绩,但内部机制的转变和完善是更实质性的,来不得半点的短期行为。世界上银行的治理结构和运作方式千差万别,很难把不同的经验一般化,很难说哪种结构和方式照搬过来就一定适合中国的银行。体制改革也不是万能的。西方市场中倒闭的股份制上市银行并不少。一家银行倒闭后还会掀起倒闭狂潮,危及社会。现在提议银行要改革,都在考虑怎么股份化,不外乎所有制要多元化等。我们银行如果要上市,一个很重要的问题就是想让战略投资者进来,但是投资者要进来之前一定会先看咱们的管理和控制水平。水平太低别人不敢买你的股票,或者说还没下决心买你的股票。西方人看得很仔细,我在行里主管反洗钱,战略投资者为这方面的事调查我们行好几次,拿出一系列问题问我们。所有制的实质在于你的控制机制,你过去是国家控制,国家控制从某个角度可能有坏处。国家控制我,所有利润都上交,多发点奖金发不了。你可能不承认,我们中行员工的薪水曾长期处在较低水平。听行外有人说:中行的服务质量差,追究其中一个原因就是奖金少。站在中行的员工角度上,会觉得不如上市,上市以后股份制,财政部别卡我了,灵活性就大一些了。但是如果财政部不控制,总有第三只手要控制,不可能没人控制,当第三只手控制你的时候,可能比财政部还厉害。光想着财政部控制那么严,没想到财政部还是你母亲,妈有的时候看你哭还掉眼泪松松手,但是第三只手控制的时候非常残酷。
2控制环境的建设有持高级管理层的支持。在控制环境方面涉及一些问题值得关注,管理层是不是明确维护内部的完整性,这是非常重要的,特别是高级管理层,比如说总行的领导,一级分行的行长这些负责人,他们是不是明确维护内部控制系统?包括规章制度的建设,组织结构这方面的合理性,都非常重要。还要看这个银行有没有积极的控制管理,是不是在整个组织中间具有控制觉悟或者自觉的控制态度?行长们对内控的基调是不是积极?单位里的员工其能力和他们的责任是不是相匹配?这里就涉及单位的人事政策,应该审理人事部门人事的管理程序和管理规定。管理层的经营风格、授权、责任、组织和业务发展的方式是不是适当?法律部门难以承担授权管理这个职责,但是有一个问题值得探讨,就是授权管理的合规性是需要有人控制的,我们目前还没有控制到,我们在内控上是有缺陷的。
行长也好,董事会也好,稽核委员会也好,是不是对内部控制给予足够的重视了?巴塞尔委员会是这样说的,董事会应该负责批准并且定期审查整个经营战略和银行重大政策,理解银行经营的主要风险,确定这些风险的可接受的水平,保证高级管理层采取必要的步骤,识别、衡量、评审和控制风险。银行的组织结构是由董事会批准的,高级管理层也要不断评审内控系统的有效性,在确保建立和维护充分和有效的内控系统方面,董事会富有最终的责任。我们最近也在讨论一个问题,我们行要成立一个主管内控的一个处室,大家发现内控没有一定的组织保证不行,就要成立内控处。这个内控处设在哪儿?就是一个极为头疼的问题。后来还是鉴于风险管理部的权威性比较高,把它放在风险管理部。但是风险管理和风险管理部并非一回事,风险管理是个很宽泛的概念,而银行设风险管理部主要还是为了识别和评估信用方面的风险而制定政策并把关。风险管理部并不是管内部控制这方面的。后来实践也证明,风险管理部根本没有精力管这部分,项目的评审、客户的评级、政策的制定、行业分析都已经让他们负担很重了。这个内控处挂靠在风险管理部,它们草拟了一个文件,其中提到负责内部控制的是风险管理委员会。后来拿到我们部提意见,我给他提了意见,我说风险管理委员会不是内控的最终责任承担者,最终的责任承担者是董事会,与其他行不一样,我们行有过董事会,这个董事会与20世纪90年代以前的人大常委会差不多,它并不是主要责任人,是一些人退休后,安排当一个董事,不像国外的董事真是代表股东的权益,有决策权。
巴塞尔委员会对高级管理层也提出了建议,就是高级管理层要维护组织结构,确定并执行适当的内控政策。例如国外都有合规政策,是法律与合规部或者合规部负责的,我研究这个问题,究竟合规政策怎么制定?实际上很重要的就是认识内部控制。合规是依法合规,依法合规是前面介绍的内控的第四大目标,而合规和内控是什么关系。内控里一个重要组成部分是“控制活动”,合规是制定规章制度以后,看你是不是遵循,这应是最主要的控制活动。我们银行出现的案件都是违规才出现的,如果100%按照规定去做,怎么会出案件?所以内部控制重点的一个问题就是抓合规性的控制,合规性的控制就是控制活动的主要的内容,所以你说内控和合规是什么关系?合规是内部控制的重要内容。总行的规章制度非常多,对于下面的人是不是可操作?总行不管;制定的规章制度互相矛盾,总行也不管。甚至制定出的规章制度还不全面,没有真正的防范风险,就下达了,分行接了一种规章制度就跟接一个文一样不执行,不合规成了一种文化。这个是高级管理层要管的,必须维护良好的控制文化。
3银行当前要特别控制的几种风险值得研究。(1)道德风险。银行要特别加强银行的道德建设,我们发现这是控制出现问题,不合规的一个重要原因。有些基层出问题,就是因为选聘的人不讲职业道德,同时出现很多给银行干活实际上为自己干的情况。先是间接为自己干,然后就直接为自己干。有一家支行的女行长最后查出两亿多元的不良资产,你说怎么整的,她有多大的权限?后来发现她丈夫和她儿子开公司,钱都跑到他们家,她当支行行长当然好了,这也是一种“公司治理”。据说她家里宝马车有两三辆,稽核去查的时候,女支行行长珠光宝气。当时有个稽核人员建议马上双规起来,谁想没等查清人家跑了,到现在也没找到。那是几年前的事了。这说明怎么强调我们员工的职业道德教育都不过分。我们现在使用干部的时候不太关注道德风险,喜欢用和自己一致的“顺手”的人,不善于从干部所管单位的群众中了解干部的道德状况,也不注意进行道德教育,甚至压制群众去服从某些所谓“有能力”甚至用权术的干部。这是银行不断产生高管人员案件的重要根源。选人其实选文化,用错了一个人就提倡了一种错误的文化,会影响一大片。在座的处级干部,你们管底下的人员好管吗?不好管。为什么?那个时代的奋斗精神、敬业精神、去掉个人私心杂念来维护集体的精神和银行的利益高于一切的精神,现在都淡漠了,所以怎么能够不出失控的问题?不是说改革了以后,这些问题就自然消失了。因此普遍开展职业道德教育十分必要。巴塞尔委员会指出:有问题银行的案例中经常看到内部失控,其中一大问题就是缺乏足够的管理监督和负责评估的能力,或者我们叫尽职,就是没有能够在银行中发展一种很强的控制文化,重大损失的例子当中,无一例外地反映出银行控制中管理疏忽和松懈,董事会和高级管理层的领导督促不力或者不充分,通过职务和责任的安排,看出管理者缺乏清晰的评估能力,有些案例也反映出管理层缺乏适当的激励机制,去对经营层进行强有力的监督,业务经营和管理人员没有保持高水平的控制觉悟。这是巴塞尔委员会提出来,是在总结国际上许多倒闭的银行和银行中发现重大案件中总结出来的。
(2)人事风险是银行值得高度关注的风险。银行首要的风险是人事风险。首先是我国银行高级管理层的风险。我在2001年写过一篇获奖论文,题为“加强选配评审,防止领导风险”。在论证一番之后我得出结论:在银行的各种风险中间,人事风险最大;在人事风险当中,管理层的风险最大;在管理层的风险中,领导班子的风险最大;在领导班子的风险当中,“一把手”的风险最大。这并不是在讲“一把手”都不好。我前面讲过什么是风险:风险是可能妨碍公司目标实现的因素。显然公司总经理和银行董事长及行长的决策行动对目标实现的影响最大。好的“一把手”能够承认这一点,从而认真肩负起全面的领导责任,确保副手各尽其职,并主动接受副手监督。确实有些人反其道而行之,形成了风险,甚至招致了巨大损失。
这里不妨提一下银行总行这些老总们的风险。我们总行的领导都是从部门总经理或者一级分行的行长提升上来的,这些总经理是不是总行乃至我国银行界最优秀的呢?对总经理室成员有没有授权制度呢?我应聘在外资银行当管理人员的时候,首先接到的就是我的授权书,在这个授权书里,明确规定我向谁报告工作。我到中国银行这么多年,没有任何人给我授权,到目前为止,我做合规工作,没有任何人给我授权,我是什么样的权限,明确的没有,不仅我没有,其他老总大部分也没有,甚至“一把手”也没有,只有口头授权,非正式的授权,而且这种授权很难说在什么情况下越权,在什么情况下有权自己独立处理事务,那就因部门而异,因不同部门的“一把手”不同,他的管理风格不同而不同。部门总经理室没有统一的符合民主集中制的工作制度。在有些部门重大事项由“一把手”一个人或由他找合自己意的人简单决定,只是为了避嫌才有时走个开会的形式。如果银行里放任这种机制,如何教育和监督部门总经理?如何防止“一把手”出现道德问题?
另外,在我们的员工中有一些有特殊背景的员工,对他们应不应该有特殊政策?现在什么地方最好,人们就把子女送进什么地方。“文革”期间走后门最好的去处是参军,谁要是家里有关系谁参军。后来70年代是谁要有关系进好工厂。后来改革开放,国营企业纷纷倒闭,现在人们认为最可靠的是进银行,所以许多有地位的人士都把子女送到银行来。银行好不好管?现在一些领导感觉挺难管的。什么叫有特殊背景?很难定义。当年毛泽东三令五申不准高干子弟搞特殊化。人事政策同银行的企业文化有关系,我们现在将人事部改叫人力资源部,实际上就是人力资源市场化管理,关系学和人力资源市场化管理是矛盾的。西方有几个学者发表了一篇论文讲中国的关系学,他们说西方是不讲关系的市场关系,中国是东方的那种以关系学为主导的市场关系,他们说这两个都有一定的缺陷,最后的结论就是今后是不是西方能增加一点人情色彩,东方是不是减少点人情色彩。在管理人方面还是应该一视同仁。我个人觉得国有商业银行内控的问题,首先是人的问题,不要搞拉拉扯扯和吹吹拍拍抬轿子,银行尤其不能无原则地允许拉帮结派,要半军事化管理。各级员工严守纪律,不分亲疏,不应允许下级绕过直接上级去借助关系谋取个人便利。我们总行干部要从严要求,上得顺理成章,下得顺其自然。当然让干部上或下都应该有充分的理由,而且把理由向当事人实事求是地讲清楚,防止“暗箱操作”,防止利用“能上能下”去拉帮结派或打击报复,防止以次充好。武汉市搞的人事改革试点,解决干部能下的问题要靠机制创新,解决三个问题:标准问题、渠道问题、保障问题。大量裁员中一个困难就是保障问题,要解决干部下了以后怎么办的问题,不能说用人家的时候用人家,等下来的时候不管了。
(3)制度风险不容忽视。银行是一个需要高度关注制度规定的行业。从表面看,银行的规章制度堆积如山,似乎已经很完善了。其实不然。形势的发展、科技的进步、新产品的不断涌现,呼吁银行进一步加强规章制度的建设。管理的实质在于制定高质量的相互协调一致的规章制度,并且推动这些规制有效地执行和落实。我们行在规章制度建设和管理中间,发现有些问题,规章制度制定的规范机制缺位,各级行都有权制定规章制度,没有一个程序来保证规章制度制定的质量。这样质量就有问题了。一方面主管部门制定规章制度的时候没有规划,有随意性(当然随意性不是到处都非常大),缺乏对规章制度的论证,征求意见的范围程序等也缺乏规定。另一方面在规章制度颁布并实施的时候,是不是需要测试?规章制度一经制定出来就要执行,还是先找几个支行做试点试行,要不要对规章制度进行事后评价?规章制度执行一两年,评价一下规章制度对不对,有没有缺陷,到底有没有可操作性,这是一个很重要的问题。总行一般接到人民银行和中央的规定就要落实中央的规定,制定一些规章制度。但把它们拿到分行、支行以后,人家看了很痛苦,为什么痛苦?因为他们没法操作,这就是有问题。后评价是一种机制,能否导致起动相应的规章制度修改或者废止的程序。评价完了以后,应当明确这个规章制度行不行、要不要废止,谁来说废止的话。
还有就是规章制度欠缺合法合规性的程序保证,因为没有强制性的程序,致使规章制度和外部法律法规相冲突,出现不一致的现象。现在我们的规章制度要送审法律与合规部,送我这儿的规章制度中一大审查内容就是它合不合法,合不合人民银行、中国政府的政策和规定。如果没有一个程序,有些和人民银行的规定相冲突,也导致不可操作。
还有一个问题是规章制度种类纷杂,缺乏统一规范。我们行过去的规章制度有24种,大量的通知、批复,函、附件等都构成规章制度,名称缺乏统一规范,也导致规章制度命名的随意性。什么叫管理规定,什么叫实施细则,什么叫做制度,出现相似内容运用不同的规章制度加以规范的情形。加上没有对以上不同名称的规章制度进行有层次的规定和说明,不但使用者眼花缭乱,大大削弱了规章制度的严肃性、权威性和系统性。
规章制度的信息化管理滞后,使员工难以了解规章制度所覆盖的信息,总行发了个规章制度下来,在一级分行几位行长中间传阅,传阅到最后有的都找不着了,有的是推,已经到了需要向总行汇报情况的时候,其规章制度还没有下发到执行部门。进行规章制度培训也是很必要的。尤其在贯彻执行新规章制度的时候,人们对新的规定不熟悉,还没有建立新的执行机制,所以落实就大打折扣了。具体操作部门作为防范风险的第一道防火墙,需要及时掌握规制,总行的规章制度应当下发到使用者。我们经常发现下去检查工作的时候,包括稽核检查工作的时候,一问规章制度怎么落实的,他们连见都没见过。所以现在就实行无纸化的规章制度(电子化)。我们行现在一般的规章制度全部都是走电子系统,总经理在批规章制度的时候全在电子信箱里签字,这也是提高速度,不用打印了,会签的时候在总行不同部门老总中间按照授权签字。
国家应有“立法法”,银行也应该有。应制定银行的“立法法”,银行规章制度管理办法,来规范规章制度,通过严格合理的程序来设计和制定,使制定规章制度的程序规范、科学、连续、协调、统一、具有共享性,这个叫做法治和法制的统一。通过良好的程序设计,比如规定草案的规划,会签颁布,试行推广,检查和后评价,制定明确的程序来实行。另外,对规章制度的管理也要做一些相关的规定。
(4)还有一种风险叫组织结构风险。中国银行一直有董事会,但是这个董事会应该是什么职能,现在是党委书记、董事长、行长是一个人,今天看起来这种机制不对,行领导怎么进行分工和合作?总行的部门怎么划分职责?银行各个部门之间出现一种叫“扯皮文化”,有人称“免责文化”,大家都不愿意负这个责任,有责任的时候推诿。这里有文化问题,也有组织机构设置和职能界定问题。办文办事拖拉,肯定降低工作效率,导致损失。内部控制究竟需不需要有专门的机构来管理?需不需要从属于某个委员会?从属于哪个委员会?如何以控制文化来取代这种所谓的“扯皮文化”和“免责文化”?这些都是我们值得研究的。
(5)应该大力防范操作性风险。首先案件的风险控制需要认真研究。我不觉得控制风险就是防范案件,案件是失控的典型表现,但不是唯一表现。事要发展到出案子了,要让法院来管了,就太严重了!大量的失控不是案件,但是案件本身是失控的典型表现。因此不注重案件的分析和管理实际上是不对的,是我们白交学费。而且案件是一面明镜,能照出银行在控制上存在的问题,在法规上、在遵循上存在的问题。
我这儿也有一些案例,三防一保方面的案例,稽核方面的违规案例,我们确确实实有大量失控的例子。1996年有一个办事处的副主任,两个人共同策划,利用已经过期的存单采取不进账的手法截留一个公司的存款600万元,其中一部分作为利差返回公司,一部分作为该公司存款中介手续费。他把剩余的400多万元都划往了另一单位的营业部,给以其妻舅为法人代表注册成立的一个贸易发展公司,作验资款用,然后把其中200多万元划到上海两家公司,把100多万元归还储蓄户,剩下的100多万元划到合伙作案人的账上,用于经营。最后这个案子追回了200多万元,查扣了100多万元,有300多万元资金难以追回。工、农、建行都可能发生这类案子。我们最后把他开除公职,移送司法机关处理,有八名涉案人员和领导分别被警告和记大过处分,有一个人被辞退。我们总结教训的时候就有这么几条,一个是思想教育和素质培养上缺乏有效的方法和措施。这个人文化水平比较低,大概高中毕业,思想教育松懈在那个时期是很普遍的。另外我们对抓基层行网点机构的管理缺乏力度,对法规制度落实不到位,监督制约机制不够健全,这个案子反映出我们一系列失控的问题。在会计、储蓄、结算等业务环节空白存单和业务公章、个人名章等的保管方面都存在一些漏洞。规章制度形同虚设,违规违章操作比较严重,个别员工明知不对,仍按领导意思办理业务。知道不对,但是经办人照常去做。加上对内部管理缺乏监督、制约,形成了重大损失。
这个案例实际上从控制环境的角度看出这个分理处存在的问题。我前面介绍了内部控制理论,从那个理论出发,我们可以看到银行如果要想健全内控,防范风险,要想对内控和合规情况进行检查和评价,应该运用一套规范的方法。可以按照内控的五大组成部分,一个部分一个部分去进行检查评价,而且人民银行的内控指导原则已经给我们提出来应该怎么抓。
(待续)
银行风险的识别、评估与内部控制
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。
银行风险的识别、评估与内部控制
Identification, Assessment and Internal Control of Bank Risks
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的注释等网络因格式转换而未加。
第五篇:某银行信息科技风险识别与评估管理办法
某银行信息科技风险识别与评估管理办法
第一章
总
则
第一条
为规范信息科技风险评估工作,提高某银行信息科技风险管理水平,促进我行业务安全、持续、稳健发展,根据国家信息安全法律、法规及银行业信息科技监管要求及《某银行信息科技风险管理策略》,结合我行风险管理实际情况,特制定本办法。
第二条
本办法属于信息科技风险类“管理办法”,适用于某银行信息科技工作全过程的风险评估。风险评估对象包括信息科技组织、管理过程和信息资产。
第三条
信息科技风险,是指信息科技在合规管理、支持业务创新和业务运营过程中,由于管理流程及资源缺失或不足、人为因素和技术漏洞产生的操作、法律、声誉等风险。
第四条
信息科技风险评估是指在信息科技风险事件发生之前或之后(但还没有结束),该事件给信息系统的研发、生产等各个方面造成的影响和损失的可能性进行量化评估的工作。
第五条
本办法所指的信息科技风险类型及来源包括但不限于以下内容:
(一)信息科技总体风险是指信息科技在策略、制度、物理环境、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
(二)信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及下线过程中由于技术和管理缺陷产生的风险。
(三)研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
(四)运行维护风险是指信息系统在运行与维护过程中访问管理、操作管理、变更管理、机房管理和事件管理等环节产生的风险。
(五)外包风险是指本行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第六条
信息科技风险评估是识别、计量、评价信息科技风险的活动,旨在客观反映信息科技对我行发展战略的支撑程度。
第七条
风险评估应遵循“全面覆盖、突出重点、持续跟进”的原则。
第八条
总行、一级分行的信息科技风险评估(含自评估)工作应遵照本办法执行。
第二章
角色分工
第九条
风险评估可由总行信息科技管理委员会或一级分行发起,承担机构是风险管理部,风险管理部负责组建风险评估实 施团队。风险评估实施团队由管理层、相关业务和技术骨干等人员组成,评估工作角色分为:评估管理人员、评估人员、评估分 析人员。
(一)评估管理人员由风险管理部信息科技风险管理岗担任,负责组织、管理、监督风险评估任务,包括:
1.制定风险评估任务计划
2.设计风险评估方案
3.审核风险评估报告
4.确认风险处置建议
5.跟踪风险评估任务进度
6.控制风险评估任务质量
(二)评估人员负责按照风险评估任务要求,收集并提供信息和证据,如实反映信息科技工作现状。评估人员由评估对象 所涉及的相关技术或业务骨干人员担任;
(三)评估分析人员负责汇总、整理和分析采集到的信息与证据材料,编写风险评估报告。评估分析人员由行内经验丰富的专业人员担任,必要时可聘请业内专业人员。
第十条
在同一风险评估任务中,评估实施团队成员不少于三人,评估管理人员和评估分析人员不得兼任评估人员。
第三章 风险评估计划
第十一条
总行和一级分行每应开展一次整体信息科技风险评估,两次以上专项信息科技风险评估。
第十二条
信息科技风险评估要以信息科技风险监测信息、数据以及其他有关信息为基础,遵循科学、透明和个案处理的原则进行。
第十三条
出现以下情况时,应结合本单位以往风险评估情况,确定是否启动专项信息科技风险评估:
(一)新系统上线后或已有系统进行重大变更;
(二)信息科技运行中发现重大纰漏或隐患;
(三)内部或同业出现重大信息科技事件;
(四)信息科技审计中发现重大问题;
(五)监管机构发布风险提示;
(六)其他情况。
第十四条
一级分行根据总行风险评估工作要求,结合本行实际情况制定风险评估计划,并报总行备案。
第四章 风险识别与评估方法
第十五条
风险评估通过人工评估或自动化工具测评等手 段识别、分析支撑 IT 目标的流程和资源中存在的缺失或不足,判断风险优先级,提出风险处置建议。
第十六条
总行信息科技管理委员会或一级分行发起风险评估任务,并下达任务书。评估管理人员依据任务书组织编写风险评估任务计划书和风险评估方案。
第十七条
评估管理人员组织人员依据评估对象的业务目标识别IT 服务目标,进而分析支撑IT 目标的流程和资源,并针对流程要素和资源要素设计风险检查表。
第十八条
评估人员依据风险检查表,采用人工或自动化工具对评估对象的信息科技状况进行信息收集。信息收集可采用调查、检查、安全测试等方式:
(一)调查包括问卷调查、远程访谈、现场访谈等;
(二)检查包括文档检查、代码检查、流程检查等;
(三)安全测试包括人工测试、自动化测试以及综合性渗透测试等。
第十九条
评估分析人员采用定性或定量的计算方法,依据各类风险对实现 IT 目标的影响,计算出评估对象的风险优先值或级别,并进行分析:
(一)风险成因分析,分析诱发风险的主观因素和客观因素。主观因素包括流程缺失、控制不足或无效等;客观因素包括资源缺乏、内外环境影响等。
(二)风险占比分析,依据对IT 目标的影响程度,分析评估对象当前状态下各类、各级风险占比情况;
(三)风险对比分析,对同次任务中不同机构的风险状态进行对比,分析各类风险在不同机构的分布状况及影响;
(四)风险趋势分析,对不同时期的相同任务结果进行对比,分析同一风险的增强或减弱情况,了解风险的发展趋势。
第二十条
风险分析可采用以下手段:
(一)专家经验;
(二)风险分析模型;
(三)风险分析工具。
第二十一条 评估分析人员针对风险评估任务中揭示的风险类型和状态,结合组织机构、业务需求和安全要求,提出风险处置建议,包括降低、转移或消除风险的措施、预期效果等。
第二十二条 评估分析人员编写风险评估报告,内容包括风险评估任务描述、风险分析、风险处置建议等。评估报告经评估管理人员审核后提交信息科技管理委员会。
第二十三条 风险评估过程(附件1)分为三个阶段:风险评估准备、信息收集和风险识别分析。
第五章 风险评估准备
第二十四条 根据风险评估计划,总行信息科技管理委员会或一级分行提出信息科技风险评估任务,编制风险评估任务书(附件 2),明确任务目标、评估对象、评估范围、任务起止时间、风险管理部门等。
第二十五条 风险管理部组建风险评估团队,指定风险评估管理人员、风险评估人员和风险评估分析人员,并授权风险评估团队开展风险评估工作。
第二十六条 评估管理人员组织制定风险评估任务计划书(附件 3),明确风险评估实施活动的计划安排,主要包括:
(一)团队组织:包括成员名单、角色、职责等内容;
(二)工作计划:描述各阶段的工作安排,包括工作内容、时间进度和各阶段成果清单等内容。
第二十七条 评估管理人员组织设计评估方案,评估方案包括风险检查表(附件4)、信息收集方式、风险分析方法等。
第二十八条 设计风险检查表时遵循以下过程:
(一)分析评估对象的业务目标和IT服务目标;
(二)识别实现IT 目标的工作流程和资源;
(三)识别影响工作流程和资源中的关键因素,主要考虑各流程要素的活动内容、关联关系、流程目的、实现方式、所需资源等;
(四)根据关键因素设计风险检查项、检查指标和评价权重,形成风险检查表。
第二十九条 评估管理人员通过风险评估启动会等形式启动具体风险评估工作。
第六章 信息收集
第三十条
评估管理人员将风险检查表分发给评估人员,并告知信息收集方法及填写要求。
第三十一条 评估人员通过调阅文档、收集日志、现场访谈、工具测评等方式获取风险评估所需信息。信息内容包括但不限于:IT 制度及执行情况、技术文档、以往审计报告、风险管理报告、日志记录、访谈记录、测试报告等。
第三十二条 评估人员根据采集的信息,填写风险检查表,并保留证据。
第三十三条 评估管理人员督查信息收集进展情况,按计划收回风险检查表,并审核填报信息质量。必要时,可要求评估人员补充信息和附加证据。
第三十四条 评估管理人员将风险检查表提交评估分析人员。第七章 风险分析
第三十五条 评估分析人员按评估方案确定的风险分析方法对风险检查表进行汇总、梳理,评定风险等级,分析风险成因,提出风险处置建议,形成风险评估报告(附件5)。报告包括但不限于以下内容:
(一)风险评估任务概述
(二)风险评估活动描述
(三)风险分析,包括总体风险分析、风险占比分析、风险对比分析、风险趋势分析
(四)风险成因分析
(五)风险处置建议
(六)详细风险列表
第三十六条 评估分析人员将风险评估报告提交评估管理人员。
第三十七条 评估管理人员定期督查风险分析进展情况,指导风险分析工作,组织审核风险评估报告,形成正式报告提交风险管理部负责人。
第三十八条 风险管理部将风险评估报告上报信息科技管理委员会,并通过风险评估任务总结会等形式,通报风险评估情况。
第三十九条 风险管理部将风险评估资料归档管理。
第八章
附则
第四十条
本管理办法由某银行总行制定并负责解释和修订。
第四十一条 本管理办法自发布之日起执行。