第一篇:银行风险与相关内部控制—银行内控-“抓资金”
银行风险与相关内部控制—银行内控-“抓资金”关闭
课后测试
如果您对课程内容还没有完全掌握,可以点击这里再次观看。观看课程
测试成绩:100.0分。恭喜您顺利通过考试!单选题
1.账务处理环节的管理包括()√
A B C D 凭证制作
账账相符
账表相符
内外账相符
正确答案: A 多选题
2.以下属于基础头寸的是()√
A
B C D 在中央银行的清算存款
库存现金
系统内往来资金
到期同业往来
正确答案: A B
3.加强资金头寸管理的意义,以下说法正确的是()√
A
B
C D 增强商业银行资金的流动性
提高商业银行的效益
化解商业银行的风险
都不对
正确答案: A B C
4.银行网点加强库存的日常管理,可以采取以下哪些措施()√
A 规范对公现金收支 B C D 执行现金管理规定
整合柜员操作规程
网点库存状况与经济利率挂钩
正确答案: A B C
5.以下关于改善账务检查薄弱环节的措施中,描述正确的是()√ A B
C
D 检查人员往往把账务管理看作是网点自己的事
对部分有勾稽关系的账户通过系统实现自动核对
对内部户实施全覆盖的检查核对
对客户账强化银企对账,对大户、同业账户、上门收款户全部按月面对面对账
正确答案: B C D 判断题
6.商业银行网点,库存现金越多越好。√
正确 错误
正确答案: 错误
第二篇:银行风险内控
银行风险内控
银监会的天职,就是防范风险,并且增强银行业的核心竞争能力
商业银行风险
信用风险
信用风险可以分为两种情况:
借款人或债务人没有能力或者没有意愿履行还款义务而给债权人造成损失的可能性; 由于债务人信用等级或信贷资产评级的下调、信贷利差的扩大导致资产的经济价值或者市值下降的可能性。
信用风险的危害:银行大量的无法收回的贷款、银行贷款资产质量下降、银行倒闭; 原因:一是借款人品德不良,主观上故意不予偿还
二是借款人虽然主观愿望良好,但客观上无能力归还贷款本息 市场风险
市场风险是指因市场价格(利率、汇率、股票价格和商品价格)的不利变动而使银行表内和表外业务发生损失的风险。
市场风险可以分为利率风险、汇率风险(包括黄金)、股票价格风险和商品价格风险,分别是指由于利率、汇率、股票价格和商品价格的不利变动所带来的风险。
操作风险
内部欺诈(Internal Fraud):机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。例如内部人员虚报头寸、内部人员偷盗、在职员的账户上进行内部交易等等。
外部欺诈(External Fraud):第三方的诈骗、盗用资产、违犯法律的行为。例如抢劫、伪造、开具空头支票以及黑客行为对计算机系统的损坏。
雇用合同以及工作状况带来的风险事件(Employ Practices & Workspace Safety):由于不履行合同、或者不符合劳动健康、安全法规所引起的赔偿要求。例如,工人赔偿要求、有组织的罢工。
客户、产品以及商业行为引起的风险事件(Client, Products & Business Practices):有意或无意造成的无法满足某一顾客的特定需求,或者是由于产品的性质、设计问题造成的失误。例如受托人违约、滥用客户的秘密信息、银行账户上的洗钱等。
有形资产的损失(Damage to Physical Assets):由于灾难性事件等引起的有形资产的损坏或损失。例如恐怖事件、地震、火灾等。
经营中断和系统出错(Business Disruption & System Failure):例如软件或者硬件错误、通信问题以及设备老化。
涉及执行、交割以及交易过程管理的风险事件(Execution Delivery & Process Management):交易失败、过程管理出错、与合作伙伴、卖方的合作失败。例如交易数据输入错误、间接的管理失误、未经批准访问客户账户等。
严格意义来讲,所有银行的操作都存在操作风险。如柜员长短款、不按流程审批贷款、出现案件没有及时上报等。简单地概括,有内部规章制度的地方,就是操作风险存在的地方。要控制操作风险,先要“普法”,做到规章制度应知尽知;其次要监控,重要环节要有后督;第三是自查自纠,执行部门反映规章制度执行情况;四是内审稽核,用另外的视角看制度的执行情况。
出现操作风险首先要上报,不能隐瞒;然后是跟踪,量化实际损失;最后是反馈,检讨制度是否需要修订,明确相关人员的责任。
流动性风险
流动性风险是指商业银行没有足够的现金来弥补客户取款需要和没能满足客户合理的贷款需要或其他即时的现金需求而引发的风险;
商业银行的流动性需求有:短期流动性需求、长期流动性需求、周期流动性需求和临时流动性需求;
商业银行流动性需求的满足途径
在商业银行资产负债表中以现金资产形式储备流动性; 商业银行在金融市场上购买短期资产以购入流动性。
流动性风险的评价指标:存贷比率、流动比率和存贷变动率。法律风险
法律风险是指金融交易合约的内容在法律上有缺陷或不完善而无法履约,以及法律修订使银行蒙受损失的风险。
商业银行内控的目标
银行内控的目标是控制风险,防止和减少损失,保障银行经营的安全和顺畅。具体而言,体现在两个方面:
在风险发生之前,通过有效内控制度,以最低的损失来获取控制风险的最佳效果。风险发生之后,通过有效的内控制度,使银行不至于因风险而遭受更大损失和面临生存危机,确保银行经营目标的实现。商业银行内控的类型
按照技术划分的内控类型——具有较强的实效性和连续性
事前控制:是指商业银行在发生诸如损失等行为前,就开始采取防范措施予以预防; 同步控制:是指商业银行在业务或行为发生的同时,采取自控措施予以控制的做法; 事后控制:是指商业银行在业务或行为发生后,采取修补措施以减少或降低风险损失的控制。按功能划分的内控类型 业务控制
财务控制
会计控制和审计控制 物品控制
人事控制
组织控制
商业银行内控的方法
控制法
分散风险:通过调整银行资产和资本结构等手段分散银行承受的风险,目的是回避风险。
(1)金融工具组合多样化;
(2)资产负债期限多样化;
(3)地区分布分散多样化。抑制风险:银行考虑到风险事件存在与发生的可能性,主动放弃和拒绝实施某项可能导致风险损失的方案。
(1)终止具有巨大信贷风险的借贷活动与计划,暂
停某类资金的经营计划和经营活动;
(2)改变资金借贷的对象、方式和形态。财务法——风险发生后的补救措施一
风险自留:是指商业银行自行设立基金、自行承担风险损失发生的财务后果。
(1)风险自留的特点:积极的风险控制手段、弥补潜在的风险损失、风险损失费用化;
(2)风险自留包括:部分风险自留和全部风险自留、主动风险自留和被动风险自留。
(3)风险自留的原则:银行补偿风险的财力是否充足、既有的损失是否会造成更大的财务困境、应优先考虑其他风险控制措施。财务法——风险发生后的补救措施二
风险转嫁:是商业银行在风险损失发生后,将风险通过一定的途径,有意识地转嫁给与其有利益关系的客户承担。
(1)风险转嫁的方式:一是不转移财产,只转移风
险和损失;二是将风险损失的财产转移给交易对方;
(2)贷款风险转嫁的是通过贷款创新的表外业务方式
转嫁;
(3)通过其他交易业务转嫁风险。商业银行内部稽核的内容
资产负债稽核、会计稽核、金融服务稽核、横向联合稽核
商业银行稽核的方法
稽核方法:观察法、审阅法、听证法、复查法、核对法、盘点法和查询法。
第三篇:银行风险的识别、评估与内部控制
银行风险的识别、评估与内部控制
Bank Risks'Identification,Assessment And Internal Control
杨海群
按语
本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因为网络格式转换而未加。希望读者进一步阅读作者的专著《公司治理与银行控制》下卷中“加强选配评审,防止领导风险”这一章。
“银行风险的识别、评估与内部控制”这个题目涉及两方面:一方面涉及的是风险管理,另一方面涉及内部控制。不管是法律工作者还是银行的管理者,都会遇到下面要提出来的问题,就是怎么来处理业务发展和管理控制的关系,怎么在实现战略目标的过程中,一方面把握住我们自己,另一方面也把握住我们所领导的团队?另外,怎么防止银行的工作人员或者业务活动失去控制?搞法律的人员不如搞经营管理的涉入那么多的具体业务,但是由于你们是银行的法律工作者,所以就不能够站在一般律师的服务角度去服务于银行。因为你们已经加入了银行的管理队伍。今年银监会和党中央提出银行管理要满足四个条件:第一个叫资本充足,就是银行要保证有足够的资本金;第二个内控要严密,还不是一般的内部管理,而是内部控制要严密;第三个运营要安全,实际上运营安全也是要在前两者的基础之上才能实现;第四个服务和效益要好,没有安全,也不可能服务好或者说令客户满意,服务差也不可能把效益搞上去。这是银监会《关于中国银行、中国建设银行公司治理改革与监管指引》文件很明确地提出来的要求。中行和建行要重组上市,就要实现银监会提出的四个要求。恐怕农行和工行下一步也要遇到这个问题,也准备在中行和建行上市成功之后,经历这个过程。我们这两家银行先试一试,估计在上市过程中会有更多的难题。
我们研究一个问题总是要抓住一些本质性的东西。有一个美国的企业家写了一本书叫《基业常青》,他把一个一般的企业发展成比较大的企业,积累了一些经验,他的书里面有这么一句话:“伟大的公司要想生存,必须拥有一个持久的观念,这个观念必须从属于整个公司。即使有远见的领导人与世长辞以后,这种所谓的观念也会永存。这种观念并不是围绕某个人或者一个整体,而是围绕一个决定公司发展目标的思想体系建立起来。有远见的公司,之所以能够成功,原因就在于无论发生什么变化,它们的核心观念毫不动摇。”他说得很深刻,他说:“只有从过眼烟云的变革中看到背后永恒的管理法则,人们才能真正了解到伟大公司的伟大之处。”我也在想这个问题,中国银行伟大不伟大?90多年的历史,应该是一个伟大的公司,但是这个伟大公司的伟大之处怎么体现呢?那就看我们能不能建立和遵循我们的公司治理法则。所以我认为内部控制很重要,实际上内控原理是一种管理法则,我们通过研究内部控制的理论来转变我们的经营观念,来增强控制意识,提高管理水平,这恰恰就是我国的国有银行向商业银行转变和上市的基本前提。我把它识为一种基本前提,那就是说我不认为只要一个银行能够跑到股票市场上去,在那里销售我们的股票,来套股民的钱,我们就是一个公司治理机制良好的银行。因为它上市成功的前提首先要具备较多的控制意识,有较好的管理水平。其实巴塞尔委员会对这个问题也是提出了很高的要求,把它强调到一个很重要的地位。一个有效的内部控制系统是银行管理的关键内容,是银行组织机构安全和良好运营的关键,这是巴塞尔委员会提出的要求。一个强有力的内控系统,能够帮助确保银行机构的目标和目的的实现,使得银行取得长期的利润目标,维护财务报告和管理报告的可靠性,并且确保银行遵循法律和规章制度,以及一系列政策、计划、内部规定和程序,减少始料不及的损失和有损银行声誉的风险。为了强调内控,我重点介绍下面四个方面的问题: 第一,是介绍内部控制理论已经解决的问题。第二,从我在中行的新体验来看看我们国家银行内部控制的发展。第三,我们对银行当前内部的控制问题进行初步的研究。第四,提出一些政策建议仅供大家参考。
一、内控理论已经说明的问题
我们在提到银行的管理、银行的控制这样一个题目的时候,我觉得搞法律的人员不是那么熟悉,因为我在中国银行,法律工作人员大都很年轻,在管理学上、在银行的控制理论上,还是缺乏知识的,这里有知识的结构问题。所以很有必要来探讨一下内部控制的理论。
首先内部控制的理论已经明确了内控在银行中间的地位。任何一个组织要维护它良好的职能机构都必须认真对待四个问题:第一个就是治理问题,包括银监会经常说的公司治理机制;第二个就是风险管理;第三个叫内部控制;第四个叫保障措施。首先明确一下概念。中央领导、国务院领导经常说公司治理,到底公司治理是干什么的?是研究什么的?我有一次到德国开国际会议,与美国的一个高级审计官员探讨过这个问题。公司治理的核心问题是如何委托资源以便于实施某项任务。再说得明白一点,就是找什么人来做这个银行行长和各级经管人员,以便于把商业银行的各项业务做好。找谁?是找王雪冰还是找其他人?为什么找王雪冰?他出了问题,怎么才能找到另一个人不出问题或者少出问题?公司治理就是找谁当行长,找什么人当总经理和各级经管人员。像中国银行大约有200位总行高管干部,包括行长,找谁担任这样的职务,要明确谁来干,明确谁承担这个责任,看看他们怎么承担这个责任。这叫公司治理。
风险管理是什么呢?风险管理是一种程序,它要识别风险,评估风险,并针对风险来制定相应对策。商业银行里都有一个部叫做风险管理部,在银行,风险管理部是很重要的部,这个部干什么呢?它要分析银行运用资产有什么样的风险,这些风险究竟有多大,银行可接受的风险的水平有多高,然后银行既然有这么多的风险,采取什么政策对付这些风险,这叫风险管理。
内控是干什么的?内部控制是公司的核心管理内容,它是公司通过治理来实现公司目标的有力手段。银行通过风险管理发现了风险,认定了风险,评价了风险,并且制定了风险应对的对策,之后怎么办?要采取一系列措施和经营管理程序加强内部控制,防范风险。
另外,还有一个确保反馈的系统,这是一个通过交流反馈和咨询来促进上面三项内容能够顺利开展的程序。就是保证上面能够开展这些活动。我在我的《公司治理与银行控制》这本书上就描绘了一张图说明上述四种治理机制的相互关系,现在银行领导也好,中央领导也好,经常讲这几个概念,但是我们需要把它们界定清楚。
如果你要经营一个企业,开一个银行,首先得有一个目标,这个目标确定了之后,靠什么来管风险?一个靠公司治理,找一些人——可靠的人、能干的人,把他们叫来,安排他们工作。然后组织其中一部分人来分析,我要实现这些目标,有哪些风险,怎么对付这些风险,制定风险政策。然后要有大量的人在操作的层面和管理的层面实行内部控制。把这些活动通过一个确认反馈系统,最终实现公司目标,就是资本充足、内控严密、运营安全、服务和良好效益。
国际上对内部控制也有大量的研究,美国有个权威机构叫COSO,提出了一个比较完整的内控理论和操作方法,后来又提出完整的风险管理的理论。实际上各国都在探索,英国也有一个CADBURY模式,后来它发展或TURBULL。加拿大叫COCO理论。一些发展中国家,例如南非也有一套理论,叫KING,都在研究内控。为什么这样重视内控?就是前面讲的伟大公司的背后的管理法则。1998年9月份巴塞尔委员会又提出了一个关于银行体系内部控制框架,这个在网上能够搜索出来。2003年美国COSO又进一步提出更加完整的理论,不完全是内控,把内控放在风险管理的框架里。所以内部控制的发展一步一步最后形成了巴塞尔委员会内控的指导原则,一共有13项原则。而且内部控制在概念上也从部分控制论发展到全控制论。部分控制论讲的控制是会计控制、财物管理控制,后来又发展到稽核,各个银行都有稽核队伍,然后又超越财务范畴,把内控渗透到经营和管理各个方面。控制渗透在各个微观经营管理活动的毛孔里。而且内部控制也由过去只强调财务会计和财务信息的管理到更加强调提高经营管理的效果和效率,更加强调管理政策。这是一个发展。
我们研究一下到底什么叫内控?现在的内控理论已经把内控设定为比较科学的定义:“内控是一种为合理保证实现下述四大目标的动态过程,动态的程序。”它的每一个词都是有道理的,是合理保证实现四大目标的动态过程,原来提的是三大目标,现在有所发展,又提出第四大目标。它补充的那个目标就是战略性的目标。
什么叫战略性的目标?就是内部控制要符合和支持银行机构的总任务的完成,要有相当高度的视野,这是一种高层次的目标。上面提到的资本充足,这就是战略性目标,中央确定我们要实现国有商业银行资本充足,这是战略决策,不是具体到结算业务,还是零售业务,还是公司业务这种微观层面的目标。过去的国有商业银行不讲究要资本充足,国家不给我们补助资本金,中国银行一开始是财政部划拨的那点钱,后来核销呆账没有拨过资本,有利润全部上交国家、上交财政,现在提出来要满足8%资本金充足率,要实现这个,国家给我们中国银行225亿美元让我们来充实银行的资本,另一个也允许我们在盈利中间拿出一块,使我们的资产达到充足的标准,今后就要靠自己的努力了。这就是战略。
第二种目标叫操作性目标。银行不能不讲效果,不能不讲效率,在我们贷款的时候,在我们融资的时候,在我们做业务的时候,要保证银行避免损失。执行各种内控操作的程序,确保组织当中所有人都来有效率的工作,甚至还要注意道德的完整性,而不发生不应有的过高成本。特别要强调,不能把任何其他的利益置于银行的利益之上,比如为自己雇员的利益发奖金,为了让大家得到奖金,宁肯使银行冒操作性的风险。或者给关系人贷款,为了某些客户的利益,而不顾银行的利益。或者为了个人的权利,拉拉打打、玩权术、市宗派。
还有第三个目标,叫做信息性目标。这里包括财务和管理的信息,过去只是强调财务的信息,现在巴塞尔委员会强调还有管理的信息,都要可靠、完整,并且能及时地提供。我们在写各种报告的时候,都要做到这点,而且要定期发布可靠的财务报告,披露真实的信息。将来我们上市了,也要给股东写报告,给银监会、人民银行写报告,对外公布的财务报告要经过监管当局认可的会计师事务所审定。而且董事会、管理者在做决策的时候,要有信息基础,这个信息必须充分、有质量和完整。我们的财务报表要有明确定义的会计原则。这次中国银行上市,其中一个内容就是要搞尽职调查,我们要聘请外部律师事务所给我们帮忙,我们要向他们如实地报一系列的材料,最后这个材料要交到律师事务所审查。中国银行干了这么多年,出了多少年报,年报后面的会计报表不仅前没有会计师事务所签字。国外的会计报表和年报最后除了银行行长签字、银行总会计师或者财务总监签字以外,还有中央银行认可的外部审计师要签字,而我们过去没有。要真实披露,我们的工农中建可能存在倒闭的问题,如果严格按照巴塞尔委员会的要求有可能会摘牌了。所以我们上市以后,压力很大。但我们需要披露,我们有责任向股民说清。
还有第四大目标叫遵从性目标。符合法律和规章制度。巴塞尔委员会特别强调,要确保银行所有的经营都遵从适当的法律和规章,遵从监管的要求,遵从本组织——银行的政策和程序,其中一个特别重要的就是业务流程。如果业务流程不熟悉、不遵从,违规经营的话,就没有实现这个目标。为什么要这么做?要保护银行的“特权”。实际上银行是有特权的,不是所有的企业都能干银行,也不是所有的金融机构都能干银行的事,银行是被经济社会选拔出来的能够胜任这项工作的金融机构。为什么银行要有声誉?别的公司也强调信誉,但都没有银行的信誉强调得更高。有不少人也抱怨,别的国营单位盖大楼,中央要批评,但是银行为什么可以?我们中国银行的楼,我走过了几十个国家,我还真没见过这么好的银行大厦,法兰克福的金融中心建设得够高级了,英国的City够气派了,你到那里看看,有没有比中国银行的楼更高级的,我觉得还没有。这里也确有太奢华的问题,但为什么中行这么盖大楼,建行、工行都盖了不小的大楼,中央没批评,因为它有个形象和声誉问题。因为银行很需要体现它的权威和不可动摇性。我在河北挂职的时候,河北中央银行门前的狮子是铜做的,斜对面有一个纺织品进出口公司,狮子也不小,但央行的比公司的还大一倍。银行的职业特征决定了它需要一定的声誉和权威。当然,这种声望和权威应该是内在的,不能只靠表面的豪华去装饰。
工农建都设有法律部门,都起名叫法律部,我们中国银行为什么出了一个法律与合规部?直接的原因是纽约分行的事件,给我们很大的教训。有人说你把你们的行长都赔进去了,那都不是最重要的教训,最重要的教训是纽约分行使我们认识到过去我们搞银行的时候,对合规重视得很不够,而一些大型的国际化的银行在行内设有很大的部叫合规部,来抓合规工作。我们总结了在纽约的沉痛教训,感到有必要把合规工作提上日程。银行一定要依法合规经营。而内部控制的理论实际上把“合规”作为一个目标。中国的银行考核底下的员工都把效益作为考核的重点,利润是考核的重点,但是内控理论中明确指出要把依法合规作为考核的四大目标之一,如果不考核当然各级单位就不朝这个方面努力,不在这个地方扣分,凭什么在这个地方花费资源?
内部控制的定义说明了几个问题:
第一,内部控制是一种程序,这个程序意味着它朝着某个方向去努力,但是它永远达不到那个终点,因为这个终点是它不断要达到的目标。
第二,银行要搞内部控制,离不开人的影响,不是说搞内部控制就是去念几条规章制度,而要有人在这里起作用。
第三,内部控制是为公司管理层提供合理的保障,但不是绝对的。万事都不能绝对化,绝对化就是形而上学。内控是提供合理的保障,是对解决银行问题有利。不是说一抓内控就什么问题都不会出来。
第四,内控是有多重目标的,内控有四个目标,第一个目标是战略设定,第二个目标是经营的效果和效益,第三个目标是信息性目标,第四个目标是遵从性目标。内部控制为的是目标的实现,通过一些活动,一个有机结合的整体,去实现公司的目标。这是很值得我们学习内部控制的方面。
内部控制可分解为五大组成部分的内容:第一个强调控制环境,第二个强调风险评估,第三个要开展控制活动,第四个要进行信息的交流,第五个要进行监督评审。这是内部控制的五大组成部分。为什么从理论上强调这些内容,不是我们要讲一些花哨的名词,而是这五大组成部分比较充分和完整地说明了内控的主要内容,使我们明白了应该怎么执行内控,又怎么进行评价。怎么评价内控?我建议就从这五个方面。
另外COSO又提出八大组成部分,这是从风险管理角度讲的。下面是风险管理的八大内容:内控环境、战略目标设定,事件的认识或者是了解,另外风险评估、风险对策、控制活动、信息与交流、监督评审。这是八个组成部分的内容。首先要确定目标,开展经营活动必须有目标,我银行要搞好,我的目标是什么?支行有支行的目标,二级分行有二级分行的目标,一级分行和总行都有目标。风险管理也是一个有机结合的整体,也要强调内部的环境,就是前面说的控制环境。目标设定以后,要有些事要做,一件事叫“事件识别”,就是要看这些事有什么风险,要开展公司业务、零售业务、结算业务、信用卡业务,银行所有的业务,这些业务有什么风险要评估,评估完了以后要有风险对策。既然你都评估了,怎么处理这些风险,要有政策、有策略。然后,就进入了内部控制。这里我解释风险管理是希望说明它与内控的关系。
概括起来,内控分为五大组成部分的内容。内控五大组成部分最基础的地方是在控制环境上,然后进行风险评估,还要开展控制活动,在控制活动开展的过程中间,又要不断交流信息,宝塔尖上强调监督、评审。从风险管理的角度来分析,这个模式或框架还包含四大目标。战略性、操作性、信息性、遵从性、合规性,这是五个目标,这是一个层面的东西。从内控的角度来分,目标是四个,但内容可以比风险管理少三大内容。就是以上概括的五大组成部分的内容。这还仅仅是两维的空间,第三维空间就是不同的部门,各个级别的部门。第三维空间,比如法律事务部或者是公司业务部、零售业务部,这些部门组成第三维空间,这三维空间组成立体的模型。实际上我们在讲一种思维方式,我们是在这样一个立体空间里搞银行。把任何一个部门抽出来,比如把公司业务部抽出来,都有四大目标,都有五大组成部分的内容在里面。这说明一个什么问题?说明我们可能利用思维方式,利用模型,利用这个理论,探讨出管理银行,评价银行的方式。为什么巴塞尔委员会这个国际银行监管的机构,要支持这么一种理论?是因为这个理论有用,是因为这个理论发展到今天,能涵盖我们银行的主要业务、主要工作。
从“控制环境”的角度怎么理解呢?实际上控制环境是所有各个方面的基础,是一个带动银行开展工作的“发动机”。这里包括银行的行风、组织风纪,它还涉及银行活动的核心——人(员工),而且要通过影响人们的控制觉悟来形成银行的“文化”,就是银行究竟提倡什么,特别是注意人们对内控的认识和态度,你有没有控制理论,有没有高度的内部控制觉悟,也就是重视内部控制,特别是由于这个环境不同,你的战略目标的实现就受到影响。我们国家如果没有长期稳定搞建设的环境,中央不会提出国民经济翻翻这样的战略。这里还涉及风险管理的一些哲学,开展风险管理是避险为主还是冒险为主呢?风险管理是什么文化?这些东西都是控制环境里的。我们理解控制环境也是希望大家在评价某个部门的时候,比如上级让你去公司业务部检查一下他们的内部控制怎么样,首先建议你评价控制管理的环境如何。我后面还会强调环境方面的建设。
第二大组成部分是“风险评估”。风险评估是什么?就是你要去识别和分析那些妨碍实现经营管理目标的风险,这是风险管理决策的基础。我们搞内部控制,必须要认识风险,这和风险的定义有关系。什么叫作风险?有人说就是损失,或者有人从概念角度说是造成损失的可能性,这些都对,但是更精确、更科学、更接近本质的风险定义是什么?就是妨碍实现目标的所有因素。为什么这么说?就是我们干什么事都是要有目标,什么叫我干这件事的风险呢?就是我有哪些东西干扰我实现这个目标。我曾经举了一个很生动的例子,比如说有一个武士,他在射箭,要打中一只鸟,什么是他的风险呢?打不中是他可能的结果,怎么会影响他打不中呢?一个显然是他自己的本事,他有没有力气拉开这个弓,拉到足够满的程度。他的视力是不是好?他是不是能够正确地判别目标所存在的位置以及他自己的经验?说到这儿,是不是风险就没了,不对。当他拉弓的时候,虽然拉的很满,但是他是顶风拉的,风力很大,影响他。天要是突然刮起了大风,乌云遮盖了整个天空,太阳没有了,看不见了,这也是风险。如果一切都非常好,但是拉弓的英雄喜爱美人,旁边过来一个美女,他分心了,也射不中。要想实现目标,各种因素都可能是风险,只要它们妨碍你达到你的目标。所以我们在讲银行风险的时候,有人总是想设定一下是信贷风险、利率风险、市场风险,其实这都是一些业务上的风险,很少有人提到人的风险,而且很少有人涉及更广泛的,凡是能够形成对银行目标实现造成影响的其他一些风险,例如员工有没有参与赌博、炒股,甚至包“二奶”等,很少有人更广泛去考虑,就是因为在风险的定义上不够准确,没有明确风险更本质的定义。在风险管理的体系框架中,COSO把目标的设定加进来,然后有一个事件的识别,有风险的评估,然后要制定风险对策。这四个方面恰恰是风险管理的主要内容,也是搞银行风险管理四个最本质的工作。
第三大组成部分是“控制活动”。你既然是搞内控,不可能不参加控制活动,使目标的实现有合理的保证。经营目标的实现需要发布一些管理指令,要采取一些防范化解风险的措施、政策、程序,像高层的检查,直接地参与管理,对信息进行加工、对实物进行控制,比如确定指标、究竟今年要完成多少利润等。特别是职责的分离,职责不分是现在银行发生重大案件的一个很普遍的原因。如果交易、记账和尾箱管理都由“一手清”,就难保不出事。内控还要针对目标相关的风险发布控制指令,各种各样的指令。
第四大组成部分存在于所有的经营管理活动中,“信息与交流”应使员工能够搜集和交换为开展经营从事管理和进行控制等活动所需要的信息。管理者应该经常评价员工的工作业绩,注意以评价监督的方式来开展工作,根据一些会计数据分析并发出一些预警信号,确保有关经营目标的实现。这个信息与交流在总行层面是最大的问题,我们各个部门分管很细,都有各自的职责,一件事现在离开哪个部门干都不行,需要协调配合。可是在咱们一些银行体系当中,协调配合能力特别差,其中的一个症结就在信息与交流上。我想法律部的人员也会有同感,说叫你去审查一个合同,把合同拿来了,以为很容易发现合同中存在的问题。有的时候送审的人员都不知道给你这个合同让你审什么。后来我们制定了合同审查表,叫“合同审查意见申请表”,这个表让你说明送审合同的目的,你究竟让我审什么?这个合同产生的背景是什么?这里有哪些法律疑难问题需要我们法律部审查?过去有没有审过?有的人拿过来第二次审了,但没有告诉,我重审一遍。说我们法律部门解决的问题,合规方面要不要解决,是不是合规?我觉得一项法律合同首先要合规,业务不合规,谈不上跟人家签合同。这些问题都是一个配合的问题,都是一个信息交流的问题。
还有一个内容是“监督评审”,现在咱们国家已经开始重视这个问题,就是干什么事都注意监督,但是这里我所说的监督评审是评价内部控制持续操作质量的一个过程。要评价内部控制到底在你们这个部门是有效的,还是无效的?这个监督评审是经营管理部门对内部控制的管理监督和稽核监察部门对内部控制再监督、再评价的总称。也就是说监督不仅仅是稽核、监察部门的职责,更重要的是经营管理部门自身的职责。这个概念不是一下子能认识到。过去一提到监督,肯定是监察部、稽核部它们的事,为什么我们法律与合规部要成立一个合规处?从管理的角度制定了许许多多的制度和规定执行了没有?执行的情况怎么样?我们不能不管。我相信工、农、中、建都有法律部,都有这个职责,就是管规章制度的制定和监督。我们管到这个层面是不是就够了?实践证明不够,咱们银行为什么出一大堆问题?为什么出那么多案子?哪一个流程没有规章制度?我们现在凡是发行一个新的业务,新的产品,首先是规章制度,规章制度不出台,流程不出台,不明确,这项业务就不能开展。问题就出在新的业务上。一方面规章制度跟不上需要,一方面有章不循,不执行规章制度,让稽核监察去查查,必须有人时常监督规章制度是否执行,执行有力还是不力,全面不全面,不执行、违规经营,造成的损失和问题谁来负责,如何追究责任,如何进行处罚,这一点非常重要,没有这项工作,规章制度就是形同虚设。为什么现在出现大量问题?因为你不去监督管理它,总是想着要实现利润目标,为了“短、平、快”,经常把一些规矩打破,打破这些规矩的结果产生风险。可是不注意这些风险的管理,出了问题以后,就让整个银行蒙受巨大的损失。
所以,四大目标是纵向的列,五组成部分是横向的排,和内部控制相关的工作单元或活动是第三维空间。我们随意抽出任何一个单位,我把某一列抽出来都有五大组成部分,我把横排抽出来,都和四大目标密切联系。这是一种思维方式,是我们抓内控的一种原理性的认识。
当然,巴塞尔委员会还讲要监管当局对内部控制系统进行评价。2002年央行到我们行全面检查内部控制,我们的被查部门手忙脚乱,要报这么多材料,好多东西不知道,内部控制搞什么,怎么报告,做了各种准备,迎接人民银行来检查内控。过去不够重视内部控制,非要人民银行来查才进一步重视。为什么监管当局要着重对内控进行检查和评价?不要以为商业银行都有内控的自觉性,它再有自觉性,也没有高到足够的程度。人民银行要定期不定期地查。我说的是一个挺重要的理论问题。我有一个导师是伦敦经济学院经济系的主任,他写过一篇文章叫《为什么银行需要一个中央银行》,他从信息论的角度提出商业银行有必要接受监督这个问题。巴塞尔委员会关于内部控制的第13条原则就是讲商业银行需要中央银行监督,不仅监督表内业务,甚至监督表外业务,还有新业务。凡是监管者确定某银行的内部控制系统不能充分或有效地针对银行的具体风险,监管者应当采取适当的行动。巴塞尔委员会说话是有分量的,“适当的行动”,什么行动?我们纽约分行曾经险些被停牌,让你注意你已经降到多少级,使你提高交融资成本。再不小心,我停止你经营。现在外国银行到中国来,最怕的就是中央银行,银监会也好,中央银行也好,国外有深刻体会,汇丰银行这些大银行对当地中央银行非常畏惧,中国的商业银行对人民银行的畏惧程度远远不如外国银行对人家的中央银行的畏惧性,为什么?这里反映了双方的问题,一方面商业银行自律性不强,另一方面银监会和人民银行对商业银行的监督不够得力,商业银行被罚款不够多。我们在美国一项罚数达二千万美元,这算少的。看看安然公司倒闭了以后,一些大审计公司被罚到最后倒闭。安德信是国际上最大的审计公司,就为安然事件倒闭了。人民银行实际上也对内部控制提出很多要求。我记得当时人民银行对每项业务都提出了要求,我看了看银监会对商业银行内部控制的检查评价体系基本上采纳了COSO和巴塞尔委员会提出的要求,特别强调一种内部控制的文化,这是巴塞尔委员会和COSO提出来的,这种文化体现在银行的评价制度、职责分离的要求、横向与纵向相互监督制约的机制、报告关系、轮换制和强制休假制度、授权体系,还有对分支机构的管理和控制、账目核对、监控制度、会计制度、应急制度、独立的法律合规的要求,等等。
有个问题值得探讨:合规部门如何要具备它的独立性?我在稽核部门也干过,稽核部门也存在独立性和垂直性,稽核部门比较难做,我不知道其他银行是不是这样,我在稽核部门深有体会。银行系统那些一线部门的同事总认为自己是创造利润的主要部门,在行长面前汇报工作的时候都是一派理直气壮的样子,要是轮到监督部门和管理部门说话的时候,似乎底气不那么足。外国大银行稽核部门说到哪个部门去查你就去查。而我们还要发个通知,告诉你我两个星期或者一个月之后,要到你那里去检查什么。人家那儿有时根本不告诉你,来了把你抽屉打开,你乖乖地站在那儿看着在那儿查。我在中国银行法规部管合规,我问过人家汇丰银行、渣打银行的同行,我问他们合规权威如何,他们说都很怕合规官。因为很多重大的问题要合规官审批,批不批就在他一个签字而这些审批都是独立进行的。我经常遇到这种情况,现在强调法律与合规的重要性,动不动把你叫去开会,什么文来了让你签字。他找你签,像是尊重你又像不是尊重你,有的时候实际上想让你认可,说是还是不是,你要说是,我做了以后别找我碴儿。在我们部门工作的同志大都年轻,工作忙了,哪审得了这么多,一看既然他们都定了,我无异议,回复给人家。我心里打鼓,我最怕看到哪个经办或处长拿给我看三个字“无异议”,现在有什么事能让你一点异议没有?现在没有那么干净的事,拿到你这个法律部门审查的时候,可能是想绕一绕、拐一拐,你说无异议,那就干吧,因为无异议说明什么问题都不该有。我跟协议处说不要轻言无异议,一提无异议,就说明我这个部门对这个问题没意见,万一出个问题,吃不了兜着走。我感觉应该使银行的经营部门尊重管理部门,也要让银行的经营管理部门尊重监督人员,这是非常重要的。如果不尊重,说明这个银行内部控制有问题,起码在控制文化上有问题,他反感控制,不让你控制,想让你变着法不控制,但是他又让你签字。银行今后应该采取措施,使这些管理具有权威性、监督有权威性、稽核有权威性、法律与合规部门有权威性。现在不是都讲钱吗?考核要有正确的考核体系。
强调内控的时候也应该注意:内部控制不是万能的,内控不可能把一个本质上很坏的经营管理者变好,不可能左右政府的一些政策和计划的改变,不可能对外部竞争对手的行为和客观经济条件的变化都把握好,它有局限性。再有财务报表可靠不可靠,不是说你内控绝对能够保证的,假如支行的行长指挥着支行的会计去假造财务报表,会是什么问题?新会计法有一大修改,就是会计报表第一责任人是企业负责人,我觉得这条非常好,过去一说某个企业造了假账是会计造的,其实回过头来一检查,能有几个会计自己造假,是他的领导,他们那些厂长、党委书记让他造假,他是被迫的。
我们应该提倡依法合规经营,千万不要违规,或者明知道这个不合法,也不向法律部门说明需要针对它进行审查,想蒙混过关,想得到法律部门的认可,得到银行老总的签字,求得一时的解脱,这要不得。
国际上内部控制的发展的趋势给了我们一些启示。
一是强调高级管理层的控制责任。首先董事会要充分理解银行的主要风险。党委,高级管理层的内控基调是不是对?看交响乐团,在准备演出的时候先请钢琴师定一下音?这就是让全团有一个基调,控制也要有一个基调。这个基调要由多级管理层确定。
二是要大力提倡和营造一种控制文化。上述的一些现象实际上就是控制文化上的问题。一方面,董事会和高级管理层要负责明确各级员工在道德上和完整性方面的高标准,人格要完整,要讲职业道德,并且在机构中要建立一种文化,向各级的人员强调和说明内部控制的重要性、合规的重要性、法律的重要性。我在工作中深感在国有商业银行的员工中,特别是在高级管理人员中,很有必要提倡道德修养,加强职业道德建设。在国有银行商业化的过程中,这方面有待改进。有的高级管理者不是把银行的利益放在第一位,而是带头把个人的权利和利益放在第一位。而银行里用人的时候不够重视他(她)们这方面的表现,不够关注群众这方面的反映,结果是在基层,甚至在总行高管人员中,不断发生重大案件。另一方面,银行所有的员工都应在内控的程序中间发挥作用,控制不只是高管人员的事,而是人人有份。上至总行,下至分理处、储蓄所,每个岗位上的人都承担特定的控制责任。有效的内部控制系统的一项实质性内容就是建立强有力的控制文化,没有这种控制文化,法律工作也不好搞,合规工作也不好搞,监督机构会形同虚设。
还有四点我要强调指出:
第一是正确理解内控和管理的关系,进一步认识内控在管理活动中的重要意义,要尽快地由领导决策层带动,动员各级员工营造良好的控制文化,按照内控的四大目标和五大组成部分,实行对经营管理中间各种风险的逐级控制,以内控为有力武器,提高经营管理水平。
第二是正确理解内控和风险管理的关系,进一步确立内控在风险管理体系中的重要地位,防止以风险评估代替内部控制。要按照上面介绍的内控原则和系统框架尽快建立起适合中国国情的内控组织结构,例如建立内部控制委员会和内部审计委员会,来加强对风险的整体研究、评估和管理控制。
第三是正确理解内控和内部审计的关系,我曾经专门发表了一篇论文,叫“正确处理内控与稽核的关系”。内控首先不是稽核监督部门的责任,而是业务的经营管理部门的工作;内控主要不是稽核监督部门的工作,而主要是经营管理部门的工作;内控的检查评价主要不是稽核监督部门的责任,而主要是经营管理部门的责任;不过,稽核监督部门对内控负有再监督、再评价的重要的职责。明确上面说的四个要点,并且在监督评审当中注意保持稽核与合规系统的独立性,加强对各种风险的识别和评估,建立和督促对控制缺陷的纠正。不要发现了一些问题,稽核报告写了,合规的报告指出了,让他纠正,下回还是出现那些问题,还是没纠正。这就表明内控失效。
第四就是内部控制应该有一套有效方法,要搞内部控制,要控制风险,必须有一套完整的系统性的操作方法。现在多数银行在做这项工作的时候,都做得比较传统,一些行领导忙于业务发展,满足于“头痛医头,脚痛医脚”,怕内控影响发展。实际上已经有一套先进的方法提了出来,我在我的那本书《公司治理与银行控制》(中国金融出版社2001年版)里介绍了一整套的方法,而且对信贷、项目评审、信贷资产的五级分类和银行行长选配等一些方面都做了一些理论联系实际的探讨。我希望总行带头规范地运用这套好方法。
(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。
银行风险的识别、评估与内部控制
杨海群
(接 I)
二、银行内部控制的足迹
下面我把我们在中国银行抓内部控制的工作体会粗略介绍一下。我认为我们行大概经过了这么几个阶段。第一个阶段是在20世纪90年代中期以前,只有少数的领导人员和少数的稽核人员知道内部控制的概念,概念也不准确,全行控制的意识是比较薄弱的,案件不断发生。资产质量也是越来越差。在那个阶段里,银行的问题比改革以前要多。计划经济的时候,银行并没有多少案件,不像今天这样,动不动出现一个非常大的案件,每一次都要刷新记录,过去没有。就是改革之后,市场的约束没上来,计划的约束又丢了、失控了,所以资产质量就下降。
第二个阶段是推进内部控制的阶段。那是1997年5月份人民银行发布了“商业银行内部控制的指导原则”。我们总行要求制定中国银行的内部控制原则,我们抓了一个授权管理的制度规定,在人民银行的授权管理规定基础上做的。我们在1998年正式公布了内部控制原则,而且我们在那个时候就已经在中国银行正式文件中间明确了稽核要以COSO理论框架来检查和评价内控工作。对监察报送有关材料进行分析发现,我们行发生的案件绝大部分在基层。涉案人员绝大部分是基层的领导干部,大部分涉案人员又都是20多岁至30多岁的年轻人。后来我们总稽核室对总行零售业务首次进行了内控稽核检查。
第三个阶段,2000年前后我们进入一个理论探索的阶段。2000年我们组织总行两个业务部门和两个管理部门编写出版了一本书叫《中国银行信贷内控指引(贷款分册)》。这里讲一件小事,1998年的时候总行有个部门报告说内控到底由谁抓,前行长王雪冰在报告上大笔一挥:“内控只是稽核部门的工作。”我们一看不对了,我在人民银行的《稽核监督研究》上发表一篇文章《正确认识内控与稽核的关系》,实际上没点名地针对这个批示,纠正错误观点。后来我们按照人民银行的部署成立了一个信贷清分办公室,当时总行调我去同一些同事领导贷款的五级分类,我运用了COSO的内部控制理论,组织清分办公室的同志们共同编写了一套《中国银行贷款资产分类指南》,后来金融出版社出版了。
2001年中国金融出版社出版了我写的专著《公司治理与内部控制》,我首次在内部控制原理基础上提出了一套内控的比较完整的操作体系,提出了内控、风险管理和公司治理三者之间到底是什么关系。王雪冰任职期间,行里的案子特别多,也使后来的领导感觉到加强内部控制的重要性。中行的总行各个部门和分行逐步完善制度,加强内控,提了很多很好的建议,其中一个就是将法律事务部改为法律与合规部。
第四个阶段,我们进入了内控强化阶段。因为2002年5月,人民银行发布了《商业银行的内部控制指引》,进一步将内控提到一个新的高度,人民银行开展对中行各个部门的内部控制全面检查。总行法律与合规部根据行领导要求要研究内部控制,解决坏人做坏事想干干不成的问题。由于内部控制不好,到基层检查工作的时候,会感到震惊。干得成坏事很自然,而干不成才奇怪?只要想干肯定干的成,干不成不奇怪,为什么呢?因为在一些环节上几乎没控制。你说钱箱的钥匙他拿着,库的钥匙他拿着,库里有登记簿由他登记,这样的情况他能不贪污?给他条件让他去偷,最后案子出来一检查,保卫工作的那些规定不落实。后来行领导组织了总经理级以上的干部,召开了研究会,研讨我们行强化内控建设的问题,党委中心组2004年专门组织扩大会议,叫外部律师事务所讲内控,怎么加强内部控制,让我来宣讲内部控制,又制定“中国银行进一步完善总行部门和一级机构以上领导干部教育监督的若干措施”,从高层去解决这个问题。
我们深深体会到合规工作是非常重要的。可是合规工作不是纯法律问题,实际上是银行业务的经营管理方面的问题,是一个要熟悉银行业务管理规定的问题,这就给法律部门在职能上增加了新的内容,就是不能只是从法律上审查问题。另外,合规工作人员不能只是学法律的人,银行建立了一个规矩,新员工进了银行以后,先到业务部门实习一年。合同审查的一个大问题就是应知道某个地方该不该这么做,但是如果没经验,不懂业务,就无法建议这个合同应该怎么改。这项业务这么做不行,但是怎么做更好,他会很为难。搞合规的人,应该具备什么条件呢?起码要有三五年以上银行业务工作经验。就是说搞合规的人要懂得银行业务,而且今后大量的工作涉及合规性质的问题,法律性质的工作需要把关,也很重要,但是诉讼的案件随着银行业的规范应当逐步减少下降,我们做了那么多年公司治理,做了那么多银行改革,这么强调监管,案件不应该不断上升,肯定今后的诉讼案会越来越少,非诉讼这块工作会越来越重要。当然不可能在短时间内不搞诉讼,也可以说长久下去法律方面的审查工作都是需要的、都是重要的、都是不能削弱的,但是合规会成为重点性的工作。我们是通过自己的教训意识到这点的。
在这个阶段里,由于认识上的存在问题,中国银行在抓内控工作中还存在时紧时松的现象,在忙于股份制改革时,内部控制有所松滞,产生许多漏洞,以致在以后发生了一系列大案(例如我们黑龙江分行辖内发生的震惊世界的高山事件),沉痛的教训是值得铭记的!(待续)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。
银行风险的识别、评估与内部控制
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。
银行风险的识别、评估与内部控制
杨海群
(接 II)
三、关于银行内部控制的探讨
我想探讨三个问题:
1要深刻认识银行与非银行的本质区别。从理论上讲,企业和银行是存在重大区别的。银行是个什么单位,它不是一般企业,现在改革的时候总强调银行企业化,从银行自负盈亏、自我约束角度提这个对,但是不全面。银行不是一般性的企业,要不然干嘛不把企业叫银行,干嘛不把银行叫工厂?它们之间存在重要的区别。
为什么经济中会有银行?因为银行是比较好的出资者和控制者。银行是人类社会文明发展到一定程度,生产力和经济发展到一定程度的产物。银行这个词叫Bank,原意是过去意大利文里的“板凳”,就是意大利的商贸发达了,慢慢一些商船出去了,都得办理结算和汇兑业务,有些人坐在板凳上专门办理这种业务,这就是银行的雏形。银行慢慢发展起来了,有了办公室,又有了楼。但是为什么银行业发展这么迅速,而且在全世界哪个国家都离不开银行,为什么?就是因为银行是很好的出资者,能够融通资金,用很好的方式来支持经济活动,同时在融资过程中实施必要的经济控制。大家都知道贷款有合同,合同是什么意思?合同的本质是银行对被贷款方、对借款人的控制。在什么时候必须还款,必须以多高的利息还款,不得挪用,等等,都订到合同里。合同一经双方签字认可,就具有了法律效力。银行一旦发现你挪用,依据合同有权追回贷款,而且一旦出现重大问题的时候,可以到法院打官司。在西方,被银行起诉了的借款人一般都会输,被判罚。这就反映了银行这个机构特别。所以在国外没有哪个个人或公司轻易地跟银行打官司、闹别扭。可见银行具有规范经济,控制企业的特殊职能。银行是市场纪律的主要实施者之一。
某个人要借给另一个人钱一般是难以控制借方的,他说还我,只能凭咱俩感情,凭我对你的认识。但是一拖就是多少年不还。银行把钱借给你可就不同了,因为双方之间订了合同,你必须按时还本付息,否则就留下不良记录,造成再借就难。大家可能知道有一个美国的经济学家 Stiglitz,他前两年获得诺贝尔奖,他有一句著名的话,叫“银行最鲜明的特点是有能力进行控制”。
我们办这么多商业银行好不好?假如商业银行的数量达到一定程度,让它们自相厮杀,能不能发挥银行控制经济的能力?西方理论界一直都特别强调,不要片面地促进银行之间的竞争,为什么?因为他们理解银行的本质。假若银行控制企业,控制经济,自己互相厮杀,我降多少利率,你降利率更多,咱俩竞相降价,最后是什么?让贷款的企业在中间叫板,这让银行怎么控制客户和控制经济?还是让客户控制银行?是让借款的控制贷款的,还是贷款的控制借款的?这个问题要解决。实际上我们讲的银行的控制与被控制是这么一个概念,商业银行、中央银行、企业这三种主体参与控制体系中来。这里有三层的控制职能:第一层是商业银行被控制、被监管,中央银行控制和监管商业银行。第二层是我们银行要自我控制,你自己要控制好自己,不要在去控制经济之前,你自己都失控了,你没法控制你的客户了。第三层是商业银行要控制企业。这些企业要按照银行的贷款规定去投资、去盈利、去回报,假如这个企业没有信誉,我不贷给你。不是像以前那样,地方政府逼迫银行去贷款,那很可能要不回钱来。现在大部分不良资产就是在1992年以后堆积起来了,那个时候是胆子要大一点,这大一点到后来是欲发不可收拾,我看到国内通货膨胀向两位数攀登,曾从英国写信给时任朱镕基总理,建议强化银行的信贷控制。中央肯定及时分析了经济形势的发展。大约半年后,国务院不得不开始实行政策控制,到那之后就好转。
银行的内部控制还有更深一层的含义。实际上我们的下级机构要接受总行的控制,总行也有一个自我控制的问题,因为总行也办营业部,总行也搞项目、也搞营销,总行也会出现问题。一级分行也有自我控制,同时一级分行还有一个控制二级分行的控制,控制辖内机构的问题。各级银行都有控制自己所管辖企业的问题,控制贷款户的问题。现在国内的信贷形势有不好的地方,就是银行过度竞争造成无法进行控制。比如现在是银行都去营销少数较好的客户,工行去说我的条件怎么怎么好,农行接着说我的条件怎么好,中行说我的对外网络好,我能提供什么服务,建行说我的投资额度很大。使这些企业挑花眼了。有的业务现在已经到了赔本的程度。我们中国银行的国际结算业务应该是好的,现在有些银行跟我们竞争,一竞争是零费率,目的要把我们的客户抢过去。我们有一个二级分行在东南沿海地区的城市,另一家银行把这个城市90%的国际结算业务全拉到这个银行,原因是他不惜血本,而且总行给了他这个任务。我认为这一种环境违背银行的本质职能,我说的不是这家银行,我说的是这种环境,使银行不得不屈从于借款人的苛刻条件,甚至为了使这个借款人不离开我的保留范围,不使我的市场占有率下降而丧失公平性市场原则。我还举个例子,我曾经在一个省行主管过公司和结算业务。财政搞统一支付,各家银行就到省里来营销,由省财政局招标确定财政支付系统中心设在哪家银行,大家竞标。虽然人民银行有规定不允许任何商业银行变相降低利率给客户好处,但是那个时候不得不给好处,因为竞标,竞标的时候就看你是让我财政局低租金租用你银行的房子还是免费让我租用,有银行空出半层楼供财政建立这个系统,使用的电脑由这家行来提供,工行、农行、建行拼命地设计“我来提供”,最后财政就问了,你给我多少钱的设备费,我们中行的同志回去连夜考虑,最后咬牙说出300多万元,可另一家银行竞标的时候提出1000多万元。后来我们也知道,没有真出1000万元,但是背后已经谈好了。你说这种氛围能实现我说的银行控制论吗?如果经济不由银行这个最有鲜明的特征的机构来控制的话,这个经济能办好吗?你的企业能听话吗?经济活动参与者还服从市场纪律吗?现在还要鼓励办多开银行,私人银行,俄罗斯改革以后,两三千家私人银行,你现在问问倒闭了多少。匈牙利我去考察过,也是改革以后,他们建立私有化的银行,不良资产不断上升,为什么?那么容易就干银行?中、农、工、建银行比拼,拼来拼去最后弹尽粮绝。最近我看一个评级公司在评我国一些股份制小银行,最后除了招商银行稍微好一点以外,其他银行的级别都不高。我建议大家重温一下列宁的《帝国主义论》,想一想为什么工业化产生金融寡头。其实衡量银行体系的好坏不在它有多大数目和多元化到什么程度,而在它对经济的控制和服务功能发挥得如何。
市场风险有没有可能造成银行倒闭?有人问咱们中国的银行还能倒闭吗?都是国有的,只要有共产党领导,再高的通货膨胀,再低的资本金都没有关系,一样不会倒闭。这次中央为什么决策让中行和建行上市,有些搞改革的同志一个劲地宣传银行上市以后,怎么怎么好,我却从内控角度说银行上市以后,怎么怎么有风险。我不反对银行股份化和上市,我在英国出版的著作中还介绍过一些理论家关于转轨经济中股份公司如何发挥作用的论述。但我也不认为这是唯一的解决方式,更不能认为只要体制更新了,机制一定会随之好起来。一些热衷于体制改革的同志不可否认有其进取心。但值得注意的是,体制层面上的变化虽然容易显现业绩,但内部机制的转变和完善是更实质性的,来不得半点的短期行为。世界上银行的治理结构和运作方式千差万别,很难把不同的经验一般化,很难说哪种结构和方式照搬过来就一定适合中国的银行。体制改革也不是万能的。西方市场中倒闭的股份制上市银行并不少。一家银行倒闭后还会掀起倒闭狂潮,危及社会。现在提议银行要改革,都在考虑怎么股份化,不外乎所有制要多元化等。我们银行如果要上市,一个很重要的问题就是想让战略投资者进来,但是投资者要进来之前一定会先看咱们的管理和控制水平。水平太低别人不敢买你的股票,或者说还没下决心买你的股票。西方人看得很仔细,我在行里主管反洗钱,战略投资者为这方面的事调查我们行好几次,拿出一系列问题问我们。所有制的实质在于你的控制机制,你过去是国家控制,国家控制从某个角度可能有坏处。国家控制我,所有利润都上交,多发点奖金发不了。你可能不承认,我们中行员工的薪水曾长期处在较低水平。听行外有人说:中行的服务质量差,追究其中一个原因就是奖金少。站在中行的员工角度上,会觉得不如上市,上市以后股份制,财政部别卡我了,灵活性就大一些了。但是如果财政部不控制,总有第三只手要控制,不可能没人控制,当第三只手控制你的时候,可能比财政部还厉害。光想着财政部控制那么严,没想到财政部还是你母亲,妈有的时候看你哭还掉眼泪松松手,但是第三只手控制的时候非常残酷。
2控制环境的建设有持高级管理层的支持。在控制环境方面涉及一些问题值得关注,管理层是不是明确维护内部的完整性,这是非常重要的,特别是高级管理层,比如说总行的领导,一级分行的行长这些负责人,他们是不是明确维护内部控制系统?包括规章制度的建设,组织结构这方面的合理性,都非常重要。还要看这个银行有没有积极的控制管理,是不是在整个组织中间具有控制觉悟或者自觉的控制态度?行长们对内控的基调是不是积极?单位里的员工其能力和他们的责任是不是相匹配?这里就涉及单位的人事政策,应该审理人事部门人事的管理程序和管理规定。管理层的经营风格、授权、责任、组织和业务发展的方式是不是适当?法律部门难以承担授权管理这个职责,但是有一个问题值得探讨,就是授权管理的合规性是需要有人控制的,我们目前还没有控制到,我们在内控上是有缺陷的。
行长也好,董事会也好,稽核委员会也好,是不是对内部控制给予足够的重视了?巴塞尔委员会是这样说的,董事会应该负责批准并且定期审查整个经营战略和银行重大政策,理解银行经营的主要风险,确定这些风险的可接受的水平,保证高级管理层采取必要的步骤,识别、衡量、评审和控制风险。银行的组织结构是由董事会批准的,高级管理层也要不断评审内控系统的有效性,在确保建立和维护充分和有效的内控系统方面,董事会富有最终的责任。我们最近也在讨论一个问题,我们行要成立一个主管内控的一个处室,大家发现内控没有一定的组织保证不行,就要成立内控处。这个内控处设在哪儿?就是一个极为头疼的问题。后来还是鉴于风险管理部的权威性比较高,把它放在风险管理部。但是风险管理和风险管理部并非一回事,风险管理是个很宽泛的概念,而银行设风险管理部主要还是为了识别和评估信用方面的风险而制定政策并把关。风险管理部并不是管内部控制这方面的。后来实践也证明,风险管理部根本没有精力管这部分,项目的评审、客户的评级、政策的制定、行业分析都已经让他们负担很重了。这个内控处挂靠在风险管理部,它们草拟了一个文件,其中提到负责内部控制的是风险管理委员会。后来拿到我们部提意见,我给他提了意见,我说风险管理委员会不是内控的最终责任承担者,最终的责任承担者是董事会,与其他行不一样,我们行有过董事会,这个董事会与20世纪90年代以前的人大常委会差不多,它并不是主要责任人,是一些人退休后,安排当一个董事,不像国外的董事真是代表股东的权益,有决策权。
巴塞尔委员会对高级管理层也提出了建议,就是高级管理层要维护组织结构,确定并执行适当的内控政策。例如国外都有合规政策,是法律与合规部或者合规部负责的,我研究这个问题,究竟合规政策怎么制定?实际上很重要的就是认识内部控制。合规是依法合规,依法合规是前面介绍的内控的第四大目标,而合规和内控是什么关系。内控里一个重要组成部分是“控制活动”,合规是制定规章制度以后,看你是不是遵循,这应是最主要的控制活动。我们银行出现的案件都是违规才出现的,如果100%按照规定去做,怎么会出案件?所以内部控制重点的一个问题就是抓合规性的控制,合规性的控制就是控制活动的主要的内容,所以你说内控和合规是什么关系?合规是内部控制的重要内容。总行的规章制度非常多,对于下面的人是不是可操作?总行不管;制定的规章制度互相矛盾,总行也不管。甚至制定出的规章制度还不全面,没有真正的防范风险,就下达了,分行接了一种规章制度就跟接一个文一样不执行,不合规成了一种文化。这个是高级管理层要管的,必须维护良好的控制文化。
3银行当前要特别控制的几种风险值得研究。(1)道德风险。银行要特别加强银行的道德建设,我们发现这是控制出现问题,不合规的一个重要原因。有些基层出问题,就是因为选聘的人不讲职业道德,同时出现很多给银行干活实际上为自己干的情况。先是间接为自己干,然后就直接为自己干。有一家支行的女行长最后查出两亿多元的不良资产,你说怎么整的,她有多大的权限?后来发现她丈夫和她儿子开公司,钱都跑到他们家,她当支行行长当然好了,这也是一种“公司治理”。据说她家里宝马车有两三辆,稽核去查的时候,女支行行长珠光宝气。当时有个稽核人员建议马上双规起来,谁想没等查清人家跑了,到现在也没找到。那是几年前的事了。这说明怎么强调我们员工的职业道德教育都不过分。我们现在使用干部的时候不太关注道德风险,喜欢用和自己一致的“顺手”的人,不善于从干部所管单位的群众中了解干部的道德状况,也不注意进行道德教育,甚至压制群众去服从某些所谓“有能力”甚至用权术的干部。这是银行不断产生高管人员案件的重要根源。选人其实选文化,用错了一个人就提倡了一种错误的文化,会影响一大片。在座的处级干部,你们管底下的人员好管吗?不好管。为什么?那个时代的奋斗精神、敬业精神、去掉个人私心杂念来维护集体的精神和银行的利益高于一切的精神,现在都淡漠了,所以怎么能够不出失控的问题?不是说改革了以后,这些问题就自然消失了。因此普遍开展职业道德教育十分必要。巴塞尔委员会指出:有问题银行的案例中经常看到内部失控,其中一大问题就是缺乏足够的管理监督和负责评估的能力,或者我们叫尽职,就是没有能够在银行中发展一种很强的控制文化,重大损失的例子当中,无一例外地反映出银行控制中管理疏忽和松懈,董事会和高级管理层的领导督促不力或者不充分,通过职务和责任的安排,看出管理者缺乏清晰的评估能力,有些案例也反映出管理层缺乏适当的激励机制,去对经营层进行强有力的监督,业务经营和管理人员没有保持高水平的控制觉悟。这是巴塞尔委员会提出来,是在总结国际上许多倒闭的银行和银行中发现重大案件中总结出来的。
(2)人事风险是银行值得高度关注的风险。银行首要的风险是人事风险。首先是我国银行高级管理层的风险。我在2001年写过一篇获奖论文,题为“加强选配评审,防止领导风险”。在论证一番之后我得出结论:在银行的各种风险中间,人事风险最大;在人事风险当中,管理层的风险最大;在管理层的风险中,领导班子的风险最大;在领导班子的风险当中,“一把手”的风险最大。这并不是在讲“一把手”都不好。我前面讲过什么是风险:风险是可能妨碍公司目标实现的因素。显然公司总经理和银行董事长及行长的决策行动对目标实现的影响最大。好的“一把手”能够承认这一点,从而认真肩负起全面的领导责任,确保副手各尽其职,并主动接受副手监督。确实有些人反其道而行之,形成了风险,甚至招致了巨大损失。
这里不妨提一下银行总行这些老总们的风险。我们总行的领导都是从部门总经理或者一级分行的行长提升上来的,这些总经理是不是总行乃至我国银行界最优秀的呢?对总经理室成员有没有授权制度呢?我应聘在外资银行当管理人员的时候,首先接到的就是我的授权书,在这个授权书里,明确规定我向谁报告工作。我到中国银行这么多年,没有任何人给我授权,到目前为止,我做合规工作,没有任何人给我授权,我是什么样的权限,明确的没有,不仅我没有,其他老总大部分也没有,甚至“一把手”也没有,只有口头授权,非正式的授权,而且这种授权很难说在什么情况下越权,在什么情况下有权自己独立处理事务,那就因部门而异,因不同部门的“一把手”不同,他的管理风格不同而不同。部门总经理室没有统一的符合民主集中制的工作制度。在有些部门重大事项由“一把手”一个人或由他找合自己意的人简单决定,只是为了避嫌才有时走个开会的形式。如果银行里放任这种机制,如何教育和监督部门总经理?如何防止“一把手”出现道德问题?
另外,在我们的员工中有一些有特殊背景的员工,对他们应不应该有特殊政策?现在什么地方最好,人们就把子女送进什么地方。“文革”期间走后门最好的去处是参军,谁要是家里有关系谁参军。后来70年代是谁要有关系进好工厂。后来改革开放,国营企业纷纷倒闭,现在人们认为最可靠的是进银行,所以许多有地位的人士都把子女送到银行来。银行好不好管?现在一些领导感觉挺难管的。什么叫有特殊背景?很难定义。当年毛泽东三令五申不准高干子弟搞特殊化。人事政策同银行的企业文化有关系,我们现在将人事部改叫人力资源部,实际上就是人力资源市场化管理,关系学和人力资源市场化管理是矛盾的。西方有几个学者发表了一篇论文讲中国的关系学,他们说西方是不讲关系的市场关系,中国是东方的那种以关系学为主导的市场关系,他们说这两个都有一定的缺陷,最后的结论就是今后是不是西方能增加一点人情色彩,东方是不是减少点人情色彩。在管理人方面还是应该一视同仁。我个人觉得国有商业银行内控的问题,首先是人的问题,不要搞拉拉扯扯和吹吹拍拍抬轿子,银行尤其不能无原则地允许拉帮结派,要半军事化管理。各级员工严守纪律,不分亲疏,不应允许下级绕过直接上级去借助关系谋取个人便利。我们总行干部要从严要求,上得顺理成章,下得顺其自然。当然让干部上或下都应该有充分的理由,而且把理由向当事人实事求是地讲清楚,防止“暗箱操作”,防止利用“能上能下”去拉帮结派或打击报复,防止以次充好。武汉市搞的人事改革试点,解决干部能下的问题要靠机制创新,解决三个问题:标准问题、渠道问题、保障问题。大量裁员中一个困难就是保障问题,要解决干部下了以后怎么办的问题,不能说用人家的时候用人家,等下来的时候不管了。
(3)制度风险不容忽视。银行是一个需要高度关注制度规定的行业。从表面看,银行的规章制度堆积如山,似乎已经很完善了。其实不然。形势的发展、科技的进步、新产品的不断涌现,呼吁银行进一步加强规章制度的建设。管理的实质在于制定高质量的相互协调一致的规章制度,并且推动这些规制有效地执行和落实。我们行在规章制度建设和管理中间,发现有些问题,规章制度制定的规范机制缺位,各级行都有权制定规章制度,没有一个程序来保证规章制度制定的质量。这样质量就有问题了。一方面主管部门制定规章制度的时候没有规划,有随意性(当然随意性不是到处都非常大),缺乏对规章制度的论证,征求意见的范围程序等也缺乏规定。另一方面在规章制度颁布并实施的时候,是不是需要测试?规章制度一经制定出来就要执行,还是先找几个支行做试点试行,要不要对规章制度进行事后评价?规章制度执行一两年,评价一下规章制度对不对,有没有缺陷,到底有没有可操作性,这是一个很重要的问题。总行一般接到人民银行和中央的规定就要落实中央的规定,制定一些规章制度。但把它们拿到分行、支行以后,人家看了很痛苦,为什么痛苦?因为他们没法操作,这就是有问题。后评价是一种机制,能否导致起动相应的规章制度修改或者废止的程序。评价完了以后,应当明确这个规章制度行不行、要不要废止,谁来说废止的话。
还有就是规章制度欠缺合法合规性的程序保证,因为没有强制性的程序,致使规章制度和外部法律法规相冲突,出现不一致的现象。现在我们的规章制度要送审法律与合规部,送我这儿的规章制度中一大审查内容就是它合不合法,合不合人民银行、中国政府的政策和规定。如果没有一个程序,有些和人民银行的规定相冲突,也导致不可操作。
还有一个问题是规章制度种类纷杂,缺乏统一规范。我们行过去的规章制度有24种,大量的通知、批复,函、附件等都构成规章制度,名称缺乏统一规范,也导致规章制度命名的随意性。什么叫管理规定,什么叫实施细则,什么叫做制度,出现相似内容运用不同的规章制度加以规范的情形。加上没有对以上不同名称的规章制度进行有层次的规定和说明,不但使用者眼花缭乱,大大削弱了规章制度的严肃性、权威性和系统性。
规章制度的信息化管理滞后,使员工难以了解规章制度所覆盖的信息,总行发了个规章制度下来,在一级分行几位行长中间传阅,传阅到最后有的都找不着了,有的是推,已经到了需要向总行汇报情况的时候,其规章制度还没有下发到执行部门。进行规章制度培训也是很必要的。尤其在贯彻执行新规章制度的时候,人们对新的规定不熟悉,还没有建立新的执行机制,所以落实就大打折扣了。具体操作部门作为防范风险的第一道防火墙,需要及时掌握规制,总行的规章制度应当下发到使用者。我们经常发现下去检查工作的时候,包括稽核检查工作的时候,一问规章制度怎么落实的,他们连见都没见过。所以现在就实行无纸化的规章制度(电子化)。我们行现在一般的规章制度全部都是走电子系统,总经理在批规章制度的时候全在电子信箱里签字,这也是提高速度,不用打印了,会签的时候在总行不同部门老总中间按照授权签字。
国家应有“立法法”,银行也应该有。应制定银行的“立法法”,银行规章制度管理办法,来规范规章制度,通过严格合理的程序来设计和制定,使制定规章制度的程序规范、科学、连续、协调、统一、具有共享性,这个叫做法治和法制的统一。通过良好的程序设计,比如规定草案的规划,会签颁布,试行推广,检查和后评价,制定明确的程序来实行。另外,对规章制度的管理也要做一些相关的规定。
(4)还有一种风险叫组织结构风险。中国银行一直有董事会,但是这个董事会应该是什么职能,现在是党委书记、董事长、行长是一个人,今天看起来这种机制不对,行领导怎么进行分工和合作?总行的部门怎么划分职责?银行各个部门之间出现一种叫“扯皮文化”,有人称“免责文化”,大家都不愿意负这个责任,有责任的时候推诿。这里有文化问题,也有组织机构设置和职能界定问题。办文办事拖拉,肯定降低工作效率,导致损失。内部控制究竟需不需要有专门的机构来管理?需不需要从属于某个委员会?从属于哪个委员会?如何以控制文化来取代这种所谓的“扯皮文化”和“免责文化”?这些都是我们值得研究的。
(5)应该大力防范操作性风险。首先案件的风险控制需要认真研究。我不觉得控制风险就是防范案件,案件是失控的典型表现,但不是唯一表现。事要发展到出案子了,要让法院来管了,就太严重了!大量的失控不是案件,但是案件本身是失控的典型表现。因此不注重案件的分析和管理实际上是不对的,是我们白交学费。而且案件是一面明镜,能照出银行在控制上存在的问题,在法规上、在遵循上存在的问题。
我这儿也有一些案例,三防一保方面的案例,稽核方面的违规案例,我们确确实实有大量失控的例子。1996年有一个办事处的副主任,两个人共同策划,利用已经过期的存单采取不进账的手法截留一个公司的存款600万元,其中一部分作为利差返回公司,一部分作为该公司存款中介手续费。他把剩余的400多万元都划往了另一单位的营业部,给以其妻舅为法人代表注册成立的一个贸易发展公司,作验资款用,然后把其中200多万元划到上海两家公司,把100多万元归还储蓄户,剩下的100多万元划到合伙作案人的账上,用于经营。最后这个案子追回了200多万元,查扣了100多万元,有300多万元资金难以追回。工、农、建行都可能发生这类案子。我们最后把他开除公职,移送司法机关处理,有八名涉案人员和领导分别被警告和记大过处分,有一个人被辞退。我们总结教训的时候就有这么几条,一个是思想教育和素质培养上缺乏有效的方法和措施。这个人文化水平比较低,大概高中毕业,思想教育松懈在那个时期是很普遍的。另外我们对抓基层行网点机构的管理缺乏力度,对法规制度落实不到位,监督制约机制不够健全,这个案子反映出我们一系列失控的问题。在会计、储蓄、结算等业务环节空白存单和业务公章、个人名章等的保管方面都存在一些漏洞。规章制度形同虚设,违规违章操作比较严重,个别员工明知不对,仍按领导意思办理业务。知道不对,但是经办人照常去做。加上对内部管理缺乏监督、制约,形成了重大损失。
这个案例实际上从控制环境的角度看出这个分理处存在的问题。我前面介绍了内部控制理论,从那个理论出发,我们可以看到银行如果要想健全内控,防范风险,要想对内控和合规情况进行检查和评价,应该运用一套规范的方法。可以按照内控的五大组成部分,一个部分一个部分去进行检查评价,而且人民银行的内控指导原则已经给我们提出来应该怎么抓。
(待续)
银行风险的识别、评估与内部控制
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的图示和注释等因网络格式转换而未加。
银行风险的识别、评估与内部控制
Identification, Assessment and Internal Control of Bank Risks
杨海群
(上接 III)
四、仅供参考的政策建议
政策性建议之一,明确内部控制的评价标准。我们今后要健全内控,就要有标准,干什么事都要有标准。我在20世纪90年代就提出过四条原则性的标准。第一是要有现代内控理论做指导,这是一个理论体系,没有这个体系做指导,非要自己单搞一摊,像许多人写书,左抄右抄最后弄一本书,用上自己的名字,也不说明出处。我们的内控依据应当扎实可靠,要站在前人成果的基础上。第二是要形成完整的有机结合的整体。我前面给大家介绍的内控体系和风险管理体系,就是一种有机结合的完整体系。内控有四大目标和五大组成部分,加上组织机构这第三维空间,就是个有机整体。我们开展内控建设和管理,就应该从这个框架(framework)出发。第三是方法上的先进性和可操作性,就是实实在在地开展内部控制,制定一整套规范的方法去开展内控,这些方法也要能跟国际接轨,我的专著中介绍的那套方法是非常好的控制方法,是在总结国内外经验的基础上提出来的。第四是内控程序应当便于计算机化,你既然有高科技创造的PC和软件,就应能实行计算机化。
政策性建议之二,绩效考核要有合规性的目标和信息性的目标。内控有四个大目标,现在大多数银行主要提两个目标,特别是利润目标(效益目标),而没有把合规性、信息性目标提出来。美国一些公司的丑闻已经导致各国强调目标管理的全面性了,不是以利润目标让你得到奖金。针对安然事件,美国国会通过的一个索克斯法,这个法律里面规定,高级管理层通过虚报瞒报财务报表赢得的奖金,一旦发现,就让退回原有的奖金,这等于把合规性和信息性(财务报告可靠性)的目标作为绩效考核的标准。
政策性建议之三,建议银行把内部控制的职能从风险管理部的工作中分离出来,不知道工行是不是这样,我们曾经把它放在风险管理部,风险管理包含但不等同于内部控制,“风险管理部”同“风险管理”不是同一概念。我一直这样说明,它们的职能不同,风险管理部门实行自身的内控是应该的,但是由这个部门去协调指导全部的内部控制,就既可能干扰风险管理,又可能使内部控制落空。另外内部控制是全行各个部门的工作,当然我们最好有一个比较有权威的委员会来领导,由一个独立的部门具体管这个事。这里有一个正确处理风险管理和内部控制的关系问题,要理顺风险管理和内部控制的关系。
政策性建议之四,正确处理业务发展和管理控制的关系。现在应该大力提倡可持续的发展战略。所谓可持续的发展,联合国有关机构认为应当是现时的发展不给后续的发展造成困难,我们这代人的发展不能给后代的发展造成任何妨碍。银行也一样。你这任行长发放大批贷款,当时有效益,新一任行长接手时形成了一大笔烂账,就不是可持续发展。这点恐怕是商业银行普遍遇到的问题。要建立信息交流制度,定期召开管理部门和业务发展部门之间的沟通会,对业务的可持续发展进行定期的评审。一方面要强调业务发展部门依法合规经营,审慎办理各种项目,否则酌情追究责任。另一方面要研究制定管理控制部门和人员的责任追究制度,管理控制部门不是没有责任,现在业务发展部门有数字指标在那儿控制,没有完成什么指标,就得扣奖金,管理部门没有什么指标,怎么干的奖金都能发给你们。我以前也管过公司业务和结算业务,也深有体会。如果风险管理部审批一个项目拖拉怎么办?因种种原因不批准一个项目,风险管理部要不要承担风险?风险管理部大笔一挥这个项目不能干,你就不能干,至于说我们中行不办,农行接过来了,农行给办了,事后没风险,还获得了效益,还本付息很正常,追究不追究风险管理的责任?我曾经跟风险管理的同事讨论过这个问题,他们说那怎么追究,我在特定时期、特定情况下、特定政策下决定不批准这个项目,农行在他的环境里面批准了这个项目,你怎么能说我不对?这个问题有待于研究。业务发展与管理控制是一对矛盾,它们既对立又统一。只有正确处理,在矛盾中不断提高水平。最好两方面的人员,包括风险管理、法律合规和稽核监督人员,都应该制定相关的责任制,要界定清楚什么情况属于管理者失职或渎职。这样才能处理好所谓“踩油门”和“踩刹车”的关系。
政策性建议之五,为了加强对操作风险的防范,要研究风险怎么计量,国外都有一套理论模型,这套理论运用到我们中国银行界怎么运用?需要研究和建立我们的操作风险计量模型。另外,操作风险的激烈表现就是案件的发生。各级机构负责人员都要切实重视案件防范工作。加强基层管理和内控建设,落实规章制度,解决某些人想干干不成,干了早发现、早预警的问题。要根治私设小金库,银行更不能发生这个问题,小金库最终带来的后果是不好的。现在我们在查海外行,不让海外行设小金库。过去我们给海外行的工资比当地外资银行发的低,怎么解决呢?他们经总行批准设一种小金库,有时接待任务很重,也要有一点资金来源。但是我们发现设小金库带来的隐患很大,因此命令撤除小金库。另外要禁止职工炒卖外汇或者炒卖股票,我们行发生的大量案例都是属于规定了不许,但是还炒,炒输了怎么办?银行人员从银行掏钱比较容易,转转账,搬搬科目,动动电脑上的键盘,就能解决这个问题。我们要加大有关责任人的追究。
政策性建议之六,希望能够实施一套比较好的内部控制操作方法,讲了半天内控,最终要落到实处,要开展控制活动,因此,应当运用和不断完善规范的操作内控的方法。这与我们搞法律的也有关系。因为我们法规部内现在设了合规处,这种把合规职能放在法律部门的方式还有待观察和研究。我本人倾向把内控与合规以及反洗钱等方面的职能归属到一个独立的“内控合规部”。我跟合规处同事们提出,如何通过一套完整的、比较先进的操作方法,能够让人们合规。这里要有一套评价体系,要根据我前面讲的内容来进行评价。前面讲的我那本书里有这个图,图示的操作还是挺不容易的,要分几个阶段,这个流程包含学习理论原理阶段、前期准备阶段、检查阶段、评价阶段、报告阶段,这是一套体系。如果真正实行了这套方法,我们国有商业银行的内部控制问题,依法合规经营的问题应该不会很大。
以上所言是本人对银行强化风险管理和内部控制的一些粗浅的探讨,以求引起各方面的高度重视。其中的一些问题是带普遍性的,各家银行都在研究解决。虽然有些不是法律问题,但是在银行的法律工作中都应当了解。在改革开放的大潮席卷神州的形势之下,我们冷静地研究银行的控制职能,特别是探索银行如何通过风险管理和内部控制发挥支持和稳定中国社会的可持续发展,应当不无意义。言多必失,欢迎批评指正。
(完)
注释:本文原载于法律出版社2006年出版2007年再版的书《金融审判与银行债权保护》。文中的注释等网络因格式转换而未加。
第四篇:银行内控与风险(本站推荐)
内控与风险
内控之于银行就如心脏之于人一样,一家没有完整内部控制与风险管理系统的银行不可能担得了风险责任并且健康发展,在如此竞争激烈的金融业更是如此。时代的进步,科学的进步,市场经济的不断发展,都促进了银行业务的多元化趋势。其实对于我们新员工来说,对于内部控制以及风险的管理意识还很薄弱,虽然在培训时老师曾今一再的强调合规的重要性,但是那时的我们还从未上岗,从未真正的了解到“银行经营的就是风险,并在经营风险的过程中实现利润”这句话的真正含义。但是我们也了解到了内控不仅仅是内控部门的事,其实内控管理,人人相关,内控体现在每项业务过程及每个操作环节中,因此防范风险是银行每位员工的首要责任。
为什么我们将内控放在如此重要的位置,毫无疑问是其对于银行举足轻重的作用,由于内控管理不足而导致银行重大风险的案例也是层出不穷,国际上,巴林银行因内部控制缺乏而最终走向破产,法国兴业银行因交易员的虚假交易而造成49亿欧元的巨额损失,在国内,这样的案例也是比比皆是,最近看到一则新闻就是有银行工作人员将客户信息出卖给其他单位而获得利益,这对于银行的声誉是一个很重大的打击。
内控从来都不是一个虚无缥缈的名词,因为在这短短的两个多月的见习、上柜过程中我已经深刻了解到我行的内控之严格,最让我印象深刻的案例是:当时由于客户是公司客户,他需要了解员工的发工资状况,于是便拿了人员清单及相关的证明要求我们帮其查找人员的工资明细,当时清单上说的是5月与9月的工资,可是后来他说是5月到九月的工资状况,所以我在操作过程中分了几次查询了客户的账户,也由于我的不太熟练总是退出再重新查询所以导致了我多次查询客户账户,于是审查下来要求我对此状况进行说明,由于当时客户只是拿了清单过来,我印象不是很深刻,便反复收看录像,但是还是没能查出原因,最后还要在营业经理和师傅的帮助下了解到了该公司的客户的情况才慢慢理出头绪。这件事之后,我就了解到了在柜台操作需要时刻提醒自己在做什么并且需要怎么去做才能做到最好,更重要的事我了解了我行对于查询客户信息的审查制度,了解到内部控制的重要性。
如何做好我行内控与风险的管理一直以来都是一个非常重要的问题,首先我觉得对于我们新进行的员工来说,需要做到三个“勤”:一是勤学习。通过学习各类业务文件、内控制度、相关法律法规以及案例通报、风险提示等。牢固树立起制度意识、执行意识、风险意识、合规意识、监督意识,明确每个业务岗位既是操作岗位又是风险管理岗位,真正落实“一岗两责”,自觉抵制不规范行为和不良操作习惯,防患于未然,从一开始养成良好的习惯是我们以后发展的重要保障。二是勤思考。随着当前业务的快速发展,业务流程也在不断更新,而规章制度的修订却相对滞后,因此我们在操作过程中要勤于思考,善于查找制度中的缺陷和漏洞,并结合实际操作情况向上级行提出进一步完善制度和流程的建议。三是勤总结。一方面对自己及身边员工的日常工作情况进行总结,对好的做法要在员工中进行推广,对欠规范的操作要及时进行纠正;另一方面,通过学习和分析案例通报、风险提示等,吸取教训,加强规范。其次在学习我行每年的防案主题教育时,认真学习内容,坚决贯彻符合科学发展的一系列方针政策,做到“三个决不能”即决不能以习惯代替制度,决不能以情面代替纪律,决不能以信任代替管理。同时要明确“三个搞清楚”即搞清楚哪些是必须做的,不做将要承担什么责任,搞清楚哪些是不该做的,做了将要承担什么责任,搞清楚发现他人做了不该做的应及时制止和反映,否则将要承担什么责任。我们还需要领悟到“两个认识到”即认识到发生案件会给我行和员工及家庭造成严重危害,认识到认真履行岗位责任是对个人职业生命和家属的有效保护,因此我们对待工作同样要像对待家庭一样,有一种家的归属感。最后,要做好内控以及风险的防范就需要由事后补救转向事前、事中防范,必须建立健全一套科学的内控机制。完善现有的内部控制制度,使之更全面系统并具有前瞻性,对内部控制制度要实行动态管理,根据不同时期、不同业务发展的需要不断改进和完善,使银行的各项业务自始至终处于内部控制制度的监督和控制下。同时需要完善岗位的设置和业务操作规程的设计,要明确每一个岗位的职责、权限,同时还要有一定的制约和控制措施,使每个员工、每项业务的办理都处在内控制度的监督和控制之下,尤其是每项业务都必须经过具有相互制约关系的两个或两个以上的控制环节才能办理,防止出现控制真空,产生风险。
最后,我想以培训时老师对我们的几点希望作结,一要努力学习业务知识,熟练掌握操作技能。业务不熟,容易出差错,产生风险,只有业务、技能都掌握
了,才能有效地控制风险。二是赚钱应走正道,投资量力而行。俗话说,君子爱财,取之有道。虽然我行对于炒股没有禁止,但是不能违反规定炒股,上班时间严禁炒股,严禁贷款炒股,这“两个严禁”要严格执行,其他投资,如买房、买基金等等,都要理性对待,不要超过自己的承受能力,否则就会产生风险。三是珍惜自我,知足常乐。既然今天我们选择了在工行工作,那就要珍惜这份职业,要善于“在自己身上总结经验,从别人身上吸取教训”,爱惜自己的职业生涯,算好成本账,认真走好人生的每一步。
乾元支行蔡成洁
第五篇:商业银行员工行为与银行内部风险控制研究
商业银行员工行为与银行内部风险控制研究
摘要:在我国,银行风险是一个不容忽视的问题.由于我国银行体系比较脆弱,防范风险能力较低,这从风险抵御指标一资本充足率看出,2003年我国所有银行类金融机构的平均资本充足率仅为6.3%.而造成资本充足率低的主要原因是我国银行业较高的不良资产率和效益低下.形成不良资产的原因很多,从来源来看可分为来自内部原因和外部原因两种,外部原因造成的不良资产有关专著有较多的论述,并被有关管理当局重点关注和处理.但是,而由于内部原因造成的不良资产的研究却不多,也没有引起有关管理当局的重视.造成我国银行业效益低下的原因有很多,例如存贷利差逐步萎缩,中间业务发展滞后,产品创新能力差等制约了我国银行业效率的提高.特别是我国处于向国际惯例过渡的转轨时期,银行员工偷懒、破坏、灰色消费、贪污受贿、计算机犯罪、金融欺诈等越轨行为,所造成损夫近几年呈急速上升的趋势.从以上两个方面看,由于银行员工造成的风险己成为影响我国银行业融入全球化竞争和我国金融安全的不可忽视的问题,垦须理论界和实务界进行深入的研究和探讨,而现今这方面的研究还不是很多.正是由于这方面的原因,本文希望从风险控制的角度对银行员工的行为进行一些有益的探讨.本文主要由三部分组成.第一部分是员工越轨行为与银行内部风险的关系研究.首先介绍了商业银行风险的内涵,并得出我国商业银行对外部风险给予了充分的关注,而对内部风险没有给予应有的关注;然后是商业银行员工越轨行为的界定;最后,通过员工行为与商业银行内部风险的相关性分析,提出了员工越轨行为与商业银行内部风险控制的论题.第二部分是我国银行员工越轨行为的诱因分析.本部分从满意度、团队生产性、内控制度、市场约束和越轨亚文化几个方面进行了论述.第四部分是基于风险控制的商业银行员工越轨行为的对策.这部分从员工满意度提升、内控机制的完善,市场约束的强化和企业文化的重塑,作为基于风险控制的对策.本文的核心内容是第二部分和第三部分.关键词:风险控制;越轨行为;激励;满意度;0.前言
0.1 选题意义
从20世纪70年代布雷顿森林体系崩溃以来,金融风险急剧膨胀,银行危机不断发生.据世界银行的一项统计,从1980-1995年,共计65个国家经历了银行危机,仅发展中国家的政府为银行危机支付的成本高达2500亿美元.频频爆发的银行危机一方面说明了商业银行在现代金融体系中的核心地位,同时说明了防范银行风险对于防范银行危机爆发的重要意义.银行危机爆发的可能性及其所带来的破坏性越高,防范银行风险所带来的潜在收益越大.在我国,银行风险同样是一个不容忽视的问题.由于我国银行体系比较脆弱防范风险能力较低,这从风险抵御指标一资本充足率,可以看出:截至2003年末,根据银监会公布的数据,我国所有银行类金融机构的平均资本充足率仅为6.3%.其中11家股份制商业银行平均为7.35%,112家城市商业银行平均为6.13%.四大商业银行,工行为5.6%;中行为8.16%;建行为10.08%;农行为1.44%.资本充足率低使我国商业银行缺乏可持续发展的稳定资本来源,导致防范风险能力低.另一方面,资本充足率达不到巴塞尔协议规定的8%,使我国商业银行在国际竞争中处于不利的地位.资本充足率低的主要原因是我国银行业较高的不良资产率和效益低下.2002年在四大资产管理公司在接收了近1.4万亿不良资产后,四大商业银行仍有1.8万亿不良资产,不良资产率仍高达26.62%,高于巴塞尔协议的12.5%.国际上一些大银行不良贷款仅占1%-6%.造成不良资产的原因很多,从来源来看可分为来自内部原因和外部原因两种,外部原因造成的不良资产有关专著有较多的论述,并被有关管理当局重点关注和处理.但是,而由于银行员工的疏忽、寻租等内部原因造成的不良资产的研究却不多,也没有引起有关管理当局的重视, 资本利润率是衡量商业银行竞争力和发展的另一个重要指标.世界1000家大银行2001年的资本利润率高达12.34%,花旗、美洲、苏格兰等银行资本利润率高达20%-38.8%,而四大商业银行资本利润率仅为0.2%-6.7%.造成我国银行业的效益低下的原因很多,例如存贷利差逐步萎缩,中间业务发展滞后,新产品创新能力差等制约了我国银行业的效率的提高.特别是我国处于向国际惯例过渡的转轨时期,由于银行员工偷懒、破坏、灰色消费、贪污受贿、计算机犯罪、金融欺诈等越轨行为,所造成损失近几年呈急速上升的趋势.从以上两个方面看,由于银行员工造成的风险已成为影响我国银行业融入全球化竞争和我国金融安全的不可忽视的问题,必须理论界和实务界进行深入的研究和探讨,而现今这方面的研究还不是很多.正是由于这方面的原因,本文希望从风险控制的角度对银行员工的行为进行一些探讨.0.2 银行风险研究的综述
自从1694年,第一家真正意义上的商业银行一英格兰银行成立以来,银行风险就与商业银行相伴.1636年荷兰郁金香泡沫、1719年一1720年南海公司骗局、1820年约翰·罗的密西西比泡沫、1846年一1847年英国的铁路狂热,1920年佛罗里达的投机浪潮都使商业银行风险的放大,引起了很多银行的倒闭.特别是20世纪90年代,巴林银行和大和银行事件,引起了人们对商业银行风险的关注.在国外有关风险控制的研究主要有:风险价值法(VAR)、风险调整的资本收益法、信贷矩阵(Credit Metrics)、全面风险管理模式、资产组合调整等.但是这些成果,重点关注的是商业银行的外部风险.对于银行的内部风险,特别是对于员工越轨行为,主要停留一方面从内部控制的角度,加强外部流程约束;另一方面从完善激励机制角度,加强内部激励的方法,来消除员工越轨造成的银行内部风险.在我国的研究成果主要是:主要集中在从金融企业的违规行为分析,并采取了探讨违规行为与违规收益间的比较来,分析金融企业越轨行为的发生.而对员工的越轨行为局限在一些直观现象的描述和内部控制不健全等外部因素角度分析,缺乏系统、全面的分析商业银行员工发生动机、类型以及原因.徐金诺(1997),在《违规行为与违规收益:在金融监管低效率原因分析》和《金融违规行为的再分析》中,提出收益和成本的比较对金融企业违规行为的发生具有重要作用.徐明勋(1997),在《金融运作中的“越轨”现象不容忽视》中,对金融越轨行为进行了直观的描述.聂泳祥等(2002),在《基层行长的契约地位、报酬激励现状及利润分享激励的必要性》中,把对商业银行的核心员工一行长的越轨可以归结为激励约束机制上.刘善仕(2002),在《企业员工越轨行为的组织控制研究》中,将企业里的员工越轨行为进行了定义,并进行了分类,指出针对不同的越轨行为采取不同的组织控制策略.乔昌志(1996),在《初论企业越轨亚文化》中,对企业越轨亚文化进行了定义,并对其影响进行了分析.谢启标(2001),在《我国商业银行内控机制的现状及其完善构想》中,对我国商业银行内部控制的现状进行了描述,并提出了完善构想.李永福(1994),在《从员工素质:银行行为规范的内在保证》中,将员工行为对商业银行的重要作用做了分析,并提出在加强员工行为规范的内在保证方面采取措施.孙伟(2002),在《商业银行员工行为模式及其管理》中,基于人性的复杂性,将员工行为分为四种模式,即:协同式、平稳式、从众式和消极式.柳小曼(1999),在《商业银行内部风险探讨》中,对员工风险的定义、类型、特点以及形成原因进行拉探讨,主要提出在内部控制、人的行为以及业务流程方面作为对策.刘玉新和张建卫(2000),在《再造员工行为》中,提出运用强化理论,和A-B-C模式,对行为功能分析.高贤凤(2001),在《知识型员工行为动力结构与激励策略》中,对知识型员工行为的动力结构,从自我动力和超我动力.两个方面进行了分析,自我动力和超我动力的有机结合,构成了人的主要动力体系,这两大动力的平衡关系,定人大行为方向.对于员工的自我动力方面,采用报酬激励、成就激励和机会激励来启动;而对于超我动力方面采用组织目标、事业理想、企业精神、核心理念和价值观来启动.0.3 本文的创新点
本文的研究是在国内外已有的一些理论与框架的基础之上,在研究角度、研究方法、对策建议以及模型构建方面提出了一些新的改进或阐述.第一、从研究方法看,使用了规范分析和实证分析相结合的方法.既对商业银行员工越轨行为的内涵进行描述,同时又对员工越轨及其形成原因的类型进行了分类,并试图从这种分类中提出“应该怎么做”的思考.本文注重实践的检验,用数据来说明问题.文中首先采用巴塞尔银行监管委员会风险管理小组发表的有关数据,来验证员工行为对商业银行风险的影响程度.随后,从员工行为的角度,对巴林银行事件进行了分析.还引用了某商业银行员工的报酬数据,来验证我国商业银行的报酬激励现状.第二、从研究角度看,许多文献只对商业银行的外部风险给予了充分的关注,而对内部风险却关注不够或停留在现象的直观描述.本文从员工行为的角度,对内部风险的控制进行了探讨,并将员工满意度(employee satisfaction)和越轨亚文化这两个概念引入到对商业银行员工的分析中来.本文认为我国商业银行员工越轨行为泛滥,是由于我国商业银行对员工的内在激励不足和外在约束不足的现状造成的.内在激励不足造成员工满意度低下,而外部约束不足,使员工的这种不满得以表现出来.在这个新的角度,本文提出了一些解决员工行为造成的银行风险高的现状.第三、从对策角度看,现有的文献大多采用完善内部控制等加强外部约束的方法来改善这种越轨泛滥的现状.而对内在激励的研究还不是很完善.本文作者认为商业银行以提高员工满意度方式来激励员工;以完善内控制度和强化员工的市场约束的措施来加强员工的外部约束;以完善企业文化的方式,来提高员工对企业的认同感和归属感.其中,建立以剩余分享制激励方式为主的薪酬体系加强对员工的物质激励;借鉴赫茨伯格的双因素论和maslow的需求层次理论,建立以人为本的精神激励体系,通过报酬激励和精神激励两种方式来提高员工满意度,解决员工越轨泛滥的现象.通过以上几种综合措施,来应对由于员工行为所造成的银行风险.第四、从模型构建角度看,本文首先发展了控制权报酬激励的模型,加入了“搞好关系”这个中国化的行为,使控制权报酬激励模型更加切合我国的国情.其次,本文借鉴团队生产理论,构建了商业银行控制权回报激励模型.1.员工越轨行为与商业银行内部风险关系研究 1.1 银行内部风险的内涵
1、银行风险的定义
银行风险是银行在其经营过程中可能遭受损失的不确定性.银行经营活动涉及的客户多种多样,大多数业务的完成均有一定的时间跨度,容易受到外在环境的影响,因而银行在经营货币的过程中一方面期望获得最大的经济效益,另一方面又必须面对可能的损失.这些损失包括资产、收益、信誉以及银行经营的外在条件等多方面,但最终会体现为银行经济效益的损失.2、商业银行风险的分类
商业银行的风险通常可以分为以下风险:(1)资产风险:是银行运用资金,对客户进行贷款,借款人不能按期归还贷款人贷款本息所形成的风险.与资产风险相关联的还有抵押品进行处置、变现时其价值降低所形成的风险.(2)市场风险(利率风险):是一种由于市场价格变化引起商业银行持有资产价格变动或银行协定利率跟不上市场利率变化而带来的风.(3)汇率风险:是由于汇率变动而出现的风险.主要包括:一是买卖风险,二是交易结算风险,三是汇价风险.(4)流动性风险:是存款人按照正当理由要求提款时银行不能支付的风险.一是现金支付能力不足,不能保证存款者提现需求,二是银行不能满足企业、单位等存款者转账支付需求.3、银行内部风险的定义
银行风险根据来源的不同可以分为内部风险和外部风险.所谓内部风险是指来自银行内部的原因而可能遭受损失的不确定性.商业银行内部风险的定义有狭义和广义之分.狭义的内部风险仅指员工欺诈、寻租以及金融犯罪等较严重的员工越轨行为所造成的损失的不确定性,它属于法律管辖的范围;广义的内部风险不仅包括狭义的内部风险,还包括例如员工偷懒、搭便车、不尽力、灰色消费等轻微的行为在内的所有可能有损商业银行利润最大化目标的员工行为造成的损失的不确定性.