【正文】 控制論講的控制是會計控制、財物管理控制，后來又發(fā)展到稽核，各個銀行都有稽核隊伍，然后又超越財務(wù)范疇，把內(nèi)控滲透到經(jīng)營和管理各個方面。實際上各國都在探索，英國也有一個CADBURY模式，后來它發(fā)展或TURBULL。另外，還有一個確保反饋的系統(tǒng)，這是一個通過交流反饋和咨詢來促進上面三項內(nèi)容能夠順利開展的程序。再說得明白一點，就是找什么人來做這個銀行行長和各級經(jīng)管人員，以便于把商業(yè)銀行的各項業(yè)務(wù)做好。第四，提出一些政策建議僅供大家參考。我把它識為一種基本前提，那就是說我不認為只要一個銀行能夠跑到股票市場上去，在那里銷售我們的股票，來套股民的錢，我們就是一個公司治理機制良好的銀行。我們研究一個問題總是要抓住一些本質(zhì)性的東西?！般y行風險的識別、評估與內(nèi)部控制”這個題目涉及兩方面：一方面涉及的是風險管理，另一方面涉及內(nèi)部控制。止損限額即是將上述風險承受程度數(shù)量化、具體化，對每一重要的風險敞口，都可以在充分考慮收益及企業(yè)承受能力的基礎(chǔ)上制定具體的止損指標，當實際的損失或表現(xiàn)觸及這一限額時，企業(yè)則應(yīng)做出一些決策或行動，包括管理回顧審查、對沖策略、緊急應(yīng)變預(yù)案以及退出策略等?？梢圆扇》稚⒒蚩刂频姆椒? 分散是指在地理區(qū)域或客戶構(gòu)成上將業(yè)務(wù)進行合理組合，適當降低產(chǎn)品或服務(wù)的客戶集中度和區(qū)域集中度。在確定各目標的風險容忍度時，企業(yè)應(yīng)考慮相關(guān)目標的重要性，并將其與企業(yè)風險偏好聯(lián)系起來。積極應(yīng)對風險就是要建立起業(yè)務(wù)單位與風險管理的伙伴關(guān)系模式，即“業(yè)務(wù)單位與風險管理部門一起評估和解決風險管理問題并且擁有共同的目標”。“企業(yè)開展全面風險管理工作，應(yīng)注重防范和控制風險可能造成的損失和危害，也應(yīng)把機會風險視為企業(yè)的特殊資源，通過對其進行管理，為企業(yè)創(chuàng)造價值，促進經(jīng)營目標的實現(xiàn)。至于選取何種模型，應(yīng)視企業(yè)的具體情況而定。3．風險評級或打分。在此基礎(chǔ)上，從資產(chǎn)組合的角度去管理風險，既可以利用風險之間相互抵消的關(guān)系，節(jié)約企業(yè)管理資源，又可以防范風險的相互促成，從而釀成更大的風險。具體體現(xiàn)在如下幾個方面：一是無論事件是否會導(dǎo)致財務(wù)損失，都應(yīng)在當期的風險分析報告中加以反映。用于進行風險識別的工具很多，常見的主要包括: 風險檢索列表、PEST問卷、SWOT問卷以及風險數(shù)據(jù)庫等。（五）恰當?shù)娘L險識別途徑是風險識別工作高效進行的基本保證構(gòu)建風險“全景圖”需優(yōu)化風險識別途徑。（三）全體員工的風險意識是有效風險識別的保障風險意識是風險管理過程的出發(fā)點，在有風險意識的環(huán)境里，很多風險問題在變成更大的問題之前，都能得到有效地處理。股東大會、董事會、監(jiān)事會和經(jīng)理層要依法履行職責，形成高效運轉(zhuǎn)、有效制衡的監(jiān)督機制。全面風險管理是對傳統(tǒng)風險管理的繼承和發(fā)展，賦予了風險識別、風險評估以及風險控制新的內(nèi)涵。一、以構(gòu)建企業(yè)風險“全景圖”為目標的風險識別 風險識別是進行有效風險管理的基礎(chǔ)和關(guān)鍵。董事會負責確定企業(yè)風險管理總體目標、風險偏好、風險承受程度，批準風險管理策略和重大風險管理解決方案及風險管理監(jiān)督評價審計報告；董事會下設(shè)風險管理委員會，風險管理委員會對董事會負責，并提交全面風險管理年度報告、審議風險管理策略和重大風險管理解決方案以及風險評估報告；企業(yè)總經(jīng)理對全面風險管理工作的有效性向董事會負責。讓所有員工知曉他們個人職責對公司風險有怎樣的影響，以及在公司內(nèi)他們的作用和責任與他人有怎樣的關(guān)系，是企業(yè)風險管理的一個重要方面，也是風險識別工作充分有效進行的前提。風險識別的途徑很多，從公司業(yè)務(wù)的戰(zhàn)略規(guī)劃和盈利預(yù)測，到公司各個主要業(yè)務(wù)執(zhí)行層面的管理和流程控制，都為風險事件的識別提供了按圖索驥的指引。其中風險檢索列表是由公司經(jīng)理層基于豐富的工作經(jīng)驗而開發(fā)的，它 給公司內(nèi)部人員以相應(yīng)的告示和提醒，避免今后的工作重蹈覆轍。風險事件可以包括重要的顧客賬目損失、政策違犯、系統(tǒng)失效、舞弊以及官司等。風險分析應(yīng)包括風險之間的關(guān)系分析，以便發(fā)現(xiàn)各風險之間的自然對沖、風險事件發(fā)生的正負相關(guān)性等組合效應(yīng)，從風險策略上對風險進行集中管理。用既定的標準對風險水平“評級”或“打分”，經(jīng)常被用來以一致的標準給客戶的信用風險進行評價，支持并監(jiān)督信用決策，詳見表2。值得注意的是，風險評估工具是為評估風險服務(wù)的。”（一）風險控制原則鑒于風險控制在企業(yè)風險全面管理中的重要意義，在進行風險控制時，應(yīng)該堅持以下幾個原則：1．區(qū)別對待風險。在伙伴關(guān)系模式中，業(yè)務(wù)單位與風險管理部門既擁有各自的績效目標，同時也共有一些重要的績效計量目標。（三）制定風險應(yīng)對策略風險控制的核心，就是制定出適當?shù)娘L險應(yīng)對策略?？刂剖侵竿ㄟ^內(nèi)部流程或行動，使負面事件出現(xiàn)的可能性降低到一個可以接受的水平。企業(yè)還可以嘗試在止損限額之下設(shè)立“預(yù)警”限制，就像在紅色交通信號之前設(shè)立黃色信號一樣。不管是法律工作者還是銀行的管理者，都會遇到下面要提出來的問題，就是怎么來處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系，怎么在實現(xiàn)戰(zhàn)略目標的過程中，一方面把握住我們自己，另一方面也把握住我們所領(lǐng)導(dǎo)的團隊？另外，怎么防止銀行的工作人員或者業(yè)務(wù)活動失去控制？搞法律的人員不如搞經(jīng)營管理的涉入那么多的具體業(yè)務(wù)，但是由于你們是銀行的法律工作者，所以就不能夠站在一般律師的服務(wù)角度去服務(wù)于銀行。有一個美國的企業(yè)家寫了一本書叫《基業(yè)常青》，他把一個一般的企業(yè)發(fā)展成比較大的企業(yè)，積累了一些經(jīng)驗，他的書里面有這么一句話：“偉大的公司要想生存，必須擁有一個持久的觀念，這個觀念必須從屬于整個公司。因為它上市成功的前提首先要具備較多的控制意識，有較好的管理水平。一、內(nèi)控理論已經(jīng)說明的問題我們在提到銀行的管理、銀行的控制這樣一個題目的時候，我覺得搞法律的人員不是那么熟悉，因為我在中國銀行，法律工作人員大都很年輕，在管理學上、在銀行的控制理論上，還是缺乏知識的，這里有知識的結(jié)構(gòu)問題。找誰?是找王雪冰還是找其他人？為什么找王雪冰？他出了問題，怎么才能找到另一個人不出問題或者少出問題？公司治理就是找誰當行長，找什么人當總經(jīng)理和各級經(jīng)管人員。就是保證上面能夠開展這些活動。加拿大叫COCO理論?？刂茲B透在各個微觀經(jīng)營管理活動的毛孔里。過去的國有商業(yè)銀行不講究要資本充足，國家不給我們補助資本金，中國銀行一開始是財政部劃撥的那點錢，后來核銷呆賬沒有撥過資本，有利潤全部上交國家、上交財政，現(xiàn)在提出來要滿足8％資本金充足率，要實現(xiàn)這個，國家給我們中國銀行225億美元讓我們來充實銀行的資本，另一個也允許我們在盈利中間拿出一塊，使我們的資產(chǎn)達到充足的標準，今后就要靠自己的努力了。還有第三個目標，叫做信息性目標。國外的會計報表和年報最后除了銀行行長簽字、銀行總會計師或者財務(wù)總監(jiān)簽字以外，還有中央銀行認可的外部審計師要簽字，而我們過去沒有。為什么要這么做？要保護銀行的“特權(quán)”。當然，這種聲望和權(quán)威應(yīng)該是內(nèi)在的，不能只靠表面的豪華去裝飾。第三，內(nèi)部控制是為公司管理層提供合理的保障，但不是絕對的。這是內(nèi)部控制的五大組成部分。目標設(shè)定以后，要有些事要做，一件事叫“事件識別”，就是要看這些事有什么風險，要開展公司業(yè)務(wù)、零售業(yè)務(wù)、結(jié)算業(yè)務(wù)、信用卡業(yè)務(wù)，銀行所有的業(yè)務(wù)，這些業(yè)務(wù)有什么風險要評估，評估完了以后要有風險對策。從內(nèi)控的角度來分，目標是四個，但內(nèi)容可以比風險管理少三大內(nèi)容。從“控制環(huán)境”的角度怎么理解呢？實際上控制環(huán)境是所有各個方面的基礎(chǔ)，是一個帶動銀行開展工作的“發(fā)動機”。我們搞內(nèi)部控制，必須要認識風險，這和風險的定義有關(guān)系。要想實現(xiàn)目標，各種因素都可能是風險，只要它們妨礙你達到你的目標。如果交易、記賬和尾箱管理都由“一手清”，就難保不出事。后來我們制定了合同審查表，叫“合同審查意見申請表”，這個表讓你說明送審合同的目的，你究竟讓我審什么？這個合同產(chǎn)生的背景是什么？這里有哪些法律疑難問題需要我們法律部審查？過去有沒有審過？有的人拿過來第二次審了，但沒有告訴，我重審一遍。我相信工、農(nóng)、中、建都有法律部，都有這個職責，就是管規(guī)章制度的制定和監(jiān)督。這是一種思維方式，是我們抓內(nèi)控的一種原理性的認識。巴塞爾委員會關(guān)于內(nèi)部控制的第13條原則就是講商業(yè)銀行需要中央銀行監(jiān)督，不僅監(jiān)督表內(nèi)業(yè)務(wù)，甚至監(jiān)督表外業(yè)務(wù)，還有新業(yè)務(wù)。人民銀行實際上也對內(nèi)部控制提出很多要求。因為很多重大的問題要合規(guī)官審批，批不批就在他一個簽字而這些審批都是獨立進行的。銀行今后應(yīng)該采取措施，使這些管理具有權(quán)威性、監(jiān)督有權(quán)威性、稽核有權(quán)威性、法律與合規(guī)部門有權(quán)威性。黨委，高級管理層的內(nèi)控基調(diào)是不是對？看交響樂團，在準備演出的時候先請鋼琴師定一下音？這就是讓全團有一個基調(diào)，控制也要有一個基調(diào)。而銀行里用人的時候不夠重視他（她）們這方面的表現(xiàn)，不夠關(guān)注群眾這方面的反映，結(jié)果是在基層，甚至在總行高管人員中，不斷發(fā)生重大案件。內(nèi)控首先不是稽核監(jiān)督部門的責任，而是業(yè)務(wù)的經(jīng)營管理部門的工作；內(nèi)控主要不是稽核監(jiān)督部門的工作，而主要是經(jīng)營管理部門的工作；內(nèi)控的檢查評價主要不是稽核監(jiān)督部門的責任，而主要是經(jīng)營管理部門的責任；不過，稽核監(jiān)督部門對內(nèi)控負有再監(jiān)督、再評價的重要的職責。(待續(xù)）注釋：本文原載于法律出版社2006年出版2007年再版的書《金融審判與銀行債權(quán)保護》。第二個階段是推進內(nèi)部控制的階段。2000年我們組織總行兩個業(yè)務(wù)部門和兩個管理部門編寫出版了一本書叫《中國銀行信貸內(nèi)控指引（貸款分冊）》。因為2002年5月，人民銀行發(fā)布了《商業(yè)銀行的內(nèi)部控制指引》，進一步將內(nèi)控提到一個新的高度，人民銀行開展對中行各個部門的內(nèi)部控制全面檢查。另外，合規(guī)工作人員不能只是學法律的人，銀行建立了一個規(guī)矩，新員工進了銀行以后，先到業(yè)務(wù)部門實習一年。銀行風險的識別、評估與內(nèi)部控制楊海群（上接 III）四、僅供參考的政策建議政策性建議之一，明確內(nèi)部控制的評價標準。我們開展內(nèi)控建設(shè)和管理，就應(yīng)該從這個框架(framework)出發(fā)。我一直這樣說明，它們的職能不同，風險管理部門實行自身的內(nèi)控是應(yīng)該的，但是由這個部門去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制，就既可能干擾風險管理，又可能使內(nèi)部控制落空。這點恐怕是商業(yè)銀行普遍遇到的問題。最好兩方面的人員，包括風險管理、法律合規(guī)和稽核監(jiān)督人員，都應(yīng)該制定相關(guān)的責任制，要界定清楚什么情況屬于管理者失職或瀆職。過去我們給海外行的工資比當?shù)赝赓Y銀行發(fā)的低，怎么解決呢？他們經(jīng)總行批準設(shè)一種小金庫，有時接待任務(wù)很重，也要有一點資金來源。我跟合規(guī)處同事們提出，如何通過一套完整的、比較先進的操作方法，能夠讓人們合規(guī)。言多必失，歡迎批評指正。銀行是人類社會文明發(fā)展到一定程度，生產(chǎn)力和經(jīng)濟發(fā)展到一定程度的產(chǎn)物。在西方，被銀行起訴了的借款人一般都會輸，被判罰。大家可能知道有一個美國的經(jīng)濟學家 Stiglitz，他前兩年獲得諾貝爾獎，他有一句著名的話，叫“銀行最鮮明的特點是有能力進行控制”。不是像以前那樣，地方政府逼迫銀行去貸款，那很可能要不回錢來。現(xiàn)在國內(nèi)的信貸形勢有不好的地方，就是銀行過度競爭造成無法進行控制。財政搞統(tǒng)一支付，各家銀行就到省里來營銷，由省財政局招標確定財政支付系統(tǒng)中心設(shè)在哪家銀行，大家競標。市場風險有沒有可能造成銀行倒閉？有人問咱們中國的銀行還能倒閉嗎？都是國有的，只要有共產(chǎn)黨領(lǐng)導(dǎo)，再高的通貨膨脹，再低的資本金都沒有關(guān)系，一樣不會倒閉。西方市場中倒閉的股份制上市銀行并不少。你可能不承認，我們中行員工的薪水曾長期處在較低水平。管理層的經(jīng)營風格、授權(quán)、責任、組織和業(yè)務(wù)發(fā)展的方式是不是適當?法律部門難以承擔授權(quán)管理這個職責，但是有一個問題值得探討，就是授權(quán)管理的合規(guī)性是需要有人控制的，我們目前還沒有控制到，我們在內(nèi)控上是有缺陷的。后來實踐也證明，風險管理部根本沒有精力管這部分，項目的評審、客戶的評級、政策的制定、行業(yè)分析都已經(jīng)讓他們負擔很重了?？傂械囊?guī)章制度非常多，對于下面的人是不是可操作？總行不管；制定的規(guī)章制度互相矛盾，總行也不管。有一家支行的女行長最后查出兩億多元的不良資產(chǎn)，你說怎么整的，她有多大的權(quán)限？后來發(fā)現(xiàn)她丈夫和她兒子開公司，錢都跑到他們家，她當支行行長當然好了，這也是一種“公司治理”。在座的處級干部，你們管底下的人員好管嗎？不好管。因此普遍開展職業(yè)道德教育十分必要。當時有個稽核人員建議馬上雙規(guī)起來，誰想沒等查清人家跑了，到現(xiàn)在也沒找到。這個是高級管理層要管的，必須維護良好的控制文化。后來拿到我們部提意見，我給他提了意見，我說風險管理委員會不是內(nèi)控的最終責任承擔者，最終的責任承擔者是董事會，與其他行不一樣，我們行有過董事會，這個董事會與20世紀90年代以前的人大常委會差不多，它并不是主要責任人，是一些人退休后，安排當一個董事，不像國外的董事真是代表股東的權(quán)益，有決策權(quán)。銀行的組織結(jié)構(gòu)是由董事會批準的，高級管理層也要不斷評審內(nèi)控系統(tǒng)的有效性，在確保建立和維護充分和有效的內(nèi)控系統(tǒng)方面，董事會富有最終的責任。站在中行的員工角度上，會覺得不如上市，上市以后股份制，財政部別卡我了，靈活性就大一些了?，F(xiàn)在提議銀行要改革，都在考慮怎么股份化，不外乎所有制要多元化等。我不反對銀行股份化和上市，我在英國出版的著作中還介紹過一些理論家關(guān)于轉(zhuǎn)軌經(jīng)濟中股份公司如何發(fā)揮作用的論述。后來我們也知道，沒有真出1000萬元，但是背后已經(jīng)談好了。使這些企業(yè)挑花眼了。中央肯定及時分析了經(jīng)濟形勢的發(fā)展。假若銀行控制企業(yè)，控制經(jīng)濟，自己互相廝殺，我降多少利率，你降利率更多，咱倆競相降價，最后是什么？讓貸款的企業(yè)在中間叫板，這讓銀行怎么控制客戶和控制經(jīng)濟？還是讓客戶控制銀行？是讓借款的控制貸款的，還是貸款的控制借款的？這個問題要解決。所以在國外沒有哪個個人或公司輕易地跟銀行打官司、鬧別扭。銀行慢慢發(fā)展起來了，有了辦公室，又有了樓。文中的圖示和注釋等因網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。前面講的我那本書里有這個圖，圖示的操作還是挺不容易的，要分幾個階段，這個流程包含學習理論原理階段、前期準備階段、檢查階段、評價階段、報告階段，這是一套體系。另外要禁止職工炒賣外匯或者炒賣股票，我們行發(fā)生的大量案例都是屬于規(guī)定了不許，但是還炒，炒輸了怎么辦？銀行人員從銀行掏錢比較容易，轉(zhuǎn)轉(zhuǎn)賬，搬搬科目，動動電腦上的鍵盤，就能解決這個問題。政策性建議之五，為了加強對操作風險的防范，要研究風險怎么計量，國外都有一套理論模型，這套理論運用到我們中國銀行界怎么運用？需要研究和建立我們的操作風險計量模型。一方面要強調(diào)業(yè)務(wù)發(fā)展部門依法合規(guī)經(jīng)營，審慎辦理各種項目，否則酌情追究責任。這里有一個正確處理風險管理和內(nèi)部控制的關(guān)系問