【文章內(nèi)容簡介】 效益，第三個目標是信息性目標，第四個目標是遵從性目標。內(nèi)部控制為的是目標的實現(xiàn)，通過一些活動，一個有機結合的整體，去實現(xiàn)公司的目標。這是很值得我們學習內(nèi)部控制的方面。內(nèi)部控制可分解為五大組成部分的內(nèi)容：第一個強調(diào)控制環(huán)境，第二個強調(diào)風險評估，第三個要開展控制活動，第四個要進行信息的交流，第五個要進行監(jiān)督評審。這是內(nèi)部控制的五大組成部分。為什么從理論上強調(diào)這些內(nèi)容，不是我們要講一些花哨的名詞，而是這五大組成部分比較充分和完整地說明了內(nèi)控的主要內(nèi)容，使我們明白了應該怎么執(zhí)行內(nèi)控，又怎么進行評價。怎么評價內(nèi)控？我建議就從這五個方面。另外COSO又提出八大組成部分，這是從風險管理角度講的。下面是風險管理的八大內(nèi)容：內(nèi)控環(huán)境、戰(zhàn)略目標設定，事件的認識或者是了解，另外風險評估、風險對策、控制活動、信息與交流、監(jiān)督評審。這是八個組成部分的內(nèi)容。首先要確定目標，開展經(jīng)營活動必須有目標，我銀行要搞好，我的目標是什么？支行有支行的目標，二級分行有二級分行的目標，一級分行和總行都有目標。風險管理也是一個有機結合的整體，也要強調(diào)內(nèi)部的環(huán)境，就是前面說的控制環(huán)境。目標設定以后，要有些事要做，一件事叫“事件識別”，就是要看這些事有什么風險，要開展公司業(yè)務、零售業(yè)務、結算業(yè)務、信用卡業(yè)務，銀行所有的業(yè)務，這些業(yè)務有什么風險要評估，評估完了以后要有風險對策。既然你都評估了，怎么處理這些風險，要有政策、有策略。然后，就進入了內(nèi)部控制。這里我解釋風險管理是希望說明它與內(nèi)控的關系。概括起來，內(nèi)控分為五大組成部分的內(nèi)容。內(nèi)控五大組成部分最基礎的地方是在控制環(huán)境上，然后進行風險評估，還要開展控制活動，在控制活動開展的過程中間，又要不斷交流信息，寶塔尖上強調(diào)監(jiān)督、評審。從風險管理的角度來分析，這個模式或框架還包含四大目標。戰(zhàn)略性、操作性、信息性、遵從性、合規(guī)性，這是五個目標，這是一個層面的東西。從內(nèi)控的角度來分，目標是四個，但內(nèi)容可以比風險管理少三大內(nèi)容。就是以上概括的五大組成部分的內(nèi)容。這還僅僅是兩維的空間，第三維空間就是不同的部門，各個級別的部門。第三維空間，比如法律事務部或者是公司業(yè)務部、零售業(yè)務部，這些部門組成第三維空間，這三維空間組成立體的模型。實際上我們在講一種思維方式，我們是在這樣一個立體空間里搞銀行。把任何一個部門抽出來，比如把公司業(yè)務部抽出來，都有四大目標，都有五大組成部分的內(nèi)容在里面。這說明一個什么問題？說明我們可能利用思維方式，利用模型，利用這個理論，探討出管理銀行，評價銀行的方式。為什么巴塞爾委員會這個國際銀行監(jiān)管的機構，要支持這么一種理論?是因為這個理論有用，是因為這個理論發(fā)展到今天，能涵蓋我們銀行的主要業(yè)務、主要工作。從“控制環(huán)境”的角度怎么理解呢？實際上控制環(huán)境是所有各個方面的基礎，是一個帶動銀行開展工作的“發(fā)動機”。這里包括銀行的行風、組織風紀，它還涉及銀行活動的核心——人（員工），而且要通過影響人們的控制覺悟來形成銀行的“文化”，就是銀行究竟提倡什么，特別是注意人們對內(nèi)控的認識和態(tài)度，你有沒有控制理論，有沒有高度的內(nèi)部控制覺悟，也就是重視內(nèi)部控制，特別是由于這個環(huán)境不同，你的戰(zhàn)略目標的實現(xiàn)就受到影響。我們國家如果沒有長期穩(wěn)定搞建設的環(huán)境，中央不會提出國民經(jīng)濟翻翻這樣的戰(zhàn)略。這里還涉及風險管理的一些哲學，開展風險管理是避險為主還是冒險為主呢？風險管理是什么文化？這些東西都是控制環(huán)境里的。我們理解控制環(huán)境也是希望大家在評價某個部門的時候，比如上級讓你去公司業(yè)務部檢查一下他們的內(nèi)部控制怎么樣，首先建議你評價控制管理的環(huán)境如何。我后面還會強調(diào)環(huán)境方面的建設。第二大組成部分是“風險評估”。風險評估是什么？就是你要去識別和分析那些妨礙實現(xiàn)經(jīng)營管理目標的風險，這是風險管理決策的基礎。我們搞內(nèi)部控制，必須要認識風險，這和風險的定義有關系。什么叫作風險？有人說就是損失，或者有人從概念角度說是造成損失的可能性，這些都對，但是更精確、更科學、更接近本質(zhì)的風險定義是什么？就是妨礙實現(xiàn)目標的所有因素。為什么這么說？就是我們干什么事都是要有目標，什么叫我干這件事的風險呢？就是我有哪些東西干擾我實現(xiàn)這個目標。我曾經(jīng)舉了一個很生動的例子，比如說有一個武士，他在射箭，要打中一只鳥，什么是他的風險呢？打不中是他可能的結果，怎么會影響他打不中呢？一個顯然是他自己的本事，他有沒有力氣拉開這個弓，拉到足夠滿的程度。他的視力是不是好？他是不是能夠正確地判別目標所存在的位置以及他自己的經(jīng)驗？說到這兒，是不是風險就沒了，不對。當他拉弓的時候，雖然拉的很滿，但是他是頂風拉的，風力很大，影響他。天要是突然刮起了大風，烏云遮蓋了整個天空，太陽沒有了，看不見了，這也是風險。如果一切都非常好，但是拉弓的英雄喜愛美人，旁邊過來一個美女，他分心了，也射不中。要想實現(xiàn)目標，各種因素都可能是風險，只要它們妨礙你達到你的目標。所以我們在講銀行風險的時候，有人總是想設定一下是信貸風險、利率風險、市場風險，其實這都是一些業(yè)務上的風險，很少有人提到人的風險，而且很少有人涉及更廣泛的，凡是能夠形成對銀行目標實現(xiàn)造成影響的其他一些風險，例如員工有沒有參與賭博、炒股，甚至包“二奶”等，很少有人更廣泛去考慮，就是因為在風險的定義上不夠準確，沒有明確風險更本質(zhì)的定義。在風險管理的體系框架中，COSO把目標的設定加進來，然后有一個事件的識別，有風險的評估，然后要制定風險對策。這四個方面恰恰是風險管理的主要內(nèi)容，也是搞銀行風險管理四個最本質(zhì)的工作。第三大組成部分是“控制活動”。你既然是搞內(nèi)控，不可能不參加控制活動，使目標的實現(xiàn)有合理的保證。經(jīng)營目標的實現(xiàn)需要發(fā)布一些管理指令，要采取一些防范化解風險的措施、政策、程序，像高層的檢查，直接地參與管理，對信息進行加工、對實物進行控制，比如確定指標、究竟今年要完成多少利潤等。特別是職責的分離，職責不分是現(xiàn)在銀行發(fā)生重大案件的一個很普遍的原因。如果交易、記賬和尾箱管理都由“一手清”，就難保不出事。內(nèi)控還要針對目標相關的風險發(fā)布控制指令，各種各樣的指令。第四大組成部分存在于所有的經(jīng)營管理活動中，“信息與交流”應使員工能夠搜集和交換為開展經(jīng)營從事管理和進行控制等活動所需要的信息。管理者應該經(jīng)常評價員工的工作業(yè)績，注意以評價監(jiān)督的方式來開展工作，根據(jù)一些會計數(shù)據(jù)分析并發(fā)出一些預警信號，確保有關經(jīng)營目標的實現(xiàn)。這個信息與交流在總行層面是最大的問題，我們各個部門分管很細，都有各自的職責，一件事現(xiàn)在離開哪個部門干都不行，需要協(xié)調(diào)配合?？墒窃谠蹅円恍┿y行體系當中，協(xié)調(diào)配合能力特別差，其中的一個癥結就在信息與交流上。我想法律部的人員也會有同感，說叫你去審查一個合同，把合同拿來了，以為很容易發(fā)現(xiàn)合同中存在的問題。有的時候送審的人員都不知道給你這個合同讓你審什么。后來我們制定了合同審查表，叫“合同審查意見申請表”，這個表讓你說明送審合同的目的，你究竟讓我審什么？這個合同產(chǎn)生的背景是什么？這里有哪些法律疑難問題需要我們法律部審查？過去有沒有審過？有的人拿過來第二次審了，但沒有告訴，我重審一遍。說我們法律部門解決的問題，合規(guī)方面要不要解決，是不是合規(guī)？我覺得一項法律合同首先要合規(guī)，業(yè)務不合規(guī)，談不上跟人家簽合同。這些問題都是一個配合的問題，都是一個信息交流的問題。還有一個內(nèi)容是“監(jiān)督評審”，現(xiàn)在咱們國家已經(jīng)開始重視這個問題，就是干什么事都注意監(jiān)督，但是這里我所說的監(jiān)督評審是評價內(nèi)部控制持續(xù)操作質(zhì)量的一個過程。要評價內(nèi)部控制到底在你們這個部門是有效的，還是無效的？這個監(jiān)督評審是經(jīng)營管理部門對內(nèi)部控制的管理監(jiān)督和稽核監(jiān)察部門對內(nèi)部控制再監(jiān)督、再評價的總稱。也就是說監(jiān)督不僅僅是稽核、監(jiān)察部門的職責，更重要的是經(jīng)營管理部門自身的職責。這個概念不是一下子能認識到。過去一提到監(jiān)督，肯定是監(jiān)察部、稽核部它們的事，為什么我們法律與合規(guī)部要成立一個合規(guī)處？從管理的角度制定了許許多多的制度和規(guī)定執(zhí)行了沒有？執(zhí)行的情況怎么樣？我們不能不管。我相信工、農(nóng)、中、建都有法律部，都有這個職責，就是管規(guī)章制度的制定和監(jiān)督。我們管到這個層面是不是就夠了？實踐證明不夠，咱們銀行為什么出一大堆問題？為什么出那么多案子？哪一個流程沒有規(guī)章制度?我們現(xiàn)在凡是發(fā)行一個新的業(yè)務，新的產(chǎn)品，首先是規(guī)章制度，規(guī)章制度不出臺，流程不出臺，不明確，這項業(yè)務就不能開展。問題就出在新的業(yè)務上。一方面規(guī)章制度跟不上需要，一方面有章不循，不執(zhí)行規(guī)章制度，讓稽核監(jiān)察去查查，必須有人時常監(jiān)督規(guī)章制度是否執(zhí)行，執(zhí)行有力還是不力，全面不全面，不執(zhí)行、違規(guī)經(jīng)營，造成的損失和問題誰來負責，如何追究責任，如何進行處罰，這一點非常重要，沒有這項工作，規(guī)章制度就是形同虛設。為什么現(xiàn)在出現(xiàn)大量問題？因為你不去監(jiān)督管理它，總是想著要實現(xiàn)利潤目標，為了“短、平、快”，經(jīng)常把一些規(guī)矩打破，打破這些規(guī)矩的結果產(chǎn)生風險?？墒遣蛔⒁膺@些風險的管理，出了問題以后，就讓整個銀行蒙受巨大的損失。所以，四大目標是縱向的列，五組成部分是橫向的排，和內(nèi)部控制相關的工作單元或活動是第三維空間。我們隨意抽出任何一個單位，我把某一列抽出來都有五大組成部分，我把橫排抽出來，都和四大目標密切聯(lián)系。這是一種思維方式，是我們抓內(nèi)控的一種原理性的認識。當然，巴塞爾委員會還講要監(jiān)管當局對內(nèi)部控制系統(tǒng)進行評價。2002年央行到我們行全面檢查內(nèi)部控制，我們的被查部門手忙腳亂，要報這么多材料，好多東西不知道，內(nèi)部控制搞什么，怎么報告，做了各種準備，迎接人民銀行來檢查內(nèi)控。過去不夠重視內(nèi)部控制，非要人民銀行來查才進一步重視。為什么監(jiān)管當局要著重對內(nèi)控進行檢查和評價？不要以為商業(yè)銀行都有內(nèi)控的自覺性，它再有自覺性，也沒有高到足夠的程度。人民銀行要定期不定期地查。我說的是一個挺重要的理論問題。我有一個導師是倫敦經(jīng)濟學院經(jīng)濟系的主任，他寫過一篇文章叫《為什么銀行需要一個中央銀行》，他從信息論的角度提出商業(yè)銀行有必要接受監(jiān)督這個問題。巴塞爾委員會關于內(nèi)部控制的第13條原則就是講商業(yè)銀行需要中央銀行監(jiān)督，不僅監(jiān)督表內(nèi)業(yè)務，甚至監(jiān)督表外業(yè)務，還有新業(yè)務。凡是監(jiān)管者確定某銀行的內(nèi)部控制系統(tǒng)不能充分或有效地針對銀行的具體風險，監(jiān)管者應當采取適當?shù)男袆?。巴塞爾委員會說話是有分量的，“適當?shù)男袆印?，什么行動？我們紐約分行曾經(jīng)險些被停牌，讓你注意你已經(jīng)降到多少級，使你提高交融資成本。再不小心，我停止你經(jīng)營?，F(xiàn)在外國銀行到中國來，最怕的就是中央銀行，銀監(jiān)會也好，中央銀行也好，國外有深刻體會，匯豐銀行這些大銀行對當?shù)刂醒脬y行非常畏懼，中國的商業(yè)銀行對人民銀行的畏懼程度遠遠不如外國銀行對人家的中央銀行的畏懼性，為什么？這里反映了雙方的問題，一方面商業(yè)銀行自律性不強，另一方面銀監(jiān)會和人民銀行對商業(yè)銀行的監(jiān)督不夠得力，商業(yè)銀行被罰款不夠多。我們在美國一項罰數(shù)達二千萬美元，這算少的?？纯窗踩还镜归]了以后，一些大審計公司被罰到最后倒閉。安德信是國際上最大的審計公司，就為安然事件倒閉了。人民銀行實際上也對內(nèi)部控制提出很多要求。我記得當時人民銀行對每項業(yè)務都提出了要求，我看了看銀監(jiān)會對商業(yè)銀行內(nèi)部控制的檢查評價體系基本上采納了COSO和巴塞爾委員會提出的要求，特別強調(diào)一種內(nèi)部控制的文化，這是巴塞爾委員會和COSO提出來的，這種文化體現(xiàn)在銀行的評價制度、職責分離的要求、橫向與縱向相互監(jiān)督制約的機制、報告關系、輪換制和強制休假制度、授權體系，還有對分支機構的管理和控制、賬目核對、監(jiān)控制度、會計制度、應急制度、獨立的法律合規(guī)的要求，等等。有個問題值得探討：合規(guī)部門如何要具備它的獨立性？我在稽核部門也干過，稽核部門也存在獨立性和垂直性，稽核部門比較難做，我不知道其他銀行是不是這樣，我在稽核部門深有體會。銀行系統(tǒng)那些一線部門的同事總認為自己是創(chuàng)造利潤的主要部門，在行長面前匯報工作的時候都是一派理直氣壯的樣子，要是輪到監(jiān)督部門和管理部門說話的時候，似乎底氣不那么足。外國大銀行稽核部門說到哪個部門去查你就去查。而我們還要發(fā)個通知，告訴你我兩個星期或者一個月之后，要到你那里去檢查什么。人家那兒有時根本不告訴你，來了把你抽屜打開，你乖乖地站在那兒看著在那兒查。我在中國銀行法規(guī)部管合規(guī)，我問過人家匯豐銀行、渣打銀行的同行，我問他們合規(guī)權威如何，他們說都很怕合規(guī)官。因為很多重大的問題要合規(guī)官審批，批不批就在他一個簽字而這些審批都是獨立進行的。我經(jīng)常遇到這種情況，現(xiàn)在強調(diào)法律與合規(guī)的重要性，動不動把你叫去開會，什么文來了讓你簽字。他找你簽，像是尊重你又像不是尊重你，有的時候?qū)嶋H上想讓你認可，說是還是不是，你要說是，我做了以后別找我碴兒。在我們部門工作的同志大都年輕，工作忙了，哪審得了這么多，一看既然他們都定了，我無異議，回復給人家。我心里打鼓，我最怕看到哪個經(jīng)辦或處長拿給我看三個字“無異議”，現(xiàn)在有什么事能讓你一點異議沒有？現(xiàn)在沒有那么干凈的事，拿到你這個法律部門審查的時候，可能是想繞一繞、拐一拐，你說無異議，那就干吧，因為無異議說明什么問題都不該有。我跟協(xié)議處說不要輕言無異議，一提無異議，就說明我這個部門對這個問題沒意見，萬一出個問題，吃不了兜著走。我感覺應該使銀行的經(jīng)營部門尊重管理部門，也要讓銀行的經(jīng)營管理部門尊重監(jiān)督人員，這是非常重要的。如果不尊重，說明這個銀行內(nèi)部控制有問題，起碼在控制文化上有問題，他反感控制，不讓你控制，想讓你變著法不控制，但是他又讓你簽字。銀行今后應該采取措施，使這些管理具有權威性、監(jiān)督有權威性、稽核有權威性、法律與合規(guī)部門有權威性?，F(xiàn)在不是都講錢嗎?考核要有正確的考核體系。強調(diào)內(nèi)控的時候也應該注意：內(nèi)部控制不是萬能的，內(nèi)控不可能把一個本質(zhì)上很壞的經(jīng)營管理者變好，不可能左右政府的一些政策和計劃的改變，不可能對外部競爭對手的行為和客觀經(jīng)濟條件的變化都把握好，它有局限性。再有財務報表可靠不可靠，不是說你內(nèi)控絕對能夠保證的，假如支行的行長指揮著支行的會計去假造財務報表，會是什么問題？新會計法有一大修改，就是會計報表第一責任人是企業(yè)負責人，我覺得這條非常好，過去一說某個企業(yè)造了假賬是會計造的，其實回過頭來一檢查，能有幾個會計自己造假，是他的領導，他們那些廠長、黨委書記讓他造假，他是被迫的。我們應該提倡依法合規(guī)經(jīng)營，千萬不要違規(guī)，或者明知道這個不合法，也不向法律部門說明需要針對它進行審查，想蒙混過關，想得到法律部門的認可，得到銀行老總的簽字，求得一時的解脫，這要不得。國際上內(nèi)部控制的發(fā)展的趨勢給了我們一些啟示。一是強調(diào)高級管理層的控制責任。首先董事會要充分理解銀行