内控即内部控制,是银行业一项至为重要的基础性工作,是底线、是基石、是生命线。在大环境顺风顺水时,银行可以躺着干,干啥都赚钱,咋干都没事儿,当大环境走向冬天,内控怎样、内功如何,才能够实实在在地显示出来,才知道究竟谁在裸泳。近几年金融严监管,内控的话题很受重视,也很沉重。不过很令人沮丧的一点,是当你要真正狠抓内控的时候,忽然发现从上到下大家的认知很不一致,特别是对内控、风险、合规这三者的内涵和外延难以界定清晰,究竟要做什么动作,工作着力点在哪里,傻傻分不清楚。要把内控工作做深入,厘清这三者关系就成为首要的、无法回避的头等大事。
一 从监管“三管一透”说起
银行是经营风险的产业,也就是说,在一定程度上,风险就是银行的经营对象。这是银行与其他企业一个重要区别点,我们常说银行是特殊企业,其含义正在于此。2003年中国银监会设立之初就提出“三管一透”的监管理念:管风险、管法人、管内控、提高透明度。其内在的逻辑是:对银行的监管以风险为本,管风险是主线;如何管风险,主要是通过管法人,而不是管分支机构,管法人就是要管住资本、董监高、机构、业务、核心人;如何能管住法人,必须先要求法人银行做实内控,在银行内控的基础上再做监管;这些工作都做了,还监管不好,怎么办,那就要靠充分信披,持续提高信息透明度,发挥市场的力量。这个监管理念也体现了三大支柱的要求,即:资本约束(自约束、自律),监管约束(他律),市场约束(更加严格的纪律)。从监管这里开始说起,有利于我们在实际工作中切实理解和把握内控、风险、合规三者之间的关系。
二 认真思考内控四目标
《商业银行内部控制指引》(中国银监会,2014.9.12)第四条规定,商业银行内部控制的目标为:(一)保证国家有关法律法规及规章的贯彻执行。(二)保证商业银行发展战略和经营目标的实现。(三)保证商业银行风险管理的有效性。(四)保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。这四个目标可归结为三大类:一是合规目标,包括行为合规(第一项)、数据合规(第四项);二是风险管理目标(第三项);三是战略可实现性目标(第二项)。认真思考内控四目标,对于日常工作布局意义重大。虽然在指引正文中对四目标展开不够,比如战略可实现性目标,但具体实务中显然是应当有所考量的。
三 内控、风险、合规之辨析
事实上,内控、合规、风险三者在国际上都有专门的组织在推动,有各自独立的话语体系和内在逻辑。这就要求我们,在具体工作中,对同一个事情,要用不同的话语体系来思考,从不同角度、不同的侧重点去抓。不能简单地将三者混为一谈,或者相互替代。
(一)风险与内控。
1.风险管理是内控的目标之一。
内控是所有企业都要做的事,具有共性,而风险是银行业、金融业独有的一个经营对象,具有个性化。按监管指引要求,商业银行内控工作目标有四个,控风险是其中的一个。我们常常陷于争论:内控大,还是风险管理大?说内控大于风险,还是风险大于内控,从做实务的角度和科学探讨的角度,都是没有意义的,事实上二者只能是你中有我、我中有你,属于不同的话语体系,之所以提出这个命题,只是部门之间、条线之间或者人与人之间一种类似争权夺利的考虑而已。
2.内控是风险管理的重要实现路径。
风险管理能力是银行核心能力,内控是实现银行风险管理能力的重要路径。对银行而言,风险管理不仅仅是要防控,更要着力经营,要通过有效的风险识别、承担、管控,在既定资本金水平和风险政策及策略下实现价值创造最大化。内控四个目标都与此相关:行为合规和数据合规是底线,是不允许讨论的、必须遵循的底线和红线,做不到就无法在行业生态内存活,无法做到可持续发展;风险可控是稳健发展的前提,做不到,利润就是假的、空的,跑的越快,也就死的越快;实现战略目标是风险管理的目的,不能风险管住了但发展停滞了,就好比庸医用脚踩治驼背的故事,驼背是不驼了,但是人死了。内控所做的工作,可以理解为与风险管理中人为可控的部分相关,非人力可为的部分,就不是内控范畴的事了。可以这样说,内控四个目标实现了,银行的风险管理能力也就大致具备了,银行的核心竞争力就基本上有了。
(二)合规与风险。
1.合规管理是风险管理的底线。
有一种风险叫合规风险,是因违背法律、法规、规章带来的风险。无论从银行自身发展来看,还是从银行履行社会责任的角度来看,都应当首先做到合规。合规是不需要讨论的。讲风险与发展的平衡,是银行家的智慧,但如果讲合规与发展的平衡,那就是投机,是与监管博弈,是危险的,在一定语境下讲,甚至是愚蠢的。
2.合规管理是风险管理的手段和方法之一。
合规管理更多地是和风险管理的子项操作风险相联系,是监管要求必须做到的。此点显而易见,无需多说。但合规管理并非操作风险管理的全部,是手段和方法之一,但并非手段和方法的全部,要提升操作风险管理的水平,还必须在合规之上有更多的探索。
(三)内控与合规。
1.合规是内控目标之一。
合规的本质,是使银行的经营管理行为合于外规。我们常常把合规划分为合外规、合内规,从实务操作上当然可以,但是从监管意义上讲,合规是指合于外规。抓内规及内规的执行,可理解为一种内控自选动作,也可以理解为促进、确保外规执行的一种具体内控措施。
2.抓合规的思路大致就是抓内控的思路。
抓合规的思路与抓操作风险的思路、抓内控的思路,都可以概括为一图两表,或者说叫三化。一图两表,即流程图、风险点表、内控措施表。三化,即制度化、流程化、信息化。合规、操作风险、内控,说到底都是在抓两个东西:规,规的执行。一图两表和三化就是抓规和规的执行的具体路径。目前有些银行在推进内控、合规、操作风险三合一管理,有一定道理,也有一定可行性,但在实务中务必要注意三者各自的内在逻辑,切不可混为一谈。
综上,内控工作的着力点,显然应当围绕内控四目标进行,务必避免将内控、风险、合规三者相混淆。只有准确把握内控工作的边界,理清其内涵和外延并真正从上到下达成一致,把体系抓顺,把动作抓准,持续、不间断地落细落小抓落实,才能有所作为,逐步臻于化境。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。