基于风险项目复盘的内控有效性思考与合力建设实践

徐志斌 申万宏源证券副总经理

 一、对风险项目复盘的经验

      在对风险事件的收集、整理和分析的过程当中，复盘非常重要，要对事件的直接原因、间接原因和根本原因一条条的进行梳理。与此同时，要对事件进行分级的管理，比如一级事件是造成100万元以上损失，二级事件是10万元以上，三级的是10万元以下的。

      通过前些年在国外进行风险项目分析的经验，我们发现：88%以上的风险事件都和内控问题有关系。而国内的情况，也非常相近，有92%的风险事件和内控问题脱不开干系。

二、风险管理中六点底线共识

      在我们将风险管理较为薄弱和风险管理公认较为优秀的金融机构，所发生的金融事件拿到一起进行总结，梳理共性之后，形成了6条底线的共识：

      第一，坚决抵制一言堂。在很多比较大的风险事件的背后，我们发现无论是团队内部还是公司的层面，一言堂都是非常大的风险隐患。

      第二，坚决反对内部人控制。国有的金融机构中，内部人控制的情景可能并不多，但是，在局部的子公司、分公司分支机构，以及例如基金等的一些机构中，内部人控制的情况是蛮常见的。内部人控制会极大地弱化公司的有效的治理，并且很多的风险事件的背后也都跟着内部人控制，所以不管是部门、子公司、分公司，在班子配备上，我们应该坚决地避免内部人控制。

      第三，坚决抵制“小团队”。要抵制在局部业务领域搞小团队，类似于承包制的自我形成闭环运作模式。有时我们为了开展新的业务，或者是为了提升激励，可能直接成建制的在市场上引进一整支团队，这些团队短期内可能解决业务发展上的问题，但如果由于我们过度的信任而让它完全闭环运作，这种风险是很大的，可能会出现钱赚到了，但后来出现风险事件后，团队拍屁股走人的情况，剩下的是一堆风险和麻烦的情况。因此，我们引进团队固然很重要，但是要坚决地反对闭环运作，团队必须是开放式的，能够跟公司现有的这些风险管理和治理机制形成有效的衔接。

      第四，一定不能脱离主业。在过去整个金融行业的风险事件中，由于脱离主业而形成的事件和案例非常多，因此此处不展开赘述。

      第五，任何时候都不能绕开合规风控去做事。例如，如果公司的一把手，越过很多合规风控的机制，直接指挥某一项业务或某个项目，一方面会加大该业务或项目的风险，另一方面会对公司治理和公司文化造成极大的破坏。

      第六，先定规矩后办事。必须要严格遵循流程，无论心里多么着急，一定不能绕开这个流程去开展。

三、五条探索性的实践

      第一，联席会议制度。合规、风控、审计、法律、纪检、巡视、监察等部门定期举行会议，研究公司在内控和风险方面存在的问题，共享信息，避免各司其职。

      第二，公司首席风险官要列席公司的各类重要会议。除了经营上的会议之外，首席风险官还要经常参加公司的党委会等会议，以便更好的讨论和研究决策。

      第三，建立一体化风险管理系统。这个系统包括合规、风控、审计、法律、纪检、巡视、监察等各个相关部门，但是各个部门在系统中基于同样的数据，却有不同的入口，会看到不同的画面，如此一来，避免了大家由于专业上、信息上、口径上的不同所造成的不足。

      第四，将各层级的子公司进行统一管理。其中包括将子公司、子公司的子公司等在中后台进行一个统一的管理。在保有其原有治理架构的基础上，形成一个合规风控统一管理的框架，这对一体化风险管理系统的建设帮助很大。

      第五，通过业务线层面的头脑风暴和逆向思维来挖掘潜在风险点。2006-2007年法兴银行发生风险事件后（交易员亏损70亿欧元事件），我们将公司最优秀的前台业务人员集中起来进行头脑风险，通过逆向思维来挖掘公司内部漏洞，发现了不少可以改进的地方。例如在公司内部，如果两个人同伙，能够造成多大破坏，公司又如何通过完善内部体系来避免这些漏洞。

观点整理：曾文泽

来源：2019（第十五届）中国金融风险经理年度总论坛