1、内部控制视角下商业银行操作风险研究【摘 要】近年来,国内商业银行中频频发生内部人员欺诈、腐败等违法违规案件,而且有涉案金额越来越大、涉案人员越来越多的趋势,这些案件对银行业乃至整个金融行业秩序都会有严重的负面影响。之所以会产生这些案件,很大一部分原因是因为我国部分商业银行在银行内控方面存在诸多隐患及漏洞。因此,规避商业银行的操作风险对于保障银行有效运营有着极为重要的作用。 【关键词】操作风险;内部控制;商业银行 一、引言 20 世纪 90 年代以来,由于内部经营不善、雇员素质不高,巴林银行、大和银行等国际银行受损倒闭。银行界和监管当局意识到除了信用风险、市场风险之外尚存在着与内部经营、外部事件
2、有关的风险。据英国银行家协会分析,过去,操作风险损失额在银行风险总损失额中的比例是5%,这一比例现在是 20%,而将来可能高达 40%以上。随着银行机构日益庞大,其产品种类多样化和复杂化,银行业务对信息技术的依赖度增加,还有金融行业的全球化的趋势,使得一些“操作”上的失误,有可能带来极其严重的后果。 自 1999 年开始,经巴塞尔委员会研究,于 2004 年正式出台巴塞尔协议,在巴塞尔协议(2004)中,操作风险是“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险” 。将操作风险与信用风险、市场风险一起纳入监管框架,提高了操作风险的地位。与其他风险相比较而言,操作风险更为广泛地
3、存在于银行经营管理的各个层面,识别难度大,使其成为现代银行业的主要风险源之一。如果忽视操作风险,即使再严密的监管也无法避免银行发生损失。巴塞尔委员会在关于操作风险管理的报告中指出:“绝大多数操作风险事件与内控漏洞或者与不符合内控程序有关” ,由此可见,内部控制是管理操作风险的重要工具。内部控制是操作风险防范的现实性机制,完整的内部控制由内控环境、风险评估、控制措施、信息交流和反馈、监督评价与纠正五个要素组成的有机系统。通过完整的内部控制,可从源头上降低操作风险,有效应对操作风险,解决了操作风险难以量化的难题,并建立操作风险管理框架和充分发挥风险管理框架的效能。 二、我国商业银行内控缺失引发的操
4、作风险 操作风险给我国商业银行带来的负面影响越来越严重。操作风险存在于银行业务的各项工作环节以及工作流程中。造成我国商业银行操作风险的原因有多种,主要有内部控制机制不健全、内控体系中信息系统建设落后、内部审计未发挥应有作用。近年来,操作风险事件频发、损失额较大、影响范围广,已引起相关政府机构的重视。2005 年 3 月 22 日,中国银监会紧急召开了由国有商业银行和新兴股份制银行总行行长参加的控制操作风险专题会议,要求各家商业银行加强管理,并发布了中国银行业监督管理委员会关于加大防范操作风险工作力度的通知 。 三、我国商业银行操作风险管控存在的问题 1.缺乏健全的内部控制机制。我国商业银行对于
5、操作风险的内部控制缺乏有效的管理。多数银行在业务工作中都建立了基本的规章制度,但其制度不够完善和健全。部分规章制度过时,落后于业务发展的需要,致使制度运作上带有盲目性;有些制度过于概括、抽象,可操作性不强,在实际工作中并不能提供实质性指导;有些制度缺乏必要的处罚措施,即使有处罚措施,或者处罚措施执行不到位。这些制度上的不完善,致使了内部控制上的漏洞和操作上的失误,增大了金融机构经营的风险。 2.内控体系中信息系统建设落后。我国商业银行信息系统建设较国外银行起步较晚,虽然满足了信息系统建设的基本要求,但数据库不完整、系统使用者难以适应操作要求等问题在我国大多数银行依然存在。另外,信息管理人员对银
6、行业务的了解不够深入,建设的信息系统实用性不强。而在操作风险管理方面,系统使用者不了解信息系统,难以理解信息系统所传达的风险信息。最终造成内部控制信息系统的建设流于形式,不能完全发挥信息系统应有的功效。 3.内部审计未发挥应有作用。之所以内部审计未发挥应有作用,是因为内部审计独立性不够以及对违规行为处罚力度不足。大部分银行人员任用、薪资待遇以及工作考核都是有省级分行来完成,内部审计并未从真正意义上实现垂直管理。同时,对于违规操作的行为处罚缺乏力度,使得员工存在侥幸心理,便有违规操作的可能存在。 四、从内部控制角度管控操作风险 1.完善内部控制制度。一方面,建立内部控制度后,应对其进行修改和完善
7、,并针对金融业务中的创新业务和高风险业务重点进行监督。同时,针对内控制度的执行情况,要建立严格的检查制度,保证内部控制制度的落实,并对违规人员从严处罚,对于存在袒护包庇的各级负责人更要加大处罚力度。另一方面,可以根据银行业务特点运用先进信息系统来代替人工执行规章制度的约束,将内部控制的相关规定编入程序,通过系统自动识别员工在操作中有意无意出现的违规行为,从而杜绝人为因素干扰内部控制作用的发挥。同时,对内部控制建立科学的量化评价体系,明确区分执行情况的好坏,并通过奖惩制度提高制度执行力度,促进自觉严格执行制度。 2.加强内控体系中信息系统的建设。首先,丰富并完善系统数据库。由于需要对银行发行的新
8、产品、新业务与新流程等进行操作风险识别,商业银行信息管理系统需要一个完整的风险管理数据库系统,进而通过对风险指标的实时监测与有效识别,对操作风险预警并防范。完整的数据库可以从操作风险事故详情、影响因素、影响三个方面描述操作风险,为识别操作风险提供数据基础。其次,提高信息系统建设人员的银行业务水平以及操作人员的计算机技术水平。面对越来越复杂的操作风险环境,操作风险管理的技术支持水平要求也越来越高。一方面提高信息系统建设人员的银行业务水平;另一方面提高操作人员信息系统使用水平,使得先进的信息系统能够发挥其本身应有的效能;既能为操作风险管理提供信息支持,也能有效防范操作风险所带来的危害。再次,加大信
9、息系统软件与网络硬件的投入力度。软件系统方面包括业务处理系统、管理信息系统和外部网络系统等。系统软件的缺陷主要表现为:系统运行故障、数据运算故障、系统失灵或瘫痪、系统版本故障、数据输出故障、客户信息被盗等。系统软件是银行操作风险最为集中的领域。与系统硬件相比,软件发生故障原因更为复杂,问题出现更为频繁,解决速度缓慢,造成的损失也更大。硬件系统:主机、终端、柜员机、打印输出设备、网络设备、POS 机、数据存储设备等。系统硬件的缺陷主要表现为设备损坏、机器故障、数据损坏等,通常是由于硬件本身质量缺陷和运行环境不稳定造成的。 3.充分发挥内部审计的作用。一方面,强化审计部门的独立性,从向管理层负责转
10、变为直接向董事会负责。内部审计部门的负责人有董事会直接确定。同时,由内部审计部门的负责人提名,董事会通过投票来确定审计部门人员。保证其能够独立的发挥审计部门应有的作用。另一方面,加强对违规操作的处罚力度。按照规章制度从严处罚,杜绝员工中侥幸心理的存在。同时通过开展银行内部文化教育,提高员工对操作风险防范的重视程度。 参考文献 1 张同健.新巴塞尔协议下我国商业银行风险控制能力测度模型实证研究J.贵州财经学院学报.2008, (2):1319 2 张艺霄.我国商业银行操作风险影响因素及管理研究D.长沙理工大学.2011(61) 3 陈瑶.我国商业银行操作风险的内部控制研究D.河海大学.2007(10)
