1、商业银行操作风险及其内部控制2013 年 5 月发生的招商银行计算机系统故障导致的全国交易短暂暂停给大量客户造成了巨大损失,这再次提醒我们要时刻敲响操作风险的警钟。 我国操作风险的特点 2004 年 6 月出台的新巴塞尔资本协议对商业银行的操作风险做了明确界定,即操作风险是指由不完善或失效的内部流程、人员及系统或外部事件而造成银行损失的风险。我国操作风险具有独特的四个特点:一是种类多。诱发操作风险的因素很多,例如人员的频发流动、违规操作、规章制度的缺陷、电子信息系统设计存在漏洞、产品创新频率加快等都可引操作风险。二是收益和风险的不对称。大部分操作风险的发生源于银行的业务操作,通常它们表现为只产
2、生损失而不产生收益。三是分散性。操作风险覆盖了银行经营管理所有方面的不同风险,既包括发生频率低,但可能导致较高损失的意外事件和徇私舞弊等(“低频高损” ),也包括那些发生频率高,但可能造成较低损失的日常业务流程处理上的小错误(“高频低损” ) 。四是内源性。操作风险发生是诸如外部环境变化、制度建设与执行、管理水平及工作人员自身修为等多种因素合力的结果,但归根结底是工作人员自身的原因。通过对我国商业银行部分历史数据的分析发现,内部欺诈和失职违规是我国商业银行操作风险的高发类型,其发案数达到 50%。 产生操作风险的深层次原因 当银行内部控制失效时,操作风险就会浮出水面,它涉及到银行的每一个业务及
3、其相关人员,这也是它和信用风险、市场风险的主要区别。操作风险事件的表现形式多种多样,包括业务差错、产品缺陷、违规操作、贪污受贿,透过现象看本质,这些操作风险实质是业务流程和内控管理制度存在缺欠。 组织结构不完整。表现在管理职责分散、管理职能制衡缺失和部门权力较弱。在我国商业银行操作风险事件中, “基层行长带队”的现象屡禁不止,表现在身处一线的支行管理人员利用职务上便利,实施较为严重的违法行为。部门权力缺乏主要体现为内部审计部门的权威性不强。我国银行的操作风险管理基本由内部审计部门负责,仅在总行设置操作风险管理经理一职,而基层机构基本没有专门的操作风险管理部门或只有授信总监对信贷活动进行风险监管
4、,这导致基层分支机构操作风险管理职能的缺失。典型地表现在内部审计部门通常注重基层操作人员的日常稽核监督,而对高层管理人员仅仅进行离任审计。 内部控制制度僵化、流于形式。在我国 2007 年邯郸农行特大金库盗窃案中, 库管员进出金库如入无人之境,使用金库的钱就像拿自家的钱一样,这充分说明银行内控管理严重失控,不相容岗位职责分离流于形式, 钥匙与密码管理合二为一,金库管理人员与保安人员相互制约只是挂在墙上的制度。 员工异常行为监测失效。从 2007 年到 2011 年,湖南省娄底市新化县联社石冲口信用社天龙山分社信贷员和操作员合伙盗支客户存款长达五年;农行广东南海九江支行营业部麦汉文挪用备用箱现金
5、案中,时间长达 4 年,涉案金额 980 万元。员工的行为监测和“柜员卡管理、印鉴密押、空白凭证、金库尾箱、查询对账和复合授权”等内控管理制度的落实形同虚设。 内控体系跟不上科技创新的步伐。日益发展的电子商务,可能引起包括外部欺诈和难以预料的系统安全等操作风险;高科技的运用将人工操作带来的风险转变为影响范围更广的系统性风险;在结算和清算系统中使用了越来越多的新技术,在减少某些风险的同时给银行带来了新的操作风险。金融创新和市场压力需要银行开发更为复杂的金融产品,新产品的出现会对银行的人员素质、系统和业务流程提出更高的要求,任何的疏漏都可能会给银行带来高额损失。如果银行的流程管理和内控体制还停留在
6、原地不动,类似招商银行的计算机系统故障问题将不断产生。内部稽核效力不足。目前,我国商业银行股份制的公司治理结构尚未完善,内部稽核监督不到位,不适应监管活动需要。一是内部稽核覆盖面窄,稽核广度、深度和频度不够,不能与银行风险水平相适应,稽核监督在履行职责中存在严重的滞后性。二是担负监督职能的检查辅导人员队伍尚未健全。三是稽核报告的质量尚未达到应有的水平,未引起管理层重视,没有及时纠正缺陷。 政策建议 有效管理操作风险的重要手段是完善内部控制,正如巴塞尔委员会在关于操作风险管理的报告中指出:“内部控制是操作风险管理的重要工具,绝大多数操作风险事件都与内控漏洞或者与不符合内控程序有关。 ”历史经验表
7、明,流动性紧缩压力下,存款市场竞争的加剧将可能使得银行放松内部控制,因此银行内控工作一定要未雨绸缪,警钟长鸣,超前防范。 构建权责明晰的操作风险管理组织体系。操作风险是由人员、系统、流程和外部事件四类因素引起的,几乎涉及到银行的所有部门,所以国外商业银行在操作风险管理框架中通常设置一个操作风险管理委员会,由总行各部门参加,而操作风险管理政策的执行和协调由专门的风险管理部门负责。我国商业银行操作风险管理组织体系构建模式如下:一是设立独立的操作风险管理部门,牵头全行操作风险统筹、规划、协调、管理。考虑到单独设立的条件在操作风险起步阶段的时机尚不具备,可以将此责任赋予某个固定部门承担,但前提是保证它
8、管理上的相对独立性和权威性。二是公司金融部、金融市场部、小企业金融服务中心等主要业务条线部门设立操作风险管理团队,并指派操作风险总监,行使条线和产品的操作风险管理,并明确双线报告制度,接受操作风险管理部门的指导管理。三是明确各层面、各部门在操作风险管理中的职责边界,适当交叉、全面覆盖,使操作风险管理“横到边、纵到底” ,理顺董事会、高级管理层、操作风险管理部门、业务部门、内控部门、审计部门的管理边界,必要时设立首席风险执行官,对董事会负责。 加强内部管理、健全内控机制是商业银行改革发展的内在要求。为了确保操作风险管理的有效性,应该制定完善的内控制度,并强化其执行力度。首先,应保证内部控制制度的
9、连续性和可调整性。银行更应该根据经营环境和实际业务的改变特别是实践反馈信息及时修订内控制度和业务流程,确保制度的有效和连续,形成对风险进行事前预防、事中控制和事后监督纠正的动态机制。其次,应强化内控制度的执行力度。“徒善不足以为政,图法不足以自行” 。好制度没有得到有效执行,只是一纸空文。操作风险管理制度能否很好地实施,有赖于各个部门间的协调配合,内控制度如果没有得到有效地执行,其实效性将十分有限。通过对各部门情况制定突查的方案并做到风险全覆盖。检查方式灵活多样,尤其是注重使用飞行检查、暗访暗查等方式,体现检查的针对性和突击性。 以制衡为核心理念,合理设置岗位权限。 “分权制衡”是提高内控效率
10、的重要保障。对任何可能引发操作风险事件的岗位,必须有相应的制衡安排,形成矩阵式的岗位牵制关系,避免出现“一把手说了算” 、 “关键岗位兼职”等不正常现象。 提升内审强度。目前我国内审稽核队伍建设滞后,与业务的高速增长相比处于落后态势,银行业内部审计人员占银行员工人数的比例为1%,国外一般为 5%,严重影响了内部稽核的频率和范围。而且,内部稽核人员的专业性不强,很多人甚至没有内部审计资格,对相关专业不熟,特别是电子计算机水平不高,不能适应内部稽核发展的电子化趋势,严重制约了银行内部稽核水平的提高,内审稽核方式主要局限于专项检查,突击检查和全面检查相对较少。打铁还需自身硬,内审部门在扩大人员配备的同时更要注重练好内功,通过定期或不定期地针对操作风险点进行全面稽核, 翻查历史查库及对账记录、监控金库等重要地方录像等形式加强后续监督。通过现场检查, 对内控存在漏洞及时提出建议, 与对基层人员进行面对面的内控指导交流, 并将发现的问题及时向上级汇报, 提出建议。对于典型问题要并以点盖面, 通报全行, 组织全员学习, 必要时展开全行大稽核检查, 对风险点进行全面清理。同时注重不同业务线相互交叉的检查,采取流程式的全面检查,使得检查形式的弱化问题得到根本改变,内审稽核检查有深度、频度和广大。
