1、商业银行操作风险与内部控制的关系研究摘要:操作风险是银行业面临的诸多风险之一,它与内部控制具有一定的相关性。本文在委托代理理论的基础上,对操作风险与内部控制的关系进行了深入研究。最后,针对如何降低操作风险、加强内部控制,从组织机构、控制制度、控制流程等方面提出建设性意见。 关键词:操作风险;内部控制;委托代理 一、 前言 操作风险是银行面临的基础风险之一,在国内外金融发展史中,未能妥善控制操作风险,而遭致重大损失的事件不胜枚举。从 199 年英国巴林银行倒闭,到 2008 年法国兴业银行由于交易员违规操作损失 49 亿欧元,操作风险已逐渐成为全球银行业面临的最大风险之一。国内商业银行近几年来也
2、发生了多起由操作风险引起的银行大案,2003 年中国农业银行内外勾结骗贷 4969 万元,200 年中国银行的高山案造成近 3 亿元损失,2006 年中国银行发生 43 亿元的票据诈骗案,这些生动的案件表明国内商业银行在管理操作风险方面还比较欠缺,商业银行对操作风险的内部控制尚待加强。 从我国商业银行操作风险的表现形式看,人员因素和内部流程是导致商业操作风险损失的主因,这与巴塞尔委员会对全球业绩良好的大银行进行操作风险数据调查的结果有着根本性区别,这也反映出我国商业银行内部控制的薄弱或内部控制制度执行不力。 商业银行内部控制指引要求内部控制涵盖操作风险管理,内部控制制度、监管体系的薄弱与不完善
3、才导致上述银行要案频发。 二、 商业银行操作风险与内部控制的关系 (一) 操作风险与内部控制的定义 根据巴塞尔委员会在 2004 年 6 月正式颁布的巴塞尔新资本协议第 64段所给的定义,以及 2007 年中国银监会发布操作风险管理指引中的定义,本文将操作风险定义为由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。中国人民银行在 2002 年9 月公布的商业银行内部控制指引中指出,内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法对风险进行事前防范、事中控制和事后评价的动态过程和机制。 (二)操作风险与内部控制关系研究的理论基础 解释商业银行操作
4、风险存在的理论有很多种,但最具有解释力的是委托代理理论。在现代企业制度中,资产所有者和公司最高决策者(董事会或总经理)之间就存在这种关系。代理关系可以存在于一切组织,一切合作性活动中,存在于企业的每一个管理层级上。委托代理关系的实质是委托人不得不为代理人的行为承担风险,而这又来自信息的不对称和契约的不完备性,因此委托代理理论分析的是不对称信息下的激励问题。 在信息不对称和不完备契约条件下,委托人和代理人间的利益冲突会产生代理人“道德风险” ,酿成“内部人控制” ,引发委托代理型操作风险。而委托代理理论视角下的内部控制则是由企业各层管理人员共同执行的,相邻层级之间存在着控制与被控制的关系,其中不
5、同层级的管理者由于其委托人处于不同层次,受托责任的大小也不同,因而掌握着不同的控制权力并承担相应的责任。 (三)内部控制与操作风险管理的关系分析 内部控制的最终目标是要实现商业银行安全稳健地运行。一个有效的内部控制意味着银行具有很强的风险防范和控制能力,风险案件很少或几乎不发生;反之,则是银行内部控制失灵的结果和表现。内部控制与操作风险管理是两个既有相同之处,又有明显区别的范畴。尽管两者的基本原则相同,在管理的内容上也存在许多重叠,但两者的重点、对象和目标是不同的。 就强调的重点而言,操作风险强调“区别”管理,区分出可承担的风险、可转移的风险,并采取不同的管理手段;内控机制强调控制机制建设,包
6、括建立内部控制政策和程序并保证它们在银行内部被严格执行。在管理对象方面,操作风险管理的对象是内部事件和外部事件,内控机制的对象是银行内部组织架构中的各个组成部分。比如,从董事会到高级管理层、中级管理层甚至普通员工,从银行的后台、中台到前台,从产品的研发部门到产品的风险管理部门、营销部门等。在管理的目标方面,操作风险管理的目标是单一的,即风险最小化或盈利最大化,而内控机制的目标是多重的,既要遵守国家的法律法规、金融监管规章和银行内部的规章制度,也要保证自身的发展战略和经营目标的全面实施和实现;既要保证风险管理体系的有效性,又要保证业务记录、财务信息及其他管理信息的及时性、完整性和真实性。 内部控
7、制与操作风险管理的相关性表现在以下几个方面。 1 控制操作风险有助于内部控制实现其目标。商业银行内部控制具有经营目标、财务报告目标与遵循目标 3 大目标,而操作风险管理则要测量操作风险以配置经济资本,以及分析操作风险的成因并加以防范。内部控制是操作风险管理的必要环节,通过保证合法经营,为实现商业银行操作风险管理目标提供合理保障;反之,测量并防范操作风险,可以帮助实现商业银行内部控制的三大目标。因此,内部控制与操作风险管理的目的具有一致性。 2 操作风险的防范主要依赖完善的内部控制。巴塞尔银行监管委员会1997 年有效银行监管的核心原则中提出, “最重大的操作风险在于内部控制和公司治理机制的失效
8、” 。可见操作风险的防范主要依赖完善的内部控制。商业银行的内部控制应当是一个由不同要素、不同运行环节组成的有机体。从要素体系来看,内部控制必须包括内部控制环境、风险识别和评估、内部控制措施、信息交流和反馈、监督纠正与评价大要素。其中任一要素的缺失都会导致内部控制的失灵,要素的不健全也会造成内部控制的低效和无效。从运行体系看,内部控制是一个由决策、建设与管理、执行与操作、监督与评价、持续改进个环节组成的有机系统。该系统有效运行的充分必要条件是每个环节的顺利运转,任一环节的失灵必然回造成操作风险大案要案的发生。 3 内部控制是银行管理操作风险的基础。银行的操作风险主要源于内部控制不完善和失误,这是
9、操作风险区别于信用风险和市场风险的最重要的方面。如果要降低和消除银行的操作风险,关键是要从银行内部控制入手,克服这些不完善和失误的地方。巴塞尔银行监管委员会认为资本约束并不是控制操作风险的最好办法,对付操作风险的第一道防线是严格的内控机制。对于外部因素导致的操作风险,因为外部事件是银行不可控制的,因而除了采用保险等风险缓释手段进行规避外别无他法。而由内部因素导致导致的操作风险却是银行可以防范的,通过加强内控建设,完善银行的业务流程、人事安排和会计系统,并强化法规执行控制,就能在相当程度上避免内部失误和违规操作,从而防范操作风险。 从巴塞尔新资本协议中对操作风险的定义可以看出,操作风险主要分为内
10、部程序风险(流程风险) 、人员风险、系统风险和外部事件风险这四大类风险,而对这四类风险内部控制中都可以找到相应制度机制能对风险进行相应控制。如流程风险,内部控制可以通过授权控制、职责分离制度等对其进行控制;对人员风险,内部控制中强调建立科学、有效的激励约束机制,培育良好的企业精神和内部控制环境,创造全体员工充分了解且能履行职责的环境;对系统风险,内部控制中有专门针对计算机信系统的内部控制制度;对外部事件风险,则有建立应急制度的规定,在一定程度上对此类风险进行防范和控制。所以从操作风险的定义看,内部控制与其存在着密切的联系,下面对操作风险的特征进行更深入的分析,探讨内部控制和操作风险之间的关系。
11、 4 内部控制能更好地应对操作风险的特征。 首先是内生性。操作风险内生于银行的业务操作,且大多与银行独特的内部风险管理环境有关,这为内部控制在操作风险管理中发挥重要作用奠定了基础。 其次是人为性。巴塞尔新资本协议中分类的七种操作风险中有六种与人相关。人为因索在引发操作风险的因素中占有直接的、重要的地位,绝大多数的操作风险更多的可以归因于有意(道德风险)或无意的人为操作失误。最后是广泛性。内部控制视角下我国商业银行操作风险研究从覆盖范围看,操作风险实际上几乎覆盖了银行经营管理所有方面的风险。 内部控制是操作风险管理实践的现实选择。当前银行为管理操作风险而从事的活动包括许多方面和形式,如改善公司治
12、理、审计稽核、合规检查、项目管理、I 新技术应用和 I 安全、业务持续计划、保险、业务外包、提取资本金、风险定价等等。这些管理操作风险的活动和方法从风险管理策略的角度可以分为两大类:风险规避和风险承担,风险承担又可进一步分为三类:内部控制、风险转移和风险吸收。不同类型的风险应当选择不同的管理方法:对于应视为管理重点的高频低损型操作风险,主要应通过改善流程、制定相关业务程序等内部控制控制的方法对其进行管理,也可以通过风险吸收的方式,如提取准备金并将成本计入产品定价中、提取风险资本金等;对低频高损型操作风险,可以通过内部控制中制定完善的紧急预案或业务持续计划的方法降低风险损失,也可以采用风险转移的
13、方法,如将此类业务外包给专业技术公司或进行保险等;对低频低损型操作风险,可以通过内部控制对其进行管理,也可以进行风险吸收;对发生频率高,造成损失又大的操作风险,银行往往采取风险规避的方式,即拒绝开展此项高风险业务或者关闭已开展的业务。 三、加强内部控制以防范操作风险的对策 商业银行操作风险控制是一项长期的任务,需要相关人员的共同努力。针对商业银行的实际情况,借鉴国外的先进经验,对银行的操作风险控制应采取以下主要对策。 (一)建立和完善商业银行组织机构 首先,机构设置要合法科学商业银行股份制改造以后面临的首要任务就是要建立两级代理、四权分离的现代公司组织机构,并从公司价值最大化的角度考虑,加强利
14、益相关者的共同治理,不断完善商业银行的公司治理结构、委托代理结构、股东治理结构和经理人制度。其次,规章制度要严密高效、相互制约;再次,成立资产管理委员会、贷款审查委员会、保密工作领导小组、内审委员会等组织,形成稽核部门对内审委员会负责,内审委员会对法人负责的制度。 (二)完善商业银行的内部控制制度 首先,理清现有各项规章制度,查找制度层面上的空白点和执行层面上的薄弱环节,进一步增强制度的可操作性,加大对重要业务风险点岗位的内部控制,不断健全财务信贷稽核等部门的规章制度,制定其操作流程岗位职责等规则,使员工有章可循有法可依。其次,制定合理的激励考核制度,形成良好的文化导向。银行的考核指标除了现有
15、的数量指标和速度指标外,还应加入质量指标和风险控制指标,对风险控制做得好的员工和部门进行精神上和物质上的双重奖励,形成一种正确的激励导向来引导员工的行为取向,提高员工防范操作风险的主动性把强制性的内部控制转化为员工自觉的风险防范行为,更好地防范和控制操作风险。最后,强化责任追究制度要构建严格的内控问责与惩戒制度将具体责任落实到具体岗位,然后按照岗位进行责任认定与追究对因违规而引发操作风险给商业银行带来损失的员工要严惩不贷。 (三)加快经营管理体制改革,创建良好的内部控制环境。 完善法人治理结构,按照现代企业制度的要求,使商业银行成为真正自主经营、自负盈亏、自我发展、自我约束的法人实体和市场主体
16、。建立符合国际标准的财务会计制度和信息披露制度,构建科学的经营管理体制,构造先进的人力资源管理和激励约束机制,实现经营管理信息化,为内部控制的建立与健全奠定良好的基础。加强各种制度建设,包括建立健全内部审计制度、内部控制制度、人事制度、风险管理制度等。建立健全操作风险的评估机制,利用审计监督手段控制操作风险,保持风险控制的独立性。 (四)建立完善的内部稽核系统和操作风险控制流程 要加强内部稽核监管部门的独立性和直属性,将稽核部门置于董事会的直接领导下,每一级的稽核部门和稽核人员都由上级稽核部门直接领导,形成一种独立的垂直领导体系,同时要做到稽核人员的人事工资福利等与所在行完全脱钩,割断稽核人员与所在行的利益关系,使稽核部门在处理与被稽核监督对象的关系上处于比较独立的地位。建立标准化的操作风险控制流程是加强内部控制确保制度落实的基础,商业银行应结合操作风险的特点确定一套完整统一的操作风险管理框架,涵盖操作风险的识别、评估缓释监测和报告等方面。 参考文献: 1尹桂芳论提高商业银行操作风险的防范能力J山西财经大学学报,2009 2李世尧利益集团视角下国有银行不良资产处置的拖延与突破J重庆工商大学学报,2010 3李玮浅谈如何加强商业银行操作风险的内部控制J金融观察,2009
