本文分析了我國商業銀行操作風險的主要特點,闡述了加強內部控制抵御操作風險的措施。
我國操作風險的特點
2004年6月出臺的《新巴塞爾資本協議》對商業銀行的操作風險做了明確界定,即操作風險是指由不完善或失效的內部流程、人員及系統或外部事件而造成銀行損失的風險。我國操作風險具有獨特的四個特點:一是種類多。誘發操作風險的因素很多,例如人員的頻發流動、違規操作、規章制度的缺陷、電子信息系統設計存在漏洞、產品創新頻率加快等都可引操作風險。二是收益和風險的不對稱。大部分操作風險的發生源于銀行的業務操作,通常它們表現為只產生損失而不產生收益。三是分散性。操作風險覆蓋了銀行經營管理所有方面的不同風險,既包括發生頻率低,但可能導致較高損失的意外事件和徇私舞弊等(“低頻高損”),也包括那些發生頻率高,但可能造成較低損失的日常業務流程處理上的小錯誤(“高頻低損”)。四是內源性。操作風險發生是諸如外部環境變化、制度建設與執行、管理水平及工作人員自身修為等多種因素合力的結果,但歸根結底是工作人員自身的原因。通過對我國商業銀行部分歷史數據的分析發現,內部欺詐和失職違規是我國商業銀行操作風險的高發類型,其發案數達到50%。
產生操作風險的深層次原因
當銀行內部控制失效時,操作風險就會浮出水面,它涉及到銀行的每一個業務及其相關人員,這也是它和信用風險、市場風險的主要區別。操作風險事件的表現形式多種多樣,包括業務差錯、產品缺陷、違規操作、貪污受賄,透過現象看本質,這些操作風險實質是業務流程和內控管理制度存在缺欠。
組織結構不完整。表現在管理職責分散、管理職能制衡缺失和部門權力較弱。在我國商業銀行操作風險事件中,“基層行長帶隊”的現象屢禁不止,表現在身處一線的支行管理人員利用職務上便利,實施較為嚴重的違法行為。部門權力缺乏主要體現為內部審計部門的權威性不強。我國銀行的操作風險管理基本由內部審計部門負責,僅在總行設置操作風險管理經理一職,而基層機構基本沒有專門的操作風險管理部門或只有授信總監對信貸活動進行風險監管,這導致基層分支機構操作風險管理職能的缺失。典型地表現在內部審計部門通常注重基層操作人員的日常稽核監督,而對高層管理人員僅僅進行離任審計。
內部控制制度僵化、流于形式。在我國2007年邯鄲農行特大金庫盜竊案中, 庫管員進出金庫如入無人之境,使用金庫的錢就像拿自家的錢一樣,這充分說明銀行內控管理嚴重失控,不相容崗位職責分離流于形式, 鑰匙與密碼管理合二為一,金庫管理人員與保安人員相互制約只是掛在墻上的制度。
員工異常行為監測失效。從2007年到2011年,湖南省婁底市新化縣聯社石沖口信用社天龍山分社信貸員和操作員合伙盜支客戶存款長達五年;農行廣東南海九江支行營業部麥漢文挪用備用箱現金案中,時間長達4年,涉案金額980萬元。員工的行為監測和“柜員卡管理、印鑒密押、空白憑證、金庫尾箱、查詢對賬和復合授權”等內控管理制度的落實形同虛設。
內控體系跟不上科技創新的步伐。日益發展的電子商務,可能引起包括外部欺詐和難以預料的系統安全等操作風險;高科技的運用將人工操作帶來的風險轉變為影響范圍更廣的系統性風險;在結算和清算系統中使用了越來越多的新技術,在減少某些風險的同時給銀行帶來了新的操作風險。金融創新和市場壓力需要銀行開發更為復雜的金融產品,新產品的出現會對銀行的人員素質、系統和業務流程提出更高的要求,任何的疏漏都可能會給銀行帶來高額損失。如果銀行的流程管理和內控體制還停留在原地不動,類似招商銀行的計算機系統故障問題將不斷產生。
內部稽核效力不足。目前,我國商業銀行股份制的公司治理結構尚未完善,內部稽核監督不到位,不適應監管活動需要。一是內部稽核覆蓋面窄,稽核廣度、深度和頻度不夠,不能與銀行風險水平相適應,稽核監督在履行職責中存在嚴重的滯后性。二是擔負監督職能的檢查輔導人員隊伍尚未健全。三是稽核報告的質量尚未達到應有的水平,未引起管理層重視,沒有及時糾正缺陷。
政策建議
有效管理操作風險的重要手段是完善內部控制,正如巴塞爾委員會在《關于操作風險管理的報告》中指出:“內部控制是操作風險管理的重要工具,絕大多數操作風險事件都與內控漏洞或者與不符合內控程序有關。”歷史經驗表明,流動性緊縮壓力下,存款市場競爭的加劇將可能使得銀行放松內部控制,因此銀行內控工作一定要未雨綢繆,警鐘長鳴,超前防范。
構建權責明晰的操作風險管理組織體系。操作風險是由人員、系統、流程和外部事件四類因素引起的,幾乎涉及到銀行的所有部門,所以國外商業銀行在操作風險管理框架中通常設置一個操作風險管理委員會,由總行各部門參加,而操作風險管理政策的執行和協調由專門的風險管理部門負責。我國商業銀行操作風險管理組織體系構建模式如下:一是設立獨立的操作風險管理部門,牽頭全行操作風險統籌、規劃、協調、管理。考慮到單獨設立的條件在操作風險起步階段的時機尚不具備,可以將此責任賦予某個固定部門承擔,但前提是保證它管理上的相對獨立性和權威性。二是公司金融部、金融市場部、小企業金融服務中心等主要業務條線部門設立操作風險管理團隊,并指派操作風險總監,行使條線和產品的操作風險管理,并明確雙線報告制度,接受操作風險管理部門的指導管理。三是明確各層面、各部門在操作風險管理中的職責邊界,適當交叉、全面覆蓋,使操作風險管理“橫到邊、縱到底”,理順董事會、高級管理層、操作風險管理部門、業務部門、內控部門、審計部門的管理邊界,必要時設立首席風險執行官,對董事會負責。
加強內部管理、健全內控機制是商業銀行改革發展的內在要求。為了確保操作風險管理的有效性,應該制定完善的內控制度,并強化其執行力度。首先,應保證內部控制制度的連續性和可調整性。銀行更應該根據經營環境和實際業務的改變特別是實踐反饋信息及時修訂內控制度和業務流程,確保制度的有效和連續,形成對風險進行事前預防、事中控制和事后監督糾正的動態機制。其次,應強化內控制度的執行力度。“徒善不足以為政,圖法不足以自行”。好制度沒有得到有效執行,只是一紙空文。操作風險管理制度能否很好地實施,有賴于各個部門間的協調配合,內控制度如果沒有得到有效地執行,其實效性將十分有限。通過對各部門情況制定突查的方案并做到風險全覆蓋。檢查方式靈活多樣,尤其是注重使用飛行檢查、暗訪暗查等方式,體現檢查的針對性和突擊性。
以制衡為核心理念,合理設置崗位權限。“分權制衡”是提高內控效率的重要保障。對任何可能引發操作風險事件的崗位,必須有相應的制衡安排,形成矩陣式的崗位牽制關系,避免出現“一把手說了算”、“關鍵崗位兼職”等不正常現象。
提升內審強度。目前我國內審稽核隊伍建設滯后,與業務的高速增長相比處于落后態勢,銀行業內部審計人員占銀行員工人數的比例為1%,國外一般為5%,嚴重影響了內部稽核的頻率和范圍。而且,內部稽核人員的專業性不強,很多人甚至沒有內部審計資格,對相關專業不熟,特別是電子計算機水平不高,不能適應內部稽核發展的電子化趨勢,嚴重制約了銀行內部稽核水平的提高,內審稽核方式主要局限于專項檢查,突擊檢查和全面檢查相對較少。打鐵還需自身硬,內審部門在擴大人員配備的同時更要注重練好內功,通過定期或不定期地針對操作風險點進行全面稽核, 翻查歷史查庫及對賬記錄、監控金庫等重要地方錄像等形式加強后續監督。通過現場檢查, 對內控存在漏洞及時提出建議, 與對基層人員進行面對面的內控指導交流, 并將發現的問題及時向上級匯報, 提出建議。對于典型問題要并以點蓋面, 通報全行, 組織全員學習, 必要時展開全行大稽核檢查, 對風險點進行全面清理。同時注重不同業務線相互交叉的檢查,采取流程式的全面檢查,使得檢查形式的弱化問題得到根本改變,內審稽核檢查有深度、頻度和廣大。
