基于内部控制的商业银行操作风险防范研究
2014-11-28张雪梅吕金阳
张雪梅 吕金阳
摘 要:从商业银行近年来发生的操作风险案件入手,分析内部控制不足导致操作风险的原因,并从内部控制控制环境、风险评估、控制活动、信息与沟通、监督5个要素出发,分别提出加强内部控制,防范商业银行操作风险的针对性建议。
关键词:商业银行;内部控制;操作风险
中图分类号:F832.33 文献标志码:A 文章编号:1673-291X(2014)29-0209-02
自20世纪90年以来,商业银行的操作风险问题逐渐浮出水面。自巴林银行倒闭后,日本大和银行因操作失范导致的11亿美元损失,法国兴业银行和瑞士银行 “魔鬼交易员”而导致的巨额亏空等事件,逐渐受到全球银行界的高度重视。而我国商业银行混乱的内部控制与风险控制制度缺失也导致了诸如“齐鲁银行伪造票据”等案件。根据DIB内部控制与风险数据库的相关数据整理可以发现,2011年,我国境内上市银行披露的风险中有11.3%明确提到操作风险,而境外银行明确提到操作风险的仅为5.2%。由此可见,我国银行境内操作风险发生概率要远高于境外银行[1]。张吉光(2005)研究发现,今后数年内可能引致我国银行破产倒闭的罪魁祸首,可能既不是信用风险,也不是市场风险,而是被人们经常忽略的操作风险[2]。
一、操作风险与内部控制的含义
本文引用国际惯用对操作风险的定义,即巴塞尔银行监管委员会的定义“指由于不完善或有问题的内部操作过程、人员、系统或外部事件而导致的直接或间接损失的风险”[3]。由定义可知,内部控制缺失是操作风险形成的根本原因。
内部控制一词,最早出自于1992年COSO委员会公布的ERM框架(Enterprise Risk Management)。该框架完整地界定了内部控制的5项基本要素,即控制环境、风险评估、控制活动、信息与沟通、监督。其目的是确保商业银行在经营管理活动中,保障资产安全完整,保证会计资料准确、真实。我国上市公司于2009年7月1日起正式实施《企业内部控制基本规范》,该规范界定的控制主体包括企业董事会、监事会、经理层和全体员工,并针对5项要素提出具体要求。
二、商业银行内部控制不足导致的操作风险
由于我国商业银行尚未建立起统一规范的操作风险损失数据库系统,加之在信息披露时可能会存在的隐藏操作风险损失的动机,故而很难获得商业银行操作风险损失的全部数据。这对防范商业银行操作风险十分不利。本文根据公开媒体报道这一渠道搜集了2005年以来商业银行操作风险损失的典型案例(见表1),从损失类型可以发现,近年来商业银行操作风险损失多以内外勾结和内部欺诈为主,且案件中基层单位的管理层参与的比重较大,总结大多数操作风险案件,其共同点和本质多是银行内部流程不健全,人员素质不高及管理存在漏洞造成的。下面,本文就从内部控制不足角度归结我国商业银行操作风险产生的原因。
(一)缺乏与时俱进的操作风险管理理念
在我国商业银行风险管理中,操作风险并没有像信用风险、市场风险那样引起管理层的广泛重视,多数银行对操作风险仅存有碎片化的认知,在日常业务管理中会因为暂时未出问题而放松警惕。在日常工作中,由于操作风险的隐蔽性和突发性,多数商业银行的董事会并未能及时重视操作风险,最终导致不可挽回的巨额损失。有些管理者甚至将操作风险管理与业务发展对立起来,单纯将操作风险定位于风险控制部门应该处理的事情,很容易导致过度追求规模和速度的不良竞争。按照这种管理理念的指导,必然会导致各经营部门重视业务发展,忽略风险防范,从而导致银行资源配置在操作管理和内部控制上严重失衡,在商业银行实现快速发展的同时也留下了众多的风险隐患。
(二)缺乏对关键人员的监督约束机制
“企业中80%的利润是由20%的关键员工创造的”,商业银行同样适用于这条“二八定律”,银行中关键岗位的人员其管理权限更宽,掌控银行资源更容易,也就拥有更多的作案机会。美国注册舞弊审核协会(ACFE)的创始人Steven认为,就像燃烧必须要同时具备热度、燃料、氧气三要素一样,企业舞弊的必要条件也是三个要素共同作用的结果,即压力、机会和自我合理化,银行的关键人员恰恰容易同时具备这三个条件[4]。具体来说,在我国商业银行组织结构框架下,支行行长负责制就赋予了支行长这一职位过多的权力,如果没有内部控制作为“机会”的抑制剂,部分风险意识淡薄的支行行长就容易走上犯罪的道路。尽管监督机构会要求商业银行施行关键岗位的管理约束制度,但由于信息不对称,分支行较容易在日常业务中出现操作风险,而且当前支行领导拥有绝对权力,总行操作风险规范可能就被束之高阁。
(三)内部控制机制存在缺陷
内部控制机制最初的目的就是为了减少并控制商业银行徇私舞弊、弄虚作假、盗用公款等行为而设立的银行内部的管理活动。从本质上说,内部控制属于风险管理最初的组织形式和施行手段。而目前我国的商业银行操作风险管理往往根据具体的业务类型分散到不同的部门中,这在管理过程中就会导致多头管理,各自为政的问题。而少数设立风险管理部门的商业银行,其职能也大多集中在信用风险和市场风险管理上,容易忽视日常业务的操作风险,更多的是事后风险控制,几乎没有事前预防和事中监督过程。此外,目前商业银行也缺少具有可操作性的操作风险管理规范,这无形中加大了内部控制监督执行的难度。
(四)内部审计监督职能弱化
在现有的商业银行组织框架下,内部审计部门并非对董事会负责,而是设置在同级行长的管理之下,对行长负责。这种组织结构设置造成了内部审计部门管理权限的弱化,使其缺乏应有的独立性,出现了内部控制 “控下不控上”的局面,隔断了审计部门对管理层的监督和控制。至于审计部门对操作风险的监督,目前还仅局限于稽核部门对业务操作实施的不定期稽核,审计结果并未按照操作风险的业务种类进行差别化分析,而且,其机构设置缺乏独立性,导致内审部门没有处置权力,因此检查出问题也只能文过饰非,不了了之。endprint
三、基于内部控制的防范商业银行操作风险建议
高效的内部控制系统能够有效地降低银行的操作风险,而操作风险的降低也有利于银行节约资金成本。从银行操作风险和内部控制之间的关系可以看出,银行应该从内部控制的视角,全面有效地降低自身的操作风险。本文就从内部控制的五个要素出发,探讨防范商业银行操作风险的相关建议。
(一)营造全员管理的风险控制环境
控制环境是商业银行对内部控制制度的实施效果具有较大影响的环境因素的总和。其中,董事会应在操作风险管理中发挥积极作用,以反映董事会及各级管理部门对内部控制的重视程度。同时,董事会应该在商业银行塑造全员参与的风险管理文化环境,灌输操作风险不仅是风险控制部门的责任和义务,又必须是全体银行成员必须履行的义务。在商业银行系统内部要加强开展典型案例教育和政策法规教育,提高全行员工的遵纪守法观念和安全防范意识。同时,要加强业务人员业务素养和业务能力培训,使其熟悉岗位职责要求和职责权限,不越权办理业务;同时,要努力发现身边现实问题,不要因短时利益得失而遮蔽风险,因小失大;同时,可以尝试个人薪酬、绩效考核与风险管理结果挂钩,增强业务人员的风险管理意识。
(二)建立主体多元化的操作风险内部控制系统进行评估
当前,商业银行操作风险评估主要有两种形式,一种形式是商业银行自身通过主体管理进行自身评估,主要源自于商业银行对剩余风险的识别和评估,区分可接受的剩余风险和不可接受的剩余风险,并要求采取可操作的控制改进措施,加强对整改行为进行全程化监督。另外一种形式是银行启动审计署、外聘审计事务所、银监局等外部审计部门评估操作风险方面的问题。对外部审计部门发现的问题,商业银行应会同操作风险管理部门对发现的问题进行识别和评估,对真实存在的可接受的操作风险进行整改,并对具体操作风险进行分类,将突出问题列入关键风险指标,加强风险管理。因此,应避免“头痛医头,脚痛医脚”的被动型事后管理局面,尽快实施主动化、程序化、全面化的风险评估,构筑系统化的操作风险管理系统。
(三)完善操作风险的控制措施
商业银行为了确保管理方针顺利的贯彻实施,还需要建立一系列规章、制度和程序,它们构成了商业银行内部控制的核心和关键点,被称之为控制措施。由于整个控制系统的核心环节就是控制过程。控制过程正是将环境、目标、事件、风险评估与应对、信息沟通、监督等要素有机的结合成一个整体,所谓细节决定成败,控制过程的每个细节出现问题,都会造成控制系统的紊乱。
完善操作风险摒弃传统的单纯依靠各部门相互制衡的风险控制手段,一笔记账背后会追加复核、授权、内部稽核、外部审计等若干人的监督,而是要在业务操作流程过程之中融入内部控制措施,在很大程度上降低了运营成本,也有利于各部门的沟通与合作。有效的操作控制措施需要改变传统业务流程再造急于求成的错误思路,将程序控制作为操作规范标准,规范“事中控制”过程。
(四)建立有效的信息交流反馈渠道
企业的有效运营依靠的是对外部信息的识别和对内部信息的处理。信息化时代背景下商业银行应该依靠媒体或中介开展内部控制,以促进信息的交流与反馈。只有建立顺畅的信息交流渠道,银行的管理层才能够掌握银行经营管理动态,并确保员工能够在信息交流中明确自己的任务分工和职责所在。在此基础上,还要不断加强纵向结构之间、横向部门之间的信息交流,确保对风险关键点采取积极的应对措施,做到有效防范风险。
(五)实行风险导向内审,建立监督网络
实行风险导向型的内部审计,就是要保证内部审计部门在商业银行相对独立的地位,高度重视新业务风险,在环境变化中判断无法防范的剩余风险,保证审计工作覆盖全部经营业务过程。同时,还有必要建立银行间的审计监督网络,实现银行间业务数据的对接和风险预警提示。
参考文献:
[1] 张吉光.商业银行操作风险识别与管理[M].北京:中国人民大学出版社,2005.
[2] Basel Committee on Banking Supervision.Consultative Document:Operational Risk,Bank for International Settlement[A].2001,(2).
[3] 陈卓.我国商业银行操作风险内部控制浅析[J].经验管理者,2014,(4):37.
[责任编辑 安 琪]endprint
三、基于内部控制的防范商业银行操作风险建议
高效的内部控制系统能够有效地降低银行的操作风险,而操作风险的降低也有利于银行节约资金成本。从银行操作风险和内部控制之间的关系可以看出,银行应该从内部控制的视角,全面有效地降低自身的操作风险。本文就从内部控制的五个要素出发,探讨防范商业银行操作风险的相关建议。
(一)营造全员管理的风险控制环境
控制环境是商业银行对内部控制制度的实施效果具有较大影响的环境因素的总和。其中,董事会应在操作风险管理中发挥积极作用,以反映董事会及各级管理部门对内部控制的重视程度。同时,董事会应该在商业银行塑造全员参与的风险管理文化环境,灌输操作风险不仅是风险控制部门的责任和义务,又必须是全体银行成员必须履行的义务。在商业银行系统内部要加强开展典型案例教育和政策法规教育,提高全行员工的遵纪守法观念和安全防范意识。同时,要加强业务人员业务素养和业务能力培训,使其熟悉岗位职责要求和职责权限,不越权办理业务;同时,要努力发现身边现实问题,不要因短时利益得失而遮蔽风险,因小失大;同时,可以尝试个人薪酬、绩效考核与风险管理结果挂钩,增强业务人员的风险管理意识。
(二)建立主体多元化的操作风险内部控制系统进行评估
当前,商业银行操作风险评估主要有两种形式,一种形式是商业银行自身通过主体管理进行自身评估,主要源自于商业银行对剩余风险的识别和评估,区分可接受的剩余风险和不可接受的剩余风险,并要求采取可操作的控制改进措施,加强对整改行为进行全程化监督。另外一种形式是银行启动审计署、外聘审计事务所、银监局等外部审计部门评估操作风险方面的问题。对外部审计部门发现的问题,商业银行应会同操作风险管理部门对发现的问题进行识别和评估,对真实存在的可接受的操作风险进行整改,并对具体操作风险进行分类,将突出问题列入关键风险指标,加强风险管理。因此,应避免“头痛医头,脚痛医脚”的被动型事后管理局面,尽快实施主动化、程序化、全面化的风险评估,构筑系统化的操作风险管理系统。
(三)完善操作风险的控制措施
商业银行为了确保管理方针顺利的贯彻实施,还需要建立一系列规章、制度和程序,它们构成了商业银行内部控制的核心和关键点,被称之为控制措施。由于整个控制系统的核心环节就是控制过程。控制过程正是将环境、目标、事件、风险评估与应对、信息沟通、监督等要素有机的结合成一个整体,所谓细节决定成败,控制过程的每个细节出现问题,都会造成控制系统的紊乱。
完善操作风险摒弃传统的单纯依靠各部门相互制衡的风险控制手段,一笔记账背后会追加复核、授权、内部稽核、外部审计等若干人的监督,而是要在业务操作流程过程之中融入内部控制措施,在很大程度上降低了运营成本,也有利于各部门的沟通与合作。有效的操作控制措施需要改变传统业务流程再造急于求成的错误思路,将程序控制作为操作规范标准,规范“事中控制”过程。
(四)建立有效的信息交流反馈渠道
企业的有效运营依靠的是对外部信息的识别和对内部信息的处理。信息化时代背景下商业银行应该依靠媒体或中介开展内部控制,以促进信息的交流与反馈。只有建立顺畅的信息交流渠道,银行的管理层才能够掌握银行经营管理动态,并确保员工能够在信息交流中明确自己的任务分工和职责所在。在此基础上,还要不断加强纵向结构之间、横向部门之间的信息交流,确保对风险关键点采取积极的应对措施,做到有效防范风险。
(五)实行风险导向内审,建立监督网络
实行风险导向型的内部审计,就是要保证内部审计部门在商业银行相对独立的地位,高度重视新业务风险,在环境变化中判断无法防范的剩余风险,保证审计工作覆盖全部经营业务过程。同时,还有必要建立银行间的审计监督网络,实现银行间业务数据的对接和风险预警提示。
参考文献:
[1] 张吉光.商业银行操作风险识别与管理[M].北京:中国人民大学出版社,2005.
[2] Basel Committee on Banking Supervision.Consultative Document:Operational Risk,Bank for International Settlement[A].2001,(2).
[3] 陈卓.我国商业银行操作风险内部控制浅析[J].经验管理者,2014,(4):37.
[责任编辑 安 琪]endprint
三、基于内部控制的防范商业银行操作风险建议
高效的内部控制系统能够有效地降低银行的操作风险,而操作风险的降低也有利于银行节约资金成本。从银行操作风险和内部控制之间的关系可以看出,银行应该从内部控制的视角,全面有效地降低自身的操作风险。本文就从内部控制的五个要素出发,探讨防范商业银行操作风险的相关建议。
(一)营造全员管理的风险控制环境
控制环境是商业银行对内部控制制度的实施效果具有较大影响的环境因素的总和。其中,董事会应在操作风险管理中发挥积极作用,以反映董事会及各级管理部门对内部控制的重视程度。同时,董事会应该在商业银行塑造全员参与的风险管理文化环境,灌输操作风险不仅是风险控制部门的责任和义务,又必须是全体银行成员必须履行的义务。在商业银行系统内部要加强开展典型案例教育和政策法规教育,提高全行员工的遵纪守法观念和安全防范意识。同时,要加强业务人员业务素养和业务能力培训,使其熟悉岗位职责要求和职责权限,不越权办理业务;同时,要努力发现身边现实问题,不要因短时利益得失而遮蔽风险,因小失大;同时,可以尝试个人薪酬、绩效考核与风险管理结果挂钩,增强业务人员的风险管理意识。
(二)建立主体多元化的操作风险内部控制系统进行评估
当前,商业银行操作风险评估主要有两种形式,一种形式是商业银行自身通过主体管理进行自身评估,主要源自于商业银行对剩余风险的识别和评估,区分可接受的剩余风险和不可接受的剩余风险,并要求采取可操作的控制改进措施,加强对整改行为进行全程化监督。另外一种形式是银行启动审计署、外聘审计事务所、银监局等外部审计部门评估操作风险方面的问题。对外部审计部门发现的问题,商业银行应会同操作风险管理部门对发现的问题进行识别和评估,对真实存在的可接受的操作风险进行整改,并对具体操作风险进行分类,将突出问题列入关键风险指标,加强风险管理。因此,应避免“头痛医头,脚痛医脚”的被动型事后管理局面,尽快实施主动化、程序化、全面化的风险评估,构筑系统化的操作风险管理系统。
(三)完善操作风险的控制措施
商业银行为了确保管理方针顺利的贯彻实施,还需要建立一系列规章、制度和程序,它们构成了商业银行内部控制的核心和关键点,被称之为控制措施。由于整个控制系统的核心环节就是控制过程。控制过程正是将环境、目标、事件、风险评估与应对、信息沟通、监督等要素有机的结合成一个整体,所谓细节决定成败,控制过程的每个细节出现问题,都会造成控制系统的紊乱。
完善操作风险摒弃传统的单纯依靠各部门相互制衡的风险控制手段,一笔记账背后会追加复核、授权、内部稽核、外部审计等若干人的监督,而是要在业务操作流程过程之中融入内部控制措施,在很大程度上降低了运营成本,也有利于各部门的沟通与合作。有效的操作控制措施需要改变传统业务流程再造急于求成的错误思路,将程序控制作为操作规范标准,规范“事中控制”过程。
(四)建立有效的信息交流反馈渠道
企业的有效运营依靠的是对外部信息的识别和对内部信息的处理。信息化时代背景下商业银行应该依靠媒体或中介开展内部控制,以促进信息的交流与反馈。只有建立顺畅的信息交流渠道,银行的管理层才能够掌握银行经营管理动态,并确保员工能够在信息交流中明确自己的任务分工和职责所在。在此基础上,还要不断加强纵向结构之间、横向部门之间的信息交流,确保对风险关键点采取积极的应对措施,做到有效防范风险。
(五)实行风险导向内审,建立监督网络
实行风险导向型的内部审计,就是要保证内部审计部门在商业银行相对独立的地位,高度重视新业务风险,在环境变化中判断无法防范的剩余风险,保证审计工作覆盖全部经营业务过程。同时,还有必要建立银行间的审计监督网络,实现银行间业务数据的对接和风险预警提示。
参考文献:
[1] 张吉光.商业银行操作风险识别与管理[M].北京:中国人民大学出版社,2005.
[2] Basel Committee on Banking Supervision.Consultative Document:Operational Risk,Bank for International Settlement[A].2001,(2).
[3] 陈卓.我国商业银行操作风险内部控制浅析[J].经验管理者,2014,(4):37.
[责任编辑 安 琪]endprint
