从操作风险角度看银行内控制度建设0527

从操作风险视角看银行内控制度建设

一、操作风险的内涵与影响

操作风险作为一种古老的风险类型，从银行诞生之初就一直伴其左右。2004年6月26日颁布的《新巴塞尔资本协议》中，巴塞尔银行监管委员会将操作风险的定义为：“由于不完善或错误的内部操作程序、人员、系统或外部事件而导致直接或间接损失的风险。”进而将操作风险分为七种类型：内部欺诈、外部欺诈、雇佣关系、客户关系、产品以及业务操作、对物理资产的损害、业务中断及系统失灵、实施交付及流程管理。

与信用风险和市场风险不同，操作风险与报酬之间不一定存在一一对应的映射关系，因而不能完全量化地得以体现，所以曾在银行经营活动中未引起足够重视，这种忽视所付出的代价是无比惨痛的。1995年的巴林银行事件是全球金融业历史中挥之不去的一抹黑色，它为世界各国金融机构敲响警钟，警示操作风险已经成为严重威胁银行生存的重要因素之一。

近年来，国内外金融机构频频曝出一系列重大违规操作案件，也给金融界带来强烈震撼。数额惊人的财务损失、严重受损的机构声誉，人们愈加清醒地认识到操作风险在银行面临的诸多风险中所占的重要地位。就我国而言，随着金融业开放程度的提升以及市场化改革的推进，乘着入世的东风，中国正逐步融入国际金融大格局。全球化和

经济一体化带来的必然是日趋复杂的风险形势，因而如何正确、有效识别操作风险，并从制度构建、落实执行以及外部环境上采取措施加以管理与控制，更是一道摆在我国银行经营管理者面前值得认真分析并加以解决的课题。

二、内控制度的失效是操作风险频发的原因

（一）内部控制与操作风险的关系

如果把内部控制与操作风险之间的关系表述的“哲学”一点，那么它们是一对矛盾。操作风险是矛，内部控制是盾。一个健全和完善的内控体系是识别、方法和控制操作风险的基础。1998年1月，巴塞尔银行监管委员会发布了“内部控制系统的评估框架”被认为是与操作风险控制相关的文件中最重要的内部控制理论体系，该文件的结论是：最近发生的诸多案件表明，松散的内部控制是导致银行产生重大操作风险损失的一个根源。这一结论与操作风险本身的特征密不可分。由操作风险定义可知，其具有较强的内生性，往往来源于制度缺失、系统缺陷以及人员舞弊等，因而内部控制对操作风险的防范具有天然促进作用是不争的事实。且相较于外部监管与惩戒而言，依靠内部机制控制风险的好处不言而喻。银行往往对自身存在的制度缺陷更为了解，对风险点的把控更为准确，外部监管带来的高昂监管成本不一定会最大程度实现风险控制目标，“让最了解的人去进行管理”才是内部控制最重要的价值标准。

对银行而言，何为内部控制？我国2002年9月公布的《商业银行内部控制指引》中给出了较为清晰的定义：内部控制是商业银行为

实现经营目标，通过制定和实施一系列制度、程序和方法对风险进行事前方法、事中控制和事后评价的动态过程和机制。包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈以及监督评价与纠正五个要素。

（二）我国银行内部控制现状

银行作为经营货币这类特殊商品的经济实体，注定要比一般工商企业承受更高的风险，这就对其风险防范与控制能力提出更为严格的要求。中国人民银行稽核监督局曾对全国两千多家金融机构的内部控制现状进行了专项调查。结果表明，我国银行业无论是思想认识、制度建设还是人员素质、实施执行都存在问题，从而使其在经营管理上存在较大的风险隐患。具体归纳起来，有如下问题：

一是内控制度建设不健全。一方面，规章制度缺乏严密体系，无法达到内控的预期目标。随着金融全球化程度的加强，与世界先进金融机构的交流、互动增加，我国银行业在制度建设方面也下了很大工夫。但是，这些规章制度多是伴随着某种特定的金融产品或某特定的业务领域而产生，仅局限于覆盖该特定区域的风险点，具有单一点状或单一线状的特征，不能形成一体化网络，业务运行中的各个环节与流程难以达到平衡制约或者相互支撑。这种制度的执行结果是局部风险得到控制与防范，整体上却缺乏统一性与连贯性，各个分散的内控制度“单打独斗”，最终导致总体控制不足或低效。

另一方面，制度构建滞后，无法与业务发展速度相匹配。金融创新已成为提高银行核心竞争力的着力点，各家银行正致力于提升需求

管理的准确性和有效性，找准自己的市场定位和业务优势，合理地调配资源，最终形成自主创新产品和市场竞争力，新型金融产品与服务层出不穷。在业务迅速发展的情况下，部分信息化系统和产品业务流程的设计缺乏充分的时间和知识储备，初始设计不够严密或未能根据需要及时进行跟进与再造，对风险点无法实现全覆盖，出现“风险死角”，进而给欺诈事件可乘之机。

二是重设立，轻运行，内控制度执行不力，形同虚设。目前我国银行业多采取自上而下的管理形式，且通过层层授权来实现。决策层次过多，相关职能部门风险防范责任界限模糊，导致政策的传导和制度的执行力度会因各层级管理者的风险偏好或自身利益驱动而发生一定的扭曲或调整，规章制度的解释因人而异、因地而异，执行力逐级递减。

三是内部稽核力量薄弱，日常检查监督效果不力。首先，每每有新的规章制度出台，银行内部会配合组织多次检查，但这种检查往往是基于外部监管要求而进行，缺乏“内生性”，因此不免流于形式，成为突击应付手段之一。其次，随着管理层关注的侧重点发生变化，内部检查多是不定时、非制度化的，因而最终的结果并非追根溯源地进行整改，多为“就事论事”，难以达到防范风险的预期目标。

四是风险意识薄弱，内控优先理念缺乏。片面强调业务指标和发展速度，利益指标的驱动导致对内控优先的忽视；人员风险意识欠缺，对风险管理与内部控制缺乏真正的理解与把握，依法管理、合规经营的责任观念不强，怕麻烦、图方便，碍于情面、疏于防范等现象时有

发生；日常风险教育管理工作流于形式或缺乏针对性，使得风险文化基础薄弱，加之行为人本身自律意识和法律观念薄弱，存在侥幸心理，在面对诱惑时往往铤而走险。

三、加强内控制度建设，防范操作风险

内控体系是针对将会遇到的风险而设置的，所以内控制度建设的第一步应是对操作风险进行评估，根据评估结果设计相应的内控体系，然后由相关职能部门和人员去执行。最后，很关键也是常被忽视的一点是，还需要对内控体系的运行情况进行评价，根据结果对内部控制体系存在的缺陷进行改进。内控制度建设就是在“设计→执行→评价→改进”这个不间断的循环中得到持续的再造和重组，以确保建好的“模型”最大程度贴近真实的风险形势，使得银行经营目标得以实现。

综上，并结合我国银行业内控制度建设现状，笔者提出以下几点建议：

一是尽快完善法人治理结构建立,进一步推进深化商业银行股份制改革。充分利用公司治理理念，用“法治”代替“人治”,降低监管成本；

二是应意识到人是最大的风险，建立“以人为本”的风险管理文化，并形成“细节决定成败”的风险理念约束。理念是行动的先导，风险文化一旦形成，将直接或间接的影响行动结果。通过廉政教育、法律法规学习等形式多样的培训教育活动，使员工对风险高度重视、提高认识，增强案件形势变化的敏感性和案件防控工作的主动性；