內部控制對操作風險控制的激勵性經驗分析

2008-12-31 00:00:00蘇虹張同健

中國管理信息化 2008年21期

［摘要］操作風險正上升為我國商業銀行的主要風險，操作風險控制也成為銀行管理的主要內容。銀行內部控制是操作風險控制的主要措施，即操作風險控制的績效在很大程度上依賴于內部控制的完善程度。近年來，我國商業銀行大力推廣和實施內部控制制度，以期預防和抑制操作風險的危害。結構方程模型可以對內部控制的績效提供實證檢驗，同時揭示了我國商業銀行操作風險控制過程中的若干現實性問題。

［關鍵詞］商業銀行；內部控制；操作風險控制；金融危機；結構方程

［中圖分類號］F832.33［文獻標識碼］A［文章編號］1673-0194（2008）21-0049-04

1 引言

1. 1我國商業銀行的內部控制

20世紀70年代以來，全球金融業進入了一個動蕩的時期，銀行業危機頻發，金融風險不斷發生，嚴重威脅著金融業的安全。1994年發生的墨西哥金融危機，以及隨后的巴林銀行事件、大和銀行事件、住友銀行事件、東南亞金融危機，和我國銀行業不斷發生的事件，給我國銀行管理敲響了警鐘。這些銀行事件發生的根本原因在于銀行機構內部控制不嚴，從而掀起了各國對銀行業內部控制研究的高潮。

內部控制是20世紀中葉隨著現代經濟的發展而建立起來的一個重要管理方法。國際上比較成熟的內部控制模式有英國的Cadbury、美國的COSO和加拿大的COCO。巴塞爾銀行監管委員會在這些先進模式和經驗的基礎上，提出了《銀行內部控制系統框架》的13項原則，為各國商業銀行的內部控制提供了有效的模式和方向［1］。

我國金融界認為，商業銀行內部控制是商業銀行在經營管理活動中，為保證管理有效、保障資產安全完整、保證會計資料準確、真實，為實現其經營目標，以及鼓勵遵守既定的管理政策而采取的所有相應的手段和方法。依據人民銀行1997年公布的《加強金融機構內部控制的指導原則》，金融機構的內部控制是金融機構的一種自律行為，是金融機構為完成既定的經營目標而制定和實施的涵蓋各項業務活動、涉及內部各級機構、各職能部門及其工作人員的一系列具有控制職能的方法、措施和程序的總稱。人民銀行在2002年4月公布的《商業銀行內部控制指引（征求意見稿）》中指出，內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制和事后評價的動態過程和機制。

1. 2我國商業銀行的操作風險控制

操作風險是銀行業面臨的最古老的風險之一，在全球范圍內給許多金融機構造成了嚴重的經濟損失，但操作風險的理論研究、實際應用、制度規范等遠遠落后于信用風險和市場風險。《巴塞爾新資本協議》在第一支柱中對操作風險提出最低資本要求，是巴塞爾銀行監管委員會在資本監管要求方面的最大變化［2］。

巴塞爾銀行監管委員會認為，操作風險是指由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險，這一定義包括法律風險，但不包括策略風險和聲譽風險。巴塞爾銀行監管委員會將操作風險歸結為7個類型：內部欺詐、外部欺詐、就業政策和工作場所安全、客戶關系、實體資產的損害、業務中斷及系統失靈、執行交割及流程管理。

操作風險控制就是對操作風險進行識別、評估、監測、報告、應對的過程。我國商業銀行具有高度的同質化現象，一家銀行的操作風險特征基本上代表了我國商業銀行整體的操作風險特征。張吉光認為，今后幾年內我國銀行業如果出現破產倒閉事件，罪魁禍首不是信用風險，也不會是市場風險，而是被人們長期忽略的操作風險［3］。

2005年3月27日，我國銀監會發布了我國銀行業第一個關于操作風險的管理指引——《關于加大防范操作風險工作力度的通知》（簡稱操作風險十三條），標志著我國商業銀行操作風險管理進入了一個新的階段。操作風險十三條分別從規章制度建設、稽核體制建設、基層行合規性監督、訂立職責制、行務管理公開等方面對銀行的機構管理提出了要求，從輪崗輪調、重要崗位人員行為失范、監察制度、舉報人員的激勵機制等方面對銀行人員的管理提出了要求，從對賬制度、未達賬項管理、印壓證管理、賬外經營監控、改進科技信息系統等方面對銀行的賬戶管理提出了要求。

1. 3本文研究目的

巴塞爾銀行監管委員會認為，操作風險的防范主要依賴于完善的內部控制，內部控制的最終目標就是實現商業銀行安全穩健地運行，所以，有效的內部控制體系可以確保商業銀行具有強大的風險防范和風險控制能力。巴塞爾監管委員會于1997年在《有效銀行監管的核心原則》中強調，“最重大的操作風險在于內部控制和公司治理結構的失效”［4］。從我國近幾年來的一系列不良銀行事件中可以看出，內部控制的失靈必然造成大案要案的發生，這既可能是由于內部控制體系要素缺失或不健全引起的，也可能是由于內部控制體系運行中某個或某幾個環節失靈或存在漏洞造成的。

因此，商業銀行內部控制是操作風險控制的有效措施，操作風險控制績效在很大程度上依賴于內部控制的完善程度。針對近年來操作風險頻發的現象，我國商業銀行大力實施和開展內部控制活動，以期最大程度地降低操作風險的危害程度。本文運用結構方程模型，對我國商業銀行的內部控制績效進行實證檢驗，同時揭示了我國商業銀行操作風險控制過程中的若干現實性問題，為我國商業銀行加大操作風險控制力度、提高經營績效提供有益的理論借鑒。

2 模型構建

2. 1假設的提出

2. 1. 1內部控制要素分析

現代內部控制理論賦予了內部控制寬廣的職能，把內部控制置于較高的管理層面上，從而強化了內部控制的突出作用。COSO委員會認為，內部控制由控制環境、風險評估、控制活動、信息與交流、監督評審5大要素組成。而巴塞爾委員會則在控制環境中強調了管理層的監督和控制文化，在控制活動方面又突出了職責分離的重要性，特別對信息與交流作了更多的解釋，除了監督評審活動外，還把缺陷糾正這種被COSO委員會認為并非內控的行為也納入內控框架。

根據我國商業銀行內部控制的實踐可知，我國商業銀行內部控制是由不同要素、不同環節組成的有機體。從要素體系來看，內部控制包括內部控制環境、風險識別和評估、內部控制措施、信息交流和反饋、監督評價與糾正5大要素。從運行體系來看，內部控制是一個由決策、建設與管理、執行與操作、監督與評價、持續改進等5個環節組成的有機系統。目前，我國商業銀行內部控制體系的缺陷是：銀行各分支機構管理模式不統一；缺乏對分支機構主要負責人的內部牽制；制度龐雜、難以掌握和遵循；控制不足與控制過度并存；制度評估反饋機制缺失；激勵約束不足；重結果輕過程等。

根據以上分析，并結合文獻［5－6］的研究成果，可以將我國商業銀行內部控制體系分為4個要素：內部控制設計、內部控制執行、內部控制評價和改進、內部控制環境。

2. 1. 2操作風險控制要素分析

按照國際上操作風險管理的通常做法，有效的操作風險管理體系應該包括戰略、流程、方法、工具、信息系統、報告、激勵約束機制等。一般而言，我國商業銀行操作風險管理框架由操作風險管理戰略目標、操作風險管理環境、操作風險管理體系3部分組成。實際上，我國尚沒有一家銀行建立較為完整的操作風險管理體系，較為領先的銀行剛剛建立操作風險管理的組織機構，開始制定操作風險管理政策、收集操作風險管理數據、研究操作風險定性定量化的管理技術和方法。

張吉光認為，國內商業銀行操作風險控制存在如下6個值得重視的問題：員工違法行為和外部欺詐是我國商業銀行經常發生的操作風險，所占的比例非常高，且危害性極大；從操作風險發生的業務線來看，商業銀行應該密切關注公司金融業務和個人金融業務；操作風險不僅僅存在于運營部門或操作部門，就連管理部門和后勤部門也不能幸免；操作風險的危害程度絕不亞于信用風險和市場風險，將風險管理等同于信用管理甚至信貸管理的傳統觀念是錯誤的；基層人員可以引發操作風險，高層管理人員同樣會引發操作風險，而且危害性更大；操作風險中的高科技因素日漸增多［3］。

根據以上分析，并結合文獻［7－11］的研究成果，可以將我國商業銀行操作風險控制體系分解為3個要素：操作風險控制意識、操作風險控制行為、操作風險控制績效。

2. 1. 3研究假設設計

本文設內部控制設計為ξ₁、內部控制執行為ξ₂、內部控制評價和改進為ξ₃、內部控制環境為ξ₄，同時設操作風險控制意識為η₁、操作風險控制行為為η₂、操作風險控制績效為η₃，并根據以上的理論分析及相關研究成果，提出本文的理論假設（見表1）。

2.2指標體系設計

2. 2. 1內部控制系統指標體系的分解

根據文獻［5－6］的研究成果，可以對我國商業銀行內部控制體系各構成要素進行指標測度體系的分解。內部控制設計要素（ξ₁）分解為如下4個測度指標：職責分離X₁，指重要崗位的職能和責任分離；層次性X₂，指在銀行業務的每一層次都有明確的內控措施；審計制度X₃，指銀行設立獨立的審計部門并擁有一批訓練有素的內部審計人員；內控激勵機制X₄，指銀行存在有效的內控激勵機制以提高全體員工的誠信意識。內部控制執行要素（ξ₂）可以分解為如下4個測度指標：職責明晰性X₅，指銀行能夠明確劃分部門之間、崗位之間、機構之間的職責；持續監督X₆，指銀行機構實現對主要風險進行持續的監測和督察，并使之成為日常業務；內控及時性X₇，指職員能夠實現隨時將發現的內控缺陷向適當的管理機構匯報；職能獨立性X₈，指風險管理的職能部門在風險管理過程中具有高度的獨立性。內部控制評價與改進要素（ξ₃）可以分解為如下4個測度指標：內控規章完善性X₉，指銀行內部存在全面、系統、成文的內控政策、制度和程序；制度適應性X₁0，指內控制度系統能夠同銀行表內表外業務中的潛在風險相適應；內控制度更新X₁1，指內控制度不間斷地得到修改和完善以適應新風險的出現；潛性沖突識別X₁2，指銀行內控機構能不斷地識別潛在的利益沖突并將其消除。內部控制環境要素（ξ₄）可以分解為如下4個測度指標：董事會監督X₁3，指董事會定期對銀行的經營策略和重要政策進行檢查和監測；內部控制文化X₁4，指銀行內部存在強健的、有效的、自我適應的內部控制文化；信息系統建設X₁5，指銀行內部具有穩健的信息系統和反映所有重大業務的數據庫；組織結構性能X₁6，指銀行內部存在靈活有效的組織結構以支持內控行為的實施。

2. 2. 2操作風險控制系統指標體系的分解

根據文獻［7－11］的研究成果，可以對我國商業銀行操作風險控制體系各構成要素進行指標測度體系的分解。操作風險控制意識要素（η₁）可以分解為如下4個測度指標：風險防范意識Y₁，指業務層人員日益認識到并能有意識地克服操作風險的危害；領導層自律意識Y₂，指銀行領導層能夠自覺地抵御導致風險產生的非理性思想；風險監控意識Y₃，指商業銀行員工認為除了提高自己對風險的警覺性以外，還認為很有必要在業務系統的范圍內監控他人的風險動機與風險行為；專業人才培育Y₄，指銀行加強對專業風險管理人員的引進、選拔、培訓和激勵。操作風險控制行為要素（η₂）可以分解為如下4個測度指標：風險信息披露Y₅，指商業銀行積極地對客戶、監管機構、公眾等披露操作風險發生的過程、誘因、損失、賠償等信息；操作風險計量Y₆，指商業銀行對操作風險事件發生的概率、損失、周期、效應等特征進行全方位的衡量和測度；風險轉移能力Y₇，指銀行借助于特定的金融工具以一定的成本將操作風險轉移到銀行外部；業務流程優化Y₈，指以操作風險控制為目標的銀行業務流程的重組和再造。操作風險控制績效要素（η₃）可以分解為如下4個測度指標：風險發生頻次Y₉，指在固定時間周期內（如1年）銀行操作風險發生的次數；風險損失額Y₁0，指每次由操作風險所導致的損失金額；健全稽核體系Y₁₁，指確保銀行內部權力制衡和杜絕制度性漏洞的內部監控制度；風險經驗積累Y₁₂，指銀行員工與組織關于隱性風險控制知識和能力的積聚。

2. 3模型確立

根據假設內容與指標體系，可以建立結構方程模型，如圖1所示。

3 模型驗證

3. 1驗證思路

至此，本文已根據理論分析的12個假設構造出結構方程模型，通過對結構方程的路徑檢驗可以驗證理論假設的真偽性與影響幅度。結構方程模型是基于變量的協方差矩陣來分析變量之間關系的一種統計方法，是一個包含面很廣的數學模型，用以分析一些涉及潛變量的復雜關系［12］。通常的回歸模型只能包含一個因變量，只能分析直接效應，不能分析間接效應。而結構方程可以有效地解決這一問題。

本模型已建立4個外源變量（ξ₁、ξ₂、ξ₃、ξ₄）、16個外源變量指標（X₁~X₁6）、3個內生變量（η₁、η₂、η₃）、12個內生變量指標（Y₁ ~Y₁2）、12條因果路徑關系、6條相關路徑關系。通過生成外源變量對內生變量的效應矩陣（Γ）、外源變量協方差矩陣（ф）、外源變量因子負荷矩陣（ΛX）、內生變量因子負荷矩陣（ΛY）、外源指標方差矩陣（Θε）、內生指標方差矩陣（Θδ）、模型殘差協方差矩陣（ψ）、各種擬合指數等來測度路徑系數顯著性、因子負荷顯著性、因子誤差方差顯著性，并經過模型修正，得到最優模型，從而實現對模型理論的驗證。

3. 2數據收集

本文采用七點量表制對28個觀察指標進行行業調查，在全國范圍內的四大國有商業銀行獨立核算單位中選擇樣本238份，調查對象全部為各單位的高層管理人員。這些樣本分布于京、津、滬、陜、豫、渝、皖、甘、新、滇、川、粵、蘇、浙、湘、蒙等16個省市自治區，可以認定在地域上能夠有效地代表我國商業銀行總體的分布情況。其中中國工商銀行74份、中國建設銀行76份、中國農業銀行47份、中國銀行41份，可以認定在結構上能夠代表我國商業銀行的總體分布情況。

通過電子問卷、郵寄問卷、電話采訪、面談等形式，筆者向238家調查對象尋求數據支持。本次調查共收回有效樣本數據238份，有效回收率為100%，滿足調查研究中樣本回收率不低于20%的要求。

3. 3驗證分析

本文采用了SPSS 11.5和LISREL 8.7進行模型驗證，得外源變量對內生變量的效應矩陣（Γ），見表2。