從內部審計角度淺析商業銀行柜面操作風險的防范

摘要:中國銀行業監督管理委員會高度重視金融案件防控和專項治理工作，而商業銀行柜面操作風險又是案件防控和專項治理的重中之重。本文結合筆者工作實踐，對銀行柜面操作風險的主要內容和成因進行了分析，并從商業銀行內部和外部監管兩個層面提出了建議，具有一定的現實意義。

關鍵詞:商業銀行;內部審計;操作風險防范

中圖分類號:F832.33 文獻標識碼:A 文章編號:1003-9031(2010)05-0086-03DOI:10.3969/j.issn.1003-9031.2010.05.22

商業銀行柜面操作風險防范一直是銀行監管部門及商業銀行內部案件防范的重中之重，筆者根據自身工作實踐并結合柜面業務審計情況，重點對審計發現問題產生的原因進行了深入分析，從商業銀行內部管理及外部監管兩個層面提出了相應的管理建議，從而對商業銀行柜面操作風險防范進行了有益探討。

一、銀行柜面操作風險審計的背景及目的

根據《巴塞爾新資本協議》對操作風險的定義，銀行柜面操作風險可分為四方面:一是業務流程設計不合理和流程執行不嚴格等因素引起的操作風險;二是操作失誤、違法行為(員工內部欺詐/內外勾結)、違反用工法、關鍵人員流失等因素引起的操作風險;三是系統失靈和系統漏洞因素引起的操作風險;四是外部欺詐、突發事件以及銀行經營環境的不利變化等外部事件引起的操作風險。[1]

近年來，中國人民銀行、銀行業監督管理委員會等監管部門相繼下發了《商業銀行操作風險管理指引》、《中國人民銀行 公安部關于切實做好聯網核查公民身份信息有關工作的通知》、《金融機構客戶身份識別和客戶身份資料及交易記錄保存管理辦法》、《關于加大防范操作風險工作力度的通知》、《進一步加強中小商業銀行操作風險防范的通知》等相關規定，均對柜面業務操作風險防范提出了明確的要求。商業銀行的內審部門應定期檢查評估本行的操作風險管理體系運作情況，監督操作風險管理政策的執行情況，對新出臺的操作風險管理政策、程序和具體的操作規程進行獨立評估，并向董事會報告操作風險管理體系運行效果的評估情況。[2]

柜面操作風險審計是圍繞上述各監管部門針對柜面業務操作風險管理的要求，對柜面操作主體(柜員)、操作客體(業務憑證)、操作工具(計算機)、操作流程、操作環境進行分析檢查，發揮管理審計職能，對操作風險產生的原因進行深入分析，并對被審計單位提出有價值的審計建議，以改善其柜面經營管理水平，提高經濟效益。

二、銀行柜面操作風險審計發現的問題及原因

(一)對柜面操作人員定位、培養、激勵存在缺陷

柜員作為柜面操作的主體參與柜面業務經營全過程，其切身感受對于管理者具有很高的參考價值。但現實工作中由于管理者對柜員定位不足、成本限制等因素，對柜員的綜合素質的培養不足，造成柜員在操作過程中出現一系列無意識的違規、違紀。金融機構應根據《銀行業金融機構從業人員職業操守指引》要求，將從業人員遵循職業操守情況納入合規管理和人力資源管理范圍，定期評價，建立可持續的評價和監督機制。[3]

1.將柜員簡單定位為操作人員。目前各家銀行為實行流程再造，集約使用資本、提高效率，大力推行小前臺、大后臺的集中業務系統經營模式，因此有人認為前臺柜面即是簡單操作，對新柜員崗前培訓不足、草率上崗，結果造成“師傅簡單領進門、修行完全在個人”的局面，即不利于規范操作習慣的養成，也不利于后備人才的培養。

2.對一線員工重檢查輕輔導。審計過程中發現，運營管理部門高度重視對會計業務的檢查，并在各家銀行分行運營管理部門專設檢查崗位進行地毯式檢查，但對于規章制度下發后操作的可行性和柜員操作是否順暢缺乏輔導，有些問題到檢查提出后柜員才知道是不合規操作。

3.對一線柜員的意見忽略。審計訪談過程中發現，部分素質較高的柜員對于操作流程中存在的問題是十分清楚的，有時甚至主動提出很多解決問題的想法，但作為管理者忽略調動這部分柜員的參與管理的主觀能動性，造成基層信息難傳達至管理層。

(二)制度杠桿指揮乏力

規章制度是作為操作主體(柜員)日常行動的指揮棒，但審計中發現，因有些制度規定不足而使柜員對制度理解產生偏差，造成柜員操作無所是從或違規操作，并存在有時因制度的規定不明確，對于柜員操作是否合規無法下審計結論，只能以風險提示的方式對被審計單位進行問題揭示。

1.存在某些規章制度中規定用語指定不明。如制度中“原則上、定期進行”等字樣給制度使用者發揮想象空間，造成制度規定在操作過程中走樣。且部分規章制度下發后，部分分、支行僅照搬總行的指導意見，沒有根據其管轄范圍內的實際情況制定實施細則，造成個別制度規定執行不到位。

2.制度規定存在漏洞。在審計過程中經常發現因為制度制訂中缺少從流程中綜合考慮問題，對個別介于部門間的問題存在無人問津、無人管理的漏洞，個別問題甚至長期存在，當問及責任時，各個部門都認為盡職盡責，各司其職，對業務操作的狹縫接口處管理存在斷檔。

3.制度制訂缺乏操作性。如個別制度僅在管理者的角度進行風險控制，沒有充分考慮制度在柜面操作過程存在哪些障礙造成不得不違規操作;如對于個別業務系統上線后，要求各分行一律配備不得兼崗的人員，致使分行作為執行者如考慮嚴格崗位分離則可能造成資源閑置，如果沒有嚴格進行崗位設置則必然造成違規問題。

4.制度補丁過多，不成體系。作為柜面操作的管理者，具有義務責任發現規章制度的不合理處，并應及時修訂原制度，但現行大量的規章制度常常出現“以前下發的規定與本規定不符的以本規定為準”的語句。有時柜員操作人員一邊操作一邊發現制度規定差異，即影響工作效率，又存在制度執行不準確的風險，而且不利于新上崗柜員對制度的系統性掌握。

5.制度傳達落實不到位。一是產品銷售與對應管理辦法下發不同步，常出現柜面對外銷售產品辦理業務，而后臺制度還沒下發的狀況;二是傳達不到位，在現場審計中發現分管行長批示已到管理部門，但由于管理部門與操作部門管理職責不清，制度沒有下發到位，審計時才知此文件規定。

(三)計算機流程設計、管理不合理，風險控制技術應用不足

計算機信息技術已基本覆蓋了銀行的柜面全部業務操作，但審計過程中發現，存在對計算機應用不合理，信息資料使用不當、業務整合管理力度不足等現象，造成柜面操作工作效率低下，操作風險增加。

1.業務系統種類繁多，管理成本高、風險大。銀行柜面操作涉及核心操作系統、集中業務系統、外掛系統以及外部監管部門輔助查詢、報備系統等。據統計，有的商業銀行至少有20多個系統，給銀行柜員管理派生出較大的管理成本和風險。一是不同級別的柜員可能同時操作多個不同系統，密碼管理給柜員的日常記憶造成極大的不便，即存在風險、影響日常操作，也直接影響了現場審計的效果;二是各類登記存在本少登、漏登、誤登操作員號的現象，一旦出現問題可能存在責任不清;三是因柜員號及密碼的空間移動不可控性，不可避免的出現柜員的管理不善，柜員號交由他人使用的情況。

2.業務流程設計不合理，人性化不足、效率低下。流程管理是銀行柜面運營操作管理的重要方面，現各家銀行相繼引進流程再造、6S管理、ISO9000認證等項目管理手段，但在具體實施時對系統管理、業務流程管理、組織架構、制度規定的綜合考慮不足。在進行審計符合性測試時發現，因業務流程設計不合理的原因，造成個別業務柜員逆程序操作、繞開規定程序操作的現象時有發生。主要表現為:一是部分業務為控制各項風險點，造成個別簡單的業務處理流程多、環節多、手續多、授權多等現象，增加柜面負擔，效率低下，造成柜面更加忙亂，風險并沒有得到實質把控。二是對人體行為的物理設計不合理，造成柜面操作行為過程的時間浪費。因柜員對一筆業務處理包含接待客戶、信息輸入、驗印、請主管授權、聯網核查等多個動作環節，因空間設計不合理，柜員在不同的空間范圍進行轉移、等待，造成效率低下。三是系統本身設計統籌考慮不足，如一筆簡單的柜面存取現金業務，存在一次為客戶打印一張回單，再次為銀行打印一張記賬憑證，時間多占用了一倍，盡管從單筆業務看不出占用多少時間，但從累積的工作量計算存在明顯效率低下問題。

3.計算機對業務操作過程的風險控制不足，整體協防功能尚不突出。為控制柜面操作風險，目前銀行內部管理部門十分重視加強對計算機系統操作結果的檢查、核對，而對于過程操作的實質性風險控制不足;部門業務經事中監督、事后監督人員、檢查輔導人員層層檢查，但還是出現大量的風險案件。一是對運營操作過程風險控制不足，部分重要業務未強制納入計算機控制。主要表現:對柜面業務印章、密押器、密押卡等結算機具沒有納入計算機系統進行使用過程控制管理;印鑒變更、外部函證業務未納入計算機系統控制;支付業務未強制通過驗印，賬務處理對重要要素沒有作為必輸項，無謂地增加事后查證、補錄工作量;多種萬能交易的存在，為柜面變通操作提供了可能等方面。二是對于違規操作的預警信息即時信息提示不足。如賬戶信息管理在系統設計階段沒有建立強制的賬戶信息采集功能，造成柜面操作的隨意性較大，組織機構代碼證、營業執照、法定代表人及財務人員的身份等信息錄入不全，事后龐大的數據要靠柜員從原始的開戶資料中去查找，柜員甚至要建立手工的登記臺賬進行逐戶管理。導致一方面風險預警不及時，另一方面嚴重增加柜面人員的工作負擔。

(四)外部印證信息來源嚴重不足，反欺詐手段落后

在現行社會征信體系欠發達的情況下，組織機構代碼證、營業執照的真實性查詢途徑不通暢，柜面人員對開戶資料的審核只停留在對資料的完整性、表面合規性，造成柜面操作風險可控性嚴重不足。

三、柜面操作風險審計的整改設想

從上述分析可看出，柜面操作風險應解決柜面操作的主體、操作環境、支撐保障、有效管理等問題，審計的整改問題是銀行內部系統性管理、社會支撐體系的問題，所以應從銀行內部、監管機構共同做好這項工作。

(一)從銀行內部管理入手，提高對柜面操作風險審計發現問題的整改質量

1.根據實際情況推進柜面業務操作風險管理架構流程再造。針對業務流程，對柜面操作的主體、操作工具、操作流程、操作依據等進行空間整合，從管理學、組織行為學角度分析、解決柜面業務操作風險的控制問題。如考慮指紋認證技術對柜員身份識別，解決當前柜員卡使用保管的普遍問題;以短信通知加綜合對賬系統對賬的方式可大幅提高銀企對賬效果，徹底改善銀企信息溝通。

2.發揮管理崗位的主觀能動性，轉變工作思路，加強調研分析。充分認識管理的意義，注重制度制訂與業務操作協調一致，加強與合規部門、科技部門、內控管理部門的溝通交流，理順業務流程中存在操作繁雜、風險控制不細致的現狀，不斷提升業務管理水平。如在賬戶開戶的同時可考慮將銀企對賬的責任和義務與客戶以協議的方式進行劃分，讓客戶了解銀企對賬不是銀行單方的責任，即可提高客戶對賬的主動性，又可降低銀行風險。

3.充分發揮柜面一線操作人員參與管理的積極性，提高整改效果。端正思想，正確定位柜面人員的操作職能，建立柜面操作安全理念，充分調動柜面一線操作人員的參與管理的積極性。

4.構建新柜面操作風險發現問題的整改機制。現從外部監管部門、銀行內部運營管理部門、合規部、審計部、案件專項治理工作組也在進行檢查，過多的檢查大量耗費了經營單位及柜面人員精力和成本，有些問題仍是屢查屢犯，問題的關鍵就是整改措施不當。因此，一是內部高層應高度重視，建立整改工作委員會;二是明確各部門在柜面業務操作風險管理中的定位和職責，理順董事會、高級管理層、操作風險管理部門、業務部門、內控部門、審計部門的職責定位;三是重視審計提出的建議，作為銀行的審計人員接觸業務流程的全過程，聽取建議多，最能系統性了解一線柜面操作風險及漏洞。

(二)發揮監管當局參與柜面風險防范管理的作用，為銀行合規操作創造公平的競爭機會以共同防御風險

1.建立監管當局與內部審計部門的長效溝通機制。對于監管當局可定期組織銀行內部審計部門進行溝通交流，共同探討風險，開闊內部審計人員的視野，共享審計發現與整改措施，以達到監管者與自我監管者對審計發現結果應用效果的最大化。

2.監管部門應提供一個公平的競爭環境。如針對應市場而生的代理開戶、代理賬務處理的各類中介公司，作為柜面人員是很難識別的，可能出現一個銀行不能辦理而在另一個銀行可以辦理的情況，造成服務與風險掌握兩難選擇，因此監管部門應建立禁止或準入機制，加強統一管理。

3.對新的技術工具的出現應予以制度支持。隨著銀行柜面電腦驗印技術、電子密碼系統等先進技術工具的推出，為銀行改善柜面業務風險控制現狀提供了全新的手段，相應的《支付結算辦法》、《票據法》等制度應及時進行修訂，以對我國銀行業柜面業務技術防范提供法律、制度保障。

4.發揮社會機器的管理協調作用，提高各監管部門的配合工作力度。如對于開戶資料，工商行政管理部門、技術監督局應提供相關信息查證;對于對開戶單位印章應能與公安機關建立聯網核查的制度等，以進一步防范風險。

參考文獻:

[1]巴塞爾銀行監督管理委員會.巴塞爾新資本協議[Z].1998.

[2]中國銀行業監督管理委員會.商業銀行操作風險管理指引[Z].2007.

[3]中國銀行業監督管理委員會.銀行業金融機構從業人員職業操守指引[Z].2009.