淺議我國商業銀行操作風險的法律防范

王 琪

摘要:我國正處于特殊的轉軌時期,國有商業銀行總體與西方發達國家商業銀行的差距很大,主要表現在產權制度、公司治理結構等方面存在嚴重缺陷,商業銀行違規經營和欺詐腐敗事件頻頻發生。①由于我國的金融市場尚不發達,所以操作風險事件類型較為單一(主要表現為內部欺詐)。但是,隨著我國金融創新的程度進一步加大,金融放開過程中可能產生的操作風險不容小覷,為避免巴林銀行、興業銀行等國際上重大操作風險帶來的損失,我們應該完善防范操作風險的一系列制度法規,防患于未然。

關鍵詞:商業旅行;操作風險;法律防范

中圖分類號:DF414 文獻標志碼:A文章編號:1673-291X(2010)29-0147-02

一、我國商業銀行操作風險監管的法律體系

(一)商業銀行操作風險監管的發端——建立商業銀行內部控制制度為核心的監管方式

20世紀90年代以后,中國陸續頒布了《中華人民共和國商業銀行法》、《中國人民銀行信貸資金管理暫行辦法》、《貸款通則》等法律、法規、規章及規范性文件。當時對操作風險的控制是以強調“雙人原則”為基本手段,以堅持復核為特征,以控制目標為主,賬平表對和會計“六相符”的內部控制制度。2000年中國證監會發布的《公開發行證券公司信息披露編報規則》中第1、3、5號,要求上市商業銀行等金融機構建立健全內部控制制度。2002年中國人民銀行公布實施《商業銀行內部控制指引》,首次對內部控制進行明確并提出內部控制五要素。內部控制的目標是防范經營中的風險,包括操作風險。

(二)正式提出操作風險的概念和監管范圍

2005年3月,中國銀監會出臺第一個以操作風險為主題的《關于加大防范操作風險工作力度的通知》,即“十三條”,標志著中國銀行業操作風險管理與監督體系的形成。我國對操作風險的監管基本上從一開始就與國際慣例接軌,這也是后發國家的優勢所在。

針對當時銀行業頻發的以操作風險為主的大案要案,2006年中國銀監會又發布了《關于進一步加強案件風險防范工作的通知》,2008年,中國銀監會針對中國銀行從業人員職業操守,制定了《銀行業金融機構從業人員職業操守指引》,目的在于從源頭杜絕操作風險事件的發生。

(三)商業銀行操作風險監管指標的建立與操作風險監管指引的形成

2005年底,銀監會又出臺《商業銀行風險監管核心指標(試行)》,正式確立了把操作風險監管納入風險監管的核心指標體系中,表明操作風險監管由單純的定性監管向定性與定量監管結合的方式轉變。2007年,為進一步完善對操作風險的監管要求考慮,在相繼出臺有關內部控制、合規等指引之后,又發布《商業銀行操作風險管理指引》,對操作風險提出了更加全面的監管指引。由此,銀監會就對商業銀行面臨的三大風險:信用風險、市場風險和操作風險的監管有了一套較完整的法規。②

二、我國現存操作風險法律體系存在的主要問題

當前,中國對操作風險的監管尚處于初級階段,一般以建立內控制度為主,通過定性的規定來達到控制操作風險的目的。但是我國的內控制度建設仍然存在較多缺陷,具體體現在以下幾個方面。

(一)業務開拓與內控制度建設缺乏同步性,特別是新業務的開展缺乏必要的制度保障

在涉及操作風險監管和內部控制制度建設的相關規范性文件中,涉及“新業務”的條款只有兩項,一項出現在《商業銀行內部控制指引》的第22條,要求商業銀行設立獨立的法律事務部門,對新業務的推出進行法律論證,確保各項業務的合法和有效;另一項則出現在《商業銀行操作風險管理指引》的第13條,要求商業銀行選擇適當的方法對新產品和新業務進行風險評估。

金融創新是不可逆轉的趨勢,而配套的內控制度如果不能及時跟進的話,操作風險就會不可避免。監管當局應該加大金融創新過程中的內控制度研究,并提供詳細的新業務評估指引。盡管《商業銀行操作風險管理指引》的第13條也要求商業銀行對新業務和新產品進行評估,但是沒有具體的方法指引。而法律論證的目的也只是保證不與現行法律規范沖突,并沒有提出風險的預測和防范措施。

(二)控制不足與控制分散并存

控制不足主要體現在對商業銀行所屬分支機構控制不力,以及對決策管理層也缺乏有效的監管;而控制分散體現在對業務人員的監督較多,規定重復冗余。

1.對所屬分支機構控制不力

在《商業銀行內部控制指引》的142個條款中,只有9處提到了“分支機構”的字樣。其中第18條規定,商業銀行應當利用計算機程序等現代化手段,鎖定分支機構的業務權限,對分支機構實施有效的管理和監控。第58條要求,對分支機構的資金業務定期進行檢查,對異常資金交易和資金變動應當建立有效的語境和處理機制。未經上級機構批準,下級機構不得開展任何未設權限的資金交易。第132條就“督促各業務部門、分支機構建立和健全內部控制”。第136條和137條僅僅提到分支機構應該及時糾正內部控制存在的問題。在《商業銀行內部控制評價試行辦法》中,只在“組織與實施”一章中說明了銀監會對于分支機構檢查的頻率和覆蓋范圍。而《商業銀行操作風險管理指引》中我們沒有看到一條關于分支機構內部控制的規定。

應該說《商業銀行內部控制指引》注意到了分支機構可能存在的越權行為,因此,在指引中明確提出下級機構不得越權,上級機構要進行定期檢查。但是問題就在于,監管機構注意到了問題的存在卻沒能提出專門針對分支機構內部控制如何建設的意見,如何控制分支機構高級管理層與行內職工出現“一致性道德風險”,如何在上級指定的考核機制與分支機構的風險控制出現沖突時能夠確保分支機構以控制風險為主而不是鋌而走險,又如何保證上級行的命令傳遞到下級行而不被扭曲,分支機構到底應該怎樣建立內部組織治理來完善內部控制制度等并沒有在該文件中找到滿意的答案。

2.對高層管理人員監控不足

我國對高級管理人員的監控不足這一點與巴塞爾委員會關于操作風險和內部控制的規定相似。但是國外對高級管理人員的約束是建立在完善的公司法人治理模式基礎上的,因此在對操作風險的防范就針對了它的特殊性:業務人員的內部欺詐;我國在借鑒相關國際慣例時卻忽略了自身的特殊情況。

《商業銀行操作風險管理指引》①的第6條規定了董事會的職責:制定適用于全行的操作風險管理戰略,并監督高級管理層對操作風險的管理,對操作風險承擔最終責任;而第7條直接規定了高級管理層的職責主要就是執行董事會的決策;第16條規定重大操作風險事件應當向董事會、高級管理層和相關管理人報告。

我們著重來看一下第8條涉及的操作風險的內部控制組織安排。該條要求商業銀行指定專門部門負責全行操作風險管理體系的建立和實施,并且要求該部門與其他部門保持獨立。但是,該條第一款規定:該部門負責“擬定本行操作風險管理政策、程序和具體操作流程,提交高級管理層和董事會審批”;第七款規定“定期向高級管理層提交操作風險報告”。首先,對該條的第一個疑問是:監管當局要求商業銀行設立獨立于其他部門的操作風險管理部門,負責全行操作風險的管理,那么這個部門應該在總行的組織結構中,所以似乎就免除了分支機構設立該部門的必要。但是,分支機構就不需要這樣的部門了嗎?我們知道,分支機構恰恰是操作風險的滋生地。其次,要求該部門獨立于其他部門,但是制定的政策卻要經高管和董事會批準,定期還要向高級管理層做操作風險的管理報告,那么,如果恰恰是高級管理層出現了內部欺詐問題,應該向誰報告呢?通過前面的分析我們已經了解到,我國的內部欺詐問題主要發生在基層商業銀行的管理層,那么,即使基層商業銀行建立了這樣的職能部門,結果也只能是管理層的行為不但不能得到有效的約束,而且還變相加強了管理層對業務人員的控制,可能形成全行集體欺詐的危險。

在《商業銀行內部控制指引》中,我們也沒有看到對高級管理層管理操作風險權力的監督控制和績效評價的明確規定,風控過程更多的是在管理層“審慎盡職”的基礎上進行架構的。其實,規定中也是有對高級管理層的監督和控制的部門,當然不是各個指引中提到的內審部門,而是董事會。《商業銀行操作風險管理指引》的第6條明確規定了董事會的職責:監督并保證高級管理層積極有效地實施操作風險的管理。但是,在中國的商業銀行中雖然也建立了現代公司治理的模式,卻由于產權不明確,董事會的監督職能也只是流于形式。因此,實際上,高級管理層的權力就會無所限制,從而釀成一場場內部欺詐的丑劇。

三、對我國操作風險防范的監管建議

1.監管理念應由側重業務的監管向注重公司治理和風險內控的監管轉變

良好的公司治理和內控制度是確保銀行體系得以正常運轉的前提條件。因此,風險監管首先要推動銀行業金融機構建立完善的內部控制體系和適當的激勵約束機制,加強監管者對銀行業金融機構內控制度和風險管理的評價和監管,充分調動銀行業金融機構管理風險的積極性。

2.引導商業銀行切實落實《國有商業銀行公司治理及相關監管指引》的相關要求

為保證法規的真正落實,監管機構可以采取以下措施:第一,可以現場不定期抽查各銀行關于股東、董事會、經理層等不同職位的人在風險管理過程中的責任是否明晰,鼓勵董事會和股東大會對代理人監督強化的制度設計。第二,可以派駐銀監會人員到國有商業銀行風險管理委員會和審計稽核部門,保證現實中兩種部門的垂直化管理。第三,嚴格檢查商業銀行遵循風險承擔和風險監控相分離、風險管理體系和業務經營體系保持獨立的原則,實現銀行內前、中、后臺的分離。第四,新設專門負責操作風險風險管理的部門,改變審計部門的負責制度。要求在總行設立專門的操作風險部門,并要求其直接對董事會負責。

3.監管措施應更多針對分支機構的管理層人員

中國商業銀行內部復雜的委托代理關系使得分支機構的行為不能被總行緊密控制,對此,首先,可以在分支機構設立獨立的稽核部門以有效地牽制高管的欺詐行為;其次,在各級分行分別設立風險管理經理,負責在風險管理政策下指導本級行實施風險管理。該經理直接受上級風險經理管轄,對其負責;再次,改變審計部門對各級行長負責的現狀,增強其獨立性,審計部門不直接參與操作風險的管理,但是要定期對風險經理的管理狀況予以檢查并形成報告。另外,可以借鑒國外的經驗,加強外部審計的監督作用。