內部欺詐視角下的商業銀行操作風險管理

摘 要：商業銀行對操作風險的認識和管理遠遠晚于信用風險和市場風險，直到1995年巴林銀行因“尼克.里森案”而倒閉這一重大操作風險案件的發生，人們才意識到加強對操作風險的認識和管理的重要性。此后，國內外又接連發生多起操作風險事件，給金融機構造成了重大損失，作為操作風險的一個極為重要的誘因，內部欺詐也愈發受到關注。

關鍵詞：操作風險 內部欺詐

一、操作風險定義

根據巴塞爾銀行監管委員會的定義：操作風險是指由不完善或失靈的內部操作流程、人員、系統或外部事件而導致直接或間接損失的風險，這一定義包含了法律風險，但不包含策略性風險和聲譽風險。按照發生頻率和損失程度，巴塞爾委員會將操作風險進一步分類為內部欺詐，外部欺詐，雇用合同和工作狀況帶來的風險事件，客戶、產品和商業行為引起的事件，有形資產損失，經營中斷和系統出錯，以及執行、交易過程中的風險。

二、內部欺詐操作風險

（一）內部欺詐風險的分類

按照巴塞爾委員會對操作風險的分類，內部欺詐涉及內部盜竊和欺詐、故意的非授權活動以及內部信息系統安全三方面內容。內部盜竊與欺詐是指有行內人員參與，故意實施的欺騙、盜用財產或違反法律、監管規定、政策行為所帶來損失的風險，包括賄賂、回扣、走私、在非企業賬戶上的內部交易以及至少有一名行內人員參與的外部欺詐活動等表現形式。在實施內部盜竊和欺詐行為時，內部人員往往利用其在行內的職務身份或接觸資產或信息的途徑。故意的非授權活動是指未得到有權方有效授權的情況下進行的故意活動。典型的非授權活動表現形式有故意不報告有關交易、交易品種未經授權（存在貨幣損失）、故意對頭寸錯誤計價、無效的風險暴露授權等。內部信息系統安全是指為謀取個人利益，由內部人員實施或參與的未經授權就接觸電子數據文件的行為。

（二）內部欺詐操作風險的成因

根據操作風險的定義，操作風險的成因主要包括人員、業務流程、系統和外部因素，這些因素對分析內部欺詐也同樣適用。

（1）人員因素

幾乎所有操作風險的發生都與人有著千絲萬縷的聯系，內部欺詐更是如此，通常是由涉案內部人員的不法心理和故意行為引致的。一方面，部分業務人員業務素質偏低會引發內部欺詐風險；另一方面，員工尤其是高管人員職業道德水準低下更會引發內部欺詐風險。

（2）業務流程

業務流程設計不合理不僅影響到銀行的經營效率，流程中的漏洞還有可能被不法分子利用，從而給銀行造成損失。在許多案件中都發生了相關人員用假文件欺上瞞下、發放貸款沒有經過真實詳細的審查、不法分子輕易利用票據就能詐騙銀行資金的情況；同時，內部欺詐案件通常都是連續作案，而非一次性的欺詐；大部分內部欺詐案件能潛伏幾年時間而不被發現等。這些案件的發生，其風險誘因除了是人的僥幸心理、銀行本身監控不合理等因素外，業務流程設計不合理和執行不嚴格也是重要原因。

（3）系統

首先是信息管理系統的缺失。由于內部欺詐風險損失不像市場風險和信用風險那樣有較完善的模型來度量，其損失數據少，使得這類風險的管理在技術上存在很大困難。其次是內部控制系統的不完善，主要表現為：缺乏系統、有效、標準化的內控體系制度，控制不足與控制分散并存，業務開拓與內控制度建設缺乏同步性，特別是對新業務的開展缺乏必要的制度保障和技術保證；內控制度的權威性不強，對所屬分支機構控制不力，弱控制容易形成事實上的“內部人”控制，而產生違法違紀行為；內部控制能力逐級衰減，由于銀行內部管理鏈條過長，信息交流不對稱，總行對分支機構的控制力層層衰減，管理漏洞比較多。

（4）外部因素

商業銀行的經營都處于一定的政治、經濟、社會環境中，經營環境的變化和外部突發事件都會影響到銀行的經營活動，甚至會使商業銀行產生損失。由外部事件引起內部欺詐風險主要有以外部人員為主導的勾結內部人員引發的欺詐事件和外部經營風險。

四、內部欺詐操作風險的管理對策

內部欺詐風險作為一種典型的操作風險，對它的管理不能只流于形式，商業銀行可以從以下幾個方面來加強對操作風險的管理。

（1）營造良好的內部欺詐風險管理與控制環境

首先，在制度建設方面，要加強銀行的公司化治理，建設科學合理的組織結構和風險管理框架。其次，在文化建設方面，以人為核心，充分調動員工主動識別、遠離、舉報和防范內部欺詐風險的積極性。

（2）強化風險的識別和評估機制

對內部欺詐風險的識別和評估要以國際上通行的標準為參考，以我國內部欺詐風險的實際情況為主。從風險的識別來說，借鑒國際上通行的識別標準，強化銀行員工的風險意識。只有正確識別了風險，才能從根本上防范風險。

（3）增強信息的交流與反饋，防范性質相同的案件屢次發生

首先，要從整個銀行體系對內部欺詐風險進行作業化管理。其次，要全面推動信息化，建立和優化風險信息傳遞與報告機制。同時，商業銀行各級風險管理部門應努力實現對下級部門的扁平化管理，以提高信息的時效性、準確性和風險管理的實時性。只有對已發生的風險進行及時、準確的報告和分析，并在此基礎上總結經驗和教訓，才能在再次發生相似風險時及時得以識別和防范。

（4）加強內控部門的監督作用

銀行的內控部門應該獨立發揮作用，只有確保了它的獨立性，才能使其監督作用不受掣肘。同時，內部審計工作的重心要向全面風險管理和綜合經營管理轉移，要建立以風險為導向的審計制度。在審計過程中，采用以內部控制系統為基礎的抽樣審計方法，并且不斷提高審計人員的素質，引入國外先進的審計理念和審計技術，提高審計人員對內部控制的適應性。另外，也要引入外部審計機制，克服內部審計獨立性不足的缺陷，加強信息披露。

（5）建立科學的激勵約束機制

在員工考核與激勵機制方面，商業銀行要建立以目標責任制為特征、以良好的風險控制體系建設為目標的績效考核與激勵機制；將風險損失納入員工考核機制，使員工明確自己在業務操作過程中應承擔的責任；把短、中、長期考核有機結合起來，防范銀行員工特別是中高層管理人員的道德風險和逆向選擇，減少和避免銀行經營短期行為帶來的欺詐風險。

五、結束語

隨著科技的發展和商業銀行業務范圍的擴大，對于商業銀行風險的控制不能僅僅著眼于傳統的觀點。為了應對不斷加劇的市場競爭，商業銀行必須提高其風險管理的覆蓋面，加大對操作風險等特殊風險類型的控制，從而不斷提升綜合競爭實力并獲得長足發展。

參考文獻：

[1] 盧唐來、周好文，《經濟資本與商業銀行操作風險管理》[J]. 財貿經濟，2005（9）。

[2] 毛悅寧，《淺析商業銀行操作風險防范與化解》[J]. 金融發展研究，2008（2）。

[3] 朱虹，《淺談商業銀行內部欺詐》[J]. 時代金融，2006（8）。