基于操作風險視角下我國商業 銀行內部控制研究

余日波

摘要：二十世紀90年代以來，隨著金融全球化、自由化、創新化的發展，全球金融業進入一個動蕩時期，金融風險不斷發生、銀行業危機頻發。根據有關研究，這些事件正來自銀行的操作風險，其根源在于商業銀行內部控制失效。本文根據內部控制框架理論，結合操作風險管理特點，揭示內部控制缺失引發操作風險管理中存在的問題，并提出完善內部控制在商業銀行操作風險管理中建議。

關鍵詞：商業銀行操作風險內部控制

一、研究背景

二十世紀90年代以來，隨全球化、自由化、創新化的發展，全球金融業進入一個動蕩時期，金融風險不斷發生、銀行業危機頻發，英國巴林銀行倒閉、法國興業銀行巨虧等，嚴重威脅著世界經濟的安全。同時，國內大案不斷發生，如中行“高山案件”、邯鄲農行金庫內盜案等。根據有關研究，這些事件正來自銀行的操作風險，其根源在于商業銀行內部控制失效。

近年來，我國商業銀行在內部控制建設上進展迅速，但與國際先進金融機構相比，依然存在較大差距。對于內部控制和操作風險管理的研究，我國學者分別進行研究的比較多，而從操作風險視角下重點研究內部控制的比較少。因此，筆者試圖從操作風險視角下對我國商業銀行內部控制的研究。

二、認識操作風險與內部控制

（一）釋義“操作風險”與“內部控制”含義

2004年，巴塞爾委員會頒布了“巴塞爾新資本協議”，將操作風險管理納入銀行風險管理框架，并將操作風險定義為：“由不完善或有問題的內部程序、人員及系統或外部事件所造成損失的風險，包括法律風險，但不包括戰略風險和聲譽風險。”因此，銀行操作風險分為組織風險、流程風險、人員風險、技術發展和外部風險五類，并認為導致操作風險發生的誘因有內部操作流程、人為因素、體制因素和外部事件等。

為了促進我國商業銀行建立和健全內部控制體系，保障銀行資金安全運行，中國銀監會于2007年7月頒布了《商業銀行內部控制指引》，對加強我國商業銀行的風險控制，特別是操作風險控制具有重要的指導作用。指引認為，內部控制是商業銀行為實現經營目標、通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制。2008年中國五部委聯合發布了《企業內部控制基本規范》，包括內部環境、風險評估、控制措施、信息與溝通、內部監督五個基本要素。

（二）操作風險管理與內部控制的關系

巴塞爾委員會在2003年發布的《操作風險管理和監管穩健做法》中指出“《銀行機構內部控制框架》是操作風險管理的基礎”，這反映了操作風險與內部控制的密切聯系。可見，一套完善、科學、行之有效的內部控制對商業銀行操作風險控制具有天然的促進作用。

1、操作風險主要由內部控制不完善而導致

當前，在銀行面臨的操作風險管理中，因內部因素導致的操作風險，主要由“內部程序、人員、系統的不完善或失誤”引起的。對于內部程序、人員、及系統等完善，都屬于內控制度建設的范疇，這些要素一旦出現失誤，必然是內部控制不完善的結果。

2、內部控制是防范操作風險的主要保障

在商業銀行操作風險管理中，內部控制的失靈必然會造成操作風險損失事件的發生，這既可能是由商業銀行內控體系要素缺失或不健全引起的，也可能是內控體系運行中某個或幾個環節失靈或存在漏洞造成的。所以，內部控制是商業銀行防范操作風險的主要保障。

三、內部控制在操作風險管理中存在的問題

近年來，我國商業銀行內部控制制度建設和執行情況已有較大的改善。但是，從內部控制的質量和效果來看，還存在一些迫切需解決的重大問題。

（一）內部控制的環境較差

控制環境是內部控制中基礎性和關鍵性要素。但是，目前商業銀行主要強調內部控制制度建設，對內控環境建設并未加以重視。主要表現：一是法人治理結構不夠完善。如決策、執行、監督等體系不合理；商業銀行機構層級過多、減低內部控制組織靈敏度；二是內控文化尚未得到真正的建立。如部分管理者錯誤認為內部控制就是內部控制制度，這些認識偏差增大防范操作風險的難度。

（二）內部控制技術手段落后

目前，我國與國外的先進商業銀行相比，控制的方法和手段還較落后，風險識別與評估以定性分析為主，尚未建立真正的風險監測預警系統和內部風險評估模型。特別是對新機構、新產品、新業務運行前未進行風險識別與風險評估工作，存在很大的風險隱患。

（三）內部控制活動效果不理想

近年來，我國商業銀行都已建立了一套適應自身發展目標的內部控制制度，但是，內部控制活動的效果依然不理想，存在較多問題：一是內控制度及時性不足。內部控制制度滯后于業務發展，沒有跟上金融產品創新的步伐；二是內控制度全面性不足。內部控制沒有覆蓋到一些重要業務、重要部位、重要環節上；三是內控制度強制性不足。重視內控制度設計，忽視內控制度落實；四是崗責體系缺陷明顯。在崗位設置上與實際流程不匹配，未能根據實際需要，因事設崗，因崗定人。

（四）信息與溝通不暢

近年來，盡管各家商業銀行在信息設施投入較大，但是我國商業銀行信息溝通制度、信息的有用性、溝通機制等方面仍存在許多問題：一是信息渠道缺乏，收集信息失真，缺乏信息量支撐，嚴重影響操作風險識別與評估的效果和質量；二是收集信息后在傳遞過程中處理不當，要么過于暢通導致泄密，要么過于封閉而未有效使用；三是對信息管理未引起足夠重視，影響了信息獲取的質量和傳遞速度，造成管理層決策和控制效率低下。

(五)內部監控不完善

近年來，商業銀行在內部監控方面投入大量的人財物資源配置，在內部監控方面有了較大的改善。但是由于管理層理念、實際操作等因素影響，仍存在一些不能忽視的重要問題：一是內部檢查。持續監督和和跟蹤檢查不到位，對違法人員處理上靈活有余，原則性不足；二是內部稽核。內部稽核沒有滲透到商業銀行的各項業務過程和各個操作環節，覆蓋所有的部門和崗位；三是內部審計。內部審計的獨立性不夠，在審計中往往受到很大的牽制。

四、完善內部控制在操作風險管理中的建議

根據《商業銀行內部控制指引》、《企業內部控制基本規范》的理論，結合我國商業銀行內部控制在操作風險管理中問題，提出完善內部控制在我國商業銀行操作風險管理中的建議。

（一）營造健康的內部環境

1、建立完善有效的內部控制組織架構

內部控制環境是內部控制的基礎，直接影響到內部控制的貫徹和執行。從總行層面看，各家銀行都建立了比較規范的內部組織構架，但由于龐大而混亂的系統內部，執行效果被嚴重侵蝕了。因此，商業銀行要從體制上進行改革，沖破原有的利益關系，使管理層等各項權利相互制衡、明確職責邊界，避免職能交叉或缺失，建立效率評價和責任追究制度。

2、培育“以人為本”的內部控制文化

在現有市場競爭環境下，道德風險會引發銀行信用風險、聲譽風險等多維風險的聯合發生。因此，商業銀行需要塑造新型的內部控制文化，潛移默化地影響員工的控制意識。要塑造一定水準的道德和誠信觀，就要堅持“以人為本”的理念，構建員工與銀行共發展、共擔風險的價值觀，不能制定超風險管控能力的激勵機制，并將個人收入與風險管理結果掛鉤，從而提高員工的責任感、使命感和歸屬感。

（二） 建立科學、合理的風險評估體系

1、建立完善的風險評估流程

風險評估是指及時識別、科學分析和評價影響商業銀行內部控制目標實現的各種不確定因素并采取應對策略的過程。因此，商業銀行要建立科學、合理的風險評估體系，認真借鑒國際先進經驗，以減低銀行操作風險，其重要意義在于權衡風險、防范于未然。

2、采用先進的風險管理技術

商業銀行應開發適合自身的內控管理系統，運用現代計算機技術提供管理平臺，主動對操作風險進行評估和管理。一是建立內控管理平臺開展各自評估工作，實現內部控制的系統化；二是在評估系統內對每個風險點及控制措施設置相應的閥值，列出銀行各條線最重要的關鍵指標，從而對關鍵指標進行重點監控；三是由于操作風險的復雜性和多樣化，應借鑒國際先進的內控經驗，運用管理學、組織學、行為學、犯罪學等思維理念，開發量化評估的方法和模型，才能更為準確地把握風險在量上達到的程度。

（三）建立有效的內部控制活動

1、以流程控制為導向，提高風險治理效力

商業銀行應清晰界定各項金融產品在整個經營過程中的構成要素，并根據這些要素各自的特點構成相應的業務流程圖。在操作風險識別和評估的基礎上，采用業務流程分析法，針對業務流程中關鍵風險點設計專門的管理控制制度，將控制措施融入到商業銀行的各個流程環節，覆蓋所有部門和崗位，使各類決策權力、各項業務過程、各個操作環節和各位員工的操作行為都處于嚴格的制度約束下。

2 、實現科學控制方法，健全內部控制措施

商業銀行的控制活動不僅是一個過程，而是一個復雜的系統，它將內部環境、風險評估、信息與溝通、監督等要素聯系在一起，從而形成一個有機的整體，是整個內部控制系統的核心。其構成要素至少包括控制方法、控制措施、風險預警機制、和突發事件應急處理機制等。

（四）建立和完善信息溝通體系

1、建立信息溝通制度，促進內控有效運行

內部控制的每一個過程均需要考慮交流與溝通，商業銀行信息交流的渠道和程序，在滿足信息安全和保密性前提下，確保相關信息及時得到識別、收集、處理、交流和反饋，并保證信息交流渠道暢通。建立信息溝通制度，及時、準確地收集、傳遞、報告相關信息，確保內控信息在商業銀行內部及與客戶、監管部門和政府部門間的有效溝通。

2、 健全信息科技建設，強調信息安全管理

信息控制作為銀行風險管理的有機組成部分，建立和完善銀行管理系統和業務系統，不僅可以實現信息資源共享，而且通過數據庫、模型庫、方法庫去實現快速、準確、合理的預測和分析，給內部控制豐富的信息資源和決策支持，實現風險控制由“事后監測”轉為“實時監控”。

（五）建立和健全有效的內部監督機制

1、加強內部監督，完善內部評價

商業銀行要確保內部控制制度被切實地執行且執行效果良好，內部控制過程就必須實施恰當的監督，利用信息與溝通的情況，提高內部監督的針對性和時效性。一是防止內部控制走過場的有效措施；二是定期對內部控制的有效性進行自我評價。

2、加強內部稽核，完善內部監督

一是轉變稽核觀念，由合規性復核向風險性稽核轉軌，把檢查中發現的問題，當成線索而不是結論；二是加強非現場稽核監測工作，動態監測各行風險位次的變化并進行趨勢判斷，揭示各行存在的突出風險。

3、加強內部審計，完善內部監督

內部審計既是內部控制活動的一個重要程序，又是內部控制的一種特殊方法，它通過監督、檢查、評價促使管理層履行管理職責，達到健全完善內部控制的效果。一是科學設置內審機構；二是合理配備內審人員；三是內部審計的充分授權；四是完善內審機構質量控制。

參考文獻：

［1］中國銀行業監督管理委員會．商業銀行操作風險管理指引[S], 2007.

［2］財政部、審計署、證監會、銀監會、保監會.企業內部控制基本規范[S], 2008.

［3］邱勝利.內部控制與操作風險管理[M]．北京：中國金融出版社，2009.

［4］李敏.企業內部控制規范[M]．上海：上海財經大學出版社，2011.

［5］朱建峰. 我國商業銀行操作風險管理研究.中國石油大學碩士論文,2009

［6］杜文杰. 華夏銀行XX分行內部控制制度研究.西北大學碩士論文,2008

［7］胡心怡. 內部控制在我國商業銀行風險管理運用中存在的問題及對策.江西財經大學碩士論文,2009