基于內部控制的商業銀行操作風險防范研究

張雪梅　呂金陽

摘 要：從商業銀行近年來發生的操作風險案件入手，分析內部控制不足導致操作風險的原因，并從內部控制控制環境、風險評估、控制活動、信息與溝通、監督5個要素出發，分別提出加強內部控制，防范商業銀行操作風險的針對性建議。

關鍵詞：商業銀行；內部控制；操作風險

中圖分類號：F832.33 文獻標志碼：A 文章編號：1673-291X（2014）29-0209-02

自20世紀90年以來，商業銀行的操作風險問題逐漸浮出水面。自巴林銀行倒閉后，日本大和銀行因操作失范導致的11億美元損失，法國興業銀行和瑞士銀行 “魔鬼交易員”而導致的巨額虧空等事件，逐漸受到全球銀行界的高度重視。而我國商業銀行混亂的內部控制與風險控制制度缺失也導致了諸如“齊魯銀行偽造票據”等案件。根據DIB內部控制與風險數據庫的相關數據整理可以發現，2011年，我國境內上市銀行披露的風險中有11.3%明確提到操作風險，而境外銀行明確提到操作風險的僅為5.2%。由此可見，我國銀行境內操作風險發生概率要遠高于境外銀行[1]。張吉光（2005）研究發現，今后數年內可能引致我國銀行破產倒閉的罪魁禍首，可能既不是信用風險，也不是市場風險，而是被人們經常忽略的操作風險[2]。

一、操作風險與內部控制的含義

本文引用國際慣用對操作風險的定義，即巴塞爾銀行監管委員會的定義“指由于不完善或有問題的內部操作過程、人員、系統或外部事件而導致的直接或間接損失的風險”[3]。由定義可知，內部控制缺失是操作風險形成的根本原因。

內部控制一詞，最早出自于1992年COSO委員會公布的ERM框架（Enterprise Risk Management）。該框架完整地界定了內部控制的5項基本要素，即控制環境、風險評估、控制活動、信息與溝通、監督。其目的是確保商業銀行在經營管理活動中，保障資產安全完整，保證會計資料準確、真實。我國上市公司于2009年7月1日起正式實施《企業內部控制基本規范》，該規范界定的控制主體包括企業董事會、監事會、經理層和全體員工，并針對5項要素提出具體要求。

二、商業銀行內部控制不足導致的操作風險

由于我國商業銀行尚未建立起統一規范的操作風險損失數據庫系統，加之在信息披露時可能會存在的隱藏操作風險損失的動機，故而很難獲得商業銀行操作風險損失的全部數據。這對防范商業銀行操作風險十分不利。本文根據公開媒體報道這一渠道搜集了2005年以來商業銀行操作風險損失的典型案例（見表1），從損失類型可以發現，近年來商業銀行操作風險損失多以內外勾結和內部欺詐為主，且案件中基層單位的管理層參與的比重較大，總結大多數操作風險案件，其共同點和本質多是銀行內部流程不健全，人員素質不高及管理存在漏洞造成的。下面，本文就從內部控制不足角度歸結我國商業銀行操作風險產生的原因。

（一）缺乏與時俱進的操作風險管理理念

在我國商業銀行風險管理中，操作風險并沒有像信用風險、市場風險那樣引起管理層的廣泛重視，多數銀行對操作風險僅存有碎片化的認知，在日常業務管理中會因為暫時未出問題而放松警惕。在日常工作中，由于操作風險的隱蔽性和突發性，多數商業銀行的董事會并未能及時重視操作風險，最終導致不可挽回的巨額損失。有些管理者甚至將操作風險管理與業務發展對立起來，單純將操作風險定位于風險控制部門應該處理的事情，很容易導致過度追求規模和速度的不良競爭。按照這種管理理念的指導，必然會導致各經營部門重視業務發展，忽略風險防范，從而導致銀行資源配置在操作管理和內部控制上嚴重失衡，在商業銀行實現快速發展的同時也留下了眾多的風險隱患。

（二）缺乏對關鍵人員的監督約束機制

“企業中80%的利潤是由20%的關鍵員工創造的”，商業銀行同樣適用于這條“二八定律”，銀行中關鍵崗位的人員其管理權限更寬，掌控銀行資源更容易，也就擁有更多的作案機會。美國注冊舞弊審核協會（ACFE）的創始人Steven認為，就像燃燒必須要同時具備熱度、燃料、氧氣三要素一樣，企業舞弊的必要條件也是三個要素共同作用的結果，即壓力、機會和自我合理化，銀行的關鍵人員恰恰容易同時具備這三個條件[4]。具體來說，在我國商業銀行組織結構框架下，支行行長負責制就賦予了支行長這一職位過多的權力，如果沒有內部控制作為“機會”的抑制劑，部分風險意識淡薄的支行行長就容易走上犯罪的道路。盡管監督機構會要求商業銀行施行關鍵崗位的管理約束制度，但由于信息不對稱，分支行較容易在日常業務中出現操作風險，而且當前支行領導擁有絕對權力，總行操作風險規范可能就被束之高閣。

（三）內部控制機制存在缺陷

內部控制機制最初的目的就是為了減少并控制商業銀行徇私舞弊、弄虛作假、盜用公款等行為而設立的銀行內部的管理活動。從本質上說，內部控制屬于風險管理最初的組織形式和施行手段。而目前我國的商業銀行操作風險管理往往根據具體的業務類型分散到不同的部門中，這在管理過程中就會導致多頭管理，各自為政的問題。而少數設立風險管理部門的商業銀行，其職能也大多集中在信用風險和市場風險管理上，容易忽視日常業務的操作風險，更多的是事后風險控制，幾乎沒有事前預防和事中監督過程。此外，目前商業銀行也缺少具有可操作性的操作風險管理規范，這無形中加大了內部控制監督執行的難度。

（四）內部審計監督職能弱化

在現有的商業銀行組織框架下，內部審計部門并非對董事會負責，而是設置在同級行長的管理之下，對行長負責。這種組織結構設置造成了內部審計部門管理權限的弱化，使其缺乏應有的獨立性，出現了內部控制 “控下不控上”的局面，隔斷了審計部門對管理層的監督和控制。至于審計部門對操作風險的監督，目前還僅局限于稽核部門對業務操作實施的不定期稽核，審計結果并未按照操作風險的業務種類進行差別化分析，而且，其機構設置缺乏獨立性，導致內審部門沒有處置權力，因此檢查出問題也只能文過飾非，不了了之。endprint

三、基于內部控制的防范商業銀行操作風險建議

高效的內部控制系統能夠有效地降低銀行的操作風險，而操作風險的降低也有利于銀行節約資金成本。從銀行操作風險和內部控制之間的關系可以看出，銀行應該從內部控制的視角，全面有效地降低自身的操作風險。本文就從內部控制的五個要素出發，探討防范商業銀行操作風險的相關建議。

（一）營造全員管理的風險控制環境

控制環境是商業銀行對內部控制制度的實施效果具有較大影響的環境因素的總和。其中，董事會應在操作風險管理中發揮積極作用，以反映董事會及各級管理部門對內部控制的重視程度。同時，董事會應該在商業銀行塑造全員參與的風險管理文化環境，灌輸操作風險不僅是風險控制部門的責任和義務，又必須是全體銀行成員必須履行的義務。在商業銀行系統內部要加強開展典型案例教育和政策法規教育，提高全行員工的遵紀守法觀念和安全防范意識。同時，要加強業務人員業務素養和業務能力培訓，使其熟悉崗位職責要求和職責權限，不越權辦理業務；同時，要努力發現身邊現實問題，不要因短時利益得失而遮蔽風險，因小失大；同時，可以嘗試個人薪酬、績效考核與風險管理結果掛鉤，增強業務人員的風險管理意識。

（二）建立主體多元化的操作風險內部控制系統進行評估

當前，商業銀行操作風險評估主要有兩種形式，一種形式是商業銀行自身通過主體管理進行自身評估，主要源自于商業銀行對剩余風險的識別和評估，區分可接受的剩余風險和不可接受的剩余風險，并要求采取可操作的控制改進措施，加強對整改行為進行全程化監督。另外一種形式是銀行啟動審計署、外聘審計事務所、銀監局等外部審計部門評估操作風險方面的問題。對外部審計部門發現的問題，商業銀行應會同操作風險管理部門對發現的問題進行識別和評估，對真實存在的可接受的操作風險進行整改，并對具體操作風險進行分類，將突出問題列入關鍵風險指標，加強風險管理。因此，應避免“頭痛醫頭，腳痛醫腳”的被動型事后管理局面，盡快實施主動化、程序化、全面化的風險評估，構筑系統化的操作風險管理系統。

（三）完善操作風險的控制措施

商業銀行為了確保管理方針順利的貫徹實施，還需要建立一系列規章、制度和程序，它們構成了商業銀行內部控制的核心和關鍵點，被稱之為控制措施。由于整個控制系統的核心環節就是控制過程。控制過程正是將環境、目標、事件、風險評估與應對、信息溝通、監督等要素有機的結合成一個整體，所謂細節決定成敗，控制過程的每個細節出現問題，都會造成控制系統的紊亂。

完善操作風險摒棄傳統的單純依靠各部門相互制衡的風險控制手段，一筆記賬背后會追加復核、授權、內部稽核、外部審計等若干人的監督，而是要在業務操作流程過程之中融入內部控制措施，在很大程度上降低了運營成本，也有利于各部門的溝通與合作。有效的操作控制措施需要改變傳統業務流程再造急于求成的錯誤思路，將程序控制作為操作規范標準，規范“事中控制”過程。

（四）建立有效的信息交流反饋渠道

企業的有效運營依靠的是對外部信息的識別和對內部信息的處理。信息化時代背景下商業銀行應該依靠媒體或中介開展內部控制，以促進信息的交流與反饋。只有建立順暢的信息交流渠道，銀行的管理層才能夠掌握銀行經營管理動態，并確保員工能夠在信息交流中明確自己的任務分工和職責所在。在此基礎上，還要不斷加強縱向結構之間、橫向部門之間的信息交流，確保對風險關鍵點采取積極的應對措施，做到有效防范風險。

（五）實行風險導向內審，建立監督網絡

實行風險導向型的內部審計，就是要保證內部審計部門在商業銀行相對獨立的地位，高度重視新業務風險，在環境變化中判斷無法防范的剩余風險，保證審計工作覆蓋全部經營業務過程。同時，還有必要建立銀行間的審計監督網絡，實現銀行間業務數據的對接和風險預警提示。

參考文獻：

[1] 張吉光.商業銀行操作風險識別與管理[M].北京：中國人民大學出版社，2005.

[2] Basel Committee on Banking Supervision.Consultative Document：Operational Risk，Bank for International Settlement[A].2001，（2）.

[3] 陳卓.我國商業銀行操作風險內部控制淺析[J].經驗管理者，2014，（4）：37.

[責任編輯 安 琪]endprint

三、基于內部控制的防范商業銀行操作風險建議

高效的內部控制系統能夠有效地降低銀行的操作風險，而操作風險的降低也有利于銀行節約資金成本。從銀行操作風險和內部控制之間的關系可以看出，銀行應該從內部控制的視角，全面有效地降低自身的操作風險。本文就從內部控制的五個要素出發，探討防范商業銀行操作風險的相關建議。

（一）營造全員管理的風險控制環境

控制環境是商業銀行對內部控制制度的實施效果具有較大影響的環境因素的總和。其中，董事會應在操作風險管理中發揮積極作用，以反映董事會及各級管理部門對內部控制的重視程度。同時，董事會應該在商業銀行塑造全員參與的風險管理文化環境，灌輸操作風險不僅是風險控制部門的責任和義務，又必須是全體銀行成員必須履行的義務。在商業銀行系統內部要加強開展典型案例教育和政策法規教育，提高全行員工的遵紀守法觀念和安全防范意識。同時，要加強業務人員業務素養和業務能力培訓，使其熟悉崗位職責要求和職責權限，不越權辦理業務；同時，要努力發現身邊現實問題，不要因短時利益得失而遮蔽風險，因小失大；同時，可以嘗試個人薪酬、績效考核與風險管理結果掛鉤，增強業務人員的風險管理意識。

（二）建立主體多元化的操作風險內部控制系統進行評估

當前，商業銀行操作風險評估主要有兩種形式，一種形式是商業銀行自身通過主體管理進行自身評估，主要源自于商業銀行對剩余風險的識別和評估，區分可接受的剩余風險和不可接受的剩余風險，并要求采取可操作的控制改進措施，加強對整改行為進行全程化監督。另外一種形式是銀行啟動審計署、外聘審計事務所、銀監局等外部審計部門評估操作風險方面的問題。對外部審計部門發現的問題，商業銀行應會同操作風險管理部門對發現的問題進行識別和評估，對真實存在的可接受的操作風險進行整改，并對具體操作風險進行分類，將突出問題列入關鍵風險指標，加強風險管理。因此，應避免“頭痛醫頭，腳痛醫腳”的被動型事后管理局面，盡快實施主動化、程序化、全面化的風險評估，構筑系統化的操作風險管理系統。

（三）完善操作風險的控制措施

商業銀行為了確保管理方針順利的貫徹實施，還需要建立一系列規章、制度和程序，它們構成了商業銀行內部控制的核心和關鍵點，被稱之為控制措施。由于整個控制系統的核心環節就是控制過程。控制過程正是將環境、目標、事件、風險評估與應對、信息溝通、監督等要素有機的結合成一個整體，所謂細節決定成敗，控制過程的每個細節出現問題，都會造成控制系統的紊亂。

完善操作風險摒棄傳統的單純依靠各部門相互制衡的風險控制手段，一筆記賬背后會追加復核、授權、內部稽核、外部審計等若干人的監督，而是要在業務操作流程過程之中融入內部控制措施，在很大程度上降低了運營成本，也有利于各部門的溝通與合作。有效的操作控制措施需要改變傳統業務流程再造急于求成的錯誤思路，將程序控制作為操作規范標準，規范“事中控制”過程。

（四）建立有效的信息交流反饋渠道

企業的有效運營依靠的是對外部信息的識別和對內部信息的處理。信息化時代背景下商業銀行應該依靠媒體或中介開展內部控制，以促進信息的交流與反饋。只有建立順暢的信息交流渠道，銀行的管理層才能夠掌握銀行經營管理動態，并確保員工能夠在信息交流中明確自己的任務分工和職責所在。在此基礎上，還要不斷加強縱向結構之間、橫向部門之間的信息交流，確保對風險關鍵點采取積極的應對措施，做到有效防范風險。

（五）實行風險導向內審，建立監督網絡

實行風險導向型的內部審計，就是要保證內部審計部門在商業銀行相對獨立的地位，高度重視新業務風險，在環境變化中判斷無法防范的剩余風險，保證審計工作覆蓋全部經營業務過程。同時，還有必要建立銀行間的審計監督網絡，實現銀行間業務數據的對接和風險預警提示。

參考文獻：

[1] 張吉光.商業銀行操作風險識別與管理[M].北京：中國人民大學出版社，2005.

[2] Basel Committee on Banking Supervision.Consultative Document：Operational Risk，Bank for International Settlement[A].2001，（2）.

[3] 陳卓.我國商業銀行操作風險內部控制淺析[J].經驗管理者，2014，（4）：37.

[責任編輯 安 琪]endprint

三、基于內部控制的防范商業銀行操作風險建議

高效的內部控制系統能夠有效地降低銀行的操作風險，而操作風險的降低也有利于銀行節約資金成本。從銀行操作風險和內部控制之間的關系可以看出，銀行應該從內部控制的視角，全面有效地降低自身的操作風險。本文就從內部控制的五個要素出發，探討防范商業銀行操作風險的相關建議。

（一）營造全員管理的風險控制環境

控制環境是商業銀行對內部控制制度的實施效果具有較大影響的環境因素的總和。其中，董事會應在操作風險管理中發揮積極作用，以反映董事會及各級管理部門對內部控制的重視程度。同時，董事會應該在商業銀行塑造全員參與的風險管理文化環境，灌輸操作風險不僅是風險控制部門的責任和義務，又必須是全體銀行成員必須履行的義務。在商業銀行系統內部要加強開展典型案例教育和政策法規教育，提高全行員工的遵紀守法觀念和安全防范意識。同時，要加強業務人員業務素養和業務能力培訓，使其熟悉崗位職責要求和職責權限，不越權辦理業務；同時，要努力發現身邊現實問題，不要因短時利益得失而遮蔽風險，因小失大；同時，可以嘗試個人薪酬、績效考核與風險管理結果掛鉤，增強業務人員的風險管理意識。

（二）建立主體多元化的操作風險內部控制系統進行評估

當前，商業銀行操作風險評估主要有兩種形式，一種形式是商業銀行自身通過主體管理進行自身評估，主要源自于商業銀行對剩余風險的識別和評估，區分可接受的剩余風險和不可接受的剩余風險，并要求采取可操作的控制改進措施，加強對整改行為進行全程化監督。另外一種形式是銀行啟動審計署、外聘審計事務所、銀監局等外部審計部門評估操作風險方面的問題。對外部審計部門發現的問題，商業銀行應會同操作風險管理部門對發現的問題進行識別和評估，對真實存在的可接受的操作風險進行整改，并對具體操作風險進行分類，將突出問題列入關鍵風險指標，加強風險管理。因此，應避免“頭痛醫頭，腳痛醫腳”的被動型事后管理局面，盡快實施主動化、程序化、全面化的風險評估，構筑系統化的操作風險管理系統。

（三）完善操作風險的控制措施

商業銀行為了確保管理方針順利的貫徹實施，還需要建立一系列規章、制度和程序，它們構成了商業銀行內部控制的核心和關鍵點，被稱之為控制措施。由于整個控制系統的核心環節就是控制過程。控制過程正是將環境、目標、事件、風險評估與應對、信息溝通、監督等要素有機的結合成一個整體，所謂細節決定成敗，控制過程的每個細節出現問題，都會造成控制系統的紊亂。

完善操作風險摒棄傳統的單純依靠各部門相互制衡的風險控制手段，一筆記賬背后會追加復核、授權、內部稽核、外部審計等若干人的監督，而是要在業務操作流程過程之中融入內部控制措施，在很大程度上降低了運營成本，也有利于各部門的溝通與合作。有效的操作控制措施需要改變傳統業務流程再造急于求成的錯誤思路，將程序控制作為操作規范標準，規范“事中控制”過程。

（四）建立有效的信息交流反饋渠道

企業的有效運營依靠的是對外部信息的識別和對內部信息的處理。信息化時代背景下商業銀行應該依靠媒體或中介開展內部控制，以促進信息的交流與反饋。只有建立順暢的信息交流渠道，銀行的管理層才能夠掌握銀行經營管理動態，并確保員工能夠在信息交流中明確自己的任務分工和職責所在。在此基礎上，還要不斷加強縱向結構之間、橫向部門之間的信息交流，確保對風險關鍵點采取積極的應對措施，做到有效防范風險。

（五）實行風險導向內審，建立監督網絡

實行風險導向型的內部審計，就是要保證內部審計部門在商業銀行相對獨立的地位，高度重視新業務風險，在環境變化中判斷無法防范的剩余風險，保證審計工作覆蓋全部經營業務過程。同時，還有必要建立銀行間的審計監督網絡，實現銀行間業務數據的對接和風險預警提示。

參考文獻：

[1] 張吉光.商業銀行操作風險識別與管理[M].北京：中國人民大學出版社，2005.

[2] Basel Committee on Banking Supervision.Consultative Document：Operational Risk，Bank for International Settlement[A].2001，（2）.

[3] 陳卓.我國商業銀行操作風險內部控制淺析[J].經驗管理者，2014，（4）：37.

[責任編輯 安 琪]endprint