基于內控視角下商業銀行操作風險管理的思考

一、前言

操作風險是商業銀行面臨的主要風險之一，是由內部程序的不完善或失靈、人員和系統或外部事件導致損失的風險。銀行業金融機構經營規模迅速擴大，業務快速發展、產品不斷創新、機構與員工數量持續增長，在此背景下，積聚的操作風險問題隨之增加。近年來，操作風險引發的各類案件不斷增加，而內部控制作為企業自身的一項管理活動，其運作的有效性與操作風險的控制與管理息息相關。本文試圖結合COSO《內部控制整體框架》，從商業銀行的內部環境、風險評估、控制活動、信息與溝通、內部監督五大要素出發，對商業銀行操作風險管理中存在的問題進行研究與分析。

二、內控視角下商業銀行操作風險管理所存在的問題

（一）內部控制環境。從內部控制環境來看，商業銀行的內控環境存在的問題主要在于公司治理、機構設置、企業文化等方面。例如商業銀行的“兩會一層”是否有效建立并各自履職盡責，內部控制治理架構是否健全完善，內部控制制度建設和流程建設的是否完備，內部控制是否具有動態完善機制。從公司治理結構來看，“兩會一層”的缺失必然導致職責混同、“一言堂”等內控失效的局面發生。以某銀行為例，該行為12家全國性股份制銀行之一，在2003年改制完成后的長達10年時間里該行僅有董事長沒有行長。從內部控制架構來看，某些商業銀行在內部機構設置上不重視審計部門，審計人員數量遠低于《商業銀行內部控制指引》員工總數的1%的要求，導致內部監督力量薄弱，此外某些商業銀行的合規部門與審計部門職責混同，審計的獨立性不足，不利于發揮內部審計的積極作用，不利于長期穩健經營。此外，從制度與流程的完備性來看，未能實現制度流程全覆蓋也為操作風險的孳生創造了環境。

（二）內部控制風險評估。與其他風險不同，操作風險呈現出廣泛性的特征，遍布商業銀行的各個業務、管理環節。

目前，各大商業銀行主流仍然是應用巴塞爾協議中操作風險的三大工具對操作風險進行識別與評估，包括自我風險評估（RCSA）、關鍵風險指標（KRI）、損失數據收集（LDC）。但其中也存在一些問題，例如風險評估未能與業務流程、關鍵環節相關聯，損失數據收集不夠全面且高度依賴人為報送、關鍵風險指標未能定期重檢與更新、操作風險損失等級評估失真、剩余風險與控制措施評估流于形式等。

（三）內部控制活動。內部控制活動是內部控制的基本要素，是實現內部控制目標的關鍵要素。一般而言，商業銀行的內控控制的措施包括授權控制、崗位控制、流程控制、實物控制、科技系統控制、雙人作業控制等。目前商業銀行的各類控制活動不到位，會極大的造成操作風險失控，一是授權控制不到位，超授權辦理信貸業務或柜面操作；二是崗位設置不合理，不相容崗位未實施分離，存在一人身兼數崗或是套取他人崗位權限，業務辦理上單人一手清，形成內控漏洞；三是流程控制不到位，如進出口銀行李昌軍一案，利用分行行長身份，繞開信貸審批流程私刻公章提供對外擔保造成損失逾10億元；四是實物控制不到位，如2016年農行40億票據大案中理應入庫保管的票據被偷換成報紙，再如銀行公章、重要空白憑證等要件未能雙人保管監控覆蓋而被盜用，甚至辦公場所管理的缺位也為操作風險帶來可趁之機；五是業務依賴的科技系統存在漏洞，未能在流程上實現單向管理及硬約束；六是雙人作業控制不到位，雙人控制流于形式等情況高發于信貸盡職調查、開戶及柜面業務辦理等環節；七是重要崗位的風險管控不足，未能執行輪崗強休等基本人力制度。

（四）內部控制監督。內部監督是企業對內部控制及管理與實施情況進行監督檢查，評價內部控制有效性，發現內部控制缺陷并及時改進的過程。在該方面存在的問題包括內部監督的覆蓋有效性不足，不能貫徹到商業經營活動、產品管理、業務操作的各個層面；內部監督的獨立性不足，受到其他人為或非人為因素干擾，難以客觀履職；內部監督的地位較弱，難以形成相互制約、相互監督的良性局面。

三、商業銀行操作風險管理的對策

（一）完善內部控制環境。在強監管態勢下，商業銀行應該要苦練基本功，重視內控環境的建立與打造，是操作風險管理最基礎的一環。一是完善“兩會一層”的治理結構，確保董事會、監事會、高管層各盡其職，董事會確保建立充分有效的內部控制體系，監事會按規定監督各級履行內部控制職責，高管層制定系統化的制度流程，建立健全內部組織架構，采取適當的風險評估措施和內部控制活動。二是健全與完善內部控制治理架構，指定專門部門作為內控管理職能部門，對內部控制體系進行統籌規劃與組織落實，建立強有力的內部審計部門并確保其履職的獨立性，根據分支機構的經營能力、管理水平、風險狀況和業務發展需求建立相應的業務授權體系，明確職責。

（二）完善操作風險的風險評估機制與風險控制措施。完善操作風險的識別與評估并采取適當的風險控制措施，是操作風險管理最為關鍵的一環。一是完善以操作風險三大工具為核心的操作風險識別、評估、預警管理手段；二是持續完善操作風險的圍繞操作風險各個問題環節建立負面清單或風險指標，持續監測；三是以科技手段為依托，建立會計集中作業中心、信貸管理流程系統、客戶關系管理系統等，強調系統硬約束，杜絕人情化管理，杜絕逆流程管理；四是持續深入的開展內部控制評價，以發揮內控評價的激勵約束作用。

（三）加強員工異常行為管理與打造知法守規的軟環境。嚴重的操作風險事件的發生必然存在人為因素，對員工異常行為進行管理能夠遏制極端的操作風險發生或是減少負面影響。因此，一是建議建立員工“從入職到離職”的全流程管理體系；二是借助科技賦能，提升監測預警能力，對員工個人行為、大額資金運轉進行監控與預警；三是一級帶以及、層層履職，以部門為為單位的各級管理人員應該掌握員工，特別是重要崗位員工的思想活動、社會交際、生活狀況情況，并建立定期和不定期的異常行為排查機制；四是加強員工職業操作與職業操守教育，提升員工思想品德與業務技能，引導員工積極向上、合規經營、依法經營；五是將違規行為與員工個人績效掛鉤，與員工的個人職業晉升掛鉤，從利益角度規范員工行為；六是完善內部的員工違規行為的處罰辦法，從經濟處罰、紀律處分等方面約束員工不越紅線。

(四）建立健全內部監督體系，構筑三道防線。構建以監事會監督為核心，以職能部門盡職監督、內控合規部門檢查和內部審計部門審計組成的內控監督體系。監事會履行對董事會和高管層的監督職責；各職能部門積極開展自查自糾，強化條線內部控制；內控合規部門統籌現場檢查，實現檢查的計劃管理，整合優化檢查資源，提升監督效果；審計部門開展審計再監督，相對獨立的對全行經營管理和經營績效進行審計，充分發揮審計監督和促進作用。

四、結語

與商業銀行面臨的其他風險相比，操作風險具備廣泛性、隱蔽性特征，因此在操作風險管控相較于其他風險難度更大，如何更好的控制操作風險，防范小的操作風險向大的操作風險甚至是惡性案件衍生在當今的商業銀行管理中顯得尤為重要。從內控視角看待商業銀行操作風險，可以看出內部控制與操作風險管理相輔相成，其根本目標一致，措施與手段趨同，因此改進內部控制也是商業銀行操作風險管理的重要途徑與手段。