建立有效內(nèi)控體系 強化操作風險管理

內(nèi)部控制的失效往往是商業(yè)銀行操作風險頻發(fā)的最主要原因，應(yīng)通過建立有效的內(nèi)控體系加以控制和防范，并在此基礎(chǔ)上構(gòu)建全面的操作風險管理體系。

20世紀80年代以來，全球金融機構(gòu)因操作風險而造成的損失超過2000億美元。2002年巴塞爾委員會做過一次全球性的操作風險調(diào)查，被調(diào)查銀行共計報告損失金額超過1萬歐元的操作性風險事件47269起，平均每家銀行發(fā)生操作風險事件逾500起。操作風險事件頻繁引爆，破壞力量之大令業(yè)內(nèi)震驚，建立和完善操作風險管理體系已經(jīng)成為現(xiàn)代商業(yè)銀行急需解決的重大課題。

隨著金融全球化趨勢的加快，銀行業(yè)無論是經(jīng)營的業(yè)務(wù)范圍還是提供的金融產(chǎn)品種類都更具多元化，加之日益先進的信息技術(shù)和金融技術(shù)在銀行業(yè)越來越廣泛的應(yīng)用，使得銀行面臨的風險也更為復(fù)雜。操作風險暗流涌動，已成為導(dǎo)致金融機構(gòu)及整個金融體系恐慌的潛在威脅。即使是最傳統(tǒng)的業(yè)務(wù)，也有相當部分是銀行內(nèi)部由于有章不循、違規(guī)越權(quán)甚至內(nèi)部人作案而導(dǎo)致的，有的甚至釀成重大損失，比如，今年四月邯鄲農(nóng)行金庫被盜近5100萬元，涉案金額如此之巨大，性質(zhì)如此之惡劣，給正處于股改關(guān)鍵時期的農(nóng)行產(chǎn)生了極壞影響，也給整個金融系統(tǒng)帶來了一定的負面影響，這起案件依然凸現(xiàn)了商業(yè)銀行在操作風險管理上的薄弱環(huán)節(jié)，它又一次給各家商業(yè)銀行敲響了警鐘，值得中國銀行業(yè)深刻反思。

巴塞爾銀行業(yè)監(jiān)管委員會以及國內(nèi)外商業(yè)銀行對于操作風險的調(diào)查統(tǒng)計都表明，操作風險不同于信用風險，不僅具有很強的不可預(yù)測性，難以依賴模型進行判斷，而且與政策體制及人員因素直接相關(guān)，因而健全的內(nèi)部控制成為商業(yè)銀行進行有效操作風險管理的基礎(chǔ)。

內(nèi)部控制失效導(dǎo)致操作風險頻發(fā)

政策層面上的控制機制缺乏是要害所在。由于地域遼闊、經(jīng)濟發(fā)展不平衡的特點，使得商業(yè)銀行的一些程序在不同區(qū)域或不同層級呈現(xiàn)非標準化特征，而這種非標準化正是造成操作行為不一并缺乏統(tǒng)一衡量標準的重要原因。同時，這些程序并沒有被系統(tǒng)整合上升為政策層面的東西，沒有形成諸如信用風險、市場風險、操作風險等統(tǒng)一有效的政策，無法指導(dǎo)和規(guī)范各類業(yè)務(wù)的運行，這也是商業(yè)銀行從整體上難以規(guī)避操作風險的原因所在。

嚴密有效的制度體系缺乏是風險難以規(guī)避的重要原因。近年來，我國商業(yè)銀行在制度建設(shè)方面下了很大功夫。但是，這些制度或規(guī)章多是針對某一產(chǎn)品或某一業(yè)務(wù)領(lǐng)域而制訂的，因而具有單點或條線式的特征，不能形成一個網(wǎng)絡(luò)狀的體系，使業(yè)務(wù)運行中的各個部位和各個環(huán)節(jié)達到平衡制約、相互支持。這種制度執(zhí)行的結(jié)果，往往是局部或某一環(huán)節(jié)的風險點得到了控制，抑或是某一業(yè)務(wù)條線的風險得到了防范，但總體上卻控制不足或系統(tǒng)控制失效，使內(nèi)控難以達到預(yù)期目標。

監(jiān)督不力或無效容易釀成操作風險。無論是商業(yè)銀行自身還是外部監(jiān)管機構(gòu)，為實現(xiàn)規(guī)章、制度的有效運行，每年都會定期或不定期地組織現(xiàn)場或非現(xiàn)場檢查，甚至是大規(guī)模的全國性檢查。可每次檢查都會發(fā)現(xiàn)大量的、以前檢查中發(fā)現(xiàn)并責成整改的問題，又在不同的部位、以不同的形式表現(xiàn)出來，甚至還會在相同部位、相同形式再次發(fā)生。究其原因，一是這種檢查多是“自上而下”發(fā)起而非“內(nèi)生性”的，操作人員有“隔靴搔癢”之感；二是這種檢查是不定期的、視銀行管理者或監(jiān)管部門的管理偏好而定的，是非制度化的，改進的效果也多屬“就事論事”式的，而非從根源上查找原因并加以系統(tǒng)整改的；三是缺乏持續(xù)跟進的機制，因此屢查屢犯的現(xiàn)象難以從根本上去除。

關(guān)鍵崗位缺乏有效制約是風險頻發(fā)的重要因素。盡管商業(yè)銀行的制度規(guī)定中對一些關(guān)鍵崗位有明確界定，如要求機構(gòu)負責人、尤其是基層機構(gòu)負責人在任期屆滿后必須交流，又如，要求會計部位的人員必須定期輪換或“強制休假”等，但執(zhí)行起來遭遇種種原因或借口而打了許多“折扣”。近些年在一些銀行發(fā)生的大案要案，有相當部分屬于機構(gòu)負責人在一地或某一崗位任期太長，而使一些已釀成損失的事件長期被掩蓋，由此造成巨額損失。

體制性因素成為商業(yè)銀行內(nèi)控失效的關(guān)鍵。近年來，雖然銀行內(nèi)部強調(diào)了平衡制約，規(guī)定了一些不相容崗位的職責，但由于業(yè)務(wù)條線自上至下的管理與對人員和資源的配置是脫節(jié)的，因此政策的傳導(dǎo)和制度的執(zhí)行力度會因各層級管理者的風險偏好或自身利益驅(qū)動而發(fā)生一定的扭曲或調(diào)整，從而使控制失效。這一問題已成為商業(yè)銀行實現(xiàn)效益最大化目標的致命性掣肘因素。

建立有效內(nèi)控體系管理操作風險

有效的內(nèi)控體系是銀行防范各類風險、尤其是操作風險的一道重要屏障。而要建立這套體系，則必須把著眼點既放在銀行管理的根部又放在頂部。根部則需從基礎(chǔ)做起，通過對銀行現(xiàn)有運行的基礎(chǔ)系統(tǒng)進行梳理分析，識別出風險點和薄弱環(huán)節(jié)，并跟進有效控制措施，把基礎(chǔ)打牢。頂部則指銀行高管層必須把對操作風險的防范放在同信用風險同等重要的位置，在明確內(nèi)控政策、目標和程序的前提下，督促建立系統(tǒng)、透明、文件化的內(nèi)控體系，實施對銀行整體經(jīng)營活動的系統(tǒng)監(jiān)測控制，并通過不斷評審保持其持續(xù)改進。

進行制度整合，建立文件化的內(nèi)控體系。為使內(nèi)控體系有效，需按照內(nèi)控原則對現(xiàn)有制度進行整合，通過系統(tǒng)梳理業(yè)務(wù)及管理流程找準其出口與入口，將其有機連接起來，使之體系化，然后通過這一“網(wǎng)狀”的體系文件來指揮、控制各項業(yè)務(wù)的運行。體系文件在指揮業(yè)務(wù)運行中的一大顯著優(yōu)勢是它的惟一性，即一項活動只能由一個文件來規(guī)范，其后發(fā)生的變化可以通過該文件的不斷評審和修訂來完成。這不僅可避免眾多文件指揮一項活動帶來的負擔和操作風險，還有利于根據(jù)不斷變化的經(jīng)營環(huán)境和基層行的實際情況隨時修訂文件，增進體系文件的時效性，并隨著不斷評審持續(xù)改進，增進內(nèi)控的有效性。

定期評審，建立持續(xù)改進機制。解決商業(yè)銀行“屢查屢犯”問題的根本途徑在于建立制度化的評審和系統(tǒng)化改進機制。即規(guī)定承擔操作風險的各業(yè)務(wù)部門的各崗位員工必須定期對涉及該崗位的體系文件的適宜性和有效性進行自查或?qū)徍耍瑢Πl(fā)現(xiàn)問題并積極建議者給予獎勵；風險管理部門需定期組織對所有業(yè)務(wù)條線和各業(yè)務(wù)環(huán)節(jié)的系統(tǒng)評審，發(fā)現(xiàn)問題及時跟進整改措施，并對疑點和薄弱環(huán)節(jié)建立持續(xù)跟蹤檢查制度；審計部門也需定期對文件化的內(nèi)控體系進行評審，對其有效性發(fā)表意見并提出整改建議；銀行監(jiān)管當局則應(yīng)在一定的期間內(nèi)對商業(yè)銀行內(nèi)控體系進行評價，針對發(fā)現(xiàn)的問題或風險隱患責成制定糾正措施，并跟蹤其糾正效果及有效性。這種職責分明、環(huán)環(huán)相扣的評審機制有利于形成一個動態(tài)的過程，促使商業(yè)銀行不斷改進內(nèi)控體系，提升內(nèi)控體系的有效性。

積累數(shù)據(jù)，為開發(fā)操作風險管理模型奠定基礎(chǔ)。內(nèi)控體系的一個基礎(chǔ)性要求，就是要求商業(yè)銀行建立并保持書面程序，記錄內(nèi)部控制相關(guān)活動中所涉及的主要內(nèi)容，以提供內(nèi)控體系有效運行的證據(jù)，并可追溯到相關(guān)的活動。這無疑為積累操作風險的數(shù)據(jù)，開發(fā)操作風險管理模型奠定了基礎(chǔ)。由于操作風險的無處不在和爆發(fā)前的隱蔽性，靠人工檢查和手工操作有較大局限性，因此亟需開發(fā)模型，建立監(jiān)測與計量系統(tǒng)，以有效跟進與控制操作風險。考慮到目前國際上尚無成熟的操作風險管理模型，且操作風險的量化存在一定困難等因素，我國商業(yè)銀行現(xiàn)在就應(yīng)著手積累數(shù)據(jù)，并就易發(fā)風險的關(guān)鍵環(huán)節(jié)開發(fā)相應(yīng)控制程序，并隨經(jīng)驗的增加和情形的發(fā)展而不斷豐富完善。

建立基于有效內(nèi)控體系的操作風險管理體系

嚴密的內(nèi)部控制體系為操作風險政策及標準的實施提供了基礎(chǔ)平臺。國際先進銀行的內(nèi)部控制體系是建立在統(tǒng)一的風險管理政策和框架之下的。這一基于統(tǒng)一政策、標準流程、明晰的職責分工和授權(quán)建立起來的體系，能夠通過全行范圍內(nèi)的自評活動，有效識別經(jīng)營及管理活動中的風險，跟進控制措施，并搜集、積累操作風險損失事件的數(shù)據(jù)，為篩選關(guān)鍵風險指標，開發(fā)分析工具奠定基礎(chǔ)。

確立統(tǒng)一完整的操作風險管理流程。銀行可在全面風險管理流程框架的基本模式下，結(jié)合操作風險的特點，確定統(tǒng)一完整的操作風險管理流程。首先，從潛在重大風險事件入手，開展風險辨識和成因分析；其次，通過對上述工作所得數(shù)據(jù)在各業(yè)務(wù)單元和業(yè)務(wù)部門進行分類，從而使各業(yè)務(wù)部門根據(jù)自身的操作風險狀況采用合理的風險管理架構(gòu)；最后，銀行需要建立一個防范非預(yù)期損失的機制，包括一個風險轉(zhuǎn)移機制，如保險。風險管理流程可以分為事件識別、原因分析、風險映射、風險應(yīng)對以及資本管理五個環(huán)節(jié)，每個環(huán)節(jié)又分別涉及定性、定量風險管理以及內(nèi)外部審計三個層面。

開發(fā)行之有效的操作風險管理范式和工具。首先，要建立全行范圍的事件和風險指標數(shù)據(jù)庫。新資本協(xié)議在多處提及操作風險損失數(shù)據(jù)問題。操作風險損失數(shù)據(jù)的收集被視為風險識別和風險監(jiān)控的基本要素，用來校驗風險估計，并成為風險報告和操作風險高級法的關(guān)鍵輸入變量。在風險事件數(shù)據(jù)庫構(gòu)建時，必須要確立連續(xù)的事件收集標準，包括事件的定義、收集的金額起點以及事件分類方法等。其次，通過開發(fā)一個獲取和跟蹤的程序?qū)θ珯C構(gòu)各層面的操作風險問題、事件和損失進行跟蹤，包括這些事件的損失和成因。識別并跟蹤操作風險的先行指標和驅(qū)動因子。獲取定量及定性的驅(qū)動因素數(shù)據(jù)和其他描述性信息，為管理層采取適當?shù)男袆犹峁┲笜藞蟾婧痛蚍忠罁?jù)。

開展動態(tài)的操作風險監(jiān)控和評估。操作風險監(jiān)控和評估有三大目標：第一，確定風險事件損失情景的類型；第二，確定損失事件的原因以及潛在的損失程度；第三，將上述分析結(jié)果轉(zhuǎn)化為能夠應(yīng)用于風險緩解的模式。風險管理部與業(yè)務(wù)部門協(xié)同進行持續(xù)性的風險評估，從內(nèi)外部審計等部門獲取有關(guān)風險的信息及數(shù)據(jù)。操作風險管理部為各業(yè)務(wù)部門進行的操作風險評估提供便利，并在全行范圍內(nèi)進行操作風險脆弱性分析。通過在全行實施操作性風險調(diào)整后績效管理（RAPM）方法等風險和業(yè)績測量工具，將有關(guān)操作風險、風險指標以及事件趨勢等信息進行有效傳遞。

建立一體化的操作風險報告體系。操作風險報告過程應(yīng)該涵蓋銀行面臨的關(guān)鍵操作風險或潛在操作風險、風險事件以及所采取的補救措施、已實施措施的有效性、管理風險暴露的詳細計劃、操作風險明確會發(fā)生的壓力領(lǐng)域、為管理操作風險而采取步驟的狀態(tài)等方面的信息。并且這些信息應(yīng)該足以滿足以下要求：（1）使高級管理層和經(jīng)營者能夠確定風險管理職責的委派的有效性，操作風險管理的要求是否得到了滿足；（2）使整體風險預(yù)測能夠與銀行的風險戰(zhàn)略和偏好相比較，并得到評定；（3）使關(guān)鍵風險指標得到監(jiān)控，可以判斷出采取措施的需要；（4）使業(yè)務(wù)單元能夠確定對關(guān)鍵風險成功實施了控制，有關(guān)信息得到了傳遞。以上所述的風險管理過程是一個不斷重復(fù)的過程。風險管理職能部門應(yīng)該確保關(guān)鍵操作風險管理活動以適當?shù)念l率重復(fù)進行，例如每年或每半年一次。

操作風險管理中的有關(guān)報告清單包括：風險匯總報告、單一風險指標報告、風險指標綜合分析報告；關(guān)鍵風險因素分析報告；問題跟蹤系統(tǒng)報告；損失原因分析和預(yù)測報告；事件和損失匯總報告；事件趨勢預(yù)測報告；損失預(yù)測；關(guān)鍵事件的風險監(jiān)控報告；經(jīng)濟資本分析報告；監(jiān)管資本分析報告；操作風險管理成本報告；風險融資和保險決策報告；風險化解報告。

運用科學(xué)的操作風險管理激勵和約束機制。為充分調(diào)動業(yè)務(wù)部門和員工在日常工作中參與風險管理的主動性，可運用激勵和約束機制來平衡戰(zhàn)略性風險和收益，運用資本作為優(yōu)化風險和回報的手段，為風險管理提供激勵和約束。比如使用風險調(diào)整后績效測量模型（如基于風險的經(jīng)濟資本配置或分配程序）來強化操作風險較高的業(yè)務(wù)。通過經(jīng)濟資本分配和操作風險管理成本配置等手段對業(yè)務(wù)部門操作風險管理的進展給與獎勵；通過在員工績效考核指標體系中增加操作風險管理的考核指標，鼓勵員工參與操作風險管理的積極性。將操作風險的考核內(nèi)嵌到員工的福利計劃中，以保證員工在日常工作中能夠?qū)Ｗ⒂诓僮黠L險的防范和優(yōu)化上。

（作者系上海浦東發(fā)展銀行總行操作風險管理部總經(jīng)理）