談談銀行內部審計在操作風險管理中應發揮的作用

一、問題背景

隨著金融技術的日趨復雜化以及金融創新的日益頻繁，銀行活動及其操作風險特征變得更加復雜多變，國外的巴林銀行倒閉、日本大和銀行國債事件、法國興業銀行事件，以及國內的中國銀行“森豪公寓按揭貸款”、農業銀行管庫員盜竊巨額庫款案等，都與沒有嚴格執行制度密切相關，操作風險管理成為銀行風險管理的重要內容。2004年6月巴塞爾委員會發布了《新資本協議》，將操作風險納入資本監管范疇。2005年2月，針對國內部分銀行機構制度不健全、制度執行不嚴、違規查處不力、內部控制薄弱并導致大案、要案屢有發生的實際，銀監會下發了《關于加大防范操作風險工作力度的通知》（簡稱十三條）。2007年5月14日，銀監會發布了《商業銀行操作風險管理指引》，至此，結合國內實際，銀監會通過推進五級分類制度強化銀行信用風險監管，并在先后發布《商業銀行市場風險管理指引》和《商業銀行合規風險管理指引》后，對金融機構所面臨的信用風險、市場風險和操作風險三大風險監管已經形成一套完整法規。本次《操作風險管理指引》的發布，對進一步加強銀行風險監管，提高識別、控制操作風險的能力和風險管理水平，建立操作風險管理長效機制，提升銀行業的整體國際競爭力，防范銀行業大、要案的發生和促進銀行業穩健運行，必將產生極其重大的影響。

二、我國銀行業操作風險管理的現狀

（一）操作風險的定義

一般意義上講，操作風險，指因操作流程不完善、人為過失、系統故障或外來因素所造成的經濟損失，廣泛存在于銀行經營管理的各個領域，是銀行經營管理面臨的基礎風險之一。商業銀行日常工作中，典型的操作風險事件包括內部欺詐，外部欺詐，雇傭合同以及工作狀況帶來的風險事件，客戶、產品以及商業行為帶來的風險事件，有形資產的損失，經營中斷或系統出錯，涉及執行、交割以及交易過程管理的風險事件。

操作風險事件難以在事前充分預期，并往往來源于制度、系統缺陷和人員舞弊行為，具有較強的內生性，即使建立相對完善的內控制度和監督檢查機制，也難以充分預計未來持續期內的所有變動因素并徹底杜絕內部舞弊所造成的違法犯罪行為。

（二）操作風險管理滯后于發展。在全球經濟一體化、社會與經濟環境快速發展、商業銀行全球化和綜合化經營的趨勢下，金融創新層出不窮。金融產品、服務的復雜性提高， 各項業務超常規發展，操作風險的類型不斷演變。在認識不到位、風險管理手段不足的情況下，發生操作風險和造成損失的可能性增加。

（三）操作風險管理尚處于起始階段。長期以來，我國商業銀行偏重信用風險和市場風險管理， 未設立獨立的專業部門承擔操作風險管理的職責，而是由非獨立專業部門牽頭負責或由各專業條線內部控制，沒有形成針對操作風險的統一的政策標準，有章不循，違章操作的現象時有發生。對操作風險管理主要采取定性管理、質量控制，尚未建立起操作風險管理系統。在建立按新巴塞爾協議計量監管資本操作風險的損失事件數據庫、開發和運用操作風險的資本分配模型、定量計算操作風險等方面，與國際先進商業銀行以資本約束為核心的操作風險管理存在差距。

三、內審部門對防范操作風險所擔負的責任

銀監會發布的《商業銀行操作風險管理指引》第十一條規定：商業銀行的內審部門不直接負責或參與其他部門的操作風險管理，但應定期檢查評估本行的操作風險管理體系運作情況，監督操作風險管理政策的執行情況，對新出臺的操作風險管理政策、程序和具體的操作規程進行獨立評估，并向董事會報告操作風險管理體系運行效果的評估情況。筆者認為上述規定應包括以下幾層涵義：

（一）內部審計部門作為風險防范的第三道防線，對操作風險管理框架，以及框架在銀行的建立和執行情況進行審計、監督和評價。

（二）內部審計部門對操作風險管理政策和流程的充分性和有效性進行評價。

（三）內部審計部門應當制定具體的實施辦法，并合理配置審計資源，對操作風險管理政策執行情況進行評價，評價的頻率根據操作風險大小和重要性等因素來確定。內部審計部門應當對重大策略改變、管理架構變動等影響操作風險管理政策的事件給予關注。

（四）內部審計部門應當將審計結果及時上報高管層，同時提供給風險管理部門。操作風險管理職能部門和相關業務部門應根據審計管理建議，按照成本收益匹配原則，對操作風險管理采取相應的改進優化措施，以保證操作風險管理機制的有效性和不斷完善。

四、銀行內部審計部門在操作風險管理工作中應發揮的作用

操作風險管理是當前銀行風險管理的重大問題，與國外商業銀行相比，國內銀行在管理思想、技術、方式、水平等方面存在明顯差距。同時，與信用風險和市場風險相比，操作風險又具有明顯的特點：即操作風險大多是銀行可控范圍內的內生風險，并往往屬于人的風險。如何結合操作風險的特點和銀監會、國內銀行的職責定位，進行系統化的操作風險管理，不僅對銀行各級機構和部門是個嚴峻挑戰，對內審部門也是一個重要課題。內部審計承擔著健全與完善內控的職責，在開展操作風險管理時如何發揮作用，筆者認為目前應著重關注以下方面。

（一）關注操作風險管理架構及部門職責劃分。組織架構及職責劃分是風險管理的基礎，是制定、完善、傳導操作風險管理政策或方法的途徑，是建立與各商業銀行業務性質、規模和復雜程度相適應的操作風險管理體系的前提。審計人員在工作中，應按銀監會相關文件規定，關注各級機構和部門有無指定牽頭部門負責全行操作風險管理？各機構操作風險管理體系如何構建？職責是否清晰？分工是否重疊或適當？實施情況如何等等，為評價被審計對象的操作風險管理狀況作好準備。

（二）關注被審對象操作風險管理流程的健全性和有效性。各經營機構應建立操作風險管理的清晰流程，包括對操作風險識別、評估、控制/緩釋、監測、報告等環節，這是操作風險管理的制度基礎。在開展審計評價時，審計人員應關注各級機構如何開展操作風險的識別與評估工作，確立了哪些關鍵控制環節點？日常操作風險的檢查監測怎樣開展？發現隱患如何報告？對于影響程度較大的操作風險事件損失或損失發生頻率較多的產品，是否及時進行操作風險重檢？損失是否得到及時報告等等，從而對被審計對象的操作風險管理水平狀況作出合理評價。

（三）從內控檢查與評價入手開展操作風險管理。落實規章制度是開展操作風險管理最直接和有效的手段。在開展工作時，內部審計應加強對關鍵業務環節執行情況的檢查入手，從關鍵崗位員工的定期輪崗制度、強制休假制度、不相容崗位和職能分離情況、授權制度及對操作風險管理獎懲機制等方面展開監督檢查，這些基本制度的執行情況對防范操作風險發揮著決定性作用。通過進一步加大內部控制的檢查與評價力度，為防范操作風險管理發揮基礎作用。

（四）提出完善內控及業務系統的方法與建議。按照多米諾骨牌理論，人員道德并不直接導致操作風險，規則及流程缺陷與人的缺陷結合才導致操作風險。完善流程和規則，糾正人的錯誤行為是防范風險最有效的手段。因此，內部審計應當經常檢修工作流程和規則，提出消除業務系統缺陷的建議和措施，將改進與完善內部控制作為參與操作風險管理的基本方法，并納入日常工作目標管理，如此才能較好擔負起操作風險管理的職責。

（五）關注從業人員行為的監督及管理過程。《商業銀行操作風險管理指引》第十七條指出：“對重要崗位或敏感環節員工八小時內外行為要進行規范；建立基層員工署名揭發違法違規問題的激勵和保護制度是防范操作風險的重要措施?！?血的教訓表明:情節重大且性質惡劣的操作風險（尤其內部員工欺詐與道德風險）往往與銀行疏于關注員工行為相關。內審部門應當充分重視這項規定要求，要結合審計活動的開展，收集適當證據判斷管理層是否采取措施認真執行了這一規定，督促管理層加強員工行為監管，為防范操作風險打下基礎。

（六）加強對新流程、新產品的操作風險識別及評估。新流程與新產品不確定性因素較多，各級機構和部門在實施推廣前，應當確保對新產品、新流程及新系統的操作風險的充分識別和評估。內部審計也應積極參與其中，并且，在新流程和新產品推出后，內部審計要繼續跟蹤了解對經營管理目標可能產生不良影響的關鍵風險點，對缺乏控制或控制不足的業務流程提出完善建議，對控制過度并導致服務效率低下的情況提出優化方案，促進業務健康發展。

（七）嚴格追究制度，強化責任意識。在審計活動中，應按照權責對等原則，從決策、監督、管理和經辦四個層面，清晰界定各層級、各業務條線（部門）和崗位的操作風險責任。對因制度缺陷、監測檢查不到位、管理不善、執行不力等操作風險引發的損失事件或給建設銀行聲譽帶來不良影響的行為，審計部門應按照分工負責的要求，提出追究責任人責任的意見或建議，督促各個方面增強責任感，更加有效地履行職責。

（八）結合日常監督活動研究操作風險預警指標。審計部門應當充分利用所掌握的信息，結合日常開展的審計活動，針對某一風險領域審計缺陷統計或業務變化情況，分析損失概率數據，監測操作風險事件因素，積累或提供反映風險變化情況的數據或預警指標，通報并提供管理層決策時參考。

（作者單位：中國建設銀行河北總審計室）