商业银行二级支行操作风险防范与控制措施

商业银行二级支行操作风险防范与控制措施 商业银行是以信用为基础、以经营货币借贷和结算业务为主的高负债高风 险行业。商业银行的经营特点和其在一国国民经济中所处的关键地位和作用， 导致了银行经营风险具有隐蔽性和扩散性的特点，一旦银行经营风险转化成现 实损失，不仅可能导致银行破产，而且将对整个国民经济产生多米诺骨牌效应。 因此，建立有效的风险防范和控制机制，尤其是商业银行新管理模式下二级支 行的风险防范与有效的控制措施，对商业银行而言有着更为重要的意义。 健全 的风险控制制度是评价商业银行公司治理机制完善与否的基本标准之一，其中 科学有效的操作风险控制，更是直接从事经营活动的商业银行二级支行所面临 的最广泛、最直接的基础性风险控制管理工作。在我国现阶段，由于金融机构 内控制度和金融监管部门监管制度的不完善，操作风险已经成为我国金融机构 所面临的主要金融风险之一。近年发生的少数金融机构内外勾结诈骗案，就暴 露出当前商业银行内部操作风险防范上的问题。从我国商业银行二级支行操作 风险控制状况分析入手，结合国际、国内商业银行操作风险控制理论和实践经 验，分析对加强商业银行二级支行操作风险控制的相关对策，以期对商业银行 二级支行如何有效控制近年来呈上升趋势的操作风险实践有所裨益。 一、商业银行操作风险的具体表现形式 商业银行操作风险主要源于内部管理不善、有章不循、违规操作、人为失 误、系统故障及外部事件等原因。此外，制度上的疏漏、道德风险、越权交易、 内部人作案、外部不法分子欺诈等也经常引发操作风险。研究商业银行操作风 险的具体表现形式，对于做好防范工作具有重要的意义。以下是对商业银行操 作风险的具体表现形式的简要分析： （一）组织风险 是指商业银行由于组织机构设置以及组织控制失效或低效，产生操作风险， 而使得实际效果偏离预期目标的可能性。我国商业银行在改革过程中，组织机 构及控制方式都在变革之中，由传统的组织结构及控制方式，向“公司化”的组 织机构及控制方式转移，组织机构及控制方式发生失效或低效的可能性很大， 由此就比较容易引起操作风险的产生，这种由组织机构及控制方式的作用或内 在功能失效产生的内部操作风险，就是组织风险。 （二）管理风险 是指由于管理人员以及管理职能失效，产生操作风险，而使得实际管理效 果达不到预期目标的可能性。加强管理是控制操作风险的有力手段，在商业银 行的运行过程中，管理人员舞弊、管理制度缺陷、管理技能下降等，都会导致 内部控制制度的失效或低效，从而引发操作风险的产生。这种因管理人员以及 职能原因产生的操作风险被称为管理风险。 （三）技术风险 4 是指由于技术工艺、设备及手段等不完备或失效引发操作风险，从而使得 技术控制效果达不到预期目标的可能性。商业银行的技术控制手段越来越先进， 犯罪分子的作案手段也越来越高明，尤其是计算机及网络系统的产生，在方便 用户以及增加商业银行业务量的同时，也在不断地增加网络操作风险。另外， 现代印刷手段的提高，也在不断地产生着假票、假币，也促进了操作风险的产 生。以上这方面的原因产生的操作风险，被称为技术风险。 （四）人员风险 是指商业银行的内部及外部相关人员，有意识、有目的地作弊或责任心不 强、判断失误等原因而产生操作风险的可能性。内部人员舞弊是由于员工素质 低下以及内部控制制度失效等原因造成的人为风险；外部人员舞弊是外部不法 分子与内部人勾结、利用商业银行的缺陷或采用现代技术手段进行诈骗，以造 成商业银行或他人资产损失的行为。 （五）法律及制度风险 是指由于国家法律、法规不健全，以及商业银行制度缺陷，而造成商业银 行及他人资产损失的现象。我国商业银行目前正处在改制时期，法律、法规还 不够健全，商业银行制度及业务还没有完全与国际接轨，已经颁布的相关法律、 法规也由于环境条件的不成熟还没有完全起作用。因此，通过完善及贯彻执行 相关法律、法规来降低操作风险，具有重要的现实意义。 二、我国商业银行二级支行目前操作风险控制总体状况分析 二级支行是商业银行最主要的经营机构，在商业银行的经营管理链条中处于 承上启下的枢纽部位，在日常经营管理活动中直接面对市场、客户和基层经营 网点，自然成为操作风险的多发地带和控制主战场。回顾近年来国内各商业银 行所发生的内外部事故、案件，当前国内商业银行二级支行主要操作风险控制 总体状况如下： （一）由制度和管理程序缺陷引发的违规操作风险屡见不鲜 银行违规操作案件的内容涉及多是银行内部违规操作引起的客户资金被内 外部人员非法挪用、侵占。从众多案例的过程分析，制度和管理程序有缺陷是 引发各类违规操作的主要诱因：一是在社会整体信用环境不佳，金融监管不到 位的宏观环境下，商业银行推出的一些新型金融产品相关风险防范管理制度、 操作程序不周密，“禁区”不设防；二是银行内部操作风险防范意识差，实际操 作中有制度不执行、越权审批、越界操作、不规范操作等问题屡见不鲜，“后防 线”空虚；三是有些基层行机构不合理的规模考核指标压力下片面追求业务发展， 人员培训尤其是一线操作人员的操作技能、风险识别能力的培训以及必要验证 手段不到位，面对有欺诈意图客户的不合理要求放松警惕，“开门迎盗”。如近 年来国内比较多见的“汽车按揭”、“住房按揭”、“银行信用卡”、“以贷引存被骗”、 “信用证、保理、银行汇票欺诈至损”等诈骗案件，都表现出银行内部制度和管 理程序存在缺陷，业务办理过程中存在明显违规操作行为的共同特征。违规操 作风险在二级支行主要业务操作过程中还比较突出，屡见不鲜。 （二）以道德风险为诱因的内部和外部欺诈风险层出不穷 5 银行从业人员道德风险是金融从业人员违反银行职业道德和银行内部管理 制度而给银行带来的无法预期的损失。国内商业银行从业人员道德风险导致的 内外部欺诈舞弊风险的表现形式主要有：高级管理人员违法违规经营，盲目扩 大规模，内部经营管理混乱；信贷人员违反信贷规章制度，随意超越权限，大 量发放人情贷款、关系贷款，造成重大资金损失；会计、出纳人员肆意篡改账 目或伪造存单、汇票等侵吞储户存款和客户资金；计算机操作人员通过计算机 主机和网络工作站，采取未经授权非法进入、非法修改和非法索取等方式贪污， 甚至导致银行的资产流失或严重损失；外汇交易人员和交收人员主动作弊，内 外勾结，骗取银行资金等。一方面，内部人员尤其是各级机构负责人、管理层、 关键操作岗位人员防范道德风险意识相对滞后，信任代替制度、权大于制度章 程以及监管部门和被监管对象之间的信息不对称形成实际的内部人控制等深层 次问题没有得到根本解决；另一方面，相当部分的前台操作人员和后台监督人 员的业务素质、技能不到位，不足以防范来自内外部的有意识蓄谋的舞弊行为。 （三）法律风险控制防范的空间、层次和难度空前放大 金融业是经济领域创新最快的行业，商业银行面临的业务创新会更快、更 多、更广，而法律调整相对滞后，这意味着法律风险在银行日常业务经营中会 更加突出，法律风险控制防范的空间、层次和难度也空前放大。事实上，在资 产证券化、法人账户透支甚至银团贷款、按揭、票据等业务中都存在实际操作 与现行法律不完全适应的地方，加上国民不断增强的个人维权意识，近年来国 内商业银行尤其是二级支行，面临越来越大的应诉压力，稍有不慎导致败诉赔 偿，损害银行声誉的案例比比皆是。有效防范法律风险已成为商业银行防范操 作风险的主要课题之一，要求商业银行在开拓新业务的过程中，应当法律关注 和经济关注并重，而不应只倾向于判断一项业务的经济价值。 （四）商业银行计算机及网络风险不容忽视 随着信息时代的来临，计算机已经成为信息流转、交换的主要载体，计算 机和通信网络等先进的信息技术在金融行业率先得到普及应用，金融业的大多 数传统业务已经实现了电脑自动化处理，一些新型的金融服务不断推向社会。 据媒体报道，在国外，曾发生多起攻击计算机中心、炸毁计算机设备的案件。 这就警示我们，对银行信息中心计算机设备实体的安全和风险防范就应当引起 足够的重视。尤其是商业银行基层计算机网点，有相当一部分机房设计简陋， 防护装置达不到规定标准，人为助长了计算机实体风险。 从国内金融业调查的情况来看，在电脑广泛运用的银行结算、支付业务领 域中，计算机安全还是一个较为薄弱的环节，尤其是对于一些银行电子化起步 较晚，缺乏足够的财力和技术力量来解决计算机安全隐患的基层金融单位，潜 在的风险则更大。从商业银行内部风险控制的角度来分析，主要问题可概括为： 1、体制风险。 所谓体制风险，主要是指在管理上缺乏统一的组织和领导所引发的风险。 在信息管理方面往往只注重计算机在银行电子化业务中的应用，过分强调科技 的服务职能，而忽略了计算机安全管理工作，忽视金融科技监管。科技人员单 兵作战，除了承担业务软件的推广应用，还要负责全行设备的维护与管理，往 6 往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓， 计算机风险管理几乎是一片空白。 2、制度风险。 所谓制度风险，主要是指在银行电子化业务中，由于制度制定有漏洞或执 行不到位所造成的潜在风险。当前基层行建立的计算机安全管理制度难以适应 银行计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作 员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度 的落实情况更是各行银行电子化建设中一项薄弱环节。随着金融体制的改革逐 步深入，各家银行机构都在精简机构、精简网点人员，一人多网、一人持有多 个操作员号的现象时有发生。形成了人员少、业务集中、基本内控制度难以执 行的状况。 3、人员素质风险。 所谓人员素质风险，主要是指因人员素质参差不齐而引发计算机及网络系 统的风险。当前我国银行业普遍存在缺乏专业高素质人员，一般银行从业人员 尤其是基层行员工素质还不能与先进的管理手段、先进的管理工具的要求相适 应；在具体的业务操作中更是无法有效的利用现有的资源。也正因此，人员素 质的滞后对计算及网络的安全同样是一个潜在的风险 三、完善二级支行操作风险控制的应对策略和措施 商业银行二级支行操作风险管理目标，主要是识别二级支行日常经营管理 活动中所面临的主要操作风险，并采取必要恰当的预防措施，最大限度地防范 因交易系统不完善或其他一些人为失误，尤其是因管理失误和控制缺失而导致 损失的可能性，避免重大损失。防范操作风险要从制度建设、责任追究惩戒、 科技手段建设上下功夫，加强内部控制、监督检查，严防金融案件。 （一）构建适宜的操作风险管理组织体系 巴塞尔银行监管委员会操作风险管理与监管稳健做法确定的十大原则 的第一至第三条就是“营造适宜的风险管理环境”，要点是：“需要核准并定期审 核本行的操作风险管理系统，高级管理层应负责制订相关政策、程序和步骤， 以管理存在于银行重要产品、活动、程序和系统中的操作风险，确保内审部门 全面有效的监督该系统”。在操作风险的管理方面，既要有相对宏观的操作风险 战略管理，又需面对微观的操作风险制订具体控制措施。因此，首先需要构建 适宜的操作风险管理组织体系，以营造良好的操作风险管理环境，使操作风险 控制成为一种环境控制，而不仅仅是操作部门自我控制；使操作风险控制成为 各级风险控制部门控制，而不仅仅是专门风险管理人员的控制。 1、从二级支行现有的组织架构看，宜在分行层面成立专门的操作风险管理 专业委员会，由分行高级管理层和主要专业部门、监督部门组成，负责依据上 及行下达的业务规章制度要求和对分行的控制任务，结合本级行实际经营规模 和区域特点，统筹研究确定本行操作风险管理的整体控制目标、控制重点领域 和一定时期推出的新产品、操作程序、管理系统的控制要求。如研究本行反洗 钱策略、应付诉讼策略、员工职业道德教育和操作技能培训规划、突发事件应 急预案准备、对外合同文件法律风险专业审查、新业务新产品操作风险控制规 程等等。 2、分行高级管理层要指定专门的高级管理人员分专业负责督促各管理和操 7 作部门，有专人对部门所有业务进行风险评估和监控。对下辖机构的操作风险 控制实际状况进行动态跟踪，及时协调弥补本行内跨专业业务操作中发现的边 际风险控制漏洞。操作风险管理涉及许多不同专业部门，难免出现需要相互协 调的情况。如保证信贷部门和会计部门的定期账务核对、保证上下级机构之间 及不同专业部门之间业务资料移送交接的安全性、保证全行各级机构对外同一 业务处理口径、方便服务客户与内控防范措施的协调等等。 3、配备具有足够资质和一定数量的内审人员，保证二级支行内审部门有足 够的能力，充裕的检查、评价时间和空间，全面有效地监督全行操作风险控制 系统运行的效果和效率。如保证内审部门人员构成中有足够数量精通法律、会 计、信贷、资金、计算机等业务的专业人士，保证内审部门能无信息屏蔽地开 展独立检查和评价工作，保证及时对全行不合规操作行为有处罚制止权力等等。 （二）构建操作风险管理监控信息指标体系 按“统一协调、分工管理”原则，由分行操作风险管理委员会统一协调，各 成员部门分专业分工研究制定“主要操作风险管理指引”，完善本专业识别、计 量、监测操作风险的内部程序，识别本专业所有产品、行为、程序和系统中的 操作风险，确定本专业操作风险管理监控主要信息指标（如失败交易次数、员 工流动比率、错误和遗漏的频率及严重程度），对主要业务分类实施日常（逐 月/逐季）量化监测，对现有做法进行自我评估，对可能的风险缓解改进方案进 行成本?效益分析，不断优化操作风险的控制或缓解政策和方法，缓释操作风险。 当前应着手解决的问题是： 1、对主要的生产、信息管理系统，要建立至少一套以上的应急预案，健全 事故即时报告处理制度。如系统参数的权限和人员管理应纳入日常业务检查和 监督的重点范围、系统定期检修及事故情况下的应急和连续营业方案等。在科 技手段建设方面，要加大银行一线操作环节的技控含量，形成以技控手段为主 的一线操作风险控制体系，预前压缩人为操作差错失误和越权违规操作的空间。 2、对法律风险实现专业化管理和集约化控制，从制度和人力资源配备等方 面保证分行法律专业人员的资质水平胜任管理要求，保证二级支行对内对外的 重要法律文书正式生效前都必须经过严格专业审查鉴定。分行法律事务部统一 负责对全分行法律事务管理，做到：对全行业务服务合同内容的合法性、完备 性以及风险度等方面做法律监控；对诉前论证、诉中监管以及对私案件协助执 行等的统一管理；统一监理全分行法律事务，如案件管理、外聘律师管理、诉 讼费用管理，业务规章、操作流程、转授权等各类文件的法律专业审查，出具 重大合同业务事项和相关文件法律意见书，为分行新业务创新提供法律支持等 等。 3、从制度、管理程序以及培训等根源上研究违规操作问题所在，营造良好 的风险控制文化，提高行为人的业务素质。在进一步完善制度的同时，营造良 好的风险控制文化，逐步清除信任代替制度、权大于制度章程等助长内部欺诈 的土壤；二级支行需要不断加强教育培训和内控信息化建设，使全行员工都能 熟知本岗位的操作风险和内控制度，清晰了解分行的操作风险管理政策和对风 险的敏感程度、承受水平、控制手段；建立员工违规信息档案，加大违规操作 的处罚力度，对有严重违规记录的员工不予提拔任职。 8 4、定期独立评估分行各项操作风险：一是结合分行总体风险轮廓和内部资 本目标，评估操作风险资本充足率；二是针对已暴露操作风险评估分行风险管 理方法的有效性；三是评估监测和报告操作风险暴露及相关数据质量的系统的 效率，对每一项业务进展相应产生一项风险评估报告，对所有可能出现的风险 进行预估并标出风险等级；四是分行确保操作风险管理程序完整性的内部控制、 检查和审计方法到位情况；五是分行操作风险缓解的有效性。 （三）健全操作风险监督体系和责任追究惩戒制度 建立分层次、纵横交叉的的操作风险检查监督网络，保证全行操作风险控 制疏而不漏：第一层次，由基层经营机构做好本机构关键岗位、关键人员的日 常操作风险的合规性检查；第二层次，由各主要专业管理部门负责督促、检查 各支行、集约化管理中心对本专业各项规章制度、操作规程的贯彻执行；第三 层次，由内审监督部门根据总、分行相关业务规定，强化内部控制与合规管理， 负责审核各项经营活动是否遵循有关法律、法规，组织开展银行内部各项规章 制度的合规性检查，开展以信贷操作风险、电子化系统风险、结算操作风险等 内容的专项合规检查，开展对辖属机构关键岗位人员的离任、离岗以及