（会计学专业论文）基于内部控制的我国商业银行操作风险管理研究.pdf

摘要 操作风险是商业银行与生俱来的风险之一，它古老而又新鲜。二十世纪 九十年代后国际国内银行业相继发生了一系列重大的操作风险事件，给商业 银行带来了巨大资金损失的同时也在社会上造成了很大的负面影响。操作风 险因此得到银行业、监管当局以及学者的广泛关注和高度重视。能否有效的 对操作风险进行科学的防范和管理直接关系到银行的发展。对于我国银行业 来说，由于对操作风险认识的起步较晚，缺乏操作风险的管理经验。目前， 我国多偏重于对操作风险量化模型的研究，而将操作风险与内部控制等相关 基础理论联系起来的研究较少。 本文紧紧围绕“基于内部控制的商业银行操作风险管理 这一主题，从 理论和实践两方面剖析，提出推进和完善商业银行操作风险的内部控制的基 本思路和相应的对策。文章首先回顾了国内外学者对商业银行操作风险和内 部控制的研究成果，然后分别从操作风险的定义、分类、特征等方面对操作 风险的基本理论进行阐述。在此基础上，探讨内部控制与操作风险之间的关 系，得出内部控制对操作风险管理的有效性及其局限性，并重新界定了内部 控制视角下的银行操作风险范畴，为后文的论述打下坚实的理论基础。接下 来，本文先后分析了现阶段国内和国外的主要操作风险案例，总结出国内外 银行操作风险的特征，并从内部控制的角度分析这些案例发生的原因。最后， 从内部控制角度提出完善我国商业银行操作风险的若干建议及相关的辅助措 施，以期达到操作风险防范的良好效果。 关键词：商业银行操作风险内部控制 a b s t r a c t o p e r a t i o n a lr i s ki sak i n do fr i s ki n h e r e n to fc o m m e r c i a lb a n k s ，w h i c hi so l d a n df r e s h s i n c et h e 9 0 s ，n u m e r o u so fs e r i o u so p e r a t i o n a le v e n t sh a v eh a p p e n e di n b a n k i n gi n d u s t r yh o m ea n da b r o a d ，b r o u g h tg r e a t 如1 1 dl o s tt ot h ec o m m e r c i a l b a n k sa n dp r o d u c e dn e g a t i v ee f f e c ti nt h es o c i e t y , s ot h a tt h eo p e r a t i o n a lr i s kg o t b r o a da t t e n t i o na n da t t a c hg r e a ti m p o r t a n c ei nb a n k i n gi n d u s t r y , s u p e r v i s i o n i n s t i t u t i o n sa n da c a d e m i cc i r c l e s c i e n t i f i cm a n a g e m e n t sa n dp r e v e n t i o n st o w a r d o p e r a t i o n a lr i s kh a v ed i r e c te f f e c to nt h ed e v e l o p m e n to fb a n k i n g t oc h i n e s e b a n k s ，b e c a u s eo ft h el a t e rr e c o g n i t i o nt o w a r dt h eo p e r a t i o n a lr i s k ，w ea r el a c ko f e x p e r i e n c eo ft h eo p e r a t i o n a lr i s k t h er e s e n tr e s e a r c h e so nt h eo p e r a t i o n a lr i s k m o s t l yf o c u so nt h eq u a n t i f i c a t i o nm o d e l s ；r a r e l yl e a r nt h er e l a t i o n s h i pb e t w e e n t h eo p e r a t i o n a lr i s ka n di n t e r n a lc o n t r o le t c ，s u c hb a s i ct h e o r i e s t h i sp a p e rp r o p o s et h eb a s i ci d e a sa n dc o r r e s p o n d i n gc o u n t e r m e a s u r e st o p r o m o t ea n di m p r o v et h ei n t e r n a lc o n t r o lo no p e r a t i o n a lr i s kb yf o c u s i n go nt h e t h e m eo ft h em a n a g e m e n to fo p e r a t i o n a lr i s ko fc o m m e r c i a lb a n k sb a s e do n i n t e r n a lc o n t r o l ，f r o mb o t ht h e o r e t i c a la n dp r a c t i c a l t h et h e s i sr e v i e w st h e r e s e a r c hr e s u l t so ft h eo p e r a t i o n a lr i s ka n di n t e r n a lc o n t r o li nc o m m e r c i a lb a n k s h o m ea n da b r o a d ，a n dt h e nd e s c r i b et h ed e f m i t i o n ，c l a s s i f i c a t i o nc h a r a c t e r i s t i c so f o p e r a t i o n a lr i s k o nt h a tb a s i s ，t h ea u t h o rs e e k sf o rt h er e l a t i o n s h i p b e t w e e nt h e o p e r a t i o n a lr i s ka n di n t e r n a lc o n t r o l ，r e a c h i n gt h er e s u l tt h a ti n t e r n a lc o n t r o lh a s e f f e c t i v e n e s sa n dl i m i t a t i o n so nt h em a n a g e m e n to fo p e r a t i o n a lr i s k ，a n dr e d e f i n e s o p e r a t i o n a lr i s ku n d e rt h ep e r s p e c t i v eo fi n t e r n a lc o n t r o l ，t ol a yas o l i dt h e o r e t i c a l f o u n d a t i o nf o rl a t e rd i s c u s s i o n n e x t ，a n a l y s i st h em a j o rf o r e i g na n dd o m e s t i c o p e r a t i o n a lr i s kc a s e sa tt h i ss t a g e ，a n a l y z et h ec h a r a c t e r i s t i c so fo p e r a t i o n a lr i s k o fd o m e s t i ca n df o r e i g nb a n k sa n dt h ec a u s e so ft h e s ec a s e so c c u r r e df r o mt h e p o i n to fv i e wo fi n t e r n a lc o n t r 0 1 f i n a l l y , t h ep a p e rp r o p o s ean u m b e ro f r e c o m m e n d a t i o n sa n dr e l a t e ds u p p o r tm e a s u r e sf r o mt h ep e r s p e c t i v eo fi n t e r n a l c o n t r o li no r d e rt oa c h i e v eg o o dr e s u l t si nt h ep r e v e n t i o no fo p e r a t i o n a lr i s k i i k e y w o r d s ：c o m m e r c i a lb a n k s ，o p e r a t i o n a lr i s k ，i n t e r n a lc o n t r o l i i i 兰州理工大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：商妇肖日期：2 叼年2 ；月厂日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位沦文的规定，同意 学校保留了仁向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权兰州理工大学可以将本学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存 和汇编本学位论文。 本学位论文属于 l 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“”) 作者签名：囱支娟 刷磁名王社、 ， 、 日期：哆年乡月f 日 日期：冲年月彦日 第1 章引言 1 1 研究背景 第1 章引言 1 9 9 5 年巴林银行的倒闭为全球银行业敲响了警钟，使银行业开始认识到 操作风险日益严峻，正成为银行业面临的最大威胁之一。巴塞尔委员会在2 0 0 2 年举行了一次全球性针对操作性风险的调查，参加调查的银行一共报告了 4 7 0 2 9 件损失，平均每家银行在这一年间发生了5 2 8 起操作风险事件，其中有 5 家在这一年问发生了超过2 0 0 0 起操作风险事件，造成的损失一年近8 0 亿欧 元，足见操作风险在银行风险中所发生的普遍性与破坏力之强大。 就我国而言，近几年，随着金融体制改革的深入和金融监管制度的逐步 完善，陆续曝光了一大批各类金融违法违规案件，中行广东开平分行事件、 张恩照事件、刘根宝事件、长春建行3 亿元金融骗贷案、中行哈尔滨松街支 行行长高山1 0 亿元票据诈骗案等等。这些案件犯罪数额之大令人瞠目，从总 行行长到基层储蓄所员工无所不包，从国有银行到股份制银行都不同程度的 发生，造成了恶劣的影响，严重扰乱了我国的金融秩序，使人们进一步加深 了对操作风险危害性的认识。 2 0 0 4 年出台的巴塞尔新资本协议明确要求为操作风险分配资本，将 操作风险与信用风险、市场风险一起列为银行的三大类风险，这是操作风险 管理的里程碑事件。无论从银行内部风险管理还是从外部监管角度看，我国 商业银行同样应将操作风险管理摆在与信用风险和市场风险同样的地位来管 理。2 0 0 5 年银监会下发关于加大防范操作风险工作力度的通知，在商业 银行风险监管核心指标中提出了操作风险损失率衡量指标，并在2 0 0 6 年组 织了对商业银行进行操作风险管理现场检查。 操作风险管理是对操作风险进行识别、评估、检测、报告、应对的过程。 目前学术界对操作风险的研究大都侧重于量化研究，但操作风险广泛存在于 银行业务和管理的各个方面，具有覆盖范围广、诱发因素多，且不同类型的 操作风险之间呈现明显差异性等特征，操作风险的这些特点决定了其从量化 到管理控制和监测等各个方面都具有很大的挑战性和难度。而且由于操作风 第1 章引言 险往往与内部流程、企业文化、人员因素等这些内部控制关注的范畴密切相 关。这尤其是我国银行操作风险的一个重要特点。正是基于上述背景，本文 试图从内部控制的角度来研究操作风险，根据操作风险的特点，通过构建完 善的内部控制来防范操作风险。 1 2 文献综述 1 2 1 银行操作风险的研究现状 ( 1 ) 巴塞尔委员会对操作风险的研究 操作风险这一概念的提出虽然已有十多年，但是它取得巴塞尔委员会的 认可也经历了一个过程。1 9 9 8 年的巴塞尔资本协议没有提及针对操作风险的 资本要求n 1 ；直到1 9 9 9 年6 月的新资本协议建议草案，巴塞尔委员会才明确 把操作风险列为在市场风险和信用风险后的第三大风险，并酝酿施加资本要 求；2 0 0 1 年1 月公布的意见稿( 第二稿) 将其主要支柱的资本充足率的计算公 式进行了变化，这就对操作风险的度量提出了具体要求心1 ；2 0 0 3 年4 月公布 的巴塞尔新资本协议征求意见稿( 第三稿) 对此进一步给予充分肯定，对 操作风险计量起到了巨大推动作用口1 ；巴塞尔委员会在2 0 0 4 年6 月公布了新 协议定稿“资本计量和资本标准的国际协议：修订框架”正式确定了操作风 险在银行风险中的地位及其计量方式h 1 。在以上历史进程中，巴塞尔委员会 广泛借鉴了国际银行业在操作风险度量和管理方面的先进经验，将监管资本 要求与现代化风险管理技术紧密地结合起来，旨在通过风险敏感度更高的监 管资本约束来影响银行的行为，促使银行强化操作风险的度量和管理水平。 ( 2 ) 国内商业银行操作风险研究现状 与国际银行业相比，我国商业银行真正开始风险管理不过十几年的时间， 而关注操作风险也只是从近几年才开始的。理论界对操作风险的研究和实务 界对操作风险管理的实践刚刚起步，远落后于国际先进银行。中国人民银行 于2 0 0 2 年颁布的商业银行内部控制指引、商业银行信息披露暂行办法 开始涉及操作风险的管理。近两年来随着操作风险损失事件的增加和银行案 件的相继爆发，银监会监督重点发生转移，与以往不同的是，银监会从以信 用风险、市场风险防范为主，转变到信用风险、市场风险和操作风险并重的 局面，已经将银行操作风险提高到一个战略高度上。监管思路发生变化，其 2 第1 章引言 标志为2 0 0 5 年l 至4 月短短几个月时间发布了一系列有关操作风险的通知、 办法和指引，并实施了多个有关操作风险的专项治理，被业内人士称为拐点 和转折性事件。这些事件主要有：2 0 0 5 年1 月7 日，发布商业银行内部控 制评价试行办法：2 0 0 5 年1 月3 1 日，银监会要求中国银行加强管理防范案 件风险；2 0 0 5 年2 月5 日，银监会召开五大行“商业银行违法违规案件通报 会 ；2 0 0 5 年2 月6 日，银监会在总结和修订中国人民银行颁布的资产负债 比例管理办法基础上，制定并向社会各界公开商业银行风险监管核心指 标( 征求意见稿) ；2 0 0 5 年2 月1 8 日，银监会召开2 0 0 5 年股份制商业银行董 事长、行长座谈会，要求各行加大风险管理力度，在防范信用风险的同时防 范操作风险和市场风险：2 0 0 5 年2 月2 4 日，召开中小商业银行以防范操作风 险、信用风险、市场为主线的监管工作会，监管部门将以“三抓、三提、三 防”为重点，以防范信用风险、操作风险、市场风险为主线：2 0 0 5 年3 月1 0 日，召开1 2 家股份制商业银行稽核工作座谈会，研究如何强化内部控制、提 高稽核效能，防范三大风险；2 0 0 5 年3 月2 2 日，召开全国国有商业银行2 0 0 5 年监管工作会议并发布关于加大防范操作风险工作力度的通知，要求各银 行机构加大工作力度，进一步采取措施，有效防范和控制操作风险；同一日， 银监会针对中国航油新加坡公司在从事衍生产品交易时造成的巨额亏损事 件，下发了关于对中资银行衍生产品交易业务进行风险提示的通知，要求 各银行业金融机构理进一步提高操作风险防范意识，健康地发展衍生产品业 务；2 0 0 5 年3 月2 3 日，银监会将对股份制商业银行开展贷款分类真实性专项 检查；2 0 0 5 年3 月2 7 日，银监会发布关于加大防范操作风险工作力度的通 知( 即监管“十三条 ) ，它的发布标志着我国商业银行的操作风险管理进 入了一个新的阶段晦1 。操作风险十三条从规章制度建设、稽核体制建设、基层 行合规性监督、订立职责制、行务管理公开等方面对银行机构管理提出了要 求，从轮岗轮调、重要岗位人员行为示范检查制度、举报人员的激励机制等 方面对银行的人员管理提出了要求，从对账制度、未达账项管理、印押证管 理、账外经营监控、改进科技信息系统等方面对银行的账户管理提出了要求。 2 0 0 5 年4 月1 2 日和2 1 日，银监会分别召开国有商业银行和股份制商业银行 专项治理工作会议，并发布商业银行风险预警操作指引和重大突发事 件报告制度。2 0 0 6 年，银监会下发关于2 0 0 6 年国有商业银行现场检查的 通知，首次明确提出对操作风险进行专项检查，了解国有商业银行的操作风 气 第1 章引言 险状况，跟踪国有商业银行对操作风险“十三条意见”的落实情况。近年来， 监管当局的频繁动作显示出其对银行业加强操作风险管理的高度重视。2 0 0 7 年5 月中国银监会又发布了操作风险管理指引，该指引重点强调了降低操 作风险的重要措施及具体内容1 。 目前，国内理论界对操作风险及其管理的研究主要集中在以下三个方面： 基于对操作风险管理框架的研究。 巴曙松( 2 0 0 3 ) 分析了操作风险的特点，巴塞尔新资本协议对操作风险 的界定和演变过程，以及国际金融界通用的操作风险的衡量方法，指出金融 机构在着手管理操作风险时，重点要建立与信用风险和市场风险相一致的， 比较完整的操作风险管理体系口1 。 王廷科( 2 0 0 3 ) 对新协议将操作风险纳入监管框架的重要意义进行了分 析，并对我国商业银行引入操作风险管理的压力进行了探讨砸1 。 钟伟，王元( 2 0 0 4 ) 以新巴塞尔协议为基础，深入剖析了操作风险相关 定义、分类、风险资本计算、风险管理框架，以及运用保险作为操作风险缓 释工具等问题，提出加强我国银行业风险管理应该从确立风险敏感资本配置， 营造良好的操作风险管理和控制环境，以及建立完整的操作风险管理框架三 方面入手一1 。 厉吉斌( 2 0 0 6 ) 认为，实施有效的操作风险管理，需要构建以整体性和 系统性为特征的管理架构，其基本要素应包括风险文化、组织体系、流程体 系、报告体系以及激励约束等，对之以风险管理为中心进行有效的整合，形 成这些要素积极互动、层次间交互作用的有机体系n 训。 对操作风险计量和管理方法的介绍和研究。这类研究主要是对巴塞尔 协议提出的操作风险计量方法进行介绍与分析。 沈沛龙、谢红丽( 2 0 0 5 ) 提出了操作风险内控体系框架模型，该模型包括 风险辨识、风险测量、风险处理、风险管理的实施、管理监督和控制文化、 风险、激励和考核等多个方面叭3 。 田玲，蔡秋杰( 2 0 0 3 ) 对基本指标法、标准法、内部衡量法、损失分布 法和极值理论模型进行比较分析，认为中国商业银行在进行操作风险模型化 过程中应与加强操作风险管理结合起来n 射。 樊欣、杨晓光( 2 0 0 4 ) 选用两家股份制商业银行可以公开的财务数据为研 究对象，运用收入模型和证券因素模型进行计算和实证分析，得出的结论是 4 第1 章引言 两个模型在某种程度上都可以反映操作风险的大小，但收入模型的度量效果 优于证券因素模型的结论n 朝。 张晓朴等( 2 0 0 6 ) 使用支付矩阵法对商业银行操作风险损失事件进行分 类，使不同损失事件类型更加清晰，并且有利于加深我国商业银行对不同类 型操作风险的认识，逐渐积累规范的操作风险损失数据，为量化管理操作风 险奠定基础n 劓。 陈文( 2 0 0 6 ) 介绍了常见的操作风险度量方法，统计度量法和情景模拟 分析法，指出每种方法的使用范围和计算程序，并介绍了操作风险度量流程 1 5 】 o 潘建国，王惠( 2 0 0 6 ) 分析了操作风险特征和现行主流模型的不足，结合 我国商业银行目前风险管理的实际，提出了由内控评价结果调整的基本指标 法和标准法以及贝叶斯网络方法作为我国商业银行度量操作风险的模型选择 6 z o j o 薛敏( 2 0 0 7 ) 分析了我国以量化模型完全解决操作风险的评估、管理， 还存在很多障碍，理想的操作风险度量模型应考虑管理活动对风险特征的影 响，综合主观和客观两方面的因素，可以灵活地进行动态调整以便于进行情 景分析，提出操作风险管理的最佳模型是计分卡法与损失分布法相结合的计 量模型n 7 1 。 对操作风险的成因及防范的研究。 樊欣、杨晓光( 2 0 0 3 ) 对国内外媒体公开报导的7 1 件1 9 9 0 年到2 0 0 3 年 的我国商业银行操作风险损失事件进行统计分析，指出我国商业银行操作风 险广泛存在，操作风险发生的最常见形式是内部欺诈和外部欺诈以及内外部 相勾结的欺诈行为，同时还指出我国银行业内控机制不健全是操作风险产生 的重要原因n 引。 袁德磊、赵定涛( 2 0 0 7 ) 采用媒体披露的有关信息，收集了2 0 0 卜2 0 0 5 年的3 0 7 起操作损失事件，对操作损失频度和强度进行定量分析认为，内部 欺诈和外部欺诈是引起损失事件的主要类型，由此引发的低频高危事件是一 个不容忽视的方面，商业银行应根据操作损失事件的分布特征制订相应的控 制制度n 9 1 。 张吉光( 2 0 0 5 ) 在通过中国近几年来1 6 8 起有代表性操作风险事件统计， 分析得出各类型的操作风险中人员因素引起的占了大多数。认为我国商业银 5 第1 章引言 行内部控制存在十大缺陷，认为应从理念转变、角色转换、架构再造、体制 改革和完善系统五方面来防范操作风险乜引。 万杰、苗文龙( 2 0 0 5 ) 认为我国商业银行操作风险主要集中在内部欺诈 特别是管理层欺诈，并指出其主要原因在于银行产权结构单一、公司治理结 构不完善、内部控制不力等。因此要从体制和机制改革入手，从银行产权结 构多元化、完善公司治理结构、健全内部控制体系入手，加强对管理层的监 督，与此同时，改革和完善对管理人员的激励政策心u 。 易宪容( 2 0 0 5 ) 认为规避操作风险将是国内银行改革的核心，他指出尽 管目前国内商业银行业务复杂程度不高，但由于缺乏相应的规章制度、缺乏 有效的内控机制及监管，对操作风险认识十分缺乏，国内银行业的操作风险 也十分严重。国内四大银行和其他股份制银行可以采取不同的方式，如制定 制度与规则，优化业务流程和风险管理模式，加强内外部审计等来加强操作 风险的量化与管理乜刳。 卫功琦( 2 0 0 5 ) 在定性分析操作风险的基础上，概括性地回顾了国际银 行业在操作风险管理制度、监管手段和方式等方面的探索，分析了我国银行 业操作风险管理与监管中存在的突出问题，并从培育风险管理文化、健全监 管制度框架、完善公司治理结构和内部控制、加大风险管理工具开发和创造 良好的外部环境等方面提出对策和建议盥副。 曲绍强( 2 0 0 6 ) 认为目前我国商业银行业务复杂程度虽然不高，但由于 缺乏健全的内部控制机制，所面临的操作风险很大，一些因信用风险造成的 重大损失，从根本上是由于内部程序、人员、系统的不完善或失误造成的， 建议根据我国国情要求，加强员工风险管理教育，完善内控等乜引。 葛兆强( 2 0 0 5 ) 探讨了操作风险、内控机制与金融制度创新的关系，认 为国内银行业操作风险日益凸现的最根本原因在于现有金融制度存在的种种 缺陷，防范操作风险的重心在于制度创新，而不是技术层面的修补与完善渊。 陈泓( 2 0 0 5 ) 通过选取部分国际性金融机构作为样本，对操作风险管理 的实行状况进行研究，从中寻找操作风险管理与内部控制制度建设的关系， 得出内部控制制度建设是操作风险管理的有效手段，操作风险管理与内部控 制制度具有互补关系的结论，认为加强内部控制制度的再建设和建立切实可 行的商业银行内控机制是对操作风险进行有效监管的根本举措，但就怎样建 立操作风险的内控机制缺乏研究乜引。 6 第1 章引言 景莉( 2 0 0 6 ) 遵循内部控制整体框架，将操作风险管理的核心内容融入 内部控制的五大要素中，通过运用内部控制成熟的框架，实现有效管理操作 风险的目的，并运用流程管理的思想于框架的具体实施中乜 。 从国内外学术界及金融机构对操作风险控制和管理的研究，可以看出， 操作风险已经开始成为一个关注的热点，尤其是近年来银行金融机构因操作 风险引发的案件频发，给银行的稳健经营带来了极大的威胁。 总体上说，目前在操作风险识别、管理、报告和体系建设等领域已经取 得了初步成绩，但对于操作风险的计量方式、资本配置和风险转移手段等方 面还存在分歧，巴塞尔新资本协议关于第一支柱中对操作风险明确规定资本 要求的建议就一直颇受争议，且各类银行金融机构尚未形成操作风险管理整 体理念，监管当局对于银行开发内部操作风险管理方法的情况研究不够全面、 深入。国内学术界对操作风险的研究主要集中在“技术性 领域，对操作风 险生成的制度性因素分析不足。正如信用风险技术性量化手段决不会消除信 用风险一样，这样的“技术性 研究决不会消除操作风险，它和银行业的实 际有较大脱节。同时，国内金融机构虽然在大案频发后积极总结经验教训， 制定相应的应急和治理措施，但对于操作风险管理缺乏战略性和系统性研究， 甚至只是应对监管当局的临时性行为，未能将操作风险管理意识与银行整体 管理框架、内部控制相结合。因此，除了在操作风险的度量技术、管理机制、 监管的资本要求和银行具体操作流程等方面需要进一步加强外，对与操作风 险及其管理密切相关的内部控制、公司治理结构等问题也应给予高度关注。 1 2 2 内部控制的研究现状 ( 1 ) 内部控制理论的发展 内部控制理论与实践的发展经过了一个漫长的时期，大致可以区分为内 部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个阶段。 第一阶段时间为2 0 世纪4 0 年代前，内部牵制思想以账目间的相互核对 为主要内容并实施岗位分离，这在早期被认为是确保所有账目准确无误的一 种理想控制方法。 第二阶段时间为4 0 年代末至7 0 年代，内部控制制度思想认为内部控制 应分为内部会计控制和内部管理控制两个部分，前者在于保护企业资产、检 查会计数据的准确性和可靠性；后者在于提高经营效率，促使有关人员遵守 7 第1 章引言 既定的管理方针。 第三阶段时间为8 0 年代至9 0 年代，西方学术界在对内部会计控制和管 理控制进行研究时，逐步发现这两者是不可分割、相互联系的，因此在8 0 年 代提出了内部控制结构的概念，认为“内部控制结构包括为合理保证企业特 定目标的实现而建立的各种政策和程序 ，并明确了内部控制结构的内容为控 制环境、会计制度和控制程序三个方面。 第四阶段为9 0 年代之后，在9 0 年代美国提出内部控制整体框架思想， 并逐步将各界对内部控制的认识统一起来。1 9 9 2 年，全美反财务舞弊委员会 的发起组织委员会发布报告内部控制整体框架，即c o s o 报告，该报 告具有广泛的适用性。内部控制被划分为五种要素，他们分别为控制环境、 风险评估、控制活动、信息与沟通、监控乜副。1 9 9 6 年美国注册会计师协会发 布审计准则公告第7 8 号，全面接受c o s o 报告的内容。 ( 2 ) 巴塞尔委员会关于银行内部控制的研究 巴塞尔委员会1 9 9 7 年在其发布的有效银行监管的核心原则中对内部 控制做的定义为：“内部控制的目的是确保一家银行的业务能根据董事会制定 的政策以审慎的方式经营。只有经过适当的审批方可进行交易；资产得到保 护而负债受到控制；会计及其他记录能够提供全面、准确和及时的信息，并 且管理层能够发现、评估、管理和控制业务的风险。”“内部控制的主要内容 包括组织结构，包括职责的界定、贷款审批权限的分离和决策程序；会计规 则，包括对账、控制单、定期试算等；双人原则，包括不同职责的分离，交 叉核对、资产的双重控制和双人签字等；对资产和投资的实物控制。” 1 9 9 8 年，巴塞尔委员会公布了银行组织内部控制系统整体框架。该文 件以c o s 0 1 9 9 2 年的报告为基础，构造了银行组织内部控制体系的框架。在 该文件中，商业银行的内部控制被定义为“是一个受银行董事会、高级管理 层和各级管理人员影响的程序。 商业银行的内部控制目标被规定为三个方 面：经营目标：经营活动的效果和效率。信息目标：财务和管理信息的 可靠、完整与持续。符合性目标：符合适用的法律和规章。商业银行的内 部控制系统被认为是由五个相互关联的因素构成：管理层监督与控制文化、 风险识别与评估、控制活动和职责分离、信息与交流、监管活动和缺陷纠正啪1 。 在这五个要素中，管理层监督与控制文化作为内部控制环境的主要内容， 是商业银行内部控制系统的基础；风险识别与评估发现和计量实现目标过程 8 第1 章引言 中存在的不确定性，是商业银行内部控制系统实施的关键；控制行为与职责 分离是商业银行内部控制系统的核心；信息与交流是载体，引导内部控制系 统的运行；监督活动与修正缺陷正处于最顶层，评价监督整个内部控制系统 的有效性，并及时纠正存在的偏差。与c o s o 报告不同，巴塞尔委员会强调 了银行监管者和外部审计者在内部控制框架中的作用。 巴塞尔委员会还在该文件中分析了一些因内部控制问题倒闭的银行案 例，认为主要的内控问题有五个方面： 缺乏充分的管理层监管和责任以及没有在银行内部成功的发展强有力 的内控文化。这一点主要是董事会和高管的责任。 对某些银行活动不管是表内还是表外的风险的认知和评价不够。 特别是一些对于普通的产品很好的内部控制体系对新的金融产品却无法良好 运行。 主要的控制结构和活动的缺失或失败，比如职责分离，审批，查核， 调整以及经营活动的复核。 在银行内部缺乏不同管理层级之间的信息沟通，特别是向高层反映闯 题。银行发生一些损失是因为相关人员没有意识到或不理解银行的政策。有 一些情况是由于不合适的行为的信息本应通过组织结构向上报告，可是董事 会或高管直到问题十分严重的时候才知晓。还有一些情况是管理报告中的信 息不完全或不精确，造成了对经营情况的错误印象。 缺乏充分有效的审计项目或监管活动。一些例子是审计没能指出和报 告有问题的银行的缺陷，另一些例子是审计人员报告了问题，却没有确保管 理层纠正缺陷的机制。 该文件强调了董事会和管理层，外部内部审计人员，银行监管者应注意 加强内部控制体系并持续评估体系的有效性。其中董事会和高管人员的责任 是确保存在足够的内部控制，并创造一个环境，使环境中的每个人都知道自 己的责任。而监管者的责任是评价董事会和管理层在控制过程中的贡献。 ( 3 ) 我国银行监督管理机构对商业银行内部控制的研究 我国针对商业银行内部控制的研究始于1 9 9 6 年，中国人民银行于1 9 9 7 年5 月发布了加强金融机构内部控制的指导原则，同年1 2 月发布关于 进一步完善和加强金融内部控制建设的若干意见。上述两个文件的发布极大 的推动了我国商业银行内部控制制度的建立，各商业银行按照文件规定，在 - 9 第1 章引言 1 9 9 8 年底初步建立起较为系统的内部控制制度。 随着金融体制改革的进一步深入和中国加入w t o 带来的冲击，我国商业 银行内部控制面临着越来越多的挑战，加强金融机构内部控制的指导原则 逐步显示出了其不足。为此，2 0 0 2 年9 月7 日，中国人民银行发布了商业 银行内部控制指引以取代加强金融机构内部控制的指导原则。标志着我 国银行业内部控制的理论和实践进入了一个新的阶段。指引是我国银行业 充分吸收c o s o 报告和框架核心内容的基础上制定而成的。指引认为， 内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和 方法，对风险进行事前防范、事中控制和事后评价的动态过程和机制。商业 银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：内部控制应 当渗透到商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位， 并由全体人员参与，任何决策或操作均应当有案可查；内部控制应当以防范 风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构和开 办新的业务，都应当体现“内控优先”的要求；内部控制应当具有高度的权 威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应该 得到及时反馈和纠正；内部控制的监督、评价部门应当独立于内部控制的建 设和执行部门，并有直接向董事会和高级管理层报告的渠道。在内部控制要 素上，指引同样也认为有五个要素，分别是内部控制环境、风险识别与评 估、内部控制措施、信息交流与反馈、监督评价和纠正咖1 。 自2 0 0 4 年以来，银监会发布了商业银行内部控制评价试行办法，最 近又发布了关于加大防范操作风险工作力度的通知，这一方面说明了商业 银行内控机制对于操作风险管理的重要性，另一方面说明了商业银行内控机 制建设的迫切性。 中国银监会于2 0 0 5 年2 月起实施的商业银行内部控制评价试行办法 为我国银行业的内控建设提供了指南，也为内部控制的监管提供了依据。该 文件详细阐述了对商业银行内部控制评价的目标，原则和具体方案步骤，并 为评价报告的撰写制定了详尽的规定d 。该办法将内部控制的评价定义为： 促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行 审慎经营原则。 促进商业银行提高风险管理水平，保证其发展战略和经营目标的实现。 促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。 1 0 第l 章引言 促进商业银行各级管理者和员工强化内部控制意识，严格贯彻落实各 项控制措施，确保内部控制体系得到有效运行。 促进商业银行在出现业务创新、机构重组及新设等重大变化时，及时 有效的评估和控制可能出现的风险。 该办法将商业银行内部控制评价的内容分为过程评价和结果评价。过程 评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、 信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程 度的评价，主要通过对一系列指标的量化评价得出结论。 1 3 研究的思路与内容 本文首先明确了选题背景与研究意义，对企业内部控制与商业银行操作 风险的有关文献进行了综述，为论文接下来的研究打下坚实的基础。阐述了 内部控制与商业银行操作风险的理论基础，确定了论文的研究假设，通过对 企业内部控制的动机与操作风险产生机制的论述，明确了外因要通过内因而 起作用，要通过企业内部控制防范和控制操作风险。 根据商业银行内部控制的发展趋势和当前影响我国商业银行内部控制系 统建设的因素，以及商业银行操作风险的特点，本文提出我国商业银行操作 风险内部控制系统设计应遵循的原则并进行内部控制系统设计。希望通过研 究，对完善我国商业银行内部控制系统提供有价值的探索。具体内容如下： 第一章是引言，首先从文章的研究背景出发，指出论文研究的目的和意 义；接着综述了研究的主要内容和框架、研究的方法等。 第二章确定了论文的理论基础，详细介绍了银行风险、操作风险的定义、 分类，并重点阐述了操作风险与内部控制之间的关系，为后文的论述打下基 础。 第三章分析了国内外商业银行操作风险的现状。首先重点论述了我国商 业银行操作风险的现状，并从内部控制角度详细分析了造成这种现状的原因， 主要包括五个方面。其次对国外经典操作风险案例进行了原因分析，并在此 基础上比较了国内外商业银行操作风险案件之间的异同。 第四章根据现阶段我国商业银行操作风险的现状及其原因，借鉴国外银 行的经验教训，有针对性的提出完善商业银行操作风险内部控制的相关意见。 第l 章引言 由于内部控制的局限性，还提出了相关的辅助措施。在这些措施共同作用下 形成一个健康的银行环境，提升银行操作风险的防范效果。 最后是结论，总结了全文的研究成果和不足。 1 4 论文的框架结构 选题背景及研究意义 文献综述 ， 商业银行操作风险的理论基础 l ， i 操作风险的定义操作风险的分类操作风险与内部控制的关系 i 基于内部控制角度商业银行操作风险现状分析 ， 内部控制视角下完善我国商业银行操作风险管理建议 1 5 论文的研究方法 图1 1 论文技术路线图 研究方法是由特定的研究任务和研究目的决定的，不同的研究任务和研 究目的选用的技术工具也有所不同。本论文采用的研究方法主要包括： ( 1 ) 文献分析。通过对我国期刊、相关学位论文、部分外文资料的检索 和分析，了解了当前国内外相关学者对操作风险研究的已有成果和前沿。 ( 2 ) 案例分析法。通过对国内外商业银行操作风险的案例介绍，分析操 作风险的特点、产生的原因。 ( 3 ) 归纳总结。通过对我国商业银行操作风险案件原因的分析，总结归 纳出完善我国操作风险内部控制系统的建议。 1 2 第2 章商业银行操作风险的理论基础 第2 章商业银行操作风险的理论基础 商业银行是“经营风险 的实体，追求赢利性、流动性和安全性“三性 的统一，风险管理尤其操作风险是全球金融机构经营管理中至关重要的问题， 也是目前国内商业银行面对的重大问题。 2 - 1 商业银行风险的基本理论 2 1 1 风险的定义 1 8 9 5 年，美国学者海斯首先从经济学意义上提出风险的定义，认为风险 是损失发生的可能性。1 9 2 1 年，奈特在其著作中认为，风险是一种概率型随 机事件。1 9 9 8 年，格利茨在其金融工程学中指出，风险是指结果的变化， 既包括不希望的结果，也包括希望的结果，回避风险不仅意味着回避坏的结 果，也包括要利用好的结果。著名的新帕尔格雷夫经济学大词典将风险 等同于不确定性。英国国际标准协会( b s i ) 将风险定义为对目标有所影响的 某个事情发生的可能性与后果的结合。从国内看，对风险的定义大体包括以 下四种：( 1 ) 损失机会和损失的可能性；( 2 ) 损失的不确定性；( 3 ) 实际与 预期结果的离差；( 4 ) 实际结果偏离预期结果的概率。 2 0 0 4 年，全美反财务舞弊委员会的发起组织委员会( c o s o ) 在其企业 全面风险管理框架中提出了有关风险的准确定义：任何一个企业经营所处 的环境因素，如全球化、技术、法规、重组、不断变化的市场及竞争都会带 来不确定性。不确定性来自对未来事件以及随之产生的后果的无法确定。不 确定性随着企业选择战略时而产生，其大量来自于银行内部和外部的事件， 它对企业既有潜在的负面影响，又有潜在的正面影响，有时甚至是正负面影 响的结合。但是，对企业有潜在负面影响的事件表现为风险。c o s o 将风险和 不确定性从本质上进行了区分，指出风险是负面影响的不确定性，这种观点 代表了当代企业界和理论界的主流观点。 商业银行负债经营这一特性决定了商业银行本身就是一种具有内在风险 性的特殊企业，从它产生之日起，就与风险结下了不解之缘。根据以上对风 1 3 第2 章商业银行操作风险的理论基础 险的定义，本文认为，商业银行风险是指商业银行在经营过程中由于不确定 性因素的影响，使商业银行蒙受损失的可能性。 2 1 2 商业银行面临的主要风险 商业银行风险的存在形式是多种多样的，按照不同的标准，可将商业银 行风险划分为不同的类型。从商业银行风险成因的角度来看，商业银行在业 务经营过程中面临的主要风险有：信用风险、资本风险、市场风险、法律风 险、操作风险、流动性风险等，如图2 1 。 商业银行风险 l ， ， 信用风险资本风险市场风险法律风险 i 操作风险l 流动性风险 i v， 违国行 利 汇客存 约家业率率产款 风风风风风资人 险险险险险本 图2 1 商业银行面临的主要风险 此外，按照商业银行风险的状态，可以将其划分为静态风险和动态风险。 按照商业银行风险的主体，可以将其划分为负债业务风险、资产业务风险、 中间业务风险和衍生业务风险。按照商业银行风险可控制的程度，可以将其 划分为完全不可控风险、部分可控风险和基本可控风险。按照商业银行风险 的空间范围，可以将其划分为单项业务风险、个别银行风险、区域性风险和 国家风险等。 2 2 商业银行操作风险的一般理论 银行的每一个业务环节，随时随地都潜伏着操作风险。一个清晰、明确 的操作风险定义有利于操作风险识别、评估、量化等工作的开展。国内外银 1 4 第2 章商业银行操作风险的理论基础 行业关于操作风险仁者见仁，智者见智，大体上可归纳为三种，一是广义操 作风险概念，它把信用风险和市场风险之外的所有风险都视为操作风险；二 是狭义操作风险概念，认为只有与业务运营部门有关的风险才是操作风险， 即由于控制、系统及运营过程中的错误或疏忽可能引致的潜在损失的风险， 声誉、法律、人力资源等方面的风险不属于操作风险范畴，因此根据这一定 义操作风险涉及的内容大多数被定位于后台管理部门。三是介于广义和狭义 之间的战略操作风险概念，其观点是首先区分可控制事件和由于外部机构( 如 监管机构、竞争对手的影响) 而难以控制的事件，进而将可控制事件的风险定 义为操作风险，对另一类事件的风险也就是一些研究机构所称的“战略性风 险 。显然，广义和狭义的操作风险概念均不利于操作风险管理工作的开展， 广义概念使人们很难对其进行准确计量，而狭义概念会因不能涵盖所有操作 风险而使银行遭受一些意想不到的损失。因此，越来越多的人倾向于接受介 于广义和狭义之间的操作风险概念。 2 2 1 巴塞尔委员会关于操作风险的定义 2 0 0