我国商业银行内部控制与操作风险合规风险管理的关系研究.docx

我国商业银行内部控制与操作风险、合规风险管理的关系研究李娟摘要: 风险管理与商业银行日常经营管理息息相关，风险管理水平是现代商业银行核心竞争力的重要表现，本文从商业银行内部控制、操作风险与合规风险管理的内涵分析入手，研究了三 者之间的区别与联系，并对我国商业银行风险管理现状进行了分析，在此基础上提出完善商业银 行全面风险管理与内部控制体系的相关建议。关键词: 商业银行中图分类号: f832内部控制操作风险合规风险文献标识码: a文章编号: 1009 1246( 2014) 04 0054 07一、引言近年来，伴随着金融自由化、经济全球化、 金融创新以及信息科技的不断发展，国内外金 融市场发生了深刻的变革，同时也发生了多起 操作风险损失事件，平均损失金额超过 1 亿美 元，如 2003 年华尔街投行欺诈事件、2006 年 美国保德信金融集团欺诈交易案、2008 年法 国兴业银行股指期货投资案等。与此同时，国 内商业银行内部人案件也频繁发生，这些案件 往往与银行内部控制失效有关，并带来了巨额 的操作风险和合规风险损失。内部控制与操 作风险、合规风险管理到底是什么关系，三者 的管理机制和手段是否相同、有无交叉与 重 叠，哪种管理更重要，今后应采取何种措施加 以改进等，都已成为国内商业银行亟需解决的 重要问题。二、内部控制与操作风险、合规风险管理 的内涵分析( 一) 内部控制541 从“coso”报告的角度“内部控制”一词，最先出自于“coso”报 告，coso 委员会于 2004 年 9 月公布了企业风险管理整合框架( enterpriseisk man-framework，简称 em 框agement integrated架，又被称为全面风险管理框架) 。该架构主要由控制环境、风险评估、控制活动、信息与沟 通、监督五项要素构成。应用到商业银行体 系，“内部控制环境”是指对商业银行内部控 制制度的实施效果具有较大影响的环境因素 的总称，反映了董事会及管理部门对内部控制 的重视程度。内部控制能够为减少信息科技 系统失灵提供一定保障，对外部事件导致的操 作风险事件，好的内部控制能够迅速启动应急 预案，以降低操作风险损失。2 从我国商业银行内部控制指引的角度在 2007 年我国银监会下发的商业银行 内部控制指引中，内部控制是指“商业银行为实现经营目标，通过制定和实施一系列 制度、程序和方法，对风险进行事前防范、事中控 制、事后监督和纠正的动态过程和机制”。基 本要素包括内部控制环境、风险识别与评估、 内部控制措施、信息交流与反馈、监管评价与 纠正。指 引从业务品种的角度对授 信 业 务、资金业务、存款和柜台业务、中间业务、会 计和计算机信息系统六大类业务的内部控制 重点和具体控制要求进行了明确，为国内商业 银行内部控制的实施提供了操作指引。3 从我国企业内部控制基本规范的角度2008 年财政部、证监会、审计署、银监会、 保监会 联 合 下 发 了企业内部控制基本规 范，要求于 2009 年 7 月 1 日起在上市公司范 围内实施。本规范所称内部控制是指“由企业 董事会、监事会、经理层和全体员工实施的，旨 在实现控制目标的过程”，包括内部环境、风险 评估、控制活动、信息与沟通、内部监督五项要 素，并针对每项要素提出具体要求。( 二) 操作风险目前在操作风险内涵的界定上存在两种 观点: 一种是从广义的角度出发，认为除了信 用风险和市场风险之外的风险都属于操作风 险; 另一种则立足于狭义的角度，认为只有与 银行中运营部门相关的风险才是操作风险，并 将其界定为由于控制、系统及运营过程的错误 或疏忽而可能引致潜在损失的风险。前者使 不少银行感到全面实践操作风险管理的困难 很大，而且将面临在整个银行管理中多头出击 的问题; 而后者则使一些银行感到没有必要将 操作风险的管理工作独立出来。兼顾两种观 点，巴塞尔新协议和中国银监会 2007 年下发 的商业银行操作风险指引中将其定义为: “操作风险是指由不完善或有问题的内 部程 序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。”不难 看出，这个定义更偏重于狭义，主要从引起操 作风险的潜在因素出发，从最广泛的角度去分 析原因，具体包括了操作交易风险、技术风险、 内部失控风险、外部诈骗抢劫风险等。( 三) 合规风险1 从巴塞尔银行监管委员会的角度2005 年巴塞尔银行监管委员会发布了关 于银行合规工作的重要指导文件合规与 银行内部合规部门。文件中，合规风险是指: “银行因未能遵循法律、监管规定、规则、自律 性组织制定的有关准则，以及适用于银行自身 业务活动的行为准则而可能遭受法律制裁或 监管处罚、重大财务损失或声誉损失的风险。” 为满足监管机构的监管要求，银行必须遵循有 效的合规政策和程序，在发现违规情况时，银 行管理层能够采取适当措施予以纠正。2 从我国商业银行合规风险管理指引 的角度2006 年我国银监会发布的商业银行合 规风险管理指引中第三条关于合规风险的规 定是: “本指引所称合规风险，是指商业银行因 没有遵循法律、规则和准则可能遭受法律 制 裁、监管处罚、重大财务损失和声誉损失的风 险。”由此可知中国银监会指引和巴塞尔银 行监管委员会对合规风险的界定内容是一致 的。合规风险指商业银行因未能“合规”而可 能遭受法律制裁或监管处罚、重大财务损失或 声誉损失的风险。例如，银行在经营过程中违 反反洗钱法规而受到监管当局的制裁; 银行违 反客户隐私保护、侵犯客户利益等有关规定而 被起诉; 银行因未能遵守国家劳动就业法规或 者税收法规而受到处罚并影响其声誉等。巴 塞尔委员会关于合规是商业银行风险管理核 心职能的理念已经得到了普遍接受。55三、内部控制与操作风险、合规风险管理的关系分析( 一) 内部控制与操作风险管理的关系1 内部控制是操作风险管理的基础 巴塞尔委员会 2003 年发布的操作风险管理和监管稳健做法指出: “银行机构内部 控制框架是操作风险管理的基础。”这反映 了操作风险与内控制度的密切联系，只有理解 了内控制度，才能真正理解操作风险，形成操 作风险管理的理念和文化。统筹整合内部控 制规范和巴塞尔新协议的实施工作，内部控制 与操作风险的关系可以概括为“两者目 标一 致，在实践中紧密联系，不存在实质性差异”。 “内部控制是操作风险管理的基础”，内部控 制做得不好，操作风险的损失就会增加，进而 影响资本占用。操作风险管理又可以为评估、 量化内部控制提供工具和方法。因此在实施 过程中，两者要统筹协调，避免建成两套体系。2 加强内部控制管理是防范操作风险的 主要途径巴塞尔委员会认为资本约束并不是控制 操作风险的最好办法，对付操作风险的第一 道防线就是严格的内控机制。对于外部因素 导致的操作风险，因为外部事件是银行不可 控制的，因而除了采用保险等风险缓释手段 进行规避外别无他法。而由内部因素导致的 操作风险却是银行可以防范的，通 过加强内 控制度建设，完善银行的业务流程、人事安排 和会计系统，并强化法规的执行，就能在相当 程度上避免内部失误和违规操作，从 而防范 操作风 险。 而 且 操 作 风险具有显著的内生 性、人为性和危害性等特点，涉及到银行经营 的各个方面，所带来的损失难以确定，这些都 说明我国商业银行操作风险具有极强的复杂 性。加强内部控制管理是商业银行管理操作 风险的主要途径。563 内部控制与操作风险管理的目标基本一致内部控制是对我国商业银行内部的各种 方法制度、程序和措施等因素组织起来的相互 联系、相互制约的控制体系，是关于银行内部 活动进行纠正和衡量的一种制度安排。内部 控制与操作风险是通过银行的管理目标联系 起来的，商业银行为了达到操作风险管理 目 标，必须要化解和防范阻碍目标达到的风险， 内部控制正好为这种活动提供了一个经营系 统。银行机构的内部程序、人员及系统的完 善，都属于内控制度建设的范围，这些方面若 出现失误，必然是内控制度不健全的结果。正 确理解内部控制是操作风险管理理念形成的 基础。( 二) 操作风险与合规风险的关系 操作风险与合规风险管理有一定的重叠性，一些操作风险管理工具同样也适用于合规 风险管理，但两者在基本原则、框架、政策程序 上各成体系。1 操作风险与合规风险的区别操作风险合规风险定义是指由不完善或有问题的 是指商业银行因没有遵循 内部程序、人员、系统以及法律、规则和准则可能遭受外部事件所造成损失的风 法律制裁、监 管处 罚、重 大险。包括法律风险，但不包财务损失和声誉损失的风 括策略风险和声誉风险险监管巴塞尔委员 会操 作 风 险巴塞尔委员会合规与银行 合规职能;管理与监管的稳健做法;巴塞尔 委 员 会新 资 本 协 议;要求银监 会商 业 银 行 操 作 风险管理指引;银监 会操 作 风 险 资 本 计银监会商业银行合规风险 管理指引量指引原因不完善或有问题的内部程 序;人员;系统; 外部事件没有遵循法律、规则和准则事件内部欺诈;合规要求变化;外部欺诈;监管处罚;就业制度和工作场所安全 监管检查;事件;监管评价;客户、产品和业务的活动事新产品、新业务开发;件;诉讼仲裁案件、媒体负面报实物资产的损坏;道;信息科技系统事件;其它可能引致合规风险的 执行、交割和流程管理事件事件五是管理侧重点不同。操作风险侧重于执行操作规程办事，有效地加以防范; 合规风 险侧重于需密切跟踪法律法规的最新变化，并 及时修订内部相应管理制度，同时进行相应的 培训，以防范和控制合规风险。2 操作风险与合规风险的联系一是两种风险的表现形式部分相同。操 作风险事件主要表现为人员违反规章制度，还 有系统和外部事件; 合规风险事件则都表现为 人员违反规章制度。二是两种风险可以相互转换。合规风险 是操作风险最主要的诱因，其发生必然伴随操 作风险，如贷前调查不到位、贷后资金监管不 到位，也是由于合规管理不到位引起的; 操作 风险则很可能导致合规风险的发生，如外部监 管环境发生重大转变。三是两种风险都无法绝对避免。操作风 险与合规风险不论采取何种管控措施，只能控 制在一定范围之内，不能完全消除。四是人员因素是两种风险的核心因素。 合规风险完全是由于人的行为引起的; 操作风 险除了其他内外因素，更多的也是员工行为引 起的，是 4 个维度中的最重要一环。( 三) 三者关系综述 商业银行内部控制、操作风险与合规风险的关系用图 1 描述:从上表中可以看出，操作风险与合规风险的区别主要在于:一是诱因不同。操作风险是由“4 个 维 度”的风险形成; 合规风险只能是商业银行及 其员工违反法律法规及监管规章而引发。二是发生方式不同。操作风险主要表现 在操作环节和操作人员; 而合规风险在大多数 情况下发生在制度决策层面和各级管理人员 身上，带有制度缺陷和上层管理缺位色彩。三是后果不同。操作风险导致的损失多 样，包括经济、人员、资产损失和业务中断等， 但不包括声誉风险; 而合规风险主要是涉及经 济处罚、制裁、财务损失且包括声誉风险。四是风险计量和管理手段不同。操作风 险可以通过经济资本覆盖和约束来管理，可以 通过各种手段回避、转移和分散风险; 合规风 险难以单纯用资本覆盖管理来解决，只能通过 风险回避、预防并控制损失，不能通过风险转 移来解决。图 1 商业银行内部控制、操作风险与合规风险关系图57风险 来源内部程序、人员、系统以及 外部事件违反合规准则损失 形态各种损失形态，不包括策略 风险和声誉风险法律制裁、监 管处 罚、重 大 财务损失和声誉损失职能 设置多与信用风险、市场风险管 理相结合，置于全面风险管 理部门之下经常与法律、内控乃至审计 职能相结合管理 方式要求计量所需监管资本未直接要求进行监管资本 计量识别 量化与 评估 手段风险自我评估( sa) 是一合规部门应该积极主动地 识别、书面说明和评估与银行经营活动相关的合规风 个结构化方法，用于让单个险，包括新产品和新业务的单位来识别和评估自身风 开发，新 业 务 方 式 的 拓 展，险，以安排其行为;新客户关系的建立，或者这其 他 风 险 审 批 程 序 种客户关系的性质发生重 ( oap) 是在启用新 的 程大变化所产生的合规风险 、 序、采用新的系统之前对操 作风险做出的评估行为;关 键 操 作 风 险 控 制 ( koc) 是对关键操作进 行的监督和控制;等。如果 该 银 行 设 有 新 产品委员会，该委员会内应有 合规部门职员代表;合规部门还应考虑各种量 化合规风险的方法 ( 例如，关键风险指标 ( ki) 是一应用评价指标等) ，并 运用些能够预示风险的早期信 这些计量方法加强合规风 号，用来指明银行中发生的险的 评 估。 评 价 指 标 可 借变化。助技术工具，通过收集或筛损失数据收集( ldc) ;选可能预示潜在合规问题 业务持续性计划( bcp)的数据 ( 例如，消 费者投诉的增长数、异常的交易或支付活动等) 的方式来设计良好的内部控制是管理操作风险和合规风险的重要基础，操作风险可能由内外部因素 引起，而合规风险则是由于不遵守国家法律法 规及监管部门规章制度而引起的，银行主动性 较强，由内部因素引起。操作风险与合规风险 存在一定的因果及叠加关系，但又不完全 相 同，由于内部程序不合规或人员违规形成的损 失风险是二者的交集部分。国内银行业过去通常把合规风险视同为 操作风险，注重在业务操作环节和操作人员 方面加以控制，结果并不理想，操作风险仍大 量存在且不断变换手法，近几年来逐渐对合 规风险开始重视。实践中，银行即使可以成 功防范、控制操作风险的发生，也 未 必 能 防 范、控制制度和管理层面上的合规风险的发 生。合规风险管理是一个动态过程，应 引起 格外重视，因为其危害与损失远远大于普通 的操作风险。四、国内商业银行风险管理的困境( 一) 风险边际模糊，管理关系难以厘清 近几年，国内监管机构和主管部门先后推出了商业银行合规风险管理指引、商业银 行操作风险管理指引、商业银行内部控制 指引、企业内部控制基本规范等文件，为 提高商业银行内部管理水平发挥了重要作用。 但这些规定的制定主体各不相同、出台时间前 后间隔、彼此之间相互割裂，缺乏从整体层面 处理商业银行所面临的各种风险管理之间的 关系，商业银行在实施全面风险管理时，无法 准确、清晰地区分这几种风险管理各自的 内 涵、职能和边界，也就无法有效处理这几种风 险管理的关系，导致不同的商业银行之间，或 在同一个商业银行内部，内部控制、操作风险 管理和合规风险管理的方式、方法和效果都不 尽相同，规范性有待进一步提高。( 二) 风险管理部门的职能边界不清晰58在我国商业银行内部，审 计、监 察、合 规管理部门分别承担了内控及风险管理的部分 职能，彼此之 间不成体系、职责界定不清晰， 内涵和外延也不甚明确，导致在各部门履行 职责时会存在一定的重叠，表现为对一些事 情，或是多部门共同管理，或是各部门相互推 诿，存在着协调配合不力的情况。在 实际业 务中，检查部门往往不独立于业务活动，难以 保证风险管理的有效性。一些商业银行为解 决这个问题，合并设立相应主管部门，如设立 合规与操作风险管理部、内控合规部或者合 并一些部门的职责，这种处理虽然可以解决 一些问题，但与风险管理的三道防线原则、合 规部门独立性原则等风险管理基本规则相矛 盾，商业银行风险管理模式仍停留在模糊低 效的初级运作阶段。( 三) 风险管理组织架构有待调整 目前，国内商业银行风险管理组织架构没有成型的经验可以借鉴，都处于“摸着石头过 河”阶段，普遍存在着内 控管理、操 作风险管 理、合规风险管理多种管理体系并存的状况， 其形成有一定的历史原因。以国内某大型国 有商业银行为例，近些年来，其风险管理架构 大致经历了五个阶段: 大法律大合规 大内控大监察大风险，具体表现为商 业银行早先粗放式大发展导致法律风险日益 突出，合规文化被日益重视。从股份制改革上 市、三道防线内控体系的建设到全面加强纪检 监察力量，随着全面风险管理理念的不断 深 化，全面风险管理架构初步建立，统筹管理各 类风险与内部控制，这些历程表明国内商业银 行在内部控制与各类风险管理之间一直进行 着不断的探索与尝试。五、加强商业银行风险管理的几点建议国内商业银行应将内部控制与操作风险、 合规风险管理相互融合，有效结合三方面管理视角，着力运用更为科学有效的技术和方法，对现行内部控制体系进行动态的分析评估，从 风险角度持续调整内部控制，促进内控向精细 化、体系化方向发展，以更好地防范和管控操 作风险和合规风险。( 一) 进一步完善风险管理架构 目前国内商业银行的内部管理架构都属于大型、非集中式的管理模式，对于这类银行 实施内部控制防范操作风险、合规风险的管理 原则是: 首先，在总体上实施分散化管理，各业 务部门的前线经理应当是风险管理的主要负 责人，负责具体工作; 其次，对整体风险实施统 一的监督管理，界定全行各相关部门在风险不 同层面的具体工作之间的分工与相互联系，以 确保全行一致、充分合作，避免重复工作，推广 最佳做法，并促进银行高级管理层在风险问题 上统一立场。( 二) 深化“嵌入式”管理模型 将操作风险管理、合规风险管理与业务运营有效结合，务必杜绝将风险管理游离于业务 经营之外。风险管理绝不可依赖一个专业部 门或增设若干管理专业人员单独实施。所谓 “嵌入式”模式，是从根本上将操作风险和合 规风险管理嵌入到各业务条线和各层级机构 的产品研发、规章制度管理、业务流程再造、业 务系统开发、人力资源管理和队伍建设以及业 务经营流程的实施过程，确保在业务经营和管 理过程中有效防范和管控操作风险。( 三) 综合运用各项风险管理工具 深化全面风险管理理念，促 进风险管理工具在“大风险、大内控”的管理架构中发挥 重要作 用。 进 一 步 深 化认识操作风险与信 用、市场、合规、声誉等各专业风险的交叉领 域，积极探索协调配合机制，通过有效的操作 风险管理，为其他领域的风险管理提供支持。积极落实和应用操作风险识别、评 估、量 化、监控、报告等方面的管理机制、方法和技术手 段，努力实现从“事后”向“事 前”、“定 性”向 “定量”、“人 控 ”向“机 控 ”的 管 理 转 型。 通 过定期开展风险识别与评估、持 续的关键风 险监控、系统全面的操作风险损失数据收集 和分析，从根本上改变依赖于习惯、传 统、经 验的管理方式，对内外部风