基于内部控制的X银行操作风险管理研究
毛心怡 宾幕容 湖南农业大学商学院 摘要:随着现代经济的发展及科技水平的发展,银行业务覆盖面越来越大,程序越来越复杂,面临的风险也越来越多,一旦管理不善,风险造成的损失将不可估量。我国商业银行对操作风险的管理研究起步较晚,直到近年来银行业逐步开始认识到操作风险在商业银行中存在的巨大威胁,才逐渐开展操作风险管理活动。本文以X银行为例,通过对其风险管理进行研究,进而得出我国商业银行的普遍性结论。希望通过此文的分析与研究,可以为我国商业银行提出一些切实可行的建议,提高商业银行对操作风险进行有效管理的能力,推动其健康持续发展。 关键词:商业银行;操作风险;内部控制;风险管理 一、商业银行通过内部控制进行操作风险管理的相关概念 商业银行在进行各项业务活动时,受各种不确定性因素影响,有时会遭受一定程度的损失风险,直接干预银行的收益状况,这种风险被称为商业银行风险,一般被分为市场风险、信用风险、操作风险等。其中,操作风险指的是由于内控机制不健全,或一部分程序存在漏洞,或员工操作不当、外部事件的不确定性而形成的潜在危机。因此,为保障自身经营活动健康发展,就必须予操作风险以足够的重视,提高操作风险管理的资源、资本配置比例。 为有效应对经营活动中的各种风险、减少经营损失,商业银行应积极采取有效的管理措施,而这个管理过程和行为就是我们提到的风险管理。这种管理行为的目的就在于将风险降到最低,将盈利空间最大化。作为商业银行风险管理中的重要手段,内部控制可以根据操作风险不同的诱因,采取程序控制、职务控制、组织控制、政策控制等多种手段去达到操作风险管理的目的,从而保证商业银行进行正常的经营活动,实现健康发展。关于银行内部控制,巴塞尔委员会进行了明确的界定,即:银行内部控制由银行主导实施,以保障银行信息的妥善保存和管理、保证银行经营平稳运行及获取利润为目的,同时确保银行在法律法规的范围内进行经营。由五个要素组成的,分别是环境控制、评估风险、控制活动、交流信息、监督评价。 内控控制与风险管理有三种关系:第一种,包涵关系,风险管理包含着内部控制,而内部控制在风险管理体系中又占据着一大部分比例;第二种,内控是进行风险管理的具体手段,风险管理可以通过内控体系的运行获取各类所需的风险信息;第三种,二者协调统一,两种管理行为都需要全体员工来实施,都是为了有效控制风险,都有成本最小、利益最大为行为准则。 二、X银行操作风险案例及初步分析 为了更加清晰明了地理解内部控制不当对银行带来风险的严重性,重点列举了以下4个实际经营中的案例来说明: (一)案例一,智能化产品操作不当进而导致操作风险发生 案例简介:2018年1月,某支行柜员日终长款28万元。经调查,当天下午客户前来柜台办理取款14万元业务。柜员操作时,不慎打开存款界面,操作存款14万元并提交远程授权平台复核。后台授权人员通过监控画面显示柜面标识牌为“存款”,便复核通过。最终客户成功取出14万现金,卡上存入 14万元,导致日终网点长款28万元。 分析原因,有以下几点:1.表面上看,此案是由于柜员操作失误导致的操作风险。2.从统计数据来看,远程授权平台上线后,类似案件却频发。当客户在银行存取款超过10万元时,柜员需提交后台授权申请,由于后台授权人员无法当面与客户核实,只能凭借柜员上传的资料及放置在柜台上的存取标识牌影像进行复核,故易引发授权风险。如上述案例,若柜员系统存取操作错误,且误将存取牌放置相反,上传授权资料后,极易使后台复核通过,引发严重的操作风险。 (二)案例二,因银行内部控制体系存在缺陷导致的操作风险 案例简介:2015年8月,某快递公司根据工作需要,前往银行支取定期存款,但发现存款已于当年6月被支取。经过数据调取和查看,系银行员工对客户存款单进行了伪造,提取了该快递公司的定期存款单,去除存款后随机打入自己的私人账户。 案件发生的原因有以下几点:1.银行对印章使用缺乏有效监管,给该员工盗用印章提供了可趁之机。2.复核人员未严格执行岗位职责,疏忽了对存款单的审核把关,给孙某顺利提取存款提供了条件。3.业务信息沟通不畅,存款业务于6月办理,直到8月快递公司办理业务,才使银行被动发现问题,可见银行并没有一套有效的业务信息共享和沟通机制。 (三)案例三,因内部人员素质导致的操作风险 案例简介:某客户在2016年6月进行网上消费需要进行支付时,收到账户提示余额不足的短信,遂到X银行某支行查询账户流水账单。经查询,发现账户在该客户未进行使用的情况下多次转账到某一特定账户的现象。通过银行专项调查,发现收到钱款的账户为高管张某所有。经过进一步调查发现,除上述客户的存款被多次转入张某账户之外,还有不少于10名客户的存款多次被转到张某账户当中,涉及金额8万元。 重要的原因包括:1.管理层缺乏自我约束和有效监督,未严格遵守职业道德。2.银行风险防控工作不到位,对风险事件反应迟缓。3.银行对违法违规行为的处罚力度不够,使银行员工为谋取私人利益顶风作案。 (四)案例四,因技术不成熟导致了操作风险发生 案例简介:客户王某于2012年11月到某分行取款,发现卡内余额已被取走。王某向银行工作人员反映,银行随即登录业务系统进行查询发现账户余额已于当月早些时候通过电话银行取款的方式被转到了王某名下的另外一个账户。但王某向银行反映,自己在X银行只有一个账户。于是银行调取了监控录像,并对银行业务档案资料进行查询,最终发现王某的身份被让人伪造并开设了银行账户,正是这样王某的账户余额才通过电话银行取款的方式被转走。 发生该事件的主要原因包括:1.X银行未直接告知王某开设银行账户时会直接开通电话银行功能,没有尊重客户的知情权。2.银行身份识别系统形同虚设,多靠肉眼进行识别。3.使用电话银行功能未考虑身份验证问题,导致金额轻易被转出。 (五)案例小结 从上述案例可以看出,X银行操作风险事件多由内部因素而产生,主要表现在以下几个方面:员工为客户负责的意识不够、不遵守职业道德、贪图个人私欲,管理层以权谋私、违规操作。除人为因素外,规章制度不健全、惩罚机制执行力度不够、技术系统不成熟等客观因素,也容易导致操作风险事件的发生。 三、基于内控视角下对X银行操作风险管理的对策建议 国内商业银行总体格局中,X银行有一定的代表性,在它身上发生的操作风险事业也能普遍代表我国商业银行目前存在的问题,同时,X银行利用内控手段进行操作风险管理的做法也和大多数国内商业银行的管理模式相同。因此,本章将以上文提到的四则发生在X银行身上的操作风险事件具体案例为切入点,站在内部控制的角度提出针对性措施。 (一)完善内部控制环境 通过教育培训加强职工综合素质培养,引导基层员工树立健康向上的价值观,提升员工的职业道德素养,从而有效预防操作风险。对管理人员工作开展状况进行动态追踪和通报,组织廉政教育和道德教育培训,掐断管理层发生操作风险案件的苗头。加强员工的操作风险防范意识,通过多种教育形式,增强权力机构、监督机构、管理机构的思想认识,不断规范业务操作步骤和流程。 (二)强化对操作风险的识别 把握风险识别重点,全面梳理X银行操作风险发生的所有因素,这些因素既包括内部因素,如经营战略和目标、组织机构、营业状况、人员构成;还包括政治、经济、社会、文化以及技术的影响等外部因素。在新产品、新服务推出之前,银行应对产品和服务进行充分的前期调研、市场前景预测,并充分考虑由此引起的操作风险,提前做好防范工作。产品、服务推出之后,也要进行实时跟踪,发现风险隐患及时应对解决。建立能够监测操作风险所造成损失的数据库,借鉴国际先进的评估模型,对银行操作风险所造成的损失的发生领域、出现频率和损失金额进行详细分析,得出风险评估的指标数值,从而有效发挥风险评估体系的作用。 (三)加强控制活动 从目前X银行控制活动的方式比较单一落后的现状可以看出,应对系统进行针对性的升级,从而有效防范因新情况而产生的各类新型风险案件。优化填单流程,有效降低因柜员录入业务办理信息而造成的错误风险。将人脸识别等人工智能手段充分应用到银行办理业务和身份识别环节当中,从而有效降低人为失误的风险。优化授权平台,可以采用为每个业务办理柜台以及自助发卡机安置专线电话的方法,电话直接连线远程授权平台中心,有效提升复核质量,规避远程授权平台工作人员因无法与客户进行直接沟通而产生的授权风险。 (四)健全信息系统与沟通 开展业务和进行管理时,应充分重视信息系统的建设。建立全面信息共享平台,以经济性、可操作性为准则,对各个部门的信息需求予以统筹考虑,建立一套具有统一标准、适用于全行上下的信息系统,实现管理层和基层部门信息互通,提高发现问题和风险的敏锐性。加强信息基础建设,改造升级各分支行的信息系统,加强后台系统技术定期维护,定期不定期检查业务系统是否存在漏洞,查摆风险隐患和相关问题,对一些老旧落后的系统和硬件设施要及时清理,更换先进设备,以确保信息系统运行正常。改进监控制度,建立内部控制绩效监测制度,通过日常业务检查、进行业务指导、深入现场检查、针对业务考核等方式强化监测效果。 参考文献: [1]马克·洛尔.金融风险管理手册[M].北京:机械工业出版社,2012. [2]艾迪·凯德.银行风险管理[M].北京:中国金融出版社,2014. [3]景莉.论基于 COSO 框架的操作风险管理系统的构建[D].北京:对外经济贸易大学,2016. [4]刘良灿,张同建.国有商业银行内部控制对操作风险防范的影响研究[J].广东商学院学报,2015(3). [5]李玮.浅谈如何加强商业银行操作风险的内部控制[J].市场周刊,2015(3). |