余日波

摘要：二十世纪90年代以来，随着金融全球化、自由化、创新化的发展，全球金融业进入一个动荡时期，金融风险不断发生、银行业危机频发。根据有关研究，这些事件正来自银行的操作风险，其根源在于商业银行内部控制失效。本文根据内部控制框架理论，结合操作风险管理特点，揭示内部控制缺失引发操作风险管理中存在的问题，并提出完善内部控制在商业银行操作风险管理中建议。

关键词：商业银行操作风险内部控制

一、研究背景

二十世纪90年代以来，随全球化、自由化、创新化的发展，全球金融业进入一个动荡时期，金融风险不断发生、银行业危机频发，英国巴林银行倒闭、法国兴业银行巨亏等，严重威胁着世界经济的安全。同时，国内大案不断发生，如中行“高山案件”、邯郸农行金库内盗案等。根据有关研究，这些事件正来自银行的操作风险，其根源在于商业银行内部控制失效。

近年来，我国商业银行在内部控制建设上进展迅速，但与国际先进金融机构相比，依然存在较大差距。对于内部控制和操作风险管理的研究，我国学者分别进行研究的比较多，而从操作风险视角下重点研究内部控制的比较少。因此，笔者试图从操作风险视角下对我国商业银行内部控制的研究。

二、认识操作风险与内部控制

（一）释义“操作风险”与“内部控制”含义

2004年，巴塞尔委员会颁布了“巴塞尔新资本协议”，将操作风险管理纳入银行风险管理框架，并将操作风险定义为：“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险，包括法律风险，但不包括战略风险和声誉风险。”因此，银行操作风险分为组织风险、流程风险、人员风险、技术发展和外部风险五类，并认为导致操作风险发生的诱因有内部操作流程、人为因素、体制因素和外部事件等。

为了促进我国商业银行建立和健全内部控制体系，保障银行资金安全运行，中国银监会于2007年7月颁布了《商业银行内部控制指引》，对加强我国商业银行的风险控制，特别是操作风险控制具有重要的指导作用。指引认为，内部控制是商业银行为实现经营目标、通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。2008年中国五部委联合发布了《企业内部控制基本规范》，包括内部环境、风险评估、控制措施、信息与沟通、内部监督五个基本要素。

（二）操作风险管理与内部控制的关系

巴塞尔委员会在2003年发布的《操作风险管理和监管稳健做法》中指出“《银行机构内部控制框架》是操作风险管理的基础”，这反映了操作风险与内部控制的密切联系。可见，一套完善、科学、行之有效的内部控制对商业银行操作风险控制具有天然的促进作用。

1、操作风险主要由内部控制不完善而导致

当前，在银行面临的操作风险管理中，因内部因素导致的操作风险，主要由“内部程序、人员、系统的不完善或失误”引起的。对于内部程序、人员、及系统等完善，都属于内控制度建设的范畴，这些要素一旦出现失误，必然是内部控制不完善的结果。

2、内部控制是防范操作风险的主要保障

在商业银行操作风险管理中，内部控制的失灵必然会造成操作风险损失事件的发生，这既可能是由商业银行内控体系要素缺失或不健全引起的，也可能是内控体系运行中某个或几个环节失灵或存在漏洞造成的。所以，内部控制是商业银行防范操作风险的主要保障。

三、内部控制在操作风险管理中存在的问题

近年来，我国商业银行内部控制制度建设和执行情况已有较大的改善。但是，从内部控制的质量和效果来看，还存在一些迫切需解决的重大问题。

（一）内部控制的环境较差

控制环境是内部控制中基础性和关键性要素。但是，目前商业银行主要强调内部控制制度建设，对内控环境建设并未加以重视。主要表现：一是法人治理结构不够完善。如决策、执行、监督等体系不合理；商业银行机构层级过多、减低内部控制组织灵敏度；二是内控文化尚未得到真正的建立。如部分管理者错误认为内部控制就是内部控制制度，这些认识偏差增大防范操作风险的难度。

（二）内部控制技术手段落后

目前，我国与国外的先进商业银行相比，控制的方法和手段还较落后，风险识别与评估以定性分析为主，尚未建立真正的风险监测预警系统和内部风险评估模型。特别是对新机构、新产品、新业务运行前未进行风险识别与风险评估工作，存在很大的风险隐患。

（三）内部控制活动效果不理想

近年来，我国商业银行都已建立了一套适应自身发展目标的内部控制制度，但是，内部控制活动的效果依然不理想，存在较多问题：一是内控制度及时性不足。内部控制制度滞后于业务发展，没有跟上金融产品创新的步伐；二是内控制度全面性不足。内部控制没有覆盖到一些重要业务、重要部位、重要环节上；三是内控制度强制性不足。重视内控制度设计，忽视内控制度落实；四是岗责体系缺陷明显。在岗位设置上与实际流程不匹配，未能根据实际需要，因事设岗，因岗定人。

（四）信息与沟通不畅

近年来，尽管各家商业银行在信息设施投入较大，但是我国商业银行信息沟通制度、信息的有用性、沟通机制等方面仍存在许多问题：一是信息渠道缺乏，收集信息失真，缺乏信息量支撑，严重影响操作风险识别与评估的效果和质量；二是收集信息后在传递过程中处理不当，要么过于畅通导致泄密，要么过于封闭而未有效使用；三是对信息管理未引起足够重视，影响了信息获取的质量和传递速度，造成管理层决策和控制效率低下。

(五)内部监控不完善

近年来，商业银行在内部监控方面投入大量的人财物资源配置，在内部监控方面有了较大的改善。但是由于管理层理念、实际操作等因素影响，仍存在一些不能忽视的重要问题：一是内部检查。持续监督和和跟踪检查不到位，对违法人员处理上灵活有余，原则性不足；二是内部稽核。内部稽核没有渗透到商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位；三是内部审计。内部审计的独立性不够，在审计中往往受到很大的牵制。

四、完善内部控制在操作风险管理中的建议

根据《商业银行内部控制指引》、《企业内部控制基本规范》的理论，结合我国商业银行内部控制在操作风险管理中问题，提出完善内部控制在我国商业银行操作风险管理中的建议。

（一）营造健康的内部环境

1、建立完善有效的内部控制组织架构

内部控制环境是内部控制的基础，直接影响到内部控制的贯彻和执行。从总行层面看，各家银行都建立了比较规范的内部组织构架，但由于庞大而混乱的系统内部，执行效果被严重侵蚀了。因此，商业银行要从体制上进行改革，冲破原有的利益关系，使管理层等各项权利相互制衡、明确职责边界，避免职能交叉或缺失，建立效率评价和责任追究制度。

2、培育“以人为本”的内部控制文化

在现有市场竞争环境下，道德风险会引发银行信用风险、声誉风险等多维风险的联合发生。因此，商业银行需要塑造新型的内部控制文化，潜移默化地影响员工的控制意识。要塑造一定水准的道德和诚信观，就要坚持“以人为本”的理念，构建员工与银行共发展、共担风险的价值观，不能制定超风险管控能力的激励机制，并将个人收入与风险管理结果挂钩，从而提高员工的责任感、使命感和归属感。

（二） 建立科学、合理的风险评估体系

1、建立完善的风险评估流程

风险评估是指及时识别、科学分析和评价影响商业银行内部控制目标实现的各种不确定因素并采取应对策略的过程。因此，商业银行要建立科学、合理的风险评估体系，认真借鉴国际先进经验，以减低银行操作风险，其重要意义在于权衡风险、防范于未然。

2、采用先进的风险管理技术

商业银行应开发适合自身的内控管理系统，运用现代计算机技术提供管理平台，主动对操作风险进行评估和管理。一是建立内控管理平台开展各自评估工作，实现内部控制的系统化；二是在评估系统内对每个风险点及控制措施设置相应的阀值，列出银行各条线最重要的关键指标，从而对关键指标进行重点监控；三是由于操作风险的复杂性和多样化，应借鉴国际先进的内控经验，运用管理学、组织学、行为学、犯罪学等思维理念，开发量化评估的方法和模型，才能更为准确地把握风险在量上达到的程度。

（三）建立有效的内部控制活动

1、以流程控制为导向，提高风险治理效力

商业银行应清晰界定各项金融产品在整个经营过程中的构成要素，并根据这些要素各自的特点构成相应的业务流程图。在操作风险识别和评估的基础上，采用业务流程分析法，针对业务流程中关键风险点设计专门的管理控制制度，将控制措施融入到商业银行的各个流程环节，覆盖所有部门和岗位，使各类决策权力、各项业务过程、各个操作环节和各位员工的操作行为都处于严格的制度约束下。

2 、实现科学控制方法，健全内部控制措施

商业银行的控制活动不仅是一个过程，而是一个复杂的系统，它将内部环境、风险评估、信息与沟通、监督等要素联系在一起，从而形成一个有机的整体，是整个内部控制系统的核心。其构成要素至少包括控制方法、控制措施、风险预警机制、和突发事件应急处理机制等。

（四）建立和完善信息沟通体系

1、建立信息沟通制度，促进内控有效运行

内部控制的每一个过程均需要考虑交流与沟通，商业银行信息交流的渠道和程序，在满足信息安全和保密性前提下，确保相关信息及时得到识别、收集、处理、交流和反馈，并保证信息交流渠道畅通。建立信息沟通制度，及时、准确地收集、传递、报告相关信息，确保内控信息在商业银行内部及与客户、监管部门和政府部门间的有效沟通。

2、 健全信息科技建设，强调信息安全管理

信息控制作为银行风险管理的有机组成部分，建立和完善银行管理系统和业务系统，不仅可以实现信息资源共享，而且通过数据库、模型库、方法库去实现快速、准确、合理的预测和分析，给内部控制丰富的信息资源和决策支持，实现风险控制由“事后监测”转为“实时监控”。

（五）建立和健全有效的内部监督机制

1、加强内部监督，完善内部评价

商业银行要确保内部控制制度被切实地执行且执行效果良好，内部控制过程就必须实施恰当的监督，利用信息与沟通的情况，提高内部监督的针对性和时效性。一是防止内部控制走过场的有效措施；二是定期对内部控制的有效性进行自我评价。

2、加强内部稽核，完善内部监督

一是转变稽核观念，由合规性复核向风险性稽核转轨，把检查中发现的问题，当成线索而不是结论；二是加强非现场稽核监测工作，动态监测各行风险位次的变化并进行趋势判断，揭示各行存在的突出风险。

3、加强内部审计，完善内部监督

内部审计既是内部控制活动的一个重要程序，又是内部控制的一种特殊方法，它通过监督、检查、评价促使管理层履行管理职责，达到健全完善内部控制的效果。一是科学设置内审机构；二是合理配备内审人员；三是内部审计的充分授权；四是完善内审机构质量控制。

参考文献：

［1］中国银行业监督管理委员会．商业银行操作风险管理指引[S], 2007.

［2］财政部、审计署、证监会、银监会、保监会.企业内部控制基本规范[S], 2008.

［3］邱胜利.内部控制与操作风险管理[M]．北京：中国金融出版社，2009.

［4］李敏.企业内部控制规范[M]．上海：上海财经大学出版社，2011.

［5］朱建峰. 我国商业银行操作风险管理研究.中国石油大学硕士论文,2009

［6］杜文杰. 华夏银行XX分行内部控制制度研究.西北大学硕士论文,2008

［7］胡心怡. 内部控制在我国商业银行风险管理运用中存在的问题及对策.江西财经大学硕士论文,2009