论文部分内容阅读
摘 要:分析我国商业银行操作风险中存在的问题,并就控制我国商业银行操作风险提出相应的对策。
关键词:商业银行;操作风险;内部欺诈
一、文献综述
由于我国大多数商业银行还处在向真正的商业银行转型的过程中,内部控制机制还不完善,加之存在严重的道德风险,内部欺诈操作风险成为我国商业银行的主要风险来源之一,其在商业银行风险中的比重远大于国际同行的水平。典型的内部欺诈事件包括偷盗、信用诈骗和未授权交易等。可以看出,这是一类典型的低频率高损失事件。
已有的研究表明,交易和销售、零售银行业务、商业银行业务是造成操作风险损失的主要业务线,三者合计比重达到73%以上。特别是零售银行业务则是发生操作风险事件最多的业务线,其比重达到60%以上。从类型来看,内外部欺诈是发生数目最多的操作风险类型,而内部流程管理不慎所导致的损失则是最大的。
Fontnouvelle、Jordan和Rosengren(2003)利用从公开媒体收集的损失数据来度量美国大型跨国银行的操作风险,并发现在很多银行中,操作风险往往大于市场风险。樊欣、杨晓光(2004)对浦东发展银行和深圳发展银行上市数据进行实证研究,分析得出两家银行的操作风险占到总方差的4.48%和14.41%。赵亚东(2009)分析得出在市场化的价值下,股份制商业银行在风险内控和管理水平高于国有商业银行,操作风险主要集中在国有商业银行。詹原瑞、刘睿(2007)通过对我国银行内部欺诈数据的实证分析,得出在七种操作风险类型当中,内部欺诈给我国商业银行造成的损失相当严重,这一风险事实上已经成为我国银行业最重大的操作风险类型之一。许志远(2009)提出操作风险事件具有较强的内生性,即使建立相对完善的内控制度和监督检查机制,也难以充分预计未来持续期内的所有变动因素并彻底杜绝内部舞弊所造成的违法犯罪行为。万杰、苗文龙(2005)指出内部欺诈特别是管理层欺诈是我国商业银行操作风险的主要表现形式,其产生的主要原因是我国银行特别是国有银行产权结构单一、公司治理结构不完善、内部控制不力及由此所产生的“内部人控制”问题和对经营管理层监督与激励不足。
二、我国商业银行操作风险中存在的问题
(一)内部欺诈是我国商业银行面对的主要的操作风险
据樊欣和杨晓光的分析,在他们收集的71个案例中,由银行内部人员引起的事件共41起,占57.75%,银行外部人员引起的15起,占21.13%,而汪办兴调查了317件操作风险事件,得出操作风险损失金额较多主要集中在零售业务、公司信贷业务,在国内公司信贷业务损失占比竟达97.2%。可见我国内外部欺诈风险比例很高。特别是当银行内部员工参与作案时,犯案得逞率更高,而且潜伏期长,检查及监督部门不易发现,往往给银行造成巨大损失。如,2001年中信银行2.96亿元票据诈骗案,2005年中国银行64亿诈骗案,2006中国银行黑龙江省双鸭山市四马路支行行长在内几名人员诈骗4.3亿元,2007年河北邯郸农业银行金库盗窃案,2009年温州银行副行长涉嫌诈骗等重大金融案件。这些事件充分反映了各银行主要面对的风险就是对机构自身的操作风险管理能力相对较弱,以内部欺诈风险为主。
(二)商业银行监管中对操作层检查多,对管理层检查少
我国商业银行有根深蒂固的错误观念,即只有基层操作人员才会发生操作风险。因此,内部审计部门将主要的精力都放在了基层操作人员身上,对高层管理人员仅有离任审计,缺乏日常的稽核监督。由于银行高管人员掌握着人力、财力、物力等大权,由其引发的操作风险特别是内外勾结的情形,危害性要远大于基层操作人员。中行广东开平分行前后三任行长在长达10年的时间里,将4.83亿美元的银行资金转移到海外。该案也成为新中国成立以来最大的银行监守自盗案。这充分反映出我国银行业中大量存在的无人监管的“一人权利”困境。
(三)职员操作权边界不清
职员出于“经济人”的自利目的,在利益一定的情况下,会极力怠工,不使用或少使用操作权,或者极力推卸责任;而在责任一定的情况下,会极力越出操作规程的规定,极力追求私利。前者是怠用操作权,后者是滥用操作权。此两种行为极易酿成银行内部欺诈行为。
另外,部分商业银行的重要岗位轮换制度和近亲属回避制度等没有得到严格执行。这必然会给一些价值观扭曲的人以可乘之机,导致银行业的贪污、挪用、盗窃等现象不断出现,资金流失严重。
(四)国内商业银行队伍过于庞大,难以避免操作风险隐患
四大国有商业银行的平均员工人数是美国的3倍,日本的27倍,德国的9.5倍,英国的4.8倍,如此庞大的员工队伍中难免鱼龙混杂,素质层次不齐。部分员工学习自觉性不强,存在“不知不可为而为之”的无知性违规行为,因此带来一定的风险隐患。如,有的员工以习惯代替制度,以感情替代操作,员工之间盲目信任,排斥“认制度不认人”、“机控”等合理性控制机制。
(五)商业银行激励引导缺失或不当
目前国内大多数银行推出的激励考核机制都侧重于业务发展,在考核分支机构时,指标仍为传统的规模和速度指标,对于内部控制和风险管理鲜有关注。在这种不完善的激励约束机制下,各商业银行必然将完成任务作为首要目标。以山西太原7.28金融诈骗案为例,涉案银行的下属分理处主任之所以卷入诈骗漩涡,最根本的原因就在于上级对其实施的以存款指标为主的考核制度。激励机制的不当,或者说未将内控机制纳入考核范围滋生了道德风险。
(六)国内商业银行IT应用系统混乱
近年来,国内银行在金融信息化、电子化方面的建设确实有了长足的改善,但是IT投入不足,存在系统林立、系统间的勾连核对功能不足,系统规划不足与建设滞后使得总行难以对分支机构进行准确到位的内部监控,系统功能缺陷仍依赖手工操作实现,系统的风险控制功能缺陷与手工操作的增加给一些不法分子可趁之机,同时也使得风险难以及时发现。
三、控制我国商业银行操作风险的对策
(一)采用Horizon系统的核心软件,建立本土的操作风险管理系统
Horizon系统是摩根大通银行操作风险管理系统,在全球摩根大通银行已拥有8000名用户,每年进行12000个自我评估,1000个项目的稽核,其客户还包括世界银行、美国联邦储备银行、香港金融监管局和众多商业银行、投资公司、保险公司及能源公司,并通过摩根大通银行及安永公司分销。我国商业银行大可采用其核心软件,建立本土的操作风险管理系统,开展制度化、规范化的管理。以改善国内IT应用系统不统一,存在系统间漏洞的问题。
(二)通过计算机程序编制、设定权限指令,控制超越授权的违规操作,避免因为个人疏忽而导致的业务失误,从而有效地防范风险
通过计算机系统强化对业务操作运行的实时监控管理,构建全面覆盖内部控制关键环节的风险预警和监控系统。特别是对于银行高层管理人员的权限设置要有明确界限,实时记录其操作,上传至上级监管部门,并定期检查,以防止银行高管“只手遮天”无人监管的行为。借助计算机系统收集、加工、反馈风险信息数据,为决策提供充分信息支持。
(三)引入关键风险指标(KPI)
对于商业银行内部舞弊行为的成因,美国注册舞弊审核师协会的Albrecht教授提出了三角理论,认为企业舞弊产生的原因是由压力、机会和借口三要素组成的,缺少任何一项要素都不可能真正形成舞弊行为。银行业是一个竞争激烈的行业,内部人员、流程、系统及组织结构引起的风险,外部经营环境变化、外部欺诈、外部突发事件等引起的操作风险,或者以上原因相互作用的结果,都是企业舞弊的诱因。因而通过监测银行各项流程中的一些数量指标,比如交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、自动化水平等,对最可能发生及最可能产生重大操作风险的流程,通过引入关键风险指标(KPI),为操作风险提供早期预警。由于成本和效率的限制,自我评估通常定期进行(如每年一次),而KRI的计算却可以每天连续更新,从而使银行有了相对简便易行的监控手段。
(四)我国商业银行可以借鉴荷兰银行的损失数据库
荷兰银行的银行损失数据库是荷兰银行基于局域网和WEB的收集和存储所有本行由于操作风险造成的损失的全部信息的工具。其目的是建立对操作风险特性的识别、减少损失、满足新巴塞尔监管的要求及支持内部经济资本管理的要求。因此,国内商业银行可以着手建立操作风险损失数据库和设置关键指标体系。应从积累日常数据开始建立损失数据库,记录损失及其程度。在识别操作风险的基础上度量操作风险可能带来的损失,进而为操作风险配备相应的资本金。
(五)对于操作风险度量和覆盖,张连丰,金晶(2009)提出的净操作风险测度方式非常值得借鉴
他们提出应当评估下一年内发生操作错失的可能性,并扣除由于保险而减少的风险额,以此来得出总的风险敞口数额以及4类风险各自的额度(即人员、流程、技术和外部依赖),损失后果描述发生操作错失时银行可能遭受的潜在损失。由于不可能精确地衡量这些损失,因此一般是用一个按货币计值的范围(例如,5000万~1亿美元)来说明这些损失。并在操作风险损失后果的评估数中应当扣除风险的减少额。例如,事先买了保险,那就需要根据保险的金额来调整违约风险的损失后果。
也正因为保险作为操作风险缓释的有效手段,国外先进商业银行将其作为重要工具,很多的操作风险已经能够被现有的保险产品所转移,比如未经授权交易或超限额交易引起的直接财务损失保险等。这是十分值得我们国内保险业、银行业进行学习借鉴。国务院《关于保险业改革发展的若干意见》明确指出,保险是市场经济条件下风险管理的基本手段。保险产生于风险管理的要求,风险管理离不开保险,因而保险在操作风险管理中也大有可为。
可以预期,在不久的将来,保险产品将在减少操作风险中起到越来越大的作用。并且可以断言,保险产品能提供一种操作风险的价格发现方式,这样操作风险管理部门就可以根据业务管理活动估计出合理的损失后果数额。在理想状况下,也可以计算各种风险敞口之间的相关度,并将此纳入到对风险敞口的总体测度中去。
(六)对于办公、综合等后勤部门采取尽可能外包的方式
比如运押钞车、保安保卫、计算机、招待、食堂、卫生、物业甚至金库等。既大量减少人员,又通过选择优质外包达到更好的效果。这对于操作风险来讲,也是转移风险的一种形式。
另外,对重要岗位、重要人员的强制休假、强制轮岗。所谓重要岗位、重要人员,一般是指如果失误就可能带来较大损失的责任人。其中不仅包括高层管理、中层管理、基层管理干部,也包括信贷主办员、贷款下柜审核员、会计主管、会计主办员、印章管理员、密押管理员、联行人员等。
四、结束语
我国商业银行操作风险管理尚处于起步阶段,操作程序和管理制度的规范都不健全,甚至有“规则一套,做法一套”的现象。在商业银行竞争愈来愈激烈的今天,尤其是年底七家大型商业银行即将实施新巴塞尔协议的现实情况下,操作风险的防范是否能提高是我国商业银行能否在竞争中脱颖而出的关键。在这之中,内部欺诈尤其需要防范,这不仅关系到资产损失,更关系到银行的声誉损失,是值得银行特点关注的一个方面。
参考文献:
[1]刘晶晶.操作风险不可小视[J].科技智囊,2005,(5).
[2]余琼花.对防范和控制我国银行业操作风险的思考[J].科技信息,2008,(9).
[3]张连丰,金晶.论商业银行操作风险评估框架的构建[J].金融发展研究,2009,(6).
[4]毛群,翟朝晖.摩根大通银行操作风险管理对工商银行的启示[J].经营管理,2005,(7).
[5]尹培军.浅谈我国商业银行的操作风险[J].财经界,2009,(7).
[6]赵盛.浅析当前商业银行操作风险管理存在的问题及改进建议[J].现代商业,2009,(3).
[7]孙华堂.兴业银行晋江支行操作风险管理研究[D].长沙:湖南大学,2009.
[8]刘菁儒.五大缺失导致金融职业犯罪增多[J].审计月刊,2006,(12).
[9]刘睿,李金迎.商业银行关键操作风险指标构建问题研究[J].金融与经济,2009,(6).
[10]刘顶军.浅析我国商业银行操作风险问题[J].中国商界,2010,(2).
关键词:商业银行;操作风险;内部欺诈
一、文献综述
由于我国大多数商业银行还处在向真正的商业银行转型的过程中,内部控制机制还不完善,加之存在严重的道德风险,内部欺诈操作风险成为我国商业银行的主要风险来源之一,其在商业银行风险中的比重远大于国际同行的水平。典型的内部欺诈事件包括偷盗、信用诈骗和未授权交易等。可以看出,这是一类典型的低频率高损失事件。
已有的研究表明,交易和销售、零售银行业务、商业银行业务是造成操作风险损失的主要业务线,三者合计比重达到73%以上。特别是零售银行业务则是发生操作风险事件最多的业务线,其比重达到60%以上。从类型来看,内外部欺诈是发生数目最多的操作风险类型,而内部流程管理不慎所导致的损失则是最大的。
Fontnouvelle、Jordan和Rosengren(2003)利用从公开媒体收集的损失数据来度量美国大型跨国银行的操作风险,并发现在很多银行中,操作风险往往大于市场风险。樊欣、杨晓光(2004)对浦东发展银行和深圳发展银行上市数据进行实证研究,分析得出两家银行的操作风险占到总方差的4.48%和14.41%。赵亚东(2009)分析得出在市场化的价值下,股份制商业银行在风险内控和管理水平高于国有商业银行,操作风险主要集中在国有商业银行。詹原瑞、刘睿(2007)通过对我国银行内部欺诈数据的实证分析,得出在七种操作风险类型当中,内部欺诈给我国商业银行造成的损失相当严重,这一风险事实上已经成为我国银行业最重大的操作风险类型之一。许志远(2009)提出操作风险事件具有较强的内生性,即使建立相对完善的内控制度和监督检查机制,也难以充分预计未来持续期内的所有变动因素并彻底杜绝内部舞弊所造成的违法犯罪行为。万杰、苗文龙(2005)指出内部欺诈特别是管理层欺诈是我国商业银行操作风险的主要表现形式,其产生的主要原因是我国银行特别是国有银行产权结构单一、公司治理结构不完善、内部控制不力及由此所产生的“内部人控制”问题和对经营管理层监督与激励不足。
二、我国商业银行操作风险中存在的问题
(一)内部欺诈是我国商业银行面对的主要的操作风险
据樊欣和杨晓光的分析,在他们收集的71个案例中,由银行内部人员引起的事件共41起,占57.75%,银行外部人员引起的15起,占21.13%,而汪办兴调查了317件操作风险事件,得出操作风险损失金额较多主要集中在零售业务、公司信贷业务,在国内公司信贷业务损失占比竟达97.2%。可见我国内外部欺诈风险比例很高。特别是当银行内部员工参与作案时,犯案得逞率更高,而且潜伏期长,检查及监督部门不易发现,往往给银行造成巨大损失。如,2001年中信银行2.96亿元票据诈骗案,2005年中国银行64亿诈骗案,2006中国银行黑龙江省双鸭山市四马路支行行长在内几名人员诈骗4.3亿元,2007年河北邯郸农业银行金库盗窃案,2009年温州银行副行长涉嫌诈骗等重大金融案件。这些事件充分反映了各银行主要面对的风险就是对机构自身的操作风险管理能力相对较弱,以内部欺诈风险为主。
(二)商业银行监管中对操作层检查多,对管理层检查少
我国商业银行有根深蒂固的错误观念,即只有基层操作人员才会发生操作风险。因此,内部审计部门将主要的精力都放在了基层操作人员身上,对高层管理人员仅有离任审计,缺乏日常的稽核监督。由于银行高管人员掌握着人力、财力、物力等大权,由其引发的操作风险特别是内外勾结的情形,危害性要远大于基层操作人员。中行广东开平分行前后三任行长在长达10年的时间里,将4.83亿美元的银行资金转移到海外。该案也成为新中国成立以来最大的银行监守自盗案。这充分反映出我国银行业中大量存在的无人监管的“一人权利”困境。
(三)职员操作权边界不清
职员出于“经济人”的自利目的,在利益一定的情况下,会极力怠工,不使用或少使用操作权,或者极力推卸责任;而在责任一定的情况下,会极力越出操作规程的规定,极力追求私利。前者是怠用操作权,后者是滥用操作权。此两种行为极易酿成银行内部欺诈行为。
另外,部分商业银行的重要岗位轮换制度和近亲属回避制度等没有得到严格执行。这必然会给一些价值观扭曲的人以可乘之机,导致银行业的贪污、挪用、盗窃等现象不断出现,资金流失严重。
(四)国内商业银行队伍过于庞大,难以避免操作风险隐患
四大国有商业银行的平均员工人数是美国的3倍,日本的27倍,德国的9.5倍,英国的4.8倍,如此庞大的员工队伍中难免鱼龙混杂,素质层次不齐。部分员工学习自觉性不强,存在“不知不可为而为之”的无知性违规行为,因此带来一定的风险隐患。如,有的员工以习惯代替制度,以感情替代操作,员工之间盲目信任,排斥“认制度不认人”、“机控”等合理性控制机制。
(五)商业银行激励引导缺失或不当
目前国内大多数银行推出的激励考核机制都侧重于业务发展,在考核分支机构时,指标仍为传统的规模和速度指标,对于内部控制和风险管理鲜有关注。在这种不完善的激励约束机制下,各商业银行必然将完成任务作为首要目标。以山西太原7.28金融诈骗案为例,涉案银行的下属分理处主任之所以卷入诈骗漩涡,最根本的原因就在于上级对其实施的以存款指标为主的考核制度。激励机制的不当,或者说未将内控机制纳入考核范围滋生了道德风险。
(六)国内商业银行IT应用系统混乱
近年来,国内银行在金融信息化、电子化方面的建设确实有了长足的改善,但是IT投入不足,存在系统林立、系统间的勾连核对功能不足,系统规划不足与建设滞后使得总行难以对分支机构进行准确到位的内部监控,系统功能缺陷仍依赖手工操作实现,系统的风险控制功能缺陷与手工操作的增加给一些不法分子可趁之机,同时也使得风险难以及时发现。
三、控制我国商业银行操作风险的对策
(一)采用Horizon系统的核心软件,建立本土的操作风险管理系统
Horizon系统是摩根大通银行操作风险管理系统,在全球摩根大通银行已拥有8000名用户,每年进行12000个自我评估,1000个项目的稽核,其客户还包括世界银行、美国联邦储备银行、香港金融监管局和众多商业银行、投资公司、保险公司及能源公司,并通过摩根大通银行及安永公司分销。我国商业银行大可采用其核心软件,建立本土的操作风险管理系统,开展制度化、规范化的管理。以改善国内IT应用系统不统一,存在系统间漏洞的问题。
(二)通过计算机程序编制、设定权限指令,控制超越授权的违规操作,避免因为个人疏忽而导致的业务失误,从而有效地防范风险
通过计算机系统强化对业务操作运行的实时监控管理,构建全面覆盖内部控制关键环节的风险预警和监控系统。特别是对于银行高层管理人员的权限设置要有明确界限,实时记录其操作,上传至上级监管部门,并定期检查,以防止银行高管“只手遮天”无人监管的行为。借助计算机系统收集、加工、反馈风险信息数据,为决策提供充分信息支持。
(三)引入关键风险指标(KPI)
对于商业银行内部舞弊行为的成因,美国注册舞弊审核师协会的Albrecht教授提出了三角理论,认为企业舞弊产生的原因是由压力、机会和借口三要素组成的,缺少任何一项要素都不可能真正形成舞弊行为。银行业是一个竞争激烈的行业,内部人员、流程、系统及组织结构引起的风险,外部经营环境变化、外部欺诈、外部突发事件等引起的操作风险,或者以上原因相互作用的结果,都是企业舞弊的诱因。因而通过监测银行各项流程中的一些数量指标,比如交易量、员工水平、技能水平、客户满意度、市场变动、产品成熟度、自动化水平等,对最可能发生及最可能产生重大操作风险的流程,通过引入关键风险指标(KPI),为操作风险提供早期预警。由于成本和效率的限制,自我评估通常定期进行(如每年一次),而KRI的计算却可以每天连续更新,从而使银行有了相对简便易行的监控手段。
(四)我国商业银行可以借鉴荷兰银行的损失数据库
荷兰银行的银行损失数据库是荷兰银行基于局域网和WEB的收集和存储所有本行由于操作风险造成的损失的全部信息的工具。其目的是建立对操作风险特性的识别、减少损失、满足新巴塞尔监管的要求及支持内部经济资本管理的要求。因此,国内商业银行可以着手建立操作风险损失数据库和设置关键指标体系。应从积累日常数据开始建立损失数据库,记录损失及其程度。在识别操作风险的基础上度量操作风险可能带来的损失,进而为操作风险配备相应的资本金。
(五)对于操作风险度量和覆盖,张连丰,金晶(2009)提出的净操作风险测度方式非常值得借鉴
他们提出应当评估下一年内发生操作错失的可能性,并扣除由于保险而减少的风险额,以此来得出总的风险敞口数额以及4类风险各自的额度(即人员、流程、技术和外部依赖),损失后果描述发生操作错失时银行可能遭受的潜在损失。由于不可能精确地衡量这些损失,因此一般是用一个按货币计值的范围(例如,5000万~1亿美元)来说明这些损失。并在操作风险损失后果的评估数中应当扣除风险的减少额。例如,事先买了保险,那就需要根据保险的金额来调整违约风险的损失后果。
也正因为保险作为操作风险缓释的有效手段,国外先进商业银行将其作为重要工具,很多的操作风险已经能够被现有的保险产品所转移,比如未经授权交易或超限额交易引起的直接财务损失保险等。这是十分值得我们国内保险业、银行业进行学习借鉴。国务院《关于保险业改革发展的若干意见》明确指出,保险是市场经济条件下风险管理的基本手段。保险产生于风险管理的要求,风险管理离不开保险,因而保险在操作风险管理中也大有可为。
可以预期,在不久的将来,保险产品将在减少操作风险中起到越来越大的作用。并且可以断言,保险产品能提供一种操作风险的价格发现方式,这样操作风险管理部门就可以根据业务管理活动估计出合理的损失后果数额。在理想状况下,也可以计算各种风险敞口之间的相关度,并将此纳入到对风险敞口的总体测度中去。
(六)对于办公、综合等后勤部门采取尽可能外包的方式
比如运押钞车、保安保卫、计算机、招待、食堂、卫生、物业甚至金库等。既大量减少人员,又通过选择优质外包达到更好的效果。这对于操作风险来讲,也是转移风险的一种形式。
另外,对重要岗位、重要人员的强制休假、强制轮岗。所谓重要岗位、重要人员,一般是指如果失误就可能带来较大损失的责任人。其中不仅包括高层管理、中层管理、基层管理干部,也包括信贷主办员、贷款下柜审核员、会计主管、会计主办员、印章管理员、密押管理员、联行人员等。
四、结束语
我国商业银行操作风险管理尚处于起步阶段,操作程序和管理制度的规范都不健全,甚至有“规则一套,做法一套”的现象。在商业银行竞争愈来愈激烈的今天,尤其是年底七家大型商业银行即将实施新巴塞尔协议的现实情况下,操作风险的防范是否能提高是我国商业银行能否在竞争中脱颖而出的关键。在这之中,内部欺诈尤其需要防范,这不仅关系到资产损失,更关系到银行的声誉损失,是值得银行特点关注的一个方面。
参考文献:
[1]刘晶晶.操作风险不可小视[J].科技智囊,2005,(5).
[2]余琼花.对防范和控制我国银行业操作风险的思考[J].科技信息,2008,(9).
[3]张连丰,金晶.论商业银行操作风险评估框架的构建[J].金融发展研究,2009,(6).
[4]毛群,翟朝晖.摩根大通银行操作风险管理对工商银行的启示[J].经营管理,2005,(7).
[5]尹培军.浅谈我国商业银行的操作风险[J].财经界,2009,(7).
[6]赵盛.浅析当前商业银行操作风险管理存在的问题及改进建议[J].现代商业,2009,(3).
[7]孙华堂.兴业银行晋江支行操作风险管理研究[D].长沙:湖南大学,2009.
[8]刘菁儒.五大缺失导致金融职业犯罪增多[J].审计月刊,2006,(12).
[9]刘睿,李金迎.商业银行关键操作风险指标构建问题研究[J].金融与经济,2009,(6).
[10]刘顶军.浅析我国商业银行操作风险问题[J].中国商界,2010,(2).