第 1 章 绪论
1.1 研究背景和研究意义
信用风险、市场风险和操作风险分别被列为商业银行的三大主要风险。但长久以来,由于商业银行把风险管理的重点一直放在信用风险和市场风险的防范,对操作风险的估计相对不足、管理和应对措施相对欠缺。进入 90 年代以后,某些国外商业银行不断发生各种类型、数额的操作风险损失事件,在一定程度上影响了商业银行业的可持续发展,也使得银行业不断开始反思是什么原因导致了这些损失事件的发生[1]。根据 2005—2012 年国内媒体公开报道的 189 起操作风险损失事件统计,共造成经济损失约 91.18 亿元,而欺诈是操作风险发生的主要形式,占到事件总数的 89.4%,而导致欺诈发生的原因则是商业银行操作风险的内部控制不够完善,给不法分子提供了可乘之机[2]。这说明,商业银行操作风险在我国具有相对普遍和多发的特征,带来的经济破坏力巨大。2005 年之后,《关于加大防范操作风险工作力度的通知》、《商业银行风险管理指引》等文件陆续由银监会发出,我国公司治理结构和操作风险管理水平不断规范、提高。J 银行是由最初的城市信用社发展而来,J 银行在特殊历史条件下形成的,存在许多先天不足,比如:技术水平、服务手段较落后,从业人员的业务素质整体不高,并且在发展的过程中相对注重利益追求,忽视了对风险的控制,内部控制制度和人员的风险防范意识较为薄弱等,需要改进的方面有很多。
..........
1.2 国内外研究现状及评述
1997 年,英国银行家协会作为权威机构在世界上第一次提出了操作风险的定义:由技术缺陷和系统崩溃引起的,与人为失误、不完备的程序控制、欺诈和犯罪活动相联系的风险。1999 年,巴塞尔委员会在制定协议草案中将操作风险规定为商业银行的三大风险之一,地位与市场风险、信用风险相同[3]。Jack(1999)、Michael(2003)等学者从操作风险产生的业务、操作风险的诱因、操作风险与绩效波动的关系、操作风险、市场风险、信用风险的关系等方面对操作风险进行了界定;Andrew(2002)认为,商业银行为了获取收益会主动接受和承担市场风险等金融风险[4],但操作风险并不被商业银行所欢迎。Duncan(1995)最早提出了操作风险量化模型,提出根据自己提前设定的置信空间,结合由商业银行自身系统内的操作损失案例得出的银行操作风险损失的分布[5],从而计算出操作风险的 Var 值,并且据此来管理商业银行的资本配置情况,以降低商业银行的操作风险;Rockfeller、Uryasev(1999)提出条件风险值(CVaR)的概念,指的是损失额超过 VaR 部分的平均值,填补了 VaR 不能反映尾部损失信息的不足[6],另外,它也可以作为风险优化的措施。Brandan(2001)以商业银行保险或自保方式为研究基础提出建议从而减小操作风险损失、增强风险管理[7]。Anthony(2002)提倡将模型与操作风险管理相结合,操作风险模型的建立能够成为一种决策工具[8],管理层能够通过这种决策工具确定本单位能够承担的操作风险的程度;Hal、Howell(2002)提出将操作风险管理与各种责任险结合应用[9]。Carol 的贝叶斯法可以用专家的观点对信息进行提前验证[10],这种方法十分利于进行情景分析,同时也有机地结合了度量和风险管理控制的关系。巴塞尔委员会(2004)新协议中,结合《有效银行监管的核心原则》中提出的由银行风险自管的最低资本金要求、外部监管和市场约束组成的三个支柱的原则,明确指出操作风险的重要性并为其配备与之相适应的资本规模[11],从而提高资本在操作风险中的灵敏程度。
....
第 2 章 相关概念及理论基础
2.1 商业银行操作风险的理论基础
不同的机构在不同阶段分别对操作风险提出了不同的定义,以下为几种主要的操作风险界定:最早把操作定义为除了信用风险和市场风险以外的所有风险,这也是一个相对广义的定义[19];英国银行家协会也对操作风险进行了界定,主要是指由于内部人员、程序、系统的不完善或失误,或外部事件造成间接或直接损失的风险[20];第三种定义由巴塞尔银行监管委员会在 2004 年 6 月给出:操作风险是指由于不完善或有问题的内部程序、人员、系统或外部事件导致损失的风险[21]。本文采用的定义是国内比较熟悉的中国银监会 2007 年公布的《商业银行操作风险管理指引》中的定义:由于不完善或有问题的内部程序、人员和信息科技系统,以及外部事件所造成的损失的风险。这一定义中包含了法律风险,但并不包括策略风险以及声誉风险[22]。在商业银行运营的每一个环节中,都可能存在潜在的操作风险,包括经营决策、业务操作,无论是手工作业还是系统处理[23],商业银行操作风险的发生原因非常复杂、每起风险事故都有各自的特点和形式,因此,需要对操作风险进行分类,并根据不同类别进行管理和控制。2004 年,巴塞尔委员会发布《统一资本计量和资本标准的国际协议:修订框架》,该框架按照操作风险的成因和损失发生的部门对商业银行银行操作风险进行了分类[24]。
..........
2.2 内部控制的理论基础
美国 COSO 委员会在 1992 年发布的 COSO 报告中对内部控制的定义是:企业为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称[27]。该报告规定内部控制由五项要素构成,分别为:控制环境、风险评估、控制活动、信息与沟通和监测活动[28]。商业银行的运营离不开有效的内部控制制度,完善的内部控制能够保障银行高效、安全地运作,使得商业银行实现可持续的盈利发展[29]。2008 年,我国财政部、证监会、审计署等多个部门联合制定发布《企业内部控制基本规范》,该规范第五条也明确规定内部控制的五个要素:内部环境、风险评估、控制活动、信息与沟通和内部监督[30],此项规定与 COSO 委员会在 1992 年提出的内部控制五要素基本上相同。这五个要素是在借鉴国际成熟实践经验的基础上,结合我国的实际情况确立的。内部环境包括了内部控制的整个氛围,人力资源、企业文化、公司治理、组织结构等各种内部因素[31],是内部控制制度建立和内部控制措施实施的基础,是其余四个要素的基础[32];风险评估由目标设定、风险识别、风险分析和风险应对四方面构成[33],风险识别与评估主要是针对目标实施情况进行评估[34],为内控的实施指明方向;控制活动是结合具体业务事项,运用相应控制程序将风险控制在可承受范围内[35],控制措施一般包括:不相容职务分离控制、授权审批控制、财产保护控制、会计系统控制、运营分析控制、预算控制、绩效考评控制等[36],另外,在风险预警和应急处理机制上,企业也应当加大力度,制定风险预警标准,妥善处理好可能存在的突发事件[37];信息与沟通的主要任务,是使其在企业各个层级之间进行及时传递、有效沟通和正确使用,信息沟通与反馈为内部控制提供了一个有效地沟通体系,使各要素之间有效地连接起来;内部监督作为由企业各级员工共同参与实施的完整系统,是一个不断调整、逐步完善、持续优化的动态过程,内部监督应独立于控制执行的机构以保证其客观性。
..........
第 3 章 J 银行 N 支行存在的操作风险....... 11
3.1 J 银行 N 支行概况.....11
3.1.1 J 银行 N 支行简介....11
3.1.2 N 支行存在操作风险的主要业务....11
3.2 J 银行 N 支行存在的操作风险.........13
3.3 J 银行 N 支行操作风险内部控制现状.....14
第 4 章 J 银行 N 支行操作风险的评价....... 19
4.1 建立 N 支行操作风险评价模型的步骤........... 19
4.2 运用层次分析法进行操作风险的评价....19
4.3 N 支行操作风险评价结果........ 25
4.3.1 N 支行操作风险重要性指标排序....25
4.3.2 基本结论........... 25
第 5 章 J 银行 N 支行操作风险内部控制存在的问题....... 27
5.1 操作风险的内部控制流程不完善....27
5.2 操作风险的内部控制环境薄弱........30
5.3 操作风险内部控制的信息沟通与监管制度不完善........36
第 6 章 完善 J 银行 N 支行操作风险内部控制的对策
6.1 完善操作风险的内部控制流程
上文提出 N 支行单位结算账户和企业网银开户资料真实性的审核流程存在缺陷,本文主要从增加操作人员上门确认流程和客户法人亲到柜台签字同时拍照留存两个方面提高资料真实性的控制。在企业网银办理过程中,为保证法人授权委托书真实性,执行法人亲到柜台签字授权,该过程全程由监控设备录像,并增设拍照系统进行拍照,进行影像资料留存,以防日后发生纠纷。在审核单位结算账户开户的经办人身份、开户企业真实性以及法人授权委托书真实性时,增加上门确认流程,双人前往开户企业现场进行确认,亲见企业法人签写法人授权委托书,并对该过程拍照进行影像资料留存,以备日后查证。具体操作如表 6.1所示。在业务办理源头即开户时完善资料真实性审核流程,能有效防止日后业务办理时发生操作风险,防止不法分子利用虚假资料或盗取他人资料开户或办理电子银行等业务,避免发生不必要的经济损失。实行跨行开户事前审批,对跨省、市的企业开户要分别上报省分行或二级分行审批后办理。在办理异地开户时,将开户资料真实性审查上收至营业机构管辖的客户部门,由客户部门双人履行;核查时,客户部门联系企业所在地 J 行,由当地银行客户经理或客户部门指派人员参加,双人亲见授权面签并出具书面核实报告,留存相关影像作为依据。对企业无法提供法人身份证原件等重要资料的,由客户部门双人亲见法人出具无法提供身份证原件的情况说明书。由客户部门和网点负责人等对账户开立前资料的真实性审核后,在相关文件复印件上逐份签署“与原件核对一致”并签名确认。牢牢把握住开户业务双人办理、身份真实、资料齐全有效等重要环节,把风险控制在源头之外。#p#分页标题#e#
.........
结论
本文以内部控制理论为基础,并将其运用到 J 银行 N 支行的操作风险管理中,综合考量 J 银行内部控制环境和制度,分析 J 银行 N 支行操作风险内部控制存在的问题,从内部控制流程、内部控制环境、内部控制的信息与沟通和监管这四个方面提出了具体的分析和建议。本文的主要研究成果和内容有以下三个方面:首先建立 J 银行 N 支行操作风险评价指标体系,本文根据巴塞尔银行、英国银行家协会、中国银监会及 N 支行的具体情况得出风险评价指标,并对各要素建立两两比较判断矩阵,从而得出相应的权重值,判断出 J 银行 N 支行各操作风险因素中,内部控制流程缺陷风险排在首位,权重占比为 54.7%,达到了一半以上,说明内部控制流程在操作风险控制中起到了至关重要的作用,且 J 银行 N 支行的内部控制流程并不完备,并没有真正起到操作风险控制的作用;其次,信息系统缺陷也影响重大,权重占比达到了 24.41%,由此说明 J 银行 N 支行的信息科技系统并不完善,存在技术设备落后、信息系统设计缺陷等问题;最后,内部人员违法违规风险、外部欺诈风险、系统失灵风险、操作失误风险等也是 N 支行存在的操作风险。以上评价为后文进行操作风险的内部控制分析提供了方向,对重点因素相应的内部控制存在的问题进行深入探讨,从而提出相应的解决对策。
.........
参考文献(略)
