邮储银行操作风险内部控制的完善

　　作为特殊的金融企业，商业银行的兴衰存亡牵系着无数家庭、企业乃至国家的利益，直接或间接的渗透于每一个人的生活之中。在外部监管和自身发展双重动力驱使下，商业银行逐渐将操作风险的管理作为内部控制工作中的重要内容之一。

　　巴塞尔委员会将商业银行面临的风险分为:信用风险、市场风险、操作风险、法律风险、国家风险、流动性风险、声誉风险、战略风险，其中信用风险、市场风险、操作风险占最前列，并称商业银行风险“三巨头”，操作风险以其较大的损失程度和较高的控制难度日渐引发界内人士重点关注。

　　一、操作风险的评估

　　（一）操作风险的内涵

　　操作风险，是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。根据巴塞尔委员会的规定，操作风险包括法律风险，但不包括声誉风险和战略风险。操作风险具体可分为人员因素、内部流程、系统缺陷和外部事件四个类别。

　　1.人员因素

　　操作风险的人员因素是指因商业银行员工发生内部欺诈、失职违规，以及因员工的知识技能匮乏、核心雇员流失、违反用工法等造成损失或者不良影响而引起的风险。如内部员工故意骗取、盗用财产或违反监管规章、法律或公司政策导致损失，或员工因过失没有按照雇佣合同、内部员工守则、相关业务及管理规定操作或者办理业务造成的风险等。

　　2.内部流程

　　内部流程因素引起的操作风险是指由于商业银行业务流程缺失、设计不完善，或者没有被严格执行而造成的损失，主要包括财务/会计错误、文件/合同缺陷、产品设计缺陷、错误监控/报告、结算/支付错误、交易/定价错误六个方面。常见的情况有：财务制度不完善、未按规定审查客户的信用等级、结算支付系统失灵或延迟等。

　　3.系统缺陷

　　系统缺陷引发的操作风险是指由于信息科技部门或服务供应商提供的计算机系统或设备发生故障或其他原因，导致商业银行不能正常提供全部/部分服务或业务中断而造成的损失。系统缺陷引发的风险包括系统设计不完善和系统维护不完善所产生的风险，具体表现为数据/信息质量、违反系统安全规定、系统设计/开发的战略风险，以及系统的稳定性、兼容性、适宜性方面的问题。

　　4.外部事件

　　商业银行是在一定的政治、经济和社会环境中运营的，经营环境的变化、外部突发事件等都会影响其正常的经营活动甚至造成损失。外部事件可能是内部控制失败或内部控制的薄弱环节，也可能是外部因素对商业银行运作或声誉造成的“威胁”。外部事件包括第三方故意骗取、监用财产或逃避法律的外部欺诈，由于战争、征用、罢工和政府行为、公共利益集团或极端分子活动而给商业银行造成的损失的政治风险，火灾、洪水、地震等自然灾害。

　　（二）操作风险的评估方法

　　操作风险评估方法众多，主要有自我评估法、损失分布法和风险地图法等。其中，自我评估法运用最广泛、成熟，广为国际先进银行采用，成为操作风险管理不可或缺的重要手段。操作风险自我评估大致分为以下几项内容。

　　全员风险识别与报告，即发动全员积极识别岗位中的风险点，并提出相应的控制措施；流程分析、风险识别与评估，即成立自我评估管理部门，识别流程中对经营管理目标和操作风险控制目标产生明确负面影响的风险点，并做警示；控制措施的评估，即不断重新检测以往识别出的操作风险，逐一分析是否存在有效可行的控制措施，明确现有的措施能否满足当下操作风险管理的要求；制定并实施风险控制优化方案，即根据以往对操作风险的风险点和控制措施的初步评估，制定并实施对上述操作风险的改进和控制优化方案；自我评估报告与日常监控，即各部门完成自我评估后，逐级汇总上报，以建立操作风险事件数据库，并加强日常监测和管理。

　　二、邮储银行操作风险内部控制的完善

　　有关内部控制的定义众说纷纭，但大同小异，引用较多的是 COSO 委员会给出的解释：内部控制是由企业董事会、经理当局以及其他成员为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。

　　随着整个社会风险意识的逐渐增强，外部监管部门对商业银行的监管力度不断加大，各大商业银行对自身的控制也日益深入，并取得初步成效，能否及时把控操作风险成为内部控制是否有效的关键因素。众多银行在操作风险管理上各有千秋，无特定标准，现以中国邮政储蓄银行（以下简称邮储银行）的内部控制为例，阐述操作风险管理在商业银行内部控制过程中的重要性。

　　（一）邮储银行在内部控制过程中取得的成效

　　2007年3月6日，邮储银行在工商局注册成功，注册资本200亿元人民币。2007年3月20日，邮储银行在北京人民大会堂挂牌成立。成立后，邮储银行积极拓展业务范围，吸收公众存款、发放贷款、办理结算业务、代理基金、国债等中间业务。伴随着发展的步伐，邮储银行未曾忽略合规经营的方针，一度将内部控制工作放在首位，尤其是操作风险的管理，初步取得了一定成效。

　　1.人员管理

　　每个人都具有独立的思考能力和行为能力，如果员工的消极思想作祟，会给商业银行带来直接或间接的不良影响。邮储银行在制定严格的职工守则同时，积极开展各种知识讲座和法律大讲堂，试图从提升员工的个人素质出发，从根源上杜绝内部人作案或内外勾结作案。

　　2.内部流程管理

　　贷款业务是商业银行的主营资产业务，也是商业银行主营业务收入的重要来源，然而因为贷款合同、抵/质押合同的瑕疵而使借款人投机钻空，导致银行蒙受损失的案件屡见不鲜。邮储银行在防范因内部流程缺陷而导致操作风险的工作中采取双管齐下的方式，外部聘请资深法律专家为其担任法律顾问，内部设置专门的法律合规部门开张风险把控，最大限度地将风险扼杀在萌芽。

　　3.系统管理

　　作为发展中的商业银行，邮储银行与四大银行仍保持较大差距，但作为学习型组织，其在不断研发和更新各种内部操作系统，意图用较严密的计算机编程代替繁琐的人工操作，节省人力物力，同时避免人为失误导致操作风险。邮储银行各个层级都拥有长久合作的软件开发公司或专业人士，便于在研发新系统时确定与已有系统更好地对接和兼容。

　　4.外部事件管理

　　商业银行是大量现金的聚集地，因此易招致不法分子企图实施盗抢、欺诈或洗钱等行为，邮储银行也据此制订了多种应急预案，并定期开展防抢演习，让职工在表演中掌握求生和保护公众财产的技能。邮储银行要求每个现金库存区域必须配置防盗、防火、防洪、防虫等设备，有效保障公众资金安全。

　　（二）邮储银行在内部控制过程中的不足

　　1.人员管理方面

　　目前邮储银行仍处于创业阶段，虽然前台网点人员基本可以满足岗位专职，但中台及后台普遍岗多人少，多数员工身兼数职，无法落实精细化管理的方针，部分员工因无法长期承受高负荷脑力劳动而选择跳槽。邮储银行员工的平均薪金与同业相比差距较悬殊，这也是核心雇员频频流失的一大原因。

　　2.内部流程管理方面

　　从全国范围来看，邮储银行内部业务流程未能达成或无法严格执行统一标准，此类问题普遍发生在风险较大的前台操作流程中，如办理贷款业务未按照章程严格要求借款人出示相关证照的原件导致骗贷的风险。部分员工尚未能深刻认识自身行为存在的风险隐患，如部分需要逐级审批授权的业务，级别较高的员工将操作工号及密码随意告知基层员工，由其一人操办多人的授权审批，一旦资金出现问题，各级人员都将负有重大责任。

　　3.系统管理方面

　　因成立时间较短，邮储银行的系统缺陷尚不明显，但是潜在的风险不断冒出：网上银行交易出现拥堵时，短信验证码发送迟缓或界面跳转缓慢；切换新系统旨在用计算机替代人工，但因设计不周全，导致资金时有不能及时到达收款单位和个人的现象；从客户提出新的需求到系统研发，耗时较长、流程繁琐，研发人员和行内人员未能做好及时充分的沟通。此类操作风险极易导致客户失去继续与其合作的耐心和信心，从而渐渐流失。

　　4.外部事件管理方面

　　较内部因素而言，外部事件的控制更具不确定性和随机性，虽然邮储银行制定了大量的防范风险举措和应急预案，但并未逐一跟踪，实时落实，基层员工尚不知晓某些紧急情况发生后应如何应对，未曾对外部盗抢等事件提高警惕。因而，管理人员耗时耗力编制的多数预案并无用武之地，名存实亡。

　　（三）建议

　　1.人员管理方面

　　核心雇员大量流失促使邮储银行在人员管理与安抚上应更具人性化，丰富员工业余生活，适当提高员工薪金及福利。此外，可通过精神和物质激励并用，最大限度激发员工爱岗敬业的精神。

　　2.内部流程管理方面

　　倘若能够从总行层级建立统一的内部流程，个别地方特色业务由地方行建立明确的章程进行规范操作，使全行达到事事有章可循、制度执行到位的标准，可积极避免因流程缺漏导致的操作风险，从而致使内部控制更加可行有效。

　　3.系统管理方面

　　鉴于邮储银行在启用新系统后曾多次出现意外，未能按照预期进行运转，建议研发和使用新的操作系统前，尽量完善调研工作，全面掌握客户的各项需求，将抽象的需求融合为一个具体的概念，并详细将需求陈述给技术研发人员，动态跟踪研发进展，随时调整不足和缺漏。避免系统形成之后，在使用中带来不便和资金风险。

　　4.外部事件管理方面

　　外部事件的不确定性和随机性决定了指派专人负责外部事件的应急处理跟踪极为必要，如妥善处理客户投诉、对网点进行安全检查、对现金及凭证库房进行防火、防盗、防抢设备检查等，对不符合要求的，责令立即整改并要求设施马上到位。

　　三、总结

　　邮储银行作为正在飞速发展中的商业银行，其内部控制的成效和不足在同类商业银行中具有一定的代表性，并能折射出已经发展较成熟的商业银行的现状。金融监管当局对商业银行的监管必不可少，但商业银行内部控制工作，尤其是操作风险管理工作仍需一段漫长的过程。

　　参考文献：
　　[1]中国银行业从业人员资格认证办公室．风险管理[M]．北京：中国金融出版社，2012．
　　[2]巴曙松．巴塞尔新资本协议研究[M]．北京：中国金融出社，2013．
　　[3]COSO.Enterprise Risk Management-Integrated Framework[R]．
　　[4]Nige1 J.Cutland, Internal Controls and RelaxedControls[J]．Journal of the London MathematicalSociety,2006(1):130-131．
　　[5]王留根．商业银行内部控制评价综合模型构建[J]．财会通讯，2010(5):111-113．
　　[6]李献平．商业银行风险控制水平测度研究[J]．财会通讯，2011(5):145-146．
　　[7]熊朝旭，祝维亮．我国银行内部管理强化对策探讨[J]．财会通讯，2013(1):78．
　　[8]虞伟健．基于定量数学模型的商业银行内部控制评价研究[J]．财会通讯，2011(1):18-20．
　　[9]兰柏超，陈晓慧．风险导向的商业银行内部控制模式研究[J]．中国注册会计师，2011(6):74-76．
　　[10陆媛，张同健．国有商业银行内部控制与风险控制的相关性研究[J]．财会通讯，2011(1):31-32．
　　[11]蒋慧萍．建立我国商业银行内部控制系统若干问题的思考[J]．金融经济，2012(3):53-54．