吉宁博士观点
近年来,国内外银行业因操作风险管理不当导致重大资金损失的案件时有发生,严重威胁银行和客户资金安全。这些案件的共同特点之一,是银行内控不健全、执行不到位、缺乏应有的行为制约机制。因此,操作风险管理在银行内控制度建设及落实中有举足轻重的地位。
一、操作风险管理有“五难”
1、风险防范意识弱
认识提升难一是对存在操作风险的事实认识不到位,部分人总认为同类案件不会在本单位发生,员工间过于信任,用信任感来取代规章制度,忽视制度管人的重要性,认为一些操作风险管理不当引发的只是偶然事件,看不到其必然性。二是对执行制度的重要性认识不到位,表现在个别基层行负责人认为执行制度过于死板,势必影响业务发展,只注意短期效益而忽视违规操作损失风险。表现在部分员工认为有些制度过于繁琐、业务量大、劳动强度大,柜员间风险防范意识不强,执行制度自觉性不够。
2、人员老化兼岗多
执行到位难从目前基层行部门负责人和要害岗位人员的现状看,一是人员难到位,存在人少兼岗多现象。如会计、储蓄、事后监督都有人员配备要求,尤其储蓄所负责人,一身兼二职。二是人员老化,业务素质难适应现有岗位要求。随着网络化、信息化和办公操作现代化要求不断提升,无论年龄结构、还是人员素质上都很难适应。
3、风险分散案点多
有效控制难一是可能案发的部门多。会计结算、储蓄出纳、信贷管理等,这些部门是基层行案件多发区,肩负资金清算、库款管理、信贷资金的运行、监控、安全保卫等工作,加强对这些部门严格执行规章制度、按章办事等内控制度的执法监察显得尤为重要。二是物件控制难度大。现金、枪支弹药、密押、印章、重要空白凭证等,这些物件是酿成任何一宗金融案件必不可少的条件:有的密押、印章管理不善,被人盗用;有的账务核对不及时,致使重要空白凭证遗失而未发现;有的违反库房管理规定,存在单人操作现象;有的枪支弹药管理不严,盗用枪弹进行作案。三是环节控制纷繁复杂,主要是交接手续、审批程序、操作口令等。体现在临时性顶岗存在先交接班后登记、先办理有关业务后审批、先告知操作口令而未及时更改等,任何一个环节中细微的失误,都可能造成重大金融风险。
4、措施滞后手段弱
贯彻落实难一是内控制度难适应新形势要求。随着会计、信贷等管理和操作系统多次升级,会计数据集中、信贷业务操作和管理专业化、规范化、网络系统化要求更高,其先进的行业业务操作和服务方式,对现行基层行内部风险控制制度提出新挑战,而相应的新业务内控制度的建立相对滞后,增大了业务操作风险发生的可能性。二是检查监督流于形式,内控手段有弱化之势。首先是内部检查监督手段软化。会计、储蓄等事后监督和内部检查部门应对各项业务的合规性、正确性、及时性进行监督检查,防患于未然,但一些监督人员对此认识不足,检查辅导缺乏计划性、针对性,不能及时发现薄弱环节和漏洞,且奖罚手段软化,检查整改成效甚微。其次是内审部门监督职能弱化和力量薄弱,加之部分内审人员业务不精,监督防线不能很好地发挥作用,弱化了内审监督功能,使许多内控制度难以贯彻始终。
5、内控不严环节多
落到实处难一是内控环节控制不严。尽管银行在以往多年的业务操作和管理执行中,建立了一系列相对完善、行之有效的内控制度,但却难以落到实处,主要在重要空白凭证,印、押、证、机(编押机)管理、金库钥匙、密码指令、数据备份、会计出纳,及人员交接登记等方面,表现为交接手续简单化、业务处理“一手清”及随意性、应付性,不按章操作等,使内控制度形同虚设,弱化了业务操作过程的系统性、严密性和完整性,成为案件或事故发生隐患。二是事后监督仍依赖手工完成。由于时间和精力原因,导致一些事前控制变为事后补签,执行内控制度变成应付检查。因此,手工控制手段对计算机核算风险的控制费时、费力,作用不大,对高科技犯罪无能为力,使内部控制风险加大。
二、构建操作风险管理机制
为改变“五难”现象,可构筑操作风险管理长效机制,将操作风险消灭于萌芽。
加强前瞻性研究银行操作风险具隐蔽性、智能性、职务性、突发性和破坏性。隐蔽时不知不觉,突发时让人措手不及。要掌握其分布状态、特征及走向,常深入基层调查研究,听取一线员工意见,分析风险要害点,定期交流情况。及时修订相应的高风险点管理控制要点,突出对业务高风险点的管理监控,重视基层机构的操作风险管理,抓好案件防范责任的落实。尤其对新业务、新产品的操作风险管理要加强研究,找出隐患,分析原因,更新技术,总结经验。
建立和规范操作流程要逐步建立一套有效的风险控制制度体系,如激励机制和风险控制奖惩制度,并定期考评。同时把各项制度绘制成清晰的工作流程图,让人一目了然知道办事程序,能将工作形成的好经验固化,并通过流程图较易发现内控中的不足和风险点,从客观上减少操作风险源,减少出现技术性风险的错误或事故,并尽量将业务流程中的高风险点纳入计算机控制范围,增加后台管理能力,减少人为操作性风险。
建立系统和完整的风险控制制度,避免政出多门或救火式制度“救火式”制度往往只能防范已发生过的风险,对未发生的风险则考虑不足,这样的制度体系无论在内容还是形式上,都缺乏系统性和完整性,没有科学分类,甚至不同制度间存在矛盾或重叠现象。另外,制度太多也加大了执行的压力。为此,应建立一套规范的制度制定程序和形式规范,使各项制度形成系统性和完整性,发挥制度在有效防范和控制风险中的权威性。
切实加强人员管理要坚持以人为本,把人的管理放在突出位置。首先,加强员工思想教育,提升全员防范操作风险意识。其次,落实岗位轮换和强制休假制度,并实行对关键部位和人物的突击性审计。第三,要合理改革员工考核办法,把风险控制作为考核的重要标准之一。第四,加大对新业务培训力度,防止员工因“无知”而造成业务风险。
建立健全监督体制要努力提升检查人员的专业素质和水平,选拔业务精、能力强的员工充实监督队伍;要从实际出发,制定和完善操作风险管理检查办法,调动检查人员积极性;要提升监督检查工作的质量和效率,加快运用现代信息技术步伐,对风险隐患要监督整改过程并注重整改后的效果。
