李澤楠

摘要：某外資銀行是世界較大的銀行財團之一，曾于十年前經(jīng)歷過內(nèi)控失效事件，造成巨大的損失。文章根據(jù)風險管理與內(nèi)部控制的基本理論，以某外資銀行為例，重點分析了其內(nèi)控失效的主要原因，總結(jié)其風險管控與內(nèi)部控制制度重新構(gòu)建中的主要措施和辦法，為我國商業(yè)銀行風險管理與內(nèi)控建設(shè)提供有益的啟示和參考。

關(guān)鍵詞：外資銀行；風險管理；內(nèi)部控制；啟示

某外資銀行（以下簡稱A銀行）是世界較大的銀行財團之一，曾于十年前經(jīng)歷過內(nèi)控失效事件，造成了巨大的損失。在危機發(fā)生后，A銀行痛定思痛，對原有風險管理和內(nèi)部控制制度重新梳理與建構(gòu)，找到發(fā)生危機的原因，進一步的完善和改進了操作風險的管控制度，從而獲得了新的更大的發(fā)展，其風險管理和內(nèi)控建設(shè)對我國商業(yè)銀行風險控制體系內(nèi)部控制制度的建構(gòu)具有重要的啟示作用。

一、銀行風險管理及內(nèi)部控制建設(shè)的重要性

內(nèi)部控制的基本框架源于美國COSO法案，COSO法案的內(nèi)部控制要素分為五個方面，即控制環(huán)境、風險識別、控制活動、內(nèi)部監(jiān)督和信息溝通。從控制內(nèi)容來看，該法案已從銀行對財務(wù)會計方面的控制，逐步擴展為全面風險控制。內(nèi)部控制建設(shè)要求越來越全面和具體，銀行業(yè)的發(fā)展同更加需要內(nèi)部控制，而銀行業(yè)的內(nèi)部控制又與普通企業(yè)有所不同。對于銀行業(yè)來說，風險管理則是內(nèi)部控制建設(shè)的重要方面，我國商業(yè)銀行業(yè)的風險管理主要包含三個方面的內(nèi)容，即信用風險，市場風險和操作風險。操作風險則更多地與內(nèi)部控制有著密切的聯(lián)系。銀行業(yè)的穩(wěn)定與發(fā)展除了信用及市場風險之外，操作風險也會引發(fā)巨大的損失，如交易人員操作失誤，系統(tǒng)流程不健全，資金監(jiān)管不到位等，都會對商業(yè)銀行業(yè)產(chǎn)生較大影響。因此，銀行風險管理及內(nèi)部控制建設(shè)至關(guān)重要。

二、A銀行內(nèi)控失效的主要原因分析

在中國開展業(yè)務(wù)的外資銀行并不是很多，受到的管控也較大，我國銀監(jiān)會對于銀行業(yè)合規(guī)性要求非常高。外資銀行一方面在開展個人信貸業(yè)務(wù)方面受到制約，其主要的盈利點在于投資，近年來由于中國經(jīng)濟增速放緩和銀行業(yè)利潤普遍下滑，導致銀行業(yè)更加注重內(nèi)部風險控制的建構(gòu)，防范可能出現(xiàn)的風險，只能更多地向內(nèi)部管理要效益。A銀行的主要管理部門多是把控和防范風險的部門，其合規(guī)部負責法律合規(guī)的風險把控，營運風險管理部負責把控營運中的風險，信息安全部門負責企業(yè)的信息安全和技術(shù)風險的管理。A銀行在內(nèi)控制度方面是做得比較完善的，監(jiān)督體系建設(shè)也很到位。例如永久監(jiān)督制度、業(yè)務(wù)連續(xù)性制度、信息安全設(shè)置等，各獨立監(jiān)督部門開展多道防線的控制。同時，還有不定期的相互監(jiān)督檢查、建立材料存檔證據(jù)、每月?lián)p失統(tǒng)計等等，都是A銀行重視風險管理與內(nèi)控建設(shè)的重要性的主要體現(xiàn)。我們知道，健全而有效的內(nèi)部控制對企業(yè)操作風險具有“防止”、“發(fā)現(xiàn)”和“糾正”的三大功能，因此以下從這三個方面分析A銀行內(nèi)控制失效的主要原因。

（一）從“防止”的角度看，交易人員越權(quán)操作是引發(fā)事件的導火線

在內(nèi)控制失效事件暴發(fā)前的三個時間里，股指期貨操作人員的直接領(lǐng)導——上市產(chǎn)品部的負責人開始縱容操作員的越權(quán)行為，并在主管經(jīng)理辭職離開后的一段時間出現(xiàn)了監(jiān)管間斷，在隨后兩個半月中，A銀行投行交易部沒有及時找到替代人選，上市產(chǎn)品部的監(jiān)管處于“真空”狀態(tài)：期貨監(jiān)管工具、現(xiàn)金流量表等風險監(jiān)控機制形同虛設(shè)。至危機暴發(fā)前，操作員的直屬領(lǐng)導每天只對凈頭寸風險限額進行檢查，卻沒有按照規(guī)定使用頭寸監(jiān)管工具和交易數(shù)據(jù)庫（ELIOT）監(jiān)控交易人員的活動。由于放任自流加上存在監(jiān)管的真空，風險發(fā)生在所難免，交易人員確越權(quán)操作成為引發(fā)事件的直接導火線。

（二）從“發(fā)現(xiàn)”的角度看，相關(guān)部門的監(jiān)督管理形同虛設(shè)

巨大的頭寸欺詐、頻繁的虛假交易曾引發(fā)一系列風險信號，并不斷反饋到投行交易部的上級領(lǐng)導和相關(guān)支持部門。如操作人員不成比例的收入水平、異乎尋常的現(xiàn)金流、財務(wù)數(shù)據(jù)異常、高額經(jīng)紀費用、不斷突破的風險上限、以及針對操作員的各種交易拉響了幾十次警報。這些警報分別出自包括運營、資產(chǎn)衍生品、柜臺交易、中央系統(tǒng)管理等二十多個部門的風險控制系統(tǒng)，涉及經(jīng)紀、交易、流量、傳輸、授權(quán)、收益數(shù)據(jù)分析、市場風險等各個流程和環(huán)節(jié)。而有關(guān)部門卻沒有發(fā)現(xiàn)這些警報，反映出A銀行的有關(guān)部門在這一事件中未對風險信號進行深入細致地分析，同時由于部門間缺乏有效溝通，監(jiān)管工作不系統(tǒng)、控制措施不健全也未能有效查處操作人員的欺詐交易，這說明A銀行的風險管理和內(nèi)控制度是沒有得到真正落實到位的。

（三）從“糾正”角度看，對違規(guī)交易行為未采取實質(zhì)性的處罰措施

A銀行曾于事件發(fā)生后不久對外公布了注冊會計師審計和建議的報告，對此次風險事件進行了深刻檢討。在資產(chǎn)部門交易量快速增長的背景下，資源在支持控制部門與前臺交易活動中的分配是極度失衡的；同時由于缺乏相應(yīng)的地位，后臺與中端部門的工作效率低下。信息系統(tǒng)建設(shè)也沒有跟上日趨復雜的交易環(huán)境和流程交易，當時大量依賴手工操作，操作人員的高負荷工作使得現(xiàn)有的監(jiān)控系統(tǒng)無法有效運轉(zhuǎn)，且對違規(guī)交易行為未采取實質(zhì)性的處罰措施，導致內(nèi)部控制實施執(zhí)行不到位，這說明事件發(fā)生的根源在于A銀行內(nèi)部控制系統(tǒng)建設(shè)的不完善和實施執(zhí)行的不到位。

三、A銀行風險管理與內(nèi)控制度的重新構(gòu)建

在內(nèi)控失效事件發(fā)生后，A銀行對其內(nèi)控制度采取了一系列的調(diào)整措施，進一步完善銀行內(nèi)部控制體系建設(shè)，主要做法是，在其董事會層面直接下設(shè)風險管理委員會，并增設(shè)運營風險管理部門，專門負責對銀行營運操作風險的管控。同時，該部門獨立于其他部門，發(fā)揮了監(jiān)督的職能，也就減少了監(jiān)督形同虛設(shè)的可能性。在重建的具體操作中，首先是風險識別，A銀行建立了主要有新產(chǎn)品管理制度，在新產(chǎn)品開發(fā)過程中首先確認是否可能存在風險。其次是進行風險評估，評估這些風險的發(fā)生程度如何，主要有五個方面的量度：相關(guān)財務(wù)風險、法務(wù)風險、聲譽風險、合規(guī)風險、信息安全風險。再次是看這項業(yè)務(wù)的重要性水平如何，如果重要，造成的損失會更大，則需要更多的監(jiān)督。A銀行就建立起了重要業(yè)務(wù)評估的一套流程，關(guān)鍵風險指標的設(shè)立，從而使風險評估更加清晰。最后是加強平時控制，建立了永久監(jiān)督制度、外包管理制度和重要員工強制休假制度。風險雖然不可能完全消除，但是也有必要建立風險應(yīng)急措施來保證一些關(guān)鍵業(yè)務(wù)在發(fā)生風險時，將損失降低到到最小的程度。

（一）重視營運風險防范，改變風險管控流程

A銀行營運風險管理部門主要有以下責任：GPS（小組永久監(jiān)督）、3RC（定期監(jiān)督報告）、KRI（關(guān)鍵風險指標評估）、NPC（新產(chǎn)品開發(fā)監(jiān)督）、MAM（敏感員工強制休假）、OEC（外包監(jiān)督管理）等。針對營運風險的防范，A銀行在事件發(fā)生后更加注重營運風險的管理流程重構(gòu)。如新產(chǎn)品開發(fā)制度，在推進新產(chǎn)品研發(fā)之前，需要確保產(chǎn)品已經(jīng)納入后臺的監(jiān)管框架中，避免出現(xiàn)監(jiān)管真空。同時營運風險還增加了員工強制休假的制度，針對有敏感權(quán)限的員工，需要強制其休假，以便及早發(fā)現(xiàn)問題。同時，在對平時常用的監(jiān)督的系統(tǒng)進行修改或變更刪除時，需要由經(jīng)營運風險管理部門討論后再提交技術(shù)團隊進行評估才能更改，避免了操作人員隨意修改的情況出現(xiàn)。此外，當控制的質(zhì)量無法達到相應(yīng)的標準時，則會引發(fā)系統(tǒng)警報，并逐級上傳，避免了上級部門不能及時了解危機事件可能發(fā)生的情況出現(xiàn)。

（二）不斷改良并升級監(jiān)督控制系統(tǒng)

A銀行現(xiàn)有的監(jiān)控系統(tǒng)一直都在不斷升級之中，其設(shè)計邏輯更為嚴密。系統(tǒng)觸發(fā)的警報不只上報上級主管部門，也同時向總部傳輸，這也使得監(jiān)管工作更加完善。同時對于強制員工休假也更為嚴格，當敏感員工在一定時間內(nèi)未能按照規(guī)定進行休假時，系統(tǒng)將自動關(guān)閉員工權(quán)限，阻止其進行工作，進一步減少了人為監(jiān)督造成的不足。系統(tǒng)還會對各部門進行的控制活動進行自動打分，當工作質(zhì)量無法滿足風險控制的基本要求時，系統(tǒng)會自動予以提醒，并將質(zhì)量考核結(jié)果與績效工資直接掛鉤。

（三）進一步拓展風險控制企業(yè)文化建設(shè)

A銀行在新的內(nèi)部控制系統(tǒng)重建后，更加注重拓展風險控制企業(yè)文化的建設(shè)。首先，對新員工強制要求進行安全風險意識的培訓并進行測試，以保證其具有安全風險管理的意識。其次，要求營運風險部門定期召開營運風險控制的會議，不斷提醒員工注意其可能存在的違規(guī)行為。再次，在銀行內(nèi)部各公共場所都貼有相關(guān)的風險提示文字或提示語，提醒員工時刻注意安全風險的防范。A銀行總部還會不定期地發(fā)送“釣魚”郵件，以測試員工是否真正具有風險防范的意識。最后，A銀行還制定了應(yīng)急演練措施并不定期地開展應(yīng)急演練，從而保證A銀行在發(fā)生危機時，能夠真正做到及時止損或?qū)p失降低到最小程度。

四、對我國商業(yè)銀行風險管理與內(nèi)控制度建設(shè)的啟示

A銀行在經(jīng)歷了內(nèi)部控制失效的事件后，通過重構(gòu)風險管理體系和內(nèi)部控制制度，并進一步加以完善，操作風險的防范制度和相應(yīng)措施更趨于完備，這給我國商業(yè)銀行帶來了一些有益的啟示。

（一）重視內(nèi)控文化建設(shè)，進一步加強員工培訓

內(nèi)控文化及風險文化是銀行業(yè)需要進一步加以重視的，只有對風險管理和內(nèi)部控制予以充分重視，將控制質(zhì)量與績效掛鉤，才能夠使各中后臺部門順利完成其監(jiān)督的相關(guān)職責工作任務(wù)。同時，對于重構(gòu)建和改進的新系統(tǒng)需要及時召集員工進行相應(yīng)培訓，重視對員工開展風險防范和內(nèi)控建設(shè)的文化素質(zhì)培養(yǎng)，使銀行上下對于風險管理和內(nèi)控建設(shè)都有著深刻的認識和自覺的行動。

（二）完善監(jiān)控體系及系統(tǒng)建設(shè)，進一步實現(xiàn)系統(tǒng)自動化控制

操作風險的控制是銀行業(yè)風險防范和內(nèi)控管理的重點。要做好操作風險的防范工作，除了需要增強員工的日常自我防范意識和真正落實單位內(nèi)控制度之外，更需要逐步建立和完善信息系統(tǒng)的監(jiān)控和監(jiān)督，即進行系統(tǒng)的自動化控制是更為重要的方面，也是非常重要的一種控制方法。同時，建設(shè)一套自動化程度較高的單位內(nèi)部控制體系也至關(guān)重要，當人為控制得到相應(yīng)減少時，銀行的系統(tǒng)控制的有效性就能進一步得到提高。

（三）建立各由部門人員組成的風險控制小組，減少溝通成本

一起事故或者操作風險帶來損失后，有時并不能直接判斷責任的歸屬部門。如果各部門之間無法有效交流和溝通，即難以及時找到責任部門和責任人員，那么應(yīng)對危機的速度就會減慢，嚴重影響下一步工作的開展。這就需要建立起由各部門人員組成的聯(lián)合風險控制小組，在危機發(fā)生時，負責部門監(jiān)督的人員應(yīng)當及時與監(jiān)督部門聯(lián)絡(luò)，檢查各自部門的實際情況，判斷原因問題和責任的歸屬，及時明確責任并處理問題，從而降低溝通成本，提高工作效率。

五、結(jié)束語

A銀行作為經(jīng)歷內(nèi)控失效事件并能重建內(nèi)部控制的“經(jīng)驗”銀行之一，其教訓及改善都值得我國商業(yè)銀行進行借鑒和學習，內(nèi)部控制及風險管理的重要性也需要在整個行業(yè)高度重視的監(jiān)管環(huán)境下不斷加以完善，從而保證我國金融企業(yè)的持續(xù)穩(wěn)定與健康發(fā)展。

參考文獻：

[1]田宇.法興銀行哈爾濱分行風險管理研究[D].哈爾濱理工大學，2016.

[2]于泳波，等.我國上市商業(yè)銀行內(nèi)部控制及其要素關(guān)聯(lián)性評價[J].財會月刊，2017（12）.

[3]劉瑞文，等.國有商業(yè)銀行內(nèi)部控制在風險防范上的比較性研究[J].大慶師范學院學報，2018（1）.

（作者單位：中國人民大學商學院）