对基层央行操作风险管理与控制的思考

摘要:基层央行处于传导货币政策、办理支付结算、经理国库和发行基金等业务的操作层面上,操作风险是基层央行履行职能中面临的最大风险。文章从基层央行操作风险的表现形态及其特征入手,提出强化操作风险管理与控制的对策。

关键词:基层央行;操作风险;支付结算

中图分类号:F830文献标识码:A

文章编号:1674-1145(2009)23-0171-03

自2006年中国人民银行总行印发实施《中国人民银行分支机构内部控制指引》以来,基层央行的风险管理与防范有明显加强。但是内控管理中还存在不少问题,风险不断显现,特别是操作风险凸显。当前基层央行防控操作风险迫在眉睫,这关系到基层央行资金和业务运行的安全以及职能的有效履行。

一、基层央行操作风险存在的客观性、长期性及其内涵

(一)基层央行操作风险的客观性和长期性

1.金融是现代经济的核心,中央银行的安全、高效、稳健运行对经济全局的稳定和发展至关重要。基层央行作为一个集行政管理与业务操作于一体的金融管理机构,时刻与操作风险、支付结算风险、人力资源风险、信息技术风险、声誉风险、法律风险等风险打交道,风险贯穿于基层央行整个业务活动的始终。风险存在是长期的、固有的。随着经济金融环境的改变与金融服务业务的发展与创新而不断变化,人们只能加以管理和控制。尤其是基层央行处于传导货币政策,办理支付结算、经理国库和发行基金等业务的操作层面上,工作中因“操作不当”而产生的差错随处可见,因“操作失误”带来的损失屡见不鲜。操作风险已成为基层央行履行职能中面临的最大风险,因此对操作风险管理与控制的研究尤为迫切,操作风险管理既是基层央行自身不可回避的永恒主题和重要工作,也是社会对基层央行的长期要求。

(二)基层央行操作风险的内涵

基层央行操作风险指因基层央行操作人员的业务素质差异、过失等原因,导致业务或事件不合规的可能性。

二、当前基层央行面临的主要风险及特征

(一)当前基层央行操作风险表现形态

1.内控制度有缺陷。一是内控管理制度针对性不强。部分制度是沿用以前或照搬照抄上级行或借鉴其他单位现成的规章改头换面来的,制度原则性条款多,风险识别、分析和应对的具体措施少。二是内控管理制度缺位。个别管理制度对风险点涵盖面不够,突出反应在应急处置、反洗钱、金融稳定等方面管理制度。三是制度建设滞后。例如会计、国库、发行等业务核算不断使用新系统,增加了新的风险点,制度没有随着情况变化而修改,有明显滞后性。四是激励机制和处罚机制有欠缺。近年来,各级人民银行实行以行为单位绩效考核,但对个人的业绩考核和对违规行为处罚办法及责任追究制度粗放、简单,实际工作中执行难度大。业绩与工资分配难以挂钩,处罚难到位。

2.业务流程设计有缺失。一是业务操作流程过于简化,不能反映业务操作的全过程。二是业务操作流程中的风险标识不清晰、不完善。不便于对业务的事前、事中、事后风险控制与监督。

3.业务岗位的设置和管理有漏洞。一是未按工作分工、按人建立岗位工作职责。部分工作未落实到人,未做到“事事有人管”。二是授权管理不规范,业务授权时间与业务交接时间不一致。例如会计部门负责人变动,原会计主管给新会计主管授权或无会计主管授权经办会计业务的现象。三是基层行片面追求岗位细化与人员分工,违背了内控建设的成本效益原则。加剧人员紧缺与岗位设置多大矛盾,违规兼岗的现象时有发生。特别是中西部欠发达地区基层人民银行人手紧张矛盾突出,且有不少地方采取了聘用临时工上要害岗或跨部门人员兼岗来缓解决岗位设置与人手紧张的矛盾,却由此蕴藏着业务生疏风险和极大的道德风险。四是部分要害岗位责权不清,制约失衡。五是权力监督有漏洞。特别是部门业务主管集多职于一身,容易形成权力的监督上的“真空”。例如:支行营业部主任既是会计国库部门行政负责人,也是会计国库业务主管,按有关会计制度规定,会计主管在会计对账工作中,既要负责每季度的面对面对账工作,又要承担对对账制度执行情况的监督检查。从而导致监督检查形同虚设。

4.制度执行不到位。一是重要凭证、重要物品没有严格实行领用、注销登记制度。二是对账不及时或“面对面”对账走过场。三是错账冲正、挂账不规范。四是业务交接记载的有关业务内容不完整或手续不完善。五是会计凭证审查不严。六是未设置《会计重要事项登记簿》或对重要会计事项无任何记录或登记不全。七是签交签收手续不够严密或未记载会计资料交接内容、金额。八是未经授权或超越授权的行为。九是未实行“章、印、押、证”分人专管制度。十是业务监督流于形式,“一手清”处理业务。十一是没有定期对重要岗位轮换。

5.操作风险管理文化缺失。任何组织的核心都是组织中的人员及其活动,人员的主观性、行为偏好、对待事物的态度以及品德操守、认知能力等决定着内控环境的优劣,目前基层央行内控风险管理文化缺失,内控环境有待优化。表现在:一是个别领导沿用传统的、管理粗放的管理模式实施管理。满足于现有诸多的规章制度或工作不出大问题,而忽视现有规章制度的全面性、合法性、科学性、有效性及业务隐患,甚至极个别人把制度当成应付检查的“挡箭牌”和挂在墙上的“摆设”。对业务的检查只注重结果,不检查过程。在“出现问题—解决问题—再出现问题—再解决问题”的循环过程中被动管理。二是全员风险管理理念未形成。少部分人认为内部风险控制与己无关,风险防范的参与意识和风险内控中的自我保护意识不强。操作主观随意,存在侥幸心理和麻痹思想,导致制度执行“走捷径”、“打折扣”。三是对违规行为的查处和责任追究手软、不到位。导致制度执行乏力,屡查屡犯的现象时有发生。

6.电子信息化程度的提高隐藏着高风险。一是业务应用系统不断推出和更新,与基层央行人员文化层次相对偏低、匮乏信息知识技能的现状形成反差。二是计算机数据在全行未实现集中共享,制约了对风险的实时监督。三是信息系统缺陷容易带来数据丢失、数据记录错误、系统运行不畅、数据传输失败等问题。四是信息系统管理漏洞隐患多。表现在:口令相互公开,操作员之间代开机或代操作;远程登录安全技术措施不完善;中心机房人员权限过大,约束失控;未按要求进行数据备份和实行备份异地存放。五是系统硬件风险隐现。业务系统所有数据均集中在中央数据处理器,中央数据处理器一旦遭到破坏,整个系统就会瘫痪,后果不堪设想。

7.检查监督乏力。一是监督检查不到位。检查监督大多是对会计传票、账簿凭证、登记簿的查对,且监督频率不高,不能及时发现有些问题,管理上有空档与隐患。二是监督手段落后。大多数使用传统的手工检查监督方法,对高科技引发的风险监督鞭长莫及。三是重检查监督,轻整改落实,违规问题屡查屡犯的情况突出。四是事后监督中心、内审及纪检监察部门的监督各自为政,未形成内部控制的合力。五是操作风险评价体系未建立。缺乏操作风险量化的考评指标与标准,就问题谈问题,就风险谈风险,风险评估缺乏预见性。六是监督信息沟通不畅。对问题及案件的披露范围有限,没有起到应有的提醒和警示作用。七是对违规操作行为的责任追究和处罚乏力。

(二)基层央行操作风险的基本特征

1.操作风险绝大多数与人员因素有关。人是风险管理与控制的基础。

2.操作风险很大比例上来源于业务操作,属于可控范围内的内生风险。其产生的根源,有的是因制度缺失或不完善所致,更多的是因有章不循且屡查屡犯、屡禁不止所生。可见人的制度观念,风险意识是规避操作风险的最关键要素。

3.操作风险覆盖了央行业务和管理活动的方方面面,涉及各职能部门、各项工作环节。因此对操作风险的防控是全方位的。

4.操作风险的起因复杂。既可因日常业务流程处理上的小纰漏引发,也可因蓄意舞弊或因自然灾害诱发。操作风险的防控是全过程的防控。

5.在内部操作系统稳健、技术安全可靠的前提下,业务交易量大的操作风险发生的可能性最大。故此操作风险控制与防范的重点是央行传统的“一线”基础业务。

6.随着电子信息化程度的提高,操作风险表现形式具有多样性和不可预见性。所以操作风险控制与防范的难点是信息技术风险管理。

三、控制和防范基层央行操作风险的对策

根据当前基层央行操作风险表现形态及其基本特征,我们可从以下七个方面来进行风险的防控:

(一)着力抓好基层央行风险文化建设

一要以人的管理为中心,以提高人的文化素质为基本途径,建设“内控先行、高效履职、诚信守责、审慎严谨、有章必循、违章必究”的长效风险内控文化,树立良好的道德风尚,明确员工行为规范、职业道德规范。培养乐观向上的生活态度,营造团结友好的工作氛围。激发员工爱行如家的激情,树立“行荣我荣,行损我耻”到观念。二要加强风险管理知识和内控制度的学习。把风险防控理念贯穿于业务的始终,使员工能“见危于未形,规祸于未萌”,变制度被动执行为主动推进。从而优化“全行重视、全员参与、全面覆盖、全程控制”的风险内控环境。三要强化岗位风险防范责任制。特别是要从制度明确兼职权限、风险点控制等,促使各层面的管理者和责任人不断增强责任心,各司其职。四要加强岗位培训。特别是新业务、新技能的培训,提高员工的业务水平和专业技能。五要开展警示教育,警钟长鸣,未雨绸缪。六要开展争先创优和职业道德教育活动。用正面的典型引导人、激励人,营造积极向上、充满活力、团结和睦的良好氛围,真正实现风险控制中的人文环境“协同效应”。

(二)尽快建立长效严密的内控机制

一要组织专门人员结合实际修订完善内部控制制度,整体推进内部控制上水平。注重新业务与内控制度的配套工作。服务创新业务未运行前,要深入研究制定相应的内控制度;业务运行后,对制度控制情况进行跟踪调查,及时修正补充完善。重点抓好以下几个方面的内控机制建设。一是完善法律事务管理和事前风险防范、预警机制。二是完善绩效考核机制。将风险管理指标及要求纳入绩效考核体系。建立收入与责任、业绩大小挂钩的分配制度,营造公平和谐的竞争环境。三是建立约束惩处机制。严格的违规处罚措施,实行连带责任追究制度。实行奖罚分明,充分发挥人的能动性,激励其自觉实现内控管理目标。四是建立监督信息沟通机制。利用网络、会议、内刊、板报等途径或形式收集或发送监督信息,建立起向上汇报、向下传达、平行沟通的信息渠道和内部控制监督信息库,实现信息共享。为全行风险管理提供有效的信息保障。五是建立监督评价机制。对制度执行进行监督、对制度运行效果进行评价的机制,并确保内部控制实现持续改进和不断完善。二要完善业务操作流程。以业务活动为主线,找准风险控制点,确定控制目标,明确各业务岗位设置与职责分工,提出防范措施。保证规章制度能覆盖各项业务控制的关键风险点,使各种规章制度、风险防范措施嵌入到各个操作岗位之中,依靠制度机制自动自发地发挥控制作用。三要研究制定指导性的岗位设置及职责划分意见,优化岗位整合及职责。对不相容职务进行分离,特别是要害岗位人员在业务操作中责权,防止越权决策或违规操作。严格授权管理和不相容职务兼岗、代岗管理。

(三)加强风险集中的业务部门自身内部管理与控制

一要突出关键环节、关键物件的制度的刚性管理与控制。各职能部门要按岗位职责分工和业务操作规程为主线,严格控制与管理。抓好业务操作的重要环节(会计对账、授权管理、交接手续、审批程序、电脑操作口令、票据清算环节等)、关键物件(人身、库款、枪弹、密钥、印章、重要空白凭证等)风险防范。二要强化“一线业务”的监督检查。坚持业务操作的事后检查监督,及时堵塞漏洞,防微杜渐,确保各项业务安全。三要加强对要害岗位人员的定期考核工作,严格把制度落实到业务的每一个环节中去,规范业务处理,及时发现问题,堵塞漏洞,消除隐患。四要定期组织开展自查自究和督察督办活动,把工作做深做细做实,抓落实到位。五要加大重要岗位轮换和要害岗位强制休假制度执行力度,对由于人员紧张难以执行强制休假制度的要害岗位,应开展突击检查监督,确保业务、资金的安全。

(四)强化信息技术风险防范

一要加强对计算机处理的业务数据完整性、有效性、一致性测试,堵塞漏洞与隐患,满足信息系统抗攻击的要求。二要对各类计算机系统,根据其关键性程度、敏感性程度、分层次、范围等情况,进行定期和不定期查验,以避免系统运行中的风险积聚。三要充分利用先进的计算机网络技术,从技术上进一步改进金融计算机系统运行的防范手段。采用“防火墙”技术,以防止“黑客”对网络的攻击,提高网络的安全性。四要利用信息加密技术,以防止犯罪分子对信息的窃取、篡改。

(五)积极开展操作风险评估与风险动态监测

一要遵循由表及里、自下而上及从已知到未知的原则,从业务管理和风险管理两个层面开展风险评估。二要积极探索运用自我评估、风险映射、关键风险指标、情景分析等多种方法进行操作风险的定性和定量评估,并提出相应的防控对策。三要实行操作风险定期报告制度,确保操作风险控制持续改进和不断完善。四要建立操作风险信息沟通机制。利用网络、会议、内刊、板报等途径,及时收集和发送暴露出的操作风险问题,快速传达操作风险防控的措施与方法,提高风险防控的能力。

(六)强化业务监督与督促,提高监督效率

一要坚持定期检查和突击检查。对关键部门(货币发行、保卫、国库、会计、后勤、人事、科技)、关键人(部门负责人、要害岗位负责人),进行交叉实时检查,确保业务、资金的安全。二要整合内审、事后监督、纪检、人事等内部监督检查职能,形成监督合力。三要实行监督失职责任追究制度,确保各项检查不走过场,监督落到实处。四要实行查防风险与责任追究相结合,纠正管理不善,惩处违章操作,对屡查屡犯问题实行连带责任追究。

(七)整合人力资源,优化人力资源管理

一要鉴于目前支行人手紧张的实情,建议重新调整发行库的布局设置,对距离在100公里内的发行库采取撤库合并,整合区域内支行的人力资源。同时,上收县支行货币信贷、调查统计、反洗钱、纪检监察审计等职能由中支直接承担。二要重新设置岗位和管理层次,科学设岗分责,实现人尽其才,合理兼职兼岗。三要严把多发、易发风险要害岗位人员的准入关。一方面坚持人事、纪检监察多方会审制度,把政治素质高、原则性强、工作认真敢于管理的放入到要害岗位上。另一方面加强对聘请的临时人员家庭环境和社会交往的考察,审慎聘用。四要坚持按季组织对重要岗位人员的考核,关注要害岗位人员“八小时之外”活动情况,对有大量购买彩票或炒股、炒汇等异常表现的人,要及早采取措施,调整工作岗位,防患于未然。

参考文献

[1]王一鸣,鄢莉莉.风险管理科目[M].中国发展出版社,2008.

[2]徐元铖.新形势下的金融风险管理[M].人民日报出版社,2005(第1版).

[3]张庆龙.内部审计价值[M].中国时代经济出版社,2006(第1版).

[4]田力.中央银行内部控制理论与实践[M].湖北长江出版集团,湖北人民出版社,2008.

作者简介:裴晓凤,供职于中国人民银行武汉分行湘西州中心支行,注册会计师,中级会计师、审计师。