从内部审计角度浅析商业银行柜面操作风险的防范
开篇:润墨网以专业的文秘视角,为您筛选了一篇从内部审计角度浅析商业银行柜面操作风险的防范范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:中国银行业监督管理委员会高度重视金融案件防控和专项治理工作,而商业银行柜面操作风险又是案件防控和专项治理的重中之重。本文结合笔者工作实践,对银行柜面操作风险的主要内容和成因进行了分析,并从商业银行内部和外部监管两个层面提出了建议,具有一定的现实意义。
中图分类号:F832.33 文献标识码:A 文章编号:1003-9031(2010)05-0086-03DOI:10.3969/j.issn.1003-9031.2010.05.22
商业银行柜面操作风险防范一直是银行监管部门及商业银行内部案件防范的重中之重,笔者根据自身工作实践并结合柜面业务审计情况,重点对审计发现问题产生的原因进行了深入分析,从商业银行内部管理及外部监管两个层面提出了相应的管理建议,从而对商业银行柜面操作风险防范进行了有益探讨。
一、银行柜面操作风险审计的背景及目的
根据《巴塞尔新资本协议》对操作风险的定义,银行柜面操作风险可分为四方面:一是业务流程设计不合理和流程执行不严格等因素引起的操作风险;二是操作失误、违法行为(员工内部欺诈/内外勾结)、违反用工法、关键人员流失等因素引起的操作风险;三是系统失灵和系统漏洞因素引起的操作风险;四是外部欺诈、突发事件以及银行经营环境的不利变化等外部事件引起的操作风险。[1]
近年来,中国人民银行、银行业监督管理委员会等监管部门相继下发了《商业银行操作风险管理指引》、《中国人民银行 公安部关于切实做好联网核查公民身份信息有关工作的通知》、《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》、《关于加大防范操作风险工作力度的通知》、《进一步加强中小商业银行操作风险防范的通知》等相关规定,均对柜面业务操作风险防范提出了明确的要求。商业银行的内审部门应定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作风险管理体系运行效果的评估情况。[2]
柜面操作风险审计是围绕上述各监管部门针对柜面业务操作风险管理的要求,对柜面操作主体(柜员)、操作客体(业务凭证)、操作工具(计算机)、操作流程、操作环境进行分析检查,发挥管理审计职能,对操作风险产生的原因进行深入分析,并对被审计单位提出有价值的审计建议,以改善其柜面经营管理水平,提高经济效益。
二、银行柜面操作风险审计发现的问题及原因
(一)对柜面操作人员定位、培养、激励存在缺陷
柜员作为柜面操作的主体参与柜面业务经营全过程,其切身感受对于管理者具有很高的参考价值。但现实工作中由于管理者对柜员定位不足、成本限制等因素,对柜员的综合素质的培养不足,造成柜员在操作过程中出现一系列无意识的违规、违纪。金融机构应根据《银行业金融机构从业人员职业操守指引》要求,将从业人员遵循职业操守情况纳入合规管理和人力资源管理范围,定期评价,建立可持续的评价和监督机制。[3]
1.将柜员简单定位为操作人员。目前各家银行为实行流程再造,集约使用资本、提高效率,大力推行小前台、大后台的集中业务系统经营模式,因此有人认为前台柜面即是简单操作,对新柜员岗前培训不足、草率上岗,结果造成“师傅简单领进门、修行完全在个人”的局面,即不利于规范操作习惯的养成,也不利于后备人才的培养。
2.对一线员工重检查轻辅导。审计过程中发现,运营管理部门高度重视对会计业务的检查,并在各家银行分行运营管理部门专设检查岗位进行地毯式检查,但对于规章制度下发后操作的可行性和柜员操作是否顺畅缺乏辅导,有些问题到检查提出后柜员才知道是不合规操作。
3.对一线柜员的意见忽略。审计访谈过程中发现,部分素质较高的柜员对于操作流程中存在的问题是十分清楚的,有时甚至主动提出很多解决问题的想法,但作为管理者忽略调动这部分柜员的参与管理的主观能动性,造成基层信息难传达至管理层。
(二)制度杠杆指挥乏力
规章制度是作为操作主体(柜员)日常行动的指挥棒,但审计中发现,因有些制度规定不足而使柜员对制度理解产生偏差,造成柜员操作无所是从或违规操作,并存在有时因制度的规定不明确,对于柜员操作是否合规无法下审计结论,只能以风险提示的方式对被审计单位进行问题揭示。
1.存在某些规章制度中规定用语指定不明。如制度中“原则上、定期进行”等字样给制度使用者发挥想象空间,造成制度规定在操作过程中走样。且部分规章制度下发后,部分分、支行仅照搬总行的指导意见,没有根据其管辖范围内的实际情况制定实施细则,造成个别制度规定执行不到位。
2.制度规定存在漏洞。在审计过程中经常发现因为制度制订中缺少从流程中综合考虑问题,对个别介于部门间的问题存在无人问津、无人管理的漏洞,个别问题甚至长期存在,当问及责任时,各个部门都认为尽职尽责,各司其职,对业务操作的狭缝接口处管理存在断档。
3.制度制订缺乏操作性。如个别制度仅在管理者的角度进行风险控制,没有充分考虑制度在柜面操作过程存在哪些障碍造成不得不违规操作;如对于个别业务系统上线后,要求各分行一律配备不得兼岗的人员,致使分行作为执行者如考虑严格岗位分离则可能造成资源闲置,如果没有严格进行岗位设置则必然造成违规问题。
4.制度补丁过多,不成体系。作为柜面操作的管理者,具有义务责任发现规章制度的不合理处,并应及时修订原制度,但现行大量的规章制度常常出现“以前下发的规定与本规定不符的以本规定为准”的语句。有时柜员操作人员一边操作一边发现制度规定差异,即影响工作效率,又存在制度执行不准确的风险,而且不利于新上岗柜员对制度的系统性掌握。
5.制度传达落实不到位。一是产品销售与对应管理办法下发不同步,常出现柜面对外销售产品办理业务,而后台制度还没下发的状况;二是传达不到位,在现场审计中发现分管行长批示已到管理部门,但由于管理部门与操作部门管理职责不清,制度没有下发到位,审计时才知此文件规定。
(三)计算机流程设计、管理不合理,风险控制技术应用不足
计算机信息技术已基本覆盖了银行的柜面全部业务操作,但审计过程中发现,存在对计算机应用不合理,信息资料使用不当、业务整合管理力度不足等现象,造成柜面操作工作效率低下,操作风险增加。
1.业务系统种类繁多,管理成本高、风险大。银行柜面操作涉及核心操作系统、集中业务系统、外挂系统以及外部监管部门辅助查询、报备系统等。据统计,有的商业银行至少有20多个系统,给银行柜员管理派生出较大的管理成本和风险。一是不同级别的柜员可能同时操作多个不同系统,密码管理给柜员的日常记忆造成极大的不便,即存在风险、影响日常操作,也直接影响了现场审计的效果;二是各类登记存在本少登、漏登、误登操作员号的现象,一旦出现问题可能存在责任不清;三是因柜员号及密码的空间移动不可控性,不可避免的出现柜员的管理不善,柜员号交由他人使用的情况。
2.业务流程设计不合理,人性化不足、效率低下。流程管理是银行柜面运营操作管理的重要方面,现各家银行相继引进流程再造、6S管理、ISO9000认证等项目管理手段,但在具体实施时对系统管理、业务流程管理、组织架构、制度规定的综合考虑不足。在进行审计符合性测试时发现,因业务流程设计不合理的原因,造成个别业务柜员逆程序操作、绕开规定程序操作的现象时有发生。主要表现为:一是部分业务为控制各项风险点,造成个别简单的业务处理流程多、环节多、手续多、授权多等现象,增加柜面负担,效率低下,造成柜面更加忙乱,风险并没有得到实质把控。二是对人体行为的物理设计不合理,造成柜面操作行为过程的时间浪费。因柜员对一笔业务处理包含接待客户、信息输入、验印、请主管授权、联网核查等多个动作环节,因空间设计不合理,柜员在不同的空间范围进行转移、等待,造成效率低下。三是系统本身设计统筹考虑不足,如一笔简单的柜面存取现金业务,存在一次为客户打印一张回单,再次为银行打印一张记账凭证,时间多占用了一倍,尽管从单笔业务看不出占用多少时间,但从累积的工作量计算存在明显效率低下问题。
3.计算机对业务操作过程的风险控制不足,整体协防功能尚不突出。为控制柜面操作风险,目前银行内部管理部门十分重视加强对计算机系统操作结果的检查、核对,而对于过程操作的实质性风险控制不足;部门业务经事中监督、事后监督人员、检查辅导人员层层检查,但还是出现大量的风险案件。一是对运营操作过程风险控制不足,部分重要业务未强制纳入计算机控制。主要表现:对柜面业务印章、密押器、密押卡等结算机具没有纳入计算机系统进行使用过程控制管理;印鉴变更、外部函证业务未纳入计算机系统控制;支付业务未强制通过验印,账务处理对重要要素没有作为必输项,无谓地增加事后查证、补录工作量;多种万能交易的存在,为柜面变通操作提供了可能等方面。二是对于违规操作的预警信息即时信息提示不足。如账户信息管理在系统设计阶段没有建立强制的账户信息采集功能,造成柜面操作的随意性较大,组织机构代码证、营业执照、法定代表人及财务人员的身份等信息录入不全,事后庞大的数据要靠柜员从原始的开户资料中去查找,柜员甚至要建立手工的登记台账进行逐户管理。导致一方面风险预警不及时,另一方面严重增加柜面人员的工作负担。
(四)外部印证信息来源严重不足,反欺诈手段落后
在现行社会征信体系欠发达的情况下,组织机构代码证、营业执照的真实性查询途径不通畅,柜面人员对开户资料的审核只停留在对资料的完整性、表面合规性,造成柜面操作风险可控性严重不足。
三、柜面操作风险审计的整改设想
从上述分析可看出,柜面操作风险应解决柜面操作的主体、操作环境、支撑保障、有效管理等问题,审计的整改问题是银行内部系统性管理、社会支撑体系的问题,所以应从银行内部、监管机构共同做好这项工作。
(一)从银行内部管理入手,提高对柜面操作风险审计发现问题的整改质量
1.根据实际情况推进柜面业务操作风险管理架构流程再造。针对业务流程,对柜面操作的主体、操作工具、操作流程、操作依据等进行空间整合,从管理学、组织行为学角度分析、解决柜面业务操作风险的控制问题。如考虑指纹认证技术对柜员身份识别,解决当前柜员卡使用保管的普遍问题;以短信通知加综合对账系统对账的方式可大幅提高银企对账效果,彻底改善银企信息沟通。
2.发挥管理岗位的主观能动性,转变工作思路,加强调研分析。充分认识管理的意义,注重制度制订与业务操作协调一致,加强与合规部门、科技部门、内控管理部门的沟通交流,理顺业务流程中存在操作繁杂、风险控制不细致的现状,不断提升业务管理水平。如在账户开户的同时可考虑将银企对账的责任和义务与客户以协议的方式进行划分,让客户了解银企对账不是银行单方的责任,即可提高客户对账的主动性,又可降低银行风险。
3.充分发挥柜面一线操作人员参与管理的积极性,提高整改效果。端正思想,正确定位柜面人员的操作职能,建立柜面操作安全理念,充分调动柜面一线操作人员的参与管理的积极性。
4.构建新柜面操作风险发现问题的整改机制。现从外部监管部门、银行内部运营管理部门、合规部、审计部、案件专项治理工作组也在进行检查,过多的检查大量耗费了经营单位及柜面人员精力和成本,有些问题仍是屡查屡犯,问题的关键就是整改措施不当。因此,一是内部高层应高度重视,建立整改工作委员会;二是明确各部门在柜面业务操作风险管理中的定位和职责,理顺董事会、高级管理层、操作风险管理部门、业务部门、内控部门、审计部门的职责定位;三是重视审计提出的建议,作为银行的审计人员接触业务流程的全过程,听取建议多,最能系统性了解一线柜面操作风险及漏洞。
(二)发挥监管当局参与柜面风险防范管理的作用,为银行合规操作创造公平的竞争机会以共同防御风险
1.建立监管当局与内部审计部门的长效沟通机制。对于监管当局可定期组织银行内部审计部门进行沟通交流,共同探讨风险,开阔内部审计人员的视野,共享审计发现与整改措施,以达到监管者与自我监管者对审计发现结果应用效果的最大化。
2.监管部门应提供一个公平的竞争环境。如针对应市场而生的开户、账务处理的各类中介公司,作为柜面人员是很难识别的,可能出现一个银行不能办理而在另一个银行可以办理的情况,造成服务与风险掌握两难选择,因此监管部门应建立禁止或准入机制,加强统一管理。
3.对新的技术工具的出现应予以制度支持。随着银行柜面电脑验印技术、电子密码系统等先进技术工具的推出,为银行改善柜面业务风险控制现状提供了全新的手段,相应的《支付结算办法》、《票据法》等制度应及时进行修订,以对我国银行业柜面业务技术防范提供法律、制度保障。
4.发挥社会机器的管理协调作用,提高各监管部门的配合工作力度。如对于开户资料,工商行政管理部门、技术监督局应提供相关信息查证;对于对开户单位印章应能与公安机关建立联网核查的制度等,以进一步防范风险。
参考文献:
[1]巴塞尔银行监督管理委员会.巴塞尔新资本协议[Z].1998.
[2]中国银行业监督管理委员会.商业银行操作风险管理指引[Z].2007.
[3]中国银行业监督管理委员会.银行业金融机构从业人员职业操守指引[Z].2009.