浅议我国商业银行操作风险的法律防范

摘要:我国正处于特殊的转轨时期,国有商业银行总体与西方发达国家商业银行的差距很大,主要表现在产权制度、公司治理结构等方面存在严重缺陷,商业银行违规经营和欺诈腐败事件频频发生。①由于我国的金融市场尚不发达,所以操作风险事件类型较为单一(主要表现为内部欺诈)。但是,随着我国金融创新的程度进一步加大,金融放开过程中可能产生的操作风险不容小觑,为避免巴林银行、兴业银行等国际上重大操作风险带来的损失,我们应该完善防范操作风险的一系列制度法规,防患于未然。

关键词:商业旅行;操作风险;法律防范

中图分类号:DF414 文献标志码:A文章编号:1673-291X(2010)29-0147-02

一、我国商业银行操作风险监管的法律体系

(一)商业银行操作风险监管的发端――建立商业银行内部控制制度为核心的监管方式

20世纪90年代以后,中国陆续颁布了《中华人民共和国商业银行法》、《中国人民银行信贷资金管理暂行办法》、《贷款通则》等法律、法规、规章及规范性文件。当时对操作风险的控制是以强调“双人原则”为基本手段,以坚持复核为特征,以控制目标为主,账平表对和会计“六相符”的内部控制制度。2000年中国证监会的《公开发行证券公司信息披露编报规则》中第1、3、5号,要求上市商业银行等金融机构建立健全内部控制制度。2002年中国人民银行公布实施《商业银行内部控制指引》,首次对内部控制进行明确并提出内部控制五要素。内部控制的目标是防范经营中的风险,包括操作风险。

(二)正式提出操作风险的概念和监管范围

2005年3月,中国银监会出台第一个以操作风险为主题的《关于加大防范操作风险工作力度的通知》,即“十三条”,标志着中国银行业操作风险管理与监督体系的形成。我国对操作风险的监管基本上从一开始就与国际惯例接轨,这也是后发国家的优势所在。

针对当时银行业频发的以操作风险为主的大案要案,2006年中国银监会又了《关于进一步加强案件风险防范工作的通知》,2008年,中国银监会针对中国银行从业人员职业操守,制定了《银行业金融机构从业人员职业操守指引》,目的在于从源头杜绝操作风险事件的发生。

(三)商业银行操作风险监管指标的建立与操作风险监管指引的形成

2005年底,银监会又出台《商业银行风险监管核心指标(试行)》,正式确立了把操作风险监管纳入风险监管的核心指标体系中,表明操作风险监管由单纯的定性监管向定性与定量监管结合的方式转变。2007年,为进一步完善对操作风险的监管要求考虑,在相继出台有关内部控制、合规等指引之后,又《商业银行操作风险管理指引》,对操作风险提出了更加全面的监管指引。由此,银监会就对商业银行面临的三大风险:信用风险、市场风险和操作风险的监管有了一套较完整的法规。②

二、我国现存操作风险法律体系存在的主要问题

当前,中国对操作风险的监管尚处于初级阶段,一般以建立内控制度为主,通过定性的规定来达到控制操作风险的目的。但是我国的内控制度建设仍然存在较多缺陷,具体体现在以下几个方面。

(一)业务开拓与内控制度建设缺乏同步性,特别是新业务的开展缺乏必要的制度保障

在涉及操作风险监管和内部控制制度建设的相关规范性文件中,涉及“新业务”的条款只有两项,一项出现在《商业银行内部控制指引》的第22条,要求商业银行设立独立的法律事务部门,对新业务的推出进行法律论证,确保各项业务的合法和有效;另一项则出现在《商业银行操作风险管理指引》的第13条,要求商业银行选择适当的方法对新产品和新业务进行风险评估。

金融创新是不可逆转的趋势,而配套的内控制度如果不能及时跟进的话,操作风险就会不可避免。监管当局应该加大金融创新过程中的内控制度研究,并提供详细的新业务评估指引。尽管《商业银行操作风险管理指引》的第13条也要求商业银行对新业务和新产品进行评估,但是没有具体的方法指引。而法律论证的目的也只是保证不与现行法律规范冲突,并没有提出风险的预测和防范措施。

(二)控制不足与控制分散并存

控制不足主要体现在对商业银行所属分支机构控制不力,以及对决策管理层也缺乏有效的监管;而控制分散体现在对业务人员的监督较多,规定重复冗余。

1.对所属分支机构控制不力

在《商业银行内部控制指引》的142个条款中,只有9处提到了“分支机构”的字样。其中第18条规定,商业银行应当利用计算机程序等现代化手段,锁定分支机构的业务权限,对分支机构实施有效的管理和监控。第58条要求,对分支机构的资金业务定期进行检查,对异常资金交易和资金变动应当建立有效的语境和处理机制。未经上级机构批准,下级机构不得开展任何未设权限的资金交易。第132条就“督促各业务部门、分支机构建立和健全内部控制”。第136条和137条仅仅提到分支机构应该及时纠正内部控制存在的问题。在《商业银行内部控制评价试行办法》中,只在“组织与实施”一章中说明了银监会对于分支机构检查的频率和覆盖范围。而《商业银行操作风险管理指引》中我们没有看到一条关于分支机构内部控制的规定。

应该说《商业银行内部控制指引》注意到了分支机构可能存在的越权行为,因此,在指引中明确提出下级机构不得越权,上级机构要进行定期检查。但是问题就在于,监管机构注意到了问题的存在却没能提出专门针对分支机构内部控制如何建设的意见,如何控制分支机构高级管理层与行内职工出现“一致性道德风险”,如何在上级指定的考核机制与分支机构的风险控制出现冲突时能够确保分支机构以控制风险为主而不是铤而走险,又如何保证上级行的命令传递到下级行而不被扭曲,分支机构到底应该怎样建立内部组织治理来完善内部控制制度等并没有在该文件中找到满意的答案。

2.对高层管理人员监控不足

我国对高级管理人员的监控不足这一点与巴塞尔委员会关于操作风险和内部控制的规定相似。但是国外对高级管理人员的约束是建立在完善的公司法人治理模式基础上的,因此在对操作风险的防范就针对了它的特殊性:业务人员的内部欺诈;我国在借鉴相关国际惯例时却忽略了自身的特殊情况。

《商业银行操作风险管理指引》①的第6条规定了董事会的职责:制定适用于全行的操作风险管理战略,并监督高级管理层对操作风险的管理,对操作风险承担最终责任;而第7条直接规定了高级管理层的职责主要就是执行董事会的决策;第16条规定重大操作风险事件应当向董事会、高级管理层和相关管理人报告。

我们着重来看一下第8条涉及的操作风险的内部控制组织安排。该条要求商业银行指定专门部门负责全行操作风险管理体系的建立和实施,并且要求该部门与其他部门保持独立。但是,该条第一款规定:该部门负责“拟定本行操作风险管理政策、程序和具体操作流程,提交高级管理层和董事会审批”;第七款规定“定期向高级管理层提交操作风险报告”。首先,对该条的第一个疑问是:监管当局要求商业银行设立独立于其他部门的操作风险管理部门,负责全行操作风险的管理,那么这个部门应该在总行的组织结构中,所以似乎就免除了分支机构设立该部门的必要。但是,分支机构就不需要这样的部门了吗?我们知道,分支机构恰恰是操作风险的滋生地。其次,要求该部门独立于其他部门,但是制定的政策却要经高管和董事会批准,定期还要向高级管理层做操作风险的管理报告,那么,如果恰恰是高级管理层出现了内部欺诈问题,应该向谁报告呢?通过前面的分析我们已经了解到,我国的内部欺诈问题主要发生在基层商业银行的管理层,那么,即使基层商业银行建立了这样的职能部门,结果也只能是管理层的行为不但不能得到有效的约束,而且还变相加强了管理层对业务人员的控制,可能形成全行集体欺诈的危险。

在《商业银行内部控制指引》中,我们也没有看到对高级管理层管理操作风险权力的监督控制和绩效评价的明确规定,风控过程更多的是在管理层“审慎尽职”的基础上进行架构的。其实,规定中也是有对高级管理层的监督和控制的部门,当然不是各个指引中提到的内审部门,而是董事会。《商业银行操作风险管理指引》的第6条明确规定了董事会的职责:监督并保证高级管理层积极有效地实施操作风险的管理。但是,在中国的商业银行中虽然也建立了现代公司治理的模式,却由于产权不明确,董事会的监督职能也只是流于形式。因此,实际上,高级管理层的权力就会无所限制,从而酿成一场场内部欺诈的丑剧。

三、对我国操作风险防范的监管建议

1.监管理念应由侧重业务的监管向注重公司治理和风险内控的监管转变

良好的公司治理和内控制度是确保银行体系得以正常运转的前提条件。因此,风险监管首先要推动银行业金融机构建立完善的内部控制体系和适当的激励约束机制,加强监管者对银行业金融机构内控制度和风险管理的评价和监管,充分调动银行业金融机构管理风险的积极性。

2.引导商业银行切实落实《国有商业银行公司治理及相关监管指引》的相关要求

为保证法规的真正落实,监管机构可以采取以下措施:第一,可以现场不定期抽查各银行关于股东、董事会、经理层等不同职位的人在风险管理过程中的责任是否明晰,鼓励董事会和股东大会对人监督强化的制度设计。第二,可以派驻银监会人员到国有商业银行风险管理委员会和审计稽核部门,保证现实中两种部门的垂直化管理。第三,严格检查商业银行遵循风险承担和风险监控相分离、风险管理体系和业务经营体系保持独立的原则,实现银行内前、中、后台的分离。第四,新设专门负责操作风险风险管理的部门,改变审计部门的负责制度。要求在总行设立专门的操作风险部门,并要求其直接对董事会负责。

3.监管措施应更多针对分支机构的管理层人员

中国商业银行内部复杂的委托关系使得分支机构的行为不能被总行紧密控制,对此,首先,可以在分支机构设立独立的稽核部门以有效地牵制高管的欺诈行为;其次,在各级分行分别设立风险管理经理,负责在风险管理政策下指导本级行实施风险管理。该经理直接受上级风险经理管辖,对其负责;再次,改变审计部门对各级行长负责的现状,增强其独立性,审计部门不直接参与操作风险的管理,但是要定期对风险经理的管理状况予以检查并形成报告。另外,可以借鉴国外的经验,加强外部审计的监督作用。