银行业内部控制对操作风险控制的激励性实证研究
——基于信息化平台的检验

江苏大学 马国建 张同建 贵州财经学院 刘良灿

银行业内部控制对操作风险控制的激励性实证研究
——基于信息化平台的检验

江苏大学 马国建 张同建 贵州财经学院 刘良灿

一、银行业内部控制与操作风险理论概述

企业是风险与收益的结合体，任何一个企业在追求收益时都面临着一定的风险，在面临着风险时都存在着一定的收益获取机会。风险与收益存在着密切的正相关性，收益越大，风险也越大。

银行业是一种高收益行业，同时也是一种高风险行业，银行管理在本质上就是风险管理。现代商业银行所面临的风险主要有信用风险、市场风险、操作风险和流动性风险等类型。在银行业发展的初级阶段，银行风险主要表现为信用风险；在银行业发展的稳定阶段，银行风险主要表现为信用风险、市场风险和流动性风险；在银行业发展的成熟阶段，所有的风险都存在着发生的契机，风险类型与风险机制日益复杂。

近年来，我国银行业的风险类型也存在着多样性，风险危害程度日益增大。在众多的风险类型中，操作风险已日益引起广泛的关注，操作风险对银行运营的影响已远远超过其他风险。鉴于我国银行业操作风险事件的频繁发生，风险损失的日益增大，我国银监会于2005年3月27日发布了我国银行业第一个关于操作风险管理的指引——《关于加大防范操作风险工作力度的通知》，即银行界所说的操作风险十三条，标志着我国商业银行的操作风险管理进入新的阶段。

在《新巴塞尔资本协议》中，操作风险被定义为：由不完善或有问题的内部程序、人员及系统或外部事件所造成的损失的风险，包括法律风险，但不包括策略风险和声誉风险。这个定义具有如下特点：关注内部操作，即指银行对其员工的作为和不作为应该且能够施加影响；重视概念中的过程导向；人员和人员失误起着决定性的作用，但不包括处于个人利益和知识不足的失误；外部事件，包括自然、政治、军事、技术设施缺陷，以及税收、监管和法律方面的变化；内部控制系统具有重要作用。因此，按巴塞尔委员会的定义，银行操作风险分为组织风险、流程风险、人员风险、技术风险和外部风险五类。

同时，巴塞尔委员会认为导致操作风险发生的诱因有四种：内部操作流程、人为因素、体制因素和外部事件。按照具体的风险因素又分为七种类型：内部欺诈、外部欺诈、雇员活动和工作场所的安全问题、客户和产品以及业务活动引起的风险事件、银行维系经营的有形资产的损失、业务中断和系统错误、涉及执行和交割以及交易过程管理的风险事件。

由于我国金融环境与国外金融环境存在着一定的差异，导致我国银行业操作风险的特征与国外银行业也有所不同。一般而言，我国商业银行操作风险具有低频高危、难以计量、诱因复杂的特征，主要表现为内外勾结和人员犯罪等欺诈活动；低效的公司治理结构是操作风险产生的根本原因；商业银行应调整组织结构、实施业务流程重组、加强内部控制、提高绩效考核效率等措施来优化治理结构。在我国银行操作风险管理的问题上，内部欺诈和外部欺诈几乎构成了操作风险损失的全部。

在银行业的管理体系中，内部控制是风险控制的有效手段，当然也是操作风险控制的有效手段。内部控制就是对银行业的经营行为进行有效的规范，减少银行行为的偏差，以最大限度地降低各类风险所造成的损失。内部控制是一个无止境的行为完善过程，随着风险类型的变化而需要不断地调整。根据各国商业银行操作风险防范的经验，内部控制效率的提高对操作风险防范策略的改进具有至关重要的影响。

信息化是银行业的一个基本发展战略，是现代银行发展的标志之一，对银行运营绩效存在着全方位的影响，当然也对包括操作风险控制在内的银行风险控制存在着重要的影响。对于现代商业银行而言，信息化既是风险控制的有效手段，也是风险滋生的根源，因为在传统银行发展阶段，信息化对银行运营的影响存在着高度的不确定性。但是，在银行发展的成熟阶段，信息化对银行操作风险的控制必然存在着正向的激励作用。

因此，基于银行信息化与内部控制的视角，操作风险防范机理的解析具有重要的现实意义，能够有效地揭示信息化与内部控制对操作风险控制的微观路径机理，从而为我国商业银行加强信息化建设、规范内部控制行为，进而进一步提高操作风险的控制效率提供现实性的理论借鉴。

二、模型设计

在我国商业银行操作风险控制体系中，信息化与内部控制对操作风险控制行为存在着重要的影响，最终影响到操作风险的控制绩效。当然，由于银行信息化发展的渐进性与内部控制的不完善性，信息化与内部控制对操作风险控制行为的激励路径效应存在着一定的差异性，而对这种差异性的分析是改进操作风险控制策略的必由之路。

（一）银行信息化对操作风险控制的影响 我国商业银行的信息化建设已历经二十年发展，基本上进入成熟发展阶段，对操作风险的控制将逐渐显示出显著的正向效应。首先，信息化可以实现规范的风险控制流程，将传统的业务流程进行规范化处理，从而减少风险行为的偏差。其次，信息化可以提高风险数据的应用价值，实现对各种风险数据处理的科学化。再次，信息化可以提高操作风险预测的准确度，从而将风险事件抑制在萌芽状态。最后，信息化能够提高各种风险监督机构的运作效率，从而使各种风险监督职能得到充分的实现。因此，根据以上的分析，可以提出如下理论假设：

H1a：我国商业银行信息化建设对操作风险控制意识具有正向促进作用

H1b：我国商业银行信息化建设对操作风险控制行为具有正向促进作用

H1c：我国商业银行信息化建设对操作风险控制环境具有正向促进作用

（二）内部控制对操作风险控制的影响 内部控制是商业银行的一项重要管理职能，其基本目的就是根据银行积累的管理经验，对各种运营行为进行规范化设计，从而减少行为偏差所带来的风险损失。我国银行业非常重视内部控制建设，并在各种风险控制中发挥了重要的作用。根据国际银行业内部控制的经验，内部控制对操作风险控制的影响是全方位的，即对操作风险控制意识的培育、控制行为的改进与控制环境的优化均存在着一定的促进作用。基于以上分析，本研究提出如下假设：

H2a：我国商业银行内部控制对操作风险控制意识具有正向促进作用

H2b：我国商业银行内部控制对操作风险控制行为具有正向促进作用

H2c：我国商业银行内部控制对操作风险控制环境具有正向促进作用

（三）操作风险控制活动对控制绩效的影响 操作风险控制活动体系的动态性调整是增强操作风险控制能力的直接动因，即我国商业银行操作风险控制绩效的提高直接源于操作风险控制意识的培育、操作风险控制行为的改进与操作风险控制环境的优化。基于以上分析，本研究提出如下假设：

H3a：我国商业银行操作风险控制意识对操作风险控制绩效具有正向促进作用

H3b：我国商业银行操作风险控制行为对操作风险控制绩效具有正向促进作用

H3c：我国商业银行操作风险控制环境对操作风险控制绩效具有正向促进作用

（四）研究模型确立 设银行信息化为ξ1、内部控制为ξ2、操作风险控制意识为η1、操作风险控制行为为η2、操作风险控制环境为η3、操作风险控制绩效为η4，根据模型推演过程，得到理论假设模型如图1所示：

三、实证检验

（一）要素分解 根据严明燕、张同健（2009）的研究成果，本研究将我国商业银行信息化建设的测度体系分解成四个构成要素：硬件维护、软件升级、功能扩张与人员配备。其中，硬件维护是指包括主机、终端、网络等硬件设施的维护，软件升级是指各种系统软件与应用软件的升级，功能扩张是指信息化的功能不断得到改进和扩展，人员配备是指银行具有合理的信息化专业人员结构。

根据张同健、李良法（2009）的研究成果，本研究将我国商业银行内部控制体系分解成四个构成要素：内部控制设计、内部控制实施、内部控制扩展、内部控制环境。其中，内部控制设计是指银行内部控制体系的设计质量，内部控制实施是指内部控制制度的实施效果，内部控制扩展是指内部控制机制的深化，内部控制环境是指内部控制环境的改善。

根据杨爱民、张同健等（2008）的研究成果，本研究将我国商业银行操作风险控制体系分解为三个要素：操作风险控制意识、操作风险控制行为和操作风险控制环境。其中，操作风险控制意识是指银行对操作风险控制重要性的认识程度，操作风险控制行为是指银行风险管理行为的规范性，而操作风险控制环境是指风险控制环境的完善程度。

操作风险控制意识要素可以分解为如下四个测度指标：风险防范意识，指业务层人员日益认识到并能有意识地克服操作风险的危害；领导层自律意识，指银行领导层能够自觉地抵御导致风险产生的非理性思想；风险互控意识，指银行员工认为除了提高自己对风险的警觉性以外，还认为很有必要在业务系统的范围内监控他人的风险动机与风险行为；风险文化积淀，指基于操作风险控制导向的企业文化培育和积累。

操作风险控制行为要素可以分解为如下四个测度指标：操作风险计量，指商业银行对操作风险事件发生的概率、损失、周期、效应等特征进行全方位的衡量和测度；操作风险转移，指银行借助于特定的金融工具以一定的成本将操作风险转移到银行外部；操作风险评估，指银行职能部门不断地对操作风险进行事前预测、事中控制与事后总结；控制绩效考核，指商业银行对操作风险控制为目标的绩效考核系统的设计、执行与改进；

操作风险控制环境要素分解为四个测度指标：信息披露规范性，指银行在合规性前提下所实现的披露手段的改进与披露质量的提高；风险数据库建设，指基于有关操作风险控制的数据收集、分类、存储、传输、集成为目的数据库设计、实施与维护行为；业务流程优化，指商业银行不断调整、组合与设计出科学、合理的业务流程以提高操作风险的抗御能力；专业人才培育，指商业银行加强对专业操作风险管理人员的引进、选拔、培训和激励。

根据张同健（2007）的研究，操作风险控制绩效要素可以分解为如下四个测度指标：风险发生频次，指在固定时间周期内（如一年）银行操作风险发生的次数；风险损失额，指每次操作风险事件给商业银行所带来的损失；操作风险识别，指银行各级管理人员与基层业务人员对操作风险的预测与鉴别能力；风险经验累积，指银行员工与组织关于操作风险控制知识和能力的积聚。

（二）数据收集 本文采用七点量表制对24个观察指标在我国商业银行内部进行样本调查和数据收集，具体调查对象为该单位的高层管理人员或业务骨干。本研究共发放问卷200份，收回问卷188份，问卷回收率为94%，满足问卷调查中样本回收率不低于20%的要求。在回收的问卷中，选择有效问卷145份，样本数与指标数之比为6：1，满足结构方程验证的基本要求。

（三）模型检验 本研究采用结构方程的全模型分析方法对理论模型进行实证检验，研究工具是SPSS11.5和LISREL8.7。6个潜变量所属的24个测度指标的因子负荷都位于0.50-0.95之间的标准区域，且均达到显著性水平，可以认为理论模型符合基本拟合标准。6个潜变量的组合信度都大于0.7，因子分析的累计解释量都大于0.5，表明理论模型具有较好的信度和内部一致性。

路径系数检验结果如表1所示：

表1 路径系数检验结果

同时得到拟合指数列表如表2所示：

表2 拟合指数列表

四、结论

我国商业银行的信息化建设对操作风险控制意识的培育与操作风险控制行为的改进均存在着显著的促进功能，而对操作风险控制环境的优化不存在显著的促进作用。我国商业银行的内部控制对操作风险控制意识的培育存在着显著的促进功能，而对操作风险控制行为的改进与操作风险控制环境的优化不存在显著的促进作用。操作风险控制意识与操作风险控制行为对操作风险控制绩效的提高存在着显著的促进功能，而操作风险控制环境对操作风险控制绩效的提高缺乏显著的促进作用。

本研究结论基于我国商业银行的现实性实践，具有较高的合理性，能够在信息化平台上的基于内部控制视角的我国商业银行操作风险控制绩效的提高提供可靠的理论借鉴。

［1］严明燕、张同健：《有商业银行信息化创新与内部控制的相关性检验》，《统计与决策》2009年第1期。

［2］张同健、李良法：《基于内部控制和IT建设双重视角的操作风险控制研究》，《南通航运职业技术学院学报》2008年第4期。

［3］杨爱民、张同健、张成虎：《国有商业银行操作风险控制绩效解析》，《统计与决策》2008年第17期。

［4］张同健：《论新巴塞尔协议下商业银行操作风险控制的措施》，《湖南财经高等专科学校学报》2007年第5期。

［本文系广东软科学研究项目（2009B070300160）的阶段性研究成果］

（编辑 刘 姗）