目录 |
支付系统操作风险是指由于系统运行部门内控制度不健全或制度执行不到位,或系统操作员操作失当带来的风险。在银行业的所有风险中,操作风险所造成的损失逐年上升,其危害程度仅次于信用风险。
可以将现代化支付系统的操作风险归纳为以下四类[1]:
一是内部程序不完备导致的风险,指现代化支付系统相关法律文书有漏洞、制度建设存在不足、内部约束机制不到位、监督及审计不力和内控风险意识整体下降等内部控制上的缺陷,而影响整个金融及结算秩序稳定的风险;
二是人员失效导致的风险,指操作人员职业操守缺失,有意违规、越权操作导致银行业务差错、弊端或中断的风险;
三是系统不完备导致的风险,指安全措施薄弱的业务系统被非法入侵。篡改、破坏计算机业务系统数据,造成银行资金损失的风险以及计算机系统设计的致命错误、或测试疏漏的要害隐患而形成金融风险;
四是外部事件导致的风险,指由于通信、电力故障或地震、水灾、火灾、恐怖袭击和战争等外部不确定因素对现代化支付系统造成的风险。
(一)操作失误和违规操作
不熟悉或违规操作而导致误操作是操作风险的主要表现形式。支付系统上线运行后,部分业务人员对其业务操作的相关规定不够熟悉,只能通过系统界面简单的处理业务,出现操作失误和违规操作。例如不会使用业务报文,影响业务处理效率;系统日终出现异常情况时,不会按规定程序办理帐务核对;不熟悉支付业务的查询查复规定,使支付资金不能及时解付;个别银行不熟悉帐务核对的操作程序,日终与CCPC对帐不平,即不报告人行,又不查实原因,影响了会计信息的真实性和完整性。
(二)未执行有关操作规程
熟悉系统操作规程是有效处理各项业务操作的保障。如果业务人员不了解系统的各项功能,不熟悉系统操作各种提示含义,或者不遵守系统的操作规程,将可能形成操作风险,导致支付业务处理出现异常。例如在中央银行会计集中核算系统中曾出现办理清算账户行柜台提交的业务时,因通讯故障,系统提示“系统调用错误”,但操作员误认为系统记账失败,重新录人该笔业务,导致清算账户的重复记账。某银行技术人员由于违规操作,使该行前置机系统异常初始化,导致往来帐业务、行名行号数据等基础数据全部丢失,系统无法处理任何业务。还有的银行不执行支付系统相关设备专机专用的规定,导致系统被病毒感染,严重影响了支付业务的正常处理。
(三)岗位职责不清,相互制约不力
支付系统在具体的核算业务中,传统的手工核算模式下的岗位职责发生变化,相互制约已经消弱,尤其是各商业银行采用柜员制的业务处理系统,缺乏上下游操作检查及横向监督制约,导致业务处理存在风险。特别是支付系统实行实时发送、清算资金的模式,一笔支付业务的平均处理时间不到一分钟,这种快速清算模式要求每一笔发送的支付业务都必须准确无误,否则可能导致发起行垫付资金。支付系统运行以来曾发生过多次由于操作员失误导致收款人错误情况,不仅影响了正常到账,也给发起行和接受行带来许多不必要的协调工作,更可能导致业务发起行的资金损失。
(四)计算机系统被非法侵入
非法侵人计算机系统是指在终端设备上故意非法人侵安全措施薄弱的银行计算机业务系统,篡改、破坏计算机系统业务数据,造成资金损失的风险。如未经授权改写计算机程序,未经授权更改业务系统记录等。
造成以上操作风险的原因在于以下几个方面,一是对操作风险意识淡薄。由于支付系统上线运行的时间短,管理经验不足,银行对其高速运行所带来的操作风险意识淡薄,对操作失误带来的资金风险没有危机感。二是业务、技术培训力度不够。支付系统的业务处理流程对员工要求更加专业化,但有些银行的业务和技术培训不能满足业务发展的需要,表现为相关业务的知识普及程度不高、人员更换频繁等。三是系统运行管理机制相对落后,未针对大额支付系统的业务处理特点及时更新环节、重要业务部门及熟悉内部资源性能并掌握关键技术人员的管理牵制约束力不强,容易诱使个别内部人经济犯罪和违规违纪。四是支付系统相关程序上存在缺陷。部分程序设计对系统操作风险考虑不周全等问题。
(一)建立内部风险控制机制
操作风险存在于支付系统每项业务和业务环节中,这种风险内在的特性决定了风险管理必须体现到每一个员工的行为,风险控制决不仅是管理部门或会计主管的事情,所有银行工作人员都应该具有风险防范意识,每个岗位、每个人在做每项业务时都要考虑风险因素。无数的案例告诉我们,建立科学的风险管理理念比识别和风险评估更重要。因此,要自上而下树立科学的风险管理理念,要通过广泛的风险教育和重视业务上的风险估计来培养所有人员对风险的敏感和了解,并将风险意识贯穿于所有人员的自觉行动中去。上级管理部门应以高标准严格要求各级管理者,每个业务人员都清晰了解本行的操作风险管理政策,对风险的敏感度、承受水平、控制手段有足够的理解和掌握,并将之贯彻到每一项操作中去,以避免任何的失误。所以建立银行风险管理文化,强化操作风险意识是银行当务之急。
(二)加强支付系统内控体系建设
高效快捷的支付清算需要严密的内控制度来保障,当现行的一些操作规程和内控制度已经不适应现代化的支付清算体系时,必须作相应的补充和完善。现代化的支付系统清算体系需要多方位、多层次、立体化、网络化的管理机制,在内控制度上应建立包括双人复核制、资金划出权限制、岗位制约制、现场巡视制、事后监督制以及技术支持系统配套管理在内的操作规程和内控制度,建立起纵横交错的业务操作风险和技术操作风险的防范网。在制定支付系统具体业务操作流程时,应充分关注每个可能存在的风险点,严密业务分级授权体系,对不同重要程度的业务进行不同层次的业务授权。要通过岗位设置、帐务核对、监督检查等手段,对业务的处理过程实施有效的控制。对于在操作上有章不循、单人划款划账、擅自越位操作、不按操作规程办理业务等违规现象,都要有相应的措施及时纠正、改进和必要的处罚。
(三)加大支付系统的业务培训力度
支付系统上线时间短,与其接口的会计核算系统帐务处理模式发生改变,由原来的单迄记帐模式改变为现行的一记双迄记帐模式,基层网点发出的只是业务信息,不进行帐务处理。因此,为有效防范支付系统操作风险必须加强业务人员的操作技能培训力度,提高业务人员对新业务、系统操作规程的熟练程度,全面提高业务人员素。
(四)健立操作风险报告机制和快速处理机制
结合支付系统两级处理中心结构的特点,为防范支付系统运行风险,在支付系统运行中,银行前置机或会计帐务出现相关问题时应建立两个报告途径,一方面及时向本行相关部门报告,另一方面迅速向城市处理中心报告。发生系统运行故障时应遵循“支付业务不间断”原则处理。在系统运行过程中出现异常情况时,有关各方在积极采取措施排除故障的同时,应采用其他方式,确保支付业务的及时处理
(五)优化和完善大领支付系统软件
操作风险发生除人为因素外,也反映出支付系统设计的不完善,应逐步对系统进行改进。如改进系统应用设计中提示不够明确的程序缺陷;增加对重复记帐的有效提示;改进记帐凭证有效打印问题;优化业务中超常字符发出和接收以及设置控制涉及清算账户相关支付程序等技术更新和进步,从技术上最大限度减少操作风险,达到主动控制操作风险的目的。