一、问题的提出
自2011年11月起,在华夏银行上海嘉定支行,大堂经理、理财经理开始向前来该行的投资者推荐、销售名为“中鼎财富”的理财产品,并在该行柜台进行 汇款操作,经过“一条龙”的销售服务将该理财产品出售给500余位投资者,募集金额高达1.19亿元人民币。至2012年11月底,前两期理财产品已经期 满但无法兑付,该事件引起了社会的广泛关注。华夏银行于2012年12月2日发表声明称:“经核查,该人伙计划不是华夏银行产品,华夏银行也从未代销过该 入伙计划”,案件当事的理财经理璞某某被停职,警方介入调查。后由“中鼎财富”理财产品的担保方——中发投资有限公司于2013年1月12日、13日同客 户分别签订该理财产品的转让协议,客户持有关凭证经确认后拿回了本金。[1]
至此,华夏银行员工私售理财产品一案告一段落,但华夏银行在此案件中的复杂关系值得深思。璞某某作为该行的正式员工,以华夏银行上海分行的名义向前来 该行投资的客户推荐、销售“中鼎财富”产品。华夏银行声明“中鼎财富”既非自销也非代销而是员工个人违规销售。假设事实正如璞某某所称,是银行指令工作人 员销售该产品,那么华夏银行应当承担被代理行为的法律后果。[2]假设事实如同华夏银行所述,那么璞某某作为该行正式员工,利用职务之便在工作场所进行违 规违法活动,华夏银行应当承担管理不善、内控不严的法人责任。[3]无论事实哪般,华夏银行都具有不可推卸的责任。
员工违规销售、银行怠于审查代销产品都是由于不完善的内部程序和人员情况所致,归根结底是操作风险内部控制制度的问题。作为商业银行经营管理的三大风 险之一,操作风险随着银行业盈利空间的拓展也变得越来越突出。英国老牌银行巴林因交易员的违规操作,顷刻倒闭;法国兴业银行因员工的未授权交易而遭受巨额 亏损,并引发全球股市暴跌;日本大和银行由于工作人员违法倒买国债而声誉涂地,宣布重组。以及后续发生在我国的“中国银行高山案”[4]、“中国农业银行 金库被盗案”、[5]“中国工商银行冯明昌骗贷案”[6]、“中国建设银行3.2亿诈骗案”[7]等,都说明操作风险已经成为人们不得不重视的重要风险。
二、商业银行操作风险内控制度概述
(一)操作风险概述
操作风险几乎涉及商业银行的所有资产,甚至包括商业银行的声誉,因此操作风险的定义也一直存在较大的争议。我们可先看一下权威的国际机构的认识:首先是巴塞尔委员会的界定:“操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件所造成损失的风险。
此定义包括法律风险但不包括战略风险和声誉风险。”[8]巴塞尔委员会按照操作风险的成因将其分为七类,包括内部欺诈、外部欺诈、就业政策和工作场所安全、客户关系及业务操作、实体资产的损害、业务中断及系统失灵、执行交割及流程管理等。[9]
部分国外知名银行对操作风险的定义则如下:[10]
1.花旗银行:操作风险是由于内部流程、人员或系统不完善或失败以及外部事件而造成损失的风险,包括与业务操作和市场行为相关联的声誉和特许经营权。
2.加拿大皇家银行:操作风险是源于流程、技术、人员行为以及外部事件的欠缺或失败而造成的直接或间接损失的风险。
3.德意志银行:操作风险是由员工、合同规定和文本保留、技术、基础设施故障、灾祸、外部影响和客户关系等方面产生损失的潜在风险。
从上述几家国外知名商业银行对于操作风险的定义可以看出,它们是以《巴塞尔新资本协议》对操作风险的定义为蓝本,采取了风险来源列举的方式进行定义, 并且对主要操作风险来源达成共识。中国银监会于2007年发布的《商业银行风险管理指引》[11]以及2012年发布的《商业银行资本管理办法(试行)》 [12]中给操作风险的定义基本采用了巴塞尔委员会的定义,即操作风险是指由不完善或失灵的内部程序、人员及系统或外部事件所造成损失的风险。[13]本 文也借鉴此定义。
(二)内部控制制度概述
2013年5月14日,美国“反虚假财务报告委员会”所属的发起机构委员会(The Committee of Sponsoring Organizations of the National Commission of Fraudulent Financial Reporting, COSO,又称科索委员会)发布新的《内部控制——整体框架》及其配套指南。[14]COSO认为自旧框架发布以来的二十余年间资本市场和商业环境经历了 巨大变化,故而新框架在保持了1992年《内部控制——整体框架》合理内容的基础上,细化了内控框架的结构内容,强调企业可以有自主的判断,并关注对风险 的整体控制。C0S0认为,内部控制是一个过程,受企业董事会、管理当局和其他员工的影响,旨在保证财务报告的可靠性、经营的效果和效率以及对现行法规的 遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督这五项要素构成。同时C0S0明确列示了与上述五要素对应相关的十七 项基本原则,每一原则又由多个关注点作支撑,旨在为管理层提供具体的指引,协助其设计、实施内控。
我国财政部提出我国内控规范体系和C0S0新框架在整体架构、基本原则和主要内容方面基本保持一致,为我国企业内控体系与C0S0内控框架的趋同奠定 了坚实的基础。[15]财政部等五部委于2008年发布《企业内部控制基本规范》,作为企业内控的政策性框架文件,用以规范所有企业的内部控制,随后陆续 出台《内部控制评价指引》、《内部控制实施指引》、《内部控制鉴证指引》,《企业内部控制配套指引》等,银监会陆续发布《商业银行内部控制评价办法》、 《商业银行内部控制指引》、《商业银行操作风险管理指引》、《商业银行操作风险资本计量指引》等文件,促使商业银行完善内控制度。
按照中国人民银行《商业银行内部控制指引》的定义,内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、 事中控制和事后评价的动态过程和机制。[16]综上本文认为内部控制可以理解为这样一个过程:由商业银行内部各种制度、措施、方法和程序等因素组成的相互 联系、相互制约的控制机制,对银行内部管理活动进行的衡量和纠正的过程。
(三)商业银行内部控制与操作风险控制
商业银行操作风险事件诱因往往在于制度缺陷、系统故障及人员舞弊,因而操作风险具有显著的内生性。而内部控制的措施正是从商业银行内部相互制约、相互 促进的制度、措施入手,对银行活动进行内部监管。事实上,早在1998年巴塞尔银行监管委员会发布的“内部控制系统的评估框架”在充分实践调查的基础上, 得出结论:失灵的内部控制是导致银行发生重大操作风险事件的一个根源。因此商业银行操作风险控制在很大程度上依赖于内部控制制度的完善,而进行有效的内部 控制也正是控制操作风险的最佳措施。
商业银行与一般企业有所不同,商业银行操作风险管理受巴塞尔银行监管委员会(BCBS)和COSO的双重影响,需要满足巴塞尔资本协议、操作风险管理 框架和《内部控制——整体框架》等的要求。对此,笔者认为商业银行操作风险管理遵循《巴塞尔资本协议》的操作风险管理框架可以解决商业银行内控的大部分问 题,同时还需兼顾 COSO的规定。
三、巴塞尔银行监管委员会与商业银行操作风险内控制度
操作风险管理真正引起银行界和监管当局关注和重视,并成为银行经营管理活动的一部分,源于巴塞尔委员会的倡导和《巴塞尔新资本协议》的有力推动。
(一)巴塞尔协议体系法律性质分析
巴塞尔委员会指出“本委员会并不具有任何形式的超国家的监管权力。其决定不具有,也从未打算具有法律强制力”。[17]巴塞尔不具有任何法定的跨国或 超国家的监管权力,但巴塞尔系列文件所制定的原则及标准被奉为是国际银行业必须遵守的行业规则和必须达成的行为规范。各国银行从事相关银行业务若没有遵循 巴塞尔委员会的有关决议,就会失去国际竞争力,难以在国际金融市场立足。同样,各国监管机构若不参照该委员会的有关决议进行立法,也会被其他国家所排斥而 自闭于国际金融市场之外。[18]
巴塞尔系列文件既非国际条约,也非区域性协议,而是不同国家自觉遵守的国际惯例,并需要转化为国内法予以实施。巴塞尔委员会在操作风险管理方面丰富经验的总结以及各项规则制度都需要由相关立法机构转化为国内法,从而规范一国商业银行操作风险内部控制。
(二)巴塞尔委员会规范商业银行操作风险的文件分析
自1998年起巴塞尔委员会开始对几十家国际活跃银行进行调查,了解银行界对操作风险的理解及管理的现状,之后经过大量调查研究,最终形成了2004 年6月公布《巴塞尔新资本协议》中操作风险管理规定,并于2010年11月在G20峰会上通过《巴塞尔资本协议III》,对商业银行各项风险的内部控制提 出更高要求,为成员国的银行业风险管理作出了重要指引。[19]
1.操作风险与《操作风险管理与监管的稳健做法》(2003年2月)。该做法的主要内容是对操作风险的管理与监管提出了十条基本原则,旨在营造适宜的风险管理环境,规范风险识别、评估、检测、缓释/控制,并明确了监管者的作用和信息披露者的作用。
2.操作风险与《巴塞尔新资本协议》[20](2006年12月)。《巴塞尔新资本协议》以资本充足率为核心,将操作风险正式纳入与信用风险、市场风 险并列的风险控制体系。协议第21条将操作风险纳入最低资本要求,第22条规定操作风险作为风险加权的一部分,第607条更新了对操作风险的定义,第 608条至第629条提出了计量操作风险的三种方法,第630条至第635条建议银行建立内部与外部的损失数据系统,第637条至第638条认可保险作为 风险缓释的工具,第694条再次强调操作风险与银行其他风险同样重要,第695条建议银行制定操作风险管理框架。
3.操作风险与《巴塞尔资本协议III》(2010年11月)。巴塞尔委员会要求协议成员国于2013年1月1日开始实施《巴塞尔资本协议 III),并于2019年前全部落实。[21]《巴塞尔资本协议III》在《巴塞尔新资本协议》的基础上提高了国际银行业资本和流动性的监管要求,其更为 严格的最低资产、资本留存超额资本、抵扣项目、流动性要求等的变动与操作风险管理息息相关。
表《巴塞尔资本协议III》对《巴塞尔新资本协议》的变动情况
┌────────────┬───────────┬───────────┐
│变动项 │变动幅度 │与操作风险关系 │
├────────────┼───────────┼───────────┤
│最低资本要求 │核心资本充足率: │操作风险项乘以12.5计入│
│(资本比率=监管资本/风险│2%→3.5%→4%→4.5% │风险加权资产项,与资本│
│加权资产) │一级资本充足率: │充足率成反比,如若满足│
│风险加权资产=(市场风险 │4%→4.5%→5%→6% │既定的资本充足率,操作│
│资本要求+操作风险资本要 │ │风险直接影响着可流通资│
│求)X12.5+信用风险加权资│ │本的数量。 │
│产 │ │ │
├────────────┼───────────┼───────────┤
│资本留存超额资本 │2016年起,每年计提风险│同上,操作风险增加,风│
│ │加权资产的一定比例,并│险加权资本增加,留存超│
│ │逐年增加: │额资本增加,银行可流通│
│ │0.625%→1.25% │资本减少。 │
│ │→1.875%→2.5% │ │
└────────────┴───────────┴───────────┘
《巴塞尔资本协议III》对商业银行全面风险管理提出了更高的要求,其中操作风险资本乘以12.5作分母进行资本比率的计算意味着商业银行要在激烈竞争中拥有更多可自由流通支配的资本,就必须加强操作风险管理,降低风险加权资产的要求,以获得更广泛的盈利空间。
四、我国商业银行操作风险控制制度现状分析
在现行操作风险内部控制法律制度下,尽管国内大部分商业银行对操作风险给予了一定的重视,比如建设银行上海市分行“加强操作风险防范”文件,工商银行 总行内控合规部组编《中国工商银行操作风险管理手册》等。但是由于我国银行业对操作风险的管理尚处在认识、深化阶段,在管理理念、操作制度、实施工具等方 面与国际活跃银行存在很大差距,而操作风险大案要案频发也说明我国商业银行操作风险内控制度尚存不足。
缺陷一:错误的操作风险管理理念——重事后管理、轻事前防范,重个案查处、轻全面分析
在有关商业银行操作风险监管的法律制度中,涉及新业务的条款较少。《商业银行操作风险管理指引》第十三条,要求商业银行选择适当的评估方法对银行的新 业务、新产品进行风险评估。但是进行风险评估只是原则性的要求,并没有相对应的具体措施出台。《商业银行内部控制指引》第二十二条,要求商业银行对新业务 的推行设立独立的法律事务部门,对各项业务的合法性、有效性进行法律论证。法律论证的作用只能保证该项新业务不与既有的法律制度相冲突,而并没有起到风险 预测与防范的作用。
缺陷二:不健全的操作风险管理架构——对高层管理人员监控不足,基层分支机构操作风险管理薄弱甚至缺失
1.较轻的高管监控力度是因为国外商业银行具有完善的公司法人治理模式,这也是巴塞尔委员会关于操作风险和内部控制对高管放松束缚的原因,[22]我国制度建设却忽视自身的特殊情况,对高管监控不足。
《商业银行操作风险管理指引》在操作风险治理结构中规定,指定的风控部门制定的风险管理策略及具体操作流程需要经高级管理层及董事会批准,相关部门需定期向高管做操作风险报告。对高级管理层进行监管的是董事会而不是内部审计部门,也不是风险控制部门。
我国的商业银行虽然建立了现代公司治理模式,却由于国企固有的所有者缺位和经营人才缺乏等问题,导致董事会的监督职能只是流于形式,弊案频生,如邮政 储蓄银行行长违规放贷案、中国银行河松街支行行长挪用客户资金案、中信实业银行支行信贷科科长票据诈骗案等,都表明了需要从外部对高级管理层增强操作风险 监管。
2.基层分支机构操作风险管理薄弱。很多银行设立的风控部门负责“全行”的操作风险管理,但对分支机构覆盖不足。分支机构高管拥有广泛的人力、财务、 信贷资源的分配权和经营规则的决定权。华夏银行员工私售理财产品案以及“中信银行理财诈骗案[23]”等案例表明,分支机构的高级管理层和行内员工具有较 高的协作违规可能性,在基层网点特别容易出现操作风险失控问题。
缺陷三:单一的操作风险管理手法——过分依靠内部审计、忽视外部审计作用
国外商业银行的机构设置中,内部审计部门隶属于监事会,承担部分操作风险的管理职能,审计工作具有很强的独立性。相较而言,国内商业银行的审计部门是 一般部室平行设置,稽核监督工作的权威性和独立性不强,而对操作风险的管理却几乎全部依赖内部审计部门,其与外部审计相比人力薄弱、独立性差,力有不逮也 在所难免。比如2004年南海华光骗取工商银行南海支行巨额贷款案[24]涉案金额高达74亿元之巨,内部人浑然不觉,最终由审计署发现端倪顺藤摸瓜才得 以揭露。
五、我国商业银行操作风险控制制度的完善
(一)我国商业银行操作风险管理法律制度概况
我国银行业对操作风险的监督与管理可以追溯到20世纪90年代的各项金融业法律制度的建立,随着银行操作风险暴露的弊端及其引发的严重后果,2005 年我国银行业及监管机构对操作风险给予了重要关注,监管当局及时出台有关操作风险的专项控制制度,随后逐渐加强对操作风险的管理,为商业银行经营中的风险 设立了事前防范、事中控制、事后监督和纠正的机制。2010年11月G20峰会批准《巴塞尔资本协议III》后,中国如约积极响应,于2012年出台《商 业银行资本管理办法(试行)》强化了行业资本和流动性的监管,银监会有权根据各个商业银行不同操作风险管理水平提高操作风险监管资本要求,[25]操作风 险作为资本充足率披露内容的一部分[26]每半年披露一次。[27]我国银行业建立的操作风险法律制度已经开始采用定性管理与定量管理双管齐下的方式,与 国际活跃银行所属的金融监管当局风险管理的方向保持一致。[28]
(二)我国商业银行操作风险内部控制制度的完善
商业银行性质中天然形成的两个矛盾的方面——风险控制与盈利性目标的实现需要以一种“越抑越产生张的冲动、越张越产生抑的警醒”[29]的特殊发散型角度来切入,积极恰当地处理好商业银行操作风险内部控制制度的问题。
1.打造稳健审慎的操作风险管理文化。金融文化是我国金融业的弱项,而内部控制文化又是我国金融业弱项中的弱项。[30]银行业可参照 COS02013版《内部控制——整体框架》的内容,在立法、政策制定的思路上注重并促进操作风险管理文化的形成,[31]强化公司治理理念,商业银行应 向其全体成员提出清晰、积极的职业操守及道德规范期望,[32]明确组织治理范畴下的董事会基本独立性要求,以及管理层建立内控体系的责任和董事会监督职 能,[33]重视吸引、发展和保留具有职业胜任能力且与企业整体目标匹配的人才,高素质的执行团队将有效推动内控体系的执行,进而优化内控环境。[34]
2.强制纳入外部审计。现行法律中对于银行是否应采取外部审计是任意性的规范。《操作风险管理指引》以及《商业银行内部控制指引》均指出:鼓励规模较 大、业务复杂的商业银行委托社会中介机构进行外部审计。也就意味着是否采取外部审计由各个商业银行自行决定。在《银行法》和《监管法》中并没有引入外部审 计的规定。
而目前大多数国家已经通过立法建立了强制性的外部审计制度,即银行有义务聘请合格的外部审计师,对其公开财务报告的真实性、合规性进行独立、客观、专 业的审查,并出具审计意见。引入外部审计不仅可以从不同专业切入点发现问题弥补漏洞,而且可以增强公信力、提高透明度,为银行操作风险的防范筑起一道防火 墙。
3.强化信息披露制度。《巴塞尔新资本协议》的第三支柱“市场约束”的核心就是信息披露,这也是国际商业银行监管的惯例,前些年巴塞尔委员会相继发布 了《提高银行透明度》、《披露信贷风险的最佳做法》、《巴塞尔新资本协议》等文件,规范了披露信息的内容、质量和方式,[35]这一国际趋势也是我国资本 市场信息披露规范的发展方向。
(1)改善信息披露的数量和质量。我国的《商业银行资本管理办法(试行)》第一百六十条要求商业银行进行操作风险的信息披露,第一百七十五条强调即使 在现行的达标过渡期内简化的信息披露内容也应当包括操作风险加权资产的内容,在其附件15中,规定有关信息披露的详细内容。但目前的规定对披露信息简明度 的要求不足,可能会陷入繁冗,应予以改进。
(2)增强披露信息的责任。《商业银行法》第六十一条规定商业银行对国务院银行业监督管理机构、中国人民银行负有信息披露的义务。中国人民银行于 2002年5月发布的《商业银行信息披露暂行办法》增加了商业银行向公众披露资料的义务。《银行业监督管理法》第三十六条、第四十五条对信息披露做了相关 说明。
相较于《萨班斯一奥克斯利法案》第404条对内部控制方面严格的信息披露要求,我国财政部等五部委联合发布的《内部控制基本规范》仅在第十条规定内部 审计的会计人员应当对出具的审计意见负责,而未明确信息披露方面相关管理者的责任。同时,商业银行信息披露的对象不仅包括银行业监督管理机构、中国人民银 行,还包括社会公众,但是在法律责任的设计上只规定了刑事责任和行政责任,而缺少民事责任的条款,当公众因为银行操作风险信息披露存在问题而受有损失的时 候,需要相关民事责任条款对其进行赔偿。
4.完善有助于防范操作风险的其他法律。
(1)《刑法》。当前我国商业银行操作风险大案要案频发,多表现为金融诈骗。金融诈骗罪按照主观心理状态可以大致分为两类:一类是以非法占有为目的, 提供虚假信息进行的诈骗,比如票据诈骗与信用证诈骗等;另一类是不以非法占用为目的,但有意提供虚假财务资料而获取更多借贷资金。对于第一类的行为,《刑 法》有明确的规范。[36]第二类行为人资金使用目的真实,但向金融机构申请资金时故意提交虚假资料从而误导银行决策的行为占到操作风险管理损失的最大比 重。[37]按照罪刑法定原则,这种诈骗缺少定罪量刑的主观构成要件——以非法占有为目的,因而无法追究其贷款诈骗罪[38]的刑事责任。《刑法》需要根 据金融业犯罪类型的现状进行改进,考虑不同的主观心理状态依据《刑法》规定和客观事实,予以适当处理,从而起到基本的威慑及惩罚作用。
(2)《保险法》。《巴塞尔资本协议III》将保险作为缓冲操作风险所带来损失的一种措施,[39]虽然对其设定了许多限制条件,但却是一种有效的做 法。在我国,商业银行操作风险带来的损失可以通过职业责任保险来转移。比如《保险法》第六十五条规定责任保险的被保险人给第三人造成损害,依照法定程序, 保险人应当直接向受有损害的第三人赔偿保险金。
当然,鉴于银行操作风险的复杂性以及损失的巨大性,保险业涉足时须十分谨慎,但是作为国际商业银行操作风险缓释的新做法,责任保险成为其减少银行操作风险损失的最后一道防线,在理论上具有可行性。
【注释】 [1]陈张书:《华夏银行理财风波新进展:投资者拿回本金》,资料来源:http://money, hexun.com/2013-01-23/150477006.html,2014年1月12日访问。
[2]根据《民法通则》第六十三条,代理人在代理权限内,以被代理人的名义实施民事法律行为,被代理人对代理人的行为承担民事责任。
[3]根据《民法通则》第四十三条,企业法人对它的法定代表人和其他工作人员的经营活动承担民事责任。根据《最高人民法院关于贯彻执行〈中华 人民共和国民法通则〉若干问题的意见》第五十八条和《侵权责任法》第三十四条,企业法人的工作人员以法人的名义从事经营活动或者执行工作任务,给他人造成 经济损失的,应当由企业法人承担相应的民事责任。
[4]袁泉:《中行高山案哈尔滨开审:被控非法占有28亿存款》,中行哈尔滨河松街支行行长高山四年间伙同他人转移存款,出逃境外。资料来 源:http://money.sohu.com/20130930/n387508252.shtml, 2014年2月27日访问。
[5]陈冰:《邯郸农行案45小时自查迷雾》,邯郸农行金库看守人员监守自盗,连续一个月每天都从金库装钱挥霍,事发共窃得5100万元。资 料来源: http://finance.people.com.cn/GB/1040/5655020.html, 2014年2月27日访问。
[6]黄俊杰、游春亮:《案件直击:冯明昌骗贷案庭审记》,私营企业主冯明昌在资格程序都有问题的情况下仍从中农工建四大行获得贷款,其中工 商银行南海支行损失最为严重,由于工行南海支行行长等人的贪腐,致使近十年持续进行违规贷款行为,直到案发。资料来 源:http://news.sina.com.cn/c/2005-02-01/08085006424s.shtml,2014年2月27日访问。
[7]管思捷:《焦点关注:建行证实3.2亿元惊天骗案》,诈骗团伙行贿行内十余名员工,釆用伪造材料手段,于一年半时间骗取3.2亿元。资 料来源:http://stock.stockstar.com/SS2005032500904541_1.shtml, 2014年2月27日访问。
[8]巴塞尔银行监督管理委员会:《统一资本计量和资本标准的国际协议:修订框架》,中国银行业监督管理委员会译,8页,中国金融出版社,2004。2006年的《巴塞尔新资本协议》中删去了可能导致计量争议的“直接或间接”的字眼。
[9]巴塞尔银行监督管理委员会:《统一资本计量和资本标准的国际协议:修订框架》,中国银行业监督管理委员会译,179页,中国金融出版社,2004。
[10]顾京圃:《中国商业银行操作风险管理》,12-14页,中国金融出版社,2006。
[11]《商业银行操作风险管理指引》第三条。
[12]《商业银行资本管理办法(试行)》第九十四条。
[13]巴塞尔银行监督管理委员会:《统一资本计量和资本标准的国际协议:修订框架》,中国银行业监督管理委员会译,8页,中国金融出版社,2004。
[14]COSO, Internal Control-Integrated Framework, 资料来源:http://www.coso.org,2014年1月25日访问。
[15]财政部:《C0S0发布新的〈企业内部控制整体框架〉(征求意见稿)》资料来源:http://kjs.mof.gov.cn,2014年1月23日访问。
[16]《商业银行内部控制指引》第二条。
[17]巴塞尔委员会前主席彼得?库克1984年6月21日在《巴塞尔监管者委员会》一文中关于委员会职责的论述。
[18]克恩?亚历山大、拉胡尔?都莫、约翰?伊特威尔著,赵彦志译:《金融体系的全球治理》,83页,东北财经大学出版社,2010。
[19]韩龙:《国际金融法前沿问题》,194页,清华大学出版社,2010。
[20]巴塞尔银行监督管理委员会,中国银行业监督管理委员会译:《统一资本计量和资本标准的国际协议:修订框架》,中国金融出版社,2004。
[21]国际清算银行,Group of Governors and Heads of Supervision Announces Higher Global Minimum Capital Standards,资料来源:http://www.bis.org/press/p100912.htm,2014年1.月25日访问。
[22]王琪:《浅议我国商业银行操作风险的法律防范》,载《经济研究导刊》,2010(29)。
[23]月野:《中信银行再曝理财诈骗案上百人4000万血本无归》,载《中国网》,2013-04-16。
[24]李柯勇、张旭东:《惊天大案迷雾重重揭开冯明昌骗贷74亿元内幕》,资料来源:http://news.sina.com.cn/c/2004-07-07/10313014493s.shtml, 2014年2月27日访问。
[25]《商业银行资本管理办法》第一百五十条。
[26]《商业银行资本管理办法》第一百六十条。
[27]《商业银行资本管理办法》第一百六十七条、第一百七十五条。
[28]徐学锋:《商业银行操作风险管理新论》,244页,中国金融出版社,2009。
[29]唐双宁:《漫谈中国银行业的内部控制》,载《金融法苑》,第76辑。
[30]唐双宁:《漫谈中国银行业的内部控制》,载《金融法苑》,第76辑。
[31]《商业银行内部控制指引》第九条,《商业银行内部控制评价试行办法》第十一条、第十五条。
[32]“The organization demonstrates a commitment to integrity and ethical values”,see COSO, Internal Control-Integrated Framework, http://www.coso.org, last visit on 2014-01-25.
[33]Internal Control-Integrated Framework: the board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control,资料来源:http://www.coso.org,2014年1月25日访问。
[34]Internal Control-Integrated Framework: the organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives, 资料来源:http://www.coso.org,2014年1月25日访问。
[35]《操作风险管理与监管的稳健做法》第十项原则。参见巴塞尔银行监管委员会,中国银行业监督管理委员会译:《操作风险管理与监管的稳健 做法》,资料来源:http://www.cbrc.gov.cn/chinese/home/docView/991.html,2014年1月25日 访问。
[36]《刑法》第一百九十二条至第二百条。
[37]顾京圃:《中国商业银行操作风险管理》,49页,中国金融出版社,2006。
[38]《刑法》第一百九十三条。
[39]《巴塞尔资本协议III》第92条、第637条、第638条、第639条等,承认保险作为操作风险缓释工具,并提出了相应的意见。
2014 > 2014年总第88辑