法国兴业银行案例
一、案例背景
法国兴业银行创建于1864年5月,是一个有着近150年历史的老牌欧洲银行,,也是世界上最大的银行集团之一,分别在巴黎、东京、纽约的证券市场挂牌上市,规模巨大(详情见百度,关键词——法国兴业银行)。
但是2008年1月,法兴银行因期货交易员凯维埃尔在未经授权的情况下大量购买欧洲股指期货,形成49亿欧元(约71亿美元)的巨额亏空,创下世界银行业迄今为止因员工违规操作而蒙受的单笔最大金额损失。这桩惊天欺诈案还触发了法国乃至整个欧洲的金融震荡,并笔记全球股市暴跌,无论从性质还是规模来说,都堪称史上最大的金融悲剧。
二、犯罪手段
操作交易有利因素:
凯维埃尔2000年进入法兴银行,在监管交易的中台部门工作5年,负责信贷分析、审批、风险管理、计算交易盈亏,积累了关于控制流程的丰富经验。
2005年调入前台,供职于全球股权衍生品方案部,负责最基本的对冲欧洲股市的股指期货交易。但有着“电脑天才”名号的凯维埃尔进行了一系列的精心策划的虚拟交易,采用真买假卖的手法,把短线交易做成长线交易。在银行的风险经理看来,买入金融产品的风险已
经通过卖出得到对冲,但实际上那些头寸成了长期投机。
存在问题:
(1)职能重合,监守自盗
凯维埃尔在做交易员之前,曾经供职于监管交易的中台多个部门,不但对结算业务了解得非常透彻,而且还积累了关于风险控制流程的丰富经验。也就是说,凯维埃尔曾经就是监管者,后来又被人监管。
一个监管健全的公司,股票交易要经过交易员所在的部门、风险管理部门和结算部门,这三个部门应该是完全独立的。如果交易员跟结算部门职能重合的话,那么交易员就可以在结算安排上做手脚,掩盖自己的交易记录。虽然法国兴业银行还不至于将这三个部门的职能重叠,但是它让一个在监管交易的中台工作过数年的员工在前台做交易员,本身也存在着一定的风险,违背了后台与前台完全隔离规则的遵守。像这种类似的情况,不用说自己能够利用在监管部门的经验作案,甚至还可以通融或联合结算部门的同事一起作案。
(2)信息沟通得不够及时和畅通
熟悉中后台及电脑系统的优势使得凯维埃尔在买入金融产品时,懂得如何刻意去选择那些没有保证金补充警示的产品,以使风险经理难以发现交易的异常情况。而且,为了避免虚假的操作不被及时发现,他还凭借在中后台流程控制方面的多年经验,连续屏蔽了法兴银行对交易操作的性质进行的检验、监控,其中包括是否真实存在这些交易的监控。
凯维埃尔居然能够进入那么多未经授权的数据库,也表明兴业银
行的计算机数据管理存在很大漏洞。5年的打杂工作使他对银行的电脑系统非常熟悉,可以绕过银行的监管系统投资衍生品。公司的审计人员应当了解被审计单位及环境,在实施风险评估时,主要应该询问审计单位管理层和内部其他相关人员,分析程序、观察和检查,以及其他审计程序。如果法国兴业银行对信息系统的有效性及时进行检查,使开发验收人员和IT 管理人员对技术漏洞及时采取补救措施,不定期更改系统密码,并对每个户名及密码的使用进行定期监控 ,那么凯维埃尔即使是电脑高手,对于严密的监控系统也无计可施了。
(3)内部监督的缺失
尽管风险经理曾数次注意到凯维埃尔投资组合的异常操作,但每次凯维埃尔称这只是交易种常见的一个“失误”,随即取消了这笔投资,二实际上他只是换了一种金融工具,以另一笔交易替代了那笔被取消的交易,用以规避相关审查。此外,凯维埃尔海盗用他人电脑账号,编造来自法兴银行内部和交易对手的虚假邮件,对交易进行授权、确认或者发出具体指令,以掩盖其越权、违规行为。
如果法兴银行能够对本行的内部控制体系进行有效的日常监督,即使法兴银行的内部控制系统在对交易员资金的监督、资金流动的跟踪、后台与前台完全隔离规则的遵守、信息系统的安全及密码保护等多个环节存在漏洞,本部的日常监督也可以从中发现蛛丝马迹,并及时纠正。凯维埃尔的违规操作实际上已经延续了长达三年之久(2005年至2008年),但在巨额盈利的掩盖下却一直未暴露出来。
其内部控制中所出现的问题具体表现在以下几个方面:
1、内部控制松懈失灵
从以上案例内容可以看出,交易员凯维埃尔在2005年就建立了虚假交易头寸,一直到2008年都未被发现。2007年至2008年年初,凯维埃尔在欧洲各大故事上投资股指期货的头寸高达500亿欧元,超过法兴银行359亿欧元的市值,其中,道琼斯欧洲Stoxx 指数期货头寸300亿欧元,德国法兰克福股市DAX 指数期货头寸180亿欧元,英国伦敦股市《金融时报》100种股票平均价格指数期货头寸20亿欧元,在如此异常的现象的背景下,尽管风险经理曾数次注意到凯维埃尔投资组合的异常操作,却只是径直得忽略了这种异常现象,同时也均未引起管理层的足够重视,可见法国兴业银行内部管理松懈,工作人员风险防范意识不足,从而使监督制衡机制形同虚设。
2、内部控制机制存在漏洞
凯维埃尔利用自身电脑技术上的优势,长时间侵入核心业务系统,连续地屏蔽了法兴银行对交易操作的性质进行的检验、监控,并且还编造来自法兴银行内部和交易对手的虚假邮件,对交易进行授权、确认或者发出具体指令,以掩盖其越权、违规行为。这说明法兴银行内部控制的环境还有很大隐患,企业文化并没有强调诚信和道德价值观念的重要性,对于员工的薪水评定,仅仅以业务成就作为评判标准,导致了凯维埃尔在这样的内部控制环境下一步步走向犯罪的深渊。
同时,法兴银行在组织结构与职权和责任分配制衡制度方面还存
在漏洞,银行内部并没有明确地职责划分,没有见业务授权、记录、资产保管和维护,以及业务执行的责任尽可能的分离开来,缺乏多个岗位或层级的有效制约。并且法兴银行未能严格落实后台与前台完全隔离的制度规定,密码管理不严,说明该行的内部控制制度存在严重的缺陷。
3、风险认定与评估不足
凯维埃尔利用虚假头寸获取巨额利润的案件,却一直未受到管理层的警示,直至损失高达49亿欧元(71亿美元)使,法兴银行才开始亡羊补牢。而风险管理部门也并未建立严谨的流程,用以识别经营环境包括监管环境发生重大变化。而外部市场环境的突然变化,必然因风险评估的不足而引起损失。
4、内部稽核作用未能充分发挥
作为后台的稽核或内审部门对实际交易的稽核或审计抽检不及时也不严格,中台部门的检查时间和检查内容、形式一成不变、缺乏灵活性,使凯维埃尔利用过去在中后台部门工作积累的经验对检查的时间、方法、内容了如指掌,加之检查人员工作不认真、走过场,给凯维埃尔利用虚假账户掩盖真实交易提供了可乘之机。
三、风险评估启示
法国兴业银行事件深刻教训,对改善注册会计师就此类金融企业审计进行风险评估的意义重大。从目前我国审计单位内部控制情况看,应积极培育强有力的内控文化,加强员工胜任能力,完善管理层的理念与经营风格,合理进行组织结构与职权和责任分配。
首先,培育强有力的内控文化。内控文化是审计单位有效内部控制制度的基本要素之一,审计单位要建立诚信与道德价值观念的沟通和落实时应考虑的因素,如:利用书面的行为规范并向所以员工传达,强调诚信和道德价值观念的重要性,管理层身体力行起表率作用,通过人性化的人力资源管理,合理的激励约束机制,内控文化树立员工对审计单位内部控制的正确认识,使自觉遵守内控制度,防范操作风险成为全体员工的自发行为,使内部控制充分有效发挥作用。
其次,审计单位应对胜任能力的重视情况加以考虑。法兴银行事件给我们的启示是,无论是企业还是监管部门一定要将风险管理放在首位。财务会计人员及信息管理人员应具备与被审计单位业务性质和复杂程度相称的足够的胜任能力,以及是否得到了有效的培训,在发生错误时,通过调整人员或系统加以处理。因此企业必须重视内控制度,风险高的环节要给予特别对待,外部的监管必须严格落到实处。
第三,完善管理层的理念与经营风格。要确定管理层是否对内部控制,包括信息技术的控制,给与了适当的关注,董事会、审计委员会或类似机构对其是否实施有效监督;还奥确定管理层在承担和监控经营风险方面是风险偏好者还是风险规避者,对于信息管理人员及财
会人员是否给予了适当关注,要在符合内部控制要求的前提下,整合业务操作流程,建立起市场风险、信用风险、操作风险和道德风险的防范体制。
第四,合理进行组织结构与职权和责任分配。建立经常性的风险监督与评价机制,在单位内部进行明确地职责划分,将业务授权、业务记录、资产保管和维护,以及业务执行的责任尽可能地分离,将数据的所有权合理划分,针对授权交易建立适当的政策和程序,对业务的发生情况、规章制度的执行情况、确保业务按照既定的方针,有计划、有秩序地进行。
法国兴业银行案例
一、案例背景
法国兴业银行创建于1864年5月,是一个有着近150年历史的老牌欧洲银行,,也是世界上最大的银行集团之一,分别在巴黎、东京、纽约的证券市场挂牌上市,规模巨大(详情见百度,关键词——法国兴业银行)。
但是2008年1月,法兴银行因期货交易员凯维埃尔在未经授权的情况下大量购买欧洲股指期货,形成49亿欧元(约71亿美元)的巨额亏空,创下世界银行业迄今为止因员工违规操作而蒙受的单笔最大金额损失。这桩惊天欺诈案还触发了法国乃至整个欧洲的金融震荡,并笔记全球股市暴跌,无论从性质还是规模来说,都堪称史上最大的金融悲剧。
二、犯罪手段
操作交易有利因素:
凯维埃尔2000年进入法兴银行,在监管交易的中台部门工作5年,负责信贷分析、审批、风险管理、计算交易盈亏,积累了关于控制流程的丰富经验。
2005年调入前台,供职于全球股权衍生品方案部,负责最基本的对冲欧洲股市的股指期货交易。但有着“电脑天才”名号的凯维埃尔进行了一系列的精心策划的虚拟交易,采用真买假卖的手法,把短线交易做成长线交易。在银行的风险经理看来,买入金融产品的风险已
经通过卖出得到对冲,但实际上那些头寸成了长期投机。
存在问题:
(1)职能重合,监守自盗
凯维埃尔在做交易员之前,曾经供职于监管交易的中台多个部门,不但对结算业务了解得非常透彻,而且还积累了关于风险控制流程的丰富经验。也就是说,凯维埃尔曾经就是监管者,后来又被人监管。
一个监管健全的公司,股票交易要经过交易员所在的部门、风险管理部门和结算部门,这三个部门应该是完全独立的。如果交易员跟结算部门职能重合的话,那么交易员就可以在结算安排上做手脚,掩盖自己的交易记录。虽然法国兴业银行还不至于将这三个部门的职能重叠,但是它让一个在监管交易的中台工作过数年的员工在前台做交易员,本身也存在着一定的风险,违背了后台与前台完全隔离规则的遵守。像这种类似的情况,不用说自己能够利用在监管部门的经验作案,甚至还可以通融或联合结算部门的同事一起作案。
(2)信息沟通得不够及时和畅通
熟悉中后台及电脑系统的优势使得凯维埃尔在买入金融产品时,懂得如何刻意去选择那些没有保证金补充警示的产品,以使风险经理难以发现交易的异常情况。而且,为了避免虚假的操作不被及时发现,他还凭借在中后台流程控制方面的多年经验,连续屏蔽了法兴银行对交易操作的性质进行的检验、监控,其中包括是否真实存在这些交易的监控。
凯维埃尔居然能够进入那么多未经授权的数据库,也表明兴业银
行的计算机数据管理存在很大漏洞。5年的打杂工作使他对银行的电脑系统非常熟悉,可以绕过银行的监管系统投资衍生品。公司的审计人员应当了解被审计单位及环境,在实施风险评估时,主要应该询问审计单位管理层和内部其他相关人员,分析程序、观察和检查,以及其他审计程序。如果法国兴业银行对信息系统的有效性及时进行检查,使开发验收人员和IT 管理人员对技术漏洞及时采取补救措施,不定期更改系统密码,并对每个户名及密码的使用进行定期监控 ,那么凯维埃尔即使是电脑高手,对于严密的监控系统也无计可施了。
(3)内部监督的缺失
尽管风险经理曾数次注意到凯维埃尔投资组合的异常操作,但每次凯维埃尔称这只是交易种常见的一个“失误”,随即取消了这笔投资,二实际上他只是换了一种金融工具,以另一笔交易替代了那笔被取消的交易,用以规避相关审查。此外,凯维埃尔海盗用他人电脑账号,编造来自法兴银行内部和交易对手的虚假邮件,对交易进行授权、确认或者发出具体指令,以掩盖其越权、违规行为。
如果法兴银行能够对本行的内部控制体系进行有效的日常监督,即使法兴银行的内部控制系统在对交易员资金的监督、资金流动的跟踪、后台与前台完全隔离规则的遵守、信息系统的安全及密码保护等多个环节存在漏洞,本部的日常监督也可以从中发现蛛丝马迹,并及时纠正。凯维埃尔的违规操作实际上已经延续了长达三年之久(2005年至2008年),但在巨额盈利的掩盖下却一直未暴露出来。
其内部控制中所出现的问题具体表现在以下几个方面:
1、内部控制松懈失灵
从以上案例内容可以看出,交易员凯维埃尔在2005年就建立了虚假交易头寸,一直到2008年都未被发现。2007年至2008年年初,凯维埃尔在欧洲各大故事上投资股指期货的头寸高达500亿欧元,超过法兴银行359亿欧元的市值,其中,道琼斯欧洲Stoxx 指数期货头寸300亿欧元,德国法兰克福股市DAX 指数期货头寸180亿欧元,英国伦敦股市《金融时报》100种股票平均价格指数期货头寸20亿欧元,在如此异常的现象的背景下,尽管风险经理曾数次注意到凯维埃尔投资组合的异常操作,却只是径直得忽略了这种异常现象,同时也均未引起管理层的足够重视,可见法国兴业银行内部管理松懈,工作人员风险防范意识不足,从而使监督制衡机制形同虚设。
2、内部控制机制存在漏洞
凯维埃尔利用自身电脑技术上的优势,长时间侵入核心业务系统,连续地屏蔽了法兴银行对交易操作的性质进行的检验、监控,并且还编造来自法兴银行内部和交易对手的虚假邮件,对交易进行授权、确认或者发出具体指令,以掩盖其越权、违规行为。这说明法兴银行内部控制的环境还有很大隐患,企业文化并没有强调诚信和道德价值观念的重要性,对于员工的薪水评定,仅仅以业务成就作为评判标准,导致了凯维埃尔在这样的内部控制环境下一步步走向犯罪的深渊。
同时,法兴银行在组织结构与职权和责任分配制衡制度方面还存
在漏洞,银行内部并没有明确地职责划分,没有见业务授权、记录、资产保管和维护,以及业务执行的责任尽可能的分离开来,缺乏多个岗位或层级的有效制约。并且法兴银行未能严格落实后台与前台完全隔离的制度规定,密码管理不严,说明该行的内部控制制度存在严重的缺陷。
3、风险认定与评估不足
凯维埃尔利用虚假头寸获取巨额利润的案件,却一直未受到管理层的警示,直至损失高达49亿欧元(71亿美元)使,法兴银行才开始亡羊补牢。而风险管理部门也并未建立严谨的流程,用以识别经营环境包括监管环境发生重大变化。而外部市场环境的突然变化,必然因风险评估的不足而引起损失。
4、内部稽核作用未能充分发挥
作为后台的稽核或内审部门对实际交易的稽核或审计抽检不及时也不严格,中台部门的检查时间和检查内容、形式一成不变、缺乏灵活性,使凯维埃尔利用过去在中后台部门工作积累的经验对检查的时间、方法、内容了如指掌,加之检查人员工作不认真、走过场,给凯维埃尔利用虚假账户掩盖真实交易提供了可乘之机。
三、风险评估启示
法国兴业银行事件深刻教训,对改善注册会计师就此类金融企业审计进行风险评估的意义重大。从目前我国审计单位内部控制情况看,应积极培育强有力的内控文化,加强员工胜任能力,完善管理层的理念与经营风格,合理进行组织结构与职权和责任分配。
首先,培育强有力的内控文化。内控文化是审计单位有效内部控制制度的基本要素之一,审计单位要建立诚信与道德价值观念的沟通和落实时应考虑的因素,如:利用书面的行为规范并向所以员工传达,强调诚信和道德价值观念的重要性,管理层身体力行起表率作用,通过人性化的人力资源管理,合理的激励约束机制,内控文化树立员工对审计单位内部控制的正确认识,使自觉遵守内控制度,防范操作风险成为全体员工的自发行为,使内部控制充分有效发挥作用。
其次,审计单位应对胜任能力的重视情况加以考虑。法兴银行事件给我们的启示是,无论是企业还是监管部门一定要将风险管理放在首位。财务会计人员及信息管理人员应具备与被审计单位业务性质和复杂程度相称的足够的胜任能力,以及是否得到了有效的培训,在发生错误时,通过调整人员或系统加以处理。因此企业必须重视内控制度,风险高的环节要给予特别对待,外部的监管必须严格落到实处。
第三,完善管理层的理念与经营风格。要确定管理层是否对内部控制,包括信息技术的控制,给与了适当的关注,董事会、审计委员会或类似机构对其是否实施有效监督;还奥确定管理层在承担和监控经营风险方面是风险偏好者还是风险规避者,对于信息管理人员及财
会人员是否给予了适当关注,要在符合内部控制要求的前提下,整合业务操作流程,建立起市场风险、信用风险、操作风险和道德风险的防范体制。
第四,合理进行组织结构与职权和责任分配。建立经常性的风险监督与评价机制,在单位内部进行明确地职责划分,将业务授权、业务记录、资产保管和维护,以及业务执行的责任尽可能地分离,将数据的所有权合理划分,针对授权交易建立适当的政策和程序,对业务的发生情况、规章制度的执行情况、确保业务按照既定的方针,有计划、有秩序地进行。