法国兴业银行:小交易员捅出的大窟窿
文/胡为民
有人说,一开始,这件事像是一个玩笑。如果一个交易员能够绕过层层监管,独自一人以“欺诈”的手段从事巨额股票衍生产品交易,那么,不但法国兴业银行的风险管理能力将受到质疑,整个金融业在公众心目中的信誉也都会大打折扣。在今后相当长的时间里,这个欧洲老牌的金融机构将面临重大困难,而它留给我们的则是关于企业内部控制及风险管理的沉重思考。任何一家机构,无论具有怎样雄厚的实力,一旦放松了对内部运作的控制,失去了对风险的警惕和防范,那么哪怕是一个级别很小的员工或者是一个小小的失误,都将有可能葬送整个企业。
法国兴业银行创建于1864年5月,当年由拿破仑三世签字批准成立,经历了两次世界大战并最终成为法国商界支柱之一。可就是这样一个创造了无数骄人业绩的老牌银行在2008年年初因一个底层交易员的违规操作而受到了重创,“金字塔”险些瞬间倾塌。
2005年6月,该银行的交易员热罗姆·科维尔躲过了严密的监控系统,开始进行违规越权交易。2007年到2008年年初,他擅自动用了高达500亿欧元(合733亿美元)的衍生品头寸,投资欧洲股指期货。科维尔的欺诈行为暴露之时,正值2008年年初欧洲股市暴跌之际。法国兴业银行进行了紧急平仓,整整抛售三天之后将损失定格为49亿欧元。此次欺诈案的规模远远超过了历史上最为臭名昭著的巴林银行倒闭案。
不论从性质上还是规模上来说,此次事件都堪称“法国历史上最大的金融悲剧”。何以一个从法国三流商学院毕业、年薪不到10万欧元的年轻人能够撼动具有140多年历史的老牌银行的根基,并撬动了欧洲乃至全球股市?法国兴业银行的内部控制到底发生了什么,致使科维尔一个人可以轻易绕过五重安全控制系统,躲过由2000多人组成的庞大监控队伍,挪用巨额资金在股指期货市场上赌博?从表面上来看,悲剧的发生主要是由于交易员利用自身对公司风险管控系统的深入认识进行违规交易,而银行风险系统也没能及时觉察。但我们进一步分析发现,公司的内部控制环境,尤其是激进的企业文化为此次事件的发生埋下了隐患,而管理人员与监控人员置之不理的行为也使其成了科维尔的帮凶。
东窗事发
在2008年1月18日之前的几天,法国兴业集团就已经查出科维尔的交易记录上存在不寻常的交易风险,并对此进行了额外控制。2008年1月18日,银行一名经理收到了一封来自另一家大银行的电子邮件。邮件内容是确认此前约定的一笔交易,但问题是法国兴业银行早已限制和这家银行的交易往来。很快,银行内部组成了一个小组进行清查,指出这是一笔虚假交易,伪造邮件的是科维尔。一天后,科维尔被要求对此进行解释。与此同时,法国兴业银行也查出对方银行对这笔所谓的交易根本一无所知。科维尔最初还想靠老办法蒙混过去,但最终还是承认他伪造了虚假贸易往来。银行在19日连夜查账,并在20日震惊地发现,这起欺诈案件所涉及的资金总额如此惊人。
20日早晨,所有的头寸都被最终确认,当天下午,总体盈亏程度被确认。在18日(周五)交易日结束时,兴业银行损失接近20亿美元,但不幸的是,21日(周一)重新开盘时,由于全球股市遭遇“黑色星期一”,损失进一步扩大。
21日,法国兴业集团开始在非常不利的市场环境之中,对“欺诈案”中头寸进行紧急平仓,整整抛售三天。平仓记录显示,1月21日到23日,法国兴业集团的一系列市场对冲措施恰和上述几日欧洲股市暴跌相联系。不过,法国兴业集团等到1月24日将相关头寸全部平仓之后,才首次在公告中向公众披露,轧平这些仓位直接导致了其多达48.2亿欧元的损失。
2008年1月30日,法国兴业银行董事成立了一个由独立董事组成的排外性的特别委员会。该特别委员会与内部审计委员会合作,拥有对所有外部专家和顾问的信息追索权。同时,特别委员会还委任普华永道作为这项绿色任务(Green Mission)的审计顾问,对内部调查结果进行再次审查。
2月20日,法国兴业特别委员会向法国兴业董事会提交了一份名为《绿色任务》的针对交易员热罗姆·科维尔欺诈事件的中期调查报告。这份长达12页的报告说,兴业银行内部监控机制并未完全运转,内部监控系统多个环节有可能存在漏洞,主要包括对交易员盘面资金的监督、对资金流动的跟踪、后台与前台完全隔离规则的遵守、信息系统的安全及密码保护等。
报告披露,第75次警报拉响之后才让科维尔的行径败露。从2006年6月到2008年1月,法国兴业银行的大多数风控系统自动针对科维尔的各种交易发出了75次报警。其中,2006年科维尔的交易引起了5次警报,而2007年发布的可疑交易更多,共达到67次,随着交易量的膨胀,警报越来越频繁,平均每月有5次以上。而在2008年1月的3次警报的最后一次,欺骗终于败露。
2008年7月4日,法国银行监管机构——法国银行委员会对兴业银行开出400万欧元罚单(目前其罚款上限为500万欧元),原因是兴业银行内部监控机制“严重缺失”,导致巨额欺诈案的发生。银行委员会在一份公告中指出,兴业银行内部监控机制严重缺失,使得金融交易在各个级别缺乏监控的情况下,在较长时期内难以被察觉并得到纠正,因而存在较大可能发生欺诈案并造成严重后果。法国兴业银行也对科维尔提出了四项指控,其中包括滥用信用和欺诈未遂。在这四项指控中,量刑最为严重的滥用信用一项,最高可判7年监禁,并处以75万欧元罚款。
漏洞在哪儿?
突然摆在眼前的71亿美元损失却让以风险控制管理扬名的兴业银行上下以及业界震惊不已。这几乎抹去了兴业银行在业绩稳定期的全年利润。在对事件进行调查后,法国财政部出了一份长达12页的报告,将问题的矛头直指银行的内部监控机制。法国兴业银行的内控到底出现了哪些问题?
高绩效文化无视风险 在对法国兴业银行的内部环境进行分析之后,我们发现,法国兴业银行有着较为激进的企业文化。它制定的很多制度都鼓励员工不断地提高绩效,而使他们将风险置于脑后。事发后,大多数人会认为,科维尔冒险这么做是想将越权交易获得的好处偷偷卷入囊中。然而,经核实,除了获得了年度奖金之外,他没有从中偷一分钱。“我只是想为公司挣大钱。”科维尔说。
科维尔此前在法国兴业银行虽然很努力地工作但表现并不出色,也得不到上司的认可,他如果不能获得奖金,便仅能获得很少的基本工资。在法国兴业银行,交易员的最终薪水是跟他给公司赚了多少钱直接挂钩的,而且是严重挂钩,也就是说,交易员从交易盈利中分得的奖金多少,是决定他工资高低的决定性因素。因为这个制度的存在,每个交易员都希望赚大钱,甘冒风险,这样的企业文化在给银行带来丰厚利润的同时,也无疑为其埋下了危险的种子。
当然,为了防止交易员的冒险行为,银行也设定了投资权限。所谓投资权限设定,是指银行的证券或期货交易员实行交易时,都会受到资金额度的严格限制,只要相关人员或主管人员细心审核一下交易记录清单,就会发现违规操作。但是,这样一道防护墙在一味追求利润最大化的企业文化风气的腐蚀下,也近乎形同虚设。由于此前的违规操作曾给银行带来过丰厚的利润,管理人员放松了应有的警惕,终于导致事件发生。事后,当科维尔被问到为什么他的操作可以持续这么久时,他给出的答复是:“因为我在赚钱的时候,人们并不在乎这些反常细节。只要我们赚钱,而且不是太多,就什么也不说。”“我不相信我的上级主管没有意识到我的交易金额,小额资金不可能取得那么大的利润。当我盈利时,我的上级装做没看见我使用的手段和交易金额。在我看来,任何正确开展的检查都能发现那些违规交易行为。”从某种意义上讲,科维尔是内控文化不良的受害者。他的悲剧,其实也是当今金融系统内弥漫的贪欲和怂恿人们为追求高额利润铤而走险的金融体系所造成的。
低估风险发生的可能性和影响程度 《巴塞尔新资本协议框架》特别强调银行业的三大风险:信贷风险、市场风险和操作风险。商业银行最难控制的其实是操作风险,因为操作风险往往是由银行内部各个岗位上熟悉银行内控规则、知道如何规避的人造成的,即“内贼作案”。法国兴业银行欺诈案就完全属于操作风险。
然而,法国兴业银行的风险评估体系并非一无是处。法国兴业银行曾被评为世界上风险控制最出色的银行之一。事实上,法国兴业银行对于操作风险有着明确的风险策略,无论哪种业务,兴业银行都不允许交易员在市场大涨或是大跌时操作,这是为了避免导向风险,除非操作的时间很短,并且在严格的限制之下。而且,它的确拥有复杂而缜密的IT控制系统,并且会对交易人员的不当行为发出警告。从2006年6月到2008年1月,法国兴业银行的运营部门、股权衍生品部门、柜台交易、中央系统管理部门等28个部门的11种风险控制系统自动针对科维尔的各种交易发出了75次报警。这11种风险控制系统几乎是法国兴业银行后台监控系统的全部,涉及经纪、交易、流量、传输、授权、收益数据分析、市场风险等风险控制的各个流程和方面,由运营部门和衍生品交易部门发出的警报高达35次。而且监控系统竟然发现在不可能进行交易的某个星期六,存在着一笔没有交易对手和经纪人姓名的交易。具有讽刺意味的是,这么多次警报都没有令他们及早地识破科维尔的伎俩,发生如此小概率的事件,不能不说银行的风险评估过程存在着严重的问题。
虽然机器是铁面无私、恪尽职守的,但是人类的不负责任却令其毫无用武之地。风险控制部门负责调查的人员轻易相信了科维尔的谎言,有些警报甚至在风险控制IT系统中转来转去,而没有得到最终解决。可能他会说:“哎呀,是我搞错了,我马上把数据改过来。”这样,别人就不会再追究了。只要人们愿意相信,什么理由都可以把问题搪塞过去。如果遇到不好对付的风险调查人员或者质疑,科维尔就编造虚假邮件来发布授权命令。有7封来自法国兴业银行内部和交易对手的邮件,对科维尔的交易进行授权、确认或者发出具体指令。
职能重合 监守自盗 科维尔在做交易员之前,曾经供职于监管交易的中台多个部门,负责信贷分析、审批、风险管理、计算交易盈亏,不但对结算业务了解得非常透彻,而且还积累了关于风险控制流程的丰富经验。也就是说,科维尔曾经就是监管者,后来又被人监管。熟悉中后台及电脑系统的优势使得科维尔在买入金融产品时,懂得如何刻意去选择那些没有保证金补充警示的产品,以使风险经理难以发现交易的异常情况。同时,为了避免虚构仓位被发现,他还凭借在中后台流程控制方面的多年经验,从操作部门盗用了IT密码,通过把其虚假交易行为及时删除、伪造文件证明、虚构仓位等手段,成功地避开了中后台部门的日常监控。
一般来讲,一个监管健全的公司,股票交易要经过交易员所在的部门、风险管理部门和结算部门,这三个部门应该是完全独立的。如果交易员跟结算部门职能重合的话,那么交易员就可以在结算安排上做手脚,掩盖自己的交易记录。虽然法国兴业银行还不至于将这三个部门的职能重叠,但是它让一个在监管交易的中台工作过数年的员工在前台做交易员,本身也存在着一定的风险,违背了后台与前台完全隔离规则的遵守。交易人员不但能够利用自己在监管部门的经验作案,而且如果交易员跟结算部门的同事关系很不错,甚至可以通融或联合作案。
所以,法国兴业银行的案例提醒人们,在关注企业控制活动时,不仅要注意将不相容的岗位相分离,同时也要慎重对待不相容岗位之间的人员流动问题,应尽可能采取特别审查或有效监控的措施。
信息沟通得不够及时和畅通 科维尔居然能够进入那么多未经授权的数据库,也表明兴业银行的计算机数据管理存在很大漏洞。5年的打杂工作使他对银行的电脑系统非常熟悉,可以绕过银行的监管系统投资衍生品。科维尔花费许多时间侵入计算机系统,从而消除本可以阻挡他豪赌的信用和交易量限制。事情发生后,法国兴业银行也对信息系统的有效性进行了检讨,得出的结论是开发验收人员和IT管理人员应当对技术漏洞及时采取补救措施,不定期更改系统密码,并对每个户名及密码的使用进行定期监控。
内部监督的缺失 法国兴业银行的内部控制系统在对交易员盘面资金的监督、资金流动的跟踪、后台与前台完全隔离规则的遵守、信息系统的安全及密码保护等多个环节存在漏洞。然而,如果法国兴业银行能够对本行的内部控制体系进行有效的日常监督,那么也会从中发现蛛丝马迹,并及时纠正。科维尔的违规操作实际上已经延续了比较长的一段时间,但在巨额盈利的掩盖下却一直未暴露出来。法国财政部的报告建议:可以在企业内部设立由独立人士组成的委员会,由其负责监督交易风险,核查内部监控系统各个环节的工作情况,最后将存在的问题提交领导层磋商解决。
风险起于青萍之末
文/钱丽娜
谈起“风险“这个话题,欧洲最大的管理咨询公司凯捷咨询公司负责风险管理业务的副总裁安雅敏女士感触良多。2001年,安雅敏女士作为高层管理者从安达信的台湾分公司调转到中国内地分公司支持中国市场业务拓展。这家全球知名的企业有着百年历史,2001财年营业额高达93.4亿美金,是当时声明显赫的全球五大审计咨询公司之一。2001年,安然事件发生,在这一事件中,几名安达信休斯顿办公室的审计人员把安然公司审计底稿销毁,造成无法举证,其后事态不断扩大直至诉诸法律。
虽然已经从事管理咨询多年,但安女士坦言她当时确实也和大多数同事一样以为发生在美国休斯顿的这起纠纷,对中国不会有巨大影响。但现实是非常残酷的,没过多久这个在全球84个国家设有390个分公司及拥有85000名员工的著名公司宣告解体。这件事情之后,安女士对于风险的认识更为深刻,她不无感慨道:“整个公司在避免风险的过程中,一定要从关注细节开始,防微杜渐,因为风险往往起于青萍之末。”
当然,要做到关注细节这一点绝非易事,这代表很多管理程序必须从小处着手。就咨询公司而言,对于公司内部管理要严格遵循业务合规性,并用审慎的心态对待每一项工作。比如,安女士现在服务的凯捷咨询公司全球CEO每年都会亲自写信给各公司副总裁,强调业务合规、诚信,要求每个人亲笔签名后再寄回给CEO。而公司的员工也会要求做网上培训,了解什么是合规经营。
安女士提到风险管理还当“以人为本”。咨询服务双方合作过程往往伴随着曲折的变革路线,这其中最重要的因素是“人”。很多项目无法达到预期效益,都是在管理“人”这个环节上出现了风险预兆而没有及时化解,最终风险转化成了损失。因此在服务中如何去影响人的感情变革曲线、如何引导其向积极向上的方向发展,成为管理类项目处理运作风险的关键。
安女士还强调:“咨询公司在提供服务的过程中随时会有风险,比如主要人员变动、并购、上市和业务方向变化。另外对于实施周期超长的项目,比如凯捷全球给英国税务局做的项目时间长达五到十年,如果不及时评估,无法确保项目与预期目标没有偏离。”凯捷中国曾经给北京的一家高科技公司提供海外公司并购后的IT和业务整合的咨询服务。项目启动初期,在客户满意度评估中,实施团队只得了3分。而公司以往项目的平均分值为4.5分。为此,整个项目组严阵以待,马上与客户重新梳理业务方向和作业重点,根据新的作业流程来进行人员调配。最终在后续项目执行中获取了客户的认可,有效化解了项目实施风险。因此,客户满意度评估是凯捷公司项目运作管理中的自我检查机制,可以避免团队在走了弯路时才回头查原因。
失败案例——安然事件
案例背景
美国最大的能源公司,美国企业500强2001年度第七位;
2001年12月突然申请破产保护,导致安达信会计师事务所倒闭;
首席执行官及首席财务官被联邦法院提起刑事诉讼。
会计造假
设立复杂的公司组织结构,通过关联方交易操纵利润;
利用“特别目的实体”隐藏企业债务;
通过SPE空挂应收票据,高估资产和股东权益;
利用衍生金融工具。
主要问题
公司文化重视短期业绩;
公司管理层不重视内部控制制度;
董事会和审计委员会对管理层采取不干预态度,缺乏对管理层的有效监督;
管理者的奖励直接与公司股价挂钩。
失败案例——巴林银行
案例背景
成立于1762年,倒闭前是英国历史最久、名声最显赫的商业银行。
1992-1995年期间,新加坡分公司的期货交易员里森刻意隐藏了金融衍生产品交易所造成的亏损,至1995年2月总亏损累计达14亿美元。英格兰银行宣布巴林银行不得继续从事交易活动并将申请资产清理,最终被荷兰国际集团收购。
主要问题
内部职责划分存在严重弊端,里森身兼双职,既担任前台首席交易员,又负责管理后线清算;
公司管理层不重视对财务报表的分析工作;
管理层未能及时就1994年底资产负债表上显示的5000万英镑的不明差额采取行动;内部控制制度在资金管理流程方面存在缺口,里森在过程中多次成功地向伦敦总部取得大额资金,以支付衍生产品交易亏损所需追加的保证金,但内部监察机制未能由此发现问题。
失败案例——中航油、伊利、巨人
案例背景
中航油——因石油衍生品交易巨亏5. 5亿美元。
伊利乳业——2004年12月,公司董事长郑俊怀等5名高管因涉嫌挪用公款谋取私利被逮捕。
巨人集团——拆借8000万港币投入保健品业;投建耗资10亿元巨人大厦;对生物工程的盲目乐观。
主要问题
内部监督机制形同虚设,集团公司控制不了下属公司的“人”权;
风险管理制度不健全,未建立危机处理机制;
公司治理结构出现漏洞;
缺乏有效的监督机制监控公司资金的不法流动;
盲目多元化,没有任何风险管理措施或观念,导致巨人集团的没落。
失败案例——四川长虹
案例背景
1994年在上海证券交易所上市,曾一度是国内股市少有的绩优股。
2004年12月28日长虹发布了上市10年以来的首次预亏报告,亏损主要缘自对单一应收款帐户(美国APEX公司)的坏账准备。
APEX公司已经累积拖欠四川长虹4.67亿美元货款。
主要问题
对主要经销商的运营缺乏充分了解,对运营风险掌握不足;
缺乏有效的内部控制制度,以反映应收账款的回收问题;
管理者可能刻意隐瞒已发生的损失。
