法国兴业银行内部控制案例分析

法国兴业银行（Societe Generale，以下简称为法兴银行）创建于1864年5月，是有着近150年历史的老牌欧洲银行和世界上最大的银行集团之一，分别在巴黎、东京、纽约的证券市场挂牌上市，拥有雇员55000名、国内网点2600个、世界上多达80个国家的分支机构500家，以及500万私人和企业客户。法兴银行提供从传统商业银行到投资银行的全面、专业的金融服务，建立起世界上最大衍生交易市场领导者的地位，也一度被认为是世界上风险控制最出色的银行之一。但2008年1月，法兴银行因期货交易员杰罗姆·凯维埃尔（Jerome Kerviel）在未经授权情况下大量购买欧洲股指期货，形成49亿欧元（约71亿美元）的巨额亏空，创下世界银行业迄今为止因员工违规操作而蒙受的单笔最大金额损失。这桩惊天欺诈案还触发了法国乃至整个欧洲的金融震荡，并波及全球股市暴跌，无论从性质还是规模来说，都堪称史上最大的金融悲剧。　　一、杰罗姆·凯维埃尔的作案手法　　在2007年至2008年年初长达一年多的时间里，凯维埃尔在欧洲各大股市上投资股指期货的头寸高达500亿欧元，超过法兴银行359亿欧元的市值。其中：道琼斯欧洲Stoxx指数期货头寸300亿欧元，德国法兰克福股市DAX指数期货头寸180亿欧元，英国伦敦股市《金融时报》100种股票平均价格指数期货头寸20亿欧元。法兴银行作为一家“百年老店”，享有丰富的金融风险管理经验，监控系统发达，工作权限级别森严。一个普通的交易员为何能够长期调遣高额资金进行虚假交易，这是我们关心的首要问题。　　凯维埃尔2000年进入法兴银行，在监管交易的中台部门（middle office）工作5年，负责信贷分析、审批、风险管理、计算交易盈亏，积累了关于控制流程的丰富经验。2005年调入前台（front office），供职于全球股权衍生品方案部（Global Equities Derivatives Solutions）， 所做的是与客户非直接相关、用银行自有资金进行套利的业务。凯维埃尔负责最基本的对冲欧洲股市的股指期货交易，即在购买一种股指期货产品的同时，卖出一个设计相近的股指期货产品，实现套利或对冲目的。由于这是一种短线交易，且相似金融工具的价值相差无几，体现出来的仅是非常低的余值风险。但有着“电脑天才”名号的凯维埃尔进行了一系列精心策划的虚拟交易，采用真买假卖的手法，把短线交易做成了长线交易。在银行的风险经理看来，买入金融产品的风险已经通过卖出得到对冲，但实际上那些头寸成了长期投机。　　纵观杰罗姆·凯维埃尔的作案手法，可以概括为侵入数据信息系统、滥用信用、伪造及使用虚假文书等多种欺诈手段联合实施的立体作案。为了确保虚假的操作不被及时发现，凯维埃尔利用多年来处理和控制市场交易的经验，连续地屏蔽了法兴银行对交易操作的性质进行的检验、监控，其中包括是否真实存在这些交易的监控。在买入金融产品时，凯维埃尔刻意选择那些没有保证金补充警示、不带有现金流动和保证金追缴要求，以及不需要得到及时确认的操作行为，巧妙地规避了资金需求和账面不符的问题，大大限制了虚假交易被检测到的可能性。尽管风险经理曾数次注意到凯维埃尔投资组合的异常操作，但每次凯维埃尔称这只是交易中常见的一个“失误”，随即取消了这笔投资，而实际上他只是换了一种金融工具，以另一笔交易替代了那笔被取消的交易，以规避相关审查。此外，凯维埃尔还盗用他人电脑账号，编造来自法兴银行内部和交易对手的虚假邮件，对交易进行授权、确认或者发出具体指令，以掩盖其越权、违规行为。　　二、法兴银行内部控制存在的缺陷　　健全、有效的内部控制对欺诈、舞弊和非法行为，具有“防止”、“发现”和“纠正”三大功能。法兴银行的内部控制之所以不能防止令人触目惊心的交易欺诈发生，首先源于设计上的严重缺陷。在技术发展迅速、交易系统日益复杂的趋势下，只依据过往的经验来拟定风险控制方法，不能适时地、前瞻性地展现出环境适应性和契合性，是法兴银行难以有效地觉察出欺诈行为的重要原因。法兴银行的内部控制系统在对交易员盘面资金的监督、资金流动的跟踪、后台与前台完全隔离规则的遵守、信息系统的安全及密码保护等多个环节存在漏洞。法兴银行关注的是欧洲交易所提供的汇总后的数据，而没有细分到每一个交易员的交易头寸数据。此外，它把监控点放在交易员的净头寸和特定时间段的交易风险上，并没有对套利“单边”交易的总头寸进行限制，忽视了全部交易的总规模。而让长期浸淫于风险控制体系的员工直接参与交易，更是违背了最基本的不相容职务分离原则。如今的金融交易和监管系统已完全实现电子化，信息技术和系统开发人员理应对内部控制的设计缺陷承担责任。要确保那些被交易员设计出来的规避监控的技术不再能够被运用，就必须以欺诈技术（防范）专家的思维，设计严密的监控程序。　　我们也注意到，法兴银行的内部控制系统在“发现”功能上并非一无是处。2008年2月，法兴银行特别委员会提交的中期调查报告显示：从2006年6月到2008年1月，法兴银行的运营部门、股权衍生品部门、柜台交易、中央系统管理部门等28个部门的11种风险控制系统，自动针对凯维埃尔的各种交易发出了75次报警。从时间来看，2007年发布警报最为频繁（达67次），平均每月有5次以上；2008年1月案发前，又发布警报3次。从细节来看，这11种风险控制系统几乎是法兴银行后台监控系统的全部，涉及到经纪、交易、流量、传输、授权、收益数据分析、市场风险等风险控制的各个流程和方面，由运营部门和衍生品交易部门发出的警报高达35次。荒谬的是，监控系统竟然发现在不可能进行交易的某个星期六，存在着一笔没有交易对手和经纪人姓名的交易。风险控制部门负责调查的人员轻信了凯维埃尔的谎言，有些警报甚至在风险控制IT系统中转来转去，而没有得到最终解决。直到2008年1月，一笔涉及300亿欧元的德国股指期货的交易对手巴德尔银行（Baader Bank）才引起集团管理人员的警觉，因为巴德尔银行作为一个规模中等的德国做市商，根本不可能从事数额如此巨大的交易。在对巴德尔银行收紧贷款、核查其历史交易和开展全面调查之后，惊天欺诈案水落石出，不幸的是为时已晚。　　法兴银行的交易欺诈案，表面上是因为内部控制系统的功能“残疾”（不能“防止”，虽能“发现”，但迟迟不能“纠正”），但深层次的原因则是内部控制的根基不牢，控制环境不佳。从2005年开始违规交易、一度账面盈利达14亿 欧元的凯维埃尔说：“我不相信我的上级主管没有意识到我的交易金额，小额资金不可能取得那么大利润。当我盈利时，我的上级装作没看见我使用的手段和交易金额。在我看来，任何正确开展的检查都能发现那些违规交易行为。”管理层的利欲熏心、风险管理意识淡化，由此可见一斑，这也是法兴银行内部控制功能落空的根本原因。