第3章A 银行内部欺诈风险管控现状及缺陷分析
A银行创建于1908年,1987年重新组建,是我国首家国有控股的股份制银行,在上海和香港两地的证券交易所挂牌上市。目前境内共有202家分行,合计2721个营业机构,在境外共设有12家分行。
A银行是国内金融营业范围最全的商业银行之一,经营范围涵盖银行、保险、证券、基金、金融租赁以及离岸业务等,旗下有国际控股、保险、金融租赁三家全资子公司,施罗德基金、国际信托和康联人寿保险三家控股子公司,并在青岛崂山、浙江安吉额、四川大邑以及新疆石河子等地区设有村镇银行,同时也是常熟农村商业银行、海南银行、西藏银行的战略投资者。截止2016年年底,A银行全集团资产总额达到87337.11亿元,较上一年度增长4.22%,实现净利润达到193.23亿元,客户存贷款余额分别为51165.46亿元和44791.48亿元,分别增长了0.99%和6.51%.
2016年,A银行已连续八年跻身《财富》杂志世界500强,营业收入排名153位,位列《银行家》杂志全球1000家大银行一级资本排名第13位,连续三年跻身全球银行20强。目前,A银行境内银行的从业人数为91929人,境外当地员工1922人,作为国有控股的大型商业银行,A银行的资产规模、业务范围、网点数量在全国同类商业银行中处于领先水平,具有一定的代表性。
3.1A 银行内部欺诈风险管控体系现状--分层制约管控体系及管理架构
3.1.1A 银行内部欺诈风险分层制约管控体系
新巴塞尔资本协议的颁布和实施,对于 A 银行内部欺诈风险的管控工作起到了极大的推动作用,A 银行将内部欺诈风险管理纳入了全面风险管理体系的范畴,阐明了内部欺诈风险的定义,设计优化了内部欺诈风险管理政策,同时积极借鉴国际国内各大商业银行的内部欺诈风险管控的先进经验和方法,促使 A 银行内部欺诈风险管控水平有了很大的提升,主要表现在以下两点:
一是 A 银行积极构建了内部控制及内部欺诈风险管理分层制约管控体系,加强了对内部欺诈风险的管控能力,见下表 3.1:
二是强化制度管理。近年来,A 银行把制度工作作为内部欺诈风险管理工作的基础性工作,并以“四重”标准(重要岗位、重点环节、重要业务、重点关注对象)为管控抓手,不断修订内部欺诈风险管理制度。这些制度规定包括:《重岗人员的轮岗、轮调以及强制休假的相关规定》、《基层营业机构会计主管委派制度》、《查库指引》、《现金重空限额管理制度》等等,大量制度规定的出台,旨在夯实内控基础,在制度层面不断完善内部欺诈风险管理体系。
3.1.2A 银行内部欺诈风险管理架构
2005年,A银行建立了内控体系,成立了内部控制委员会,明确并构建了操作风险治理架构,2010年,随着内部欺诈风险形势日益严峻,A银行开始重视内部欺诈风险管控工作,在原有操作风险治理架构的基础上,设计并建立了内部欺诈风险管理框架,如:
图3.1所示:A银行内部欺诈风险管理架构由董事会、监事会、高级管理层、战略委员会、审计委员会、风险管理委员会、法律合规部、监察室以及业务条线部门、经营机构组成,其中董事会承担内部欺诈风险管理的最终责任,负责做出内部欺诈风险管理的最高决策,负责批准A银行内部欺诈风险战略,设定风险容忍度,保障由足够的资源用于风险管理。董事会设置风险管理委员会,风险管理委员的主要职责为管控全行风险状况,风险管理委员会会履行定期评估风险并检查风险管理措施有效性的职责,风险管理委员会由信用风险管理委员会、反洗钱管理委员会、欺诈风险管理委员会、操作风险管理委员会以及市场与流动性风险管理委员会组成。
3.2A 银行内部欺诈风险案例及特征
近些年来,随着经济环境、人员、网点、业务量、规模和风险类型的不断变化,虽然 A 银行采取了多种措施来防控内部欺诈风险,但是仍然无法遏制内部欺诈风险增大的趋势,各类内部欺诈风险案件频发,进一步暴露了 A 银行内部欺诈风险管控背后深层次的原因。
3.2.1典型内部欺诈风险案例
3.2.1.1员工违法“飞单”事件
2012年,北京某财富管理公司发行理财产品,投资者作为有限合伙人加入该计划。
该理财产品具有投资时间短,投资收益高地特点。A银行对私高级经理杨某未经授权即引进上述财富管理公司理财产品,并借助银行网点向客户出售。由于个人客户购买起步门槛为五十万元,因此购买都为VIP客户,在推销产品的过程中,杨某多次申明该产品投资期短且回报率高,并且该产品有担保公司的投资担保函,同时出示了有该支行行长以及杨某签名的产品代销合同,由于杨某为该支行星级零售经理,再加上杨某之前的业绩以及信用良好,客户支持率很高,踊跃购买。该理财产品的销售6个多月,共募集资金1 亿元,但是该产品募集的资金,并未使用于规定用途,这直接导致产品到期后无法兑付。经过一个多月的协商,A银行召开工作会,会上表示该起事件将由某投资担保公司履行担保责任,全额收购客户购买的理财产品,经过核对认购单据和身份证明并签订保密协议后,认购人拿回了本金。之后,涉事的该商业银行员工杨某之后接受调查,A银行的声誉也受到了严重影响。
案件分析:一是A银行高级业务经理杨某私自引进理财产品,该产品非A银行代销产品,而银行明确规定不得利用银行场所销售非我行代销产品;二是给认购人出示的投资担保函上面有该支行行长以及杨某本人签名,说明该违规行为主要负责人知悉并参与其中,增大对客户的欺骗性。
3.2.1.2员工违法放贷
2009年7月19日,西北某省A公司以新建某水电站项目为名,向A银行某支行申请固定资产贷款3.2亿元。该支行行长史某及客户经理金某等人,为追求短期效应和发展速度,在借款人相关资料不全、担保评价内容存在严重缺陷的情况下,向A公司发放了该笔贷款。
2009年11月上旬,公安机关因A公司水电站贷款项目造假骗贷对该公司立案调查,经侦查认定,该国有银行6名员工分别因涉嫌违法发放贷款罪、受贿罪被检察机关逮捕。经人民法院终审判决:案发支行原党委书记、行长史某犯违法发放贷款罪,判处有期徒刑三年,缓刑四年;省分行公司业务部集团客户组业务经理、高级客户经理犯违法发放贷款罪,判处有期徒刑三年,缓刑3年;案发支行原副行长犯违法发放贷款罪、决定执行有期徒刑三年,缓刑3年;案发支行公司业务部原副总经理犯违法发放贷款罪、非国家工作人员受贿罪,数罪并罚,决定执行有期徒刑一年六个月,缓刑2年,并处罚金30000元;案发支行公司业务部原业务员、客户经理金某犯违法发放贷款罪,判处有期徒刑二年六个月,缓刑三年,并处罚金30000元;案发支行公司业务部原业务员、客户经理马某犯违法发放贷款罪,判处有期徒刑二年,缓刑三年,并处罚金30000元。
案件分析:一是A银行某支行史某及客户经理金某在借款人相关资料不全、担保评价内容存在严重缺陷的情况下,向A公司发放了贷款。按照规定,凡资料不全,担保有瑕疵的贷款申请不得受理,此外金额高于5000万的重点客户贷款事项须经分行风险委员会上会讨论核准;二是该支行大额贷款授权审批手续由客户经理金某录入,后由支行行长史某审批,未按规定开展贷前调查、评估调查,同时捏造评估报告和审查意见,为授信审查提供虚假信息,并且无上级审批节点控制。
3.2.1.3员工票据诈骗
2011年,A银行沈阳分行在季度风险排查时,发现其辖属支行滨湖支行对公户**集团公司2亿元存款不翼而飞,在进一步的调查中发现:某投资房地产公司在滨湖支行开户,2011年初,该公司出现巨额亏空,为防止资金链断裂,该公司铤而走险,串通银行操作人员刘某,偷盗**集团公司的预留印鉴后,伪造其预留印鉴,然后多次得手,涉案金额高达2.58亿元。案发当日,相关责任人已被移送公安机关监管。
案件分析:一是 A 银行会计操作人员刘某偷盗**集团公司预留印鉴卡片交与人员,由其进行伪造印鉴;二是某投资房地产公司利用伪造汇票作案,刘某进行兑付。
3.2.1.4员工收受商业贿赂
张某某,男,1986年3月生,原A银行个贷部员工。
2012年8月至2014年8月,张某某收受某商贸有限公司法定代表人王某给予的业务好处费。期间,王某向张某某推介个人贷款客户,并由王某协助客户出具提款所需用途发票,收款单位为王某的公司。
对于此类贷款客户,张某某在贷款发放前未对借款人贷款实际用途的真实性进行审核,客户准入不严,对业务背景真实性调查流于形式,且未在调查报告中如实、全面反映借款人及抵押物情况,同时,发放贷款均为虚假用途或无用途贷款,且违规拆分发放扩大贷款金额,以上行为造成A银行不良信贷资产余额2000多万元。
案件分析:一是社会上的一些不良风气开始向银行频频招手,一些犯罪分子为获取高额的信贷资金,选择通过贿赂行为来收买银行员工,进而达到骗贷的目的;二是内控运行机制存在问题,部分基层机构、营业网点由于业务量大、人员紧张等各种因素,未能严格执行规章制度,岗位制约存在漏洞,内部管理混乱,这些容易被犯罪分子利用。3.2.1.5员工非法吸收公众存款陈某,男,1979年2月生,原A银行中山路支行客户经理。
2014年上半年,陈某结识了某投资公司负责人石某,为了便于石某经营及投资用款,陈某在其朋友圈及客户群中以月利息3分至9分不等的高息帮石某吸收社会资金,石某在期限内还本并支付高息。
2015年7月,因资金链断裂,石某无法按期还款,陈某情急之下向某文化传播公司借款3000万用于偿还民间借贷,后无法归还,该公司到A银行要求索赔,至此整个事件浮出水面。从2014年9月到2015年7月,陈某先后向69人吸收资金,通过其父母在A银行的账户向石某划转资金,累计吸收资金高达6.39亿元,并从中获取300万元好处费,直至案发,陈、石二人尚有约3.38亿元无法兑付。
2015年,法院判决,陈、石二人因犯有非法吸收公众存款罪,分别处以有期徒刑5年和5年6个月,同时,A银行中山路支行行长李某承担领导责任,被予免职。
案件分析:一是A银行对于民间集资现象未能高度重视,未及时对员工开展风险防范培训和排查工作;二是内控工作管控不到位,对于员工及其直系亲属的大额资金往来情况未能进行有效监控。
3.2.2A 银行内部欺诈风险特征
根据对A银行内部欺诈风险状况以及近些年发生的典型风险案例调查研究发现,A银行的内部欺诈风险特征主要表现为以下几个方面:
3.2.2.1内部欺诈风险案件逐年递增
近年来,我国商业银行进入了快速发展期,银行间的竞争也进入了白热化,为了提升竞争力,A银行不断的扩展经营规模和创新业务领域,人员、网点、业务量的不断激增虽然一定程度上提升了A银行的竞争力,但是与此同时也带来了巨大的风险,内部欺诈风险就是其中之一,而且由于它与生俱来破坏力给A银行也带来了高额的经济损失和声誉影响。根据A银行内部统计,2015年A银行共堵截内部欺诈案件高达43起,涉及金额206.11万元,2016年A银行共堵截内部欺诈案件高达63起,涉及金额341.17万元。
3.2.2.2内部欺诈风险造成的经济损失巨大
由于我国商业信息披露制度的不完善,造成许多银行在内部事件公布过程中,常常会故意掩盖部分重要信息,这一行为通常会导致发布信息失真,特别是在风险事件真正发生之后,所公布的细节以及损失程度都大大偏低,进而造成了某些很重要的风险被低估的假象。如2006年,A银行沈阳滨河支行诈骗案,实际涉案金额高达2.58亿元,其涉案金额之大令人触目惊心。并且,根据内部资料,A银行由内部欺诈风险带来的损失平均额基本上都在数千万之上,巨大的经济损失和声誉影响极大的制约了A银行的进一步发展。
3.2.2.3基层机构内部欺诈风险发生率较高
从我国各商业银行的经营模式来看,通常是总行和分行承担综合管理职责,具体业务的办理大多由分支机构进行操作,因此基层机构内部欺诈风险发生的可能性相对较高。A银行作为我国商业银行的重要一员,其内部欺诈风险也集中在基层机构中。同时,由于A银行目前实行的是垂直管理模式,即境内外分支机构的风险管理岗位人员,负责在全行统一的风险偏好下,牵头实施对同级别业务部门及下级分支机构的风险管理工作。因此,在风险管理人员因培训不利、专业水平有限的情况下,会使得内部欺诈风险管控形同虚设。
3.2.2.4高管涉案比例逐年增大
从近年来A银行发生的内部欺诈风险案件来看,涉案人员中银行基层高管比例逐年增高,这些基层高管包括支行行长、信贷经理等,并且这些高管涉案的案件还具有涉案金额大、涉案周期长以及涉案范围广的特点。这些高管人员,为了提高工作业绩,往往会做出一些违规的事情,最为典型的就是违规放贷事件;另外还有一些高管以权谋私,接受客户的贿赂,最为严重的是一些管理人员,为了满足金钱欲望,不惜勾结外部不法分子来共同骗取银行贷款,甚至是挪用银行资金等,这些行为给A银行带来了巨大的资金损失和声誉风险。
3.2.2.5作案手段越来越高明
随着我国科技信息技术的不断提高,A银行在很多业务方面都引入了信息技术,并对部分系统进行了优化,网络信息技术的大范围推广,在很多方面给客户操作带来了便捷,但同时,与高科技相结合的内部欺诈风险案件也应运而生,技防难度增大,给A银行的内部欺诈风险管控带来了不小的挑战。
3.3A 银行现有内部欺诈风险管控体系缺陷分析
3.3.1文化缺失,架构不健全
3.3.1.1内部欺诈风险管理理念存在偏差
银监会于2008年10月发布《商业银行操作风险指引》后,A银行也在实务工作中全面引入了操作风险和内部欺诈风险概念,但是包括高级管理层在内的员工,对内部欺诈风险的认识,并未跟上当前风险的特点和发展趋势,在内部欺诈风险管理文化建设方面存在很多问题,对内部欺诈风险的研究也仅仅停留在简单识别监督层面,并未引起足够的重视,同时在实务管理中也存在很大的问题。一是风险管理文化意识不强。
A银行员工的内部欺诈风险管理意识不足,主要表现为:高级管理层对内部欺诈风险不重视,同时各级员工存在侥幸心理,将内部欺诈风险归为小概率事件,各种防控手段都只是走过程、搞形式,并未把内部欺诈风险管控工作落到实处。
二是忽略对事前风险的防范和预警。目前,A银行的风险管控方式还是以事后监督为主,通过事后的风险防控,对已经发生的风险事件采取责任追究和整改措施,试图以处罚遏风险,然而在实际工作中,这种方式只在短期有效,对操作风险的管理无法起到实质效果。从众多内部欺诈的风险案例中我们不难发现,大多数的涉案人员都存在明显的不良嗜好,如贪财、好色、嗜赌如命等等,而案发前,银行并未对这类人进行有效的督导,致使银行遭受巨大的损失,这都是忽视事前风险的防范和预警的表现。
三是忽视对高层管理人员的行为管控。实践中,银行的监督检查人员更重视前台操作人员管理,而忽视高层人员管理,目前对高层管理人员的监督检查仅限于离任审计环节,这种管控手段同目前高发的管理层参与的内部欺诈风险事件存在明显错配。同时,管理层人员内部欺诈比重越来越大,并且伴随着案件金额的升高呈加大趋势。而从A银行近期的内部欺诈风险损失案件中可见,高层管理人员利用职权能够更方便的进行欺诈活动。
四是“重业绩,轻风控”思想倾向严重。A银行目前仍然以业务量以及业绩水平作为银行发展考核的主要目标,这种错误倾向,促使A银行各级部门对业绩的追求无限膨胀,各种业务盲目推广,“内控给业务让道”,无视风险的存在,这种情况下,极易导致恶性风险事件的发生。
五是对案件的全面分析不足。从案例分析的角度来看,内部欺诈风险事件之间往往存在共同之处或者密切联系,只有对案例进行全面、系统的研究分析,找到共性和规律,就能对风险管控起到举一反三、事半功倍的效果,但事实是,银行只重视个案查处,并未对案件进行横向、纵向分析,导致风险事件屡禁屡犯,屡禁不止。比如骗贷案和“飞单”案,作案人员都有固定的模式来躲避日常监管,而如果风控部门加大对相关风险环节的日常监督检查,是完全可以避免相关风险案件的发生六是保障措施意识差。良好的保障措施可以确保内部欺诈风险管理体系发挥最大效用,然而目前,A银行在保障措施的建立和投入方面还远远不足,这主用表现在A银行在组织体系、制度建设以及人员培训方面不够重视,而这些保障措施的建设会直接影响到内部欺诈风险管控体系的有力实施,使得管控体系无法发挥出实效。
3.3.1.2内部欺诈风险管理架构不健全
A银行的风险管理架构不健全,这主要表现在:首先,未形成网络化的全面风险管理架构,未设立独立的内部欺诈风险管理委员会,未制定内部欺诈风险管理政策策略,管理高层无法像管理信用风险那样,对全行面临的欺诈风险进行全面管控;其次,A银行内控欺诈风险管控职责零散。目前,A银行的内部欺诈风险管控被分散在各个部门中,无牵头部门进行总体把握,公司部、零售部、营运部、法规部各自为政,无法形成合力。
3.3.2内控失效,管控体系割裂
3.3.2.1内部控制制度不完善
A银行缺乏全面有效的内控体系制度:一是表现在A银行的内部控制范围有限,未全面覆盖所有业务流程和环节,特别是对新产品、新业务以及需要重视的危害性较大的新的风险类型,如内部欺诈风险,并未形成有针对性的内部控制措施;二是表现在内部控制制度的完善更新速度并未跟上银行业务的创新发展速度。因此,针对内部欺诈风险的特点和影响要素,制定完善的内部控制制度,并根据内外部环境的变化以及业务需要,不断优化调整内部控制制度,是有效控制因制度和操作引发的内部欺诈风险的重要举措。
3.3.2.2业务流程不够严密
业务流程设计的不合理不仅会影响到银行的经营效率,而且流程中的漏洞还有可能被犯罪分子利用,进而给银行造成损失。从上述A银行发生的案件中可以看到一些违规行为的发生,如发放贷款无真实的审查依据,不法分子轻易利用伪造票据诈骗银行资金的行为,其风险诱因除了人员道德风险问题以及银行本身监控不力等制度因素外,业务流程设计不合理和不严密也是导致内部欺诈风险案件发生的重要因素,因此,流程再造和流程优化是A银行内部欺诈风险管控工作的重要保障之一。
3.3.2.3制度执行力不够
虽然当前我国的银行监管部门颁布了众多的法律规章和规章制度,同时,A银行内部也发布了很多管理规定,但是在制度的执行层面,A银行并未采取有效的方式和手段来增加约束力、提高执行力,突出表现在具体业务工作中随意性机强,工作的程序化不够,“熟人文化”盛行,导致制度并未严格执行,制度的效果也就大打折扣。
3.3.3机制落后,管控方法单一
3.3.3.1内部欺诈风险内控机制不完善
一是内部欺诈风险内控措施针落后。因地制宜,制定切实有效的内部控制措施是商业银行内部控制的核心内容,目前A银行针对内部欺诈风险的内部控制制度普遍存在控制力不足,控制发散且无法形成合力的特点,具体表现在对业务、系统、以及人员控制上,并未根据内外部环境的变化修正主要风险点和确定新的风险点,而依旧沿用过去的标准制定措施,内控措施落后和内控盲点同时存在,风险管控质效低效,因此,无法适应A银行内部欺诈风险管理要求。二是是内部欺诈风险识别和评估手段不科学。风险识别是通过对全行内部的所有业务程序、环节以及管理程序进行全面梳理,判断这其中最重要的风险类型并对其进行定性分析的过程。风险评估是对已识别出的主要风险进行评估,评估涉及该风险的影响程度以及该风险的可接纳程度。目前国际上对内部欺诈风险识别和评估已经有一些定量方法,但是这些高级计量手段还无法应用到国内银行实际中去,尤其是数据的缺乏更加限制了高级定量法的适用性。对于A银行来说,目前针对内部欺诈风险的识别还处于定性阶段,对于评估也还未构建一个较为完善的体系。
3.3.3.2内部欺诈风险预警机制落后
高效的内部欺诈风险预警机制对于业务处理流程以及内控政策中存在的风险苗头和隐患能够快速作出反应,并及时纠偏。然而,A 银行现行的内部欺诈风险预警机制还很落后,主要表现在:一是关键风险指标选取单一、固化,未根据控制环境和风险的变化随时调整,风险敏感性较差。二是员工失范行为监测预警制度尚未建立,从目前的内部欺诈风险事件来看,道德风险是内部欺诈风险产生的主要原因之一,因此,员工失范行为的管控已成为内部欺诈风险管控的重要组成部分。三是重大事件报告渠道不畅通。
目前,A 银行的重大事件报告渠道还未真正打通,不报或瞒报现象还时有发生。
3.3.3.3内部欺诈风险转嫁/缓释机制的缺失
内部欺诈风险的控制/缓释是风险管理中的重要一环,但是 A 银行在该功能的实现方面效率较低,内控管理和内部审计在对内部欺诈风险进行转移、分散、降低和规避方面尚未发挥出最大效力。
3.3.3.4内部审计风险管控机制靶向性不强
目前,A 银行主要采取的账项导向和制度导向的内部审计模式,这种传统的审计模式对于事前和事中风险的关注度低,往往是在风险事实暴露后才会开展善后性质的内部审计。此外,受 A 银行本身体制约束,银行内部审计两项往往依靠的是内部审计人员的经验,甚至有些是直接受命于高级管理层的意志,这样的立项根本无法精准覆盖到某些高风险领域和业务,使得某些容易发生内部欺诈风险的部门以及相关的业务、环节成为了审计的空白区。
3.3.4高管失范,员工管控不当
3.3.4.1多层级委托代理管理产生“内部人控制”问题
由于A银行以国家作为所有权主体,其外部组织形式为分支行组织架构体制,这与行政层级安排保持高度统一。基于这种制度框架,政府与A银行之间存在委托代理关系,并且A银行内部也存在着多层级的委托代理关系,各个层级如总行、直属分行、辖属分行以及中心支行、小型支行层,这每个层级之间既是委托人又是代理人。正是因为产权制度不明晰,导致委托代理关系的严重错位,委托人无法对代理人进行有效的监督和控制,这直接导致了各层级高管在所辖部门、支行,形成“内部人控制”的局面,再加上信息的不对称,各级高管的道德良知成为保证委托人财产安全的砝码,这成为了银行内部欺诈风险产生的主要原因之一。
3.3.4.2激励失当和不足引发道德风险
道德风险是指在委托代理关系中,代理人为了追求利益最大化,往往会利用信息优势和程序制度缺陷来损害委托人的利益,这种风险就是道德风险。道德风险在信息不对称情况下普遍存在,具有一定的客观必然性。从A银行近年来发生的内部欺诈风险案例来看,A银行对管理层约束有余但是激励不足,同时也存在激励不合理的情况,A银行的薪酬体系类似于公务员薪酬体系,银行没有向员工提供足够的激励支出以防范风险,特别是随着国有商业银行改革的不断深入,收入开始向管理层倾斜,基层员工待遇下降,再加上正向激励措施少,反向约束措施多,迫使员工出现败德行为。
3.3.4.3考核制度存在缺陷
从“飞单”案例上来看,在案件披露之前,A 银行这家支行是一家先进支行,行长及高级业务经理“业绩突出”,年年表彰,说明 A 银行在考核和人员聘用方面只是以业绩和规模扩张为标准,忽视了风险控制要求以及用人道德标准要求,这就导致 A 银行的基层管理人员一味追求经营业绩和发展速度,丧失应有的风险意识、合规意识、职业操守,进而加剧了内部欺诈风险的暴露。
3.3.4.4人员选拔和使用存在问题
近几年来,A银行的业务量增长迅猛,新设机构增多,这给会计运营人员的补充调整带来了很大的压力,致使基层网点的会计人员的稳定性差,过于频繁的岗位调整使得岗位职责无法得到充分履行。另一方面,伴随着新设机构的增多,新录用的会计人员上岗仓促,岗前培训不够,风险意识薄弱。再加上出入成本控制的要求,目前A银行各网点的会计人员数量均压缩到最低配置,难免会出现一人多岗的情况,这使得一些需要通过岗位间牵制而达到内控目的的规章制度无法落实到位。