10_商业银行的操作风险管理 商业银行经营管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,10 操作风险管理,1,引子：许霆取款案,2,事件经过,2006年4月21日晚，青年许霆到广州天河区黄埔大道某银行的ATM取款机取款。结果取出1000元后，银行卡账户里只被扣1元。狂喜之下，许霆连续取款5.4万元。,当晚，许霆回到住处，将此事告诉了同伴郭安山。两人随即再次前往提款，之后反复操作屡次。后经警方查实，许霆先后取款171笔，合计17.5万元；郭安山那么取款1.8万元。事后，二人各携款潜逃。,事发后，小郭主动自首后被判处有期徒刑一年；而潜逃一年的许霆，17.5万元赃款因投资失败而挥霍一空，2007年5月在陕西宝鸡火车站被警方抓获。,3,量刑,广州市中院审理后认为，被告许霆以非法侵占为目的，伙同同案人采用秘密手段，盗窃金融机构，数额特别巨大，行为已构成盗窃罪，遂判处无期徒刑，剥夺政治权利终身，并处没收个人全部财产。,依据：,根据刑法关于盗窃罪的解释，个人盗窃公私财物价值三万元至十万元以上的，为“数额特别巨大，而我国刑法对此相应的规定是，处十年以上有期徒刑或者无期徒刑，并处分金或没收财产。有以下情形之下的，处无期徒刑或者死刑，并处没收财产：一盗窃金融机构，数额特别巨大的；二盗窃珍贵文物，情节严重的。,4,社会热议,在网易的论坛票选中，有九成以上的网友认为银行有错在先，法院不该重判。,深圳某律师表示：客户持卡在ATM机上提款的行为属于一种民事合同行为，而不应作为追究刑事法律责任的依据。小许在取钱时，柜员机完成了所有的既定程序，其多吐了钱，是银行自己的失误，这应属不当得利而非盗窃。,有趣的反问：“ATM是金融机构，ATM吞我的钱是不是算抢劫呀？银行多给了就说储户盗窃，那哪天银行给少了，我们能不能告银行诈骗呢？！ ,5,终审定谳,2021年5月许霆案终身定谳，许霆被判5年有期徒刑，罚金人民币2万元，并退赔其从银行ATM机上取出的17.3826万元。,6,花絮：赔偿情况,2007年12月，事发银行一名工作人员透露，因ATM机故障给该行造成的损失早已得到ATM机生产厂家广电运通公司的赔付，银行并无损失。,2021年终审后，许霆还应退赔其从银行ATM机上取出的17.3826万元。,在此案件中，理论上，因ATM故障而导致商业银行获利17.3826万元！,7,本章内容,假设干根本概念,我国商业银行操作风险,存款业务操作风险案例,法人客户信贷业务操作风险案例,个人客户信贷业务操作风险案例,中间业务操作风险案例,商业银行的内控制度建设,8,假设干根本概念,9,定义,狭义：,与操作部门有关的风险。,国际清算银行：信息系统缺乏或内部失控而造成意外损失的风险，它与人类的错误、系统的失败及程序或控制不当有关。,JP Morgan：各公司业务和支持活动中内生的、可能导致财务损失或其他方面损害的风险，表现为各种形式的错误、中断或停滞。,广义：,信贷风险和市场风险以外的一切银行风险。,巴塞尔银行监管委员会：由于内部程序、人员和系统的不完备或失效，或由于外部事件造成损失的风险。,10,分类I,1.内部欺诈风险：,有机构内部人员参与的诈骗、盗用资产、违犯法律以及公司的规章制度的行为。,例：大和银行资金交易员在长达11年的资金交易中，有3万多笔未经授权，并以做假账、伪造交易记录等方式掩盖。,2.外部欺诈风险：,第三方的诈骗、盗用资产、违犯法律的行为。,据统计，美国银行业每年由于支票欺诈而造成的损失约为100亿美元。,3.客户、产品与商业行为风险：,由于产品特性或设计不合理、员工效劳粗心大意、对特定客户不能提供专业效劳等原因而造成的银行损失。,例：2000年英国平等生命保险社团公司单方面修改合同，对客户享有的保障年金受益率进行修改，被客户告上法庭，被英国上议院判为非法，从而损失沉重。,11,分类II,4.执行、交割和流程管理风险：,交易处理、流程管理失误，以及与交易对手关系破裂而引发的损失。,例：1985年所罗门兄弟公司因为前五年内部交易上的不一致和不平衡而形成1.26亿美元的损失、因当年的财务处理错误而形成6000万美元的损失。,5.经营中断和系统错误风险：,软件或硬件错误、通信问题以及设备老化导致的风险,例：1985年某证券清算银行计算机系统偶发故障，不接受任何收入性交易，导致其在美联储帐户上出现226亿美元的赤字。,例：许霆案。,12,分类III,6.雇用合同以及工作状况风险：,由于不履行合同，或者不符合劳动健康、平安法规所引起的赔偿要求,例：2004年摩根斯坦利因在员工管理中存在性别歧视被提起诉讼，不得不向女雇员赔付5400万美元。,7.有形资产的损失风险：,由于灾难性事件或其他事件引起的有形资产的损坏或损失。,2001年911事件导致美国Cantor Fitzgerald破产。,13,特点I,内生性：,操作风险中的风险因素很大比例上来源于银行的业务操作，属于银行可控范围内的内生风险。,“买一家银行的股票，就意味着买一个备受操作风险的波动影响的行业。,操作风险与预期收益或损失之间存在弱相关性。一般来说，风险和收益相伴随，风险越大，损失的可能性越大，一旦获得收益也可能很大。但这种一一对应关系在操作风险领域几乎不存在。因此操作风险不受利润驱动。,进而，单个操作风险因素与操作损失之间也并不存在清晰的、可以界定的数量关系。,14,特点II,外延性：,从覆盖范围看，操作风险管理几乎覆盖了银行经营管理所有方面的不同风险。,既包括发生频率高、但损失相对较低的日常业务流程处理上的小纰漏，也包括发生频率低、但一旦发生就会造成极大损失，甚至危及到银行存亡的自然灾害、大规模舞弊等。,因此，试图用一种方法来覆盖操作风险的所有领域几乎是不可能的。,15,特点III,人为性：,操作风险主要来自于商业银行的日常运营，因此，人为因素在操作风险的形成原因中占了绝大局部。,上述7类操作风险表现形式中，有六类与人为操作直接相关。,可以说，只要是与人员相关的业务，都存在着操作风险。,16,特点IV,与其他风险的关联性：,从某种意义上看，操作风险是商业银行日益复杂的业务经营管理活动所产生的“副产品，它与其他风险呈现出一定程度的此消彼长的关系。,例：为化解信用风险，采取信贷资产证券化等方式，在此过程中因复杂的操作程序和过程而加重操作风险；,例：为降低市场风险，采取套期保值、套利、掉期等金融衍生产品，增加了日常运营的复杂程度，加剧了操作风险。,17,特点V,危害性：,直接的经济损失：大宗的金融衍生交易、内部人员长期从事非法交易所带来的经济损失可能给银行带来消灭性打击。,间接的经济损失：对上市银行而言，操作风险导致的直接损失将使投资者疑心银行管理者的能力，从而导致股价下跌。麦肯锡对北美和欧洲上市金融机构的研究说明：当银行风险形成损失的信息传递到市场时，短期到中期内将导致股价下跌，股票市值损失是实际损失的12倍。,银行声誉上的损害：严谨细致、审慎标准是商业银行公众形象的底线，操作风险过大导致银行发生较大损失，将损害银行的这一形象，从而影响客户对银行的信心。,18,特点VI,复杂性：,涉及领域广；,形成原因复杂；,损失具有不确定性；,人的行为特征难以控制。,因此，操作风险难以识别、难以计量、难以控制、难以转移，是银行针对业务经营中不确定性进行的日常斗争。,操作风险管理的关键是过程，而非结果。,19,我国商业银行操作风险,20,主要特征,损失事件主要集中在商业银行业务和零售银行业务，占到损失事件比例最大的是商业银行业务中的内部欺诈。,单笔损失金额的均值相差很大；,损失事件的多少与银行的总资产规模成正相关，但损失金额多少与总资产没有明显的相关性。,从损失事件数目和损失金额的地区分布看，操作风险不一定发生在经济兴旺的分支机构，但是肯定会发生在管理薄弱、风险控制意识不强的地区。,21,成因I,公司治理结构不健全。,各银行一般存在所有者虚位，导致“内部人控制现象：银行高管人员利用政府产权上的弱控制而形成事实上的“内部人控制，进行违法违纪活动。,内部制衡机制不完善：董事会、监事会、经营管理层之间的制衡机制还未真正建立起来。,内部控制能力逐级衰减：国有商业银行的多级管理架构，内部管理链条过长，信息交流不对称，按照“变压器原理，总行对分支机构的控制力层层衰减，管理漏洞比较多。,22,成因II,内控制度建设不完备。,没有形成系统的内部控制制度，控制缺乏与控制分散并存，业务开拓与内控制度建设缺乏同步性，特别是新业务的开展缺乏必要的制度保障，风险较大。,内控制度的整体性不够：对所属分支机构控制不力，对决策管理层缺乏有效的监督；对业务人员监督得多，而对各级管理人员监督得较少、制约力不强。,内控制度的权威性不强：审计资源配置效率低下，稽核审计职能和权威性没有充分发挥，内部审计部门没有完全起到查错防漏、控制操作风险的作用。,23,成因III,技术和人员缺陷：,风险管理方法落后，信息技术的运用严重滞后。,银行管理人员在日常工作中重业务开拓，轻队伍建设；重员工使用，轻员工管理；对员工思想动态掌握不够，加之举报机制不健全，使本来可以超前防范的操作风险不能及时发现和制止。,24,成因IV,外部环境因素：,商业银行在日益严峻的市场竞争环境下可能更倾向于采取激进式的鼓励模式、管理模式和营销模式，从而加大了操作风险。,商业银行在市场化、股份化的转型改制过程中，伴随机构撤并，也带来了大量充裕人员的消化问题，导致各种矛盾有锋利化趋向，成为内部欺诈或外部欺诈的导火索。,当前社会治安形势仍然严峻，针对银行的抢劫、诈骗、盗窃等犯罪时有发生。,25,存款业务操作风险案例,26,特点,发生频率很高；,欺诈手段日益多样化，且不断翻新；,作案工具具隐蔽性，防范难度大；,作案时间、地点、步骤具有一定的规律性；,作案诱因具有迷惑性；,内外勾结、集体作案是主要趋势；,作案金额日益增大，造成的银行损失日益增多。,27,案例10-1：内部欺诈风险：哈尔滨中行特大卷存案,28,存款来源,2005年2月初，中国银行哈尔滨河松街支行卷存案的两名主角高山和李东哲出逃，卷走了10亿元。其中高山是该支行行长、李东哲是世纪绿洲系列企业的实际控制人。,高李二人早有联系，河松街支行暴涨的存款中有一大局部就是李拉来的，本案涉及的主要是东北高速公司和社保资金。,东北高速把近3亿元分成两个帐户存入河松街支行，拟用以黑龙江省从呼兰到通河县及大庆市外环等地的公路建设工程，因后来这几个工程的主管单位都筹到了钱，所以东北高速没拿到工程，钱也就闲了下来。于是东北高速与河松街支行做了一个大额协议存款，以在行里“休眠一年的条件获得一个较高的协议利率。,2003年10月，社保部门将1.8亿的社保资金存入河松街支行，04年10月到期后，高主动派人上门给社保局送上利息，取得信任，该资金续存。,29,卷存方法,对东北高速等的存款，采取的是先贷出再转移的方法：,利用职务之便，高山采取上门效劳的方式私下到企业拉存款；,再将资金贷给李下属的几家企业，李记企业总共获得现金贷款近10亿；,由于有一年的“休眠期，高李有充分的时间去转移资金。,对社保资金采取的是直接骗存的方法：,社保资金存入河松街支行的那一刻就已流失，因为双方签订的大额协议存款的存单是假的，做的是账外账，根本就没有存入帐户。,30,点评,对基层行一把手的监管和考核缺乏科学标准和合理程序，导致一方面基层行无不将存款数额作为自身业绩的唯一标准，存款量与业绩直接划等号，拉存方式常常逾越常规，另一方面对基层行的日常监管缺乏，致使一把手能够为所欲为。,法人存款人、尤其是国有法人存款人对存款程序和资金管理过于随意，应是高李得以沉着卷存骗存的一个重要原因。,31,案例10-2：外部欺诈风险：广州黄埔区商业银行骗款案,32,案由,2000年6月，化名卢兴堂的陆某以某公司要拉存款作抵押贷款为名，请经人介绍认识的孙某帮助拉存款，并许诺支付贴息的好处。,孙是联合证券海湾业务部的老客户，他说服该业务部负责人将900万元客户保证金存入兴发支行。,存款办妥后，陆某用盖有伪造的海湾业务部财务专用章和有关负责人似章的空白凭证收费单向兴发支行购置了转帐支票，并将支票提供给合谋者杨某。,从6月30日至7月13日，杨凭借9张转帐支票从联合证券海湾业务部在兴发支行的帐户中先后转出418.3万元，而后提现。,7月17日，海湾业务部出纳员在向兴发支行购置支票时发现自己帐户内的局部资金被转走，当即向公安机关报案。,8月31日，陆某以票据诈骗罪被判15年有期徒刑，但其提现的400多万元却无法追回，且银行和证券的存款合同关系依然存在，债务纠纷由此而生。在屡次向兴发支行追索被盗款项未果后，联合证券将兴发支行告上法庭。,33,一审,黄埔区法院于2002年6月受理此案。,2003年3月24日一审判决如下：,确认海湾业务部与兴发支行之间的储蓄存款合同关系存在。,将双方过错责任分摊：兴发支行未严格执行取款的审核认定程序，对骗款负有主要责任，裁定其赔偿联合证券被骗资金的80%及利息；联合证券和海湾业务部将客户保证金违规存入兴发银行存款帐户，且开立帐户时未委派本企业财务人员，对被骗资金承担20%的损失。,34,终审,一审判决后双方均不服，向该市中级法院上诉。,联合证券在上诉书中以?民法通那么?和?合同法?来保护其委托代理行为，并以证监会颁发的?客户交易结算资金管理方法?在案发一年半后才开始实施为由，对法院认定其委托孙某办理开户将保证金转存入兴发银行帐户的行为必须承担民事责任的一审判决提出质疑。,2003年9月5日，中级法院终审判决联合证券胜诉，兴发银行必须在10日内赔偿联合证券损失的全部存款及其利息。,35,判决执行上的扯皮,10天的执行期内，兴发支行未对联合证券作出任何赔偿。9月16日联合证券向法院申请强制执行。,兴发支行称自己并不具备法人资格，须上级单位市商业银行拨付款项才能履行判决。,法院专门为此案举行了听证会，双方及市商业银行均派代表参加。听证会上，市商业银行虽确认兴发银行为其分支机构，不具法人资格，但认为只有在兴发支行被授权经营的财产缺乏以清偿债务时才承担补充清偿责任，也就是说其对此案不负赔偿责任。,执行法官于是派助手向市商业银行了解兴发支行被授权经营的财产清单，但市商业银行负责人以请示上级领导为由一拖再拖，最终没有按时提交财产清单。法院因此在11月28日追加市商业银行为被执行人。,对此追加市商业银行代表姜某表示银行将依法执行，但“怎么去做，那么由领导层决定。此后两个多月银行仍未执行法院判决。,36,法院观点,对市商业银行的上述反响，执行法官认为这是一种自砸招牌的短视行为，从法律上讲，兴发支行拖延执行法院终审判决，其法定代表人足以被拘留；而且，如市商业银行有可执行的财产而不申报，必须承担法律责任。,法院对执行裁决至少有两个手段可用：,截流：以往兴发支行通过黄埔法院追回的债权估算约100多万元，法院可要求兴发支行在7天内提交该行在市内所有法院立案追讨的债权明细帐，未经法院允许不得领走一分钱，以这些款项分期清偿联合证券债务。缺乏局部那么对市商业银行采取同一手段。,拍卖产权：联合证券可到房管部门清查兴发支行及市商业银行拥有产权的物业，提交法院备案；必要时法院将拍卖其拥有的物业产权清偿债务。,37,案例分析,?支付结算方法?第17条规定：“银行以善意且符合规定和正常操作程序审查，对伪造、变造的票据和结算凭证上的签章以及需要交验的个人有效身份证件，未发现异常而支付金额的，对出票人或付款人不再承担受委托付款的责任，对持票人或收款人不再承担付款的责任。,?票据法?第104条规定：“金融机构工作人员在票据业务中玩忽职守，对违反本法规定的票据予以承兑、付款或者保证的，给予处分；造成重大损失，构成犯罪的，依法追究刑事责任。由于金融机构工作人员因前款行为给当事人造成损失的，由该金融机构和直接责任人员依法承担赔偿责任。,可见，被告在对盖有伪造印章的空白凭证收费单的审查上存在过失，从而直接给原告造成经济损失，应承担赔偿责任。因此二审法院的认定是正确的。在执行过程中，作为兴发支行的上级单位，市商业银行在兴发支行自有资产缺乏赔付的情况下，应该承担赔偿责任。,38,风险与损失成因,从外部角度看，联合证券海湾业务部企业风险意识淡薄，将证件交于老客户孙某委托代为开户，对银行存款被骗取有不可推卸的责任。,从银行角度看，内部控制制度不严格是关键，如规定存款开户必须由单位有关人员或客户本人亲自办理、大额存款支取时银行与存款单位财务部门核对前方行支付等，并严格予以执行，那么票据诈骗是可以被有效堵住的。,许多银行在条文上是有相关规定的，但在执行上常常打折扣，其根源在于剧烈的市场竞争。特别是存款方面的竞争使得盲目的以贷揽存、以便利客户为名行违反内控规定之实等等行为成为许多基层分行和中小商业银行的选择。,39,风险控制的假设干方法,改革以存款指标为主的考核体制；,建立全行集中的数据处理中心，构建会计业务集中处理系统；,健全支付结算管理组织体系；,加大监督检查力度；,提高操作人员综合素质；,严格遵守支付结算纪律和票据法；,加强关键环节的管理,40,法人客户信贷业务操作风险案例,41,特点,风险金额大、损失一旦发生将比较沉重；,内外部欺诈是法人客户信贷业务操作风险形成的主要手段；,多与法律风险相关联；,票据诈骗是一个重要的风险点。,42,案例10-3：内部欺诈风险：周口丰雷公司巨额银行诈骗案,43,案情,丰雷公司是个没有经营过任何实际业务的皮包公司，只有3人，成立的目的就是为诈骗银行贷款。1997年9月至1998年3月短短半年间，8笔、共计8260万元于该公司有关的承兑汇票从周口农行开出，并分别在全国各地贴现后流失。,1999年5月，周口市公安局经侦科民警例行提审了诈骗案的主要犯罪嫌疑人刘华治。刘供称：周口凯迪莎大酒店经理郑磊曾帮他贴现承兑汇票2000万元，并以丰雷公司的名义用假合同在周口农行营业部办理1150万元承兑汇票。,经查证，1997年6月郑磊通过周口农行原副行长王某结识刘华治，帮助刘贴现银行承兑汇票2000万元，并提取好处费62.6万元。,1997年9月，郑又帮助巩义市竹林汇发公司副总经理牛某在竹林信用社办理了总计1000万元的两张假存单。随后郑持假存单到周口市农行营业部办理了相应数目的银行承兑汇票，并立即赶往辽宁，在沈阳分行票据中心贴现出972.87万元。郑把钱分两次注入辽宁宏大实业总公司，汇往新郑市信宝食品公司，然后再分别从信宝食品公司汇到周口地区证券效劳公司法人代表郑磊帐户上。随后，郑与王勾结，利用这两张假存单重复质押，再次从周口农行开出1000万元的承兑汇票，贴现后挥霍一空。,44,案例分析,1、从外表看：问题出在审查关。,银行票据风险管理的关键因素之一是确认银行签发的承兑汇票是否真实和是否有真实的贸易作根底。这是因为票据贴现实质上等同于短期贷款：承兑汇票对银行是一种或有负债，银行为其承兑后，如付款人无力支付，银行就须代为支付，这相当于银行向付款人发放了一个短期贷款。只有以真实的商品交易为根底的票据，还款来源还是真实可信的，因贴现承兑而导致的短期贷款也才有可能是平安的。因此，对承兑票据真实性的审查事关贷款的平安性和流动性，而不仅仅是书面文字上的较真。,45,案例分析,2、从实质上看：内部人的道德风险才是关键。,本案例中，周口市农业银行副行长王某，为获得非法所得而为犯罪分子诈骗提供帮助，是此项诈骗能够成功的关键。在其或直接或间接的干预下，票据审查流于形式，即使票据本身存在再大的破绽，都有可能审查通过。,如果说加强审查是防范贷款业务操作风险的常规性方法，那么，如何建立起对内部人、尤其是负有领导和决策权限的银行高管的有效监督机制，就应该是我国商业银行内控制度建设的核心和重点。,在银行高管的鼓励和监督上也把握后平衡，防止因过严的监督而挫伤其业务开拓的积极性和创造性。,46,风险控制的假设干方法,树立审慎稳健的信贷经营理念；,明确主责任人制度；,加快信贷管理电子化建设步伐，建立“制度制约+机器制约的贷款管理约束机制；,提高信贷从业人员综合素质；,把握贷前调查、贷前审查、贷前审批、贷款发放、贷后管理等五个根本操作环节中的风险控制特点和要点；,信贷审批权的适度集中；,推进信贷业务各环节的法律介入；,完善操作流程和操作管理制度；,47,个人客户信贷业务操作风险案例,48,特点,随着近年来个贷业务的快速开展，已成为资产业务操作风险的一个重要来源。,风险的发生面广：个贷被视为低风险业务，因此根本上压至支行乃至柜台这个层面来操作，这使风险的爆发面很广。,内控失效的风险占较大比重：由于个贷在我国还属创新性业务，因此许多银行办理时“摸着石头过河，缺乏相应的内控标准。,道德风险严重：近年来许多银行加强了法人客户的贷款管理，实质上将贷款审批权限上收了，在支行这个层面能批的贷款就剩个贷了，于是基层行想法设法变通违规放贷，导致个贷操作风险爆发频繁。,49,案例10-4：个人住房假按揭,假身份证按揭,虚抬房价进行假按揭,一房多卖、重复按揭,50,1、假身份证按揭,2000年12月至2002年6月，华运达房地产开发公司董事长邹庆以开发“森豪公寓为名，与中国银行北京市分行签订了楼宇按揭贷款合作协议；后虚构销售“森豪公寓事实，借用他人身份证，提供虚假收入证明及首付款证明，从中国银行北京市分行骗取个人住房按揭贷款共计6.4亿元。,51,2、虚抬房价假按揭,炒房团的操作：,一些炒房团在把房价炒高后，如有外来者接手，自然放盘卖出；如无人接受，他们会找一些刚进城的农民或无业游民，让他们接手最后一棒。,炒房团告诉这些“房托要送一个房子给他们住，然后用少许资金给他们注册一家公司，以之为名义开出个人收入假证明，再把房价提高后帮助他们向银行申请按揭贷款。,按揭贷款都申请到了后，炒房团聚集了这些款子，将先前的贷款还掉，然后把刚成立的公司撤消。于是炒房团坐获巨利并全身而退；银行对假公司高管的按揭贷款那么成为坏账：因为实际贷款人农民和无业游民是没有还款能力的，除非房价只涨不跌。,一些城市的房价一直降不下来，这也是一个重要原因。,52,3、重复按揭,2005年4月中旬，郑州东明花园30多位业主集体到郑州市政府上访，要求有关部门对康明公司一房多卖、虚假按揭、重复抵押等违法行为进行调查。,经有关部门调查，该公司在交通银行、工商银行、建设银行、招商银行等4家金融机构办理过按揭贷款的房屋至少有554套，贷款总额在2亿元以上，但其中有133套根本不存在。,53,点评,假按揭具有如下共同特征：,没有特殊原因，滞销楼盘突然热销，且楼盘售价与周围楼盘相比明显偏高；,开发企业员工或其关联方集中购置同一楼盘，或一人购置多套；,借款人收入证明与年龄、职业不相称；,借款人对所购房屋的位置、朝向、楼层、户型、交房时间等信息不甚了解；,借款人首付款非自己缴纳或实际没有缴纳；,多名借款人还款帐户内存款很少，还款日前才由一人或同一单位进行转帐来还款；,借款人集体中断还款。,54,案例10-5：韩国信用卡跨境诈骗案,55,案情,韩国大邱市人金助炫于2003年5月10日由山东青岛入境，在青岛和沈阳先后用国际信用卡消费、提现共计7000余元。,5月22日在大连一涉外酒店KTV包房中消费，声称：虽然自己携带的VISA卡里有很多钱，但未带人民币现钞，又急于在中国买些东西带回韩国，因此请求酒店经理先垫付人民币，待他用国际信用卡在酒店刷卡机上刷卡后再由酒店将款项返还，并表示愿支付给经理10%的好处费。经理见其已用信用卡支付了KTV包房的费用，遂不疑有诈，为其垫付了1万多元人民币现金。,金反复使用国际信用卡消费和提现的可疑情况为中国银行大连分行监测到，并向大连市中山区公安分局报了案。当晚9时，经KTV经理协助，警方将正准备把近万元现金入账的金某抓获。,当场在金身上搜到的国际信用卡有20多张，后在其入住的酒店又搜出大批信用卡，共计115张。,56,犯罪事实,经审，金交代了信用卡犯罪的事实：,在大连市及开发区多家酒店，金用类似手法共提取人民币现金2.1万元，购物消费总计3.937万元。总计非法所得6.7万余元。,值得注意的是：,金所持的115张国际信用卡并非案底累累的假卡，而是正规银行出身、确实有着循环信用、可在全球透支消费的真卡！,57,点评,中国银行业在信用卡管理上存在诸多漏洞：,由于业务竞争剧烈，发卡行普遍对申请人的身份及资信状况把关不严，持卡人互相担保的现象也为数不少，一旦群体作案，风险在所难免。,由于国内各银行间未能联网，甚至同一银行各网点也未能联网，计算机未能与ATM、POS等机器共享，使得信用卡支付单据传递缓慢，给了犯罪分子疯狂刷卡的时机，待所有资料聚集到发卡行时往往为时已晚。,与国际信用卡组织的合作还有待加强，只有与这些普及全球的专业卡组织合作，才能更好地控制跨境信用卡流窜作案。,58,风险控制的假设干方法,树立个贷业务稳健、健康开展的根本理念。,实行集约化管理，审批权适当上收。,优化产品结构、改进产品操作流程设计。,加强标准化管理。,加强贷前、贷中、贷后的标准化操作管理。,强化个贷发放责任约束。,59,中间业务操作风险案例,60,特点,风险种类多、范围广；,多为间接性风险；,风险具有隐蔽性；,涉及衍生业务的风险一般损失较大。,61,案例10-6：营销不当而引发的客户、产品与商业行为风险,62,1、代理保险,2004年8月，某银行在代理保险业务宣传工作中，将分红保险等同于储蓄存款向客户推介，告诉客户保险具有储蓄的平安和高于储蓄的利率。于是客户刘某购置了1万元的分红型保险。,10月份刘某急于用钱，持保险单至银行提前“支取，被银行告知，如提前支取需交纳手续费。刘这才知道两个月前他购置的不是储蓄产品，而是保险。,刘某认为，当初银行工作人员未告诉他该产品的真实内容，导致自己蒙受损失，因此将银行告上法庭。,63,2、理财产品,理财产品的过当推介是银行最广为诟病的一个问题；,理财产品推介人在推介过程中语焉不详，在合同的解释和说明上缺乏根本常识，常常成为理财产品发生亏损后客户起诉银行的依据；,理财合同的霸王条款。,64,案例10-7：王小鲁诉光大银行案,65,起因,2007年8月，王小鲁存于中国光大银行上海浦东支行一年期的10万元存款到期。王小鲁将10万元存款的利息提走后，本金中的2万元购置了一只股票型基金，3万元购置了一只混合型基金，还有5万元购置了一款光大银行发行的一年期的预期收益为4.5%的人民币理财产品(当时一年期存款基准利率为3.33%)。,在经历了2021年的股市暴跌的一年后，王小鲁购置的两只基金亏损合计超过30%，但那款理财产品却稳稳当当地获得了4%的回报。,2021年8月16日，王小鲁购置的理财产品到期，大堂经理王越再次向他推荐了另一款光大银行发行的理财产品T方案普通客户月月盈2021年第二期(年收益4%)。王小鲁对王越的推荐表示同意。,66,经过,王小鲁在王越的安排下到理财经理张燕那里索取该理财产品的协议书并填写了根本资料。,随后又在王越的示意下到取款柜台继续办理取款手续。,随后取款柜台工作人员让王小鲁在填写完整的协议书上签字，并交给他2000元利息，同时告诉王小鲁50000元本金用于此次购置理财产品。,然而又过了一年，王小鲁准备去银行提取本息的时候，却遭到了拒绝，银行给出的理由是：一年前仅与王小鲁签订了理财产品购置协议书，但随后王小鲁并没有把协议书中约定的理财金额交给银行。,为此，2021年12月，王小鲁将光大银行送上被告席，要求被告支付自己所购的理财产品的本利合计52000元。,67,预先约定,王小鲁的代理律师认为，,原、被告双方签订的协议书中明确约定了最终理财：50000元，本次操作标志：增加，这就说明被告已收到50000元交易款项。而且协议中并没有客户另行付款日期的约定，也没有理财金额为银行实际扣款金额的内容，以及银行扣款不成功协议自行解除的内容，因此该操作标志就应该被视为已扣款购置理财产品。,王小鲁本人：,一年前明明已经签订了理财协议，原来的五万元本金也被留在了银行账户里，怎么如今银行却说根本没有收到钱呢？,“因为上次在这里买他们的理财产品时也没有开过收款收据，而且这次操作也是大堂经理介绍的，还是在银行大堂内完成的，所以当时我也没什么顾虑，觉得这5万元就是直接购置了理财产品了。,68,实际扣款,光大银行却认为，,原告对协议中“增加的含义理解错误，“增加仅说明本次预约购置的金额比上次增加了多少，前次交易金额为0，而不是原告实际支付了多少金额。,由于原告购置的产品为预约滚动理财，签订协议时，只是预先约定理财的金额，不需要实际支付，账户上也不需要现金。待到扣款日即协议中写明的产品收益起始日(2021年8月26日)，以被告从原告银行卡中实际扣款金额为理财金额。而事实上，就在2021年8月16日原告到银行签订协议书时，前一次理财产品到期后打入账户的52000元已经被原告取走，当时原告账户上只有0.35元，且此后原告未再付款。所以2021年8月26日，被告依约从原告账户扣款不成功。,69,录音资料 VS 交易记录,王小鲁的代理律师又拿出录音证据表示，2021年协议到期后，原告又先后两次拔打被告客服进行理财产品咨询，接线员明确答复原告此种理财产品在签订协议后，可以预约增加或减少理财金额，但最低金额为50000元，如储户的银行卡金额低于50000元，那么不能签订协议书。也就是说，当时王小鲁与光大银行签订协议书时，50000元本金应该还存于账户内，并没有像银行说的已经被取走，否那么协议根本无法签订。,70,录音资料 VS 交易记录,对此，光大银行辩称，正是由于经常出现协议签订后投资者并没有在收益起始日之前及时将本金打入账户导致扣款不成功并使得协议自动终止，为了尽可能防止这种情况，减少客户违约风险，2021年6月，他们对该理财产品的预约方式进行了变更，要求签订协议当天预约购置人账户上一定要有钱，但当时不一定扣款，在签订协议和产品收益日之间，客户有权处分账户内的钱款，直至理财产品收益日当天把钱款划回账户即可。客服按这一新规定答复王小鲁并没有错，然而光大银行与王小鲁签订协议时并没有这一条规定，因此这一对话录音并不能作为签订协议时王小鲁账户上一定有50000元的依据。,此外，被告还拿出了2007年以来，原告的存款凭条、转账凭条和取款凭条等交易流水记录证据，说明原告在被告办理的业务明细，每笔交易均有记载，不可能存在2021年8月16日原告购置理财产品无记载的情况。尤其是2021年8月16日的取款凭条的签字确为原告亲笔签名，可见原告确认已将本息全部取走且此后原告未再存款。,71,判决,法院判决原告败诉。,法院认为，,在双方签订的协议书中规定，“本协议书与协议书中记载编号的产品说明书构成完整的不可分割的理财合同。而在该产品的说明书的销售模式一栏中那么明确规定“本产品仅能用阳光卡购置。,而从原告提供的证据来看，在购置签订理财产品协议书时，原告账户上仅有0.35元，根据当时的预约模式，客户账户没有存款也可以预约购置该理财产品，但必须在理财产品收益日当天保证账户里有足够的钱。,2021年8月26日，被告依约从原告账户扣款未能成功，说明其行使了单方解除权，双方合同解除。,由此可见，不管王小鲁何时以何种方式取走了50000元，都没有能够成功购置该理财产品，因此对其诉讼请求不予支持。,72,点评,在这起案件中，原告王小鲁虽然声称在签订协议时并没有提取5万元本金，但从银行提供的证据看，5万元本金当时已经由王小鲁提取，而王小鲁又无法提供其他证据证明自己的主张。可见，这起案件的过错方并不在被告银行。,但对于投资者来说，在购置理财产品前应该先对其有全面的了解。除了了解其最低投资额、投资期限、投资方向、投资风险、申赎费用、预期收益率等常规“指标外，还要了解该理财产品是即刻扣款型的还是预约扣款型。,对银行来说，推介理财产品时应尽量详尽周到地介绍产品的各方面内容，而不应是拼凑业绩式地求快求多，以免将来给银行留下操作风险隐患。可以想象，当时的前台经理王越和财务经理张燕是未对该理财产品的来龙去脉介绍详尽的。,73,案例10-8：电子银行风险,74,1、针对银行：1995年花旗银行计算机盗窃案,美国花旗银行是网上银行开办较早、开展较快的银行，它允许客户的计算机终端与银行主机连接，并将密码交予客户。当客户需要对外付款时，可通过该密码进入银行电脑主机，发出支付命令，直接从自己的帐户中支付款项。,由于密码被重复使用，在通讯过程中，不少公司密码被一个网名叫做列文的俄罗斯黑客破译。1994年，列文与其他犯罪分子勾结，利用破译的密码将许多公司帐户上的存款共计1070万美金转移到美国、荷兰、以色列等地的银行帐户上，然后派人取现。,Vladimir Levin,全球最著名的16位黑客之一,史上第一个通过入侵银行,电脑系统来获利的黑客。,75,骇客帝国,在俄罗斯和东欧，骇客非常多，他们技术高超，并且物以类聚地成立了很多骇客组织，是名副其实的骇客帝国。列文就是一个骇客集团的领军人物。,这些出色的电脑奇才们聚集在一起更多的是讨论一些技术方面的问题，这样的交流也使他们手上的技术更加出众。,但是不久他们就开始做出出格的事情来：他们通过网络发现了不少国际大银行的网络系统其实漏洞百出，为炫耀自己的技术、嘲笑这些所谓固假设金汤的银行系统，他们会定期公布那些银行客户的信用卡密码。,这种事情发生了假设干次后，列文开始意识到可以利用自己高超的电脑技术发财。,76,列文的方案,列文通过自己编写的程序，已经可以非常顺利地入侵银行的内部。,这次他没有再去公布那些银行客户的信用卡密码，而是在千里之外侵入美国花旗银行的电脑系统后，更改银行账户的存款数目，窃走了1070万美元，并且把这笔巨款转移到他同党在其他国家开设的银行户头。而列文利用的工具只是一台拨号上网的电脑。,这些同党原本方案在芬兰、美国、荷兰、德国和以色列提款后，便消失得无影无踪。,然而不巧的是，一些花旗银行的客户无意中发现自己的户头存款有过失，他们立刻通知了银行。联邦调查局接到银行通知后立刻展开追查，结果有3名嫌犯企图提出失窃款项的时候被抓获，列文方案功败垂成。,77,当事方的结局,案发后列文当即潜逃，直到1995年才在伦敦机场被逮捕。1997年他被引渡回美国，被判处3年徒刑并赔偿花旗银行24万美元。,从那时开始，花旗银行开始使用动态加密口令卡。这个系统太严密了，以至于没有其它公司使用它。,这一事件也令花旗银行的公众形象大受影响，用户们普遍疑心银行所提供的在线交易的平安性。,此起案件后，骇客开始成为各国商业银行的噩梦，并引起了一系列连锁反响。,78,案件的后续,伦敦的?星期日时报?在1996年爆出一那么新闻。,据报道，一些犯罪组织自1993年起便向英美超过40家银行、股票行及投资公司发出恐吓，称假设收不到赎金，就破坏他们的电脑系统。,报道指出，他们一旦向公司证明他们真的有能力使系统瘫痪，对方便乖乖地交出高达1亿3000万英镑的赎金。,受害的公司为了不影响声誉，坚持不向外界透露此事，甚至不敢报警。,调查显示，这些高科技匪徒运用尖端电脑科技通往公司系统的最高机密区，然后在那里留言：“你现在相信我们能破坏你的电脑了吧？,在其中4起曝光的案件中，公司管理层都在接到恐吓的几个小时内，把赎金电传汇入指定的海外户头。,79,2、针对客户：钓鱼软件,网络钓鱼Phishing是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息的一种攻击方式。,最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计、与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。,80,普遍性,中国互联网络信息中心联合国家互联网应急中心发布的?2021年中国网民网络信息平安状况调查报告?显示，2021年有超过九成网民遇到过网络钓鱼，在遭遇过网络钓鱼事件的网民中，4500万网民蒙受了经济损失，占网民总数11.9。网络钓鱼给网民造成的损失已达76亿元。,81,通常做法,以银行口吻群发HTML网页模板的信件，内容大意为银行为了加强账户平安而升级了系统，请各位客户尽快重新设置账户密码，末尾还给出了设置密码的URL链接。,利用HTML语言里URL标记的特性，把它写成了这样：“A HREF= :/ xxxbank /account/index.asp“ :/ xxbank /account/index.asp/A，由于心理作用，受害者潜意识里都会直接点击那个写着“ :/的URL链接。,这个点击实际上是把他们引向“ :/这条钓竿！而这个所谓的更改密码页面，当然伪造得与真正的银行页面完全一致，但是它的“更改密码功能却是把账号和密码发送到了幕后的“垂钓者手上，然后“垂钓者登录上真正的网络银行改了受害者设置的密码，并顺手牵羊把银行账户里的存款转移掉。,82,点评,网络钓鱼充分利用了人们的心理漏洞，,首先，人们收到银行这类影响力很大的商务邮件时几乎都会紧张，很多人都不会疑心信件的真实性，更会下意识地根据要求翻开邮件里面指定的URL进行操作；,其次，页面翻开后，我们通常都只会留意页面内容而不会注意浏览器地址栏的显示，正是这点让“垂钓者有了可乘之机。,email的发件人地址一般写着某银行网站的技术支持信箱地址，要做到这一点很容易，因为一些未经设置的email效劳器并不会验证用户信息是否真实。,技术更新：,反钓鱼攻击是IE 7在平安方面的一个重要更新。每次翻开新页面，为了检测该页面是否存在钓鱼攻击，我们可以看到在IE窗口的右下会显示一个警报的标志。,83,商业银行的内控制度建设,84,内控制度的内涵,内部控制制度是风险管理制度的核心内容，其主旨是使风险控制活动寓于银行的管理活动之中，成为银行日常工作不可分割的一局部。,美国审计权威COSO1994的定义：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为实现下述三大目标提供合理的保证：经营的效果和效率；财会报告的可靠性；对现行法规的遵守。,巴塞尔委员会：组织中的所有各级人员都必须参加内控过程，对内控产生影响；内控的三大目标：操作性目标、信息性目标和合规性目标；操作性目标不只针对经营活动，而且包括其他各种活动；信息性目标中包括管理信息，明确要求实现财务和管理信息的可靠性、完整性和及时性。,85,内控制度的五个组成局部,1、控制环境：控制环境是推动控制工作的发动机，是所有其他内控组成局部的根底。它奠定组织的作风和结构，并且涉及到所有活动的核心人，特别是人的控制觉悟，还反映中央银行和商业银行等金融机构各级管理对内控的要求。,2、风险评估：是识别和分析那些阻碍实现经营管理目标的因素，对风险的分析评估构成风险管理决策的根底。,3、控制活动：是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责别离等。,4、信息与交流：存在于所有经营管理活动中，使员工得以收集和交换为开展经营、从事管理和进行控制等活动所需要的信息，包括管理者对员工的工作业绩的经常性评价。,5、监督评审：是经营管理部门对内控的管理监督及稽核监察部门对内控的再监督与再评价活动的总称。,86,我国商业银行内控制度的主要缺陷I,制约范围不够全面：,往往是“控下不控上，针对银行业务经办人员的内控制度比较多，而对各级管理者、特别是对基层管理者的内控制度约束相对缺乏，有不少控制盲点。,滞后于业务开展，缺乏前瞻性：,新兴业务往往成为新的风险源。,同时，由于缺乏制度的适时调整功能，一些不适宜的制度仍然需要执行，导致经营者在指标的压力下不得不逾越制度，形成了普遍的有令不行、有禁不止的现象。,由于缺乏对业务经营的连续、系统的监督，往往寄希望于事后监督与补救，而在事前防范、事中控制等方面缺乏必要的规章。,87,我国商业银行内控制度的主要缺陷II,分散制定，缺乏系统性：,由于内部缺乏一个统一的内控制度建设规划，各个部门自行制定规章，从而形成各自为政、分头管理的局面；,局部内控制度在部门和部门之间不仅是相互割裂的，有些甚至相互抵触，造成了现行银行内控制度目标难以统一，使基层机构在内控制度执行时因多头管理而不知所措。,程式化严重，缺乏可操作性：,一方面，制度设计者片面追求制度本身的“完美，往往偏离实际，导致一些内控制度在实际工作中很难操作，逼迫制度执行者采取越轨的作法，并给不良动机者创造作案时机。,另一方面，不少制度规定又存在模糊化的概念，在涉及操作层面的各个业务环节时往往采取原那么性的提法，导致制度执行者理解和执行上的差异性较大。,88,我国商业银行内控制度的主要缺陷III,执行不到位，流于形式的现象普遍存在,内控制度只限于定规章、发文件而不注重制度的落实。,银行员工执行内控制度的意识冷淡，遇到具体问题，灵活性讲得多，原那么性讲得少，以种种“理由加以变通和回避。,更有甚者，对某些内控制度视而不见，使内控制度形同虚设。,究其根源，原因在于内控制度缺乏科学的量化评价体系，好与坏的区分标准模糊，奖惩制度无法建立。鼓励机制跟不上，内控制度执行自然无法到位。,89,我国商业银行内控制度的主要缺陷VI,合规文化普遍缺失,银行员工合规意识与观念淡薄。银行有的管理层或领导者本身合规意识淡薄，示范作用没有发挥，导致上行下效，员工“规的观念淡化，执“规的自觉性不强，形成违规也见怪不怪的“怪圈。,合规鼓励约束机制扭曲。银行没有建立关于合规奖惩的制度，对违规行为的处分，往往以“是否造成损失作为评判标准，当违规没有造成经济损失，甚至产生经济效益时，往往对存在的违规行为既往不咎，致使员工合规得不到奖励，违规受不到惩罚，甚至反而会获益。导致银行合规文化气氛难以形成。,90,健全内控制度的假设干举措,确立分层定位的思想，从决策层、管理层、操作层来分别设计。,做到一个业务一个流程、一个流程一个制度，形成统一的内控制度制订规划 。,设立合规部门或专职合规岗位，界定其功能和职责，独立于银行的经营活动。,通过一定方式对所有员工和负责人进行上任前的合规培训。,从高层做起，领导率先垂范。,建立有效的鼓励机制，切实有效地落实问责制，确保奖惩清楚、违规必究。,推行合规人人有责、主动合规、合规创造价值等合规理念。,91,思考,在“存款立行的根本方针指导下，存款业务操作风险的防范是否存在客观困难？拉存款、“傍大户是否存款立行的唯一途径？有没有在根本上防治的途径？,美国和欧洲的商业银行中，个贷业务和与个人贷款者相联系的房地产按揭贷款占到银行资产的2/3以上比例；而我国的个贷业务才刚刚起步，就已出现了较大的操作风险和信贷风险。,为什么西方国家个贷业务能够如此兴旺？,我国银行开展个贷，除经验缺乏外还有哪些先天缺陷？,你认为中国的个贷开展前景如何？其中的操作风险是不可躲避的吗？,92,