朱冬花

摘要：自1997年我国注册会计师协会首次提出内部控制概念以来，内部控制的理论与实践不断发展完善，在企业经营管理的过程中发挥着举足轻重的作用，与此同时，也不乏因为内控失效而付出沉重代价的企业出现，法国兴业银行授权控制失效带来的金融悲剧、上海家化内控被否等案件情形都历历在目。本文在兆丰银行纽约分行因反洗钱工作板块不合规涉嫌违反美国银行保密法被纽约金融服务局重罚1.8亿美元的基础上，分析了兆丰银行内部控制存在的漏洞，旨在提出关于有效建设我国商业银行内部控制的对策。

关键词：兆丰银行；内部控制；有效性

在我国市场经济的飞速发展过程中，包括商业银行等金融机构在内的现代企业面临着诸多对未来的不确定性，风险因素日益增加，而内部控制作为企业生产经营活动的自我调节和自我制约的内在机制，能够帮助企业维护核心竞争力，防范并有效降低经营风险，保证企业会计信息的真实性和准确性，维护财产和资源的安全完整，保证企业经营合法合规，处于企业中枢神经系统的重要位置，企业规模越大，其重要性越显著，可以说，内部控制的健全与否，是单位经营成败的关键所在，同时对投资者判断一家公司经营状况来说也是十分重要的依据。

相较于西方发达国家而言，我国内部控制起步较晚，无论在理论研究还是实践研究上都在一定程度上相对落后。目前虽然我国各相关部门一直致力于推动企业内部控制的发展，大多数的企业也都建立了自身的内部控制体系，但由于没有意识到内部控制的重要性，在实际执行的过程中力度不够，使内部控制效果与预期相差甚远，因此，探讨企业内控失效的原因并提出相应的解决方案已成为当下迫在眉睫需要解决的问题，具有重要的研究意义。

2016年8月19日，兆丰银行纽约分行遭美国纽约州金融监理机关裁罚一亿八仟万美元，原因是该行2012年度涉嫌违反银行保密法及反洗钱法，此事件的爆发再一次证明了内部控制对于企业的重要性，本文基于此，剖析了兆丰银行内部控制存在的漏洞，找出其内控失效的原因，旨在为我国商业银行提出内控失效相应的解决方案。

一、内部控制及其有效性概念

（一）内部控制

企业建立内部控制制度体系旨在让企业的经营管理更加有效，COSO委员会对内部控制的定义是内部控制是由企业董事会、经理层和其他员工实施的，为公司战略的实现、营运的效率效果、公司报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。我国2008年6月发布的《企业内部控制基本规范》中指出，内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制有五个目标，分别是合理保证企业生产经营合法合规、资产安全、财务报告及相关信息真实完整，提高企业的经营效率以及结果，促进其实现发展战略。

（二）内部控制有效性

内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括设计、运行有效性两个方面，该保证程度越高，内控就越有效：反之，则无效。

首先，内部控制设计的有效性。它是为了辨别内控是否存在设计缺陷和为实现控制目标所必需的控制，而评估是否存在为实现控制目标所必需的内部控制要素，以及相应的设计是否恰当。我们可以从是否为防止、发现并纠正财务报告重大错报及漏报而设计了相应的控制，相关控制的设计是否能够保证企业遵循适用的法律法规，相关控制的设计是否有助于企业提高经营效率和效果，相关控制的设计是否有助于实现发展战略五个方面来对企业内部控制设计的有效性进行评价。

其次，内部控制运行的有效性。它是指现有内部控制按规定程序得到了正确执行。如果某项控制正在按照设计运行，相关执行人员是经过授权的并且拥有一定的专业胜任能力，预计控制目标能够得以实现，表明该项控制的运行是有效的。具体包括相关控制是怎样运行的以及是否得到了持续一致的运行，所采用的控制运行的方法等。

评价企业内部控制有效性的意义在于查找、纠正并报告内部控制设计和运行中的缺陷，并找出相应的解决方案，支持企业持续有效经营。而我国内部控制规范体系并没有统一规定内控缺陷和内控有效性的认定标准，企业需要根据内部控制规范体系，结合自身实际，制定内控缺陷和内控有效性的认定标准，这就造成了不同企业内部控制制度体系建设不同，设计和执行情况都有所差异，有的企业甚至对内部控制的建设不予重视，虚假信息披露，授权操作不当带来巨亏，被处以巨额罚金等后果层出不穷，为包括商业银行等金融机构在内的各企业内部控制建设并确保其有效运行以降低经营风险敲响了警钟。

二、案例介绍

（一）兆丰银行简介

兆丰银行总部位于我国台北，全名为兆丰国际商业银行，是台湾金融业最大、历史最为悠久的商业银行，前身为大清银行，于2006年8月21日吸收合并台湾的交通银行（CTNBANK）并配合母公司兆丰金融控股改为现行名称。吕桔诚及王荣周先生在07年到09年先后担任兆丰银行的董事长，此后就由蔡友才担任董事长至2016年3月。总经理由徐光曦担任至2014年，并在此后两年先后内升魏美玉、吴汉卿为总经理，协助蔡友才董事长共同经营兆丰银行，多年以来，兆丰银行运营良好，业绩显著，并于2012年7月16日在苏州成立分行，成为兆丰国际银行在中国大陆地区开设的首家分支机构，海外分行也达到了20家，其信用等级更是长期被评为A3，基于此展望未来，兆丰银行是一家非常有前途的商业银行。

（二）兆丰银行被罚案回顾

事情得回到15年1月到3月，美国纽约州金融服务署对兆丰银行纽约分行进行例行检查时，发现兆丰银行在2012年时的申报有违反法律法规、仿制洗钱以及存在可疑交易等诸多内容缺失，其中纽约分行与巴拿马分行间存在许多可疑金融交易，有许多特定款项没有如实申报，违反了美国法律的相关规定。在16年2月美方向兆丰银行沟通时却得到了并无违反规定的回复，且随后兆丰银行董事长蔡友才宣布辞职，置之不理，漠不关心。2016年8月19日，美国以兆丰银行2012年涉嫌违反银行保密法及反洗钱法对其开出1.8亿美元的巨额罚单，责令兆丰银行须委任第三方专业顾问公司协助其改善相关缺陷。同日兆丰银行发布重大讯息：“本公司子银行兆丰国际商业银行股份有限公司遭美国纽约州金融监理机关以该行纽约分行所建立之防制洗钱遵循计划未能有效执行而予裁罚一亿八仟万美元。”这一巨额罚款几乎是兆丰银行以往约7年的利润之和，这一讯息的公布也使兆豐银行创下台资银行首家美国重罚者的历史记录。随着事情的愈演愈烈，此次兆丰银行被罚的关注度也越来越高，已经到了兆丰银行不能控制的局面，大家都在怀疑兆丰银行是不是真的洗钱，为平息事件，其随后发声明称是因纽约州金融厅对纽约分行进行年度检查时，发现在办理转汇款业务中，有应申报却实际未申报的可疑交易，因而违反美国银行保密法中关于可疑交易行为的申报规定，并不是涉嫌洗钱交易。但此声明并没有减少来自各方面的质疑，也没有挽救兆丰股价大跌的局面。

那么究竟是什么原因导致了兆丰银行被美国纽约州金融监理机关处以1.8亿美元的巨额罚款呢？我们真的被兆丰银行表面的高信用等级，良好的业绩表象所欺骗了吗？到底兆丰银行内部存在着什么样的问题呢？下面我们将带着这些重重的疑问来对兆丰银行的内部控制以及有效性进行剖析。

三、兆丰银行内部控制失效分析

在当今社会商业银行自身不断发展的过程中，内部控制体系设计与执行的程度可能会跟不上这样快速变化的步伐，所以商业银行会面临着各方面的风险这一点是毋庸置疑的。兆丰银行纽约分行之所以会被美国纽约州金融监理机关处以1.8亿美元的巨额罚款，根据对纽约州金融服务局2016年8月19日向兆丰银行纽约分行签发的《基于纽约银行法第39、44条下的和解协议令》的解读，基本上可以归责于兆丰银行本身内部控制失效。

（一）内部控制环境缺失

内部环境是影响和制约企业内部控制建立和实施的各种内部因素的总称，包括组织架构、发展战略、人力资源、社会责任和企业文化五个方面。兆丰银行内部控制环境缺失主要表现在其组织架构和强势的企业文化上面，一方面，组织架构混乱。我们知道银行内部组织机构存在的最重要的问题就是部门之间分工混乱、职责不明确、管理凌乱，而兆丰银行内部为了精简成本一人身兼数职的情况常年存在，导致其权责不分明，组织架构混乱，经营管理效率低下；另一方面，强势的企业文化。在蔡友才担任兆丰银行董事长之前，兆丰银行每月都召开例行的董事会会议，且必要时也召开临时董事会会议，兆丰银行运行得可以说有理有条，自从蔡友才担任兆丰银行董事长之后，主打精简成本的经营目标，精简人事成为其节约成本的重要手段，有需要人才的岗位基本上不花钱外聘而是采用内部人员升迁的制度，空缺的岗位也都长期不补，久而久之，兆丰银行内部一人身兼数职的情形非常严重，我们可以想象当银行的董事会、独立董事都是银行实际负责人找来的朋友、亲戚时，董事会监督运作的功能还会得以发挥吗？另外由于采用内升制度，一些好的技能经验也没能内传承给新进员工，这何尝又不影响着企业未来的发展呢？最后，兆丰银行前董事长蔡友才在知道此事后立刻辞去了董事长的职务，代理董事长吴汉卿也被质疑未积极处理此事，这也不免让人怀疑蔡友才是有难言之隐，还是在危机时刻选择明哲保身呢？不管出于哪种原因，都表明兆丰银行内部控制体系问题严重。

（二）风险评估机制运行不善

1.漠视风险评估程序

根据《基于纽约银行法第39、44条下的和解协议令》第21条：“兆丰银行纽约分行评估巴拿马科隆自贸区分行在反洗钱方面具有高风险，本应当按季度采取加强型尽职调查的程序，然而，在检查过程中，纽约分行向约州金融服务局坦承并未有效执行该尽职调查程序”。这也就表明兆丰银行在汇款至巴拿马分行关闭已两个月的帐户之前应该要进行必要的调查但却并没有实际去执行，也即是说兆丰银行没有对客户进行必要的风险评估程序，而是选择漠视这些可能的相关风险，这才在美国纽约州金融监理机关例行检查时引起了他们的怀疑。此外《和解协议令》第22条、第25条都显示兆丰银行对媒体负面报道客户以及账户的实际控制人都未展开相应的尽职调查，违反了美国的相关法律政策要求。

2.缺乏科学的风险评估机制

在《和解协议令》第26条中提到兆丰银行纽约分行制定的对客户进行风险评估程序中，基本上没有提到对分行客户、产品、服务及其地理位置进行全盘性评估和考量机制，且在实际执行风险评估时仅仅执行了半年，并没有依照建议实施一年的評估。此外，兆丰银行纽约分行并没有对中低风险的客户实施定期的风险调查来查看其风险程度是否发生变化，更没有对高风险的客户实施额外的风险调查评估程序，进而也就没有时刻根据客户风险所处的层级来对客户进行相应的分类。

（三）控制活动执行不力

在兆丰银行的此次被罚时事件当中，主要原因还是因为存在严重的不相容职务未分离情形。就如美国纽约州金融监理机关所指控的那样，兆丰银行内部权责不分明，一人身兼数职的情况常年存在并且没有做出改进的举措，例如其首席合规官同时身兼副行长、信贷部、代理银行部、技术部负责人等职务，且所受反洗钱业务培训不足、对美国法律“不了解”、不胜任岗位要求，其海外资产控制办公室官员同时担任境外代理行部门经理等等，这样就会带来业务操作上的错误甚至舞弊的行为，后果不堪设想，此次被罚1.8亿美元就是惨痛的代价。此外，兆丰银行无论是总部还是分支机构都不能够定期的对自身的内控体系展开评估，也没有按照规定报送可疑交易报告，甚至都不确定国外分支机构是否采取足够的反洗钱措施，可以说兆丰银行内部控制完全就是形同虚设。

（四）信息与沟通存在严重的障碍

在2016年8月兆丰银行纽约分行被罚的当天，兆丰银行召开了临时董事会会议，然而在会议上许多的董事表示自己在被处以重罚的最后一刻才知道自己被罚，而事先并没有收到来自经营管理层的告知事情之严重性，包括一些独立董事在内的董事都觉得董事会是形同虚壳，在知道违规事件到被罚甚至还有可能被起诉仅短短的几十分钟时间，表达了自己对经营管理层的强烈不满。从董事们的表达我们可以知道兆丰银行的经营管理层与董事会之间并没有达成良好的信息沟通，也许是沟通机制出了问题，也许是管理层没有对此事引起重视，甚至有可能是经营阶层有意隐匿某些事件，但无论是怎样，都表明兆丰银行内部出现了严重的信息沟通障碍。

（五）监督不力

在《和解协议令》的第28条：“检查发现，纽约分行季度合规会议纪要并未上报总部，纽约分行还存在以会议流程代替会议纪要、季度会议未提供合规工作足够信息，尤其是缺少前期漏报可疑交易报告信息，这些失误导致了其总部不能正确评估纽约分行合规工作恰当性”。这就表明兆丰银行总部并没有收到来自其纽约分行的一系列季度合规会议纪要以及相关的报告，那么兆丰银行总部也就无从了解分支机构的具体运营情况，自然也就没有办法起到监督分支机构的作用。另外，兆丰银行总部并未督促纽约分行将其执行的大量合规文件翻译成英文，这样一来就严重影响到相关部门检查活动的有效展开，且对于美方所提出的问题，至今都没有采取有效的措施来进行相应的整改，总部也没有起到相应的监督其纠正作用。

四、商业银行内部控制失效的应对措施

通过上述对兆丰银行内部控制失效的原因分析，下面将从内部控制五要素入手来一一做出有针对性的应对举措。

（一）营造良好的内部控制环境

良好的内部控制环境是企业内控有效运行的基础，能让企业快速稳定而又健康地发展，兆丰银行之所以会被巨额罚款，就是因为其内部组织架构混乱、企业文化比较强势，加之领导管理层级人员职业素质低下。所以兆丰银行必须完善自身的治理结构体系，明确的划分各个管理层的职能权限，不能为了节约成本就让一人身兼数职，这样很容易导致舞弊或错误，必须通过每个岗位都有相对于的不同的负责人来保证各岗位之间的相互独立性，提高管理层以及各员工层级的职业道德素质，强化他们的责任感意识，这样才能在必要的时候快速的做出科学高效的决策方案并有序得以执行来应对危机。

（二）建立科学的风险评估机制

兆丰银行纽约分行算制定了自身的风险评估机制，但在实际执行过程中却遭到了员工的漠视，并且缺乏对高风险客户的加强风险审查评估程序，对中低风险客户也没有时刻跟踪调查并随时对客户风险进行分类，最终导致被处以巨额罚款也是意料之中的事。所以在商业银行的日常业务运行过程中，必要建立起科学的风险评估机制，例如兆丰银行应该在总体风险评估程序中完善对分行客户、产品、服务及其地理位置进行全盘性评估和考量机制，并且在实际执行过程中管理层应监督其落到实处，另外对不同风险等级的客户采取不同的风险评估方法，对高风险客户实施额外的风险调查评估程序，对中低风险客户开展风险跟踪调查，应对风险要做到随机应变。兆丰银行总部更应该定期开展海外机构合规风险评估，准确判断并考虑海外分支机构的所有产品和服务、客户类型和地缘风险，确定内在和残余风险，适时采取应对措施加强海外机构反洗钱工作指导与管控。

（三）开展有效的内部控制活动

我们知道企业将交易授权、交易记录以及资产保管等职责分配给不同员工，以达到防范同一员工在履行多项职责时可能发生的舞弊或错误的目的。而兆丰银行存在的一人身兼数职的情形让我们了解到期内部控制基本没有发挥作用，舞弊和错误发生的可能性也就大大提高，所以兆丰银行必须花费一定的成本招聘外部员工，全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制，保证每项经济业务都经过两个或两个以上的部门或人员的处理，相互监督。此外针对不能按照规定报送可疑交易报告，兆丰银行可以建立适合海外分支机构的可疑交易监测规则，逐一规定可疑交易的调查细则与监控标准，全面监控一切海外可疑交易，保证已知的或者未知却存在疑点的交易都能够及时的向总部报告。

（四）构建有效的信息系统

兆丰银行董事会反映自己没有及时被告知将被处以巨额罚款的事项，对经营管理层极度不满。这表明兆丰银行内部信息沟通系统存在问题，兆丰银行必须充分考虑各个层面的问题，建立起一套有效的信息传递系统，这样管理层在得知事情严重性后才能及时地向董事会报告，加强董事会与管理层的沟通与良性互动，董事会在掌握到如上述被巨额罚款的重大事件时才能够有充足的时间来处理应对，而不是一脸茫然不知所措。此外独立董事事先不知情不能成为摆脱其为该事件负责的理由，兆丰银行独立董事这样推脱说明兆丰银行在以后独立董事的选择过程中還应该要更加谨慎以选取更有责任意识的独董。

（五）加强对海外分支机构的监管

兆丰银行总部对被罚事件的回应是自身并没有收到来自其纽约分行的一系列季度合规会议纪要以及相关的报告，不了解分行的具体运营情况，自然也就没有起到监督的作用。对此，兆丰银行总部必须要建立起与海外分支机构的良性互动机制，做到信息互通，及时掌握分支机构的运营状况，并督促海外机构将合规文件提前翻译成当地文字，以备当地监管部门检查质询，并且在面对海外监管部门的审查时要积极配合，熟读当地法律法规，积极回应，针对海外监管部门提出的要求也要一一做出回应，积极整改发现的问题，以此加强对海外分支机构的监督。另外，兆丰银行可以建立一套完整的以内部控制为导向的审计和监督委员会，制定一套完整的符合自身业务特点的内部审计制度，来对银行内部以及海外分支机构的业务、风险进行监督和控制，提高内部控制水平。

参考文献：

[1]王义娜.商业银行内部控制失效及治理——基于QL银行欺诈案的分析[J].经济师，2015（03）：70-72.

[2]许井荣.台湾兆丰银行被处罚事件对内地中资银行反洗钱工作的启示[J].金融会计，2016（11）：63-66.

[3]王兴邦.以兆丰为例谈内部稽核如何有效发挥功能与价值[J].中国内部审计，2017（03）：18-20.

[4]王毅.从法国兴业银行案例看企业内部控制环境的重要性[D].复旦大学，2008.

[5]游翔宇.上海家化内部控制失效案例研究[D].中国财政科学研究院，2016.

[6]马春燕.内部控制有效性的分析研究——基于上海家化的案例分析[J].商，2015（15）：154.

[7]李鹤，陈丽辉，粱禹.国家电网公司内部控制建设的创新及其启示[J].北京经济管理职业学院学报，2016（01）：39-44.

[8]曹娟娟.国家电网公司海外业务内部控制评价研究[D].华北电力大学，2015.

[9]湛峻琳.商业银行内部控制存在的问题及对策[J].企业改革与管理，2015（24）：22.

[10]孙银忠.实现商业银行内部控制有效性的途径探析[J].会计之友（上旬刊），2010（10）：50-51.

[11]王照，朱颐和.提升商业银行内部控制有效性的探讨[J].财会研究，2012（11）：72-73+80.

（作者单位：中南财经政法大学）