APP下载

从COSO 内部控制框架探讨组织内控体系有效性
——以FTX 破产案为例

2023-11-06邬和用通讯作者

国际商务财会 2023年18期
关键词:来源加密资产

邬和用 原 英(通讯作者)

(1.内蒙古伊利实业集团股份有限公司 2.内蒙古农业大学)

一、引言

2022 年11 月11 日,总部位于巴哈马的加密货币交易所FTX 发布声明,包括其附属公司在内的一百多家主体已在美国申请破产保护2信息来源:https://baijiahao.baidu.com/s?id=1750875139957240965&wfr=spider&for=pc。FTX 创始人、原首席执行官Sam Bankman-Fried(山姆-班克曼-弗里德,简称SBF)辞职。FTX 因挪用客户资金给关联公司Alameda 进行了大量高风险投资并亏损,经曝光后引发市场信任危机并触发资金挤兑3信息来源:https://mp.weixin.qq.com/s/DI704-hX5ALrbBXEhNDwGA。

笔者认为,FTX 破产不仅仅是违规操作的关联交易,其由极少数人控制、几乎由SBF 一人领导等糟糕的公司治理,反映出FTX 的内部控制中存在的重大漏洞。

加密货币是数字货币(或称虚拟货币)的一种,存在着匿名、价值波动大的特点,具有很强的投机性。而FTX 作为一个加密货币的交易平台,经营对象不同于其他企业,对内部控制和风险的管理本应更为重视,但该破产案例暴露出的漏洞和缺陷,昭示了内部控制体系缺失的严重后果,有必要结合COSO 内部控制框架理论来对本案例进行分析,引以为鉴、吸取教训。

二、FTX 商业模式分析

FTX 属于CEX 类型的交易所(中心化交易所)4. 7. 信息来源:https://zhuanlan.zhihu.com/p/518035577,本质是买卖双方将加密货币资产转入交易所自身的账户,在交易所的背书下进行资产托管及订单撮合完成交易,最后再把资产提取到自己的钱包。在这个交易过程中交易所收取一定的手续费。

CEX 的优势是交易速度快、操作便捷等对C 端用户的友好性,能够即时提供增值服务等对B 端用户的专业性。CEX 的缺点是用户将加密资产存储在交易所,由于中心化交易所的钱包是集成式的,不在用户的控制范围内。私钥的所有权掌握在交易所手中,如果交易所泄露或遭到攻击,则用户的私钥和数字资产存在完全丢失的风险。

传统金融将撮合交易、证券托管、资金托管的业务分散开来,而今天的加密货币交易所几乎是独揽大权,这种结构是存在逻辑性缺陷的,人性的贪婪注定其随时可能出现问题。所以像FTX 这类CEX 交易平台,行业的监管、充足的准备金、良好的客户交易体验以及自身通过治理机制来保证透明化和客户资产的安全,进而提升客户的信任是CEX 交易平台的生存根本和管理目标。

该市场凸显的一个事实是:基本不受监管的加密货币市场往往是在信息真空中运作的,这就意味着在有新的事实曝光时,交易者很快就会做出反应。加密货币玩家对新闻和谣言做出反应的速度更快,导致加密货币市场上形成流动性危机要比传统金融市场快得多。市场操作的不透明经常会导致恐慌反应,进而引发流动性紧缩,造成加密货币投资者丧失信心,然后抽走大笔资金,导致这些公司濒临死亡5信息来源:https://36kr.com/p/2020864890212356。

三、结合COSO 内部控制框架要素对案例进行分析

虽然案件还在调查阶段,但从相关媒体的报导中可以知道,FTX 破产直接原因是用户挤兑发生流动性危机造成,深层次的原因是内部控制的缺失造成了公司失败和破产。以下将依据2013 版COSO内部控制整合框架理论从内部控制五要素的角度,结合FTX 商业模式的成功要求及FTX 在管理中的缺陷展开分析。

根据COSO 内部控制整合框架的理论,内部控制是一个由主体的董事会、管理层和其他员工实施,旨在为实现运营、报告和合规目标提供合理保证的过程。有效的内控体系能合理帮助组织实现重要目标,将风险降至可接受水平。而有效的内控体系要求内部控制的五要素及相关原则必须同时存在并持续运行,且五个要素作为一个整合的体系共同运行。

(一)控制环境对内部控制有效性的影响

1.治理结构不健全

一个健全而有效的公司治理可以使控制环境更加值得信赖,进而使内部控制的每个要素更好地发挥作用。

FTX 提供了出色的用户界面和体验,但行业特性决定了它更应该提高透明度、改善风险管理和加强治理。曾负责监督安然破产清算、FTX 的新任CEO John Ray III 发出长叹:“在我的职业生涯中,从来没有见到过如此彻底失败的企业内部控制,以及完全没有可信度的财务信息。公司的控制权掌握在一小撮缺乏经验、不成熟的人手中,这种情况是前所未有的6信息来源:https://baijiahao.baidu.com/s?id=1750293526580268818&wfr=spider&for=pc。”

在2022 年11 月22 日的听证会上,FTX 的两位律师提到FTX 创始人SBF 时称,FTX 进入重组流程后聘请的破产领域专家和律师中,“没有一人见过”像SBF 那样对企业的控制,FTX“实际上就是在SBF 个人的领地来经营”7信息来源:https://mp.weixin.qq.com/s?__biz=MzU0MTcxNjc4Mg==&mid=2247604657&idx=4&sn=b1c7ea1d5620cf60dbcf501ae567e034&chksm=fb26a1f0 cc5128e68886b37f523db63549b1950c1cb0d3f0de8af7d84b9b751cc50e1d9bc353&scene=27。

在12 月13 日美国众议院金融服务委员会就“FTX 崩盘事件”举行的听证会上,就议员们最关心的Alameda Research 和FTX 这两个公司间的关系、资产负债以及资金往来状况、是否存在独立的治理?Ray 回答道,“FTX 集团的业务没有被分离,它实际上是作为一家公司运营的,FTX 和Alameda Research 之间没有区别”。Ray 在谈到FTX 及其附属实体的公司结构时表示,它们“没有独立的董事会”“有一个人控制着一切8信息来源:https://finance.sina.com.cn/blockchain/roll/2022-12-15/doc-imxwryyt6392726.shtml。”

根据FTX 提交给法院的破产文件、该公司资产负债表以及对员工和投资者的采访,其实从最初开始,这家公司就是“一团混乱”。该公司既没有会计部门,也没有惯例的人力资源部门,管理FTX及其相关公司的一些高管在一个价值3000 万美元的顶层公寓里共同生活和工作,公司资金被用来购买房地产,但没有记录保存,甚至没有一份雇员名册9信息来源:https://mp.weixin.qq.com/s/DI704-hX5ALrbBXEhNDwGA。

媒体报道称,FTX 从未召开过董事会会议,SBF 通过即时删除的软件来传达重大决策和部门间沟通,甚至也要求员工做到即时删除10信息来源:https://baijiahao.baidu.com/s?id=1750256689875384961&wfr=spider&for=pc。

2.权责缺乏制衡

董事会应对高级管理层授权并界定和分配责任,高级管理层也应对这个主体及其下属单位授权并界定和分配责任。授权仅限于能完成主体目标的必要范围。

董事会应保留重大决策的权力,并审查管理层对权力与责任的分配与限制。

但FTX 的问题是“没有独立的董事会”、权力集中在一个人手中。SBF 的小团体就是FTX 实质管理团队,但是在工作上完全没有任何标准可言,几乎就是SBF 说了算11信息来源:http://news.itxinwen.com/hot/20221201/10930.html。

3.管理者当局的素质和诚信道德的缺失

据《华尔街日报》报道,在挤兑发生之前,FTX 总共有160 亿美元的客户存款,但这些资产中有一半以上,都被借给了Alameda 用于弥补其交易亏空,这是道德问题,更是法律问题12信息来源:https://baijiahao.baidu.com/s?id=1750908883536278865&wfr=spider&for=pc。FTX 的交易服务条款中明确显示(用户资产不属于FTX Trading,用户对账户在任何时候享用绝对的控制权),但其挪用用户资产给 Alameda Research 贷款注资等欺诈、滥用客户资金的行为也再次警醒业界基于交易所信用背书的CEX 资产托管极具风险13信息来源:https://baijiahao.baidu.com/s?id=1751449360424418019&wfr=spider&for=pc,FTX 服务条款见图1。

图1 FTX 服务条款

在破产案首场听证会上,Ray 痛斥了FTX 极为糟糕的公司治理:公司没有旗下银行账号的确切信息、也没有完整的员工名单、使用一系列“不安全的电子邮箱账号”管理电子资产密钥、使用公司资产为员工和顾问购买房产等个人资产。更荒诞的是,SBF 在讨论决策的过程中使用有“自动删除”功能的通讯平台,并鼓励员工也这么做,因此现在找不到历史决策记录14信息来源:https://baijiahao.baidu.com/s?id=1750293526580268818&wfr=spider&for=pc。

SBF 似乎对FTX 破产漠不关心,也没有任何罪恶感。正如Vox 网站的派珀写道:“当我们交流的时候,我试图弄明白,在公关、慈善捐款和游说的背后,弗里德到底相信什么是对的,什么是错的,尤其是他所从事的工作和行业的道德准则。笼罩在我们整个谈话中的是这样一个事实:那些信任他的人失去了他们的积蓄,他对社会和投资人造成的悲痛和痛苦是巨大的,但他基本上没有表现出来任何的羞愧或是歉意。也许SBF 觉得没有必要假装抱歉,因为他的同路人也都这样15信息来源:https://www.163.com/dy/article/HMRNQMC40531KXQ8.html。

实际上,FTX 高管在此前陆续离职就是在释放一个巨大的危险信号。2022 年8 月24 日,由SBF控制的加密对冲基金Alameda Research 首席执行官Sam Trabucco 宣布辞职;9 月27 日,FTX 美国首席执行官Brett Harrison 也宣布辞职;紧接着,10 月3 日,FTX 场外交易和机构销售主管Jonathan Cheesman 离开公司。要知道,Jonathan Cheesman和Brett Harrison 在公司的任职时间仅仅只有一年多,通常情况下,高管得到的股权是分多年多次配给的,那么这些高管为什么在还没拿到所有股权的情况下就决定离开公司呢?更何况这可是一家处于快速增长期、估值300 亿美元的公司。现在想来,这些高管早就知晓了FTX 的真实情况,因此宁可蒙受个人损失也不想牵扯进更大的风波16信息来源:https://www.qklw.com/news/20221121/276457.html。

同时,以上行为造成的控制失败,也体现出内部控制固有的局限性始终存在,造成这些局限性的原因如下:管理层凌驾于内部控制之上,管理层、组织其他人员和(或)第三方通过串通舞弊而规避控制。

(二)风险评估对内部控制有效性的影响

组织应对影响其目标实现的风险进行全范围的识别和分析,并以此为基础来决定应如何管理风险。并识别、评估外部环境变化对其内部控制体系可能造成的重大影响。

SBF 在这一环节却严重失职,把客户的巨额资金挪用给了关联公司Alameda 进行风险交易,而Alameda 耗尽了用作风险押注的用户存款,导致FTX面临高达80亿美元的资金缺口,只得申请破产。公司管理层本应把客户托管的资产安全作为主要风险来关注,确保客户资产安全,提高运作透明度,最大程度去赢得客户信任。但管理层却靠的是通过高调地向民主党提供政治捐款、铺天盖地的体坛和电竞广告宣传和赞助、明星代言、颇具个性的社交账号言论提升社会影响力。

就在2022 年6 ~7 月币圈因为Terra Luna和3AC 破产而风声鹤唳的时刻,FTX 却是大举扩张,实践巴菲特所谓“别人恐惧的时候我贪婪”的原则,多次出手拯救币圈陷入流动性危机的多家机构,FTX 也被调侃是拯救行业的币圈央妈。实际情况是,因为Alameda 挪用FTX 的客户存款,相当于加杠杆投资代币,而他们所投资的代币都暴跌了80%、90%甚至是100%,原本低买高卖的做市商套利,结果变成了大股东,而且是贬值到几乎一文不值的大股东,而一系列贷款还都等着Alameda 偿还17信息来源:https://baijiahao.baidu.com/s?id=1750908883536278865&wfr=spider&for=pc。

(三)控制活动对内部控制的影响

1.授权审批缺陷

把客户的巨额资金挪用给了关联公司Alameda进行风险交易,反映出公司在重大事项方面授权管理的缺失。在FTX 申请破产的当天,至少3.72 亿美元未经授权就被转移,而在破产申请后,FTX 再次未经授权地制造了3 亿美元的FTX 代币FTT18信息来源:https://baijiahao.baidu.com/s?id=1750258578023841768&wfr=spider&for=pc。

2.财产保护控制缺陷

公司没有旗下银行账号的确切信息、也没有完整的员工名单、使用一系列“不安全的电子邮箱账号”管理电子资产密钥。反映出日常管理混乱,没有定期盘点、账实核对等措施保护资金财产安全。根据雷三世的说法,FTX 不仅“没有保持对其现金的集中控制”,也未能保留准确的银行账户和账户签署人名单,或对银行合作伙伴的信誉给予足够的关注。甚至顾问们还不知道FTX 集团在申请破产时有多少现金19信息来源:https://www.163.com/dy/article/HMRNQMC40531KXQ8.html。

3.信息系统控制缺陷

根据路透社报道,SBF 在FTX 的簿记系统中设置了“后门”,该系统是使用定制软件构建的。“后门”允许SBF 执行可能改变公司财务记录的命令,而无需提醒其他人,包括外部审计员。这种设置意味着将100 亿美元的资金转移给Alameda 不会触发FTX 的内部合规或会计危险信号。数据显示,2022年5 月12 日,FTX 将9 万ETH(2.11 亿美元)以及680 万FTT(2.247 亿美元)转移到Alameda,随后Alameda 将它们转移到Genesis。2022 年5月12 日,FTX 向Alameda 发送了另外155 443ETH(3.234 亿 美 元), 最 终 转 移 到Genesis。2022 年5 月26 日,FTX 向Alameda Research 发 送了350 万FTT(1.03 亿美元),最终再次转移到Genesis20信息来源:https://www.163.com/dy/article/HNEMDLFR0521RRCK.html。宣布申请破产当天,FTX 还遭遇了黑客攻击,资金外流总额超过6 亿美元21信息来源:https://baijiahao.baidu.com/s?id=1749531914442373668&wfr=spider&for=pc。反映出FTX对信息系统开发与维护、网络安全等方面的控制缺陷。

用户资产转移至交易所账户就脱离了用户掌控,加上目前用户资产不受商业保险保护,一旦遇到黑客入侵风险或交易所破产,用户的资产将彻底无法恢复。加强信息系统安全控制是非常重要的,但SBF 并不使用具有严密技术逻辑的去中心化技术,而是利用多种宣传手段让用户对资产的安全度产生错觉,践踏客户信任。在高涨的交易热情和乐观情绪下,多数用户只追求交易体验而往往忽视了对资产托管安全这项最基础却最核心的需求。FTX也是在这种背景下,以衍生品交易这类差异化服务以及诸如放宽保证金种类等机制创造的极致交易体验,迅速扩大体量,在短期赢得了客户信任,但却也因为挪用客户资产等欺诈行为亲手摧毁了客户信任。

(四)信息与沟通对内部控制的影响

组织需要获取或生成和使用高质量、相关的信息来支持内部控制的持续运行。并建立流程识别、收集所需信息,应在处理过程中确保信息质量:及时、准确、完整、可获取、受保护、可验证、可保持。

而FTX 在这方面实际表现出来的确是“难以计算总资产和总债务”“客户的资金可能过于混乱,无法完全理清”等乱象。2022 年12 月13 日,美国众议院金融服务委员会举行的“FTX 崩盘事件”听证会上的要点信息:Ray 称,FTX 的文件是他见过的“最糟糕的文件”,FTX 的“无纸化破产(paperless bankruptcy)”情况是“前所未有的”,这使得事情非常难以追踪。他举例说,SBF 曾作为贷款的发行人和贷款的接收者签署了一份协议。但这笔特殊贷款的用途是什么根本查不清楚。也就是说,SBF 能在没有或只有很少文件的情况下获得多笔贷款。Ray 说:“我们已经损失了80 亿美元,鉴于此,我不相信这个组织里的任何一张文件。”如上所言,Ray表示,由于FTX缺乏足够的记录保存,这也为其崩溃奠定了基础,并使Ray 难以计算出公司的总资产和未偿债务。破产公司的任何客户在公司重组过程中都将面临从公司收回资金的困难。但鉴于该公司缺乏内部控制并依赖于不稳定的加密资产,FTX 客户获得损失补偿的可能性可能更小。Ray 表示,FTX 将客户资产与Alameda 的资产混在一起,并从事保证金交易,是在拿客户资产进行赌博。他表示,目前还在调查Alameda Research 贷款给SBF 的10 亿美元贷款的用途和去向22信息来源:https://baijiahao.baidu.com/s?id=1752163219850306879&wfr=spider&for=pc。

(五)监督活动对内部控制的影响

监督活动的主要任务就是通过持续或单独的评估,确认内部控制的各要素存在及持续运行;发现和评价内部控制缺陷,及时与整改责任方沟通,必要时与高管层和董事会沟通。

内部审计作为监督的主要形式,在理想的文化背景下,应在一种允许其独立运作的氛围中开展工作;拥有做好工作的资源;分别向CEO 和董事会或审计委员会提供行政和职能方面的报告;与管理层保持明确和积极的关系。它在组织内部定下了一种高层基调,明确地表明接受监督是公司文化的标志。相反在有毒的文化环境里,管理层努力破坏内部审计发挥作用的空间,这表明领导层害怕监督,并采取措施阻挠或避免来自独立内部审计部门的监督。

Alameda 将属于该公司的交易量转移到FTX 交易所,使FTX 能够吸引具有更深流动性的散户和机构加密交易商。然后,使用代码中的秘密“后门”将客户存款再发回Alameda,这一切都是在避开审计的情况下进行的23信息来源:https://mp.weixin.qq.com/s/oK_l5U_nVS67PstDVXuv5A。这就是管理层避开内部审计监督的例证。

有效的内部控制体系要求各要素及相关原则同时存在并持续、以整合的方式共同运行,否则内控体系一定存在着一项重大缺陷,若存在一项重大缺陷,组织就不能得出内控体系有效的结论。从以上要素分析可以看出,FTX 的公司控制是失败的。

四、启示

成长于Web 1.0 时代,创建了面向Web 2.0时代公司的李彦宏有一句广为流传的名言:百度永远离破产只有30 天!随着各类面向Web 3.0 时代的互联网创业公司崛起,李彦宏“30 天破产”理论都显得过于保守了。在玩数字游戏的加密货币领域,几百亿美元灰飞烟灭、一家公司从高峰滑落至谷底只需要10 天。

从本案例可以看到,在做大做强后,内控体系是组织能走得远的有力保障。建立有效的内部控制体系对于组织实现目标、降低风险、健康运营有着非常重要的作用和意义。虽然我们需要总结从FTX 崩盘中应该汲取的教训,但事实是,FTX 几乎没有什么新教训,只有再次敲响了警钟。从投资者的角度,在评估投资对象时,应该始终从内部控制的角度去看公司治理、企业文化,建议是:“如果没有内部控制,投资者就应该用脚投票。”

猜你喜欢

来源加密资产
将来吃鱼不用调刺啦
试论《说文》“丵”字的来源
一种基于熵的混沌加密小波变换水印算法
轻资产型企业需自我提升
“赤”的来源与“红”在服装中的应用
央企剥离水电资产背后
认证加密的研究进展
关于资产减值会计问题的探讨
基于ECC加密的电子商务系统
基于格的公钥加密与证书基加密