保险业风险管理小故事(5)谁审批了那笔交易?
描述
李秘书:“王总,上次我和你说的那个申请你看怎么样啊?”
王经理:“没什么问题,我这几天在出差,没法登录系统,等回来我就审批。”
李秘书:“可是王总,我现在急着要啊,这次的交易很大,领导们都很重视,要是因为审批太晚让这件事情黄了,我和你都担不起这个责任啊!”
王经理:“这样吧,你用我的用户名进系统批一下吧,我的用户名是******,密码是******。”
几天后
张经理:“老王啊,上周你批的两笔交易里有一笔可是会议上明确说不能批的啊!怎么回事?”王经理:“上个礼拜我在外面出差,都没上网,怎么审批?哦,对了!我让李秘书帮我批了一笔,可是……(汗)?”
王经理:“小宋,能查出上周我在系统内的操作日志吗?”
小宋(系统管理员):“好的,王经理,我看一下系统日志,您上周登录了两次系统,时间分别是……”
王经理:“果然我的账号被盗用了啊!”
分析
信息系统控制是《保险公司内部控制基本准则》运营控制中不可或缺的控制环节。信息系统控制一般分为整体控制和应用控制。整体控制是指对企业信息系统开发、运行和维护的控制;应用控制是指利用信息系统对业务处理实施的控制。
上述案例揭示了信息系统控制中整体控制上的缺陷。通俗地说,信息系统整体控制是信息系统部门日常所进行的一般业务管理,它是衡量信息系统整体是否可信赖的机制。对于用户账号和密码共享,系统日志无法辨别登录者的真实身份。如果必须共享账号,那么须明确定义共享目的和共享账号的权限,并由管理层进行确认。此外,用户账号、权限管理和密码设定作为信息安全领域要求中最重要的内部控制,在使用情况发生改变后,应及时更换密码,对用户账号和访问权限进行相应的赋予、变更或删除。也就是说,王经理在授权李秘书审批交易后,应该及时修改自己的密码,保证账号的安全。即使在平时,也应设定安全系数较高的密码,妥善保管并定期变更。
内控小字典
用户账号管理的基本要求
企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
企业应当在信息系统中设置操作日志功能,确保操作的可审计性。
公司应按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
注:本文参照《企业内部控制应用指引第18号——信息系统》和《保险公司信息化工作管理指引(试行)》相关内容。已发表于《太平洋保险报》2011年4月1日,总第649期。
企业内部控制实务(9)——资金管理与资金有关的舞弊将动摇企业的根基
金融衍生产品管理:
企业需要的是明确的、具有可操作性的政策
与资金有关的交易产品中,一般认为风险最大的应该是金融衍生工具。实际上,“衍生工具”这个词本身就会给人感觉是偏离实业的金融机构的产品。但是,衍生工具原本是一方支付一定的手续费从而降低风险,另一方收取手续费以承担风险的交易,是如同保险一样,自然产生的产品。
实际上,世界上最初使用现代衍生产品的是日本江户时代1730年开设的位于大阪堂岛米会所的期货产品。诸藩有实际需求,希望确定预备生产的大米的价格,并将一部分变卖。米商接受未来商品价格,并可以对权利凭证本身进行交易以赚取净利润。
让我们再向前追溯,如果列举人类最伟大的30项发明,货币一定会名列其中吧。世界各地根据实际需要,自然而然地产生了各种材质、各种形状的货币。随着产业的发展和经济活动的复杂化,交易方式当然也越来越进步。
但是工具和技术若使用不当,将带来危险。比如火和刀都是非常便利的人类发明,但是同时要注意不能被烧伤或者刺伤。同样道理,在使用衍生产品的时候也要建立适当的风险管理手段(内部控制)。
关于衍生工具的内部控制,首先要注意的是建立使用衍生工具的明确制度。到底是根据实际需要(风险对冲)来使用衍生工具,还是出于追逐利益的原因使用衍生工具(投机)?一般来说,除了业务本身即是承担投资风险的金融机构和投资基金,其他的企业应该在公司内部规章中说明衍生工具必须仅为风险对冲而使用,并进一步限定使用种类,例如,仅限于汇率远期、利率掉期等具体的工具。
即使是根据实际风险对冲需要使用衍生工具,管理层的审批仍然必不可少。如果与投机活动相关,企业必须根据实际承担风险的程度建立相应的审批手续和规则。
可以参考套期会计的原则来判断使用衍生工具的目的
然而,人们往往难以判断是不是真的根据实际风险对冲需要使用衍生工具。比如,企业预测到会有外币计价的订单,于是不得不进行相应的采购和生产活动,为了锁定利润额,自然会尽早约定远期汇率。但是,从理论上讲,在订单还没有确定的情况下就约定汇率,相当于将全部利润暴露于汇率风险下。
套期会计相关的会计准则可以成为一个判断标准。因为企业可以考虑不同的衍生工具是否适用套期会计,它们在财务报表及附注中有不同的披露要求。但是,套期会计相关的会计准则在美国、日本和中国(套期会计和国际财务报告准则非常相近)这三国之间目前来说都有很大的不同。
对于已经使用的衍生工具,企业必须建立良好的台账管理,记录合同的条件、金额、风险说明及衍生工具的对方。
而且,尤其重要的是,企业须确认衍生工具合同实际上和交易对手互相核对。具体举例来说,由和衍生交易无关的独立的其他交易人员从交易对手处获取计算表,并与公司内部的衍生工具台账相对照。
中国航油(新加坡)股份有限公司(简称“中航油”)是一个典型的衍生工具投机失败的案例。经国家有关部门批准,中航油自2003年开始做油品套期保值业务。但管理层擅自扩大业务范围,从事石油衍生品期权交易,但一直未向中国航油集团公司报告,中国航油集团公司也没有发现。该期权交易致使中航油在清算时造成账面实际损失和潜在损失总计约5.54亿美元。2005年6月3日,外部会计师发布了有关中航油巨额亏损的最终调查报告。报告认为若干因素单独或共同造成了公司在期权投机交易上受到损失,包括没有按照行业标准对期权仓位进行估值;没有正确地在公司的财务报表上记录期权组合的价值;缺乏针对期权交易的适当及严格的风险管理规定;公司管理层有意违反本应该遵守的风险管理规定等。
另一个典型案例是中国国储局2005年的铜期货巨额亏损事件。中国国储局一名交易员在LME(伦敦金属交易所)铜期货市场上通过伦敦金属交易所场内会员SEMPRA,在每吨3000多美元的价位附近抛空,建立空头头寸约15万~20万吨。铜价格的一路上涨给国储局带来巨额损失。另外,在国储铜事件上,交易行为由原来的两个岗位变成由该交易员一个人操控,背离了内部控制职务分离的原则。
衍生工具的市值确认非常重要。企业须对衍生工具的财务特点进行充分了解和评价,并由管理层建立相应的制度。
在中国,似乎使用金融衍生工具的企业为数尚少。但是,还是有些公司使用了衍生工具,以此减少了原材料价格高涨对经营的影响,并实现了比同行更高的利润。如开头所述,企业通过衍生工具的使用,可以降低风险。企业须以构筑完善的管理体制为前提,积极地审视衍生工具的管理。