第一部分 内部控制的理论发展和三大目标
案例回顾----大和银行弊案 时间: 1995年7月13日
地点: 日本大和银行纽约分行 人物: 井口俊英
事件: 在11年内伪造3万多笔的交易记录,隐藏近11亿美元的亏损
原因与影响: 井口身兼二职,既做交易,又监督自己,导致弊案隐藏11年之久
一、内部控制的理论发展
内部控制的概念经过 “部分控制论”向“全部控制论”的发展。
“部分控制论”认为内控包括经济业务的有关内部会计控制和内部审计两部分。现在看来,这种认识的缺陷是,内控只与资产管理有关,而与行政、业务管理无关。
“全部控制论”克服了这个缺陷,认为控制内容应超越会计和财务范围,渗透到经营的各个方面和管理的全过程。内控目的也不仅是为了保护单位的财产、会计记录的准确可靠、财务信息的及时可靠,更重要的是执行管理政策,提高经营效益和效率。
美国“反虚假财务报告委员会”下属的组织 “发起人组织委员会(COSO)”发布报告《内部控制一体化框架》,简称COSO报告,奠定了现代内部控制理论基础。
1996年美国注册会计师协会发布《审计准则公告第78号》,全面接受COSO报告的内容,加拿大,英国,南非,法国等国内部控制框架均以COSO的报告为模本,COSO报告成为现代内部控制理论和实践的基石。
巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也以COSO报告为基础。
我国的《内部会计控制规范》、《证券公司内部控制指引》、《关于加强证券公司营业部内部控制若干措施的意见》也是以COSO报告为基础制定的。
二、内部控制的三大目标
建立有效的内控机制首先要理解内控的目的。不同部门的人从不同的角度对内控会有不同的看法,现代内控理论试图提出能被普遍接受的内控定义,以便满足不同单位的需要。美国审计权威机构COSO的定义是:内控是一个受某单位不同层次的人影响的过程,而设计这一过程是为了实现下面三大目标而提供合理的保证。
(1)经营的效果和效率 (2)财会报告的可靠性 (3)对现行法规的遵守
巴塞尔银行监管委员会参照各国的有关理论,在内控定义中进一步强调董事会和高级管理层对内控的影响,强调组织中的所有各级人员都必须参加内控过程,对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中还把管理信息包括了进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。
内控的三大目标满足不同的需要,又相互交叉。在操作性目标中,经营的“效果”是根据实际产出与预期计划的产出比较而言的;经营的“效率”是根据实际产出与实际投入比较而言的。此外,公司不能为实现经营性目而不遵从法规,也不能为实现合规性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
三、内控机制的作用
内部控制是为了实现经营目标而形成的一种内部自我协调和制约的控制系统,是一种全面控制的机制。内部控制作为控制风险和经营管理的基础,对于达到既定目标和维持良好的财务状况至关重要,但由于历史原因和外部的诸多不确定因素,我国目前企业的内控建设仍存在许多问题,如何健全和完善内部控制是亟待解决的问题。
在证券市场的发展过程中,营业部经营模式和组织结构的每次改革都伴随着一定的风险,如果忽视控制方式的跟进和强化,就会使证券公司的改革同营业部的控制机制相脱离,不仅无法实现改革的初衷,还可能陷入管理上的混乱。对于营业部的管理,仅依靠宏观上的效益和风险方面考核还不够,微观上更不能以考核取代控制,而是必须建立有效的内部控制。
第二部分 内部控制的五大要素
一、五大要素的内容
现代内控理论赋予了内控广泛的职能,把内控置于很高的层面上,从而强化了内控的作用。COSO报告认为内部控制涵盖了控制环境、风险评估、控制活动、信息与交流和监督评审五大组成部分的丰富内容。
1、控制环境
控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的作风、纪律和结构,并且涉及到所有活动的核心——人,特别是人的控制觉悟,还反映了企业的各级管理层对内控的要求。控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。关键是管理层要充分说明内控的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配等方面。
2、风险评估
风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种实质风险。这种评估应包括企业所面对的全部风险(如市场风险、经营风险、法律风险和声誉风险)。对于任何新的或过去不加控制的风险,需要不时调整内控,以便恰当地处理。
3、控制活动
控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。控制活动是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构,明确定义各经营级别的控制活动。这些活动应当包括高层审查;对不同部门活动的适当控制;防火墙控制;检查对敞口限额的遵从情况;对违规经营的跟进情况;批准和授权制度;查证核实与对帐制度。有效的内控系统还要适当分离职责,人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方,并遵从谨慎的和独立的监督评审。
4、信息与交流
信息与交流存在于所有经营管理活动中,信息是指为开展经营、从事管理和进行控制等活动所需要,使员工得以搜集和交换的信息,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理,一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据,以及关于外部市场中与决策相关的事件和条件的信息,这些信息应当可靠、及时、可获,并能以前后一致的形式规范地提供使用。在交流方面也要注意内部和外部信息的交流渠道和方式,不论是经营层或是其他控制人员发现了内控的缺陷,都应当及时地向适当的管理层报告,并使其得到果断处理,应当把有关实质性的内控缺陷报告给高级管理层。在信息技术的发展中注意控制信息系统,有效的内控需要建立可靠的信息系统,涵盖公司的全部重要活动,这些系统,包括那些以某种电子形式存储和使用的数据的系统,都必须受到安全保护和独立的监督评审,并通过对突发事件的充分安排加以支持。
5、监督评审
监督评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或单独分别的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当不断地在日常工作中监督评审内控的总体效果,对主要风险的监督评审应当是公司日常活动的一部分,各级经营层和内部审计人员应当定期予以评价;对内控系统应当进行有效和全面的内部审计,内审要独立进行,应得到适合的培训,并配备称职和得力的人员,内审作为内控
系统监督评审的一部分,应当向高级管理层直接报告;不论是经营层或是其他控制人员发现了内控的缺陷,都应当及时地向适当的管理层报告,并使其得到果断处理,应当把有关实质性的内控缺陷报告给高级管理层和董事会。
二、内控的完整体系
以上五大要素与前述三大目标有机地相结合,构成了内控的完整体系。COSO是为各行各业提出这一思路的,巴塞尔委员会的内控原则主要是针对银行业的。不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式,而把内控视为多维立体的空间,促使人们全面深入地理解控制和控制对象,分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念:这五大组成部分和三大目标是紧密相联的,就象一个人体的细胞包含了人体的各种信息那样,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。
三大目标和五大组成部分构造了内控系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象。虽然国内外的金融和非金融机构在体制结构上有所区别,我国的企业仍要适应形势,转变观念,从内控的三大目标出发,去考察本单位上述五大组成部分的各个方面,看是否建立了健全的内控制度,这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
第三部分 证券公司的内部控制
一、证券公司内部控制的定义
《华泰证券内部控制纲要》
第三条 内部控制的定义。内部控制是指为实现经营目标,根据经营环境变化,对公司经营与管理过程中的风险进行识别、评价和管理的组织机构设置、制度安排和相应内部控制措施。
第五条 内部控制的宗旨。公司内部控制的宗旨是确保公司的内部控制能够满足以下要求:(一)保证经营的合法合规及公司内部规章制度的贯彻执行。(二)防范经营风险和道德风险。(三)保障客户及公司资产的安全、完整。(四)保证公司业务记录、财务信息和其他信息的可靠、完整、及时。(五)提高公司经营效率和效果。
二、内部控制和风险管理——两个相互联系而又区别的概念
1、两者在许多方面是交叉的,是从不同角度看待同一问题:内控的重要目标和重要内容之一就是风控,风险控制的重要手段之一就是通过严密的内控。
2、两者的差别也是明显的。 内部控制 风险管理 目标和侧重点 控制坏的风险 控制环境、风险识别与评估、组成要素 控制活动与措施、信息沟通与反馈、监督与评价 手段和工具 三、经纪业务的主要风险
通过对以往案例分析,经纪业务风险的主要表现为:三方监管、两方融资、擅自接受委托理财、挪用客户保证金和客户资产、不规范的业务操作等导致风险的形式,但从目前来看,经纪业务将来风险可能会主要来自业务管理上的漏洞。经纪业务的禁止行为有:
1、营业部不得接受客户的全权委托。
2、营业部不得为牟取佣金诱使客户进行不必要的证券交易。
3、营业部不得以任何方式对客户买卖证券的收益或者赔偿证券买卖损失作出承诺。 4、营业部不得为客户之间的融资提供担保、中介服务或其他便利。
授权、防火墙、岗位分离、复核、监督、轮岗等 VAR、压力测试、净资本、财务指标等 政策、方法、基础设施 取得好的风险与收益之间的均衡
四、导致营业部内控失效,其原因主要来自以下几个方面 1、巨大的个人利益最主要原因之一。
2、单纯的利润考核标准,容易淡化了规范和道德的理念,特别是如果经营指标缺乏可执行性,营业部管理人员为了尽可能地完成指标,可能不惜铤而走险。
3、内控机制不完善、监督制度执行不严格,比如权力过度集中、内审力度不够、对帐户和印章等的管理过于松懈、关键岗位之间缺乏必要的独立性等。
4、对风险业务和较远分支机构的控制薄弱。 5、账外经营。
第四部分 营业部的内部控制
公司的营业部分布在全国各地,代表公司开展证券服务业务,其行为直接关系到公司利益、公司形象和公司的品牌建设,所以其内部治理问题显得十分重要。营业部只有在内控机制上做实、做精、做细,才能有效防范和化解风险,充分保护投资者的合法权益,保证业务的持续经营。
一、营业部的内部管理问题 1、关于内部管理制度的建设
从制度的制定情况来看,公司的内部管理和制度规定有些是原则性的规定,是需要营业部进一步细化和明确的,比如:员工岗位职责、固定资产管理、低值易耗品管理等,有部分是需要营业部根据各自不同特点自己制定具体的实施细则,比如绩效考核办法、费用报销、档案管理、经纪人管理、机房管理等。但有的营业部的内部控制制度是有关公司制度的简单复制,或者是其它营业部制度的拷贝,缺乏与自身经营情况相适应的个性化规定,导致这些制度缺乏可操作性和控制力度。
在实际检查中,有部分营业部没有按照公司要求制定相应的制度或实施细则;不定期对制度进行修订;也不将制度进行汇编或装订成册,有的是很零散的几张纸,有的存在某个个人电脑里。如果不将制度和规定进行梳理就很难组织员工进行系统的学习和遵守,更谈不上管理和规范。
从制度执行情况来看,许多营业部制定内部控制制度都是基于应急的需要,或者是应付主管部门检查监管需要,因此制度制定以后,或者束之高阁,或者缺乏确保各项制度得以履行的落实机制,使得内部控制制度难以得到有效执行。 由于营业部内部缺乏必要的信息传递机制,难以及时发现和制止各种失控行为。
从制度维护方面来看,内部控制制度可能因经营环境、业务性质的改变而削弱或失效。已有的内部控制制度一般都是为那些常规的业务类型而设计的,但对非常规的或未能预料到的业务类型可能会失去控制能力。例如经纪人团队管理是许多营业部面临的新课题。在经常变化的环境之中,为便于生存和保持竞争能力,营业部势必要经常调整经营策略,进行业务创新,但常因不能及时对原有的控制制度进行维护从而对新增的业务内容失去控制作用。
从内部控制制度评价体系来看,证券公司建立健全内部控制制度是一个渐进的过程,必须建立其内部控制评价体系,根据情况的变化和出现的问题对相应的内部控制制度做出及时修正或建立新的内部控制制度。只有不断进行内部控制自我评价和改进,才能建立起行之有效的内部控制体系。这是当前证券公司必须建立但普遍缺乏的。
2、决策小组和风控小组活动的正常开展 公司曾以华泰证字〔2007〕167号下发了《关于加强营业部决策领导小组建设的通知》和《华泰证券有限责任公司营业部风险控制小组管理暂行办法》,对营业部如何进行风险控制和内部决策工作提出了具体规定,营业部内部的重大事项,比如:员工的薪酬、奖励分配、较大项目的费用开支、重要业务活动的开展等也需要有一个完整的决策程序。但是,在现场审计中存在的问题主要表现为:有的营业部就成立1个小组,小组活动没有正常开展、无活动记录,无参加人员签名等,有的甚至在面临检查时才补充相关资料来应付,这些做法,既不符合公司规定,也不符合营业部内部管理的实际要求。
二、营业部的业务管理
关于营业部的业务管理工作,公司曾以华泰证字〔2006〕113号《关于印发经纪业务流程(试行)的通知》和《华泰证券有限责任公司经纪业务交易管理办法》的文件下发并予以规范,其主要内容表现在以下几个方面:
1、营业部对超级管理员的授权工作要进行报备并监管,必须定期检查权限设置的留痕记录。 2、在客户开户等关键环节强调了几项复核: 客户资料审核需复核;密码重置须经复核;客户变更资料须经复核后生效;客户的帐户冻结、解冻须经复核后生效;开通银证转帐(三方存管)业务必须由客户本人亲自办理并经复核后生效。
3、营业部应当指定专人负责保管证券账户卡等重要空白凭证,不得散落或遗失,作废的应及时销毁。
4、营业部的交易资料要严格按照《营业部档案管理办法》进行归档保管,防止缺失。 在审计现场,发现有部分营业部后台操作没有严格执行公司的操作流程,主要表现为: 有的营业部不对超级管理员的授权工作、员工的权限设置进行定期检查,员工辞职都很长时间了,柜员权限都未消除。
规定需要复核的事项不严格执行复核,导致业务过程中出现错误和问题,比如:客户资料填写不全或不按照公司规定的标准格式填写,客户基本信息、电话号码、身份证号码填写错误。
不认真执行复核程序,将会导致风险事项的发生,比如:在未实行客户资金的第三方存管前,有个营业部员工利用银行工作人员的疏忽,连续对小额睡眠帐户现金取款,该员工代客户填写存取款凭条、代客户签字,由于没有复核,使得犯罪实施得逞。
有的营业部员工私下与客户达成协议,代客户操作买卖证券,损失后形成纠纷。 有的营业部不重视档案管理,客户资料乱堆乱放,甚至毁损或丢失等,客户资料的管理不善,一方面可能会有潜在纠纷,比如:客户投资亏损后,可能会以不是本人开户或营业部没有履行告知义务等名义起诉营业部,如果没有客户本人签字的原始资料,就会很被动;另一方面也会直接影响客户服务工作。
三、会计核算、财务管理方面
公司先后发布了《华泰证券有限责任公司费用报 销办法》和《华泰证券有限责任公司费用管理制度》、《华泰证券有限责任公司会计工作基本制度》、《华泰证券有限责任公司加强货币资金会计控制的若干规定》、《华泰证券营业部电子设备购置管理办法(暂行)》、《华泰证券有限责任公司固定资产管理办法》等制度,对公司的会计核算、资金、资产管理、费用开支等方面进行了明确规定,但是,在检查中经常发现以下问题:
1、银行支票的印鉴保管问题,有的营业部形式上是分开保管,但是,由于怕麻烦等原因,实际操作时并没有严格分开保管、监督使用;空白票据管理问题,有些单位领用支票、空白收据不登记、无交销记录。
2、现金不入帐甚至变为“小金库”的问题,“小金库”是公司明令禁止的,有少数单位利用转租营业用房收取的房租费、出售报废物资的残值收入、收取的开户费、磁卡费、给经纪人现金返佣结余等,形成帐外资金,有的当“小金库”使用。
3、内部辅助台帐不健全、费用报销手续不规范。主要反映在营业部购买业务用品、办公用品、电脑耗材等,往往会计凭证后只附一张商场发票,无购买物品明细清单、无出、入库验收和领用手续,无辅助台帐记录。
4、资产管理方面,不严格执行公司的有关资产的采购、使用和管理制度,对固定资产不进行定期盘底,不进行帐实核对、不明确使用人的责任,导致部分资产流失、毁损。
5、对长期挂帐的往来帐不清理、不核对、不处理。
四、标准化、规范化服务问题
公司在2007年3月20日以华泰证零字〔2007〕17号《关于开展营业部标准化服务规范工作的通知》,并附:《华泰证券营业部员工服务行为规范》(试行)、《华泰证券营业部重要客户回访规范》(试行)、《华泰证券营业部例会工作规范》(试行)、《华泰证券营业部电话服务规范》(试行),2007年6月28日华泰证字〔2007〕197号发布了《关于印发《华泰证券首问负责制实施细则(试行)》的通知等文件,明确了营业部客户服务工作的具体内容。
在对营业部的现场检查时发现:不按规定着装和佩带胸牌;无客户回访记录等。
五、投资者教育
以投资者资产安全为中心的内控机制是证券营业部核心竞争力的重要组成部分。