内部控制及证券公司的管理

治理机制是公司制度的核心，良好的公司治理机制是提高企业经营管理效率的基本要素，而科学、有效的内部控制制度，则是现代企业实现其经营管理目标的有力保证。内部控制作为由公司管理层为履行经营目标而建立的一系列规则、政策和程序，与公司治理密不可分。证券业是特殊的高风险行业，证券公司由于在证券市场上同时担任多种角色(发行中介、交易中介、投资者、融资者、信息提供者等)而处于证券业的核心位置，从而成为证券业风险的聚合处和汇集点。现代证券公司的业务具有高信用性、高流动性、高预期性、高虚拟性的特点，使得证券公司面临的风险更加复杂和难以把握。

证券公司内部控制存在的问题完善的内控机制应该达到以下标准：控制触角涉及企业经营的各个环节和各个方面，没有留下控制盲区；事权划分明确具体，具有很强的操作性；控制程序规范，过程控制受到特别的重视；有良好的控制效果，内部控制的功能可得到有效发挥。

我国证券公司起步较晚，内部控制机制建设起步更晚。实践中，许多证券公司认为建设内部控制机制是用条条框框束缚自己的手脚，不利于创新发展，在行动中仍然重外延扩张，轻内涵发展；重业务拓展，轻风险防范；重部门短期经济利益，轻公司长远发展目标；重被动地迎合外部监管法规及制度的要求，轻企业内部控制制度的系统建设。这种状况具体主要体现在以下几个方面：(1)从制度的制定情况来看，我国证券公司的内部控制制度大多数都是有关法律法规的简单复制，或者是同业制度的拷贝，缺乏与自身经营情况相适应的个性化规定，导致这些制度缺乏可操作性和控制力度。(2)从制度执行情况来看，许多证券公司制定内部控制制度都是基于应急的需要，或者是应付主管部门检查监管需要，因此制度制定以后，或者束之高阁，或者缺乏确保各项制度得以履行的落实机制，使得内部控制制度难以得到有效执行。由于公司内部缺乏及时高效的信息传递机制，难以及时发现和制止各种失控行为。(3)从制度维护方面来看，内部控制制度可能因经营环境、业务性质的改变而削弱或失效。已有的内部控制制度一般都是为那些常规的业务类型而设计的，因此，可能会对非常规的或未能预料到的业务类型失去控制能力。在经常变化的环境之中，为便于生存和保持竞争能力，证券公司势必要经常调整经营策略，或增设分支机构，或增加新的业务品种等业务创新，但证券公司常因不能及时对原有的控制制度进行维护从而对新增的业务内容失去控制作用。(4)从内部控制制度评价体系来看，证券公司建立健全内部控制制度是一个渐进的过程，必须建立其内部控制评价体系，根据情况的变化和出现的问题对相应的内部控制制度作出及时修正或建立新的内部控制制度。只有不断进行内部控制自我评价和改进，才能建立起行之有效的内部控制体系。这是当前证券公司普遍缺乏的。

以大连证券为例。大连证券组织机构、内控制度和决策程序的设计并不比其他证券公司差。根据1993年3月12日修改的大连证券章程，大连证券的组织机构包括股东会、董事会、监事会、经理，各组织机构的组织、职权和议事规则都有详细的规定。同时，依据《大连证券有限责任公司内部控制制度》第二章第一节“公司治理结构控制制度”，大连证券的组织机构包括决策系统、执行系统及监督系统：(1)决策系统包括股东会、董事会，股东会是大连证券的最高权力机构，也是大连证券的最高决策机构；董事会是对大连证券股东会负责的决策机构。(2)执行系统由总经理及总经理办公室、大连证券各职能部门及大连证券在各地的分支机构组成，总经理直接对董事会负责并列席董事会会议。(3)监督系统由监事会、稽核监督委员会组成。监事会是大连证券的最高检查监督机构，由大连证券的股东会选举产生，其职责是：监督大连证券的最高层决策人员和高层管理人员的行为，并检查大连证券的财务状况；稽核监督委员会是大连证券的内部监督机构，其职能是：通过现场和非现场稽核，监督各职能部门、分支机构按照国家有关法规和大连证券的制度来经营运作，防止和惩罚各种违规行为，检查各项制度的落实情况。

大连证券的内部规章制度主要为《大连证券有限责任公司内部控制制度》，其内容包括：(1)环境控制制度：公司治理结构控制制度、管理思想控制制度、员工素质控制制度、授权控制制度；(2)业务控制制度：经济业务控制制度、投资银行业务控制制度、自营业务控制制度、资产管理业务控制制度、金融创新业务控制制度；(3)资金管理控制制度；(4)会计系统控制制度；(5)电子信息系统控制制度；(6)内部稽核控制制度。此外，还有29个相关附件。

从制度设计看，大连证券内控机制和制度是完备的，但在实际运作中，几乎没有一样制度真实得到执行。大连证券股东会、董事会、监事会的会议记录、表决方式、会议程序及决议等内容严重不全，已有的部分会议决议缺少会议程序及记录，有的会议仅有会议记录，缺少会议决议，资料不完整。大连证券内部控制制度仅是摆设，是为了应付监管部门的检查，或者用来约束普通员工，而对于公司高级管理层毫无约束力。

综合而言，我国券商内部控制存在的主要问题有：

1.股东会、董事会、监事会等各项会议制度未得到确实执行，对于重大投资、重大资金拆借、发行债券、对外担保、利润分配等事项基本没有相应的会议决议，只需董事长签字同意或相关负责人同意即可，根本没有任何合法、科学的决策程序。

2.自营业务、投资银行业务、资金业务均有相应内部控制规范，但实际情况却是其中大部分均在账外进行，与相关规定背道而驰。

3.财务管理、财务收支核算、预算管理、会计督导等制度未得到确实履行，财务管理极其混乱，会计报表严重失实，违反了《会计法》、《证券公司会计制度》及其他财务会计法律法规的相关规定。如大连证券下属二级部门和证券营业部的铺张浪费现象极为普遍，有些证券营业部居然拥有十多部高级轿车。

4.对外投资毫无节制，巧立名目花样繁多。根据不完全统计，大连证券提供资金对外投资形成的各类公司近四十家，涉及实业、贸易、房地产、医药、影视等行业。很多公司设立的真正目的仅仅是为了融资和从事自营、配资业务，以逃避监管。这些公司中仅有3家为大连证券直接控股，其余大部分公司是以管理人员名义或其他个人和公司的名义持有股权，造成了大连证券财产的大量流失。

5.电脑信息系统控制不力，导致重要原始数据(如客户交易结算资金、库存证券、交易记录等)被随意修改。证券营业部存在随意修改电脑信息系统记录，为客户或银行提供虚假交易记录、虚假资金余额证明、虚假库存股票或债券证明等违法违规行为。

6.固定资产管理混乱，未定期进行盘点，账实不符问题严重。如大连证券本部的办公设备、电子设备及其他设备账面反映的设备与实物之间根本无法进行盘点核对，几乎不存在规范的实物管理。各证券营业部的电子设备也都存在大量账实不符的问题，如天津营业部已经赠送给客户的电脑仍反映于账面。

7.资金流出渠道众多，公司总部缺乏有效控制。大连证券资金流出的渠道不仅仅存在于公司本部层面，在各独立核算二级部门、证券营业部以及控股子公司都存在资金随意划转的现象，公司本部对于各单位的资金缺乏有效监督。

8.各证券营业部各自为政，利用客户交易结算资金账户，随意进行违规资金拆入和拆出。大连证券很多证券营业部实际从事的业务除经纪业务外，还有自营、融资、受托资产管理、发售债券、资金拆借等业务，其业务种类之全俨然是一个个综合性的证券公司。由此可见，大连证券各证券营业部的权力非常大，所从事的各项业务基本上可以由证券营业部经理进行独立控制和决定。大连证券各证券营业部差不多都是一个个权力巨大的“独立王国”，在此情况下，大连证券的资金控制和管理非常混乱。

9.随意开立银行户头，很多户头未纳入账内核算或不核算。截至2002年9月7日止，大连证券本部、二级部门、证券营业部有资金余额的账户达168户，平均每个核算单位开设银行户头8个以上。如果将以其他单位名义开设但实际控制的户头也计算在内，深圳资产营运部及所控制的6家公司共计开设75个，而这些账户在账上核算的仅有18个。有些单位的银行户头由非财务会计人员掌管，缺乏起码的会计核算和会计控制。如北京办事处的一些银行账户系由行政人员及秘书控制。证券营业部存放客户交易结算资金的报备账户和自有资金账户形式上分开了，但实际上证券营业部可以随意从报备账户提取资金。大连证券大量的违规行为是通过个人资金账户进行的，如违规售券款、资金融入和拆出、账外自营、给客户融资等均是通过在证券营业部开立的个人账户走账，将其视同于一般的客户交易结算资金存取业务，“代买卖证券款”科目已不仅仅是核算客户节余的保证金，而变成了一个“藏污纳诟”的场所。大连证券各证券营业部违规开立的资金账户，其相关开户资料要么没有，要么极不齐全。这一现象说明大连证券对资金账户的管理极不到位，对资金账户的开立缺乏必要的控制。内部控制的相关规章经过多次恶性违法违规事件之后，证券监管部门和证券公司都认识到了风险管理和风险控制的重要性，开始探索建设证券公司内部控制机制。

1.在法律法规方面,逐步形成一套规范证券公司经营行为的基本制度。近年来，监管部门出台了一系列监管措施，尤其在加强证券公司监管方面先后出台了《证券公司内部控制指引》、《证券公司管理办法》和2003年年底的《证券公司内部控制指引(修改稿)》等十多个规范文件，涵盖证券公司治理结构、内控制度、业务规范、信息披露、增资扩股、客户保证金管理等方方面面，一系列规章制度的出台为建立证券公司内部控制机制奠定了基础。

2.证券公司内部风险控制制度得到较大改善。近几年来，通过增资扩股、重组合并，证券公司的股权结构明显向多元化发展，公司制衡的组织结构开始建立与规范，为证券公司内部风险控制制度建设奠定了基础。从内部风险管理体制建设看：一是逐步重视建设专门的风险监管机构，包括风险控制委员会、重大决策咨询委员会、内部稽核部门等；二是逐步制定涵盖公司内部经纪业务、投资银行、资产管理、证券自营等各项具体业务的内部会计控制制度，保证各项业务依据授权进行；三是探索建立公司内部风险预警和控制系统，通过建立以VAR管理为目标的风险限额预警系统，寻求将公司经营风险的关键控制点落实到决策、执行、监督、反馈等各个环节及相关部门和相关岗位的具体办法中；四是开始利用现代信息技术建设公司内部统一的管理信息系统。

3.证券公司内控体系的组织架构

基本建立并趋于完善。总体上看，我国证券公司风险评估指标体系已初步形成。中国证监会根据证券公司的风险制定了一系列控制指标，常用的风险衡量指标包括资本充足性、资产流动性和获利能力，分别从不同层面揭示了证券公司可能面临的风险。同时，国内证券公司设立了专门的风险控制委员会或风险控制部门，统一负责整个公司层面风险控制的制度建设，从经营战略的角度引领整个公司沿着合法合规的方向发展；设立内核评审委员会参与对证券包销、贷款与抵押融资等融资业务的审批，以及投资银行业务的立项、策划，创新业务的咨询评审和拟上报项目材料的评审；设立证券投资决策委员会负责制定自营和资产委托业务的投资原则、交易限额，并有权要求投资部门减少对个别高风险产品的持有量，同时进行重大投资决策，制定防范和控制风险的措施。

总起来看，我国证券公司近年来在风险控制方面逐步形成了一套体系，但跟境外证券公司相比较，我国证券公司在风险控制方面还有较大差距。

若干建议现代企业内部控制理论指出，内部控制是一个过程，企业内部控制建设的根本目的在于推动实现企业价值最大化或股东财富最大化的目标，而不仅仅局限在防范和控制风险与纠错防弊上。建设一个运行良好、高效的企业内部控制系统，核心在于：(1)要营造有利于内部控制制度良性运行的控制环境。控制环境的因素包括企业的组织结构、管理哲学和经营风格；员工的诚信原则、道德价值观及能力；责任的分配与授权；人力资源政策与实务等。(2)能对企业的经营管理风险作出恰当评估，并相应设计高效的控制活动。证券公司必须围绕风险识别、评估、预警、报告等环节，对公司的经纪、投资银行、自营和资产管理等各项业务可能面临的各种风险加强控制，精心设计授权批准、资产保全、内部报告、人员素质、内部稽核等各项控制活动。(3)要有及时、准确的信息生成与传递系统。企业在其经营过程中，必须在合适的时间与地点辨识、取得准确的信息，并能在整个企业内进行及时沟通，以使整个企业的各个层次都能够恰当地履行责任。有效的内部控制应为证券公司实现下述目标提供合理保证：(1)保证经营的合法合规暨证券公司内部规章制度的贯彻执行；(2)防范经营风险和道德风险；(3)保障客户及证券公司资产的安全、完整；(4)保证证券公司业务记录、财务信息和其他信息的可靠、完整、及时；(5)提高证券公司经营效率和效果。

在过去的二十多年里，全球经济的一体化、各国资本市场的放松管制、信息技术的迅速发展与应用以及金融产品的创新等因素，彻底改变了证券公司的经营环境和风险性质，大大提高了识别与控制这些风险的难度。因此，国外投资银行都高度重视风险管理，经过多年的积累，不仅探索出了许多科学、先进的风险管理方法与工具，还逐步形成了一套全面、有效的风险管理系统，成为国外券商内部控制体系的重要组成部分，并融合到企业的文化和经营理念之中，使风险管理成为每一位员工共同努力的目标。依照现代企业内部控制理论，结合我国证券公司内部控制的实际状况，证券公司加强和完善企业内部控制机制建设应在完善治理机制的基础上重点做好以下几项工作：

一、培育诚信为本的企业文化

创造诚信为本的企业文化氛围能够对内部控制制度的落实和执行起到积极的推动作用，这也是证券公司控制环境的重要组成部分。证券公司是高端人才相对集中的地方，因而如何调动和发挥人才的作用，具有非常重要的意义；要做到这一点就必须要关注和培育良好的企业文化。事实上，一个成功的企业一定要有完善的治理结构、有竞争力的核心技术、有创新精神的企业家、融洽奋进的团队、诚信和谐的企业文化。企业文化是一种力量，随着知识经济的发展，它对企业兴衰发挥着越来越重要的作用，有时甚至是关键性的作用。内部控制制度的设计无论多么完美，毕竟是人制定的，一定存在着漏洞。完全依赖规章制度，并不能解决全部问题。真实、可靠是规章制度的要求，但同时也必须是与诚信共同作用的结果。人是最为关键的因素。企业内部控制的最优结果就是每一位员工能够做到自我控制，自我管理。所以必须强调沟通和感情的交流，消除管理者与被管理者之间的隔膜，从而调动每一个人的积极性。另一方面，要明确和落实诚信责任。通过制定和完善制度、规则，明确提出各个层次的人员在企业运作中的诚信要求与责任。要通过常规性的检查监督促进有关各方切实履行诚信义务。要按照公司内部控制规定对违反诚信的人员进行制裁，真正落实诚信责任。

二、建设风险评估和管理体系

首先，建立证券公司内部风险预警指标体系，完成公司风险的识别与量化，分别把握公司风险的总体水平和各业务种类的风险水平；其次，建立健全风险管理制度体系，包括建立按业务种类划分的经纪业务、自营业务、投资银行业务、资产管理业务、网上交易业务等业务风险管理制度体系，以及建立按企业重大决策活动内容划分的投融资、预算管理、资金管理等职能管理内部控制制度体系；最后，建立风险管理的落实机制，充分运用现代化的财务管理手段，围绕风险识别、评估、预警、报告等环节，使风险控制程序化、制度化、科学化，同时，建立责任追究制度，使违反制度可能付出的成本远远高于可能得到的收益。

三、设立良好的控制过程

包括梳理工作流程，建立明确的岗位责任制，实现定岗、定人、定责，使每一员工各司其职，各负其责，分工协作，互相监督；明确关键控制点，对在业务流程中起着重要作用的控制环节进行重点监控；实行授权授信控制，明确授权批准的范围、层次、责任与程序；建立事前、事中、事后监督体系；完善文件记录控制，建立全员岗位说明书、业务操作规程手册、授权审批权限等文件，对要求进行内部控制的各个环节和措施都形成文字材料，有据可查。

四、加快公司内部管理信息系统建设

建立统一的管理信息系统，是公司内部控制制度建设的技术基础。建设良好的集团化、网络化、一体化的管理信息系统：(1)要将公司内部控制的思想和标准固化在软件程序之中，实现控制标准与业务处理控制的一体化，从源头上减少管理偏差或错误，规避企业经营风险。(2)要高度重视内部控制信息的时效性，最大程度地做到企业内部控制信息的实时传递。管理信息系统要能够按照内部控制系统的需要识别使用者的信息需求，在此基础上收集、加工和处理信息，并将这些信息及时、准确和经济地传递(包括向下、向上和横向的沟通传递)给企业内的相关人员，使他们能够顺利履行其职责。这样，企业的每一名员工就能够清楚地了解到企业的内部控制制度，知道其所承担的责任，并及时取得和交换他在执行、管理和控制企业经营过程中所需的信息，从而提高公司内部控制的效率和效果。(3)要有助于控制标准的建立和修正、控制活动成效的评定、控制报告的拟定以及改进建议的及时传达；要有助于实现集团内部资金的集中管理、统一调度、集约经营和集成监控，从根本上改变证券公司内部普遍存在的资金分散和违规使用的落后的资金管理状况，优化证券公司内部资金资源配置，减少不必要的资金沉淀，在最大程度上控制资金违规风险，提高资金规模运作效益。

五、明确风险管理程序

风险管理的实质是以最经济合理的方式消除风险导致的各种灾难性后果。在实施风险管理过程中，应根据量力而行的原则，在权衡可能遭受风险损失大小的基础上，根据自身财务能力确定采用不同的工具，或采取保险、转嫁的方法，或实施损失控制与消除损失的办法来控制风险。证券公司风险管理程序包括四个阶段：风险识别、风险衡量、选择风险管理工具和实施风险管理、评价风险管理后果。风险的识别是对尚未发生的潜在的各种风险进行系统地归类和实施全面的分析研究，通过周密系统的调查分析，综合归类，揭示潜在风险的性质等，是风险管理的前提和基础。风险衡量是对特定风险发生的可能性或损失的范围与程度进行估计和衡量，现代科学技术为此提供了一些量化的手段，通常通过概率论和数理统计方法以及计算机技术，对大量已发生的损失频率和损失严重程度的资料实施科学的风险分析。风险管理对策包括风险控制对策和风险财务处理对策，前者包括避免风险、损失控制、非保险转移等，是在损失发生前力图控制与消除损失的工具；后者包括保险等，是在风险发生后采取的处理措施和经济补偿工作。风险管理决策和评价其后果，实质在于协调和配合使用风险管理的各种工具。风险管理的重要性在于：损失前的预防胜于损失后的补偿。所以实施风险管理的决策应力求充分发挥损失前的风险控制工具的作用，积极防范和消除损失隐患。此外，还应不断通过各种信息反馈系统检查风险管理决策的实施情况，并据此不断地进行调整和修正，以求达到或趋近于风险管理目标。

六、完善风险管理组织结构并明确职责范围

证券公司要建立与内部组织架构相适应的多层次的风险管理框架，包括从董事会、管理层、各业务部门或从职能部门一直到各个风险控制单元或关键控制点的多级控制结构，同时也包括了总公司或母公司与分公司之间的风险管理架构。其中，最重要的是在董事会中设立风险管理委员会，作为公司风险管理系统的核心，要有明确的工作职责、议事范围、程序和规则，负责对公司风险的全方位防范和控制。风险管理委员会负责公司日常的风险管理工作以及与公司内部稽核部门的沟通，是公司中识别、防范、控制和规避风险的领导机构，应有明确的工作职责和组织结构(见图1)。

证券市场的良性运行对国民经济的安全至关重要，证券公司作为证券市场运行的中枢，其运作规范和健康发展问题自然受到社会的广泛关注。保证证券公司的规范发展须从加强外部监管和强化内部控制两方面入手。

国内外证券业的发展实践证明，外部监管固然是十分必要的，但证券公司自身加强内部控制机制建设则是根本性措施。现代企业内部控制理论指出，内部控制是一个过程，受企业董事会、管理层和其他员工影响，旨在保证财务报告的可靠性，提高经营的效果和效率以及遵循现行法规。1998年5月，国际证券委员会组织(IOSCO)下属的技术委员会提交了一份题为《证券公司及其监管者的风险管理和控制指引》的研究报告。该报告的重点是关于风险管理及控制的政策、程序和内控制度的指引，目的是为了增强证券公司和监管者对证券公司风险管理的意识。国际证券委员会组织将证券公司所面对的风险划分为市场风险、信用风险、流动性风险、操作风险、法律风险和系统风险等六大类型。高风险的行业特征确定了证券公司内部控制机制建设的主要宗旨是加强各类风险的防范和控制，所以在进行证券公司内控机制设计时必须牢牢把握风险控制这根主线。