硕士学位论文-关关于证券公司内部控制建立与完善的研究.doc

关于证券公司内部控制建立与完善的研究引 言在证券市场的发展中，证券公司是证券市场重要组成部分，证券公司称得上是连接企业和资本市场的中介和桥梁，是证券市场发展的重要推动力之一。它承担着证券代理发行、证券自营买卖、证券代理买卖、资产管理及证券投资咨询等重要职能。证券公司在证券市场的重要角色使其行为的规范和发展程度直接关系到证券市场的健康发展和稳定运行。证券业是一个高风险的行业，这就决定了证券公司在其经营活动中不可避免的要承担各种各样的风险，显然比一般企业风险要大得多，复杂得多，因此对于证券公司，控制风险是获得利润的前提，能否有效地防范和化解风险，直接关系到证券公司的生存和发展，而建立行之有效的内控体系是控制风险的重要手段。证券公司从事的交易涉及货币数量、价值远比一般企业庞大，而且证券公司通常也具有相当广泛的地域分布，证券公司这些经营特点，使证券公司内部控制建设和完善显得格外重要。应当看到，证券公司内部控制状况已经成为争取客户、吸引人才、吸收投资、寻求合作及融资的重要影响因素。健全的内部控制能够有效地防止挪用、欺诈等侵害客户利益的行为，使公司保持良好的诚信记录并提高公司的资信等级。从内部控制与外部监管的关系来看，内部控制是证券公司风险的第一道防线，起预防作用，成本较低。外部监管无论如何也只是证券公司风险控制的第二道防线，一般在事后发挥作用，而且通常成本较高。因此，外部监管替代不了内部控制。只有在证券公司内部建立完善的风险管理和控制体系，才能有效地规避各种风险，保护公司资产的安全和客户利益。目前，我国券商与国外券商相比特点之一就是资本规模普遍很小，在今后的发展中，扩大我国券商的资本规模，增强抗风险能力是必然趋势。扩大资本规模有效的筹资途径之一就是上市发行股票。目前我国唯一一家上市的证券公司是中信证券股份有限公司，而作为上市公司，完善的公司治理结构是基本要求，而完善公司治理结构又是内部控制要素中控制环境的核心内容，也是证券公司内部控制指引中明确指出的内部控制目标之一。然而目前，我国证券公司内部控制现状令人担忧。具体表现在： 我国证券公司对内部控制重要性的认识不够，目前仍停留在纸上谈兵阶段，许多证券公司内部控制仅仅是一本本详细的政策程序的记载，内部控制的手段和措施不力，对规章制度的执行情况缺乏有效监督，对重要业务缺乏必要的风险评价和实时监测，内部控制机制不健全，没有良好的控制环境，内部控制的稽核作用没有充分发挥出来等。并且我国目前对证券公司内部控制的研究几乎是空白。中国证券监督委员会于2001年1月31日颁发了证券公司内部控制指引，在市场上引起了较大的反映，实际上，早在1997年11月28日，中国人民银行副行长陈元在全国金融机构内部控制建设座谈会上提出了“提高认识，采取措施，进一步完善和加强金融机构的内部控制建设”的要求，2001年1月证监会颁布了证券公司内部控制指引，要求证券公司从内部控制机制和内部控制制度两方面来加强内部控制。2001年6月中国证监会又颁发了证券公司管理办法（征求意见稿）重申了证券公司要“有适当的内部控制技术系统和健全的内部控制制度。”2001年12月28日中国证监会正式颁布了证券公司管理办法，进一步明确了“证券公司应当加强内部管理，按照中国证监会的要求，建立严格的内部控制制度。”这一切均说明了健全内部控制体系对促使证券公司规范经营，稳健发展以及证券市场健康发展有重大意义。本文对证券公司内部控制的研究并不是象以往有些文章那样只强调内部控制制度，而且认为内部控制就是内部会计控制，过分强调内部会计控制，而忽略了内部控制机制的建设。中国证监会2001年1月发布的证券公司内部控制指引要求所有证券公司从内部控制机制和内部控制制度两个方面建立和完善证券公司的内部控制。之所以强调内部控制机制和制度两方面，是要将内部控制公司各项管理控制工作的一个有机组成部分，既需要制度的制约，更需要有效的组织控制机制，使得各项措施能够发挥应有的作用。内部控制机制是指公司的内部组织结构及其相互之间的运行制约关系。内部控制制度是指公司为防范金融风险，保护资产的安全与完整，促进各项经营活动有效实施而制定的各种业务操作程序，管理方法与控制措施的总称。通常所说的会计与出纳分工、钱账分管就属于内部控制制度。 本文写作中结合了COSO报告中内部控制的五大要素和证券公司内部控制中指出的内部控制主要内容。本文一是在控制环境这一章中强调内部控制机制的建立，符合证券公司内部控制指引的要求；二是结合证券公司自身经营特点，重点放在几大传统业务如何防范风险而建立内部控制，这将在本文第四章风险防范与控制活动中研究。三是对内部控制最后一个要素监督的考虑，把证券公司内部审计监督纳入内控体系。通过本文的写作，笔者想强调内部控制机制也即控制环境在内部控制中的作用。由于对我国证券公司内部控制研究几近空白，本文写作另一目的就是试图为证券公司内部控制应从哪些方面加强与完善提供一些思路。第一章 内部控制的重要意义加强和完善公司内部控制已成为当今理论界和实务界最为关注的话题之一。现代企业内部控制是社会经济发展到一定阶段的产物，是企业加强内部管理以及随社会需要而不断丰富和发展起来的。由于长期计划经济的束缚，我国企业缺乏从总体上对内部控制进行研究，内部控制机制和内部控制规范都很缺乏。随着改革不断深入，国外先进思想的引入，尤其是加入WTO以后，我国企业将面临着更加严峻的挑战，对管理提出更高的要求，建立全方位的内部控制结构已成为我国企业当前一项紧迫任务。第一节 对内部控制基本理论的认识一、 内部控制的理论基础“控制”一词最早来源于17世纪初的有关英文词典，意为掌舵术，引申为驾驭、支配的意思。内部控制作为企业内部的一种管理方法，并不是我国产生的，因此，研究内部控制应该了解国外关于内部控制的有关理论，从而借鉴其管理思路，推动我国企、事业单位内部控制理论与实务的发展。内部控制理论从实质上讲，是利用了“螃蟹理论”，即互相牵制的理论。所谓的“螃蟹理论页：3”1参见 张国康，黄金曦，罗彬 内部控制制度，立信会计出版社，2003（1） 第5页就是在一个筐里如果只有一只螃蟹，它将无拘无束，横行霸道，但是，如果一个筐里有两只或者更多只螃蟹，它们将肯定在一起互相钳制，谁也跑不掉了。内部控制，就是要在每个不能直接管辖的机构里，设置多个互相牵制的岗位和人员，起到互相监督互相制约的目的。20世纪70年代，西方提出了在经济问题上，每个经济岗位都应该以“不信任”为前提，建立起相应的内部牵制制度，进而引伸为内部控制制度。正是以不信任为理论前提，就必须对公司里各项经济活动与财务物资强化管理，加强控制。通过制定相关内部控制制度，最终达到保护公司资产，防止舞弊、减少差错、提高会计报告和其他业务资料的可靠性和准确性，达到提高公司各方面活动的经营效率与经济效益的目的。随着社会经济发展，最初以内部牵制为理论起点的内部控制理论已经越来越不适应现代企业的发展，伴之而出现的全方位控制的内部控制框架理论，已经成为西方新的内部控制理论研究基础。二、西方对内部控制概念的界定及其演变11内部控制是18世纪产业革命后，企业规模和资本大众化的结果。内部控制的演进主要表现为控制目标、控制对象和控制手段的变化。内部控制的概念的演变大致可分为4个历史阶段，20世纪40年代；40年代末至80年代；80年代至90年代；90年代之后，按照国外通行的概括，内部控制的演进遵循“内部牵制(internal check)内部控制制度(internal control system)内部控制结构(internal control structure)内部控制整合框架(internal control integrated framework)”的轨迹。这一概括大致勾勒出内部控制的发展进程。2方红星，内部控制 审计与组织效率，会计研究2002年第7期（一）内部牵制阶段。在上世纪40年代前，人们习惯用内部牵制概念，根据柯氏会计辞典，内部牵制是指：“以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。这一阶段内部控制着眼点在于职责的分工和业务流程及其记录上的交叉检查或交叉控制。内部牵制主要通过人员配置和职责划分、业务流程、簿记系统等来完成。其目标主要是防止组织内部的错误和舞弊，通过保护组织财产的安全来保障组织运转的有效性。一般来说，内部牵制机能的执行大致可分为以下四类：1实物牵制。例如把保险柜的钥匙交给两个以上的工作人员持有，非同时使用这两把以上的钥匙，保险柜就打不开。2机械牵制。例如保险柜的大门若非按正确程序操作就打不开3体制牵制。例如采用双重控制预防错误和舞弊发生4簿记牵制。例如定期将明细账与总账进行核对。内部牵制是基于以下两个基本设想：1两个或两个以上人或部门无意识的犯同样错误比单独一个人或部门犯错误的机会小；2两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制确实有效地减少了错误和舞弊行为，因此，在现代内部控制理论中，内部牵制仍占有相当重要的地位，是有关组织规划控制的基础。（二）内部控制制度阶段。1949年，AICPA的审计程序委员会在内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性报告中，对内部控制首次做了定义：“内部控制包括组织机构设计和企业采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”1958年10月该委员会发布的审计程序公告第29号对内部控制定义从新表述，将内部控制划分为内部会计控制和内部管理控制。这一阶段内部控制主要通过形成和推行一整套内部控制制度（方法和程序）来实施控制。内部控制的目标除了防止组织内部的错误舞弊，保护组织财产安全外，还包括增进会计信息的可靠性、提高经营效率和遵循既定的管理方针。在内部控制发展时期，不论是内部会计控制或是内部管理控制，都还停留在对某一经济业务过程或者对分支机构的控制方面，不能满足对现代企业的全面管理。（三）内部结构阶段。1988年AICPA发布了审计准则公告第55号，从1990年1月起取代1972年发布的审计准则公告第1号，该公告首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”内部控制结构具体包括三要素，它们是控制环境、会计系统、控制程序。这一阶段不在区分会计控制和管理控制。控制环境反映董事会、管理当局、业主和其他人员对控制的态度和行为；会计系统规定各项经济业务的确认、分类、记录和编报方法，旨在明确各项资产、负债的经营管理责任；控制程序是管理当局所制定的政策和程序，用以保证达到一定的目的。（四）内部控制整合框架阶段。1992年9月美国“反对虚假财务报告委员会”（即Treadway委员会）下属的由美国会计协会（AAA）、美国注册会计师协会（AICPA）、国际内部审计人员协会（IIA）、财务经理协会（FEI）和管理会计协会（IMA）等组织参与的“发起组织委员会（Committee of Sponsoring Organizations,简称COSO）”发布报告“内部控制整体框架（Internal ControlIntegrated Framework）”，即“COSO报告”，该报告具有广泛的适用性。1996年美国注册会计师协会发布审计准则公告第78号，全面接受COSO报告的内容，并从1997年1月起取代1988年发布的审计准则公告第55号新准则将内部控制定义为：“由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。”内部控制要素包括 控制环境，包括员工的诚实、道德价值观和能力，董事会或审计委员会，管理当局的理念和经营风格，组织结构， 授予权利和责任的方式，人力资源政策和实施；风险评估，即为了达成组织目标而对相关的风险所进行的辨别和分析；控制活动，是为了确保实现管理当局的目标而采取的政策和程序，包括审批、授权、验证、确认、经济业绩的复核、资产的安全性等；信息与沟通，是为了保证员工履行职责而必须识别、获取的信息及沟通，信息系统中包括会计信息系统；监控，即对内部控制实施质量的评价，主要包括经营过程中的持续监控，个别评价或两者的结合。三、对内部控制的理解 综上所述，我们了解到内部控制的理论的发展经过了一个漫长的时期，大致可以区分为内部牵制、内部控制制度、内部控制结构、与内部控制整体框架等几个不同的阶段。目前我国理论界和实务界对内部控制的认识还很不统一。我们认为，根据控制论的一般原理，控制是作用者对被作用者的一种能动作用，被作用者按照作用者的这种作用而行动，并达到系统的预定目标。因此，可以从以下几个方面来理解内部控制：1内部控制是伴随着组织的形成而产生的，内部控制必须与一定的组织联系起来理解，即它来自组织内部，针对组织内部，是为促使组织实现其所赋有的全部或者部分目标而开展的一系列专门的活动。2 内部控制具有一定的目的性，为达成某种或某些目标而实施；3 内部控制是为了达到某个成果或目的而进行的过程，且是一种动态的过程，是使企业的经营依循既定目标而前进的过程。它本身是一种手段，而非是一种目的；4 内部控制是散布在企业作业中的一连串活动，是企业经营过程的一部分，与企业经营过程结合在一起，使经营过程发挥其应有的功能，并监督着企业经营的持续进行；5 内部控制深受企业内部环境的影响，环境影响企业控制目标的制定与实施；6 企业中每一个员工既是控制的主体又是控制的客体，既对其所负责的作业实施控制，又受他人的控制和监督。3参见 吴水澎，陈汉文，邵贤弟 企业内部控制理论的发展与启示， 中华财会网2003年1月第二节 对内部控制的构成内容的认识内部控制构成，实质上是研究内部控制要素问题，COSO报告第一次提出了内部控制框架理论，为内部控制主干构成的建立提出了总体性的思路。其基本构成内容：一、控制环境控制环境，是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。环境是一种氛围，环境是内部控制各种要素发挥作用的基础，决定其他控制要素发挥作用的程度。加强和完善企业内部控制，首先应注意企业内部控制环境的建设。控制环境直接影响到企业内部控制的贯彻和执行，影响着企业经营目标及整体战略目标的实现。影响控制环境的因素是多方面的，通常包括：1诚信原则与道德观念。公司在各种活动中，各层次的人员必须讲求诚信原则与道德观念。2董事会与审计委员会的职能发挥。现代企业法人治理结构的一个显著特征就是经营权与所有权分离。从理论上讲，对经营者的控制机制可分为外部控制机制和内部控制机制。内部控制机制则是以董事会为主体，审计委员会进行协作的公司控制环境，其环境影响对内部控制发挥作用极其重要。3企业管理者的素质及管理哲学。管理者素质包括思想素质与业务素质。管理者的思想素质通常包括品行、道德与价值标准、世界观等方面。管理者业务素质通常包括具备管理专业知识的程度；管理知识的运用能力；处理事务的技能与果断程度等。管理层的管理哲学及管理风格，包括企业承受营业风险的种类、整个企业的管理方式、对企业财务的重视程度以及对人力资源的政策和看法等。 4 企业文化。企业文化作为一种无形的精神力量与源泉影响着企业成员的思维方法和行为方式。5组织结构与权责分派。企业组织结构是指为公司活动提供计划、执行、控制和监督职能的整体框架。权责分派包括指派所有员工进行营运活动的“权”与“责”，以及建立沟通渠道和设立授权方式等。6人力资源政策及实务。制度的执行历来是由人决定的，人的因素在内部控制中起相当重要的作用。二、风险评估风险评估就是分析和辨认实现企业目标可能发生的风险概率，然后通过抑制风险来提高企业在实现目标中的效果。对企业进行风险评估，必须考虑以下因素：1目标。企业的整体目标，通常是由企业的理念及追求的价值决定的，而与之相配合的是企业下一级具体目标。2风险。风险来自企业外部与内部。风险是不可避免的，但风险可以抑制或通过努力降低，因此对风险进行评估，并加强风险管理是企业内部控制的重要因素。3环境变化后的风险管理。风险管理就是如何辨认已经发生的环境改变，并针对环境改变而采取必要行动。三、控制活动控制活动是确保管理层的指令得以实现的政策和程序，旨在帮助企业完成目标而避免风险所采取的必要行动。主要包括：高级经理人员对企业绩效进行分析、生产部门控制业绩报告、信息处理部门对信息处理活动控制、实物资产控制、分工。四、信息与沟通信息与沟通指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需要的信息，并交换这些信息。信息系统提供包括经营、财务等方面信息的报告，作为经营和控制企业的依据。信息系统不仅要处理企业内部的有关信息，还要提供与企业制定决策有关的外部信息。有效的信息沟通不仅包括上下级之间的信息流动，还包括信息在各部门的横向流动；信息沟通不仅包括企业内部的信息沟通，还包括与企业外部（如客户、供应商、政府机构、股东）的信息沟通。五、监督监督是由相关的人员，在适当而及时的基础上，评估与督促其控制的设计和运作情况的活动。企业内部控制是一个过程，这个过程需要通过纳入管理过程的大量制度及活动实现，即需要被监督，通过监督能够评价控制系统的运行质量，必要时对其加以纠正。上述五个因素是一个相互联系、综合作用的整体，它们构成对处于变化中的环境做出动态反应的整体框架。内部控制框架是企业管理的不可分割的部分并构成企业经营的框架基础。内部控制框架五个因素的相互关系图 4参见 朱荣恩，内部控制评价 第9页，中国时代经济出版社，2002年9月第一版图1-1第三节 关于对COSO报告的理解从上一节内容中可以发现，内部控制框架主要特点是：在内部控制结构基础上，从多角度、多方面强调公司整体控制。即：内部控制框架强调的是三维立体控制。它是将公司作为一个整体，通过多方面的要素进行的控制。内部控制框架中的内部控制辐射范围以及内部控制目标都有所拓展，例如会计和出纳的分工属于内部控制，保证会计目标真实性、保护企业资产安全被公认为内部控制目标，那么，董事长和总经理的分工是否属于内部控制？保证公司政策的贯彻实施、保证公司目标的实现是否是内部控制目标？如果答案是肯定的，内部控制应突破 管理的范畴，构成公司治理的组成部分。本文要研究的证券公司内部控制就是从内部控制机制和内部控制制度两方面来进行研究的，因此本节将从分析COSO报告现实意义与缺陷中进一步研究内部控制框架与公司治理的关系。一、COSO 报告的现实意义 COSO报告在世界范围内为内部控制提供了比较一致的概念解释和评价标准，对提升内部控制研究和运用水平，对增强企业防范能力，产生了积极影响。主要包括以下几个方面：= 准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的，而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”= 提出三类目标、五项构成要素概念。COSO报告把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有了一个质的飞跃。= 提出内部控制是一个“过程”，并由五项要素组成。这五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间的有机的多维的联系和影响。= 强调“人”与环境的关系，并提出人在控制中的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的，企业的每位员工都受到内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。所以，要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色，并协调一致，才能推动内部控制的有效运转。同时在控制中，注重“软控制”，所谓“软控制”，主要是指那些属于精神层面的事物，如管理层的管理风格、管理哲学、企业文化等。= 认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司经理班子逾越内部控制的行为。= 强调内部控制系统是“内置于”（built in）企业经营和管理过程中的一项基础设施(infrastructure)，与管理活动的计划、执行和监控职能交织融合在一起，不是后天添加物(built on)。二、COSO报告的不足之处= 没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制系统联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会授权或审批，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦，只看到了地上部分，忽视了地下基础。= 内部控制系统中会计与审计色彩太重，考虑企业现存的和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防范风险也是被动的，缺乏能动性。所以，至今还有许多公司认为内部控制只是财务主管和财务人员的事情。= 基本目标与分类目标之间存在差异。根据COSO报告，内部控制基本目标是促使企业实现经营目标，并减少经营过程中的风险，其中涉及了企业生存，也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注企业的未来。三、COSO报告给予我们的启示（一）企业内部控制应立体渗透于公司治理结构和企业管理体系企业是多重契约关系的组合，而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系，因此企业内部控制中“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。内部控制作为由管理当局为履行诸管理目标而建立的一系列规则、政策和组织实施程序，与公司治理及公司管理是密不可分的。内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。在我国，内部控制外延的拓宽正是由公司治理机制变化所致在计划经济体制下，经营管理人员缺乏自主权及会计人员的国家工作人员身份决定着内部控制目的在保证会计信息的真实性和国有资产的安全性。在现代企业制度的公司治理机制下，公司作为自负盈亏，自我完善，自我发展，自我消亡的经济组织，以管理监控为己任的内部控制的目的必须要拓展到公司政策的贯彻与公司管理目标的实现上。内部控制框架在公司制度安排中担任内部管理监控的角色，成为公司管理中不可缺少的部分。因此，我们认为只有从公司治理的高度认识内部控制，而不仅仅将它作为公司日常管理的手段，是正确认识内部控制的本质，发展内部控制作用的前提。证券公司内部控制指引就是从公司治理的高度来指导证券公司内部控制框架建设的。该指引首次将内部控制分为内部控制机制和内部控制制度两部分进行规范，很好地说明了内部控制在公司治理和公司管理中的作用。健全内部控制机制和完善内部控制制度是规范公司经营行为、有效防范风险的主要措施，也是衡量公司经营管理水平高低的重要标志。只有以良好的内部控制机制为前提，内部控制制度才会产生良好的效果。（二）企业内部控制应是一个能动的驾御、监测和推动系统，它不仅要关心企业的现实生存，更应关注企业的未来发展。（三）内部控制不仅是企业财务人员的事情，它是企业管理的一个部分，要渗透到企业各个部门以及每一个员工，内部控制不局限与仅仅是内部会计控制，应包含为保证企业目标实现而进行的风险控制，业务控制，以及内部审计的监督。第二章 我国证券公司内部控制现状及其规范要求第一节 我国证券公司内部控制现状一、我国证券公司内部控制现状从我国当前金融业实际情况来看，有两方面的问题比较突出，一是金融风险的积聚问题，二是比较严重的违法违规和金融犯罪问题。这两个问题都与金融机构内部控制有直接关系。反映在证券公司的方面也存在许多问题，其中不少带有普遍性，有的甚至十分严重，主要问题表现在以下几个方面：（一）管理层思想认识不到位，内部控制制度形同虚设差不多每一家证券公司都有整套的内部控制制度，而且大都内容一致，有些完全是各种法律法规的复制，但在实际运作中没有很好地操作或执行。一些证券公司的管理层在指导思想上把内部控制看作是对下属员工的管理手段，自觉或不自觉地将自己凌驾于内部控制之上。 例如，很多证券公司都设置了内部控制风险控制委员会或投资决策委员会等类似机构，但在从事重大资产管理、自营业务或一些可能影响公司的重大决策时根本没有按既定的决策程序进行运作，往往由老总或董事长全权决定，风险控制部门形同虚设。（二）证券营业部管理不规范，对分支机构缺乏有效的约束证券营业部除经纪业务外，在公司授权或未授权情况下还不同程度地经营其他业务（如资产管理业务、自营业务等）。例如有的证券公司，部分资产管理业务由证券营业部直接同客户签订资产管理委托协议，并全权操作受托资金（可能存在受托资金账外经营而公司总部并不知晓的情形），公司原则上规定营业部的受托资金只能从事申购新股，事实上并非如此。有的证券公司，授权少数营业部从事证券自营业务（主要是国债业务），存在个别营业部未经授权直接从事自营业务或资产管理业务的可能。（三）公司治理结构不合理或不完善相互制约机制不健全，对决策管理层没有足够的监督。许多证券公司董事会、监事会不起作用，总经理的权力过大，内部决策机制不顺畅，有的证券公司的董事会不健全，重大决策往往由董事长一人单独决定，在公司领导层面上无相互牵制机制。还有的证券公司，连公司法规定的监事会也未设置。（四）对重要的业务缺乏必要的风险评价和实时检测。有的公司不是没有建立，就是手段原始、落后。由于管理决策层的判断偏差、决策失误或内部管理无序以及关注短期效益和市场形象等原因，一旦出现问题，要么束手无策，听之任之；要么甚至抱着“赌一把”的心理，孤注一掷，去冒更大的风险。（五）重要岗位管理不规范部分证券公司尚未按证券公司内部控制指引要求对重要岗位（如证券营业部经理、财务主管、电脑主管）实行总公司委派和定期轮换制，不仅为总公司财务会计核算带来诸多不便，而且囿于空间的地理隔离，使得总公司对营业部的控制流于形式，对证券营业部的日常监管完全建立在职员的道德风险之上。（六）公司内部没有“防火墙”证券法和证券公司内部控制指引规定，证券公司的自营业务和经纪业务在人员、资金、账户上要隔离，分开操作。但是一些证券公司的自营、经纪、资产管理业务由一个副总分管，前台经纪业务与后台资金结算系统由一个老总负责。这实际上没有建立“防火墙”的隔离制度。这无论在物理空间和心理空间都是没有进行隔离的。国外的证券公司，他们的“防火墙”除了物理空间的隔离外，关键是一种心理上的“防火墙”。证券行业是一个专业性很强的行业，证券从业人员必须要有自己的从业道德。这是心理上的防火墙，是道德的规范，是一种观念。英国证券市场的监管是和他的守法文化分不开，所以长期以来英国的证券监管是自律性监管。守法文化要靠慢慢培养，心急不得。所以，以上列举的证券公司内部控制存在的问题，都是我们内部控制不到位所致，为解决以上问题，建立完善的内部控制是证券公司自身生存与健康发展的保证。二、构建我国证券公司内部控制体系的迫切性（一）健康发展我国证券市场，迫切需要加强证券经营机构内部控制在证券市场的发展中，证券公司是证券市场重要组成部分，证券公司称得上是连接企业和资本市场的中介和桥梁，是证券市场发展的重要推动力之一。它承担着证券代理发行、证券自营买卖、证券代理买卖、资产管理及证券投资咨询等重要职能。证券公司在证券市场的重要角色使其行为的规范和发展程度直接关系到证券市场的健康发展和稳定运行。（二）证券公司自身生存与发展的健全有效的内控体系。证券业是一个高风险的行业，这就决定了证券公司在其经营活动中不可避免的要承担各种各样的风险，显然比一般企业风险要大得多，复杂得多，因此对于证券公司，控制风险是获得利润的前提，能否有效地防范和化解风险，直接关系到证券公司的生存和发展，而建立行之有效的内控体系是控制风险的重要手段。证券公司从事的交易涉及货币数量、价值远比一般企业庞大，而且证券公司通常也具有相当广泛的地域分布，证券公司这些经营特点，使证券公司内部控制建设和完善显得格外重要。应当看到，证券公司内部控制状况已经成为争取客户、吸引人才、吸收投资、寻求合作及融资的重要影响因素。健全的内部控制能够有效地防止挪用、欺诈等侵害客户利益的行为，使公司保持良好的诚信记录并提高公司的资信等级。从内部控制与外部监管的关系来看，内部控制是证券公司风险的第一道防线，起预防作用，成本较低。外部监管无论如何也只是证券公司风险控制的第二道防线，一般在事后发挥作用，而且通常成本较高。因此，外部监管替代不了内部控制。只有在证券公司内部建立完善的风险管理和控制体系，才能有效地规避各种风险，保护公司资产的安全和客户利益。（三）中国券商入世后要在新一轮竞争中立足并谋求发展，迫切需要建立完善的内控体系加入WTO后，国内证券业市场环境将发生较大的变化，由垄断和行政保护的非市场竞争环境转变为公平竞争的市场环境，因此，国内券商必须更新观念，规范管理，提高竞争力，在新一轮竞争中寻求发展机遇。这期间，资本规模的扩大，创新业务的拓展，以及参与国际金融市场所带来的风险，都对证券公司的管理提出更高的要求，而健全有效的内部控制是证券公司抵御化解风险，规范经营，与外资券商竞争的得力武器。（四）扩大券商股权融资规模，建立现代企业制度，迫切需要建立完善的内部控制体系。目前，我国券商与国外券商相比特点之一就是资本规模普遍很小，在今后的发展中，扩大我国券商的资本规模，增强抗风险能力是必然趋势。扩大资本规模有效的筹资途径之一就是上市发行股票。目前我国唯一一家上市的证券公司是中信证券股份有限公司，而作为上市公司，完善的公司治理结构是基本要求，而完善公司治理结构又是内部控制要素中控制环境的核心内容，也是证券公司内部控制指引中明确指出的内部控制目标之一。第二节 我国对证券公司内部控制的规范与要求自90年代起，我国政府开始加大对企业内部控制的推行。相继出台了关于建立和加强企业内部控制的政策。1996年12月财政部发布独立审计具体准则第9号内部控制和审计风险； 1997年5月中国人民银行颁布加强金融机构内部控制的指导原则，这是我国第一个关于内部控制的行政规定。2000年7月实施的会计法首次以法律的形式对企业的内部控制做出相应的规定，将其纳入企业内部会计监督制度。新世纪伊始，我国相继出台了两份关于内部控制的政府文件。2001年2月6日，证监会正式颁布实施了证券公司内部控制指引标志着内部控制将成为我国经济和企业继续健康发展的决定性因素。财政部于2001年2月14日发布了内部会计控制基本规范（征求意见稿），是规范各单位经营行为，加强内部控制的一项重要举措。证券公司内部控制指引（以下简称指引），是从促进证券公司的规范发展，有效防范和化解金融风险，维护证券市场的安全稳定，旨在保护我国市场经济健康发展的大局等方面出发而制定。毫无疑问，证券市场的发展是经济的晴雨表，证券公司的内控制度关系着众多的上市公司和成千上万的投资者，因此，证券公司的内部控制应先行。该指引要求证券公司要健全内部控制机制和完善内部控制制度，以规范公司经营行为、有效防范金融风险；要求证券公司应当按照指引的要求，建立运行高效、控制严密的内部控制机制，制定科学合理、切实有效的内部控制制度。以下将从几个方面来理解该指引：一、证券公司内部控制的定义指引明确指出证券公司内部控制包括内部控制机制和内部控制制度两个方面。内部控制机制是指公司的内部组织结构及相互之间的运行制约关系；内部控制制度是指公司为防范金融风险，保护资产的安全和完整，促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。我认为，之所以强调内部控制机制和制度两方面，是要将内部控制公司各项管理控制工作的一个有机组成部分，既需要制度的制约，更需要有效的组织控制机制，使得各项措施能够发挥应有的作用。二、证券公司内部控制目标指引中确定了证券公司内部控制的总体目标是要建立一个决策科学、运营规范、管理高效和持续、稳定、健康发展的证券经营实体。具体来说，一般应该实现以下目标： 严格遵守国家有关法律法规和行业监管规章，自觉形成守法经营、规范运作的经营思想和经营风格。 健全符合现代企业制度要求的法人治理结构，形成科学合理的决策机制、执行机制和监督机制。 建立行之有效的风险监控系统，确保各项经营管理活动的健康运行与公司财产的安全完整。 不断提高经营管理效率和效益，努力实现公司价值最大化，圆满完成公司的经营目标和发展战略。三、证券公司内部控制主要内容证券公司内部控制的主要内容包括：环境控制、业务控制、资金管理控制、会计系统控制、电子信息系统控制、内部稽核控制等。1 环境控制环境控制要求建立健全公司法人治理结构，在内牢固树立优先的思想，并加强员工思想和素质控制，以及科学严密的公司授权控制。2 业务控制证券公司业务控制要求各证券公司必须自觉遵守国家有关法律法规，严格制定各项业务，包括经纪业务、承销业务、自营业务、资产管理业务、金融创新业务等的管理规章、操作流程和岗位手册，并针对各个风险点设置必要的控制程序。3 资金管理控制资金管理控制要求强化资金的集中统一管理制度；严格资金业务的授权批准制度，强化重大资金投向的集体决策制度；健全资金业务的风险评估和监测制度，严格控制资金流动性风险；建立科学的资金管理绩效评价制度，4 会计系统控制证券公司必须依据各种财务法规和财务制度等制订公司财务制度、会计工作操作流程等，并针对各个风险控制点建立严密的会计控制系统；建立公司内各级机构会计部门的垂直领导和主管会计委派制度；坚持正确的会计核算,建立严格的成本控制和业绩考核制度，强化会计的事前、事中和事后监督；严格制定财务收支审批制度和费用报销管理办法；制订完善的会计档案保管和财务交接制度；强化财产登记保管和实物资产盘点制度。5 电子信息系统控制严格制定电子信息系统的管理规章、操作流程、岗位手册和风险控制制度；强化电子信息系统的相互牵制制度；严格制定电子信息系统的安全和保密标准严格计算机交易数据的授权修改程序，建立电子信息数据的即时保存和备份制度，并坚持电子信息数据的定期查验制度等。6 内部稽核控制 内部稽核控制是对公司内部控制建立和执行情况的检查，属于整个内部控制的最后一道防线，其内容包括：内部稽核（审计）部门独立于公司各业务部门和各分支机构以外，就内部控制制度的执行情况独立地履行检查、评价、报告、建议职能，并对董事会负责；强化内部稽核检查制度，通过定期或不定期检查内部控制制度的执行情况，确保公司各项经营管理活动的有效运行；全面推行稽核工作的责任管理制度，明确内部稽核部门各岗位的具体职责，严格内部稽核的组织纪律等等。四、证券公司内部控制指引的特点 证券公司内部控制指引不同于我国以往有关内部控制的规范仅从会计控制的角度来说明问题，该指引是我国首次对企业内部控制进行的一个比较全面的规范，从它的控制内容和内部控制目标中都体现出了COSO报告中的一些思想，对我国企业今后在构建内部控制框架时具有参考、借鉴和指导的意义，具体特点如下： 该指引首次将内部控制分为内部控制机制和内部控制制度，并有相应的原则对它们进行规范。把健全符合现代企业制度要求的法人治理结构，形成科学合理的决策机制、执行机制和监督机制作为内部控制目标之一，说明我国内部控制规范中已开始注重内部控制中环境控制的重要性，而且，完善的法人治理结构、有效的组织结构和其中权责关系的制衡机制也是COSO报告中控制环境要素中所包含的内容。 证券公司内部控制目标中，该指引将不断提高经营管理效率和效益，努力实现公司价值最大化，圆满完成公司的经营目标和发展战略作为内部控制的目标之一，可见已将内部控制作为现代企业有效管理的一个极其重要的内容和手段，并将其提高到企业战略决策的层次，并且与COSO报告中确保经营的效率这一目标相吻合。这就意味着国家已经意识到了我国证券公司先天不足的发育环境，应该采取切实有效的内部控制保证证券公司健康稳定的发展。 该指引比以往内部控制规范更强调风险控制，要求证券公司建立行之有效的风险控制系统，包括主要业务的风险评估和监测办法、分支机构和重要部门的风险考核指标体系以及管理人员的道德风险防范系统等。证券公司进行有效的内部风险控制，不仅有助于证券公司自身增强防范风险的能力，同时也有利于证券业的稳定发展，增强投资者的信心。在证券公司内部控制指引中，我国首次将内部控制分为内部控制机制和内部控制制度两方面来进行规范，要求所有证券公司首先要健全内部控制机制，在此基础上建立内部控制制度。目前我国券商对内部控制的认识尚停留在内部控制制度这个层面上，对内部控制机制的概念模糊，更谈不上重视程度。笔者认为，内部控制机制与内部控制制度的关系犹如地基与地基上的建筑，没有良好的内部控制机制，内部控制制度不可能建立起来并有效运行，即使有了内部控制制度，整个内控体系也是岌岌可危。 第三章 我国证券公司内部控制机制的建立与完善通过第二章对我国证券公司内部控制现状以及指引规范内容的阐述，可以看出我国证券公司目前的内部控制与我国的规范要求的确有很大差距，其完善与改进的空间还很大，本文的第三章至第五章将试图从指引的角度来具体研究如何完善证券公司内部控制。第一节 证券公司内部控制机制的涵义一、对内部控制机制的认识 内部控制环境是整个内部控制框架的基础。加强和完善企业内部控制，首先应注意控制环境的建设。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。控制环境直接影响到企业内部控制的贯彻和执行以及企业经营目标和整体战略目标的实现。长期以来，我国的内部控制建设多在强调内部控制制度，而且又以会计控制为主要内容，忽视了COSO报告中内部控制最基础的部分控制环境的建设。2001年证监会颁发的证券公司内部控制指引中首次提出了内部控制机制的概念，把内部控制机制定义为证券公司内部组织结构和相互之间运行制约关系。那么，内部控制机制与COSO报告中内部控制框架中的控制环境有什么不同？它们的共同点和不同点又是什么呢？ 通俗地说，公司治理是指股东、董事会、监事会、经理层之间形成的权责分配、激励与约束、权利制衡关系。内部控制的具体做法是属于管理措施的问题，但内部控制机制设计则属于公司治理范围。例如，董事长与总经理的分工既是公司治理中的权利制衡问题，也是内部控制中不相容职务分离问题。缺乏良好的公司治理，内部控制就成为无源之水、无本之木。而控制环境主要包括管理哲学与经营风格、组织结构、董事会及其审计委员会、人力资源政策与实务、权责分派方式、员工正直品行与价值观几个主要方面。由此可见，内部控制机制与控制环境两者内容有重叠交叉部分，证券公司内部控制机制主要是从公司治理这个角度对内部控制的设计、执行来进行规范的。因此，要想建立和完善证券公司内部控制机制需要从证券公司法人治理结构状况入手分析，找出法人治理结构中最核心部分，从而进一步规范完善它。二、健全的内部控制机制是证券公司内部控制运行有效的关键指引中定义的证券公司内部控制目标之一就是健全符合现代企业制度要求的法人治理结构，形成科学合理的决策机制、执行机制和监督机制。公司必须严格按照现代企业制度的要求，健全符合公司发展需要的组织结构和运行机制，充分发挥独立董事和监事会的监督职能，坚决避免内部人控制现象的发生。我认为，只所以强调内部控制机制和制度两个方面，是要将企业的内部控制作为公司各项管理控制工作的一个有机组成部分，既需要制度的制约，更需要有效的组织控制机制，使得各项措施能够发挥应有的作用。现代企业控制机制包括两类：一是外部控制机制，它以资本市场、法律法规为主体；二是以董事会为主体的内部控制机制。证券公司性质虽不同于一般企业，但是也必须受到外部和内部两大控制机制的制约。（见图3-1和图3-2）从公司治理的角度看，在两权分离的情况下，要克服经营者与出资者间的目标偏差，保证及增加股东的福利，不仅需要依托企业外部控制机制，还必须有健全的企业内部控制机制。加入WTO以后，我国证券公司在与外资券商竞争时，业务的创新，资本规模的扩张更需要先进的管理模式，建立现代企业制度，建立以董事会为控制主体的内部控制机制更是迫在眉睫。内部控制机制的构建应满足以下条件：内部控制机制必须涵盖公司的各项业务、各个部门和各级人员，并渗透到决策、执行、监督、反馈等各个经营环节；公司必须在精简的基础上设立能充分满足公司经营运作需要的机构、部门和岗位，各机构、部门和岗位职能上保持相对独立性；内部部门和岗位的设置必须权责分明、相互牵制，并通过切实可行的相互制衡措施来消除内部控制中的盲点；公司应当充分发挥各机构、各部门及广大职员的工作积极性，尽量降低经营运作成本，保证以合理的控制成本达到最佳的内部控制效果。现代企业控制机制的构成图5参见 杨有红，企业内部控制框架构建与运行.浙江人民出版社，2001(1)现代企业控制机制外部控制资本市场控制法律法规控制内部控制股东大会控制监事会董事会控制总经理控制各职能部门兼并收购图3-1内部控制机制 6参见 何威明，张岚 证券公司审计 第15页，中信出版社，2002年五月第一版投资银行部投资自营部代客理财部国际业务部各地分支机构清算中心电脑中心研究开发部资金运营部经纪业务部人力资源部财务会计部法律事务