證券公司內部控制體系建設研究

李振林

（湘財證券股份有限公司，北京 100045）

國家各項有利于資本市場發展配套改革措施的相繼出臺，證券行業面臨較多的發展機遇，同時也承受高風險，無論企業的風險控制措施是否完善，缺少內部控制支撐也難以發揮風控措施的真正效應。內部控制管理不到位，內部控制管理有效性低，會存在較多的漏洞和缺陷，給金融風險留有可乘之機。證券公司應當總結同行失敗和成功的教訓及經驗，在經營發展過程中及時進行階段性總結分析，審視自身內部控制體系存在的不足或缺陷，從而采取針對性措施進一步完善內部控制體系，強化公司的風險防控能力。

一、證券公司內部控制相關概述

1.證券公司內部控制的核心內容

證券公司內部控制的核心內容是風險管理，對金融機構而言，風險管理是其能正常發展的重要基礎，也是決定其核心競爭力的關鍵。風險管控屬于內部控制范疇，是內部控制的核心目標。按照證券公司內部控制指引要求，首要任務是構建完善的內部控制體系，防控多樣化的金融風險。

2.證券公司實行內部控制的必要性

（1）從風險防控角度

證券公司是連接企業和資本市場的中介，在金融行業的地位較高，而金融行業普遍具有高風險的特點，證券公司與一般企業相較風險的復雜程度更高，控制風險則需要完善的內部控制體系支持。規范經營是證券公司的基本準則，證券公司必須盡快適應嚴格的外部監管環境，構建完善的內部控制體系，嚴防金融風險以及內部經營風險。

（2）從政策法規角度

政府針對金融行業以及監管證券市場出臺了多項政策法規，如會計法規定，證券公司必須依法經營，公司構建的內部控制體系需全面覆蓋所有經營環節和所有員工，嚴格按照會計法規定處理內部經濟事項。2020年新證券法全面執行，注冊制改革開始進行，對證券公司的經營業務產生了一定影響。在新注冊制下證券發行流程精簡，市場擴容，證券公司作為證券市場的守門人，其職能作用更加重要[1]。例如，新注冊制下，證券公司的股權IPO盡職調查程序，調查事項約一百余項，調查內容各不相同，若是調查環節出現失誤則導致風險形成，此時就需要內部控制保障各個環節的準確性，協助盡職調查團隊快速完成調查目標。

（3）從內部管理現狀角度

隨著金融行業的快速發展，證券公司的業務和經營模式都發生了明顯變化，若是公司的內部控制體系不完善，則會直接引發金融風險積聚和金融犯罪問題。例如某證券公司因內部控制不完善，違反相關法規，證監機構于2019年對其采取了嚴厲的監管措施。該公司內部控制不完善導致的內部管理違規行為主要有以下六個：一是部分業務合同未進行有效管理；二是職責分工未落實；三是不相容崗位職能分離未完全落實；四是對客戶身份的審核不全面；五是客戶回訪缺位；六是營業部前員工涉嫌犯罪。忽略內部控制或者對內部控制的認知錯誤，將會導致公司經營期間出現管理層高于內部控制體系，進而引發如場外配資等的違法犯罪行為，于證券公司而言金融犯罪幾乎是毀滅性打擊，證券公司必須持續完善內部控制體系，防患于未然，嚴格約束經營管理行為。

二、證券公司內部控制管理存在的問題

1.組織機構與決策機制尚不完善

在外部環境影響下，證券公司對內部治理的重視程度相對較高，證券公司嚴格要求風控組織對內控流程進行風險評估，且公司的內部控制流程逐漸完善，對內部控制效果的評價工作取得了較好的效果，總的來看證券公司已經實現了內部控制的新要求。目前，證券公司的組織機構仍然需要優化。復雜的組織結構以及人員崗位，導致組織機構和職責劃分難度增加，個別人員存在身兼多職的現象，各個崗位未能實現責任最大化。而且一個部門多個領導的現象突出，員工需要同時向多個領導反饋工作，工作效率低，管理質量低。另外，證券公司的決策管理機制不完善，按照內部控制相關文件指引，重大決策需要公司按照既定的程序組織決策會議，要求各部門代表人員參與會議并各抒己見，商議最優決策，但是由于公司部分員工的能力有限，其決策過程中缺乏足夠多的信息支撐來進行頭腦風暴，容易出現決策失誤。

2.風險識別管理機制缺乏有效性

風險識別評估是風控環節的主要內容，作為高風險的金融行業，證券公司對風險管控的重視程度非常高，但是在證券市場環境快速變化的影響下，公司面臨的風險呈現出突發性、隨機性以及多變性等特點，固定的風險識別和評估機制無法應對所有類型的風險。目前證券公司風險識別管理有效性不足，具體表現有三。①內部評估尚未列入常態化工作中，在評估管理行為時忽略人為、制度和管理方面的原因，且缺乏定期監督，風險評估未能將業務作為重要參考，評估結果準確性不足[2]。②證券公司現行的風險等級劃分標準不適用于所有的經濟業務，風險度量精細度低，風險等級劃分仍需要人員輔助調整。③風險管理程序不完善，雖然證券公司的內部控制制度趨于完善，風控組織職能清晰，但是風險識別制度不完善，風險管理程序存在缺失，對突發性風險的應對水平較低。比如，2020疫情防控期間，某證券公司的開工時間不斷延后，公司的稽核審計項目不能進行現場調查，部分項目延后處理，導致公司的稽核部履職受到負面影響，工作進度與預期相差較大，難以保證工作按時完成。從風控層面分析，該公司管理者獲得的合規報告真實性不夠，很大程度上是因為合規部與稽核部的風控程序不完善。

3.對關鍵業務活動控制乏力

（1）授權與審批控制

證券公司針對業務處理授權已經制定了相對完整的授權審批流程，但是在具體實施過程中仍然暴露出一定的問題，證券公司的業務管理授權不清晰，公司根據主要的工作內容、組織架構以及人員崗位要求進行管理授權，如：董事會下設風控委員會，負責公司風控工作；公司經理層直接管理投資部門、交易部門、產品部門、營銷部門等，設置業務部門經理、不同業務支線負責人。整體來看，授權環節在公司內部治理約束下相對規范，但是授權效率和授權流程未能達到最優，在授權環節存在業務部門相互推卸責任問題。在業務運行期間，業務處理和審核流程不規范，出現業務審批人員缺位或者業務流程混亂情況，導致業務處理效率不高。

（2）機構客戶業務管理

證券公司率先推行客戶專用系統服務業務，但是從內部控制角度看，此業務缺少法律的支持，公司購買相關軟件缺乏法律保障。而且機構客戶業務管理規定中，客戶專用系統服務業務的系統采購流程缺少制度支撐，同時業務指引內容未能及時更新，現行的指引內容與業務管理不相符。

4.信息技術應用不足影響日常溝通

證券公司在信息溝通方面的問題主要集中在信息技術應用不足上，證券公司內部可實現部門間溝通的平臺系統類型豐富，比如MOT、OA反洗錢系統、內部郵件等，溝通媒介不相同，在實際工作中部門溝通效率提升較慢，統一溝通媒介是證券公司消除溝通矛盾的重要任務。

5.內部監督與管理流于形式

現階段證券公司通過制定風險管理制度，對各個部門實施監督，就目前實際情況而言，事前監督和事中監督成效較好，但是證券公司在使用抽查和自主監督方式對經濟業務進行監督時，缺乏有效約束，而且公司的主動性監督手段較少，監督方式更新不及時。同時，公司的監控系統也存在明顯缺陷：一是經紀人監控功能缺失，在崗位職責劃分方面未能覆蓋經紀人監控；二是對客戶異常行為監測內容不完善，按照要求，企業應當監控重要數據，并且從業務關鍵環節入手控制，但是公司監管系統目前只能實現監控功能，無法進行實際干預。

三、證券公司完善內部控制管理體系的策略

1.健全組織架構，改進決策機制

證券公司應當建立完善的組織架構，并改進決策機制，夯實內部控制體系建設基礎。從健全組織架構層面分析，證券公司需要對責任分配、權力職責劃分加以重視，確保各個員工的崗位權責與公司的內部控制要求相匹配，各崗位風險點合理分布，保證公司整體利益不受損。同時，證券公司應高度重視監事會在內部控制體系建設中的作用，強調監事會的監督作用，對內部控制進行全流程監督[3]。從改進決策機制方面分析，證券公司應當在現行決策機制基礎上對其進行再優化，通過提升決策人員綜合能力和信息掌握程度手段，以及引進外部專業人士或專業決策機構的方式來保證決策的準確性。

2.提高風險評估與管理的水平

要想提高風險評估與管理水平，證券公司可從以下五個方面著手。第一，將內部風險評估列為常態化工作，使風險防控意識深入人心。要求各部人員在實際工作中具備較高的風險敏感性，習慣于破開表面分析內核，分析業務背后的關鍵信息。在實際評估過程中需綜合考慮人員、制度和管理因素，避免被表面原因所惑，忽略內核影響因素。第二，優化客戶信用管理工作，合理劃分客戶信用等級。證券公司應當將評價人員主觀判斷下的定性方式和基于真實數據的定量方式結合，以公平公正的原則評價客戶信用等級，且不定期地更新評級方式。第三，加大資金管理力度。在金融行業環境不斷變化的背景下，證券公司的信用業務中融資安全性非常重要，任何公司都無法控制資金來源，但是可以控制資金用途，所以證券公司應加大資金管理力度，控制資金風險[4]。特別是金額巨大的證券交易業務，證券公司需制定科學且針對性強的資金管理制度，對業務資金運行進行全過程的監控。第四，風險識別管控需要有完善的管理程序支撐。證券公司對風險識別、評估、分析和應對工作，在整體分線管理體系中的分布情況進行檢查，及時解決風險管理體系漏洞，確保任何風險都可以經過識別、評估、分析和應對流程。同時，證券公司還應搭建風險應急管理架構，主要由技術、業務、風控部門聯合成立，加快完善風險應急機制，針對突發性風險公司可及時采取有效措施，將風險對公司造成的損失降到最低。第五，風險預警機制需進一步完善。風險預警需覆蓋各個業務流程，提前識別反饋風險，在風險未擴大之際將其快速解決。

3.切實加強對關鍵業務活動的控制

（1）規范授權審批控制程序

證券公司應及時規范業務授權審批控制程序。一方面，規范授權，確定各個業務節點的權限，在授權過程中，對關鍵業務環節的核心部門制定嚴格的授權審批流程。公司應當對授權環節進行審核，刪減多余的審批環節，進一步優化審批流程，避免出現多人審核同一業務節點的情況，將部門權限適當下移，減輕審批人員工作壓力，但是下移權限需要經過上級領導同意。另一方面，梳理公司經濟業務流程，編制合理的審批操作說明書，確保各個業務都可以以內控目標為導向運行。

（2）落實對機構客戶業務的監管

要想對機構客戶業務進行改進，首先證券公司應當按照相關法規要求及時向證監會報備，同時修訂內部控制制度服務于機構客戶業務監管工作；其次，公司的業務、技術、合規和風控部門需聯合監督程序化交易，公司也應盡快完善針對機構客戶業務的內部控制指引內容；最后，證券公司技術部門應該檢查客戶上傳數據的風險點，既要保證信息安全也要保證客戶上傳信息便利，減少客戶信息外泄風險[5]。

4.基于信息技術搭建溝通共享機制

在互聯網經濟高速發展的時代，信息是企業盈利的核心要素，高效的信息溝通是證券公司運行和決策的關鍵，證券公司應該依托于強大的信息技術構建統一的溝通平臺，實現內部和內外信息的交換傳遞，比如可將ERP系統技術與信息管理結合，強化系統功能。證券公司內部信息系統種類豐富，可供溝通的系統平臺數量較多，但是多元化的溝通媒介具有信息分布廣泛的缺陷，導致信息使用者在搜集信息時耗費的時間和精力較多，信息時效性難以保證。鑒于此，證券公司有必要構建統一的溝通平臺，基于大數據技術、云計算技術或是人工智能等構建溝通和信息存儲系統，在各部信息交換期間，由系統自動分類信息并存儲進數據庫，方便相關人員使用相應權限調取信息。

5.更新監管手段，升級監控系統

市場形勢變化多端，證券公司可通過信息技術進行監督，監督人員按照監測標準和指標對風險點的情況進行分析，全面監測經濟業務運行，將被動監督檢查轉為主動監督檢查。比如針對債券業務，證券公司應當嚴格要求相關業務負責人按照規定標準操作，盡職調查工作精細化程度也需提升，要在內部控制指引中明確盡職調查的執行標準以及工作底稿質量的要求，進一步提升業務質量。證券公司在合規檢查過程中按照問題嚴重程度和風險等級，對相關人員或部門采取約談、批評、暫扣獎金、降職等措施，對于連續出現執業問題的人員，則要將涉事人員參與的項目列為重點審查監督項目，增加合規檢查次數，同時將合規檢查結果納入員工績效考核中，激勵員工約束行為，提高執業質量。

升級監控系統是提升證券公司內部控制監督時效性的關鍵手段，證券公司必須構建多維度多角度的監督系統，方可對所有經濟業務、薪酬體系、風險評估等進行全面監督[6]。以證券公司的自營業務為例，證券公司的治理層需要對內控執行進度進行評價和監督，并且以書面報告形式反饋評價結果和意見。證券公司一切以客戶利益為先，優化監控系統可掌握證券交易市場中的信息，使經濟業務運行期間的內控保障更充分。另外，證券公司的稽核部門也需要使用審計手段對內部控制有效性進行監督，由專業的稽核人員以實事求是態度對整體經營環節實施審計監督，將稽核重心放在重點項目中，同時公司離任人員也需進行離任審計，防范違法風險。

四、結語

綜上所述，證券公司因處于金融行業，其面臨較高的風險，內部控制的核心是風險控制，為強化公司的風險管控能力，證券公司必須盡快構建完善的內部控制體系，基于會計法、證券法等梳理當前內部控制體系的缺陷和漏洞，協助證券公司適應逐漸嚴格的外部監管體系。證券公司作為證券市場主體，是推動證券市場和金融行業發展的重要支柱，由于市場地位關鍵導致證券公司在內部控制方面面臨嚴格的要求，證券公司在經營運行期間必須使用合規稽核方式控制內控活動，規范內部治理行為，促進證券公司穩定經營發展。