证券公司内部控制机制建设探讨
来源: 《经济研究参考》·祝雪茹、崔新园
2003-08-22
普通
一、加强和完善证券公司的内部控制机制建设已经成为我国证券公司目前面临的重大课题
证券业是特殊的高风险行业,证券公司由于在证券市场上同时担任多种角色(发行中介、交易中介、投资者、融资者、信息提供者等)而处于证券业的核心位置,从而成为证券业风险的聚合处和汇集点。现代证券公司的业务具有高信用性、高流动性、高预期性、高虚拟性的特点,使得证券公司面临的风险更加复杂和难以把握。
我国证券公司内部控制建设环境存在着严重的先天不足。一是证券公司赖以生存与发展的证券市场存在着诸多突出的问题;二是证券公司缺乏规范合理的法人治理结构,难以形成有效的制衡机制。随着我国加入WTO,资本市场对外开放日益迫近,证券业发展环境将发生剧烈变化,在为我国证券公司走向国际化提供了广阔的舞台的同时,也使其高风险的行业特征充分暴露。一方面,国内市场与国际市场的联动增强,证券公司将面对快速传递的全球性宏观经济风险和金融市场风险;另一方面,为改变目前因资本规模小、业务结构趋同、管理体制落后等而在国际竞争中处于的劣势,国内证券公司将加大改革步伐,这意味着其将面对更多更新的不确定性。其主要表现在以下几点:(1)规模扩张风险。为迅速壮大实力,缩小与境外同行的资本差距,证券公司将通过增资扩股、兼并重组、发行上市等途径来实现跨越式增长。如果管理能力、管理水平没有同步跟上,就会演变成粗放型数量增长和外延式规模扩张,在防范和化解风险方面尤其显得薄弱。(2)业务创新风险。随着行业竞争的激化,证券公司为突破业务雷同、种类单一的瓶颈,纷纷寻找新的利润增长点,将从传统、单一的证券发行、经纪、自营业务拓展到金融产品的创新与应用中去。但由于金融衍生工具的杠杆效应,若管理不善、经验不足,其风险也将是成百上千倍放大的。(3)网络运用风险。信息产业革命为证券公司的发展带来全方位的深刻变革,我国证券公司业已利用现代互联网技术开展网上在线证券交易,而随之而来的是网络安全、系统稳定性等问题,管理风险增大。
二、我国证券公司内部控制机制建设现状分析
我国证券公司起步较晚,内部控制机制建设起步更晚。在证券公司发展的初期,证券公司内部控制机制建设缺乏动力。一是工作重点和注意力过分集中于如何开拓市场,扩大业务,内部控制意识薄弱;二是在证券市场不规范、投机性强,证券业法规、法制建设滞后及业务监管不力的环境中,证券公司在利益驱动下不惜进行违规操作,违法操纵,根本无视巨大的政策风险、市场风险。但是经过多次恶性违法违规事件之后,特别是经历了1997年的亚洲金融风暴之后,无论是证券监管部门,还是证券公司,都深刻地认识到了风险管理和风险控制的重要性,走上了探索建设证券公司内部控制机制的良性道路。经过几年的努力,我国证券公司内部控制机制建设取得了明显的成效:从控制环境看:一是监管部门制度建设初见成效。从1997年出台的《证券公司内部控制制度指南》,1998年的《证券法》及各项业务的管理办法,一直到2001年发布的《证券公司内部控制制度指引》和《证券公司管理办法》,一系列规章制度的建立为证券公司的内部控制机制建设指明了方向。二是证券公司的产权结构得到较大改善。通过增资扩股、重组合并,证券公司的股权结构明显向多元化发展,公司制衡的组织结构开始建立与规范。从内部风险管理体制建设看:一是逐步重视建设专门的风险监管机构,包括风险控制委员会、重大决策咨询委员会、内部稽核部门等;二是逐步制定涵盖公司内部交易经纪、投资银行、资产管理、证券自营等各项具体业务的内部会计控制制度,保证各项业务依据授权进行;三是探索建立公司内部风险预警和控制系统,通过建立以指标VAR管理为目标的风险限额预警系统,寻求将公司经营风险的关键控制点落实到决策、执行、监督、反馈等各个环节及相关部门和相关岗位的具体办法;四是开始利用现代信息技术建设公司内部统一的管理信息系统。
但是,目前我国证券公司内部控制制度建设还存在着诸多不足:一是在管理理念上,没有站在影响公司生存的战略高度上重视公司内部控制机制建设。部分证券公司领导在思想上甚至认为建设内部控制机制,是用条条框框束缚自己的手脚,不利于自己大胆工作,在行动中仍然重外延扩张,轻内涵发展;重业务拓展,轻风险防范;重部门短期经济利益,轻公司长远发展目标;重被动地迎合外部监管法规及制度的要求,轻企业内部控制制度的系统建设。二是证券公司各项内部控制制度运行的有效程度明显不理想,缺乏确保各项制度得以履行的落实机制。比如虽然制定了明确的授权审批制度,但由于公司内部缺乏及时高效的信息传递机制,难以及时发现和制止越权行为。三是激励与约束机制不合理,激励手段单一,主要表现为即期物质奖励,目标过于短期化,约束机制中的决策咨询系统和风险管理系统缺乏必要的独立性。四是还需要花大力气建立集中统一、高效运转的资金管理控制体系。五是在重视利用现代信息技术、网络技术大力发展网上交易等新业务的同时,对网络交易系统的风险控制与防范不够,缺乏必要的监督和相互牵制制度。
三、加强证券公司内部控制建设的几点建议
现代企业内部控制理论指出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性,经营的效果和效率以及现行法规的遵循。企业内部控制建设的根本目的在于推动实现企业价值最大化或股东财富最大化的目标,而不仅仅局限在防范和控制风险与纠错防弊上。建设一个运行良好、高效的企业内部控制系统,核心在于:一是要营造有利于内部控制制度良性运行的控制环境。控制环境的因素包括企业的组织结构、管理哲学和经营风格;员工的诚信原则、道德价值观及能力;责任的分配与授权;人力资源政策与实务等。二是能对企业的经营管理风险作出恰当评估,并相应设计高效的控制活动。证券公司必须围绕风险识别、评估、预警、报告等环节,对公司的经纪、投资银行、自营和资产管理等各项业务可能面临的各种风险加强控制,精心设计授权批准、资产保全、内部报告、人员素质、内部稽核等各项控制活动。三是要有及时、准确的信息生成与传递系统。企业在其经营过程中,必须在合适的时间与地点辨识、取得准确的信息,并能在整个企业内进行及时沟通,以使整个企业的各个层次都能够恰当地履行责任。
依照现代企业内部控制理论,结合现今我国证券公司的实际,笔者认为,证券公司加强和完善企业内部控制机制建设应从以下几个方面着手:
(一)继续完善法人治理结构,培育诚信为本的企业文化,营造良好的企业内部控制环境。
1.完善法人治理结构。(1)继续拓宽融资渠道,引入各种性质的战略投资者,优化股本结构,彻底消除地域或部门行政控制的色彩,形成规范的制衡机制。(2)从根本上改变我国企业的董事会在内部控制体系中严重缺位的不利状况,强化董事会在公司治理结构中的主导地位,突出董事会在建立和完善内部控制体系过程中的核心作用。(3)大力推行独立董事制度,通过对董事会这一内部机构的适当外部化,引入外部的独立董事,以期对内部人形成一定的监督制约力,最大限度地维护所有股东的权益。(4)明确董事会内部分工,设立独立的风险控制委员会、审计委员会、预算管理委员会、薪酬委员会等专门委员会,使其在公司内部审计、预算编制和控制、薪酬激励机制的建立、投融资决策等一系列对内部控制至关重要的活动中发挥监控作用,从而有利于企业会计信息真实性的提高,有利于企业经营管理目标的实现及保护所有者资产的安全和完整。(5)实施有效的激励约束机制,探索实行职工持股计划和股票期权激励机制。
2.培育诚信为本的企业文化。(1)要以人为本,培养企业每一个员工的诚信意识。内部控制制度的设计无论多么完美,毕竟是人制定的,一定存在着漏洞。完全依赖规章制度,并不能解决问题的全部。真实、可靠是规章制度的要求,但同时肯定也只能是与诚信共同作用的结果。人是最为关键的因素。企业内部控制的最高境界(目标)就是每一位员工能够做到自我控制,自我管理。必须强调沟通和感情的交流,消除管理者与被管理者之间的隔膜,从而调动每一个人的积极性。(2)要明确和落实诚信责任。通过制定、完善制度、规则,明确提出各个层次的人员在企业运作中的诚信要求与责任。要通过经常性的检查监督促进有关各方切实履行诚信义务。要依法依规对违反诚信的人员进行制裁,真正落实诚信责任。
(二)全面建设风险评估和管理体系,设立良好的控制活动,系统建设企业内部控制制度。
1.建设风险评估和管理体系。(1)建立与公司内部组织架构相适应的多层次的风险管理框架,包括董事会、管理层、各业务部门,从职能部门一直到各个风险控制单元或关键控制点等多级控制结构,同时也包括总公司与分公司或母公司与子公司之间的风险管理架构。(2)建立健全风险管理制度体系。包括建立按业务类型划分的经纪业务、自营业务、投资银行业务、资产管理业务、网上交易业务等业务风险管理制度体系以及建立按企业重大决策活动内容划分的投融资、预算管理、资金管理等职能管理内部控制制度体系。(3)建立风险管理的落实机制。充分运用现代化的财务管理手段,围绕风险识别、评估、预警、报告等环节,使风险控制程序化、制度化、科学化。包括建立证券公司内部风险预警指标体系,完成公司风险的识别与量化,分别把握公司风险的总体水平和各业务种类的风险水平。建立责任追究制度,使违反制度可能付出的成本,远远高于可能得到的收益。
2.设立良好的控制活动。(1)梳理工作流程,建立明确的岗位责任制,实现定岗、定人、定责,使每一员工各司其职,各负其责,分工协作,互相监督。(2)明确关键控制点,实施重点监控。对在业务流程中起着重要作用的控制环节,进行重点监控。(3)实行授权授信控制,明确授权批准的范围、层次、责任与程序。(4)建立事前、事中、事后监督体系。(5)完善文件记录控制,建立全员岗位说明书、业务操作规程手册、授权审批权限等文件,对要求进行内部控制的各个环节和措施都形成文字材料,有据可查。
(三)充分利用现代信息技术,加快公司内部集团化、网络化、一体化的管理信息系统的建设步伐。
建立统一的管理信息系统,是公司系统内部控制制度建设的技术基础。建设良好的集团化、网络化、一体化的管理信息系统。(1)要将公司内部控制的思想和标准固化在软件程序之中,实现控制标准与业务处理控制的一体化,从源头上减少管理偏差或错误,规避企业经营风险;(2)要高度重视内部控制信息的时效性,最大程度地做到企业内部控制信息的实时传递。管理信息系统要能够按照内部控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确和经济地传递(包括向下的、向上的和横向的沟通传递)给企业内的相关人员,使他们能够顺利履行其职责。这样,企业的每一名员工就能够清楚地了解到企业的内部控制制度,知道其所承担的责任,并及时取得和交换他在执行、管理和控制企业经营过程中所需的信息,从而明显提高公司内部控制的效率和效果。包括有助于控制标准的建立和修正,控制活动成效的评定,控制报告的拟定以及改进建议的及时传达。(3)管理信息系统的建设,一定要有助于实现集团内部资金的集中管理、统一调度、集约经营和集成监控,从根本上改变证券公司内部以前普遍存在的资金分散,违规使用的落后的资金管理状况,优化证券公司内部资金资源配置,减少不必要的资金沉淀,在最大程度上控制资金违规风险,提高资金规模运作效益。
证券市场的良性运行对国民经济的安全至关重要,证券公司作为证券市场运行的中枢,其运作规范和健康发展问题自然受到社会的广泛关注。保证证券公司的规范运作和健康发展须从加强外部监管和强化内部控制两方面人手。国内外证券业的发展实践证明,外部监管固然是十分必要的,但证券公司自身加强内部控制机制建设则是根本性措施。
证券业是特殊的高风险行业,证券公司由于在证券市场上同时担任多种角色(发行中介、交易中介、投资者、融资者、信息提供者等)而处于证券业的核心位置,从而成为证券业风险的聚合处和汇集点。现代证券公司的业务具有高信用性、高流动性、高预期性、高虚拟性的特点,使得证券公司面临的风险更加复杂和难以把握。
我国证券公司内部控制建设环境存在着严重的先天不足。一是证券公司赖以生存与发展的证券市场存在着诸多突出的问题;二是证券公司缺乏规范合理的法人治理结构,难以形成有效的制衡机制。随着我国加入WTO,资本市场对外开放日益迫近,证券业发展环境将发生剧烈变化,在为我国证券公司走向国际化提供了广阔的舞台的同时,也使其高风险的行业特征充分暴露。一方面,国内市场与国际市场的联动增强,证券公司将面对快速传递的全球性宏观经济风险和金融市场风险;另一方面,为改变目前因资本规模小、业务结构趋同、管理体制落后等而在国际竞争中处于的劣势,国内证券公司将加大改革步伐,这意味着其将面对更多更新的不确定性。其主要表现在以下几点:(1)规模扩张风险。为迅速壮大实力,缩小与境外同行的资本差距,证券公司将通过增资扩股、兼并重组、发行上市等途径来实现跨越式增长。如果管理能力、管理水平没有同步跟上,就会演变成粗放型数量增长和外延式规模扩张,在防范和化解风险方面尤其显得薄弱。(2)业务创新风险。随着行业竞争的激化,证券公司为突破业务雷同、种类单一的瓶颈,纷纷寻找新的利润增长点,将从传统、单一的证券发行、经纪、自营业务拓展到金融产品的创新与应用中去。但由于金融衍生工具的杠杆效应,若管理不善、经验不足,其风险也将是成百上千倍放大的。(3)网络运用风险。信息产业革命为证券公司的发展带来全方位的深刻变革,我国证券公司业已利用现代互联网技术开展网上在线证券交易,而随之而来的是网络安全、系统稳定性等问题,管理风险增大。
二、我国证券公司内部控制机制建设现状分析
我国证券公司起步较晚,内部控制机制建设起步更晚。在证券公司发展的初期,证券公司内部控制机制建设缺乏动力。一是工作重点和注意力过分集中于如何开拓市场,扩大业务,内部控制意识薄弱;二是在证券市场不规范、投机性强,证券业法规、法制建设滞后及业务监管不力的环境中,证券公司在利益驱动下不惜进行违规操作,违法操纵,根本无视巨大的政策风险、市场风险。但是经过多次恶性违法违规事件之后,特别是经历了1997年的亚洲金融风暴之后,无论是证券监管部门,还是证券公司,都深刻地认识到了风险管理和风险控制的重要性,走上了探索建设证券公司内部控制机制的良性道路。经过几年的努力,我国证券公司内部控制机制建设取得了明显的成效:从控制环境看:一是监管部门制度建设初见成效。从1997年出台的《证券公司内部控制制度指南》,1998年的《证券法》及各项业务的管理办法,一直到2001年发布的《证券公司内部控制制度指引》和《证券公司管理办法》,一系列规章制度的建立为证券公司的内部控制机制建设指明了方向。二是证券公司的产权结构得到较大改善。通过增资扩股、重组合并,证券公司的股权结构明显向多元化发展,公司制衡的组织结构开始建立与规范。从内部风险管理体制建设看:一是逐步重视建设专门的风险监管机构,包括风险控制委员会、重大决策咨询委员会、内部稽核部门等;二是逐步制定涵盖公司内部交易经纪、投资银行、资产管理、证券自营等各项具体业务的内部会计控制制度,保证各项业务依据授权进行;三是探索建立公司内部风险预警和控制系统,通过建立以指标VAR管理为目标的风险限额预警系统,寻求将公司经营风险的关键控制点落实到决策、执行、监督、反馈等各个环节及相关部门和相关岗位的具体办法;四是开始利用现代信息技术建设公司内部统一的管理信息系统。
但是,目前我国证券公司内部控制制度建设还存在着诸多不足:一是在管理理念上,没有站在影响公司生存的战略高度上重视公司内部控制机制建设。部分证券公司领导在思想上甚至认为建设内部控制机制,是用条条框框束缚自己的手脚,不利于自己大胆工作,在行动中仍然重外延扩张,轻内涵发展;重业务拓展,轻风险防范;重部门短期经济利益,轻公司长远发展目标;重被动地迎合外部监管法规及制度的要求,轻企业内部控制制度的系统建设。二是证券公司各项内部控制制度运行的有效程度明显不理想,缺乏确保各项制度得以履行的落实机制。比如虽然制定了明确的授权审批制度,但由于公司内部缺乏及时高效的信息传递机制,难以及时发现和制止越权行为。三是激励与约束机制不合理,激励手段单一,主要表现为即期物质奖励,目标过于短期化,约束机制中的决策咨询系统和风险管理系统缺乏必要的独立性。四是还需要花大力气建立集中统一、高效运转的资金管理控制体系。五是在重视利用现代信息技术、网络技术大力发展网上交易等新业务的同时,对网络交易系统的风险控制与防范不够,缺乏必要的监督和相互牵制制度。
三、加强证券公司内部控制建设的几点建议
现代企业内部控制理论指出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性,经营的效果和效率以及现行法规的遵循。企业内部控制建设的根本目的在于推动实现企业价值最大化或股东财富最大化的目标,而不仅仅局限在防范和控制风险与纠错防弊上。建设一个运行良好、高效的企业内部控制系统,核心在于:一是要营造有利于内部控制制度良性运行的控制环境。控制环境的因素包括企业的组织结构、管理哲学和经营风格;员工的诚信原则、道德价值观及能力;责任的分配与授权;人力资源政策与实务等。二是能对企业的经营管理风险作出恰当评估,并相应设计高效的控制活动。证券公司必须围绕风险识别、评估、预警、报告等环节,对公司的经纪、投资银行、自营和资产管理等各项业务可能面临的各种风险加强控制,精心设计授权批准、资产保全、内部报告、人员素质、内部稽核等各项控制活动。三是要有及时、准确的信息生成与传递系统。企业在其经营过程中,必须在合适的时间与地点辨识、取得准确的信息,并能在整个企业内进行及时沟通,以使整个企业的各个层次都能够恰当地履行责任。
依照现代企业内部控制理论,结合现今我国证券公司的实际,笔者认为,证券公司加强和完善企业内部控制机制建设应从以下几个方面着手:
(一)继续完善法人治理结构,培育诚信为本的企业文化,营造良好的企业内部控制环境。
1.完善法人治理结构。(1)继续拓宽融资渠道,引入各种性质的战略投资者,优化股本结构,彻底消除地域或部门行政控制的色彩,形成规范的制衡机制。(2)从根本上改变我国企业的董事会在内部控制体系中严重缺位的不利状况,强化董事会在公司治理结构中的主导地位,突出董事会在建立和完善内部控制体系过程中的核心作用。(3)大力推行独立董事制度,通过对董事会这一内部机构的适当外部化,引入外部的独立董事,以期对内部人形成一定的监督制约力,最大限度地维护所有股东的权益。(4)明确董事会内部分工,设立独立的风险控制委员会、审计委员会、预算管理委员会、薪酬委员会等专门委员会,使其在公司内部审计、预算编制和控制、薪酬激励机制的建立、投融资决策等一系列对内部控制至关重要的活动中发挥监控作用,从而有利于企业会计信息真实性的提高,有利于企业经营管理目标的实现及保护所有者资产的安全和完整。(5)实施有效的激励约束机制,探索实行职工持股计划和股票期权激励机制。
2.培育诚信为本的企业文化。(1)要以人为本,培养企业每一个员工的诚信意识。内部控制制度的设计无论多么完美,毕竟是人制定的,一定存在着漏洞。完全依赖规章制度,并不能解决问题的全部。真实、可靠是规章制度的要求,但同时肯定也只能是与诚信共同作用的结果。人是最为关键的因素。企业内部控制的最高境界(目标)就是每一位员工能够做到自我控制,自我管理。必须强调沟通和感情的交流,消除管理者与被管理者之间的隔膜,从而调动每一个人的积极性。(2)要明确和落实诚信责任。通过制定、完善制度、规则,明确提出各个层次的人员在企业运作中的诚信要求与责任。要通过经常性的检查监督促进有关各方切实履行诚信义务。要依法依规对违反诚信的人员进行制裁,真正落实诚信责任。
(二)全面建设风险评估和管理体系,设立良好的控制活动,系统建设企业内部控制制度。
1.建设风险评估和管理体系。(1)建立与公司内部组织架构相适应的多层次的风险管理框架,包括董事会、管理层、各业务部门,从职能部门一直到各个风险控制单元或关键控制点等多级控制结构,同时也包括总公司与分公司或母公司与子公司之间的风险管理架构。(2)建立健全风险管理制度体系。包括建立按业务类型划分的经纪业务、自营业务、投资银行业务、资产管理业务、网上交易业务等业务风险管理制度体系以及建立按企业重大决策活动内容划分的投融资、预算管理、资金管理等职能管理内部控制制度体系。(3)建立风险管理的落实机制。充分运用现代化的财务管理手段,围绕风险识别、评估、预警、报告等环节,使风险控制程序化、制度化、科学化。包括建立证券公司内部风险预警指标体系,完成公司风险的识别与量化,分别把握公司风险的总体水平和各业务种类的风险水平。建立责任追究制度,使违反制度可能付出的成本,远远高于可能得到的收益。
2.设立良好的控制活动。(1)梳理工作流程,建立明确的岗位责任制,实现定岗、定人、定责,使每一员工各司其职,各负其责,分工协作,互相监督。(2)明确关键控制点,实施重点监控。对在业务流程中起着重要作用的控制环节,进行重点监控。(3)实行授权授信控制,明确授权批准的范围、层次、责任与程序。(4)建立事前、事中、事后监督体系。(5)完善文件记录控制,建立全员岗位说明书、业务操作规程手册、授权审批权限等文件,对要求进行内部控制的各个环节和措施都形成文字材料,有据可查。
(三)充分利用现代信息技术,加快公司内部集团化、网络化、一体化的管理信息系统的建设步伐。
建立统一的管理信息系统,是公司系统内部控制制度建设的技术基础。建设良好的集团化、网络化、一体化的管理信息系统。(1)要将公司内部控制的思想和标准固化在软件程序之中,实现控制标准与业务处理控制的一体化,从源头上减少管理偏差或错误,规避企业经营风险;(2)要高度重视内部控制信息的时效性,最大程度地做到企业内部控制信息的实时传递。管理信息系统要能够按照内部控制系统的需要识别使用者的信息需要,在此基础上收集、加工和处理信息,并将这些信息及时、准确和经济地传递(包括向下的、向上的和横向的沟通传递)给企业内的相关人员,使他们能够顺利履行其职责。这样,企业的每一名员工就能够清楚地了解到企业的内部控制制度,知道其所承担的责任,并及时取得和交换他在执行、管理和控制企业经营过程中所需的信息,从而明显提高公司内部控制的效率和效果。包括有助于控制标准的建立和修正,控制活动成效的评定,控制报告的拟定以及改进建议的及时传达。(3)管理信息系统的建设,一定要有助于实现集团内部资金的集中管理、统一调度、集约经营和集成监控,从根本上改变证券公司内部以前普遍存在的资金分散,违规使用的落后的资金管理状况,优化证券公司内部资金资源配置,减少不必要的资金沉淀,在最大程度上控制资金违规风险,提高资金规模运作效益。
证券市场的良性运行对国民经济的安全至关重要,证券公司作为证券市场运行的中枢,其运作规范和健康发展问题自然受到社会的广泛关注。保证证券公司的规范运作和健康发展须从加强外部监管和强化内部控制两方面人手。国内外证券业的发展实践证明,外部监管固然是十分必要的,但证券公司自身加强内部控制机制建设则是根本性措施。