我国证券公司的内部控制问题及对策研究

段昱如　姚芊

摘要：目前我国的证券经济呈现良好发展态势，但是证券公司普遍缺乏内部控制意识，内部控制活动落实效率低，内部控制方法比国外落后。文章以COSO框架和ERM框架相关的内部控制理论为切入点，对我国证券公司的内控环境、风险评估、控制活动、信息与沟通和监督进行研究，并针对内部控制问题提出解决对策。

关键词：COSO框架；内部控制；证券公司

目前我国证券公司数量呈现出递增态势，证券经济在我国经济总额的占比比重也越来越大。虽然证券公司取得了不少成绩，但是在证券市场上很多证券公司依然丑闻不断，徇私舞弊、弄虚作假的行为不断被报道出来。广发证券营销人员私下利用客户信息进行资金存取、更改密码操作；以及近年光大证券公司的“乌龙指”事件的出现；南方证券管理的失控等，这些都暴露出了内部控制的缺失是酿成大祸的关键，这也就意味着证券公司必须搞好公司的内部控制。2006年开始，我国借鉴了以COSO报告为代表的国际内部控制框架，之后就一直不断完善内部控制规范体系。这些治理规范的拟定和完善，也从反面说明我国证券公司在内部控制制度建设上与国外还有很大差距，目前我们也不过是借着别人的建设经验摸索着我国证券业繁荣发展的成功之路。我们要想跟上国外证券业的发展步伐，就需要我国证券公司更加重视内部控制。由此，在当前证券业发展的阶段上，我国更需要进一步提高对风险管理和内部控制的学习、研究和创新。

一、内部控制框架模型

1992年，美國委员会COSO（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）提出了《内部控制整体框架》报告。COSO认为，实现内部控制的有效性需要如图1所示的五方面要素支持。

在2004年，COSO委员会发布了新COSO报告即ERM（Enterprise Resource Management）框架，该框架是将原来1992年的内部控制模型整合到企业风险管理框架里。新的风险管理框架在过去的内控要素上增加了三点。这三点分别是目标设定、事件识别和风险反应。当前的风险管理整合框架，在这两者之间加了目标设定和风险识别，在风险评估之后又加了风险反应，使内控框架更完善了。补充后的内控框架目前为公司全面风险管理工作提供了指导。企业风险管理框架相对于内部控制框架的进步之处如图2。

两个框架的目的都是希望公司能提高提高资源的使用效率，减少浪费，以使得利润最大化；公司在财务报告上要按照会计准则的要求，确保财务报告和会计准则一致；检查公司的规章制度是否背离了现有的法律法规；帮助组织实现目标和使命。

二、证券公司内部控制存在的问题

内部控制的模型有很多，但是COSO模型是唯一的被美国证券交易委员会认可的，用来作为评价公司内部控制的标准。因此下文就借助COSO五要素，对我国证券公司，在内部控制五要素方面存在的问题进行研究。

（一）组织结构设置不合理

证券公司不同于一般的企业，高风险高收益的特点就要求了公司的内部控制环境下的组织结构设置必须合理。我国证券公司简约组织结构图3所示。

从我国证券公司的组织结构图中可看出，证券公司在董事会下目前设了一个风险控制委员会，也就是说它的内部控制环境建设相对于其他金融机构还是不完善的，没有细化了风险管理委员会的职务。

（二）管理层与会计人员素质不高

我国证券公司在内部控制环境下的文化建设不到位，主要体现就是证券公司的管理人员和会计人员的文化素养不够高。例如：在2014年民族证券公司将20.5亿资金，分七次投入资金信托计划，却在年底报表里把这20.5亿放入了银行存款账户，虚增资产。对于这种虚增资产，虚构业务，掩盖投资项目潜在风险的行为，民族证券公司给出的态度就是尽量回避，高管赵大建不作回应。无论在内部控制环境的组织结构方面还是在文化建设方面，我国证券公司与内部控制环境完善的企业还有很大差距。

（三）风险评估结果偏离实际情况

风险评估是企业能及时的分析所遇到的相关风险，是做好内部控制的重要环节。实际工作中证券公司对业务的风险评估往往不够重视，使得风险评估的结果不准确，评估出的事件发生概率和重要程度偏离于实际情况，导致公司不能及时的根据风险评估的结果做好相应的控制活动来阻止风险事件的发生。

（四）高管层以权谋私问题严重

控制活动一部分来规避员工出现舞弊行为，一部分是保证公司的正常运营。我国证券公司在授权审批和职责分离的控制活动有很大漏洞。证券公司通常会对其他公司进行保荐上市，然而有些证券公司高管会在公司还未上市之前利用职务之便，持有未上市公司的股份，公司上市后，股价上涨，再卖出他所持有的股份，从而获得暴利，这有损于公司的内部控制和员工的职业道德。

（五）公司上下层级信息不对称

我国证券公司存在的上下级信息不对称问题很严重。一方面，上层掌握不到最真实的下层信息。证券公司员工文化素养不够高，全体上下内部控制意识薄弱，即便员工发现了一些不合法、违规行为，他们也意识不到自己有责任向上级沟通，大部分员工选择的就是沉默，抱着事不关己的心态，这样就出现了由下层到上层的信息不对称问题。另一方面是下层员工得不到由上层传达来的原滋原味信息，不能向客户深入解读产品，不能及时反应上层传达的内容。

（六）内部控制缺乏有效监督管理

证券公司的监督不同于一般的企业。一般企业的监督都是针对个人，防止个人发生舞弊，而证券公司监督的重点内容是它的证券交易系统。证券交易系统对证券公司很重要，若证券公司的监督要素出现了问题，证券交易系统中的漏洞没被发现，可能像2013年光大证券那样的事件会再次发生。近年来许多证券公司的信息交流系统被一些广告商侵占，上面的不实信息对该公司带来巨大负面影响。此外，证券公司在与软件介入相关的安全性监管上还有漏洞，没有进行安全验证或者是设置安全锁，导致对一些客户的身份信息的真实性不能保证。

三、完善证券公司内部控制的对策

（一）完善专业控制委员会建设

我国公司治理大多是建立在股东大会、董事会、监事会来形成的制衡机制基础上的，体现了三权分立的治理思想。但从证券公司实际运行效果来看，董事会、监事会的功能被严重弱化。证券公司应加强风险管理委员会建设，充分发挥它们监督管理作用。业务部门和控制部门对风险评级的意见经常是相左的，业务部追求收益最大化而控制部力爭风险最小。当业务部门和控制部就某项业务发生矛盾时，将该业务交给相关风险管理委会，通过风险委员会的客观评价，来决定是否接受该业务。通过建立各种风险委员会来进行清晰明确的职责分配，避免一股独大的内部控制情况的出现。

（二）加强内部控制文化建设

在进行企业内部控制文化建设中，最主要的是提高管理层的内部控制意识。管理层是员工的领导层，如果管理层的内部控制意识不强，那么员工会受管理层的影响更不会重视企业的内部管控。国外的《萨班斯奥克斯利法案》就有专门针对管理层搞好内部控制的条款，其第404条款，就明确了公司管理层对于公司内部控制的责任和义务，SOX（Sarbanes-Oxley）404要求公开交易的发行人在年度报告中要包括内部控制报告。内部控制报告上要明确管理层的职责。管理层首先要对确立和维持恰当的内部控制政策和程序方面负责；要评估内控结构和程序的有效性。在管理层评价之后，负责审计的会计师还应当对其进行测试和评价，并出具报告。其次，就要增强员工的企业内部管控意识，证券公司要定期举行内部控制文化教育，让员工意识做好内部控制不仅是决策者的职责，更是自己的职责。

（三）提高公司风险评估水平

证券公司的管理者应通过定期的风险文化教育增强自身的风险意识，然后借鉴国外的经验方法进行科学的评估，最终让证券公司建立适合本公司发展的风险评估预警体系。此外对证券的交易系统的关键环节要定期的评估风险，并且要强化各关键环节风险的控制。证券公司除了要设立科学的风险评估与检测程序，及时进行风险的定量评估，管理层还要根据自身的经验，进行定性分析以明确风险的领域和大小。

（四）建立良好的内部控制活动

证券公司要建立良好的控制活动，在公司政策规定中就要明确授权审批机制。在证券交易额度超过公司规定的数额时，就要得到上级的审批，避免发生金额的错误。另外还要强化内部职责分离制度，明确各个岗位的职责与权力，证券公司的自营业务的财务和业务管理相分离；业务的交易操作员要和会计人员分离；资金清算要与操作人员、会计人员相分离。更好的职责分离活动促使员工按规定和程序办事，将员工发生舞弊的机会降到最低。在控制活动中最重要的便是找关键的环节和风险点。证券公司的关键点在各个业务中是不同的。例如在经济业务中，代理经纪业务必须为客户分开建立证券账户和资金账户，对客户证券和资金按户分账管理，如实行交易和资金的记录。在证券公司的信息系统控制中，IT（Information Technology）系统投入运行前，必须要经过业务、技术、稽核等部门完成必要的测试工作和联合验收工作，并有主管负责人进行评价。

（五）加强信息的沟通和交流

沟通与交流越及时，风险的反应能力越强。证券作为一个高风险行业，就更需要快速的风险反应能力。信息沟通理想的效果便是公司由上到下和由下到上的信息传播高效而及时。证券公司内部应形成一个有效的沟通渠道，信息能实时进行传播，各个基层部门对风险信息进行收集通过信息系统快速的将风险信息集中到管理层，并由管理层及时反馈，就大大提高了风险内部控制效率。为了能充分共享信息资源，证券公司应当设计一张信息报告流程图，实行透明化的披露制，使沟通渠道透明而有效。公司由员工层向管理层传达信息的时间也会大大缩短，为中高层寻找风险的应对方法提供了时间上的保证。

（六） 提高公司的监督能力

一个完整的风险内部控制体系中，监督是不可缺少的部分。科学、健全的监督机制能及时发现并解决内部控制运行中产生的问题。提高监督能力，证券公司要建立监察部和内部审计部，运用专门的技术方法，对内部控制的完整性与有效性进行监督检查，监察部门要独立于其它部门，与董事会和管理者没有交叉的权限。内部的审计委员会必须要由较强证券从业经验背景的独立董事组成，它的工作是检验证券交易系统的控制是否得到遵循，评估内部控制是否有效，并提出改进内部控制的建议，为进一步改进内部制度提供建设性对策，帮助企业更好地达到预期的控制目标和水平。

四、结论

随着金融环境的多元化、复杂化，我国证券公司面临的风险受到国际证券业发展的影响而增加，做好内部控制的工作日显重要。在日常经营活动中，证券公司健全的组织结构和管理层对内控管理的理解，是企业能否顺利推进内部控制的基础和关键。

参考文献：

[1]艾献军.证券公司操作风险及其管理[J].南开经济研究，2012（01）.

[2]宋敏.COSO内部控制原则[EB/OL].http：//blog.sina.com.cn/s/blog520000791-

b0100iew2.html，2015-08-21.

[3]蔚欣欣.注册管理会计师基础教程[M].机械工业出版社，2016.

[4]周秀明.风险管理视角下企业内部控制研究[J].财会通讯，2016（02）.

[5]达信.解读新版COSO框架[EB/OL].http：//www.92to.com/xinwen/16148260.html，2017-01-12.

[6]陈友好.证券公司内部控制存在的问题分析[J].财会研究，2015（16）.

（作者单位：上海工程技术大学管理学院）