吴晓红

摘要：证券公司作为证券行业的重要组成部分近年来随着证券行业的发展得到壮大。随着市场竞争的日益加剧，证券公司面临的风险多样化，证券公司的内部控制重要性更加突显。下面我们就证券公司内部控制进行粗浅的探讨，有助于我们审视内部控制工作的薄弱环节，为提高证券公司核心竞争力献计献策。

关键词：证券公司；内部控制

内部控制作为一个审计词汇最早是由美国注册协会在1936年颁布的《注册会计师对财务报表的审查》中提出的；1992年美国COSO（美国反对虚假财务报告委员会下属的发起人委员会）颁布了《内部控制--整合框架》。2004年COSO在此基础上出台了《企业风险管理--整合框架》。从此内部控制已然成为企业管理不可或缺的重要组成部分。

COSO将内部控制定义为一个受到董事会、经理层和其他人员影响的过程，该过程旨在为实现以下目标提供合理保障。1.经营的效果和效率。2.财务报告的可靠性。3.对于使用法律、法规的遵守。除了以上三个目标外内部控制系统应确保企业资产的安全和企业目标的实现。

COSO的内部控制模型通过一个正方体来展现内部控制的核心内容。正方体的顶部为内部控制三大目标；正方体的正面为内部控制的五大要素。包括内部控制环境、内部控制风险评估、内部控制活动、信息和沟通、监督内部控制。它们互相关联，源于企业的运营模式，又融合于其中；正方体的侧面代表着组织的层级。包括业务单位活动和企业组织层面的控制。

证券公司的内部控制同样遵守COSO的内部控制框架的共性，同时因其身处中国证券行业的特殊性而存在一些个性特点。这是我们在研究证券公司内部控制时应重点加以关注的。下面就先归纳一下我国证券公司内部控制与COSO规定不同的地方：

一、COSO《内部控制框架》要求企业的基本经营目标包括业绩、盈利指标和资源保护方面的要求。而证券公司内部控制的相关制度缺乏资源保护的目标要求。这种缺失显然不适应证券行业发展的要求。证券公司应在考核员工个人和经理层业绩时增加相应的资源保护内控指标，用以帮助增加企業全员的资源保护意识。

二、证券公司在遵守的法律、法规方面与COSO的要求也存在差异。我国现有法律体系与发达国家的相比还存在着一定的差距。证券公司内控工作也需要进一步适应我国法律法规体系不断发展的要求作出相应的调整。

三、在内部控制环境方面与COSO存在的差异：COSO《内控框架》认为控制环境是内控的宏观环境，它体现了企业群体对于内部控制的态度、意识和行为。它有7个要素构成。即诚信和道德观、对胜任能力的承诺、董事会或审计委员会的管理哲学和经营风格、组织结构、权责分配、人力资源政策和措施。我国证券公司内部控制指引中对控制环境方面的表述为：主要包括证券公司所有权结构及实际控制人、法人治理结构、组织架构与决策程序、经理人员权利分配和承担责任的方式、经理人员的经营理念与风险意识、证券公司的经营战略与经营风格、员工的诚信和道德观、人力资源政策。1.COSO《内控框架》认为企业管理层在企业文化的形成上起到至关重要的作用。而证券公司《内控指引》只涉及员工的诚信和道德观。2.胜任能力承诺方面存在的差异：COSO《内控框架》要求管理层应在成本效益基础上对每个岗位配备具有相应知识和技能的人员，而证券公司《控制指引》没有严格要求。所有人员只要求有证券从业资格。不同岗位没有专项要求，更谈不上培训的专业性。3.COSO《内控框架》要求审计委员会应授权内部审计时评估管理层的经营是否有助于促进有效的内部控制、诚信道德观是否被充分理解等。而证券公司《内控指引》没有明确规定。实践中内部审计师也不会评估以上两项内容。4.COSO《内控框架》要求权责分配主要为了在一定的权限内激励个人或团队提出并解决问题。权责分配的挑战在于如何将授权限制在一定范围内，（该范围的上限是企业目标的实现）。要求对利益和风险进行权衡，将风险控制在可以承受的范围内。证券公司《内部指引》只强调加强法人统一管理。建立具体、明确、合理的授权、检查问责制度。确保其在授权范围内行使经营管理职能。

四、风险评估方面与COSO《内控框架》存在的差异：COSO《内控框架》对风险识别中需要充分考虑内外部因素、风险的类型、风险分析方法都作了详细的说明。证券公司《内控指引》相关规定表述为：应建立业务风险识别、评估和控制的完整体系，运用包括敏感分析在内的多种手段对信用风险、市场风险、流动性风险、操作风险、技术风险、政策、法规风险和道德风险进行持续监控，明确风险管理流程和化解方法。

五、控制活动方面：COSO《控制框架》除了一般的控制活动（授权、资产和记录的保管、文档记录等）更看重预防控制、检查控制、纠正控制、其他补偿控制。证券公司《内部指引》强调用业务规程与操作程序来完成过程控制。在充分激发全员或创造良好的工作环境来产生积极的控制效果方面还需加强。

六、信息与沟通方面：COSO《内控框架》在获取信息的层级、信息的适当性、及时性、精确性和可获得性方面有更高的要求。这也是证券公司在信息管理和沟通方面应加强的部分。

七、监督方面：COSO《内控框架》强调风险会随着时间的推移而变化，风险所处的环境也存在相应的变化。这些变化都会降低企业控制风险的能力。管理层需要通过监督来判断内部控制系统是否能持续有效地应对变化中的风险。强调持续监督和独立评估的作用。而证券公司在内部审计人员机构设置、授权等方面与国际同行存在差距，导致内部审计对控制系统的监督存在盲区，难以保证监督的完整性、持续性和独立性。

八、业务单位活动及企业组织层面的控制方面：COSO《内控框架》强调内部控制是人的活动。不止是手册和图表。强调人与内部控制的互相影响。证券公司的内控工作制定了大量、细致的操作规程。各岗位人员只能严格执行。缺乏对内部控制的参与互动。

证券公司的内控人员应认真学习先进的理念，持续地实践，假以时日我们的内控工作一定会得到完善和加强。下面提出本人对证券公司内部控制的几点改进建议：

1.证券公司的内部控制目标应增加资源保护指标。这对提高全员资源保护意识，促进企业履行社会责任都是非常必要的。

2.内控人员应及时把握行业法律、法规的变化对内控制度作出调整。优秀的内控人员甚至可以给出前瞻性调整建议。

3.在内部控制环境建设方面充分认识到管理层的重要作用，加强对管理层在诚信、道德等价值观、行为规范的监督评价。在管理哲学、经营风格、组织结构、权责分配、人力资源政策等方面提出客观、谨慎的建议，帮助管理层制定切实、可行、高效的制度以调动全员内部控制的能动性。

4.应在董事会下设审计委员会，负责监督会计和财务报告及内部审计情况。在审计委员会授权下，内部审计师可以对管理层的经营和内部控制等方面进行审计评价。并及时告知董事会。

5.加强证券公司风险评估工作。建立业务、财务风险监控预警系统。对未进行实时监控的风险应设专人定期进行风险评估工作。将评估报告上报董事会。对重大风险及时评估、分析，并将评估结果及时上报董事会。

6.在完善职权分离等常规控制活动的同时，更重视预防控制、检查控制、纠正控制、指向控制的作用。充分借鉴西方同行的成功经验，使我们的内控工作再上一个台阶。

7.加强信息系统建设。充分利用信息管理系统强大的数据处理能力，保障获取信息的精确性、及时性。建设双向的信息沟通。重视员工匿名举报获取的信息。

8.强化内部审计工作的评价、监督作用。聘用有资格、有能力的内部审计师从事内部审计工作。充分评估公司的内控政策和措施是否到位，是否被正确实施，评估内控目标是否已经实现。首席审计师必须定期向管理层和董事会报告内部审计工作开展情况。报告中必须包括重大风险披露和控制事项。

证券公司内部控制工作的完善不是一朝一夕就能完成的，需要业内从业人员不懈努力、持续实践。我们有理由相信证券公司内部控制工作的前途一定充满光明。

参考文献：

[1]CMA认证教材《财务报告、规划、绩效与控制》.

[2]《证券公司内部控制指引》.