李振林

（湘财证券股份有限公司，北京 100045）

国家各项有利于资本市场发展配套改革措施的相继出台，证券行业面临较多的发展机遇，同时也承受高风险，无论企业的风险控制措施是否完善，缺少内部控制支撑也难以发挥风控措施的真正效应。内部控制管理不到位，内部控制管理有效性低，会存在较多的漏洞和缺陷，给金融风险留有可乘之机。证券公司应当总结同行失败和成功的教训及经验，在经营发展过程中及时进行阶段性总结分析，审视自身内部控制体系存在的不足或缺陷，从而采取针对性措施进一步完善内部控制体系，强化公司的风险防控能力。

一、证券公司内部控制相关概述

1.证券公司内部控制的核心内容

证券公司内部控制的核心内容是风险管理，对金融机构而言，风险管理是其能正常发展的重要基础，也是决定其核心竞争力的关键。风险管控属于内部控制范畴，是内部控制的核心目标。按照证券公司内部控制指引要求，首要任务是构建完善的内部控制体系，防控多样化的金融风险。

2.证券公司实行内部控制的必要性

（1）从风险防控角度

证券公司是连接企业和资本市场的中介，在金融行业的地位较高，而金融行业普遍具有高风险的特点，证券公司与一般企业相较风险的复杂程度更高，控制风险则需要完善的内部控制体系支持。规范经营是证券公司的基本准则，证券公司必须尽快适应严格的外部监管环境，构建完善的内部控制体系，严防金融风险以及内部经营风险。

（2）从政策法规角度

政府针对金融行业以及监管证券市场出台了多项政策法规，如会计法规定，证券公司必须依法经营，公司构建的内部控制体系需全面覆盖所有经营环节和所有员工，严格按照会计法规定处理内部经济事项。2020年新证券法全面执行，注册制改革开始进行，对证券公司的经营业务产生了一定影响。在新注册制下证券发行流程精简，市场扩容，证券公司作为证券市场的守门人，其职能作用更加重要[1]。例如，新注册制下，证券公司的股权IPO尽职调查程序，调查事项约一百余项，调查内容各不相同，若是调查环节出现失误则导致风险形成，此时就需要内部控制保障各个环节的准确性，协助尽职调查团队快速完成调查目标。

（3）从内部管理现状角度

随着金融行业的快速发展，证券公司的业务和经营模式都发生了明显变化，若是公司的内部控制体系不完善，则会直接引发金融风险积聚和金融犯罪问题。例如某证券公司因内部控制不完善，违反相关法规，证监机构于2019年对其采取了严厉的监管措施。该公司内部控制不完善导致的内部管理违规行为主要有以下六个：一是部分业务合同未进行有效管理；二是职责分工未落实；三是不相容岗位职能分离未完全落实；四是对客户身份的审核不全面；五是客户回访缺位；六是营业部前员工涉嫌犯罪。忽略内部控制或者对内部控制的认知错误，将会导致公司经营期间出现管理层高于内部控制体系，进而引发如场外配资等的违法犯罪行为，于证券公司而言金融犯罪几乎是毁灭性打击，证券公司必须持续完善内部控制体系，防患于未然，严格约束经营管理行为。

二、证券公司内部控制管理存在的问题

1.组织机构与决策机制尚不完善

在外部环境影响下，证券公司对内部治理的重视程度相对较高，证券公司严格要求风控组织对内控流程进行风险评估，且公司的内部控制流程逐渐完善，对内部控制效果的评价工作取得了较好的效果，总的来看证券公司已经实现了内部控制的新要求。目前，证券公司的组织机构仍然需要优化。复杂的组织结构以及人员岗位，导致组织机构和职责划分难度增加，个别人员存在身兼多职的现象，各个岗位未能实现责任最大化。而且一个部门多个领导的现象突出，员工需要同时向多个领导反馈工作，工作效率低，管理质量低。另外，证券公司的决策管理机制不完善，按照内部控制相关文件指引，重大决策需要公司按照既定的程序组织决策会议，要求各部门代表人员参与会议并各抒己见，商议最优决策，但是由于公司部分员工的能力有限，其决策过程中缺乏足够多的信息支撑来进行头脑风暴，容易出现决策失误。

2.风险识别管理机制缺乏有效性

风险识别评估是风控环节的主要内容，作为高风险的金融行业，证券公司对风险管控的重视程度非常高，但是在证券市场环境快速变化的影响下，公司面临的风险呈现出突发性、随机性以及多变性等特点，固定的风险识别和评估机制无法应对所有类型的风险。目前证券公司风险识别管理有效性不足，具体表现有三。①内部评估尚未列入常态化工作中，在评估管理行为时忽略人为、制度和管理方面的原因，且缺乏定期监督，风险评估未能将业务作为重要参考，评估结果准确性不足[2]。②证券公司现行的风险等级划分标准不适用于所有的经济业务，风险度量精细度低，风险等级划分仍需要人员辅助调整。③风险管理程序不完善，虽然证券公司的内部控制制度趋于完善，风控组织职能清晰，但是风险识别制度不完善，风险管理程序存在缺失，对突发性风险的应对水平较低。比如，2020疫情防控期间，某证券公司的开工时间不断延后，公司的稽核审计项目不能进行现场调查，部分项目延后处理，导致公司的稽核部履职受到负面影响，工作进度与预期相差较大，难以保证工作按时完成。从风控层面分析，该公司管理者获得的合规报告真实性不够，很大程度上是因为合规部与稽核部的风控程序不完善。

3.对关键业务活动控制乏力

（1）授权与审批控制

证券公司针对业务处理授权已经制定了相对完整的授权审批流程，但是在具体实施过程中仍然暴露出一定的问题，证券公司的业务管理授权不清晰，公司根据主要的工作内容、组织架构以及人员岗位要求进行管理授权，如：董事会下设风控委员会，负责公司风控工作；公司经理层直接管理投资部门、交易部门、产品部门、营销部门等，设置业务部门经理、不同业务支线负责人。整体来看，授权环节在公司内部治理约束下相对规范，但是授权效率和授权流程未能达到最优，在授权环节存在业务部门相互推卸责任问题。在业务运行期间，业务处理和审核流程不规范，出现业务审批人员缺位或者业务流程混乱情况，导致业务处理效率不高。

（2）机构客户业务管理

证券公司率先推行客户专用系统服务业务，但是从内部控制角度看，此业务缺少法律的支持，公司购买相关软件缺乏法律保障。而且机构客户业务管理规定中，客户专用系统服务业务的系统采购流程缺少制度支撑，同时业务指引内容未能及时更新，现行的指引内容与业务管理不相符。

4.信息技术应用不足影响日常沟通

证券公司在信息沟通方面的问题主要集中在信息技术应用不足上，证券公司内部可实现部门间沟通的平台系统类型丰富，比如MOT、OA反洗钱系统、内部邮件等，沟通媒介不相同，在实际工作中部门沟通效率提升较慢，统一沟通媒介是证券公司消除沟通矛盾的重要任务。

5.内部监督与管理流于形式

现阶段证券公司通过制定风险管理制度，对各个部门实施监督，就目前实际情况而言，事前监督和事中监督成效较好，但是证券公司在使用抽查和自主监督方式对经济业务进行监督时，缺乏有效约束，而且公司的主动性监督手段较少，监督方式更新不及时。同时，公司的监控系统也存在明显缺陷：一是经纪人监控功能缺失，在岗位职责划分方面未能覆盖经纪人监控；二是对客户异常行为监测内容不完善，按照要求，企业应当监控重要数据，并且从业务关键环节入手控制，但是公司监管系统目前只能实现监控功能，无法进行实际干预。

三、证券公司完善内部控制管理体系的策略

1.健全组织架构，改进决策机制

证券公司应当建立完善的组织架构，并改进决策机制，夯实内部控制体系建设基础。从健全组织架构层面分析，证券公司需要对责任分配、权力职责划分加以重视，确保各个员工的岗位权责与公司的内部控制要求相匹配，各岗位风险点合理分布，保证公司整体利益不受损。同时，证券公司应高度重视监事会在内部控制体系建设中的作用，强调监事会的监督作用，对内部控制进行全流程监督[3]。从改进决策机制方面分析，证券公司应当在现行决策机制基础上对其进行再优化，通过提升决策人员综合能力和信息掌握程度手段，以及引进外部专业人士或专业决策机构的方式来保证决策的准确性。

2.提高风险评估与管理的水平

要想提高风险评估与管理水平，证券公司可从以下五个方面着手。第一，将内部风险评估列为常态化工作，使风险防控意识深入人心。要求各部人员在实际工作中具备较高的风险敏感性，习惯于破开表面分析内核，分析业务背后的关键信息。在实际评估过程中需综合考虑人员、制度和管理因素，避免被表面原因所惑，忽略内核影响因素。第二，优化客户信用管理工作，合理划分客户信用等级。证券公司应当将评价人员主观判断下的定性方式和基于真实数据的定量方式结合，以公平公正的原则评价客户信用等级，且不定期地更新评级方式。第三，加大资金管理力度。在金融行业环境不断变化的背景下，证券公司的信用业务中融资安全性非常重要，任何公司都无法控制资金来源，但是可以控制资金用途，所以证券公司应加大资金管理力度，控制资金风险[4]。特别是金额巨大的证券交易业务，证券公司需制定科学且针对性强的资金管理制度，对业务资金运行进行全过程的监控。第四，风险识别管控需要有完善的管理程序支撑。证券公司对风险识别、评估、分析和应对工作，在整体分线管理体系中的分布情况进行检查，及时解决风险管理体系漏洞，确保任何风险都可以经过识别、评估、分析和应对流程。同时，证券公司还应搭建风险应急管理架构，主要由技术、业务、风控部门联合成立，加快完善风险应急机制，针对突发性风险公司可及时采取有效措施，将风险对公司造成的损失降到最低。第五，风险预警机制需进一步完善。风险预警需覆盖各个业务流程，提前识别反馈风险，在风险未扩大之际将其快速解决。

3.切实加强对关键业务活动的控制

（1）规范授权审批控制程序

证券公司应及时规范业务授权审批控制程序。一方面，规范授权，确定各个业务节点的权限，在授权过程中，对关键业务环节的核心部门制定严格的授权审批流程。公司应当对授权环节进行审核，删减多余的审批环节，进一步优化审批流程，避免出现多人审核同一业务节点的情况，将部门权限适当下移，减轻审批人员工作压力，但是下移权限需要经过上级领导同意。另一方面，梳理公司经济业务流程，编制合理的审批操作说明书，确保各个业务都可以以内控目标为导向运行。

（2）落实对机构客户业务的监管

要想对机构客户业务进行改进，首先证券公司应当按照相关法规要求及时向证监会报备，同时修订内部控制制度服务于机构客户业务监管工作；其次，公司的业务、技术、合规和风控部门需联合监督程序化交易，公司也应尽快完善针对机构客户业务的内部控制指引内容；最后，证券公司技术部门应该检查客户上传数据的风险点，既要保证信息安全也要保证客户上传信息便利，减少客户信息外泄风险[5]。

4.基于信息技术搭建沟通共享机制

在互联网经济高速发展的时代，信息是企业盈利的核心要素，高效的信息沟通是证券公司运行和决策的关键，证券公司应该依托于强大的信息技术构建统一的沟通平台，实现内部和内外信息的交换传递，比如可将ERP系统技术与信息管理结合，强化系统功能。证券公司内部信息系统种类丰富，可供沟通的系统平台数量较多，但是多元化的沟通媒介具有信息分布广泛的缺陷，导致信息使用者在搜集信息时耗费的时间和精力较多，信息时效性难以保证。鉴于此，证券公司有必要构建统一的沟通平台，基于大数据技术、云计算技术或是人工智能等构建沟通和信息存储系统，在各部信息交换期间，由系统自动分类信息并存储进数据库，方便相关人员使用相应权限调取信息。

5.更新监管手段，升级监控系统

市场形势变化多端，证券公司可通过信息技术进行监督，监督人员按照监测标准和指标对风险点的情况进行分析，全面监测经济业务运行，将被动监督检查转为主动监督检查。比如针对债券业务，证券公司应当严格要求相关业务负责人按照规定标准操作，尽职调查工作精细化程度也需提升，要在内部控制指引中明确尽职调查的执行标准以及工作底稿质量的要求，进一步提升业务质量。证券公司在合规检查过程中按照问题严重程度和风险等级，对相关人员或部门采取约谈、批评、暂扣奖金、降职等措施，对于连续出现执业问题的人员，则要将涉事人员参与的项目列为重点审查监督项目，增加合规检查次数，同时将合规检查结果纳入员工绩效考核中，激励员工约束行为，提高执业质量。

升级监控系统是提升证券公司内部控制监督时效性的关键手段，证券公司必须构建多维度多角度的监督系统，方可对所有经济业务、薪酬体系、风险评估等进行全面监督[6]。以证券公司的自营业务为例，证券公司的治理层需要对内控执行进度进行评价和监督，并且以书面报告形式反馈评价结果和意见。证券公司一切以客户利益为先，优化监控系统可掌握证券交易市场中的信息，使经济业务运行期间的内控保障更充分。另外，证券公司的稽核部门也需要使用审计手段对内部控制有效性进行监督，由专业的稽核人员以实事求是态度对整体经营环节实施审计监督，将稽核重心放在重点项目中，同时公司离任人员也需进行离任审计，防范违法风险。

四、结语

综上所述，证券公司因处于金融行业，其面临较高的风险，内部控制的核心是风险控制，为强化公司的风险管控能力，证券公司必须尽快构建完善的内部控制体系，基于会计法、证券法等梳理当前内部控制体系的缺陷和漏洞，协助证券公司适应逐渐严格的外部监管体系。证券公司作为证券市场主体，是推动证券市场和金融行业发展的重要支柱，由于市场地位关键导致证券公司在内部控制方面面临严格的要求，证券公司在经营运行期间必须使用合规稽核方式控制内控活动，规范内部治理行为，促进证券公司稳定经营发展。