证券业务内部控制审查与评价,是依据《证券公司内部控制指引》和《证券公司管理办法》,对被审计的证券公司内部控制的建立情况及有效性所进行的调查、测试和评价。通过审计既可以对证券公司内部控制机制和控制制度进行审查与评价,判断其内部控制机制的有效性和内部控制制度的实施状况、健全程度,也可以把握审查方向,明确审查重点,降低审计成本,提高审计效率,同时还可以促使证券公司健全内部控制体系,规范经营。
一、证券公司内部控制的基本构架
证券行业是一个高风险的行业,如何防范和化解风险,不仅是监管部门必须考虑的一个重要问题,也是证券公司面临的一项重大课题。加强内部控制制度建设,提高自身控制能力,也就成为证券公司必须重点关注的问题。在我国,证券公司的内部控制包括两个方面,一是内部控制机制,即证券公司的内部组织结构及其相互之间的运行制约关系;二是内部控制制度,即证券公司为防范金融风险,保护资产的安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。具体包括下列内容:
(一)环境控制
环境控制包括公司治理结构控制、管理思想控制、员工素质控制和授权控制等。其中,公司治理结构包括民主、透明的决策程序和管理议事规则,高效、严谨的业务执行系统,以及健全、有效的内部监督和反馈系统;管理思想控制是指公司管理层必须树立内控优先思想,自觉形成风险管理观念,同时制定有效的信息资料流转通报制度,保证全体员工及时了解重要的法律法规和管理层的经营思想;员工素质控制是指公司必须建立科学的聘用、培训、轮岗、考评、晋升、淘汰等人事管理制度,严格制定单位业绩和个人工作表现挂钩的薪酬制度,确保公司职员具备和保持正直、诚实、公正、廉洁的品质与应有的专业胜任能力。对重要岗位必须在回避的基础上实行委派制和定期轮换制;授权控制是指公司股东大会、董事会、监事会必须充分履行各自的职权,健全公司逐级授权制度,确保公司各项规章制度的贯彻执行。
(二)业务控制
业务控制是指证券公司必须自觉遵守国家有关法律法规,严格制定各项业务的管理规章、操作流程和岗位手册,并针对各个风险点设置必要的控制程序。具体包括经纪业务控制、投资银行业务控制、自营业务控制、受托投资管理业务控制和金融创新业务控制。
(三)资金管理控制
资金管理控制包括资金的集中统一管理控制、资金投向决策的管理控制、资金风险评估和监测管理控制,以及资金成本与效益管理控制等。
(四)会计系统控制
会计系统控制是指证券公司依据《会计法》《会计准则》《财务通则》《会计基础工作规范》《证券公司会计制度和财务制度》等制定的公司会计制度、财务制度、会计工作操作流程和会计岗位工作手册,以及针对各个风险控制点所建立的严密的会计控制系统。
(五)电子信息系统控制
电子信息系统控制是指证券公司根据国家法律法规的要求,遵循安全性、实用性、可操作性原则,针对电子信息系统制定的一系列管理规章、操作流程、岗位手册和风险控制制度。
(六)内部稽核控制
内部稽核控制是指证券公司必须建立一个能够独立于公司各业务部门和各分支机构以外,就内部控制制度的执行情况,独立地履行检查、评价、报告、建议职能,并对董事会负责的内部审计部门,通过内部审计部门的监督检查,确保内部控制的有效运行。
二、证券公司内部控制的审查评价
审查评价内部控制是审计人员的重要职责,也是深化审计工作的一个方向。从审计人员进入被审计证券公司开始,就需要对被审计证券公司的内部控制进行了解和描述,对内部控制的健全性进行评价,并在此基础上对被审计证券公司遵循内部控制的情况进行审查评价。一般来说,内部控制的审查评价包括三个环节:内部控制调查、符合性测试和内部控制评价。
(一)内部控制调查
内部控制调查是指审计人员采用调查表法、流程图法和文字描述法中的任何一种,或者三种方法的结合针对被审计证券公司内部控制的构成要素和架构所进行的调查了解,以便对其健全性进行评价,并对照审查实际执行情况。调查内容主要有:
1.内部控制原则的调查
(1)证券公司在建立和完善内部控制机制的过程中是否遵循了健全性原则、独立性原则、相互制约原则、防火墙原则和成本效益原则。
(2)证券公司在制定内部控制制度时是否遵循了全面性原则、审慎性原则、有效性原则和适时性原则。
2.内部控制基本要求的调查
(1)是否设立顺序递进、权债统一、严密有效的三道监控防线,即以一线岗位双人、双职、双责为基础的第一道防线;以相关部门、相关岗位之间相互监督制衡的第二道防线;以内部审计部门对各岗位、各部门、各机构、各项业务全面实施监督反馈的第三道防线。
(2)是否建立科学的授权批准制度和岗位分离制度,以便相互牵制。
(3)是否建立完整的岗位责任制度和规范的岗位管理措施,大力推行目标管理。
(4)是否保证在资产安全性的前提下追求利润最大化,严格控制财务风险,充分发挥会计的核算和监督职能,确保各种信息的真实和完整。
(5)是否建立严密有效的风险管理系统,包括主要业务的风险评估和监督办法、分支机构和重要部门的风险考核指标体系以及管理人员的道德风险防范系统等。
(6)是否制定切实有效的应变措施,设定具体的应急应变步骤,确保公司的正常经营。
3.经纪业务控制的调查
(1)证券公司是否对证券营业部的整体布局、规模发展和技术更新等进行统一规划,对新设营业部的选择、投入与产出是否进行严密的可行性论证。
(2)证券公司是否统一制定证券营业部的标准化服务规程,提高营业部的服务质量和避免差错事故的发生。
(3)是否制定统一的股东账户和资金账户管理制度,妥善保管客户的开户资料,严格客户资金的存取程序和授权审批制度。
(4)是否严格遵守保密原则,如实记录证券交易情况,并妥善保存委托记录。无书面委托记录的,是否事先明确双方的权利与义务,坚决防止新的电子交易方式的各种风险。
(5)是否严格资金的清算和股份交割登记,及时有效地防止结算风险和法律纠纷。
(6)对客户托管的国债和其他上市流通的有价证券是否实行定期盘点制度,并按有关规定进行表外登记,是否将代保管的证券进行抵押、回购或卖空等。
4.投资银行业务控制的调查
(1)是否建立严格的项目风险评估体系和项目责任管理制度,根据各项投资银行业务和证券品种的不同特点制定各自不同的操作流程,作业标准和风险防范措施。
(2)是否建立科学的发行人质量评价体系,在认真核查发行人文件的真实性、准确性和完整性基础上,确保推荐优质企业发行上市。
(3)是否强化投资银行业务的风险责任制,明确各当事人在事前、事中、事后各自不同的风险控制责任。
(4)是否建立严密的内部审核工作规则与程序,不断提高发行申报材料的编制质量,确保证券发行文件不存在严重误导、重大遗漏、虚假和欺诈。
5.自营业务控制的调查
(1)证券投资策略或投资品种的决策是否由一个部门或主管全权决定,没有充分发挥集体智慧的决策能力。
(2)是否建立恰当的责任分离制度。自营交易管理部门、操作部门、资金结算部门与会计核算部门是否相互分离、相互监督。
(3)自营股东账户是否由自营部门以外的部门统一管理,是否存在假借他人名义或席位从事自营业务。
(4)是否建立严格的自营业务的风险评估和控制制度,将直接操作人员的业务活动严格限制在规定的风险权限额度之内,并及时采取恰当的止损措施。
(5)是否建立严格的保密制度,禁止职工利用职位便利为自己及他人买卖证券或提供咨询意见。
6.受托投资管理业务控制调查
(1)受托投资管理业务是否由公司统一受理,并指定专业部门和人员统一管理。受托投资管理业务和自营、经纪、承销等业务,以及受托投资管理业务操作岗位之间是否建立严格的“防火墙”制度。
(2)受托投资管理业务是否按业务授权进行审核批准,受托资金的投资策略、投资品种等是否严格按授权和合同规定办理。
(3)受托资金专户是否独立核算,是否与自有资金混同使用。
(4)是否随时评估和监控每笔受托资金的管理效益,避免各项受托资金的重大损失,防止不道德行为。
(5)是否在审慎经营和合法规范的基础上力求金融创新。
7.资金管理控制调查
(1)是否强化资金的集中统一管理,禁止各分支机构自行从事资金的拆借、借贷、抵押、担保等融资活动。
(2)是否严格资金业务的授权批准制度,强化重大资金投向的集体决策制度。
(3)是否对资金业务的风险建立健全评估和监测制度,严格控制资金流动性风险。
(4)是否建立科学的资金管理绩效评价制度,严格考核各责任单位资金循环的成本与效益,坚决奖勤罚懒和奖罚分明。
8.会计系统控制调查
(1)是否建立证券公司内各级机构会计部门的垂直领导和主管会计委派制度,明确岗位分工和职责,推行不相容职务相分离制度。
(2)是否建立严格的成本控制和业绩考核制度,强化会计的事前、事中和事后监督,加强对重大表外项目的风险管理。
(3)是否制定严格的财务收支审批制度和费用报销办法。
(4)是否制定完善的会计档案保管和财务交接制度。
(5)是否强化财产登记保管和实物资产盘点制度。
9.电子信息系统控制调查
(1)对电子信息系统的项目立项、设计、开发、测试、运行和维护整个过程是否实施明确的责任管理,严格划分软件设计、业务操作和技术维护等方面的职责。
(2)是否强化系统设计、软件开发等技术人员与实际业务操作人员、计算机系统的日常维护和管理人员与会计交易等部门的相互独立和相互牵制制度。
(3)是否制定严格的电子信息系统安全和保密标准,保证电子信息数据的安全、真实和完整,并能及时、准确地传递到会计等各职能部门。
(4)是否建立电子数据的即时保存和备份制度,是否坚持电子信息数据的定期查验制度。是否指定专人负责计算机病毒防范工作,定期进行病毒检测。
10.内部审计控制调查
(1)内部审计部门是否定期或不定期地对内部控制制度的执行情况进行检查,保障证券公司各项经营管理活动有效运行。
(2)是否全面推行审计工作的责任管理制度,明确内部审计部门各岗位的具体职责,严格内部审计的组织纪律。
(3)是否严格内部审计人员的专业任职条件,充分发挥内部审计的权威性,提高内部审计工作的质量和效率。
(4)是否建立健全内部审计处罚制度,任何部门和个人不得拒绝、阻挠、破坏内部审计工作,对打击、报复、陷害审计工作人员的行为是否制定严厉的处罚制度。
(5)对于内部审计人员是否制定了激励处罚制度。
通过上述调查了解,一方面可确定内部控制的健全性,评价各个业务环节的内部控制是否无懈可击,各项业务处理过程是否在相互制衡、相互约束的机制下运行,从而找出制度存在的缺陷和漏洞。另一方面,可以确定证券业务控制风险是高、是中,还是低。同时,还可以根据控制风险的大小确定是否进行内部控制测试。
(二)内部控制的符合性测试
证券公司的内部控制制度是由公司统一制定,但因经营规模、业绩考核等各方面的原因,各业务部门分支机构并不能一丝不苟地执行内部控制制度,致使内部控制的功能受到影响。具体表现为内部控制制度虽然写在纸上,挂在墙上,印在本子上,却有章不循,有规不依,或者虽然执行了内部控制制度,但执行不认真或不彻底等,妨碍了内部控制功能的正常发挥。所以,调查了解被审计证券公司的内部控制并不意味着只对它们的健全性进行评估,在健全性评估后还要对内部控制制度的设计和执行情况进行审查评价,即对内部控制制度的有效性进行符合性测试,测试的目的是了解内部控制制度是否为各级员工所熟悉,并在具体工作中严格遵循,确实执行。当然,进行符合性测试时,测试范围并不是越大越好,并不是对证券公司所有的内部控制制度都进行测试,而是要从最经济有效地实现审计目标的总体需要出发,合理确定测试的范围。一般地,审计人员进行符合性测试的方法和内容如下:
1.采用查询法对下列内容进行符合性测试
(1)收集证券公司与各类证券业务有关的内部管理控制制度,文件、合同和会议记录等方面的资料,了解内部控制制度设计是否科学合理,是否体现了健全性原则、独立性原则、相互制约原则、“防火墙”原则和成本效益原则。
(2)询问有关业务人员在办理承销、经纪、自营、受托投资管理业务过程中是否了解熟悉相关内控制度,是否严格遵循、执行内控制度。
(3)询问证券公司有关部门内部不相容职务的分离情况。这包括:有关证券交易的授权、收发保管、账务记录等职务是否相分离。直接与客户、电脑、资金、有价证券、重要空白凭证、业务用章等接触的岗位,是否实行双人负责制度。属于单人单岗处理的业务,是否有相应的后续监督机制。是否对投资收益进行了预算,投资收益是否由独立于投资授权和账务记录这两项职责的职员负责收取和管理。有关证券业务的会计记录凭证是否由不同执行人员或者授权证券交易的职员填制。
2.采用观察法对下列内容进行符合性测试
(1)实地观察证券公司各项不相容职务的职责分离情况,对重要业务部门的监督机制情况,查看其实际执行效果。
(2)实地观察证券公司实物证券保管情况,是否定期对有价证券进行盘点,有关业务清单档案是否齐全;是否定期与有价证券的账面记录进行核对,保管证券是否安全,有无保管的有价证券丢失、被盗、贪污等问题的发生。
3.采用审查法或抽查法对下列内容进行符合性测试
(1)审查新设证券营业部的可行性论证报告是否科学合理,是否体现了成本效益原则。
(2)抽查经纪业务开户资料,了解证券营业部是否严格遵循股东账户和资金账户管理制度,是否妥善保管客户的开户资料,客户资金的存取是否遵循了存取程序和授权审批制度。
(3)抽查经纪业务交易记录资料,了解是否如实记录证券交易情况,并妥善保存委托记录。
(4)抽查承销业务发行申报材料,了解发行申报材料的编制质量,证券发行文件是否存在严重误导、重大遗漏、虚假和欺诈。
(5)抽查自营业务部门部分交易记录,审查自营业务各环节控制情况。一是是否以公司名义设立自营股东账户,并报证监会备案;二是有无申请报告、批准记录、有关所需资金未来预期收益的可行性分析;三是证券交易有无经过有权审批领导的批准认可。
(6)抽查自营股东账户,审查自营股东账户是否由自营部门以外部门统一管理,是否存在假借他人名义或席位从事自营业务活动。
(7)抽查自营业务部分会计记录,审查自营业务核算的有效性情况。一是核实总分类账和交易明细账是否一致,各项会计处理是否完整;二是交易明细账记录与有关原始凭证在证券名称、买卖日期、证券编号、购买或者销售成本方面等是否相符。
(8)抽查自营业务部分盘点记录,审查自营业务证券实物控制的有效性情况。一是审查盘点人员是否独立;二是盘点方法是否适当;三是盘点结果与会计记录是否一致。
(9)抽查受托投资管理业务合同,审查受托投资管理业务是否按业务授权进行审核批准,受托资金的投资策略和投资品种的选择是否严格按授权和合同规定办理。
(10)抽查受托资金账户,审查受托资金专户是否独立核算,是否与自有资金混同使用,是否将不同客户的委托资金混同使用。
(三)内部控制评价
通过内部控制的调查和符合性测试,审计人员就可对证券公司内部控制进行评价。评价时,审计人员应首先确定内部控制制度可信赖的程度,即确认控制风险估计水平的高、中、低状况,以及存在的薄弱环节和缺陷,对被审计证券公司内部控制制度的健全性和有效性作出评价,并据以确定实质性测试中哪些环节可以适当减少审计程序,哪些环节应增加审计程序,作重点审查,以减少审计风险。