证券公司内部控制体系的建立与完善 ―以招商证券为例招商证券邓晓力博士

证券公司内部控制体系的建立与完善—以招商证券为例招商证券邓晓力博士二00四年十一月引言：内部控制的定位第一部分：内部控制环境第二部分：风险的评估第三部分：风险控制活动第四部分：信息沟通第五部分：监督引言：内部控制的定位内部控制的定位（一）1.什么是内部控制；根据COSO委员会1994修改的《内部控制—整体框架》定义：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2.内部控制的目标；①合规经营；②资产安全；③提高效益；④信息真实；内部控制的定位（二）3.内部控制与风险控制的关系；①内控与风控相辅相成，没有严密的内控风险是难以控制的；②风险的控制必须通过严密的内控体系实现；③内控更注重制度、流程、组织架构、岗位职责的划分；④风控更注重风险的评估、控制；4.内部控制做不到的事情；①保证企业可以成功；②内控失效经常来自于：A、最高决策层，B、恶意欺诈；第一部分：内部控制环境内部控制组织架构董事会总裁室清算中心风险管理部信息技术中心风险控制委员会其他业务部门财务部稽核部法律部股东大会监事会审计委员会建立内控组织架构的关键因素是：健全管理机构、厘清管理权责。科学、合理的组织架构能促进公司管理规则和决策程序的高度民主、透明，形成科学合理的决策、执行和监督机制。公司治理结构1.确立董事会在内部控制框架构建中的核心地位严格按照《公司法》、《证券公司治理准则（试行）》及《证券公司内部控制指引》等法律法规的要求，建立健全董事会领导下的总裁负责制的法人治理结构，明确董事会、监事会的职权范围、聘任程序。确立董事会在内部控制框架构建中的核心地位。2.保证公司人员独立、资产完整和财务独立公司与控股股东在人员、资产、财务上彻底分开，保证了公司人员独立、资产完整和财务独立，公司资产不存在被具有实际控制权的自然人、法人或其他组织及其关联人占用的情况，公司不存在内部人控制或大股东直接干预公司日常经营的现象。3.股东会、董事会及监事会职责明确公司股东会、董事会及监事会职责明确，充分履行各自的职权，确保了公司各项规章制度的贯彻执行。风险管理体系1.风险控制委员会为最高决策机构的风控体系①通过制定和实施一系列的风险管理制度和业务流程，形成以风险控制委员会为核心，涵盖事前预防、事中监控、事后稽查三道防线的风险管理体系；②风险控制委员会，作为公司最高风险控制机构，对重大事项决策，负责整个公司的风险控制。③风险管理部，直接向总裁汇报工作，并接受风险控制委员会的领导，是风险控制委员会的执行工作机构，负责公司日常风险的评估和控制。业务授权管理授权管理是实行一级法人体制，强化管理和内部控制的一个重要环节。授权管理体系要在防范化解风险的前提下，最大限度地提高决策办事效率，使授权管理成为促进快速健康发展、优化资源配置的有力手段。业务授权需要遵循以下原则：1.在法定经营范围内，对各业务部门和分支机构实行逐级有限授权；2.授权采取书面形式，其授权内容以授权书予以确定，并经授权人、被授权人盖章签字后生效；3.根据各业务部门和分支机构的经营管理水平、风险控制能力、资产质量状况、主要负责人的信用和业绩及所在地区经济发展水平、金融风险状况等，实行区别和弹性授权；4.根据各业务部门和分支机构的经营管理业绩、风险状况、授权制度执行情况，及时调整授权。员工道德规范和行为准则员工的道德水准和价值观念是内部控制环境的重要因素，内部控制架构要考虑员工道德水准和价值观念。越来越多的公司将道德规范和行为准则的建设直接纳入内部控制架构。1.《员工违反规章制度行为处理办法》制定《员工违反规章制度行为处理办法》，作为公司的内部大法，有效的确保各项规章制度的贯彻实施，强化内部管理，防范金融风险，促进各项业务健康发展；2.《员工守则》制定《员工守则》，针对各岗位的特点建立起具有操作性的行为规范与准则体系，规范员工职业行为，培养健康向上的工作观，提高员工的综合素质，加强公司内部控制；第二部分：风险的评估市场风险的评估（一）1.市场风险评估的5个步骤①收集全部交易记录；②汇总交易记录形成一个与交易类似的资产组合；③把资产组合分解成潜在的市场风险因素，这要求把每个投资对象都分解成纯风险成分；④为分解后的资产组合定价，并测算出收益；⑤通过运用一套模拟的市场价格和利率，对资产组合重新定价来进行风险测量。市场风险的评估（二）2.建立以VAR为核心的定量市场风险评估体系①随着市场风险的增加，投资品种复杂度的提高，证券公司市场风险的管理要求更具前瞻性的VAR技术，通过VAR模型进行风险度量，然后判断或有损失，从而进行风险管理、组合调整。②开发基于VAR模型的市场风险管理系统，将自营和资产管理的所有账号列入监测范围，对公司自营业务和资产管理业务的证券持仓、盈亏状况、风险状况和交易活动进行有效监控，定期对自营和资产管理业务进行压力测试和情景分析。③建立投资业务的市场风险授权体系，从投资规模、市场风险（VAR值)、集中度、流动性四个角度进行授权，并通过制度政策的形式予以落实，以确保市场风险控制在公司可承受范围内。④风险分配：除了确定品种、行业方面的资金配置，还须进行风险的分配。市场风险的评估（三）3.利用VAR模型控制市场风险①利用VAR对投资组合风险进行实时监控；②利用VAR衡量、确定新的投资策略；③利用VAR衡量风险调整后的回报表现；市场数据分析算法压力测试分析算法分析算法VAR报告VAR模型组合持仓数据库机器交易前台操作风险的评估（一）1.确定操作风险评估的范围和目标结合公司经营策略、风险偏好为操作风险管理制定明确的范围和目标。另外，还要制定一些具体、短期的目标，以保证操作风险管理工作朝既定目标发展。这些短期目标可以是：①准确地定义一些重要的损失事件并为其命名，这样可以保证在以后的管理工作中更方便地讨论、分析这些风险；②建立一个损失事件日志，为建立定量分析操作风险的模型积累数据；③建立统计模型分析特定损失事件的成因以及它们之间的联系；④进行基于风险的资源配置以及情景分析；⑤建立一个专门的操作风险管理组织，给予其充分的授权和资源支持，所有的规定、决议、模型应当以文本模式记录下来，并且保证相关人员可以方便地获得；操作风险的评估（二）2.确定重要的操作风险①操作风险管理的失败在很多情况下是由于包括的内容太广泛，因此在确定的时候需要严格按照高层制定的精确的目标；②必须对经营中重要的过程和资源有清楚的了解，然后再试图找出可能影响它们的操作风险；③查找风险因素一方面可以直接向部门经理调查，另一方面可以通过研究企业内部、外部的损失数据，与行业内运行较好的企业进行比较；④应当确定存在哪些重要的损失事件；操作风险的评估（三）3.操作风险的评估①用来评估损失事件的频率以及严重程度的有三类方法：I.历史数据分析II.主观风险评价III.根据依赖关系对风险进行评估②更进一步，可以使用统计方法来评估风险因素的频率以及损失程度的分布函数。常用的分布函数有三类：经验分布、形状分布、参数分布；③最后建立一个操作风险数据库存储对于损失事件的确认和度量结果，以供后面的风险分析和资源分配使用。承销风险的评估（一）承销项目风险评估体系分为：项目质量的评估，发行方式、价格、时机的评估；1.项目质量的评估①管理能力指标I.管理层指标（包括：公司董事、监事、高级管理人员、技术负责人、核心技术人员及核心业务人员的年龄、学历、主要业务经历曾经担任的重要职务及任期、在公司担任的现任职务）；II.公司治理结构指标（包括：是否设有独立董事，章程中是否建立完善的工作制度，重大经营决策程序与规则，风险控制机构设置、制度设计情况，注册会计师出具的内控评价等）；III.公司发展战略能力指标（包括：准备实施的长期投资项目，历次筹资情况，未来两年的发展计划等）；承销风险的评估（二）②财务会计信息指标I.财务说明与分析指标（包括：会计制度和会计政策，财务管理机构设置，税收政策，对近三年财务状况和经营情况变化，最近一期利润的形成情况，近三年现金流量情况，盈利预测，近三年报表附注事项）II.财务比率指标（包括：内部流动性指标，业务运作执行效率指标，盈利能力指标，财务风险指标，成长分析指标，市场价格指标等）③产品生产及销售指标I.行业发展趋势及公司所处地位II.产品开发能力III.销售及客户情况承销风险的评估（三）2.发行方式、价格、时机的评估①在项目立项阶段，在此阶段的承销协议中不能限定发行底价，只能确定市场定价的原则和发行方式；②在内核阶段，制作“定价分析报告”拟定发行价格区间，报内核委员会；可根据需要向研究发展中心二级市场及行业分析专家、证券投资部投资分析专家等进行咨询；③在风险管理审核阶段，独立对项目进行价值评估，对投资银行部提供的发行区间进行审核，出具评估审核意见；第三部分：风险控制活动客户资金安全性的风险及管理（一）1.业务经营风险①留存营业部的30％客户交易结算资金，被营业部非法提取、挪用、抵押的风险；②营业部违规、虚假办理客户资金存取、内转等资金转移业务的风险；③上调到总部清算中心的70％客户交易结算资金，被总部挪用或出现调拨差错的风险；客户资金安全性的风险及管理（二）2.风险控制措施①公司总部不定期对营业部留存的30%客户交易结算资金进行95％上调的压力测试；②公司总部通过向存管账户开户银行发询证函，确认营业部留存的银行存款没有被非法提取、挪用、抵押的风险；③公司总部建立客户保证金独立存管监督系统，定期检测银行、财务、柜台的客户资金数据，保持相关数据一致性；④公司总部负责每日监控大额（譬如，500万元）客户取款，逐笔事后审核其手续完备性；⑤在适当的条件下，公司总部逐步实施对大额（500万元）客户存取款的事前审批，把对大额客户资金进出的风险控制由事后提高到事前进行；⑥公司监督检查部门对总部清算中心的工作定期或不定期进行检查，规避资金被挪用的风险。国债回购业务的风险及管理（一）1.业务经营风险①客户通过国债回购，恶性套做放大国债持有量，一旦国债价格较大下跌，折算比率下调，就可能造成欠库，带来风险；②客户将国债回购所得资金转出资金账户，到期没有转回，造成抵押债券平仓后，所得资金不能弥补回购额的风险；③由于国债回购实行主席位清算制，因此可能出现非法挪用客户债券回购的行为，所带来的风险；国债回购业务的风险及管理（二）2.风险控制措施①公司制定详细的国债业务规程，要求客户回购的现券及标准券必须是客户账户上现券及标准券，严禁未经客户同意擅自将客户账户进行回购登记，严禁挪用客户债券进行融资；②公司总部建立国债回购到代码卡层面的三级明细账，独立监督检查部门对公司每笔国债回购业务每日进行监控；③限制国债回购融入的资金转出资金帐户，限制帐户办理撤消指定交易、转托管等证券转移行为；④取消营业部的证券调整业务权限，交由总部柜员操作，避免非法挪用客户债券进行回购，侵占客户资产的行为；⑤禁止为客户做放大超过3倍的国债套做，防范因国债价格下跌，造成欠库；国债融资回购只允许通过柜员人工操作，取消自助操作功能，防止客户自助操作套做国债放大超过3倍的行为；委托理财业务的风险及管理（一）1.业务经营风险①委托理财业务中因历史原因存在的保本、保息业务带来的风险；②委托理财业务中客户委托资产被违规非法挪用、侵占等委托资产丧失安全性的风险；③委托理财投资管理过程存在的市场风险、流动性风险、投资决策风险、越权风险、交易风险、人员道德风险等；委托理财业务的风险及管理（二）2.风险控制措施①公司严格禁止新签、续签保本保息委托理财业务；②对历史遗留的帐外委托理财业务制定明确的处理方案；与未到期客户商量，提前结束委托理财；如客户不同意提前结束，则到期按合同结算；③在客户委托资产安全性的风险控制方面，规定公司对委托理财账户只有交易操作权，委托资产的提取、划拨、资产转移等权力仍归委托人所有；但委托人办理资产转移须经过公司资产管理部、财务部的审核同意；④建立公司总部财务部负责对委托理财合同结算进行审核的风险控制流程，防范结算差错风险；委托理财业务的风