证券公司内部审计与内部控制的关系思考
媒体:审计观察 2020-11-20 17:41

原创 孟元 陈岩 审计观察

自熊彼特提出交易成本理论到COSO发布内部控制(以下简称“内控”)整体框架,通过长期的理论与实践研究,逐步揭示内控体系的规范、严谨、有效与组织的经营管理效率和效果具有正相关性。

证券公司作为基于信任合作关系进行专业化运营的组织形式,为有效地降低制度性交易成本、控制风险、提高产品服务质量,必须通过建立健全内部控制减少组织内部制度性摩擦、降低交易成本,从而加强利益相关方的信任及消除运营管理的不确定,提升经营管理的效率和效果。

可以说,良好的内部控制具有蓄势蓄能的基本特点,在公司发展顺境时因势利导,提升效率,促进协作;在组织发展逆境时,保驾护航,防控风险,促进信任。

一、内部审计与内部控制彼此耦合

内部审计(以下简称“内审”)作为内部控制体系中的监督要素, 是对内控的再控制。内审对内控的评价与监督是全方位的,它不仅关注以凭证、账簿和财务报告为载体的财会系统以及可以找到管理痕迹的控制程序等, 而且逐步深入到更为重要的经营管理效率和效果等组织核心价值。

从结果上看,内控与内审殊途同归,其作用机理辩证统一,发展路径相似,彼此耦合,“你中有我,我中有你”,各部分关联的复杂性、交互的方式以及彼此的信息传输高度契合。

一方面内控的完善离不开持续的内审监督,发现问题,解决问题,提升内控效率;另一方面有效的内控又反哺内审职能建设,强化监督效率和效果,为内审提供检查依据和评价标准,将内审视作公司内控有效性得以持续保障的生命补给线。内控与内审相互作用,相互依托,其目标一致、标准一致,内涵一致。

(一)两者目标一致,监督内控的运行是内审的日常性工作

健全现代企业管理制度,形成科学的决策机制、执行机制和监督机制,确保经营目标的实现,是证券公司内控所要达到的基本目标之一。在公司内部建设独立的内审机构,完善的内审制度是达到上述内控目标的重要途径。

消弭缺陷、减少隐患,防止并及时发现和纠正各种欺诈、舞弊行为,保护公司财产完整是内审履行监督职能, 其直接目标是确保内控的有效运行, 以使内控的目标能够实现。有效的内控将合理保证经营的效果和效率、财会报告的可靠性及内部制度的合法合规。内审对公司内部组织与个人违反政策、程序事件及时作出纠正或处理, 以相对独立的身份向高级管理层提出报告,这既是内控所要达到的基本目标,同时这也是内审机构的基本职能。

(二)两者标准一致,评价和提升内控有效性是内审发挥的主要作用

证券公司的内部控制与运营管理完全融合在一起,内控的运行过程即为公司的经营管理过程,这就要求公司在持续运作过程中,不断补充和完善内控程序的标准和执行要求。内部审计作为经营管理评价监督部门,清楚各项业务活动的关键控制点,结合职能独立性,依托组织管理风格、企业文化、会计核算、控制程序等各方面的偏好和标准持续开展审计工作,充分赋予了内审评价及确认内控有效性的能力。

内审在评价内控时,需要站在公司内控全局的高度,围绕内控设计标准,考察公司包括管理理念、组织文化在内的控制环境、风险识别、控制活动、信息沟通及监督五要素,审视具体内控执行是否有不利于实现控制目标的因素,评价内控设计是否合规与健全,评价内控流程是否达到既定效率和效果,最后再反馈到公司内控要素设计标准的有效性及持续改善。内控设计标准与内审评价标准相互作用、周而复始,形成完整的控制闭环。

(三)两者内涵一致,内控与内审工作原理及方法相通相融

财政部的《企业内部控制基本规范》(以下简称《内控规范》)和证监会的《证券公司内部控制指引》(以下简称《内控指引》)与内审准则、制度及工作原理具有相融性,存在许多共通之处。《内控规范》和《内控指引》中的许多控制节点、内容与方法,对于内审人员来说可谓“似曾相识燕归来”。

1. 遵循原则相通

全面性原则:《内控规范》规定,要“贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项”;《内控指引》则要求,内控应当“覆盖证券公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节”的要求,确保不存在内控的空白或漏洞。这就要求内审部门应当在一定期限内实现内审全覆盖,不留死角,审计意见落实率要达到100%。

重要性原则:《内控规范》规定,“应当关注重要业务事项和高风险领域”;《内控指引》从经纪业务、投行业务、受托投资管理业务、研究咨询业务、业务创新、分支机构、财务管理等层面对需重点关注事项进行了明确。内审部门应当本着重要项目优先原则编列年度内审计划,经综合评估,将资金和交易规模大,潜在风险易发、多发的内控流程列入年度审计计划。

制衡性原则:《内控规范》规定,“内控应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督”;《内控指引》提出“证券公司部门和岗位的设置应当权责分明、相互牵制;前台业务运作与后台管理支持适当分离”。内审强调不相容岗位不得由同一人担任,形成相互牵制机制,以减少舞弊发生,这是内审人员的重要关注点之一,二者的原理与目的如出一辙。

适应性原则:《内控规范》规定,“内控应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整”;《内控指引》要求内控应当“与证券公司经营规模、业务范围、风险状况及证券公司所处的环境相适应,以合理的成本实现内部控制目标”。上述原则同样适用于内审。公司内审制度、规范、审计手段、方法也是随着公司的建设、运营大环境的变化和综合管理水平的提高而不断修改、健全与完善的。

2. 领导机构相通

《内控规范》第十三条:“企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等”;第十五条:“内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告”。内部控制与内部审计都是在公司最高管理层的领导下开展工作。

3. 运行机理相通

《内控指引》第一百四十条:“证券公司应当建立健全内控缺陷的纠正与处理机制,应根据内部控制的检查情况和评价结果,提出整改意见和纠正措施,督促业务主管部门和分支机构落实,并对落实情况进行跟踪检查。”反观内审工作,项目实施前要确定审计目标,形成审计方案并按方案执行审计,以审计报告的形式反映与评价审计对象的完成情况;上报管理层后,根据审计发现问题性质,对被审计单位下达审计决定或审计建议书;在规定期限内,内审部门开展后续审计,评价被审单位依据审计决定或建议所采取的整改措施,以及整改效果如何。从确定审计目标、对标检查情况、提出审计发现到纠正内控缺陷,内部审计运行机制与内控缺陷的纠正和处理机制高度重叠,效果一致。

4. 覆盖内容相通

《内控规范》第四章中的控制内容全部包含于财务收支审计、预算执行审计、专项审计的审计要点范围内,两者关注点不期而遇;而《内控指引》第三章的内容也全部包含于证券公司各职能专项审计活动的关注范围内。《内控规范》第四章和《内控指引》第三章的内容从结构上看可以说是各专项审计方案的翻版。

二、内部审计与内部控制相互作用——路径探索

内控与内审机理相当,原理相通,目标相同,证券公司内审要真正发挥内控确认、评价及优化作用, 需要一个良好的内部控制环境。

(一)内部控制体系建设

证券公司应当首先建立内控体系(见图一)。参考国资委101号文《关于加强中央公司内控体系建设与监督工作的实施意见》建设思路,充分考虑公司内控基本规范的要求,形成PDCA螺旋上升的管理闭环,形成《公司内控矩阵》,收集、汇总、梳理风险、控制、岗位及评价要素,勾稽融汇,统一公司内控标准、话术与语言,将董事会、高级管理层对内控高度关注并将管理偏好渗透到组织之中;三道防线体系覆盖各级机构和业务条线,风险关口前移;统一内控缺陷认定标准,识别控制缺陷;组织多层级全覆盖内控培训;确保内控手册到人,操作到岗,实现对业务操作持续、全面的规范。

图一:公司内控建设路径

(二)内部审计计划制定

内审部门围绕证券公司各主要条线内控体系制定年度审计计划。内审项目类型包括但不限于职能部门内控有效性评价,业务单元专项审计,内控自评估及缺陷认定等工作,根据管理层偏好和内外部风险事件预先评估审计必要性和资源投入,确保三年内公司内控审计全覆盖。评估和审计的方式包括但不限于:

1. 部门层面。要突出全面性,按照业务流程、控制节点、执行痕迹,采取顺查或逆查法评价内控制度和流程的执行过程和结果。重点关注业务流程的执行是否符合规定要求;计量采购外包项目交付质量和单价是否真实正确;原始凭证流程及填制、审核、签批是否合乎内控要求;合同的登记、审核、授权、订立程序是否完整,是否符合规范文本要求;有无兼任不相容职务和越权审批、超范围办理的情况等。

2. 业务层面。运用专项审计法,梳理内控流程闭环,识别控制活动设计缺陷,提出优化设计建议并督促整改,重视自动化控制的设计和利用,加强流程效率性和有效性检讨;持续评价内控设计标准在具体业务中的执行落实情况,识别全流程闭环中存在的执行缺陷,督导相关岗位强化岗位胜任力、规范执行控制标准。

图二:内控审计和评估示例

(三)持续审计工作开展

内审部门应在公司审计制度中明确规定,凡属于公司内控体系评估与审计的项目,必须在规定时间内开展缺陷跟踪或后续审计,以促进:

1. 整改落实。督促被审计单位整改落实,提高审计问题整改率。近几年行业内存在诸多屡查屡犯现象,很大程度是由于后续审计这一环节缺失与脱节。

2. 时间检验。基于内控的内审除了审视内控体系的健全性、有效性外,还要着眼于风险识别,评估控制活动的适用性和成本性,保障成本效益原则。内审部门提出完善内控制度的建议是否恰当,需经过一定的运转时间来检验,检验手段就是坚持开展持续审计;并以持续审计结论为基础,以新增问题为导向,指导对内控体系的再修正,促使内控体系日臻完善、契合实际、与时俱进,形成动态循环管理机制。从而避免成为应付检查、徒具形式的摆设。

(四)加强内控违规成本

对于审计发现的重大问题,应依规严肃追责,形成震慑作用,决不可姑息迁就。增加违规成本,有利于促使潜在舞弊者望而却步,猛然警醒,不敢越雷池一步。此外,在组织内部还应力戒遇事“绕道走”、“走捷径”及其他庸懒散习气,将重要经营及管理事项严格置于内控的框架约束之下,才能提高制度的权威性和执行力,有效促进内控系统的安全、有序、健康和可持续发展。

(五)提升审计资源保障

内审人员要承担起以上的责任,不仅需要有扎实的组织内控基础知识和技能, 还需要了解本单位业务特点、经营管理、法律合规、信息技术等相关知识,具备良好的文字表述能力以及人际沟通能力。这一方面需要现有的内审人员发奋学习, 努力改变自身的知识结构,提升自身能力的深度和广度,以适应组织管理的需要;另一方面需要组织管理层改变观念, 认为内审岗位只要能稽核查账就行了, 为内审机构配置高素质的人员,并匹配足够的内审外包资源,丰富内审的手段和工具,保障内审工作的有效性和全面性。

三、结语

证券公司本质上是经营和管理风险的组织机构,其内控的建立旨在加强信任,提升效率,防控风险,促进经营目标实现。2020年后,证券行业进一步提出向以客户为中心转型,围绕核心客户、核心资产实现业务协同、高质量服务。这就要求公司着眼于内控蓄势蓄能的基本特性,持续评价内部控制有效性,不断提升内控效率和效果;这就要求公司重视内控与内审之间的耦合性和一致性,在平衡收益和成本之间,把握创新和风险之间,逐层逐级梳理内控体系、制度、流程和标准;要求公司重视内审工作,将内审职能建设作为维护内控体系有效性的重要基础,防患风险与未然,为公司战略发展保驾护航,助力业务腾飞积聚能量,制胜未来。

喜欢此内容的人还喜欢

原标题:《证券公司内部审计与内部控制的关系思考》