所在位置:首页 > 文库 > 制度
证券公司内部审计与内控机制建设
2022年09月08日

引言:“十四五”规划对内部审计和内部控制发展提出了新要求和新使命。在新发展阶段,证券公司作为我国资本市场的主要参与者之一,肩负着为新发展格局提供高效金融服务的重要使命。目前,证券公司发展环境面临深刻复杂变化,资本市场对证券违法违规行为零容忍。这就要求证券公司要树立新发展理念,充分做好业务发展与风险控制的平衡,加强内控机制建设,防范化解金融风险,促进证券公司高质量发展,更好地服务经济社会发展大局。证券公司内部审计和内部控制的发展演变相互交织、相互协同促进,最终目标一致。如何让证券公司内部审计更好地促进内控机制建设是值得内审人员思考研究的重要课题。本文以兴业证券在推进内控机制建设、优化内部审计管理体系、运用信息化手段实施增值型内部审计方面的具体实践为例,探讨证券公司内部审计与内控机制建设的新思路。

一、证券公司内部审计和内部控制发展历程、面临的挑战

(一)内部审计、内部控制发展历程

      内部审计和内部控制相伴而生,彼此间的发展演变是密切交织的。

      1.内部审计发展历程。纵观国际内部审计师协会(IIA)对内部审计定义的演变,内部审计发展阶段大致分为如下四个阶段(见图1)。

图1.内部审计发展历程

 

图片

 

      资料来源:根据《企业内部审计绩效研究》整理

      2013年以来,中国内部审计协会对2003—2011年发布的内部审计准则体系进行修订。2018年,《审计署关于内部审计工作的规定》(审计署令第11号)修订出台。修订后的内部审计定义已与IIA的内部审计最新定义接轨。

      2.内部控制发展历程。回顾内部控制理论发展,内部控制大体上经历了如下五个阶段(见图2)。

图2.内部控制发展历程

 

图片

 

      资料来源:根据《CEO内部控制:基业长青的奠基石》整理

      在借鉴COSO《内部控制—整合框架》《企业风险管理—整合框架》的基础上,结合我国实际,财政部等五部委于2008年出台《企业内部控制基本规范》,2010年出台《企业内部控制配套指引》。

      3.证券公司内部审计和内部控制纲领演化历程。纵观国内证券公司内审及内控相关纲领性文件的设计历程(见图3),目前证券公司内部审计指引尚未出台,证券公司现行有效内部控制指引为2003年修订版。此外,证监会自2019年以来将《证券基金经营机构内部控制管理办法》列入立法计划,《中国证券业协会专业委员会2021年工作重点》将研究制定证券公司内部审计相关制度列入财务会计委员会工作重点。

(二)证券公司内部审计与内部控制发展面临的挑战

      1.内控机制不完善,难以有效促进经营目标实现。

      (1)内部环境失调。内部环境是企业建立与实施内部控制的基础,影响着企业内部控制的方方面面,在内部控制建设与实施中发挥着基础性作用。没有有效的内部环境,就无法形成有效的内部控制。调研和实践发现,不少证券公司存在内部环境失调的情况。

      ①内部控制管理职能部门不明确。根据证券行业调研情况,部分券商由合规或风控部门作为内控管理职能部门,但更有不少券商并未指定专门的内控管理职能部门。内部控制管理职能部门不明确,从侧面印证了企业并未真正意识到内部控制的不可或缺性,削弱了内部控制的定位,影响了内部控制的实施。

      ②内控战略驱动力缺位。在中国现行经济体制下,政府的政策导向指引了证券公司内部控制建设的发展方向。证券公司更多从满足披露要求、外部监管要求开展内控建设,较少将内部控制与企业战略、企业变革有机结合,内控尚未成为促进战略实现的核心手段和方法。

图3.我国证券公司内部审计和内部控制纲领演化历程

图片

      资料来源:根据公开资料整理

      ③忽视文化建设。企业文化在企业建立和完善内部控制的过程中发挥着基础性作用,优秀的企业文化能有效带动内部控制有效性的提升。但实际中,不少证券公司对文化建设重视不够,缺乏内在主动性,存在重发展、轻质量、重业务、轻风险的问题。内控要求被逾越,甚至串通舞弊,让内控机制形同虚设,管理问题层出不穷,都与企业文化建设缺失紧密相关。

      (2)风险评估机制不健全。风险评估是内部控制不可或缺的重要一环。虽然近年来证券公司的三道防线都在开展风险评估工作,但对每条业务线的风险情况和控制成效认识水平尚待提升,这就可能导致:一是部分重要风险未被识别、存在重大遗漏。二是对识别风险的重要程度判断不一。三是三道防线掌握的重要风险信息不一、沟通不够充分。四是对重要风险控制成效的认识不一。

      (3)控制活动脱离业务。

      ①内部控制手册应用不足。证券公司在开展内部控制体系建设工作中,总结归纳形成了一系列内控手册,一度成为内控体系建立的重要体现。但随着证券公司业务的快速发展,新业务层出不穷,原有业务也不断推陈出新,内控手册的修订远远跟不上业务的发展速度,已不能适应业务发展的需要,失去了对内部控制操作的指导意义。内控手册是否需要以及如何更新,为什么要更新,是目前证券公司的普遍困惑。

      ②加流程环节控制容易,减流程环节控制不易。控制措施不是固化的、永久性的,需在实施过程中结合风险评估开展情况进行适时增减或变更。当内外部环境发生变化,原有风险点不存在之后,相关的控制也就失去了存在的必要性。但在实际内部控制执行中,流程通常固化,人们往往形成思维定式,认为多审批总比没有审批好,多控制总比没有控制好,宁可多一道控制也不愿意减一道控制,造成内控措施冗长繁杂。

       (4)信息沟通不畅。调研与实践发现,证券公司运营中有效信息的流转不畅。一是同级部门之间没有建立有效的信息共享机制,导致各部门之间可能会出现工作的重复或缺漏;二是上下级之间信息传递链断裂或冗长,对公司决策速度或执行效率造成不良影响。此外,内控信息化的建设水平仍有待提升。如不少证券公司已建立了审计管理系统,对审计全流程进行规范,但建立更为复杂先进的审计分析系统、内控系统的证券公司仍然较少;已建立审计分析系统的,也以分支机构经纪业务为主,对公司其他业务或子公司业务的覆盖不足。

      (5)内部监督机制不健全。一是未建立内部监督制度。未通过制度对各部门特别是对内部审计部门在内部监督中的职权进行明确,也未对内部监督的程序、方法等内容作出要求。二是日常监督不足。不少证券公司主要强调专项监督,对日常监督重视不够,在企业的日常经营管理过程中未能体现监督的常态化。三是未能充分运用风险评估结果。由于不少证券公司缺乏健全有效的风险评估机制,风险评估技术不足,对监督的意义得不到充分体现。

      2.内部审计机制不完善,影响价值增值作用的充分发挥。

      (1)未与公司治理有机结合,独立性和性不高。很多证券公司都在公司治理中设计了内部审计机构向董事会负责并报告工作的机制,但实际工作中未能为内部审计独立、客观开展工作提供必要保障。

      ①内部审计机构地位缺少保障。董事会、公司负责人未直接领导内部审计机构,内部审计地位不高,双方信息沟通不畅。一方面,内部审计缺少强有力的领导支持,公司章程、内部审计基本制度所赋予的内部审计应有的权限在实际工作中受到很大程度限制,内部审计部门不能参加有关的经营管理会议,有关会议材料也很少发送给内部审计机构,无法真正了解和掌握公司的热点、焦点和难点,不能涉及实质性的领域,难以发现公司经营管理中的切实问题并提出有价值的管理建议。另一方面,董事会、主要负责人无法及时、准确获知内部审计信息,听到内部审计的第二种声音,导致审计发现问题和提出的建议不被重视,问题涉及的责任部门之间推诿扯皮,不能从制度机制层面推动问题解决,整改工作难以及时到位,内部审计价值得不到充分认可、作用难以发挥。信息不畅带来的恶性循环,使内部审计越来越边缘化,难以作为公司治理的重要基石发挥应有作用。

      ②内部审计职能错位。现代内部审计职能一般包括确认和咨询,即监督和服务,但现实中往往要求内部审计参与或负责内部控制设计,甚至是经营管理的决策与执行。人们往往听到这样的声音,“内控工作归审计管,内控是审计的事”,“这是审计提的,你们去问审计要怎么做,这样做行不行”。在这种职能部门缺位、内部审计越位的情况下,一方面内部审计部门为避免越俎代庖而在某些问题方面选择失声,管理建议的输出也受到抑制;另一方面对自我参与设计的内部控制开展监督,置身其中,严重影响了审计的独立性。

      ③内部审计绩效评估机制不健全。在考评方式上,证券公司内部审计机构需接受平级部门的满意度评价,在考评内容上,以项目数量为主,未能客观反映内审质效。审计人员的薪酬绩效缺少独立保障,导致内部审计人员在审计实施过程中需要考虑质效以外的其他因素,抑制了内部审计的效果。

      (2)未真正实施风险导向审计,审计增值效果薄弱。目前很多证券公司的风险评估机制还不健全,缺少企业层面的整体风险清单,未能从整体上了解自身风险概况,将很大程度上影响风险导向审计的效果。

      ①年度审计计划难以真正与企业风险融合。在强监管的背景下,证券公司年度审计计划监管导向特征显著,分支机构常规离任、离岗审计通常占用了大部分审计资源,内审部门围绕公司经营管理活动的经济性、效率性和效果性开展的审计较少,未能在审计立项时从源头上考虑审计项目是否符合企业风险管理目标,能否为企业提供更相关和更有价值的监督和服务。

      ②风险评估机制不健全,审计项目实施难以做到风险导向。如图4所示,风险评估对内部审计的影响是持续的、全流程的。只有建立健全有效的风险评估机制,审计项目实施才有风险导向的可能。

图4.风险评估对内部审计全流程的影响

图片

 

      资料来源:兴业证券审计部工作经验总结

二、证券公司内部审计与内部控制新发展的路径研究

      “十四五”规划开启新征程,证券公司内部审计和内部控制应根据“十四五”规划提出的新要求,赋予的新使命,着眼于公司发展战略,积极探索新发展的有效应对思路和应对措施,推动证券公司顺利实施“十四五”时期战略目标,实现高质量发展。

(一)深刻理解内部审计和内部控制相互促进关系

      内部审计与内部控制最终目的一致,都是对风险进行管理、促进公司治理提升,并最终实现公司目标,在实现最终目的的过程中,两者相互促进。一方面,内部控制水平的提升离不开持续有效的内部审计监督,内部审计作为内部控制体系的监督要素,以监督、评价和改善内部控制为自身的基本职责,它是对内部控制的再控制,能够通过发现、解决问题来促进内部控制的发展完善。另一方面,内部控制从内部审计实施的全过程深刻影响着内部审计质效的提升,有效的内部控制能够对被审计单位存在的问题起到预防、发现和纠正作用,为确定内部审计的范围、方法提供重要依据。

(二)充分发挥内部审计和内部控制的协同效应

      内部控制与内部审计相互包含,你中有我,我中有你。从内部控制和内部审计的相互促进关系可以看出,一方的变化发展会同时引起另一方的改变,二者之间存在协同效应。将二者独立开来,或仅简单相加,将难以充分发挥二者作用,甚至会使二者作用大打折扣。将二者重新进行整合,将会产生“1+1>2”的效果。因此,应充分重视内部审计与内部控制的管理协同效应,促进二者良性循环,实现二者作用最大化,形成公司持续的核心竞争力。

(三)健全完善证券公司内部控制体系建设

      证券公司内部控制是证券公司内部审计的对象之一。证券公司内部控制体系的建立健全与有效运行对证券公司内部审计的其他对象提供了保障。证券公司内部审计真正发挥作用,需要一个良好的内部控制体系。

      1.优化内部控制环境。一是培育优良的企业文化。将文化建设的要求以制度的形式嵌入公司的业务流程、内部控制之中,形成具有自身特色的企业文化,促进文化建设在内部各层级的有效沟通,并通过宣传加强全体员工的认同感。二是明确内控职能部门及其职责。证监会已将制订《证券基金经营机构内部控制管理办法》列入立法计划,有望在近期内修订出台证券行业的内部控制办法,推动证券公司明确二道防线中内控管理牵头部门及其职责,避免内控职能交叉或缺失。

      2.健全风险评估机制。通过制度将公司各相关部门在风险评估过程中的责任以及风险评估的全流程明确下来,运用风险矩阵、风险清单等工具开展风险评估,从整体上了解公司自身风险概况。同时,将上述风险管理工具及时传递给相关部门,确保各责任主体准确理解相关的风险信息,及时对风险进行控制。

      3.推动控制措施完善。一是充分发挥内控手册的作用。当风险和经营管理活动发生变化时,内控手册应随之及时更新,快速识别可能新出现的控制缺陷。二是对流程的合理性进行深层次分析,促进业务流程的规范化。内部控制通过组织跨部门的讨论,深入分析公司面临的新情况,识别问题流程环节存在的问题,挖掘产生问题的深层次原因,从整体的角度推动流程整合和优化。

      4.推进信息沟通畅通。顺应大数据时代的潮流,加强业务信息化和内控信息化建设,减少信息在传递环节的损耗。打通部门“墙”,实现非敏感信息的有效共享,避免出现工作的重复或缺漏;优化上下级之间的沟通机制,使管理层能够及时作出有效的管理决策。

      5.完善内部监督机制。建立内部控制监督制度,构建全方位、多层次的大监督体系,涵盖一道防线(业务部门)自我监督、二道防线(合规风险等部门)管理监督、三道防线(审计、监察等部门)独立再监督。各部门需明确自身在监督体系中的定位,发挥自身的专业性,共同推进监督作用的有效发挥。

(四)持续提升证券公司内部审计水平

      证券公司内部审计是内部控制体系的重要组成部分,同时也是内部控制体系建立健全与不断完善的重要途径。内部审计能够评价内部控制的有效性,并为内控改进提供建设性的意见。证券公司有效的内部控制离不开内部审计水平的不断提升。

      1.完善公司治理。中国证券业协会专业委员会已将研究制定证券公司内部审计相关制度列入工作重点。证券业有望在不久的将来,出台类似《商业银行内部审计指引》和《保险机构内部审计工作规范》的证券行业内部审计指引,以更好地推进证券公司发展,完善公司治理,建立独立垂直的内部审计领导体系以确保沟通畅通,明确内部审计职能定位和职责权限,完善内部审计人员履职保障机制,保障内部审计机构和人员独立性,促进内部审计有效履职。

      2.实施风险导向内部审计。实施风险导向内部审计,一是要运用科学的风险评估方法,更好地识别、评估整个公司的各类风险。二是要在制订年度审计计划时,全盘考虑公司各类风险,使审计计划契合公司经营管理需要。三是要在制订单项审计计划时,根据识别评估的固有风险、控制风险、剩余风险、检查风险、审计风险等,设计审计程序、分配审计资源。四是要在审计实施过程中,采取“目标—风险—控制”的路线,将内控手册作为审计实施的依据和标准。五是重视深层原因分析,采取“五问法”等来对问题进行深度分析,挖掘问题背后深层次的原因,提出有价值管理建议。六是要在审计报告阶段,以风险评估为基础提出审计发现和审计建议,以过程为导向出具审计报告。

      3.实施信息化审计策略。内部审计要积极拓展信息技术在内部审计工作中的运用,大力推广信息化审计模式:一是紧跟业务发展与系统建设,多渠道实现对信息的全面获取;二是搭建具备“大数据”处理能力审计平台,实现对审计活动全流程、全方位覆盖;三是强化数据驱动,逐步建立从数据信息出发的审计分析技术,促进内部审计由事后查处与事中控制并重,逐渐向事前预防、事中控制为主转变。

      4.打造新型内部审计专业队伍。内部审计应强力推进审计信息化队伍建设,建设信息技术知识水平和应用能力强、适应信息化审计发展新要求的新型审计队伍。内部审计机构要为内部审计人员提供必要的技能和方法的培训,内部审计人员要有“本领恐慌”的危机感,加强学习,善于研究,既能发现问题,又善于解决问题,发好“第二种声音”。只有做到客观、专业,内部审计才有可能真正做到坚持风险导向,聚焦重点领域,抓住重要问题,防范重大风险,促进公司内控体系不断完善,成为公司高质量发展的重要参与者和守护者。

三、兴业证券内部审计和内部控制建设实践

      兴业证券一直以来高度重视内部审计和内部控制工作,深入分析、深刻理解内部审计和内部控制之间的相互促进关系,坚持系统观念,持续优化升级内部控制规范体系,不断提升内部审计发展质量和效益,大力发挥内部审计和内部控制的管理协同效应。“十四五”规划开局以来,兴业证券内部审计和内部控制更加积极着眼于公司发展战略,努力推动公司顺利实施“十四五”时期战略目标,奋力实现公司高质量发展。

(一)持续完善内控规范体系

      1.围绕集团发展战略,升级内部控制体系。2011年兴业证券参加证监会组织的上市公司内控规范试点建设,建立了涵盖公司各项业务与管理事项的全面、系统的风险控制矩阵,在业内率先完成内部控制规范体系建设。在新的经济金融形势背景下,2018年以来,兴业证券提出了“建设一流证券金融集团”的战略目标和“双轮驱动”发展战略,开展了一系列的改革,包括强化集团协同,推进分公司转型,推动各子公司和总部业务部门归位尽责、聚焦主业、提升专业等,并同步重新梳理升级了从投资银行、财富管理、投资研究、资产管理等各项业务及运营管理、财务管理、金融科技管理等管理事项的集团集中统一穿透管理的内控体系。

      一是在集团范围内开展规章制度全面梳理工作,进一步健全和完善集团规章制度建设体系,并形成了制度长效优化机制。二是统一集团风险偏好,实施分级限额管理,每年发布覆盖集团各单位、各业务条线的集团风险偏好与限额,为业务的发展奠定风险基调。三是完善集团授权管理机制,建立业务、财务及资金使用授权管理体系,每年发布授权书、授权表,并尽可能通过系统固化流程确保授权落地;同时,在业内率先成立投融资业务审批部,加强集团客户授信管理、证券池管理,规范新业务和新产品审批,提升了投融资业务风险管理的穿透力度和覆盖面。四是建设集团业务连续性管理体系,全面提升集团应对突发事件和运营中断事件的效率效果和实战能力,护航公司平稳有序运营。五是深化子公司垂直穿透管理机制建设,在子公司层面设置投融资业务审批、合规风控、审计的部门或岗位,接受集团总部上级部门的指导,同时,将兴业证券风险从二级子公司升格为一级子公司,以确保子公司业务发展与其内控管理能力相匹配。六是强化分公司垂直穿透风险管控,在各分支机构设立合规风控人员,由总部统一管理。七是重构投行组织架构,成立一级内核部门,组建投行质量控制部,推动投行业务风控协同机制建设,形成了质控、内核与承揽、承做完全独立、分属不同的高管相互制衡管理、国内领先的、独立制衡最彻底的投行内控体系。

      2.重视文化引领作用,提升制度执行力度。在新常态、新发展背景下,兴业证券构建了如图5所示的新时代企业文化理念体系,让员工在具有兴证特色的企业文化引领下,在执行规章制度、流程、系统时,知其然并知其所以然,通过统一思想来凝心聚力,最终转化为强有力的执行力。

图5.兴业证券新时代企业文化理念体系

图片

      资料来源:兴业证券公司官网

      3.内审牵头内控评价,推动内控体系完善。兴业证券审计部每年组织实施内部控制评价,通过“定期评价、发现缺陷、整改完善”,促进内部控制体系的持续升级与优化。

      (1)推动到岗位的自我监督评价,实施全方位的体检。兴业证券审计部每年组织各单位根据业务发展变化更新维护风险控制矩阵,重新识别和评估关键风险点与关键控制活动,进行设计有效性和运行有效性测试,发现控制缺陷,落实整改。同时,利用风险控制矩阵发动全员参与其自身为控制对象的自评,促进三道防线各司其职;通过“自下而上”与“自上而下”相结合的方式实施全方位的体检。

      (2)建立集团协同内控评价工作机制,从集团整体角度提出流程优化建议。内控评价工作倡导“业审融合”理念,审计部充分利用内部审计相对独立和自身资源整合的优势,以跨部门评价为切入点,通过组织协同,穿透部门“墙”,从集团整体经营效率、部门协同、流程优化等角度开展评价,获取公司全方位、各业务、各环节的资源,通过研究比对分析,形成独立的结论,提出有价值的管理建议,推动缺陷整改,优化公司经营管理。

(二)着力健全内审管理体系


      1.加强党对内部审计工作领导,提高内部审计独立性和性。2020年兴业证券成立党委审计委员会,研究协调审计的主要事项包括:研究制定内部审计规章制度,审议年度审计计划,听取重大项目审计结果报告,研究讨论审计发现的重大问题及处理意见,检查落实审计报告反映问题的整改和推动审计结果运用,研究审计队伍建设及审计人员履职保障等。党委审计委员会主任委员由集团党委书记担任,委员会下设办公室在审计部,承担党委审计委员会的日常工作。通过董事会审计委员会的指导和党委审计委员会的领导,既强化了领导责任,又畅通了沟通交流机制,实现良性互动,大大提高了兴业证券内部审计的独立性和性。

      2.完善集团内部审计架构,推动集团审计垂直穿透管理。为了推进对集团重大政策措施贯彻落实情况的跟踪,聚焦重点项目审计,兴业证券对内部审计组织架构进行了一系列的优化和调整。一是在集团审计部增设二级机构非现场审计处,强化非现场审计工作,增强审计工作的时效性和覆盖面。二是明确集团审计部处室分工,改变原有根据项目临时组建审计小组的做法,各处室按照总部单位、分支机构和子公司的专业条线进行分工,以提升各团队的专业化水平,力求做深做透重点审计项目。三是强化集团审计对子公司的督导,根据下属子公司具体规模及业务情况,在兴证全球基金、兴证期货和兴证香港三家子公司设立审计部一级部门,其他子公司配备审计岗,向集团审计部报告工作,接受集团审计部指导与监督,强化集团审计对子公司的监督。

(三)实施内审有重点全覆盖

1.统筹安排审计计划,精准确定审计重点。

      (1)科学确立审计项目,合理分配审计资源。围绕“建设一流证券金融集团”战略目标,兴业证券审计部编制了内部审计战略规划,每年制订年度审计计划。在编制年度审计计划时,从公司经营管理需要、公司负责人和被审计对象期望、监管要求等多方面确定审计项目。在评估具体审计项目风险时,综合考虑了公司的战略目标、年度经营目标及经营管理活动重点,对行业、业务有重大影响的政策法规,内部控制和风险管理水平,业务的复杂程度及变化,人员能力及岗位变动等因素。

      为缓解内审工作量持续上升与内审资源紧张有限的矛盾,一方面审计部在评估项目重要性、复杂性的基础上,对审计项目进行分类管理,探索将部分重要性、复杂程度不高但数量多的常规性审计项目外包,将内部审计资源向重要、复杂审计项目倾斜;另一方面制定了《分支机构业务部负责人离任审查指引(试行)》,授权一级分公司成立审查小组,在审计部指导监督下组织开展本分公司下辖业务部负责人的离任审查工作。

      (2)分类编制审计方案,指导项目有序开展。兴业证券审计部对审计方案的编制工作高度重视。一是根据审计项目类型,分类编制审计方案,重点项目不仅需要编制总体审计方案,还要提供详细审计方案,并在审计实施过程中根据需要及时调整。二是认真做好审前调查,确定总体审计目标,根据收集的被审计单位的业务、内控、财务等资料,结合集团审计平台的“体检指标”,对具体审计事项开展风险评估,明确其重大差异或缺陷风险的高、中、低程度,确定审计重点,明细具体审计目标,细化审计程序,明确审计分工,合理安排审计资源。

2.打造精品审计项目,狠抓内控痛点难点。

      (1)推进战略导向审计,推动公司高质量发展。近年来,审计部认真践行“财富管理业务+大机构业务双轮驱动、分公司转型改革、集团协同、聚焦主业、金融科技赋能业务发展、全面风险管理”等集团公司战略导向,在各项审计项目中均将战略执行作为审计重点,突出经营计划执行、各项改革举措落地、授权执行、监管底线执行、信息技术采购、创新业务风险等事关集团重大战略导向执行方面的审计,认真总结推广战略执行先进经验,及时挖掘发现战略落实方面存在的缺陷和偏差,促进问题整改,为公司实现一流金融集团目标保驾护航。

      (2)深化经济责任审计,规范权力运行和责任落实。新形势下,集团对进一步做大做强提出了一系列新的战略要求,各级领导干部如何履职尽责、担当作为也面临新的挑战。近年来,公司审计部扎实开展各项经济责任审计工作,对领导干部落实战略、完成经营目标、三重一大决策、廉洁从业等方面予以重点关注,对审计发现一查到底,对屡查屡犯的从严问责,与此同时,更加注重从体制机制建设方面对被审计单位存在的问题进行分析研究,提出对策建议,治已病防未病,助力从严治司,促进权力规范运行,通过不断完善制度建设、加大问责与考核机制促进领导干部合规高效履职。

      (3)扎实推进安全审计,推动防控重大风险。突出金融衍生产品、风险子公司、呆账核销、金融产品、境外资产管理等高风险领域专项审计,紧盯市场、信用、流动性、操作风险等,关注海外子公司、新产品新业务等领域带来的风险,及时把握风险累计过程及成因,关注集团防范化解重大风险政策措施落实情况,进一步促进集团内部控制完善,将内控施于源头,让风险止于苗头,确保公司各项业务持续、稳定、健康发展。此外,实施公司信息安全审计,关注移动互联网、云计算、大数据、区块链、智能化等数字技术应用对公司信息安全的威胁,确保公司信息可靠、安全。

(四)全力夯实内部审计保障

      为全面履行内部审计职责提供强有力的保障,不断提高内部审计质量、效率和效果,更好地服务新发展格局,兴业证券推动实现内部审计质量控制、信息化审计技术、内部审计成果运用等方面的变革。

1.加强内部审计质量控制。

      兴业证券审计部着力从标准化建设、过程控制、考核评价等方面,构建具有兴业特色的内部审计质量控制体系,实现对内部审计全业务、全流程的科学管理。内部审计标准化建设方面,构建不同层次的内审制度、工作流程和评价标准,建设完善制度库、问题库、信息库。同时,构建由审计新线索提供、系统新需求总结、审计经验推广等方面组成的信息流,为审计人员提供了重要资源共享和信息支持。审计项目质量控制方面,将建立完善的质量控制体系作为防范审计风险的最有效方法之一,形成项目主审、内设处总监、总经理为核心的审计质量控制团队,以审计方案制定为先导、以审计重要底稿为抓手、以审计报告为重点,强化审计全过程的质量控制。审计质量考核评价方面,遵循过程与结果并重、定性与定量结合的原则,围绕审计方案、审计重要底稿、审计报告和综合评价等方面设计考核指标,在对审计项目进行评分的基础上对审计人员进行考核评分,并将考核结果与绩效、晋升、评优相挂钩,充分调动审计人员积极性。

2.实施信息化审计策略。

      (1)建设数据审计平台,以科技手段引领审计效能提升。兴业证券2009年就自主开发了非现场稽核分析系统,并在多年的非现场审计应用中不断改进,成为非现场审计中的重要手段。为落实集团审计工作专题会议提出的“加强信息系统建设,强化非现场审计”的要求,在新形势下进一步推进大数据审计工作,兴业证券2018年完成集团审计平台上线,并持续推进对集团本部各业务条线的覆盖和优化,稳步推进集团所属子公司非现场监测要点的建设。集团审计平台包含40多个数据源,包括集中交易系统、恒生内控平台、合规管理、OA系统等多个集团总部系统,兴证期货和兴证资管反洗钱管理等子公司系统数据,并引入Wind、聚源等外部资讯数据。集团审计平台包括合规管理、风险管理、财务管理、人力资源管理、办公OA管理、业务管理(包括经纪业务、信用业务、大投行业务)六大模块,实现了非现场审计监测、审计管理和审计分析三大功能。

      (2)构建大数据审计工作模式,推进数智化审计转型。审计部设立非现场审计处,由审计经验丰富和IT审计背景的审计人员组建成立“业务+数据”融合的数据分析团队,将大数据思维嵌入审计理念与方法之中,从传统的“抽样审计”向“全量审计”转变;依托集团审计平台进行数据化审计,在大数据分析的“广撒网”基础上,开展持续审计,进行“精准打击”,力求对风险早判先知,既“查病”,更“治已病”“防未病”。通过全面掌握信息,合理运用技术,在满足监管要求的基础上,有针对性地识别和评估创新业务的风险,加强对子公司和各分支机构的管控监督,实现审计关口前移、审计范围全覆盖。同时,以持续审计中的审计发现作为审计项目立项参考,促进审计项目更具针对性、时效性。

3.强化内部审计成果运用。

      兴业证券坚持协同观念,多措并举,强化内部审计成果运用。一是加强整改跟踪。建立多层次的审计发现问题整改跟踪机制,通过发文的形式要求被审计单位限时提交整改报告及整改材料,并由主审负责首次整改跟踪工作,非现场审计处负责后续整改跟踪工作。二是推动普遍性及典型问题整改。充分运用标准化问题库构建成果,梳理审计发现中各单位存在的普遍性及典型性问题,协同相关部门优化解决,促进公司管理水平提升。三是采取联席专题会议形式厘清管理边界问题。针对审计发现中存在职责不清、推诿扯皮的问题,审计部组织相关单位召开联席专题会议,通过敞开式的问题解决机制,推进问题解决。四是加强汇报管理。编制季度审计简报,及时将集团审计工作情况以及审计发现情况向公司领导汇报,有效掌握公司内部控制现状全貌。五是加大审计发现在考评工作中的应用程度。出台《审计发现问题及整改考核办法》,明确了将依据审计发现的重要程度以及整改及时性对被审计单位进行适当的考核扣分。六是强化审计问责。根据《兴业证券集团员工违规失职问责管理办法》,对于审计发现的重要缺陷、重大缺陷,以及整改不力或屡查屡犯的问题,开展权限范围内的集团员工违规失职问责工作,并指导、监督集团各单位开展员工违规失职问责工作。

 

四、证券公司内部审计与内部控制建设发展趋势与展望

      新的时代对证券公司内部审计与内部控制提出了新的要求,赋予新的使命。证券公司内部审计和内部控制不仅要把握现实的迫切需要,也要做到着眼于未来。

      进入数字经济时代,证券行业数字化转型不断加速。近年来,证券公司在各业务和管理领域提出了数智化转型,打造证券公司数智化内控体系,实施内部审计数智化转型,推动内审、内控与业务超融合发展,已势在必行。

      1.深化数智化内控体系建设。证券公司应充分运用信息科技手段提升内部控制的能力,要以运维大数据、智能自动操作、统一监控等为抓手升级内控体系,推动内控数智化转型,与业务超融合,更好地提升公司价值。一是强化事前风险管控,系统自动识别业务风险。二是加强事中内控能力,流程与业务系统关联,实现流程可视化,实时预警风险,系统实现风险评估,自动出具风险评估报告。三是强化事后监督,根据业务开展情况,系统实现内部控制评价,自动开展内控测试、识别缺陷、出具内部控制评价报告。

      2.推动内部审计数智化转型。数字经济时代,审计技术正从审计数字化向审计数智化推进,与此并行的是风险导向审计。证券公司内部审计应充分利用智能审计系统,将公司的数据与重大风险领域的审计经验相结合,实施风险导向数智化审计转型,推进业审融合,更好地服务公司战略。一是风险评估自动化。业务、内控数智化将推动内部审计从计划、实施、报告等全过程自动识别风险信号。二是审计计划实时化。自动和实时的风险评估、预测分析和人工智能将推动年度审计计划演变为实时计划,内部审计更侧重于战略风险,常规遵循性审计可交由审计机器人完成。三是审计过程持续化。内部审计能够实时访问系统,获取所需信息,持续监测重要风险,有效抓住工作重点领域,深入了解问题产生的根本原因,提供更有效、持续的审计服务。四是审计结果共享化。内部审计与管理层全程合作,密切沟通,共享数据、信息和经验教训,通过知识共享平台的持续沟通将取代正式的审计报告。

(二)合规、内控、风控融合一体化

      2001年证监会出台《证券公司内部控制指引》并于2003年修订;2008年证监会出台《证券公司合规管理试行规定》,2017年证监会修订颁布《证券公司和证券投资基金管理公司合规管理办法》,相应配套的《证券公司合规管理实施指引》也随后出台;2014年证券业协会发布《证券公司全面风险管理规范》并于2016年修订。在过去的20年,先后出台的内控、合规、风险三套体系在证券公司应用推广,对证券公司防控化解重大风险,维护合法合规经营提供了监管依据,夯实了证券公司的基础管理。但在具体实践中也出现一系列亟须关注和研究解决的问题,包括内控、合规、风险概念、内涵、边界不清;三套体系各行其道、壁垒森严;体系成果浮于表面等。

      2019年,国务院国资委先后印发了《关于加强中央企业内部控制体系建设与监督工作的实施意见》和《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》,明确提出内控、合规、风险管理体系的整合要求,要求各中央企业要以“强内控、防风险、促合规”为融合的目标,建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,即以“内控”作为统一的体系,将全面风险管理及合规管理的内容融入其中。证券公司也迫切需要监管机构对内控、合规、风险管理体系的关系作出厘清和调整,促进管理手段和工具升级。

结语

      相信在党和政府的高度重视下,在监管机构支持引导下,各证券公司将会更加重视内部审计和内部控制在企业经营管理中的作用,内部审计和内部控制创造价值将会由愿景变成现实,让证券公司内部审计在金融风险防控、公司治理和风险管理、内部控制等方面发挥其应有的作用,让内部控制能够真正为公司创造价值。


本文来源:综合互联网 CIA内审师

来源: ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K