《证券公司内部控制体系的建立与完善—以招商证券为例招商证券邓晓力博士》由会员分享,可在线阅读,更多相关《证券公司内部控制体系的建立与完善—以招商证券为例招商证券邓晓力博士(41页珍藏版)》请在金锄头文库上搜索。
1、证券公司内部控制体系证券公司内部控制体系的建立与完善的建立与完善 以招商证券为例以招商证券为例招商证券招商证券 邓晓力博士邓晓力博士二二00四年十一月四年十一月引言: 内部控制的定位第一部分:内部控制环境第二部分:风险的评估第三部分:风险控制活动第四部分:信息沟通第五部分:监督引言:内部控制的定位引言:内部控制的定位 内部控制的定位(一)内部控制的定位(一)1.什么是内部控制; 根据COSO委员会1994修改的内部控制整体框架定义:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2.内部控制的目标;合规经营
2、;资产安全;提高效益;信息真实;内部控制的定位(二)内部控制的定位(二)3.内部控制与风险控制的关系;内控与风控相辅相成,没有严密的内控风险是难以控制的;风险的控制必须通过严密的内控体系实现;内控更注重制度、流程、组织架构、岗位职责的划分;风控更注重风险的评估、控制;4.内部控制做不到的事情;保证企业可以成功;内控失效经常来自于:A、最高决策层,B、恶意欺诈;第一部分:内部控制环境第一部分:内部控制环境 内部控制组织架构内部控制组织架构 建立内控组织架构的关键因素是:健全管理机构、厘清管理权责。科学、合理的组织架构能促进公司管理规则和决策程序的高度民主、透明,形成科学合理的决策、执行和监督机制
3、。公司治理结构公司治理结构1.确立董事会在内部控制框架构建中的核心地位 严格按照公司法、证券公司治理准则(试行)及证券公司内部控制指引等法律法规的要求,建立健全董事会领导下的总裁负责制的法人治理结构,明确董事会、监事会的职权范围、聘任程序。确立董事会在内部控制框架构建中的核心地位。2.保证公司人员独立、资产完整和财务独立 公司与控股股东在人员、资产、财务上彻底分开,保证了公司人员独立、资产完整和财务独立,公司资产不存在被具有实际控制权的自然人、法人或其他组织及其关联人占用的情况,公司不存在内部人控制或大股东直接干预公司日常经营的现象。3.股东会、董事会及监事会职责明确 公司股东会、董事会及监事
4、会职责明确,充分履行各自的职权,确保了公司各项规章制度的贯彻执行。风险管理体系风险管理体系1.风险控制委员会为最高决策机构的风控体系 通过制定和实施一系列的风险管理制度和业务流程,形成以风险控制委员会为核心,涵盖事前预防、事中监控、事后稽查三道防线的风险管理体系;风险控制委员会,作为公司最高风险控制机构,对重大事项决策,负责整个公司的风险控制。风险管理部,直接向总裁汇报工作,并接受风险控制委员会的领导,是风险控制委员会的执行工作机构,负责公司日常风险的评估和控制。 业务授权管理业务授权管理 授权管理是实行一级法人体制,强化管理和内部控制的一个重要环节。授权管理体系要在防范化解风险的前提下,最大
5、限度地提高决策办事效率,使授权管理成为促进快速健康发展、优化资源配置的有力手段。 业务授权需要遵循以下原则:1.在法定经营范围内,对各业务部门和分支机构实行逐级有限授权;2.授权采取书面形式,其授权内容以授权书予以确定,并经授权人、被授权人盖章签字后生效;3.根据各业务部门和分支机构的经营管理水平、风险控制能力、资产质量状况、主要负责人的信用和业绩及所在地区经济发展水平、金融风险状况等,实行区别和弹性授权;4.根据各业务部门和分支机构的经营管理业绩、风险状况、授权制度执行情况,及时调整授权。 员工道德规范和行为准则员工道德规范和行为准则 员工的道德水准和价值观念是内部控制环境的重要因素,内部控
6、制架构要考虑员工道德水准和价值观念。越来越多的公司将道德规范和行为准则的建设直接纳入内部控制架构。1.员工违反规章制度行为处理办法 制定员工违反规章制度行为处理办法 ,作为公司的内部大法,有效的确保各项规章制度的贯彻实施,强化内部管理,防范金融风险,促进各项业务健康发展;2.员工守则 制定员工守则,针对各岗位的特点建立起具有操作性的行为规范与准则体系,规范员工职业行为,培养健康向上的工作观,提高员工的综合素质,加强公司内部控制;第二部分:风险的评估第二部分:风险的评估 市场风险的评估(一)市场风险的评估(一)1.市场风险评估的5个步骤收集全部交易记录;汇总交易记录形成一个与交易类似的资产组合;
7、把资产组合分解成潜在的市场风险因素,这要求把每个投资对象都分解成纯风险成分;为分解后的资产组合定价,并测算出收益;通过运用一套模拟的市场价格和利率,对资产组合重新定价来进行风险测量。 市场风险的评估(二)市场风险的评估(二)2.建立以VAR为核心的定量市场风险评估体系随着市场风险的增加,投资品种复杂度的提高,证券公司市场风险的管理要求更具前瞻性的VAR技术,通过VAR模型进行风险度量,然后判断或有损失,从而进行风险管理、组合调整。 开发基于VAR模型的市场风险管理系统,将自营和资产管理的所有账号列入监测范围,对公司自营业务和资产管理业务的证券持仓、盈亏状况、风险状况和交易活动进行有效监控,定期
8、对自营和资产管理业务进行压力测试和情景分析。建立投资业务的市场风险授权体系,从投资规模、市场风险(VAR值)、集中度、流动性四个角度进行授权,并通过制度政策的形式予以落实,以确保市场风险控制在公司可承受范围内。风险分配:除了确定品种、行业方面的资金配置,还须进行风险的分配。市场风险的评估(三)市场风险的评估(三)3.利用VAR模型控制市场风险利用VAR对投资组合风险进行实时监控;利用VAR衡量、确定新的投资策略;利用VAR衡量风险调整后的回报表现;操作风险的评估(一)操作风险的评估(一)1.确定操作风险评估的范围和目标 结合公司经营策略、风险偏好为操作风险管理制定明确的范围和目标。另外,还要制
9、定一些具体、短期的目标,以保证操作风险管理工作朝既定目标发展。这些短期目标可以是:准确地定义一些重要的损失事件并为其命名,这样可以保证在以后的管理工作中更方便地讨论、分析这些风险;建立一个损失事件日志,为建立定量分析操作风险的模型积累数据;建立统计模型分析特定损失事件的成因以及它们之间的联系;进行基于风险的资源配置以及情景分析;建立一个专门的操作风险管理组织,给予其充分的授权和资源支持,所有的规定、决议、模型应当以文本模式记录下来,并且保证相关人员可以方便地获得;操作风险的评估(二)操作风险的评估(二)2.确定重要的操作风险操作风险管理的失败在很多情况下是由于包括的内容太广泛,因此在确定的时候
10、需要严格按照高层制定的精确的目标;必须对经营中重要的过程和资源有清楚的了解,然后再试图找出可能影响它们的操作风险;查找风险因素一方面可以直接向部门经理调查,另一方面可以通过研究企业内部、外部的损失数据,与行业内运行较好的企业进行比较;应当确定存在哪些重要的损失事件;操作风险的评估(三)操作风险的评估(三)3.操作风险的评估用来评估损失事件的频率以及严重程度的有三类方法:I.历史数据分析II.主观风险评价III.根据依赖关系对风险进行评估更进一步,可以使用统计方法来评估风险因素的频率以及损失程度的分布函数。常用的分布函数有三类:经验分布、形状分布、参数分布;最后建立一个操作风险数据库存储对于损失
11、事件的确认和度量结果,以供后面的风险分析和资源分配使用。 承销风险的评估(一)承销风险的评估(一) 承销项目风险评估体系分为:项目质量的评估,发行方式、价格、时机的评估; 1.项目质量的评估管理能力指标I.管理层指标(包括:公司董事、监事、高级管理人员、技术负责人、核心技术人员及核心业务人员的年龄、学历、主要业务经历曾经担任的重要职务及任期、在公司担任的现任职务);II.公司治理结构指标(包括:是否设有独立董事,章程中是否建立完善的工作制度,重大经营决策程序与规则,风险控制机构设置、制度设计情况,注册会计师出具的内控评价等);III.公司发展战略能力指标(包括:准备实施的长期投资项目,历次筹资
12、情况,未来两年的发展计划等);承销风险的评估(二)承销风险的评估(二)财务会计信息指标I.财务说明与分析指标(包括:会计制度和会计政策,财务管理机构设置,税收政策,对近三年财务状况和经营情况变化,最近一期利润的形成情况,近三年现金流量情况,盈利预测,近三年报表附注事项)II.财务比率指标(包括:内部流动性指标,业务运作执行效率指标,盈利能力指标,财务风险指标,成长分析指标,市场价格指标等)产品生产及销售指标I.行业发展趋势及公司所处地位II.产品开发能力III.销售及客户情况承销风险的评估(三)承销风险的评估(三)2.发行方式、价格、时机的评估在项目立项阶段,在此阶段的承销协议中不能限定发行底
13、价,只能确定市场定价的原则和发行方式;在内核阶段,制作“定价分析报告” 拟定发行价格区间,报内核委员会;可根据需要向研究发展中心二级市场及行业分析专家、证券投资部投资分析专家等进行咨询;在风险管理审核阶段,独立对项目进行价值评估,对投资银行部提供的发行区间进行审核,出具评估审核意见;第三部分:风险控制活动第三部分:风险控制活动 客户资金安全性的风险及管理(一)客户资金安全性的风险及管理(一)1.业务经营风险留存营业部的30客户交易结算资金,被营业部非法提取、挪用、抵押的风险;营业部违规、虚假办理客户资金存取、内转等资金转移业务的风险;上调到总部清算中心的70客户交易结算资金,被总部挪用或出现调
14、拨差错的风险;客户资金安全性的风险及管理(二)客户资金安全性的风险及管理(二)2.风险控制措施公司总部不定期对营业部留存的30%客户交易结算资金进行95上调的压力测试;公司总部通过向存管账户开户银行发询证函,确认营业部留存的银行存款没有被非法提取、挪用、抵押的风险;公司总部建立客户保证金独立存管监督系统,定期检测银行、财务、柜台的客户资金数据,保持相关数据一致性;公司总部负责每日监控大额(譬如,500万元)客户取款,逐笔事后审核其手续完备性;在适当的条件下,公司总部逐步实施对大额(500万元)客户存取款的事前审批,把对大额客户资金进出的风险控制由事后提高到事前进行;公司监督检查部门对总部清算中
15、心的工作定期或不定期进行检查,规避资金被挪用的风险。国债回购业务的风险及管理(一)国债回购业务的风险及管理(一)1.业务经营风险客户通过国债回购,恶性套做放大国债持有量,一旦国债价格较大下跌,折算比率下调,就可能造成欠库,带来风险;客户将国债回购所得资金转出资金账户,到期没有转回,造成抵押债券平仓后,所得资金不能弥补回购额的风险;由于国债回购实行主席位清算制,因此可能出现非法挪用客户债券回购的行为,所带来的风险;国债回购业务的风险及管理(二)国债回购业务的风险及管理(二)2.风险控制措施公司制定详细的国债业务规程,要求客户回购的现券及标准券必须是客户账户上现券及标准券,严禁未经客户同意擅自将客
16、户账户进行回购登记,严禁挪用客户债券进行融资;公司总部建立国债回购到代码卡层面的三级明细账,独立监督检查部门对公司每笔国债回购业务每日进行监控;限制国债回购融入的资金转出资金帐户,限制帐户办理撤消指定交易、转托管等证券转移行为;取消营业部的证券调整业务权限,交由总部柜员操作,避免非法挪用客户债券进行回购,侵占客户资产的行为;禁止为客户做放大超过3倍的国债套做,防范因国债价格下跌,造成欠库;国债融资回购只允许通过柜员人工操作,取消自助操作功能,防止客户自助操作套做国债放大超过3倍的行为;委托理财业务的风险及管理(一)委托理财业务的风险及管理(一)1.业务经营风险委托理财业务中因历史原因存在的保本
17、、保息业务带来的风险;委托理财业务中客户委托资产被违规非法挪用、侵占等委托资产丧失安全性的风险;委托理财投资管理过程存在的市场风险、流动性风险、投资决策风险、越权风险、交易风险、人员道德风险等;委托理财业务的风险及管理(二)委托理财业务的风险及管理(二)2.风险控制措施公司严格禁止新签、续签保本保息委托理财业务;对历史遗留的帐外委托理财业务制定明确的处理方案;与未到期客户商量,提前结束委托理财;如客户不同意提前结束,则到期按合同结算;在客户委托资产安全性的风险控制方面,规定公司对委托理财账户只有交易操作权,委托资产的提取、划拨、资产转移等权力仍归委托人所有;但委托人办理资产转移须经过公司资产管
18、理部、财务部的审核同意;建立公司总部财务部负责对委托理财合同结算进行审核的风险控制流程,防范结算差错风险;委托理财业务的风险及管理(三)委托理财业务的风险及管理(三)2.风险控制措施(续)建立一整套科学严密的委托理财投资管理运作机制;I.公司风险控制委员会负责审议公司委托理财业务的品种、每个品种的规模以及重要业务合同条款;II.独立的风险管理部,建立量化的风险监控系统,负责交易监督、全程风险监控、投资限制、风险提示等一系列风险控制制度的实施;III.实行大额投资的书面报告制度。对超过一定限额的投资,要在调研的基础上出具书面投资价值分析报告并备案;IV.规范交易行为,严格按照国家有关监管部门的规
19、定执行,坚决杜绝对倒、虚买虚卖等违规操纵市场行为;V.加强对受托理财账户盈亏情况的监控,根据市场情况变化调整投资策略,实现受托理财资产的保值增值;VI.公司对各投资经理所管理的相对独立的受托资金盈亏进行定期监控,在必要时提醒有关投资人员控制风险;第四部分:信息沟通与反馈第四部分:信息沟通与反馈 风险报表制度风险报表制度风险报表制度 风险报表区别于财务报表,是在业务收支情况外,对各业务在经营时承担的风险情况的信息反馈; 风险报表制度指各业务部门及分支机构将经营管理中出现的关键风险信息,以定期的风险报表形式逐级上报的制度;l公司集中设计系统的风险报表体系,汇集经纪、投行、自营、资产管理、清算、信息
20、系统、财务、人事等内部风险信息。要求按照规定格式、及填报流程进行填报。l风险管理部门分析提取风险报表中的重要风险信息供总裁、风险控制委员会及各级管理部门参考,为决策提供依据;l通过风险表表,能将潜在风险暴露和及时反馈到相关管理部门。根据风险调整后的收益,更有效、合理地评估绩效。风险报告体系(一)风险报告体系(一)风险报告体系: 风险报告作为风险信息、评估结果的沟通、反馈的核心载体,在风险管理工作中有非常重要的地位。 风险报告的类型包括:风险评估月报、专项风险评估报告、风险评估季报等多种形式;1.风险评估月报: 目的在于每月检讨公司风险控制情况,及时采取事前预防、事中监控及事后处理的措施,促进公
21、司各业务和各分支机构安全稳健地持续经营。 风险管理部门每月接收相关部门填报的风险报表,在一定时间内完成对报表的分析工作,形成月度风险评估报告,并将风险评估月报送至公司领导及风险控制委员会。风险报告制度(二)风险报告制度(二)风险报告体系(续)l专项风险评估报告: 由风险管理部门根据行业、市场的发展变化,针对业务创新、特殊业务经营等类似专项内容进行调查、分析,形成专项风险评估报告;针对性的加强公司某点或某些点的风险管理;3.风险评估季报: 由风险管理部门每季度在分析各业务风险状况的基础上撰写,找出存在的风险点,提出针对性建议,并提交风险控制委员会审议。 在风险控制委员会审议风险评估季报做出决策后
22、,风险管理部积极跟踪和落实有关决议的执行情况。内控简报体系内控简报体系内控简报体系: 1.公司建立内控简报体系,将经过适当简化的各类风险报告,向全体员工进行公示;2.通过内控简报体系的建立,可以在公司范围内传递风险信息,实现风险信息在全公司范围内的沟通与反馈;3.通过内控简报体系的建立,又实现了对全体员工持续进行内部控制、诚信及道德价值观教育的目的;4.内控简报形式可以包括:风险管理简报、稽核简报、监管快报等多种形式;危机处理制度危机处理制度1.清晰的危机处理范围 危机事件是指导致公司出现危机的事件,它具有突发性、破坏性、不确定性、紧迫性、信息不充分等特点。危机事件的界定标准包括事件的性质、事
23、件发生的可能性、事件可能造成的影响、以及影响的范围和造成的损失大小等。 2.明确的危机上报程序 迅速将危机信息向公司管理层报告,并根据公司授权,采取阻止或延迟危机爆发、减少危机损失的预防措施;3.合适的危机处理程序 迅速组建危机处理小组;评估危机事件并制定行动策略;迅速通知相关部门和人员;采取应急措施;建立后勤保障系统 ;建立信息沟通渠道 ;与社会公众、媒体和利益相关者进行沟通;与公司员工建立沟通渠道 ;采取措施避免法律诉讼;第五部分:监督第五部分:监督 多层次的监控体系(一)多层次的监控体系(一)1.集中的监控平台公司总部集中各营业部的数据,在此基础上,建立健全多层次的统一风险监控平台,实现
24、了以公司总部集中数据中心为数据平台的总部集中风险监控平台。公司经纪业务部、风险管理部、稽核监察部、清算中心等部门通过集中监控平台的权限分配,实现多层次的立体式监控体系。对证券营业部资金划转、证券转移、交易活动进行实时监控,对异常资金流转、异常证券转移、异常交易及违规行为进行预警。 多层次的监控体系(二)多层次的监控体系(二)2.多层次的监控体系第一层次:独立的风险管理部门集中监控,负责对全部指标的重点监控。独立的风险管理部门还负责将部分监控指标分配到相关管理部门监控,并对各管理部门负责监控指标信号的异常处理结果、处理质量进行重点检查,提高监控质量;第二层次:除了独立风险控制部门的集中监控外,由
25、各管理部门根据职能区分,对分解到自身的监控指标,从业务管理层面发挥各部专长,负责对资金划转、证券转移、交易活动进行实时监控、异常预警;业务联合检查业务联合检查 证券公司应推进以联合形式开展的业务检查。以重点风险客户为对象,将挪用客户资金及资产、非法融入融出资金等舞弊行为,作为检查的重点,防范出现重大风险。l公司总部经纪业务部、财务部、信息技术中心、风险管理部等管理部门,定期及不定期对营业部进行规范化经营的业务联合检查,从财务、业务经营、风险控制等方面进行深入检查;l业务联合大检查以重点风险客户为对象,将挪用客户交易结算资金及其他客户资产、非法融入融出资金等舞弊行为,作为检查的重点,防范出现重大
26、风险;l检查方法包括:对按照一定风险指标筛选出的风险客户进行检查,对营业部会计规范化,固定资产、预算费用、经纪人、佣金费率、业务专用章等方面的管理进行检查;内部审计机构的设置及定位内部审计机构的设置及定位内部审计机构的设置及定位1.内部审计机构的对公司及所属分支机构的财务收支、预算内和预算外资金的管理和使用、固定资产投资项目、及经营管理和效益情况等进行稽核,对公司部门及所属分支机构负责人进行任期及离任稽核;2.各公司对内部审计机构的设置情况不一,但内部审计机构应包括:审计委员会、稽核部两个机构;3.证券公司应同时设立审计委员会与稽核部,其中审计委员会对董事会负责,稽核部对公司总裁负责。同时两者存在业务指导关系;谢谢 谢!谢!
