内部控制的理论发展和三大目标

内部控制的理论发展和三大目标 第一部分 内部控制的理论发展和三大目标 案例回顾----大和银行弊案 时间: 1995年7月13日 地点: 日本大和银行纽约分行 人物: 井口俊英 事件: 在11年内伪造3万多笔的交易记录，隐藏近11亿美元的亏损 原因与影响: 井口身兼二职，既做交易，又监督自己，导致弊案隐藏11年之久 一、内部控制的理论发展 内部控制的概念经过 “部分控制论”向“全部控制论”的发展。 “部分控制论”认为内控包括经济业务的有关内部会计控制和内部审计两部分。现在看来，这种认识的缺陷是，内控只与资产管理有关，而与行政、业务管理无关。 “全部控制论”克服了这个缺陷，认为控制内容应超越会计和财务范围，渗透到经营的各个方面和管理的全过程。内控目的也不仅是为了保护单位的财产、会计记录的准确可靠、财务信息的及时可靠，更重要的是执行管理政策，提高经营效益和效率。 美国“反虚假财务报告委员会”下属的组织 “发起人组织委员会(COSO)”发布报告《内部控制一体化框架》，简称COSO报告，奠定了现代内部控制理论基础。 1996年美国注册会计师协会发布《审计准则公告第78号》，全面接受COSO报告的内容，加拿大，英国，南非，法国等国内部控制框架均以COSO的报告为模本，COSO报告成为现代内部控制理论和实践的基石。 巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也以COSO报告为基础。 我国的《内部会计控制规范》、《证券公司内部控制指引》、《关于加强证券公司营业部内部控制若干措施的意见》也是以COSO报告为基础制定的。 二、内部控制的三大目标 建立有效的内控机制首先要理解内控的目的。不同部门的人从不同的角度对内控会有不同的看法，现代内控理论试图提出能被普遍接受的内控定义，以便满足不同单位的需要。美国审计权威机构COSO的定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为了实现下面三大目标而提供合理的保证。 （1）经营的效果和效率 （2）财会报告的可靠性 （3）对现行法规的遵守 巴塞尔银行监管委员会参照各国的有关理论，在内控定义中进一步强调董事会和高级管理层对内控的影响，强调组织中的所有各级人员都必须参加内控过程，对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动；在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可靠性、完整性和及时性。 内控的三大目标满足不同的需要，又相互交叉。在操作性目标中，经营的“效果”是根据实际产出与预期 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 的产出比较而言的；经营的“效率”是根据实际产出与实际投入比较而言的。此外，公司不能为实现经营性目而不遵从法规，也不能为实现合规性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。 三、内控机制的作用 内部控制是为了实现经营目标而形成的一种内部自我协调和制约的控制系统，是一种全面控制的机制。内部控制作为控制风险和经营管理的基础，对于达到既定目标和维持良好的财务状况至关重要，但由于历史原因和外部的诸多不确定因素，我国目前企业的内控建设仍存在许多问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，如何健全和完善内部控制是亟待解决的问题。 在证券市场的发展过程中，营业部经营模式和组织结构的每次改革都伴随着一定的风险，如果忽视控制方式的跟进和强化，就会使证券公司的改革同营业部的控制机制相脱离，不仅无法实现改革的初衷，还可能陷入管理上的混乱。对于营业部的管理，仅依靠宏观上的效益和风险方面考核还不够，微观上更不能以考核取代控制，而是必须建立有效的内部控制。 第二部分 内部控制的五大要素 一、五大要素的内容 现代内控理论赋予了内控广泛的职能，把内控置于很高的层面上，从而强化了内控的作用。COSO报告认为内部控制涵盖了控制环境、风险评估、控制活动、信息与交流和监督评审五大组成部分的丰富内容。 1、控制环境 控制环境是推动控制工作的发动机，是所有其他内控组成部分的基础。它奠定组织的作风、纪律和结构，并且涉及到所有活动的核心——人，特别是人的控制觉悟，还反映了企业的各级管理层对内控的要求。控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。关键是管理层要充分说明内控的完整性；公司要有积极的控制环境，使整个组织中的员工具有控制觉悟和自觉的控制态度，特别是高级管理层要积极地进行控制；员工的能力与其责任要相匹配等方面。 2、风险评估 风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种实质风险。这种评估应包括企业所面对的全部风险（如市场风险、经营风险、法律风险和声誉风险）。对于任何新的或过去不加控制的风险，需要不时调整内控，以便恰当地处理。 3、控制活动 控制活动是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性（尤其是对信息系统的控制）等等。控制活动是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构，明确定义各经营级别的控制活动。这些活动应当包括高层审查；对不同部门活动的适当控制；防火墙控制；检查对敞口限额的遵从情况；对违规经营的跟进情况;批准和授权制度；查证核实与对帐制度。有效的内控系统还要适当分离职责，人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方，并遵从谨慎的和独立的监督评审。 4、信息与交流 信息与交流存在于所有经营管理活动中，信息是指为开展经营、从事管理和进行控制等活动所需要，使员工得以搜集和交换的信息，包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理，一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息，这些信息应当可靠、及时、可获，并能以前后一致的形式规范地提供使用。在交流方面也要注意内部和外部信息的交流渠道和方式，不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理，应当把有关实质性的内控缺陷报告给高级管理层。在信息技术的发展中注意控制信息系统，有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动，这些系统，包括那些以某种电子形式存储和使用的数据的系统，都必须受到安全保护和独立的监督评审，并通过对突发事件的充分安排加以支持。 5、监督评审 监督评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或单独分别的，也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当不断地在日常工作中监督评审内控的总体效果，对主要风险的监督评审应当是公司日常活动的一部分，各级经营层和内部审计人员应当定期予以评价；对内控系统应当进行有效和全面的内部审计，内审要独立进行，应得到适合的培训，并配备称职和得力的人员，内审作为内控 系统监督评审的一部分，应当向高级管理层直接报告；不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理，应当把有关实质性的内控缺陷报告给高级管理层和董事会。 二、内控的完整体系 以上五大要素与前述三大目标有机地相结合，构成了内控的完整体系。COSO是为各行各业提出这一思路的，巴塞尔委员会的内控原则主要是针对银行业的。不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式，而把内控视为多维立体的空间，促使人们全面深入地理解控制和控制对象，分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念：这五大组成部分和三大目标是紧密相联的，就象一个人体的细胞包含了人体的各种信息那样，一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。 三大目标和五大组成部分构造了内控系统的整体框架，现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象。虽然国内外的金融和非金融机构在体制结构上有所区别，我国的企业仍要适应形势，转变观念，从内控的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否建立了健全的内控制度，这些制度是否得以认真贯彻实施。审计检查的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。 第三部分 证券公司的内部控制 一、证券公司内部控制的定义 《华泰证券内部控制纲要》 第三条 内部控制的定义。内部控制是指为实现经营目标，根据经营环境变化，对公司经营与管理过程中的风险进行识别、评价和管理的组织机构设置、制度安排和相应内部控制措施。 第五条 内部控制的宗旨。公司内部控制的宗旨是确保公司的内部控制能够满足以下要求： （一）保证经营的合法合规及公司内部规章制度的贯彻执行。（二）防范经营风险和道德风险。 （三）保障客户及公司资产的安全、完整。（四）保证公司业务记录、财务信息和其他信息的可靠、完整、及时。（五）提高公司经营效率和效果。 二、内部控制和风险管理——两个相互联系而又区别的概念 1、两者在许多方面是交叉的，是从不同角度看待同一问题：内控的重要目标和重要内容之一就是风控，风险控制的重要手段之一就是通过严密的内控。 三、经纪业务的主要风险 通过对以往案例分析，经纪业务风险的主要表现为：三方监管、两方融资、擅自接受委托理财、挪用客户保证金和客户资产、不规范的业务操作等导致风险的形式，但从目前来看，经纪业务将来风险可能会主要来自业务管理上的漏洞。经纪业务的禁止行为有： 1、营业部不得接受客户的全权委托。 2、营业部不得为牟取佣金诱使客户进行不必要的证券交易。 3、营业部不得以任何方式对客户买卖证券的收益或者赔偿证券买卖损失作出承诺。 4、营业部不得为客户之间的融资提供担保、中介服务或其他便利。 四、导致营业部内控失效，其原因主要来自以下几个方面 1、巨大的个人利益最主要原因之一。 2、单纯的利润考核标准，容易淡化了规范和道德的理念，特别是如果经营指标缺乏可执行性，营业部管理人员为了尽可能地完成指标，可能不惜铤而走险。 3、内控机制不完善、监督制度执行不严格，比如权力过度集中、内审力度不够、对帐户和印章等的管理过于松懈、关键岗位之间缺乏必要的独立性等。 4、对风险业务和较远分支机构的控制薄弱。 5、账外经营。 第四部分 营业部的内部控制 公司的营业部分布在全国各地，代表公司开展证券服务业务，其行为直接关系到公司利益、公司形象和公司的品牌建设，所以其内部治理问题显得十分重要。营业部只有在内控机制上做实、做精、做细，才能有效防范和化解风险，充分保护投资者的合法权益，保证业务的持续经营。 一、营业部的内部管理问题 1、关于内部 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 的建设 从制度的制定情况来看,公司的内部管理和制度规定有些是原则性的规定，是需要营业部进一步细化和明确的，比如：员工岗位职责、固定资产管理、低值易耗品管理等，有部分是需要营业部根据各自不同特点自己制定具体的实施细则，比如绩效考核办法、费用报销、档案管理、经纪人管理、机房管理等。但有的营业部的内部控制制度是有关公司制度的简单复制,或者是其它营业部制度的拷贝,缺乏与自身经营情况相适应的个性化规定,导致这些制度缺乏可操作性和控制力度。 在实际检查中，有部分营业部没有按照公司要求制定相应的制度或实施细则；不定期对制度进行修订；也不将制度进行汇编或装订成册，有的是很零散的几张纸，有的存在某个个人电脑里。如果不将制度和规定进行梳理就很难组织员工进行系统的学习和遵守，更谈不上管理和规范。 从制度执行情况来看,许多营业部制定内部控制制度都是基于应急的需要,或者是应付主管部门检查监管需要,因此制度制定以后,或者束之高阁,或者缺乏确保各项制度得以履行的落实机制,使得内部控制制度难以得到有效执行。 由于营业部内部缺乏必要的信息传递机制,难以及时发现和制止各种失控行为。 从制度维护方面来看,内部控制制度可能因经营环境、业务性质的改变而削弱或失效。已有的内部控制制度一般都是为那些常规的业务类型而设计的,但对非常规的或未能预料到的业务类型可能会失去控制能力。例如经纪人团队管理是许多营业部面临的新课题。在经常变化的环境之中,为便于生存和保持竞争能力,营业部势必要经常调整经营策略,进行业务创新,但常因不能及时对原有的控制制度进行维护从而对新增的业务内容失去控制作用。 从内部控制制度评价体系来看,证券公司建立健全内部控制制度是一个渐进的过程,必须建立其内部控制评价体系,根据情况的变化和出现的问题对相应的内部控制制度做出及时修正或建立新的内部控制制度。只有不断进行内部控制自我评价和改进,才能建立起行之有效的内部控制体系。这是当前证券公司必须建立但普遍缺乏的。 2、决策小组和风控小组活动的正常开展 公司曾以华泰证字〔2007〕167号下发了《关于加强营业部决策领导小组建设的通知》和《华泰证券有限责任公司营业部风险控制小组管理暂行办法》，对营业部如何进行风险控制和内部决策工作提出了具体规定，营业部内部的重大事项，比如：员工的薪酬、奖励分配、较大项目的费用开支、重要业务活动的开展等也需要有一个完整的决策程序。但是，在现场审计中存在的问题主要表现为：有的营业部就成立1个小组，小组活动没有正常开展、无活动记录，无参加人员签名等，有的甚至在面临检查时才补充相关资料来应付，这些做法，既不符合公司规定，也不符合营业部内部管理的实际要求。 二、营业部的业务管理 公司在2007年5月14日以华泰证字〔2007〕179号发布了关于印发《华泰证券投资者教育工作 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 》的通知，对营业部的投资者教育工作开展进行了规定。实际执行中，部分营业部也没有按照公司的要求进行，有的营业部还被监管部门发了〈监管函〉，损害了公司形象和公司利益。 第五部分 经纪人的管理 关于经纪人队伍建设、市场开发等工作，公司对营业部的经纪人队伍的发展和建设提出了指导意见，并要求各中心营业部根据实际情况制定本区域内的《经纪人团队建设实施细则》报公司批准后执行，文件主要明确了以下几个问题： 1、经纪人定义和发展条件：营销代表与居间人以及相应的聘用条件； 2、经纪人管理：营销代表签订劳动合同、居间人不签订劳动合同； 3、经纪人开发客户流程： 经纪人原则上应提前一天向主管人员报告客户预约的开户时间；客户开户后，经纪人应认真填写《营业部经纪人营销客户确认单》；经纪人填写确认单后，将确认单交由营业部营销总监、营业部负责人逐级签字确认；营业部应指定专人建档保管确认单备查。 4、考核办法：明确了经纪人职业发展、业绩报酬开支办法，并下发了《经纪人绩效考核标准化模型》。 在审计中发现部分营业部执行不到位，主要存在以下问题： 发展经纪人不培训或简单培训就上岗，由于经纪人对证券业务不熟悉，导致客户与营业部产生纠纷或与经纪人纠纷的事时有发生。 对经纪人发展的客户不按照公司规定的程序操作，客户登记、系统录入不执行严格复核程序。 经纪人发展的客户的登记表格等资料档案保管不善等。 经纪人现金返佣手续不全。部分营业部经纪人现金返佣无经纪人签收手续，有的是由客户经理代发，有的由于经纪人未能来领取，返佣现金（或银行存折）长期留在客户经理手中。 对经纪人发展的客户不进行定期回访，有些管理人员认为是经纪人维护的客户，无须营业部进行维护，特别是居间人发展的客户，大多是不维护，这样有几个问题：一是：这些客户是不是真正由经纪人发展并服务的；在前几年市场不佳的条件下发展的居间人，一般返佣比例较高，很多返佣比例超过公司规定的上限，不定期清理会影响营业部的效益；其二是：客户无法享受到营业部的服务、没有向客户揭示投资风险、不能了解客户的需求、出现经纪人违规行为时不能被及时发现和制止；其三是：经纪人始终掌握着客户资源和讨价还价的资本、存在客户随经纪人流失的风险；其四是：营业部员工利用经纪人的名义拿提成，不能被及时发现。 第六部分 总结 一、内部控制的要点 加强营业部的内部控制，首先要明确证券营业部的岗位设置和责任，建立完善的岗位责任制度和规范的业务操作规程，健全印章的保管和使用登记责任制度，建立相互配合、相互监督、相互制约的工作关系，建立恰当的责任分离制度，积极发展集中交易等模式，减少需要人工直接介入的业务岗位。还要重视员工的职业道德培训，培养强烈的控制文化。 内部控制是营业部经营过程的一部分，应该与营业部的经营管理过程相结合，它揉和了管理与控制的界限。内部控制强调“人”的重要性，只有人才可能制定经营的目标，并设置控制的机制；反过来，内部控制影响着人的行动，所以更要强调管理风格、管理哲学、企业文化、内控意识等“软控制”的作用。内部控制强调风险意识，所有的企业，不论其规模、结构、性质或产业是什么，其组织的不同层级都会遭遇风险，管理阶层须密切注意各层级的风险，并采取必要的管理措施。但不论设计及执行有多么完善，内部控制都只能为管理阶层提供达成企业目标的合理保证，不存在完美无缺的内部控制。内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的长期过程。 二、关于内部控制的一些误解 1、内部控制的完善程度是与规章制度的多少成正比 内控系统的设计还应当包括其他很多内容。而且，员工价值观、职业道德与胜任能力，以及管理层的表率与监控等方面可能比书面的规章制度更为重要。再者，即使企业有足够的规章制度，若是在未能充分考虑其自身特性与需要的情况下抄袭而来，那也无济于事。 2、内部控制导致大量规章要遵守，一堆表格要填，许多章要盖，既滋生官僚作风，又缺乏效率和人性 为了达到内部控制的目标，规章、表格和公章是必要的。它们在特定情况下可能会影响工作速度，但决不应当把它们与官僚作风、缺乏效率和缺乏人性等划上等号。如果没有这些东西，可能更缺乏效率，更滋生官僚作风，更缺乏人性，尤其是在一些庞大的企业集团中。 3、在内部控制的责任主要由内审部门承担 内部控制需要全体员工的参与，所有部门、员工都负有责任。 第一部分 内部控制的理论发展和三大目标 案例回顾----大和银行弊案 时间: 1995年7月13日 地点: 日本大和银行纽约分行 人物: 井口俊英 事件: 在11年内伪造3万多笔的交易记录，隐藏近11亿美元的亏损 原因与影响: 井口身兼二职，既做交易，又监督自己，导致弊案隐藏11年之久 一、内部控制的理论发展 内部控制的概念经过 “部分控制论”向“全部控制论”的发展。 “部分控制论”认为内控包括经济业务的有关内部会计控制和内部审计两部分。现在看来，这种认识的缺陷是，内控只与资产管理有关，而与行政、业务管理无关。 “全部控制论”克服了这个缺陷，认为控制内容应超越会计和财务范围，渗透到经营的各个方面和管理的全过程。内控目的也不仅是为了保护单位的财产、会计记录的准确可靠、财务信息的及时可靠，更重要的是执行管理政策，提高经营效益和效率。 美国“反虚假财务报告委员会”下属的组织 “发起人组织委员会(COSO)”发布报告《内部控制一体化框架》，简称COSO报告，奠定了现代内部控制理论基础。 1996年美国注册会计师协会发布《审计准则公告第78号》，全面接受COSO报告的内容，加拿大，英国，南非，法国等国内部控制框架均以COSO的报告为模本，COSO报告成为现代内部控制理论和实践的基石。 巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也以COSO报告为基础。 我国的《内部会计控制规范》、《证券公司内部控制指引》、《关于加强证券公司营业部内部控制若干措施的意见》也是以COSO报告为基础制定的。 二、内部控制的三大目标 建立有效的内控机制首先要理解内控的目的。不同部门的人从不同的角度对内控会有不同的看法，现代内控理论试图提出能被普遍接受的内控定义，以便满足不同单位的需要。美国审计权威机构COSO的定义是：内控是一个受某单位不同层次的人影响的过程，而设计这一过程是为了实现下面三大目标而提供合理的保证。 （1）经营的效果和效率 （2）财会报告的可靠性 （3）对现行法规的遵守 巴塞尔银行监管委员会参照各国的有关理论，在内控定义中进一步强调董事会和高级管理层对内控的影响，强调组织中的所有各级人员都必须参加内控过程，对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动；在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可靠性、完整性和及时性。 内控的三大目标满足不同的需要，又相互交叉。在操作性目标中，经营的“效果”是根据实际产出与预期计划的产出比较而言的；经营的“效率”是根据实际产出与实际投入比较而言的。此外，公司不能为实现经营性目而不遵从法规，也不能为实现合规性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。 三、内控机制的作用 内部控制是为了实现经营目标而形成的一种内部自我协调和制约的控制系统，是一种全面控制的机制。内部控制作为控制风险和经营管理的基础，对于达到既定目标和维持良好的财务状况至关重要，但由于历史原因和外部的诸多不确定因素，我国目前企业的内控建设仍存在许多问题，如何健全和完善内部控制是亟待解决的问题。 在证券市场的发展过程中，营业部经营模式和组织结构的每次改革都伴随着一定的风险，如果忽视控制方式的跟进和强化，就会使证券公司的改革同营业部的控制机制相脱离，不仅无法实现改革的初衷，还可能陷入管理上的混乱。对于营业部的管理，仅依靠宏观上的效益和风险方面考核还不够，微观上更不能以考核取代控制，而是必须建立有效的内部控制。 第二部分 内部控制的五大要素 一、五大要素的内容 现代内控理论赋予了内控广泛的职能，把内控置于很高的层面上，从而强化了内控的作用。COSO报告认为内部控制涵盖了控制环境、风险评估、控制活动、信息与交流和监督评审五大组成部分的丰富内容。 1、控制环境 控制环境是推动控制工作的发动机，是所有其他内控组成部分的基础。它奠定组织的作风、纪律和结构，并且涉及到所有活动的核心——人，特别是人的控制觉悟，还反映了企业的各级管理层对内控的要求。控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。关键是管理层要充分说明内控的完整性；公司要有积极的控制环境，使整个组织中的员工具有控制觉悟和自觉的控制态度，特别是高级管理层要积极地进行控制；员工的能力与其责任要相匹配等方面。 2、风险评估 风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动，对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种实质风险。这种评估应包括企业所面对的全部风险（如市场风险、经营风险、法律风险和声誉风险）。对于任何新的或过去不加控制的风险，需要不时调整内控，以便恰当地处理。 3、控制活动 控制活动是为了合理地保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性（尤其是对信息系统的控制）等等。控制活动是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构，明确定义各经营级别的控制活动。这些活动应当包括高层审查；对不同部门活动的适当控制；防火墙控制；检查对敞口限额的遵从情况；对违规经营的跟进情况;批准和授权制度；查证核实与对帐制度。有效的内控系统还要适当分离职责，人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方，并遵从谨慎的和独立的监督评审。 4、信息与交流 信息与交流存在于所有经营管理活动中，信息是指为开展经营、从事管理和进行控制等活动所需要，使员工得以搜集和交换的信息，包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理，一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据，以及关于外部市场中与决策相关的事件和条件的信息，这些信息应当可靠、及时、可获，并能以前后一致的形式规范地提供使用。在交流方面也要注意内部和外部信息的交流渠道和方式，不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理，应当把有关实质性的内控缺陷报告给高级管理层。在信息技术的发展中注意控制信息系统，有效的内控需要建立可靠的信息系统，涵盖公司的全部重要活动，这些系统，包括那些以某种电子形式存储和使用的数据的系统，都必须受到安全保护和独立的监督评审，并通过对突发事件的充分安排加以支持。 5、监督评审 监督评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或单独分别的，也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当不断地在日常工作中监督评审内控的总体效果，对主要风险的监督评审应当是公司日常活动的一部分，各级经营层和内部审计人员应当定期予以评价；对内控系统应当进行有效和全面的内部审计，内审要独立进行，应得到适合的培训，并配备称职和得力的人员，内审作为内控 系统监督评审的一部分，应当向高级管理层直接报告；不论是经营层或是其他控制人员发现了内控的缺陷，都应当及时地向适当的管理层报告，并使其得到果断处理，应当把有关实质性的内控缺陷报告给高级管理层和董事会。 二、内控的完整体系 以上五大要素与前述三大目标有机地相结合，构成了内控的完整体系。COSO是为各行各业提出这一思路的，巴塞尔委员会的内控原则主要是针对银行业的。不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式，而把内控视为多维立体的空间，促使人们全面深入地理解控制和控制对象，分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念：这五大组成部分和三大目标是紧密相联的，就象一个人体的细胞包含了人体的各种信息那样，一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。 三大目标和五大组成部分构造了内控系统的整体框架，现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象。虽然国内外的金融和非金融机构在体制结构上有所区别，我国的企业仍要适应形势，转变观念，从内控的三大目标出发，去考察本单位上述五大组成部分的各个方面，看是否建立了健全的内控制度，这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路，按照这个有机结合的整体去设计。 第三部分 证券公司的内部控制 一、证券公司内部控制的定义 《华泰证券内部控制纲要》 第三条 内部控制的定义。内部控制是指为实现经营目标，根据经营环境变化，对公司经营与管理过程中的风险进行识别、评价和管理的组织机构设置、制度安排和相应内部控制措施。 第五条 内部控制的宗旨。公司内部控制的宗旨是确保公司的内部控制能够满足以下要求： （一）保证经营的合法合规及公司内部规章制度的贯彻执行。（二）防范经营风险和道德风险。 （三）保障客户及公司资产的安全、完整。（四）保证公司业务记录、财务信息和其他信息的可靠、完整、及时。（五）提高公司经营效率和效果。 二、内部控制和风险管理——两个相互联系而又区别的概念 1、两者在许多方面是交叉的，是从不同角度看待同一问题：内控的重要目标和重要内容之一就是风控，风险控制的重要手段之一就是通过严密的内控。 三、经纪业务的主要风险 通过对以往案例分析，经纪业务风险的主要表现为：三方监管、两方融资、擅自接受委托理财、挪用客户保证金和客户资产、不规范的业务操作等导致风险的形式，但从目前来看，经纪业务将来风险可能会主要来自业务管理上的漏洞。经纪业务的禁止行为有： 1、营业部不得接受客户的全权委托。 2、营业部不得为牟取佣金诱使客户进行不必要的证券交易。 3、营业部不得以任何方式对客户买卖证券的收益或者赔偿证券买卖损失作出承诺。 4、营业部不得为客户之间的融资提供担保、中介服务或其他便利。 四、导致营业部内控失效，其原因主要来自以下几个方面 1、巨大的个人利益最主要原因之一。 2、单纯的利润考核标准，容易淡化了规范和道德的理念，特别是如果经营指标缺乏可执行性，营业部管理人员为了尽可能地完成指标，可能不惜铤而走险。 3、内控机制不完善、监督制度执行不严格，比如权力过度集中、内审力度不够、对帐户和印章等的管理过于松懈、关键岗位之间缺乏必要的独立性等。 4、对风险业务和较远分支机构的控制薄弱。 5、账外经营。 第四部分 营业部的内部控制 公司的营业部分布在全国各地，代表公司开展证券服务业务，其行为直接关系到公司利益、公司形象和公司的品牌建设，所以其内部治理问题显得十分重要。营业部只有在内控机制上做实、做精、做细，才能有效防范和化解风险，充分保护投资者的合法权益，保证业务的持续经营。 一、营业部的内部管理问题 1、关于内部管理制度的建设 从制度的制定情况来看,公司的内部管理和制度规定有些是原则性的规定，是需要营业部进一步细化和明确的，比如：员工岗位职责、固定资产管理、低值易耗品管理等，有部分是需要营业部根据各自不同特点自己制定具体的实施细则，比如绩效考核办法、费用报销、档案管理、经纪人管理、机房管理等。但有的营业部的内部控制制度是有关公司制度的简单复制,或者是其它营业部制度的拷贝,缺乏与自身经营情况相适应的个性化规定,导致这些制度缺乏可操作性和控制力度。 在实际检查中，有部分营业部没有按照公司要求制定相应的制度或实施细则；不定期对制度进行修订；也不将制度进行汇编或装订成册，有的是很零散的几张纸，有的存在某个个人电脑里。如果不将制度和规定进行梳理就很难组织员工进行系统的学习和遵守，更谈不上管理和规范。 从制度执行情况来看,许多营业部制定内部控制制度都是基于应急的需要,或者是应付主管部门检查监管需要,因此制度制定以后,或者束之高阁,或者缺乏确保各项制度得以履行的落实机制,使得内部控制制度难以得到有效执行。 由于营业部内部缺乏必要的信息传递机制,难以及时发现和制止各种失控行为。 从制度维护方面来看,内部控制制度可能因经营环境、业务性质的改变而削弱或失效。已有的内部控制制度一般都是为那些常规的业务类型而设计的,但对非常规的或未能预料到的业务类型可能会失去控制能力。例如经纪人团队管理是许多营业部面临的新课题。在经常变化的环境之中,为便于生存和保持竞争能力,营业部势必要经常调整经营策略,进行业务创新,但常因不能及时对原有的控制制度进行维护从而对新增的业务内容失去控制作用。 从内部控制制度评价体系来看,证券公司建立健全内部控制制度是一个渐进的过程,必须建立其内部控制评价体系,根据情况的变化和出现的问题对相应的内部控制制度做出及时修正或建立新的内部控制制度。只有不断进行内部控制自我评价和改进,才能建立起行之有效的内部控制体系。这是当前证券公司必须建立但普遍缺乏的。 2、决策小组和风控小组活动的正常开展 公司曾以华泰证字〔2007〕167号下发了《关于加强营业部决策领导小组建设的通知》和《华泰证券有限责任公司营业部风险控制小组管理暂行办法》，对营业部如何进行风险控制和内部决策工作提出了具体规定，营业部内部的重大事项，比如：员工的薪酬、奖励分配、较大项目的费用开支、重要业务活动的开展等也需要有一个完整的决策程序。但是，在现场审计中存在的问题主要表现为：有的营业部就成立1个小组，小组活动没有正常开展、无活动记录，无参加人员签名等，有的甚至在面临检查时才补充相关资料来应付，这些做法，既不符合公司规定，也不符合营业部内部管理的实际要求。 二、营业部的业务管理