国际通行的内控制度风险可控的标准是什么
证券投资基金行业是一个以信用为基础的行业,基金管理公司"受人之托、代人理财",管理着众多投资者的资产,面对的是风险较大的证券市场,其运作规范和健康发展问题至关重要。因此,评价其好坏的核心是其整体管理水平。内部控制作为企业一种自我调节、自我制约的内在机制,可以起到防范和化解风险、保护资产的安全与完整、保证经营活动合法合规和公司经营战略有效实施等重要作用,是否有科学完善的内部控制是衡量公司经营管理水平高低的重要标志。
我国基金行业发展几年来,基金管理公司内控质量普遍有了很大提高,建立了比较规范的法人治理结构,风险管理大大加强。但由于对基金管理公司内控的要求还不够明确,标准还不够统一,也出现不少问题,如在公司内部缺少"内控文化",公司授权不完善,职责分工不明确,监督和制约不到位等等。因此,在实际工作中需要有一套客观可行的标准体系,为基金管理公司建立和改进自身内控机制提供参照,也为监管机关和中介机构评价基金管理公司的基本素质提供依据。
许多国家、地区和国际组织对金融证券企业的内部控制标准进行了研究,并颁布了不少法律文件,如国际证监会组织(IOSCO)1998年发布了《证券公司及其监管者风险管理和内部控制指引》(咨询稿),香港证监会1997年发布了《监管、监督及内部控制指引》,中国证监会也于去年发布了《证券公司内部控制指引》。本文借鉴国际上先进的研究成果,结合我国基金管理公司内部控制的实践,对基金管理公司的内部控制标准体系进行塑造和说明,供读者参考。
内控的一般标准,是指应用于基金管理公司内控评价各个方面的标准。一般标准可以概括为健全性、有效性、独立性、相互制约性和成本效益五大原则。
内控的健全性内控的健全性有三层含义:首先,内控应当贯穿于经营活动的所有方面,体现全过程性。基金公司的基金产品设计、投资研究、投资决策、交易执行等各个业务环节都需要有相应的内部控制制度;其次,内控应涵盖所有的部门和人员。第三,内控还要体现系统性。内控体系是各部门各岗位形成的相互制约、纵横交错的统一整体,以保证均能按特定的目标相互协调的发挥作用,实现内控的总体目标和功能。健全性是其它标准的前提条件。
内控的有效性内控的有效性包括两层含义:一是内控制度本身的有效性。首先内控制度要合法合规,把国家法律、法规、政策等体现到内控制度中。其次内控制度要适时,应当随着公司经营战略、经营方针、经营理念等内部环境的变化进行及时的修改或完善。第三,内控制要合理适用。需要根据公司的组织规模、业务特点、技术条件、人员素质等具体特点和要求建立内控制度。二是内控制度要得到有效地执行。公司所有部门、全体员工必须竭力的维护内控制度的有效执行,任何人员都不得拥有超越制度的权力。
内控的独立性基金管理公司与一般公司相比有一定的特殊性,它自身的资产与管理的基金和其他资产相比是非常小的,一个公司可以管理多只基金,不同人的财产,而且公司的股东和关联方多为证券公司、信托公司、上市公司等证券市场上的活跃参与者。因此,独立性标准要求:一是相关资产要分离,基金资产、自有资产和其他受托资产的运作应当分离;二是部门和岗位分离,基金投资研究、决策、执行、清算、评估等部门和岗位应当根据独立性要求适当分离;三是物理隔离,在重要部门设立防火墙和门禁制度。
内控的相互制约性相互制约性是指在部门与部门、岗位与岗位之间建立一种相互验证、相互制约的关系,它是内控的重要组成部分。它将公司的业务进行分配,使单独的一个部门对业务没有完全的处理权,必须经过一个以上部门的查证核对或配合才能完成。相互制约使业务都经过一个以上的岗位或部门处理,不会被一人包办,可以达到纠错防漏的目的。独立性是相互制约性的前提,相互制约性是独立性的必然延伸。
内控的成本效益性基金管理公司作为经济实体,其生存的根本就是创造效益。内控的目的之一也是使企业避免和减少外来的和自身的各种风险,以获取更佳的效益。但是内控本身也要付出成本,内控越复杂,相应的成本也越高。因此,基金管理公司必须遵循成本效益原则,在成本与效益间进行衡量,力争以最小成本获得最大效益,不计成本的内控不是好的内控。成本效益性要求公司一要精心选择控制点,实行有选择的控制,二要努力减少不必要的各种耗费,三要尽量应用科学化的管理方法和新技术来降低成本、提高效率。
基金公司本身存在诸多利益冲突。这些冲突有股东与公司间的,基金与其他委托财产间的,不同基金间的,受托财产和公司自有财产间的,公司与管理者个人间的等等,因此极其容易出现不正当利益输送和关联交易等现象。历史证明,正是这些现象,曾经使基金行业受到严重的打击,信誉受到严重损害。为了避免以上现象的发生,保持基金管理公司内部有关资产、机构、人员的分离和独立是非常必要的,也是内控中的重点所在。
内控的要素标准
内控要素是从内控的实践中提炼出来的组成企业内控核心的部分,也是企业内控必须具备的内容。借鉴美国由美国注册会计师协会等组织组成的资助组织委员会(CDSO)的研究成果,我们对基金管理公司的内控也可以从控制环境、风险评估、控制活动、信息沟通、内部监控五大要素标准来衡量。
控制环境。控制环境是指对公司管理方法、操作程序、控制措施等发生影响的各种因素。它是内控其他要素的基础,构成了公司的氛围,控制环境的好坏直接决定了公司内控机制实施的效果。控制环境的主要包括下列因素:管理思想和经营理念。
公司管理层是否树立了内控优先和风险管理理念;是否重视内控制度的设计;是否严格遵守内控制度。
公司治理结构。公司法人治理结构是否健全;公司的独董和监事会的监督职能有没有有效履行;存不存在不正当关联交易、利益输送和内部人控制现象的发生;董事会、监事会是否在保护投资者利益和公司合法权益方面发挥作用。
公司经营组织结构。公司的组织结构的设置是否体现职责分工、相互制约的原则;公司建立决策程序和管理议事规则是否民主、透明、业务执行系统是否高效、严谨,内部监督和反馈系统是否健全、有效;公司在岗位、部门、管理层之间有没有形成严密有效的内控防线。
员工道德素质。公司是否建立了有效的人力资源管理制度和激励约束机制;是否有具体的标准和措施确保公司职员具备与岗位要求相适应的道德标准和专业胜任能力。
内控文化。公司是否在培养全体员工的风险防范意识,营造一个浓厚的内控文化氛围采取了一定措施;是否有制度保证全体员工及时了解重要的法律法规和管理层的经营思想。
风险评估。环境和风险评估是提高企业内控效率和效果的关键。基金管理公司身处高风险的证券市场,信誉又是其生存和发展的根本,因此,必须对其面临的风险有清醒的认识,分清哪些风险是主要风险,哪些风险是次要风险,哪些风险是可以分散的,哪些风险是可以避免的,并据此确定内部控制的重点。风险评估标准要求基金管理公司建立严密有效的风险管理系统。首先,从组织体系上看,公司有没有形成完善的风险控制体系,公司是否设立了风险决策机关、风险评估部门、风险监督部门并有效地工作。其次,公司有没有建立完整的风险控制程序,包括风险识别、风险评估、风险控制和风险监督。第三,公司是否对其各部门和各业务循环所存在的风险点进行识别、评估、分类并有相应的控制措施。第四,公司有没有使用科学的风险量化技术和严格的风险限额控制对投资风险实现定量分析和管理。第五,公司董事会和管理层是否重视风险的评估和管理。
控制活动。控制活动是基金管理公司在控制环境和风险评估的基础上,为确保风险被有效控制而制定并实施的各种方法、程序和控制措施,主要的控制活动有以下几个:授权控制。
授权控制指在处理各项业务时都必须经过适当的授权批准,以防止部门和员工不当处理,授权控制应当贯穿于公司经营活动的始终。首先,股东会、董事会、监事会和管理层是否充分履行各自的职权,建立健全公司授权标准和程序,确保授权制度的贯彻执行。其次,公司各业务部门、分支机构和公司员工是否在规定授权范围内行使相应的职责,有没有发行越权行事的情况,如发生,是怎样处理的。第三,是否制定了公司重大业务的授权制度,重大业务授权是否有书面记录,是否明确了授权内容的时效。第四,公司授权是否适当,对已获授权的部门和人员有没有建立有效的评价和反馈机制,对已不适用的授权是否及时修改或取消。
资产分离。公司是否建立完善的资产分离制度,基金资产与公司资产、不同基金的资产和其他委托资产要实行独立运作,分别核算。
岗位分离。公司是否建立科学、严格的岗位分离制度,明确划分各岗位职责,投资和交易、交易和清算、基金会计和公司会计等重要岗位是否有人员的重叠,后台清算、集中交易室、机房、档案室等重要业务部门和岗位是否进行了物理隔离。
业务流程和操作规程。公司投资等各类业务有没有详细明确的业务流程和操作规程,有关人员是否严格按章办事,有没有违反业务流程和操作规程操作的情况。
业务记录。公司的投资决策、交易执行、会计清算等业务是否有明确的记录;业务记录是否得到相关人员的确认;绩效考核。
对研究部门、基金经理、交易员等重要岗位是否制定了研究报告质量评价体系、投资管理业绩评价体系、交易绩效评价体系等绩效考核标准。
信息沟通。信息沟通是内部控制过程的一部分,管理层的计划必须准确、及时贯彻到相关部门,以便有效执行,计划的执行情况也要及时反馈给管理层,供其比较分析。信息沟通标准要求基金管理公司必须设计和维护畅通的信息沟通渠道。
内部监控。基金管理公司监控的执行通常由督察员和监察稽核部门组成。督察员和内部监察稽核部门独立于其他部门和业务活动,并对内控制度的执行情况实行严格的检查和反馈,并向董事会和总经理报告,确保公司各项经营管理活动的有效运行。督察员和监察稽核部门还应当定期评价内部控制的有效性,根据市场环境、新的金融工具、新的技术应用和新的法律法规等情况,提请董事会或管理层适时改进。
内控评价的具体标准
内控评价的具体标准主要是控制活动要素的细化,控制活动是根据基金管理公司业务过程中各个环节的控制点而制定的。公司一般按照基金管理业务的程序来设计和实施控制的,也称业务循环控制法。由于各个公司的规模大小、经营理念、管理方法、人员结构、基金产品等内外部环境各不相同,所以内控的具体标准要更为复杂,基金管理公司的各业务循环,可以按以下模式建立标准:首先,明确控制目标。公司管理人员总是根
据控制目标来建立内部控制,因此,在设计评价标准时,首先应根据基金管理的特点和管理要求来提炼控制目标。
其次,选择控制点(风险点)。为了使各项控制目标的顺利实现,必须根据一些容易发生错误的业务环节进行有针对性的控制,这些业务环节和易产生的错误就是控制点。控制点是否全面,是评价公司内控的重要方面。
再次,采取控制措施。对不同的控制目标和控制点,需要采取不同的控制措施。
按照我国现有基金管理公司的业务特征和比较通行的做法,将主要业务的内控标准大致概括如下:投资管理业务。基金管理公司的投资管理
分为研究、决策、交易、清算等部分。
研究部分----
控制目标:保持研究工作的独立、客观和科学。
控制点:研究部门、研究流程、研究方法、研究与投资决策的交流、研究评价等。
控制措施:研究部门相对独立;制定严密的研究业务流程;形成科学、有效和一贯的研究方法;建立投资对象备选库制度;建立研究与投资的业务交流制度;建立研究报告评价体系,等等。
投资决策部分----
控制目标:遵守法律法规的规定,遵守基金契约的要求,降低风险、提高效益。
控制点:投资决策违反法规和基金契约、基金经理越权或随意决策、流动性风险过大、基金业绩不佳等。
控制措施:建立投资限制或"黑名单"制度;建立股票备选库制度;建立投资决策授权制度,确定投资权限;通过科学的风险量化技术和严格的风险限额控制对投资风险实现定量分析和管理。建立重要投资的研究报告支持和风险分析支持制度;建立关联交易审批制度;建立科学的投资管理业绩评价体系,等等。
基金交易部分----
控制目标:使投资决策能够合法、准确、最佳地得到执行,防止内幕信息、操纵市场等违法行为的发生,保证不同基金的利益能够得到公平对待。
控制点:违背法定限制、基金经理越权、利用或泄露内幕信息交易分配不公平、非最佳执行、投资文档不完备等。
控制措施:基金交易实行集中交易制度并建立集中交易室;集中交易室空间隔离,实行门禁制度;手机管理、电话录音;建立交易监测系统、预警系统和交易反馈系统,完善相关的安全设施。中央交易员制度,基金经理不得直接向交易员下达投资指令或者直接进行交易;事先制定公平交易分配制度;基金经理、交易主管、监察人员实时监控;建立完善的交易记录制度,交易记录应当及时进行反馈、核对并存档保管;建立科学的交易绩效评价体系;等等。
财务会计业务控制目标:
保证会计业务合法合规,及时、准确、完整的反映公司经营情况,保证基金净值的准确。
控制点:会计核算差错、资金清算差错、基金净值估算差错等。
控制措施:明确会计岗位职责划分,严禁需要相互监督的岗位由一人独自操作全过程;以基金为会计核算主体,独立建账、独立核算,基金会计核算独立于公司会计核算;建立凭证制度,正确记载经济业务,明确经济责任;建立账务组织和账务处理体系,正确设置会计账簿,有效控制会计记账程序;建立复核制度,防止会计差错的产生;采取合理的估值方法和科学的估值程序,公允反映基金所投资的有价证券在估值时点的价值;建立严格的成本控制和业绩考核制度;制订完善的会计档案保管和财务交接制度,等等。
市场销售业务控制目标:
为客户提供优质服务,维护公司市场形象和信誉。
控制点:客户服务不规范、广告宣传违法违规、市场推介活动无序化、代销机构出现问题影响基金销售、销售人员错误行为给公司声誉带来影响等。
控制措施:建立和完善客户服务标准;健全销售渠道管理,定期检查;建立公司广告宣传行为规范;建立广告宣传、销售行为法律审查制度;制定销售人员准则,严格奖惩措施。
过户登记业务控制目标:
管理好投资者基金账户,保证申购和回赎的顺利进行。
控制点:投资者身份认证错误、接受无效委托申请或拒绝有效委托申请、柜台人员录入错误、资金清算差错、数据计算差错,客户资料保管不当等。
控制措施:要求投资者提供完备的身份证件并留下复印件;建立复核制度;与代销机构、托管行及时核对;建立客户资料的保密保管制度,等等。
信息披露业务控制目标:
遵守法律法规规定,保证信息披露的真实、完整、及时。
控制点:信息披露出现虚假陈述、重大遗漏和超过法定期限等。
控制措施:有相应的部门或岗位负责信息披露工作,进行信息的组织、审核和发布;建立严密的信息披露实施流程和信息的审查核对制度,等等。
信息技术支持业务控制目标:
保证信息系统的安全性、实用性和可操作性,为全公司提供良好的信息系统支持。
控制点:硬件系统可靠、系统环境安全、设备故障无法及时恢复、软件安全可靠、网络系统安全、数据安全等。
控制措施:保证信息技术系统的设计开发符合国家、金融行业软件工程标准的要求;建立严格的授权制度、岗位责任制度、门禁制度、内外网分离制度等管理措施;充分考虑软件的安全性、可靠性、稳定性和可扩展性,具备身份验证、访问控制、故障恢复、安全保护、分权制约等功能;信息技术系统设计、软件工发等技术人员不得介入实际的业务操作,数据库和操作系统的密码口令分别由不同人员保管,用户使用的密码口令定期更换,不得向他人透露;对信息数据实行严格的管理,建立计算机交易数据的授权修改程序和电子信息数据的定期查验制度;建立电子信息数据的即时保存和备份制度,重要数据异地备份并且长期保存;定期稽核检查,进行排除故障、灾难恢复的演习,等等。