双内控的构成,主要指为实现内控管理对业务经营的制衡作用,各内控部门之间如何界定各自的职责,使它们之间既能分工清晰又能互相协作。一般来说,研究双内控的构成,就是研究三大内控部门(合规管理部、风险控制部、稽核审计部),作为双内控的“监控”层面,是如何各尽其能、各司其职,按照自己的工作重点科学有效地开展工作的。
有人可能会问,内控就内控好了,为什么还要分工,这不是增加企业管理成本吗?错了,分工是提高效率的秘诀,道理很简单,人不是万能的,只有分工才能专注,从而精通某项业务。但分工并不是简单地分开,只有分开没有协作,就不能产生合力,同样会造成浪费。
不管是在生产上还是在管理上,这一道理都同样适用。高明的治理结构一定是全方位的、无缝隙的治理,将权力拆分,使权力独立运作又互相制约。现代国家治理体系就是如此,立法、行政、司法一定是分开的,但是互相又形成一种制约关系,环环相扣,使腐败和决策失误不易发生。“双内控”各个环节的运作与此相类似。
企业应该以“提高合规管理工作的事前规范性,提高风险管理工作的准确预见性,提高审计管理工作的科学导向性”为中心,形成一个立体交叉的内部控制工作管控模式。
经济学家们发现,“只有把产品当做服务,才能取得最佳效果”。也就是说,你卖给客户什么并不重要,重要的是你为客户做了什么,你所做的与你要达到的目的之间有什么重要关联。内控职能的发挥也应基于这种理念,这样才会让业务部门主动接纳而不是消极对抗,才能使内控成为“产品”,能赢得客户,从而真正对公司的业务经营发挥实效。
具体来说,内控部门的职能分工应该是这样的:合规管理应侧重于教练员,并像保健中心;风险管理应侧重于边线员,并像体检中心;审计管理应侧重于裁判员,并像健身中心(如定期开展的压力测试、情景模拟等)。这样的形象定位不仅明确了各自的职责,而且也便于业务部门很好地接受这种“产品”。另外,这种清晰的分工既可以解决部门与部门之间存在的壁垒,又可以避免内控部门之间或公司规模小只有一个内控部门的不同岗位之间在合作过程中出现各自为政、冲突不断、矛盾重重的情形。
1、合规管理部门的事前规范性
合规管理部门应以全面提高合规管理的事前规范性为目标,进一步强化其执行力和有效性,通过柔性的管理方法,不断优化运行机制,实现合规管理的常态运行,即通过日常管理、合规检查或专项工作,发现问题、识别风险,并采取措施进行监督整改,以规避合规风险。
某证券公司的合规管理部在一次审查服务部翻牌材料时发现,公司证券服务部营业执照登记的地址与证监局开业批复中批准的地址不一致。此事项存在未经审批已搬迁问题,违反了相关监管规定。合规管理部据此向经纪业务管理总部发出合规风险警示,要求经纪业务管理总部进行自查,并及时将自查情况向证监局沟通汇报。最后,证监局将该事项列为自查自纠行为,并未采取处罚措施。
事前的风险防范并不一定每次都能及时检查到问题,为了提高事前风险防范的成功率,可以采用以下举措:制订合规管理工作计划,及时关注法律法规变化,协助公司完善管理制度和业务流程,提供合规咨询和建议,按照规定对公司内部管理制度、重大决策、新产品和新业务方案等出具合规审查意见。通过这些举措,可以提前介入、及时发现,防范合规风险和法律风险隐患。合规管理部门还可以通过咨询、培训、沟通以及制度梳理等方式来实现对业务部门的服务支持,促进合规管理部门与业务部门的和谐发展。
2、风险控制部门的准确预见性
风险控制部门在企业风险管理和风险控制的各项工作中,负责风险评估、风险监督监控和风险量化分析,重点监控市场风险、操作风险和流动性风险,协助各级管理人员对业务经营的各类风险进行识别、评估和管理控制,并提出风险控制的措施。通过提高效率、科学管理,风险控制向数量化、指标化、规范化的管控模式转变,有助于全面完成对各项业务、投资、信贷、运营、净资本变化、资产管理、信息技术、财务管理等的监控工作。通过努力探索风险量化模型管理在各业务条线的应用,风险控制部门应积极完成分类监管模拟自评工作,逐步提高风险控制的准确预见性,保障各项业务健康发展。
对于具体的风险评价,风险控制部门可以按照以下几个步骤来进行:
(1)实施分析性程序。确定重要性标准,初步评价可接受风险和固有风险;依据风险评价模型,确定风险水平,制订风险控制总体计划和具体计划。
(2)如果初步评价控制风险水平较低,则实施控制测试,依据控制测试的结果,确定是否扩大交易的实质性内容;如果初步评价控制风险水平较高,则应直接转入交易的实质性测试,评价财务报表的可能性。
(3)对财务数据及账户余额的实质性测试。在该种模式下,除采用账户项目导向和系统导向模式外,还可采用分析性程序的方法,如趋势分析法、比率分析法、绝对额比较法、垂直分析法等。
3、稽核审计部门的科学导向性
稽核审计部门的作用是通过综合的、系统的、独立的和定期的审计工作,并结合财务指标,利用掌握的各项财务与非财务数据,对公司战略的合理性和有效性进行分析、判断,寻找经营管理中可能存在的各种风险因素,强化各项规则的有效实施,使其与公司目标规划形成一致导向,从而发挥指挥棒的作用。
具有内部审计职能的审计委员会应该具有独特的地位,它有权询问最高管理层如何落实各项制度责任,确保他们采纳针对运营风险的纠正方案。当最高管理层凌驾于内部控制之上或发生违规事件时,审计委员会必须指出其危害和后果,并果断采取整改纠偏的行动。
在审计策略的选择上,既要注重降低经营风险,又要注重节省审计成本,在审计效果和效率之间寻找到均衡点。同时,稽核审计工作应跟上政策、监管的思路,及时把新的监管动态延伸到具体的业务操作中去;也要跟上公司业务创新发展的步伐和管理理念以及重点工作的变化,强化以风险管理为导向的稽核审计原则。
为保证审计工作的有效性,对分支机构、网点较多的企业(银行、证券公司、保险公司等),应加大审计力度,实施一线配合审计、专人专项审计、相互交叉审计、总部委派审计等方法,提高审计工作效率。
一线配合审计是指在公司关键岗位人员强制休假期间,由其所在部门的风险管理专员(合规联络人)组成审计小组,按照事先确定的审计内容和规程完成审计任务,出具内部稽核报告并向审计部门报备。
专人专项审计是针对外部监管关注的问题、合规工作联动的问题、相关管理部门发现的违规事项延伸审计的问题,以及董事会、总经理、首席风险官(合规总监)交办的审计事项,由审计部门指定审计人员进行稽核审计,并出具专项审计报告。
相互交叉审计是指由业务不相容、无利害关系的部门风险管理专员(合规联络人)组成审计小组,在公司总部稽核专员的指导和监督下,按照事先确定的审计检查要点及审计规程的要求开展现场常规审计,完成审计报告,并对审计内容承担责任,同时对被审计部门下达整改意见书,并对审计出的问题进行跟踪整改。
总部委派审计是在审计部门人员相对不足或审计任务较重的情况下,由一批有审计和现场工作经验的审计专人及风险管理专员(合规联络人)组成审计小组,接受审计任务,独立完成审计工作,起草审计报告,对审计内容承担责任,对被审计部门下达整改意见书,并对审计结果进行跟踪。