关于证券公司建立企业风险管理体系的探讨

【摘要】近年来从监管部门到证券公司都意识到了金融的核心本质是风险管理，并提出风险管理是证券公司的核心竞争力。但对于风险管理和内部控制二者之间的关系，理论界和实践操作却存在模糊的认识。本文着手从二者的理论发展历程入手，梳理两者之间的区别与联系，结合证券公司的发展和管理现状，提出个人建议。

【关键词】风险管理 内部控制 证券公司

一、引言

内部控制与风险管理理论在不同的经济环境下各自经历了不同的发展阶段。两者之间以及两者与企业经营管理之间的到底关系如何，目前学术界对此亦是争议颇多。

二、内部控制与风险管理理论演进历程综述

（一）内部控制

内部控制的理论大致经历了四个阶段的演变，前期分别经历以纠错防弊为主要目的的内部牵制阶段、主要考虑与会计有关的内部控制制度阶段以及内部控制结构阶段，1992年美国“全国虚假财务报告委员会”下属的“发起组织委员会”（简称COSO委员会）发布了《内部控制——整体框架》，并分别于1994年、2013年作了更新，一般认为此为内部控制理论的第四个阶段——内部控制整体框架阶段，这个框架第一次系统地构建了企业的内部控制体系，提出了内部控制系统三大目标和五大要素①。这个框架至今仍得到各国监管机构和国际组织的广泛认可与采纳。

（二）风险管理

风险管理理论的发展前期主要经历两个阶段：传统纯粹不利风险管理阶段、以概率论和数理统计应用为基础的微观金融方法理论阶段。

第三个阶段为企业风险管理整合框架阶段。21世纪初，随着安然、世通等一连串财务舞弊事件的爆发，2002年美国颁布重典《萨班斯—奥克斯利法案》》，从管理者、内外部审计等几个层面对公司内控作了具体规定，并设定了严苛的问责机制和相应的惩罚措施。结合SOX法案对内控的要求，2004年9月COSO委员会《企业风险管理——整合框架》（ERM）应运而生。该框架是在《内部控制——整体框架》基础上进行拓展的。包括拓展另一类更高层次的目标即“战略目标”；丰富构成要素并更加关注目标制定、事项识别、风险评估和风险应对；强调风险组合观；兼顾考虑对目标实现不利的“风险”和正面影响的潜在“机会”；确定回避、降低、分担和承受等四类风险应对措施；拓展了信息与沟通要素。

由于经营环境和风险日趋复杂化，COSO委员会牵头于2016年6月份发表了新版的ERM征求意见草案，此次草案摒弃了传统关于风险“负面影响”局限性概念，将风险的定义为“影响战略和经营目标实现的事项发生的可能性”；将企业风险管理的定义为“组织在创造、保持、实现价值的过程中依靠文化、能力和实践并结合战略的制定和执行对风险进行管理”。与现行版本相比，它强调的企业风险管理不仅是“过程”，而是包括了文化、能力，认为文化是企业风险管理的一个重要方面，文化影响着员工的行为，影响着他/她对风险的定义、评估和回应；同样，企业风险管理为企业提供核心能力，企业寻求各种具有竞争力的优势从而为企业创造价值，一个具备适应变化能力的企业更具恢复力，并且更能在市场和资源紧张的环境下发展；强调风险管理不是静止的，是持续应用于上下各组织层级的所有活动范围，是管理决策的组成部分，目的在于帮助组织内员工更好的理解其战略，了解组织制定了何种经营目标，存在何种风险，可承受的风险程度，风险如何影响绩效，以及如何管理风险。反过来，这种理解支持各层级制定决策。新版的ERM草案的特点是企业通过实施该框架进而进一步发挥全面风险管理在战略制定、治理结构、与利益相关者的沟通以及评定绩效过程中的作用，将风险管理的发力点提前至战略制订环节。

基于以上分析可以看出，企业风险管理和内部控制两者都是实现企业管理的一部分。内部控制倾向于为经营目标、合规目标和报告目标的实现提供合理的保证，帮助企業评估实现上述目标可能存在的风险，以及如何将这些风险控制在可承受范围之内；而现代理论下的企业风险管理是在融合了内部控制的基础上进一步拓展、外延，在一些方面又超出了内部控制，虽然还没得到广泛的推广，但推行显然有利于促进企业战略与经营目标更紧密地相联，从而有助于提高绩效，从而创造、保持和实现自身价值。

三、我国现状

（一）内部控制规范体系

我国关于内部控制的建设要求源于1999年的修订版《会计法》，首次以法律的形式对建立健全内部控制提出原则要求；2001年财政部发布《内部会计控制规范——基本规范（试行）》，但主要是强调内部会计及与会计相关的控制；2008年财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》。这个基本规范主要是借鉴《内部控制——整体框架》，按照五大要素提出相关要求。该《规范》要求上市公司范围内施行，鼓励非上市的大中型企业执行。在此期间，2003年证监会发布《证券公司内部控制指引》，主要基于公司治理、各项业务类别的控制活动、监督、检查与评价等方面做出规范要求。

（二）风险管理规范体系

2006年6月我国国资委发布了第一份关于全面风险管理的指导性文件——《中央企业全面风险管理指引》，用以指导国资委履行出资人职责的企业（中央企业）开展全面风险管理工作。指引将企业风险定义为“未来的不确定性对企业实现其经营目标的影响。”指引文件所称全面风险管理指“企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”可见国资委的这份指引融入了内部控制体系，而且对风险的定义更接近于COSO新版的ERM草案。

而在证券行业方面，前期不管是2006年中国证监会发布的《证券公司风险控制指标管理办法》，还是2011年中国证券业协会发布的《证券公司压力测试指引（试行）》，均是借鉴巴塞尔协议体系，仅对证券公司资本管理策略方面作出规范要求。直至2014年中国证券业协会才发布了首份与风险管理相关的文件——《证券公司全面风险管理规范》，推动证券公司建立健全全面风险管理体系，并于2016年12月进行修订。在这份管理规范文件中，主要倾向于对纯粹不利风险的管理。endprint

从上述分析我们可以看出，《证券公司内部控制指引》及现行的五部委《企业内部控制基本规范》倾向于关注企业日常一般性经营活动内部控制方面的规范；《证券公司全面风险管理规范》主要倾向基于纯粹不利风险管理进行规范。证券行业现行的内部控制和风险管理监管规范体系互相割裂、独立。

四、基于证券行业现状提出建议

（一）业务发展现状

我国证券行业历经10多年规范发展，2012年起才开始尝试融资类业务、大宗商品交易、托管业务、境外投资和外汇业务等，同时大力发展资产管理业务。从2007年到2015年之间，我国证券公司的净资产从0.34万亿元增长至1.45万亿元，但是从2013～2016年收入结构上看，传统经纪业务平均占比仍然一直高居40%左右，其他业务收入占比增长缓慢，经纪业务和集合资产管理业务方面同质化现象仍然严重，经纪业务平均佣金率持续下滑。相比国内证券公司的收入来源结构，资产/财富管理及投资银行业务对于国外成熟投行的收入贡献较高，且投资银行业务的收入来源主要为并购重组、财务顾问业务，国内证券公司投资银行业务收入则主要来源于证券承销。

除了个别优秀券商已初步实现发展转型之外，大部分券商仍然未实现有效的各类资源整合及其他业务利润来源的突破，如何实现差异化竞争、多元化发展显然是摆在证券公司眼前迫在眉睫的关键问题。

（二）经营管理现状

相对于瞬息万变的市场变幻和行业发展态势，我国证券公司在企业经营管理方面的工具和方法总体还相对滞后。从上市的证券公司定期披露内部控制评价报告来看，多数评价常常以满足信息披露和合规要求为主，与精细化管理、支持业务长远发展和企业战略的目标还有一定距离，而非上市证券公司在公司治理、内部控制缺陷的自我识别、监测、纠正与评价等方面还未建立起长效机制。大部分证券公司的风险管理起步于2014年底，人才储备与管理经验未能有效跟进业务量激增、新业务和新技术的发展。

2016年6月证监会修订发布《证券公司风险控制指标管理办法》，对证券公司的资本实力要求进一步提高。在此监管背景下，为了抢占业务先机，证券公司纷纷补充资本。为此，证券公司需面临股东对于资本回报的压力、差异化竞争的经营压力和经营国际化的挑战。

（三）建议

一个行业的发展程度除了受外部经济、科技、政治与法律、社会和文化环境影响之外，最重要的莫非自身管理水平的考量。国外成熟投行的成功一方面表现为有强大的客户基础及市场影响力，另一方面则表现为拥有优秀的企业经营管理能力。

今后我国证券公司业务范围趋势将从通道业务、资金中介类业务进一步扩展至资本业务；竞争模式从单纯的获取客户资源转变为全方位核心竞争力。如果分析核心竞争力的根源，则可以包括战略规划、公司治理、人力资本储备、管理协同和创新机制等方面。显而易见，在面临当前国内外纷繁复杂、更迭变幻莫测的金融环境下，证券行业迫切需要从不同维度促进提升全面风险管理能力，寻求各种具有竞争力的优势从而为企业创造价值，而不仅仅考虑如何管理不利风险。而借鉴企业风险管理框架，将企业风险管理前置到战略制订环节，提高决策有效性和资源利用效率，使得经营目标与风险和机遇更加紧密相联，从而提升企业价值，将对促进证券行业提高金融服务实体经济效率具有积极的意义。

注释

①《内部控制——整体框架》提出内控目标包括经营的有效性和效率、财务报告的可靠性、法律法规的遵循；内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督等要素组成。

参考文献

[1]公司治理·内部控制前沿译丛.方红星.王宏共同译的《企业风险管理——整合框架》（美COSO制定发布）.

[2]COSO企业风险管理框架修订版（2016征求意见稿）.

[3]张志明.企业风险管理框架简介.财会通讯综合，20014年第8期.

[4]李维安，戴文涛.公司治理、内部控制、风险管理的关系框架——基于战略管理视角，审计与经济研究，2013年第4期.

[5]王东.国外风险管理理论研究综述.金融发展研究，第2期.

[6]王稳，王东.企业风险管理理论的演进与展望.审计研究，2010年第4期.

[7]申万研究所.证券公司核心竞争力评价及研究.中國证券第10期.

作者简介：郑清霞（1976-），女，汉族，福建福州人，供职于华福证券有限责任公司。endprint