作者:宋建波,中国人民大学商学院教授,博士生导师; 张彦松 张彦松,中国人民大学商学院硕士研究生,通讯作者 时间:2021-06-22 来源:《财务与会计》2021年第4期
2017年5月19日,随着中国证监会处理相关责任人公告的发布,国海证券股份有限公司(以下简称国海证券)“萝卜章”事件正式落下帷幕。在这起事件中,国海证券存在内部控制混乱、合规风控失效、违规事项多发等问题,引发的信用风险蔓延整个债券市场。国海证券险些发生的债务信用危机表明,金融企业的内部控制系统缺陷危害程度更大,且范围更广。监管层逐渐意识到这点,于2018年3月发布《证券公司投资银行类业务内部控制指引》。该指引提出,业务人员绩效考核标准应当合理化,防止相关人员过于“急功近利”地追求增长,而忽略了项目的质量保障。得益于国海证券的最终认账,并愿意承担所有损失,该事件才没有引发更大的信用危机。在之后的几年,国海证券的市值仍未超过2015年的峰值,可见信用损失对金融企业影响巨大。联系到西南证券重组案、中信证券内控检查不到位等问题,该事件不禁让人思考:当前内部控制信息披露要求是否同样适用于金融企业?金融企业应如何利用内部控制信息披露更好地防范风险?
自2011年《企业内部控制基本规范》发布以来,国内外学者围绕内部控制信息披露的规范作用和价值提升两大职能,对披露内部控制信息如何约束管理当局行为并创造价值进行了探讨。毛新述等(2013)指出,内部控制信息披露能够缓解企业之间的担保纠纷和借款合同纠纷,降低企业的法律风险。对于金融企业,杨增生等(2017)研究指出,内部控制良好的银行拥有更低的贷款损失准备率和不良贷款率,其信用违约风险更低。然而,在防范化解金融风险的宏观背景下,尚未有研究单独探讨过以下问题:金融企业内部控制的基本要素和信息披露有何不同;现有内部控制披露体系是否适用于整个金融行业;应如何优化金融企业内部控制信息披露的执行。2020年深交所制定的《上市公司风险分类管理办法》为精准监管、健全上市公司风险防控提供了良好的思路。笔者认为,金融企业披露的内部控制信息也应纳入公司风险分类标准中,促使金融企业切实提高内部控制信息披露质量并规范运作水平,进而实现高质量的发展。
一、文献分析与理论架构
美国COSO委员会发布的《内部控制整合框架》(COSO框架)是内部控制信息披露在国外的主流研究框架,它将内部控制的五要素界定为控制环境、风险评估、控制活动、信息与沟通以及内部监督,并明确指出内部控制信息披露的两个目标是提高企业经营管理水平和风险防范能力。林斌等(2016)基于COSO(2013)的17项原则、COSO-ERMPE(2016)的23项原则和我国《企业内部控制基本规范》要求披露的若干指标,构建了内部控制信息披露指数,将COSO框架引入我国内部控制信息披露的衡量指标。然而,宋建波等(2018)指出,由于内部控制五要素在逻辑上既不是并列也不是继起的,很多实际问题较难具体划分为这五个要素中的某一要素。在一定程度上,美国内部控制披露的要求是为注册会计师和投资人服务,而我国内部控制信息的使用者应当立足经营管理者和更广大的社会公众团体,从规范作用和价值提升两个角度归纳内部控制信息披露的经济后果则更为贴切(宋建波等,2020)。
出于与现有研究可比并反映我国国情的考虑,本文尽管沿袭了内部控制五要素的视角,但着重强调控制环境的建设,并将其主体部分融入后四个要素中,以反映“萝卜章”事件背后的内部控制建设问题。为全面发挥内部控制信息披露在我国金融企业的“看门人”角色,笔者借助规范作用和价值提升两大维度,将这一角色划分为防范金融风险与提升公司价值两个方面,并提出金融企业内部控制实践方案。与普通制造企业相比,金融企业的内部控制五要素存在较大差异,控制环境更容易受到投机文化的影响,对人员素质要求较高,其风险评估过程需要更精准的模型,控制活动需要更高的专业性。本文之所以选择案例分析的方法,是因为案例分析更有利于还原事件的始末。通过分析一家金融企业暴露的内部控制缺陷问题,能够一定程度折射整个金融行业内部控制信息披露现状。
早年研究表明,我国上市银行的内部控制披露呈现形式上合规、披露内部控制信息的动力明显不足(黄秋敏,2008;瞿旭等,2009)。徐光华等(2012)从认识论的角度指出,内部控制与财务预警体系可纳入企业风险管理框架中,形成耦合体系。这启示着金融企业也可将内部控制统一在风险管理框架之中,实现企业内部控制与风险预警体系的无缝对接。杨增生等(2017)研究指出,内部控制良好的银行拥有更低的贷款损失准备率和不良贷款率,其信用违约风险更低。与普通制造企业相比,金融企业的专业性更强,其内部控制问题更难识别。无论是理论发展还是对现实的考量,金融企业迫切需要合理有效的内部控制,更多文献应对此予以支撑。
二、案例概况
2016年12月14日,部分媒体报道“债市下跌引发华龙证券5亿违约,国海证券负责人失联”“国海资管债券爆仓,管理层全部失联”,引发社会热议。报道称,国海证券债券团队的两名负责人已经失联,他们曾冒用国海证券的名义进行债券代持,而使用的印章是私刻的。国海证券第二日发布相关公告,并以此为由拒绝在债券到期后回购债券。同月,中国证监会介入,国海证券持续停牌。司法鉴定机构将这起涉嫌公章伪造的案件判定为刑事案件。2016年12月28日,经有关部门调解,国海证券与17家涉事机构对本次事件达成共识,并签订按比例买断的协议。2017年1月19日,国海证券复牌,并公告了这一事件的处理方案。当年5月19日,中国证监会最终公布对国海证券“萝卜章”事件的处理结果,该事件正式落下帷幕。除了对相关责任主体进行处罚外,还公告宣称,国海证券存在内部管理混乱、合规风控失效、违规事项多发等问题,并希望其他证券公司引以为戒。
从事发起,外界媒体对此事的报道层出不穷,各种猜测分析也接连不断,有媒体甚至怀疑“萝卜章”事件其实为国海证券自导自演,以期主动规避债券代持可能带来的亏损,涉事两名员工不过是替罪羊而已;也有人认为确实是国海证券的内部合规失效,才导致“萝卜章”事件的发生。国海证券为此次违规行为付出了沉重代价。违规当年,净利润急剧下滑为负,次年复盘时股价跌至每股6.43元。中国证监会对国海证券采取暂停资产管理产品备案1年、暂停新开证券账户1年及暂不受理债券承销业务有关文件1年的行政监管措施,责令其在1年内限期改正,增加内部合规检查次数,并对违规人员做出撤销执业资格或任职资格的处罚。
三、金融企业内部控制要素分析与内部控制信息披露的职能
本文基于中国情境的COSO框架对“萝卜章”事件展开讨论,并围绕金融企业独特的行业背景进行分析,所有数据均来源于国海证券官网、巨潮资讯等公开渠道。
(一)控制环境分析
控制环境是内部控制要素的第一层次,发挥着统领内部控制实施形式和过程的作用。在我国,由于资本市场和审计师市场尚未完善,审计委员会职责有限,监事会成员大多由工会成员组成,而工会行使的治理职能微乎其微,因此,我国企业的控制环境相对于西方而言更为薄弱。企业文化与控制环境密不可分。王竹泉等(2010)强调企业控制文化的突出地位,并将企业文化和控制环境整合成一个二元内部控制要素框架。宋建波等(2018)指出,强调文化建设、防范道德风险不但是历史遗留的,也是现阶段我国内部环境建设应当着力解决的问题。
公司文化的缺失是“萝卜章”事件发生的第一大原因。对于金融企业,逐利导向的文化阻碍了良好内部控制环境的形成。通过网络,笔者并未在“萝卜章”事件发生之前搜索到国海证券文化建设的努力,也没有搜索到风险控制理念的相关阐述。唯一一则是2014年人民网的报道仅阐述了国海证券的“尊文化”理念,但并未提及这一文化建设应如何落实,笔者也并未在国海证券网站发现合规型文化的相关阐述。
业务结构不合理、治理层监督缺位是“萝卜章”事件发生的第二大原因。首先,相对于一般制造企业,金融企业各业务流程对专业化的要求较高,同一部门的员工不易了解其他部门的业务。为了保证业务合理、合规的开展,相同交易往往由多个相互牵制的人员负责。印章私刻与合同私印“萝卜章”反映了印章分管领导与业务谈判人员职责的缺失,可见公司内部业务部门协调不及时,有关人员权责不明。而国海证券并未将涉事职工的离职信息提前通知其他企业,加剧了“萝卜章”获得合同缔约方信任的可能性。其次,国海证券缺乏监事会或积极股东的有效监督。一方面,由于国有企业监事会主要由工会成员构成,他们不具备某一具体金融领域的专业知识,也难以控制业务行使监督权。另一方面,国海证券的现有股权结构表明,公司不存在控股股东和实际控制人。而持股比例较少的股东需要耗费全部的监督成本,也只能获得与持股份额相匹配的收益,出于成本与效益的权衡,他们缺乏动力对管理层进行监督。
(二)风险评估、控制活动和内部监督环节的有效性
风险评估、控制活动和内部监督形成了“基础——行动——反馈”的闭环,贯穿企业整个内部控制实施环节,构成内部控制框架的第二层次。与第一层次控制环境相比,第二层次涵盖了内部控制实施的具体形式和过程(宋建波等,2018)。企业通过风险评估决定需要采取的控制活动,并根据对控制活动进行监督,优化控制整个过程,同时积累风险评估的经验(如图1所示)。其中,信息与沟通是各个环节的纽带,可以整合并入其他要素之中。此外,监督举报机制的运行,业务安排的上传下达,都离不开信息与沟通。
金融企业的风险评估过程往往需要更多考虑信用风险、市场风险和流动性风险,且涵盖多种风险评估模型。信任是维系金融企业关系的纽带,而这种信任需要正式的制度予以保障。在金融企业中,公司之间往往只需要通过签字或口头的授权,基本就能达成一项交易。这就意味着业务人员具有较高的自由裁量权,可在一定程度自行决定交易方案。尽管这种方法有利于促成交易,但明显缺乏对风险的精确评估。出于自身的绩效考虑,业务员有动机签订高风险的协议,在方案实施获得收益时可得到较高报酬,在方案实施发生巨额亏损时选择“跑路”。在赋予业务员较高权力的情况下,国海证券既没有充分评估美国通货膨胀上升和国债利率反弹带来的市场风险,也没有合理预计债券无法赎回导致的信用风险、法律风险和声誉风险,其自身体制导致未能发现“萝卜章”问题。
与风险评估失败对应,国海证券员工激励约束机制失衡、资产管理业务运作违规,控制活动失灵。员工为了高额的绩效回报,滥用了自由裁量权,不惜牺牲公司的利益。任何金融企业都应明确规定交易的限额,并及时向外界披露有权签订协议人员的名单,以控制整个交易过程。国海证券显然忽略了这一风险控制过程。除了控制活动环节,国海证券的内部监督体系也存在较大缺陷。在事件前后,公司内部审计部门形同虚设。根据国海证券2015年和2016年财务报告,监事会始终没有认为公司的内部控制存在缺陷,内部审计部门也没有查出内部控制的相关问题。金融本质是为融通资金服务的,信息在其中至关重要。如果沟通不能良好贯穿于其他内部控制要素,信息流动的不畅将有损缔约方对交易的信任,进而阻碍资金流通。
(三)内部控制信息披露职能
内部控制信息披露是联结企业与报表信息使用者的桥梁。外界通过企业披露的内部控制信息了解公司的内部控制状况,并以此修正他们对公司内部治理有效性的判断。近年来,随着投行类业务的快速发展,行业普遍存在“重发展、轻质量”“重规模、轻风险”等现象。为规范投行业务,中国证监会于2018年发布《证券公司投资银行类业务内部控制指引》,希望投资银行能够通过内部控制建设完善自我约束机制,同时提高风险防范能力。在中国证监会看来,金融企业内部控制信息披露能够帮助企业树立业务全过程的风险管理规范,实现更好更高质量的发展。其中,风险防范机制是内部控制信息披露价值创造的前提,它一方面体现为对员工行为的直接规范和约束,另一方面体现在对业务风险本身的评估上。
金融企业内部控制信息披露的风险防范和价值创造职能也具有坚实的现实基础。基于金融企业内部控制五要素特征,披露内部控制信息能够帮助金融企业强化风险控制文化理念,树立员工权责分明的意识。在有效的控制环境下,风险控制小组可通过有效的业务结构安排,由下而上督促董事会和监事会等采取行动。即便是在大股东监督缺位的情况下,这种由下而上的模式也可降低监督成本,提升违规行为被发现的可能性。此外,通过披露内部控制信息,金融企业高管还将更多感知到外界监督的存在,能够更用心于建设风险评估、控制活动和内部监督的闭环体系。因为,当需要根据公司现有业务出示风险状况评估信息,并需要报告采取的控制活动和监督状况时,管理当局不得不以真实的数据说服大量分析师、投资人等具备金融知识的专业团体。
那么,我国金融企业应当披露何种内部控制信息才能满足报表使用者的需要?这需要监管机构和企业管理当局的共同努力。笔者的观点是:首先,金融企业应当在满足标准化披露要求的前提下,额外披露符合自身特点的内部控制信息。这涉及金融行业内部控制信息披露要求的修订和完善。已发布的《证券公司投资银行类业务内部控制指引》仅对投行业务的内部控制建设提出了改进,并没有阐释金融企业内部控制信息披露的具体内容或披露方法,也没有涵盖保险公司和商业银行等其他金融机构。与普通制造企业相比,金融企业业务种类较多且更为复杂,人员绩效考核模式和工作方式更具有成果导向。出于树立风险防范意识并及时识别违规行为的考虑,监管层应当单独制定金融企业内部控制信息披露要求,或在原有条款基础上新增金融企业条款。其次,金融企业应当被要求披露信用风险、市场风险、流动性风险等风险信息,并评价对业务造成的影响。具体来说:内部控制自我评价报告应当包括金融业务结构合理性的评估,不同业务分管人员的权力上限如何,以及监督机制如何及时制止不合理的交易;披露层级间的沟通机制,以揭示信息在金融企业内部的流动;对于个体金融企业,还应当补充披露公司层面的特质信息,比如人员构成、经营战略与业务的匹配、预期收益和损失确定的金额和依据等。同时,监管机构应当将金融企业内部控制考核的结果纳入《上市公司风险分类管理办法》中,因为对于金融企业来说,内部控制失灵是金融风险管理强有力的预警信号。
基于以上分析,笔者认为,金融企业披露的内部控制信息可划分为强制披露和特质披露两部分。前者是为了便于报表使用者对不同公司的比较和监督,后者旨在进一步强化报表使用者对公司的认识。无论是强制披露还是特质披露,内部控制信息披露的最终目标是将企业内部控制体系嵌入金融生态系统中,使之成为与外界信息交换的一个重要组成部分(如图2所示,箭头代表信息流)。其中:内部控制系统是企业对外信息流的过滤器,各类信息经过企业内部控制系统的过滤,流向报表使用者;企业向外界披露其内部控制状况,是为了帮助报表使用者了解这一过滤器的优劣,并以此调整他们决策前的判断。在内部控制信息的辅助下,金融企业生态系统的每一环节都可以借助信息的流动,充分利用并为投资者传播企业真实的经营信息。
四、研究结论与启示
本文以国海证券为例,在我国社会主义市场经济背景下,基于企业内部控制要素的顺序,分析了我国金融企业内部控制要素的独有特征,并为金融企业内部控制信息披露提出建议。研究结果表明,逐利导向的金融企业更需要风险控制的文化建设,而业务结构的不合理安排与治理层的缺位会使金融从业人员的舞弊行为更难识别。由于信任是联结金融企业之间的纽带,内部控制违规将具有更强的传导效应,甚至引发系统性风险。在金融企业内部控制的五要素中,控制环境作为内部控制的第一层级,是金融企业内部控制建设的基础。作为内部控制的第二层级,风险评估、控制活动、内部监督的有效运转发挥着评估金融产品风险、授权业务人员、识别违规行为的作用。信息与沟通环节则贯穿于其他内部控制要素的始终。
作为沟通企业内部和报表使用者的桥梁,内部控制信息披露能够督促企业加强内部控制建设,提升金融企业的风险防范和价值创造能力。然而,由于金融企业业务种类多、复杂程度高等特征,现有内部控制信息披露规定难以满足金融企业报表使用者的需要。为此,本文基于金融企业内部控制要素特征,针对如何规范金融企业内部控制信息披露,以及报表使用者需要何种信息,向监管者和企业管理者提出建议。笔者认为,金融企业除了进行标准化的内部控制信息披露,还需补充特质性的内部控制信息。内部控制体系不但应成为金融上市公司风险分类的重要指标,还应嵌入金融生态系统中,为企业与外界的信息交换、防范企业自身风险保驾护航。
防范金融风险有利于激发市场活力,更好满足人民日益增长的、多样化的金融需要。然而,近年来中信建投、西南证券等券商内部控制不完善暴露的问题表明,现有金融企业内部控制信息披露难以满足报表使用者的需求。对于企业界而言,为了让内部控制信息披露更好地充当金融企业的“看门人”,应当了解这一行业内部控制要素的特征,披露更高质量的内部控制信息,以此反向推动企业内部控制体系的改善,形成良性循环;对于理论界而言,更多的研究应当关注金融企业的内部控制信息披露,为金融企业内部控制信息披露政策的出台提供建议。而在宏观层面,金融企业内部控制标准应当与其他行业企业的内部控制标准有效衔接,助力整个社会治理体系的有效运行,激发市场活力,实现金融为实体经济服务的根本目标。
责任编辑 刘黎静
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 投诉举报电话:88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号
投约稿系统升级改造公告
各位用户:
为带给您更好使用体验,近期我们将对投约稿系统进行整体升级改造,在此期间投约稿系统暂停访问,您可直接投至编辑部如下邮箱。
中国财政:csf187@263.net,联系电话:010-88227058
财务与会计:cwykj187@126.com,联系电话:010-88227071
财务研究:cwyj187@126.com,联系电话:010-88227072
技术服务电话:010-88227120
给您造成的不便敬请谅解。
中国财政杂志社
2023年11月