證券投資基金公司內部控制規范：社會屬性和中國框架

尹 波（教授），宋 君，王 磊（副教授），尹 超

一、引言

理論上說，證券投資基金對于改善證券市場格局、優化上市公司治理結構起到了重要作用，然而現實中證券投資基金未能充分發揮其預期效應，反而給資本市場的健康發展帶來困惑。究其原因，這既與市場環境和外部監管有關，也與證券投資基金內部控制有關。為規范市場，以證監會為代表的各部門和組織加大了對證券投資基金行業的監管力度，先后頒布《證券投資基金法》和《證券投資基金公司內部控制指導意見》等法律法規。需要指出的是，這些內部控制法律規范，如《證券投資基金管理公司內部控制指導意見》（2002）頒布時的情形與現在有較大的變化，盡管《證券投資基金法》在2015年進行了修訂，但總體而言，證券投資基金內部控制理論和規范需要結合當前國情和行業情況，進行系統規范和完善，而現有相關研究很少涉及。

十九大報告指出，我國經濟已由高速增長階段轉向高質量發展階段。圍繞服務實體經濟、防控風險和深化改革，證券基金仍然是金融體系中的一個短板，完善基金公司內部控制規范建設、提高證券基金供給體系質量是當前一項重要且緊迫的任務。有鑒于此，本文以習近平總書記中國特色社會主義理論為指導，通過對企業內部控制理論的系統梳理，明確證券投資基金公司內部控制規范的技術構成和社會屬性，提出完善我國證券投資基金內部控制規范的邏輯思路、技術框架和要素內容，為新時代證券基金管理質量品牌的提升提供理論和管理參考。

二、企業內部控制理論

1.技術屬性。美國COSO企業風險管理整合框架將內部控制嵌入企業風險管理框架；引入風險容量和風險容限概念，將風險評估細化為目標制定、事項識別、風險評估和風險管理環節[1]。董月超[2]提出內部控制是一個動態的風險管理過程。劉霄侖[3]認為COSO內部控制框架的核心是風險管理而不是企業目標的實現。李維安和戴文濤[4]從內部控制和風險管理的概念入手，指出風險管理和內部控制是兩個同義的概念。謝志華[5]則認為內部控制和風險管理是兩種不同視角的語義表達。本文認為內部控制和風險管理作為管理活動，內部控制的核心是預期目標和達成目標的風險之間的平衡，即從風險管理角度而言，內部控制即風險管理，但風險管理整合框架和內部控制整合框架可大可小。COSO企業風險管理整合框架（2003）包含了內部控制，COSO內部控制整合框架（2013）也包含了企業風險管理。2013年，COSO發布《內部控制—整合框架》（2013）。目前，COSO整合框架是運用最為廣泛的框架模型。

2.社會屬性。COSO內部控制整合框架（2013）指出內部控制應嵌入組織和社會背景中。樊行健和肖光紅[6]通過對內部控制演變過程的縱向分析和對美國、加拿大、英國等國內部控制的橫向比較，認為企業內部控制是內生于管理需要的企業管理活動，既有技術性又有社會性。

相比西方國家的研究，20世紀我國學者和業界主要關注的是內部牽制和內部會計控制。2000年后，關于內部控制的文獻大量出現。2000～2010年期間，內部控制相關研究文獻共計236篇，涉及內部控制文獻介紹、概念界定、相關理論、公司治理和戰略管理、控制環境、內部控制制度和執行、評價和信息披露、審計、信息化和其他10個類別共38個子類[7]。價值導向的內部控制框架由控制環境、目標與預算、風險識別與應對、控制程序和方法、信息及溝通、績效評價與激勵、監控7要素構成[8]。內部控制包括與企業治理控制（與所有權相對應）、企業管理控制（與經營權相聯系）和企業作業控制（與崗位職責相聯系）三個層次，治理層面控制是內部控制的最高層級[9]。控制結構包括制衡關系和監督關系，制衡關系是平等的雙向牽制和制衡，監督關系是單向的上級對下級的控制[5]。王海兵等[10]在深入分析人和內部控制系統之間相互關系的基礎上，提出人本內部控制的概念，建立了以企業社會責任管理為核心的人本內部控制戰略框架。王竹泉和隋敏[11]基于人性假設、傳統文化、我國歷史和企業管理理論的綜合分析，構建了內部控制“企業文化+控制結構”的二元理論。

三、證券投資基金公司內部控制規范整合框架

（一）邏輯構成

在企業內部控制基本框架領域，當前運用最為廣泛的是COSO內部控制整合框架（2013）。有鑒于此，本文以COSO內部控制整合框架（2013）為分析框架，在17條原則（principle）對應的要素內容上，綜合上述法律法規，對不同法律規范中的某項條款進行歸納整理，對可能有不同闡述的條款，整理過程遵循法律、條例、規范和指引優先次序，即按照新法規優先舊法規、行業職能監管部門優先同級其他監管部門的次序，形成相關內容的最大公約集合，嘗試構建一個我國證券投資基金公司內部控制整合框架，如下圖所示。

我國證券投資項目公司內部控制整合框架邏輯構成圖

（二）技術工具

（三）社會屬性

《企業內部控制基本規范》及其相關文件和《證券投資基金管理公司內部控制指導意見》及其相關文件，從概念和業務層面對證券投資基金公司內部控制進行了規定和闡述，具有鮮明的社會屬性。

1.企業內部控制基本規范。我國現行企業內部控制法規體系包括法律、條例、規范和指引四個層面。法律是由全國人大及其常委會制定的，效力最高，其名稱通常是《XX法》。條例、規定和辦法等是國家最高行政機關國務院制定的規范性文件，行政法規的效力僅次于國家法律。地方立法機關、國務院各部委等制定的地方法律和部門規制，盡管其名稱通常也是《XX條例》《XX辦法》《XX規定》，但其效力更低，屬于執行法律或國務院文件的事項，只在其權限范圍或地域范圍內施行。條例與規定和辦法相比，主要特點是所涉及的事項性質更重要、范圍更寬、內容概括度更高、有效時間和空間范圍更廣闊、穩定性更強，只有國務院有權使用。辦法與規定相比，所涉及事項性質相對較輕，針對性更強，內容也更詳盡和具體，更具可操作性。規定介于條例和辦法之間。當各項法規發生沖突時，上位法效力大于下位法，新法優于舊法，特別法優于一般法。法律和國務院制定的規范性文件屬于嚴格法的范疇，而地方立法機關和國務院各部委等制定的條例、辦法、規定、準則和指導意見等屬于廣義法的范疇。

將現有的內部控制相關法律法規區分為嚴格法層面和廣義法層面。在廣義法層面，按照約束力的大小，區分為規定辦法層面和規范指引層面。涉及內部控制的國家法律主要有：1994年頒布的《審計法》、1999年頒布的《會計法》、2013年頒布的《公司法》。涉及內部控制的行政條例主要有：《總會計師條例》（1990）、《企業財務會計報告條例》（2000）、《審計法實施條例》（2010）等。涉及內部控制的準則規范主要有：《內部會計控制規范（試行）》（2001）、《企業財務通則》（2006）、《審計署關于內部審計工作的規定》（2003）、《企業內部控制基本規范》（2008）、《國家審計準則》（2010）等。涉及內部控制的指引解釋主要有：《企業內部控制配套指引》（2010），包括《企業內部控制應用指引》（2010）、《企業內部控制評價指引》（2010）和《企業內部控制審計指引》（2010）、《企業內部控制規范體系實施中相關問題解釋第1號》（2012）和《企業內部控制規范體系實施中相關問題解釋第 2號》（2012）等。在銀行、保險、證券等領域以及國資委系統，有更具體的內部控制法律規范等[12]。具體內容如表1所示。

這些法律規范從會計、財務和審計等視角，從原則、規定、指引和解釋等層面對企業內部控制體系進行了構建和闡述，涉及控制環境、公司治理、組織文化、業務流程等要素，其中2008年5月財政部會同證監會、審計署、銀監會、保監會制定的《企業內部控制基本規范》是企業內部控制建設與實施遵循的基本原則和總體要求。2010年4月發布的《企業內部控制配套指引》是對《企業內部控制基本規范》的補充和說明。《企業內部控制規范體系實施中相關問題解釋第1號》（2012）和《企業內部控制規范體系實施中相關問題解釋第 2號》（2012）對前述兩個文件在執行中出現的反饋問題給予了更明確具體的解釋，這些共同構成了一個以企業內部控制為核心的完整的規范體系。

表1 企業內部控制法規體系

2.證券投資基金公司內部控制基本規范。作為內部控制的一般法律規范，企業內部控制規范同樣適用于證券投資基金公司，對于具有國資背景的證券投資基金公司，國資系統內部控制規范同樣適用。除此之外，與證券投資基金公司內部控制相關的行業法律法規有《證券投資基金法》（2015年修訂）、《證券投資基金管理公司管理辦法》（2012）、《證券投資基金管理公司內部控制指導意見》（2002）、《證券投資基金行業高級管理人員任職管理辦法》（2004）等，具體內容如表2所示。

這些法律規范從會計、財務和審計等視角，從原則、規定、指引和解釋等層面對證券投資基金公司內部控制體系構建提供了框架、方法和流程，涉及基金公司內部治理、高級管理人員任職規范、督察長管理辦法、基金發行和募集、投資、交易、信息披露、基金公司年報格式等各個方面，其中2015年修訂的《證券投資基金法》、《證券投資基金管理公司管理辦法》（2012）和《證券投資基金管理公司內部控制指導意見》（2002）構成了一個以證券投資基金公司內部控制為核心的完整的法律規范體系。伴隨企業內部控制理論的發展和證券投資基金行業的快速發展，2002年頒布的《證券投資基金管理公司內部控制指導意見》有些與當前實際脫節，亟需進一步完善更新。

表2 證券投資基金內部控制法規體系

3.規范整合。通過前述分析，可以得出證券投資基金公司內部控制規范主要由兩個規范體系構成，一個是《企業內部控制基本規范》及其相關文件，另外一個是《證券投資基金管理公司內部控制指導意見》及其相關文件。兩個規范文件體系從概念和業務層面對證券投資基金公司內部控制進行了規定和闡述。由于《企業內部控制基本規范》和《證券投資基金管理公司內部控制指導意見》是這兩個法規體系的框架文件，通過對比這兩個內部控制指導文件，可以從框架、目標和要素對證券投資基金公司內部控制規范進行更完整和深入的認識。

首先指出的,是3D的局限性。3D的局限性,有狹義與廣義之分。從狹義上（單號）說,它只能在十個數內出號的,即0123456789,它有天大的本事,也出不到第十一位去。從廣義上（單選和組選）說,它只能在“000”到“999”這一千個數內出號,永遠出不了第一千零一個。即豹子（三個號相同）10個,組三（兩個號相同）90個,組六（三個號不同）900個。

從文件名稱、發布時間、實施時間、適用對象、內控定義、內控目標、內控要素、內控內容對《企業內部控制基本規范》和《證券投資基金管理公司內部控制指導意見》進行比較分析。容易看出，對于內控目的、內控定義、內控目標和內控要素，盡管《企業內部控制基本規范》和《證券投資基金管理公司內部控制指導意見》的表述有所不同，但其基本語義是一樣或類似的，主要差別就是內控內容。《企業內部控制基本規范》從企業管理一般屬性出發，內控內容包括組織架構、發展戰略、人力資源、社會責任、企業文化、資金活動（籌集、投資和運營）、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞、信息系統、內部控制評價和內部控制審計等，具有一般性；而《證券投資基金管理公司內部控制指導意見》主要關注具有證券投資基金行業特點的內控內容，如投資管理業務控制（涉及研究業務、投資決策業務、交易業務）、信息披露、信息技術系統、會計系統、監察稽核等，具有針對性。兩者相互補充，形成更系統和更完整的理論和實踐指導。

《企業內部控制基本規范》和《證券投資基金管理公司內部控制指導意見》均以內部環境（或控制環境）、風險評估、控制活動、信息與溝通、內部監督為要素結構，由于兩者導向不同，其在內部環境、風險評估、控制活動、信息與溝通和內部監督要素的內容和要求上既有共同之處，也有很多差異，通過比較和整合，可以拓展和細化證券投資基金公司內部控制理論和規范。

（四）整合框架

結合前文分析，提出我國證券投資基金公司內部控制整合框架，具體分為公司層面和業務層面。公司層面從控制環境、風險評估、控制活動、信息與溝通、內部監督等五要素按照17個原則分別進行評價，匯總評價結果，形成對五大要素的評價結論，并匯總五要素評估結果，對內部控制整體有效性進行評價。

1.控制環境。由于我國證券投資基金公司內部控制環境與企業內部控制環境基本類似，限于篇幅，證券投資基金公司內部控制原則1～原則5從略。

2.風險評估。

原則6：設定清晰明確的目標，以識別和評估相關風險。①確保經營管理合法合規。②受托資產安全，財務報告和相關信息真實、準確、完整。③不斷提高經營效率，促進公司實現發展戰略。

原則7：對風險進行全范圍識別和分析，并以此為基礎來決定應如何管理風險。①風險識別應當覆蓋公司各個業務環節，涵蓋所有風險類型，包括市場風險、信用風險、流動性風險、操作風險、合規風險、聲譽風險和子公司管控風險等。②準確識別內部風險（人力資源因素、管理因素、創新因素、財務因素、安全環保因素等）和外部風險（經濟因素、法律因素、社會因素、科技因素、自然因素等），確定相應的風險承受度。③確定關注重點和優先控制的風險。④結合風險承受度，權衡風險與收益，確定風險應對策略。⑤綜合運用風險規避、風險降低、風險分擔和風險承受等風險應對策略，實現對風險的有效控制。⑥在風險識別過程中，對業務流程進行梳理和評估，并對業務流程中的主要風險點實施相應的控制措施，明確相應的控制人員，不斷完善業務流程。⑦建立清晰的風險事件登記制度和風險應對考評管理制度，明確風險事件的等級、責任追究機制和跟蹤整改要求。

原則8：在評估影響目標實現的風險時，應考慮潛在舞弊行為。①防范員工利用內幕信息或其他非公開信息牟利，防范商業賄賂。②通過制度流程、系統監控、核查檢查等控制措施加強員工管理。

原則9：識別并評估對其內部控制體系可能造成重大影響的改變。①定期回顧已識別的風險，并及時了解和研究新法規、新業務、新產品、新的金融工具等。②結合不同發展階段和業務拓展情況，進行風險動態評估。

3.控制活動。

原則10：選擇并執行影響其目標實現的將風險降至可接受水平的控制活動。①根據內部控制目標，結合風險應對策略，對各種業務和事項實施有效控制，如預算、運營、財產、授權、信息技術、不相容職務分離、績效考評、重大風險預警和突發事件應急處理、反舞弊控制等活動。②重要業務部門和崗位應當進行物理隔離。③投資和交易、交易和清算、基金會計和公司會計等重要崗位不得有人員的重疊。④制定切實有效的應急應變措施，建立危機處理機制和程序。

原則11：針對信息技術，應選擇并執行一般控制活動以支持其目標的實現。①對業務電子化設置保密系統和相應控制機制，并保證計算機系統的可稽性。②信息技術系統投入運行前，應當經過業務、運營、監察稽核等部門的聯合驗收。③通過嚴格的授權制度、崗位責任制度、門禁制度、內外網分離等管理措施，確保系統安全運行。

原則12：通過政策和程序來實施控制活動。政策是建立預期，程序將政策付諸行動。①實施全面預算管理制度。明確各責任單位在預算管理中的職責權限，規范預算的編制、審定、下達和執行程序，強化預算約束。②嚴格制定信息系統的管理制度。③建立運營情況分析制度，經理層應當綜合運用各方面信息，定期分析運營情況。④建立和實施績效考評制度。⑤建立重大風險預警機制和突發事件應急處理機制。⑥嚴格執行國家會計準則，明確會計處理程序，保證會計資料真實完整。⑦建立財產日常管理制度和定期清查制度。⑧分析、梳理業務流程中所涉及的不相容職務，實施分離措施。⑨根據常規授權和特別授權的規定，進行授權審批控制。

4.信息溝通。

原則13：獲取、生成和使用高質量、相關的信息來支持內部控制的持續運行。①通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道，獲取內部信息。②通過行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網絡媒體以及有關監管部門等渠道，獲取外部信息。③對內部信息和外部信息進行篩選、核對、整合，提高信息有用性。④利用信息技術促進信息的集成、共享、開發與安全運行。

原則14：在內部對控制目標和責任等必要信息進行溝通，支持內部控制持續運行。①將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間進行溝通和反饋。②重要信息應當及時傳遞給董事會、監事會和經理層。③建立重要業務處理憑據傳遞和信息溝通制度。④建立舉報投訴制度和舉報人保護制度。

原則15：就影響內部控制發揮作用的事項與外部溝通。①維護信息溝通渠道的暢通，建立清晰的報告系統。②與外部溝通和反饋內部控制相關信息。③及時報告發現的問題并加以解決。

5.內部監督。

原則16：選擇開展并實施持續單獨評估，以確認內部控制的各要素存在并持續運行。①設置督察員和獨立監察稽核部門。督察員由董事會聘任，對董事會負責。②對公司內部控制制度的執行情況進行持續的監督，保證內部控制制度的落實。③定期對內部控制的有效性進行自我評價，出具自我評價報告。可聘請有業務資格的會計師事務所進行審計。④定期評價內部控制的有效性，根據市場環境、新的金融工具、新的技術應用和新的法律法規等情況，適時改進。

原則17：評價內部控制缺陷，并及時與責任方溝通，必要時與高級管理層和董事會溝通。①制定內部控制缺陷（設計缺陷和運行缺陷）認定標準。②結合內部監督情況，提出整改方案，及時向董事會、監事會或者經理層報告。

此外，業務層面對各業務流程關鍵控制點進行評價，通過穿行測試、抽樣測試等方法評價其設計及執行的有效性等。業務層面評價用于支撐公司層面評價。限于篇幅從略。

四、結語

本文重點探討了企業內部控制的技術屬性和社會屬性，其在不同國家因制度環境、運行機制和作用方式不同而有區別。盡管受到西方國家特別是美國的影響，但我國內部控制研究仍然需要針對我國的管理實際和管理需要獨立展開，具有緊貼國情、注重實效和獨立判斷的研究價值。

新時代證券投資基金公司內部控制管理需要進一步提升內部控制規范質量。本文以COSO內部控制整合框架（2013）為技術工具，以我國現有企業內部控制制度規范和證券投資基金公司內部控制制度規范互為補充，嘗試提出我國證券投資基金公司內部控制規范的整合框架，為相關研究提供技術參考。