内部审计和内部控制相伴而生，彼此间的发展演变是密切交织的。

      1.内部审计发展历程。纵观国际内部审计师协会(IIA)对内部审计定义的演变，内部审计发展阶段大致分为如下四个阶段(见图1)。

      2.内部控制发展历程。回顾内部控制理论发展，内部控制大体上经历了如下五个阶段(见图2)。

      在借鉴COSO《内部控制—整合框架》《企业风险管理—整合框架》的基础上，结合我国实际，财政部等五部委于2008年出台《企业内部控制基本规范》，2010年出台《企业内部控制配套指引》。

      3.证券公司内部审计和内部控制纲领演化历程。纵观国内证券公司内审及内控相关纲领性文件的设计历程(见图3)，目前证券公司内部审计指引尚未出台，证券公司现行有效内部控制指引为2003年修订版。此外，证监会自2019年以来将《证券基金经营机构内部控制管理办法》列入立法计划，《中国证券业协会专业委员会2021年工作重点》将研究制定证券公司内部审计相关制度列入财务会计委员会工作重点。

      1.内控机制不完善，难以有效促进经营目标实现。

图3.我国证券公司内部审计和内部控制纲领演化历程

      ③忽视文化建设。企业文化在企业建立和完善内部控制的过程中发挥着基础性作用，优秀的企业文化能有效带动内部控制有效性的提升。但实际中，不少证券公司对文化建设重视不够，缺乏内在主动性，存在重发展、轻质量、重业务、轻风险的问题。内控要求被逾越，甚至串通舞弊，让内控机制形同虚设，管理问题层出不穷，都与企业文化建设缺失紧密相关。

      (2)风险评估机制不健全。风险评估是内部控制不可或缺的重要一环。虽然近年来证券公司的三道防线都在开展风险评估工作，但对每条业务线的风险情况和控制成效认识水平尚待提升，这就可能导致：一是部分重要风险未被识别、存在重大遗漏。二是对识别风险的重要程度判断不一。三是三道防线掌握的重要风险信息不一、沟通不够充分。四是对重要风险控制成效的认识不一。

      (3)控制活动脱离业务。

      ①内部控制手册应用不足。证券公司在开展内部控制体系建设工作中，总结归纳形成了一系列内控手册，一度成为内控体系建立的重要体现。但随着证券公司业务的快速发展，新业务层出不穷，原有业务也不断推陈出新，内控手册的修订远远跟不上业务的发展速度，已不能适应业务发展的需要，失去了对内部控制操作的指导意义。内控手册是否需要以及如何更新，为什么要更新，是目前证券公司的普遍困惑。

      ②加流程环节控制容易，减流程环节控制不易。控制措施不是固化的、永久性的，需在实施过程中结合风险评估开展情况进行适时增减或变更。当内外部环境发生变化，原有风险点不存在之后，相关的控制也就失去了存在的必要性。但在实际内部控制执行中，流程通常固化，人们往往形成思维定式，认为多审批总比没有审批好，多控制总比没有控制好，宁可多一道控制也不愿意减一道控制，造成内控措施冗长繁杂。

       (4)信息沟通不畅。调研与实践发现，证券公司运营中有效信息的流转不畅。一是同级部门之间没有建立有效的信息共享机制，导致各部门之间可能会出现工作的重复或缺漏;二是上下级之间信息传递链断裂或冗长，对公司决策速度或执行效率造成不良影响。此外，内控信息化的建设水平仍有待提升。如不少证券公司已建立了审计管理系统，对审计全流程进行规范，但建立更为复杂先进的审计分析系统、内控系统的证券公司仍然较少;已建立审计分析系统的，也以分支机构经纪业务为主，对公司其他业务或子公司业务的覆盖不足。

      (5)内部监督机制不健全。一是未建立内部监督制度。未通过制度对各部门特别是对内部审计部门在内部监督中的职权进行明确，也未对内部监督的程序、方法等内容作出要求。二是日常监督不足。不少证券公司主要强调专项监督，对日常监督重视不够，在企业的日常经营管理过程中未能体现监督的常态化。三是未能充分运用风险评估结果。由于不少证券公司缺乏健全有效的风险评估机制，风险评估技术不足，对监督的意义得不到充分体现。

      (1)未与公司治理有机结合，独立性和性不高。很多证券公司都在公司治理中设计了内部审计机构向董事会负责并报告工作的机制，但实际工作中未能为内部审计独立、客观开展工作提供必要保障。

      ①内部审计机构地位缺少保障。董事会、公司负责人未直接领导内部审计机构，内部审计地位不高，双方信息沟通不畅。一方面，内部审计缺少强有力的领导支持，公司章程、内部审计基本制度所赋予的内部审计应有的权限在实际工作中受到很大程度限制，内部审计部门不能参加有关的经营管理会议，有关会议材料也很少发送给内部审计机构，无法真正了解和掌握公司的热点、焦点和难点，不能涉及实质性的领域，难以发现公司经营管理中的切实问题并提出有价值的管理建议。另一方面，董事会、主要负责人无法及时、准确获知内部审计信息，听到内部审计的第二种声音，导致审计发现问题和提出的建议不被重视，问题涉及的责任部门之间推诿扯皮，不能从制度机制层面推动问题解决，整改工作难以及时到位，内部审计价值得不到充分认可、作用难以发挥。信息不畅带来的恶性循环，使内部审计越来越边缘化，难以作为公司治理的重要基石发挥应有作用。

      ②内部审计职能错位。现代内部审计职能一般包括确认和咨询，即监督和服务，但现实中往往要求内部审计参与或负责内部控制设计，甚至是经营管理的决策与执行。人们往往听到这样的声音，“内控工作归审计管，内控是审计的事”，“这是审计提的，你们去问审计要怎么做，这样做行不行”。在这种职能部门缺位、内部审计越位的情况下，一方面内部审计部门为避免越俎代庖而在某些问题方面选择失声，管理建议的输出也受到抑制;另一方面对自我参与设计的内部控制开展监督，置身其中，严重影响了审计的独立性。

      ③内部审计绩效评估机制不健全。在考评方式上，证券公司内部审计机构需接受平级部门的满意度评价，在考评内容上，以项目数量为主，未能客观反映内审质效。审计人员的薪酬绩效缺少独立保障，导致内部审计人员在审计实施过程中需要考虑质效以外的其他因素，抑制了内部审计的效果。

      (2)未真正实施风险导向审计，审计增值效果薄弱。目前很多证券公司的风险评估机制还不健全，缺少企业层面的整体风险清单，未能从整体上了解自身风险概况，将很大程度上影响风险导向审计的效果。

      ①年度审计计划难以真正与企业风险融合。在强监管的背景下，证券公司年度审计计划监管导向特征显著，分支机构常规离任、离岗审计通常占用了大部分审计资源，内审部门围绕公司经营管理活动的经济性、效率性和效果性开展的审计较少，未能在审计立项时从源头上考虑审计项目是否符合企业风险管理目标，能否为企业提供更相关和更有价值的监督和服务。

      ②风险评估机制不健全，审计项目实施难以做到风险导向。如图4所示，风险评估对内部审计的影响是持续的、全流程的。只有建立健全有效的风险评估机制，审计项目实施才有风险导向的可能。

图4.风险评估对内部审计全流程的影响

      资料来源：兴业证券审计部工作经验总结

二、证券公司内部审计与内部控制新发展的路径研究

      “十四五”规划开启新征程，证券公司内部审计和内部控制应根据“十四五”规划提出的新要求，赋予的新使命，着眼于公司发展战略，积极探索新发展的有效应对思路和应对措施，推动证券公司顺利实施“十四五”时期战略目标，实现高质量发展。

      内部审计与内部控制最终目的一致，都是对风险进行管理、促进公司治理提升，并最终实现公司目标，在实现最终目的的过程中，两者相互促进。一方面，内部控制水平的提升离不开持续有效的内部审计监督，内部审计作为内部控制体系的监督要素，以监督、评价和改善内部控制为自身的基本职责，它是对内部控制的再控制，能够通过发现、解决问题来促进内部控制的发展完善。另一方面，内部控制从内部审计实施的全过程深刻影响着内部审计质效的提升，有效的内部控制能够对被审计单位存在的问题起到预防、发现和纠正作用，为确定内部审计的范围、方法提供重要依据。

      内部控制与内部审计相互包含，你中有我，我中有你。从内部控制和内部审计的相互促进关系可以看出，一方的变化发展会同时引起另一方的改变，二者之间存在协同效应。将二者独立开来，或仅简单相加，将难以充分发挥二者作用，甚至会使二者作用大打折扣。将二者重新进行整合，将会产生“1+1>2”的效果。因此，应充分重视内部审计与内部控制的管理协同效应，促进二者良性循环，实现二者作用最大化，形成公司持续的核心竞争力。

      兴业证券一直以来高度重视内部审计和内部控制工作，深入分析、深刻理解内部审计和内部控制之间的相互促进关系，坚持系统观念，持续优化升级内部控制规范体系，不断提升内部审计发展质量和效益，大力发挥内部审计和内部控制的管理协同效应。“十四五”规划开局以来，兴业证券内部审计和内部控制更加积极着眼于公司发展战略，努力推动公司顺利实施“十四五”时期战略目标，奋力实现公司高质量发展。

(一)持续完善内控规范体系

图5.兴业证券新时代企业文化理念体系

      3.内审牵头内控评价，推动内控体系完善。兴业证券审计部每年组织实施内部控制评价，通过“定期评价、发现缺陷、整改完善”，促进内部控制体系的持续升级与优化。

      (1)推动到岗位的自我监督评价，实施全方位的体检。兴业证券审计部每年组织各单位根据业务发展变化更新维护风险控制矩阵，重新识别和评估关键风险点与关键控制活动，进行设计有效性和运行有效性测试，发现控制缺陷，落实整改。同时，利用风险控制矩阵发动全员参与其自身为控制对象的自评，促进三道防线各司其职;通过“自下而上”与“自上而下”相结合的方式实施全方位的体检。

      (2)建立集团协同内控评价工作机制，从集团整体角度提出流程优化建议。内控评价工作倡导“业审融合”理念，审计部充分利用内部审计相对独立和自身资源整合的优势，以跨部门评价为切入点，通过组织协同，穿透部门“墙”，从集团整体经营效率、部门协同、流程优化等角度开展评价，获取公司全方位、各业务、各环节的资源，通过研究比对分析，形成独立的结论，提出有价值的管理建议，推动缺陷整改，优化公司经营管理。

      1.加强党对内部审计工作领导，提高内部审计独立性和性。2020年兴业证券成立党委审计委员会，研究协调审计的主要事项包括：研究制定内部审计规章制度，审议年度审计计划，听取重大项目审计结果报告，研究讨论审计发现的重大问题及处理意见，检查落实审计报告反映问题的整改和推动审计结果运用，研究审计队伍建设及审计人员履职保障等。党委审计委员会主任委员由集团党委书记担任，委员会下设办公室在审计部，承担党委审计委员会的日常工作。通过董事会审计委员会的指导和党委审计委员会的领导，既强化了领导责任，又畅通了沟通交流机制，实现良性互动，大大提高了兴业证券内部审计的独立性和性。

      2.完善集团内部审计架构，推动集团审计垂直穿透管理。为了推进对集团重大政策措施贯彻落实情况的跟踪，聚焦重点项目审计，兴业证券对内部审计组织架构进行了一系列的优化和调整。一是在集团审计部增设二级机构非现场审计处，强化非现场审计工作，增强审计工作的时效性和覆盖面。二是明确集团审计部处室分工，改变原有根据项目临时组建审计小组的做法，各处室按照总部单位、分支机构和子公司的专业条线进行分工，以提升各团队的专业化水平，力求做深做透重点审计项目。三是强化集团审计对子公司的督导，根据下属子公司具体规模及业务情况，在兴证全球基金、兴证期货和兴证香港三家子公司设立审计部一级部门，其他子公司配备审计岗，向集团审计部报告工作，接受集团审计部指导与监督，强化集团审计对子公司的监督。

1.统筹安排审计计划，精准确定审计重点。

      (1)科学确立审计项目，合理分配审计资源。围绕“建设一流证券金融集团”战略目标，兴业证券审计部编制了内部审计战略规划，每年制订年度审计计划。在编制年度审计计划时，从公司经营管理需要、公司负责人和被审计对象期望、监管要求等多方面确定审计项目。在评估具体审计项目风险时，综合考虑了公司的战略目标、年度经营目标及经营管理活动重点，对行业、业务有重大影响的政策法规，内部控制和风险管理水平，业务的复杂程度及变化，人员能力及岗位变动等因素。

      为缓解内审工作量持续上升与内审资源紧张有限的矛盾，一方面审计部在评估项目重要性、复杂性的基础上，对审计项目进行分类管理，探索将部分重要性、复杂程度不高但数量多的常规性审计项目外包，将内部审计资源向重要、复杂审计项目倾斜;另一方面制定了《分支机构业务部负责人离任审查指引(试行)》，授权一级分公司成立审查小组，在审计部指导监督下组织开展本分公司下辖业务部负责人的离任审查工作。

      (2)分类编制审计方案，指导项目有序开展。兴业证券审计部对审计方案的编制工作高度重视。一是根据审计项目类型，分类编制审计方案，重点项目不仅需要编制总体审计方案，还要提供详细审计方案，并在审计实施过程中根据需要及时调整。二是认真做好审前调查，确定总体审计目标，根据收集的被审计单位的业务、内控、财务等资料，结合集团审计平台的“体检指标”，对具体审计事项开展风险评估，明确其重大差异或缺陷风险的高、中、低程度，确定审计重点，明细具体审计目标，细化审计程序，明确审计分工，合理安排审计资源。

2.打造精品审计项目，狠抓内控痛点难点。

      (1)推进战略导向审计，推动公司高质量发展。近年来，审计部认真践行“财富管理业务+大机构业务双轮驱动、分公司转型改革、集团协同、聚焦主业、金融科技赋能业务发展、全面风险管理”等集团公司战略导向，在各项审计项目中均将战略执行作为审计重点，突出经营计划执行、各项改革举措落地、授权执行、监管底线执行、信息技术采购、创新业务风险等事关集团重大战略导向执行方面的审计，认真总结推广战略执行先进经验，及时挖掘发现战略落实方面存在的缺陷和偏差，促进问题整改，为公司实现一流金融集团目标保驾护航。

      (2)深化经济责任审计，规范权力运行和责任落实。新形势下，集团对进一步做大做强提出了一系列新的战略要求，各级领导干部如何履职尽责、担当作为也面临新的挑战。近年来，公司审计部扎实开展各项经济责任审计工作，对领导干部落实战略、完成经营目标、三重一大决策、廉洁从业等方面予以重点关注，对审计发现一查到底，对屡查屡犯的从严问责，与此同时，更加注重从体制机制建设方面对被审计单位存在的问题进行分析研究，提出对策建议，治已病防未病，助力从严治司，促进权力规范运行，通过不断完善制度建设、加大问责与考核机制促进领导干部合规高效履职。

      (3)扎实推进安全审计，推动防控重大风险。突出金融衍生产品、风险子公司、呆账核销、金融产品、境外资产管理等高风险领域专项审计，紧盯市场、信用、流动性、操作风险等，关注海外子公司、新产品新业务等领域带来的风险，及时把握风险累计过程及成因，关注集团防范化解重大风险政策措施落实情况，进一步促进集团内部控制完善，将内控施于源头，让风险止于苗头，确保公司各项业务持续、稳定、健康发展。此外，实施公司信息安全审计，关注移动互联网、云计算、大数据、区块链、智能化等数字技术应用对公司信息安全的威胁，确保公司信息可靠、安全。

      为全面履行内部审计职责提供强有力的保障，不断提高内部审计质量、效率和效果，更好地服务新发展格局，兴业证券推动实现内部审计质量控制、信息化审计技术、内部审计成果运用等方面的变革。

1.加强内部审计质量控制。

      兴业证券审计部着力从标准化建设、过程控制、考核评价等方面，构建具有兴业特色的内部审计质量控制体系，实现对内部审计全业务、全流程的科学管理。内部审计标准化建设方面，构建不同层次的内审制度、工作流程和评价标准，建设完善制度库、问题库、信息库。同时，构建由审计新线索提供、系统新需求总结、审计经验推广等方面组成的信息流，为审计人员提供了重要资源共享和信息支持。审计项目质量控制方面，将建立完善的质量控制体系作为防范审计风险的最有效方法之一，形成项目主审、内设处总监、总经理为核心的审计质量控制团队，以审计方案制定为先导、以审计重要底稿为抓手、以审计报告为重点，强化审计全过程的质量控制。审计质量考核评价方面，遵循过程与结果并重、定性与定量结合的原则，围绕审计方案、审计重要底稿、审计报告和综合评价等方面设计考核指标，在对审计项目进行评分的基础上对审计人员进行考核评分，并将考核结果与绩效、晋升、评优相挂钩，充分调动审计人员积极性。

      (1)建设数据审计平台，以科技手段引领审计效能提升。兴业证券2009年就自主开发了非现场稽核分析系统，并在多年的非现场审计应用中不断改进，成为非现场审计中的重要手段。为落实集团审计工作专题会议提出的“加强信息系统建设，强化非现场审计”的要求，在新形势下进一步推进大数据审计工作，兴业证券2018年完成集团审计平台上线，并持续推进对集团本部各业务条线的覆盖和优化，稳步推进集团所属子公司非现场监测要点的建设。集团审计平台包含40多个数据源，包括集中交易系统、恒生内控平台、合规管理、OA系统等多个集团总部系统，兴证期货和兴证资管反洗钱管理等子公司系统数据，并引入Wind、聚源等外部资讯数据。集团审计平台包括合规管理、风险管理、财务管理、人力资源管理、办公OA管理、业务管理(包括经纪业务、信用业务、大投行业务)六大模块，实现了非现场审计监测、审计管理和审计分析三大功能。

      (2)构建大数据审计工作模式，推进数智化审计转型。审计部设立非现场审计处，由审计经验丰富和IT审计背景的审计人员组建成立“业务+数据”融合的数据分析团队，将大数据思维嵌入审计理念与方法之中，从传统的“抽样审计”向“全量审计”转变;依托集团审计平台进行数据化审计，在大数据分析的“广撒网”基础上，开展持续审计，进行“精准打击”，力求对风险早判先知，既“查病”，更“治已病”“防未病”。通过全面掌握信息，合理运用技术，在满足监管要求的基础上，有针对性地识别和评估创新业务的风险，加强对子公司和各分支机构的管控监督，实现审计关口前移、审计范围全覆盖。同时，以持续审计中的审计发现作为审计项目立项参考，促进审计项目更具针对性、时效性。

3.强化内部审计成果运用。

      兴业证券坚持协同观念，多措并举，强化内部审计成果运用。一是加强整改跟踪。建立多层次的审计发现问题整改跟踪机制，通过发文的形式要求被审计单位限时提交整改报告及整改材料，并由主审负责首次整改跟踪工作，非现场审计处负责后续整改跟踪工作。二是推动普遍性及典型问题整改。充分运用标准化问题库构建成果，梳理审计发现中各单位存在的普遍性及典型性问题，协同相关部门优化解决，促进公司管理水平提升。三是采取联席专题会议形式厘清管理边界问题。针对审计发现中存在职责不清、推诿扯皮的问题，审计部组织相关单位召开联席专题会议，通过敞开式的问题解决机制，推进问题解决。四是加强汇报管理。编制季度审计简报，及时将集团审计工作情况以及审计发现情况向公司领导汇报，有效掌握公司内部控制现状全貌。五是加大审计发现在考评工作中的应用程度。出台《审计发现问题及整改考核办法》，明确了将依据审计发现的重要程度以及整改及时性对被审计单位进行适当的考核扣分。六是强化审计问责。根据《兴业证券集团员工违规失职问责管理办法》，对于审计发现的重要缺陷、重大缺陷，以及整改不力或屡查屡犯的问题，开展权限范围内的集团员工违规失职问责工作，并指导、监督集团各单位开展员工违规失职问责工作。

      新的时代对证券公司内部审计与内部控制提出了新的要求，赋予新的使命。证券公司内部审计和内部控制不仅要把握现实的迫切需要，也要做到着眼于未来。

      1.深化数智化内控体系建设。证券公司应充分运用信息科技手段提升内部控制的能力，要以运维大数据、智能自动操作、统一监控等为抓手升级内控体系，推动内控数智化转型，与业务超融合，更好地提升公司价值。一是强化事前风险管控，系统自动识别业务风险。二是加强事中内控能力，流程与业务系统关联，实现流程可视化，实时预警风险，系统实现风险评估，自动出具风险评估报告。三是强化事后监督，根据业务开展情况，系统实现内部控制评价，自动开展内控测试、识别缺陷、出具内部控制评价报告。

      2.推动内部审计数智化转型。数字经济时代，审计技术正从审计数字化向审计数智化推进，与此并行的是风险导向审计。证券公司内部审计应充分利用智能审计系统，将公司的数据与重大风险领域的审计经验相结合，实施风险导向数智化审计转型，推进业审融合，更好地服务公司战略。一是风险评估自动化。业务、内控数智化将推动内部审计从计划、实施、报告等全过程自动识别风险信号。二是审计计划实时化。自动和实时的风险评估、预测分析和人工智能将推动年度审计计划演变为实时计划，内部审计更侧重于战略风险，常规遵循性审计可交由审计机器人完成。三是审计过程持续化。内部审计能够实时访问系统，获取所需信息，持续监测重要风险，有效抓住工作重点领域，深入了解问题产生的根本原因，提供更有效、持续的审计服务。四是审计结果共享化。内部审计与管理层全程合作，密切沟通，共享数据、信息和经验教训，通过知识共享平台的持续沟通将取代正式的审计报告。