常輝弘家族辦公室《內(nèi)部控制與操作風(fēng)險管理工具實踐中的問題》：公司治理、內(nèi)部控制和風(fēng)險管理是企業(yè)管理的三大核心主題，它們?yōu)槠髽I(yè)戰(zhàn)略運營和人員提供了堅實的支持。公司治理為能源基礎(chǔ)設(shè)施提供了可靠的運行架構(gòu)，確保能源的供給；內(nèi)部控制則是企業(yè)運行的規(guī)范，保證企業(yè)在正確的軌道上持續(xù)發(fā)展；風(fēng)險管理則是檢修工、應(yīng)急工和保障工，及時發(fā)現(xiàn)問題并處理問題，為企業(yè)提供應(yīng)急保障。然而，在實踐中，關(guān)于內(nèi)部控制和風(fēng)險管理，特別是操作風(fēng)險管理的邊界仍存在爭議和困惑。因此，本文將從管理邊界、CSOX和RCSA三個具體問題入手，探討內(nèi)部控制和操作風(fēng)險的區(qū)別。

管理邊界：內(nèi)部控制是內(nèi)功修養(yǎng)，操作風(fēng)險是工具實施，二者在"流程"和"控制"上有所不同。我們用一張圖來表示內(nèi)部控制和操作風(fēng)險的管理邊界。

總結(jié)一下：內(nèi)部控制由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施，旨在實現(xiàn)控制目標(biāo)的過程。內(nèi)部控制的目標(biāo)是保證企業(yè)經(jīng)營管理合法合規(guī)，資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。操作風(fēng)險管理是防范由不完善或有問題的內(nèi)部程序、員工和信息科技系統(tǒng)以及外部事件造成損失的一系列管理手段。CSOX是企業(yè)內(nèi)部控制建設(shè)和評價的縮寫，是根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》(財會[2008]7號)及其配套指引(財會[2010]11號)、《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制審計指引》的要求建立的內(nèi)部控制基本管理框架，被譽為中國版的“薩班斯法案”。C-SOX包括組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會責(zé)任、企業(yè)文化、資金、活動、采購、業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開發(fā)、工程項目、擔(dān)保業(yè)務(wù)、業(yè)務(wù)外包、財務(wù)報告、全面預(yù)算、合同管理、內(nèi)部信息傳遞和信息系統(tǒng)18個大項風(fēng)險與控制自我評估。(RCSA)作為操作風(fēng)險管理的三大工具之一，主要指業(yè)務(wù)流程的參與者、經(jīng)營管理活動的實施者根據(jù)操作風(fēng)險管理的基本原理采用一定的方法對業(yè)務(wù)流程、經(jīng)營管理活動中存在的操作風(fēng)險狀況與控制措施效果進行的評價活動。RCSA的目的是建立覆蓋金融機構(gòu)各項經(jīng)營活動的操作風(fēng)險動態(tài)識別評估機制，促進風(fēng)險管理文化的轉(zhuǎn)變；識別各業(yè)務(wù)部門及分支機構(gòu)面臨的風(fēng)險點，為操作風(fēng)險管理決策提供科學(xué)依據(jù)。我們認(rèn)為CSOX和RCSA在評估機制上存在較多共同點，主要表現(xiàn)在：·首先，從監(jiān)管理念上看，《銀行保險機構(gòu)操作風(fēng)險管理辦法(征求意見稿)》和企業(yè)內(nèi)部控制基本規(guī)范(國家金融監(jiān)督管理總局發(fā)布)都秉持著全面風(fēng)險管理的理念，具有一致性。操作風(fēng)險是巴塞爾協(xié)議第一支柱下的內(nèi)容。

·其次，為了加強和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營管理水平和風(fēng)險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經(jīng)濟秩序和社會公眾利益，是內(nèi)控體系的目標(biāo)之一。其中“風(fēng)險防范”包括操作風(fēng)險，這也是其與操作風(fēng)險管理辦法的一致性所在。在職責(zé)分工方面，業(yè)務(wù)部門和人員承擔(dān)第一道防線的責(zé)任，合規(guī)風(fēng)險管理、內(nèi)部審計等部門則作為第二、三道防線對自評結(jié)果進行分析驗證和獨立評價。

·第三，在流程和方法上，兩者都采用基于流程的風(fēng)險控制自我評估，實施步驟包括風(fēng)險和控制識別、固有風(fēng)險評估和控制評估等。

·第四，在評估標(biāo)準(zhǔn)方面，兩者均采用基于固有風(fēng)險和控制有效性的剩余風(fēng)險評估，其中固有風(fēng)險評估包括風(fēng)險發(fā)生可能性和風(fēng)險影響程度兩個維度；有效性評估和控制運行有效性評估，并根據(jù)固有風(fēng)險和控制有效性的評估結(jié)果計算剩余風(fēng)險。

·第五，在評估時間方面，兩者均需滿足至少每年評估一次的最低要求。在這一點上，CSOX根據(jù)當(dāng)年的評估結(jié)果形成年度內(nèi)部控制自我評估報告，并由外部審計師出具內(nèi)控審計意見；RCSA則根據(jù)剩余風(fēng)險評估結(jié)果供管理層進行風(fēng)險管理決策。實踐中，許多金融機構(gòu)已經(jīng)在不同程度上實現(xiàn)了兩項工作的整合或工作成果共享機制；對于信托公司而言，出于成本效益考慮，我們建議將上述工作整合開展信托公司內(nèi)部控制和操作風(fēng)險管理，綜合應(yīng)用時應(yīng)注意以下幾個關(guān)鍵方面：

1.搭建管理框架：信托公司應(yīng)該建立完善的內(nèi)部控制框架，明確職責(zé)和權(quán)限，確保符合相關(guān)法規(guī)和行業(yè)標(biāo)準(zhǔn)。這個框架應(yīng)該包括風(fēng)險評估和管理、控制活動信息和溝通監(jiān)督和反饋等要素。

2.重視流程控制：信托公司要建立清晰適當(dāng)?shù)牧鞒毯统绦?，確保業(yè)務(wù)操作有跡可循，這包括制定操作手冊、建立審批機制、實施分工和職責(zé)制度等，以減少人為錯誤和失誤的風(fēng)險。

3.風(fēng)險識別與評估：信托公司應(yīng)當(dāng)以流程為出發(fā)點，控制為脈絡(luò)對流程節(jié)點中的風(fēng)險進行識別、評估和分類。這包括制定適當(dāng)?shù)恼吆统绦?，培?xùn)員工、建立風(fēng)險監(jiān)測和報告機制等。

4.資產(chǎn)保護措施：信托公司需要采取措施來保護自身及信托資產(chǎn)，防止欺詐行為和非法訪問。外部文件操作行為無審計。這可以通過建立安全控制措施使用技術(shù)保障、限制訪問權(quán)限等方式實現(xiàn)。信托公司應(yīng)設(shè)立獨立的內(nèi)部審計部門或聘請外部審計機構(gòu)對業(yè)務(wù)進行監(jiān)督和審計，以確保內(nèi)部控制的有效性和合規(guī)性。

·6.全員內(nèi)控意識培養(yǎng)：信托公司應(yīng)加強員工對內(nèi)控文化及操作風(fēng)險的認(rèn)識和理解，提供相關(guān)培訓(xùn)和教育，鼓勵員工主動報告內(nèi)控缺陷，并參與操作風(fēng)險管理活動。

綜上所述，信托公司的內(nèi)部控制和操作風(fēng)險管理是確保公司運營穩(wěn)健、風(fēng)險可控的重要環(huán)節(jié)。通過建立有效的內(nèi)部控制機制和操作風(fēng)險管理體系，信托公司能夠及時發(fā)現(xiàn)和應(yīng)對潛在的風(fēng)險，確保業(yè)務(wù)的安全性和可持續(xù)性。