常輝弘家族辦公室《內(nèi)部控制與操作風(fēng)險(xiǎn)管理工具實(shí)踐中的問(wèn)題》：公司治理、內(nèi)部控制和風(fēng)險(xiǎn)管理是企業(yè)管理的三大核心主題，它們?yōu)槠髽I(yè)戰(zhàn)略運(yùn)營(yíng)和人員提供了堅(jiān)實(shí)的支持。公司治理為能源基礎(chǔ)設(shè)施提供了可靠的運(yùn)行架構(gòu)，確保能源的供給；內(nèi)部控制則是企業(yè)運(yùn)行的規(guī)范，保證企業(yè)在正確的軌道上持續(xù)發(fā)展；風(fēng)險(xiǎn)管理則是檢修工、應(yīng)急工和保障工，及時(shí)發(fā)現(xiàn)問(wèn)題并處理問(wèn)題，為企業(yè)提供應(yīng)急保障。然而，在實(shí)踐中，關(guān)于內(nèi)部控制和風(fēng)險(xiǎn)管理，特別是操作風(fēng)險(xiǎn)管理的邊界仍存在爭(zhēng)議和困惑。因此，本文將從管理邊界、CSOX和RCSA三個(gè)具體問(wèn)題入手，探討內(nèi)部控制和操作風(fēng)險(xiǎn)的區(qū)別。

管理邊界：內(nèi)部控制是內(nèi)功修養(yǎng)，操作風(fēng)險(xiǎn)是工具實(shí)施，二者在"流程"和"控制"上有所不同。我們用一張圖來(lái)表示內(nèi)部控制和操作風(fēng)險(xiǎn)的管理邊界。

總結(jié)一下：內(nèi)部控制由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工實(shí)施，旨在實(shí)現(xiàn)控制目標(biāo)的過(guò)程。內(nèi)部控制的目標(biāo)是保證企業(yè)經(jīng)營(yíng)管理合法合規(guī)，資產(chǎn)安全、財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整，提高經(jīng)營(yíng)效率和效果，促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略。操作風(fēng)險(xiǎn)管理是防范由不完善或有問(wèn)題的內(nèi)部程序、員工和信息科技系統(tǒng)以及外部事件造成損失的一系列管理手段。CSOX是企業(yè)內(nèi)部控制建設(shè)和評(píng)價(jià)的縮寫，是根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》(財(cái)會(huì)[2008]7號(hào))及其配套指引(財(cái)會(huì)[2010]11號(hào))、《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制審計(jì)指引》的要求建立的內(nèi)部控制基本管理框架，被譽(yù)為中國(guó)版的“薩班斯法案”。C-SOX包括組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會(huì)責(zé)任、企業(yè)文化、資金、活動(dòng)、采購(gòu)、業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開(kāi)發(fā)、工程項(xiàng)目、擔(dān)保業(yè)務(wù)、業(yè)務(wù)外包、財(cái)務(wù)報(bào)告、全面預(yù)算、合同管理、內(nèi)部信息傳遞和信息系統(tǒng)18個(gè)大項(xiàng)風(fēng)險(xiǎn)與控制自我評(píng)估。(RCSA)作為操作風(fēng)險(xiǎn)管理的三大工具之一，主要指業(yè)務(wù)流程的參與者、經(jīng)營(yíng)管理活動(dòng)的實(shí)施者根據(jù)操作風(fēng)險(xiǎn)管理的基本原理采用一定的方法對(duì)業(yè)務(wù)流程、經(jīng)營(yíng)管理活動(dòng)中存在的操作風(fēng)險(xiǎn)狀況與控制措施效果進(jìn)行的評(píng)價(jià)活動(dòng)。RCSA的目的是建立覆蓋金融機(jī)構(gòu)各項(xiàng)經(jīng)營(yíng)活動(dòng)的操作風(fēng)險(xiǎn)動(dòng)態(tài)識(shí)別評(píng)估機(jī)制，促進(jìn)風(fēng)險(xiǎn)管理文化的轉(zhuǎn)變；識(shí)別各業(yè)務(wù)部門及分支機(jī)構(gòu)面臨的風(fēng)險(xiǎn)點(diǎn)，為操作風(fēng)險(xiǎn)管理決策提供科學(xué)依據(jù)。我們認(rèn)為CSOX和RCSA在評(píng)估機(jī)制上存在較多共同點(diǎn)，主要表現(xiàn)在：·首先，從監(jiān)管理念上看，《銀行保險(xiǎn)機(jī)構(gòu)操作風(fēng)險(xiǎn)管理辦法(征求意見(jiàn)稿)》和企業(yè)內(nèi)部控制基本規(guī)范(國(guó)家金融監(jiān)督管理總局發(fā)布)都秉持著全面風(fēng)險(xiǎn)管理的理念，具有一致性。操作風(fēng)險(xiǎn)是巴塞爾協(xié)議第一支柱下的內(nèi)容。

·其次，為了加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營(yíng)管理水平和風(fēng)險(xiǎn)防范能力，促進(jìn)企業(yè)可持續(xù)發(fā)展，維護(hù)社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)公眾利益，是內(nèi)控體系的目標(biāo)之一。其中“風(fēng)險(xiǎn)防范”包括操作風(fēng)險(xiǎn)，這也是其與操作風(fēng)險(xiǎn)管理辦法的一致性所在。在職責(zé)分工方面，業(yè)務(wù)部門和人員承擔(dān)第一道防線的責(zé)任，合規(guī)風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)等部門則作為第二、三道防線對(duì)自評(píng)結(jié)果進(jìn)行分析驗(yàn)證和獨(dú)立評(píng)價(jià)。

·第三，在流程和方法上，兩者都采用基于流程的風(fēng)險(xiǎn)控制自我評(píng)估，實(shí)施步驟包括風(fēng)險(xiǎn)和控制識(shí)別、固有風(fēng)險(xiǎn)評(píng)估和控制評(píng)估等。

·第四，在評(píng)估標(biāo)準(zhǔn)方面，兩者均采用基于固有風(fēng)險(xiǎn)和控制有效性的剩余風(fēng)險(xiǎn)評(píng)估，其中固有風(fēng)險(xiǎn)評(píng)估包括風(fēng)險(xiǎn)發(fā)生可能性和風(fēng)險(xiǎn)影響程度兩個(gè)維度；有效性評(píng)估和控制運(yùn)行有效性評(píng)估，并根據(jù)固有風(fēng)險(xiǎn)和控制有效性的評(píng)估結(jié)果計(jì)算剩余風(fēng)險(xiǎn)。

·第五，在評(píng)估時(shí)間方面，兩者均需滿足至少每年評(píng)估一次的最低要求。在這一點(diǎn)上，CSOX根據(jù)當(dāng)年的評(píng)估結(jié)果形成年度內(nèi)部控制自我評(píng)估報(bào)告，并由外部審計(jì)師出具內(nèi)控審計(jì)意見(jiàn)；RCSA則根據(jù)剩余風(fēng)險(xiǎn)評(píng)估結(jié)果供管理層進(jìn)行風(fēng)險(xiǎn)管理決策。實(shí)踐中，許多金融機(jī)構(gòu)已經(jīng)在不同程度上實(shí)現(xiàn)了兩項(xiàng)工作的整合或工作成果共享機(jī)制；對(duì)于信托公司而言，出于成本效益考慮，我們建議將上述工作整合開(kāi)展信托公司內(nèi)部控制和操作風(fēng)險(xiǎn)管理，綜合應(yīng)用時(shí)應(yīng)注意以下幾個(gè)關(guān)鍵方面：

1.搭建管理框架：信托公司應(yīng)該建立完善的內(nèi)部控制框架，明確職責(zé)和權(quán)限，確保符合相關(guān)法規(guī)和行業(yè)標(biāo)準(zhǔn)。這個(gè)框架應(yīng)該包括風(fēng)險(xiǎn)評(píng)估和管理、控制活動(dòng)信息和溝通監(jiān)督和反饋等要素。

2.重視流程控制：信托公司要建立清晰適當(dāng)?shù)牧鞒毯统绦?，確保業(yè)務(wù)操作有跡可循，這包括制定操作手冊(cè)、建立審批機(jī)制、實(shí)施分工和職責(zé)制度等，以減少人為錯(cuò)誤和失誤的風(fēng)險(xiǎn)。

3.風(fēng)險(xiǎn)識(shí)別與評(píng)估：信托公司應(yīng)當(dāng)以流程為出發(fā)點(diǎn)，控制為脈絡(luò)對(duì)流程節(jié)點(diǎn)中的風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估和分類。這包括制定適當(dāng)?shù)恼吆统绦颍嘤?xùn)員工、建立風(fēng)險(xiǎn)監(jiān)測(cè)和報(bào)告機(jī)制等。

4.資產(chǎn)保護(hù)措施：信托公司需要采取措施來(lái)保護(hù)自身及信托資產(chǎn)，防止欺詐行為和非法訪問(wèn)。外部文件操作行為無(wú)審計(jì)。這可以通過(guò)建立安全控制措施使用技術(shù)保障、限制訪問(wèn)權(quán)限等方式實(shí)現(xiàn)。信托公司應(yīng)設(shè)立獨(dú)立的內(nèi)部審計(jì)部門或聘請(qǐng)外部審計(jì)機(jī)構(gòu)對(duì)業(yè)務(wù)進(jìn)行監(jiān)督和審計(jì)，以確保內(nèi)部控制的有效性和合規(guī)性。

·6.全員內(nèi)控意識(shí)培養(yǎng)：信托公司應(yīng)加強(qiáng)員工對(duì)內(nèi)控文化及操作風(fēng)險(xiǎn)的認(rèn)識(shí)和理解，提供相關(guān)培訓(xùn)和教育，鼓勵(lì)員工主動(dòng)報(bào)告內(nèi)控缺陷，并參與操作風(fēng)險(xiǎn)管理活動(dòng)。

綜上所述，信托公司的內(nèi)部控制和操作風(fēng)險(xiǎn)管理是確保公司運(yùn)營(yíng)穩(wěn)健、風(fēng)險(xiǎn)可控的重要環(huán)節(jié)。通過(guò)建立有效的內(nèi)部控制機(jī)制和操作風(fēng)險(xiǎn)管理體系，信托公司能夠及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)潛在的風(fēng)險(xiǎn)，確保業(yè)務(wù)的安全性和可持續(xù)性。