常輝弘家族辦公室《內(nèi)部控制與操作風(fēng)險管理工具實踐中的問題》:公司治理、內(nèi)部控制和風(fēng)險管理是企業(yè)管理的三大核心主題,它們?yōu)槠髽I(yè)戰(zhàn)略運營和人員提供了堅實的支持。公司治理為能源基礎(chǔ)設(shè)施提供了可靠的運行架構(gòu),確保能源的供給;內(nèi)部控制則是企業(yè)運行的規(guī)范,保證企業(yè)在正確的軌道上持續(xù)發(fā)展;風(fēng)險管理則是檢修工、應(yīng)急工和保障工,及時發(fā)現(xiàn)問題并處理問題,為企業(yè)提供應(yīng)急保障。然而,在實踐中,關(guān)于內(nèi)部控制和風(fēng)險管理,特別是操作風(fēng)險管理的邊界仍存在爭議和困惑。因此,本文將從管理邊界、CSOX和RCSA三個具體問題入手,探討內(nèi)部控制和操作風(fēng)險的區(qū)別。
管理邊界:內(nèi)部控制是內(nèi)功修養(yǎng),操作風(fēng)險是工具實施,二者在"流程"和"控制"上有所不同。我們用一張圖來表示內(nèi)部控制和操作風(fēng)險的管理邊界。
總結(jié)一下:內(nèi)部控制由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施,旨在實現(xiàn)控制目標(biāo)的過程。內(nèi)部控制的目標(biāo)是保證企業(yè)經(jīng)營管理合法合規(guī),資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整,提高經(jīng)營效率和效果,促進(jìn)企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。操作風(fēng)險管理是防范由不完善或有問題的內(nèi)部程序、員工和信息科技系統(tǒng)以及外部事件造成損失的一系列管理手段。CSOX是企業(yè)內(nèi)部控制建設(shè)和評價的縮寫,是根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》(財會[2008]7號)及其配套指引(財會[2010]11號)、《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制審計指引》的要求建立的內(nèi)部控制基本管理框架,被譽為中國版的“薩班斯法案”。C-SOX包括組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會責(zé)任、企業(yè)文化、資金、活動、采購、業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開發(fā)、工程項目、擔(dān)保業(yè)務(wù)、業(yè)務(wù)外包、財務(wù)報告、全面預(yù)算、合同管理、內(nèi)部信息傳遞和信息系統(tǒng)18個大項風(fēng)險與控制自我評估。(RCSA)作為操作風(fēng)險管理的三大工具之一,主要指業(yè)務(wù)流程的參與者、經(jīng)營管理活動的實施者根據(jù)操作風(fēng)險管理的基本原理采用一定的方法對業(yè)務(wù)流程、經(jīng)營管理活動中存在的操作風(fēng)險狀況與控制措施效果進(jìn)行的評價活動。RCSA的目的是建立覆蓋金融機(jī)構(gòu)各項經(jīng)營活動的操作風(fēng)險動態(tài)識別評估機(jī)制,促進(jìn)風(fēng)險管理文化的轉(zhuǎn)變;識別各業(yè)務(wù)部門及分支機(jī)構(gòu)面臨的風(fēng)險點,為操作風(fēng)險管理決策提供科學(xué)依據(jù)。我們認(rèn)為CSOX和RCSA在評估機(jī)制上存在較多共同點,主要表現(xiàn)在:·首先,從監(jiān)管理念上看,《銀行保險機(jī)構(gòu)操作風(fēng)險管理辦法(征求意見稿)》和企業(yè)內(nèi)部控制基本規(guī)范(國家金融監(jiān)督管理總局發(fā)布)都秉持著全面風(fēng)險管理的理念,具有一致性。操作風(fēng)險是巴塞爾協(xié)議第一支柱下的內(nèi)容。
·其次,為了加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制,提高企業(yè)經(jīng)營管理水平和風(fēng)險防范能力,促進(jìn)企業(yè)可持續(xù)發(fā)展,維護(hù)社會主義市場經(jīng)濟(jì)秩序和社會公眾利益,是內(nèi)控體系的目標(biāo)之一。其中“風(fēng)險防范”包括操作風(fēng)險,這也是其與操作風(fēng)險管理辦法的一致性所在。在職責(zé)分工方面,業(yè)務(wù)部門和人員承擔(dān)第一道防線的責(zé)任,合規(guī)風(fēng)險管理、內(nèi)部審計等部門則作為第二、三道防線對自評結(jié)果進(jìn)行分析驗證和獨立評價。
·第三,在流程和方法上,兩者都采用基于流程的風(fēng)險控制自我評估,實施步驟包括風(fēng)險和控制識別、固有風(fēng)險評估和控制評估等。
·第四,在評估標(biāo)準(zhǔn)方面,兩者均采用基于固有風(fēng)險和控制有效性的剩余風(fēng)險評估,其中固有風(fēng)險評估包括風(fēng)險發(fā)生可能性和風(fēng)險影響程度兩個維度;有效性評估和控制運行有效性評估,并根據(jù)固有風(fēng)險和控制有效性的評估結(jié)果計算剩余風(fēng)險。
·第五,在評估時間方面,兩者均需滿足至少每年評估一次的最低要求。在這一點上,CSOX根據(jù)當(dāng)年的評估結(jié)果形成年度內(nèi)部控制自我評估報告,并由外部審計師出具內(nèi)控審計意見;RCSA則根據(jù)剩余風(fēng)險評估結(jié)果供管理層進(jìn)行風(fēng)險管理決策。實踐中,許多金融機(jī)構(gòu)已經(jīng)在不同程度上實現(xiàn)了兩項工作的整合或工作成果共享機(jī)制;對于信托公司而言,出于成本效益考慮,我們建議將上述工作整合開展信托公司內(nèi)部控制和操作風(fēng)險管理,綜合應(yīng)用時應(yīng)注意以下幾個關(guān)鍵方面:
1.搭建管理框架:信托公司應(yīng)該建立完善的內(nèi)部控制框架,明確職責(zé)和權(quán)限,確保符合相關(guān)法規(guī)和行業(yè)標(biāo)準(zhǔn)。這個框架應(yīng)該包括風(fēng)險評估和管理、控制活動信息和溝通監(jiān)督和反饋等要素。
2.重視流程控制:信托公司要建立清晰適當(dāng)?shù)牧鞒毯统绦?,確保業(yè)務(wù)操作有跡可循,這包括制定操作手冊、建立審批機(jī)制、實施分工和職責(zé)制度等,以減少人為錯誤和失誤的風(fēng)險。
3.風(fēng)險識別與評估:信托公司應(yīng)當(dāng)以流程為出發(fā)點,控制為脈絡(luò)對流程節(jié)點中的風(fēng)險進(jìn)行識別、評估和分類。這包括制定適當(dāng)?shù)恼吆统绦?,培?xùn)員工、建立風(fēng)險監(jiān)測和報告機(jī)制等。
4.資產(chǎn)保護(hù)措施:信托公司需要采取措施來保護(hù)自身及信托資產(chǎn),防止欺詐行為和非法訪問。外部文件操作行為無審計。這可以通過建立安全控制措施使用技術(shù)保障、限制訪問權(quán)限等方式實現(xiàn)。信托公司應(yīng)設(shè)立獨立的內(nèi)部審計部門或聘請外部審計機(jī)構(gòu)對業(yè)務(wù)進(jìn)行監(jiān)督和審計,以確保內(nèi)部控制的有效性和合規(guī)性。
·6.全員內(nèi)控意識培養(yǎng):信托公司應(yīng)加強(qiáng)員工對內(nèi)控文化及操作風(fēng)險的認(rèn)識和理解,提供相關(guān)培訓(xùn)和教育,鼓勵員工主動報告內(nèi)控缺陷,并參與操作風(fēng)險管理活動。
綜上所述,信托公司的內(nèi)部控制和操作風(fēng)險管理是確保公司運營穩(wěn)健、風(fēng)險可控的重要環(huán)節(jié)。通過建立有效的內(nèi)部控制機(jī)制和操作風(fēng)險管理體系,信托公司能夠及時發(fā)現(xiàn)和應(yīng)對潛在的風(fēng)險,確保業(yè)務(wù)的安全性和可持續(xù)性。
版權(quán)聲明:本文內(nèi)容由互聯(lián)網(wǎng)用戶自發(fā)貢獻(xiàn),該文觀點僅代表作者本人。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如發(fā)現(xiàn)本站有涉嫌抄襲侵權(quán)/違法違規(guī)的內(nèi)容, 請發(fā)送郵件至 舉報,一經(jīng)查實,本站將立刻刪除。