常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)

常辉弘家族办公室《内部控制与操作风险管理工具实践中的问题》:公司治理、内部控制和风险管理是企业管理的三大核心主题,它们为企业战略运营和人员提供了坚实的支持。公司治理为能源基础设施提供了可靠的运行架构,确保能源的供给;内部控制则是企业运行的规范,保证企业在正确的轨道上持续发展;风险管理则是检修工、应急工和保障工,及时发现问题并处理问题,为企业提供应急保障。然而,在实践中,关于内部控制和风险管理,特别是操作风险管理的边界仍存在争议和困惑。因此,本文将从管理边界、CSOX和RCSA三个具体问题入手,探讨内部控制和操作风险的区别。

管理边界:内部控制是内功修养,操作风险是工具实施,二者在"流程"和"控制"上有所不同。我们用一张图来表示内部控制和操作风险的管理边界。

总结一下:内部控制由企业董事会、监事会、经理层和全体员工实施,旨在实现控制目标的过程。内部控制的目标是保证企业经营管理合法合规,资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。操作风险管理是防范由不完善或有问题的内部程序、员工和信息科技系统以及外部事件造成损失的一系列管理手段。CSOX是企业内部控制建设和评价的缩写,是根据《企业内部控制基本规范》(财会[2008]7号)及其配套指引(财会[2010]11号)、《企业内部控制应用指引》、《企业内部控制审计指引》的要求建立的内部控制基本管理框架,被誉为中国版的“萨班斯法案”。C-SOX包括组织架构、发展战略、人力资源、社会责任、企业文化、资金、活动、采购、业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统18个大项风险与控制自我评估。(RCSA)作为操作风险管理的三大工具之一,主要指业务流程的参与者、经营管理活动的实施者根据操作风险管理的基本原理采用一定的方法对业务流程、经营管理活动中存在的操作风险状况与控制措施效果进行的评价活动。RCSA的目的是建立覆盖金融机构各项经营活动的操作风险动态识别评估机制,促进风险管理文化的转变;识别各业务部门及分支机构面临的风险点,为操作风险管理决策提供科学依据。我们认为CSOX和RCSA在评估机制上存在较多共同点,主要表现在:·首先,从监管理念上看,《银行保险机构操作风险管理办法(征求意见稿)》和企业内部控制基本规范(国家金融监督管理总局发布)都秉持着全面风险管理的理念,具有一致性。操作风险是巴塞尔协议第一支柱下的内容。

常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)

·其次,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,是内控体系的目标之一。其中“风险防范”包括操作风险,这也是其与操作风险管理办法的一致性所在。在职责分工方面,业务部门和人员承担第一道防线的责任,合规风险管理、内部审计等部门则作为第二、三道防线对自评结果进行分析验证和独立评价。

·第三,在流程和方法上,两者都采用基于流程的风险控制自我评估,实施步骤包括风险和控制识别、固有风险评估和控制评估等。

常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)

·第四,在评估标准方面,两者均采用基于固有风险和控制有效性的剩余风险评估,其中固有风险评估包括风险发生可能性和风险影响程度两个维度;有效性评估和控制运行有效性评估,并根据固有风险和控制有效性的评估结果计算剩余风险。

常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)

·第五,在评估时间方面,两者均需满足至少每年评估一次的最低要求。在这一点上,CSOX根据当年的评估结果形成年度内部控制自我评估报告,并由外部审计师出具内控审计意见;RCSA则根据剩余风险评估结果供管理层进行风险管理决策。实践中,许多金融机构已经在不同程度上实现了两项工作的整合或工作成果共享机制;对于信托公司而言,出于成本效益考虑,我们建议将上述工作整合开展信托公司内部控制和操作风险管理,综合应用时应注意以下几个关键方面:

1.搭建管理框架:信托公司应该建立完善的内部控制框架,明确职责和权限,确保符合相关法规和行业标准。这个框架应该包括风险评估和管理、控制活动信息和沟通监督和反馈等要素。

2.重视流程控制:信托公司要建立清晰适当的流程和程序,确保业务操作有迹可循,这包括制定操作手册、建立审批机制、实施分工和职责制度等,以减少人为错误和失误的风险。

3.风险识别与评估:信托公司应当以流程为出发点,控制为脉络对流程节点中的风险进行识别、评估和分类。这包括制定适当的政策和程序,培训员工、建立风险监测和报告机制等。

常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)

4.资产保护措施:信托公司需要采取措施来保护自身及信托资产,防止欺诈行为和非法访问。外部文件操作行为无审计。这可以通过建立安全控制措施使用技术保障、限制访问权限等方式实现。信托公司应设立独立的内部审计部门或聘请外部审计机构对业务进行监督和审计,以确保内部控制的有效性和合规性。

·6.全员内控意识培养:信托公司应加强员工对内控文化及操作风险的认识和理解,提供相关培训和教育,鼓励员工主动报告内控缺陷,并参与操作风险管理活动。

常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)

综上所述,信托公司的内部控制和操作风险管理是确保公司运营稳健、风险可控的重要环节。通过建立有效的内部控制机制和操作风险管理体系,信托公司能够及时发现和应对潜在的风险,确保业务的安全性和可持续性。

常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)常辉弘:内部控制与操作风险管理的边界与困惑(内部控制和操作风险)

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。