内部控制与操作风险管理工具实践中的问题！_北京转创国际管理咨询有限公司广东分公司

公司治理、内部控制和风险管理是企业管理绕不开的三大主题，为战略、运营和人员提供着牢固的支撑。公司治理构建了能源基础设施，使得能量的供给有了可靠的运行架构；内部控制是整台机组的运行规范，让企业在正确的轨道上得以连续运转；风险管理更像是检修工、应急工、保障工，及时发现问题、提示问题、处理问题、做好应急保障。

实践中，关于内部控制与风险管理，特别是操作风险管理的边界仍存在一定的争议和困惑。我们将从管理边界、CSOX和RCSA三个具体问题抛砖引玉，谈一谈内部控制和操作风险到底区别在哪儿。

壹

管理边界

内部控制是内功修养，操作风险是工具实施，二者在“流程”和“控制”上汇聚。

我们用一张图来表示，内部控制和操作风险的管理边界：

总结一下：

内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

操作风险管理是防范由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件造成损失的一系列管理手段。

贰

CSOX vs RCSA

CSOX是企业内部控制建设和评价的缩写，是按照《企业内部控制基本规范》（财会[2008]7号）及其配套指引（财会[2010]11号，含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》）的要求建立的内部控制基本管理框架，有中国版“萨班斯”法案之称。C-SOX包含组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统18个大项。

风险与控制自我评估(RCSA)作为操作风险管理的三大工具（风险与控制自我评估、损失数据收集、关键风险指标）之一，主要是指业务流程的参与者、经营管理活动的实施者根据操作风险管理的基本原理，采用一定的方法，对业务流程、经营管理活动中存在的操作风险状况与控制措施效果进行的评价活动。其目的为建立覆盖金融机构各项经营活动的操作风险动态识别、评估机制，促进风险管理文化的转变；识别各业务部门及分支机构面临的风险点，为操作风险管理决策提供科学依据。

我们认为CSOX和RCSA在评估机制上存在较多共同点，主要表现在：

一是从监管理念看，操作风险管理办法与企业内部控制基本规范（国家金融监督管理总局发布了《银行保险机构操作风险管理办法（征求意见稿）》）均是全面风险管理的理念，具有一致性。操作风险是巴塞尔协议第一支柱下的内容。“为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益”是内控体系的目标之一，其中“风险防范”包含操作风险。

二是从职责分工来看，均为由业务部门和人员开展自评（体现风险管理第一道防线的责任）。在此基础上，引入合规、风险管理、内部审计等部门作为第二、三道防线对自评结果开展分析验证和独立评价。

三是在流程和方法上，均为基于流程的风险控制自我评估，其实施步骤都包括风险和控制识别、固有风险评估和控制评估等内容。

四是在评估标准方面，均为基于固有风险和控制有效性的剩余风险评估。其中，固有风险评估包括风险发生可能性和风险影响程度两个维度；控制有效性评估包括控制设计有效性评估和控制运行有效性评估；并在此基础上根据固有风险和控制有效性的评估结果计算剩余风险。

五是在评估时间方面，均需满足至少每年评估一次的最低要求。在此基础上，CSOX根据当年的评估结果，形成年度内部控制自我评估报告，并由外部审计师出具内控审计意见；RCSA根据剩余风险评估结果，供管理层进行风险管理决策。

实践里，许多金融机构已在不同程度上实现了两项工作的整合或工作成果共享机制；对于信托公司而言，出于成本效益考虑，我们建议将上述工作整合开展。

叁

信托公司内部控制和操作风险管理要点

信托公司内部控制和操作风险管理综合应用时应注意以下几个关键方面：

1. 搭建管理框架：信托公司应该建立完善的内部控制框架，明确定义职责和权限，并确保其符合相关法规和行业标准。这个框架应该包括风险评估和管理、控制活动、信息和沟通、监督和反馈等要素。

2. 重视流程控制：信托公司要建立清晰、适当的流程和程序，确保业务操作有迹可循。这包括制定操作手册、建立审批机制、实施分工和职责制度等，以减少人为错误和失误的风险。

3. 风险识别与评估：信托公司应当以流程为出发点，控制为脉络，对流程节点中的风险进行识别、评估和分类，这包括制定适当的政策和程序、培训员工、建立风险监测和报告机制等。

4. 资产保护措施：信托公司需要采取措施来保护自身及信托资产，防止欺诈行为和非法访问。这可以通过建立安全控制措施、使用技术保障、限制访问权限等方式实现。

5. 内部监督和审计：信托公司应该设立独立的内部审计部门或聘请外部审计机构，对业务进行监督和审计，确保内部控制的有效性和合规性。

6. 全员内控意识培养：信托公司应该加强员工对内控文化及操作风险的认识和理解，提供相关培训和教育，鼓励员工主动报告内控缺陷并参与操作风险管理活动。

综上所述，信托公司内部控制和操作风险管理是保障公司运营稳健、风险可控的重要环节。通过建立有效的内部控制机制和操作风险管理体系，信托公司能够及时发现和应对潜在的风险，确保业务的安全性和可持续发展。