规划内部控制建设蓝图，打造内控治理标杆

一、背景：

自2019年6月第一家银行理财子公司正式开业三年以来，全国共有30家银行理财子公司获批筹建，其中包括6家国有大行、12家股份制银行、7家城商行、1家农商行以及4家合资银行。截至 2022年6月末，理财子公司存续产品规模人民币19.14万亿元，同比增长91.21%，在理财市场存续规模中占比达到65.66%，已成为中国资管市场的重要新兴力量。2022年8月22日，中国银行保险监督管理委员会（以下简称银保监会）在公开征求意见四个月后，正式发布《理财公司内部控制管理办法》(银保监会令2022年第4号)，要求理财公司对各项业务活动和管理活动制定全面、系统、规范的内控制度体系，并至少每年进行一次全面评估。这里的理财公司，范围不仅包括在中华人民共和国境内依法设立的商业银行理财子公司，还包括银保监会批准设立的其他主要从事理财业务的非银行金融机构。
 

二、理财公司监管架构逐步完善

《理财公司内部控制管理办法》（以下简称《办法》）与《人民银行 银保监会 证监会 外汇局关于规范金融机构资产管理业务的指导意见》（银发〔2018〕106号）、《商业银行理财业务监督管理办法》（中国银行保险监督管理委员会令2018年第6号）、和《商业银行理财子公司管理办法》（中国银行保险监督管理委员会令2018年第7号）共同构成理财公司内控管理的基本框架。《办法》的制定是对理财业务和理财公司监督管理的原则性要求的细化和补充以及对理财公司内部控制标准的统一规范。

《办法》延续了2014年《商业银行内部控制指引》的管理框架，同时充分参考、借鉴了公募基金公司和基金行业监管的相关规则，推动了同类资管业务监管标准的统一。目前监管实行公司治理、业务、科技、数据四位一体立体式监管模型，理财公司监管架构逐步完善。在尚未明确出台明细监管要求的场景，各家理财公司也可参考银保监会针对商业银行的相关监管要求，并适当借鉴证监会公募基金公司的监管要求，进一步完善内控体系。

三、《理财公司内部控制管理办法》解读

全文由总则、内部控制职责、内部控制活动、内部控制保障、内部控制监督与附则六大章节构成，共四十六条规定，分别从制度适用范围与原则、管理体系建设、内控执行管理要求、内控保障体系与内控评价体系建设要求等方面，对理财公司内部控制管理做出了具体规定。

1. 时间表要求：

《办法》自2022年8月22日发布施行，过渡期为自施行之日起六个月，不符合办法规定的，应当在过渡期内完成整改。理财公司应当在过渡期结束前逐项对照《办法》要求向银保监会及其派出机构提交内控自评报告，确保将《办法》各项规定内化为自身制度和操作实践。
 

2. 内部控制职责：

要点1：理财公司应当建立分工合理、职责明确、相互制衡的内部控制组织架构

(1) 明确董监高在内部控制管理中职责，同时明确理财公司与股东的管理隔离，理财公司董事长、监事长和高级管理人员原则上专职化的要求。

• 理财公司董事会对内部控制的有效性承担最终责任，监事会（或者不设监事会的理财公司监事，下同）履行监督职责，高级管理层负责具体执行。
  
  
• 理财公司董事长、监事长和高级管理人员原则上不得由理财公司股东、实际控制人及其关联方的人员兼任。“原则上”的保留，意味着在满足风险隔离要求和利益冲突防控要求并获得监管提前认可下可获得豁免的可能性。
   

(2) 设立首席合规官。负责对内部控制建设和执行情况进行审查、监督和检查，并可以直接向董事会和监管部门报告，并由董事会考核，更好发挥其监督制衡作用。

• 理财公司应当在高级管理层设立首席合规官，首席合规官为高级管理员成员，并直接向董事会负责，对本机构内部控制建设和执行情况进行审查、监督和检查，并可以直接向董事会和银保监会及其派出机构报告。
  
  
• 首席合规官应当对理财公司内部控制相关制度、重大决策、产品、业务等进行审查，并出具书面审查意见。
  
  
• 首席合规官不得兼任和从事直接影响其独立性的职务和活动。
  
  
• 由董事会对其任命、考核和解聘，其任职资格需获得行政许可。
  
  
• 应当保障首席合规官开展工作所需的知情权和调查权等，确保首席合规官能够充分履职。
   

(3) 明确内部控制三道防线相关部门的具体职责

• 董事会应当指定专门部门作为内部控制职能部门，牵头内部控制体系的统筹规划、组织落实、检查评估和督促整改。原则上由首席合规官分管。
  
  保障：理财公司应当在人员数量和资质、薪酬和其他激励政策、信息系统访问权限、信息系统建设以及内部信息渠道等方面，给予内部控制职能部门足够的支持。
  
  
• 内部审计部门应当对内部控制制度建设、执行情况和有效性进行审计，及时向董事会、监事会报告发现问题并监督整改。内部审计工作应当独立于业务经营、风险管理和内控合规。
  
  
• 各部门应当对内部控制制度建设、执行情况等开展自查自评，及时向董事会、监事会、高级管理层或相关部门报告发现问题并进行整改。
  

要点2: 理财公司应当针对内部控制风险较高的部门和业务环节，制定专门的内部控制要点和管理流程。

我们建议理财公司应针对新产品设计、销售管理、投资交易管理、产品存续期管理、运营管理、信息科技等领域，制定专门的内部控制要点和管理流程。理财公司也可识别公司治理层面、业务流程层面和信息科技层面的重要风险点和业务环节，建立内部控制手册。
 

3. 内部控制活动：

要点3：完善投资管理分级授权机制，健全覆盖理财产品、账户和交易制度全流程管理

要点4：完善风险管理体系，加强重要岗位关键人员全方位管理，强化信息管理与风险隔离

对标国内外资管行业良好监管实践，《办法》实行重要岗位关键人员全方位管理，强化信息披露、信息隔离，进一步完善关联交易、风险准备金等规定执行的具体操作要求。

要点5：重视投资者权益保护，设置专职岗位并配备与业务规模相匹配的人员，严格实施事前协调、事中管控和事后监督，建立有效的投资者投诉处理机制，定期研究、分析信访事项。
 

要点6：按照反洗钱、反恐怖融资及非居民金融账户涉税信息尽职调查等法律法规要求履行相关职责
 

要点7：完善投资人员公示、托管机构及投资电话、渠道和投诉处理流程的公示机制

4. 内部控制保障：

要点8：加强各项业务环节管理的信息化、流程化、自动化，建立健全安全、合规、高效、可靠并且与内部控制相匹配的业务和管理等系统。 

本次办法中新增明确要求的信息系统控制主要包括如下要求，相较理财公司开业期必备的资产管理系统、投资交易系统、TA系统、财务系统、反洗钱系统外，各家公司还应关注以下应用的建设：

要点9：加强网络安全和数据安全管理，健全投资者信息处理管理制度，保护投资者个人信息安全。

理财公司应当参考网络安全法、数据安全法和中华人民共和国个人信息保护法的要求，识别个人信息在数据采集、数据生成、数据存储、数据创数、数据应用与归档、数据销毁等流程，全面梳理个人信息处理生命周期过程中的风险点，管理措施和技术手段，明确优化的流程节点和内容，全面收集投资者必要信息，切实落地投资者信息保护。
 

要点10：健全数据质量控制制度和流程，指定专门部门负责数据质量管理，确保数据信息真实、完整、连续、准确和可追溯，不得迟报、漏报、错报或瞒报。

理财公司应当建立完善自身的数据质量监控体系，目前银保监会、人民银行、外管局及理财交易登记中心都在不断完善理财子公司的监管数据报送规范要求，要求各家理财子公司报送全量产品、员工、投资标的、账务、底层资产情况，涉及百余张监管报表与统计指标。理财公司应当明确数据治理牵头部门，固化数据质量问题台账收集、推动问题整改及监管标准化要求的前置化，强化数据质量考核。 
 

要点11：合理设定内部控制考评标准，内部控制职能部门至少每年对各部门和人员内部控制活动开展一次考评，考评结果纳入绩效考核指标体系，并及时报送董事会、监事会和高级管理人员。

理财公司应当增加内控合规绩效考核，发挥内控合规价值引领作用。我们建议可考虑如下维度建设内控合规绩效考核体系，同时将考核结果与部门与人员考核挂钩：

要点12：确保每人每年接受不少于20小时的内部控制培训。

5. 内部控制监督：

要点13：内部监督和外部监管相结合，共同推动理财公司完善内部控制长效机制。

四、理财公司实施难点与挑战

统一资管市场监管趋势下，理财公司在内控新规落地实施过程中，面临着的难点与挑战将包括：

（一） 职责权限清晰的内控组织架构

根据内控新规要求，理财公司要建立首席合规官制度，独立的内控职能部门，并在内控体系建设和内控自评要求下，需要各家理财公司进一步细化工作实施，汇报路径，汇报机制与决策机制的各项工作，定义内控自评工作中一二三道防线各司其职的工作职责，并发挥好内控绩效考评的指挥棒作用。

（二） 贯穿全流程投资监督体系

根据内控新规要求，理财公司需要建立完善贯穿全流程的投资监督体系，建立与公募基金公司类同的集中交易、公平交易和异常交易监控机制。由于大部分理财公司采用的是投资组合管理模式，尚未像公募基金公司采用的投资经理负责制，因此在集中交易、公平交易和异常交易监控机制落地过程中需要结合理财公司实际重新搭建投资监督体系。

（三） 理财投资资产风险分类标准与存续期管理

根据内控新规要求，理财公司需要建立理财投资资产风险分类标准与存续期管理机制，投资资产标的包含债券、非标、权益类等各类资产，需要结合各类投资资产的属性梳理和构建资产风险分类标准，细化存续期管理与风险处置措施。

（四） 价值驱动的数据治理体系

根据内控新规要求，理财公司应当制定专门部门负责数据质量监控机制的完善，因目前理财公司大都产品数据采集与银行理财登记中心直连，历史数据沉淀和数据治理基础薄弱，因此理财公司应在设立初期就考虑未来理财公司数据价值在客户经营、风险管控和业务管理中需要发挥的作用，进一步完善自身基础数据平台的建设，规范数据全生命周期管理，加速数字化经营能力建设。

（五） 投资者信息保护体系

根据内控新规要求，理财公司应当建立健全投资者信息处理管理制度，依法处理投资者个人信息，严格审批程序，明确处理范围，规范处理行为，保存处理记录，确保信息处理行为可回溯，保护投资者个人信息安全。由于目前理财公司的代销合作渠道众多，投资者信息处理收集机制的实施难度较大，需要行业内部在合规前提下的共治与共建。

（六） 完善的信息披露机制

根据内控新规要求，理财公司以自有资金及理财产品开展关联交易的，应当在本机构官方网站或者行业统一渠道披露关联交易信息，在本机构年报中披露当年关联交易总体情况。以理财产品开展关联交易的，还应当符合理财产品投资目标、投资策略和投资者利益优先原则，并向投资者充分披露信息。这一要求与公募基金管理监管要求趋同，实际落地过程中，需要持续完善行业信息披露模板和规范要求。

五、理财公司内控体系建设建议

应对建议1：对标差异，补齐短板

《办法》要求理财公司对各项业务活动和管理活动制定全面、系统、规范的内控制度体系，通过对标《理财子公司管理办法》，本次监管细化和新增了内部控制管理要求，我们建议理财公司可参考监管要求，识别内控体系建设要点，及时新增和补齐内控制度短板。

应对建议 2：规划蓝图，落地保障

我们建议各家理财公司可结合日常风险合规工作，从现状出发，规划内部控制建设蓝图，健全内部控制管理环境，完善内控组织架构，保证内控保障，实施协同高效的内部控制体系，打造治理标杆。整合内控操风等工具，利用智能技术，逐步建设智能内控合规管理体系。

应对建议3：闭环监测，以测促控

我们建议理财公司构建覆盖公司层面、产品层面和资产层面的全面风险管理架构。公司根据经营目标、投资管理能力、风险管理水平等因素设定年度风险偏好、风险限额和限额监测体系。并建立投资交易监控体系，完善异常交易监测指标。将内控合规体系与日常风险监测、投资交易监测深度融合，通过关键指标监测促进内控体系自我完善与良性循环。

理财公司对风险限额的管理应该遵循事前管理、动态管理、综合管理和全面管理的原则，制定风险限额设定、限额调整、超限额报告和处理制度。建议理财公司风险管理信息系统具备支持风险报告和管理决策的需要相关功能，支持识别、计量、评估、监测和报告所有类别的重要风险，并对超出风险限额的情况进行实时监测、预警和控制。

风险限额管控流程

同时，理财公司应当建立异常交易监控机制，应当及时对发现的异常交易行为进行分析说明，留存书面记录；没有合理说明的，应当立即取消或者终止交易，并采取应对措施。理财公司可参考办法要求对投资交易对象、交易方式、交易结果或交易影响等建立异常交易监控规则，重点监测合同或者公司制度禁止、限制或者重点管理的交易行为，包括：反向交易、关联交易、交易行为异常的交易、成交量异常的交易、交易价格异常的交易等异常交易类型。
 

应对建议4：常态自评，高质发展

理财公司应该明确一二三道防线各司其职的内控自评与独立内控监督体系，明确内控自评负责牵头部门和自评流程，内部控制评价应该坚持全面性、重要性、客观性和一致性原则确定评价内容、评价标准、评价流程和评价方法。

1. 评价内容

根据国家法律法规、监管要求和公司内部控制制度，通过内部环境、风险评估、控制活动、信息与沟通、内部监督内部控制五要素与《办法》，按照公司、流程、信息科技等三个层面梳理风险点和控制点，形成全面覆盖理财公司各业务线的评价内容。
 

2. 评价标准

• 业务标准
  内部控制的业务标准是各项业务正常运行应当遵循的控制要求，是对经营管理中内部控制有效性进行评价的参照对象。业务标准由监管法规、行业最佳实践以及理财公司内控制度组成，涵盖经营管理、业务操作、产品和信息系统等各个领域，细化到每个领域中的关键控制点。
• 认定标准
  认定标准是衡量公司内部控制状况的依据和尺度，由缺陷认定标准和有效性认定标准组成。
   

3.  评价流程

内部控制评价流程是一个闭合式的循环过程，包括计划准备、实施测试、结果评估、整改跟踪、报告编制五个阶段。在内控评价的基础上，结合流程梳理、工具建设、检查监督机制与考核体系建设成果，搭建问题整改台账，实现内部控制和业务管理的有效融合，实现内部控制向业务管理的赋能。同时，也应协同好内控自评与操作风险自评、舞弊侦测与合规检查等的关联关系，建立协同机制，形成内控与风险管理自我改进、自我提升的常态化运作机制，促进高质量发展。
 

结束语

德勤持续跟踪中国资管市场的改革与发展动向，深入了解中国资管市场行业现状与发展趋势，逐步形成一整套业务覆盖完整、流程设计完备的资管行业内部控制方法论，在内控体系建设咨询服务领域一直占据领先市场地位，拥有内控体系建设、内部控制自评辅导、智能内控解决方案建设与落地的成熟先进解决方案。自首家理财子公司筹建以来，德勤已协助多家理财子公司成功完成资管业务转型、业务规划与战略设计、产品体系规划设计、风控合规体系建设以及理财子公司筹建与开业辅导等服务，我们致力于为理财公司提供专业服务，助力打造治理标杆，创造行业协同生态，共创财富价值。