第三节 内部控制与内审稽核

一、控制环境

评价信托公司内部控制有效性的前提，在于其是否具备良好的内部控制环境。信托公司内部控制环境包括如下内容：

（一）良好的公司治理和成熟的公司文化

1.信托公司应当按照“三会一层”的公司治理结构完善公司治理，公司监事会和独立董事应当充分发挥监督职能。信托需要防范大股东和实际控制人操纵和内部人控制，需要从如下两方面保持公司的独立性：

（1）信托公司与股东、实际控制人以及关联方之间，应当在资产、财务、人事、业务和机构等方面保持独立性；

（2）关键重要岗位员工不得在股东、实际控制人和关联方兼职，也不得直接接受股东、实际控制人和关联方的指令。

2.成熟的公司文化是良好的内部控制环境的精神内涵，培育成熟的公司文化应当从如下方面着手：

（1）树立合规经营的理念和风控优先的意识。只有树立其合规经营的理念和风控优先的意识，信托公司才能保持长期稳健的发展；

（2）建立公司员工行为准则、职业道德规范和诚信记录。信托公司从业人员应当严格遵守员工行为准则和职业准则规范，严格防范从业人员职业道德风险和商业贿赂行为。

（二）职能部门与防火墙

1.前、中、后台防火墙

信托公司风险控制包含事前防范、事中控制和事后监督，建立健全前台、中台和后台的相互约束和监督机制。

（1）前台主要指信托业务部门和固有业务部门，主要负责业务的受理和初审及各类业务的具体操作；

（2）中台主要指风险管理部门、合规法律部门、研究开发部门，主要负责业务的决策评审、合规审查以及研究开发等职能；

（3）后台主要指信托/固有财务部门、内审部门、投后管理部门、信息技术部门、综合管理部门等，主要负责财务核算和内审稽核、项目后期管理、信息技术服务和综合管理服务等职责。

2.信托业务与固有业务防火墙

（1）固有业务和信托业务需要保持相互独立的运行，分别设立固有业务部门和信托业务部门，工作人员不得相互兼职，并由不同的高级管理人员管理；

（2）固有业务与信托业务应当分别建账、分别核算，并由不同的财务人员负责且相互之间不得兼职；

（3）信托公司应当建立信息隔离制度，固有业务信息和信托业务信息应当相互独立，业务人员应对工作中知悉的未公开的业务信息保密，不得相互传递、交流未公开的业务信息；

（4）信托财产与固有财产、不同信托财产之间应当分别管理、分别核算。

3.风险部门隔离

信托公司设立风险管理部门，负责风险的识别、计量、监测和管理；信托公司设立合规法律部门，负责处理公司各类法律实务、审查各类法律文件、对新业务的合规论证；信托公司设立内部审计部门，负责公司内审稽核职责，并将评价结果向董事会和监管部门进行报告；信托公司设立与固有财务部门相隔离的信托财务部门，独立负责信托财产和信托账户的管理、信托财产权益证明文件和凭证的保管、信托财产的划拨清算分配等职责。

二、业务控制

信托公司的固有业务和信托业务应当相互隔离，应当设立相互独立的信托业务部门和固有业务部门。信托业务人员和固有业务人员不能相互兼任，信托业务部门和固有业务部门应当由不同的分管领导（高级管理人员）负责管理。

（一）信托业务控制

信托业务控制包括信托设立、信托财产的运用与管理、信托终止与清算三个环节，并且应当有相应的业务流程、操作规程和风控制度与之相配套。信托业务控制的防火墙包括如下内容：①信托业务与自营业务相分离；②不同信托财产之间相分离；③同一信托财产的运用与托管相分离；④业务操作与风险监控相分离。

1.信托设立

（1）尽职调查

信托业务部门根据信托公司的尽职调查标准和程序，根据不同类型的业务进行差异化的尽职调查。信托业务部门对主动管理业务应当进行详尽的尽职调查，包括但不限于尽职调查材料收集、项目现场调查、公司管理人员访谈等；事务管理类业务的尽职调查职责可以由实际风险承担方负责，但是实际风险承担方应当将尽调报告和项目基础资料副本交由信托公司存档。

尽职调查原则上应当至少由两人进行，尽调所搜集的基础资料应当与原件核对一致；项目现场调查时需要对项目现象拍照，通过周边走访进行周边项目的比较和项目前景评估分析。风险管理部门可以根据业务实际情况，对其关心的问题独立或协助信托业务部门进行补充尽职调查；信托公司也可以聘请律师和会计师对项目进行法律和财务的尽职调查，聘请资产评估机构对抵/质押物、投资资产等进行价值评估。

（2）审查与决策

信托业务部门将项目尽职调查报告及项目基础资料报送部门负责人和分管高管同意后提交风控合规部门进行合规与风险审查，审查人员将初步审查意见反馈信托业务部门，由信托经理根据初步审查意见进行补充尽职调查或者进行补充说明分析。风险与合规审查人员将初审审查结论提交风险与合规部门负责人审核，风险与合规部门认为该项目不符合公司准入标准的，可以退回业务部门并说明退回理由；风险与合规部门认为该项目符合提交评审的条件，可以将项目提交项目评审委员会进行评审。

信托公司应当建立科学有效的信托业务决策机制，设立独立的项目评审委员会、制定合理有效的决策程序。项目评审委员会委员不能由拟评审表决项目的主办业务部门人员和主办业务部门的分管高管担任。项目评审应当实行集合审议和多数决原则，提出反对意见的委员应当在表决意见中明确反对的理由，表决意见应当全部记录存档；如果评审委员会委员同意的票数符合公司项目通过的票数比例（如2/3及以上同意票），则该项目通过；附条件同意的表决票，如果所附条件能够落实，则该表决票为同意，反之则为否决。

信托业务部门于项目评审通过后，根据评审条件向合规法律部门上报信托文件和项目交易合同，其中集合资金信托计划信托文件包括信托合同、信托计划说明书和风险申明书。信托文件和交易合同通过法审后，信托业务部门可以启动项目推介程序。信托公司应当建立面签核保制度^[4]，面签核保制度应当由两人共同进行。

（3）项目推介

①信托公司应当建立直销业务制度，建立直销业务受理、审核流程，并且确保直销制度和流程的合规性和完备性。直销制度和流程包括投资者资格审查、销售适当性和客户信息保密等内容。

销售适当性和投资者资格审查：信托公司应当识别投资者身份信息及交易的有效性，注意投资者资金是否来源于投资者本人的银行账户，是否去向投资者本人的银行账户，关注交易金额是否存在异常及账户变更情况。信托公司应当向有相应风险识别能力和风险承受能力的合格投资者推介信托产品，应当对投资者进行风险评估测试，并向投资者充分揭示风险。

销售行为的合规性：信托公司不得公开或变相公开销售信托产品，不得向投资者夸大、虚假销售，不得向投资者违规承诺保障本金和/或收益。信托公司应当保护投资者投资安全、个人隐私和商业秘密。信托公司如果在异地推介信托产品的，应当向信托公司注册地和推介地的监管部门进行报备。

②信托公司不得委托非金融机构代销信托产品。信托公司应当与销售机构签订正式的销售协议，规范销售机构的销售行为，明确销售机构的权利和义务。信托公司和代销机构应当就双方在销售适当性、信息提供、客户服务等销售行为的权利义务关系做出明确约定。

③信托公司应当制定投资者投诉处理制度和服务热线管理制度。信托公司需要规范客户投资处理，对投诉进行记录、处理和回访，切实保护投资者利益。

（4）信托成立

信托推介期届满符合成立条件的，或者信托推介期提前结束且符合成立条件的，信托公司应当通过公司官网发布信托成立的公告。信托成立后，信托公司应当将信托财产划付至信托专户。信托推介期限届满时，未能满足信托文件约定的成立条件的，信托公司应当在推介期限届满后三十日内返还委托人已缴付的款项，并加计银行同期存款利息。由此产生的相关债务和费用，由信托公司以固有财产承担。

信托公司主办业务部门于信托成立后，应当按照信托文件和交易合同的约定发起划款流程。根据审批与付款项分离的风险隔离的防火墙机制，信托财务部门应当负责审核划款金额、利率、收款人、账户等是否与交易合同相一致，负责审核放款前提条件是否已成就（如需要在划款前签署的合同是否已经全部签署完毕，抵/质押登记手续是否已经办理完毕，必须在划款前提供的项目材料是否已经提供以及在项目划款前需要满足的条件是否已经满足等）。

2.信托的运营管理和清算

（1）信托运营控制

信托公司应当以受益权人利益最大化为原则，严格按照信托合同约定的目的、投资范围和投资策略，谨慎有效地管理运用信托财产；如果在管理运用信托财产过程中发生影响委托人、受益权人利益的重大事项变更，信托公司应当按照信托合同的约定事先征得委托人、受益权人的同意。

信托公司应当为每个信托计划至少配备一名信托经理，并且应当在信托计划存续期间选择经营稳健的商业银行担任信托资金的保管人，并在信托保管银行开设保管账户（保管账户应当与信托专户为同一账户）。信托公司应当对不同信托计划项下信托资金开设不同的信托专户，为固有资金和信托资金分别开设不同账户，以确保不同信托财产之间、固有财产和信托财产之间的独立性。

信托公司申请开立信托专户，信托专户的账户名称应当为受托人全称（如中信信托有限责任公司等），并在内部管理上对不同信托专户和所对应的账号分别管理。信托专户可以办理现金缴存和款项划入，但不得办理现金支取；固有财产账户和信托专户之间、不同信托专户之间不得办理款型划转，信托公司为管理信托财产所垫付的费用、应收取的信托报酬等费用，以及根据信托文件约定不同信托财产之间可以交易等事项的除外。

信托公司运用信托财产在银行间债券市场进行债券交易的，应当为每个信托开立单独的信托专用债券账户，账户名称由“受托人全称+信托产品全称”组成（如中信信托有限责任公司+重阳8期证券投资集合资金信托计划）。信托公司管理的不同信托专用债券账户之间，以及自营债券账户与信托专用债券账户之间不得相互进行债券交易。信托公司运用信托财产在沪深证券交易所进行证券投资时，应当以“受托人全称+信托产品全称”作为账户名开立信托专用证券账户和信托专用资金账户。

（2）信托管理控制

信托公司应当建立投后管理部门，专门负责信托业务管理过程中的风险识别、评估、监测和预警控制。信托经理应当对交易对手或投融资项目进行持续跟踪检查和分析，并将跟踪检查所获信息或资料提交投后管理部门；投后管理部门建立业务管理台账，定期出具投后管理报告，并按照法律法规和信托合同约定及时向委托人和受益权人进行披露。

如果信托业务发生风险事件，信托经理应当立即向部门负责人、分管高管和风险管理部门进行报告，并根据风险事件的具体情况提出风险应急机制和风险处置预案。

信托经理应当建立业务管理台账，根据信托文件的约定，按时向信托财务部门提供信托报酬、报关费等信托费用以及信托收益分配数据，信托财务人员经过符合确认无误后向保管银行发送划款支付指令。为了避免人工台账容易疏忽遗忘的风险，信托公司应当将信托产品的相关交易参数输入信息系统，并设置定期提醒功能。

（3）信托清算终止控制

信托公司应当在信托终止后10个工作日内出具信托事务的清算报告，并向信托受益权人进行披露；信托文件如果约定了清算报告应当进行审计的，信托公司应当提交经审计的清算报告，信托文件也可以约定清算报告无须审计。受益权人或信托财产的权利归属人对清算报告无异议的，并且信托公司没有不当行为的，信托公司可以就清算报告所列事项解除责任。

信托公司应当建立档案文件的存档保存制度，根据文件重要性的不同，分别规定不同的保存时间，所有文档至少应当保存15年。

（二）自营业务控制

1.资产配置原则

信托公司应当设置专门的自营业务部门，以保证和信托业务部门相独立。自营业务资产配置的基本原则是确保自营资产的安全性及充足的流动性，制定各类自营业务的制度、流程和风险管理措施以确保自营业务的“制度先行、风控优先”的原则。

自营业务对单一客户/行业、关联客户或集团客户的投融资额度应当有相应的比例控制，以防范集中度风险。信托公司应当对自营资金实行资产的五级分类，对于不良资产应提足准备金并及时核销。

2.资产配置方案

自营业务部门在年度之初应当向项目评审委员提交自营资金年度资产配置基本原则和总体方案。

①对于自营资金配置银行间市场和交易所市场的标准化、高流动性资产，应当建立分级授权机制；投资经理在其授权范围内可以自行进行资产配置，超过授权范围的应当报送部门负责人和分管高管审批。

信托公司应当加强投资研究，建立投资风险评估与管理制度，主要投资要有研究报告和风险分析支持；投资交易应当设置止损线，并由专门人员进行实时监控，风险管理部门对证券持仓、盈亏状况、风险状况和交易活动进行有效监控。

②对于自营资金配置非标准化、流动性较差的资产，投资经理对投资资产进行详尽的尽职调查，并将尽调材料经部门负责人和分管高管同意后提交公司风险与合规部门；风险与合规部门对投资资产经过审查后，对于符合上会标准的投资资产，递交项目评审委员会进行评审。

（三）关联交易控制

信托公司董事会应当设立关联交易委员会，委员会主任应当由独立董事担任，委员不得由控股股东提名的董事担任；信托公司还应当制定关联交易管理办法，明确重大关联交易的范围以及关联交易的决策、监督及报告机制。信托公司开展关联交易应当按照公平的市场价格进行，并逐笔向银监会进行事前报告，并按照有关规定进行信息披露。

信托公司如下关联交易被明确禁止：①向关联方融出资金或转移财产；②为关联方提供担保；③固有财产与信托财产进行交易；④不同信托财产进行相互交易。

三、其他方面控制

（一）财务会计系统控制

1.信托财务与自营财务的防火墙

信托财产与信托公司的固有财产相区别，信托公司不得将信托财产归入其固有财产或成为固有财产的一部分；信托公司管理运用处分信托财产所产生的债权不得与固有财产产生的债务相抵销。受托人所管理的不同信托计划的信托财产应当相区分，信托公司管理运用处分不同委托人的信托财产所产生的债权债务不得相互抵销。

信托公司应当根据上述关于信托财产与固有财产、信托财产之间的防火墙要求，分别设置信托财务部门和固有财务部门，分别设立信托财产账户和固有财产账户以及为不同信托计划项下信托财产设置不同的托管账户，以此保证信托财产与固有财产、信托财产之间的独立性。

2.财务会计管理制度

（1）基本财务会计的原则和规范

财务会计管理的重点是防范资金的擅自动用，设置账外账。应收应付和内部往来混乱，信托财务部门与业务部门以及保管人的对账不及时等所引起的风险。信托公司应当制定并实施明确的财务管理制度、资金审批制度以及财务会计业务规范，其中财务会计业务规范应当覆盖会计业务的所有环节。财务核算应当遵循合规、及时、准确、完整的原则，以确保能够提供及时、可靠的财务信息。信托公司不得在应收应付科目、其他应收应付科目以及损益类科目中隐匿违反会计制度和准则的资产和负债、收入和费用。

（2）会计工作的独立性

会计人员的账务记录必须有严格审定的有效会计凭证，不得接受除此之外的任何指令。财务会计的账务处理必须有明确的岗位分工和岗位职责，不得由一人兼岗或独自进行全过程操作。信托公司对财务会计账务处理需要坚持账账、账据、账款、账实、账表及内外账务核对相符六个原则，坚持对不同账务进行每日核对或定期核对，建立和完善外部对账制度，定期按户对账，对财务会计差错建立追究制度。

（3）费用与利润

信托公司需要制定并严格执行费用管理办法，加强费用的预算管理，明确费用标准，履行备用金借款管理和费用报销审批程序。信托公司在合理分配利润前，应当按照规定计提公积金和信托赔偿准备金。

（4）会计档案制度

信托应当制定并完善会计档案资料的交接、整理、借阅、保管等管理制度，对会计账务处理的有效依据实行专人保管（如业务专用章、密押、空白凭证等）。

（二）信息系统控制

1.信息系统制度建设与人员配置

信托公司应当设立专门的信息技术部门，以加强对立项、设计、开发、测试、运行与维护等环节的管理，并定期对信息系统的可靠性和安全性进行检查，其中信息系统的立项审批与开发、运行与维护、开发测试与日常运转之间适当分离；建立信息系统的管理制度、操作流程、岗位手册和风险控制制度，以加强信息技术人员、设备、软件、数据、机房安全、病毒及黑客防范、技术资料、操作安全、事故防范与处理、系统网络等管理。

2.信息安全要求与记录

信托公司应当设置有效的操作系统和应用系统安全设置及密码策略，严格系统进入控制以及信息系统的权限、密码管理，权限审批、设置、变动以及密码的使用、修改应当有严格的控制措施并保留完备的记录，用户权限设置应当遵循权限最小化原则。信托公司应当建立办公区域门禁系统及机房门禁系统，并应确保机房符合安全要求。

信托公司应当保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能，信息系统的日志至少应当保存15年。

3.灾难备份机制应急有效

信托公司应当建立可靠完备的灾难备份计划和应急处理机制，重要数据和资料应当进行异地备份，制定详细的信息系统安全应急方案并定期修改和演练。信托公司应当建立系统安全和病毒防范制度，实时监控信息系统的安全，严防黑客或病毒入侵系统。

（三）人力资源管理控制

1.试用考核与培训教育

信托公司应当建立选聘人员试用期和岗前培训制度，对试用期人员进行严格考查。选聘人员试用期经考核合格后，方可正式上岗；试用期考核不合格的，应当及时解除劳动关系。

信托公司应当建立健全员工的持续教育制度，加强对员工的合规及业务培训，确保所有从业人员及时获得充分的法律法规、内控和行为规范的最新文件和资料。加强从业人员的从业资格管理，应当确保从业人员具备信托业协会的从业资格。

2.激励约束与晋升退出

信托公司应当建立合理有效的激励约束机制，设置科学的业绩考核指标体系，以及与业绩考核相挂钩的薪酬制度；信托公司对各级管理人员和全体员工进行考核评价，以此作为确定员工薪酬、职级调整和解除劳动合同的重要依据，体现效率优先、兼顾公平的原则。

建立严格的责任追究制度。按照监管要求，对于存在违规行为、风险管理或风险化解不当的信托公司及其责任人员，应当及时实施监管问责并报送银监会，并应建立风险责任人及交易对手案底制度。

建立严谨、公开和合理的人事选拔制度，明确人事任免决定权的归属，具有完整的人事任免的决策记录。建立健全公司员工退出机制，明确退出的条件和程序，确保员工退出机制得到有效实施；公司对经考核不能胜任岗位要求的员工，应当安排再培训或调整岗位；安排再培训或调整岗位后仍然不能满足岗位要求的，应当按照规定的权限和程序解除劳动合同。

3.离职审计与述职

信托公司关键岗位人员的任期届满、工作调动或离职，应当进行任期经济责任审计及专项审计。对高管人员、信托经理的稽核审计应当向监管部门报备，对高管人员的离职应当向监管部门及时报告。

信托公司应当与员工签订有关岗位的保密协议，明确员工在职以及离职后相应的保密义务。信托公司应当建立高管人员及其他关键岗位人员的年度述职及定期谈话制度。

4.员工权益保护

信托公司应当在员工入职之日起1个月内与员工签订劳动合同。建立科学的员工薪酬制度和激励机制，建立高管人员和员工薪酬的正常增长机制，不得克扣或无故拖欠员工薪酬；信托公司应当及时为员工办理员工社会保险，足额缴纳社会保险费用。信托公司应当遵守法定的劳动时间和休息休假制度，维护员工的休息和休假的权利。

四、内部控制评价

（一）概念与原则

信托公司内部控制评价分为内部评价和外部评价，其中内部评价是指由内部审计部门负责组织实施对内部控制有效性进行全面评价，外部评价是指由外部会计师事务所对公司内部控制有效性进行的全面评价。内部控制评价机构对信托公司内部控制进行检查评估后，出具相应的内部控制评价报告；内部控制评价报告从发现内控缺陷、指出缺陷影响、提出建议意见三个方面组成，公司管理对内控评价出具管理层意见。

根据《企业内部控制评价指引》规定，内部控制评价至少应当遵循的原则包括：全面性原则、重要性原则和客观性原则。信托公司董事会对内部控制评价报告的真实性负责。

（二）程序与内容

根据《企业内部控制评价指引》规定，内部控制评价程序包括：内部控制评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告；内部控制评价方法包括：个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等。

内部控制评价报告应当包括如下内容：（1）董事会对内部控制评价报告真实性的声明；（2）内部控制评价工作的总体情况；（3）内部控制评价的依据；（4）内部控制评价的范围；（5）内部控制评价的程序和方法；（6）内部控制缺陷及认定情况；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论。