家族辦公室內部稽核職能:範圍、報告線路與獨立性防護措施
具備實質複雜度的家族辦公室——尤其是管理跨多司法管轄區、多代財富、投資工具與服務供應商的辦公室——需要設立正式的內部稽核職能,以支援治理、風險管理與法規遵循。該職能的設計必須確保其獨立於直屬管理層,同時提供關於內部控制、風險緩解與治理流程有效性的客觀保證。本文說明如何依照監管期望與 The Institute of Internal Auditors 的三線模型,界定內部稽核授權的範圍、報告線路與獨立性防護措施。
家族辦公室的內部稽核職能應依據董事會或同等治理機構批准的正式章程設立。章程必須明確界定該職能的目的、權限、範圍與職責,並與美國貨幣監理署(OCC)對內部控制與稽核治理的標準保持一致。依據 OCC 的 Internal Control 與 Internal and External Audits 手冊,章程應明確賦予內部稽核職能不受限制地取得所有必要紀錄、人員與實體資產的權限。章程亦須規定內部稽核主管在功能上向稽核委員會報告,行政上向高階主管(通常為執行長或董事會主席)報告。
內部稽核的組織定位必須呼應辦公室的風險概況。對於管理信託、私募股權或不動產投資組合的辦公室而言,該職能應置於足以影響策略決策並取得即時資訊的層級。OCC 強調,內部稽核職能的組織位置與報告關係對其效能與客觀性至關重要。若家族辦公室受監管機構監督——例如透過註冊投資顧問子公司——其內部稽核授權可能需遵循美國證券交易委員會(SEC)對註冊投資顧問的相關規定,包括《顧問法》之合規計畫規則。
內部稽核的範圍必須以風險為基礎且具彈性,涵蓋所有重要的業務活動、系統與控制。依據 OCC 的指引,範圍應包括與辦公室風險概況相關的業務性質與範圍、產品線、服務與職能。內容涵蓋投資管理流程、信託與遺產管理、稅務合規、資安、第三方風險(例如家族辦公室服務供應商、保管銀行、法律顧問)以及關聯方交易的監督。
審計的頻率與深度應依風險敞口調整:高風險領域——如集中持倉、衍生品策略或跨境基金結構——應每年或更頻繁檢視;低風險領域——如行政支援職能——可採取多年度循環檢查。審計範圍亦應涵蓋控制活動的有效性,包括職責分離、授權門檻與對帳程序。若辦公室依賴外包功能(例如簿記、合規監控),內部稽核應評估監督的充分性,並審閱服務組織報告(如 SOC 1 或 SOC 2)。
內部稽核職能必須在功能上向審計委員會報告,以維持獨立性並確保重大議題能及時升級。此報告線路使首席稽核執行官能直接向委員會呈報發現與建議,免受管理層干預。行政上,該職能應向高階主管——通常為執行長或董事會主席——報告,以利資源配置、人員編制與營運協調。
審計委員會負責核准內部稽核章程、年度計畫與預算,並評估首席稽核執行官的績效。委員會應與內部稽核單獨會面,區隔管理層,討論敏感議題,包括潛在衝突或範圍限制。OCC 的 Corporate and Risk Governance 手冊指出,董事會與委員會應在更廣泛的風險治理框架內評估內部稽核職能的充分性,涵蓋稽核人員的獨立性與稽核結果的品質。
獨立性透過結構、程序與文化層面的防護措施得以維持。結構上,首席稽核執行官不得承擔任何營運職責,亦不得向直線管理層報告。程序上,該職能必須不受限制地取得所有紀錄、系統與人員,且在必要時可自行聘請外部專家或顧問,無需事先取得管理層批准。內部稽核團隊不應負責執行控制或設計系統——這些屬於《Three Lines Model》下的直線職責。
Institute of Internal Auditors 的 Three Lines Model 說明,內部稽核(第三線)提供對第一線(業務單位)與第二線(風險與合規職能)效能的獨立保證。為維持客觀性,內部稽核人員必須避免審查其在過去一年內曾擔任管理或實施角色的領域。首席稽核執行官的績效評估應僅由審計委員會執行,必要時納入獨立董事的意見。
家族辦公室常因將內部稽核與合規監控、稅務申報或營運支援混為一談,削弱其效能。內部稽核不應執行管理職能,例如編製財務報表、對新投資進行盡職調查或起草政策。若內部稽核被當作實質的營運團隊,其客觀性將受損,且面臨更嚴格的監管審查。
另一常見錯誤是限制資訊或人員的存取。管理層可能抗拒提供家族成員、受信任顧問或專屬系統的存取權。為緩解此問題,內部稽核章程應明確賦予存取權限,並要求所有員工與董事會成員配合稽核需求。若阻力仍然存在,首席稽核執行官必須直接將議題升級至審計委員會,若仍未解決,則上報全體董事會。
假設一家家族辦公室管理 12 億美元資產,分屬三個法人實體:家族投資公司、信託公司與私人基金會。內部稽核職能由兩名專業人員組成,根據風險矩陣制定年度計畫,該矩陣以司法管轄區、資產集中度、第三方曝露及法規曝露為權重。高風險領域包括信託公司的受託人控制、跨境基金投資以及基金會的撥款合規,這些領域安排為每季檢視;而行政職能(例如人力資源、設施)則採兩年一次的檢查。
首席稽核執行官在行政上向董事會主席報告,在功能上向審計委員會報告。審計委員會每季與內部稽核於執行會議中會面,並接收所有任務的書面報告。當內部稽核發現信託公司利益衝突審查流程存在控制缺口時,該發現直接升級至委員會,委員會隨即指示管理層實施修訂的批准工作流程並重新培訓員工。內部稽核團隊不負責設計或執行新工作流程——此仍屬直線職責——以確保獨立性得以維持。
參考文獻
什麼因素決定家族辦公室內部稽核職能的適當範圍?
範圍必須反映辦公室業務、產品線、服務與職能的性質與複雜度,並相對於其風險概況,包括投資結構、信託運作以及第三方依賴。其應以風險為基礎的時間表,覆蓋所有重要的財務與營運領域。
內部稽核職能應向誰報告以維持獨立性?
該職能應在功能上向稽核委員會(或同等治理機構)報告,行政上向執行長或董事會主席報告。此雙重報告機制可維持客觀性,同時確保營運支援與取得必要資源。
哪些結構性防護措施能保障內部稽核職能的獨立性?
獨立性透過董事會正式批准的章程、直接向稽核委員會報告且不受管理層干預、無限制取得紀錄與人員,以及由稽核委員會(而非直屬管理層)進行績效評估來加以保護。