在三道防线中发挥内部控制的作用

1秘书处企业内部控制简报（2015年第5期）企业内部控制标准委员会签发人:高一斌目录研究报告........................................................................................2在三道防线中发挥内部控制的作用......................................2经验交流......................................................................................27中核集团基于依法治企与价值创造的内控体系................272研究报告在三道防线中发挥内部控制的作用(DouglasJAndersonGinaEubanks)摘要：本文由美国科索委员会（COSO）与国际内部审计协会（IIA）合作共同完成，旨在指导组织运用COSO内部控制整合框架与三道防线模型1，明确和分配与内部控制相关的职责定位，从而帮助组织强化其整体治理结构。安永（中国）管理咨询有限公司协助对本文进行了翻译。一、三道防线模型基本介绍三道防线模型是通过厘清角色和职责来强化对风险管理和控制的理解。其基本前提是，对于有效的风险管理和控制而言，在董事会2及高级管理层的监督和指导下，在组织内建立相互分离的群体（或防线）是必需的。三道防线各自的职责如下：1.对风险和控制负责并管理（第一线的运营管理）。2.协助管理层监控风险和控制（由管理层落实的风险、控制和合规等职能）。3.对董事会和高级管理层所关心的风险和控制的有效性，进行独立审计并报告（内部审计）。三道防线在组织整体的治理框架内都起到了独特的作用。如1《有效的风险管理和控制中的三道防线》，AltamonteSprings,FL:内部审计师协会，2013年1月2与其他COSO出版物一致，本文使用“董事会”指代治理机构，包括董事会、理事会、合伙人、所有者、或监事会3果各道防线都能有效地履行其既定责任时，组织就更可能成功达成其总体目标。每个在组织中的人都负有一定的内部控制责任，防线模型所明确的特定角色定位和责任，就是为了确保必要的职责能按照期望被执行。当一个组织适当地构建并有效运行了这三道防线，其应当能覆盖所有的管理空白，并杜绝不必要的重复工作，这样才可能对风险和控制进行更加有效的管理。董事会也因此能有更多机会来获得重大风险及管理层应对的无偏差信息。图1COSO框架和防线模型在目标间的联系三道防线模型提供了一个灵活的、可操作的架构，可用来支持COSO框架的落实。每一道防线所包含的职责因组织而异，有些职责可能会在防线间合并或拆分。例如，在某些组织中，第二道设定组织目标COSO框架——用于管理风险和控制以实现组织目标组织架构——执行风险和控制职责董事会第一道防线第二道防线第三道防线内部控制措施财务控制安全风险管理质量检查合规内部审计4防线中合规职责的一部分人员可能会为第一道防线设计控制，而其他人员还是会负责监督这些控制的实施。图2三道防线(有效的风险管理和控制中的三道防线，内部审计师协会，2013年1月)无论一个组织如何去构建三道防线，都必须遵守防线模型所隐含的关键原则：1.第一道防线由业务和流程的责任人组成，他们的活动所产生或管理的风险（包括承担的适当风险），会阻碍或促进组织目标的实现。第一道防线直接对风险负责，其负责设计和执行相关控制以应对这些风险。2.第二道防线是在第一道防线的基础上通过专业技能、流程优化、以及管理层监控，以帮助管理层确保风险和控制被有效管理。第二道防线虽然与第一道防线相互独立，但仍然在高级管理层的控制和指导下，并会执行一些管理职能。第二道防线基本上治理机构/董事会/审计委员会外部审计监管机构5属于管理和/或监督职能，负责多方面风险的管理。3.第三道防线向高级管理层和董事会提供关于第一道防线和第二道防线的实际运作是否与期望值相一致的保证。第三道防线通常不执行管理职能，以保持其客观性和在组织中的独立性。此外，第三道防线直接向董事会报告。因此，第三道防线提供的是监督而非管理，这是其区别于第二道防线的地方。任何组织都希望能够实现其最终目标。要实现这些目标，组织就需要抓住机遇、追求增长、承担风险、并管理这些风险，以促进组织的发展。如果不能适当地承担风险、适当地管理和控制风险，那么组织的目标将难以实现。在创造企业价值的活动和保护企业价值的活动之间，总是会存在矛盾。COSO框架提供了一个对风险和控制进行考量的架构，以确保风险和控制得到适当的管理。而防线模型为构建组织架构提供指导，在各个部门之间合理分配角色和职责，以实现对风险和控制的有效管理。二、三道防线的架构组成（一）高级管理层和董事会在三道防线模型中的作用高级管理层和董事会在防线模型中有着不可或缺的作用。在董事会的监督下，高级管理层负责内部控制体系的选择、建立和评估。虽然高级管理层和董事会均未被视作三道防线的成员，但是他们共同负有设定组织的目标、制订能够实现目标的高层战略、以及建立治理结构从而最有效地管理风险的责任，他们也是防线6模型中最有能力优化组织架构，明确与风险和控制相关的角色和职责分配的相关方。同时，高级管理层还对第一道和第二道防线的活动承担最终的责任，因此他们必须全力支持强健的公司治理、风险管理和控制，他们的参与对整个防线模型的成功至关重要。COSO框架有助于厘清董事会和高级管理层的责任。如图3所示，高级管理层和董事会对组织的控制环境负有首要责任，应按照控制环境的五项原则确立组织的“高层基调”。三道防线型在COSO框架之下提供了一个如何具体分配角色和职责的架构。当董事会和高级管理层给予积极的支持和指导时，该防线模型能够得到最有效的实施。图3对控制环境的监督责任控制和风险管理流程，其中包括识别和评估重大风险、执行既定的活动、找出存在缺陷的流程、整改控制缺陷、并与关键利高级管理层治理机构/董事会/审计委员会监督施控制环境1.展现对诚信和道德价值的承诺2.行使监督职责3.确立组织架构、权利与责任4.对胜任能力的要求5.实施问责机制7益关联方沟通等内部控制流程。运营管理者必须具备足够的业务技能，能在其业务领域内完成这些任务。高级管理层在总体上对所有第一道防线的活动负责。对于某些高风险领域，高级管理层可能会直接监管第一线和中线的管理活动，甚至亲自履行部分第一道防线的职责。（二）第一道防线：运营及管理第一道防线的人员对于COSO框架所述的风险评估、控制活动、以及信息与沟通负有重要的责任。如下面图中所示，运营管理者对COSO框架中所列示的12项内部控制原则负有主要责任：图4COSO和第一道防线（三）第二道防线：内部监控与监督职能信息与沟通13.使用相关的信息14.内部沟通15.外部沟通监督活动16.持续评估和单独评估17.评估与沟通缺陷风险评估控制活动6.阐明适当的目标7.识别与分析风险8.评估舞弊风险9.识别和分析重大变化10.选择并执行控制活动11.选择并执行信息技术一般控制12.通过政策和程序实施控制活动内部控制措施第一道防线管理层控制8第二道防线中包括多种风险管理和合规职能，以确保第一道防线所执行的控制和风险管理流程的设计是合理的，并能按照预期有效地执行。他们虽然是独立于第一道防线的管理职能，但仍在高级管理层的控制和指导之下。第二道防线中的职能通常是负责持续地监控控制和风险。他们经常与经营管理层密切合作，在明确实施策略、提供风险专业知识、实施政策和程序、以及收集信息方面提供帮助，从而建立起整个企业范围内对风险和控制的统一认识。第二道防线的组成会因组织规模、行业而存在差别。在大型的、上市的、业务复杂或受到严格监管的组织内，这些职能可能是完全独立且明确的。而在较小型的、私营的、业务不太复杂或所受监管不太严格的组织内，有些第二道防线的职能可能会不存在或被合并。例如，某些组织可能将法务和合规合并为一个部门，或者将健康安全部门与环境部门合并起来。在某些组织中，第二道防线的部分或全部职责可能由第一道防线的管理者来承担。第二道防线的典型职能所包含的特定领域有：风险管理、信息安全、财务控制、资产安全、质量、健康和安全、检查、合规、法务、环境、供应链、其他（取决于行业或企业的特殊需求）。在管理层的监督下，第二道防线的人员监控特定的控制，以确定控制是否按在预期的方式执行。第二道防线所实施的监控活动通常涵盖COSO框架的所有类别的目标：运营目标、报告目标和9合规目标。第二道防线人员的职责可能存在很大差别，但通常会包括：（1）协助管理层设计和建立流程与控制，以管理风险；（2）明确需要监控的活动，以及如何对照管理层的期望来衡量是否成功；（3）监督内部控制活动的充分性和有效性；（4）上报重要的问题、新的风险和异常情况；（5）提出风险管理框架；（6）识别和监控影响组织风险和控制的、已知的和新出现的问题；（7）识别组织内风险偏好和风险承受能力的变化；（8）提供风险管理和控制流程的指导和培训。第二道防线的监控活动应根据组织的特定需要量身定制。通常情况下，这些活动与日常运营活动是分开的。在很多情况下，监控活动会分散在整个组织中，但在某些组织中，监控职能也可能仅局限于一个或几个领域中。虽然一、二道防线从本质上来说都是管理职能，但第二道防线中的每项职能都应与第一道防线保持一定程度的独立。第二道防线可能会直接建立、实施或修改组织的内部控制和风险流程，但也可能要对某些运营活动进行决策。当第二道防线需要直接参与到第一道防线的活动时，他们就无法完全独立于第一道防线。10虽然不能保证其独立性，构建一个强有力的第二道防线对组织来说仍然无比重要。第二道防线应当具备适当的客观性，能向董事会和高级管理层提供关于第一道防线对风险控制管理的重要信息。与第一道防线所不同的是，他们还能向高级管理层和董事会提供整个企业范围内的风险和控制信息。要让第二道防线有效，就必须通过授权以及允许其直接报告等方式，让其能在组织内各部门领导和经营管理层中获得足够的尊重。图5COSO和第二道防线（四）第三道防线：内部审计内部审计是组织的第三道防线。IIA对内部审计的定义是“独立、客观的审计和咨询活动，旨在增加价值和改善组织的运营。它通过采用系统、规范的方法评估和改善风险管理、控制和治理流程的有效性，帮助组织实现其目标。”1内部审计针对治理、风险管理和内部控制的效率和效果进行计。内部审计的工作范围可以涵盖组织各个方面的运营和活动。1《国际专业实务框架》，AltamonteSprings,FL:内部审计师协会，2013年持续监控施监督活动16.持续评估和单独评估17.评估与沟通缺陷第二道防线财务控制信息安全风险管理质量检查合规11内部审计与其他两道防线的区别是其具有高度的组织独立性和客观性。内部审计师不负责设计和实施控制，也不负责组织的运营。在大多数组织中，首席审计官和董事会之间建立了直接报告关系，因而内部审计的独立性得到进一步加强。由于具备这种高度的组织独立性，内部审计师最具优势去向董事会和高级管理层提供关于公司治理、风险和控制的可靠而客观的保证。图6COSO和第三道防线第三道防线内部审计信息与沟通13.使用相关的信息14.内部沟通15.外部沟通监督活动16.持续评估和单独评估17.评估与沟通缺陷控制环境1.展现对诚信和道德价值的承诺2.行使监督职责3.确立组织架构、权利与责任4.对胜任能力的要求5.实施问责机制风险评估控制活动6.阐明适当的目标7.风险识别与分析8.评估舞弊风险9.识别和分析重大变化10.选择与执行控制活动11.选择并执行信息技术一般控制12.通过政策和程序实施控制活动12如能提供条件提升内部审计的独立性和专业性，其能对有效的组织治理提供积极的贡献。因此，对组织来言，建立专业的内部审计工作应作为优先事项。这个重要性不仅是针对较大型组织，同样也适用于较小型的组织，因为较小型组织需要面对同样复杂的环境，却只拥有不太正式、不够强健的组织架构来确保治理和风险管理流程的有效性，还有可能缺乏有效的第二道防线。每个组织都应当