运用COSO建立内部控制三道防线

作 者:

作者简介:

原文出处:
中国内部审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2016 年 05 期

关 键 词:

字号:

      内部控制三道防线的重要性体现在能够促使组织达成目标,应善用三道防线,做好内部控制设计和执行,降低风险到组织可接受的水平。风险和控制二者不同,有些风险可以被接受,有些风险则要完全或部分降低到一定水平。本文分为三个部分:(1)建立内部控制三道防线。(2)建立和协调三道防线。(3)把COSO纳入三道防线以产生杠杆作用。最后,以COSO第17项原则为例,说明如何运用COSO的原则和关注点来建立内部控制三道防线。

      运用COSO建立内部控制三道防线的应注意以下事项:

      1.高阶主管和董事会对于确保治理、风险管理和控制过程之效率及效果,负有最终责任。

      2.当三道防线是可区别的和可清楚辨识的,风险管理最强。无论组织规模或复杂性,三道防线都应该以某种形式存在于每个组织中。

      3.在三道防线内的每道防线单位,应该清楚地定义角色和责任,并被适当的政策、程序和报导机制所支持。

      4.在防线之间,信息应分享、作业应协调;尤其是在确定所有重要的风险被适当提出时,信息分享和作业协调可以改善效率和避免重复的努力。

      5.内部控制防线不应该被合并,或被协调成一个三道防线有效性受损的方式。在组织内,每道防线都有独特的定位和责任。

      如果组织的三道防线功能合并,需要特别注意。如果一些功能合并损及独特性,第二道或第三道防线的效果可能受损。能力和效率不是唯一的标准;独立性和客观性是要考虑的基本要素。

      一、建立内部控制三道防线

      运用COSO目标、要素和原则执行内部控制,才能有效管理风险。三道防线的每一道防线,在风险管理和内部控制中各司其职、互相合作,使风险管理和内部控制之间没有间隙。目标、架构和三道防线模式的关系如下:目标:董事会设定组织目标。架构:COSO三大目标、五大要素、17项原则用来管理风险和控制以达成目标。三道防线模式:不管组织的大小或复杂程度,都应运用组织架构,说明各单位的角色和责任,用来执行风险管理和内部控制工作。

      三道防线清楚地说明稽核的确认作业和其他监督作业,分别叙述如下:第一道防线:直线单位的管理控制、内部控制衡量指标。第二道防线:幕僚单位的财务控制、安全管制、风险管理、质量管理、检验、法遵。第三道防线:内部稽核。

      三道防线模式是说明有效风险管理和内部控制的三道防线,三道防线清楚地说明了稽核的确认作业和其他监督作业。每一道防线在组织的治理架构下,都扮演着重要的角色。当每一道防线有效执行其被指派的角色,组织更可能成功地达成其整体目标,详细阐述如下:

      第一道防线:直线单位的管理控制、内部控制衡量指标。风险包括对组织有正面影响和负面影响的风险,第一道防线的人员拥有风险,掌握正面影响的风险来增加组织价值,设计和执行组织各项控制来响应风险。

      第二道防线:幕僚单位的财务控制、安全管制、风险管理、质量管理、检验、法遵。监督风险与管理以支持管理阶层(由管理阶层设定风险、控制和法遵功能),可以引进专家、卓越流程等以管理监督第一道防线,协助确保风险和控制被有效管理。

      第三道防线:内部稽核。内部稽核向董事会和高阶主管提供独立的确认,关于风险和控制的有效性;确认第一道防线和第二道防线的努力,都与董事会与高阶主管的期待一致。

      为维护客观性和独立性,内部稽核不能承担管理者的工作。第三道防线是确认而不是管理功能,和第二道防线不同。另外,可加上第四道防线——外部审计、第五道防线——主管机关。组织内每位人员对内部控制都有其责任,为确保其表现如预期结果,内部控制三道防线模式清楚地界定了特定的角色和责任。因此,各单位的工作可以避免不必要或不预期的重复努力。所以董事会将可能增加收到客观信息的机会,包括组织最重要的风险以及管理阶层如何响应风险。

      三道防线模式提供了一个弹性的架构,可以用来导入支持COSO架构。每一道防线的功能,在不同组织中将有不同,有些功能可以合并,单一功能可以跨单位。例如,第二道防线的法遵功能,一部分可能涉及第一道防线的控制设计,另外一部分主要在监督这些控制。

      任何组织的目的都是达成其目标。目标达成包括抓住机会、追求成长、承担风险、管理风险等。没有承担适当的风险、没有适当管理和控制风险,将会阻止组织达成目标。

      增加企业价值和保障企业价值,两者总是互斥情况。COSO架构提供了一个架构来考虑风险和控制,以确认其为合适的和适当的管理。三道防线模式提供指引,提供可以执行的一个组织架构,并指派角色和责任给一些单位,这将增加风险和控制有效管理的成功机率。

      (一)高阶主管和董事会在三道防线模式中的角色

      高阶主管和董事会在三道防线模式中要扮演整合角色。在董事会的监督下,高阶主管负责选择、发展和评估内部控制制度。虽然高阶主管和董事会都不被视为三道防线模式中任何一道防线的角色,这些团体成员共同负责建立一个组织的目标,明确订定达成那些目标的高水平策略以及建立最好的管理风险之治理架构。他们最好被放在最适当位置,以确定与风险和控制相关的角色和责任之优化组织结构。高阶主管必须完全支持加强治理、风险管理和内部控制。此外,高阶主管对第一道和第二道防线负有最终责任,他们的保证是整个三道防线成功的关键。

相关文章: