2015年7月国际内部审计师协会Anderson和Eubanks合作发表《在风险管理和控制的三道防线中运用COSO内部控制》,以COSO白皮书的形式对外发布,旨在通过将COSO内部控制整合框架与三道防线模型相结合,为组织明确内部控制的基本角色和职责提供有益指导,以改善组织整体治理结构,有效落实内部控制机制,帮助实现组织目标。鉴于该白皮书的重要实践意义,本文将就该白皮书的主要内容做一介绍。 二、内部控制框架与三道防线的关系 每个组织在实现目标的过程中,都可能遇到各种不利事项和因素,此时,组织必须识别和应对这些潜在事项和因素可能造成的风险。消除风险的方法有许多种,关键的方法就是要设计和实施有效的内部控制。COSO内部控制整合框架概括了一个组织通过实施内部控制以有效管理风险的基本目标、要素和原则。但是在由谁来负责履行框架中所述的具体职责这一问题上,内部控制框架并没有作进一步说明。三道防线模型恰好弥补了这一不足,该模型详细阐述了与风险和控制相关的具体职责在组织内究竟应该如何分配和协调,并强调了组织的确认活动——内部审计及其与其他监控活动的区别和联系。 内部控制框架与三道防线模型具有一致的最终目标,内部控制框架制定了管理和控制风险的基本原则和手段,即如何进行控制,而三道防线模型则进一步细化了风险管理和控制程序的职责分工,即谁来执行控制。完善合理的内部控制有利于明确各道防线的职能分工,三道防线的设立和有效运行则有助于落实内部控制机制,二者相辅相成,共同致力于解决组织风险,实现组织目标。 内部控制框架与三道防线模型之间的关系如图1所示。 模型在COSO框架下提供了各个角色和职责应该如何分配的具体组织结构。三道防线模型明确界定了每道防线、每个部门的基本角色和职责,有助于促进有关各方在风险管理和控制方面的沟通和协调,并提升组织内部控制框架实施的效率和效果。
在实施风险管理和内部控制措施时,要保证控制范围全面覆盖组织风险,既无缺口,也无重叠。董事会和管理层应该掌握组织内部不同职能承担责任的差异,优化分配有限的组织资源,以帮助更好地实现组织目标。 三、风险管理三道防线模型 (一)三道防线模型概述 三道防线模型如图2所示。在三道防线中,经营管理部门是第一道防线,管理层下设的各种风险控制和合规职能部门是第二道防线,内部审计是第三道防线,其职责是就风险管理和控制的有效性向董事会和高级管理层提供独立确认。每道防线都在组织的整体治理架构中发挥着独一无二的作用。董事会和高级管理层虽然不隶属任何一道防线,但其在整个风险管理和控制系统中的地位不言而喻,只有在董事会和高级管理层的积极支持和引导下,三道防线模型才能够更有效地实施。 图2所包含的三个群组分别具备以下不同职能:风险承担及管理职能、风险监控职能以及风险独立确认职能,并表明三道防线与高级管理层、治理机构和其他外部主体的关系。
该模型提供了一种支持内部控制框架实施的灵活架构。每一道防线内部职能部门的具体组成和分工因组织的特定情况而异,一些职能部门也可能在防线内合并或分立。各道防线的职能运作及与相关主体的关系说明如下。 (二)三道防线及相关主体的职能分工 在三道防线模型实施的过程中,除了三道防线内各职能部门的参与,董事会、高管层和其他外部主体也发挥着重要作用。 1.董事会和高级管理层的关键角色。在构建三道防线之前。董事会和高级管理层应共同负责设立组织目标,制定实现这些目标的组织发展战略。并建立良好的治理结构以有效管理和控制风险:需要明确界定相关的风险和控制职能,做出最优的组织结构安排;负责统筹管理三道防线的运行,对三道防线的活动负有最终责任。因此董事会和高级管理层的参与是三道防线模型成功实施的基本前提。只有在董事会和高级管理层的监督和指导下,三道防线各司其职,相互协调,才能有效进行风险管理与控制。 2.第一道防线——运营管理部门。第一道防线的实施部门主要是负责日常运营管理和风险管理控制的前线、中线业务部门。一般由运营部门主管来制定和实施组织的风险管理政策和程序,其具体职责包括:设计内部控制程序以识别、评估和控制组织的重大风险,按计划执行控制措施、发现流程和控制缺陷、解决内部控制失效问题,并与活动中的关键利益相关者进行沟通。组织的日常经营活动经常面临各种风险,因此运营管理部门需要设计和执行相应的控制措施来承担和管理风险,维护有效的内部控制,以确保各项活动符合组织目标。只有将风险管理和内部控制程序融入运营部门的各项制度和流程中,并加强对程序执行的管理和监督,才能建立好防范风险的第一道防线。 3.第二道防线——风险管理与合规职能部门。管理层下设不同的风险管理和合规职能部门,以确保第一道防线的控制措施设计合理并得到有效运行。第二道防线的总体职能一般包括协助第一道防线的运营管理部门制定各项控制策略、提供风险方面的专业知识、实施政策和程序、收集相关信息、创建组织层面的整体风险控制观等,具体涉及风险管理、合规、信息安全、财务控制、实物安全、质量控制、健康和安全、检查、法律、环境、供应链等职能部门。它们一般不直接参与组织的日常经营,而是负责对具体的风险管理和控制程序进行持续性监控。可以说第二道防线本质上履行的是一种管理或监督职能,其监控范围涵盖内部控制框架中的所有三类目标,即运营、报告和合规目标。虽然第二道防线内各职能部门在某种程度上独立于第一道防线,但其本身作为管理职能,可以直接参与建立和改进内部控制和风险管理的过程,因此,严格意义上说,第二道防线无法针对风险管理及内部控制向治理机构提供真正独立的分析。