COSO内部控制在风险管理与控制的三条防线中的应用_风险管理论文

在风险管理和控制的三道防线中运用COSO内部控制，本文主要内容关键词为：防线论文,内部控制论文,风险管理论文,三道论文,COSO论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

      2015年7月国际内部审计师协会Anderson和Eubanks合作发表《在风险管理和控制的三道防线中运用COSO内部控制》，以COSO白皮书的形式对外发布，旨在通过将COSO内部控制整合框架与三道防线模型相结合，为组织明确内部控制的基本角色和职责提供有益指导，以改善组织整体治理结构，有效落实内部控制机制，帮助实现组织目标。鉴于该白皮书的重要实践意义，本文将就该白皮书的主要内容做一介绍。

      二、内部控制框架与三道防线的关系

      每个组织在实现目标的过程中，都可能遇到各种不利事项和因素，此时，组织必须识别和应对这些潜在事项和因素可能造成的风险。消除风险的方法有许多种，关键的方法就是要设计和实施有效的内部控制。COSO内部控制整合框架概括了一个组织通过实施内部控制以有效管理风险的基本目标、要素和原则。但是在由谁来负责履行框架中所述的具体职责这一问题上，内部控制框架并没有作进一步说明。三道防线模型恰好弥补了这一不足，该模型详细阐述了与风险和控制相关的具体职责在组织内究竟应该如何分配和协调，并强调了组织的确认活动——内部审计及其与其他监控活动的区别和联系。

      内部控制框架与三道防线模型具有一致的最终目标，内部控制框架制定了管理和控制风险的基本原则和手段，即如何进行控制，而三道防线模型则进一步细化了风险管理和控制程序的职责分工，即谁来执行控制。完善合理的内部控制有利于明确各道防线的职能分工，三道防线的设立和有效运行则有助于落实内部控制机制，二者相辅相成，共同致力于解决组织风险，实现组织目标。

      内部控制框架与三道防线模型之间的关系如图1所示。

      模型在COSO框架下提供了各个角色和职责应该如何分配的具体组织结构。三道防线模型明确界定了每道防线、每个部门的基本角色和职责，有助于促进有关各方在风险管理和控制方面的沟通和协调，并提升组织内部控制框架实施的效率和效果。

      

      在实施风险管理和内部控制措施时，要保证控制范围全面覆盖组织风险，既无缺口，也无重叠。董事会和管理层应该掌握组织内部不同职能承担责任的差异，优化分配有限的组织资源，以帮助更好地实现组织目标。

      三、风险管理三道防线模型

      （一）三道防线模型概述

      三道防线模型如图2所示。在三道防线中，经营管理部门是第一道防线，管理层下设的各种风险控制和合规职能部门是第二道防线，内部审计是第三道防线，其职责是就风险管理和控制的有效性向董事会和高级管理层提供独立确认。每道防线都在组织的整体治理架构中发挥着独一无二的作用。董事会和高级管理层虽然不隶属任何一道防线，但其在整个风险管理和控制系统中的地位不言而喻，只有在董事会和高级管理层的积极支持和引导下，三道防线模型才能够更有效地实施。

      图2所包含的三个群组分别具备以下不同职能：风险承担及管理职能、风险监控职能以及风险独立确认职能，并表明三道防线与高级管理层、治理机构和其他外部主体的关系。

      

      该模型提供了一种支持内部控制框架实施的灵活架构。每一道防线内部职能部门的具体组成和分工因组织的特定情况而异，一些职能部门也可能在防线内合并或分立。各道防线的职能运作及与相关主体的关系说明如下。

      （二）三道防线及相关主体的职能分工

      在三道防线模型实施的过程中，除了三道防线内各职能部门的参与，董事会、高管层和其他外部主体也发挥着重要作用。

      1.董事会和高级管理层的关键角色。在构建三道防线之前。董事会和高级管理层应共同负责设立组织目标，制定实现这些目标的组织发展战略。并建立良好的治理结构以有效管理和控制风险：需要明确界定相关的风险和控制职能，做出最优的组织结构安排；负责统筹管理三道防线的运行，对三道防线的活动负有最终责任。因此董事会和高级管理层的参与是三道防线模型成功实施的基本前提。只有在董事会和高级管理层的监督和指导下，三道防线各司其职，相互协调，才能有效进行风险管理与控制。

      2.第一道防线——运营管理部门。第一道防线的实施部门主要是负责日常运营管理和风险管理控制的前线、中线业务部门。一般由运营部门主管来制定和实施组织的风险管理政策和程序，其具体职责包括：设计内部控制程序以识别、评估和控制组织的重大风险，按计划执行控制措施、发现流程和控制缺陷、解决内部控制失效问题，并与活动中的关键利益相关者进行沟通。组织的日常经营活动经常面临各种风险，因此运营管理部门需要设计和执行相应的控制措施来承担和管理风险，维护有效的内部控制，以确保各项活动符合组织目标。只有将风险管理和内部控制程序融入运营部门的各项制度和流程中，并加强对程序执行的管理和监督，才能建立好防范风险的第一道防线。

      3.第二道防线——风险管理与合规职能部门。管理层下设不同的风险管理和合规职能部门，以确保第一道防线的控制措施设计合理并得到有效运行。第二道防线的总体职能一般包括协助第一道防线的运营管理部门制定各项控制策略、提供风险方面的专业知识、实施政策和程序、收集相关信息、创建组织层面的整体风险控制观等，具体涉及风险管理、合规、信息安全、财务控制、实物安全、质量控制、健康和安全、检查、法律、环境、供应链等职能部门。它们一般不直接参与组织的日常经营，而是负责对具体的风险管理和控制程序进行持续性监控。可以说第二道防线本质上履行的是一种管理或监督职能，其监控范围涵盖内部控制框架中的所有三类目标，即运营、报告和合规目标。虽然第二道防线内各职能部门在某种程度上独立于第一道防线，但其本身作为管理职能，可以直接参与建立和改进内部控制和风险管理的过程，因此，严格意义上说，第二道防线无法针对风险管理及内部控制向治理机构提供真正独立的分析。

      4.第三道防线——内部审计。内部审计对组织治理、风险管理和内部控制的有效性向董事会和高级管理层提供独立确认。同时，内部审计也需要对第一及第二道防线的活动进行审查，以判断其是否符合董事会和高级管理层的期望。与其他两道防线相比，内部审计最突出的特点是它具有高度的组织独立性和客观性。内部审计人员通常不负责内部控制程序的设计和实施，也不负责组织日常的运营管理活动。在大多数组织中，这种独立性通过内部审计与治理机构之间的直接报告关系而得到进一步强化。内部审计提供确认的范围涵盖组织经营活动的所有方面：一是广泛的目标，包括经营效率与效果、资产安全、财务报告可靠性以及法律政策遵循。二是风险管理及内部控制框架的所有组成要素，包括控制环境、风险管理框架的构成要素（即风险识别、风险评估和风险应对）、控制活动、信息与沟通以及监督。三是整体机构、部门、分支机构、运营单位及职能部门——包含业务流程（如销售、生产、营销、安全、客户等职能）以及支持性职能部门（如会计、人力资源、采购、预算、基础设施、资产管理、存货及信息技术）。内部审计有助于实现有效的组织治理和风险管理，因此，无论组织的规模和复杂程度如何，都需要优先确立专业的内部审计活动。每个组织应该建立和维护一个独立、客观、专业、胜任的内部审计团队，其成员可以向组织中适当的高层管理者和治理机构直接报告以独立履行其职责，并按照公认的国际内部审计专业实务标准来操作，以确保有效发挥内部审计职能。

      5.外部审计、监管部门和其他外部主体。外部主体不是三道防线的组成部分，但其对于组织整体治理和控制架构扮演着重要角色。比如，监管部门制订强化组织治理和控制的标准。外部审计就组织对财务报告和有关风险的控制提供重要观察和评价。当各种外部主体有效协作时，可视为组织风险管理和控制的另一道防线，他们向组织的关键利益相关者提供重要信息。但是与组织内部的三道防线相比，他们的工作目标和范围较为集中和狭窄，而三道防线致力于解决整个组织面临的一系列经营、报告和合规风险，其职能无法被外部主体所替代。

      四、组织和协调三道防线

      （一）组织三道防线

      三道防线模型的设计是灵活的，每个组织应根据其自身行业、规模、经营结构和风险管理方式的特定需求来实施这个模型。在分配具体职责以及协调组织内各种风险和控制职能时，需要谨记每道防线在风险管理过程中发挥的不同作用。

      一般而言，当三道防线相互分离、清晰界定时，总体治理和控制环境是最好的，风险管理的效果也是最佳的。所以无论组织的规模和复杂程度如何，都应尽量向模型贴合，以某种形式设立三道防线。三道防线中的每个职能部门也应分工明确，承担不同的角色和职责，而且这种角色和职责被适当的政策、程序和报告机制所支持。三道防线之间的差异如图3所示。

      

      在某些情况下，尤其在小规模的组织内，三道防线的职能可能没有得到明确分离。如果这种结构是短期现象，随着各个职能部门的成熟，三道防线适当分离的机制终究会被建立起来。如果这种情况不属于短期或临时范畴，董事会则应该警惕管理和确认职能未能清晰分离，三道防线未能维持相互独立的潜在后果。

      尤其要确保第三道防线和其他防线之间相互独立。因为独立性和客观性是内部审计的本质要求，所以有必要采取措施维护内部审计的独立性。如果内部审计在短期内需要涉及第二道防线的活动，此时董事会和高管层应该注意将不相容的职责分配给不同的部门或个人。如果内部审计长期参与第二道防线职能的履行，董事会和高管层则应该意识到内部审计在提供公正客观的评价方面存在局限性，可能需要借助外部主体来对受影响的特定活动提供确认。

      （二）协调三道防线

      三道防线模型实质上是一个对立统一的有机体。每道防线在组织的整体治理架构中都扮演着独特的角色，它们职责清晰，相互分离，但并不像孤岛一样独善其身。三道防线服务于相同的利益相关者，具有相同的最终目标，即通过有效的风险管理和控制实现组织目标。所以无论三道防线模型如何实施，治理机构应当明确要求每道防线在风险、控制和治理方面共享信息、彼此协调，这样既可以支持三道防线的整体有效性，又不至于降低各道防线的关键职能。

      1.第一道防线与第二道防线的协调。第一道防线直接承担风险，并负责实际执行风险管理措施。第二道防线则负责提供风险方面的专业知识，以协助第一道防线制定和实施相关控制政策和程序。虽然这两道防线在风险管理和控制方面负有不同的责任，但工作人员经常相互合作和沟通。他们理解彼此对风险的评估，经常使用相同的专业术语，甚至在工作中使用同一套工具和流程。第二道防线向董事会和高级管理层提供关于第一道防线风险管理和控制的重要信息，其权威性主要来源于上级授权和直接报告路线。在一定程度上，第二道防线独立于第一道防线，但是从本质上说，二者履行的都是管理职能，某些情况会要求第二道防线的相关人员直接参与第一道防线的活动，此时第二道防线就不是完全独立于第一道防线。

      2.第三道防线与第一、二道防线的协调。第三道防线，即内部审计部门应将组织中所有的重大风险和控制活动纳入其审查范围。与第一和第二道防线职能部门的良好沟通和协调将有助于内部审计人员理解和使用类似的风险管理术语，以更好地把握前两道防线对于风险的理解。为了确保三道防线之间的有效协调，内部审计有责任评估其他两道防线职能部门的活动或任何第三方活动的绩效。在特定情况下，内部审计可以将其部分审查评估工作建立在第二道防线职能部门工作的基础上。此时，内部审计应该确认第二道防线的活动是否被合理设计、计划、监督、记录和审查。内部审计还需要注意第二道防线职能部门的组织独立性，这种独立性是其是否选择利用第二道防线职能部门工作的重要依据。内部审计拟信赖的职能部门应该具备足够的组织独立性和客观性。能力和效率并不是判断组织独立性和客观性的唯一标准。部门、人员的工作能力强、效率高并不意味着他们就一定会具备必要的独立性和客观性。因此，内部审计对其他职能部门工作的利用程度和可靠性评价需要视具体情况进行分析。

      3.第三道防线与其他外部主体的协调。与前两道防线类似，内部审计在提供关于治理、风险管理和控制的确认时，如果对外部各方所做的工作、独立性和胜任能力有充分的理解和把握，也可以选择利用其他外部主体提供的服务。与外部各方的有效协调会促进风险管理效率的提升，但在专为其他外部主体设计内部审计活动时，应当考虑成本效益原则。若某些防线被合并，比如内部审计被要求执行第二道防线中的风险管理或合规职能，董事会及高级管理层应该被告知并慎重考虑合并后的架构及其影响，以确保这种结合的方式不会损害内部审计本身的独立性和客观性。若单一人员或部门被指派双重职责，则组织应当尽可能在未来期间分离这些职能，以建立明确的三道防线。为了有效管理和控制风险，组织需要谨慎协调三道防线，以确保工作范围的适当，避免不必要的重复。在协调三道防线的活动时，需要严格审查关键执行者的作用，并将其职责固化在治理结构中，以确保其在完成自己特定职责的前提下，能够与其他风险和控制部门沟通信息，有效协调。

      五、如何在三道防线内运用COSO内部控制

      COSO内部控制框架提供了一个架构以确保风险适当并得到有效管理。三道防线模型则分配了各职能部门的角色和责任，就组织架构如何实施内部控制提供了指导。二者的结合将会有效提升对风险的管理和控制。

      COSO内部控制框架定义了内部控制的5要素和与这些要素相关的17条基本原则。内部控制框架也识别了与每条原则相关的具体“关注点”，这些“关注点”代表了三道防线内个体的关键职责。内部控制5要素下各原则对应的“关注点”如下：

      控制环境：组织对遵从正直和道德等价值观做出承诺；董事会相对于管理层保持独立，并对管理层建立和实施内控的成效进行监督；在董事会的监督下，管理层建立相应的组织架构、报告路径、恰当的授权与责任体系，以实现组织目标；组织致力于吸引、发展和保留具有职业胜任能力的人才，使其能与组织整体目标相匹配；为实现组织目标，应当明确成员各自的内控职责。

      风险评估：组织设定清晰的目标，进而能够有效识别和评价威胁目标实现的风险；组织在整个公司层面识别可能威胁组织目标实现的风险，以此为基础来确定如何对这些风险进行管理；组织应当评估潜在的舞弊和欺诈对组织目标实现的风险；组织对可能使内控体系产生重大影响和变化的事项进行识别与评估。

      控制活动：组织选择并且实施控制活动，将威胁组织目标实现的风险降到可接受的水平；对信息技术组织选用一般控制活动，以支持组织目标的实现；组织通过制定政策、制度和执行程序，来实施控制活动。

      信息和沟通：组织获取或者形成高质量的信息以支持内部控制发挥职能；组织在内部沟通传递包括控制目标、控制职责在内的信息以支持内部控制发挥作用；组织与外部相关各方就影响内部控制发挥作用的事项进行沟通。

      监控活动：组织选择、设计和执行持续或单独评价，以确认内部控制要素是否存在并持续发挥作用；组织对内部控制进行评价，并视情况及时将发现的内控缺陷向负责执行纠正措施的董事会、高级管理层等有关主体报告。

      由于这17条原则是直接从内部控制5要素中划分出来的，因此可以通过具体应用来实现有效的内部控制。管理层负责分配与17条原则相关的关键职责并确保这些职责得到切实履行。

      三道防线模型并没有提供一个唯一正确的职责分工模式，组织需要依据自身情况和特定需求在三道防线内划分与17条原则相关的基本职责。但是，无论组织内部特殊性如何，在风险管理和控制的三道防线内运用COSO内部控制对于每个组织、每道防线而言，在本质上具有一致的要求。

      总体而言，在第一道防线中，前线业务运营人员在内部控制框架中的风险评估、控制活动、信息与沟通，执行监控措施方面负有关键责任，中线运营部门经理则主要负责落实与之相对应的12条内部控制原则。第二道防线职能部门主要负责监控活动下的2条原则的履行，对组织内部的风险控制活动进行实时监控，并就内部控制的缺陷向管理层反映和沟通。第三道防线内部审计则负责对组织整体内部控制体系设计的合理性和实施的有效性进行审查和评价，并就此向董事会和高级管理层提供独立、客观的确认。

      六、结论与启示

      每个组织都应该构建与自身特点相适应的三道防线模型，明确界定与治理、风险和控制相关的角色和职责，以减少工作范围的缺口和不必要的职责重复。通过阐明和分配最基本的角色和职责，三道防线模型致力于提供关于风险管理的真实信息，以提升控制及风险管理过程的效率和效果。

      每道防线在组织中都有其独特的定位和职责，组织应当以不削弱它们各自效果的方式将三道防线的职能结合或协调起来，提升三道防线的整体有效性。不同防线中的风险管理及控制职能应当共享信息，相互协调，以协助所有职能有效完成其职责。

      三道防线模型与COSO内部控制整合框架的有机结合，有助于每道防线中的不同人员完全理解其风险和控制的责任边界，以及如何将其岗位职责融入组织整体的风险和控制架构中去。每道防线在组织的内部控制框架中都扮演着不同的角色，只有在董事会和高层管理者的监督和指导下，三道防线相互协调，有效履行其内部控制职责，发生重大控制失效的可能性才会降低。

标签：风险管理论文;  内部控制论文;  内部审计论文;  coso论文;  三道防线论文;  控制活动论文;  管理控制论文;  沟通管理论文;  内部控制缺陷论文;  风险模型论文;  活动执行论文;  组织职能论文;  工作管理论文;  董事会论文;