最近,我們將COSO在2013年發布的更新版內部控制體系做了系列的解讀,對內部控制框架的5個要素、17項原則也做了概要性的介紹。
但是,這里有一個問題,就是內部控制體系如何落地,內部控制體系如何與企業的管理職能對接?這是一個非常重要的問題,在COSO的框架里并沒有給出答案。
在框架的附錄B中,談到了內部控制的角色與職責,里面提到了一個關于三道防線的概念,如果大家記得2017年我們給大家解讀COSO企業風險管理框架時,有一篇文章專門介紹了三道防線的概念——風險管理三道防線含義已變,另外我們還有其他好幾篇介紹三道防線的內容。但是,內控框架附錄B中的角色與職責的描述,并沒有解決角色與職責同內部控制要素之間的對應關系,企業到底誰來執行內部控制的哪些工作沒有明確闡述。
為了解決這個問題,2015年,國際內部審計協會(IIA)聯合COSO共同發布了一個文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE(如何在三道防線模型中使用COSO內控框架),這份文件我們和很多同仁分享過。
圖:三道防線模型
關于三道防線的概念,相信從業者早有耳聞,特別是內部審計工作者,因為IIA早有相關報告和資料介紹三道防線的概念,這次和COSO內控框架的結合,旨在將三道防線的職能和內控的要素、原則進行關聯,更好的利用COSO的內控框架充實三道防線的工作內容,也使COSO的內控框架更好的被落地實施。今天,把這篇文章的觀點和大家介紹一下。
一、董事會及高級管理層
雖然董事會和高級管理層不屬于三道防線中的任何一道,但他們的作用卻是不可或缺的,在董事會的監督下,高級管理層負責內部控制的建立、改進和評價。
董事會和高級管理層負責設立組織目標,規劃實現這些目標的戰略,并建立治理結構來更好地管理風險。高級管理層對第一和第二道防線的活動負有最終責任。
董事會和高級管理層對組織的控制環境負有主要責任,所以內控框架和董事會及高級管理層的對照關系如下圖所示。
圖:董事會及高級管理層的內控職責
二、第一道防線:運營管理
三道防線模型中的第一道防線主要由業務前臺和中臺負責日常風險管控工作。運營經理設計并實施組織的控制和風險管理流程。這些包括內部控制流程,旨在識別和評估重大風險,執行計劃的活動,關注存在缺陷的流程,應對控制失效,并與活動的主要利益相關者溝通。運營經理必須有足夠的技能,以使其能夠在他們的運營領域內完成這些任務。
高級管理層對所有的一道防線活動負有全面責任。對于某些高風險領域,高級管理人員也可以直接監督前臺和中臺管理,甚至親自執行一定程度的一道防線職責。
第一道防線主要對應著框架中的風險評估、控制活動和信息溝通部分,對于運營管理者,還包括監控活動部分,如下圖所示。
圖:第一道防線的內控職責
三、第二道防線:內部監督和監視職能
第二道防線包括各種風險管理和合規職能,以幫助確保由第一道防線實施的控制和風險管理流程是適當地設計并按預期運行。這些管理職能與一道防線運營管理分離,但仍處于高級管理層的控制和指導下。
第二道防線的職能通常是負責對控制和風險的持續監控。他們經常與運營管理緊密合作,幫助確定實施策略,提供風險的專門知識,實施政策和程序,收集信息,以建立企業范圍內的風險和控制視角。
在管理層的監督下,第二道防線人員負責監督特定的控制的執行是否得當。由第二道防線執行的控制活動,
第二道防線的監督應根據組織的具體需要量身定做。通常,這些活動與日常的業務活動分開。在某些情況下,監控活動分散在整個組織中。
與第一道防線相比,第二道防線職能有一定程度的獨立性,但它們本質上仍然是管理職能。第二道防線職能可以直接設計、實施和/或修改組織的內部控制和風險流程,他們甚至可以承擔某些業務活動的決策角色。
管理層期望第二道防線有足夠的客觀性,并向董事會及高級管理層提供重要且有用的信息,以管理風險和控制第一道防線活動。他們還可以向董事會和管理層提供公司層面的風險和控制信息,而這些可能不是第一道防線職能所樂見的。
圖:第二道防線的實施監督職責
四、第三道防線:內部審計
內部審計作為組織的第三道防線。IIA將內部審計定義為一種獨立的、客觀的確認和咨詢活動,旨在增加價值并改善組織的運作。
內部審計提供了關于治理、風險管理和內部控制的效率和有效性的保證。內部審計工作的范圍可以涵蓋組織的運作和活動的各個方面。
內部審計與其它兩道防線的區別在于其組織獨立性和客觀性更高。內部審計的正常職責中,不負責設計或實施控制,且不負責組織的運營。在大多數組織中,內部審計獨立性通過首席審計執行官和董事會之間的直接報告關系而進一步加強。
圖:第三道防線的整體有效性保障職責
五、幾點感受
本篇文章是利用三道防線模型來闡述如何落實內部控制,有一定創新和啟發性,更有利于大家理解內部控制工作與企業的職能如何結合。
但同時,本文也存在一定局限性,這個局限性來自幾個方面:
一是IIA的局限性,今天的企業風險管理與內部控制,有一個分支是財務審計領域,但審計視角是監督,而不是實施和執行,更不是決策,所以視角的不同也會對內部控制的設計和實施側重點有所不同。
二是三道防線本身的局限性,三道防線里談到的風險基本都是負面的,側重對組織的價值保護,但這還不是風險的全貌,我們之前寫過如何打開風險邊界,實現由三道防線到三層價值網的轉變。
三是三道防線視角下的第二道防線,定位為五要素中的監督是不妥的,反而第三道防線的內部審計應該承擔這樣的職能更合適一些,第二道防線應該是“中臺”,和第一道防線一起參與管理控制和內部控制的設計以及評價改進,不應該只是監督職能。
中臺要躬身入局,不能佇立旁觀!
把之前三道防線的文章列示一下,方便參考,歡迎討論。
