風(fēng)險管理的三道防線是什么、銀行風(fēng)險管理的三道防線是什么
以下文章來源于大風(fēng)控 ,作者瘋控叔
最近,我們將COSO在2013年發(fā)布的更新版內(nèi)部控制體系做了系列的解讀,對內(nèi)部控制框架的5個要素、17項原則也做了概要性的介紹。
但是,這里有一個問題,就是內(nèi)部控制體系如何落地,內(nèi)部控制體系如何與企業(yè)的管理職能對接?這是一個非常重要的問題,在COSO的框架里并沒有給出答案。
在框架的附錄B中,談到了內(nèi)部控制的角色與職責(zé),里面提到了一個關(guān)于三道防線的概念,如果大家記得2017年我們給大家解讀COSO企業(yè)風(fēng)險管理框架時,有一篇文章專門介紹了三道防線的概念——風(fēng)險管理三道防線含義已變,另外我們還有其他好幾篇介紹三道防線的內(nèi)容。但是,內(nèi)控框架附錄B中的角色與職責(zé)的描述,并沒有解決角色與職責(zé)同內(nèi)部控制要素之間的對應(yīng)關(guān)系,企業(yè)到底誰來執(zhí)行內(nèi)部控制的哪些工作沒有明確闡述。
為了解決這個問題,2015年,國際內(nèi)部審計協(xié)會(IIA)聯(lián)合COSO共同發(fā)布了一個文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE(如何在三道防線模型中使用COSO內(nèi)控框架),這份文件我們和很多同仁分享過。

圖:三道防線模型
關(guān)于三道防線的概念,相信從業(yè)者早有耳聞,特別是內(nèi)部審計工作者,因為IIA早有相關(guān)報告和資料介紹三道防線的概念,這次和COSO內(nèi)控框架的結(jié)合,旨在將三道防線的職能和內(nèi)控的要素、原則進(jìn)行關(guān)聯(lián),更好的利用COSO的內(nèi)控框架充實(shí)三道防線的工作內(nèi)容,也使COSO的內(nèi)控框架更好的被落地實(shí)施。今天,把這篇文章的觀點(diǎn)和大家介紹一下。
一、董事會及高級管理層
雖然董事會和高級管理層不屬于三道防線中的任何一道,但他們的作用卻是不可或缺的,在董事會的監(jiān)督下,高級管理層負(fù)責(zé)內(nèi)部控制的建立、改進(jìn)和評價。
董事會和高級管理層負(fù)責(zé)設(shè)立組織目標(biāo),規(guī)劃實(shí)現(xiàn)這些目標(biāo)的戰(zhàn)略,并建立治理結(jié)構(gòu)來更好地管理風(fēng)險。高級管理層對第一和第二道防線的活動負(fù)有最終責(zé)任。
董事會和高級管理層對組織的控制環(huán)境負(fù)有主要責(zé)任,所以內(nèi)控框架和董事會及高級管理層的對照關(guān)系如下圖所示。
圖:董事會高級管理層的內(nèi)控職責(zé)
二、第一道防線:運(yùn)營管理
三道防線模型中的第一道防線主要由業(yè)務(wù)前臺和中臺負(fù)責(zé)日常風(fēng)險管控工作。運(yùn)營經(jīng)理設(shè)計并實(shí)施組織的控制和風(fēng)險管理流程。這些包括內(nèi)部控制流程,旨在識別和評估重大風(fēng)險,執(zhí)行計劃的活動,關(guān)注存在缺陷的流程,應(yīng)對控制失效,并與活動的主要利益相關(guān)者溝通。運(yùn)營經(jīng)理必須有足夠的技能,以使其能夠在他們的運(yùn)營領(lǐng)域內(nèi)完成這些任務(wù)。
高級管理層對所有的一道防線活動負(fù)有全面責(zé)任。對于某些高風(fēng)險領(lǐng)域,高級管理人員也可以直接監(jiān)督前臺和中臺管理,甚至親自執(zhí)行一定程度的一道防線職責(zé)。
第一道防線主要對應(yīng)著框架中的風(fēng)險評估、控制活動和信息溝通部分,對于運(yùn)營管理者,還包括監(jiān)控活動部分,如下圖所示。
圖:第一道防線的內(nèi)控職責(zé)
三、第二道防線:內(nèi)部監(jiān)督和監(jiān)視職能
第二道防線包括各種風(fēng)險管理和合規(guī)職能,以幫助確保由第一道防線實(shí)施的控制和風(fēng)險管理流程是適當(dāng)?shù)卦O(shè)計并按預(yù)期運(yùn)行。這些管理職能與一道防線運(yùn)營管理分離,但仍處于高級管理層的控制和指導(dǎo)下。
第二道防線的職能通常是負(fù)責(zé)對控制和風(fēng)險的持續(xù)監(jiān)控。他們經(jīng)常與運(yùn)營管理緊密合作,幫助確定實(shí)施策略,提供風(fēng)險的專門知識,實(shí)施政策和程序,收集信息,以建立企業(yè)范圍內(nèi)的風(fēng)險和控制視角。
在管理層的監(jiān)督下,第二道防線人員負(fù)責(zé)監(jiān)督特定的控制的執(zhí)行是否得當(dāng)。由第二道防線執(zhí)行的控制活動,
第二道防線的監(jiān)督應(yīng)根據(jù)組織的具體需要量身定做。通常,這些活動與日常的業(yè)務(wù)活動分開。在某些情況下,監(jiān)控活動分散在整個組織中。
與第一道防線相比,第二道防線職能有一定程度的獨(dú)立性,但它們本質(zhì)上仍然是管理職能。第二道防線職能可以直接設(shè)計、實(shí)施和/或修改組織的內(nèi)部控制和風(fēng)險流程,他們甚至可以承擔(dān)某些業(yè)務(wù)活動的決策角色。
管理層期望第二道防線有足夠的客觀性,并向董事會及高級管理層提供重要且有用的信息,以管理風(fēng)險和控制第一道防線活動。他們還可以向董事會和管理層提供公司層面的風(fēng)險和控制信息,而這些可能不是第一道防線職能所樂見的。
圖:第二道防線的實(shí)施監(jiān)督職責(zé)
四、第三道防線:內(nèi)部審計
內(nèi)部審計作為組織的第三道防線。IIA將內(nèi)部審計定義為一種獨(dú)立的、客觀的確認(rèn)和咨詢活動,旨在增加價值并改善組織的運(yùn)作。
內(nèi)部審計提供了關(guān)于治理、風(fēng)險管理和內(nèi)部控制的效率和有效性的保證。內(nèi)部審計工作的范圍可以涵蓋組織的運(yùn)作和活動的各個方面。
內(nèi)部審計與其它兩道防線的區(qū)別在于其組織獨(dú)立性和客觀性更高。內(nèi)部審計的正常職責(zé)中,不負(fù)責(zé)設(shè)計或?qū)嵤┛刂疲也回?fù)責(zé)組織的運(yùn)營。在大多數(shù)組織中,內(nèi)部審計獨(dú)立性通過首席審計執(zhí)行官和董事會之間的直接報告關(guān)系而進(jìn)一步加強(qiáng)。
圖:第三道防線的整體有效性保障職責(zé)
五、幾點(diǎn)感受
本篇文章是利用三道防線模型來闡述如何落實(shí)內(nèi)部控制,有一定創(chuàng)新和啟發(fā)性,更有利于大家理解內(nèi)部控制工作與企業(yè)的職能如何結(jié)合。
但同時,本文也存在一定局限性,這個局限性來自幾個方面:
一是IIA的局限性,今天的企業(yè)風(fēng)險管理與內(nèi)部控制,有一個分支是財務(wù)審計領(lǐng)域,但審計視角是監(jiān)督,而不是實(shí)施和執(zhí)行,更不是決策,所以視角的不同也會對內(nèi)部控制的設(shè)計和實(shí)施側(cè)重點(diǎn)有所不同。
二是三道防線本身的局限性,三道防線里談到的風(fēng)險基本都是負(fù)面的,側(cè)重對組織的價值保護(hù),但這還不是風(fēng)險的全貌,我們之前寫過如何打開風(fēng)險邊界,實(shí)現(xiàn)由三道防線到三層價值網(wǎng)的轉(zhuǎn)變。
三是三道防線視角下的第二道防線,定位為五要素中的監(jiān)督是不妥的,反而第三道防線的內(nèi)部審計應(yīng)該承擔(dān)這樣的職能更合適一些,第二道防線應(yīng)該是“中臺”,和第一道防線一起參與管理控制和內(nèi)部控制的設(shè)計以及評價改進(jìn),不應(yīng)該只是監(jiān)督職能。
