有

简介

在21世纪的组织中，多种风险及内控管理职能并存是一种普遍的现象，包括内部审计师、企业风险管理专家、合规检查官、内部控制专家、质量审核员、舞弊调查人员等。这些不同的职能有一个共同的目标，就是协力帮助组织管理风险，每一个职能对其服务的组织也都有重要的意义。虽然这些职能都与风险管理及内控相关，但每一个职能又有各自不同的专业领域、视角、技能，且分布在不同的部门和业务单元，它们之间的良好协作对于能否实现这些职能的实际目的至关重要。

对于一个风险管理和内控良好的组织来说，仅仅设置了上述各个职能是远远不够的，更大的挑战是如何科学的设计和区分好各个职能的角色，防止出现各个职能均未覆盖的业务内控领域，或者各个职能之间存在工作范围的重复或冲突。因此，对各个相关职能及工作人员清晰的责任界定非常重要，有助于各个职能明确其职责范围、边界以及其自身在企业整体风险与内控管理框架中的位置。

如果缺乏一个有凝聚力的、协作的体系与方法论，有限的风险管理和内控资源将不能有效地部署，影响企业运营的关键风险也可能无法被有效的识别及管理。在极端情况下，各个风险管理和内控职能之间甚至会针对具体工作分配和职责产生持续争论和冲突。

无论是否有正式公布的和正在生效的风险管理框架，这些问题都有可能存在。尽管风险管理框架能有效帮助企业识别必须管理的各类风险，但在大多数情形下，风险管理框架并不能有效分配具体的风险管理和内控任务的职责。

幸运的是，现在业界的一些最佳实践经验已经能帮助组织有效并系统地分配各个风险管理和内控职能角色，实现互相之间的协作。其中，三道防线模型提供了一个简单、清晰、有效的框架来帮助组织区分各风险管理及内控职能的职责，并实现相关职责的有效沟通和协作；三道防线模型也提供了一种关于企业或组织运营管理的全新视角，保证各种风险管理措施的持续效果。组织的规模和复杂程度是多样的，但三道防线模型可以适用于各类组织，甚至在一些尚未建立正式的风险管理框架和系统的企业或组织中，三道防线模型也能帮助其明确各个风险管理和内控职能的职责并提升风险管理体系的运作效果。

三道防线模型的基础：企业风险管理统筹和战略设定

在三道防线模型（见图1）中，运营管理层是首当其冲的第一道防线，第二道防线为组织中的各类风险管理、内控、合规职能，拥有独立地位的确认职能则是其中的第三道。三道防线中的每一道都在组织的宏观治理架构中扮演独特的角色。

虽然公司和组织的治理机构、董事会或者高级管理层并没有在三道防线模型中的任何一层中承担角色，但任何关于风险管理和内控的讨论和决策都离不开他们的参与。董事会和高级管理层是各道防线的主要“利益相关者”，他们是有效帮助三道防线模型在风险管理和内控过程中发挥作用的最佳人选。

高层治理机构和高级执行管理层一起，在企业风险管理架构中承担着重要的角色，他们共同设置企业或组织的经营目标，制定实现这些目标的战略并建立治理架构和流程来尽可能的管理影响企业实现经营目标的风险。来自董事会和高级管理层的持续支持是三道防线模型有效发挥作用的重要保障。

第一道防线：业务运营管理层

三道防线模型对有效风险管理体系中的三种角色进行了有效区分：

·对风险以及风险管理承担直接责任的职能或部门;

·统筹审视和监管风险的职能或部门；

·对风险管理提供独立确认的职能或部门。

作为三道防线中第一道，运营管理层以及管理者对风险以及风险管理承担着直接的职责，他们也负责执行流程及内控问题的纠正和改进措施。

运营管理层负责内控及风险管理在业务日常运作中的有效实施，承担着识别、评估、控制和处理风险、监督内部政策和流程的执行、保证各项措施对企业或组织经营目标的有效支撑。随着企业或组织的架构向下延伸，中层业务管理者负责设计和实施具体的流程，以保证和监督基层员工对公司政策和流程的有效执行。

运营管理层之所以被定义为三道防线模型中的第一道，是因为内控被设计和嵌入到他们所管辖的业务、系统或流程中，需要有相应的职能来管理和监督这样的机制是否在业务和流程中真正被有效执行，以及发现可能的控制缺失、流程缺陷以及其他不可预期的风险事件发生。

第二道防线：风险管理和其他合规部门

理想状况下，也许只需要第一道防线即可有效的管理企业风险，但在现实情况中，单层防线往往是不够的。因此，企业或组织会建立各种与风险管理以及内控相关的职能，来支撑第一道防线有效管理风险和内控，虽然具体建立哪些职能因组织和行业而异，但典型的第二道防线职能包括：

·企业风险管理职能或部门（或委员会）：企业风险管理部门负责促进和监督企业风险管理架构和措施在组织中被业务运营管理层有效执行，并协助风险的直接责任人识别风险敞口并及时、充分的将相关信息报告给组织的适当层级。

·合规职能或部门：监督对相关法律法规的遵从风险，向公司高级执行管理层或业务单元管理机构报告。在一个企业或组织中，往往同时存在多个合规部门或职能，负责不同的合规风险的监督，如健康和安全标准合规，供应链法规合规，环境条例合规，质量体系监督等。

·财务风险和报告问题管理层。

管理层建立第二道防线以保证第一道防线的设计是合理的、执行是有效的、运作是正常的。第二道防线中的各个职能是一种管控职能，相对于第一道防线中的业务经营管理层有着不同程度的独立性，但也正是因为承担着管控职能，这些部门可能会直接介入到内控和风险管理体系的优化和发展中。因此，第二道防线虽是整个风险管理和内控体系中的关键部分，但并不能给高层治理机构提供关于风险管理和内控的独立确认意见。

第二道防线职能部门的职责可能因不同的环境有所不同，但大致包括：

·协助管理层制定政策、定义角色和职责、制定目标；

·提供风险管理框架；

·识别已知的或新兴风险；

·识别企业风险接受程度的变化；

·协助管理层设计管理风险和问题的流程、制度、控制机制；

·提供关于风险管理流程的指导和培训；

·促进和监督业务运营管理层执行有效的风险管理措施；

·提醒业务运营管理层新兴的业务风险和法律法规的最新变化；·监督业务内控的充分性、报告机制的准确性和完整性、对法律法规的合规性、内控缺陷纠正的及时性。

第三道防线：内部审计

基于自身在企业或组织中高度的独立性和客观性，内部审计给公司的治理机构和高级管理层提供综合的确认服务，这种高度的独立性和客观性是第二道防线职能部门所不具备的。内部审计对企业治理、风险管理、内部控制的有效性提供独立的确认，包括第一道和第二道防线是否达到了风险管理和内控目标，这种确认的范围一般包括：

·广泛的经营目标，包括：业务运营的效率和效果，资金资产的安全，报告机制和流程的可信性和对决策的支撑有效性，对相关法律、法规、政策、流程和合同的遵从性。

·风险管理和内部控制框架的要素，包括：内部控制环境，企业或组织风险管理框架的各类要素（比如风险识别、风险评估、风险应对），信息和沟通，监督机制。

·所有的经营实体、产业单元、子公司、经营单元、职能部门，包括：各业务流程（比如销售、生产、市场营销、安全管理、客户服务、日常运营）以及报告机制（比如收入和费用会计、人力资源、采购、薪酬、预算、基建和资产管理、存货、IT管理）。

建立一个专业高效的内部审计职能是企业或组织建设有效治理的必要要求，不仅是大中型组织的要求，对小型组织也同样重要，因为小型组织与大中型组织一样面临着复杂的经营环境，而且它们的组织结构以及流程相对欠成熟，难以保证对风险的有效管理。

内部审计对公司治理的支撑有效性取决一些重要的先决条件，尤其是培育其高度的独立性和专业性。最佳的实践是保证其拥有独立、充足和有竞争性的员工，包括：

·与国际公认的内部审计准则匹配；

·向企业或组织内有充分权利执行其职责的高层管理机构报告；

·拥有向高级治理机构及时有效报告的渠道和机制。

外部审计、政府监管以及其他外部机构

虽然外部审计师、政府监管机构以及其他外部机构存在于企业或组织的架构之外，但它们在企业或组织的整体治理和内控框架中也扮演着非常重要的角色，在一些受监管的行业尤其明显，如金融服务业和保险行业。为了加强对这些行业中企业的管控，政府监管者及法规制定者将会制定明确的要求，并且执行理性的独立客观评估，以评价这些企业或组织的第一道、第二道以及第三道防线对这些要求的遵从，在与企业内部各道防线形成有效协作的情形下，这些外部监管机构往往被考虑成企业或组织治理的附加防线，为企业或组织的高级管理层、利益相关者、股东等提供鉴证服务。考虑到其独特的范围和任务，这些外部防线组织相对于内部防线组织获取的关于风险方面的信息将受到一定程度的限制。

三道防线之间的关联与协作

现实世界中，每个组织均在不同的经营环境中有各自不同的特点，这也决定了没有一个统一的正确模式可以保证治理与内控的三道防线实现良好的协作。当我们考虑各个治理、风险管理及内控职能部门的具体职责时，需要铭记各个职能部门在风险管理流程中的角色。

企业或组织的规模以及经营复杂程度是各异的，但是在每个企业或组织中，三道防线模型都会以不同形式存在，当企业或组织中三道各自分离且有清晰定位的防线组织时，将实现最优的风险管理效果。虽然在一些特殊的情况下，尤其是在一些小型的企业或组织中，不同的防线职能或部门可能会被整合，比如，经常存在的一种情形是内部审计被要求负责企业或组织的风险管理以及合规管理，在这种情况下，内部审计需要与公司治理机构以及高级管理层对这样做产生的影响进行清晰的沟通。如果一个职能部门或个人承担了三道防线中的多个角色，在适当的时候对其职责进行分离有助于正式形成三道不同防线模型。

无论三道防线模型如何被执行，高级管理层以及治理机构需要与各类风险管理及内控管理相关的部门沟通好对它们的期望，以及给它们共享做好风险及内控工作必须的业务信息。根据《国际内部审计专业实务框架》的规定，为保证各自工作范围的合理性以及防止工作的重复，首席审计执行官尤其需要与其他各个内部或外部风险管理及内控部门分享信息及沟通协作。

建议的措施：

·风险管理及内控流程根据三道防线模型来进行组织和建设；

·每一道防线的职能或部门应有相应合适的政策及职责定义支撑；三道防线中每一道独立的职能部应该有合适的协作机制来促进整个风险管理和内控体系的工作效率及效果；

·为三道防线中的各层风险管理及内控职能部门更好达成目标责任，各职能部门应该及时并有效的分享业务信息及知识；

·在有可能影响风险管理及内控有效性的情况下，各道防线职能不应进行合并或整合；

·在三道防线的职能部门进行了整合或合并的情况下，整合的情况以及影响应该及时向治理机构报告。对于尚未建立内部审计职能的组织，治理机构以及管理层应向利益相关者解释并披露对组织的治理、风险管理和控制架构的有效性，取得充分的确认。