收藏
下载资源

在三道防线中发挥内部控制的作用

上传人:艾力 文档编号:36466504 上传时间:2018-03-29 格式:PDF 页数:38 大小:1.32MB
返回 下载 相关 举报
在三道防线中发挥内部控制的作用_第1页
第1页 / 共38页
在三道防线中发挥内部控制的作用_第2页
第2页 / 共38页
在三道防线中发挥内部控制的作用_第3页
第3页 / 共38页
在三道防线中发挥内部控制的作用_第4页
第4页 / 共38页
在三道防线中发挥内部控制的作用_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《在三道防线中发挥内部控制的作用》由会员分享,可在线阅读,更多相关《在三道防线中发挥内部控制的作用(38页珍藏版)》请在金锄头文库上搜索。

1、 1 秘书处 企业内部控制简报 (2015 年第 5 期) 企业内部控制 标 准 委 员 会 签发人:高一斌 目 录 研究报告 . 2 在三道防线中发挥内部控制的作用 . 2 经验交流 . 27 中核集团基于依法治企与价值创造的内控体系 . 27 2 研究报告 在在三道防线三道防线中发挥中发挥内部控制内部控制的作用的作用 (Douglas J Anderson Gina Eubanks) 摘要:摘要:本文由美国科索委员会(COSO)与国际内部审计协会(IIA)合作共同完成,旨在指导组织运用 COSO 内部控制整合框架与三道防线模型1,明确和分配与内部控制相关的职责定位,从而帮助组织强化其整体治

2、理结构。安永(中国)管理咨询有限公司协助对本文进行了翻译。 一、三道一、三道防线模型防线模型基本介绍基本介绍 三道防线模型是通过厘清角色和职责来强化对风险管理和控制的理解。其基本前提是,对于有效的风险管理和控制而言,在董事会2及高级管理层的监督和指导下,在组织内建立相互分离的群体(或防线)是必需的。三道防线各自的职责如下: 1.对风险和控制负责并管理(第一线的运营管理) 。 2.协助管理层监控风险和控制(由管理层落实的风险、控制和合规等职能) 。 3.对董事会和高级管理层所关心的风险和控制的有效性,进行独立审计并报告(内部审计) 。 三道防线在组织整体的治理框架内都起到了独特的作用。如1有效的

3、风险管理和控制中的三道防线 ,Altamonte Springs, FL: 内部审计师协会,2013 年 1 月 2与其他 COSO 出版物一致,本文使用“董事会”指代治理机构,包括董事会、理事会、合伙人、所有者、或监事会 3 果各道防线都能有效地履行其既定责任时,组织就更可能成功达成其总体目标。每个在组织中的人都负有一定的内部控制责任,防线模型所明确的特定角色定位和责任,就是为了确保必要的职责能按照期望被执行。当一个组织适当地构建并有效运行了这三道防线,其应当能覆盖所有的管理空白,并杜绝不必要的重复工作,这样才可能对风险和控制进行更加有效的管理。董事会也因此能有更多机会来获得重大风险及管理层

4、应对的无偏差信息。 图 1 COSO 框架和防线模型在目标间的联系 三道防线模型提供了一个灵活的、可操作的架构,可用来支持 COSO 框架的落实。每一道防线所包含的职责因组织而异,有些职责可能会在防线间合并或拆分。例如,在某些组织中,第二道设定组织目标 COSO 框架用于管理风险和控制以实现组织目标 组织架构执行风险和控制职责 董事会董事会 第一道防线 第二道防线 第三道防线 内部控制措施 财务控制 安全 风险管理 质量 检查 合规 内部审计 4 防线中合规职责的一部分人员可能会为第一道防线设计控制,而其他人员还是会负责监督这些控制的实施。 图 2 三道防线 (有效的风险管理和控制中的三道防线

5、,内部审计师协会,2013 年 1 月) 无论一个组织如何去构建三道防线,都必须遵守防线模型所隐含的关键原则: 1.第一道防线由业务和流程的责任人组成,他们的活动所产生或管理的风险(包括承担的适当风险) ,会阻碍或促进组织目标的实现。第一道防线直接对风险负责,其负责设计和执行相关控制以应对这些风险。 2.第二道防线是在第一道防线的基础上通过专业技能、流程优化、以及管理层监控,以帮助管理层确保风险和控制被有效管理。第二道防线虽然与第一道防线相互独立,但仍然在高级管理层的控制和指导下,并会执行一些管理职能。第二道防线基本上治理机构治理机构/董事会董事会/审计委员会审计委员会 外外部部审审计计 监监

6、管管机机构构 5 属于管理和/或监督职能,负责多方面风险的管理。 3.第三道防线向高级管理层和董事会提供关于第一道防线和第二道防线的实际运作是否与期望值相一致的保证。第三道防线通常不执行管理职能,以保持其客观性和在组织中的独立性。此外,第三道防线直接向董事会报告。因此,第三道防线提供的是监督而非管理,这是其区别于第二道防线的地方。 任何组织都希望能够实现其最终目标。要实现这些目标,组织就需要抓住机遇、追求增长、承担风险、并管理这些风险,以促进组织的发展。如果不能适当地承担风险、适当地管理和控制风险,那么组织的目标将难以实现。在创造企业价值的活动和保护企业价值的活动之间,总是会存在矛盾。COSO

7、 框架提供了一个对风险和控制进行考量的架构,以确保风险和控制得到适当的管理。而防线模型为构建组织架构提供指导,在各个部门之间合理分配角色和职责,以实现对风险和控制的有效管理。 二二、三道、三道防线的架构组成防线的架构组成 (一)(一)高级管理层和董事会在三道防线模型中的作用高级管理层和董事会在三道防线模型中的作用 高级管理层和董事会在防线模型中有着不可或缺的作用。在董事会的监督下,高级管理层负责内部控制体系的选择、建立和评估。虽然高级管理层和董事会均未被视作三道防线的成员,但是他们共同负有设定组织的目标、制订能够实现目标的高层战略、以及建立治理结构从而最有效地管理风险的责任,他们也是防线6 模

8、型中最有能力优化组织架构,明确与风险和控制相关的角色和职责分配的相关方。同时,高级管理层还对第一道和第二道防线的活动承担最终的责任,因此他们必须全力支持强健的公司治理、风险管理和控制,他们的参与对整个防线模型的成功至关重要。 COSO 框架有助于厘清董事会和高级管理层的责任。如图 3 所示,高级管理层和董事会对组织的控制环境负有首要责任,应按照控制环境的五项原则确立组织的“高层基调” 。 三道防线型在 COSO 框架之下提供了一个如何具体分配角色和职责的架构。当董事会和高级管理层给予积极的支持和指导时,该防线模型能够得到最有效的实施。 图 3 对控制环境的监督责任 控制和风险管理流程,其中包括

9、识别和评估重大风险、执行既定的活动、找出存在缺陷的流程、整改控制缺陷、并与关键利高级管理层高级管理层 治理机构治理机构/ /董事会董事会/ /审计委员会审计委员会 监督监督施施 控制环境控制环境 1.1.展现对诚信和道德价值的承诺 2.2.行使监督职责 3.3.确立组织架构、权利与责任 4.4.对胜任能力的要求 5.5.实施问责机制 7 益关联方沟通等内部控制流程。运营管理者必须具备足够的业务技能,能在其业务领域内完成这些任务。 高级管理层在总体上对所有第一道防线的活动负责。对于某些高风险领域,高级管理层可能会直接监管第一线和中线的管理活动,甚至亲自履行部分第一道防线的职责。 (二)第一道防线

10、:运营及管理(二)第一道防线:运营及管理 第一道防线的人员对于 COSO 框架所述的风险评估、 控制活动、以及信息与沟通负有重要的责任。如下面图中所示,运营管理者对 COSO 框架中所列示的 12 项内部控制原则负有主要责任: 图 4 COSO 和第一道防线 (三(三)第二道防线:内部监控与监督职能第二道防线:内部监控与监督职能 信息与沟通信息与沟通 13.13.使用相关的信息使用相关的信息 14.14.内部沟通内部沟通 15.15.外部沟通外部沟通 监督活动监督活动 16.16.持续评估和单独评估持续评估和单独评估 17.17.评估与沟通缺陷评估与沟通缺陷 风险评估风险评估 控制活动控制活动

11、 6.6.阐明适当的目标阐明适当的目标 7.7.识别与分析风险识别与分析风险 8.8.评估舞弊风险评估舞弊风险 9.9.识别和分析重大变化识别和分析重大变化 10.10.选择选择并并执行控制活动执行控制活动 11.11.选择并执行信息技术一般控制选择并执行信息技术一般控制 12.12.通过政策和程序实施控制活动通过政策和程序实施控制活动 内部控制内部控制 措施措施 第一道防线第一道防线 管理层管理层 控制控制 8 第二道防线中包括多种风险管理和合规职能,以确保第一道防线所执行的控制和风险管理流程的设计是合理的,并能按照预期有效地执行。他们虽然是独立于第一道防线的管理职能,但仍在高级管理层的控制

12、和指导之下。第二道防线中的职能通常是负责持续地监控控制和风险。他们经常与经营管理层密切合作,在明确实施策略、提供风险专业知识、实施政策和程序、以及收集信息方面提供帮助,从而建立起整个企业范围内对风险和控制的统一认识。 第二道防线的组成会因组织规模、行业而存在差别。在大型的、上市的、业务复杂或受到严格监管的组织内,这些职能可能是完全独立且明确的。而在较小型的、私营的、业务不太复杂或所受监管不太严格的组织内,有些第二道防线的职能可能会不存在或被合并。 例如, 某些组织可能将法务和合规合并为一个部门,或者将健康安全部门与环境部门合并起来。在某些组织中,第二道防线的部分或全部职责可能由第一道防线的管理

13、者来承担。 第二道防线的典型职能所包含的特定领域有:风险管理、信息安全、财务控制、资产安全、质量、健康和安全、检查、合规、法务、环境、供应链、其他(取决于行业或企业的特殊需求) 。 在管理层的监督下,第二道防线的人员监控特定的控制,以确定控制是否按在预期的方式执行。第二道防线所实施的监控活动通常涵盖 COSO 框架的所有类别的目标:运营目标、报告目标和9 合规目标。 第二道防线人员的职责可能存在很大差别,但通常会包括: (1)协助管理层设计和建立流程与控制,以管理风险; (2)明确需要监控的活动,以及如何对照管理层的期望来衡量是否成功; (3)监督内部控制活动的充分性和有效性; (4)上报重要

14、的问题、新的风险和异常情况; (5)提出风险管理框架; (6)识别和监控影响组织风险和控制的、已知的和新出现的问题; (7)识别组织内风险偏好和风险承受能力的变化; (8)提供风险管理和控制流程的指导和培训。 第二道防线的监控活动应根据组织的特定需要量身定制。通常情况下,这些活动与日常运营活动是分开的。在很多情况下,监控活动会分散在整个组织中,但在某些组织中,监控职能也可能仅局限于一个或几个领域中。 虽然一、二道防线从本质上来说都是管理职能,但第二道防线中的每项职能都应与第一道防线保持一定程度的独立。第二道防线可能会直接建立、实施或修改组织的内部控制和风险流程,但也可能要对某些运营活动进行决策

15、。当第二道防线需要直接参与到第一道防线的活动时,他们就无法完全独立于第一道防线。 10 虽然不能保证其独立性,构建一个强有力的第二道防线对组织来说仍然无比重要。第二道防线应当具备适当的客观性,能向董事会和高级管理层提供关于第一道防线对风险控制管理的重要信息。与第一道防线所不同的是,他们还能向高级管理层和董事会提供整个企业范围内的风险和控制信息。要让第二道防线有效,就必须通过授权以及允许其直接报告等方式,让其能在组织内各部门领导和经营管理层中获得足够的尊重。 图 5 COSO 和第二道防线 (四(四)第三道防线:内部审计第三道防线:内部审计 内部审计是组织的第三道防线。IIA 对内部审计的定义是“独立、客观的审计和咨询活动,旨在增加价值和改善组织的运营。它通过采用系统、规范的方法评估和改善风险管理、控制和治理流程的有效性,帮助组织实现其目标。 ”1 内部审计针对治理、风险管理和内部控制的效率和效果进行计。内部审计的工作范围可以涵盖组织各个方面的运营和活动。 1国际专业实务框架 , Altamonte Springs, FL: 内部审计师协会,2013 年 持续监控持续监控施施 监督活动监督活

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号