环球运用COSO建立内部控制三道防线
◆ 王怡心
内部控制三道防线的重要性体现在能够促使组织达成目标,应善用三道防线,做好内部控制设计和执行,降低风险到组织可接受的水平。风险和控制二者不同,有些风险可以被接受,有些风险则要完全或部分降低到一定水平。本文分为三个部分:(1)建立内部控制三道防
位,应该清楚地定义角色和责任,并
被适当的政策、程序和报导机制所支持。
4.在防线之间,信息应分享、作业应协调;尤其是在确定所有重要的风险被适当提出时,信息分享和
和内部控制中各司其职、互相合作,使风险管理和内部控制之间没有间隙。目标、架构和三道防线模式的关系如下:目标:董事会设定组织目标。架构:COSO三大目标、五大要素、17项原则用来管理风险和控制以达成目标。三道防线模式:不管组织的大小或复杂程度,都应运用组织架构,说明各单位的角色和责任,用来执行风险管理和内部控制工作。
三道防线清楚地说明稽核的确
作业协调可以改善效率和避免重复的努力。
5.内部控制防线不应该被合线。(2)建立和协调三道防线。(3)
把COSO纳入三道防线以产生杠杆并,或被协调成一个三道防线有效作用。最后,以COSO第17项原则为例,说明如何运用COSO的原则和关注点来建立内部控制三道防线。
运用COSO建立内部控制三道防线的应注意以下事项:
1.高阶主管和董事会对于确保治理、风险管理和控制过程之效率及效果,负有最终责任。
2.当三道防线是可区别的和可清楚辨识的,风险管理最强。无论组织规模或复杂性,三道防线都应该以某种形式存在于每个组织中。
3.在三道防线内的每道防线单.性受损的方式。在组织内,每道防线
都有独特的定位和责任。
认作业和其他监督作业,分别叙述
第一道防线:直线单位的管理如果组织的三道防线功能合并,如下:
内部控制衡量指标。第二道防需要特别注意。如果一些功能合并控制、
损及独特性,第二道或第三道防线线:幕僚单位的财务控制、安全管的效果可能受损。能力和效率不是唯一的标准;独立性和客观性是要考虑的基本要素。
制、风险管理、质量管理、检验、法遵。第三道防线:内部稽核。三道防线模式是说明有效风险管理和内部控制的三道防线,三道防线清楚地说明了稽核的确认作业和其他监督作业。每一道防线在组织的治理架构下,都扮演着重要的角色。当每一道防线
一、建立内部控制三道防线
运用COSO目标、要素和原则执行内部控制,才能有效管理风险。三道防线的每一道防线,在风险管理
环球有效执行其被指派的角色,组织线的法遵功能,一部分可能涉及第更可能成功地达成其整体目标,一道防线的控制设计,另外一部分详细阐述如下:主要在监督这些控制。第一道防线:直线单位的管理控制、内部控制衡量指标。风险包括对组织有正面影响和负面影响的风
责任。
控制环境的五项原则建立起企业组织高层的基调,高阶主管和董
任何组织的目的都是达成其事会对建立和维护组织的控制环境目标。目标达成包括抓住机会、追负有主要的责任。求成长、承担风险、管理风险等。在COSO架构下,三道防线模式
提供了一个架构,详述角色和责任如何指派。三道防线模式的最佳导入方式,有赖于董事会和高阶主管积极的支持和指导。董事会负责监
督高阶主管履行对控制环境的建立和维护职责,以达成营运、报导、遵
险,第一道防线的人员拥有风险,掌没有承担适当的风险、没有适当
握正面影响的风险来增加组织价值,管理和控制风险,将会阻止组织设计和执行组织各项控制来响应风达成目标。险。
第二道防线:幕僚单位的财务控制、安全管制、风险管理、质量管理、检验、法遵。监督风险与管理以支持管理阶层(由管理阶层设定风险、控制和法遵功能),可以引进专家、卓越流程等以管理监督第一道防线,协助确保风险和控制被有效管理。
第三道防线:内部稽核。内部稽核向董事会和高阶主管提供独立的确认,关于风险和控制的有效性;确
增加企业价值和保障企业价值,两者总是互斥情况。COSO架构提供了一个架构来考虑风险和
控制,以确认其为合适的和适当循三大目标。
的管理。三道防线模式提供指引,高阶主管:在董事会监督提供可以执行的一个组织架构,下,执行控制环境的五项原则,并指派角色和责任给一些单位,包括:(1)展现诚信与道德价值之这将增加风险和控制有效管理的承诺。(2)行使监督责任。(3)建立成功机率。结构、权限与责任。(4)展现适任人
才之承诺。(5)强化课责性。
(一)高阶主管和董事会在三道防线模式中的角色
(二)第一道防线:营运管理第一道防线主要是由第一线和
中间层的经理人担任,这些经理人拥有和管理日常的风险和控制。营运经理发展和导入组织的控制和风险管理过程。这些过程包括内部控制程序,被设计用来辨识和评估重大的风险,执行既定的作业,强调不适当的过程,提出控制弱点,并向关键的利害关系人沟通作业活动。营运经理必须有适当的职能,在营运范围内完成任务。
高阶主管对第一道防线的所有活动负全部责任。在一些高风险区域,高阶主管也可以对第一线和中
高阶主管和董事会在三道防线认第一道防线和第二道防线的努力,
都与董事会与高阶主管的期待一致。模式中要扮演整合角色。在董事会
为维护客观性和独立性,内部的监督下,高阶主管负责选择、发展稽核不能承担管理者的工作。第三和评估内部控制制度。虽然高阶主道防线是确认而不是管理功能,和管和董事会都不被视为三道防线模第二道防线不同。另外,可加上第四道防线——外部审计、第五道防线——主管机关。组织内每位人员对内部控制都有其责任,为确保其表现如预期结果,内部控制三道防线模式清楚地界定了特定的角色和责任。因此,各单位的工作可以避免不必要或不预期的重复努力。所以董事会将可能增加收到客观信息的机会,包括组织最重要的风险以及管理阶层如何响应风险。
三道防线模式提供了一个弹性的架构,可以用来导入支持COSO架构。每一道防线的功能,在不同组织中将有不同,有些功能可以合并,单一功能可以跨单位。例如,第二道防
式中任何一道防线的角色,这些团
体成员共同负责建立一个组织的目标,明确订定达成那些目标的高水平策略以及建立最好的管理风险之治理架构。他们最好被放在最适当位置,以确定与风险和控制相关的角色和责任之优化组织结构。高阶主管必须完全支持加强治理、风险管理和内部控制。此外,高阶主管对
第一道和第二道防线负有最终责任,间的管理阶层进行直接监督,甚至他们的保证是整个三道防线成功的于自己完成部分第一道防线责任。关键。COSO和第一道防线、在第一道防线控制环境的监督责任,在董事的个人,对COSO架构中的风险评会的监督下,高阶主管负责选择、估、控制作业、信息与沟通、监督作发展和评估内部控制制度。COSO业四要素,负有重要的责任。营运部架构帮助厘清董事会和高阶主管的
门经理对COSO架构的12项原则负
.国内部审计21
环球有主要责任。
第一道防线:包括管理控制和内部控制衡量指标。运用COSO四要素和12项原则,列示如下:风险评估:(6)具体指明适合目标。(7)辨识及分析风险。(8)评估舞弊风险。(9)辨识及分析重大改变。控制作业:(10)选择及建立控制作业。(11)选择及建立信息科技之一般控制。(12)透过各项政策与程序建置。信息与沟通:(13)使用相关信息。(14)内部沟通。(15)外部沟
和安全部门到一个环境部门,成为
环安卫部门。在一些组织中,有些或全部第二道防线的工作,可能也保留在第一道防线的经理人身上。
典型的第二道防线功能包括特别专业群,例如,风险管理、信息安
第一道防线的组成作业,具有某些
程度的独立性。但是,那些功能在本质上,仍然是管理功能。第二道防线的功能可以直接发展、导入、修改组织的内部控制和风险程序,也可以在一些营运作业中担任作决策的角
全、财务控制、实体的安全、质量、色。当达到某一程度后,第二道防线健康和安全、检查、遵循、法律、环角色要求直接参与第一道作业,其境、供应链、其他(依据产业特定的功能可以不完全独立于第一道防线或公司特定的需求)。在管理阶层的督导下,第二道防线人员监督特定
作业。
当不具备独立性时,强且有能被过度夸张。第二道防线被预期和一个适当程度的客观性一起运作,提供给高阶主管和董事会重要和有用的信息,这些信息是关于第一道防线的风险和控制管理的;其也可以提供第一道防线未预期到的企业层级风险和控制信息给高阶主管和董事会。一道防线要有效,必须获得整个组织的领导人和营运管理者的高度支持,高度支持来自指挥关系的授权和直接报导体系。
COSO和第二道防线说明,COSO第五项要素:监督作业的持续监督部分;包括第16项原则——执行持续及个别评估和第17项原则——评估及沟通缺失。第二道防线包括财务控制、安全、风险管理、质量、检查、遵循。
(四)第三道防线:内部稽核
的控制,确定控制功能是否如预期。力的第二道防线功能的重要性不能
通。监督作业:(16)执行持续性及(或)由第二道防线完成的监督作业,涵
个别评估。(17)评估及沟通缺失。盖COSO三大目标——营运、报导和
遵循。
(三)第二道防线:内部监督与第二道防线的个人责任差异很督导功能大,一般包括下列项目:第二道防线包括不同的风险管理和遵循功能,由管理阶层安排在不同地方,以协助确保第一
1.协助管理阶层设计和开发管理风险的程序和控制。
2.定义作业以实现监督,明确如何衡量成功,并与管理阶层的期
道防线执行的内部控制和风险管
理过程设计得当并如预期执行。望相比较。这些管理功能不同于第一线的营3.监督内部控制作业的适当性运管理,但是仍然在高阶主管的和有效性。控制和指导之下。4.逐步增强的关键议题、新兴
典型的第二道防线功能是负的风险和异常。责内部控制和风险管理的持续监督。他们通常和营运单位管理阶层紧密结合开展工作,以帮助订定导入策略,提供风险管理的专门知识,导入政策和程序,并搜集信息来创造企业整体层面的风险管理和内部控制。
第二道防线的构成,可能依据组织大小和产业而有很大差别。在大型、公开发行、复杂和高度管制的组织中,这些功能可能是分开的和有区别的。在小型、私人拥有、不复杂和较少管制的组织中,有些第二
5.提供风险管理架构。6.辨识和监督已知和新兴的议
题,其影响组织的风险和控制。
7.辨认在组织的固有风险胃纳和风险容忍的转变。8.提供关于风险管理和控制程序的指引和训练。
内部稽核可担任一个组织的第
IIA把内部稽核定义为一第二道防线的监督应该被修改三道防线。
客观的确认和咨询作业,用到符合组织的特定需求。一般来说,个独立、
这些作业不同于每日的营运作业。来增加价值和改善组织的营运。内在很多个案中,监督作业遍及整个组织。在有些组织中,监督功能可以限制到一个或一部分区域。依据组
部稽核协助组织达成其目标,以一个有系统、遵守纪律的方法评估和改善风险管理、控制和治理过程的有效性。
在其他角色之间,内部稽核提供确认服务,其关于治理、风险管
道防线功能可能被合并或不存在。织大小和产业,第二道防线的组成
例如,有些组织可能将法律和遵循差异很大。合并为一个部门,或整并一个健康每一个第二道防线的功能,与.
环球理和内部控制的效率与效果。内部稽核工作的范围可能包括一个组织营运和作业的全部方位。内报告所管辖的组织情况。相同地,外部审计人员针对组织的财务报导控制和相关风险,也提供重要的观察每道防线的形成,依据每个组织的特定需求将有不同变化。在某些情形下,如一些较小公司或某些功能在过渡期的公司,三道防线可能无法清楚区别。当第一道防线自风险管理功能开始,有些组织可能用另一个功能作为导入催化剂。在另外一些情况下,不同防线的功能无法被清楚区别,董事会应该仔细考虑架构的潜在影响。如果可能,这些三道防线无法清楚区别之情况应该是短期的;当功能成熟后,应该要建立适当的区别。
如果长于短期或暂时期间,董事会应该了解,因为没有维持三道不同防线所造成管理与确认功能不能区别的影响。当考虑或指派特定的任务,并在组织不同风险和控制功能作协调之时,要记在心上,模式内每一个团体都有其基本角色。
三道防线的差异说明管理功能包括第一道防线:营运管理;第二道防线:有限的独立性,报告主要面向管理阶层。另外,有确认功能的第三道防线:内部稽核、较强的独立性、报告给治理单位。
因为组织的独立性和客观性是第三道防线不可缺的特征,如果组织把内部稽核功能和其他任一个第二道防线功能整并,特别的忧虑要
部稽核和另外两道防线的区隔,和评估。是其组织独立性和客观性的高水当外部审计人员、主管机关和平。内部稽核人员不把设计或导其他外部团体三者有效地协调,三入控制作为正常的责任,也不负责组织的营运。
在大部分组织中,内部稽核的独立性可以进一步被强化,透过稽核主管和董事会的一个直接报导关系。因为组织的独立性高水平,内部稽核人员被最理想地定位为可靠和客观的治理、风险和控制之确认服务的提供者。
者可以被认为是其他的内部控制防线,能够提供重要的观点和观察给组织的利害关系人,包括董事会和高阶主管。然而,这些外部团体有不同的目标,通常目标比较聚焦或较窄,例如,他们所关注的规模比组织内部三道防线评估的范围要小,一个特定的主管机关查核可能只聚焦在法令遵循、安全或其他有限范围
COSO和第三道防线,确认COSO的议题;组织内部三道防线着重于三大目标和五项要素的有效性。内整个组织在营运、报导、遵循全部范部稽核主动贡献于有效的组织治理,围所面对的风险。提供一些情况促进其独立性和专业性的要求被符合。建立一个专业的内部稽核作业应该是所有组织的优
外部审计人员和主管机关能够提供有价值的信息,但不应该被认为是内部三道防线的替代品,因为
先项目。此项目非常重要,不仅适用风险管理和内部控制是一个组织的于大型组织,也可以用于较小单位。责任,不是外部团体的责任。较小型组织通常有一个较不正式、粗野的组织结构,可以面对相同的复杂环境,以确认治理和风险管理过程的有效性。
每一个组织都应该建立和维护一个独立、适当和有能力的内部稽核幕僚,向组织内一个足够高的层级报告,以维持内部稽核的独立性,并要遵守IIA的国际内部稽核执业准则。
(五)外部审计人员、主管机关和其他外部团体
虽然外部团体不被正式地认为在组织的三道防线内,但是关于组织整体的治理和控制架构,如外部审计人员和主管机关经常扮演着重要的角色。主管机关建立规定用于强化治理和控制,他们主动评估和
二、 建立和协调三道防线
(一) 建立三道防线
三道防线模式被设计为具有弹
性的。每个组织都应该采用导入模式的方法,应适合其产业特性、规模大小、营运结构和风险管理方法。被考虑。如果内部稽核功能被和其当三道防线是个别的和清楚定义他任一个第二道防线功能整并,高的,组织整体的治理和控制环境是阶主管和董事会应该确定有些功能最强的。没有被合并或协调成一种形式,其组织应该努力导入一个治理架构,应和三道防线模式保持一致,如此三道防线就存在于一定的规定情况内,不管组织规模或复杂性。每道防线应该是有区别的,各有不同的角色和责任,清楚地表达在组织适当的政策和程序,并且具有与高层基调一致的说服力。
可能危害内部稽核功能的独立性或客观性。
内部稽核人员不应该承担其所稽核单位的任何营运管理的责任。在有些组织中,内部稽核涉及第二道防线的工作,这些部分应该是短期的。如果内部稽核涉及第二道防线的工作,而且不是短期的,高阶主
.国内部审计23
环球管和董事会应该认知内部稽核提供独立和客观的确认服务方面的相关限制,他们可能需要向外寻求外部团体来开展这些受影响的特定作业的确认服务。
(二)协调三道防线
三道防线的每一道防线都有相同的基本目标:以有效风险管理来帮助组织达成其目标。三道防线服务相同的基本利害关系人,他们经常处理相同的风险和控制议题。高阶主管和董事会应该清楚地沟通信息要分享的期望,并协调三道防线的作业。这将支持工作的整体有效性,而且不会削弱任何一道防线的主要功能。例如,很多组织放在董事
道防线提供风险专家,帮助建立导部团体协调彼此的工作,能够提高
入策略,并协助政策和程序的导入。效率。稽核主管和董事会应该考虑这两道防线对风险和控制具有不同成本及潜在效益。的责任,非常重要的是他们用相同术语共同工作,了解彼此对组织风险的评估,尽可能平衡一套共同的工具和程序。
组织的内部稽核职能——第三道防线,工作范围应包括全部组织的重大风险和控制作业。与第一道和第二道防线功能沟通,将帮助内部稽核使用相似的风险术语,并了解这两道防线的风险认识。
内部稽核也应协调其与第二道防线的工作。这个协调可以采用不同的形式,依据组织的性质、每个团体所做的特定工作、第二道防线功能的独立性、高阶主管和董事会的
三、把COSO纳入三道防线以产生杠杆作用
COSO架构定义内部控制三大目标、五大要素、17项原则,17项原则由五个要素所引出。管理阶层有责任指派和17项原则有关的必要工作,并确定这些工作有如期地完成。
表1提供了范例,说明第17项原则的责任如何分派到三道防线。内部控制整合架构辨别不同的关注点,代表在三道防线的关键责任。熟
悉内部控制整合架构的读者,会发
会层级或管理层级的风险政策,以现很多关注点在表中出现。明确有力地表达其期望。期望,等等。在有些个案中,内部稽因为每个组织有其独特性,组
协调和沟通不要被混淆到组织核可能是基于第二道防线功能所完织有理由来不同地定义角色和责任。的架构中。三道防线有相同的目标,成的部分评估。在此情况下,内部稽无论责任如何被指派到组织中,与每一道防线有其独特的角色和责任。核应该确认该工作被适当地设计、第17项原则有关的角色和责任,都三道不同的防线不应该在一个筒仓规划、监督和评估。其他功能的使用应该被清楚定义,并与所有相关团(silo)运作。关于风险、控制和治理,程度和信赖水平,将依特定的情况体沟通,以减少内部控制范围的差三道防线应该分享信息和协调努力。而改变。距和不必要的重复工作。关于风险和控制,很多组织可能是内部稽核也需要注意第二道一个分享的观点。
谨慎的协调是必要的,可以避免工作的重复,并确认所有重大风险被适当地提出。IIA第2050号准则指出,协调是很重要的。稽核主管被明确要求要与其他内部和外部确认
防线在组织中的独立性,由于计划要采用其部分评估结果。内部稽核要为组织提供不偏颇和客观地评估,其所信赖的其他防线功能应该显示一个足够高水平的独立性和客观性。
内部稽核规程应该注明,内部
四、结论
每个组织都应清楚地定义与治理、风险和控制有关的责任,用来协助降低在控制范围的差距和风险与控制相关的被指派责任的不必要重复。三道防线模式提供了一个有效的方法,运用强化风险和控制的沟通,以清楚说明必要的角色和责任。这种模式可用于清楚说明风险和控制,可以在整个组织内协调。
三道防线模式的基本前提是,在高阶主管和董事会的监督和指导下,三个不同团体(三道防线)对有效的风险管理和控制是必要的。这三个团体如下:(1)拥有与管理风险和控制(营运管理)。(2)监督风险
与顾问服务提供商,分享信息和协
调作业,以确定适当的范围,将重复稽核有责任评估其他两道防线的功工作降至最低。在运作协调工作中,能或任何由第三方提供的作业绩效关键点是高阶主管的主要角色,如和效果。协调工作可能超过三道防风险长、法遵主管或稽核主管被仔线,还包括外部团体,如外部审计细地评估和组织,确保在与其他风人员。险和控制主管协调和沟通时,能完成其独特的责任。
第一道防线有主要风险拥有者和用来管理那些风险的方法。第二.假如内部稽核人员充分了解其所完成的工作、详细的结果、外部团体的独立性和适任性,可以信赖或使用内部或外部提供的信息。与外
环球表1 运用COSO第17项原则建立内部控制三道防线
和控制以支持管理阶层(管理阶层把风险、控制和法遵功能放在适当位置)。(3)提供有关于向董事会和高阶主管有关于风险管理和控制有效性的独立确认服务(内部稽核)。
每道防线在组织的广义治理架构内,都有一个清楚的角色;当每个角色有效地完成其所被指派的角
色,一个重要控制破裂的可能性将被降低。这个架构能够保证董事会们的责任如何适合于组织整体的风
险和控制架构。
收到公正的信息,并告知关于组织[本文摘自台湾内部稽核协会最重要的风险和管理阶层如何响应《内部稽核(季刊)》总第90期,有那些风险。三道防线模式可以用来删节,内容主要参考IIA出版物编链接COSO内部控制整合架构,以帮助确定在每道防线的个人了解其他风险和控制全范围的责任以及他
译,“ Leveraging COSO Across theThree Lines of Defense”, Douglas J.Anderson, Gina Eubanks, July 2015]
.国内部审计25
环球运用COSO建立内部控制三道防线
◆ 王怡心
内部控制三道防线的重要性体现在能够促使组织达成目标,应善用三道防线,做好内部控制设计和执行,降低风险到组织可接受的水平。风险和控制二者不同,有些风险可以被接受,有些风险则要完全或部分降低到一定水平。本文分为三个部分:(1)建立内部控制三道防
位,应该清楚地定义角色和责任,并
被适当的政策、程序和报导机制所支持。
4.在防线之间,信息应分享、作业应协调;尤其是在确定所有重要的风险被适当提出时,信息分享和
和内部控制中各司其职、互相合作,使风险管理和内部控制之间没有间隙。目标、架构和三道防线模式的关系如下:目标:董事会设定组织目标。架构:COSO三大目标、五大要素、17项原则用来管理风险和控制以达成目标。三道防线模式:不管组织的大小或复杂程度,都应运用组织架构,说明各单位的角色和责任,用来执行风险管理和内部控制工作。
三道防线清楚地说明稽核的确
作业协调可以改善效率和避免重复的努力。
5.内部控制防线不应该被合线。(2)建立和协调三道防线。(3)
把COSO纳入三道防线以产生杠杆并,或被协调成一个三道防线有效作用。最后,以COSO第17项原则为例,说明如何运用COSO的原则和关注点来建立内部控制三道防线。
运用COSO建立内部控制三道防线的应注意以下事项:
1.高阶主管和董事会对于确保治理、风险管理和控制过程之效率及效果,负有最终责任。
2.当三道防线是可区别的和可清楚辨识的,风险管理最强。无论组织规模或复杂性,三道防线都应该以某种形式存在于每个组织中。
3.在三道防线内的每道防线单.性受损的方式。在组织内,每道防线
都有独特的定位和责任。
认作业和其他监督作业,分别叙述
第一道防线:直线单位的管理如果组织的三道防线功能合并,如下:
内部控制衡量指标。第二道防需要特别注意。如果一些功能合并控制、
损及独特性,第二道或第三道防线线:幕僚单位的财务控制、安全管的效果可能受损。能力和效率不是唯一的标准;独立性和客观性是要考虑的基本要素。
制、风险管理、质量管理、检验、法遵。第三道防线:内部稽核。三道防线模式是说明有效风险管理和内部控制的三道防线,三道防线清楚地说明了稽核的确认作业和其他监督作业。每一道防线在组织的治理架构下,都扮演着重要的角色。当每一道防线
一、建立内部控制三道防线
运用COSO目标、要素和原则执行内部控制,才能有效管理风险。三道防线的每一道防线,在风险管理
环球有效执行其被指派的角色,组织线的法遵功能,一部分可能涉及第更可能成功地达成其整体目标,一道防线的控制设计,另外一部分详细阐述如下:主要在监督这些控制。第一道防线:直线单位的管理控制、内部控制衡量指标。风险包括对组织有正面影响和负面影响的风
责任。
控制环境的五项原则建立起企业组织高层的基调,高阶主管和董
任何组织的目的都是达成其事会对建立和维护组织的控制环境目标。目标达成包括抓住机会、追负有主要的责任。求成长、承担风险、管理风险等。在COSO架构下,三道防线模式
提供了一个架构,详述角色和责任如何指派。三道防线模式的最佳导入方式,有赖于董事会和高阶主管积极的支持和指导。董事会负责监
督高阶主管履行对控制环境的建立和维护职责,以达成营运、报导、遵
险,第一道防线的人员拥有风险,掌没有承担适当的风险、没有适当
握正面影响的风险来增加组织价值,管理和控制风险,将会阻止组织设计和执行组织各项控制来响应风达成目标。险。
第二道防线:幕僚单位的财务控制、安全管制、风险管理、质量管理、检验、法遵。监督风险与管理以支持管理阶层(由管理阶层设定风险、控制和法遵功能),可以引进专家、卓越流程等以管理监督第一道防线,协助确保风险和控制被有效管理。
第三道防线:内部稽核。内部稽核向董事会和高阶主管提供独立的确认,关于风险和控制的有效性;确
增加企业价值和保障企业价值,两者总是互斥情况。COSO架构提供了一个架构来考虑风险和
控制,以确认其为合适的和适当循三大目标。
的管理。三道防线模式提供指引,高阶主管:在董事会监督提供可以执行的一个组织架构,下,执行控制环境的五项原则,并指派角色和责任给一些单位,包括:(1)展现诚信与道德价值之这将增加风险和控制有效管理的承诺。(2)行使监督责任。(3)建立成功机率。结构、权限与责任。(4)展现适任人
才之承诺。(5)强化课责性。
(一)高阶主管和董事会在三道防线模式中的角色
(二)第一道防线:营运管理第一道防线主要是由第一线和
中间层的经理人担任,这些经理人拥有和管理日常的风险和控制。营运经理发展和导入组织的控制和风险管理过程。这些过程包括内部控制程序,被设计用来辨识和评估重大的风险,执行既定的作业,强调不适当的过程,提出控制弱点,并向关键的利害关系人沟通作业活动。营运经理必须有适当的职能,在营运范围内完成任务。
高阶主管对第一道防线的所有活动负全部责任。在一些高风险区域,高阶主管也可以对第一线和中
高阶主管和董事会在三道防线认第一道防线和第二道防线的努力,
都与董事会与高阶主管的期待一致。模式中要扮演整合角色。在董事会
为维护客观性和独立性,内部的监督下,高阶主管负责选择、发展稽核不能承担管理者的工作。第三和评估内部控制制度。虽然高阶主道防线是确认而不是管理功能,和管和董事会都不被视为三道防线模第二道防线不同。另外,可加上第四道防线——外部审计、第五道防线——主管机关。组织内每位人员对内部控制都有其责任,为确保其表现如预期结果,内部控制三道防线模式清楚地界定了特定的角色和责任。因此,各单位的工作可以避免不必要或不预期的重复努力。所以董事会将可能增加收到客观信息的机会,包括组织最重要的风险以及管理阶层如何响应风险。
三道防线模式提供了一个弹性的架构,可以用来导入支持COSO架构。每一道防线的功能,在不同组织中将有不同,有些功能可以合并,单一功能可以跨单位。例如,第二道防
式中任何一道防线的角色,这些团
体成员共同负责建立一个组织的目标,明确订定达成那些目标的高水平策略以及建立最好的管理风险之治理架构。他们最好被放在最适当位置,以确定与风险和控制相关的角色和责任之优化组织结构。高阶主管必须完全支持加强治理、风险管理和内部控制。此外,高阶主管对
第一道和第二道防线负有最终责任,间的管理阶层进行直接监督,甚至他们的保证是整个三道防线成功的于自己完成部分第一道防线责任。关键。COSO和第一道防线、在第一道防线控制环境的监督责任,在董事的个人,对COSO架构中的风险评会的监督下,高阶主管负责选择、估、控制作业、信息与沟通、监督作发展和评估内部控制制度。COSO业四要素,负有重要的责任。营运部架构帮助厘清董事会和高阶主管的
门经理对COSO架构的12项原则负
.国内部审计21
环球有主要责任。
第一道防线:包括管理控制和内部控制衡量指标。运用COSO四要素和12项原则,列示如下:风险评估:(6)具体指明适合目标。(7)辨识及分析风险。(8)评估舞弊风险。(9)辨识及分析重大改变。控制作业:(10)选择及建立控制作业。(11)选择及建立信息科技之一般控制。(12)透过各项政策与程序建置。信息与沟通:(13)使用相关信息。(14)内部沟通。(15)外部沟
和安全部门到一个环境部门,成为
环安卫部门。在一些组织中,有些或全部第二道防线的工作,可能也保留在第一道防线的经理人身上。
典型的第二道防线功能包括特别专业群,例如,风险管理、信息安
第一道防线的组成作业,具有某些
程度的独立性。但是,那些功能在本质上,仍然是管理功能。第二道防线的功能可以直接发展、导入、修改组织的内部控制和风险程序,也可以在一些营运作业中担任作决策的角
全、财务控制、实体的安全、质量、色。当达到某一程度后,第二道防线健康和安全、检查、遵循、法律、环角色要求直接参与第一道作业,其境、供应链、其他(依据产业特定的功能可以不完全独立于第一道防线或公司特定的需求)。在管理阶层的督导下,第二道防线人员监督特定
作业。
当不具备独立性时,强且有能被过度夸张。第二道防线被预期和一个适当程度的客观性一起运作,提供给高阶主管和董事会重要和有用的信息,这些信息是关于第一道防线的风险和控制管理的;其也可以提供第一道防线未预期到的企业层级风险和控制信息给高阶主管和董事会。一道防线要有效,必须获得整个组织的领导人和营运管理者的高度支持,高度支持来自指挥关系的授权和直接报导体系。
COSO和第二道防线说明,COSO第五项要素:监督作业的持续监督部分;包括第16项原则——执行持续及个别评估和第17项原则——评估及沟通缺失。第二道防线包括财务控制、安全、风险管理、质量、检查、遵循。
(四)第三道防线:内部稽核
的控制,确定控制功能是否如预期。力的第二道防线功能的重要性不能
通。监督作业:(16)执行持续性及(或)由第二道防线完成的监督作业,涵
个别评估。(17)评估及沟通缺失。盖COSO三大目标——营运、报导和
遵循。
(三)第二道防线:内部监督与第二道防线的个人责任差异很督导功能大,一般包括下列项目:第二道防线包括不同的风险管理和遵循功能,由管理阶层安排在不同地方,以协助确保第一
1.协助管理阶层设计和开发管理风险的程序和控制。
2.定义作业以实现监督,明确如何衡量成功,并与管理阶层的期
道防线执行的内部控制和风险管
理过程设计得当并如预期执行。望相比较。这些管理功能不同于第一线的营3.监督内部控制作业的适当性运管理,但是仍然在高阶主管的和有效性。控制和指导之下。4.逐步增强的关键议题、新兴
典型的第二道防线功能是负的风险和异常。责内部控制和风险管理的持续监督。他们通常和营运单位管理阶层紧密结合开展工作,以帮助订定导入策略,提供风险管理的专门知识,导入政策和程序,并搜集信息来创造企业整体层面的风险管理和内部控制。
第二道防线的构成,可能依据组织大小和产业而有很大差别。在大型、公开发行、复杂和高度管制的组织中,这些功能可能是分开的和有区别的。在小型、私人拥有、不复杂和较少管制的组织中,有些第二
5.提供风险管理架构。6.辨识和监督已知和新兴的议
题,其影响组织的风险和控制。
7.辨认在组织的固有风险胃纳和风险容忍的转变。8.提供关于风险管理和控制程序的指引和训练。
内部稽核可担任一个组织的第
IIA把内部稽核定义为一第二道防线的监督应该被修改三道防线。
客观的确认和咨询作业,用到符合组织的特定需求。一般来说,个独立、
这些作业不同于每日的营运作业。来增加价值和改善组织的营运。内在很多个案中,监督作业遍及整个组织。在有些组织中,监督功能可以限制到一个或一部分区域。依据组
部稽核协助组织达成其目标,以一个有系统、遵守纪律的方法评估和改善风险管理、控制和治理过程的有效性。
在其他角色之间,内部稽核提供确认服务,其关于治理、风险管
道防线功能可能被合并或不存在。织大小和产业,第二道防线的组成
例如,有些组织可能将法律和遵循差异很大。合并为一个部门,或整并一个健康每一个第二道防线的功能,与.
环球理和内部控制的效率与效果。内部稽核工作的范围可能包括一个组织营运和作业的全部方位。内报告所管辖的组织情况。相同地,外部审计人员针对组织的财务报导控制和相关风险,也提供重要的观察每道防线的形成,依据每个组织的特定需求将有不同变化。在某些情形下,如一些较小公司或某些功能在过渡期的公司,三道防线可能无法清楚区别。当第一道防线自风险管理功能开始,有些组织可能用另一个功能作为导入催化剂。在另外一些情况下,不同防线的功能无法被清楚区别,董事会应该仔细考虑架构的潜在影响。如果可能,这些三道防线无法清楚区别之情况应该是短期的;当功能成熟后,应该要建立适当的区别。
如果长于短期或暂时期间,董事会应该了解,因为没有维持三道不同防线所造成管理与确认功能不能区别的影响。当考虑或指派特定的任务,并在组织不同风险和控制功能作协调之时,要记在心上,模式内每一个团体都有其基本角色。
三道防线的差异说明管理功能包括第一道防线:营运管理;第二道防线:有限的独立性,报告主要面向管理阶层。另外,有确认功能的第三道防线:内部稽核、较强的独立性、报告给治理单位。
因为组织的独立性和客观性是第三道防线不可缺的特征,如果组织把内部稽核功能和其他任一个第二道防线功能整并,特别的忧虑要
部稽核和另外两道防线的区隔,和评估。是其组织独立性和客观性的高水当外部审计人员、主管机关和平。内部稽核人员不把设计或导其他外部团体三者有效地协调,三入控制作为正常的责任,也不负责组织的营运。
在大部分组织中,内部稽核的独立性可以进一步被强化,透过稽核主管和董事会的一个直接报导关系。因为组织的独立性高水平,内部稽核人员被最理想地定位为可靠和客观的治理、风险和控制之确认服务的提供者。
者可以被认为是其他的内部控制防线,能够提供重要的观点和观察给组织的利害关系人,包括董事会和高阶主管。然而,这些外部团体有不同的目标,通常目标比较聚焦或较窄,例如,他们所关注的规模比组织内部三道防线评估的范围要小,一个特定的主管机关查核可能只聚焦在法令遵循、安全或其他有限范围
COSO和第三道防线,确认COSO的议题;组织内部三道防线着重于三大目标和五项要素的有效性。内整个组织在营运、报导、遵循全部范部稽核主动贡献于有效的组织治理,围所面对的风险。提供一些情况促进其独立性和专业性的要求被符合。建立一个专业的内部稽核作业应该是所有组织的优
外部审计人员和主管机关能够提供有价值的信息,但不应该被认为是内部三道防线的替代品,因为
先项目。此项目非常重要,不仅适用风险管理和内部控制是一个组织的于大型组织,也可以用于较小单位。责任,不是外部团体的责任。较小型组织通常有一个较不正式、粗野的组织结构,可以面对相同的复杂环境,以确认治理和风险管理过程的有效性。
每一个组织都应该建立和维护一个独立、适当和有能力的内部稽核幕僚,向组织内一个足够高的层级报告,以维持内部稽核的独立性,并要遵守IIA的国际内部稽核执业准则。
(五)外部审计人员、主管机关和其他外部团体
虽然外部团体不被正式地认为在组织的三道防线内,但是关于组织整体的治理和控制架构,如外部审计人员和主管机关经常扮演着重要的角色。主管机关建立规定用于强化治理和控制,他们主动评估和
二、 建立和协调三道防线
(一) 建立三道防线
三道防线模式被设计为具有弹
性的。每个组织都应该采用导入模式的方法,应适合其产业特性、规模大小、营运结构和风险管理方法。被考虑。如果内部稽核功能被和其当三道防线是个别的和清楚定义他任一个第二道防线功能整并,高的,组织整体的治理和控制环境是阶主管和董事会应该确定有些功能最强的。没有被合并或协调成一种形式,其组织应该努力导入一个治理架构,应和三道防线模式保持一致,如此三道防线就存在于一定的规定情况内,不管组织规模或复杂性。每道防线应该是有区别的,各有不同的角色和责任,清楚地表达在组织适当的政策和程序,并且具有与高层基调一致的说服力。
可能危害内部稽核功能的独立性或客观性。
内部稽核人员不应该承担其所稽核单位的任何营运管理的责任。在有些组织中,内部稽核涉及第二道防线的工作,这些部分应该是短期的。如果内部稽核涉及第二道防线的工作,而且不是短期的,高阶主
.国内部审计23
环球管和董事会应该认知内部稽核提供独立和客观的确认服务方面的相关限制,他们可能需要向外寻求外部团体来开展这些受影响的特定作业的确认服务。
(二)协调三道防线
三道防线的每一道防线都有相同的基本目标:以有效风险管理来帮助组织达成其目标。三道防线服务相同的基本利害关系人,他们经常处理相同的风险和控制议题。高阶主管和董事会应该清楚地沟通信息要分享的期望,并协调三道防线的作业。这将支持工作的整体有效性,而且不会削弱任何一道防线的主要功能。例如,很多组织放在董事
道防线提供风险专家,帮助建立导部团体协调彼此的工作,能够提高
入策略,并协助政策和程序的导入。效率。稽核主管和董事会应该考虑这两道防线对风险和控制具有不同成本及潜在效益。的责任,非常重要的是他们用相同术语共同工作,了解彼此对组织风险的评估,尽可能平衡一套共同的工具和程序。
组织的内部稽核职能——第三道防线,工作范围应包括全部组织的重大风险和控制作业。与第一道和第二道防线功能沟通,将帮助内部稽核使用相似的风险术语,并了解这两道防线的风险认识。
内部稽核也应协调其与第二道防线的工作。这个协调可以采用不同的形式,依据组织的性质、每个团体所做的特定工作、第二道防线功能的独立性、高阶主管和董事会的
三、把COSO纳入三道防线以产生杠杆作用
COSO架构定义内部控制三大目标、五大要素、17项原则,17项原则由五个要素所引出。管理阶层有责任指派和17项原则有关的必要工作,并确定这些工作有如期地完成。
表1提供了范例,说明第17项原则的责任如何分派到三道防线。内部控制整合架构辨别不同的关注点,代表在三道防线的关键责任。熟
悉内部控制整合架构的读者,会发
会层级或管理层级的风险政策,以现很多关注点在表中出现。明确有力地表达其期望。期望,等等。在有些个案中,内部稽因为每个组织有其独特性,组
协调和沟通不要被混淆到组织核可能是基于第二道防线功能所完织有理由来不同地定义角色和责任。的架构中。三道防线有相同的目标,成的部分评估。在此情况下,内部稽无论责任如何被指派到组织中,与每一道防线有其独特的角色和责任。核应该确认该工作被适当地设计、第17项原则有关的角色和责任,都三道不同的防线不应该在一个筒仓规划、监督和评估。其他功能的使用应该被清楚定义,并与所有相关团(silo)运作。关于风险、控制和治理,程度和信赖水平,将依特定的情况体沟通,以减少内部控制范围的差三道防线应该分享信息和协调努力。而改变。距和不必要的重复工作。关于风险和控制,很多组织可能是内部稽核也需要注意第二道一个分享的观点。
谨慎的协调是必要的,可以避免工作的重复,并确认所有重大风险被适当地提出。IIA第2050号准则指出,协调是很重要的。稽核主管被明确要求要与其他内部和外部确认
防线在组织中的独立性,由于计划要采用其部分评估结果。内部稽核要为组织提供不偏颇和客观地评估,其所信赖的其他防线功能应该显示一个足够高水平的独立性和客观性。
内部稽核规程应该注明,内部
四、结论
每个组织都应清楚地定义与治理、风险和控制有关的责任,用来协助降低在控制范围的差距和风险与控制相关的被指派责任的不必要重复。三道防线模式提供了一个有效的方法,运用强化风险和控制的沟通,以清楚说明必要的角色和责任。这种模式可用于清楚说明风险和控制,可以在整个组织内协调。
三道防线模式的基本前提是,在高阶主管和董事会的监督和指导下,三个不同团体(三道防线)对有效的风险管理和控制是必要的。这三个团体如下:(1)拥有与管理风险和控制(营运管理)。(2)监督风险
与顾问服务提供商,分享信息和协
调作业,以确定适当的范围,将重复稽核有责任评估其他两道防线的功工作降至最低。在运作协调工作中,能或任何由第三方提供的作业绩效关键点是高阶主管的主要角色,如和效果。协调工作可能超过三道防风险长、法遵主管或稽核主管被仔线,还包括外部团体,如外部审计细地评估和组织,确保在与其他风人员。险和控制主管协调和沟通时,能完成其独特的责任。
第一道防线有主要风险拥有者和用来管理那些风险的方法。第二.假如内部稽核人员充分了解其所完成的工作、详细的结果、外部团体的独立性和适任性,可以信赖或使用内部或外部提供的信息。与外
环球表1 运用COSO第17项原则建立内部控制三道防线
和控制以支持管理阶层(管理阶层把风险、控制和法遵功能放在适当位置)。(3)提供有关于向董事会和高阶主管有关于风险管理和控制有效性的独立确认服务(内部稽核)。
每道防线在组织的广义治理架构内,都有一个清楚的角色;当每个角色有效地完成其所被指派的角
色,一个重要控制破裂的可能性将被降低。这个架构能够保证董事会们的责任如何适合于组织整体的风
险和控制架构。
收到公正的信息,并告知关于组织[本文摘自台湾内部稽核协会最重要的风险和管理阶层如何响应《内部稽核(季刊)》总第90期,有那些风险。三道防线模式可以用来删节,内容主要参考IIA出版物编链接COSO内部控制整合架构,以帮助确定在每道防线的个人了解其他风险和控制全范围的责任以及他
译,“ Leveraging COSO Across theThree Lines of Defense”, Douglas J.Anderson, Gina Eubanks, July 2015]
.国内部审计25