在三道防线中发挥内部控制的作用
中国银行风险内控与“三道防线
中国银行风险内控与“三道防线国有上市商业银行需要按照监管要求建立起COSO框架下的全面风险管理体系(ERM),每年在充分评估该体系有效性的基础上,出具内部控制自我评估报告,与财务报告、社会责任报告一并向资本市场披露。
为有效落实监管要求,有必要深入了解ERM的具体内容、COSO-ERM框架与COSO内部控制整合框架的联系以及商业银行全面实施ERM的必要性,有针对性地制定内控保障机制、设计内控管理政策和措施,逐步推行企业全面风险整合框架。
COSO企业全面风险管理整合框架(ERM) 2004年9月,COSO委员会发布了《企业风险管理-整合框架》(ERM)。
该框架是在1992年《内部控制-整合框架》的基础上,结合《萨班斯-奥克斯利法案》相关要求,采纳理论界、实务界对内部控制框架提出的一些改进建议扩展研究得到的。
COSO委员会在《企业风险管理-整合框架》(ERM)中指出企业的内部控制应当考虑全面风险管理的需求。
全面风险管理是受企业董事会、管理层和其他员工影响并共同参与的,应用于从企业战略制定到各项活动、企业内部各个层次和部门,用于识别可能对其造成潜在影响的事件,并在企业风险偏好范围内管理各类风险,为企业目标的实现提供合理保证的过程。
ERM设计了企业不同层级(企业整体层、职能部门层、经营单元层、附属公司层)都适用的反映内部控制的八个相互关联的构成要素(即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控),明确了内部控制旨在合理保证实现的四个不同层次的目标(战略目标、经营目标、报告目标和合规目标)。
可见,企业风险管理(ERM)并不是对《内部控制-整合框架》的否定和替代,而是审时度势,与时俱进,在内部控制思想的基础上将风险管理的理念更为全面深刻地嵌入其中。
ERM对内部控制框架的改进和发展主要体现在:1.控制目标方面ERM保留了原有内部控制框架中的经营目标、报告目标和合规目标,只是适当拓宽了报告目标的范畴,所谓“报告”不再特指“财务报告”,而是包括对企业内外部发布的所有其他报告。
河北农信内控合规三道防线
河北农信内控合规三道防线河北农信内控合规三道防线是构建内部监督防范体系,强化内部监督约束机制,切实提高内部防范能力,有效防范经营风险,遏制各类违纪和案件发生的一大重要举措,也是目前农村信用社内控管理的重要手段,全市农村信用社运行近三年来,取得了一定成效。
但在实施过程中还存在一定的差距,为了把“三道防线”建设落到实处,充分发挥各级防线监督职能作用,真正形成齐抓共管,合力监控的互控机制,笔者就如何进一步加强“三道防线”建设谈点粗浅的认识。
客观地讲,农村信用社近年来不断完善和加强内控管理,建立和完善了一系列管理制度,特别是在加强“三道防线”建设中,反复修改制定完善了各道防线的检查内容和考核办法,但在各道防线的执行、监督、考核及问责方面还存在疏漏和薄弱环节。
1、制度建设存在盲区。
一是部分信用社未对考核办法进行细化。
尽管联社出台了各种考核办法,但信用社多将经营目标的考核分解到所辖各网点,而忽略了内控考核的细化及内外勤责任人细化;二是重制度建立,轻程序制定或缺乏可操作性。
由于联社的制度有部分是指导性和框架式的,多数信用社没有结合自身管理需要进行细化,内容上只强调了“做什么”,而忽略了“怎样做”,有的建立了但没有具体操作内容,使一些员工认为“结果重于过程”。
滥用“猫论”导致逆向操作、“先斩后奏”、越权办理业务等违规行为屡见于实际工作中。
2、制度学习未落到实处。
有的信用社写在纸上,讲在嘴上,贴在墙上,却不认真地对症下药,落不到实处。
部分岗位人员不具备与风险防范和内部控制相适应的能力。
多数社只重视业务人员上岗操作技能,而忽略了法规和制度的学习,难免在工作中“自由发挥”,在风险防范的“火山口上”“翩翩起舞”,造成很多问题不能及时发现,及时堵住。
如有的信贷员欠缺专业知识和法律知识,签订合同随意性较大,催收贷款忽视诉讼时效、执行时效,造成信用社权利丧失、资金损失。
3、有章不循,屡反屡范。
主要反映在我行我素漠视信用社的规章制度,有令不行,有禁不止;上有政策,下有对策;人情大于制度。
商业银行内部控制“三道防线”的分析与探讨
风险 ;即使采取了 “ 不相容职务分离”的
控 制措 施 ,一 旦 出现 不 同 岗位 和人 员之 间
实 践 中,商 业银行是 通过设置机 构、部 门、 岗位 ,明确职责 ,并配置相 应的人
通 过 有 效 缓释 和 规 避 组 织 行 为 不 确 定 性 引致 的 工作 偏差 ,降 低管 理 粗放 或 者 管理 过度 导 致 的成本 增 加 、 资本 占用 和 风 险损 失 ,经 由资 本节 约 、资源 集 约 式发 展 实现 价 值 创造 。 商 业银行管理 中 ,永远 都没有完美 的、 能解决所有 问题 的 内部 控制 ,也 自然没有完 美 的 内控 组 织体 系 或者 说 防 线 的设 置 。第
商业银行 “ 三道防线”的设置
与功 能
人 民银 行 、证 监会 等 监管 机 构提 出 了 “ 道 防线 ” 的 设 计 , 但 对 在 哪 里设 置 三 “ 防线 ”却 有 不 同的理 解 。 其实 ,企 业 内 部 控 制 的 “ 线 ” 设 置 几 道 ,在 哪 里 设 防 置 ,并无 一 定之 规 。 而是 应 当在 成 本效 益 原 则 的前 提 下 ,围绕企 业 内控 的客 观需 要 设 计 。 只不 过 实践 中已经 习惯 了使 用 “ 三 道 防 线 ”的表 述 ,更 便于 大 家理 解 而 已。 管理 学大 师 德 鲁克 曾指 出 , “ 不是 有 了 工 作 才 有 目标 ,而 是 有 了 目标 才 能 够 确 认 每 个 人 的 工 作 ” 。理 解 了这 种 组 织 设 置 的 基 本 原 则 ,就 容 易 理 解 商 业 银 行 “ 线 ” 的设 置 与 功 能 发 挥 ,不 是 因 为 防 有了 “ 防线 ”及 设 置 了相 应 的部 门与 岗位
谈商业银行的三道防线
谈我国商业银行的“三道防线”中国农业银行内控与法律合规部总经理郑鑫商业银行内部控制“三道防线”的制度安排发轫于1997年中国人民银行发布的《加强金融机构内部控制的指导原则》(下称《指导原则》)。
此后,监管规定不断演变,商业银行经营形势日趋复杂,实践安排中对“三道防线”防什么、谁来防和怎么防的问题见仁见智,莫衷一是。
因此,有必要通过对相关问题的深入分析,明晰概念,统一认识,为商业银行优化“三道防线”设置提供思路和借鉴。
一、商业银行“三道防线”的发展演变1997年,人民银行发布了《指导原则》,要求金融机构建立完善的内部控制制度,设立顺序递进的三道监控防线:即一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。
2002年,《指导原则》被废止。
此后人民银行、银监会规范性文件未再对“三道防线”进行规定。
2001年以后,证监会、国资委和保监会先后发布规范性文件,从内部控制或者风险管理角度对“三道防线”设置提出了明确要求。
具体而言,证监会规定与《指导原则》的思路相同,都是从内部控制的角度设置防线;国资委和保监会则是从风险管理的角度提出“三道防线”设置的具体要求。
需要指出的是,证监会、保监会及国资委的规定均不适用于商业银行,而且保监会、国资委的规定又与商业银行的实践和组织管理模式的传统存在很大的差异。
2008年,财政部、银监会等五部委联合发布了《企业内部控制基本规范》(下称《基本规范》),虽未明确提出“三道防线”的要求,但为商业银行设置“三道防线”提供了新的思路和指南。
与此同时,“三道防线”的主要防控对象,也经历了从“防案件”到“防风险”再到“防偏差”的两次较大的演变。
90年代初期,我国金融系统案件频发,“三角债”、虚假票据泛滥,危害金融秩序,影响金融稳定。
为控制案件高发态势,人民银行发布《指导原则》提出设立“三道防线”的要求,其主要目的就是防控案件。
随着风险管理理论与实践的发展,防控对象逐渐从“防案件”发展为“防风险”。
如何利用三道防线模型
如何利用三道防线模型,使内部控制体系在企业落地为了解决这个问题,2015年,国际内部审计协会(IIA)联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE(如何在三道防线模型中使用COSO内控框架),这份文件我们和很多同仁分享过。
图:三道防线模型关于三道防线的概念,相信从业者早有耳闻,特别是内部审计工作者,因为IIA早有相关报告和资料介绍三道防线的概念,这次和COSO内控框架的结合,旨在将三道防线的职能和内控的要素、原则进行关联,更好的利用COSO的内控框架充实三道防线的工作内容,也使COSO的内控框架更好的被落地实施。
今天,把这篇文章的观点和大家介绍一下。
一、董事会及高级管理层虽然董事会和高级管理层不属于三道防线中的任何一道,但他们的作用却是不可或缺的,在董事会的监督下,高级管理层负责内部控制的建立、改进和评价。
董事会和高级管理层负责设立组织目标,规划实现这些目标的战略,并建立治理结构来更好地管理风险。
高级管理层对第一和第二道防线的活动负有最终责任。
董事会和高级管理层对组织的控制环境负有主要责任,所以内控框架和董事会及高级管理层的对照关系如下图所示。
图:董事会及高级管理层的内控职责二、第一道防线:运营管理三道防线模型中的第一道防线主要由业务前台和中台负责日常风险管控工作。
运营经理设计并实施组织的控制和风险管理流程。
这些包括内部控制流程,旨在识别和评估重大风险,执行计划的活动,关注存在缺陷的流程,应对控制失效,并与活动的主要利益相关者沟通。
运营经理必须有足够的技能,以使其能够在他们的运营领域内完成这些任务。
高级管理层对所有的一道防线活动负有全面责任。
对于某些高风险领域,高级管理人员也可以直接监督前台和中台管理,甚至亲自执行一定程度的一道防线职责。
第一道防线主要对应着框架中的风险评估、控制活动和信息沟通部分,对于运营管理者,还包括监控活动部分,如下图所示。
银行经营管理三道防线是什么
银行经营管理三道防线是什么一、风险管理防线在银行业务运作的过程中,风险是无处不在的。
为了维护银行的稳健经营和客户的利益,银行必须搭建起风险管理的防线。
1. 风险识别和评估银行需要通过对外部和内部风险因素的全面识别和评估来建立风险意识,确定业务运作的风险程度和潜在风险。
这可以通过定期的市场调查、分析经济环境、政策法规、竞争对手等因素进行实施。
2. 风险控制和监测银行需要建立和完善风险控制和监测制度,包括制定风险管理政策、流程和标准,明确管理责任和权限,建立风险监测和预警机制。
通过实时监控业务运作,及时发现和报告风险事件,采取相应的控制措施,确保风险在可控范围内。
3. 风险应对和应急管理银行需要建立应对和应急管理体系,包括制定风险应对策略和应急预案,加强组织的应急响应能力。
一旦风险事件发生,能够迅速作出反应,并采取必要措施进行应对和处理,最大限度地降低损失。
二、合规管理防线银行经营过程中必须遵守国家法律法规和监管机构的规定,确保合规经营。
1. 法律法规规范银行需要制定内部规章制度,确保员工行为符合相关法律法规的要求。
同时,对于法律法规的变化,银行需要及时调整和完善相应制度,以确保合规性。
2. 风险防范和监控银行需要建立合规风险防范和监控机制,通过内部控制手段,监督员工的操作行为,防范和发现违规行为。
同时,要加强对涉及合规风险的业务和产品的审查与管理。
3. 内外部合规审查和反洗钱银行需要加强内外部合规审查,确保整个组织的合规性。
此外,银行还需要制定反洗钱政策和程序,建立相应的内部控制机制,在业务操作中主动发现并防范洗钱风险。
三、内部控制防线内部控制是银行经营管理的核心要素,用于保护资产、保障业务运营的顺利进行。
1. 内部控制目标和范围银行需要明确内部控制的目标,包括财务报告的可靠性、资产保护、规范经营和合规性。
同时,需要确定内部控制的范围,涵盖各个业务环节和功能部门。
2. 内部控制制度与流程银行需要建立完善的内部控制制度和流程,确保业务流程符合规范,减少潜在风险发生的可能。
试论企业内控与风险管理体系中的三道防线
财务管理FINANCIAL MANAGEMENT试论企业内控与风险管理体系中的三道防线张雷四川枫叶牧场食品有限公司摘要:在我国经济高质量发展阶段,给企业发展带来机遇和挑战并存的局面。
企业业务领域范围及规模的扩大,为促进良性发展态势,不仅需要优化内部环境,而且应强化风险体制,以“三道防线”为基本准则,总结与分析固有风险和潜在风险,为企业存续与健康发展提供强有力保障。
本文经探讨企业内控与风险管理体系的三道防线,为相关研究提供借鉴。
关键词:企业内控;风险管理;三道防线引言风险管理三道防线作为企业健康和谐发展的有力支撑,有助于提升整体内控及风险管理水平[1]。
对于风险管理三道防线,从本质上来讲,其是企业根据各级岗位职责及功能,对风险管理责任进行划分,严格执行风险管理三道防线机制,构建“资源共享、信息互通”的合规风险防范体系,三道防线强强联合,相互作用、缺一不可,督促运营层、管理层等在组织或管理中认真履行工作职责,有效预防和排查潜在风险,以此促进企业总体发展目标的实现。
一、“三道防线”概念及职责(一)第一道防线:业务部门防线第一道防线:业务部门防线。
公司的业务部门或经营单元作为前端部门整合资金费用及运营业务,尤其是在实际交易中,公司运营、业务及日常管理中会遇到各种各样的问题。
期间处理不到位、管理不彻底,均会埋下安全风险,对此企业应强化风险管理,这是最基础的保障。
公司管理层应把握整体大局,既要严格执行审计部门发布的各项政策及规定,又要监管协调好风险管理。
具体来说,公司的风险管理包括微观和宏观两个角度,将风险管理方法高效融入运营业务中,强化业务的风险管理,这是强化公司风险管理的第一道屏障,即为第一道防线。
对于微观层面,涉及各种政策与制度,存货和资金的管理。
关于宏观层面,则分别有组织机构、管理职能、审批流程和职责承担等[2]。
(二)第二道防线:风险管理部门防线第二道防线:风险管理部门防线。
风险管理部门防线主要有两层含义,一是指风险管理委员会,二是指风险管理部门。
保险公司三道防线的合规管理框架
保险公司三道防线的合规管理框架保险公司作为金融行业的重要组成部分,面临着严格的监管和合规要求。
为了有效管理风险、确保合规运营,保险公司需要建立健全的合规管理框架。
而保险公司的合规管理框架通常包括三道防线,即内部控制、合规风险管理和合规文化建设。
本文将结合这三道防线,深入探讨保险公司合规管理的重要性,以及如何构建和完善合规管理框架。
内部控制是保险公司合规管理框架的第一道防线。
内部控制是指保险公司为了达成业务目标,并对内外部环境中对业务目标构成的各种风险和威胁,以及日常经营活动而制定的一组帮助界定企业政策和目标达成程度的程序、措施和管理手段。
在内部控制的框架下,保险公司需建立健全的风险管理制度和内部管理制度,确保各项业务活动符合法律法规要求,做到风险可控、业务合规。
合规风险管理是保险公司合规管理框架的第二道防线。
合规风险管理是指保险公司对潜在合规风险进行全面、系统的分析和评估,采取相应措施,确保公司运营活动符合法律法规和公司内部制度、规定。
在合规风险管理的框架下,保险公司需要建立完善的风险识别、评估、管控和报告机制,定期进行风险评估和内部审计,及时发现和解决存在的合规风险问题。
合规文化建设是保险公司合规管理框架的第三道防线。
合规文化建设是指保险公司通过制定相关政策、规程和培训,引导员工树立合规意识,倡导合规行为,促进全员参与合规管理,形成健康的合规文化氛围。
在合规文化建设的框架下,保险公司需要加强对员工的合规教育和培训,建立健全的内部监督和管理机制,树立合规意识,强化合规责任,构建和谐的合规文化。
总结而言,保险公司的合规管理框架包括内部控制、合规风险管理和合规文化建设三道防线。
这三道防线相互交织、相互依存,构成了保险公司完备的合规管理体系。
在实践中,保险公司需要从制度建设、流程管理和文化引领三个方面着手,推动合规管理框架不断完善。
只有建立健全合规管理框架,才能有效管理风险、提高合规运营水平,为保险公司的可持续发展提供坚实的保障。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一、三道防线模型基本介绍 三道防线模型是通过厘清角色和职责来强化对风险管理和控 制的理解。其基本前提是,对于有效的风险管理和控制而言,在 董事会 及高级管理层的监督和指导下,在组织内建立相互分离的 群体(或防线)是必需的。三道防线各自的职责如下: 1.对风险和控制负责并管理(第一线的运营管理) 。 2.协助管理层监控风险和控制(由管理层落实的风险、控制 和合规等职能) 。 3.对董事会和高级管理层所关心的风险和控制的有效性,进 行独立审计并报告(内部审计) 。 三道防线在组织整体的治理框架内都起到了独特的作用。如
控制环境
1.展现对诚信和道德价值的承诺 2.行使监督职责 3.确立组织架构、权利与责任 4.对胜任能力的要求 5.实施问责机制
风险评估
6.阐明适当的目标 7.风险识别与分析 8.评估舞弊风险 9.识别和分析重大变化
第三道防线
控制活动
10.选择与执行控制活动 11.选择并执行信息技术一般控制 12.通过政策和程序实施控制活动
内部审计
信息与沟通
13.使用相关的信息 14.内部沟通 15.外部沟通
企业内部控制简报
(2015 年第 5 期)
企业内部控制 秘书处 标准委员会
签发人:高一斌
目பைடு நூலகம்
录
研究报告 ........................................................................................ 2
在三道防线中发挥内部控制的作用 ...................................... 2
2
1 2
《有效的风险管理和控制中的三道防线》 ,Altamonte Springs, FL: 内部审计师协会,2013 年 1 月 与其他 COSO 出版物一致,本文使用“董事会”指代治理机构,包括董事会、理事会、合伙人、所有者、或 监事会
2
果各道防线都能有效地履行其既定责任时,组织就更可能成功达 成其总体目标。每个在组织中的人都负有一定的内部控制责任, 防线模型所明确的特定角色定位和责任,就是为了确保必要的职 责能按照期望被执行。当一个组织适当地构建并有效运行了这三 道防线,其应当能覆盖所有的管理空白,并杜绝不必要的重复工 作,这样才可能对风险和控制进行更加有效的管理。董事会也因 此能有更多机会来获得重大风险及管理层应对的无偏差信息。
6
益关联方沟通等内部控制流程。运营管理者必须具备足够的业务 技能,能在其业务领域内完成这些任务。 高级管理层在总体上对所有第一道防线的活动负责。对于某 些高风险领域,高级管理层可能会直接监管第一线和中线的管理 活动,甚至亲自履行部分第一道防线的职责。 (二)第一道防线:运营及管理 第一道防线的人员对于 COSO 框架所述的风险评估、 控制活动、 以及信息与沟通负有重要的责任。如下面图中所示,运营管理者 对 COSO 框架中所列示的 12 项内部控制原则负有主要责任:
1
内部审计针对治理、风险管理和内部控制的效率和效果进行 计。内部审计的工作范围可以涵盖组织各个方面的运营和活动。
1
《国际专业实务框架》 , Altamonte Springs, FL: 内部审计师协会,2013 年
10
内部审计与其他两道防线的区别是其具有高度的组织独立性 和客观性。内部审计师不负责设计和实施控制,也不负责组织的 运营。在大多数组织中,首席审计官和董事会之间建立了直接报 告关系,因而内部审计的独立性得到进一步加强。由于具备这种 高度的组织独立性,内部审计师最具优势去向董事会和高级管理 层提供关于公司治理、风险和控制的可靠而客观的保证。
持续监控施 第二道防线 财务控制 信息安全 风险管理 监督活动 16.持续评估和单独评估 17.评估与沟通缺陷 合规 质量 检查
图 5 COSO 和第二道防线
(四)第三道防线:内部审计 内部审计是组织的第三道防线。IIA 对内部审计的定义是“独 立、客观的审计和咨询活动,旨在增加价值和改善组织的运营。 它通过采用系统、规范的方法评估和改善风险管理、控制和治理 流程的有效性,帮助组织实现其目标。 ”
(Douglas J Anderson Gina Eubanks)
摘要:本文由美国科索委员会(COSO)与国际内部审计协会(IIA)合作共同 完成,旨在指导组织运用 COSO 内部控制整合框架与三道防线模型1,明确和分配与 内部控制相关的职责定位,从而帮助组织强化其整体治理结构。安永(中国)管 理咨询有限公司协助对本文进行了翻译。
董事会
设定组织目标
COSO 框 架 — — 用于管理风险和 控制以实现组织 目标
组织架构——执 行风险和控制职 责
图 1 COSO 框架和防线模型在目标间的联系
三道防线模型提供了一个灵活的、可操作的架构,可用来支 持 COSO 框架的落实。每一道防线所包含的职责因组织而异,有些 职责可能会在防线间合并或拆分。例如,在某些组织中,第二道
8
合规目标。 第二道防线人员的职责可能存在很大差别,但通常会包括: (1)协助管理层设计和建立流程与控制,以管理风险; (2)明确需要监控的活动,以及如何对照管理层的期望来衡 量是否成功; (3)监督内部控制活动的充分性和有效性; (4)上报重要的问题、新的风险和异常情况; (5)提出风险管理框架; (6)识别和监控影响组织风险和控制的、已知的和新出现的 问题; (7)识别组织内风险偏好和风险承受能力的变化; (8)提供风险管理和控制流程的指导和培训。 第二道防线的监控活动应根据组织的特定需要量身定制。通 常情况下,这些活动与日常运营活动是分开的。在很多情况下, 监控活动会分散在整个组织中,但在某些组织中,监控职能也可 能仅局限于一个或几个领域中。 虽然一、二道防线从本质上来说都是管理职能,但第二道防 线中的每项职能都应与第一道防线保持一定程度的独立。第二道 防线可能会直接建立、实施或修改组织的内部控制和风险流程, 但也可能要对某些运营活动进行决策。当第二道防线需要直接参 与到第一道防线的活动时,他们就无法完全独立于第一道防线。
5
模型中最有能力优化组织架构,明确与风险和控制相关的角色和 职责分配的相关方。同时,高级管理层还对第一道和第二道防线 的活动承担最终的责任,因此他们必须全力支持强健的公司治理、 风险管理和控制,他们的参与对整个防线模型的成功至关重要。 COSO 框架有助于厘清董事会和高级管理层的责任。如图 3 所 示,高级管理层和董事会对组织的控制环境负有首要责任,应按 照控制环境的五项原则确立组织的“高层基调” 。 三道防线型在 COSO 框架之下提供了一个如何具体分配角色和 职责的架构。当董事会和高级管理层给予积极的支持和指导时, 该防线模型能够得到最有效的实施。
图 4 COSO 和第一道防线
(三)第二道防线:内部监控与监督职能
7
第二道防线中包括多种风险管理和合规职能,以确保第一道 防线所执行的控制和风险管理流程的设计是合理的,并能按照预 期有效地执行。他们虽然是独立于第一道防线的管理职能,但仍 在高级管理层的控制和指导之下。第二道防线中的职能通常是负 责持续地监控控制和风险。他们经常与经营管理层密切合作,在 明确实施策略、提供风险专业知识、实施政策和程序、以及收集 信息方面提供帮助,从而建立起整个企业范围内对风险和控制的 统一认识。 第二道防线的组成会因组织规模、行业而存在差别。在大型 的、上市的、业务复杂或受到严格监管的组织内,这些职能可能 是完全独立且明确的。而在较小型的、私营的、业务不太复杂或 所受监管不太严格的组织内,有些第二道防线的职能可能会不存 在或被合并。 例如, 某些组织可能将法务和合规合并为一个部门, 或者将健康安全部门与环境部门合并起来。在某些组织中,第二 道防线的部分或全部职责可能由第一道防线的管理者来承担。 第二道防线的典型职能所包含的特定领域有:风险管理、信 息安全、财务控制、资产安全、质量、健康和安全、检查、合规、 法务、环境、供应链、其他(取决于行业或企业的特殊需求) 。 在管理层的监督下,第二道防线的人员监控特定的控制,以 确定控制是否按在预期的方式执行。第二道防线所实施的监控活 动通常涵盖 COSO 框架的所有类别的目标:运营目标、报告目标和
9
虽然不能保证其独立性,构建一个强有力的第二道防线对组 织来说仍然无比重要。第二道防线应当具备适当的客观性,能向 董事会和高级管理层提供关于第一道防线对风险控制管理的重要 信息。与第一道防线所不同的是,他们还能向高级管理层和董事 会提供整个企业范围内的风险和控制信息。要让第二道防线有效, 就必须通过授权以及允许其直接报告等方式,让其能在组织内各 部门领导和经营管理层中获得足够的尊重。
4
属于管理和/或监督职能,负责多方面风险的管理。 3.第三道防线向高级管理层和董事会提供关于第一道防线和 第二道防线的实际运作是否与期望值相一致的保证。第三道防线 通常不执行管理职能,以保持其客观性和在组织中的独立性。此 外,第三道防线直接向董事会报告。因此,第三道防线提供的是 监督而非管理,这是其区别于第二道防线的地方。 任何组织都希望能够实现其最终目标。要实现这些目标,组 织就需要抓住机遇、追求增长、承担风险、并管理这些风险,以 促进组织的发展。如果不能适当地承担风险、适当地管理和控制 风险,那么组织的目标将难以实现。在创造企业价值的活动和保 护企业价值的活动之间,总是会存在矛盾。COSO 框架提供了一个 对风险和控制进行考量的架构,以确保风险和控制得到适当的管 理。而防线模型为构建组织架构提供指导,在各个部门之间合理 分配角色和职责,以实现对风险和控制的有效管理。 二、三道防线的架构组成 (一)高级管理层和董事会在三道防线模型中的作用 高级管理层和董事会在防线模型中有着不可或缺的作用。在 董事会的监督下,高级管理层负责内部控制体系的选择、建立和 评估。虽然高级管理层和董事会均未被视作三道防线的成员,但 是他们共同负有设定组织的目标、制订能够实现目标的高层战略、 以及建立治理结构从而最有效地管理风险的责任,他们也是防线