立场公告-风险管理三线防御模式.doc

立场公告：有效风险管理和控制的三线防御模式 2013年1月 国际内部审计师协会 内 容 介绍……………………………………………..1 三线：风险管理监督和战略制定……………..2 第一道防线：经营管理………………………..3 第二道防线：风险管理和合规职能…………..4 第三道防线：内部审计…………………………5 外部审计，监管机构，以及其他外部机构……6 协调防御三线…………………………………….6 简 介 在二十一世纪的企业，这并不罕见，找到不同的内部审计队伍，企业风险管理专家，合规官员，内部控制专家，质量检查员，舞弊调查员，和其他风险和控制的专业人员一起工作，帮助他们的组织管理风险。这些专业人员的每一位都有一个独特的视角和特定的技能，可以为他们的组织提供的服务是非常宝贵的，但由于风险管理和控制相关的工作越来越多地被分割在多个部门，职责必须仔细地协调以确保风险和控制过程能正常工作。 只有各种风险和控制功能的存在是不够的 — 挑战的是在这个团体中分配特定的角色并且有效果和高效率地协调，控制没有“空挡”，也没有不必要的重复覆盖。明确的职责定义必须使每一组风险与控制专业人员能够理解他们职责的界限和如何使他们的位置融入组织，整体风险和控制结构中。 赌注是很高的。没有一个有凝聚力，协调的方法，受限制的风险和控制资源可能无法有效地部署，而且重大风险可能不能得到识别或恰当地管理。在最坏的情况下，在各种风险和控制团体之间的沟通可能变成为特定的任务应由谁来完成而进行的争论。 这个问题可以在任何组织存在，尽管，应用的是一个正式的企业风险管理框架。虽然风险管理框架可以有效地识别现代企业必须控制的风险类型，这些框架对组织内应如何分配和协调具体职责基本上是一言不发的。 幸运的是，新出现的最好的做法，可以用系统的方法帮助组织分配和协调基本风险管理职责。三线防御模型提供了一种简单而有效的方法，通过明确地分配角色和职责，加强对风险管理和控制的沟通。它提供了对运作的清新地观察，有助于保证风险管理计划的持续成功，它适合于任何组织，无论大小或复杂程度。即使在组织中没有正式的风险管理框架或系统，三线防御模式也可以增强风险和控制的清晰度和有助于改善风险管理系统的有效性。 三线：风险管理的监督和战略决策 在三线防御模型中，管理控制是风险管理的第一道防线，各种风险控制和合规监管功能是管理层建立的第二道防线，独立保证是第三道防线。这三条“线”的每一条在组织的更广泛的治理框架中发挥了独特的作用。 在这个模型中,虽然没有治理机构也没有高级管理层被看着是在“三线”之中，在不考虑治理机构（即，董事会或同等机构）和高级管理层的重要作用，没有讨论风险管理系统的完整的情况下。治理机构和高级管理层都是“线”服务的主要利益相关者，他们最好的位置来帮助三线防御模型保证它们在组织的风险管理和控制过程中的表现。 高级管理层和治理机构对设定组织的目标，和制定实现这些目标的战略，为完成这些目标，建立最好的管理风险的治理结构和程序共同负有责任和问责。三线防御模型最好地执行离不开组织的治理机构和高级管理层的积极支持和指导。 第一道防线：运营管理 三线防御模型中要区分三组（或线）参与有效的风险管理： □拥有和管理风险的功能。 口监管风险的功能。 □提供独立的保证的功能。 作为第一道防线，经营管理者拥有和管理风险。他们还负责实施纠正措施，讨论过程和解决控制缺陷。 运营管理负责维持有效的内部控制，并在日常的基础上执行风险和控制程序。运营管理识别、评估、控制和减轻风险，指导内部政策和程序的制定和实施，确保活动与目标和目的保持一致。通过阶梯式的责任结构，中层管理人员设计和实施详细程序，控制和监督他们的员工执行这些程序。 运营管理自然作为第一道防线，因为在它们的运营管理指导下控制被设计成系统和过程。必须有足够的管理和监督控制以确保遵守和对控制故障，不足的过程，和突发事件引起注意。 第二道防线：风险管理和合规职能 在一个完美的世界里，也许只有一道防线就能确保有效的风险管理。然而在现实世界中，一个单一的防线，往往是不够的。管理层建立了不同的风险管理和合规管理功能，帮助建立和/或监督一线防御控制。不同的组织和行业的具体功能各不相同，在第二道防线典型功能包括： l 风险管理功能（和/或委员会），通过运营管理促进和监督实施有效的风险管理实务，协助风险拥有者确定风险目标风险暴露和在整个组织中恰当地报告与风险相关的信息。 l 合规功能监测各种特定风险，诸如对适用法律和法规的违反，在这方面的职责，单独的功能直接向高级管理层汇报，在某些业务部门，直接向治理机构报告。在一个组织中通常存在多合规职能，涉及特定类型的合规监测职能，如健康和安全、供应链、环境或质量监控。 l 监控财务风险和财务报告问题的控制功能。 管理层建立这些功能确保了第一道防线的设计是适当的，位置恰当，运作符合预期。这些功能的每一个与第一道防线具有有一定程度的的独立性，但他们是由自然的管理功能执行的。作为管理功能，在修改和开发内部控制和风险系统中他们可以直接介入。因此，第二道防线满足于一个重要的目的，但是不能为治理机构提供关于风险管理和控制的真正地独立分析。 在具体的性质方面，这些功能的职责不同，但可以包括： □配套管理政策，定义角色和职责，并设定执行的目标。 □提供风险管理框架。 □识别已知和新出现的问题。 □识别组织中的隐性风险偏好的变化。 □协助管理层开发管理风险和问题的程序和控制。 □就风险管理过程提供指导和培训。 □通过运营管理推动和监控有效的风险管理实务的实施。 □提醒运营管理中出现的问题和变化中的监管和风险情况。 □监测控制的有效性和充分性，准确性和完整性报告，遵守法律和法规，并及时修复缺陷。 第三道防线：内部审计 内部审计人员在组织内部，依赖高水平的独立性和客观性的基础，向治理机构和高级管理层提供全面的保证。在第二道防线中没有这种高水平的独立性。内部审计提供了治理，风险管理和内部控制有效性的保证，包括，第一线和第二线防御的风险管理和控制目标实现的方式。在该保证范围内，向高级管理和治理机构报告，通常包括： 范围广泛的目标，包括营运的效率与效果，资产保障，报告过程的可靠性和完整性，遵守法律、法规、政策、程序和合同。 风险管理和内部控制框架的所有要素，其中包括：内部控制环境；组织的风险管理框架的所有元素（即，风险识别，风险评估，和风险应对）；信息与沟通和监控。 总体单位、分部、子公司，经营单元和功能，包括运营过程，诸如销售、生产、营销、安全、客户功能和运作以及支持功能（如，收入和支出的会计、人力资源、采购，发放工资、预算、基础设施与资产管理、库存和信息技术）。 建立专业的内部审计活动是整个组织的治理要求。这不仅对大中型组织是重要的，较小的实体也同样重要，因为较小的企业可能面临于一个同样的不太正规的复杂的环境中，强大的组织结构保证其公司治理和风险管理过程的有效性。 建立专业的内部审计活动是所有组织的治理要求。这不仅是内部审计活动贡献于有效的组织治理，提供一个有把握的条件—培养其独立性和专业性—得到满足。最好的做法是建立和维持一个独立的、充分的、具有胜任能力且配备好的内部审计的功能，其中包括： □遵照公认的国际内部审计实务准则开展工作。 □向组织内足够高的层次报告，在组织中能独立履行其职责。 □具有积极有效的向治理机构报告的渠道。 外部审计，监管机构，和其他外部机构 外部审计，监管机构，以及其他外部机构是存在于组织结构之外的，但是他们能够在组织的综合治理和控制结构方面发挥重要作用。特别是在受管制的行业的例子，如金融服务和保险业。监管者有时设置要求，有意加强对一个组织的控制并引起独立和客观功能评估的第一，第二，或第三防线相关的那些要求的的全部或部分。当协调有效时，可以考虑外部审计，监管机构，以及组织以外的其他机构作为增加的防线，为该组织的股东，包括治理机构和高级管理层提供保证。不过，给他们的任务是特定的范围和目标，风险信息收集的范围通常比组织内部的三线防御所处理的范围要小。 协调三线防御 因为每一个组织都是独特的，具体情况各不相同，没有一个“正确”的方式协调三线防御。然而，在风险管理功能中分配具体的职责和协调时，它可以帮助你记住在风险管理过程中的每一组的潜在作用。 一线防御 二线防御 三线防御 风险持有人/风险管理者 风险控制和合规 风险保证 运营管理 有限独立性 首先向管理层报告 内部审计 较高的独立性 向治理层报告 三条线以某种形式存在于每个组织中，无论规模大小或业务的复杂程度。在这三条线是独立的和明确界定的防线时，风险管理通常是最强的。不过，在特定情况下，特别是在小机构中实施，三条防线肯定可以组合起来。譬如，在要求内部审计建立和/或管理组织的风险管理和合规性活动的地方，内部审计要与治理机构及高级管理层清楚地说明这种合并带来的影响。如果双重职责分配给一个人或一个部门，在稍后建立三线时，要适当考虑划分开这些功能的责任。 不管三线防御模型如何实施，高级管理人员和治理机构应明确沟通，对各负责管理组织风险和控制的各组之间的信息共享和活动协调的期望。根据国际内部审计专业实务标准的规定，首席审计官要明确要求“与其他内部和外部的保证和咨询服务提供者共享信息和协调活动，以确保适当的覆盖率和减少重复劳动。” 建议的做法： l 风险和控制过程要按照三线防御模型精心安排。 l 每一道防线应该要由适当的政策和角色定位来支持。 l 每条单独的防线之间要有恰当的协调，以促进效率和效果。 l 不同防线的风险和控制功能的运作要适当地分享知识和信息，有助于所有功能以有效的方式更好的实现他们的角色。 l 各防御线不要以降低有效性的方式结合或协调。 l 在有些情况下，不同的防线的功能被合并的地方，治理机构要对结构及其影响给与忠告。对于那些还没有设立内部审计活动的组织，要求管理层和/或治理机构向其利益相关者作出解释，说明他们已经考虑了该组织的治理，企业风险管理，控制结构的有效性如何得到充分的保证。 5