内部控制的“三道防线”COSO(TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission,美国反虚假财务报告委员会下属的发起人委员会)与 IIA(TheInstituteofInternalAuditors,国际内部审计师协会)于 2013 年完成内部控制“三道防线”模型,明确和分配内部控制相关的职责定位,从而帮助企业优化其整体结构。合规性与财务管理的关系三道防线是通过理清角色定位和职责来强化对风险管理和内部控制的理解。第一道防线属于第一线的运营及管理,是对风险和控制责任的分配,第一道防线最为关键,最好能够把绝大部分风险控制在第一道防线。第二道防线是对第一道防线的监督、检查,避免疏漏。通过具体到各个部门、各个业务模块协助管理层监控风险,并控制风险。第三道防线属于内部审计,是对董事会和高级管理层所关心的风险和控制的有效性进行独立审计并报告。第一道防线:运营及管理第一道防线就是企业运营和管理第一线的业务人员的风险控制。工作在第一线的销售人员、生产工人、运输工人、质检员、验收人员、会计、人事专员、采购员、技术工程师等,他们在日常工作的过程中就担负着内部控制的职责。一线的人员应该接受必要的内控培训,他们不但要清楚本岗位的工作职责,而且要能够评估工作中的风险,能够识别风险,并且能够自主采取必要的控制措施,必要时需要向本部门或者更高一级的管理者沟通、汇报。第一道防线主要职责及具体内容如表所示。第一道防线是业务过程中控制风险最重要的防线,企业 90%以上的精力应该放在第一道防线上,第一道防线的内控措施既要具有规范性又要有一定的灵活性,没有灵活性就不能适应不同特点的市场及客户。第一道防线要让业务主管承担起内控责任,经营责任人也是内控责任人。第一道防线的流程控制也非常重要。流程本身就是防线,完善了流程就相当于建立了良好的防范措施。第二道防线:内部监控与监督职能第二道防线的内容包括多种风险管理与合规管理,这些管理可以确保第一道防线执行的控制和风险管理流程的设计是合理的,并能够按照预期有效地执行。第二道防线的职能通常是持续地监控风险,明确实施内控策略,提供风险专业知识,实施内控政策和执行程序,以及在收集信息方面提供帮助,从而建立起整个企业范围内对风险和内控的统一认识。第二道防线的责任部门会因组织规模、行业不同而存在差别。在大型上市公司、业务复杂或受到严格监管的组织内,这些责任部门可能是完全独立且明确的。在小型私营企业或业务不太复杂...
