国际内部审计师协会( IIA)三线模型
三道防线模型 升级版
目录
三线模型的原则 ............................................................................................................................................... 2
原则 1:组织治理 ................................................................................................................................... 2
原则 2:组织治理机构的职责 ................................................................................................................. 2
原则 3:管理层和第一、二线的职责 ....................................................................................................... 3
原则 4:第三线的职责 ............................................................................................................................ 3
原则 5:第三线的独立性 ........................................................................................................................ 3
原则 6:创造和保护价值 ........................................................................................................................ 3
三线模型的关键职能 ........................................................................................................................................ 5
组织治理机构 .......................................................................................................................................... 5
管理层 .................................................................................................................................................... 5
内部审计 ................................................................................................................................................. 6
外部确认提供方 ...................................................................................................................................... 6
核心职能之间的关系 ........................................................................................................................................ 7
组织治理机构和管理层(第一、二线职能)的 关系 ................................................................................ 7
管理层(第一、二线职能)和内部审计的关系 ........................................................................................ 7
内部审计和组织治理机构的关系 ............................................................................................................. 8
所有职能之间的关系 ............................................................................................................................... 8
模型的应用 ...................................................................................................................................................... 9
结构、职能和职责 ................................................................................................................................... 9
监督和确认 ............................................................................................................................................10
相互 配合并保持一致 ..............................................................................................................................10
1
简介
组织是一项人类的事业, 其运行环境充满了不确定
性,越来越复杂多变且相互关联。通常情况下,组
织会有多个利益相关方,他们之间存在着复杂多样、
不断变化 、 有时甚至会相互冲突的利益关系。利益
相关方将组织监督权授予组织治理 机构 ,治理 机构
将资源和权力分配给管理层,再由管理层执行具体
的措施, 例 如对风险进行管理。
由于这一系列的原因,组织在 加强 治理和风险管理
的能力的同时,还要建立有效的组织结构和流程来
完成组织的目标。当 治理机构 收到来自管理层有关
组织活动、成果和未来发展预测的报告时, 治理机
构 和管理层都依赖内部审计部门为其提供有关上述
事 项 的独立 、 客观的确认和 咨询 , 从而 推动和协助
组织创新和发展。 治理机构 对治理活动承担最终责
任,而组织治理是通过 治理机构 、管理层和内部审
计共同努力达成的结果。
三线模型帮助组织对结构和流程是否能够发挥最大
效用 、 协助完成组织目标并改善组织治理和风险管
理 的 能力进行确认。该模型 适 用于所有类型的组织,
需要做到以下几点来确保其发挥充分的效用:
? 采用 基于 原则的工作方法,并根据组织的具体目标和环境对模型进行调整。
? 重点关注风险管理在完成组织目标、创造价值以及在“防御风险”和保护价值方面做
出的贡献。
? 对模型中的各个职能、各项职责以及彼此之间的关系有清晰的理解。
? 采取措施确保活动和目标与利益相关方的首要利益保持一致。
关键术语
组织 -由拥有共同目标的活动、
资源和人员组成的有系统的集
合。
利益相关方 -组织服务或影响其
利益的集体和个人。
组织 治理机构 -对利益相关者负
责, 负责领导组织实现成功 。
管理层 -负责为组织客户 提供 产
品和 /或服务的个人、团体和支持
性职能部门。
内部审计 -在管理层之外独立运
行,为组织提供有关治理和风险
管理 (包 括 内部控制) 的准确性
和有效性的确认和观点的部门。
三线模型 -该模型之前被称为三
道防线模型。
内部控制 –旨在为是否能够实现
目标而提供合理确认的工作流
程 。
2
三线模型的原则
原则 1:组织治理
组织治理 需要恰当的结构和流程,从而:
? 使利益相关方 信任 组织 治理机构 ,并能够从
诚信、 领导能力 和 透明公开 等方面对治理机
构进行 问责 。
? 使管理层能够采取 行动 (含风险管理措施),
通过 基于 风险的决策机制和对资源的应用来
实现组织的目标。
? 使独立的内部审计职能部门能够提供 确认和
咨询 ,通过严格的询问和深度的沟通,为组
织提供 鉴证 和 树立信心 ,同时推动和协助组
织实现不断进步。
原则 2:组织 治理机构 的职 责
组织 治理机构 负责:
? 确保 为有效的组织治理 建立 合理的结构和流程。
? 确保组织的目标和活动与利益相关方的首要利益保持一致。
组织 治理机构 :
? 向管理层分配职责,提供完成组织目标 所需的资源 ,同时确保管理层 遵守 法律法规和
道德 要求 。
? 建立并监督独立、客观且可靠的内部审计职能部门,使其在组织实现目标过程中 针 对
工作 流程 提供明确的信息和 确认可信度 。
关键术语
以风险为基础的决策机制 -一项
经过 审 慎考虑的 工作流程 , 包含
分析、计划、行动、监督和检查
各个环节,并将在完成组织目标
过程中可能存在的不确定因素考
虑在内。
确认 -独立的 鉴证 并增加可信
度 。
3
原则 3:管理层和第一、二 线 的 职责
管理层肩负实现组织目标的职责,包含第一、二 线 的职能要求。 1第一 线 是组织为客户提供产
品和 /或服务的前沿职能,包含支持性 部门。 2第二 线 的职能部门 负责协助 开展 风险管理工作。
第一、二 线 的 职责 可能会存在相互交叉 ,也有可能 彼此 独立 。第二 线 的一些 职责 可能会被分配
给一些能够提供补充性专业知识、 发挥 支持 或 监督 作用 、 并对第一 线工作 提出合理质疑 的专业
人员。第二 线 的相关职能部门可能会将工作重心放在风险管理的具体目标上,如对法律法规的
遵循、可接受的职业道德行为、内部控制、信息和技术安全、 业务 可持续性以及质量确认。第
二 线 的 职责 还可能会包含更广泛的风险管理 ,例如全面风险管理( ERM)。 当然 ,第一 线 仍
然需要承担风险管理的 职责, 并将其作为 管理工作的 一部分 。
原则 4:第三 线 的 职责
内部审计负责为组织治理和风险管理工作的 适当 性和有效性提供独 立且客观的确认和 咨询 。 3
内部审计部门为了 履行 这一 职责 ,需要充分应用系统且规范的工作流程、专业知识和观点。内
部审计将 审计发现 报告给管理层和组织 治理机构 ,从而推动和协助组织实现可持续的进步。在
这一过程中,内部审计 可能需要将 其他内部和外部的部门或机构 提供的 确认 成果一并纳入考虑 。
原则 5:第三 线 的独立性
内部审计保持相对于管理层的独立性对于确保内部审计的客观性、权威性和可信度至关重要。
内部审计的独立性是通过以下几种方式 实现 的:对组织 治理机构 负责;在 完成其工作的过程中,
可以不受限制地接触相关 人员 ,获取 资源和数据;以及在制定计划和提供审计服 务的过程中 避
免 偏见和 免遭 干涉。
原则 6:创造和保护价值
各 项 职能之间相互配合,并把利益相关方的利益放在首位,才能共同努力为组织创造价值 并加
以保护 。 只有充分 沟通、配合和协作 ,才能实现各部门之间的协同,也 只有这样才能为 基于 风
险的决策机制提供值得信赖、相关 、 透明的信息。
1. 为了与原来的模型保持一致,新模型也采用了“第一线”、“第二线”和“第三线”的说法。但是,“线”并非意指结
构性元素,而是一项用于区分职能的标识。从逻辑上来讲,治理机构也构成了一道“线”,但是为了避免出现混淆,这一点
并没有被采纳。各线的数位命名(第一、第二、第三)并不代表三者按数位顺序工作,相反,各项职能是同步运行的。
2. 一些人认为支持性职能部门(如人力资源和行政管理)应该属于第二线的职能范畴。为区分清楚,三线模型中的 第一 线
既包括“前线职能”也包括“幕后职能” 部门 , 第二 线 则涵盖关注风险相关领域的补充性活动。
3. 对于一些组织而言,还存在其他属于第三线的职能,如监督、监察、调查、评估和补救等,这些可能属于内部审计职能
的一部分, 也有可能 单独运行。
4
IIA三线模型
图例 : 向其 负责 、 报告 授权、指导、提供资
源和监督
保持一致、沟通、协调、
相互协作
外部确认提供方
组织治理机构
对利益相关方负责,承担监督职责
管理层
采取行动(含风险管理)实现组织目标
内部审计
独立的确认服务
第一线的职能 :
为客户提供产品 /服
务;管理风险
第二线的职能 :
为风险相关的事务提
供专业知识、支持、
监督并提出合理质疑
第三线职能:
对所有与实现目标相
关的事务提供独立和
客观的确认和建议。
组织治理机构的职能: 诚信 、领导力、 透明度
5
三线模型的关键职 能
各个组织在职 责 分配方面 可能存在较大差异 。 然而, 按以下方式对相关 职 责 进行划分 可以 满足
“三线模型”各项原则 的要求 。
组织 治理机构
? 受利益相关方的委托,监督组织运行情况。
? 与利益相关方一道监督其利益,并就实现组织目标与利益相关方保持公开透明的沟通。
? 建立一个鼓励职业道德行为和 问责 的组织文化。
? 建立组织治理的结构和流程,其中还包含根据需要建立辅助性委员会。
? 将职责分配给管理层,并为其提供完成组织目标 所需 的各种资源。
? 确定组织的风险偏好,并监督组织风险管理工作(包括内部控制)。
? 保持对合规工作的监督,确保各项工作符合法律、法规和道德规范的要求。
? 建立一个独立、客观 、胜任 的内部审计部门,并对其进行监督。
管理层
第一 线 的职 责
? 领导并指挥各项 业务 (包括 相关的 管理风险), 运用 各种资源,完成组织目标。
? 与组织 治理机构 之间保持沟通,并向其报告与实现组织目标相关的计划、实际情况和
预期,以及相关风险。
? 为组织的运营和风险管理(含内部控制)工作搭建适当的结构和流程,并对其进行维
护。
? 确保各项工作符合法律、法规和道德规范的 要求 。
6
第二 线 的职 责
? 提供补充性的专业知识 ,发挥 支持 或 监督 作用, 并对风险管理相关工作提出 合理 质疑,
其中包括:
o 在工作流程、系统和整个组织层面上部署、实施并持续改进风险管理工作(含
内部控制)。
o 实现风险管理目标,如遵循法律法规和职业道德规范的要求、内部控制、信息
技术安全、可持续性以及质量确认。
? 对风险管理(含内部控制)的准确性和有效性进行分析和报告。
内部审计
? 保持主要对组织 治理机构 负责的状态,独立于管理层的各项职 能 之外。
? 为管理层和 治理机构 就组织治理和风险管理工作(含内部控制)的准确性和有效性提
供独立客观的确认和咨询,支持组织实现目标,推动并协助组织不断完善。
? 将有损内部审计独立性和客观性的情况报告给 治理机构 ,并根据要求采取保护措施。
外部确认提供方
? 提供额外的确认服务,从而:
o 满足有关保护利益相关方权益的法律和法规要求 。
o 作为 内部确认服务的补充, 满足管理层和组织 治理机构 的需求。
7
核心 职 能 之间的关系
组织 治理机构 和管理层(第一、二 线 职 能 )的关系
一般情况下,组织 治理机构 会通过确定组织发展 愿景 、使命、价值以及风险偏好来为组织 明确
发展方向。确定发展方向之后, 治理机构 会将实现
组织目标的各项职责和必要的资源分配给管理层。
治理机构 还要接受管理层关于计划、实际情况和预
期结果的报告,以及关于风险和风险管理的报告。
对于不同的组织而言, 治理机构和管理层之间可能
会存在职能交叉或相互独立的情况,其程度也各不相同 。 治理机构 或多或少都会“插手”组织
战略和运营方面的事务。 治理机构 或管理层都有可能领导或共同承担组织战略规划制定工作。
在一些地区,首席执行官( CEO)可能是 治理机构 的成员,甚至是 治理机构 的领导。无论在
何种情况下,管理层和 治理机构 之间都需要保持充分的沟通。 CEO 一般会是 两者之间 沟通的
聚 焦点,但其他的高级 管理人员 也会与 治理机构 保持频繁的互动。组织可能会希望 分管 第二 线
职能的领导,如首席风险官( CRO)和首席合规官( CCO)能够直接向 治理机构 报告,监管
机构可能也会提出类似 的要求。这一点与三线模型的原则是完全一致的。
管理层(第一、二 线 职能)和内部审计的关系
内部审计相对于管理层的独立性 , 能够 防止 其 在制定计划和开展工作时 受到 阻挠或偏听偏信 ,
并能够根据工作需要 不受限制 地 接触相关人员 , 获取 资源和信息。内部审计对组织 治理机构 负
责。但是,独立性不意味着完全孤立。内部审计与管理层之间必须保持定期互动,从而确保内
部审计工作的相关性, 且能够 与组织战略和运营需求保持一致。作为组织值得信赖的顾问和战
略伙伴,内部审计通过以上所有活动来建立对组织的理解和认识,并据此提供确认和咨询服务。
管理层的第一 、二 线 职能部门和内部审计之间需要相互协作,保持沟通,从而避免不必要的职
能 交叉 、重复和 空白 。
关键术语
首席执行官( CEO) -负责组织
运营的最高级别的 领导 。
8
内部审计和组织 治理机构 的关系
内部审计对组织 治理机构 负责,有时也被称为组织
治理机构 的“眼睛和耳朵”。组织 治理机构 负责对
内部审计进行监督, 这就 要求 治理机构 履行以下职
责 : 确保 内部审计部门 的独立性 , 包括负责 首席审
计执行官( CAE) 的任免 ;作为 CAE4的主要汇报
对象;审批审计计划并提供资源;接收并考量 CAE
的报告;保证 CAE 能够 不受限制 地 接触 治理机构 ,
包括 创造 没有管理层出席的单独对话机会。
所有职 能 之间的关系
组织 治理机构 、管理层和内部审计各自 具有 明确的职责,但是所有的活动都必须与组织的目标
保持一致。保持一致的基础是各 职能 之间定期进行有效的 协调 、 合 作和沟通。
4. 为满足行政管理需求, CAE可能也需要向适当的高管层成员报告工作。
关键术语
首席审计执行官 (CAE) -组织内
负责提供内部审计服务的最高级
别 领导 , 也 被称为内部审计 负责
人 或 其他 类似称谓。
9
模型 的应用
结构、 职能 和职责
只有在符合组织目标和所处环境要求时, 三线模型 才能发挥最大的功效。管理层和组织 治理机
构 负责确定组织结构和各项职 责 的分配。 治理机构 可以通过建立委员会来对特定领域的职责进
行额外的监督,如审计、风险、财务、 规划 和 薪酬委员会等 。 管理层中可能会发生具体的职责
和等级分化 ,而且随着组织 的 规模 扩大 和复杂程度 提高 ,管理层也会不断向专业化方向 发展 。
各职能部门、团队 , 甚至是个人都可能承担第一、二 线 的相关职责。然而,对第二 线 职 能 的指
导和监督 一定程度上也 是为了确保第二线不受第一 线 (乃至 高级管理层 ) 的 过度 影响,保持一
定的独立性。为此,组织需要建立一个 第二线职能 直接通向 治理机构 负 责和汇报 的 通道。 三线
模型对管理层和治理机构之间搭建报告路径的数量没有限制,组织可以根据需求自行决定 。一
些组织,尤其是受监管的金融机构,会针对此类安排 提出 强制性的要求,从而确保具备充分的
独立性。即便在这种情况下,那些 属于 第一 线 的管理 部门 依然要 承担 与其业务相关的 风险管理
职责 。
第二 线 的职 能 可能会包含对风险管理相关的事务进行监督 , 提供建议、指导、测试、分析和报
告。只要这些部门能够为第一 线 相关职能提供支持,提出 合理 质疑, 并 参与了 管理层的决策及
其实施 , 那么 第二 线 的各项职 能 就 属于管理层职 能 的一部分,无论报告和负责对象是谁,都不
可能完全 独立于管理层之外。
第三 线 的显著特征就是保持相对于管理层的独立性。三线模型的各项原则对内部审计独立性的
重要性和本质特征进行了描述,将内部审计与其他职 责 进行了区分, 明确提出了 内部审计具备
提供确认和咨询服务的独特价值。内部审计的独立性要求内部审计不能参与管理层职 能 (含风
险管理)的决策和具体行动,也不能为内部审计目前或近期曾经承担过的职责 或 工作提供确认。
例如,一些组织要求 CAE 承担额外的职责,为一些 要求 具备 与审计类似的 能力的活动 ( 如强
制性合规工作或全面风险管理 ) 作 决策。在这种情况下,内部审计无法保持相对于这些活动或
者活动结果的独立性,因此当 治理机构 需要获得对这些领域提供独立客观的确认和咨询服务时,
就有必要将这项工作交给 具备相应 资质的第三方机构。
10
监督和确认
组织 治理机构 依靠管理层(由第一、二 线 职能部门组成)、内部审计和其他部门的报告来 履行
监督 职责 ,并实现既定目标, 从而履行 对利益相关方 所 负 的 责 任 。管理层利用第一手的实务经
验和专业知识,针对工作计划、实际情况和预计结果、风险、风险管理提供有价值的确认(也
可以视为 其开展工作情况的证明 )。属于第二 线 的部门负责对风险相关的事务 提供额外的确认
服务。由于内部审计 则 独立于管理层之外,因此与第一、二 线 部门相比,内部审计提供给 治理
机构 的确认具有最高水平的客观性和 可信度 。组织可以通过外部确认提供方获得进一步的确认
服务。
相互配合并保持一致
高效的组织治理要求对职责进行合理的分配,并通过 相互 合作和沟通,保持各项活动高度一致。
治理机构 希望 通过 内部审计 的确认, 能够 了解 组织治理结构和流程的设计和运行是否符合期待。
|
|
