2020年7月,国际内部审计协会(IIA)更新了其富有影响力的三道防线模型(Three Lines of Defense,通常缩写为“3LOD”),原三道防线的模型发布于2013年1月。前一段时间,我们和大家介绍了2015年IIA联合COSO发布的一个三道防线和内控框架结合的文件,里面列示了之前的三道防线模型(如下图):
2013年版三道防线模型
这些年来,在企业风险管理领域,“三道防线”的说法可谓深入人心,因为其和具体职能结合,大家比较容易理解和接受。
但是,就如我们之前所说,今天的风险不能一味的“防”,还需要加以利用,所以,三道防线的局限性也不言而喻。
新版的三道防线理论这次的更新变换了说法,将三道防线模型改为“三道线”模型(Three Lines Model,或译为“三线”模型),去掉了“防”字,这是否意味着“三道防线”自此退出了历史舞台?
一、三道防线模型更新背景
IIA为什么要更新这个模型,新的模型与之前的模型做了哪些改变呢?
首先,IIA表示我们处在一个越来越不确定、复杂多变、相互交织和不稳定的世界。同时,由于每个组织涉及多个利益相关方,其诉求多样,有的甚至相互冲突。
在这样的背景下,对治理层(治理机构)和管理层想要顺利实现组织的目标提出了新的挑战,组织需要设定强有力的治理和风险管理结构和程序来保障组织目标的实现,特别是内部审计对于管理活动提供的独立、客观的确认和建议等职能的发挥。
与老版本比,新版本做了6个方面的变化:
1、模型的名字由“三道防线”变更为“三道线”模型;
2、采用了基于“原则”的呈现方式,并以实现组织目标为最终目的对模型进行了调整;
基于原则的呈现方式我们并不陌生,自从COSO 2013年的内部控制框架采用通行的“要素+原则”的方式编写之后,2017年又以此方式更新了其企业风险管理框架。
3、新模型更多的关注了治理层,包含组织的总体治理情况,不仅限于风险管理;
4、除了之前熟知的风险管理对于防范风险和保护价值的作用之外,本文件提升了风险管理对实现目标和创造价值的贡献;
5、论述了三道防线中各角色和职责以及他们之间的交互关系;
6、体现了不同优先程度利益相关者的诉求,并确保组织目标和管控措施与其诉求保持一致。
关于第4个更新原因,IIA首席执行官理查德·钱伯斯介绍时说:新版三道防线模型有利于在进攻和防守两个方面统筹管理风险,这有效解决了对传统三道防线的主要批评:仅立足于风险防范。
如果各位看过之前的文章(三道防线新进化,从“防线”到“价值网”的蜕变),这在很久之前就对三道防线进行了改造,最主要的目的之一就是实现由防守为主转变为攻守兼备。所以,IIA的观点对我们中国的研究者来说不是新东西,我们在很早之前就发现了三道防线的一些问题,并进行了创造性的改造。
二、三道防线新模型
那我们就看下新版的三道防线模型,如下图:
2020年版三道线模型
与之前的版本相比,最大的不同在于将第一道防线和第二道防线放在了一起,我们之前对于三道防线不同防线之间的融合问题讨论过多次,其中对于第一道防线和第三道防线定位是比较明确的。
关键是第二道防线处于中间位置,往前可以和第一道防线紧密合作发挥专业支持作用,往后可以和第三道防线联合发挥监督作用。
三道防线的理论其实本质上是两道防线,正反思维对撞,在对立中发展,所有的管理莫出其外,决策与制衡、效率与控制、执行与监督都是一样的道理。
所以三道防线中最核心的内容是第一道和第三道,即执行与监督,缺一不可,第二道防线实为衍生物,实践中第一道防线和第二道防线可以融合,第二道防线与第三道防线可以融合,但第一道防线和第三道防线则不可融合。
而对第二道防线的理解,在三道防线理论里是个重点,之前在企业的实践中讨论的也最多。
第一道防线和第二道防线融合侧重的是核心业务层风险的自控制,将风险管理工作最大程度的嵌入业务职能。
第二道防线和第三道防线融合侧重的是对风险的监督检查,将风险管理工作要求最大程度的通过监督检查职能实现。
实践过程中也有的将第二道防线的内容拆分划入第一道防线和第三道防线的职能中去。
新版本的三道防线模型显然采用的是第一种融合方式,将第一道和第二道融合,这符合我们之前对于第二道防线的“赋能”定位。
三、新模型提出的六大原则
原则1:治理
组织的治理需要适当的组织结构和程序来实现:
●治理结构对利益相关者负责,并体现诚信、领导力和透明度来检视整个组织;
●通过基于风险的决策和资源分配,管理层采取行动(包括管理风险)以实现组织目标;
●独立的内部审计职能提供确认和建议并推动持续改进。
IIA提出的基于风险的决策(risk-based decision making)和 ISO9000质量管理体系在2015年更新时强调的(risk-based thinking)非常相似。
就像我们之前强调的,风险与收益是企业经营的底层逻辑,所有的企业管理体系都可以从这个底层逻辑进行解释。
原则2:治理层的角色
治理层确保:
●建立适当的结构和程序,以实现有效治理;
●组织目标和行动优先考虑利益相关者的利益。
治理层:
●授权管理层履行职责并提供资源,以实现组织的目标,同时确保满足法律、法规和道德遵从要求;
●建立和审查独立、客观和胜任的内部审计职能,使得在实现目标的过程中更加透明并增强信心。
原则3:管理层以及一道和二道线的角色
管理层负责实现组织目标,其责任涵盖一道线和二道线角色。一道线角色直接向客户提供产品和/或服务,并包括相关支持职能。二道线角色协助一道线更好的管理风险。
第一道线和第二道线角色可以合并或分开,某些第二道线角色可以分配给相关专家,为第一道线提供专业支持、监控和挑战其风险相关事项。二道线角色可以专注于风险管理的特定目标,例如:遵守法律、法规和可接受的道德行为;内部控制;信息和技术安全;可持续性和质量保证。另外,二道线角色可能会承担更广泛的风险管理职责,例如企业风险管理(ERM)。但是,管理风险的责任仍然是第一道线的职责,并且属于管理层的管辖范围。
原则4:三道线角色
内部审计为治理和风险管理的充分性和有效性提供独立和客观的确认和建议。它通过充分的应用系统、严格的程序、专业知识和洞察力来实现这一目标。它向管理层和治理层报告其发现,以促进和推动持续改进。在这个过程中,它还会考虑和使用其它内部或外部机构的确认结果。
原则5:三道线的独立性
内部审计独立于管理层职能之外对于其客观性、权威性和可信度至关重要。可以通过以下方式实现:对治理层负责;为了完成其职责可以不受限制地访问相关人员、资源和数据;以及在计划和实施审计服务时不受偏见或干扰影响。
原则6:创造和保护价值
所有角色相互配合、协同一致并优先考虑利益相关者的利益时,它们就可以更好的创造和保护价值。协同一致是通过沟通、配合与协作实现的。这样可以确保基于风险决策所需信息的可靠性、一致性和透明度。
四、新模型对二道线职能的定位
文件中对治理层、管理层和内部审计职能的角色职责分配、相互之间的关系、以及模型的使用进行了简要分析,我们就不详细展开,其实是对上述6个原则的细化。
其中对于治理层、第一道线和第三道线的定位还是比较清楚的,对于第二道线和大家再强调一下。
二道线的职能发挥可以通过监督、建议、指导、测试、分析和报告与风险管理相关的事项进行体现,只要是对一道线职能提供了支持或挑战了其风险管理的做法,而且这些做法是管理层决策和行动不可或缺的,都是属于第二道线的职责,当然这些支持和挑战是聚焦和风险有关的事项,并不包含像一些日常的行政管理职能,如人力资源、行政、后勤等。
之前和大家提过一个概念,就是二道防线(风险管理职能)就是企业中台,那么今天IIA提出的三道线模型也类似于企业的前台、中台和后台概念,当然,所谓的前中后、一二三并无优先顺序之分,只是一个习惯叫法。
五、三道防线是否还可以继续使用
虽然IIA更新文件放弃了对三道防线的使用,但是,企业觉得之前的模型好用,还是可以照常使用,没有强制说一定不能再使用“三道防线”的模型,此次变更只是代表了一个发展方向,实践中是否可以形成最佳做法,还需要时间检验。
六、关于增强中国理论与实践在国际学术机构影响力的建议
几十年来,中国在现代企业管理领域和其他领域一样,在发展开放的过程中是纯粹的输入者,原因很简单,就是因为底子薄、发展落后。但是,如果需要让世界尊重中国,我们需要在不同的国际平台务实的作出贡献,之前条件不具备,现在在各领域已经慢慢有了这样的基础。
我们发现这些国际机构中,包括很多国际调研活动中,很难看到中国参与的影子,我们应该积极参与,让他们更了解中国,减少偏见和误会需要从各个方面着手。
以这种三道防线模型的革新为例,如果之前我们的理论和实践已经认为需要突破了,实际上我们也确实在IIA之前就提出了打破这种局限的必要性,那中国的相关机构和平台完全可以申请这样的课题并发布研究成果。
利用国际平台的影响力,输出我们的管理实践成果,慢慢这种软实力才能在各个领域培育和形成,我们的国际影响力也会自然而然的提升了。
自主竣工验收
清洁生产审核
排污许可核查
