最近，我们将COSO在2013年发布的更新版内部控制体系做了系列的解读，对内部控制框架的5个要素、17项原则也做了概要性的介绍。

但是，这里有一个问题，就是内部控制体系如何落地，内部控制体系如何与企业的管理职能对接？这是一个非常重要的问题，在COSO的框架里并没有给出答案。

在框架的附录B中，谈到了内部控制的角色与职责，里面提到了一个关于三道防线的概念，如果大家记得2017年我们给大家解读COSO企业风险管理框架时，有一篇文章专门介绍了三道防线的概念——风险管理三道防线含义已变，另外我们还有其他好几篇介绍三道防线的内容。但是，内控框架附录B中的角色与职责的描述，并没有解决角色与职责同内部控制要素之间的对应关系，企业到底谁来执行内部控制的哪些工作没有明确阐述。

为了解决这个问题，2015年，国际内部审计协会（IIA）联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE（如何在三道防线模型中使用COSO内控框架），这份文件我们和很多同仁分享过。

图：三道防线模型

关于三道防线的概念，相信从业者早有耳闻，特别是内部审计工作者，因为IIA早有相关报告和资料介绍三道防线的概念，这次和COSO内控框架的结合，旨在将三道防线的职能和内控的要素、原则进行关联，更好的利用COSO的内控框架充实三道防线的工作内容，也使COSO的内控框架更好的被落地实施。今天，把这篇文章的观点和大家介绍一下。

一、董事会及高级管理层

虽然董事会和高级管理层不属于三道防线中的任何一道，但他们的作用却是不可或缺的，在董事会的监督下，高级管理层负责内部控制的建立、改进和评价。

董事会和高级管理层负责设立组织目标，规划实现这些目标的战略，并建立治理结构来更好地管理风险。高级管理层对第一和第二道防线的活动负有最终责任。

董事会和高级管理层对组织的控制环境负有主要责任，所以内控框架和董事会及高级管理层的对照关系如下图所示。

图：董事会及高级管理层的内控职责

二、第一道防线：运营管理

三道防线模型中的第一道防线主要由业务前台和中台负责日常风险管控工作。运营经理设计并实施组织的控制和风险管理流程。这些包括内部控制流程，旨在识别和评估重大风险，执行计划的活动，关注存在缺陷的流程，应对控制失效，并与活动的主要利益相关者沟通。运营经理必须有足够的技能，以使其能够在他们的运营领域内完成这些任务。

高级管理层对所有的一道防线活动负有全面责任。对于某些高风险领域，高级管理人员也可以直接监督前台和中台管理，甚至亲自执行一定程度的一道防线职责。

第一道防线主要对应着框架中的风险评估、控制活动和信息沟通部分，对于运营管理者，还包括监控活动部分，如下图所示。

 图：第一道防线的内控职责

三、第二道防线：内部监督和监视职能

第二道防线包括各种风险管理和合规职能，以帮助确保由第一道防线实施的控制和风险管理流程是适当地设计并按预期运行。这些管理职能与一道防线运营管理分离，但仍处于高级管理层的控制和指导下。

第二道防线的职能通常是负责对控制和风险的持续监控。他们经常与运营管理紧密合作，帮助确定实施策略，提供风险的专门知识，实施政策和程序，收集信息，以建立企业范围内的风险和控制视角。

在管理层的监督下，第二道防线人员负责监督特定的控制的执行是否得当。由第二道防线执行的控制活动，

第二道防线的监督应根据组织的具体需要量身定做。通常，这些活动与日常的业务活动分开。在某些情况下，监控活动分散在整个组织中。

与第一道防线相比，第二道防线职能有一定程度的独立性，但它们本质上仍然是管理职能。第二道防线职能可以直接设计、实施和/或修改组织的内部控制和风险流程，他们甚至可以承担某些业务活动的决策角色。

管理层期望第二道防线有足够的客观性，并向董事会及高级管理层提供重要且有用的信息，以管理风险和控制第一道防线活动。他们还可以向董事会和管理层提供公司层面的风险和控制信息，而这些可能不是第一道防线职能所乐见的。

 图：第二道防线的实施监督职责

四、第三道防线：内部审计

内部审计作为组织的第三道防线。IIA将内部审计定义为一种独立的、客观的确认和咨询活动，旨在增加价值并改善组织的运作。

内部审计提供了关于治理、风险管理和内部控制的效率和有效性的保证。内部审计工作的范围可以涵盖组织的运作和活动的各个方面。

内部审计与其它两道防线的区别在于其组织独立性和客观性更高。内部审计的正常职责中，不负责设计或实施控制，且不负责组织的运营。在大多数组织中，内部审计独立性通过首席审计执行官和董事会之间的直接报告关系而进一步加强。

图：第三道防线的整体有效性保障职责

五、几点感受

本篇文章是利用三道防线模型来阐述如何落实内部控制，有一定创新和启发性，更有利于大家理解内部控制工作与企业的职能如何结合。

但同时，本文也存在一定局限性，这个局限性来自几个方面：

一是IIA的局限性，今天的企业风险管理与内部控制，有一个分支是财务审计领域，但审计视角是监督，而不是实施和执行，更不是决策，所以视角的不同也会对内部控制的设计和实施侧重点有所不同。

二是三道防线本身的局限性，三道防线里谈到的风险基本都是负面的，侧重对组织的价值保护，但这还不是风险的全貌，我们之前写过如何打开风险边界，实现由三道防线到三层价值网的转变。

三是三道防线视角下的第二道防线，定位为五要素中的监督是不妥的，反而第三道防线的内部审计应该承担这样的职能更合适一些，第二道防线应该是“中台”，和第一道防线一起参与管理控制和内部控制的设计以及评价改进，不应该只是监督职能。

中台要躬身入局，不能伫立旁观！

把之前三道防线的文章列示一下，方便参考，欢迎讨论。

• 三道防线新进化，从“防线”到“价值网”的蜕变
• 风险管理三道防线含义已变
• 如何打开风险、内控、合规、审计、监察的职能边界
• 千军万马上战场，我们是磨刀石与黄金甲
• 如何测量三道防线的“防火距离”？
• 大风控VS大监督，二道防线，你的主要职责不是监督
• “三道防线”就是一场足球赛-论风险管理、风险管理部与三道防线的职能发挥