<返回上级
当前位置:首页 > IIA资讯 > 详情

新三线模型的发展变化及其影响

2020-09-01 16:25:59

国际内部审计师协会(IIA)于今年7月发布了全新的“三线模型”。新模型在IIA2013年发布的“有效风险管理和控制中的三道防线”立场公告的基础上新增了六项原则,强调了治理机构的职责,重新梳理了各线职能的划分及任务,并突出了风险管理在价值创造方面的目标和使命。为了帮助广大内部审计人员更好地理解和运用新模型,协会邀请了理论和实务专家对其从不同角度进行解读,计划不定期推出相关文章,供内部审计及相关职业的从业人员参考。也欢迎对新模型有见解和思考的内审人员积极参与讨论,通过投稿与我们分享您的观点。投稿邮箱:shiwu@ciia.com.cn

2013年,国际内部审计师协会(IIA)推出的三道防线模型(Three Lines of Defense Model),应用于全球无数的企业,并逐步得到企业界的认可和信任。但随着世界经济的快速发展和技术的革命性创新,人们发现该模型在适用性、灵活性或延展性以及风险管控观念等方面还需要加以提升和改进。为帮助组织进一步明确及整合组织各关键职能的相互关系及其职责,以实现更有效的协调、协作、问责和目标,由 IIA牵头组织,对“三道防线模型” (以下简称“旧版模型”)进行了修订,其最新成果——“三线模型”(Three Lines Model)(以下简称“新版模型”)终于于 2020年7月正式发布。

对于修订后的三线模型与旧版模型之间的变化,IIA主席Richard Chambers认为,新的三线模型并没有对原“三道防线模型”做出颠覆性的改变,而是在其基础上的变化发展(Evolution),但这并不意味着只是一些细微的变化。下面我们就看一下新版模型中都有哪些较大的变化,以及这些变化对组织,特别是对内部审计实务有哪些影响。

变化之一:新版模型增列了6项原则。 增列的“治理”、“治理机构职责”、“管理层和第一、二线的职责”、“第三线的职责”、“第三线的独立性”和“创造和保护价值”等6项原则分别对该模型框架体系中的重要术语及其职责予以定义。前五项原则中的内容我们并不感到陌生,但对于第6项 “创造和保护价值”原则,我们应予以更好的理解和运用。该项原则是指:各项职能之间相互配合,并把利益相关方的利益放在首位,才能共同努力为组织创造价值并加以保护。只有充分沟通、配合和协作,才能实现各部门之间的协同,也只有这样才能为基于风险的决策机制提供值得信赖、相关、透明的信息”。其重要之处就在于“为组织利益相关者创造和保护价值”,这既是组织的目标,也同样是内部审计工作的目标。这就要求我们的一切工作如审计计划、所有的控制测试和分析、适用的合规政策、所有的审计项目,以至于围绕着审计工作的其他方面都是为了实现这一目标,推动并协助组织的不断完善。

变化之二:明确提出内部审计的“独立性不意味着完全孤立”。第6项原则提出,为组织创造价值并加以保护的前提是各项职能之间的相互配合,只有通过充分沟通、配合和协作,才能实现各部门之间的协同,才能为基于风险的决策机制提供值得信赖、相关、透明的信息。所以,任何组织或单位目标的实现都不是单打独斗的结果。对于内部审计更是如此。新版模型有关“管理层(第一、二线职能)和内部审计的关系”和“内部审计和组织治理机构的关系”的内容中,除明确提出内部审计对组织治理机构负责,保持相对于管理层的独立性,以防止在开展审计工作时受到阻挠或偏听偏信外,还特别提出内部审计的独立性并不意味着完全孤立,内部审计要与管理层之间保持定期互动,保证内部审计工作的相关性;内部审计还要与各项职能部门的沟通协作,从而避免工作的交叉、重复和空白,提高内部审计的效率和效益,从而使所有的活动与组织的战略目标保持一致,为治理机构和管理层提供可靠的、具有相关性和透明的信息。根据以往开展内部审计质量评估的结果,我们从内部审计的最佳实践中可以发现,优秀的内部审计在保持其独立性及客观性的同时,始终与相关职能部门及管理层保持着良好的沟通、协作与配合,既保证了所有的活动与组织的目标保持一致,也提高了内部审计的有效性,也使审计工作获得组织的认可、肯定和支持。然而,“协作和配合”并不是无原则、无责任心或无职业操守的迎合和妥协,如果尺度把握不当,就会损害到内部审计的职责履行,丧失职业操守的底线,长此以往甚至会危及组织的长治久安。

变化之三:强调治理机构的职责和作用以及与内部审计之间的关系。细细数来,旧版模型中有9处提及到“治理机构”,但对其并未有明确的说明。新版模型中,有关治理机构的定义、治理机构的职责、治理机构与履行第一、二线职责的管理层之间的关系以及与内部审计之间的关系等内容自始至终贯穿于新版模型中,清晰、明确且具可操作性。治理机构虽未在模型被列为一线,但仍然是其中的重要角色和关键职能,对于组织整体治理而言,重要性不言而喻。

新版模型中明确提出治理机构与内部审计的关系,内部审计对治理机构负责,为治理机构和管理层提供有关组织活动、成果和未来发展预测等事项的独立、客观的确认和咨询。治理机构要履行其职责,确保内部审计部门的独立性;是首席审计执行官(CAE)的主要汇报对象;审批审计计划并提供资源;接收并考量CAE的报告;保证CAE能够不受限制地与治理机构接触。这些要求都是内部审计建立、发展和高效履职的重要保证。根据以往开展内部审计质量评估的结果,从内部审计的最佳实践中我们可以看,优秀的内部审计都离不开治理机构的指导和支持,以及良好的沟通和协作。如组织中建立了独立、客观并值得信任的内部审计职能部门,内部审计直接对党委和董事会负责;治理机构的要求是对内部审计“不定调、不干预、不设禁区”,要将所有经营管理活动都暴露在“阳光”下;列席管理层会议,深入理解公司战略以及利益相关方关注事项,增强审计工作的相关性;以各种形式保持与治理层、管理层的顺畅沟通;提供有关风险管理和控制以及协助组织目标实现的真知灼见等。反之,如果治理机构与内部审计之间的关系处理不当,最终影响的是组织目标实现及其持续、稳健的发展。

正如IIA主席Richard Chambers的个人blog上曾有一篇名为《最高管理层:亏欠内部审计的不仅仅是对报告的认知度》的文章所述。该文章通过几个治理失败的案例,说明治理机构以及利益相关者对于内部审计的重要性。他认为,治理机构不作为或对内部审计工作漠不关心、视若无睹,亦或横加干涉,就会使那些努力工作、认真履职的从业者感到心灰意冷,士气受挫,其结果必然会削弱内部审计作用。此外,内部审计所特有的对于复杂流程和政策体系的洞察力是不可替代的,也是不应该被忽视的。这种洞察力将有助于治理机构和管理层减轻组织所面临的主要风险,有助于最终的责任追究和治理改善。所以,治理机构与内部审计都要认真履行各自的职责,保持有效的协调、合作和沟通,保证组织活动与组织目标的一致。

变化之四:新版模型中各线职能内容的描述有所变化。新版模型保留了原模型中直观、清晰的表达方式,但对各线职能的描述却不尽相同,较为显著的变化就是对第二线职能的描述。在旧版模型中,第二道防线的内容被描述为特定职能部门的列表,即财务控制、风险管理、IT安全、合规、质量控制等。而新版模型中,第二线的职能未被限定为某些职能部门,而是描述为 “为风险相关的事务提供专业知识、支持、监督并提出合理质疑”。对于组织风险管理和控制而言,专业知识和管理支持的重要性远远超过了名字和结构的设计。因此,新版模型更适用于所有类型、不同规模、复杂性各异以及监管程度面不同的组织。任何企业都可以利用该模型为其确定适合的、实用的结构,分配并定义风险管理及控制的具体职能,动态且高效地协调各职能群体,即使是那些没有IT安全、风险合规团队的小企业也同样可以操作。在旧版模型应用过程中企业过于逐字逐句的解释职能定义以及对号入座所形成了那种“这不是我的工作”或“这不是我的问题”等现象就不再出现,最大限度的避免风险管理和控制方面存在的空白或不必要的重复。

变化之五:新版模型的名称更为简洁、明了。IIA新发布的“三线模型”(Three Lines Model))中,没有了原名称中的“防御”或“防范”(Defensive)一词。多年来,“防御”一词使人们过多关注如何防御和减少风险。社会的发展必使风险也在同步快速增长,虽然防御型的风险管理能保住已有的价值,但在价值创造上却难有突破,而积极进取型的风险管理则有望提升价值和创造价值。名称的变化使我们认识到,新版模型作为一种风险管理工具,已不再局限于风险管理,而是要着眼于组织的整体治理。它强调的是更为积极、平衡的风险管理。组织基于风险的决策,既要重视那些负面影响,采取必要的行动进行防御,同时也要抓住机遇,采取更为积极、进取的风险管理和治理方式,就像在组织新产品开发、企业购并或新的市场营销策略等事项中的风险与机遇。当组织的风险承担能力和风险管理能力达到有效平衡时,于是就具备了创造价值、提升价值的潜力。如何挖掘这种潜力,为组织创造价值和保护价值是组织各职能的责任。而内部审计的责任就是要协助组织各职能更好的了解并抓住风险管理和控制中创造价值的机遇,并确保风险管理和控制的有效性,维护良好的风险管理和治理,使组织有信心追求并实现更大的价值。


微信公众号

中国内部审计协会
微信公众号

顶部
内部审计统计调查填报系统使用说明
CIA考试报名
CIA年检
CIA在线学习系统
购买网络直播课