在三道防线中发挥内部控制的作用

中国银行风险内控与“三道防线国有上市商业银行需要按照监管要求建立起COSO框架下的全面风险管理体系（ERM），每年在充分评估该体系有效性的基础上，出具内部控制自我评估报告，与财务报告、社会责任报告一并向资本市场披露。

为有效落实监管要求，有必要深入了解ERM的具体内容、COSO-ERM框架与COSO内部控制整合框架的联系以及商业银行全面实施ERM的必要性，有针对性地制定内控保障机制、设计内控管理政策和措施，逐步推行企业全面风险整合框架。

COSO企业全面风险管理整合框架(ERM) 2004年9月,COSO委员会发布了《企业风险管理-整合框架》（ERM）。

该框架是在1992年《内部控制-整合框架》的基础上，结合《萨班斯-奥克斯利法案》相关要求，采纳理论界、实务界对内部控制框架提出的一些改进建议扩展研究得到的。

COSO委员会在《企业风险管理-整合框架》（ERM）中指出企业的内部控制应当考虑全面风险管理的需求。

全面风险管理是受企业董事会、管理层和其他员工影响并共同参与的，应用于从企业战略制定到各项活动、企业内部各个层次和部门，用于识别可能对其造成潜在影响的事件，并在企业风险偏好范围内管理各类风险，为企业目标的实现提供合理保证的过程。

ERM设计了企业不同层级（企业整体层、职能部门层、经营单元层、附属公司层）都适用的反映内部控制的八个相互关联的构成要素（即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控），明确了内部控制旨在合理保证实现的四个不同层次的目标（战略目标、经营目标、报告目标和合规目标）。

可见，企业风险管理（ERM）并不是对《内部控制-整合框架》的否定和替代，而是审时度势，与时俱进，在内部控制思想的基础上将风险管理的理念更为全面深刻地嵌入其中。

ERM对内部控制框架的改进和发展主要体现在：1.控制目标方面ERM保留了原有内部控制框架中的经营目标、报告目标和合规目标，只是适当拓宽了报告目标的范畴，所谓“报告”不再特指“财务报告”，而是包括对企业内外部发布的所有其他报告。

河北农信内控合规三道防线河北农信内控合规三道防线是构建内部监督防范体系，强化内部监督约束机制，切实提高内部防范能力，有效防范经营风险，遏制各类违纪和案件发生的一大重要举措，也是目前农村信用社内控管理的重要手段，全市农村信用社运行近三年来，取得了一定成效。

但在实施过程中还存在一定的差距，为了把“三道防线”建设落到实处，充分发挥各级防线监督职能作用，真正形成齐抓共管，合力监控的互控机制，笔者就如何进一步加强“三道防线”建设谈点粗浅的认识。

客观地讲，农村信用社近年来不断完善和加强内控管理，建立和完善了一系列管理制度，特别是在加强“三道防线”建设中，反复修改制定完善了各道防线的检查内容和考核办法，但在各道防线的执行、监督、考核及问责方面还存在疏漏和薄弱环节。

1、制度建设存在盲区。

一是部分信用社未对考核办法进行细化。

尽管联社出台了各种考核办法，但信用社多将经营目标的考核分解到所辖各网点，而忽略了内控考核的细化及内外勤责任人细化；二是重制度建立，轻程序制定或缺乏可操作性。

由于联社的制度有部分是指导性和框架式的，多数信用社没有结合自身管理需要进行细化，内容上只强调了“做什么”，而忽略了“怎样做”，有的建立了但没有具体操作内容，使一些员工认为“结果重于过程”。

滥用“猫论”导致逆向操作、“先斩后奏”、越权办理业务等违规行为屡见于实际工作中。

2、制度学习未落到实处。

有的信用社写在纸上，讲在嘴上，贴在墙上，却不认真地对症下药，落不到实处。

部分岗位人员不具备与风险防范和内部控制相适应的能力。

多数社只重视业务人员上岗操作技能，而忽略了法规和制度的学习，难免在工作中“自由发挥”，在风险防范的“火山口上”“翩翩起舞”，造成很多问题不能及时发现，及时堵住。

如有的信贷员欠缺专业知识和法律知识，签订合同随意性较大，催收贷款忽视诉讼时效、执行时效，造成信用社权利丧失、资金损失。

3、有章不循，屡反屡范。

主要反映在我行我素漠视信用社的规章制度，有令不行，有禁不止；上有政策，下有对策；人情大于制度。

谈我国商业银行的“三道防线”中国农业银行内控与法律合规部总经理郑鑫商业银行内部控制“三道防线”的制度安排发轫于1997年中国人民银行发布的《加强金融机构内部控制的指导原则》（下称《指导原则》）。

此后，监管规定不断演变，商业银行经营形势日趋复杂，实践安排中对“三道防线”防什么、谁来防和怎么防的问题见仁见智，莫衷一是。

因此，有必要通过对相关问题的深入分析，明晰概念，统一认识，为商业银行优化“三道防线”设置提供思路和借鉴。

一、商业银行“三道防线”的发展演变1997年，人民银行发布了《指导原则》，要求金融机构建立完善的内部控制制度，设立顺序递进的三道监控防线：即一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。

2002年，《指导原则》被废止。

此后人民银行、银监会规范性文件未再对“三道防线”进行规定。

2001年以后，证监会、国资委和保监会先后发布规范性文件，从内部控制或者风险管理角度对“三道防线”设置提出了明确要求。

具体而言，证监会规定与《指导原则》的思路相同，都是从内部控制的角度设置防线；国资委和保监会则是从风险管理的角度提出“三道防线”设置的具体要求。

需要指出的是，证监会、保监会及国资委的规定均不适用于商业银行，而且保监会、国资委的规定又与商业银行的实践和组织管理模式的传统存在很大的差异。

2008年，财政部、银监会等五部委联合发布了《企业内部控制基本规范》（下称《基本规范》），虽未明确提出“三道防线”的要求，但为商业银行设置“三道防线”提供了新的思路和指南。

与此同时，“三道防线”的主要防控对象，也经历了从“防案件”到“防风险”再到“防偏差”的两次较大的演变。

90年代初期，我国金融系统案件频发，“三角债”、虚假票据泛滥，危害金融秩序，影响金融稳定。

为控制案件高发态势，人民银行发布《指导原则》提出设立“三道防线”的要求，其主要目的就是防控案件。

随着风险管理理论与实践的发展，防控对象逐渐从“防案件”发展为“防风险”。

如何利用三道防线模型，使内部控制体系在企业落地为了解决这个问题，2015年，国际内部审计协会（IIA）联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE（如何在三道防线模型中使用COSO内控框架），这份文件我们和很多同仁分享过。

图：三道防线模型关于三道防线的概念，相信从业者早有耳闻，特别是内部审计工作者，因为IIA早有相关报告和资料介绍三道防线的概念，这次和COSO内控框架的结合，旨在将三道防线的职能和内控的要素、原则进行关联，更好的利用COSO的内控框架充实三道防线的工作内容，也使COSO的内控框架更好的被落地实施。

今天，把这篇文章的观点和大家介绍一下。

一、董事会及高级管理层虽然董事会和高级管理层不属于三道防线中的任何一道，但他们的作用却是不可或缺的，在董事会的监督下，高级管理层负责内部控制的建立、改进和评价。

董事会和高级管理层负责设立组织目标，规划实现这些目标的战略，并建立治理结构来更好地管理风险。

高级管理层对第一和第二道防线的活动负有最终责任。

董事会和高级管理层对组织的控制环境负有主要责任，所以内控框架和董事会及高级管理层的对照关系如下图所示。

图：董事会及高级管理层的内控职责二、第一道防线：运营管理三道防线模型中的第一道防线主要由业务前台和中台负责日常风险管控工作。

运营经理设计并实施组织的控制和风险管理流程。

这些包括内部控制流程，旨在识别和评估重大风险，执行计划的活动，关注存在缺陷的流程，应对控制失效，并与活动的主要利益相关者沟通。

运营经理必须有足够的技能，以使其能够在他们的运营领域内完成这些任务。

高级管理层对所有的一道防线活动负有全面责任。

对于某些高风险领域，高级管理人员也可以直接监督前台和中台管理，甚至亲自执行一定程度的一道防线职责。

第一道防线主要对应着框架中的风险评估、控制活动和信息沟通部分，对于运营管理者，还包括监控活动部分，如下图所示。

银行经营管理三道防线是什么一、风险管理防线在银行业务运作的过程中，风险是无处不在的。

为了维护银行的稳健经营和客户的利益，银行必须搭建起风险管理的防线。

1. 风险识别和评估银行需要通过对外部和内部风险因素的全面识别和评估来建立风险意识，确定业务运作的风险程度和潜在风险。

这可以通过定期的市场调查、分析经济环境、政策法规、竞争对手等因素进行实施。

2. 风险控制和监测银行需要建立和完善风险控制和监测制度，包括制定风险管理政策、流程和标准，明确管理责任和权限，建立风险监测和预警机制。

通过实时监控业务运作，及时发现和报告风险事件，采取相应的控制措施，确保风险在可控范围内。

3. 风险应对和应急管理银行需要建立应对和应急管理体系，包括制定风险应对策略和应急预案，加强组织的应急响应能力。

一旦风险事件发生，能够迅速作出反应，并采取必要措施进行应对和处理，最大限度地降低损失。

二、合规管理防线银行经营过程中必须遵守国家法律法规和监管机构的规定，确保合规经营。

1. 法律法规规范银行需要制定内部规章制度，确保员工行为符合相关法律法规的要求。

同时，对于法律法规的变化，银行需要及时调整和完善相应制度，以确保合规性。

2. 风险防范和监控银行需要建立合规风险防范和监控机制，通过内部控制手段，监督员工的操作行为，防范和发现违规行为。

同时，要加强对涉及合规风险的业务和产品的审查与管理。

3. 内外部合规审查和反洗钱银行需要加强内外部合规审查，确保整个组织的合规性。

此外，银行还需要制定反洗钱政策和程序，建立相应的内部控制机制，在业务操作中主动发现并防范洗钱风险。

三、内部控制防线内部控制是银行经营管理的核心要素，用于保护资产、保障业务运营的顺利进行。

1. 内部控制目标和范围银行需要明确内部控制的目标，包括财务报告的可靠性、资产保护、规范经营和合规性。

同时，需要确定内部控制的范围，涵盖各个业务环节和功能部门。

2. 内部控制制度与流程银行需要建立完善的内部控制制度和流程，确保业务流程符合规范，减少潜在风险发生的可能。

财务管理FINANCIAL MANAGEMENT试论企业内控与风险管理体系中的三道防线张雷四川枫叶牧场食品有限公司摘要：在我国经济高质量发展阶段，给企业发展带来机遇和挑战并存的局面。

企业业务领域范围及规模的扩大，为促进良性发展态势，不仅需要优化内部环境，而且应强化风险体制，以“三道防线”为基本准则，总结与分析固有风险和潜在风险，为企业存续与健康发展提供强有力保障。

本文经探讨企业内控与风险管理体系的三道防线，为相关研究提供借鉴。

关键词：企业内控；风险管理；三道防线引言风险管理三道防线作为企业健康和谐发展的有力支撑，有助于提升整体内控及风险管理水平[1]。

对于风险管理三道防线，从本质上来讲，其是企业根据各级岗位职责及功能，对风险管理责任进行划分，严格执行风险管理三道防线机制，构建“资源共享、信息互通”的合规风险防范体系，三道防线强强联合，相互作用、缺一不可，督促运营层、管理层等在组织或管理中认真履行工作职责，有效预防和排查潜在风险，以此促进企业总体发展目标的实现。

一、“三道防线”概念及职责（一）第一道防线：业务部门防线第一道防线：业务部门防线。

公司的业务部门或经营单元作为前端部门整合资金费用及运营业务，尤其是在实际交易中，公司运营、业务及日常管理中会遇到各种各样的问题。

期间处理不到位、管理不彻底，均会埋下安全风险，对此企业应强化风险管理，这是最基础的保障。

公司管理层应把握整体大局，既要严格执行审计部门发布的各项政策及规定，又要监管协调好风险管理。

具体来说，公司的风险管理包括微观和宏观两个角度，将风险管理方法高效融入运营业务中，强化业务的风险管理，这是强化公司风险管理的第一道屏障，即为第一道防线。

对于微观层面，涉及各种政策与制度，存货和资金的管理。

关于宏观层面，则分别有组织机构、管理职能、审批流程和职责承担等[2]。

（二）第二道防线：风险管理部门防线第二道防线：风险管理部门防线。

风险管理部门防线主要有两层含义，一是指风险管理委员会，二是指风险管理部门。

保险公司三道防线的合规管理框架保险公司作为金融行业的重要组成部分，面临着严格的监管和合规要求。

为了有效管理风险、确保合规运营，保险公司需要建立健全的合规管理框架。

而保险公司的合规管理框架通常包括三道防线，即内部控制、合规风险管理和合规文化建设。

本文将结合这三道防线，深入探讨保险公司合规管理的重要性，以及如何构建和完善合规管理框架。

内部控制是保险公司合规管理框架的第一道防线。

内部控制是指保险公司为了达成业务目标，并对内外部环境中对业务目标构成的各种风险和威胁，以及日常经营活动而制定的一组帮助界定企业政策和目标达成程度的程序、措施和管理手段。

在内部控制的框架下，保险公司需建立健全的风险管理制度和内部管理制度，确保各项业务活动符合法律法规要求，做到风险可控、业务合规。

合规风险管理是保险公司合规管理框架的第二道防线。

合规风险管理是指保险公司对潜在合规风险进行全面、系统的分析和评估，采取相应措施，确保公司运营活动符合法律法规和公司内部制度、规定。

在合规风险管理的框架下，保险公司需要建立完善的风险识别、评估、管控和报告机制，定期进行风险评估和内部审计，及时发现和解决存在的合规风险问题。

合规文化建设是保险公司合规管理框架的第三道防线。

合规文化建设是指保险公司通过制定相关政策、规程和培训，引导员工树立合规意识，倡导合规行为，促进全员参与合规管理，形成健康的合规文化氛围。

在合规文化建设的框架下，保险公司需要加强对员工的合规教育和培训，建立健全的内部监督和管理机制，树立合规意识，强化合规责任，构建和谐的合规文化。

总结而言，保险公司的合规管理框架包括内部控制、合规风险管理和合规文化建设三道防线。

这三道防线相互交织、相互依存，构成了保险公司完备的合规管理体系。

在实践中，保险公司需要从制度建设、流程管理和文化引领三个方面着手，推动合规管理框架不断完善。

只有建立健全合规管理框架，才能有效管理风险、提高合规运营水平，为保险公司的可持续发展提供坚实的保障。

“三道防线”是商业银行全面加强风险管理，完善内部控制架构的重要措施。

经过多年的不断实践，越来越多的商业银行开始逐渐理解并接受“三道防线”是风险管控体系的最佳实践。

“三道防线"的定义及其改善空间明确“三道防线"的责任主体各家银行对“三道防线"的理解不尽相同，根据不同防线定位，明确各道防线的职责以及明确各道防线履职的途径要与银行的经营发展战略、业务流程、产品创新和日常管理相结合。

一是做实以业务经办部门和业务经办行为主体的第一道防线。

业务经办部门和经办行处于业务流程的最前端,直接面对市场和客户,同时承担业务发展职责和直接管理风险的第一责任.二是做实以业务管理部门、风险管理部门和合规部门为主体的第二道防线。

要将第二道防线的风险管理关口前移,要实现前瞻设计、全流程参与、扁平化作业和尽职监督。

三是做实以审计、监察等部门为主体的第三道防线.提升第三道防线的再评估能力，提高再监督的权威性和严肃追责，督促第一、二道防线尽职履则。

提升“三道防线”的履职能力要保证最前端的可靠性.一是要提升能力,强化责任。

要通过培训，提升第一道防线即一线岗位人员的业务经营水平，同时提升其风险识别和管理能力，提高调查的全面性、交易的真实性和操作的合规性，强化全员风险管理意识和责任意识。

二是要健全岗位制约。

第一道防线应设置风险管理的部门或岗位，发挥第一道防线面对市场和客户的风险识别、控制和岗位制约作用，并建立双线报告机制.三是要强化自律检查。

提升第一道防线的风险自评、自控、自查和自纠能力，切实把好第一道关口。

风险管理要做到尽职尽力。

一是提升风险管理的统筹力。

风险管理部门作为全面风险管理的抓总部门，要统筹全行风险管理工作，强化对全行风险管理的设计、指导和监督，并开展全行风险识别、计量、监测和控制工作;要建立风险管理部门的双线报告制度和垂直为主的考核机制，提升风险管理的独立性;要发挥合规部门在风险管理政策落实方面的统筹监督、检查和内控评价职能，确保内部控制措施的有效性。

内部控制的“三道防线”COSO（The Committee of Sponsoring Organizations ofthe Treadway Commission，美国反虚假财务报告委员会下属的发起人委员会）与IIA（The Institute of Internal Auditors，国际内部审计师协会）于2013年完成内部控制“三道防线”模型，明确和分配内部控制相关的职责定位，从而帮助企业优化其整体结构。

合规性与财务管理的关系三道防线是通过理清角色定位和职责来强化对风险管理和内部控制的理解。

第一道防线属于第一线的运营及管理，是对风险和控制责任的分配，第一道防线最为关键，最好能够把绝大部分风险控制在第一道防线。

第二道防线是对第一道防线的监督、检查，避免疏漏。

通过具体到各个部门、各个业务模块协助管理层监控风险，并控制风险。

第三道防线属于内部审计，是对董事会和高级管理层所关心的风险和控制的有效性进行独立审计并报告。

第一道防线：运营及管理第一道防线就是企业运营和管理第一线的业务人员的风险控制。

工作在第一线的销售人员、生产工人、运输工人、质检员、验收人员、会计、人事专员、采购员、技术工程师等，他们在日常工作的过程中就担负着内部控制的职责。

一线的人员应该接受必要的内控培训，他们不但要清楚本岗位的工作职责，而且要能够评估工作中的风险，能够识别风险，并且能够自主采取必要的控制措施，必要时需要向本部门或者更高一级的管理者沟通、汇报。

第一道防线主要职责及具体内容如表所示。

第一道防线是业务过程中控制风险最重要的防线，企业90%以上的精力应该放在第一道防线上，第一道防线的内控措施既要具有规范性又要有一定的灵活性，没有灵活性就不能适应不同特点的市场及客户。

第一道防线要让业务主管承担起内控责任，经营责任人也是内控责任人。

第一道防线的流程控制也非常重要。

流程本身就是防线，完善了流程就相当于建立了良好的防范措施。

第二道防线：内部监控与监督职能第二道防线的内容包括多种风险管理与合规管理，这些管理可以确保第一道防线执行的控制和风险管理流程的设计是合理的，并能够按照预期有效地执行。

企业合规三道防线运行机制
企业合规的三道防线运行机制包括：
1. 内控机制：内控是企业合规的基础，其目的是确保企业的经营活动符合法律法规及公司内部规章制度。

内控机制主要包括内部审计、风险管理、内部控制和合规管理等，通过设立规章制度、流程、职责分工等方式，对企业内部的各项业务进行监控和管理，以确保企业合规。

2. 外部监管机制：企业合规还需要依赖外部监管机制来保障。

外部监管机制包括政府监管、第三方审计、行业协会等，它们通过对企业的合规行为进行监督和检查，及时发现和解决企业的违规行为，对违规企业采取相应的处罚措施。

3. 公司文化机制：企业合规的运行还需要建立和培育一种良好的公司文化。

公司文化包括企业的核心价值观、道德规范、员工行为规范等，它们能够引导企业员工的行为并对违规行为形成无法容忍的惩罚和制约机制。

通过建立和积极培育良好的公司文化，可以降低企业合规风险，提高员工的合规意识和行为规范。

这三道防线的运行机制相互配合，可以形成对企业合规的全面保障，从而维护企业的声誉和信誉，在激烈竞争的商业环境中获得持续发展的机会。

国企合规三道防线职责
国企合规三道防线职责是指在国有企业中，建立的三个层级的合规管理体系，以确保企业的经营活动符合法律法规和道德规范。

这三道防线分别是：
第一道防线：企业内部控制。

这是指企业通过建立完善的内部管理制度、流程和机制，对企业内部的各项活动进行监督和管理，防止违法违规行为的发生。

第二道防线：风险管理。

这是指企业通过对内外部环境进行分析和评估，识别出可能对企业造成损失或影响的风险因素，并采取相应的措施加以防范和控制。

第三道防线：法律合规。

这是指企业遵守国家法律法规和政策规定，严格执行各项制度和规章制度，确保企业的经营活动合法合规。

同时，企业还应积极参与社会责任履行和社会公益事业建设，树立良好的企业形象和社会形象。

国企合规三道防线职责是保障国有企业健康发展的重要保障措施之一。

只有建立起完善的合规管理体系，才能够有效防范各种风险和挑战，提高企业的竞争力和可持续发展能力。

内部控制三道防线的案例咱就说有个叫“欢乐小零食”的公司，专门生产那些超级美味的薯片、坚果啥的。

第一道防线：业务部门自身的控制。

公司里的采购部门呢，那就是第一道防线的重要角色。

有个采购小哥叫小李，他负责采购做薯片的土豆原料。

小李心里明白，要是土豆质量不好，那做出来的薯片肯定也不咋地，公司就会砸招牌。

所以啊，他每次采购前，都会去好多家土豆供应商那里考察。

有一次，有个供应商给他说：“小李啊，我这土豆虽然有点小毛病，但是价格超级便宜，你就别那么较真啦，悄悄买回去，别人也发现不了。

”小李一听，立马就拒绝了，说：“这可不行，我们公司对土豆的质量要求很严格的，这是我的底线，要是我买了不好的土豆，生产部门首先就得找我麻烦，我可不想被大家埋怨。

”这就是第一道防线在起作用，业务部门自己就把好关，不让风险轻易进来。

第二道防线：风险管理和法务等部门的监督。

第三道防线：内部审计部门的独立审查。

“欢乐小零食”公司还有个神秘的内部审计部门。

这个部门的人就像一群神秘的高手，不定期地就对各个部门进行审查。

有一次，内部审计部门对财务部门进行审计。

他们发现财务部门在记录成本的时候，有一些数据不太对劲儿。

原来是有个新来的小会计，不小心把一些生产设备的维修费用算错了地方。

内部审计部门就把这个问题指出来，并且要求财务部门赶紧改正。

他们还根据这个问题，给财务部门制定了一个新的审核流程，防止以后再出现类似的错误。

这就像第三道防线，内部审计部门从一个独立的角度，对整个公司的运营进行审查，发现问题就要求整改，确保公司的内部控制体系健康运行。

你看，这个“欢乐小零食”公司的内部控制三道防线就像三个保护神一样，守护着公司的正常运营，让公司能够健康稳定地发展，继续生产那些让大家流口水的小零食。

浦发银行全面管理三道防线（最新版）目录1.浦发银行管理三道防线的背景2.三道防线的具体内容3.三道防线的作用和意义4.浦发银行的全面管理策略5.结论正文【1.浦发银行管理三道防线的背景】随着金融市场的不断发展，风险管理在银行业的重要性日益凸显。

作为我国知名的商业银行之一，浦发银行在风险管理方面一直保持严谨的态度。

为了更好地应对各种风险，浦发银行采取了全面管理三道防线的策略。

【2.三道防线的具体内容】浦发银行的三道防线分别是：第一道防线：业务操作风险防线。

主要针对银行在日常业务操作过程中可能产生的风险，例如信贷风险、市场风险等。

第二道防线：内部控制风险防线。

主要关注银行内部控制体系的设计和执行，确保银行各项业务在制度框架内有效运行。

第三道防线：合规风险防线。

主要关注银行在法律法规、监管要求等方面的合规性，防范因违规行为引发的风险。

【3.三道防线的作用和意义】三道防线的设立，旨在保障浦发银行在风险可控的前提下，实现业务稳健、持续发展。

通过这三道防线，浦发银行可以全面地识别、评估和管理各类风险，确保银行资产安全和客户利益。

【4.浦发银行的全面管理策略】为了实现三道防线的全面管理，浦发银行采取了以下策略：（1）建立健全风险管理组织架构，明确各级机构和人员的职责与权限。

（2）完善风险管理制度，确保风险管理工作有法可依、有章可循。

（3）加强风险管理技术的应用，提高风险识别、评估和管理的科学性和有效性。

（4）注重风险管理文化的培育，形成全员参与、共同维护的风险管理氛围。

【5.结论】总之，浦发银行全面管理三道防线，有利于保障银行业务的正常开展，维护银行资产安全，提升客户满意度。

关于内部控制三道防线的文件（原创实用版）目录一、内部控制的概念及意义二、内部控制的三道防线1.第一道防线：运营及管理2.第二道防线：内部监控与监督职能3.第三道防线：内部审计三、每一道防线的具体职责及作用四、结合实际案例分析内部控制的重要性五、如何建立和完善内部控制的三道防线正文一、内部控制的概念及意义内部控制是指企业为了合理保证实现组织目标，对财务报告的真实性、合规性以及资产安全，而建立的一套内部控制制度。

内部控制有助于企业提高管理效率，降低风险，提高企业经营效益，是企业内部管理的重要组成部分。

二、内部控制的三道防线（1）第一道防线：运营及管理第一道防线是企业运营和管理的第一线，主要包括销售人员、生产工人、运输工人、质检员、验收人员、会计、人事专员、采购员、技术工程师等。

他们在日常工作中就担负着内部控制的职责，需要接受必要的内控培训。

第一道防线主要职责是执行内控政策和执行程序，评估工作中的风险，识别风险，并采取必要的控制措施。

（2）第二道防线：内部监控与监督职能第二道防线包括风险管理与合规管理，主要由企业的内部审计部门和审计委员会负责。

他们需要持续地监控风险，提供风险专业知识，实施内控政策和执行程序，以及在收集信息方面提供帮助。

第二道防线的职能是确保第一道防线执行的控制和风险管理流程的设计是合理的，并能够按照预期有效地执行。

（3）第三道防线：内部审计第三道防线是内部审计，由内部审计部门和审计委员会负责，主要任务是对董事会和高级管理层所关心的风险和控制的有效性进行独立审计并报告。

内部审计部门需要对第一道防线和第二道防线进行监督和检查，以确保企业的内部控制制度得到有效执行。

三、每一道防线的具体职责及作用（1）第一道防线：运营及管理第一道防线是企业内部控制的基础，主要职责是执行内控政策和执行程序，评估工作中的风险，识别风险，并采取必要的控制措施。

具体职责包括：制定并执行企业的日常业务流程和操作规范，确保业务流程的合规性和有效性；对业务数据进行准确记录和及时报告，确保财务报告的真实性和可靠性；对业务活动进行监督和检查，确保业务活动的合规性和有效性。

如何利用三道防线模型，使内部控制体系在企业落地最近，我们将COSO在2013年发布的更新版内部控制体系做了系列的解读，对内部控制框架的5个要素、17项原则也做了概要性的介绍。

但是，这里有一个问题，就是内部控制体系如何落地，内部控制体系如何与企业的管理职能对接？这是一个非常重要的问题，在COSO的框架里并没有给出答案。

在框架的附录B中，谈到了内部控制的角色与职责，里面提到了一个关于三道防线的概念，如果大家记得2017年我们给大家解读COSO企业风险管理框架时，有一篇文章专门介绍了三道防线的概念——风险管理三道防线含义已变，另外我们还有其他好几篇介绍三道防线的内容。

但是，内控框架附录B中的角色与职责的描述，并没有解决角色与职责同内部控制要素之间的对应关系，企业到底谁来执行内部控制的哪些工作没有明确阐述。

为了解决这个问题，2015年，国际内部审计协会（IIA）联合COSO共同发布了一个文件LEVERAGING COSO ACROSS THE THREE LINES OF DEFENSE（如何在三道防线模型中使用COSO内控框架），这份文件我们和很多同仁分享过。

图：三道防线模型关于三道防线的概念，相信从业者早有耳闻，特别是内部审计工作者，因为IIA早有相关报告和资料介绍三道防线的概念，这次和COSO内控框架的结合，旨在将三道防线的职能和内控的要素、原则进行关联，更好的利用COSO的内控框架充实三道防线的工作内容，也使COSO的内控框架更好的被落地实施。

今天，把这篇文章的观点和大家介绍一下。

一、董事会及高级管理层虽然董事会和高级管理层不属于三道防线中的任何一道，但他们的作用却是不可或缺的，在董事会的监督下，高级管理层负责内部控制的建立、改进和评价。

董事会和高级管理层负责设立组织目标，规划实现这些目标的战略，并建立治理结构来更好地管理风险。

高级管理层对第一和第二道防线的活动负有最终责任。

董事会和高级管理层对组织的控制环境负有主要责任，所以内控框架和董事会及高级管理层的对照关系如下图所示。

浅论内控“三道防线”助力企业内部管理V V 孙虹虹伴随着经济社会快速发展，不同企业所处行业领域和地域不同，面临的机遇和挑战也有所变化，因此，强化企业内部控制和风险管理对于企业持续健康发展发挥着重要作用。

企业内控“三道防线”是企业强化内部管理、实现健康和谐发展的有力支撑，然而，当前企业内控“三道防线”仍然存在一些问题，企业必须转变观念、强化管控、优化内控，积极构建“内控、风险、合规”三位一体的管控体系，夯实内部管理基础，为自身实现战略发展目标创造良好条件。

一、企业内控“三道防线”概述（一）内控“三道防线”的概念企业内控“三道防线”从字面意思来看，就是要从不同角度建立多位一体的风险防控体系，通过明确责任分工和角色定位，达到强化企业内部控制和风险管理的目的。

其中，第一道防线是指企业的运营与管理部门，通俗来说就是企业的各业务部门，部门负责人是本部门内控风险管控的第一责任人，依据职责分工负责相关领域的内控风险管理工作，履行内控风险管理主体责任，对企业的风险责任和内控责任进行明确和分配，这对于企业的内部管理至关重要，最为理想的状态就是将企业的风险控制在第一道防线；第二道防线是风险管理和其他合规管理部门，其针对第一道防线存在的疏漏进行监督和检查，通过设计相互监督约束机制，合作开展风险管理工作，做好预防和应对重大风险的准备，第二道防线是企业整个内控风险管理体系中的关键部分；第三道防线是内部审计部门，它在风险管控方面具有重要地位，通过组织开展专业性的审计工作，有效识别潜在风险并为企业开展风险治理提供有益指导（见图1）。

通过“三道防线”的合作和信息交流，企业能够有效提升工作效率，避免出现重复作业的问题，确保风险管理目标的实现。

图1 企业内控“三道防线”模型（二）企业强化内控“三道防线”的意义企业强化内控“三道防线”能够有效识别并应对风险，将可能面临的风险转化过滤成为可控风险，达到提升风险管理效果的目的。

对于企业而言，若想打造“三道防线”风险管理机制，就必须充分发挥每一道防线的作用。

【精选】最大误解：在二道防线谈监督、在三道防线谈赋能一、大监督与大风控的拉通管理关于国有企业的大监督体系，相信很多人并不陌生，前一段时间，有人找到我，说孙老师你提到“大风控”理念，感觉很像是我们这两年正在推行的大监督体系。

所谓的大监督体系，指的是国有企业整合公司各种相关监督力量、形成合力，一般会涉及纪检监察、审计、监事会、法律、风控、内控、合规、甚至是人资、财务、工会等。

通过内部监督与外部监督相结合、专业监督与综合监督相结合、群众监督与组织监督相结合的方式，使监督工作渗透到各个管理环节，实现监督工作的全方位、全过程和全覆盖。

大监督体系中涉及的职能，其实包含了两部分，一部分是真正履行监督职能的部门，还有一部分是为更好的监督提供支持的部门。

这种监督力量的整合也是为了适应企业发展新形势、应对新挑战，将监督职能尽量整合来解决原来零散的监督职能带来的监督成本高、监督效果差的问题。

2015年9月13日，中共中央、国务院出台和国有企业改革非常重要的一个文件——《关于深化国有企业改革的指导意见》，其中谈到国企监督也是今天大监督体系的一个重要理论来源：“强化企业内部监督。

完善企业内部监督体系，明确监事会、审计、纪检监察、巡视以及法律、财务等部门的监督职责，完善监督制度，增强制度执行力。

”二、大风控和大监督的范畴如果大家看到之前我分析的大风控的模式，听上去好像和大监督有点像，但是，他们之间是有明显的差异的。

首先，不管是大风控还是大监督，有一点相同的，它们有一个共同的工作对象，就是风险，目标都是为了更好的管理风险。

但是，两者在很多方面都体现出了一定的差异。

广义上来讲，如果谈大监督和大风控的范围，大风控是可以涵盖大监督的，就像我们之前说的，大监督体系的初衷，也是管理风险，只是管理的风险类型和对象有一定针对性。

大监督体系一般是由纪检部门推动，主要的工作内容是组织内部的风险，而且大多是和人有关的风险。

所以我们说大监督也是公司大风控体系的一个组成部分。