译者按:为了使三道防线模型更好地为组织治理和风险管理工作服务,国际内部审计师协会(IIA)组织专家学者对其进行了修订和完善,并于2020年7月正式发布了全新的“三线模型”。为了帮助组织和广大从业人员更好地了解和应用这一新模型,促进其在全球范围内的应用和推广,IIA秘书长兼CEO理查德·钱伯斯先生撰写了此篇博客,对其进行剖析和解读。以下为博客的中文译文,供内部审计和其他领域从业人员参考借鉴。 IIA在三道防线模型基础上推出新的三线模型 在过去一段时间里,IIA对其推出的受到广泛认可和信任的风险管理工具“三道防线模型”进行了修订和更新,并于近期发布了最新成果“三线模型”。通过专家在全新视角下对就旧模型的审视和研究,相信在此基础上形成的新模型能够改变许多组织看待风险、控制、协作、沟通、问责、确认等方面的方式。 在一年多以前,我就曾经发表过文章,公布了IIA对“三道防线模型”进行修订的计划。修订的目的是为了更好地反映现代风险管理和治理发生的变化,同时保留模型直白、清晰的表达方式。令人感到高兴的是,经过长时间的辛勤工作,对全球专家、相关人士的意见进行了充分汇总和梳理,我们终于交出了一份满意的答卷。 在开始讨论细节之前,我希望读者们也可以充分了解达成这一目标的整个过程。模型修订专项工作组由来自全球的治理专家组成,时任IIA全球理事会第一副主席珍妮莎·约翰担任组长。除工作组以外,IIA还组建了一支30人组成的顾问团队,为修订工作提供意见和建议。在修订过程中,工作组对全球治理方式进行了全面梳理,并探究旧模型对实务和监管要求产生了哪些影响。与此同时,我们还以发布征求意见稿的方式,收集了来自全球各地的从业人员的意见和建议。 三线模型:进化和发展 其中非常重要的一个变化就是在模型中突出强调了治理机构的职责和作用。新的“三线模型”清晰地定义了治理机构、执行管理层和内部审计各自扮演的角色和应当履行的职责,并且没有局限于风险管理,而是将关注范围拓展到了组织的整体治理。 尽管新模型还不能被称为一个治理模型,但对治理的强调能够有力地支持价值保护和价值创造,从风险管理的“进攻”和“防御”这两个相辅相成的方面进行探讨。之所以进行了这样的修订,是因为通过调研我们发现,“三道防线模型”过于注重“防御”(价值保护),这也是旧模型受到的最主要的批评之一。 模型修订后最大的变化在于确立了作为新模型基础的六项关键原则: 原则1:组织治理需要恰当的结构和流程,才能支持问责、行动和确认。 原则2:治理机构负责确保为组织建立合理的结构和流程,从而实现治理的有效性。 原则3:管理层履行第一线和第二线的职责,负责实现组织目标。第一线职责主要包括向组织的客户交付产品和/或服务,以及相关的支持性职能。第二线职责包括协助开展风险管理。 原则4:内部审计履行第三线的职责,针对治理和风险管理的适当性和有效性,开展独立客观的确认和咨询业务。为此,内部审计需要充分应用系统且规范的工作流程、专业知识和观点。必要时,需要将其他内部和外部机构提供的确认成果一并纳入考虑。 原则5:内部审计保持相对于管理层的独立性对于确保内部审计的客观性、权威性和可信度至关重要。 原则6:各项职能之间相互配合,并把利益相关方的利益放在首位,才能共同努力为组织创造价值并加以保护。 尽管之前这些原则没有出现过在同一个模型或文件中,但大部分内部审计人员都不应该对它们感到陌生。在控制、运营和文化中践行这些原则的组织必然能够实现良好的治理。所有组织都应当遵循这些原则,并持续监控和支持对原则的贯彻。 组织还需要考虑如何根据自身需求和优先任务,对“三线模型”进行合理运用和调整。比如,第一线和第二线的界限可能会受到一系列因素的影响,包括组织的规模和复杂程度、其所属的行业和单位性质以及外部监管的严格程度等。 问责。治理机构对利益相关方负责,承担监督职责。 行动(包括管理风险)。管理层负责组织目标的实现。 确认和咨询。独立内部审计部门为组织提供鉴证和树立信心,同时推动组织实现不断进步。 尽管已经建立了许多保障内部审计独立性和内部审计人员客观性的机制,有些人认为内部审计不能越雷池一步,只能作为第三线孤立存在。但是,修订后的模型明确提出“独立不意味着孤立”。新模型强调:“内部审计应当与管理层保持定期的互动……管理层的第一、二线职能部门和内部审计之间需要相互协作,保持沟通。” 我认为“三线模型”是在原“三道防线模型”基础上的一次提升,相信新模型会跟旧模型一样得到广泛认可。有些人可能会对模型的变化感到失望,因为他们觉得变化太大或还不够大。对这些批评意见我们也会坦然和虚心接受。 我欢迎所有真诚的、富有建设性的意见。对于已被广泛接受的思想或理念,任何新的概念都需要进过时间的考验才能彰显价值。 ( 作者:理查德·F·钱伯斯 国际内部审计师协会(IIA)秘书长兼首席执行官)
新模型并没有对“三道防线模型”作出颠覆性的改变,而是在其基础上进行了发展和进化。但这并不意味着这些变化是微不足道的(但这些变化同样具有重要意义)。
新模型基于原则的组织方式也是为了赋予使用者更大的灵活性。治理机构、执行管理层、内部审计并没有被严格限定在某条线或某项职责中。“线”这一概念的提出只是为了延续旧模型的表述方式,不应将其作为模型中的结构要素,而是应当将其看作对不同职责的区分。这三方的职责可以被简单地概括为: