【摘 要】 三道防線理論由FERMA和ECIIA提出，得到IIA的推薦，被COSO報告引入，并得到廣泛運用。三道防線理論從風險管理和內(nèi)部控制視角揭示了公司治理系統(tǒng)的構成與運行機制，闡明了治理層領導下的審計委員會和內(nèi)部審計部門（第三道防線）、風險管理委員會和風險管理部門（第二道防線），以及職能部門和業(yè)務單位（第一道防線）之間的職責劃分與協(xié)調(diào)有序運行方式。在三道防線理論尚未得到公司治理理論界應有關注的情況下，梳理其發(fā)展演進過程，探討其本質(zhì)、構成和運行機制，有利于推動相關理論研究和實務探討。

【關鍵詞】 三道防線； 公司治理； 風險管理； 內(nèi)部控制

【中圖分類號】 F230；F270 【文獻標識碼】 A 【文章編號】 1004-5937（2024）23-0002-09

一、引言

如果把公司治理研究看成一張拼圖，那么這張拼圖的最后一塊就是三道防線理論。只不過因為它是由實務界出于遵循公司法的需要而提出的，并沒有引起公司治理理論界足夠的重視。公司治理研究已經(jīng)涵蓋治理模式、結構、機制和效應等方面，并充分考慮了政治、經(jīng)濟、文化、技術、法律、歷史等諸多因素的影響[ 1-3 ]。但這些研究偏重高層管理，忽視了高層管理影響中低層管理的傳導機制，沒有揭示高中低層管理之間的有序運行方式，而三道防線理論正好解決了這一問題。三道防線理論雖然在公司治理研究中受到冷遇，但在風險管理和內(nèi)部控制領域卻得到熱捧[ 4-7 ]。那么，如何認識三道防線理論？公司治理、風險管理和內(nèi)部控制是何關系？三道防線具體如何運行？這些成為值得討論的問題，有必要通過全面梳理三道防線理論的發(fā)展演進過程，深入分析三道防線的本質(zhì)、構成和運行機制，為推動三道防線理論的研究與實踐拋磚引玉。

二、三道防線理論的提出和發(fā)展

三道防線理論由歐洲風險管理協(xié)會聯(lián)合會（FERMA）和歐洲內(nèi)部審計協(xié)會聯(lián)合會（ECIIA）于2010年聯(lián)合發(fā)布的立場公告（Position Paper）中提出，并自2011年以來不斷做出補充和解釋。

（一）緣起

FERMA和ECIIA提出三道防線理論旨在為歐盟各國公司董事會，尤其是審計委員會，遵循修訂后的《歐盟第8號kuCo10EgOd9StGG8d1J2yfuScyUarn5MycF2JoR2T7k=公司法指令》提供指南[ 8 ]。①

2006年5月17日，《歐盟第8號公司法指令》修訂案正式通過，以取代1984年4月10日頒布的舊指令，并要求各成員國自2008年6月起到2010年底完成對國內(nèi)法的修訂?！稓W盟第8號公司法指令》（以下簡稱新指令）是歐盟規(guī)范各成員國上市公司法定外部審計的一個指令。舊指令僅針對法定審計師的執(zhí)業(yè)資格，如學歷、理論知識、免考條件、實習、繼續(xù)教育、注冊等做出規(guī)定；而新指令幾乎涵蓋法定審計師行業(yè)監(jiān)管的全部內(nèi)容，包括執(zhí)業(yè)資格、職業(yè)道德、審計標準和審計報告、質(zhì)量保證體系、調(diào)查和處罰、公眾監(jiān)督和成員國之間的監(jiān)管安排、法定審計師聘任與解聘、公眾利益主體（主要指上市公司）法定審計的特殊條款等[ 9 ]。這是歐盟為應對2003年荷蘭阿霍德公司和意大利帕瑪拉特公司財務丑聞案而做出的反應，以加強公司治理，增強社會公眾對歐盟法定審計制度的信任。

新指令第41條“公眾利益主體法定審計的特殊條款”第2b款（第41-2b條款）規(guī)定，公眾利益主體應設立審計委員會，審計委員會應監(jiān)督公司內(nèi)部控制、內(nèi)部審計（如適用）和風險管理系統(tǒng)的有效性[ 10 ]。但是，各成員國將該款規(guī)定轉換為國內(nèi)法時遇到了困難，對審計委員會的設立和職責認識不清，雖新指令的轉換工作提前于2010年9月完成，但是，第41-2b條款是其中最后完成轉換的條款。

（二）三道防線理論的提出

2010年9月21日，F(xiàn)ERMA和ECIIA聯(lián)合發(fā)布立場公告《董事會和審計委員會執(zhí)行第8號公司法指令第41-2b條款指南》（《指南I》），為董事會和審計委員會對公司內(nèi)部控制、內(nèi)部審計和風險管理系統(tǒng)的有效性進行監(jiān)督提供指南。在《指南I》中，F(xiàn)ERMA和ECIIA提出了三道防線理論[ 11 ]。

第一道防線是運營管理部門（Operational Management）和內(nèi)部控制（Internal Controls）。運營管理部門的責任是通過采取有效的內(nèi)部控制措施來評估、控制和降低風險。

第二道防線是風險管理職能部門，含風險管理部門（Risk Management）、合規(guī)部門（Compliance）和其他部門（Others）。其中，風險管理部門是指進行風險管理的綜合部門，大型公司一般由首席風險官負責，小型公司由某一高層管理者兼任，負責實施公司風險戰(zhàn)略、提供正式的風險管理框架、培育風險管理文化、推行風險管理術語。合規(guī)部門是指在綜合風險管理部門之外設立單獨的合規(guī)風險管理部門，以監(jiān)控公司是否遵循相關法律法規(guī)和內(nèi)部規(guī)章制度。其他部門是指一些專項風險管理部門，如健康和安全、供應鏈、環(huán)境和質(zhì)量控制等。這三類風險管理職能部門共同推動和監(jiān)督運營管理部門實施有效的風險管理措施，幫助定義風險暴露目標，并要求其報告風險管理相關信息。

第三道防線是內(nèi)部審計部門。采取風險導向方法，獨立確認（Assurance）公司風險管理的有效性，對第一、第二道防線的風險管理工作進行評價。

董事會負責指導和監(jiān)督。其職責為與高級管理層一起設定公司的風險偏好（Risk Appetite），評價管理層是否針對公司重大風險采取適當?shù)膽獙Υ胧?/p>

CEO領導下的高級管理層對公司風險和內(nèi)部控制框架的有效性承擔最終責任。CEO的職責包括：設定高層基調(diào)；領導和監(jiān)督運營管理部門在公司風險偏好下開展風險業(yè)務活動；跟蹤環(huán)境和風險的變化并相應調(diào)整風險偏好。

高層管理者的職責包括：在各自職責范圍內(nèi)將戰(zhàn)略轉化為經(jīng)營目標；根據(jù)風險偏好設定經(jīng)營風險容忍度（Risk Tolerances）；識別和評估影響目標達成的風險，并督促采取與風險容忍度一致的風險應對措施。

另外，外部審計可視為第四道防線。主要就公司財務報告的真實性和公允性向投資者、董事會和高級管理層提供確認，而公司戰(zhàn)略、經(jīng)營和合規(guī)風險的監(jiān)督與確認由風險管理和內(nèi)部審計部門分別負責。

在公司內(nèi)外四道防線的共同作用下，《歐盟第8號公司法指令》中關于董事會和審計委員會的相關規(guī)定可以得到遵照執(zhí)行。

三道防線理論初步提出后，在2011—2012年間，F(xiàn)ERMA和ECIIA又通過發(fā)布意見函、立場公告、研究報告等一系列文件對理論的具體運用進行了解釋，其中具有代表性的是2011年12月發(fā)布的《高級管理層執(zhí)行第8號公司法指令第41-2b條款問題解答》（《指南II》）[ 12 ]。

《指南II》主要就公司高級管理層在執(zhí)行《指南I》時，在風險管理和內(nèi)部控制系統(tǒng)建設中遇到的一些具有代表性的問題做出解答?！吨改螴I》的主要觀點：其一，厘清了第一道防線的運營管理和內(nèi)部控制之間的關系，認為內(nèi)部控制并非與運營管理并列，而是嵌入經(jīng)營管理和業(yè)務活動之中。其二，細化了高級管理層風險評估的時間和報告要求，要求每年至少對公司的重大風險進行一次評估，對內(nèi)部控制、內(nèi)部審計方案進行一次評價，每季度要對上報的關鍵流程運行報告和審計報告進行核實，發(fā)現(xiàn)重大缺陷和風險環(huán)境的變化要及時向董事會報告。其三，提出可以將風險管理、道德和合規(guī)、內(nèi)部控制和內(nèi)部審計合并，成立一個“公司治理部門”，這為不少企業(yè)設立“四位一體”乃至“多位一體”的風險管理部門提供了依據(jù)，但這一做法會影響內(nèi)部審計的獨立性。其四，要求內(nèi)部審計向首席財務官報告，但這會影響內(nèi)部審計的獨立性。

（三）三道防線理論的發(fā)展

隨著監(jiān)管環(huán)境和公司治理法規(guī)的變化，F(xiàn)ERMA和ECIIA單獨或聯(lián)合起來通過發(fā)布解釋文件、立場公告、研究報告等形式進一步解釋和完善了三道防線理論。

1.厘清風險委員會與審計委員會的職責分工

2008年以來的全球金融危機引發(fā)了歐盟各成員國一系列的監(jiān)管反應和對歐洲金融市場進行持續(xù)監(jiān)管的要求。歐盟委員會和各成員國都希望對《歐盟第8號公司法指令》再次做出修訂，以增強外部審計師的獨立性和財務報告審計質(zhì)量。

2014年4月3日，歐洲議會通過了修訂后的指令。該指令第39條6c款中明確指出，審計委員會應當監(jiān)督企業(yè)內(nèi)部質(zhì)量控制和風險管理系統(tǒng)的有效性，以及在適用且不影響其獨立性的情況下，監(jiān)督對需經(jīng)法定審計的財務報告進行內(nèi)部審計的有效性[ 13 ]。FERMA和ECIIA認為，這一表述增加了審計委員會對財務報告過程的職責范圍，強調(diào)了法定審計的重要性。同時，還可能意味著要引入風險委員會[ 14 ]。2013年12月，國際綜合報告委員會（IIRC）發(fā)布《國際綜合報告框架》，旨在促成一種更連貫更有效的公司報告方法，以更好地反映公司持續(xù)的價值創(chuàng)造能力和受托責任的履行情況，為利益相關方提供注重戰(zhàn)略和面向未來的高質(zhì)量信息。2014年4月15日，歐洲議會發(fā)布第2013/34號指令修正案，要求大型公眾公司披露非財務報告信息，向利益相關者傳遞價值創(chuàng)造和發(fā)展的可持續(xù)性。歐洲理事會也于2014年9月29日發(fā)布《非財務報告指令》。

鑒于此，F(xiàn)ERMA和ECIIA于2014年10月發(fā)布《審計和風險委員會：歐盟立法與最佳實踐資訊》，為歐盟各成員國的董事會成員，尤其是審計和風險委員會的成員遵循新指令做出解釋[ 14 ]。該解釋文件的主要內(nèi)容包括：

其一，按照三道防線理論開展風險管理和內(nèi)部控制工作仍是遵循新的監(jiān)管要求的最有效方式。

其二，審計委員會應協(xié)助董事會履行公司治理職責。包括：對公司結構、控制、交易類型、商業(yè)模式及相關風險具有良好理解；與外部審計師、內(nèi)部審計師、第二道防線和公司管理層保持自由、公開的溝通；有權利和責任調(diào)查任何事項，不受限制地接觸記錄、公司運營和人員。

其三，金融機構應該單獨設立風險委員會，其他組織可根據(jù)規(guī)模、業(yè)務的復雜程度自主決定。

其四，審計委員會和風險委員會的職責和區(qū)別。職責包括：評價風險管理系統(tǒng)；監(jiān)督首席風險官或類似風險管理負責人的工作；監(jiān)督外部審計的工作；協(xié)調(diào)兩個委員會之間的關系；每年報告組織風險管理的效率和效果；每年以最佳實踐為參考，審查兩個委員會的表現(xiàn)和職責范圍，以確定其是否有效運作；監(jiān)督財務報告編制過程和財務報告的公正性；評價內(nèi)部控制和風險管理系統(tǒng)的有效性；評價和鑒定審計活動的獨立性、客觀性和有效性；監(jiān)督內(nèi)部審計部門。區(qū)別主要體現(xiàn)：審計委員會主要監(jiān)督與財務報告相關的風險，監(jiān)督財務報告內(nèi)部控制的有效性，評價外部審計師的工作，監(jiān)督法律和道德的遵循性；而風險委員會主要監(jiān)督與非財務報告相關的風險，如戰(zhàn)略風險、經(jīng)營風險等。

可以看出，這份解釋文件更多強調(diào)了風險委員會的設立，以及風險委員會和審計委員會的職責分工。

2.三道防線理論運用于非財務報告管理

2015年3月，為應對《非財務報告指令》給內(nèi)部審計帶來的挑戰(zhàn)和機遇，ECIIA發(fā)布立場公告《非財務報告：建立對內(nèi)部審計的信任》[ 15 ]。該立場公告最大的亮點是將三道防線理論運用于對非財務報告風險的治理和控制，并提出綜合管理、報告和確認的觀點。

其一，按照三道防線區(qū)分不同職能部門在非財務報告管理中的作用，結合非財務信息所包括的主要領域有經(jīng)濟、社會和環(huán)境信息。公告指出：第一道防線是運營管理，對非財務報告管理負有受托責任；第二道防線是風險管理、財務控制、合規(guī)等類似職能部門，促進和監(jiān)督運營管理部門實施有效的非財務報告管理，協(xié)助業(yè)務單位向公司報告有關重要信息；第三道防線是內(nèi)部審計部門，提供獨立確認，非財務報告確認是一個新興領域，對內(nèi)部審計人員的技能和經(jīng)驗都帶來挑戰(zhàn)，可考慮使用專家工作、外包某些領域或組建跨專業(yè)背景的團隊。治理層應參與界定非財務報告管理的關鍵要素，如非財務報告需要的確認水平、非財務信息的重要性水平、需要溝通的信息類型（如戰(zhàn)略信息）、收集信息時采用的框架等。

其二，公司應該針對財務報告與非財務報告建立和實施綜合管理、綜合報告和綜合確認。在確認中，治理層、內(nèi)部確認人員（內(nèi)部審計、風險管理）和外部確認者之間要加強協(xié)調(diào)，各方要協(xié)調(diào)定義標準、提供指南、統(tǒng)一風險觀念、確定治理層需要的確認水平，并對綜合報告進行確認。

該立場公告提出的觀點對企業(yè)ESG管理具有借鑒意義。

3.三道防線理論運用于網(wǎng)絡風險治理

2017年6月29日，F(xiàn)ERMA和ECIIA以其2014年發(fā)布的《審計和風險委員會：歐盟立法與最佳實踐資訊》和經(jīng)合組織（OECD）于2015年發(fā)布的《面向經(jīng)濟社會繁榮的數(shù)字安全風險管理》為依據(jù)，制定了《網(wǎng)絡風險治理報告》，基于三道防線理論，構建了網(wǎng)絡風險治理和管理框架[ 16 ]。主要內(nèi)容包括：

其一，第一道防線負責實施網(wǎng)絡風險管理政策和標準，并對網(wǎng)絡和基礎設施進行日常監(jiān)督。承擔風險管理和控制的主要職能部門和崗位包括IT部門、人力資源部門、首席數(shù)據(jù)官和運營/業(yè)務單位。

其二，第二道防線負責執(zhí)行與網(wǎng)絡安全有關的主要治理職能，由首席信息安全官領導，風險管理、財務控制、合規(guī)管理、數(shù)據(jù)保護等部門協(xié)調(diào)配合，確定由第一道防線執(zhí)行的政策、標準和技術配置標準。第二道防線負責評估與網(wǎng)絡安全有關的風險和風險暴露程度，確保其與組織的風險偏好一致，監(jiān)督新出現(xiàn)的風險和法律法規(guī)的變化，并與第一道防線協(xié)作，以確保適當?shù)目刂圃O計和實施。

其三，在風險委員會下設立“網(wǎng)絡風險治理小組”作為執(zhí)行機構，在組織整體層面協(xié)調(diào)處理跨部門的網(wǎng)絡風險治理活動。由風險經(jīng)理任組長，負責領導識別、評估、量化和緩釋網(wǎng)絡風險，并與組織全面風險管理工作銜接，在程序、系統(tǒng)、流程和培訓方面提供協(xié)助。

其四，第三道防線的內(nèi)部審計部門負責對第一、二道防線進行獨立客觀的確認，以合理保證其按照設計的職能有效運行，并監(jiān)督組織整體信息安全計劃的連貫性和一致性。審計部門每年至少一次對該計劃的運行狀況進行健康檢查，并向董事會報告。

其五，明確風險經(jīng)理和內(nèi)部審計師之間的關系。內(nèi)部審計單獨開展的活動包括：獨立評價網(wǎng)絡控制和網(wǎng)絡風險計劃，并向審計委員會報告控制缺陷；獨立評價組織的網(wǎng)絡安全文化；獨立評價法規(guī)的遵循性；獨立評價危機管理計劃的流程；提出改善網(wǎng)絡控制環(huán)境的建議。風險經(jīng)理單獨開展的活動包括：監(jiān)督網(wǎng)絡風險管理工作的實施；在第一、二道防線建立實施網(wǎng)絡風險管理工作的控制措施；識別和量化網(wǎng)絡風險暴露程度（通過壓力測試和情景測試）；擔任網(wǎng)絡風險治理小組的組長；協(xié)調(diào)向董事會報告網(wǎng)絡風險暴露和緩釋計劃（含保險）。二者都可以開展的工作：交流網(wǎng)絡風險暴露和網(wǎng)絡風險管理的有效性；確?？刂茩C制的可審計性；向審計委員會報告網(wǎng)絡安全問題并提出建議；建立網(wǎng)絡風險確認圖。

FERMA和ECIIA以網(wǎng)絡風險治理和管理為例，詳細展示了三道防線理論的構成及其運行，提出了設立“網(wǎng)絡風險治理小組”統(tǒng)籌協(xié)調(diào)三道防線運行的思路，體現(xiàn)了最新研究成果。

三、IIA和COSO的推薦與倡導

國際內(nèi)部審計師協(xié)會（IIA）和美國反虛假財務報告委員會的發(fā)起組織委員會（COSO）都是在世界范圍內(nèi)具有廣泛影響的機構，其推薦和倡導對三道防線理論的公信力和廣泛傳播產(chǎn)生了深遠影響。

（一）IIA推薦和修訂三道防線理論

1.IIA推薦使用三道防線理論

2013年1月，IIA發(fā)布立場公告《有效風險管理和控制的三道防線》，向各國內(nèi)部審計協(xié)會和內(nèi)部審計師推薦使用三道防線理論。IIA的立場公告雖源于FERMA和ECIIA的指南，但提出了一些新觀點[ 6 ]。

其一，側重強調(diào)了風險管理和內(nèi)部控制在公司治理中的重要性，將立場公告命名為《有效風險管理和控制的三道防線》，并指出三道防線理論適用于任何規(guī)模和復雜程度的組織。

其二，明確指出COSO風險管理框架雖然可以有效識別必須加以控制的風險，但是沒有指出組織該如何分配和協(xié)調(diào)風險管理的具體職責，而三道防線理論提供了一種簡單有效的方法，并對三道防線職責分工提出了更具操作性的建議。對于第一道防線，指出要采用分級責任結構來執(zhí)行內(nèi)部政策和程序，中層管理人員負責設計和實施詳細程序，控制和監(jiān)督其員工執(zhí)行這些程序。對于第二道防線，指出其職責具體包括：提供配套管理政策，定義角色和職責，并設定執(zhí)行的目標；提供風險管理框架，識別已知和新出現(xiàn)的問題以及組織中的隱性風險偏好的變化；協(xié)助管理層開發(fā)管理風險和問題的程序與控制，就風險管理過程提供指導和培訓；通過運營管理推動和監(jiān)控有效的風險管理實務的實施；提示運營管理中出現(xiàn)的問題及變化中的監(jiān)管和風險情況；監(jiān)測和報告控制的有效性與充分性，并及時修復缺陷。對于第三道防線，指出內(nèi)部審計的確認要做到全面覆蓋。具體包括：風險管理各類目標的實現(xiàn)情況；風險管理和內(nèi)部控制的全部要素（單位整體、分部、子公司，業(yè)務單位和職能部門），以及支持職能部門（如收支會計、人力資源、采購、發(fā)放工資、預算、基礎設施與資產(chǎn)管理、庫存和信息技術等）。

其三，強調(diào)了內(nèi)部審計的獨立性。第二道防線負責監(jiān)督和促進有效的風險管理實務，可以直接介入內(nèi)部控制和風險管理系統(tǒng)的開發(fā)與修改，向管理層報告，具有有限的獨立性。第三道防線的內(nèi)部審計具有較強的獨立性和客觀性，直接向治理層報告。對于一些小型組織而言，第二、三道防線可以合并運作，但是治理層和高級管理層要知曉這一合并對內(nèi)部審計獨立性帶來的影響。

2.IIA將三道防線理論發(fā)展為三線理論

2020年7月，IIA發(fā)布《三線模型——新版三道防線理論》[ 7 ]。與原三道防線理論相比，新理論有以下改進：

其一，采用三線理論的新提法，指出三線理論不僅用于防范可能帶來損失的風險，而且要在實現(xiàn)組織目標、創(chuàng)造和保護價值方面發(fā)揮作用。

其二，采用原則導向的方法，提出了三條線職責分工的六條原則。

其三，強調(diào)了第三線的獨立性。明確指出第三線的內(nèi)部審計不需要向管理層報告，而是直接對組織治理機構負責。治理機構履行以下職責確保內(nèi)部審計部門的獨立性：任免首席審計官；接受首席審計官匯報；審批審計計劃并提供資源；檢查首席審計官的報告；保證首席審計官能夠不受限制地接觸治理機構，包括提供沒有管理層出席的單獨對話機會。

其四，強調(diào)三條線協(xié)調(diào)運行的目標導向性。指出三條線的所有活動都必須與組織目標保持一致，要定期進行有效的協(xié)調(diào)、合作和溝通。

（二）COSO引入三道防線理論

2013年5月，COSO發(fā)布修訂版的《內(nèi)部控制——整合框架》，在新版報告中引入了三道防線理論[ 5 ]。COSO報告的主要貢獻與不足：

其一，擴大了三道防線理論的影響。COSO內(nèi)部控制框架是世界范圍內(nèi)廣泛認同的建設內(nèi)部控制系統(tǒng)的標準框架，在該框架中引入三道防線理論，有利于其廣泛傳播。

其二，從職能與薪酬的關系對三道防線進行了詮釋。一線員工及其管理者構成第一道防線，其薪酬取決于目標實現(xiàn)的程度。業(yè)務支持部門，如風險、控制、法律以及合規(guī)部門等，構成第二道防線，其薪酬不直接與業(yè)務績效掛鉤。內(nèi)部審計師提供了第三道防線，其崗位和薪酬獨立且區(qū)別于所監(jiān)督的業(yè)務領域。

其三，討論了公司治理、風險管理和內(nèi)部控制之間的關系。COSO用一個圖示展示了三者之間的關系，認為公司治理涵蓋風險管理，風險管理涵蓋內(nèi)部控制，但在FERMA和ECIIA已經(jīng)探討三者之間融合的情況下，COSO的觀點值得商榷。

2017年，COSO發(fā)布《企業(yè)風險管理——整合戰(zhàn)略與執(zhí)行》，該報告是COSO于2004年發(fā)布《企業(yè)風險管理——整合框架》的修訂版[ 4 ]。該報告中也引入了三道防線理論，但在表述上用的是“受托責任線模型（The lines of accountability model）”，在內(nèi)容上強調(diào)風險管理的戰(zhàn)略導向性。第一道防線負責實施日常工作來管理績效和風險，以實現(xiàn)戰(zhàn)略和經(jīng)營目標。第二道防線負責監(jiān)督績效和風險管理。第三道防線的內(nèi)部審計部門對組織風險管理實踐進行獨立的績效審計和評價。

以上對三道防線理論的發(fā)展演進過程進行了全面梳理，為進一步探討提供了基礎。

四、三道防線理論中值得進一步探討的問題

雖然三道防線理論已經(jīng)日漸成熟并得到廣泛運用，但仍存在一些值得探討的問題。

（一）如何理解公司治理、風險管理與內(nèi)部控制的關系

三道防線理論的提出，是側重強調(diào)風險管理的FERMA與側重強調(diào)內(nèi)部控制和內(nèi)部審計的ECIIA聯(lián)手，為董事會下設的審計委員會和風險委員會在公司治理中的職責劃分與作用發(fā)揮進行頂層設計的產(chǎn)物，這自然會涉及如何理解公司治理、風險管理與內(nèi)部控制之間的關系。

FERMA和ECIIA并沒有專門討論三者之間的關系，但在行文中對三者之間的關系做了融合性理解，認為按照三道防線運行就可遵循公司治理、風險管理和內(nèi)部控制相關法令與監(jiān)管要求[ 11-12 ]。

IIA的觀點與FERMA和ECIIA的觀點大體相同。IIA于2013年發(fā)布立場公告《有效風險管理和控制的三道防線》時，立場公告的標題就體現(xiàn)了風險管理和內(nèi)部控制的融合[ 6 ]。

COSO于1992年和2004年分別發(fā)布《內(nèi)部控制——整合框架》[ 17 ]和《企業(yè)風險管理——整合框架》[ 18 ]。COSO認為，風險管理涵蓋內(nèi)部控制，風險管理框架和內(nèi)部控制框架應該并行[ 18 ]。2013年，COSO發(fā)布修訂版的內(nèi)部控制框架，用一個三環(huán)相套的圖示指出，公司治理涵蓋風險管理，風險管理涵蓋內(nèi)部控制[ 5 ]。2017年，COSO發(fā)布修訂版的風險管理框架，重申了這一觀點[ 4 ]。

受COSO影響，我國分別制定了風險管理、內(nèi)部控制和公司治理規(guī)范。2008年，五部委制定《企業(yè)內(nèi)部控制基本規(guī)范》，要求企業(yè)按照COSO五要素框架建設內(nèi)部控制系統(tǒng)。2006年，國資委發(fā)布《中央企業(yè)全面風險管理指引》，要求中央國有企業(yè)建設全面風險管理系統(tǒng)。2019年底，國資委發(fā)布《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》，指出風險管理和內(nèi)部控制要整合實施。我國銀保監(jiān)會也分別發(fā)布內(nèi)部控制規(guī)范和風險管理指引，銀保監(jiān)會和證監(jiān)會還分別制定了《銀行保險機構公司治理準則》和《上市公司治理準則》，這不可避免地出現(xiàn)了公司治理、風險管理和內(nèi)部控制重復建設、重復監(jiān)管的問題，只有認識到管理與控制融為一體，才能根本解決這一問題。

企業(yè)只可能有一個整體系統(tǒng)，而不可能存在多個系統(tǒng)。對系統(tǒng)的稱呼不同，只是因為視角不同。首先，任何企業(yè)都是在應對內(nèi)外各種風險因素的過程中生存與發(fā)展的。企業(yè)為了實現(xiàn)特定目標，需要識別、評估和應對風險，所以企業(yè)管理就是風險管理。其次，企業(yè)為應對風險所采取的措施，就是控制措施。企業(yè)有可能出于成本效益考慮，對識別的風險不采取應對措施，但是只要采取了措施，就是控制措施，除控制措施之外，在企業(yè)管理中不存在其他措施，所以企業(yè)管理就是內(nèi)部控制。最后，在企業(yè)管理中，如果強調(diào)不同利益主體的權責利關系，企業(yè)管理可稱為公司治理。以上表明，企業(yè)管理、公司治理、風險管理和內(nèi)部控制具有內(nèi)在一致性，可通過三道防線一體化整合實施[ 19 ]。

（二）如何認識三道防線理論

三道防線是一個形象化的表述。那么，如何認識三道防線理論？COSO認為三道防線理論只是解決了風險管理和內(nèi)部控制系統(tǒng)中的職責分工問題，只能運用于控制環(huán)境中的“組織架構、權力與責任”部分。風險管理和內(nèi)部控制系統(tǒng)要按照五要素或八要素分門別類地建設[ 5 ]。而FERMA和ECIIA指出三道防線理論對建立結構清晰的公司治理系統(tǒng)至關重要，并試圖將COSO的風險管理和內(nèi)部控制框架融入三道防線理論之中[ 11-12，14 ]。那么，按照COSO框架能否構建內(nèi)部控制或風險管理系統(tǒng)，三道防線理論有何貢獻與不足？

COSO以為按照五要素或八要素可建設內(nèi)部控制系統(tǒng)或風險管理系統(tǒng)，并且這兩個系統(tǒng)可按照五要素或八要素運行，但事實上COSO陷入了認識誤區(qū)。

不妨以COSO于2004年提出的八要素框架（內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、信息與溝通、控制活動、監(jiān)督活動）為例進行解釋。八要素的運行方式：在建立內(nèi)部環(huán)境的基礎上，通過信息與溝通，識別影響企業(yè)目標實現(xiàn)的風險事項進行風險評估，并提出應對風險的控制活動，最后對整個過程進行監(jiān)督[ 18 ]?？梢钥闯?，八要素是作為一個整體來運行的，并形成一套方法，這套方法運行的結果是提出了應對風險的控制活動和監(jiān)督活動。而內(nèi)部環(huán)境（或稱控制環(huán)境）也是企業(yè)識別和評估風險后建立起來的控制活動。所以，雖然控制環(huán)境、控制活動、監(jiān)督活動的名稱不同，但都是通過搜集信息、評估風險后制定和執(zhí)行的控制措施。那么，COSO八要素的運行可以簡化為通過搜集和溝通信息，識別和評估風險，制定和執(zhí)行控制活動（含控制環(huán)境和監(jiān)督活動），這就更清晰地顯示出COSO八要素框架實質(zhì)上是一套方法[ 19 ]。同時，簡化后的八要素變成了五要素，而五要素正是COSO內(nèi)部控制框架的要素。這也表明，風險管理框架和內(nèi)部控制框架不存在誰包含誰的問題，無論是八要素還是五要素都是一套方法，不能據(jù)此構建風險管理系統(tǒng)和內(nèi)部控制系統(tǒng)。如果這樣，COSO便既沒有構建起風險管理系統(tǒng)和內(nèi)部控制系統(tǒng)，也沒有解決系統(tǒng)的運行問題。

那么，風險管理系統(tǒng)、內(nèi)部控制系統(tǒng)或稱公司治理系統(tǒng)（統(tǒng)稱公司治理系統(tǒng)）如何構建？如何運行？簡言之，將流程排列組合起來構建公司治理系統(tǒng)，按照三道防線運行。

企業(yè)針對業(yè)務活動、財務活動及其相應的管理活動，在識別、評估風險后會采取一系列的控制活動（含控制環(huán)境、監(jiān)督活動），這些活動會按照流程排列組合起來，由此在企業(yè)管理中出現(xiàn)了戰(zhàn)略、文化、人事、組織結構、權責劃分、ESG、預算、采購、生產(chǎn)、銷售、存貨、固定資產(chǎn)、研發(fā)、投資、融資、營運資金、信息系統(tǒng)、內(nèi)部審計等不同流程。公司治理系統(tǒng)的構建要考慮：為應對風險、實現(xiàn)目標，企業(yè)究竟需要哪些流程？單個流程的運行如何更有效？流程與流程之間如何排列組合才能取得競爭優(yōu)勢？

將流程排列組合起來構建的公司治理系統(tǒng)可分為兩個層面，即公司層面控制（戰(zhàn)略、文化、人事、組織結構、權責劃分、ESG、預算、信息系統(tǒng)、內(nèi)部審計等）和業(yè)務層面控制（采購、生產(chǎn)、銷售、存貨、固定資產(chǎn)、研發(fā)、投資、融資、營運資金等）。那么，公司治理系統(tǒng)的協(xié)調(diào)有序運行就要處理好公司層面內(nèi)部的控制流程之間、業(yè)務層面內(nèi)部的控制流程之間及其兩個層面相互之間的關系。

三道防線理論的貢獻在于從風險管理和內(nèi)部控制視角，闡明了公司層面控制中的董事會下屬審計委員會和風險委員會之間的職責分工和發(fā)揮作用的方式，以及公司層面控制中的高層管理通過審計委員會及其內(nèi)部審計部門、風險管理委員會及其風險管理部門，監(jiān)督和指導中低層管理和基層員工開展業(yè)務活動及財務活動的傳導機制與協(xié)調(diào)有序運行方式，而這正是現(xiàn)行公司治理理論忽視之處。

三道防線理論的不足在于，三道防線理論雖然將職能部門和業(yè)務單位的運營活動作為第一道防線，但只能算是存而不論，沒有明確第一道防線在開展運營管理時職能部門和業(yè)務單位的具體職責，也沒有針對具體的業(yè)務流程，如采購、生產(chǎn)、銷售等，指出流程優(yōu)化和再造方式，以及流程之間協(xié)調(diào)運行方式。當然，指出三道防線理論的不足，只能算是求全責備。FERMA和ECIIA提出三道防線理論的初衷在于為歐盟各國公司董事會，尤其是審計委員會，遵循修訂后的《歐盟第8號公司法指令》提供指南。隨著監(jiān)管環(huán)境的變化，逐步開始強調(diào)第二道防線的風險委員會和風險管理職能部門的作用。這就說明，三道防線理論的提出并非為了解決第一道防線中職能部門和業(yè)務單位的運行問題，而是重在解釋第二、三道防線在公司治理中發(fā)揮作用的方式。因此，三道防線理論僅從一個有限的范圍探討了公司治理系統(tǒng)的構成和運行機制。

（三）如何認識綜合風險管理部門

FERMA和ECIIA于2010年在《指南I》中提出三道防線理論時，建議設立綜合風險管理部門，并區(qū)分了該部門與合規(guī)部門、其他風險管理部門（如健康和安全、供應鏈、環(huán)境和質(zhì)量控制等）的職責[ 11 ]。2011年，F(xiàn)ERMA和ECIIA在《指南II》中建議可以將風險管理、道德和合規(guī)、內(nèi)部控制和內(nèi)部審計合并，成立一個“公司治理部門”[ 12 ]。而IIA在2013年和2020年分別發(fā)布《有效風險管理和控制的三道防線》及其修訂版時，則強調(diào)了內(nèi)部審計的獨立性，認為只有較小型公司才能將內(nèi)部審計部門與風險管理部門合并[ 6-7 ]。那么，企業(yè)是否需要設立綜合風險管理部門，有何職能，與內(nèi)部控制部門是何關系，可否設立多位一體的風險管理部門？

1.綜合風險管理部門的設立和職能

企業(yè)大多分業(yè)務板塊和職能條線進行管理，并針對健康、安全、環(huán)境、信用、合規(guī)、供應鏈、質(zhì)量、財務等一個或幾個高風險領域設立專項風險管理部門，但較少設立綜合風險管理部門，只有行政事業(yè)單位、國有企業(yè)、金融機構、部分上市公司等迫于監(jiān)管壓力才會設立。

對于中小企業(yè)而言，由于業(yè)務相對單一，在特定地域范圍內(nèi)經(jīng)營，控制鏈條較短、幅度較寬，管理層更多地參與到運營活動中，更容易獲取風險信息并及時采取應對措施，風險能夠得到緩釋，所以可不設立綜合風險管理部門。但是，對于大型組織，尤其是上市公司而言，卻有必要設立綜合風險管理部門作為風險管理委員會的日常工作機構，從組織機構層面保證風險管理工作的有效開展。具體職責如下：（1）培育和宣貫風險管理文化。（2）協(xié)助董事會制定風險管理愿景和戰(zhàn)略，設定風險管理目標，確定風險偏好和風險容忍度，制定年度風險管理（內(nèi)部控制）工作計劃，并組織實施。（3）構建風險管理（內(nèi)部控制）總體框架，制定全面風險管理制度體系（內(nèi)部控制體系），推行規(guī)范的風險管理術語，推動流程再造和制度文件的定期修訂。（4）統(tǒng)籌規(guī)劃三道防線的運行，協(xié)調(diào)各專項風險管理部門的工作，推動和監(jiān)控有效的風險管理實務在運營管理中實施，處理好與內(nèi)部審計部門之間的關系。（5）建立風險識別和評估模型，定期組織風險評估工作。（6）建立各類指標體系，設立關鍵風險預警指標并及時預警。（7）建立風險報告制度（含快報、月報、季報、半年報和年報）。（8）制定風險管理評價辦法，并組織實施。每季度或半年組織一次，在第一道防線自評的基礎上進行抽評，對發(fā)現(xiàn)的問題進行跟蹤整改。（9）協(xié)助內(nèi)部審計部門開展年度風險管理（內(nèi)部控制）評價工作。（10）提供風險管理工作指導和培訓[ 6，11-12 ]。

2.綜合風險管理部門和綜合內(nèi)部控制部門的關系

風險管理就是內(nèi)部控制，所以綜合風險管理部門也可稱為綜合內(nèi)部控制部門。

從國有企業(yè)來看，國有企業(yè)從要求設立綜合風險管理部門發(fā)展為設立綜合內(nèi)部控制部門。2006年，國資委發(fā)布《中央企業(yè)全面風險管理指引》，要求設立風險管理委員會領導下的風險管理部門。2019年，國資委先后發(fā)布《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》和《關于做好2020年中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作有關事項的通知》，要求各中央企業(yè)以強內(nèi)控、防風險、促合規(guī)為目標，進一步整合優(yōu)化內(nèi)控、風險管理和合規(guī)管理監(jiān)督工作，按一體化要求編制2019年度內(nèi)控體系工作報告，不再分別報送《中央企業(yè)內(nèi)部控制評價報告》和《中央企業(yè)年度風險管理報告》。負責內(nèi)控體系一體化建設的機構稱為“內(nèi)控體系職能部門或機構”?？梢?，國資委也認識到管理與控制是融合的，并從側重強調(diào)風險管理，發(fā)展為要求風險管理、內(nèi)部控制、合規(guī)管理一體化建設[ 20 ]。

我國上市公司要求設立的綜合管理部門稱為內(nèi)控合規(guī)部。以《國務院關于進一步提高上市公司質(zhì)量的意見》為據(jù)，上海市和深圳市先后發(fā)布《關于推動提高上海上市公司質(zhì)量的若干措施》和《深圳市關于進一步提高上市公司質(zhì)量的實施意見》，明確提出上市公司要設立內(nèi)控合規(guī)部門，加強內(nèi)控建設。上海市的規(guī)定是“增強內(nèi)部控制有效性，探索試點上市公司按照公司章程規(guī)定設立內(nèi)控合規(guī)機構”；深圳市的規(guī)定是“引導深圳上市公司完善公司內(nèi)控機制，規(guī)范經(jīng)營決策行為，指定部門負責內(nèi)控合規(guī)工作”。

我國行政事業(yè)單位要求設立的綜合管理部門稱為“內(nèi)部控制職能部門或牽頭部門”。財政部發(fā)布的《行政事業(yè)單位內(nèi)部控制規(guī)范（試行）》，要求確定內(nèi)部控制職能部門或牽頭部門，在單位各部門內(nèi)部控制建設中建立溝通協(xié)調(diào)和聯(lián)動機制。

可見，我國國有企業(yè)、上市公司和行政事業(yè)單位要求設立綜合內(nèi)部控制部門。

3.設立多位一體的風險管理部門

可否如FERMA和ECIIA所述，將綜合風險管理部門、各專項風險管理部門和審計部門合并成立一個多位一體的風險管理部門[ 12 ]？

如IIA所述，規(guī)模較小的企業(yè)可將二、三兩道防線整合，設立綜合風險管理部門，但要采取措施合理保證內(nèi)部審計的獨立性，一旦條件成熟要考慮分設風險管理部門和內(nèi)部審計部門。但是，上市公司、金融機構、大型企業(yè)、行政事業(yè)單位應單獨設立內(nèi)部審計部門，保證三道防線協(xié)調(diào)有序運行[ 6-7 ]。而第二道防線中的綜合風險管理部門和各專項風險管理部門是否整合，可根據(jù)企業(yè)性質(zhì)、規(guī)模、所處行業(yè)、風險的重要程度、監(jiān)管要求等酌情考慮。譬如，國有企業(yè)可按照國資委的要求將風險管理、內(nèi)部控制與合規(guī)管理整合；上市公司可按照滬深兩市規(guī)定將內(nèi)部控制與合規(guī)管理整合；在ESG信息強制披露背景下，可在董事會下設ESG委員會，并在綜合風險管理部門之外專設ESG風險管理部門等?！?/p>

【參考文獻】

［1］ 陳德球，胡晴.數(shù)字經(jīng)濟時代下的公司治理研究：范式創(chuàng)新與實踐前沿［J］.管理世界，2022（6）：213-240.

［2］ 李維安，張耀偉，鄭敏娜，等.中國上市公司綠色治理及其評價研究［J］.管理世界，2019（5）：126-133，160.

［3］ 李曦輝，陳溫都蘇.域觀范式下的公司治理內(nèi)涵優(yōu)化［J］.會計之友，2023（18）：122-129.

［4］ COSO.Enterprise risk management-integrating with strategy and performance ［R］.Committee of Sponsoring Organizations of the Treadway Commission，2017.

［5］ COSO.Internal control-integrated framework（framework and appendices） ［R］.Committee of Sponsoring Organizations of the Treadway Commission，2013.

［6］ IIA.The three lines of defense in effective risk management and control［S］.The Institute of Internal Auditors，2013.

［7］ IIA.The IIA's three lines model-an update of the three lines of defense［S］.The Institute of Internal Auditors，2020.

［8］ 丁丁.歐盟統(tǒng)一的法定審計制度：挑戰(zhàn)與改革［J］.河北法學，2007（12）：168-172.

［9］ 胡勝校.歐盟規(guī)范法定審計的重大舉措：頒布施行新的第8號公司法指令［J］.審計月刊，2006（12下）：5-8.

［10］ EU.The 8th European company law directive［S］. European Union，2006.

［11］ FERMA，ECIIA.Guidance for boards and audit committees on the implementation of art 41-2b of the 8th directive［R］.Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2010.

［12］ FERMA，ECIIA.Guidance on implementing the 8th EU company law directive article 41-2b for Senior management（questions and answers for executive committees）［R］.Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2011.

［13］ EU.The 8th European company law directive［S］. European Union，2014.

［14］ FERMA，ECIIA.Audit and risk committees：news from EU legislation and best practices ［R］. Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2014.

［15］ ECIIA.Non-financial reporting：building trust with internal audit［R］.European Confederation of Institutes of Internal Auditing，2015.

［16］ FERMA，ECIIA.Cyber risk governance report［R］.Federation of European Risk Management Associations & European Confederation of Institutes of Internal Auditing，2017.

［17］ COSO.Internal control-integrated framework［R］. Committee of Sponsoring Organizations of the Treadway Commission，1992.

［18］ COSO.Enterprise risk management-integrated framework［R］.Committee of Sponsoring Organizations of the Treadway Commission，2004.

［19］ 白華，胡禮燕.超越COSO：中國內(nèi)部控制規(guī)范體系探索［J］.會計與經(jīng)濟研究，2020，34（6）：11-31.

［20］ 白華，周松連，李舒瑩，等.國有企業(yè)內(nèi)部控制體系一體化建設的思考［J］.財會通訊，2021（20）：3-9.