基于COSO風險管理框架和IIA新“三線模型”構建外匯檢查執法風險管理與控制框架探析

殷允鳳 王雪

[摘要]本文運用流程分解法梳理出外匯檢查執法風險，嘗試參照COSO風險管理框架（2017版）和國際內部審計師協會（IIA）新“三線模型”（2020），探索構建外匯檢查執法風險管理與控制框架，為防范外匯檢查執法風險和提高外匯執法效能提供借鑒經驗，有力打擊外匯違法違規行為，有效防范跨境資金流動風險，為維護外匯市場秩序和國家經濟金融穩定提供內部保障。

[關鍵詞]風險管理 ? 三線模型 ? 外匯檢查

近年來，我國跨境資金流動的規模日益擴大、

構成更加復雜、方向更趨多元化、波動性顯著增加，對外匯檢查執法工作提出了較大挑戰，而隨著外匯行政查處的涉匯案件數量和涉案金額的不斷攀升，外匯檢查執法面臨的風險也日益增多。本文立足外匯局內審內控部門的視角，提高政治站位，深入貫徹新發展理念，將助力國家治理體系和治理能力現代化建設、防范化解重大風險、實現價值增值等目標擺在更加突出的位置，基于風險導向對外匯檢查執法進行流程分解，梳理出當前外匯檢查執法存在的風險點，參照COSO風險管理框架（2017版）和IIA新“三線模型”（2020），有效運用內部控制最新理念和發展成果，構建外匯檢查執法內部風險管理與控制框架，發揮內部控制防范和化解重大風險的“防火墻”作用，將風險“防線”前移，發揮提高組織工作效能、增強組織抗風險能力的作用，切實為外匯檢查執法保駕護航。

一、IIA新“三線模型”與COSO風險管理框架

（一）新“三線模型”概述

2013年1月，IIA發布了《有效風險管理與控制的三道防線》，通過將運營管理的業務部門、風險管理與合規的職能部門和內部審計依次劃分為“三道防線”，闡述了企業內部風險管理和內部控制的職責所在，為企業提供了一種支持實施內部控制框架的組織架構，明確了各部門在風險管理和內部控制的責任，使得COSO內部控制整合框架中的內部控制在組織中得到了有效實施，因此“三道防線模型”備受歡迎。但由于該模型過于關注如何防范和減少風險，在實踐中約束了業務部門的創新行為，從而使得組織喪失了高收益高風險的機會，同時也容易出現抓小放大而無法避免黑天鵝、灰犀牛等事件。為更好地適應現代風險管理的環境變化和組織追求利益需要，在“三道防線模型”的基礎上，IIA于2020年7月發布了“三線模型”（Three Lines Model），即新“三線模型”，如圖1所示。新“三線模型”將視角從專項風險管理擴大到組織的整體治理，強調組織的治理機構的核心作用，將職責授權給內部各條線，并負責指導、調配資源和監督，管理層（第一線、第二線）負責實現組織目標和風險管理，內部審計（第三線）獨立開展評估和提高風險管理并向治理機構負責。

（二）新“三線模型”的發展與意義

1.風險管理理念從被動防守轉為積極應對。新“三線模型”與“三道防線模型”相比，比較突出的特點是去掉了“防”（Defensive）一詞，名稱的變化意味著新版模型作為一種風險管理工具，已不再局限于保守被動的風險管理，而是傾向于更為積極進取的風險管理，突出了風險管理在為組織提供價值創造方面的目標和使命，高度關注為組織利益相關者創造和保護價值，通過更有效的溝通、協調和配合優化組織的整體治理方式，在合理控制風險的基礎上，實現為組織提升價值和創造價值的目標。

2.基于原則導向使得應用更為靈活。新“三線模型”最大變化在于基于原則導向，強調了治理、治理機構職責、管理層和第一二線的職責、第三線的職責、第三線的獨立性、創造和保護價值等6項原則，基于原則的方法使得每個組織可以根據其行業、規模、運營結構和風險管理方法靈活地實施該模型。

3.強調溝通和協作使得內部審計獨立而不孤立。新“三線模型”有關管理層（第一、二線）和內部審計的關系和“內部審計和組織治理機構的關系”的內容中，更強調相互溝通、配合和協作，優先考慮組織利益，以更好地創造和保護價值，尤其強調內部審計在保證獨立性的前提下，要保持與管理層的互動，加強與各職能部門的溝通協作，提高內部審計的效率和效益，保證內部審計獨立而不孤立，為治理機構和管理層提供可靠、具有相關性和透明的信息，保證所有的活動與組織的目標保持一致。

（三）COSO風險管理框架的歷史演進

1.COSO風險管理框架的提出。在風險管理和內部控制領域，COSO組織有著舉足輕重的地位，自1992年COSO發布企業內部控制整合框架以來，作為此領域最具代表和權威的框架，被全球多個國家借鑒和采用。我國于2008年發布的《企業內部控制基本規范》，就是采用了這個框架的內部控制要素和內容。隨著實踐運用的發展，COSO組織對內控控制框架進行了幾次修訂和完善，但由于外部環境的變化，仍然存在建立了完善的內部控制體系的企業因無法應對風險而破產和倒閉的案例，且日益增多。于是，COSO組織開始從整合風險管理的角度來思考企業的管理活動以及內部控制體系的局限性。2004年12月，COSO組織發布了《企業風險管理—整合框架》（ERM，2004），這一框架是在1992年版COSO內部控制框架的基礎上引入了風險偏好和風險文化，將內部控制的精髓融入企業風險管理之中，擴大了對風險管理的關注范圍，在實踐中能夠使公司借以滿足內部控制的需要，并轉向更加全面有效的風險管理過程。

2.進攻與防御并重的現代風險管理框架。近年來，隨著新風險層出不窮，風險管理日趨復雜，COSO組織于2017年9月發布了更新版本的企業風險管理框架《企業風險管理—與戰略和績效的整合》（ERM，2017）。2017年版ERM框架在2004版ERM的基礎上，重新定義了風險管理，指出風險管理不僅涉及內部控制，也應該整合“戰略與績效”，將風險管理貫穿組織管理的全過程。在表述方式上，2017年版ERM框架采用了2013年版內控整合框架的要素加原則的方法，構建了一個包含五要素、二十原則的新框架，如圖2所示。2017年版ERM框架對風險和風險管理進行了重新定義，更強調風險的積極作用，將風險管理視為企業文化，并將風險管理與“戰略和績效”相結合，風險管理框架轉變為進攻與防御并重，能夠實現內部審計與企業戰略、決策的結合，最終達到防范風險，提升價值的目標。

3.COSO風險管理框架和內部控制框架的界定。關于COSO風險管理框架和內部控制框架，由于二者有很多關聯之處，因此很容易混淆兩個框架的范圍和界限，國內有學者認為二者是一個體系的不同發展階段，將風險管理等同于內部控制。對此，2013年COSO組織發布的內部控制框架更新版附錄中明確指出，企業風險管理是企業治理的組成部分，而企業內部控制又是企業風險管理的組成部分。COSO組織在兩次發布風險管理框架（2004版、2017版）文件中也都明確指出風險管理框架并不是對原有內部控制框架（1992版、1994年增補和2013年更新）的取代或是更替，兩個框架的側重點各不相同但相互補充，風險管理框架繼承了內部控制框架的主要內容，可以說風險管理是引入風險的內部控制的發展和進化，與內部控制有共同交集，但風險管理又遠不止于內部控制，它涉及了“戰略、治理、利益溝通和績效”等，是與戰略制定與實施相整合的文化和實踐，旨在合理利用風險實現價值創造。

通過COSO組織多年的報告和實踐運用，我們可以明確目前風險管理框架與內部控制框架是同根發展、相互補充的，而風險管理框架更加強調風險治理和在創造、保持和實現價值方面的作用，更能實現組織在承擔一定風險的情況下尋求利益最大化的需要;另外，風險管理也適用于任意規模、性質的組織，因此，風險管理框架更代表了內部控制理論新的發展方向。

（四）新“三線模型”與COSO現代風險管理框架的契合

2015年7月，IIA以COSO白皮書的形式對外發布《在三道防線中運用COSO內部控制》，通過將COSO內部控制整合框架（2013）與“三道防線模型”（2013）相結合，旨在為組織的戰略決策者提供一個涵蓋風險管理、內部控制和反舞弊的全面的框架和指導，以提高組織績效和治理，為風險管理如在組織內部進行構建和職責劃分提供了有益指導。

IIA新“三線模型”的發布，使得風險管理工具與COSO現代風險管理框架（ERM，2017）更為契合，為實現增值型內部控制和風險管理提供了更好的視角。首先，新“三線模型”與COSO現代風險管理框架（ERM，2017）均采用了更積極的“進可攻、防可守”的新時代風險管理理念。其次，二者具有一致的最終目標，即在正視風險的基礎上創造更符合組織利益的價值。第三，新“三線模型”與COSO現代風險管理框架（ERM，2017）都是基于原則導向。圖2中COSO現代風險管理框架（ERM，2017）采用了價值創造鏈條描述了風險管理要素與戰略目標和價值創造的關系，與新“三線模型”的原則及三線角色的對應更為直觀。新“三線模型”在“三道防線”的基礎上新增了6項原則，明確定義了治理機構的職責和作用，清晰界定了治理機構、管理層和內部審計各自承擔的職責和作用，梳理了各線職能的劃分及任務，通過闡明這些角色和職責來增強有關風險和控制的溝通，為組織提供了一種有效的方法，充分傳達每個人的職責以及其如何適合組織的整體風險和控制結構，與COSO現代風險管理框架（ERM，2017）相契合。

二、外匯檢查執法內部管理風險分析

外匯檢查執法內部管理風險存在于檢查執法的各個環節，從行政管轄、立案、調查、處理到執行和信息公開等各個環節均有可能產生，主要表現為以下幾個方面：處罰違法事實不清或證據不足、處罰依據不準或適用法律有誤、自由裁量權使用不當，案件接收和調查取證程序不規范、適用簡易程序不當、重大案件未經集體審議決定、不按規定程序舉行聽證及復審、未履行告知義務等，內部管理風險防控不到位極易引發聲譽風險和法律風險。本文采用流程分解法，從外匯檢查執法工作啟動到案件收尾，全流程梳理了外匯檢查執法工作面臨的風險，如表1所示。

三、運用COSO風險管理框架和IIA新“三線模型”構建外匯檢查執法風險管理和控制框架

（一）風險管理框架各要素、原則與新“三線模型”的對應關系

1.“治理和文化”“戰略和目標”要素及其原則在新“三線模型”中的定位。ERM（2017）將舊版的內部環境要素拓展為“組織治理和文化”，即將風險管理與組織治理融為一體，強調組織基于實施風險監管、建立組織機構、培育文化和核心價值觀以及用人機制5個原則制定戰略目標，并根據風險偏好平衡風險和績效，對組織實施全面風險管理。因此，承擔ERM（2017）制定戰略目標、平衡風險和績效這兩項風險管理要素的角色，應該對應IIA新“三線模型”的組織治理機構，在風險管理和控制的新“三線模型”中占據核心地位，負責給三線角色授權、指導、提供資源和監督，制定組織目標、發展戰略，并建立管理和控制風險的組織機構，統籌管理三線角色的運行，使得三線角色實現合作、溝通和交流，以實現有效的風險管理和控制。

2.“績效”要素及其原則在新“三線模型”中的定位。ERM（2017）的“績效”要素及其識別風險、評估風險、風險排序、風險應對以及組合風險原則，應由新“三線模型”中的管理層所對應的第一線和第二線角色分別承擔。第一線角色一般由負責日常運營的部門承擔，第二線角色由負責管理和監督的部門承擔;對于第一線和第二線角色間如何劃分風險管理職責，則由組織治理機構根據各部門承擔的職能靈活掌握并調整，有效實現組織目標。

3.“審查和糾正”要素及其原則在新“三線模型”中的定位。ERM（2017）的“審查和糾正”要素及其評估重大變化、審查風險和績效以及提升風險管理的原則，對應新“三線模型”中的第三線內部審計，內部審計部門由組織治理機構授權獨立開展監督、審計，并向組織治理機構報告。

4.“信息、溝通與報告”要素及其原則在新“三線模型”中的定位。ERM（2017）“信息、溝通與報告”要素及其利用信息和技術、溝通風險信息和匯報風險、文化和績效原則，雖然在新“三線模型”中沒有具體對應的角色，但在風險管理和控制框架中扮演著重要的角色。比如，IIA強調作為第三線角色的內部審計應當與管理層保持定期的互動，管理層的第一、二線職能部門和內部審計之間也需要相互協作，保持溝通。另外，組織治理機構和各線也應積極與外部開展合作、溝通和交流。因此，可將風險管理的“信息、溝通和報告”要素作為三線模型中的“潤滑劑”角色，使得三線角色在組織治理機構的管理和外部的影響下更好地實施風險管理和控制，提高組織績效。

（二）外匯檢查執法風險管理和控制框架思路

1.組織治理。一是強化頂層設計，完善內控制度。外匯管理部門實行垂直管理，從總局到基層外匯局是全國上下一盤棋，因此首先要從加強頂層設計入手，修訂完善各項內控制度，從執法權主體、裁量空間、執法程序、內外部監督以及執法能力、隊伍建設等方面，全方位規范外匯檢查處罰工作，確保過罰相當、量罰統一，加強執法過程管控，確保執法的公平和公正。二是完善法律法規，提高外匯執法權威性。在現有外匯執法依據框架下，可對跨區域、跨境的外匯交易實施更加有效的監管手段，進一步完善法律法規，配合外匯管理條例等法規修訂，提高對外匯違規行為的處罰幅度，完善罰則條款，放寬適用主體，加大對外匯違規行為的懲處力度，提高外匯執法的權威性，同時也應探索運用現代信息技術，開展大數據分析，創新外匯監管和執法的手段和方法，通過“穩、準、狠”的嚴厲打擊和多樣化的懲戒方式，增大市場主體違規成本預期，有力震懾市場主體，從而有效防范風險，維護外匯市場秩序。三是加強宣傳和培訓，形成風險管理文化。一方面要強化風險管理監督責任，構建完善的風險管理體系，另一方面要通過宣傳、教育培訓，提高外匯檢查執法機構及其檢查執法人員的風險管理意識、執法能力，形成自上而下的風險管理傳導機制。

2.第一線和第二線角色。IIA將第一線和第二線角色均歸屬于管理層，為組織的風險管理角色分配提供了開放的環境。外匯局作為行政管理部門，組織目標不同于企業，業務部門和監督管理部門存在職能交叉的情況，尤其是基層外匯局行政執法人員相對有限，更是很難將業務管理和監督檢查完全區分開來。因此，外匯檢查執法的風險管理和控制的第一線和第二線角色應交由負責具體實施的外匯管理部門承擔，外匯檢查執法部門負責人和檢查人員等作為第一線，具體負責立案、調查取證和處理等行政檢查執法行為，另由法律事務部門、同級業務部門、案審會和上級局歸口管理部門等作為第二線，提供法律支持、業務協調、監督和指導，跟蹤了解外匯檢查執法情況，加強監測，使監督制約落到實處。

3.第三線角色。省分局以上的外匯管理部門一般都設有專門的內審內控部門，具備對下級局外匯檢查執法開展內部監督的相對獨立性。但是由于專職內審內控人員相對較少等問題，也很難做到全面的風險監督和評估。應進一步增強內部審計的獨立性，通過程序控制、項目審計等方式，對風險管理提出獨立意見，做到三線權責明晰，尤其是形成獨立的報告路線，增強風險控制能力。必要時在實施內部審計時，可以從外匯管理的業務部門和內控部門抽調骨干力量實施跨區域交叉審計，或聘請專業法律顧問提供法律支持，強化第三線角色職能作用。

4.健全部門協調機制，避免執法越位或缺位。協調推進與海關、商務、稅務、反洗錢等多部門完善法規、協同監管，推進跨部門數據共享和執法合作，整合執法資源，完善聯合執法機制，增強檢查執法合力，提升監管與檢查效能。

（作者單位：中國人民銀行棗莊市中心支行 ?國家外匯管理局山東省分局，郵政編碼：277102，電子郵箱：wang_xue_email@163.com）

主要參考文獻

[1]陳錦烽.IIA立場公告：《有效風險管理與控制的三道防線》簡介[J].中國內部審計， 2013（8）：44-45

[2]舒偉，左銳，陳穎，等.COSO風險管理框架的新發展及其啟示[J].西安財經學院學報， 2018（5）：41-47

[3]王兵，杜楊.在風險管理和控制的三道防線中運用COSO內部控制[J].中國內部審計， 2016（4）：4-8

[4]周婷婷，張浩.COSOERM框架的新動向[J].會計之友， 2018（17）：82-85