“三線一體”內控監測共享模式的構建

|胥霞 朱靈梅

2022年國務院印發《關于中央企業加快建設世界一流財務管理體系的指導意見》明確指出：國有企業應“積極探索依托財務共享實現財務數字化轉型的有效路徑，推進共享模式、流程和技術創新，從核算共享向多領域共享延伸，從賬務集中處理向企業數據中心演進，不斷提高共享效率、拓展共享邊界”。本文基于國務院推進核算共享向多領域共享延伸，國資委關于風險管理、內部控制、合規管理協同運作的要求，以及新時代信息化和數字化建設的需求，嘗試分析和構建“三線一體”內控監測共享模式。通過對我國內部控制監管要求、國際內部審計師協會（IIA）“三線模型”、共享行業實踐三方面的綜合分析，論述了“三線一體”內控監測共享模式構建的可行性，提出了通過構建基于流程梳理的“三線一體”內控監測模型的大數據平臺，促進“三線”職能的溝通、協作，在內控監督的部分共同目標上實現“一體化”統籌規劃，避免“三線”職能之間的交叉、重復和空白，減輕一線職能迎檢負擔，為一線職能提供必要的風險管理支持，賦能一線在風險受控的情況下，更專注于業務的拓展和企業經營效益，從而體現風險控制的價值創造作用。同時該模型也有助于實現內控監督資源的優化配置，促進內控監督在技術層面實現轉型發展。

一、“三線”合為“一體”的可能性

我國目前最新的企業內部控制框架為財政部、證監會、審計署、銀監會、保監會于2008年聯合發布的《企業內部控制基本規范》，以及2010年發布的《企業內部控制配套指引》。美國最新的內部控制框架有兩個：一個是COSO于2013年5月發布的《內部控制——整合框架（2013）》及其配套指南；另一個是2017年6月發布的《企業風險管理——整合戰略與業績》，該框架不是取代內部控制框架，而是旨在實現兩者之間的互補關系。我國的企業內部控制規范框架體系的五大要素“內部環境、風險評估、控制活動、信息與溝通、內部監督”和美國COSO框架的五大要素“控制環境、風險評估、控制活動、信息和溝通、監督活動”,都體現了內部控制框架中風險和控制活動之間的關系，內部控制活動是針對企業風險采取的控制措施。

本文所設想的“三線一體”模型是在國際內部審計師協會（IIA）2020年發布的“三線模型”基礎上構建的。2013年，國際內部審計師協會推出了“三道防線”模型，其本質是按照職能部門對風險管理職責進行劃分，經營管理部門是第一道防線，風險管理部門是第二道防線，審計委員會下設的內部審計部門是第三道防線。2020年發布的“三線模型”作為一種風險管理工具，突破了2013年“三道防線模型”僅關注于風險管理方面的局限性，開始著眼于組織的整體治理，強調“協作、溝通、價值創造”，不對三線職能部門進行限定，只對三線職責和能力提出要求。也就是說，“三線模型”不僅強調要防風險，更要創造價值。

在“三線模型”里，第一線和第二線都有風險管理的需要，第一線是直接對風險進行管理，第二線是對風險管理提供專業指導、支持和監測，第一線和第二線的職能可能交織在一起，也有可能分開，由不同的職能部門管理（見表1）。

表1 “三線模型”的基本要義

關于二線職能里的“監督”和三線職能里的“內部審計”之間的關系，從廣義上講，監督是對有助于業務運營體系提升的流程運行情況的評價，審計是指獨立于業務運營體系的人員開展的評價。監督和審計目標都是保證運營體系的運行質量，并致力于運營績效的持續改進，二者在方法論和技術工具基本上是一樣的。

我國關于“三道防線”的職能主要在《中央企業全面風險管理指引》中進行了界定，三道防線均具備對風險管理檢查的職責（見表2）。

表2 我國“三道防線”的基本要義

從組織運行有效性和效率的角度，不同職能部門如不做好相互協作、保持充分溝通，就易出現工作重復、交叉，給一線職能部門帶來過重的風險管理監督負擔，導致風險防控過度，價值創造關注不夠。“三線”中都有風險管理的需求及共同的監督目標，應與戰略目標結合，將業務需求、風險評估、檢查標準上一致的要求獨立出來進行專業化管理，已具備了實務需求和理論支持的條件。

二、“一體”的內涵

本文將結合共享模式分析，以共享中心作為依托， “三線”共有的與財務相關的內部控制作為“一體”范圍，提出構建“三線一體”內部控制監測模型。

1.“一體”的載體——共享中心。

內部控制涉及公司所有業務，范圍非常廣，需要在企業內部找到一個精通與財務相關的業務、流程、系統的主體，同時還兼備風險管理和內控檢查知識的團隊，來承載內控監測專業化管理需求。目前財務共享中心已大致具備這些特征。近10年我國央企和集團型企業的內部共享中心發展迅速，并日趨成熟。共享服務模式的運用從財務共享開始，財務逐漸將會計、費用報銷、支付等集中到共享中心處理。《會計法》賦予會計機構、會計人員擁有會計監督職能，對業務的原始憑證進行審核，不真實、不合法的原始憑證不予受理；對記載不準確、不完整的原始憑證予以退回。財務共享作為企業的內部單位，對企業在經營、報告、合規方面的制度規定熟悉，逐漸形成了一套會計審核清單，可覆蓋公司的所有交易，具備檢查內部控制執行有效性的能力。三線職能都擁有對風險管理、內部控制檢查的需求，結合財務共享的監督經驗，可將與財務相關的內部控制獨立出來由共享中心專業運營。此外，共享中心在內部監督方面的支撐作用，在全球共享中心建設中已得到實踐檢驗。普華永道對300余家全球共享中心調研， 2021年發布了《全球商業服務——開啟敏捷組織之路》報告，指出31%受訪者表示內部審計已經成為共享中心的業務線，10%受訪者表示未來內部審計將成為共享中心的業務線， 因此，內部審計也逐漸成為全球共享中心承接的新業務線條。共享中心獨立于一線職能的業務操作環節，能同時為一線職能中的管理層、二線職能的風險管理部門、三線職能的內部審計部門提供獨立的內控監測結果。共享中心的專業運營能力，成熟的質量管理體系，可保證采用行業最高標準建設，從方法論、操作標準、職業道德等方面保證標準統一、操作規范、質量滿意。

2.“一體”的范圍——與財務相關的內部控制。在《中國注冊會計師審計準則第1501號》對財務報表形成審計意見的指引中，規定對內部控制的了解和評估，并沒有限定“與財務報告相關”的目標。內部控制范圍非常廣，內控目標很多，財務領域與企業各個業務都有關聯，被外部監管和資本市場最為看重。美國上市公司會計監管委員會（PCAOB）認定與財務報告相關的內部控制作為發表審計意見的范圍，制定了一整套完整的內部控制審計準則，從審計策略、計劃、過程、評價等給出了明確指引，都可成為內控監測的參考標準。因此，作為最成熟的共享中心財務領域，可作為本文建議的“一體”監測范圍的切入點。此外，從內部控制中明確切分出來一部分執行內控測試，有行業先例可借鑒，具備成熟的方法論、工作標準、職業道德標準。內控監測范圍可隨著其他職能向共享中心的轉移完成，且運行成熟逐步擴大。

3.“一體”的目標——經營、報告、合規。本文構想的“三線一體”模型是以經營、報告、合規為目標的、與財務相關的內部控制。雖然同PCAOB認定的與財務報告相關的內部控制僅“報告”兩字之差，內涵卻不同：PCAOB的內部控制包括公司收入和支出的原始憑據必須以管理層審批為前提，需要按照會計準則準確、公允反映各類交易進行會計記錄，主要還是以財務報告的準確性為目標；本文建議的模型檢查標準來自公司的規章制度，這些制度涵蓋了經營、報告、合規三個方面，監測目標更全。如應收賬款管理，從財務報告角度，主要是評估應收賬款可收回性和壞賬計提是否充足的問題，但從經營角度，公司制度會規定授信期限的最大值；應付賬款管理，從財務報告角度，主要關注虛構交易虛掛負債的情況，但從合規角度，央企還會關注社會責任問題，這些都是在內部監測中需要增加的監測目標。

三、“三線一體”模型的運行模式構建

針對上述以與財務相關的內部控制為范圍，共享中心為依托的“一體”，通過對流程關鍵控制點的檢查邏輯建模，在大數據平臺抓取實時數據，向各線職能部門推送不同頻次的內控監測報告的運行模式（如圖1）。

圖1 “三線一體”模型的運行模式

1.基于流程建立監測指標。（1）內部控制設計與流程密不可分，流程是內部控制的基礎和載體。業務過程一般由政策、流程、系統和表單幾部分構成，內部控制建設會從業務梳理開始，明確業務環節，分析業務風險，確定風險點，選擇應對策略，確定內部控制措施。（2）內部控制監督與流程密不可分。對與財務相關內部控制的了解，需充分了解流程、操作、系統、風險、內控、制度等基于流程的一體化管理要素，交易發起、審批、執行、記錄、報告的自動操作和手工操作的全過程，與交易全過程相關的會計記錄、證明材料和財務報表中的具體科目，信息系統如何獲取交易之外對財務報表有重大影響的事項和情況及財務報告的出具流程。（3）持續有效的內部控制管理與流程密不可分。通過信息系統優化流程，把內部控制嵌入到流程中，能夠規范各項業務活動，提高業務處理效率，減少人為操作失誤。但信息系統優化并不意味著風險消失，內部控制不再適用，流程調整帶來風險轉移，內部控制應該相應調整才能有效。例如，區塊鏈技術在財務上的應用，使傳統意義上重要的財務控制措施，如對賬、會計處理等控制發生根本性改變，可提升運營有效性和效率，財務報告的準確性、一致性、可靠性、合法與合規性；區塊鏈技術可以使內部交易對賬流程簡單直觀、效率提升，不再需要在交易層級函證，但區塊鏈技術也是由技術服務提供商提供，如何保證交易信息安全可信，會增加對技術服務提供商內部控制有效性的鑒證需求；區塊鏈上交易處理和記錄的速度非常快，同時不可更改和沖銷，交易發生前的事前預防控制問題通過區塊鏈的使用得以解決，需調整內控監督的重心，減少對事前預防控制的關注，加大事后發現性控制的監測，從而更有效地在區塊鏈技術背景下防范風險。（4）共享中心是在企業職能管理基礎上對流程管理的補位。在英國經濟學家亞當·斯密《國富論》“分工提高勞動生產率”的理論指引下，企業通常是以職能的方式組織生產經營活動，職能之間的銜接存在缺位，會導致鏈條銜接上產生風險和低效率等問題。流程管理正是強化職能之間的協同合作，共享中心獨立于所有職能之外的流程型組織，流程管理的理念是共享中心的基因，這種觀念與基于流程的內控監測模型非常契合，由共享中心將流程梳理關鍵內控監測指標，建立模型的方式，能夠更好地貫徹內控基于流程的核心。（5）在內控測試的時候，如果只在單點上抽取樣本測試，而不將全流程連貫起來，就會缺乏流程的整體評價視角，較難找到違規事項，比如隱藏較深的空轉、走單事項，違規操作可能是點上合規，串起來不合規的方式，如果不把全鏈條鏈接起來檢查，是發現不了違規事項的；其次，內控測試的時間點，一般是在業務發生后。如果采取不按原有操作流程逐步檢查的方式，可通過流程上前后環節的分析確定關鍵控制點，以結果前后比對的方式查找異常清單；再次，流程上如果實現系統自動控制的節點，無須再通過人工抽樣的方式檢查，可通過信息系統一般性測試方法，以檢查系統控制的方式得到內控執行有效性的保證。

2.基于大數據手段建設監測工具。各個職能部門都有自己的檢查清單，這些檢查清單有諸多重復項，加之某些職能部門之間缺乏溝通、協同，每年都會產生很多問題，但最大的問題是如何保證找到問題的完整性，建立完整統一的風險清單。而據德勤調查數據顯示，目前建立完整風險清單的企業不到20%。傳統的監督檢查由于技術手段的限制，只能通過抽樣、抽查的方式查找問題，有如“大海撈針”。隨著信息系統算力提升、大數據手段的運用、數據中心的建立，審計監測全量覆蓋、遠程非現場模式正在審計從業人員的努力下，從理論變為現實。內控監測大數據平臺要保證內控監測的完整性，首先需要保證風險清單的完整性，其次需保證內控定位的準確性，最后需持續監督的穩定性。這些都要求對業務、流程、系統熟悉，是一個持續完善的過程。

在信息化背景下建設內控監測大數據平臺(如圖2)，（1）基于流程梳理出內控監測模型，確定關鍵內控點、邏輯關系、數據來源；（2）打通與大數據平臺的連接，將需要的數據信息從生產系統、銷售系統、庫管系統、客戶管理系統、財務系統等相關系統中抽取到大數據平臺；（3）將大數據平臺中的數據，通過內控監測模型的邏輯檢驗，精準查找異常交易，通過內控監測管理平臺的可視化展示異常診斷報告，向三線職能提供精準有效的管理層建議，供三線職能通過業績評價考核、流程優化等方式改進管理。

圖2 內控監測大數據平臺構建

3.基于不同需求設置監測周期。本文建議的模型會根據三線不同的監督策略，按照相同的指標、不同的周期發送報告。《中央企業全面風險管理指引》要求，企業一線職能各有關部門和業務單位、二線職能風險管理職能部門應定期履行各自的風險管理職責，三線職能內部審計部門應至少每年一次對風險管理情況進行監督評價，三線職能不同的監督定位，有著不同的監督周期要求。（1）一線職能管理層對于風險管理負有自查和檢驗職責，承擔主要責任，需要在日常工作中監督并督導整改，對時效性要求最高。本文的模型建議以日報的方式向一線管理層推送，使管理層有充足的時間督導整改。在向一線職能管理層推送報告時，可針對部分監測點采用風險預警方式，在違規事項實際發生前提示管理層，避免違規事項的發生；部分監測事項無法實現提前預警，只有實際違規后才能發現。共享中心推送的內控監測報告構成企業的發現性控制的支撐措施。從內控評價的角度來講，預防性控制和發現性控制構成對內部控制執行有效性評價的整體控制措施。按照共享中心推送的內控監測報告，一線管理層只要能做到及時督導整改，依照內控評價標準，仍然可被二線和三線職能部門認定為企業的內部控制執行有效。（2）二線職能風險管理部門對風險管理負有評價和建議職責，基于一定的周期進行風險管理的評價。國資委《關于加強中央企業內部控制體系建設與監督工作的實施意見的通知》要求，在子公司全面自評基礎上，集團監督確保每3年覆蓋全部子公司。中央企業的風險管理部門在該要求范圍內，根據不同的監督策略，制定不同的評價周期，共享中心可以根據風險管理部門要求的周期提供定期的內控監測報告。同時，由于共享中心的獨立性、專業性，通過內控監測平臺生成的內控監測報告無法人為修改，且內控監測平臺的系統修改權限由二線職能控制，避免了共享中心和企業人員勾結修改內控監測報告的可能性，使內控監測報告按照前置邏輯反映企業實際控制情況。（3）三線職能內部審計部門更多強調其審計的獨立性，內部審計準則同樣允許審計部門可利用其他部門相關監測結果進行審查。內審部門可制定不同的審計策略，也可評價共享中心內控監測運行情況，評估是否需要利用共享中心的內控監測報告，支撐內部審計計劃和測試工作。共享中心可按照內部審計部門的需求，不定期地提供內控監測報告，幫助內審部門準確定位重大風險點，提高審計效率。內部控制、合規管理協同運作的要求，以及新時代信息化和數字化建設的需求，通過對我國內部控制監管要求、國際內部審計師協會（IIA）“三線模型”、共享行業實踐三方面的綜合分析，論述了“三線一體”內部控制監測共享模式構建的可行性，提出了通過構建基于流程梳理的內控監測模型的大數據平臺，實現內控監督資源的優化配置，促進內控監督在技術層面實現現代化轉變，最終實現企業的轉型發展。

“三線一體”內部控制監測共享模式作為一種三線職能在內控監測部分目標的融合性探索、嘗試性研究，在該領域尚有許多工作需要完成。本文搭建的“三線一體”內部控制監測共享模式基于與財務相關內部控制作為切入點，下一步可繼續提升該模型的普適性。隨著更多職能納入共享中心，可應用到其他專業領域的內控監督領域。此外，“三線一體”內部控制監測共享模式尚未在實踐中進行大范圍試驗和檢驗，隨著該模型的應用實踐，還需不斷豐富和優化，以期實現更加完善和高效的預期功能。

四、結論與建議

本文基于國資委關于風險管理、